🔍
StartseiteHome Entra IDEntra ID Geräte in Entra IDDevices in Entra ID

Geräte in Entra ID Devices in Entra ID

Geräteidentitäten, Registrierungstypen, PRT, dsregcmd, Compliance, LAPS, BitLocker, Enterprise State Roaming und PowerShell-Referenz. Device identities, registration types, PRT, dsregcmd, compliance, LAPS, BitLocker, Enterprise State Roaming, and PowerShell reference.

RegistrierungstypenRegistration types

Entra Registered, Entra Joined und Hybrid Entra Joined decken BYOD-, Cloud- und On-Premises-Szenarien ab.Entra Registered, Entra Joined, and Hybrid Entra Joined cover BYOD, cloud, and on-premises scenarios.

Compliance & PRTCompliance & PRT

Intune-Compliance-Richtlinien und der Primary Refresh Token steuern den Conditional-Access-Zugriff.Intune compliance policies and the Primary Refresh Token control Conditional Access.

BitLocker / LAPSBitLocker / LAPS

BitLocker-Schlüssel und lokale Administrator-Passwörter werden über Entra ID und Intune verwaltet.BitLocker keys and local administrator passwords are managed through Entra ID and Intune.

GerätebereinigungDevice cleanup

Veraltete Geräteobjekte erhöhen den Tenant-Overhead und sollten regelmäßig bereinigt werden.Stale device objects increase tenant overhead and should be cleaned up regularly.

Geräteidentitäten in Microsoft Entra IDDevice identities in Microsoft Entra ID

Geräteidentitäten in Microsoft Entra ID sind ein zentrales Element der Zero-Trust-Strategie. Ein Gerät, das in Entra ID registriert oder eingebunden ist, erhält eine eigene Geräteobjekt-ID und kann als Signal in Conditional-Access-Richtlinien verwendet werden. Device identities in Microsoft Entra ID are a central element of the Zero Trust strategy. A device that is registered or joined to Entra ID receives its own device object ID and can be used as a signal in Conditional Access policies.

Das Gerätemanagement umfasst drei Kernbereiche: den Join-Typ, den Gerätezustand und die Compliance-Bewertung durch Intune. Alle drei Faktoren zusammen bestimmen, ob ein Benutzer Zugriff auf Unternehmensressourcen erhalten kann. Device management covers three core areas: the join type, the device state, and the compliance evaluation by Intune. All three factors together determine whether a user can access corporate resources.

ℹ️ Lizenzhinweisℹ️ Licensing note

Geräte-Registrierung und Entra Join sind in allen Entra ID Tiers enthalten. Für Intune-basierte Compliance-Richtlinien ist Microsoft Intune erforderlich. Entra ID P1 wird für Gerätebedingungen in Conditional Access benötigt. Device registration and Entra Join are included in all Entra ID tiers. Intune-based compliance policies require Microsoft Intune. Entra ID P1 is required for device conditions in Conditional Access.

AttributAttribute WerteValues BedeutungMeaning
accountEnabledaccountEnabled true / falsetrue / false Deaktivierte Geräte können keinen PRT erneuern und erhalten keine neuen Tokens.Disabled devices cannot renew their PRT and do not receive new tokens.
trustTypetrustType AzureAd / ServerAd / WorkplaceAzureAd / ServerAd / Workplace Joined / Hybrid Joined / RegisteredJoined / Hybrid Joined / Registered
isCompliantisCompliant true / false / nulltrue / false / null Durch Intune gesetzt; Bedingung für require compliant device in CA.Set by Intune; condition for require compliant device in CA.
approximateLastSignInDateTimeapproximateLastSignInDateTime TimestampTimestamp Letzter bekannter Anmeldezeitpunkt; wichtig für Stale-Device-Cleanup.Last known sign-in timestamp; important for stale device cleanup.
extensionAttributesextensionAttributes 1–15 custom attributes1–15 custom attributes Benutzerdefinierte Attribute für CA Device Filter oder Inventur.Custom attributes for CA device filters or inventory.

Registrierungstypen (Join-Typen)Registration types (join types)

Microsoft Entra ID unterstützt drei Gerätebindungstypen, die sich in Registrierungsweg, Eigentümerschaft und resultierenden Fähigkeiten unterscheiden. Microsoft Entra ID supports three device binding types that differ in registration path, ownership, and resulting capabilities.

