Bei Microsoft anmelden
Melden Sie sich an, oder erstellen Sie ein Konto.
Hallo,
Wählen Sie ein anderes Konto aus.
Sie haben mehrere Konten.
Wählen Sie das Konto aus, mit dem Sie sich anmelden möchten.

Zusammenfassung

Dieser Artikel hilft Ihnen, Probleme in Geräten zu erkennen und zu beheben, die von dem Sicherheitsrisiko betroffen sind, das in Microsoft-Sicherheitsempfehlung ADV170012 beschrieben wird.

Dieser Prozess konzentriert sich auf die folgenden von Microsoft angebotenen Verwendungsszenarien für Windows Hello for Business (WHFB) und Azure AD-Verwendungsszenarien (AAD):

  • Einbindung in Azure AD

  • Hybride Einbindung in Azure AD

  • Registriert bei Azure AD

Weitere Informationen

 Identifizieren Ihres AAD-Verwendungsszenarios 

  1. Öffnen Sie ein Eingabeaufforderungsfenster.

  2. Rufen Sie den Gerätestatus ab, indem Sie den folgenden Befehl ausführen:

    dsregcmd.exe /status

  3. Untersuchen Sie in der Befehlsausgabe die Werte der in der folgenden Tabelle aufgelisteten Eigenschaften, um Ihr AAD-Verwendungsszenario zu ermitteln.

    Eigenschaft

    Beschreibung

    AzureAdJoined

    Gibt an, ob das Gerät in Azure AD eingebunden ist.

    EnterpriseJoined

    Gibt an, ob das Gerät in AD FS eingebunden ist. Dies ist Teil eines rein lokalen Kundenszenarios, in dem Windows Hello for Business lokal bereitgestellt ist und verwaltet wird.

    DomainJoined

    Gibt an, ob das Gerät in eine herkömmliche Active Directory-Domäne eingebunden ist.

    WorkplaceJoined

    Gibt an, ob der aktuelle Benutzer ein Geschäfts-, Schul- oder Unikonto zu seinem aktuellen Profil hinzugefügt hat. Dies wird als Registriert bei Azure AD bezeichnet. Diese Einstellung wird vom System ignoriert, wenn das Gerät die Eigenschaft „AzureAdJoined“ aufweist.

Hybrid in Azure AD eingebunden

Wenn „DomainJoined“ und „AzureAdJoined“ den Status yes haben, ist das Gerät hybrid in Azure AD eingebunden. Daher ist das Gerät in Azure Active Directory und in eine herkömmliche Active Directory-Domäne eingebunden.

Workflow

Bereitstellungen und Implementierungen können je nach Organisation unterschiedlich sein. Wir haben den folgenden Workflow für die Bereitstellung der Tools entworfen, die Sie zum Entwickeln Ihres eigenen internen Plans mit vorbeugenden Maßnahmen für betroffene Geräte benötigen. Der Workflow umfasst die folgenden Schritte:

  1. Identifizieren Sie die betroffenen Geräte. Suchen Sie in Ihrer Umgebung nach betroffenen TPMs (Trusted Platform Modules), Schlüsseln und Geräten.

  2. Wenden Sie Patches auf die betroffenen Geräte an. Beheben Sie die Auswirkungen auf die identifizierten Geräte, indem Sie die szenariospezifischen Schritte aus diesem Artikel ausführen.

Hinweis zum Löschen von TPMs

Da in TPMs Geheimnisse gespeichert werden, die von verschiedenen Diensten und Anwendungen verwendet werden, kann das Löschen des TPM unvorhergesehene oder negative geschäftliche Auswirkungen haben. Vor dem Löschen von TPMs müssen Sie überprüfen und sicherstellen, dass alle Dienste und Anwendungen, die TPM-gestützte Geheimnisse verwenden, ordnungsgemäß identifiziert und für das Löschen und erneute Erstellen der Geheimnisse vorbereitet wurden.

Identifizieren der betroffenen Geräte

Weitere Informationen zum Identifizieren der betroffenen TPMs finden Sie unter Microsoft-Sicherheitsempfehlung ADV170012.

Anwenden von Patches auf die betroffenen Geräte

Führen Sie je nach AAD-Verwendungsszenario die folgenden Schritte für die betroffenen Geräte aus.

  1. Stellen Sie sicher, dass auf dem Gerät ein gültiges lokales Administratorkonto vorhanden ist, oder erstellen Sie ein lokales Administratorkonto.

    Hinweis

    Es wird empfohlen, zu überprüfen, ob das Konto funktioniert. Melden Sie sich dazu mit dem neuen lokalen Administratorkonto beim Gerät an, und überprüfen Sie die Richtigkeit der Berechtigungen, indem Sie eine Eingabeaufforderung mit erhöhten Rechten öffnen.

     

  2. Wenn Sie sich auf dem Gerät mit einem Microsoft-Konto angemeldet haben, gehen Sie zu Einstellungen > Konten > E-Mail- & App-Konten, und entfernen Sie das verbundene Konto.

