Windows 11: Azure AD verbinden und trennen – So geht’s

Azure AD mit Windows 11 verbinden oder trennen: In dieser Schritt-für-Schritt-Anleitung erfahren Sie, wie Sie Ihr Gerät schnell und einfach verwalten.

Möchten Sie Ihr Windows-11-Gerät mit Azure AD – heute offiziell Microsoft Entra ID – verbinden oder die Verbindung wieder trennen? Diese Anleitung zeigt Ihnen Schritt für Schritt, wie das auf Windows 11 Home, Pro, Enterprise und Education gelingt.

Außerdem erfahren Sie, welche Verbindungstypen es gibt, wie Sie typische Fehler beheben und welche Voraussetzungen Sie vorab erfüllen müssen.

Was ist Microsoft Entra ID – und warum spricht man noch von Azure AD?

Microsoft hat Azure Active Directory (Azure AD) im Jahr 2023 offiziell in Microsoft Entra ID umbenannt. Deshalb begegnet Ihnen in der Praxis häufig noch der alte Name, zum Beispiel in älteren Anleitungen, Unternehmensportalen und auf Gerätestatus-Seiten. Technisch handelt es sich jedoch um denselben Dienst – lediglich der Name hat sich geändert. In diesem Artikel verwenden wir deshalb beide Begriffe, um Verwirrung zu vermeiden.

Microsoft Entra ID ist der cloudbasierte Identitätsdienst von Microsoft. Er ermöglicht Unternehmen und Bildungseinrichtungen, Geräte zentral zu verwalten und den Zugriff auf Ressourcen zu steuern. Außerdem bildet er die Grundlage für Single Sign-On (SSO), Multi-Faktor-Authentifizierung (MFA) und bedingten Zugriff (Conditional Access). Deshalb ist die Verbindung mit Azure AD/Entra ID für viele Unternehmens- und Schulgeräte essenziell.

Im Jahr 2026 ist Microsoft Entra ID wichtiger denn je. Microsoft Entra ID – ehemals Azure Active Directory – durchläuft 2026 tiefgreifende Änderungen: Legacy-Authentifizierung wird endgültig abgeschaltet, Conditional Access schließt bislang unerkannte Schlupflöcher, und KI-Agenten erhalten eigene Identitäten. Deshalb ist es für IT-Administratoren und Endanwender gleichermaßen wichtig, die korrekte Verbindung und Verwaltung von Geräten zu verstehen.

Die drei Verbindungstypen unter Windows 11

Bevor Sie Ihr Gerät verbinden, sollten Sie zunächst verstehen, welcher Verbindungstyp für Ihren Anwendungsfall geeignet ist. Grundsätzlich gibt es drei Varianten, die sich technisch und in ihrer Anwendung deutlich unterscheiden.

Azure AD Join (Entra Join)

Beim Azure AD Join – auch Entra Join genannt – wird das Gerät vollständig in Microsoft Entra ID eingebunden. Das bedeutet, dass die Anmeldung ausschließlich über ein Organisations- oder Schulkonto erfolgt. Deshalb eignet sich dieser Typ besonders für Geräte, die vollständig vom Unternehmen verwaltet werden. Außerdem erfordert er Windows 11 Pro, Enterprise oder Education – auf Windows 11 Home ist ein vollständiger Azure AD Join nicht möglich.

Hybrid Azure AD Join (Entra Hybrid Join)

Der Hybrid Azure AD Join verbindet ein Gerät gleichzeitig mit einem lokalen Active Directory Domain Services (AD DS) und mit Microsoft Entra ID. Deshalb wird dieser Typ häufig in größeren Unternehmen eingesetzt, die sowohl eine On-Premises-Infrastruktur als auch Clouddienste nutzen. Die Einrichtung erfordert zudem eine entsprechende Serverinfrastruktur mit Microsoft Entra Connect und wird typischerweise von der IT-Abteilung durchgeführt, nicht vom Endanwender selbst.