Join-TypJoin type Geräte-OSDevice OS EigentümerOwner RegistrierungswegRegistration path SSO on-premSSO on-prem
Microsoft Entra Registered Windows, macOS, iOS, AndroidWindows, macOS, iOS, Android Benutzer (BYOD)User (BYOD) Einstellungen → Konten → Konto hinzufügen; Company PortalSettings → Accounts → Add account; Company Portal NeinNo
Microsoft Entra Joined Windows 10/11Windows 10/11 Organisation (Cloud-only)Organization (cloud-only) OOBE, Windows Autopilot, MassenregistrierungOOBE, Windows Autopilot, bulk enrollment Mit PHS/PTA/SSSOWith PHS/PTA/SSSO
Hybrid Entra Joined Windows 7–11, ServerWindows 7–11, Server Organisation (Hybrid)Organization (hybrid) SCP in AD, Entra Connect, automatische Registrierung per GPOSCP in AD, Entra Connect, automatic registration via GPO Ja (Kerberos)Yes (Kerberos)

Entra Registered – BYOD-SzenarioEntra Registered – BYOD scenario

Bei Entra Registered bleibt das Gerät im privaten oder unternehmensfremden Besitz. Der Benutzer fügt ein Arbeitskonto hinzu. Entra ID erhält dadurch ein Geräteobjekt mit dem Join-Typ Registered. Das Gerät kann für MAM ohne vollständige MDM-Enrollment genutzt werden. With Entra Registered the device remains privately owned. The user adds a work or school account. Entra ID receives a device object with join type Registered. The device can be used for MAM without full MDM enrollment.

⚠️ Einschränkungen⚠️ Limitations

Entra Registered Geräte erhalten keinen Primary Refresh Token (PRT) und sind daher für starke Gerätebedingungen in CA (z. B. compliant device) meist nicht geeignet. Entra Registered devices do not receive a Primary Refresh Token (PRT) and are therefore usually not suitable for strong device conditions in CA (e.g., compliant device).

Hybrid Entra Joined – Service Connection PointHybrid Entra Joined – Service Connection Point

Für Hybrid Join muss ein SCP im Active Directory konfiguriert sein. Entra Connect konfiguriert den SCP automatisch oder er kann manuell gesetzt werden. Der SCP verweist die Clients auf den Tenant, bei dem die Registrierung stattfindet. For Hybrid Join a Service Connection Point (SCP) must be configured in Active Directory. Entra Connect configures the SCP automatically, or it can be set manually. The SCP directs clients to the tenant where registration takes place.

Geräte-RegistrierungsprozessDevice registration process

Der Registrierungsprozess variiert je nach Join-Typ. Für moderne Cloud-Umgebungen ist Windows Autopilot der empfohlene Weg; für Hybrid-Umgebungen übernimmt Entra Connect die Gerätesynchronisation. The registration process varies by join type. For modern cloud environments Windows Autopilot is the recommended path; for hybrid environments Entra Connect handles device synchronization.

MethodeMethod SzenarioScenario VoraussetzungenPrerequisites
Windows AutopilotWindows Autopilot Cloud-Only Deployment, Zero-TouchCloud-only deployment, zero-touch Intune, Geräte-Hash in Autopilot hinterlegtIntune, device hash registered in Autopilot
OOBE (Out-of-Box Experience)OOBE (Out-of-Box Experience) Entra Join beim ersten StartEntra Join at first boot Entra ID-Anmeldung im Setup-AssistentenEntra ID login in setup wizard
Bulk EnrollmentBulk Enrollment Massenregistrierung ohne BenutzerinteraktionMass enrollment without user interaction Provisioning Package (PPKG), Windows Configuration DesignerProvisioning package (PPKG), Windows Configuration Designer
Entra Connect (Hybrid)Entra Connect (Hybrid) Automatische Hybrid-RegistrierungAutomatic Hybrid registration SCP in AD, Entra Connect 1.1.819+, GPO-ZuweisungSCP in AD, Entra Connect 1.1.819+, GPO assignment
Manuelle RegistrierungManual registration BYOD / Entra RegisteredBYOD / Entra Registered Einstellungen → Konten → Zugriff auf Arbeits- oder SchulkontoSettings → Accounts → Access work or school

Geräteregistrierungseinstellungen im Admin CenterDevice registration settings in Admin Center

Im Entra-Admin-Center unter Geräte → Einstellungen steuern Sie, wer Geräte einbinden darf, welche MFA-Anforderungen dabei gelten und ob das Geräteschreibback aktiv ist. In the Entra admin center under Devices → Settings you control who can join devices, what MFA requirements apply, and whether device writeback is active.

