Windows 11: Azure AD entfernen – So geht’s

Azure AD unter Windows 11 entfernen: Erfahren Sie Schritt für Schritt, wie Sie Ihr Gerät einfach und sicher vom Azure Active Directory abmelden können.

Möchten Sie Ihren Windows-11-PC vom Azure Active Directory (Azure AD) – heute offiziell Microsoft Entra ID genannt – trennen, gelingt das in wenigen Schritten.

Ob Sie nur die Kontoverbindung lösen, das Gerät aus dem Unternehmensverzeichnis austragen oder die AD-Synchronisierung komplett abschalten möchten: Dieser Artikel erklärt alle Methoden vollständig, verständlich und Schritt für Schritt.

Was ist Azure AD – und warum heißt es jetzt Entra ID?

Azure Active Directory (Azure AD) ist der cloudbasierte Verzeichnisdienst von Microsoft. Unternehmen nutzen ihn, um Benutzerkonten, Geräte und Zugriffsrechte zentral zu verwalten. Seit 2023 hat Microsoft den Dienst offiziell in Microsoft Entra ID umbenannt. Technisch handelt es sich jedoch um denselben Dienst – lediglich die Bezeichnung hat sich geändert. In der Praxis begegnen Ihnen deshalb noch beide Namen, je nachdem, welche Dokumentation oder welche Windows-Version Sie verwenden.

Wenn ein PC mit Azure AD/Entra ID verknüpft ist, meldet sich der Benutzer mit einem Geschäfts-, Schul- oder Unikonto an. Das Gerät ist damit in die IT-Infrastruktur des Unternehmens eingebunden. Außerdem kann der IT-Administrator das Gerät remote verwalten, Richtlinien durchsetzen und bei Bedarf Unternehmensdaten löschen. Deshalb ist das Entfernen dieser Verknüpfung ein wichtiger Schritt, wenn ein Gerät das Unternehmen verlässt, neu konfiguriert oder privat genutzt werden soll.

Die drei Verbindungstypen: Was genau ist mit Ihrem Gerät passiert?

Bevor Sie mit dem Entfernen beginnen, sollten Sie wissen, welcher Verbindungstyp auf Ihrem Gerät vorliegt. Davon hängt ab, welche Methode die richtige ist.

Azure AD Joined (vollständig eingebunden): Das Gerät ist ausschließlich mit Azure AD verbunden und hat kein lokales Active Directory. Dieser Typ ist typisch für reine Cloud-Umgebungen, zum Beispiel bei Microsoft 365 Business. Sie melden sich mit einem Entra-ID-Konto an Windows an.

Azure AD Registered (nur registriert): Das Gerät ist registriert, aber nicht vollständig eingebunden. Häufig nutzt der Benutzer ein lokales oder privates Microsoft-Konto und hat zusätzlich ein Arbeitskonto hinterlegt, um auf Unternehmensressourcen zuzugreifen.

Hybrid Azure AD Joined (hybrid eingebunden): Das Gerät ist gleichzeitig mit dem lokalen Active Directory und mit Azure AD verbunden. Dieser Typ kommt in Unternehmen vor, die eine Hybridumgebung aus lokalem AD und Azure AD betreiben.

Den aktuellen Status überprüfen Sie, indem Sie die Eingabeaufforderung als Administrator öffnen und folgenden Befehl eingeben:

dsregcmd /status

Anschließend sehen Sie im Abschnitt „Device State“ die Zeilen AzureAdJoined, DomainJoined und WorkplaceJoined. Steht dort jeweils „YES“ oder „NO“, erkennen Sie sofort, welcher Verbindungstyp aktiv ist.

Voraussetzungen vor dem Trennen

Damit das Entfernen der Azure-AD-Verknüpfung reibungslos klappt, sollten Sie vorab einige wichtige Punkte prüfen.

Zunächst benötigen Sie ein lokales Administratorkonto auf dem PC. Denn nach dem Trennen ist das Azure-AD-Konto nicht mehr gültig, und Sie müssen sich lokal anmelden können. Falls kein lokales Administratorkonto existiert, legen Sie dieses zuerst an – dazu finden Sie weiter unten eine Anleitung.

