Illustration zeigt einen Vergleich zwischen On-Premise-, Hybrid- und Cloud-Umgebungen: Links ein Mitarbeiter im Büro mit Server-Infrastruktur, in der Mitte eine vernetzte Hybrid-Architektur, rechts eine Frau, die Cloud-Dienste mit verschiedenen Geräten verwaltet. Darstellung betont den Übergang von lokaler IT zu modernen Cloud-Lösungen.

Die IT-Landschaft hat sich in den letzten Jahren erheblich gewandelt. Während Unternehmen früher ihre gesamte IT-Infrastruktur On-Premise, also in eigenen Rechenzentren, betrieben, setzen heute immer mehr Organisationen auf Cloud-Lösungen oder hybride Modelle. Das gilt auch für Identity und Device Management

Microsoft Entra ID hat sich dabei als zentrale Plattform für modernes Identitäts- und Zugriffsmanagement etabliert. Sie ermöglicht eine sichere Authentifizierung und Autorisierung über unterschiedliche Geräte und Dienste hinweg. Ein entscheidender Aspekt bei der Nutzung von Entra ID ist die Art und Weise, wie Geräte eingebunden werden – denn die verschiedenen Join-Typen definieren, wie Vertrauen und Konnektivität innerhalb der Entra-Umgebung entstehen.

Unternehmen müssen sich daher grundlegende Fragen stellen:

  • Sollten sie ihre Geräte weiterhin klassisch in einer On-Premise Active Directory (AD) Domain verwalten?
  • Ist eine Hybrid-Lösung ein guter Mittelweg, um sowohl lokale als auch Cloud-Ressourcen zu nutzen?
  • Oder sollten sie vollständig den Schritt in die  Cloud wagen und nur noch Microsoft Entra ID (ehemals Azure AD) für ihre Identitätsverwaltung nutzen?

Jede dieser Optionen hat ihre eigenen Vor- und Nachteile, die sich in der Verwaltung, Sicherheit und Benutzererfahrung deutlich unterscheiden. In diesem Artikel werfen wir einen detaillierten Blick auf die Unterschiede zwischen On-Premise und Cloud sowie auf die verschiedenen Entra ID Join Typen in Microsoft Entra ID.

Das Wichtigste in Kürze

Join-Typen folgen der Infrastrukturstrategie: Ob On-Premise, Hybrid oder Cloud – die Wahl des richtigen Device Join Types hängt maßgeblich vom IT-Modell des Unternehmens ab.

Vier Join-Modelle im Überblick:
Domain Joined: für klassische On-Premise-Infrastrukturen
Hybrid Joined: wenn lokale Ressourcen erhalten bleiben sollen
Entra Joined: für Cloud-native Geräte (Microsoft-Empfehlung für neue Endgeräte)
Entra Registered: für BYOD- oder private Geräte mit Zugriff auf Unternehmensressourcen

Cloud Native Endpoints im Fokus: Neue Funktionen werden vorrangig für Entra-only Geräte entwickelt. Ein späterer Umstieg von AD-/Hybrid-Modellen ist nur durch Wipe möglich.

Sicherheit & Verwaltung: Microsoft Entra ID bietet zentrale Verwaltungsfunktionen, moderne Authentifizierung (SSO, Conditional Access) und unterstützt Zero Trust Architekturen.

SOFTTAILOR unterstützt Unternehmen von der Planung bis zur Umsetzung einer optimalen Microsoft Entra ID-Strategie zur Umsetzung von Zero-Trust.

1. On-Premise, Cloud oder Hybrid – und was das für den Device Join bedeutet

Die Wahl des passenden Device Join Types hängt wesentlich davon ab, wie die IT-Infrastruktur eines Unternehmens aufgebaut ist: lokal, cloudbasiert oder hybrid. Der Join-Typ definiert, wie Geräte in die Identitätsverwaltung eingebunden werden – und muss zur Umgebung passen.

  • Bei rein lokalen Umgebungen mit klassischem Active Directory und File-Servern ist der Domain Join Standard.
  • Hybrid-Szenarien, bei denen Cloud-Dienste hinzukommen, erfordern meist einen Hybrid Join.
  • Cloud-native Unternehmen, die vollständig auf Entra ID setzen, können ihre Geräte direkt über Entra Join verwalten.

