Azure Active Directory: Häufig gestellte Fragen zur GeräteverwaltungAzure Active Directory device management FAQ

Allgemeine häufig gestellte FragenGeneral FAQ

F: Ich habe das Gerät vor Kurzem registriert.Q: I registered the device recently. Warum kann ich das Gerät nicht in meinen Benutzerinformationen im Azure-Portal sehen?Why can’t I see the device under my user info in the Azure portal? Oder warum ist der Gerätebesitzer für in Azure Active Directory (Azure AD) eingebundene Hybridgeräte als „N/V“ markiert?Or why is the device owner marked as N/A for hybrid Azure Active Directory (Azure AD) joined devices?

A: Windows 10-Geräte, die in Azure AD eingebundene Hybridgeräte sind, werden nicht unter den BENUTZER-Geräten angezeigt.A: Windows 10 devices that are hybrid Azure AD joined don't show up under USER devices. Verwenden Sie die Ansicht Alle Geräte im Azure-Portal.Use the All devices view in the Azure portal. Sie können auch das PowerShell-Cmdlet Get-MsolDevice verwenden.You can also use a PowerShell Get-MsolDevice cmdlet.

Nur die folgenden Geräte werden unter den BENUTZER-Geräten aufgeführt:Only the following devices are listed under USER devices:

  • Alle persönlichen Geräte, die keine in Azure AD eingebundenen Hybridgeräte sind.All personal devices that aren't hybrid Azure AD joined.
  • Alle Geräte, die keine Windows 10- oder Windows Server 2016-Geräte sind.All non-Windows 10 or Windows Server 2016 devices.
  • Alle Geräte ohne Windows.All non-Windows devices.

F: Wie ermittle ich den Geräteregistrierungsstatus des Clients?Q: How do I know what the device registration state of the client is?

A: Navigieren Sie im Azure-Portal zu Alle Geräte.A: In the Azure portal, go to All devices. Suchen Sie für das Gerät anhand der Geräte-ID.Search for the device by using the device ID. Überprüfen Sie den Wert in der Spalte „Jointyp“.Check the value under the join type column. Möglicherweise wurde das Gerät zurückgesetzt oder ein Reimaging durchgeführt.Sometimes, the device might be reset or reimaged. Daher ist es wichtig, den Geräteregistrierungsstatus auf dem Gerät zu überprüfen:So it's essential to also check the device registration state on the device:

  • Führen Sie für Geräte mit Windows 10, Windows Server 2016 oder höher dsregcmd.exe /status aus.For Windows 10 and Windows Server 2016 or later devices, run dsregcmd.exe /status.
  • Führen Sie für kompatible Betriebssystemversionen %programFiles%\Microsoft Workplace Join\autoworkplace.exe aus.For down-level OS versions, run %programFiles%\Microsoft Workplace Join\autoworkplace.exe.

A: Informationen zur Problembehandlung finden Sie in diesen Artikeln:A: For troubleshooting information, see these articles:


F: Der Gerätedatensatz wird in meinen Benutzerinformationen im Azure-Portal angezeigt.Q: I see the device record under the USER info in the Azure portal. Und ich sehe den Status als auf dem Gerät registriert.And I see the state as registered on the device. Sind diese Einstellungen für den bedingten Zugriff richtig?Am I set up correctly to use Conditional Access?

A: Der Verknüpfungsstatus des Geräts, der unter deviceID angezeigt wird, muss mit dem Status in Azure AD übereinstimmen und alle Bewertungskriterien für bedingten Zugriff erfüllen.A: The device join state, shown by deviceID, must match the state on Azure AD and meet any evaluation criteria for Conditional Access. Weitere Informationen finden Sie unter Vorschreiben der Verwendung verwalteter Geräte für den Zugriff auf Cloud-Apps mithilfe des bedingten Zugriffs.For more information, see Require managed devices for cloud app access with Conditional Access.


F: Warum sehen meine Benutzer auf ihren Windows 10-Geräten eine Fehlermeldung, die besagt, dass die Organisation das Gerät gelöscht oder deaktiviert hat?Q: Why do my users see an error message saying "Your organization has deleted the device" or "Your organization has disabled the device" on their Windows 10 devices ?

A: Benutzer erhalten auf Windows 10-Geräten, die in Azure AD eingebunden oder registriert sind, ein Primäres Aktualisierungstoken (Primary Refresh Token, PRT), das das einmalige Anmelden ermöglicht.A: On Windows 10 devices joined or registered with Azure AD, users are issued a Primary refresh token (PRT) which enables single sign on. Die Gültigkeit des PRT basiert auf der Gültigkeit des Geräts selbst.The validity of the PRT is based on the validaity of the device itself. Benutzern wird diese Meldung angezeigt, wenn das Gerät in Azure AD entweder gelöscht oder deaktiviert wurde, ohne dass die Aktion vom Gerät selbst initiiert wurde.Users see this message if the device is either deleted or disabled in Azure AD without initiating the action from the device itself. Ein Gerät kann in einem der folgenden Szenarien in Azure AD gelöscht oder deaktiviert werden:A device can be deleted or disabled in Azure AD one of the following scenarios:

  • Der Benutzer deaktiviert das Gerät im Meine Apps-Portal.User disables the device from the My Apps portal.
  • Ein Administrator (oder Benutzer) löscht oder deaktiviert das Gerät im Azure-Portal oder über PowerShell.An administrator (or user) deletes or disables the device in the Azure portal or by using PowerShell
  • Nur in Azure AD Hybrid eingebundene Geräte: Ein Administrator entfernt die Geräte-OE aus dem Synchronisierungsbereich, was dazu führt, dass die Geräte aus Azure AD gelöscht werden.Hybrid Azure AD joined only: An administrator removes the devices OU out of sync scope resulting in the devices being deleted from Azure AD

Weiter unten finden Sie Informationen dazu, wie diese Aktionen korrigiert werden können.See below on how these actions can be rectified.