Workplace Join (Arbeitsplatz hinzufügen)

Der Workplace Join – in Windows 11 unter der Bezeichnung „Geschäfts-, Schul- oder Unikonto hinzufügen“ zu finden – ist die einfachste Variante. Dabei bleibt das Gerät weiterhin mit einem lokalen Konto oder einem Microsoft-Konto angemeldet, erhält jedoch zusätzlich Zugriff auf Unternehmensressourcen. Deshalb ist dieser Verbindungstyp ideal für private Geräte im BYOD-Szenario (Bring Your Own Device). Ebenso wichtig: Er funktioniert auch unter Windows 11 Home und erfordert keine lokalen Administratorrechte.

Voraussetzungen für die Azure-AD-Verbindung

Damit die Verbindung erfolgreich gelingt, müssen Sie einige Voraussetzungen erfüllen. Zunächst benötigen Sie ein gültiges Geschäfts-, Schul- oder Unikonto, zum Beispiel vorname.nachname@unternehmen.de. Außerdem muss dieses Konto über die nötigen Berechtigungen in Microsoft Entra ID verfügen.

Zusätzlich gelten folgende technische Anforderungen:

Aktive Internetverbindung: Die Verbindung mit Entra ID erfordert einen stabilen Internetzugang, da die Authentifizierung vollständig über Microsoft-Server erfolgt.

Aktuelles Windows 11: Prüfen Sie vorab unter Einstellungen → Windows Update, ob ausstehende Updates installiert werden müssen. Deshalb empfehlen wir, das System vor der Verbindung vollständig zu aktualisieren.

Lokale Administratorrechte: Diese sind beim vollständigen Azure AD Join erforderlich. Beim Workplace Join hingegen sind keine lokalen Adminrechte nötig.

Entra-ID-Lizenz: Ihr Konto muss einer Microsoft-Entra-ID-Lizenz zugeordnet sein. Für erweiterte Funktionen wie Conditional Access ist zudem häufig Microsoft Entra ID P1 oder P2 notwendig.

Gerätelimit beachten: Standardmäßig sind alle Benutzer befugt, bis zu 50 Rechner an das Azure AD anzuschließen. Diese Einstellung kann man im jeweiligen Tenant unter „Devices → Device Settings“ ändern. Falls Sie dieses Limit erreicht haben, wenden Sie sich an Ihren Administrator.

MDM-Richtlinien: Falls Ihr Unternehmen Microsoft Intune oder ein anderes MDM-System einsetzt, werden nach der Verbindung automatisch Geräteverwaltungsrichtlinien angewendet. Deshalb sollten Sie wissen, welche Einschränkungen auf dem Gerät danach gelten.

Azure AD unter Windows 11 verbinden – alle Methoden

Je nach Verbindungstyp und Windows-11-Edition unterscheidet sich die Vorgehensweise. Im Folgenden erklären wir alle relevanten Methoden detailliert.

Methode 1: Workplace Join – Geschäftskonto hinzufügen (alle Editionen)

Diese Methode funktioniert auf Windows 11 Home, Pro, Enterprise und Education gleichermaßen. Deshalb ist sie besonders weit verbreitet und für den Einstieg empfohlen.

1. Öffnen Sie die Windows-Einstellungen mit der Tastenkombination Win + I.
2. Klicken Sie links auf Konten.
3. Wählen Sie anschließend Auf Arbeits- oder Schulkonto zugreifen.
4. Klicken Sie auf Verbinden.
5. Geben Sie Ihre Organisations-E-Mail-Adresse ein (z. B. vorname.nachname@unternehmen.de).
6. Klicken Sie auf Weiter und folgen Sie den Authentifizierungsschritten. Dabei müssen Sie möglicherweise Ihr Passwort und einen MFA-Code aus der Microsoft Authenticator-App eingeben.
7. Falls Ihr Unternehmen MDM einsetzt, erscheint ein Hinweis zur Geräteverwaltung. Bestätigen Sie diesen, um fortzufahren.
8. Klicken Sie abschließend auf Fertig.

Das Konto ist jetzt verbunden. Außerdem sehen Sie es unter Konten → Auf Arbeits- oder Schulkonto zugreifen als verbundenes Konto aufgelistet. Deshalb können Sie ab sofort auf Unternehmensressourcen wie SharePoint, Teams oder Unternehmens-Apps zugreifen.