Die grundlegenden Unterschiede zwischen On-Premise und Cloud betreffen Infrastruktur, Kosten, Skalierbarkeit und Sicherheitsmodell – und bilden damit die Grundlage für die technische Umsetzung im Device Management:

  • Infrastruktur & Verwaltung: On-Premise heißt vollständige Kontrolle, aber auch Verantwortung. In der Cloud werden Updates, Backups und Skalierung automatisiert vom Anbieter übernommen.
  • Kostenstruktur: Während On-Premise hohe Anfangsinvestitionen erfordert, bietet die Cloud ein flexibles Pay-as-you-go-Modell.
  • Skalierbarkeit: Cloud-Lösungen lassen sich schnell anpassen – On-Premise braucht oft Wochen oder Monate.
  • Sicherheit & Compliance: Beide Modelle sind sicher, aber unterschiedlich geregelt – besonders beim Datenschutz.
  • Zugriff & Mobilität: Cloudlösungen unterstützen Remote Work und mobilen Zugriff ohne VPN-Verbindung.

2. Einführung in Device Types

Beim Übergang von einer On-Premise-Umgebung hin zu einer hybriden oder vollständig cloudbasierten Infrastruktur stellt sich die Frage, wie Geräte künftig verwaltet werden sollen. Microsoft Entra ID (ehemals Azure AD) unterstützt mehrere Arten von Gerätebeitritten, die jeweils spezifische Anforderungen und Einsatzszenarien abdecken:

  • Active Directory Domain Joined Devices (lokal, On-Premise)
  • Microsoft Entra Hybrid Joined Devices (lokal und Cloud)
  • Microsoft Entra Joined Devices (Cloud-only)
  • Microsoft Entra Registered Devices (für BYOD und private Geräte)

Der gewählte Join-Typ bestimmt, wie Geräte in die Identitätsverwaltung eingebunden werden – und hat direkten Einfluss auf Sicherheit, Benutzererlebnis und Verwaltungsaufwand.

Für Endnutzer mag kaum ein Unterschied sichtbar sein – für Administratoren hingegen ist die Wahl des richtigen Join-Typs ein zentrales Element jeder IT-Strategie. Denn je nachdem, ob eine Infrastruktur On-Premise, cloudbasiert oder hybrid aufgebaut ist, eignen sich unterschiedliche Modelle zur Geräteanbindung.

Ein Hybrid Join wird dabei oft als praktikabler Zwischenschritt gesehen, weil er bestehende On-Prem-Strukturen mit modernen Cloud-Funktionen verbindet. In rein cloudbasierten Umgebungen bietet der Entra Join eine schlanke, vollständig verwaltbare Lösung. BYOD-Szenarien wiederum lassen sich mit Entra Registered Devices abbilden.

Die Unterschiede im Detail – und was sie für Verwaltung, Sicherheit und Authentifizierung bedeuten – wir in den nächsten Kapitel erklärt.

{{warum-hybrid-joined="/dev/components"}}

2.1 Microsoft Entra Registered Devices

Microsoft Entra Registered Devices sind Geräte, die mit einem Microsoft Entra ID Tenant verknüpft sind, aber nicht Mitglied einer Domäne sind. Diese Geräte werden in der Regel persönlich verwaltet und kommen häufig in BYOD-Szenarien (Bring Your Own Device) zum Einsatz, bei denen Mitarbeiter ihre eigenen Geräte für den Zugriff auf Unternehmensressourcen nutzen.

Merkmale:

  • Diese Geräte eignen sich besonders für Mitarbeiter, die private Endgeräte für berufliche Zwecke verwenden.
  • Sie ermöglichen den Zugriff auf Microsoft Entra ID-Ressourcen, jedoch mit eingeschränkter Verwaltung durch die IT-Abteilung.
  • Im Vergleich zu Microsoft Entra Joined oder Hybrid Joined Devices sind die administrativen Kontrollmöglichkeiten begrenzt.
  • Da diese Geräte nicht in eine Domäne eingebunden sind, ist die Sicherheit und Zugriffskontrolle weniger umfassend als bei vollständig verwalteten Geräten.

Authentifizierungstechnologie:

Microsoft Entra Registered Devices nutzen CloudAP (Cloud Authentication Provider) für die Authentifizierung. CloudAP ist der Authentifizierungsdienst von Microsoft Entra ID, der Benutzer und Geräte beim Zugriff auf cloudbasierte Unternehmensressourcen überprüft.

