Geräteverwaltung in modernen IT-Umgebungen ist eine komplexe Angelegenheit, die oft mehr als nur einen Klick oder eine Rollenzuweisung erfordert. Haben Sie sich jemals gefragt, warum Sie als frisch ernannter Geräteadministrator in Entra ID (ehemals Azure AD) plötzlich feststellen, dass Sie auf den Geräten Ihrer Benutzer keine Einstellungen ändern können? Dieses Phänomen ist frustrierend und leider weit verbreitet. Sie sehen die Rolle zugewiesen, fühlen sich ermächtigt, stoßen aber an eine unsichtbare Wand. Keine Sorge, Sie sind nicht allein. Dieser Artikel beleuchtet die Ursachen dieses Paradoxons und bietet Ihnen eine detaillierte, umsetzbare Lösung, um wieder die volle Kontrolle über Ihre Endpunkte zu erlangen.
Das Paradoxon verstehen: Entra ID-Rollen vs. Lokale Berechtigungen
Der Kern des Problems liegt in einem grundlegenden Missverständnis über die Art und Weise, wie Berechtigungen in einer modernen, cloudbasierten Umgebung wie Microsoft Entra ID funktionieren und wie diese mit den traditionellen lokalen Berechtigungen auf Windows-Geräten interagieren.
Was bedeutet „Geräteadministrator” in Entra ID wirklich?
Die Rolle „Geräteadministrator” in Entra ID klingt mächtig, oder? Man würde erwarten, dass sie umfassende Rechte zur Verwaltung von Geräten verleiht. In der Tat ist die Hauptfunktion dieser Rolle die Verwaltung von Geräteeigenschaften innerhalb des Entra ID-Verzeichnisses. Das bedeutet, ein Benutzer mit dieser Rolle kann:
- Geräte im Entra ID-Portal aktivieren oder deaktivieren.
- Geräte löschen.
- Bestimmte Geräteeigenschaften (wie z.B. Anzeigenamen) ändern.
- BitLocker-Wiederherstellungsschlüssel abrufen.
Kurz gesagt: Diese Rolle hat keine direkten Auswirkungen auf die lokalen Berechtigungen auf den physischen oder virtuellen Endpunkten selbst. Sie verwaltet das Geräteobjekt in der Cloud, nicht die lokalen Berechtigungen auf dem Gerät.
Der Unterschied zwischen Entra ID-Rollen und lokalen Admin-Rechten
Hier liegt der Knackpunkt:
- Entra ID-Rollen (RBAC – Role-Based Access Control): Diese steuern, was ein Benutzer im Entra ID-Portal oder über Microsoft Graph APIs tun kann. Sie sind auf die Cloud-Ressourcen und -Objekte beschränkt.
- Lokale Administratorrechte: Diese sind die traditionellen Berechtigungen, die festlegen, was ein Benutzer auf dem Gerät selbst tun kann. Dazu gehören das Installieren von Software, das Ändern von Systemkonfigurationen, das Verwalten von Diensten und vieles mehr. Diese Rechte werden über die lokale Administratorgruppe oder über Domänenadministratorgruppen in einer Active Directory-Umgebung verwaltet.
Das bedeutet, selbst wenn Sie der höchste „Geräteadministrator” in Entra ID sind, können Sie ohne entsprechende lokale Berechtigungen keine Anwendungen installieren, keine Systemdienste starten oder beenden oder tiefgreifende Konfigurationsänderungen auf einem Windows-Gerät vornehmen. Es ist, als hätten Sie den Schlüssel zum Lagerhaus, aber nicht den Schlüssel zur Werkzeugkiste darin.
Warum diese Trennung existiert
Diese Trennung ist nicht willkürlich, sondern ein zentrales Sicherheitsmerkmal moderner IT-Architekturen. Sie fördert das Prinzip der geringsten Rechte (Principle of Least Privilege – PoLP) und die Entkopplung von Cloud-Verwaltung und lokaler Geräteausführung. In einer idealen Welt sollen nur die absolut notwendigen Berechtigungen vergeben werden, um das Risiko von Kompromittierungen und lateralen Bewegungen innerhalb des Netzwerks zu minimieren. Außerdem spiegelt es die historische Entwicklung wider: Traditionelle lokale Rechte wurden nicht einfach „wegabstrahiert”, sondern müssen gezielt an die Cloud-Welt angebunden werden.