Außerdem sollten Sie alle wichtigen Daten sichern. Zwar löscht das Trennen selbst keine Benutzerdaten, jedoch können Unternehmensrichtlinien nach dem Austritt aus dem Tenant automatisch Unternehmensdaten entfernen. Deshalb empfiehlt es sich, alle persönlichen Dateien vorher auf einem externen Speicher oder in der privaten Cloud zu sichern.

Zusätzlich sollten Sie prüfen, ob das Gerät über Microsoft Intune (MDM) verwaltet wird. Wenn ja, kann der IT-Administrator nach dem Trennen remote eine Datenlöschung veranlassen. In diesem Fall sprechen Sie die Trennung bitte vorab mit Ihrer IT-Abteilung ab.

Methode 1: Azure AD über die Windows-11-Einstellungen entfernen

Dies ist die einfachste und empfohlene Methode für die meisten Anwender. Sie funktioniert sowohl für „Azure AD Registered“-Geräte als auch für vollständig eingebundene Geräte.

Schritt-für-Schritt-Anleitung für Windows 11:

1. Öffnen Sie die Einstellungen mit der Tastenkombination Windows + I.
2. Klicken Sie links auf Konten.
3. Wählen Sie den Eintrag Auf Geschäfts-, Schul- oder Unikonto zugreifen.
4. Sie sehen nun das verknüpfte Konto, zum Beispiel Ihre Unternehmens-E-Mail-Adresse.
5. Klicken Sie auf das Konto und dann auf Trennen.
6. Es erscheint ein Hinweisfenster mit dem Text „Verbindung mit der Organisation trennen“. Bestätigen Sie mit Trennen.
7. Windows fordert Sie auf, sich mit dem lokalen Administratorkonto zu authentifizieren. Geben Sie die entsprechenden Anmeldedaten ein.
8. Starten Sie den PC anschließend neu.

Nach dem Neustart ist das Gerät vom Azure AD/Entra ID getrennt. Danach können Sie es wahlweise in eine lokale Domäne aufnehmen oder mit einem privaten Microsoft-Konto oder lokalen Konto betreiben.

Hinweis für Windows 10: Der Weg ist ähnlich, jedoch navigieren Sie über Einstellungen → Konten → Auf Arbeits- oder Schulkonto zugreifen. Dort wählen Sie das Konto aus und klicken auf Trennen.

Methode 2: Über die Eingabeaufforderung mit dsregcmd

Wenn die grafische Methode nicht funktioniert oder Sie das Gerät per Skript aus der Azure-AD-Verknüpfung lösen möchten, empfiehlt sich der Befehl dsregcmd /leave. Dieser Befehl entfernt die Azure-AD-Bindung direkt über die Kommandozeile.

Anleitung:

1. Drücken Sie Windows + S und suchen Sie nach Eingabeaufforderung.
2. Klicken Sie mit der rechten Maustaste auf das Ergebnis und wählen Sie Als Administrator ausführen.
3. Geben Sie folgenden Befehl ein und bestätigen Sie mit Enter:

dsregcmd /leave

4. Windows löst daraufhin die Azure-AD-Verbindung.
5. Starten Sie den Computer neu, damit die Änderungen vollständig wirksam werden.

Außerdem können Sie anschließend mit dsregcmd /status überprüfen, ob die Trennung erfolgreich war. In der Ausgabe sollte dann bei AzureAdJoined der Wert „NO“ stehen.

Dieser Befehl eignet sich besonders für Hybrid-Azure-AD-Joined-Geräte sowie für Szenarien, in denen die Einstellungs-App keine Option zum Trennen anzeigt.

Methode 3: Azure AD Connect (Entra Connect Sync) entfernen

In Unternehmensumgebungen synchronisiert Azure AD Connect – seit 2023 offiziell Microsoft Entra Connect Sync genannt – die Benutzerkonten und Gruppen aus dem lokalen Active Directory mit Azure AD. Wenn Sie diese Synchronisierung dauerhaft beenden möchten, sind zwei Schritte notwendig: das Deinstallieren der lokalen Software und das Deaktivieren der Synchronisierung im Cloud-Tenant.

Schritt 1: Azure AD Connect lokal deinstallieren

1. Öffnen Sie die Systemsteuerung auf dem Server, auf dem Azure AD Connect installiert ist.
2. Gehen Sie zu Programme → Programme und Features.
3. Suchen Sie nach Microsoft Azure AD Connect oder Microsoft Entra Connect.
4. Klicken Sie mit der rechten Maustaste auf den Eintrag und wählen Sie Deinstallieren.
5. Folgen Sie dem Deinstallationsassistenten und starten Sie den Server danach neu.