Methode 2: Vollständiger Azure AD Join (Windows 11 Pro/Enterprise/Education)

Der vollständige Azure AD Join eignet sich für Unternehmensgeräte, die ausschließlich über ein Organisationskonto genutzt werden sollen. Zudem erfordert er lokale Administratorrechte und ist auf Windows 11 Home nicht verfügbar.

Weg A: Über die Windows-Einstellungen

1. Öffnen Sie Einstellungen (Win + I).
2. Navigieren Sie zu Konten → Auf Arbeits- oder Schulkonto zugreifen.
3. Klicken Sie auf Verbinden.
4. Klicken Sie im Anmeldedialog – anstatt direkt Ihre E-Mail einzugeben – auf den Link „Dieses Gerät mit Microsoft Entra ID verbinden“ (je nach Windows-Version auch „mit Azure Active Directory verbinden“).
5. Geben Sie Ihre Organisations-E-Mail-Adresse ein und klicken Sie auf Weiter.
6. Geben Sie Ihr Passwort ein. Falls MFA aktiviert ist, bestätigen Sie auch den zweiten Faktor.
7. Prüfen Sie die angezeigten Organisationsinformationen sorgfältig und klicken Sie auf Beitreten.
8. Klicken Sie auf Fertig und starten Sie den Computer anschließend neu.

Nach dem Neustart melden Sie sich mit Ihrem Organisationskonto an. Deshalb ist nach diesem Schritt kein lokales Konto mehr für die tägliche Anmeldung erforderlich – empfehlenswert ist es jedoch, eines beizubehalten (dazu weiter unten mehr).

Weg B: Während der Ersteinrichtung (OOBE)

Alternativ können Sie den Azure AD Join direkt bei der ersten Einrichtung von Windows 11 durchführen. Das ist besonders praktisch bei neuen Unternehmensgeräten:

1. Starten Sie Windows 11 erstmals oder nach einem Werksreset.
2. Wählen Sie im Setup-Bildschirm „Für ein Unternehmen oder eine Schule einrichten“.
3. Klicken Sie auf Anmelden und geben Sie Ihre Organisations-E-Mail-Adresse ein.
4. Folgen Sie den Authentifizierungsschritten inklusive MFA.
5. Windows richtet das Gerät danach automatisch als Azure-AD-joined ein.

Diese Methode ist besonders effizient, wenn Sie ein neues Gerät für einen Mitarbeiter einrichten. Außerdem werden dabei direkt alle MDM-Richtlinien und bereitgestellten Apps angewendet, sofern Windows Autopilot konfiguriert ist.

Methode 3: Hybrid Azure AD Join konfigurieren

Der Hybrid Azure AD Join wird nicht manuell am Endgerät konfiguriert, sondern auf der Serverseite. Deshalb ist diese Methode in der Regel Aufgabe der IT-Abteilung. Grundsätzlich läuft der Prozess so ab:

1. Das Gerät tritt zunächst einem lokalen Active Directory (AD DS) bei – das ist der klassische Domänenbeitritt.
2. Über Microsoft Entra Connect werden die Geräteobjekte mit Microsoft Entra ID synchronisiert.
3. Windows erkennt anschließend automatisch, dass eine Hybridverbindung besteht, und registriert sich selbstständig bei Entra ID. Der Registrierungsstatus des Geräts wird vorübergehend auf „Ausstehend“ festgelegt, bis die Geräteregistrierung vollständig abgeschlossen ist.

Sobald der Prozess abgeschlossen ist, sehen Endanwender unter Einstellungen → Konten → Auf Arbeits- oder Schulkonto zugreifen den Status der Verbindung. Außerdem ist das Gerät danach im Microsoft Entra Admin Center unter Geräte sichtbar und verwaltbar.

Den Verbindungsstatus prüfen

Nach dem Verbinden sollten Sie den Status überprüfen, um sicherzustellen, dass alles korrekt eingerichtet ist. Dafür gibt es zwei empfohlene Methoden.

Über die Windows-Einstellungen

Navigieren Sie zu Einstellungen → Konten → Auf Arbeits- oder Schulkonto zugreifen. Dort sehen Sie alle verbundenen Konten mit ihrem aktuellen Status. Außerdem können Sie hier Details zum verbundenen Konto einsehen.