EinstellungSetting OptionenOptions EmpfehlungRecommendation
Benutzer dürfen Geräte einbindenUsers may join devices All, Selected, NoneAll, Selected, None Selected: Gerät-Enrollment-GruppeSelected: device enrollment group
MFA für Enrollment erforderlichRequire MFA for enrollment Yes / NoYes / No Yes empfohlenYes recommended
Maximale Geräte pro BenutzerMaximum devices per user 5, 10, 20, UnbegrenztUnlimited Begrenzen auf sinnvolle ZahlLimit to a sensible number

Primärer Aktualisierungstoken (PRT)Primary Refresh Token (PRT)

Der PRT ist das zentrale SSO-Artefakt für Windows-Geräte. Er wird beim Login an einem Entra Joined oder Hybrid Joined Gerät ausgestellt und ermöglicht lautloses Token-Renewal für alle Cloud-Apps, ohne erneute Benutzerinteraktion. The PRT is the central SSO artifact for Windows devices. It is issued at login on an Entra Joined or Hybrid Joined device and enables silent token renewal for all cloud apps without additional user interaction.

EigenschaftProperty DetailDetail
GültigkeitsdauerLifetime14 Tage, rollierend14 days, rolling
SpeicherortStorageCloudAP-Plugin im LSA-Prozess (TPM-geschützt wenn vorhanden)CloudAP plugin in the LSA process (TPM-protected if available)
EnthältContainsGeräteansprüche, Benutzerclaims, NonceDevice claims, user claims, nonce
Conditional AccessConditional AccessGeräteclaims im PRT werden von CA ausgewertetDevice claims in the PRT are evaluated by CA
DiagnoseDiagnosticsdsregcmd /statusFelder AzureAdPrt, AzureAdPrtUpdateTimeFields AzureAdPrt, AzureAdPrtUpdateTime
ℹ️ PRT und Windows Hello for Businessℹ️ PRT and Windows Hello for Business

Windows Hello for Business (WHfB) ersetzt Passwörter durch PIN oder Biometrie, die durch TPM-Hardware geschützt sind. WHfB gilt als phishing-resistente MFA-Methode und erfüllt die Authentication Strength Phishing-resistant MFA in Conditional Access. Bei Entra Joined Geräten wird der PRT nach WHfB-Anmeldung gerätekredentialisiert. Windows Hello for Business (WHfB) replaces passwords with a PIN or biometrics protected by TPM hardware. WHfB qualifies as a phishing-resistant MFA method and satisfies the Phishing-resistant MFA authentication strength in Conditional Access. On Entra Joined devices the PRT is device-credentialized after WHfB login.

Gerätediagnose mit dsregcmdDevice diagnostics with dsregcmd

Das Windows-Tool dsregcmd liefert detaillierte Informationen über den Gerätestatus, Join-Typ, PRT und WHfB-Zustand direkt auf dem Endgerät. The Windows tool dsregcmd provides detailed information about device state, join type, PRT, and WHfB status directly on the endpoint.

cmd / PowerShell 
# Vollständigen Gerätestatus anzeigen
dsregcmd /status

# Nur relevante Felder ausgeben (PowerShell)
dsregcmd /status | Select-String -Pattern "AzureAdJoined|DomainJoined|IsCompliant|AzureAdPrt|TenantId|DeviceId"

# Geräteregistrierung erneut auslösen (als SYSTEM)
dsregcmd /debug /join

# Gerät aus Entra ID austragen
dsregcmd /leave
FeldField Erwarteter Wert bei Entra JoinedExpected value for Entra Joined
AzureAdJoinedAzureAdJoinedYESYES
DomainJoinedDomainJoinedNO (cloud-only)NO (cloud-only)
AzureAdPrtAzureAdPrtYESYES
OnPremTgtOnPremTgtYES (wenn Seamless SSO konfiguriert)YES (if Seamless SSO configured)
WamDefaultSetWamDefaultSetYESYES
WorkplaceJoinedWorkplaceJoinedNO (BYOD-Geräte: YES)NO (BYOD devices: YES)
IsCompliantIsCompliantYES (wenn Intune-Compliance erfüllt)YES (when Intune compliance satisfied)

Gerätezustand und ComplianceDevice state and compliance

Jedes Geräteobjekt in Entra ID hat einen Zustand, der beeinflusst, ob Token ausgestellt werden. Ergänzend bestimmt die Intune-Compliance, ob ein Gerät als konform gilt. Every device object in Entra ID has a state that influences whether tokens are issued. Additionally Intune compliance determines whether a device is considered compliant.