Schritt 2: Synchronisierung im Tenant deaktivieren

Nach der Deinstallation der lokalen Software meldet Azure/Entra ID nach einiger Zeit Synchronisierungsfehler. Deshalb müssen Sie die Synchronisierung zusätzlich im Tenant manuell deaktivieren. Öffnen Sie dazu PowerShell mit Administratorrechten und führen Sie folgende Befehle aus:

Install-Module -Name MSOnline
Connect-MsolService
Set-MsolDirSyncEnabled -EnableDirSync $false

Bestätigen Sie eventuelle Sicherheitsabfragen mit J (Ja). Anschließend überprüfen Sie den Status mit:

(Get-MsolCompanyInformation).DirectorySynchronizationEnabled

Gibt dieser Befehl False zurück, ist die Synchronisierung erfolgreich deaktiviert. Danach können die Benutzerkonten im Entra ID-Portal direkt bearbeitet werden.

Wichtig: Dieser Schritt ist irreversibel, sobald alle Benutzer als reine Cloud-Benutzer weitergeführt werden. Sprechen Sie diese Entscheidung deshalb unbedingt mit allen Beteiligten ab, bevor Sie fortfahren.

Methode 4: Gerät im Microsoft Entra ID-Portal löschen

Als IT-Administrator können Sie Geräte auch direkt im Microsoft Entra Admin Center aus dem Verzeichnis entfernen. Das ist zum Beispiel dann sinnvoll, wenn ein verlorenes oder defektes Gerät aus der Übersicht gelöscht werden soll.

Anleitung:

1. Melden Sie sich unter entra.microsoft.com mit einem Administratorkonto an.
2. Navigieren Sie zu Identität → Geräte → Alle Geräte.
3. Suchen Sie das betreffende Gerät in der Liste.
4. Wählen Sie das Gerät aus und klicken Sie auf Löschen.
5. Bestätigen Sie den Vorgang.

Beachten Sie dabei: Das Löschen des Geräteobjekts im Portal trennt das Gerät nicht automatisch von der lokalen Azure-AD-Verbindung. Dafür ist zusätzlich einer der oben genannten Schritte auf dem Gerät selbst notwendig. Außerdem sind alle Löschvorgänge im Entra-Portal dauerhaft – entfernte Geräteobjekte können nicht wiederhergestellt werden.

Lokales Konto erstellen – so bereiten Sie sich vor

Ein häufiger Fehler beim Entfernen der Azure-AD-Verbindung ist, dass kein lokales Administratorkonto vorhanden ist. Deshalb sollten Sie vor der Trennung ein solches anlegen. Gehen Sie dazu wie folgt vor:

1. Öffnen Sie die Einstellungen (Windows + I).
2. Navigieren Sie zu Konten → Familie und andere Benutzer.
3. Klicken Sie auf Konto hinzufügen.
4. Wählen Sie Ich habe keine Anmeldeinformationen für diese Person und dann Benutzer ohne Microsoft-Konto hinzufügen.
5. Legen Sie Benutzername und Kennwort fest.
6. Klicken Sie anschließend auf das neu erstellte Konto und dann auf Kontotyp ändern.
7. Wählen Sie Administrator aus und bestätigen Sie.

Alternativ erstellen Sie das lokale Konto schnell per PowerShell (als Administrator):

New-LocalUser -Name "LocalAdmin" -Password (ConvertTo-SecureString "IhrPasswort" -AsPlainText -Force) -FullName "Lokaler Administrator"
Add-LocalGroupMember -Group "Administrators" -Member "LocalAdmin"

Ersetzen Sie dabei IhrPasswort durch ein sicheres Kennwort. Danach steht das Konto sofort zur Verfügung und kann nach der Trennung für die Anmeldung genutzt werden.

Häufige Probleme und ihre Lösungen

In der Praxis treten beim Trennen von Azure AD gelegentlich Schwierigkeiten auf. Deshalb finden Sie hier die häufigsten Probleme und die passenden Lösungsansätze.

Problem: Die Schaltfläche „Trennen“ ist ausgegraut.
Ursache ist häufig, dass das Gerät über Microsoft Intune (MDM) verwaltet wird oder dass eine Gruppenrichtlinie das Trennen verhindert. Sprechen Sie in diesem Fall mit Ihrem IT-Administrator. Alternativ können Sie die Methode mit dsregcmd /leave als Administrator versuchen.

