Microsoft 365

Geräteregistrierung in Microsoft Entra und Microsoft Intune absichern

8. Juni 2026 /

Standardmässig können Benutzer in Microsoft Entra ID Geräte selbst registrieren. Jedes dieser Geräte wird als Objekt in Microsoft Entra ID geführt und steht für Authentifizierung und Zugriff zur Verfügung. Nach der Kompromittierung eines Benutzerkontos können Angreifer eigene Geräte registrieren und so dauerhaft Zugriff erhalten.

Geräteregistrierung ist damit ein sicherheitskritischer Vorgang und muss abgesichert sein. Es muss definiert werden, wer Geräte registrieren darf, unter welchen Bedingungen dies geschieht und welche Gerätetypen zugelassen sind. Microsoft Entra ID und Microsoft Intune stellen dafür mehrere Kontrollmechanismen bereit und ermöglichen deren kombinierte Nutzung. Erst wenn die Geräteregistrierung kontrolliert erfolgt, lassen sich Gerätekonformität und bedingter Zugriff sinnvoll umsetzen.

Der Beitrag zeigt, wie Microsoft Entra ID und Microsoft Intune die Geräteregistrierung absichert und eine kontrollierte Geräteaufnahme durchsetzt.

Inhaltsverzeichnis verbergen
1 Absicherung der Geräteregistrierung in Microsoft Entra ID
1.1 Einschränkung der Benutzer für die Geräteregistrierung
1.2 Multi-Faktor-Authentifizierung für Geräteregistration aktivieren
1.2.1 MFA in den Geräteeinstellungen (nicht empfohlen)
1.2.2 MFA über bedingten Zugriff (empfohlen)
2 Registrierungseinschränkungen in Microsoft Intune konfigurieren
2.1 Registrierungseinschränkungen für Geräteplattform
2.2 Registrierungseinschränkungen für Gerätelimits
3 Bonus Tipp
3.1 Geräteregistrierung mit befristetem Zugriffspass absichern
3.1.1 Befristeten Zugriffspass als Authentifizierungsmethode aktivieren
3.1.2 Authentifizierungsstärke konfigurieren
3.1.3 Bedingter Zugriff für Geräteregistrierung mit befristetem Zugriffspass erstellen
4 Fazit

Absicherung der Geräteregistrierung in Microsoft Entra ID

Ohne entsprechende Konfiguration dürfen Benutzer Geräte selbst registrieren. Diese Einstellung sollte überprüft und eingeschränkt werden. Die Kontrolle beschränkt sich dabei auf den Benutzer, nicht auf das Gerät selbst.

Einschränkung der Benutzer für die Geräteregistrierung

Die Geräteeinstellungen in Microsoft Entra ID legen fest, wer Geräte registrieren darf.

Microsoft Entra Admin Center (https://entra.microsoft.com) > Entra ID > Geräte > Geräteeinstellungen aufrufen. Option Benutzer können Geräte mit Microsoft Entra verknüpfen auf Ausgewählt ändern und Benutzergruppe auswählen.

Microsoft Entra device settings showing restriction of users allowed to join devices to Microsoft Entra ID

Multi-Faktor-Authentifizierung für Geräteregistration aktivieren

Bei der Geräteregistrierung soll ein Benutzer immer eine Multi-Faktor-Authentifizierungsabfrage durchführen. Hierzu gibt es folgende Möglichkeiten.

MFA in den Geräteeinstellungen (nicht empfohlen)

Option Multi-Faktor-Authentifizierung zum Registrieren oder Beitreten von Geräten bei Microsoft Entra erforderlich unter Microsoft Entra Admin Center (https://entra.microsoft.com) > Entra ID > Geräte > Geräteeinstellungen aktivieren.