CA-BedingungCA condition AnforderungRequirement Typischer EinsatzTypical use
Require compliant deviceRequire compliant device Intune + Compliance PolicyIntune + Compliance Policy Stärkstes Gerätesignal; kombiniert MDM und ComplianceStrongest device signal; combines MDM and compliance
Require Hybrid Entra JoinedRequire Hybrid Entra Joined Active Directory + Entra ConnectActive Directory + Entra Connect Umgebungen mit dominanter AD-LandschaftEnvironments with dominant AD landscape
Device Filter (trustType, extensionAttribute)Device Filter (trustType, extensionAttribute) Entra ID Device-AttributeEntra ID device attributes Kiosk-Geräte, Piloten, spezielle GeräteserienKiosk devices, pilots, specific device series

Intune Compliance-RichtlinienIntune compliance policies

Compliance-Richtlinien werden in Microsoft Intune definiert und prüfen Geräteeigenschaften wie OS-Version, Verschlüsselung, PIN-Anforderungen oder Jailbreak-Status. Das Ergebnis wird an Entra ID zurückgemeldet und ist als CA-Bedingung nutzbar. Compliance policies are defined in Microsoft Intune and check device properties such as OS version, encryption, PIN requirements, or jailbreak status. The result is reported back to Entra ID and is usable as a CA condition.

PlattformPlatform Typische EinstellungenTypical settings
Windows 10/11Windows 10/11Mindest-OS-Build, BitLocker, Secure Boot, TPM, Defender-Status, FirewallMinimum OS build, BitLocker, Secure Boot, TPM, Defender status, firewall
iOS / iPadOSiOS / iPadOSiOS-Version, Jailbreak, Passcode, E-Mail-ProfiliOS version, jailbreak, passcode, email profile
AndroidAndroidAndroid-Version, Root, SafetyNet/Play Integrity, VerschlüsselungAndroid version, root, SafetyNet/Play Integrity, encryption
macOSmacOSmacOS-Version, Firewall, Passcode, FileVaultmacOS version, firewall, passcode, FileVault
⚠️ Compliance-Bewertungsverzögerung⚠️ Compliance evaluation delay

Nach dem Enrollment oder einer Richtlinienänderung kann die Compliance-Bewertung 10–30 Minuten dauern, bis sie an Entra ID übertragen wurde. After enrollment or a policy change, compliance evaluation can take 10–30 minutes to propagate to Entra ID.

Lokale Administratoren (LAPS)Local administrators (LAPS)

Microsoft Entra Local Administrator Password Solution (LAPS) rotiert automatisch das lokale Administrator-Passwort auf Windows-Endgeräten. Die Passwörter werden verschlüsselt in Entra ID gespeichert und können über das Portal oder die Graph API abgerufen werden. Microsoft Entra Local Administrator Password Solution (LAPS) automatically rotates the local administrator password on Windows endpoints. Passwords are stored encrypted in Entra ID and can be retrieved via the portal or Graph API.

EigenschaftProperty DetailDetail
Unterstützte OSSupported OSWindows 10 21H2+, Windows 11 21H2+, Windows Server 2019+Windows 10 21H2+, Windows 11 21H2+, Windows Server 2019+
KonfigurationConfigurationIntune-Richtlinie oder CSP-Policy (Windows LAPS CSP)Intune policy or CSP policy (Windows LAPS CSP)
SpeicherortStorageVerschlüsselt in Entra ID (nicht in AD für Cloud-only)Encrypted in Entra ID (not in AD for cloud-only)
RotationRotationNach Ablauf des Rotation-Intervalls oder manuell per PortalAfter rotation interval expiry or manually via portal
Erforderliche BerechtigungRequired permissionDeviceLocalCredentials.Read.All (Graph API)DeviceLocalCredentials.Read.All (Graph API)
PowerShell 
# Entra LAPS - Passwort eines Geräts abrufen
# Retrieve Entra LAPS password for a device
Connect-MgGraph -Scopes "DeviceLocalCredentials.Read.All"