F: Ich habe mein Gerät im Azure-Portal oder mithilfe von Windows PowerShell deaktiviert oder gelöscht.Q: I disabled or deleted my device in the Azure portal or by using Windows PowerShell. Laut lokalem Status auf dem Gerät ist es aber immer noch registriert.But the local state on the device says it's still registered. Wie sollte ich vorgehen?What should I do?

A: Dieser Vorgang ist von vornherein vorgesehen.A: This operation is by design. In diesem Fall hat das Gerät keinen Zugriff auf Ressourcen in der Cloud.In this case, the device doesn't have access to resources in the cloud. Administratoren können diese Aktion für veraltete, verlorene oder gestohlene Geräte ausführen, um nicht autorisierten Zugriff zu verhindern.Administrators can perform this action for stale, lost or stolen devices to prevent unauthorized access. Wenn diese Aktion unbeabsichtigt ausgeführt wurde, müssen Sie das Gerät erneut aktivieren oder registrieren, wie unten beschrieben.If this action was performed unintentionally, you'll need to re-enable or re-register the device as described below

  • Wenn das Gerät in Azure AD deaktiviert wurde, kann ein Administrator mit ausreichenden Berechtigungen es über das Azure AD-Portal wieder aktivieren.If the device was disabled in Azure AD, an administrator with sufficient privileges can enable it from the Azure AD portal

    Hinweis

    Wenn Sie Geräte mithilfe von Azure AD Connect synchronisieren, werden in Azure AD Hybrid eingebundene Geräte beim nächsten Synchronisierungszyklus automatisch erneut aktiviert.If you are syncing devices using Azure AD Connect, hybrid Azure AD joined devices will be automatically re-enabled during the next sync cycle. Wenn Sie ein in Azure AD Hybrid eingebundenes Gerät deaktivieren möchten, müssen Sie es daher in der lokalen AD-Instanz deaktivieren.So, if you need to disable a hybrid Azure AD joined device, you need to disable it from your on-premises AD

  • Wenn das Gerät in Azure AD gelöscht wurde, müssen Sie es neu registrieren.If the device is deleted in Azure AD, you need to re-register the device. Zur erneuten Registrierung müssen Sie eine manuelle Aktion auf dem Gerät durchführen.To re-register, you must take a manual action on the device. Anweisungen zur erneuten Registrierung basierend auf dem Gerätestatus finden Sie unten.See below for instructions for re-registration based on the device state.

    Um in Azure AD Hybrid eingebundene Windows 10- und Windows Server 2016/2019-Geräte erneut zu registrieren, führen Sie die folgenden Schritte aus:To re-register hybrid Azure AD joined Windows 10 and Windows Server 2016/2019 devices, take the following steps:

    1. Öffnen Sie die Eingabeaufforderung als Administrator.Open the command prompt as an administrator.
    2. Geben Sie dsregcmd.exe /debug /leave ein.Enter dsregcmd.exe /debug /leave.
    3. Melden Sie sich ab und erneut an, um den geplanten Task auszulösen, der das Gerät erneut in Azure AD registriert.Sign out and sign in to trigger the scheduled task that registers the device again with Azure AD.

    Gehen Sie bei kompatiblen Windows-Betriebssystemversionen, die in Azure AD Hybrid eingebunden sind, folgendermaßen vor:For down-level Windows OS versions that are hybrid Azure AD joined, take the following steps:

    1. Öffnen Sie die Eingabeaufforderung als Administrator.Open the command prompt as an administrator.
    2. Geben Sie "%programFiles%\Microsoft Workplace Join\autoworkplace.exe /l" ein.Enter "%programFiles%\Microsoft Workplace Join\autoworkplace.exe /l".
    3. Geben Sie "%programFiles%\Microsoft Workplace Join\autoworkplace.exe /j" ein.Enter "%programFiles%\Microsoft Workplace Join\autoworkplace.exe /j".

    Gehen Sie bei in Azure AD eingebundenen Windows 10-Geräten folgendermaßen vor:For Azure AD joined devices Windows 10 devices, take the following steps:

    1. Öffnen Sie die Eingabeaufforderung als Administrator.Open the command prompt as an administrator
    2. Geben Sie dsregcmd /forcerecovery ein (Hinweis: Sie müssen Administrator sein, um diese Aktion auszuführen).Enter dsregcmd /forcerecovery (Note: You need to be an administrator to perform this action).
    3. Klicken Sie im angezeigten Dialogfeld auf „Anmelden“, und fahren Sie mit dem Anmeldevorgang fort.Click "Sign in" in the dialog that opens up and continue with the sign in process.
    4. Melden Sie sich vom Gerät ab, und melden Sie sich erneut an, um die Wiederherstellung abzuschließen.Sign out and sign in back to the device to complete the recovery.

    Gehen Sie bei in Azure AD registrierten Windows 10-Geräten folgendermaßen vor:For Azure AD registered Windows 10 devices, take the following steps:

    1. Wechseln Sie zu Einstellungen > Konten > Auf Geschäfts-, Schul- oder Unikonto zugreifen.Go to Settings > Accounts > Access Work or School.
    2. Wählen Sie das Konto aus, und klicken Sie auf Trennen.Select the account and select Disconnect.
    3. Klicken Sie auf „+ Verbinden“, und registrieren Sie das Gerät erneut, indem Sie den Anmeldevorgang durchlaufen.Click on "+ Connect" and register the device again by going through the sign in process.