Einsatzszenario:

Diese Geräte sind ideal für Unternehmen mit einer flexiblen BYOD-Strategie, die ihren Mitarbeitern erlauben, von privaten Geräten auf Unternehmensressourcen zuzugreifen, ohne diese vollständig in das Firmennetzwerk zu integrieren.

{{cta-box="/dev/components"}}

2.2 Microsoft Entra Join Devices

Microsoft Entra Joined Devices – auch als Cloud Native Endpoints bezeichnet – sind Geräte, die vollständig in Microsoft Entra ID integriert sind, ohne Verbindung zu einer lokalen Active Directory (AD). Sie sind für Unternehmen konzipiert, die ihre IT-Umgebung konsequent Cloud-first aufstellen oder bereits vollständig in die Cloud migriert haben.

Microsoft selbst empfiehlt diesen Ansatz heute für neue Geräte. Für klassische On-Premise-Clients und Hybrid Joined Devices ist keine wesentliche Weiterentwicklung mehr geplant – neue Features werden gezielt für Cloud Native Endpoints entwickelt.

Merkmale:

  • Geräte werden vollständig über Microsoft Entra ID verwaltet – ohne Verbindung zu einer lokalen AD.
  • Moderne Funktionen wie Single Sign-On, Conditional Access, Self-Service Password Reset oder Remote Deployment sind direkt nutzbar.
  • Kein VPN erforderlich: Benutzer können Cloud-Ressourcen wie Microsoft 365, Azure-Dienste und SaaS-Anwendungen problemlos nutzen.
  • Kein Zugriff auf klassische On-Prem-Ressourcen wie Netzlaufwerke oder GPOs.
  • Höchste Unabhängigkeit von lokaler Infrastruktur – ideal für mobile und verteilte Arbeitsplätze.

Authentifizierungstechnologie:

Microsoft Entra Joined Devices nutzen den Web Account Manager (WAM) für die Authentifizierung. WAM ermöglicht eine nahtlose SSO-Erfahrung mit Microsoft-Diensten, ohne dass Benutzer sich mehrfach anmelden müssen – inklusive Token-Handling und MFA-Unterstützung via Entra ID.

Einsatzszenario:

Diese Join-Variante eignet sich besonders für Unternehmen, die keine lokale Active Directory-Infrastruktur mehr benötigen – oder diese aktiv ablösen möchten. Entra Joined Devices sind die Basis für ein modernes, cloudbasiertes Endpoint Management.

Wichtig zu wissen: Der spätere Umstieg von einem Hybrid- oder On-Prem-Modell auf Cloud Native ist nur durch ein vollständiges Zurücksetzen (Wipe) der Geräte möglich. Deshalb sollte Entra Join frühzeitig in Geräte- und Rolloutstrategien eingeplant werden – z. B. im Rahmen geplanter Migrationen oder Hardwarezyklen.

Weitere Infos: Microsoft Learn – Cloud Native Endpoints

2.3 Microsoft Entra Hybrid Joined Devices

Microsoft Entra Hybrid Joined Devices sind Geräte, die gleichzeitig mit einer lokalen Active Directory (AD) und Microsoft Entra ID verbunden sind. Diese hybride Lösung eignet sich besonders für Unternehmen, die ihre bestehende On-Premise-Infrastruktur beibehalten, aber schrittweise Cloud-Dienste integrieren möchten.

Merkmale:

  • Diese Geräte ermöglichen eine nahtlose Authentifizierung über Single Sign-On (SSO), sowohl für Cloud- als auch für On-Premise-Ressourcen.
  • Bestehende Gruppenrichtlinien (GPOs) und andere lokale Identitätsverwaltungsfunktionen bleiben weiterhin erhalten. Dadurch können IT-Abteilungen vertraute Sicherheits- und Verwaltungsrichtlinien beibehalten.
  • Hybrid Joined Devices sind eine erforderliche Lösung für Unternehmen, die noch On-Premise-Anwendungen und Server nutzen, aber gleichzeitig von Cloud-Diensten profitieren möchten.
  • Die Synchronisation zwischen der lokalen AD und Microsoft Entra ID erfordert Microsoft Entra Connect, um Benutzer- und Gerätekonten über beide Systeme hinweg zu verwalten.
  • Da diese Geräte zwei Identitätssysteme gleichzeitig nutzen, ist ihre Verwaltung komplexer als bei rein Cloud-basierten Lösungen.

