Die Wahl zwischen Microsoft Entra ID (ehemals Azure Active Directory) und einem klassischen On-Premises Active Directory (AD) ist eine strategische Weichenstellung für jede IT-Organisation. Beide Technologien verfolgen dasselbe Ziel – Identitätsmanagement – lösen es aber auf fundamental unterschiedliche Weise.
Während das klassische AD auf lokalen Servern und Kerberos basiert, ist Entra ID für die Cloud-Ära und Web-Protokolle konzipiert. In diesem Artikel beleuchten wir die technischen Unterschiede, Vor- und Nachteile sowie Anwendungsfälle, um dir bei der Architekturentscheidung zu helfen.
Spoiler: In der Praxis ist oft nicht ein „Entweder-oder“, sondern eine hybride Lösung der Schlüssel zur optimalen IT-Strategie.
Die Unterschiede im Detail: Äpfel und Birnen
Der wichtigste Punkt vorweg: Microsoft Entra ID ist kein „Active Directory in der Cloud“. Es fehlen klassische Elemente wie OUs, GPOs oder Kerberos. Stattdessen ist es für Web-Standards gebaut.
Hier der direkte technische Vergleich:
| Feature | Microsoft Entra ID | On-Premises Active Directory (AD DS) |
| Bereitstellung | IDaaS (Identity as a Service): Gehostet in der Microsoft Cloud. Keine Server-Wartung, global verfügbar via Internet. | Self-Hosted: Läuft auf deinen Windows Servern (Domain Controller). Erfordert Hardware, Patching und Backups. |
| Struktur | Flach: Benutzer und Gruppen. Keine OUs (außer Admin Units) und keine Forests. | Hierarchisch: Forests, Domains, Organizational Units (OUs) und Vertrauensstellungen (Trusts). |
| Protokolle | Web-basiert: OAuth 2.0, OIDC, SAML, REST API (Graph). Optimiert für HTTP/Internet. | Legacy: Kerberos, NTLM, LDAP. Optimiert für LAN und VPN-Verbindungen. |
| Geräte-Mgmt | MDM (Intune): Verwaltung über das Internet. Richtlinien (Policies) statt GPOs. | GPO (Gruppenrichtlinien): Mächtig, erfordert aber Sichtverbindung zum Controller (LAN/Line-of-Sight). |
| Identitäts-Typen | Vielfältig: Cloud-Only, Hybrid (Synced), Gast-User (B2B) und Social Logins (B2C). | Lokal: Primär interne Domänen-Benutzer. Externe Zugriffe sind komplex (Forest Trusts). |
| Sicherheit | Zero Trust: Jede Anfrage wird geprüft (MFA, Conditional Access, Identity Protection). | Perimeter-basiert: „Wer drin ist, ist vertrauenswürdig.“ Sicherheit oft abhängig von Firewalls. |
Cloud vs. On-Premises: Die strategische Einordnung
Die Entscheidung für eine Plattform ist oft eine Abwägung zwischen Kontrolle und Agilität. Hier sind die drei Hauptfaktoren, die du beachten musst:
1. Flexibilität und Skalierung
- Microsoft Entra ID: Skaliert elastisch. Ob 50 oder 500.000 Benutzer – die Infrastruktur im Hintergrund wächst automatisch mit. Neue Standorte oder Homeoffice-User werden sofort angebunden, solange eine Internetverbindung besteht.
- On-Premises AD: Bietet dir die volle Datenhoheit („Data Sovereignty“), aber Skalierung ist Arbeit. Mehr User oder Standorte bedeuten: Neue Domain Controller kaufen, Standort-Vernetzung (VPN/MPLS) planen und Replikations-Topologien verwalten.
2. Kostenmodell (CAPEX vs. OPEX)
- Microsoft Entra ID: Ein klassisches OPEX-Modell (Betriebskosten). Du zahlst pro User/Monat (z. B. via Microsoft 365 Lizenzen). Die Kosten sind transparent und skalieren linear mit dem Wachstum.
- On-Premises AD:CAPEX (Investitionskosten). Du kaufst Server-Hardware, Windows Server Lizenzen und CALs (Client Access Licenses) im Voraus.
- Vorsicht: Die wahren Kosten beim lokalen AD sind oft versteckt (Strom, Kühlung, Backup-Tapes und vor allem der Personalaufwand für Patching und Wartung).
3. Sicherheit und Compliance
Hier prallen zwei Welten aufeinander:
- On-Premises AD (Perimeter-Modell): Verlässt sich traditionell auf die Firewall („Burggraben-Prinzip“). Wer im internen Netzwerk ist, gilt oft als vertrauenswürdig. Um moderne Sicherheit (wie MFA) nachzurüsten, sind komplexe Zusatzsysteme (früher ADFS, heute oft Drittanbieter) nötig.