F: Warum sehe ich doppelte Geräteeinträge im Azure-Portal?Q: Why do I see duplicate device entries in the Azure portal?

A:A:

  • Wenn unter Windows 10 und Windows Server 2016 wiederholt versucht wird, dasselbe Gerät zu entfernen und erneut hinzuzufügen, können doppelte Einträge auftreten.For Windows 10 and Windows Server 2016, repeated tries to unjoin and rejoin the same device might cause duplicate entries.
  • Jeder Windows-Benutzer, der Geschäfts-, Schul- oder Unikonto hinzufügen verwendet, erstellt einen neuen Gerätedatensatz mit demselben Gerätenamen.Each Windows user who uses Add Work or School Account creates a new device record with the same device name.
  • Für kompatible Windows-Versionen, die über die automatische Registrierung in die lokale Active Directory-Domäne eingebunden sind, wird ein neuer Gerätedatensatz mit demselben Gerätenamen für jeden Domänenbenutzer erstellt, der sich beim Gerät anmeldet.For down-level Windows OS versions that are on-premises Azure Directory domain joined, automatic registration creates a new device record with the same device name for each domain user who signs in to the device.
  • Ein in Azure AD eingebundener Computer, der gelöscht, neu installiert und mit demselben Namen wieder eingebunden wurde, wird als anderer Datensatz mit demselben Gerätenamen angezeigt.An Azure AD joined machine that's wiped, reinstalled, and rejoined with the same name shows up as another record with the same device name.

F: Unterstützt die Windows 10-Geräteregistrierung in Azure AD TPMs im FIPS-Modus?Q: Does Windows 10 device registration in Azure AD support TPMs in FIPS mode?

A: Nein. Derzeit unterstützt die Geräteregistrierung unter Windows 10 für alle Gerätezustände – Azure AD Hybrid Join, Azure AD Join und Azure AD Registered – keine TPMs im FIPS-Modus.A: No, currently device registration on Windows 10 for all device states - Hybrid Azure AD join, Azure AD join, and Azure AD registered - does not support TPMs in FIPS mode. Für eine erfolgreiche Anmeldung oder Registrierung bei Azure AD muss der FIPS-Modus für die TPMs auf diesen Geräten deaktiviert werden.To successfully join or register to Azure AD, FIPS mode needs to be turned off for the TPMs on those devices


F: Warum kann ein Benutzer weiterhin Ressourcen von einem Gerät aufrufen, das ich im Azure-Portal deaktiviert habe?Q: Why can a user still access resources from a device I disabled in the Azure portal?

A: Ab dem Zeitpunkt, an dem das Azure AD-Gerät als deaktiviert gekennzeichnet wird, dauert es bis zu einer Stunde, bis ein Widerruf angewendet wird.A: It takes up to an hour for a revoke to be applied from the time the Azure AD device is marked as disabled.

Hinweis

Für registrierte Geräte wird empfohlen, das Gerät zu löschen, um sicherzustellen, dass Benutzer nicht auf die Ressourcen zugreifen können.For enrolled devices, we recommend that you wipe the device to make sure users can't access the resources. Weitere Informationen finden Sie unter Was ist die Geräteregistrierung?.For more information, see What is device enrollment?.


F: Warum sind im Azure-Portal in der Spalte „REGISTRIERT“ Geräte als „Ausstehend“ gekennzeichnet?Q: Why are there devices marked as "Pending" under the REGISTERED column in the Azure portal?

A: „Ausstehend“ gibt an, dass das Gerät nicht registriert ist.A: Pending indicates the device is not registered. Dieser Status gibt an, dass ein Gerät mithilfe von Azure AD Connect von der lokalen AD-Instanz synchronisiert wurde und für die Geräteregistrierung bereit ist.This state indicates that a device has been synchronized using Azure AD connect from on-premises AD and is ready for device registration. Der Verknüpfungstyp von Geräten mit diesem Status ist auf „In Hybrid-Azure AD eingebunden“ festgelegt.These device have the JOIN TYPE set to "Hybrid Azure AD joined". Weitere Informationen finden Sie unter Planen der Implementierung einer Azure Active Directory-Hybrideinbindung.Learn more on how to plan your hybrid Azure Active Directory join implementation.

Hinweis

Der Status eines Geräts kann sich auch von „Registriert“ in „Ausstehend“ ändern:A device can also change from having a registered state to "Pending"

  • Wenn ein Gerät zuerst aus Azure AD gelöscht und dann von der lokalen AD-Instanz erneut synchronisiert wird.If a device is deleted and from Azure AD first and re-synchronized from on-premises AD.
  • Wenn ein Gerät aus einem Synchronisierungsbereich in Azure AD Connect entfernt und wieder hinzugefügt wird.If a device is removed from a sync scope on Azure AD Connect and added back.

In beiden Fällen müssen Sie das Gerät auf jedem dieser Geräte manuell erneut registrieren.In both cases, you must re-register the device manually on each of these devices. Um zu überprüfen, ob das Gerät zuvor registriert wurde, können Sie eine Problembehandlung von Geräten mit dem Befehl „dsregcmd“ ausführen.To review whether the device was previously registered, you can troubleshoot devices using the dsregcmd command.


Häufig gestellte Fragen zu Azure AD JoinAzure AD join FAQ

F: Wie entferne ich ein in Azure AD eingebundenes Gerät lokal auf dem Gerät?Q: How do I unjoin an Azure AD joined device locally on the device?