Über den Befehl „dsregcmd /status“

Für eine detaillierte technische Statusabfrage empfehlen wir den Befehl dsregcmd /status in der Eingabeaufforderung oder in PowerShell:

1. Drücken Sie Win + R, geben Sie cmd ein und drücken Sie Enter.
2. Geben Sie dsregcmd /status ein und drücken Sie Enter.

In der Ausgabe finden Sie unter dem Abschnitt „Device State“ folgende relevante Felder:

• AzureAdJoined: YES – Das Gerät ist vollständig in Entra ID eingebunden.
• WorkplaceJoined: YES – Es besteht eine Workplace-Join-Verbindung (Geschäftskonto).
• DomainJoined: YES – Das Gerät ist zusätzlich in ein lokales Active Directory eingebunden (Hybrid Join).

Außerdem liefert der Befehl Informationen zum Tenant-Namen, zur Geräte-ID und zum SSO-Status. Deshalb ist er besonders nützlich, wenn Sie Verbindungsprobleme diagnostizieren möchten.

Azure AD unter Windows 11 trennen – Schritt für Schritt

Ebenso wichtig wie das Verbinden ist das korrekte Trennen der Verbindung. Dabei hängt die genaue Vorgehensweise davon ab, welcher Verbindungstyp besteht.

Workplace Join trennen

1. Öffnen Sie Einstellungen (Win + I).
2. Navigieren Sie zu Konten → Auf Arbeits- oder Schulkonto zugreifen.
3. Klicken Sie auf das verbundene Konto (z. B. „Verbunden mit „).
4. Wählen Sie Trennen.
5. Bestätigen Sie die Sicherheitsabfrage mit Ja.

Das Konto wird daraufhin sofort getrennt. Außerdem verlieren Sie ab diesem Zeitpunkt den Zugriff auf die Unternehmensressourcen, die über dieses Konto bereitgestellt wurden – also zum Beispiel SharePoint-Sites oder über Intune installierte Apps.

Vollständigen Azure AD Join aufheben

Das Aufheben des vollständigen Azure AD Joins ist etwas komplexer. Deshalb sollten Sie vorab folgendes beachten: Nach dem Trennen können Sie sich nicht mehr mit dem Organisationskonto anmelden, sofern kein lokales Konto vorhanden ist.

Empfohlene Vorgehensweise vor dem Trennen:

1. Stellen Sie zunächst sicher, dass ein lokales Administratorkonto auf dem Gerät existiert. Falls nicht, erstellen Sie eines über Einstellungen → Konten → Familie und andere Benutzer → Konto hinzufügen → Ohne Microsoft-Konto anmelden.
2. Melden Sie sich mit dem lokalen Administratorkonto an – nicht mit dem Organisationskonto.
3. Öffnen Sie Einstellungen (Win + I).
4. Navigieren Sie zu Konten → Auf Arbeits- oder Schulkonto zugreifen.
5. Klicken Sie auf das verbundene Konto.
6. Wählen Sie Trennen und bestätigen Sie die Sicherheitsabfrage.
7. Starten Sie den Computer anschließend neu.

Nach dem Neustart ist das Gerät nicht mehr in Microsoft Entra ID eingebunden. Deshalb sehen Administratoren es im Entra Admin Center als nicht mehr registriert oder mit dem Status „Ausstehend“.

Wichtiger Hinweis für Unternehmensgeräte: Falls Ihr Unternehmen Microsoft Intune einsetzt, kann der IT-Administrator das Gerät auch aus der Ferne aus Entra ID entfernen oder es vollständig zurücksetzen. Sprechen Sie deshalb im Unternehmensumfeld immer mit Ihrer IT-Abteilung, bevor Sie die Verbindung manuell trennen.

Besonderheiten der Windows-11-Editionen im Vergleich

Windows 11 Home

Windows 11 Home unterstützt keinen vollständigen Azure AD Join. Deshalb ist der einzig mögliche Verbindungstyp der Workplace Join. Für private Anwender, die gelegentlich auf Unternehmensressourcen zugreifen müssen, ist das jedoch meist ausreichend. Falls Ihr Unternehmen hingegen eine vollständige Geräteregistrierung erfordert, benötigen Sie ein Upgrade auf Windows 11 Pro oder höher. Das Upgrade ist direkt über Einstellungen → System → Aktivierung möglich.