# Geräte-Anmeldedaten auflisten
Get-MgDeviceLocalCredential -DeviceId "<deviceObjectId>" |
    Select-Object Id, RefreshDateTime

# Passwort-Details inkl. Klartext-Passwort
Get-MgDeviceLocalCredential -DeviceId "<deviceObjectId>" `
    -LocalCredentialDetailsId "<credentialId>" -Property "credentials" |
    Select-Object -ExpandProperty Credentials

BitLocker-SchlüsselverwaltungBitLocker key management

Bei Entra Joined und Hybrid Joined Geräten mit Windows 10/11 kann der BitLocker-Wiederherstellungsschlüssel automatisch in Entra ID hinterlegt werden. Administratoren können über das Portal oder die API auf den Schlüssel zugreifen. For Entra Joined and Hybrid Joined devices running Windows 10/11 the BitLocker recovery key can be automatically backed up to Entra ID. Administrators can access the key through the portal or API.

PowerShell 
# BitLocker-Wiederherstellungsschlüssel für ein Gerät abrufen
Connect-MgGraph -Scopes "BitlockerKey.ReadBasic.All","BitlockerKey.Read.All"

$deviceId = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
Get-MgInformationProtectionBitlockerRecoveryKey -Filter "deviceId eq '$deviceId'" |
    Select-Object Id, CreatedDateTime, DeviceId, VolumeType

# Detailschlüssel mit Geheimnis abrufen (erfordert BitlockerKey.Read.All)
Get-MgInformationProtectionBitlockerRecoveryKey `
    -BitlockerRecoveryKeyId "<keyId>" -Property "key"
Graph-EndpunktGraph endpoint BeschreibungDescription
GET /informationProtection/bitlocker/recoveryKeysGET /informationProtection/bitlocker/recoveryKeysAlle Schlüssel auflistenList all keys
GET /informationProtection/bitlocker/recoveryKeys/{id}?$select=keyGET /informationProtection/bitlocker/recoveryKeys/{id}?$select=keyEinzelnen Schlüssel mit Klartext abrufenRetrieve single key with cleartext

Enterprise State RoamingEnterprise State Roaming

Enterprise State Roaming (ESR) synchronisiert Windows-Einstellungen und App-Daten zwischen Geräten eines Benutzers über Entra ID. Die Daten werden verschlüsselt in Azure gespeichert und bleiben unter der Kontrolle des Unternehmens. Enterprise State Roaming (ESR) synchronizes Windows settings and app data between a user's devices via Entra ID. Data is stored encrypted in Azure and remains under corporate control.

AspektAspect DetailDetail
LizenzLicenseEntra ID P1 oder P2Entra ID P1 oder P2
Unterstützte OSSupported OSWindows 10+, Windows 11Windows 10+, Windows 11
Synchronisierte DatenSynced dataWindows-Design, Spracheinstellungen, Browser-Favoriten (Edge Legacy), App-EinstellungenWindows theme, language settings, browser favorites (Edge Legacy), app settings
KonfigurationConfigurationEntra Admin Center → Geräte → Enterprise State RoamingEntra Admin Center → Devices → Enterprise State Roaming
DatenspeicherortData locationAzure-Region des Tenants (DSGVO-konform für EU)Tenant's Azure region (GDPR-compliant for EU)
ℹ️ ESR vs. Microsoft 365 Settings Syncℹ️ ESR vs. Microsoft 365 Settings Sync

Für moderne Windows-11-Geräte empfiehlt Microsoft die Windows Backup-Funktion über ein Microsoft-Konto oder OneDrive for Business statt ESR. ESR ist speziell für Enterprise-Szenarien mit Daten-Hoheit-Anforderungen relevant. For modern Windows 11 devices Microsoft recommends the Windows Backup feature via Microsoft account or OneDrive for Business instead of ESR. ESR is specifically relevant for enterprise scenarios with data sovereignty requirements.

Gerätebereinigung (Stale Devices)Device cleanup (stale devices)

Veraltete Geräteobjekte in Entra ID erhöhen den Tenant-Overhead und können Sicherheitsfragen aufwerfen. Regelmäßige Bereinigung auf Basis des approximateLastSignInDateTime-Attributs ist empfehlenswert. Stale device objects in Entra ID increase tenant overhead and can raise security questions. Regular cleanup based on the approximateLastSignInDateTime attribute is recommended.