A: Stellen Sie bei ausschließlich in Azure AD eingebundenen Geräten sicher, dass Sie über ein lokales Offlineadministratorkonto verfügen.A: For pure Azure AD joined devices, make sure you have an offline local administrator account or create one. Sie können sich nicht mit Ihren Azure AD-Anmeldeinformationen anmelden.You can't sign in with any Azure AD user credentials. Navigieren Sie als Nächstes zu Einstellungen > Konten > Auf Geschäfts-, Schul- oder Unikonto zugreifen.Next, go to Settings > Accounts > Access Work or School. Wählen Sie Ihr Konto aus, und klicken Sie auf Trennen.Select your account and select Disconnect. Befolgen Sie die Anweisungen, und geben Sie die Anmeldeinformationen für den lokalen Administrator an, wenn Sie aufgefordert werden.Follow the prompts and provide the local administrator credentials when prompted. Starten Sie das Gerät neu, um den Vorgang zur Aufhebung einer Einbindung abzuschließen.Reboot the device to finish the unjoin process.


F: Können sich meine Benutzer bei in Azure AD eingebundenen Geräten anmelden, die in Azure AD gelöscht oder deaktiviert wurden?Q: Can my users' sign in to Azure AD joined devices that are deleted or disabled in Azure AD?

A: Ja.A: Yes. Windows verfügt über eine Zwischenspeicherfunktion für Benutzernamen und Kennwörter, die es Benutzern, die sich zuvor angemeldet haben, ermöglicht, auch ohne Netzwerkverbindung schnell auf den Desktop zuzugreifen.Windows has a cached username and password capability that allows users who signed in previously to access the desktop quickly even without network connectivity.

Ein in Azure AD gelöschtes oder deaktiviertes Gerät wird vom Windows-Gerät nicht erkannt.When a device is deleted or disabled in Azure AD, it's not known to the Windows device. Benutzer, die sich zuvor angemeldet haben, greifen also weiterhin mit dem im Cache gespeicherten Benutzernamen und Kennwort auf den Desktop zu.So users who signed in previously continue to access the desktop with the cached username and password. Wenn das Gerät gelöscht oder deaktiviert wird, können die Benutzer aber nicht auf Ressourcen zugreifen, die durch den gerätebasierten bedingten Zugriff geschützt sind.But as the device is deleted or disabled, users can't access any resources protected by device-based Conditional Access.

Benutzer, die sich zuvor nicht angemeldet haben, können nicht auf das Gerät zugreifen.Users who didn't sign in previously can't access the device. Es wurde kein zwischengespeicherter Benutzernamen oder Kennwort für sie aktiviert.There's no cached username and password enabled for them.


F: Kann sich ein deaktivierter oder gelöschter Benutzer bei in Azure AD eingebundenen Geräten anmelden?Q: Can a disabled or deleted user sign in to an Azure AD joined devices

A: Ja, aber nur für einen begrenzten Zeitraum.A: Yes, but only for a limited time. Ein in Azure AD gelöschter oder deaktivierter Benutzer wird vom Windows-Gerät nicht sofort erkannt.When a user is deleted or disabled in Azure AD, it's not immediately known to the Windows device. Benutzer, die sich zuvor angemeldet haben, greifen also mit dem im Cache gespeicherten Benutzernamen und Kennwort auf den Desktop zu.So users who signed in previously can access the desktop with the cached username and password.

In der Regel ist das Gerät in weniger als vier Stunden über den Benutzerstatus informiert.Typically, the device is aware of the user state in less than four hours. Dann blockiert Windows den Zugriff dieser Benutzer auf den Desktop.Then Windows blocks those users' access to the desktop. Wie der Benutzer gelöscht oder in Azure AD deaktiviert ist, werden alle seine Token widerrufen.As the user is deleted or disabled in Azure AD, all their tokens are revoked. Daher kann der Benutzer auf keine Ressourcen mehr zugreifen.So they can't access any resources.

Gelöschte oder deaktivierte Benutzer, die sich zuvor nicht angemeldet haben, können nicht auf das Gerät zugreifen.Deleted or disabled users who didn't sign in previously can't access a device. Es wurde kein zwischengespeicherter Benutzernamen oder Kennwort für sie aktiviert.There's no cached username and password enabled for them.


F: Warum haben meine Benutzer nach dem Ändern des UPN Probleme mit in Azure AD eingebundenen Geräten?Q: Why do my users have issues on Azure AD joined devices after changing their UPN?

A: Derzeit werden UPN-Änderungen nicht vollständig auf in Azure AD eingebundenen Geräten unterstützt.A: Currently, UPN changes are not fully supported on Azure AD joined devices. Also tritt bei der Authentifizierung mit Azure AD nach den UPN-Änderungen ein Fehler auf.So their authentication with Azure AD fails after their UPN changes. Infolgedessen haben Benutzer Probleme mit SSO und bedingtem Zugriff auf ihren Geräten.As a result, users have SSO and Conditional Access issues on their devices. Zu diesem Zeitpunkt müssen sich die Benutzer über die Kachel „Anderer Benutzer“ mit ihrem neuen UPN bei Windows anmelden, um dieses Problem zu lösen.At this time, users need to sign in to Windows through the "Other user" tile using their new UPN to resolve this issue. Wir arbeiten derzeit an einer Lösung für das Problem.We are currently working on addressing this issue. Allerdings tritt das Problem bei Benutzern, die sich mit Windows Hello for Business anmelden, nicht auf.However, users signing in with Windows Hello for Business do not face this issue.


F: Meine Benutzer können über in Azure AD eingebundene Geräte keine Drucker suchen.Q: My users can't search printers from Azure AD joined devices. Wie kann ich das Drucken über diese Geräte aktivieren?How can I enable printing from those devices?