Windows 11 Pro

Windows 11 Pro unterstützt sowohl den Workplace Join als auch den vollständigen Azure AD Join. Deshalb ist diese Edition in kleinen und mittleren Unternehmen am weitesten verbreitet. Zudem kann Windows 11 Pro im Hybridmodus mit einem lokalen Active Directory kombiniert werden. Außerdem bietet Pro erweiterte Sicherheitsfunktionen wie BitLocker, die im Zusammenspiel mit Entra ID besonders effektiv sind.

Windows 11 Enterprise

Windows 11 Enterprise bietet den vollständigen Funktionsumfang: Azure AD Join, Hybrid Azure AD Join, Windows Autopilot und umfassende Conditional-Access-Unterstützung. Außerdem stehen zusätzliche Sicherheitsfunktionen wie Windows Defender Credential Guard und Windows Defender Application Guard zur Verfügung. Deshalb ist Enterprise die empfohlene Edition für größere Unternehmen mit hohen Sicherheitsanforderungen.

Windows 11 Education

Ähnlich wie Enterprise bietet Windows 11 Education vollen Entra-ID-Support. Deshalb ist diese Edition ideal für Schulen und Hochschulen, die ihre Geräte zentral über Entra ID und Intune verwalten möchten. Ebenso unterstützt sie Windows Autopilot for Education, was die Massenbereitstellung von Geräten deutlich vereinfacht.

Anmeldeerlebnis nach der Azure-AD-Verbindung

Sobald Ihr Gerät mit Entra ID verbunden ist, verändert sich das Anmeldeerlebnis spürbar. Deshalb lohnt es sich, diese Neuerungen zu kennen.

Single Sign-On (SSO): Nach der Entra-ID-Verbindung können Sie sich bei vielen Microsoft-365-Apps und weiteren Unternehmensanwendungen automatisch anmelden, ohne jedes Mal Ihre Zugangsdaten eingeben zu müssen. Außerdem funktioniert SSO auch im Edge-Browser, sofern Sie dort mit demselben Konto angemeldet sind.

Windows Hello for Business: In Verbindung mit Entra ID empfehlen wir den Einsatz von Windows Hello for Business als Anmeldemethode. Dabei ersetzt ein biometrischer Faktor – also Gesichtserkennung durch die Kamera oder ein Fingerabdrucksensor – das klassische Passwort. So richten Sie Windows Hello for Business ein:

1. Öffnen Sie Einstellungen → Konten → Anmeldeoptionen.
2. Wählen Sie unter Windows Hello entweder Gesichtserkennung oder Fingerabdruckerkennung aus.
3. Folgen Sie den Einrichtungsschritten und bestätigen Sie die Einrichtung mit Ihrem aktuellen Passwort oder PIN.

Außerdem unterstützt Windows Hello for Business in 2026 auch Passkeys als Anmeldemethode, die in Kombination mit Entra ID passwortlose Authentifizierung ermöglicht. Deshalb ist das Einrichten von Windows Hello for Business eine empfohlene Maßnahme für alle Entra-ID-Nutzer.

Conditional Access: Falls Ihr Unternehmen Conditional-Access-Richtlinien eingerichtet hat, wird bei der Anmeldung geprüft, ob Ihr Gerät die Anforderungen erfüllt – etwa ob es konform ist, ob MFA aktiv ist oder ob Sie sich von einem zulässigen Standort aus anmelden. Ab dem 27. März 2026 ändert Microsoft die Enforcement-Logik von Conditional Access grundlegend: Bisher konnten bestimmte Anwendungen Conditional-Access-Policies umgehen – selbst wenn diese auf „Alle Ressourcen“ konfiguriert waren. Deshalb ist es für IT-Admins wichtig, die Richtlinien auf den neuesten Stand zu bringen.

Fehlerbehebung bei häufigen Problemen

Trotz sorgfältiger Vorbereitung kann es zu Problemen kommen. Deshalb erklären wir im Folgenden die häufigsten Fehler und deren Lösungen.