  3. Installieren Sie ein Firmwareupdate für das Gerät.

    Hinweis

    Folgen Sie den Anweisungen des OEM zum Anwenden des TPM-Firmwareupdates. Weitere Informationen zum Beziehen des TPM-Updates von Ihrem OEM finden Sie unter Schritt 4: „Anwenden von zutreffenden Firmwareupdates“, in Microsoft-Sicherheitsempfehlung ADV170012

     

  4. Trennen Sie das Gerät von Azure AD.

    Hinweis

    Stellen Sie sicher, dass Ihr BitLocker-Schlüssel an einem anderen Ort als auf dem lokalen Computer gesichert ist, bevor Sie fortfahren.

    1. Gehen Sie zu Einstellungen > System > Info, und klicken Sie dann auf Arbeit oder Schule verwalten bzw. davon trennen.

    2. Klicken Sie auf Verbunden mit <Azure AD>und dann auf Trennen.

    3. Klicken Sie auf Ja, wenn Sie zur Bestätigung aufgefordert werden.

    4. Klicken Sie auf Trennen, wenn die Eingabeaufforderung „Verbindung mit Organisation trennen“ angezeigt wird.

    5. Geben Sie die Informationen für das lokale Administratorkonto für das Gerät ein.

    6. Klicken Sie auf Später neu starten.

  5. Löschen Sie das TPM.

    Hinweis

    Beim Löschen des TPM werden alle Schlüssel und Geheimnisse entfernt, die auf dem Gerät gespeichert sind. Stellen Sie sicher, dass andere Dienste, die das TPM nutzen, angehalten oder überprüft sind, bevor Sie fortfahren.


    Windows 8 oder höher: BitLocker wird automatisch angehalten, wenn Sie das TPM mit einer der beiden unten beschriebenen empfohlenen Methoden löschen.

    Windows 7: Sie müssen BitLocker manuell anhalten, bevor Sie fortfahren. (Weitere Informationen zum Anhalten von BitLocker.)
     

    1. Verwenden Sie eine der folgenden Methoden, um das TPM zu löschen:

      • Verwenden Sie Microsoft Management Console.

        1. Drücken Sie WINDOWS-TASTE+R, geben Sie tpm.msc ein, und klicken Sie auf OK.

        2. Klicken Sie auf TPM löschen.

      • Führen Sie das Clear-Tpm-Cmdlet aus.

    2. Klicken Sie auf Neu starten.


      Hinweis Möglicherweise werden Sie aufgefordert, das TPM beim Starten zu löschen.

  6. Melden Sie sich nach dem Neustart des Geräts mit dem lokalen Administratorkonto an.

  7. Binden Sie das Gerät wieder in Azure AD ein. Möglicherweise werden Sie bei der nächsten Anmeldung aufgefordert, eine neue PIN einzurichten.

  1. Wenn Sie sich auf dem Gerät mit einem Microsoft-Konto angemeldet haben, gehen Sie zu Einstellungen > Konten > E-Mail- & App-Konten, und entfernen Sie das verbundene Konto.

  2. Führen Sie an einer Eingabeaufforderung mit erhöhten Rechten den folgenden Befehl aus:

    dsregcmd.exe /leave /debug

    Hinweis

    Die Befehlsausgabe sollte Folgendes angeben: „AzureADJoined: No“.

     

  3. Installieren Sie ein Firmwareupdate für das Gerät.

    Hinweis

    Hinweis Folgen Sie den Anweisungen des OEM zum Anwenden des TPM-Firmwareupdates. Weitere Informationen zum Beziehen des TPM-Updates von Ihrem OEM finden Sie unter Schritt 4: „Anwenden von zutreffenden Firmwareupdates“, in Microsoft-Sicherheitsempfehlung ADV170012

  4. Löschen Sie das TPM.

    Hinweis

    Beim Löschen des TPM werden alle Schlüssel und Geheimnisse entfernt, die auf dem Gerät gespeichert sind. Stellen Sie sicher, dass andere Dienste, die das TPM nutzen, angehalten oder überprüft sind, bevor Sie fortfahren.


    Windows 8 oder höher: BitLocker wird automatisch angehalten, wenn Sie das TPM mit einer der beiden unten beschriebenen empfohlenen Methoden löschen.

    Windows 7: Sie müssen BitLocker manuell anhalten, bevor Sie fortfahren. (Weitere Informationen zum Anhalten von BitLocker.)

     

    1. Verwenden Sie eine der folgenden Methoden, um das TPM zu löschen:

      • Verwenden Sie Microsoft Management Console.

        1. Drücken Sie WINDOWS-TASTE+R, geben Sie tpm.msc ein, und klicken Sie auf OK.

        2. Klicken Sie auf TPM löschen.

      • Führen Sie das Clear-Tpm-Cmdlet aus.

    2. Klicken Sie auf Neu starten.


      Hinweis Möglicherweise werden Sie aufgefordert, das TPM beim Starten zu löschen.