A: Informationen zum Bereitstellen von Druckern für in Azure AD eingebundene Geräte finden Sie unter Bereitstellen von Windows Server Hybrid Cloud Print mit Vorauthentifizierung.A: To deploy printers for Azure AD joined devices, see Deploy Windows Server Hybrid Cloud Print with Pre-Authentication. Sie benötigen einen lokalen Windows-Server, um das Drucken in Hybrid Clouds bereitzustellen.You need an on-premises Windows Server to deploy hybrid cloud print. Aktuell ist kein cloudbasierter Druckdienst verfügbar.Currently, cloud-based print service isn't available.


F: Wie kann ich eine Verbindung mit einem in Azure AD eingebundenen Remotegerät herstellen?Q: How do I connect to a remote Azure AD joined device?

A: Informationen finden Sie unter Herstellen einer Verbindung mit einem in Azure AD eingebundenen Remotecomputer.A: See Connect to remote Azure Active Directory-joined PC.


F: Warum wird meinen Benutzern angezeigt: Von hier aus haben Sie darauf keinen Zugriff?Q: Why do my users see You can’t get there from here?

A: Haben Sie bestimmte Regeln für bedingten Zugriff konfiguriert, um einen bestimmten Gerätestatus zu erzwingen?A: Did you configure certain Conditional Access rules to require a specific device state? Wenn das Gerät die Kriterien nicht erfüllt, wird der Benutzer blockiert und diese Meldung angezeigt.If the device doesn't meet the criteria, users are blocked, and they see that message. Überprüfen Sie die Regeln für die Richtlinie für bedingten Zugriff.Evaluate the Conditional Access policy rules. Stellen Sie sicher, dass das Gerät die Kriterien erfüllt, um die Meldung zu vermeiden.Make sure the device meets the criteria to avoid the message.


F: Warum erhalten einige Benutzer in keine Azure Multi-Factor Authentication-Eingabeaufforderungen auf in Azure AD eingebundenen Geräten?Q: Why don't some of my users get Azure Multi-Factor Authentication prompts on Azure AD joined devices?

A: Ein Benutzer kann ein Gerät mit Multi-Factor Authentication in Azure AD einbinden oder registrieren.A: A user might join or register a device with Azure AD by using Multi-Factor Authentication. Dann wird das Gerät zu einem vertrauenswürdigen zweiten Faktor für diesen Benutzer.Then the device itself becomes a trusted second factor for that user. Wann immer sich derselbe Benutzer bei dem Gerät anmeldet und auf eine Anwendung zugreift, betrachtet Azure AD das Gerät als einen zweiten Faktor.Whenever the same user signs in to the device and accesses an application, Azure AD considers the device as a second factor. Es ermöglicht dem Benutzer den nahtlosen Zugriff auf Anwendungen ohne zusätzliche Multi-Factor Authentication-Eingabeaufforderungen.It enables that user to seamlessly access applications without additional Multi-Factor Authentication prompts.

Dieses Verhalten:This behavior:

  • Gilt für in Azure AD eingebundene und bei Azure AD registrierte Geräte, jedoch nicht für über Azure AD Hybrid Join eingebundene Geräte.Is applicable to Azure AD joined and Azure AD registered devices - but not for hybrid Azure AD joined devices.
  • Gilt nicht für andere Benutzer, die sich bei diesem Gerät anmelden.Isn't applicable to any other user who signs in to that device. So erhalten alle anderen Benutzer, die auf dieses Gerät zugreifen, eine Multi-Factor Authentication.So all other users who access that device get a Multi-Factor Authentication challenge. Dann können sie auf Anwendungen zugreifen, für die Multi-Factor Authentication erforderlich ist.Then they can access applications that require Multi-Factor Authentication.

F: Warum wird die Meldung Benutzername oder Kennwort ist falsch für ein Gerät angezeigt, das ich vor Kurzem in Azure AD eingebunden habe?Q: Why do I get a username or password is incorrect message for a device I just joined to Azure AD?

A: Häufige Ursachen für dieses Szenario sind:A: Common reasons for this scenario are as follows:

  • Ihre Benutzeranmeldeinformationen sind nicht mehr gültig.Your user credentials are no longer valid.
  • Ihr Computer kann nicht mit Azure Active Directory kommunizieren.Your computer can't communicate with Azure Active Directory. Suchen Sie nach Netzwerkkonnektivitätsproblemen.Check for any network connectivity issues.
  • Für Verbundanmeldungen muss der Verbundserver aktive und zugängliche WS-Trust-Endpunkte unterstützen.Federated sign-ins require your federation server to support WS-Trust endpoints that are enabled and accessible.
  • Sie haben die Passthrough-Authentifizierung aktiviert.You enabled pass-through authentication. Daher muss Ihr temporäres Kennwort geändert werden, wenn Sie sich anmelden.So your temporary password needs to be changed when you sign in.

F: Warum wird das Dialogfeld Entschuldigung... Es ist ein Fehler aufgetreten!Q: Why do I see the Oops… an error occurred! angezeigt, wenn ich versuche, in Azure AD meinen PC einzubinden?dialog when I try to Azure AD join my PC?

A: Dieser Fehler tritt bei der Einrichtung der Azure Active Directory-Registrierung bei Intune auf.A: This error happens when you set up Azure Active Directory enrollment with Intune. Stellen Sie sicher, dass dem Benutzer, der ein Einbinden in Azure AD versucht, die richtige Intune-Lizenz zugewiesen wurde.Make sure that the user who tries to Azure AD join has the correct Intune license assigned. Weitere Informationen finden Sie unter Einrichten der Registrierung für Windows-Geräte.For more information, see Set up enrollment for Windows devices.


F: Warum konnte ich meinen PC nicht in Azure AD einbinden, obwohl ich keine Fehlerinformationen erhalten habe?Q: Why did my attempt to Azure AD join a PC fail, although I didn't get any error information?

