In der heutigen, dynamischen IT-Landschaft ist eine präzise Übersicht über alle verbundenen Geräte nicht nur wünschenswert, sondern absolut unerlässlich. Besonders in Organisationen, die Microsoft Entra ID (ehemals Azure Active Directory) nutzen, stellt die Verwaltung von Geräten einen Kernaspekt der Sicherheits- und Compliance-Strategie dar. Dieser Artikel beleuchtet, wie Sie effizient alle Geräte in Entra ID auflisten können, und dabei gleichzeitig das kritische Sicherheitsrisiko vermeiden, unabsichtlich oder unnötigerweise BitLocker-Wiederherstellungsschlüssel zu exportieren.
Warum ist eine schnelle und sichere Geräteinventarisierung so wichtig?
Die Gründe für eine detaillierte und aktuelle Geräteliste sind vielfältig und entscheidend für den reibungslosen und sicheren Betrieb Ihrer IT-Infrastruktur:
- Sicherheit: Eine vollständige Liste hilft Ihnen, nicht-konforme oder potenziell kompromittierte Geräte schnell zu identifizieren. Sie können überprüfen, ob alle Geräte den Sicherheitsrichtlinien entsprechen, beispielsweise ob sie über die neueste Antivirensoftware verfügen oder die Festplattenverschlüsselung aktiviert ist.
- Compliance: Viele Branchen und Regularien erfordern einen Nachweis über die Kontrolle und den Status aller Unternehmensressourcen. Eine genaue Geräteinventur ist hierfür fundamental und hilft bei Audits.
- Asset Management: Eine aktuelle Geräteübersicht unterstützt bei der Lebenszyklusverwaltung Ihrer Hard- und Software. Sie wissen genau, welche Geräte im Umlauf sind, wann sie angeschafft wurden und wann sie ersetzt werden müssen.
- Fehlerbehebung und Support: Bei Problemen können Support-Mitarbeiter schnell die relevanten Gerätedetails abrufen, um eine effiziente Fehleranalyse durchzuführen.
- Kostenkontrolle: Eine klare Übersicht verhindert unnötige Lizenzkosten für nicht mehr genutzte Geräte oder überdimensionierte Softwarebereitstellungen.
Die Notwendigkeit, BitLocker-Wiederherstellungsschlüssel nicht unnötigerweise zu exportieren, liegt auf der Hand. Diese Schlüssel sind extrem sensibel, da sie den Zugriff auf verschlüsselte Laufwerke ermöglichen. Ein unkontrollierter Export oder Zugriff auf diese Schlüssel stellt ein erhebliches Sicherheitsrisiko dar und könnte im Falle eines Diebstahls oder Datenlecks katastrophale Folgen haben. Die gute Nachricht ist: Um eine Liste Ihrer Geräte zu erstellen, benötigen Sie diese Schlüssel nicht. Unser Fokus liegt darauf, Ihnen Methoden zu zeigen, die genau das gewährleisten.
Methode 1: Das Entra Admin Center (Grafische Benutzeroberfläche)
Für eine schnelle Übersicht und für Benutzer, die eine grafische Oberfläche bevorzugen, ist das Entra Admin Center (admin.microsoft.com oder entra.microsoft.com) die erste Anlaufstelle. Es bietet eine intuitive Möglichkeit, Ihre Geräte zu verwalten.
Schritte im Entra Admin Center:
- Melden Sie sich mit einem Konto an, das über die entsprechenden Berechtigungen verfügt (z.B. Global Administrator, Cloud Device Administrator oder Intune Administrator).
- Navigieren Sie im linken Menü zu Identität > Geräte > Alle Geräte.
- Sie sehen nun eine Liste aller in Ihrem Entra ID registrierten oder mit Entra ID verknüpften Geräte.
Funktionen und Einschränkungen:
Das Entra Admin Center bietet Ihnen verschiedene Filter- und Suchoptionen, um die angezeigte Liste anzupassen:
- Filterung: Sie können nach dem Status des Geräts (aktiv, deaktiviert), dem Join-Typ (Azure AD Registered, Azure AD Joined, Hybrid Azure AD Joined), dem Betriebssystem oder dem Besitzer filtern.