Problem: Nach der Trennung ist kein Login mehr möglich.
Das passiert, wenn kein lokales Administratorkonto vorhanden war. Starten Sie den PC neu und versuchen Sie, über den abgesicherten Modus (F8 beim Start) auf das integrierte Administratorkonto zuzugreifen. Öffnen Sie dann eine Eingabeaufforderung und legen Sie mit net user Administrator /active:yes das versteckte Administrator-Konto frei.

Problem: dsregcmd /leave schlägt fehl.
Stellen Sie sicher, dass Sie die Eingabeaufforderung als Administrator geöffnet haben. Außerdem kann eine aktive MDM-Richtlinie den Befehl blockieren. In diesem Fall muss die MDM-Registrierung zuerst aufgehoben werden.

Problem: Das Gerät erscheint nach dem Trennen noch im Entra-Portal.
Das ist normal. Geräteobjekte werden nicht automatisch aus dem Portal entfernt, wenn ein Gerät getrennt wird. Löschen Sie das Objekt deshalb zusätzlich manuell im Microsoft Entra Admin Center unter „Geräte → Alle Geräte“.

Empfohlene Vorgehensweisen

Damit das Entfernen der Azure-AD-Verknüpfung problemlos verläuft, sollten Sie einige empfohlene Vorgehensweisen beachten.

Erstellen Sie zuerst ein lokales Administratorkonto. Das ist der wichtigste Schritt vor jeder Trennung. Ohne dieses Konto verlieren Sie nach dem Entfernen möglicherweise den Zugang zum System.

Sichern Sie alle Daten im Voraus. Unternehmensrichtlinien können nach dem Austritt aus dem Tenant automatisch Unternehmensdaten löschen. Deshalb sollten Sie wichtige Dateien immer zuvor sichern.

Koordinieren Sie die Trennung mit der IT-Abteilung. Besonders in verwalteten Umgebungen mit Intune oder Gruppenrichtlinien kann ein unkontrolliertes Entfernen Probleme verursachen. Zudem vermeiden Sie dadurch Compliance-Verstöße.

Überprüfen Sie den Status nach der Trennung. Nutzen Sie dsregcmd /status, um sicherzustellen, dass alle Verbindungen vollständig gelöst sind. Außerdem sollten Sie prüfen, ob das Geräteobjekt im Entra-Portal manuell gelöscht werden muss.

Wählen Sie die richtige Methode für Ihren Verbindungstyp. Ein registriertes Gerät trennt sich anders als ein vollständig eingebundenes oder hybrid eingebundenes Gerät. Prüfen Sie deshalb vorab mit dsregcmd /status, welcher Typ vorliegt.

FAQ: Häufige Fragen zum Azure AD entfernen unter Windows

Was ist der Unterschied zwischen „Azure AD Joined“ und „Azure AD Registered“?

Bei Azure AD Joined ist das Gerät vollständig in Azure AD/Entra ID eingebunden und wird von dort zentral verwaltet. Der Benutzer meldet sich mit einem Unternehmenskonto an Windows an. Bei Azure AD Registered ist das Gerät nur registriert – der Benutzer nutzt ein privates oder lokales Konto, hat aber ein Arbeitskonto für den Zugriff auf Unternehmensressourcen hinterlegt. Für die Trennung ist der Verbindungstyp entscheidend, da er bestimmt, welche Methode die richtige ist.

Verliere ich Daten, wenn ich mein Gerät von Azure AD trenne?

Das Trennen selbst löscht keine Benutzerdaten. Jedoch können Unternehmensrichtlinien nach dem Austritt automatisch Unternehmensdaten entfernen, zum Beispiel E-Mails oder OneDrive-Inhalte, die über Intune verwaltet werden. Deshalb empfiehlt es sich dringend, vor der Trennung alle wichtigen Daten zu sichern.

Kann ich ein von Intune verwaltetes Gerät selbst von Azure AD trennen?

Das hängt von den Unternehmensrichtlinien ab. Häufig ist die Trennfunktion für MDM-verwaltete Geräte gesperrt. In diesem Fall können Sie die Trennung nicht eigenständig durchführen – Sie benötigen die Mithilfe Ihres IT-Administrators, der das Gerät zunächst aus Intune austragen muss.