A: Wahrscheinlich haben Sie sich mit dem lokalen integrierten Administratorkonto beim Gerät angemeldet.A: A likely cause is that you signed in to the device by using the local built-in administrator account. Erstellen Sie ein anderes lokales Konto, bevor Sie Azure Active Directory Join verwenden, um die Einrichtung abzuschließen.Create a different local account before you use Azure Active Directory join to finish the setup.


F: Welche MS-Organisation-P2P-Access-Zertifikate sind auf unseren Windows 10-Geräten vorhanden?Q:What are the MS-Organization-P2P-Access certificates present on our Windows 10 devices?

A: Die MS-Organisation-P2P-Access-Zertifikate werden von Azure AD sowohl für in Azure AD eingebundene Geräte als auch für in Azure AD eingebundene Hybridgeräte ausgestellt.A: The MS-Organization-P2P-Access certificates are issued by Azure AD to both, Azure AD joined and hybrid Azure AD joined devices. Diese Zertifikate werden verwendet, um die Vertrauensstellung zwischen Geräten desselben Mandanten für Remotedesktopszenarien zu ermöglichen.These certificates are used to enable trust between devices in the same tenant for remote desktop scenarios. Ein Zertifikat wird für das Gerät und ein weiteres für den Benutzer ausgestellt.One certificate is issued to the device and another is issued to the user. Das Gerätezertifikat befindet sich in Local Computer\Personal\Certificates und gilt für einen Tag.The device certificate is present in Local Computer\Personal\Certificates and is valid for one day. Dieses Zertifikat wird erneuert (durch Ausstellung eines neuen Zertifikats), wenn das Gerät noch in Azure AD aktiv ist.This certificate is renewed (by issuing a new certificate) if the device is still active in Azure AD. Das Benutzerzertifikat befindet sich in Current User\Personal\Certificates und dieses Zertifikat ist ebenfalls für einen Tag gültig, wird aber auf Anfrage ausgestellt, wenn ein Benutzer eine Remotedesktopsitzung mit einem anderen in Azure AD eingebundenen Gerät versucht.The user certificate is present in Current User\Personal\Certificates and this certificate is also valid for one day, but it is issued on-demand when a user attempts a remote desktop session to another Azure AD joined device. Es wird bei Ablauf nicht erneuert.It is not renewed on expiry. Beide Zertifikate werden über das MS-Organisation-P2P-Access-Zertifikat in Local Computer\AAD Token Issuer\Certificates ausgegeben.Both these certificates are issued using the MS-Organization-P2P-Access certificate present in the Local Computer\AAD Token Issuer\Certificates. Dieses Zertifikat wird von Azure AD bei der Registrierung des Geräts ausgegeben.This certificate is issued by Azure AD during device registration.


F: Warum sehe ich mehrere abgelaufene Zertifikate, die von MS-Organisation-P2P-Access auf unseren Windows 10-Geräten ausgestellt wurden?Q:Why do I see multiple expired certificates issued by MS-Organization-P2P-Access on our Windows 10 devices? Wie kann ich diese löschen?How can I delete them?

A: Es wurde ein Problem unter Windows 10 Version 1709 und niedriger festgestellt, bei dem abgelaufene MS-Organisation-P2P-Access-Zertifikate aufgrund von kryptographischen Problemen weiterhin im Computerspeicher vorhanden waren.A: There was an issue identified on Windows 10 version 1709 and lower where expired MS-Organization-P2P-Access certificates continued to exist on the computer store because of cryptographic issues. Für Ihre Benutzer kann es unter Umständen zu Problemen mit der Netzwerkkonnektivität kommen, wenn Sie VPN-Clients (z. B. Cisco AnyConnect) verwenden, die die große Anzahl abgelaufener Zertifikate nicht verarbeiten können.Your users could face issues with network connectivity, if you are using any VPN clients (for example, Cisco AnyConnect) that cannot handle the large number of expired certificates. Dieses Problem wurde in der Version Windows 10 1803 behoben, um solche abgelaufenen MS-Organisation-P2P-Access-Zertifikate automatisch zu löschen.This issue was fixed in Windows 10 1803 release to automatically delete any such expired MS-Organization-P2P-Access certificates. Sie können dieses Problem beheben, indem Sie Ihre Geräte auf Windows 10 1803 aktualisieren.You can resolve this issue by updating your devices to Windows 10 1803. Wenn Sie nicht aktualisieren können, können Sie diese Zertifikate ohne negative Auswirkungen löschen.If you are unable to update, you can delete these certificates without any adverse impact.


Häufig gestellte Fragen zu Azure AD Hybrid JoinHybrid Azure AD join FAQ

F: Wie hebe ich die Einbindung eines in Azure AD Hybrid eingebundenen Geräts lokal auf dem Gerät auf?Q: How do I unjoin a Hybrid Azure AD joined device locally on the device?

A: Für in Azure AD eingebundene Hybridgeräte muss die automatische Registrierung deaktiviert sein.A: For hybrid Azure AD joined devices, make sure to turn off automatic registration. Der geplante Task registriert das Gerät also nicht erneut.Then the scheduled task doesn't register the device again. Öffnen Sie als nächstes die Eingabeaufforderung als Administrator, und geben Sie dsregcmd.exe /debug /leave ein.Next, open a command prompt as an administrator and enter dsregcmd.exe /debug /leave. Oder führen Sie diesen Befehl als Skript für mehrere Geräte aus, um die Einbindung für diese Geräte gleichzeitig aufzuheben.Or run this command as a script across several devices to unjoin in bulk.

F: Wo finde ich Problembehandlungsinformationen für die Diagnose von Azure AD Hybrid Join-Fehlern?Q: Where can I find troubleshooting information to diagnose hybrid Azure AD join failures?

