Kann man Azure Virtual Desktop ohne Active Directory nutzen?

Ja. Mit den in Microsoft Entra ID eingebundenen Session-Hosts und mit Microsoft Entra Kerberos funktionieren Azure Virtual Desktop und die FSLogix-Profile auf Azure Files ohne einen Domänencontroller in Sichtweite. Im Cloud-only-Modell kann der Domänencontroller ganz verschwinden; im hybriden Modell bleibt er, aber die Session-Hosts müssen ihn nicht mehr sehen. Achtung jedoch: Wenn es im Unternehmen Anwendungen gibt, die Mitglieder einer Domäne sind (Branchenanwendungen, SQL Server mit Windows-Authentifizierung), halten jene Server Active Directory ohnehin am Leben.

Ist eine Maschine ohne Domänencontroller wie eine Maschine in einer Arbeitsgruppe?

Nein, es ist fast das Gegenteil. Eine Maschine in einer Arbeitsgruppe hat kein zentrales Verzeichnis: nur losgelöste lokale Konten, kein Single Sign-on, keine zentrale Verwaltung. Eine in Microsoft Entra ID eingebundene Maschine hat hingegen ein vollwertiges zentrales Verzeichnis, das nur in der Cloud lebt: eine einzige Identität, SSO, Richtlinien über Intune, Conditional Access und — dank Entra Kerberos — sogar Kerberos-Tickets für die SMB-Freigaben. Es ändert sich nur die Autorität: nicht mehr der Domänencontroller, sondern Entra ID.

Ist der Session-Host von Azure Virtual Desktop ein Windows Server oder ein Windows 11?

Der typische Session-Host von AVD ist Windows 11 (oder Windows 10) Enterprise multi-session: ein Client-Betriebssystem, das jedoch mehrere gleichzeitige Benutzer auf derselben virtuellen Maschine akzeptiert. Es ist der moderne Nachfolger der Rolle RDSH (Remote Desktop Session Host) auf Windows Server: Es leistet dieselbe Arbeit — viele Benutzer, eine einzige Maschine — ist aber ein Client-Betriebssystem. Windows Server (2019/2022/2025) bleibt als AVD-Session-Host unterstützt, auch in Entra ID eingebunden, ist aber nicht der Standardfall des Cloud-nativen Modells.

Wie funktionieren die FSLogix-Profile ohne Domänencontroller?

FSLogix bleibt derselbe Agent, den man auf Windows Server oder RDSH verwendet: Es ändert sich nur, was hinter dem Profile-Container steckt. Der Container (VHD/VHDX) lebt auf einer SMB-Freigabe von Azure Files; beim Login bindet FSLogix die Freigabe mit einem Kerberos-Ticket ein, das von Microsoft Entra ID ausgestellt wird — nicht von einem Domänencontroller. Die Entra-joined Session-Hosts brauchen keine Sichtverbindung zu einem DC. Das bestehende FSLogix-Know-how lässt sich übertragen: Es ändern sich der Speicher (Azure Files) und die Quelle der Tickets (Entra Kerberos), nicht der Agent.

Lohnt sich eher das Cloud-only- oder das hybride Modell?

Es hängt von den Anwendungen ab. Das Cloud-only-Modell ohne Domänencontroller ergibt Sinn für Greenfield-Szenarien, Mitarbeiter, die nur SaaS und Cloud-Desktops nutzen, externe/B2B-Identitäten und isolierte Umgebungen: in allen Fällen ohne Domänenanwendungen. Wenn das Unternehmen hingegen Branchenanwendungen, SQL Server mit Windows-Authentifizierung oder Domänen-Fileserver hat, halten jene Systeme Active Directory am Leben: Der richtige Schritt ist nicht, die Domänencontroller zu eliminieren, sondern eine hybride Modernisierung — Entra-joined Session-Hosts, Entra Kerberos, FSLogix auf Azure Files, Verwaltung über Intune — während AD DS dort bleibt, wo es wirklich gebraucht wird.

Was ist Microsoft Entra Kerberos?