Microsoft Entra device settings showing requirement for multi factor authentication during device registration and join

MFA über bedingten Zugriff (empfohlen)

Bei der Geräteregistrierung eine Multi-Faktor-Authentifizierung über den bedingten Zugriff in Microsoft Entra zu erzwingen, ist die empfohlene Variante. Dadurch lassen sich zusätzliche Bedingungen definieren, unter denen eine Geräteregistrierung erfolgen darf, beispielsweise bekannte Netzwerke, verwendete Authentifizierungsmethoden oder Benutzer- und Anmelderisiko.

Microsoft Entra Admin Center (https://entra.microsoft.com) > Entra ID > bedingter Zugriff > neue Richtlinie aufrufen.

Microsoft Entra Conditional Access overview showing create new policy option for securing device registration
  1. Name für den bedingten Microsoft Entra-Zugriff vergeben
  2. Benutzer: alle Benutzer auswählen, Notfallzugriffskonten (Emergency Accounts) ausschliessen
  3. Zielressourcen:
    Richtlinientyp: Benutzeraktionen auswählen und Option Geräte registrieren oder einbinden auswählen
  4. Gewähren: Multi-Faktor-Authentifizierung erfordern auswählen
  5. Richtlinie aktivieren: Ein aktivieren
  6. Richtlinie mit Erstellen speichern und aktivieren

Zusätzliche Bedingungen lassen sich nach Bedarf integrieren.

Microsoft Entra Conditional Access policy configuration enforcing multi factor authentication for device registration

Wichtig
Wird die Multi-Faktor-Authentifizierung über den bedingten Zugriff in Microsoft Entra erzwungen, sollte die Option Multi Faktor Authentifizierung zum Registrieren oder Beitreten von Geräten deaktiviert werden.

Microsoft Entra Admin Center (https://entra.microsoft.com) > Entra ID > Geräte > Geräteeinstellungen

Microsoft Entra device settings showing disabled built in MFA for device registration when using Conditional Access

Registrierungseinschränkungen in Microsoft Intune konfigurieren

Registrierungseinschränkungen für Geräteplattform

Die Registrierungstypen unterscheiden sich in Bezug auf Verwaltung, Steuerbarkeit und Integration in Sicherheitsmechanismen. Microsoft Entra unterscheidet zwischen:

  • Microsoft Entra Joined
  • Microsoft Entra Hybrid Joined
  • Microsoft Entra Registered

Insbesondere Microsoft Entra Registered Geräte bieten nur eingeschränkte Kontrollmöglichkeiten und sollten nur bewusst zugelassen werden.

Welche Typen von Geräteanbindung und Plattformen zugelassen sind, lässt sich über Registrierungseinschränkungen in Microsoft Intune kontrollieren. Beispielsweise lassen sich private Geräte oder bestimmte Plattformen ausschliessen. Dadurch verhindert die Konfiguration die Aufnahme unerwünschter Plattformen oder Microsoft Entra Registered Geräte.

Microsoft Intune Admin Center (https://intune.microsoft.com) > Geräte > Registrierung > Geräteplattformeinschränkung

Microsoft Intune enrollment settings showing device platform restriction configuration

Im folgenden Beispiel wird die Aufnahme von privaten Windows Geräten (BYOD) in Microsoft Intune verhindert. Dazu wird eine neue Registrierungseinschränkung mit höherer Priorität erstellt. Die vorhandene Standardrichtlinie bleibt unverändert.

Windows Einstellungen > Einschränkung erstellen

Microsoft Intune enrollment restrictions showing create new device platform restriction for controlling device enrollment

Name für die Registrierungseinschränkung vergeben, z.B. Win-AllUsers-DenyPersonalDevices

Microsoft Intune create restriction screen showing naming of a device platform restriction for enrollment control

In den Plattformeinstellungen die Option Geräte mit Privatbesitz auf Blockieren setzen

Microsoft Intune platform restriction settings blocking personally owned devices from enrollment

Bereichstags bei Bedarf konfigurieren

Microsoft Intune enrollment restriction configuration showing scope tags assignment for device enrollment control

Unter Zuweisungen Benutzergruppen oder Alle Benutzer hinzufügen auswählen

Microsoft Intune enrollment restriction showing assignment of user groups to control device enrollment

Registrierungseinschränkung nochmals prüfen und mit Erstellen speichern

Microsoft Intune enrollment restriction review and create screen showing configuration summary before deployment

Die neu erstellte Registrierungseinschränkung ist jetzt mit höherer Priorität gegenüber der Standardrichtlinie erstellt und aktiviert.