- Suche: Über die Suchleiste können Sie schnell nach Gerätenamen, Benutzerprinzipalnamen (UPN) des Besitzers oder der Geräte-ID suchen.
- Detailansicht: Ein Klick auf ein Gerät öffnet eine Detailansicht mit Informationen wie dem Gerätestatus, dem Betriebssystem, dem Registrierungsdatum, dem letzten Anmeldedatum und eventuellen Compliance-Informationen.
Wichtiger Hinweis zum Wiederherstellungsschlüssel-Export: Im Entra Admin Center können Sie zwar Gerätedetails einsehen, aber der Export von BitLocker-Wiederherstellungsschlüsseln ist standardmäßig nicht direkt über die Geräteliste möglich und erfordert eine explizite Aktion auf dem jeweiligen Gerätedetailblatt, verbunden mit spezifischen Berechtigungen. Die reine Auflistung der Geräte über diese Schnittstelle birgt daher kein Risiko eines unbeabsichtigten Schlüssel-Exports.
Für eine umfassende Inventarisierung oder bei sehr vielen Geräten kann das manuelle Durchklicken oder die eingeschränkte Exportfunktion (oft nur eine CSV-Datei mit den sichtbaren Spalten) des Admin Centers jedoch unzureichend sein. Hier kommt PowerShell ins Spiel.
Methode 2: PowerShell mit dem Microsoft Graph PowerShell SDK (Die bevorzugte Methode)
Für Administratoren, die Automatisierung, detaillierte Berichte und eine flexible Datenmanipulation schätzen, ist PowerShell mit dem Microsoft Graph PowerShell SDK die überlegene Wahl. Diese Methode ermöglicht es Ihnen, präzise abzufragen, zu filtern und Daten in einem Format zu exportieren, das Ihren Anforderungen entspricht, ohne jemals mit den Wiederherstellungsschlüsseln in Berührung zu kommen.
Schritt 1: Installation des Microsoft Graph PowerShell SDK
Falls Sie das SDK noch nicht installiert haben, ist dies der erste Schritt. Öffnen Sie PowerShell als Administrator und führen Sie folgende Befehle aus:
Install-Module Microsoft.Graph -Scope CurrentUserBestätigen Sie eventuelle Nachfragen zur Installation aus nicht vertrauenswürdigen Repositories mit ‘J’ oder ‘A’. Das `CurrentUser`-Flag installiert das Modul nur für den aktuellen Benutzer, was oft ausreichend ist. Für eine systemweite Installation lassen Sie ` -Scope CurrentUser` weg (erfordert Admin-Rechte).
Schritt 2: Verbindung zu Microsoft Graph und Entra ID herstellen
Nach der Installation müssen Sie eine Verbindung zu Ihrem Entra ID Tenant herstellen. Dabei ist es entscheidend, die richtigen Berechtigungen anzufordern. Für das Auflisten von Geräten benötigen Sie mindestens die Berechtigung `Device.Read.All`. Es ist immer ratsam, dem Prinzip der geringsten Rechte (Principle of Least Privilege) zu folgen.
Connect-MgGraph -Scopes "Device.Read.All"Ein Anmeldefenster wird angezeigt, in dem Sie sich mit Ihren Entra ID Anmeldeinformationen authentifizieren müssen. Stellen Sie sicher, dass das verwendete Konto die notwendigen Rechte besitzt, um Gerätedaten zu lesen (z.B. Global Administrator, Cloud Device Administrator, Global Reader). Nach erfolgreicher Authentifizierung ist die Verbindung hergestellt.
Schritt 3: Alle Geräte auflisten
Der Kernbefehl zum Abrufen von Geräten ist `Get-MgDevice`. Ohne weitere Parameter listet dieser Befehl alle Geräte auf, die in Ihrem Tenant registriert sind.
Get-MgDeviceBeachten Sie, dass `Get-MgDevice` standardmäßig möglicherweise nicht alle Eigenschaften zurückgibt, die Sie benötigen. Microsoft Graph verwendet Paging für große Datensätze, was bedeutet, dass Sie möglicherweise den `-All`-Parameter verwenden müssen, um alle Geräte abzurufen, wenn die Anzahl der Geräte das Standard-Paging-Limit überschreitet.