Häufige Szenarien und Ursachen für „Admin ohne Macht”
Um die Lösung zu finden, müssen wir die spezifischen Szenarien betrachten, in denen dieses Problem auftritt:
- Geräte sind nur Azure AD registriert (Azure AD Registered):
- Diese Geräte gehören normalerweise dem Benutzer selbst (BYOD – Bring Your Own Device).
- Sie sind mit einem Entra ID-Konto angemeldet, aber die Verwaltung obliegt weiterhin primär dem lokalen Benutzer (der in der Regel der lokale Administrator ist).
- Organisationen haben hier typischerweise geringere Kontrolle und der „Geräteadministrator” in Entra ID hat praktisch keine lokalen Rechte auf dem Gerät.
- Geräte sind Azure AD Joined oder Hybrid Azure AD Joined:
- Dies sind unternehmenseigene Geräte, die direkt mit Entra ID (oder einer Kombination aus lokaler AD und Entra ID) verbunden sind.
- Bei Azure AD Joined-Geräten werden standardmäßig die Globalen Administratoren und Cloud-Geräteadministratoren (eine spezielle Entra ID-Rolle für lokale Admins) von Entra ID zur lokalen Administratorgruppe hinzugefügt. Dies geschieht aber nur zum Zeitpunkt des Joins und nicht dynamisch!
- Bei Hybrid Azure AD Joined-Geräten werden die lokalen Administratorrechte traditionell über Gruppenrichtlinien (GPOs) vom lokalen Active Directory aus verwaltet. Hier haben Entra ID-Rollen per se keine direkten Auswirkungen auf die lokale Administratorgruppe, es sei denn, es wird eine spezielle Brücke geschlagen.
- Fehlende Intune-Integration oder falsche Konfiguration:
- Viele Organisationen, die Entra ID nutzen, setzen auch Microsoft Intune (Teil von Microsoft Endpoint Manager) für die Geräteverwaltung ein. Intune ist der Schlüssel zur Überbrückung der Kluft zwischen Entra ID-Rollen und lokalen Geräteberechtigungen.
- Ohne Intune oder mit einer falsch konfigurierten Intune-Richtlinie fehlen die Mechanismen, um Entra ID-Benutzern oder -Gruppen lokale Administratorrechte auf den Endpunkten zuzuweisen.
Die LÖSUNG: Wie man echte Macht erlangt
Die Lösung für das Dilemma des machtlosen Entra ID-Geräteadministrators liegt in der Nutzung der richtigen Werkzeuge und der Verknüpfung von Cloud-Identitäten mit lokalen Berechtigungen. Das primäre Werkzeug der Wahl ist Microsoft Intune.
Der Königsweg: Microsoft Intune (Teil von Microsoft Endpoint Manager)
Microsoft Intune ist eine cloudbasierte Mobile Device Management (MDM) und Mobile Application Management (MAM)-Lösung, die es Ihnen ermöglicht, Geräte und Anwendungen zu verwalten. Es ist die Brücke, die Sie benötigen, um Entra ID-Benutzern oder -Gruppen auf Ihren verwalteten Windows-Geräten lokale Administratorrechte zuzuweisen.
Schritt-für-Schritt-Anleitung zur Zuweisung lokaler Administratorrechte über Intune:
- Voraussetzungen prüfen:
- Stellen Sie sicher, dass Ihre Geräte bei Intune registriert sind. Dies geschieht in der Regel über MDM Auto-Enrollment bei Azure AD Joined Geräten oder manuell/per Gruppenrichtlinie für Hybrid Azure AD Joined Geräte.
- Verfügen Sie über die notwendigen Berechtigungen in Entra ID und Intune (z.B. Intune-Administrator, Globaler Administrator).
- Erstellen Sie eine Entra ID-Gruppe für lokale Administratoren:
- Es ist Best Practice, eine dedizierte Sicherheitsgruppe in Entra ID zu erstellen, z.B. „SG_LocalAdmins_ITSupport”.