Microsoft Intune enrollment restrictions showing custom platform restriction with higher priority than default polic

Für Android, macOS und iOS erfolgt die Konfiguration der Registrierungseinschränkungen auf die gleiche Weise.

Registrierungseinschränkungen für Gerätelimits

Die Anzahl Geräte, die ein Benutzer in Microsoft Intune aufnehmen darf, lässt sich über Registrierungseinschränkungen für Gerätelimits steuern. Damit wird verhindert, dass Benutzer eine grosse Anzahl Geräte in die Verwaltung aufnehmen. Der Standardwert liegt bei 5 Geräten pro Benutzer. In vielen Umgebungen ist es sinnvoll, diesen Wert zu reduzieren. Eine Begrenzung auf 3 Geräte pro Benutzer hat sich in der Praxis bewährt. Typische Szenarien mit Notebooks und Smartphones werden damit gut abgedeckt. Gleichzeitig wird verhindert, dass kompromittierte Konten oder Fehlkonfigurationen zu einer unkontrollierten Geräteaufnahme führen.

Microsoft Intune Admin Center (https://intune.microsoft.com) > Geräte > Registrierung > Gerätelimiteinschränkung

Microsoft Intune enrollment settings showing device limit restriction configuration for controlling number of enrolled devices per user

Im folgenden Beispiel wird die Standardrichtlinie für das Gerätelimit pro Benutzer auf 3 reduziert.

Standardrichtlinie All users and all devices auswählen

Microsoft Intune device limit restrictions showing default policy with maximum number of devices per user

Eigenschaften > Bearbeiten auswählen

Microsoft Intune device limit restriction properties showing edit option to modify maximum devices per user

Gerätelimit auf 3 setzen

Microsoft Intune device limit restriction configuration showing limit set to three devices per user

Speichern wählen

Microsoft Intune device limit restriction review and save screen confirming limit set to three devices per user

Die Standardrichtlinie lässt jetzt noch 3 Geräteregistrationen pro Benutzer zu.

Microsoft Intune device limit restriction overview showing all users limited to three enrolled devices

Bonus Tipp

Geräteregistrierung mit befristetem Zugriffspass absichern

Die Geräteregistrierung erfolgt in vielen Umgebungen direkt durch den Benutzer. Der Einsatz eines befristeten Zugriffspasses ermöglicht es, diesen Prozess besser zu kontrollieren. Die Ausstellung eines befristeten Zugriffspasses erfolgt durch einen berechtigten Benutzer und kann zeitlich eingeschränkt werden. Dadurch wird die Geräteregistrierung an eine zusätzliche Freigabe gebunden.

Auf diese Weise lässt sich ein Vier-Augen-Prinzip umsetzen. Eine Geräteregistrierung ist nur möglich, wenn ein zweiter Benutzer den Prozess aktiv unterstützt, indem ein befristeter Zugriffspass ausgestellt wird. Gleichzeitig wird der Zeitraum der Geräteregistrierung auf die Gültigkeitsdauer des befristeten Zugriffspasses begrenzt. Dies reduziert das Risiko missbräuchlicher Registrierungen und schafft zusätzliche Kontrolle über die Geräteaufnahme.

Diese Umsetzung erfolgt über eine Kombination aus Authentifizierungsstärken und bedingtem Zugriff in Microsoft Entra.