Einsatzszenario:

Microsoft Entra Hybrid Joined Devices sind ideal für Unternehmen, die eine bestehende On-Premise-Infrastruktur besitzen, aber gleichzeitig Cloud-Dienste Schritt für Schritt einführen möchten. Diese Lösung bietet Unternehmen die Möglichkeit, weiterhin lokale Ressourcen zu nutzen, während sie gleichzeitig die Vorteile von Microsoft Entra ID und modernen Cloud-Diensten integrieren.

3. Vergleich der Entra ID Device Join Types

Vergleich der Microsoft Entra Device Join Typen
Merkmal Entra Registered Entra Joined Entra Hybrid Joined
Geräteverwaltung Persönlich Vollständig durch Entra ID Hybrid (AD + Entra ID)
Zugriff auf On-Premise-Ressourcen ❌ Nein ❌ Nein ✅ Ja
Zugriff auf Cloud-Ressourcen ✅ Ja ✅ Ja ✅ Ja
SSO & Conditional Access ❌ Eingeschränkt ✅ Voll ✅ Voll
GPO-Unterstützung ❌ Nein ❌ Nein ✅ Ja
Beste Lösung für BYOD Cloud-only Unternehmen Hybrid-Szenarien

4. Fazit

Die Wahl des richtigen Microsoft Entra Device Join Typen ist entscheidend für eine effiziente und sichere IT-Verwaltung. Identity and Access Management ist das Herzstück einer Zero Trust Architektur. Jedes Unternehmen hat unterschiedliche Anforderungen an Identity – und Device Management die sich je nach Gerätebesitz, Verwaltungsanforderungen und Integration mit Microsoft Entra ID-Diensten unterscheiden.

Wichtig ist: Die verschiedenen Join-Typen schließen sich nicht gegenseitig aus – im Gegenteil. Sie lassen sich kombinieren, um unterschiedlichen Gerätekategorien und Nutzungsszenarien gerecht zu werden:

  • Microsoft Entra Registered Devices eignen sich besonders für private Endgeräte im Rahmen einer BYOD-Strategie. Sie ermöglichen den Zugriff auf Unternehmensressourcen, ohne dass diese Geräte vollständig durch die IT verwaltet werden müssen.
  • Microsoft Entra Joined Devices bieten eine vollständig Cloud-basierte Verwaltung und sind ideal für Geräte, die ausschließlich Cloud-Ressourcen nutzen – etwa in modernen, standortunabhängigen Arbeitsumgebungen.
  • Microsoft Entra Hybrid Joined Devices verbinden die lokale Active Directory mit Microsoft Entra ID. Sie sind sinnvoll für Geräte, die weiterhin Zugriff auf On-Premise-Ressourcen benötigen, etwa Netzlaufwerke oder lokale Anwendungen – und sich gleichzeitig in Cloud-Dienste integrieren lassen sollen.

Die Entscheidung für das richtige Modell sollte stets im Einklang mit der IT-Strategie des Unternehmens stehen. Unternehmen, die weiterhin auf lokale AD-Ressourcen angewiesen sind, profitieren von einer Hybrid-Lösung, während Unternehmen, die eine vollständige Cloud-Transformation anstreben, mit Microsoft Entra Joined Devices die beste Wahl treffen.

Die Implementierung der richtigen Lösung kann komplex sein, insbesondere wenn es darum geht, bestehende Strukturen zu migrieren und Sicherheitsrichtlinien zu gewährleisten.

SOFTTAILOR ist der Euer Partner, um Euer Unternehmen bei der Planung, Umsetzung und Optimierung der Microsoft Entra ID-Strategie zu unterstützen. Vereinbaren Sie jetzt ihre erstes kostenloses Beratungsgspräch hier.

Über den Autor:

Dorian beschäftigt sich seit 2011 mit Unternehmens- und IT-Strategie. Aufgrund der Endpoint Security Defizite vieler Unternehmen und der Informationsüberflutung hat er die Endpoint Strategie entwickelt. Dorian ist Mitgründer des Expertenzirkels "Endpoint Management" im IAMCP e.V.

Icon eines BriefumschlagsIcon eines KalendersLinkedIn logo
16+

Jahre Erfarung

200k+

Verwaltete Endgeräte

Inhalt
FAQ

Häufig gestellte Fragen

No items found.

Das könnte dich auch interessieren

Immer einen Schritt voraus!

Wir senden IT-Entscheidern und Endpoint Administratoren handkuratierte News, technische Einblicke und praktische Tipps rund um Endpoint Management & Security, die es so nirgends anders gibt.