- Fügen Sie dieser Gruppe die Benutzer hinzu, die lokale Administratorrechte auf den Geräten erhalten sollen. Dies können einzelne Benutzer oder andere Entra ID-Gruppen sein.
- Gehen Sie zu
Entra ID Admin Center > Gruppen > Alle Gruppen > Neue Gruppe. - Wählen Sie
Sicherheitals Gruppentyp, geben Sie einen Namen und eine Beschreibung ein und weisen Sie Besitzer und Mitglieder zu.
- Konfigurieren Sie ein „Gerätekonfigurationsprofil” in Intune:
- Navigieren Sie zum Microsoft Intune Admin Center (endpoint.microsoft.com).
- Gehen Sie zu
Geräte > Windows > Konfigurationsprofile > Profil erstellen. - Wählen Sie als Plattform
Windows 10 und höherund als ProfilEinstellungenkatalogfür maximale Flexibilität.
- Einstellungen im Einstellungenkatalog konfigurieren:
- Geben Sie dem Profil einen Namen (z.B. „Lokale Admin-Zuweisung für IT-Support”).
- Im Abschnitt
Konfigurationseinstellungenklicken Sie aufEinstellungen hinzufügen. - Suchen Sie nach „Lokale Benutzer und Gruppen”.
- Wählen Sie unter
Local Users and Groups > Groupsdie EinstellungConfigure Local Group Membership. - Wählen Sie
Administrators (Built-in)als lokale Gruppe. - Unter
Group members (Add)fügen Sie die Objekt-ID (Security Identifier – SID der Entra ID-Gruppe) der Entra ID-Sicherheitsgruppe hinzu, die Sie in Schritt 2 erstellt haben.- Die Objekt-ID finden Sie im Entra ID Admin Center unter den Eigenschaften der Gruppe.
- Wichtig: Verwenden Sie die Objekt-ID (GUID), nicht den Anzeigenamen, um Fehler zu vermeiden.
- Stellen Sie sicher, dass die Operation „Add (Update)” ist, um bestehende lokale Administratoren nicht zu entfernen.
- Zuweisung des Profils zu den Geräten:
- Im Abschnitt
Zuweisungenwählen Sie die Entra ID-Gruppen von Geräten oder Benutzern aus, auf die dieses Profil angewendet werden soll. - Es ist Best Practice, Gerätegruppen zuzuweisen, z.B. „Alle Windows 10/11 Geräte”, oder eine spezifische Testgruppe.
- Im Abschnitt
- Überprüfen und Erstellen:
- Überprüfen Sie alle Einstellungen und erstellen Sie das Profil.
Sobald das Profil zugewiesen ist, wird Intune es auf die Zielgeräte pushen. Die Geräte verarbeiten die Richtlinie, und die Mitglieder der von Ihnen definierten Entra ID-Sicherheitsgruppe erhalten lokale Administratorrechte auf diesen Geräten. Ein Neustart des Geräts kann in manchen Fällen erforderlich sein, um die Änderungen vollständig anzuwenden, oft reicht jedoch schon ein Logout/Login des Benutzers.
Alternativen und Ergänzungen (für spezifische Szenarien)
Obwohl Intune der bevorzugte Weg ist, gibt es Situationen, in denen andere Methoden ins Spiel kommen:
- Für Hybrid Azure AD Joined Geräte: Gruppenrichtlinien (GPOs):
- Wenn Sie noch eine lokale Active Directory-Infrastruktur haben und Ihre Geräte Hybrid Azure AD Joined sind, können Sie traditionelle GPOs verwenden.
- Erstellen Sie eine GPO und navigieren Sie zu
Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Eingeschränkte Gruppen(Restricted Groups). - Fügen Sie die synchronisierte Entra ID-Gruppe (die auch im lokalen AD vorhanden ist) zur Gruppe „Administratoren” hinzu.
- Wichtig: Die Entra ID-Gruppe muss mit Azure AD Connect ins lokale Active Directory synchronisiert werden, damit sie in der GPO ausgewählt werden kann.