Get-MgDevice -All | Select-Object DisplayName, OperatingSystem, OperatingSystemVersion, DeviceId, AccountEnabled, TrustType, ApproximateLastSignInDateTimeMit `Select-Object` können Sie gezielt die Eigenschaften auswählen, die Sie interessieren. Dies ist ein entscheidender Schritt, um eine übersichtliche und relevante Liste zu erstellen.
Schritt 4: Geräte filtern für spezifische Anforderungen
Die Stärke von PowerShell liegt in seiner Filterfähigkeit. Sie können Geräte basierend auf einer Vielzahl von Kriterien filtern.
- Nach Gerätestatus (aktiv/deaktiviert):
Get-MgDevice -Filter "accountEnabled eq true" -All | Select-Object DisplayName, OperatingSystem, ApproximateLastSignInDateTimeDies listet nur die aktiven Geräte auf.
Get-MgDevice -Filter "trustType eq 'AzureAd'" -All | Select-Object DisplayName, OperatingSystem, TrustTypeFür Hybrid Azure AD Joined wäre der Filter `trustType eq ‘ServerAd’`. Für Azure AD Registered wäre es `trustType eq ‘Workplace’`. (Bitte beachten Sie, dass die genauen `TrustType`-Werte sich je nach SDK-Version oder spezifischer Konfiguration leicht unterscheiden können. Die am häufigsten verwendeten sind ‘AzureAd’ für AAD Joined und ‘Workplace’ für AAD Registered.)
Get-MgDevice -Filter "operatingSystem eq 'Windows'" -All | Select-Object DisplayName, OperatingSystem, OperatingSystemVersionOder spezifischer:
Get-MgDevice -Filter "operatingSystemVersion startsWith '10.0.1904'" -All | Select-Object DisplayName, OperatingSystem, OperatingSystemVersion$staleDate = (Get-Date).AddDays(-90)
Get-MgDevice -Filter "approximateLastSignInDateTime lt '$($staleDate.ToString('yyyy-MM-ddTHH:mm:ssZ'))'" -All | Select-Object DisplayName, ApproximateLastSignInDateTime, AccountEnabledDieser Befehl hilft Ihnen, Geräte zu identifizieren, die sich seit 90 Tagen nicht mehr angemeldet haben, was ein Indikator für veraltete oder nicht mehr genutzte Geräte sein kann. Der Formatstring `yyyy-MM-ddTHH:mm:ssZ` ist wichtig, da Microsoft Graph das ISO 8601-Format für Datums- und Zeitwerte erwartet.
Schritt 5: Exportieren der Daten
Nachdem Sie die gewünschten Geräteinformationen gesammelt und gefiltert haben, können Sie sie in verschiedene Formate exportieren, wobei CSV (Comma Separated Values) am gebräuchlichsten ist.
Get-MgDevice -All | Select-Object DisplayName, OperatingSystem, OperatingSystemVersion, DeviceId, AccountEnabled, TrustType, ApproximateLastSignInDateTime | Export-Csv -Path "C:TempEntraID_Devices.csv" -NoTypeInformation -Encoding UTF8Stellen Sie sicher, dass der angegebene Pfad existiert und Sie Schreibberechtigungen haben. Der Parameter `-NoTypeInformation` verhindert, dass PowerShell eine Kopfzeile mit Typinformationen hinzufügt, was die Datei sauberer macht. `-Encoding UTF8` sorgt für die korrekte Darstellung von Sonderzeichen.
Absolutes Vermeiden des Wiederherstellungsschlüssel-Exports über PowerShell
Ein entscheidender Punkt, der hier betont werden muss: Die Befehle des Microsoft Graph PowerShell SDK, wie `Get-MgDevice`, sind standardmäßig so konzipiert, dass sie keine sensiblen Daten wie BitLocker-Wiederherstellungsschlüssel zurückgeben. Um überhaupt auf BitLocker-Schlüssel zugreifen zu können, müssten Sie sehr spezifische Microsoft Graph-Endpunkte aufrufen (z.B. `/deviceManagement/managedDevices/{managedDeviceId}/recoveries`) und über erweiterte, hochprivilegierte Berechtigungen verfügen (z.B. `BitLockerKey.Read.All`). Die hier gezeigten Standardbefehle zum Auflisten von Geräten sind absolut sicher in Bezug auf den Schutz Ihrer Wiederherstellungsschlüssel und erfordern nur die `Device.Read.All`-Berechtigung.