- Microsoft Entra ID (Zero Trust): Integriert Sicherheit nativ. Features wie Conditional Access und Identity Protection sind fest verbaut. Der Dienst geht davon aus, dass kein Netzwerk sicher ist und prüft jede Anfrage neu.
- Compliance-Hinweis: Für streng regulierte Bereiche (z. B. Militär, KRITIS mit „Air-Gap“-Anforderung) bleibt On-Premises AD oft unverzichtbar, da hier keine Daten das Haus verlassen dürfen.
Die Realität ist meist Hybrid
Während „Cloud Only“ für Startups das Ziel ist, finden sich etablierte Unternehmen meist in einer Übergangsphase wieder, die Jahre oder Jahrzehnte andauern kann. Man kann den Schalter für das lokale Active Directory selten einfach umlegen.
Die Gründe dafür sind technische „Anker“, die tief in der Infrastruktur verwurzelt sind:
- Legacy-Authentifizierung: Viele geschäftskritische Anwendungen (alte ERP-Systeme, HR-Software) oder Hardware (Maschinensteuerungen in der Produktion, Drucker) sprechen nur LDAP oder Kerberos. Sie verstehen keine modernen Web-Protokolle wie OAuth.
- File Services & SMB: Der Zugriff auf klassische Netzlaufwerke und Fileserver erfordert in der Regel Kerberos-Tickets und eine Domänen-Mitgliedschaft des Clients.
- Netzwerk-Sicherheit (RADIUS): Viele WLAN- oder VPN-Lösungen nutzen NPS (Network Policy Server) und das lokale AD zur Authentifizierung.
- Compliance & Latenz: In Branchen wie dem Gesundheitswesen oder der Fertigung müssen Authentifizierungsentscheidungen oft millisekundenschnell und unabhängig von einer Internetverbindung („Offline-Fähigkeit“) getroffen werden.
Die Lösung: Eine hybride Identitätsinfrastruktur
Anstatt zwei getrennte Identitäten zu verwalten (Silo-Bildung), verbindest du beide Welten. Technisch geschieht dies meist über Microsoft Entra Connect Sync (oder zunehmend den schlankeren Cloud Sync Agenten).
Hierbei gilt meist das Prinzip: „Mastered On-Premises, Consumed in Cloud“. Das lokale AD bleibt die führende Quelle („Source of Authority“) für Benutzerattribute, während Entra ID diese Informationen nutzt, um Zugriff auf Microsoft 365, Azure und SaaS-Apps zu gewähren.
Die strategischen Vorteile im Detail
- Nahtloses Benutzererlebnis (Seamless SSO) Für den Anwender verschmelzen die Welten. Er meldet sich morgens an seinem PC mit seinem Domänen-Account an. Durch Mechanismen wie Hybrid Azure AD Join und Seamless SSO erhält er daraufhin automatisch Zugriff auf Cloud-Dienste (Teams, SharePoint), ohne erneut ein Passwort eingeben zu müssen.
- Der Rückkanal (Writeback-Funktionen) Moderne Hybrid-Setups sind keine Einbahnstraße mehr. Entra ID kann Informationen zurück in das lokale AD schreiben:
- Self-Service Password Reset (SSPR): Ändert ein Nutzer sein Passwort in der Cloud (z. B. im Homeoffice), wird es sofort lokal auf den Domain Controller zurückgeschrieben.
- Device Writeback: Ermöglicht es, Cloud-basierte Richtlinien (Conditional Access) auch abhängig vom Status lokaler Geräte zu machen.
- Sicherheit durch Skalierbarkeit Du behältst die Datenhoheit über sensible interne Verzeichnisse, nutzt aber die Sicherheits-Power der Cloud. So kannst du beispielsweise erkennen, ob das Passwort eines lokalen Benutzers im Darknet aufgetaucht ist (Leaked Credentials Detection via Password Hash Sync) und den Account automatisch sperren.
Entscheidungshilfe: Welcher Weg für wen?
- „Cloud Native“ (Startups & Modern Workplace)
- Empfehlung: Entra ID Only.
- Du hast keine Server im Keller, nutzt SaaS-Tools und Laptops werden über Intune verwaltet. Ein lokales AD wäre hier nur unnötiger Ballast und Kostenfaktor.
- Der Mittelstand (KMU mit Historie)
- Empfehlung: Hybrid.