Wie finde ich heraus, ob mein PC mit Azure AD verbunden ist?

Öffnen Sie die Eingabeaufforderung als Administrator und geben Sie dsregcmd /status ein. Im Abschnitt „Device State“ sehen Sie bei AzureAdJoined: YES, ob das Gerät vollständig eingebunden ist. Alternativ prüfen Sie es unter Einstellungen → Konten → Auf Geschäfts-, Schul- oder Unikonto zugreifen.

Was muss ich nach der Trennung von Azure AD tun?

Nach der Trennung melden Sie sich mit einem lokalen Administratorkonto an. Danach können Sie das Gerät je nach Bedarf in eine lokale Domäne aufnehmen, mit einem privaten Microsoft-Konto verbinden oder als eigenständigen PC ohne Domänenanbindung betreiben. Außerdem sollten Sie das Geräteobjekt im Entra-Portal manuell löschen, damit es nicht weiterhin in der Verwaltungsübersicht erscheint.

Kann ich Azure AD auch per PowerShell entfernen?

Ja. Mit dem Befehl dsregcmd /leave in einer als Administrator geöffneten Eingabeaufforderung oder PowerShell-Konsole lösen Sie die Azure-AD-Verbindung zuverlässig. Anschließend überprüfen Sie das Ergebnis mit dsregcmd /status. Zusätzlich ist nach diesem Befehl ein Neustart des Computers erforderlich, damit alle Änderungen wirksam werden.

Was passiert, wenn ich Azure AD Connect deinstalliere, ohne die Cloud-Synchronisierung zu deaktivieren?

Wenn Sie Azure AD Connect nur lokal deinstallieren, ohne die Synchronisierung im Tenant zu deaktivieren, meldet Azure/Entra ID bald Synchronisierungsfehler. Außerdem können die Benutzerkonten im Cloud-Portal nicht mehr bearbeitet werden, solange die Synchronisierung noch als aktiv gilt. Deshalb müssen Sie zusätzlich per PowerShell mit dem Befehl Set-MsolDirSyncEnabled -EnableDirSync $false die Synchronisierung im Tenant deaktivieren.

Ist das Entfernen von Azure AD und das Löschen des Microsoft-Kontos dasselbe?

Nein. Beim Entfernen der Azure-AD-Verbindung trennen Sie lediglich die Gerätebindung an das Unternehmensverzeichnis. Das Microsoft-Konto oder das Entra-ID-Konto selbst bleibt dabei unberührt. Um ein Konto dauerhaft zu löschen, müssen Sie dies separat im Microsoft Entra Admin Center oder im Microsoft-Kontoportal durchführen.

Warum erscheint mein Gerät nach der Trennung noch im Entra-Portal?

Das ist ein häufiges Missverständnis. Das Entfernen der Verbindung auf dem Gerät löscht das Geräteobjekt im Entra-Portal nicht automatisch. Stattdessen müssen Sie sich im Microsoft Entra Admin Center unter entra.microsoft.com anmelden, zu „Geräte → Alle Geräte“ navigieren und das Objekt dort manuell löschen. Erst dann verschwindet das Gerät vollständig aus der Verwaltungsübersicht.

Funktioniert die Methode auch für Windows 10?

Ja, alle in diesem Artikel beschriebenen Methoden funktionieren grundsätzlich auch unter Windows 10. Der Weg über die Einstellungen ist leicht anders: Statt über „Auf Geschäfts-, Schul- oder Unikonto zugreifen“ navigieren Sie zu Einstellungen → Konten → Auf Arbeits- oder Schulkonto zugreifen. Dort wählen Sie das verknüpfte Konto aus und klicken auf Trennen. Der Befehl dsregcmd /leave funktioniert unter Windows 10 identisch.

Fazit

Das Entfernen von Azure AD/Microsoft Entra ID unter Windows 11 ist mit der richtigen Methode kein komplizierter Vorgang. Entscheidend ist, den korrekten Verbindungstyp zu kennen und vorab ein lokales Administratorkonto anzulegen.

Wer eine einfache Gerätebindung lösen möchte, nutzt die Windows-11-Einstellungen oder dsregcmd /leave. Für Unternehmensumgebungen mit Azure AD Connect ist zusätzlich das Deaktivieren der Synchronisierung per PowerShell notwendig.