Es ist die Fähigkeit von Microsoft Entra ID, Kerberos-Tickets für den Zugriff auf SMB-Ressourcen wie Azure Files auszustellen. Das Kerberos-Protokoll ändert sich nicht: Es ändert sich die Autorität, die die Tickets ausstellt. Im traditionellen Modell entsteht jedes Ticket auf dem Domänencontroller, im modernen Modell entsteht es in der Cloud, bei Entra ID, mit einem neuen Realm (KERBEROS.MICROSOFTONLINE.COM) und dem über das Internet erreichbaren KDC. Es funktioniert sowohl mit hybriden Identitäten (aus Active Directory synchronisiert) als auch mit Cloud-only-Identitäten.

Azure Virtual Desktop ohne Active Directory: wie es funktioniert und wann es sich lohnt

Alle News

8. Juni 2026·Azure Virtual DesktopMicrosoft Entra IDFSLogixIdentitätCloud

Kurz gesagt: Mit Microsoft Entra Kerberos können Azure Virtual Desktop (AVD) und die FSLogix-Profile auf Azure Files ohne Domänencontroller funktionieren: Es ist immer Kerberos, aber die Tickets stellt die Cloud aus statt Active Directory. Für neue oder «reine Cloud»-Szenarien ist es eine echte Vereinfachung; für wer Domänenanwendungen hat (Branchenanwendungen, SQL Server) bedeutet es nicht «weg mit den Domänencontrollern», sondern eine hybride Modernisierung. Sehen wir, wie es wirklich funktioniert und — vor allem — wann es Sinn ergibt.

IdentitätEntra ID statt DC

FSLogix-ProfileAzure Files + Entra Kerberos

Wann es sich lohntHängt von den Domänen-Apps ab

Vom an Active Directory verankerten Desktop zur Cloud

Azure Virtual Desktop entstand als Weiterentwicklung der Remote Desktop Services: zuerst «Windows Virtual Desktop», heute eine ausgereifte Plattform, um Desktops und Anwendungen als Service bereitzustellen. In den ersten Implementierungen wurde jedoch noch Active Directory Domain Services (AD DS) benötigt: Domänencontroller auf virtuellen Maschinen oder die On-Premise-Domäne, per VPN oder ExpressRoute in die Cloud erweitert.

Microsoft reduziert diese Abhängigkeit: Mit den in Microsoft Entra ID eingebundenen Session-Hosts und mit Entra Kerberos kann man so weit kommen, dass man den Domänencontroller nicht mehr braucht. Eine nützliche Klarstellung: Der typische Session-Host von AVD ist Windows 11 Enterprise multi-session — ein Client-Betriebssystem, das mehrere gleichzeitige Benutzer akzeptiert, der moderne Erbe der RDSH-Rolle auf Windows Server (die ohnehin unterstützt bleibt).

Das traditionelle Modell: zwei Identitäten, die zusammenarbeiten

Im klassischen (hybriden) Modell arbeiten zwei Identitätssysteme zusammen: Microsoft Entra ID verwaltet den Zugriff auf den Dienst AVD, während Active Directory die Windows-Authentifizierung und den Zugriff auf das Profil verwaltet. Hinter einer Single-Sign-on-Erfahrung passiert Folgendes:

1Der Benutzer öffnet den AVD-Client und authentifiziert sich bei Entra ID (Passwort, MFA, Windows Hello).
2Der Dienst weist einen Session-Host zu und stellt die Sitzung auf der Maschine her.
3Um auf die Windows-Ressourcen zuzugreifen, erhält die Maschine ein Kerberos-Ticket vom Domänencontroller.
4FSLogix verwendet dieses Ticket, um das Benutzerprofil auf einer SMB-Freigabe einzubinden. Alles dreht sich um den Domänencontroller: FSLogix → SMB → Kerberos → Domänencontroller.

Entra Kerberos: dasselbe Kerberos, ohne Domänencontroller

Die Idee ist ebenso einfach wie wirkungsvoll: Kerberos beibehalten, die Abhängigkeit vom Domänencontroller entfernen. Microsoft Entra ID wird zur Autorität, die fähig ist, die Kerberos-Tickets für den Zugriff auf SMB-Ressourcen wie Azure Files auszustellen. Das Protokoll ändert sich nicht: Es ändert sich, wer die Tickets ausstellt.