Wenn das Gerät gestartet wird, generiert Windows neue Schlüssel und bindet das Gerät automatisch wieder in Azure AD ein. Während dieser Zeit können Sie das Gerät verwenden. Der Zugriff auf Ressourcen wie Microsoft Outlook, OneDrive und andere Anwendungen, für die SSO oder Richtlinien für bedingten Zugriff erforderlich sind, ist jedoch möglicherweise eingeschränkt.

Hinweis Wenn Sie ein Microsoft-Konto verwenden, müssen Sie das Kennwort kennen.

  1. Installieren Sie ein Firmwareupdate für das Gerät.

    Hinweis

    Folgen Sie den Anweisungen des OEM zum Anwenden des TPM-Firmwareupdates. Weitere Informationen zum Beziehen des TPM-Updates von Ihrem OEM finden Sie unter Schritt 4: „Anwenden von zutreffenden Firmwareupdates“, in Microsoft-Sicherheitsempfehlung ADV170012

     

  2. Entfernen Sie das Azure AD-Geschäftskonto.

    1. Gehen Sie zu Einstellungen > Konten > Auf Arbeits- oder Schulkonto zugreifen, klicken Sie auf Ihr Geschäfts-, Schul- oder Unikonto und dann auf Trennen.

    2. Klicken Sie auf Ja, um die Trennung zu bestätigen.

  3. Löschen Sie das TPM.

    Hinweis

    Beim Löschen des TPM werden alle Schlüssel und Geheimnisse entfernt, die auf dem Gerät gespeichert sind. Stellen Sie sicher, dass andere Dienste, die das TPM nutzen, angehalten oder überprüft sind, bevor Sie fortfahren.


    Windows 8 oder höher: BitLocker wird automatisch angehalten, wenn Sie das TPM mit einer der beiden unten beschriebenen empfohlenen Methoden löschen.

    Windows 7: Sie müssen BitLocker manuell anhalten, bevor Sie fortfahren. (Weitere Informationen zum Anhalten von BitLocker.)

     

    1. Verwenden Sie eine der folgenden Methoden, um das TPM zu löschen:

      • Verwenden Sie Microsoft Management Console.

        1. Drücken Sie WINDOWS-TASTE+R, geben Sie tpm.msc ein, und klicken Sie auf OK.

        2. Klicken Sie auf TPM löschen.

      • Führen Sie das Clear-Tpm-Cmdlet aus.

    2. Klicken Sie auf Neu starten.


      Hinweis Möglicherweise werden Sie aufgefordert, das TPM beim Starten zu löschen.

    3. Wenn Sie ein Microsoft-Konto mit einer PIN verwendet haben, müssen Sie sich mit dem Kennwort beim Gerät anmelden.

    4. Fügen Sie das Geschäftskonto wieder zum Gerät hinzu.

      1. Gehen Sie zu Einstellungen > Konten > Auf Arbeits- oder Schulkonto zugreifen, und klicken Sie auf Verbinden.

      2. Geben Sie Ihr Geschäftskonto ein, und klicken Sie dann auf Weiter.

      3. Geben Sie Ihr Geschäftskonto und das zugehörige Kennwort ein, und klicken Sie dann auf Anmelden.

      4. Wenn Ihre Organisation Azure Multi-Factor Authentication für das Einbinden von Geräten in Azure AD konfiguriert hat, geben Sie die Informationen für die zweite Stufe ein, bevor Sie fortfahren.

      5. Vergewissern Sie sich, dass die angezeigten Informationen richtig sind, und klicken Sie dann auf Join (Beitreten). Daraufhin sollte die folgende Meldung angezeigt werden:

        You’re all set! We’ve added your account successfully You now have access to your organizations apps and services.

 

Facebook LinkedIn E-Mail
RSS-FEEDS ABONNIEREN

Benötigen Sie weitere Hilfe?

Möchten Sie weitere Optionen?

Entdecken Community

Erkunden Sie die Abonnementvorteile, durchsuchen Sie Trainingskurse, erfahren Sie, wie Sie Ihr Gerät schützen und vieles mehr.

Vorteile des Microsoft 365-Abonnements

Microsoft 365-Training

Microsoft Security

Barrierefreiheitscenter

In den Communities können Sie Fragen stellen und beantworten, Feedback geben und von Experten mit umfassendem Wissen hören.

Fragen Sie die Microsoft Community

Microsoft Tech Community

Windows-Insider

Microsoft 365 Insider

War diese Information hilfreich?

Wie zufrieden sind Sie mit der Sprachqualität?
Was hat Ihre Erfahrung beeinflusst?
Wenn Sie auf "Absenden" klicken, wird Ihr Feedback zur Verbesserung von Produkten und Diensten von Microsoft verwendet. Ihr IT-Administrator kann diese Daten sammeln. Datenschutzbestimmungen.

Vielen Dank für Ihr Feedback!

×