Drücken sie Ctrl/Cmd + P zum drucken
oder zum Speichern als PDF.

Microsoft Windows: Lokale und Cloud-Benutzer (Entra ID Join)

Windows-Konten unterscheiden sich primär durch Datenspeicherung und Funktionalität: Ein lokales Konto existiert nur auf dem spezifischen PC, bietet mehr Datenschutz und benötigt kein Internet. Ein Microsoft-Konto (Cloud-Konto) synchronisiert Einstellungen, Dateien und Apps via OneDrive über mehrere Geräte hinweg, erfordert jedoch eine Online-Verbindung. Microsoft drängt stark zur Cloud, doch lokale Optionen bleiben, besonders in Pro-Versionen, meist möglich.

Weiterhin gibt es noch die Unterscheidung zwischen einem Microsoft Konto (persönliches Konto) und einem M365 Konto, das für Arbeit, Uni oder Schule genutzt wird.

Join-Typen – Wie ist ein Gerät mit Entra ID verbunden?

Es gibt drei typische Varianten:

  1. Microsoft Entra ID Join (Azure AD Join / Entra ID Join)
    • Gerät ist vollständig mit eurem Entra‑Tenant verbunden.
    • Anmeldung mit Entra‑ID‑Konten (z. B. user@firma.de) direkt am Login-Screen möglich.
    • Verwaltung z. B. über Intune.
  2. Hybrid Joined (Hybrid Azure AD Join)
    • Gerät ist in der lokalen AD-Domäne und zusätzlich mit Entra ID verknüpft.
    • Anmeldung mit Domänenkonto (FIRMA\user oder user@firma.local) möglich; über die Hybrid-Verknüpfung werden die Geräte in Entra sichtbar.
  3. Nur MDM-Registrierung (nur Intune-Registrierung)
    • Gerät ist nicht „gejoint“, sondern nur zur Verwaltung registriert.
    • Wichtig: Hier ist keine interaktive Anmeldung mit Entra‑ID‑Konten möglich – nur Verwaltung (z. B. Richtlinien, Apps)

Prüfung auf dem Gerät (Windows 10/11):

  • Einstellungen > Konten > Auf Arbeits- oder Schulkonto zugreifen
    • Steht dort „Mit Entra ID verbunden“ → Entra ID Join
    • Steht dort „Mit der Domäne verbunden“ und in Entra taucht es als Hybridgerät auf → Hybrid Join
    • Steht nur „Verbunden“ unter „Auf Arbeits- oder Schulkonto zugreifen“, aber nicht „mit Entra ID verbunden“ → eher nur registriert (MDM)

Lokale administrative Verwaltung von Entra ID Joined Geräten

Wird eine Windows 11 Installation direkt mit einem Business-Konto eingerichtet, ist das Gerät Entra ID joined. Der Status kann unter entra.microsoft.com – Geräte überprüft werden. Dort sollte das Gerät nach EInrichtung erscheinen.

Ein Problem was jetzt auftauchen kann ist, dass man den PC nicht administrativ nicht verwalten kann, da die lokalen Admin Rechte fehlen. Ein lokaler Account wurde ja nicht angelegt.

Wenn Entra ID nicht für eine lokale administrative Verwaltung konfiguriert ist, sind Installationen und Änderungen am System nicht möglich. Um das zu verhindern, ist VOR dem Entra Join folgende Einstellung zu tätigen:

  • Entra ID Admin Center – Geräte – Geräteeinstellungen – Lokale Administratoreinstellungen – Rolle „globaler Administrator“ wird während des Microsoft Entra-Beitritts (Vorschau) als lokaler Administrator auf dem Gerät hinzugefügt – JA
  • zusätzlich muss der Benutzer der lokaler Admin werden soll in der Gruppe „Globaler Administrator“ oder „Microsoft Entra verknüpftes Gerät – lokaler Administrator“ sein
  • die Zuweisung erfolgt unter Entra ID – Benutzer – Benutzer auswählen – Zugewiesene Rollen

Falls es schon zu spät ist, kann es müsehlig sein das wieder hinzubiegen, da die Konfiguration nur einmalig beim Joinen des Gerätes ausgeführt wird. Als Option bleibt dann nur neu aufsetzen oder Gerät aus Entra ID entfernen und neu joinen, was aber zum Verlust von Profildaten auf dem lokalen Gerät führen kann.

Diesen Weg habe ich ausprobiert:

  • Gerät in Entra ID löschen
  • neu starten und mit M365 Account anmelden (Account ist jetzt Admin)
  • neuen lokalen Benutzer anlegen (als Admin)
    • Konten – Andere Benutzer – Konto hinzufügen – Ich kenne die Anmeldeinformation nicht… – Benutzer ohne Microsoft-Konto hinzufügen – Benutzer einrichten – anschließend Kontotyp des neu erstellten Benutzer auf Administrator ändern
  • zwar erscheint unter Konten noch der Eintrag das das Gerät Entra ID joined ist, aber es ist nicht mehr mit Entra verbunden, da wir es manuell gelöscht haben, deshalb muss das Konto getrennt und neu verbunden werden
    • M365 Konto vom PC trennen – Konten – Auf Arbeits- oder Schulkonto zugreifen – Dieses Konto trennen
    • mit lokalen Admin Konto anmelden
    • Konten – Auf Arbeits- oder Schulkonto zugreifen – Geschäfts-, Uni- oder Schulkonto hinzufügen – Verbinden
    • Alternative Aktionen: – Dieses Gerät mit Entra ID verknüpfen
    • Anmeldung mit M365 Konto
    • Gerät erscheint in Entra ID wieder als Microsoft Entra joined