Im traditionellen Modell entsteht jedes Ticket auf dem Domänencontroller, in einem an die Active-Directory-Domäne gebundenen Realm (z. B. azienda.local). Mit Entra Kerberos entsteht ein Realm in der Cloud — KERBEROS.MICROSOFTONLINE.COM — und der KDC ist über das Internet erreichbar. Man sieht es mit klist: Das Ticket kommt nicht von einem Domänencontroller, sondern von einer in der Cloud verwalteten Kerberos-Autorität. Die Entra-joined Session-Hosts brauchen keine Sichtverbindung zu einem DC mehr, und das Modell funktioniert sowohl mit hybriden Identitäten (aus AD synchronisiert) als auch Cloud-only.

Authentifizierung ist nicht Autorisierung: RBAC und NTFS-ACLs

Sobald der Benutzer authentifiziert ist, wie wird der Zugriff auf die Daten autorisiert? Azure Files nutzt zwei Ebenen, die nacheinander arbeiten:

Freigabe-Ebene — Azure RBAC. Zunächst wird überprüft, wer auf die Freigabe zugreifen kann und mit welcher Stufe (zum Beispiel Storage File Data SMB Share Reader oder Contributor). Es empfiehlt sich, die Standardberechtigungen zu deaktivieren und granulare Zugriffe an dedizierte Gruppen zu vergeben.
Datei- und Ordner-Ebene — NTFS-ACLs. Nach der RBAC-Kontrolle gelten die klassischen Windows-Berechtigungen. Hier wird das Kerberos-Ticket wieder zentral: Außer die Identität zu beweisen, transportiert es die SIDs des Benutzers, sodass Azure Files die ACLs genau so auswertet, wie es eine Active-Directory-Umgebung tun würde. Für die Cloud-only-Identitäten ist die empfohlene Konfiguration das Panel Manage access.

Cloud-native Verwaltung: Intune statt GPOs

Ohne Domäne gibt es keine Group Policies: Die Entra-joined Session-Hosts werden mit Microsoft Intune gesteuert. Von dort aus aktiviert man das Abrufen des Cloud-Kerberos-Tickets (die Einstellung CloudKerberosTicketRetrievalEnabled, über den Settings Catalog) und verteilt die FSLogix-Richtlinien, die früher über die GPOs liefen.

Ein Punkt, der die Einstiegshürde stark senkt: FSLogix ist derselbe Agent, den man bereits auf Windows Server oder RDSH verwendet. Es ändern sich nur der Speicher (vom Fileserver zu Azure Files) und die Quelle der Tickets (vom Domänencontroller zu Entra Kerberos) sowie das Deployment-Werkzeug (von GPO zu Intune). Die Konzepte von Profile-Container, Umleitungen und Ausschlüssen bleiben identisch: Wer FSLogix bereits verwaltet, fängt nicht bei null an.

Braucht Ihr Unternehmen es wirklich? Wann es sich lohnt (und wann es nur Mode ist)

Hier liegt der Punkt, der oft fehlt: «ohne Domänencontroller» ist kein universelles Upgrade. Das Cloud-only-Modell (null DC) lohnt sich wirklich nur in genauen Szenarien, die alle das Fehlen von Domänenanwendungen gemeinsam haben:

Greenfield — neue Unternehmen oder Niederlassungen, in der Cloud geboren, ohne On-Premise-Altlasten.
SaaS-only- / Frontline-Mitarbeiter — wer von Microsoft 365, AVD-Desktops und einer Freigabe lebt, ohne Legacy-Branchenanwendungen.
Externe Identitäten / B2B — Cloud-only ist das einzige Modell, das sie mit FSLogix unterstützt.
Isolierte Umgebungen — ein Projekt, eine DMZ oder ein Perimeter, den Sie von Ihrem Active Directory getrennt halten wollen, im Sinne von Zero Trust.

Wenn es im Unternehmen hingegen Anwendungen gibt, die Mitglieder einer Domäne sind — eine Branchenanwendung, SQL Server mit Windows-Authentifizierung, ein Domänen-Fileserver — halten jene Systeme die Domänencontroller am Leben. Für sie ist der richtige Schritt nicht, dem «ohne DC» nachzujagen, sondern eine hybride Modernisierung: Entra-joined Session-Hosts, Entra Kerberos und FSLogix auf Azure Files für die Desktop-Ebene, rund um einen verschlankten Active-Directory-Kern:

RD Gateway → ZTNA. Statt eines im Internet exponierten RDP-Gateways ein Zugriff per Zero Trust Network Access , der die einzelne Ressource pro Benutzer veröffentlicht, Identität und Gerät überprüft, ohne etwas zu exponieren.
NPS für die MFA → Conditional Access. Die MFA wechselt zu Entra ID, das Identität, Gerät und Risiko bewertet, statt einer «blinden» MFA über RADIUS.
GPO → Intune. Schrittweise Migration der Richtlinien zu Intune, wobei in AD nur das bleibt, was die Domänenserver wirklich brauchen.