Fehler: „Ihr Konto verfügt nicht über die Berechtigung, diesem Gerät beizutreten“

Dieser Fehler tritt auf, wenn das Entra-ID-Konto nicht die nötigen Berechtigungen hat. Deshalb wenden Sie sich an Ihren Administrator. Er muss sicherstellen, dass im Microsoft Entra Admin Center unter Geräte → Geräteinstellungen die Option „Benutzer können Geräte mit Microsoft Entra ID verbinden“ auf „Alle“ oder auf die entsprechende Benutzergruppe gesetzt ist.

Fehler: „Fehler beim Herstellen einer Verbindung“ oder Verbindungstimeout

Prüfen Sie zunächst Ihre Internetverbindung. Außerdem können Unternehmens-Firewalls oder Proxy-Einstellungen die Verbindung blockieren. Stellen Sie sicher, dass folgende URLs erreichbar sind: login.microsoftonline.com, device.login.microsoftonline.com und enterpriseregistration.windows.net. Deshalb sollten Sie, falls Sie hinter einem Unternehmensproxy arbeiten, die Proxyeinstellungen in Windows 11 unter Einstellungen → Netzwerk und Internet → Proxy korrekt konfigurieren.

Fehler: „Das Gerät hat die maximale Anzahl von Geräten erreicht“

In diesem Fall hat der Benutzer bereits die maximale Anzahl zugelassener Geräteregistrierungen erreicht. Deshalb muss der Administrator entweder alte Geräte im Microsoft Entra Admin Center entfernen oder das Limit erhöhen – das ist unter Geräte → Geräteinstellungen → Maximale Anzahl von Geräten pro Benutzer möglich.

Fehler: MFA-Authentifizierung schlägt fehl

Stellen Sie zunächst sicher, dass die Microsoft Authenticator-App auf Ihrem Smartphone korrekt eingerichtet und auf dem neuesten Stand ist. Außerdem muss die Uhrzeit auf Ihrem Smartphone korrekt eingestellt sein, da MFA zeitabhängig funktioniert. Deshalb empfehlen wir, die automatische Zeitsynchronisierung auf dem Smartphone zu aktivieren. Zusätzlich können Sie alternative MFA-Methoden wie SMS oder E-Mail hinterlegen, falls die App nicht verfügbar ist.

Gerät erscheint im Entra Admin Center als „Ausstehend“

Dieser Status tritt beim Hybrid Azure AD Join auf, wenn die Synchronisierung zwischen lokalem Active Directory und Entra ID noch nicht abgeschlossen ist. Dieser Status ist darauf zurückzuführen, dass das Gerät erst dem Microsoft Entra-Verzeichnis hinzugefügt werden muss, bevor es registriert werden kann. Deshalb warten Sie zunächst ab und prüfen den Status nach einigen Minuten erneut.

Empfohlene Vorgehensweisen für Unternehmen und IT-Administratoren

Im Unternehmensumfeld lohnt es sich, einige empfohlene Vorgehensweisen zu beachten, um die Verbindung stabil, sicher und wartbar zu halten.

Windows Autopilot nutzen: Microsoft Windows Autopilot ermöglicht die automatische Einrichtung neuer Geräte, ohne dass die IT-Abteilung physisch anwesend sein muss. Dabei wird das Gerät einfach an den Mitarbeiter geliefert, der es einschaltet und sich mit seinem Organisationskonto anmeldet – Windows konfiguriert sich dann automatisch. Deshalb spart Autopilot erheblich Zeit und reduziert Fehler bei der Ersteinrichtung. Die Konfiguration erfolgt im Microsoft Intune Admin Center unter Geräte → Windows → Windows Enrollment → Deployment Profiles.

Intune für die Geräteverwaltung einsetzen: Microsoft Intune lässt sich nahtlos mit Entra ID kombinieren, um Geräte zu verwalten, Apps bereitzustellen und Sicherheitsrichtlinien durchzusetzen. Außerdem können Sie über Intune Geräte remote zurücksetzen oder aus der Unternehmensumgebung entfernen, falls sie verloren gehen oder gestohlen werden.