- Diese Methode funktioniert gut für bestehende Hybrid-Umgebungen, ist aber weniger „cloud-nativ” als Intune.
- Manuelle Zuweisung (selten die beste Option):
- In kleinen Umgebungen oder für einzelne, nicht verwaltete Geräte könnten Sie sich manuell über RDP oder physischen Zugang am Gerät anmelden und einen Entra ID-Benutzer zur lokalen Administratorgruppe hinzufügen.
- Dies ist nicht skalierbar, fehleranfällig und widerspricht dem Gedanken einer zentralisierten Verwaltung. Nur als absolute Notlösung.
- Windows Autopilot und die automatische Zuweisung:
- Beim Einsatz von Windows Autopilot für die Bereitstellung von neuen Geräten können Sie ebenfalls eine Zuweisung zu lokalen Administratorgruppen konfigurieren.
- Im Autopilot-Bereitstellungsprofil können Sie festlegen, ob der erstangemeldete Benutzer lokale Administratorrechte erhalten soll oder ob eine bestimmte Entra ID-Gruppe hinzugefügt wird. Dies ist ein leistungsstarkes Feature für die initiale Bereitstellung.
Best Practices und Überlegungen
- Prinzip der geringsten Rechte (PoLP): Weisen Sie niemals mehr Rechte zu, als unbedingt notwendig. Erstellen Sie spezifische Gruppen für spezifische Rollen (z.B. „Lokale Support-Admins”) und weisen Sie diese entsprechend zu.
- Sicherheit zuerst: Lokale Administratorrechte sind mächtig. Missbrauch oder Kompromittierung eines lokalen Admin-Kontos kann weitreichende Folgen haben. Überwachen Sie die Zuweisung und Nutzung dieser Rechte sorgfältig. Implementieren Sie Just-in-Time (JIT)-Zugriffslösungen für kritische Admin-Rollen, um die Angriffsfläche weiter zu reduzieren.
- Dokumentation: Dokumentieren Sie, welche Gruppen welche Rechte erhalten und warum. Dies ist entscheidend für Audits und die Fehlersuche.
- Regelmäßige Überprüfung: Überprüfen Sie regelmäßig die Mitglieder Ihrer lokalen Administratorgruppen und die zugewiesenen Richtlinien, um sicherzustellen, dass sie noch aktuell und sicher sind.
- Vermeidung von Schatten-IT: Eine klare Richtlinie und ein einfacher Weg zur Zuweisung von Berechtigungen können verhindern, dass Benutzer oder Abteilungen versuchen, das System zu umgehen, indem sie ihre eigenen „Schatten-Admin”-Lösungen schaffen.
Zusammenfassung und Ausblick
Das Gefühl, ein Entra ID Geräteadministrator zu sein, aber keine Kontrolle über die Endgeräte zu haben, ist eine klassische Falle im Übergang von traditioneller zu moderner IT-Verwaltung. Die Lösung liegt in einem tiefgreifenden Verständnis der Interaktion zwischen Entra ID-Rollen und lokalen Geräteberechtigungen sowie dem effektiven Einsatz von Management-Tools wie Microsoft Intune.
Indem Sie dedizierte Entra ID-Sicherheitsgruppen erstellen und diese über Intune-Konfigurationsprofile (insbesondere den Einstellungenkatalog für Lokale Benutzer und Gruppen) den lokalen Administratorgruppen auf Ihren Windows-Geräten zuweisen, verwandeln Sie Ihren „machtlosen” Admin-Status in echte, funktionale Kontrolle. Für Hybrid-Umgebungen bleiben GPOs eine valide Option, während Autopilot die initiale Bereitstellung vereinfacht.
Die moderne Geräteverwaltung erfordert einen ganzheitlichen Ansatz, der Identitäten, Geräte und Anwendungen über Cloud-Dienste hinweg miteinander verknüpft. Mit den hier beschriebenen Schritten können Sie sicherstellen, dass Ihre Administratoren die notwendigen Werkzeuge haben, um Ihre Endpunktumgebung effizient und sicher zu verwalten – und das ganz ohne die frustrierende Erfahrung eines „Admins ohne Macht”.