A: Informationen zur Problembehandlung finden Sie in diesen Artikeln:A: For troubleshooting information, see these articles:

F: Warum wird in der Liste mit den Azure AD-Geräten für mein in Azure AD eingebundenes Windows 10-Hybridgerät ein doppelter Azure AD-Registrierungseintrag angezeigt?Q: Why do I see a duplicate Azure AD registered record for my Windows 10 hybrid Azure AD joined device in the Azure AD devices list?

A: Wenn Benutzer ihr Konto den Apps auf einem in die Domäne eingebundenen Gerät hinzufügen, wird ggf. eine Frage der Art Soll das Konto Windows hinzugefügt werden? angezeigt.A: When your users add their accounts to apps on a domain-joined device, they might be prompted with Add account to Windows? Wenn Sie in der Eingabeaufforderung Ja eingeben, wird das Gerät in Azure AD registriert.If they enter Yes on the prompt, the device registers with Azure AD. Der Vertrauenstyp wird als in Azure AD registriert gekennzeichnet.The trust type is marked as Azure AD registered. Nachdem Sie Azure AD Hybrid Join in Ihrer Organisation aktiviert haben, wird das Gerät auch in die Azure AD-Hybridumgebung eingebunden.After you enable hybrid Azure AD join in your organization, the device also gets hybrid Azure AD joined. Dann werden zwei Gerätestatus für dasselbe Gerät angezeigt.Then two device states show up for the same device.

Azure AD Hybrid Join hat Vorrang vor dem Azure AD-Registrierungsstatus.Hybrid Azure AD join takes precedence over the Azure AD registered state. Ihr Gerät wird also für alle Auswertungen in Bezug auf die Authentifizierung und den bedingten Zugriff als Azure AD-Hybrideinbindung angesehen.So your device is considered hybrid Azure AD joined for any authentication and Conditional Access evaluation. Sie können den Azure AD-Registrierungseintrag für das Gerät daher ohne Weiteres aus dem Azure AD-Portal löschen.You can safely delete the Azure AD registered device record from the Azure AD portal. Erfahren Sie mehr zum Vermeiden oder Bereinigen dieses zweifachen Status auf einem Windows 10-Computer.Learn to avoid or clean up this dual state on the Windows 10 machine.


F: Warum haben meine Benutzer nach dem Ändern des UPN Probleme mit in Azure AD eingebundenen Windows 10-Hybridgeräten?Q: Why do my users have issues on Windows 10 hybrid Azure AD joined devices after changing their UPN?

A: Derzeit werden UPN-Änderungen nicht vollständig auf in Azure AD eingebundenen Hybridgeräten unterstützt.A: Currently UPN changes are not fully supported with hybrid Azure AD joined devices. Benutzer können sich zwar am Gerät anmelden und auf ihre lokalen Anwendungen zugreifen, bei der Authentifizierung mit Azure AD tritt nach einer UPN-Änderung aber ein Fehler auf.While users can sign in to the device and access their on-premises applications, authentication with Azure AD fails after a UPN change. Infolgedessen haben Benutzer Probleme mit SSO und bedingtem Zugriff auf ihren Geräten.As a result, users have SSO and Conditional Access issues on their devices. Derzeit müssen Sie das Gerät von Azure AD trennen (führen Sie „dsregcmd /leave“ mit erhöhten Rechten aus) und sich wieder anmelden (geschieht automatisch), um das Problem zu lösen.At this time, you need to unjoin the device from Azure AD (run "dsregcmd /leave" with elevated privileges) and rejoin (happens automatically) to resolve the issue. Wir arbeiten derzeit an einer Lösung für das Problem.We are currently working on addressing this issue. Allerdings tritt das Problem bei Benutzern, die sich mit Windows Hello for Business anmelden, nicht auf.However, users signing in with Windows Hello for Business do not face this issue.


F: Benötigen Azure AD Hybrid Join-Geräte unter Windows 10 Sichtverbindung zum Domänencontroller, um auf die Ressourcen in der Cloud zugreifen zu können?Q: Do Windows 10 hybrid Azure AD joined devices require line of sight to the domain controller to get access to cloud resources?

A: Nein, außer wenn das Kennwort des Benutzers geändert wird.A: No, except when the user's password is changed. Nachdem die Einrichtung von Azure AD Hybrid Join unter Windows 10 abgeschlossen wurde und sich der Benutzer mindestens einmal angemeldet hat, benötigt das Gerät keine Sichtverbindung zum Domänencontroller, um auf die Cloudressourcen zuzugreifen.After Windows 10 hybrid Azure AD join is complete, and the user has signed in at least once, the device doesn't require line of sight to the domain controller to access cloud resources. Windows 10 kann das einmalige Anmelden bei Azure AD-Anwendungen für jeden beliebigen Standort mit Internetverbindung einrichten, solange kein Kennwort geändert wird.Windows 10 can get single sign-on to Azure AD applications from anywhere with an internet connection, except when a password is changed. Für Benutzer, die sich mit Windows Hello for Business anmelden, ist selbst nach einer Kennwortänderung weiterhin das einmalige Anmelden bei Azure AD-Anwendungen verfügbar, auch wenn sie keine Sichtverbindung zu ihrem Domänencontroller haben.Users who sign in with Windows Hello for Business continue to get single sign-on to Azure AD applications even after a password change, even if they don't have line of sight to their domain controller.


F: Was passiert, wenn ein Benutzer sein Kennwort ändert und versucht, sich bei seinem in Azure AD eingebundenen Windows 10-Hybridgerät außerhalb des Unternehmensnetzwerks anzumelden?Q: What happens if a user changes their password and tries to login to their Windows 10 hybrid Azure AD joined device outside the corporate network?