Conditional Access konsequent konfigurieren: Mit Conditional-Access-Richtlinien in Microsoft Entra ID steuern Sie genau, welche Geräte auf welche Ressourcen zugreifen dürfen. Deshalb empfehlen wir, mindestens folgende Richtlinien zu aktivieren: MFA für alle Benutzer, Zugriff nur von konformen Geräten und Blockierung von Legacy-Authentifizierungsprotokollen.

Regelmäßige Bestandsaufnahme: Prüfen Sie regelmäßig im Microsoft Entra Admin Center (entra.microsoft.com), welche Geräte registriert sind. Außerdem sollten Sie veraltete oder nicht mehr genutzte Geräte entfernen, um Sicherheitsrisiken zu minimieren. Deshalb empfehlen wir, mindestens einmal pro Quartal eine Überprüfung durchzuführen.

Entra Connect aktuell halten: Für Hybridumgebungen gilt: Installieren Sie die neueste Version von Entra Connect für SyncJacking-Schutz und Enhanced Audit-Logging. Deshalb sollten Sie das Update auf die aktuelle Version priorisieren.

Lokales Administratorkonto beibehalten: Auch nach einem vollständigen Azure AD Join empfehlen wir, stets ein lokales Administratorkonto auf dem Gerät zu behalten. Deshalb können Sie im Notfall – etwa bei Netzwerkausfällen oder einem Kontoproblem – weiterhin auf das Gerät zugreifen.

Häufige Fragen zu Azure AD unter Windows 11

Ist „Azure AD“ und „Microsoft Entra ID“ dasselbe?

Ja. Microsoft hat Azure Active Directory (Azure AD) umbenannt, um es in die Microsoft Entra-Produktfamilie zu integrieren. Die Umstellung begann Mitte 2023 und war bis Ende 2023 weitgehend abgeschlossen. Deshalb sind die Begriffe technisch identisch – nur der Name hat sich geändert. In der Praxis begegnet Ihnen 2026 meist schon die neue Bezeichnung „Microsoft Entra ID“.

Kann ich Windows 11 Home mit Azure AD verbinden?

Teilweise. Windows 11 Home unterstützt den Workplace Join (Geschäftskonto hinzufügen), jedoch keinen vollständigen Azure AD Join. Deshalb können auch Home-Nutzer auf Unternehmensressourcen zugreifen – zum Beispiel auf Microsoft 365, SharePoint oder Teams. Falls Ihr Unternehmen allerdings vollständige Geräteverwaltung über Intune erfordert, benötigen Sie Windows 11 Pro oder eine höhere Edition.

Verliere ich meine Daten, wenn ich die Azure-AD-Verbindung trenne?

Nein, in der Regel nicht. Das Trennen der Verbindung entfernt lediglich das Organisationskonto und den Zugriff auf damit verbundene Ressourcen. Lokale Dateien auf dem Gerät bleiben erhalten. Deshalb sollten Sie jedoch vorab sicherstellen, dass wichtige Unternehmensdaten lokal gesichert oder in der Cloud (z. B. auf OneDrive) abgelegt sind.

Wie viele Azure-AD-Konten kann ich unter Windows 11 hinzufügen?

Beim Workplace Join können Sie grundsätzlich mehrere Konten hinzufügen, z. B. von verschiedenen Organisationen oder Schule und Arbeitgeber gleichzeitig. Deshalb ist das für Freelancer oder Berater mit mehreren Auftraggebern praktisch. Beim vollständigen Azure AD Join ist hingegen nur ein einziges Organisationskonto möglich.

Was passiert mit meinen Apps, wenn ich das Azure-AD-Konto trenne?

Apps, die über Microsoft Intune oder das Company Portal bereitgestellt wurden, verlieren nach dem Trennen möglicherweise ihre Lizenz oder ihren Zugriff. Außerdem werden MDM-Richtlinien, die auf das Gerät angewendet wurden, aufgehoben. Deshalb sollten Sie vor dem Trennen prüfen, welche Apps und Ressourcen betroffen sind, und sich gegebenenfalls mit Ihrer IT-Abteilung abstimmen.