Methode 3: Microsoft Graph API (für fortgeschrittene Anwendungsfälle)
Für Entwickler oder bei der Integration in größere Anwendungen kann die direkte Nutzung der Microsoft Graph API über HTTP-Anfragen eine Option sein. Die PowerShell-Befehle basieren intern auf dieser API. Der Endpunkt für Geräte ist `/devices`. Die benötigte Berechtigung ist ebenfalls `Device.Read.All`. Auch hier gilt: Die API gibt standardmäßig keine BitLocker-Wiederherstellungsschlüssel zurück. Für diese müssten separate, hochprivilegierte Anfragen gestellt werden.
Best Practices für die Geräteverwaltung in Entra ID
Unabhängig davon, welche Methode Sie zur Geräteinventarisierung verwenden, gibt es einige bewährte Verfahren, die Sie beachten sollten:
- Regelmäßige Audits: Führen Sie in regelmäßigen Abständen Geräteaudits durch, um sicherzustellen, dass Ihre Liste aktuell ist und keine unbekannten oder nicht konformen Geräte vorhanden sind.
- Entfernen Sie veraltete Geräte: Deaktivieren oder löschen Sie Geräte, die über einen längeren Zeitraum (z.B. 90 oder 180 Tage) keine Anmeldung in Entra ID hatten. Dies reduziert die Angriffsfläche und verbessert die Hygiene Ihres Tenants.
- Prinzip der geringsten Rechte: Stellen Sie sicher, dass die Konten, die zum Auflisten von Geräten verwendet werden, nur die absolut notwendigen Berechtigungen besitzen (z.B. `Device.Read.All`).
- Automatisierung: Nutzen Sie PowerShell-Skripte, um den Prozess der Geräteinventarisierung zu automatisieren. Dies spart Zeit und reduziert menschliche Fehler.
- Dokumentation: Dokumentieren Sie Ihre Prozesse und Skripte, um Konsistenz zu gewährleisten und bei zukünftigen Änderungen oder Personalwechseln eine reibungslose Übergabe zu ermöglichen.
Zusammenfassende Vorteile der PowerShell-Methode
Die Verwendung von PowerShell und dem Microsoft Graph PowerShell SDK bietet gegenüber dem Entra Admin Center erhebliche Vorteile, insbesondere bei der Geräteinventarisierung:
- Granularität und Flexibilität: Präzise Filterung und Auswahl der gewünschten Eigenschaften.
- Automatisierung: Ideal für wiederkehrende Aufgaben und das Erstellen von Skripten.
- Skalierbarkeit: Effiziente Handhabung einer großen Anzahl von Geräten.
- Sicherheit: Kein unbeabsichtigter Export von BitLocker-Wiederherstellungsschlüsseln, da diese Daten nicht Teil der Standardabfragen sind.
- Anpassbare Ausgabe: Export in verschiedene Formate wie CSV, JSON oder direkter Import in andere Systeme.
Fazit
Eine aktuelle und sichere Inventarisierung aller Geräte in Entra ID ist eine Grundvoraussetzung für jede moderne IT-Sicherheitsstrategie. Während das Entra Admin Center eine gute erste Anlaufstelle für einen schnellen Überblick bietet, ist PowerShell mit dem Microsoft Graph PowerShell SDK das Tool der Wahl für Administratoren, die Wert auf Detailtiefe, Automatisierung und vor allem Sicherheit legen. Durch die Nutzung der hier beschriebenen Methoden können Sie nicht nur schnell und effizient eine umfassende Liste Ihrer Geräte erstellen, sondern auch mit der Gewissheit agieren, dass sensible Daten wie BitLocker-Wiederherstellungsschlüssel jederzeit geschützt bleiben und nicht unbeabsichtigt exponiert werden. Investieren Sie in die Beherrschung dieser Techniken, und Sie werden Ihre Geräteverwaltung auf ein neues Niveau heben.