Befristeten Zugriffspass als Authentifizierungsmethode aktivieren

Ist die Authentifizierungsmethode befristeter Zugriffspass in Microsoft Entra noch nicht aktiviert, wird das Vorgehen im folgenden Blogpost beschrieben: Befristeter Zugriffspass in Microsoft Entra: Konfiguration und Einsatz – cloudkaffee.ch

Authentifizierungsstärke konfigurieren

In den nächsten Schritten wird eine Authentifizierungsstärke konfiguriert, die ausschliesslich den befristeten Zugriffspass als Anmeldemethode zulässt.

Microsoft Entra Admin Center (https://entra.microsoft.com) > Entra ID > Authentifizierungsmethoden > Authentifizierungsstärken > Neue Authentifizierungsstärke auswählen

Microsoft Entra authentication strengths overview showing passkey and phishing resistant MFA configurations
  1. Name für die Authentifizierungsstärke vergeben, z.B. Device Registration
  2. Filter auf befristeter Zugriffspass setzen
  3. Befristeter Zugriffspass (einmalige Verwendung) aktivieren
  4. Weiter anklicken
Microsoft Entra authentication strength configuration for device registration using Temporary Access Pass one time use

Eingaben Überprüfen und mit Erstellen speichern.

Microsoft Entra authentication strength configuration for secure device registration using Temporary Access Pass one-time use

Die Authentifizierungsstärke ist erstellt und kann verwendet werden.

Microsoft Entra authentication strength named Device Registration using Temporary Access Pass one time use

Bedingter Zugriff für Geräteregistrierung mit befristetem Zugriffspass erstellen

Die soeben erstellte Authentifizierungsstärke kann nun im bedingten Zugriff in Microsoft Entra als Anforderung für die Geräteregistrierung verwendet werden.

Microsoft Entra Admin Center (https://entra.microsoft.com) > Entra ID > bedingter Zugriff > neue Richtlinie aufrufen.

Microsoft Entra Conditional Access policy enforcing Temporary Access Pass for device registration
  1. Name für den bedingten Microsoft Entra-Zugriff vergeben
  2. Benutzer: alle Benutzer auswählen, Notfallzugriffskonten (Emergency Accounts) ausschliessen
  3. Zielressourcen:
    Richtlinientyp: Benutzeraktionen auswählen und Option Geräte registrieren oder einbinden auswählen
  4. Gewähren: Authentifizierungsstärke anklicken und die soeben erstellte Authentifizierungsstärke Device Registration auswählen
  5. Richtlinie aktivieren: Ein aktivieren
  6. Richtlinie mit Erstellen speichern und aktivieren

Geräteregistrierungen sind ab diesem Zeitpunkt nur noch mit einem befristeten Zugriffspass möglich.

Fazit

Die Geräteregistrierung in Microsoft Entra ist ein sicherheitskritischer Prozess. Erst die Einschränkung auf definierte Benutzergruppen, die erzwungene Multi-Faktor-Authentifizierung über bedingten Zugriff und Registrierungseinschränkungen in Microsoft Intune ermöglichen eine kontrollierte und sichere Geräteaufnahme. Ergänzende Massnahmen wie Gerätelimits und befristete Zugriffspässe reduzieren das Risiko zusätzlich.

Neue Inhalte, praxisnah erklärt: Wer nichts verpassen möchte, bleibt über LinkedIn und Bluesky stets informiert.

LinkedIn BlueSky

Kein Marketing, kein Lärm, nur Inhalt.
Ein Kaffee bringt frisches Know-how in die Tasse des nächsten Beitrags.

Buy Me a Coffee
  1. Windows Hello for Business: noch mehr Sicherheit mit mehrstufiger Entsperrung
  2. Token-Sicherheit stärken mit Microsoft Entra und Microsoft Intune
  3. Befristeter Zugriffspass in Microsoft Entra: Konfiguration und Einsatz
  4. Sicherheit erhöhen mit Microsoft Entra Protected Actions und Conditional Access