Kann mein Arbeitgeber mein Gerät nach der Azure-AD-Verbindung überwachen?

Das hängt vom Verbindungstyp und den Unternehmensrichtlinien ab. Bei einem vollständigen Azure AD Join mit Intune hat der Arbeitgeber erweiterte Möglichkeiten zur Geräteverwaltung – etwa das Durchsetzen von Passwortrichtlinien, das Installieren von Apps oder das Sperren und Löschen des Geräts aus der Ferne. Deshalb empfehlen wir, die Datenschutzrichtlinien Ihres Unternehmens vorab zu lesen. Bei einem Workplace Join auf einem privaten Gerät sind die Verwaltungsmöglichkeiten des Arbeitgebers hingegen deutlich eingeschränkter.

Warum sehe ich die Option „Dieses Gerät mit Microsoft Entra ID verbinden“ nicht?

Diese Option erscheint nur, wenn Sie Windows 11 Pro, Enterprise oder Education nutzen. Außerdem muss die Anmeldung aktuell über ein lokales Konto oder ein Microsoft-Konto erfolgen. Deshalb prüfen Sie zunächst Ihre Windows-Edition unter Einstellungen → System → Info. Falls Sie Windows 11 Home nutzen, steht diese Option grundsätzlich nicht zur Verfügung.

Wie prüfe ich per Befehl, ob mein Gerät mit Azure AD verbunden ist?

Empfohlen ist der Befehl dsregcmd /status in der Eingabeaufforderung (cmd) oder in PowerShell. Geben Sie diesen Befehl ohne Administratorrechte ein und prüfen Sie im Abschnitt „Device State“ die Felder AzureAdJoined, WorkplaceJoined und DomainJoined. Außerdem finden Sie dort die Tenant-ID und die Geräte-ID, die für die Diagnose hilfreich sind.

Was ist der Unterschied zwischen Azure AD Join und klassischem Domänenbeitritt?

Ein klassischer Domänenbeitritt (Domain Join) verbindet das Gerät mit einem lokalen Active Directory (AD DS). Ein Azure AD Join verbindet es hingegen mit dem cloudbasierten Microsoft Entra ID – ohne dass ein eigener Server vor Ort notwendig ist. Deshalb eignet sich der Azure AD Join besonders für reine Cloudumgebungen. Wer beides nutzen möchte, wählt den Hybrid Azure AD Join.

Was tue ich, wenn nach dem Azure-AD-Join die Anmeldung fehlschlägt?

Starten Sie zunächst den Computer neu und versuchen Sie die Anmeldung erneut. Falls das nicht hilft, starten Sie im abgesicherten Modus und melden Sie sich mit einem lokalen Administratorkonto an. Anschließend können Sie über dsregcmd /status den Verbindungsstatus prüfen und gegebenenfalls die Verbindung trennen und neu herstellen. Deshalb ist es so wichtig, stets ein lokales Administratorkonto zu behalten.

Kann ich Azure AD auch ohne Internetverbindung nutzen?

Die erste Anmeldung nach einem Azure AD Join erfordert grundsätzlich eine Internetverbindung zur Authentifizierung. Danach kann Windows unter bestimmten Voraussetzungen einen gecachten Anmeldetoken nutzen, sodass eine Offline-Anmeldung möglich ist. Allerdings ist die Verfügbarkeit dieser Funktion von den Unternehmensrichtlinien abhängig. Deshalb empfehlen wir, bei der ersten Einrichtung stets eine stabile Internetverbindung sicherzustellen.

Fazit

Azure AD – heute Microsoft Entra ID – lässt sich unter Windows 11 auf mehreren Wegen verbinden und trennen. Für die meisten Anwender ist der Workplace Join über die Einstellungen der schnellste Einstieg; für vollständig verwaltete Unternehmensgeräte empfehlen wir den Azure AD Join in Kombination mit Microsoft Intune.

Deshalb gilt: Wählen Sie den Verbindungstyp passend zu Ihrer Situation, behalten Sie stets ein lokales Administratorkonto und prüfen Sie regelmäßig den Status Ihrer verbundenen Geräte im Microsoft Entra Admin Center. So bleiben Sicherheit und Zugriff dauerhaft unter Kontrolle.