- Behalte das lokale AD für File-Server und alte Anwendungen, aber synchronisiere alle User zu Entra ID, um Microsoft 365 und MFA zu nutzen. Beginne, GPOs langsam durch Intune-Richtlinien zu ersetzen.
- Regulierte Industrien / High Security
- Empfehlung: On-Premises AD (führend) + Entra ID.
- Hier bleibt die Identitätshoheit strikt lokal. Entra ID wird nur als „Gateway“ zu Office 365 genutzt, oft in Kombination mit Federation (AD FS) statt Passwort-Sync, um sicherzustellen, dass keine Hashes das Haus verlassen.
Koexistenz und Evolution statt Verdrängung
Nutze das On-Premises Active Directory so lange wie nötig als Stabilisator für deine bestehende Infrastruktur, aber baue alle neuen Brücken und Erweiterungen konsequent auf dem Fundament von Microsoft Entra ID. Das ist der Weg, um Agilität zu gewinnen, ohne die Stabilität zu gefährden.
Hybrid ist der Weg, aber „Cloud Only“ ist oft das Ziel.
Häufig gestellte Fragen (FAQ)
Was ist aus „Azure Active Directory“ geworden?
Microsoft hat den Dienst 2023 in Microsoft Entra ID umbenannt, um ihn in die neue Sicherheits-Produktfamilie (Microsoft Entra) einzugliedern. Wichtig für dich: Technisch hat sich unter der Haube nichts geändert. APIs, PowerShell-Cmdlets und URLs funktionieren weiter wie bisher. Es handelt sich primär um eine Namensänderung.
Können On-Premises AD und Entra ID parallel genutzt werden?
Ja, das ist der Industriestandard, genannt Hybrid Identity. Dabei verbleibt dein lokales AD als führendes System für Legacy-Anwendungen, während Entra ID für Microsoft 365 und moderne Apps zuständig ist. Über Microsoft Entra Connect werden Benutzer und Passwörter (Hashes) sicher zwischen beiden Welten synchronisiert.
Ist Microsoft Entra ID in allen Microsoft-365-Plänen enthalten?
Jein. Eine Basis-Version (Entra ID Free) liegt jedem Business- oder Enterprise-Plan bei. Sie reicht für SSO und User-Management. Achtung: Essenzielle Sicherheits-Features wie Conditional Access (Bedingter Zugriff) oder dynamische Gruppen erfordern jedoch eine Premium P1-Lizenz (enthalten in Business Premium oder E3). Für Identity Protection benötigst du P2 (E5).
Ich habe ein lokales AD – muss ich für die Cloud alles neu bauen?
Nein. Du nutzt deine bestehende Investition weiter. Mit der hybriden Konfiguration lagerst du nur bestimmte Workloads (wie Exchange Online, Teams, SharePoint) in die Cloud aus. Die Benutzerverwaltung erfolgt weiterhin gewohnt in deinem lokalen Active Directory, und die Änderungen werden automatisch in die Cloud repliziert.
Benötige ich für Entra ID neue Server-Hardware?
Für den Dienst selbst: Nein. Entra ID läuft zu 100 % in den Rechenzentren von Microsoft. Für die Verbindung (Hybrid): Vielleicht. Wenn du dein lokales AD koppeln möchtest, benötigst du einen kleinen Server (oder eine VM) für das Sync-Tool Entra Connect. Alternativ reicht für einfachere Szenarien der schlanke Cloud Sync Agent, der kaum Ressourcen frisst.
Brauche ich „Entra Domain Services“?
Vorsicht Verwechslungsgefahr: Microsoft Entra Domain Services ist ein spezieller Nischen-Dienst, der LDAP/Kerberos in der Cloud bereitstellt. Er ist kein Ersatz für dein lokales AD, sondern dient meist nur dazu, alte Server-Workloads per „Lift & Shift“ nach Azure zu verschieben, ohne eigene Domain Controller VMs betreiben zu müssen.
weitere Quellen
| Microsoft Entra ID – ehemals Azure Active Directory | https://learn.microsoft.com/de-de/azure/active-directory/ |
| Microsoft Entra Connect | https://learn.microsoft.com/de-de/azure/active-directory/hybrid/how-to-connect-install-express |
| Grundlagen zu OnPrem Active Directory | https://learn.microsoft.com/de-de/windows-server/identity/active-directory-domain-services |
| hybrides Identitätsmanagement mit Microsoft Entra und OnPrem AD | https://learn.microsoft.com/de-de/azure/active-directory/hybrid/ |
| Lizenzstufen in Microsoft Entra ID | https://azure.microsoft.com/de-de/pricing/details/active-directory/ |
This post is also available in:
Deutsch