Es bleiben dann einige Fallstricke, die man kennen sollte, bevor man loslegt: Jedes Storage-Konto akzeptiert nur eine einzige Identity Source (AD DS und Entra Kerberos mischen sich nicht); bei hybriden Identitäten müssen die ACLs der Freigabe von einer Maschine gesetzt werden, die den Domänencontroller sieht (die Session-Hosts nicht), und Benutzer und Gruppen müssen zu Entra ID synchronisiert werden; für die Cloud-only-Identitäten braucht es die Aktivierung der Cloud-Gruppen (Grenze von 1.010 SIDs pro Ticket) und die Deaktivierung der MFA auf der App des Storage-Kontos, mit noch begrenzter Verfügbarkeit in einigen Regionen. Schließlich kann das Kerberos-Hardening von April 2026 (von RC4 zu AES) die FSLogix-Profile auf nicht aktualisiertem SMB brechen: Es lohnt sich, sich vorher anzugleichen, wie wir im Artikel über den Abschied von der RC4-Verschlüsselung in Kerberos erklären.

Wie AtWorkStudio hilft

Wir beginnen immer mit einem Audit der Abhängigkeiten von Active Directory, bevor wir Vereinfachungen versprechen: Was hängt wirklich an der Domäne (Branchenanwendungen, SQL Server, GPOs, Gateways, MFA) und was lässt sich verschieben. Von dort aus gestalten wir den richtigen Weg — AVD-Desktops, hybride Identität, digitales Identitätsmanagement mit Entra ID, Intune, Conditional Access und Zero-Trust-Zugriff — im Einklang mit den Anforderungen der NIS2 und den Best Practices der ISO/IEC 27001. Keine Stilübungen: nur das, was Wert bringt.

Wir sind seit 2000 in Piacenza tätig. Wir sind nach ISO/IEC 27001, 27017, 27018 und ISO 9001 zertifiziert, ACN-qualifiziert für Cloud-Dienste, Mitglied von Clusit (Italienischer Verband für Informationssicherheit) und Confindustria Piacenza im RICT-Cluster.

Quellen

Microsoft Learn — «Microsoft Entra joined session hosts in Azure Virtual Desktop»
Microsoft Learn — «Store FSLogix profile containers on Azure Files using Microsoft Entra ID»
Microsoft Learn — «Introduction to Microsoft Entra Kerberos» (Realm und Authentifizierungsfluss)
Microsoft Learn — «Enable Microsoft Entra Kerberos authentication for hybrid and cloud-only identities on Azure Files»
Microsoft Learn — «Overview of Azure Files identity-based authentication for SMB access» (Wahl der Identity Source)
Microsoft Tech Community, FSLogix-Blog — Kerberos-Hardening RC4 → AES-SHA1 (April 2026)

Mehr erfahren

Identitätsmanagement und Entra ID ZTNA: über die VPN hinaus Kerberos: Abschied von RC4 Abschied von NTLM: Kerberos überall IT- und Cloud-Dienste Cybersecurity-Dienste

Häufig gestellte Fragen

Antworten auf die häufigsten Fragen zu Azure Virtual Desktop, Entra Kerberos und FSLogix.

Erwägen Sie Azure Virtual Desktop oder die Cloud-Identität?

Wir beginnen mit einem Audit Ihrer Abhängigkeiten von Active Directory: Wir verstehen, was Sie wirklich modernisieren können — Desktops, Profile, Zugriff — und was besser dort bleibt, wo es ist. Keine Stilübungen: nur das, was Ihrem Unternehmen Wert bringt.

Kontakt Digitales Identitätsmanagement

Azure Virtual Desktop ohne Active Directory:wie es funktioniert und wann es sich lohnt