A: Wenn ein Kennwort außerhalb des Unternehmensnetzwerks geändert wird (z. B. durch die Verwendung von Azure AD SSPR), schlägt die Benutzeranmeldung mit dem neuen Kennwort fehl.A: If a password is changed outside the corporate network (for example, by using Azure AD SSPR), then the user sign in with the new password will fail. Für in Azure AD eingebundene Hybridgeräte ist das lokale Active Directory die primäre Autorität.For hybrid Azure AD joined devices, on-premises Active Directory is the primary authority. Wenn ein Gerät sich nicht in Sichtweite des Domänencontrollers befindet, kann es das neue Kennwort nicht validieren.When a device does not have line of sight to the domain controller, it is unable to validate the new password. Daher muss der Benutzer eine Verbindung mit dem Domänencontroller herstellen (entweder über VPN oder im Unternehmensnetzwerk), bevor er sich mit seinem neuen Kennwort bei dem Gerät anmelden kann.So, user needs to establish connection with the domain controller (either via VPN or being in the corporate network) before they're able to sign in to the device with their new password. Andernfalls kann er sich aufgrund der zwischengespeicherten Anmeldung in Windows nur mit seinem alten Kennwort anmelden.Otherwise, they can only sign in with their old password because of cached sign in capability in Windows. Das alte Kennwort wird bei Tokenanforderungen von Azure AD aber ungültig gemacht. Auf diese Weise wird die SSO-Anmeldung verhindert, und alle gerätebasierten Richtlinien für bedingten Zugriff schlagen fehl.However, the old password is invalidated by Azure AD during token requests and hence, prevents single sign-on and fails any device-based Conditional Access policies. Dieses Problem tritt nicht auf, wenn Sie Windows Hello for Business verwenden.This issue doesn't occur if you use Windows Hello for Business.


Häufig gestellte Fragen zur Azure AD-RegistrierungAzure AD register FAQ

F: Wie entferne ich für ein lokales Gerät die Registrierung bei Azure AD?Q: How do I remove an Azure AD registered state for a device locally?

A:A:

  • Bei Azure AD registrierte Windows 10-Geräte: Wechseln Sie zu Einstellungen > Konten > Auf Geschäfts-, Schul- oder Unikonto zugreifen.For Windows 10 Azure AD registered devices, Go to Settings > Accounts > Access Work or School. Wählen Sie Ihr Konto aus, und klicken Sie auf Trennen.Select your account and select Disconnect. Unter Windows 10 erfolgt die Geräteregistrierung pro Benutzerprofil.Device registration is per user profile on Windows 10.
  • Unter iOS und Android können Sie die Microsoft Authenticator-App verwenden und Einstellungen > Geräteregistrierung und Geräteregistrierung aufheben auswählen.For iOS and Android, you can use the Microsoft Authenticator application Settings > Device Registration and select Unregister device.
  • Unter macOS können Sie die Microsoft Intune-Unternehmensportalanwendung verwenden, um die Registrierung des Geräts in der Verwaltung aufzuheben und Registrierungen zu entfernen.For macOS, you can use the Microsoft Intune Company Portal application to un-enroll the device from management and remove any registration.

F: Wie kann ich verhindern, dass Benutzer zusätzliche Geschäftskonten (mit Azure AD-Registrierung) auf meinen Windows 10-Unternehmensgeräten hinzufügen?Q: How can I block users from adding additional work accounts (Azure AD registered) on my corporate Windows 10 devices?

A: Aktivieren Sie die folgende Registrierung, um zu verhindern, dass Benutzer Ihren Windows 10-Geräten, die in die Domäne, in Azure AD oder in Azure AD Hybrid eingebunden sind, zusätzliche Geschäftskonten hinzufügen.A: Enable the following registry to block your users from adding additional work accounts to your corporate domain joined, Azure AD joined or hybrid Azure AD joined Windows 10 devices. Mit dieser Richtlinie können Sie auch verhindern, dass für in die Domäne eingebundene Computer versehentlich eine Azure AD-Registrierung unter demselben Benutzerkonto durchgeführt wird.This policy can also be used to block domain joined machines from inadvertently getting Azure AD registered with the same user account.

HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin, "BlockAADWorkplaceJoin"=dword:00000001


F: Kann ich Android- oder iOS-BYOD-Geräte registrieren?Q: Can I register Android or iOS BYOD devices?

A: Ja, aber nur mit dem Azure-Dienst zur Geräteregistrierung und wenn Sie Hybrid-Kunde sind.A: Yes, but only with the Azure device registration service and for hybrid customers. Es wird nicht mit dem lokalen Geräteregistrierungsdienst in Active Directory Federation Services (AD FS) unterstützt.It's not supported with the on-premises device registration service in Active Directory Federation Services (AD FS).


F: Wie kann ich ein macOS-Gerät registrieren?Q: How can I register a macOS device?

A: Führen Sie die folgenden Schritte aus:A: Take the following steps:

  1. Erstellen Sie eine Konformitätsrichtlinie.Create a compliance policy
  2. Definieren Sie eine Richtlinie zum bedingten Zugriff für macOS-Geräte.Define a Conditional Access policy for macOS devices

Hinweise:Remarks:

  • Die in der Richtlinie für bedingten Zugriff enthaltenen Benutzer benötigen für den Zugriff auf Ressourcen eine unterstützte Version von Office für macOS.The users included in your Conditional Access policy need a supported version of Office for macOS to access resources.
  • Beim ersten Zugriffsversuch werden die Benutzer aufgefordert, das Gerät über das Unternehmensportal zu registrieren.During the first access try, your users are prompted to enroll the device by using the company portal.

Nächste SchritteNext steps