PowerShell 
Connect-MgGraph -Scopes "Device.Read.All","Device.ReadWrite.All"

# Geräte suchen, die seit mehr als 90 Tagen nicht angemeldet waren
$cutoff = (Get-Date).AddDays(-90).ToString("yyyy-MM-ddTHH:mm:ssZ")
$stale = Get-MgDevice -Filter "approximateLastSignInDateTime le $cutoff" -All |
    Select-Object DisplayName, DeviceId, ApproximateLastSignInDateTime, TrustType, IsCompliant

$stale | Sort-Object ApproximateLastSignInDateTime | Format-Table -AutoSize

# Gerät deaktivieren (nicht sofort löschen)
Update-MgDevice -DeviceId "<objectId>" -AdditionalProperties @{ accountEnabled = $false }

# Nach Karenzzeit löschen
Remove-MgDevice -DeviceId "<objectId>"
✅ Empfehlung✅ Recommendation

Deaktivieren Sie Geräte zunächst für 30 Tage, bevor Sie sie endgültig löschen. So können Sie bei Fehlannahmen die Registrierung wiederherstellen, ohne das Gerät neu einbinden zu müssen. First disable devices for 30 days before deleting them permanently. This allows you to restore registration on wrong assumptions without re-joining the device.

PowerShell & Graph API ReferenzPowerShell & Graph API reference

Das Microsoft Graph PowerShell SDK (Modul Microsoft.Graph.Identity.DirectoryManagement) enthält die wichtigsten Cmdlets für das Gerätemanagement. The Microsoft Graph PowerShell SDK (module Microsoft.Graph.Identity.DirectoryManagement) contains the most important cmdlets for device management.

CmdletCmdlet BeschreibungDescription Wichtige ParameterKey parameters
Get-MgDeviceGet-MgDeviceGeräteobjekte lesenRead device objects-Filter, -All, -Property-Filter, -All, -Property
Update-MgDeviceUpdate-MgDeviceGeräteobjekt aktualisierenUpdate device object-DeviceId, -AdditionalProperties-DeviceId, -AdditionalProperties
Remove-MgDeviceRemove-MgDeviceGerät löschenDelete device-DeviceId-DeviceId
Get-MgDeviceRegisteredOwnerGet-MgDeviceRegisteredOwnerRegistrierte Eigentümer lesenRead registered owners-DeviceId-DeviceId
Get-MgDeviceRegisteredUserGet-MgDeviceRegisteredUserRegistrierte Benutzer lesenRead registered users-DeviceId-DeviceId
Get-MgUserRegisteredDeviceGet-MgUserRegisteredDeviceGeräte eines Benutzers lesenRead devices of a user-UserId-UserId
Get-MgInformationProtectionBitlockerRecoveryKeyGet-MgInformationProtectionBitlockerRecoveryKeyBitLocker-Key abrufenRetrieve BitLocker key-Filter, -BitlockerRecoveryKeyId-Filter, -BitlockerRecoveryKeyId
Get-MgDeviceLocalCredentialGet-MgDeviceLocalCredentialLAPS-Passwort abrufenRetrieve LAPS password-DeviceId-DeviceId

Graph-API-EndpunkteGraph API endpoints

HTTP 
# Alle Geräte auflisten
GET https://graph.microsoft.com/v1.0/devices

# Geräteobjekt abrufen
GET https://graph.microsoft.com/v1.0/devices/{id}

# Nur Entra Joined Geräte
GET https://graph.microsoft.com/v1.0/devices?$filter=trustType eq 'AzureAd'

# Deaktivierte Geräte
GET https://graph.microsoft.com/v1.0/devices?$filter=accountEnabled eq false

# Gerät deaktivieren
PATCH https://graph.microsoft.com/v1.0/devices/{id}
Content-Type: application/json
{ "accountEnabled": false }

# Gerät löschen
DELETE https://graph.microsoft.com/v1.0/devices/{id}

# BitLocker-Schlüssel
GET https://graph.microsoft.com/v1.0/informationProtection/bitlocker/recoveryKeys
GET https://graph.microsoft.com/v1.0/informationProtection/bitlocker/recoveryKeys/{keyId}?$select=key

# LAPS-Anmeldedaten
GET https://graph.microsoft.com/v1.0/devices/{id}/localCredentials