ArtikelRahmenThumnail V4 MS365 EntraID

MS365 | ENTRA ID – Hybridverwaltung

20. Oktober 2023 MS365-EntraID, MS365

Die Synchronisierung deiner lokalen Active Directory-Umgebung mit Microsoft Entra ID ist der Grundstein, um Benutzer, Gruppen und Geräte nahtlos in die Cloud zu bringen. Doch bei der Einrichtung stehen Administratoren oft vor der entscheidenden Frage: Welches Synchronisierungs-Tool ist das richtige?

Während der klassische Microsoft Entra Connect Sync (ehemals Azure AD Connect) jahrelang der unangefochtene Standard war, bietet Microsoft mit Microsoft Entra Cloud Sync mittlerweile eine moderne, agentenbasierte Alternative. Beide Lösungen verfolgen das gleiche Ziel, unterscheiden sich jedoch massiv in Architektur, Funktionsumfang und Komplexität.

Dieser Artikel analysiert die Unterschiede zwischen den beiden Methoden, beleuchtet ihre Vor- und Nachteile und gibt dir eine klare Entscheidungshilfe an die Hand.

Vergleich: Vor- und Nachteile auf einen Blick

Hier siehst du die wichtigsten Unterschiede, die für deine Planung entscheidend sind:

https://learn.microsoft.com/de-de/entra/identity/hybrid/cloud-sync/what-is-cloud-sync#comparison-between-azure-ad-connect-and-cloud-sync

KategorieEntra Connect Sync (Klassisch)Entra Cloud Sync (Modern)Begründung
Einfachheit & Wartung⭐⭐⭐⭐⭐⭐⭐Cloud Sync gewinnt klar: Kein lokaler SQL-Server nötig, automatische Agenten-Updates und Konfiguration via Browser. Der Klassiker erfordert Server-Pflege und Updates.
Funktionsumfang⭐⭐⭐⭐⭐⭐⭐⭐Der Klassiker ist das „Schweizer Taschenmesser“ (Pass-Through Auth, komplexe Attribut-Regeln). Cloud Sync holt auf, hat aber noch Lücken.
Geräte-Sync (Hybrid Join)⭐⭐⭐⭐⭐Kritisch: Wer klassische Computer-Objekte für den Hybrid Join synchronisieren muss, kommt am Connect Sync kaum vorbei. Cloud Sync kann das (aktuell) nicht.
Netzwerk-Flexibilität⭐⭐⭐⭐⭐⭐⭐Cloud Sync glänzt bei getrennten Netzwerken (z. B. nach Firmenkäufen). Der Klassiker benötigt eine direkte Verbindung zu allen Domänen-Controllern.
Hochverfügbarkeit⭐⭐⭐⭐⭐⭐⭐⭐Bei Cloud Sync installierst du einfach einen zweiten Agenten (Active-Active). Beim Klassiker musst du einen komplexen „Staging Mode“-Server vorhalten (Active-Passive).
Group Writeback⭐⭐⭐⭐⭐Microsoft setzt hier voll auf die Zukunft: Das moderne Zurückschreiben von Gruppen (z. B. M365-Gruppen ins AD) ist die Stärke von Cloud Sync.

Der Klassiker: Microsoft Entra Connect Sync

Die Microsoft Entra Connect-Synchronisierung (häufig einfach „Connect Sync“ oder unter dem alten Namen „Azure AD Connect“ bekannt) ist die umfassende On-Premises-Lösung, die in den meisten etablierten Hybrid-Umgebungen den Standard bildet.

Im Gegensatz zu leichten Agenten handelt es sich hierbei um eine vollwertige Server-Anwendung, die zentral auf einem Windows Server in deinem Netzwerk installiert wird. Sie nutzt eine lokale SQL-Datenbank (standardmäßig SQL LocalDB, bei großen Umgebungen eine Vollversion), um den Zustand aller Objekte zwischen deinem lokalen Active Directory und der Cloud zu speichern und abzugleichen.

Die Kernfunktionen

Connect Sync ist das „Schweizer Taschenmesser“ der Synchronisierung. Es bietet Funktionen, die der modernen Cloud-Variante (noch) fehlen:

  • Geräte-Synchronisation (Hybrid Join): Das wohl wichtigste Alleinstellungsmerkmal. Wenn du Computer-Objekte (Windows 10/11 Clients) in die Cloud synchronisieren musst, um den klassischen Hybrid Entra ID Join durchzuführen, ist dieses Tool zwingend erforderlich. Cloud Sync unterstützt dies aktuell nicht.
  • Pass-Through Authentication (PTA): Neben der Passwort-Hash-Synchronisierung (PHS) beherrscht nur der Klassiker die Pass-Through-Authentifizierung. Dabei werden Anmeldeversuche nicht gegen die Cloud, sondern in Echtzeit gegen dein lokales AD geprüft – ein Muss für manche Sicherheitsrichtlinien.
  • Voller Exchange Hybrid Support: Zwar kann Cloud Sync mittlerweile einige Exchange-Attribute schreiben, aber für komplexe Hybrid-Szenarien (insbesondere mit älteren Exchange-Versionen oder umfangreichen Public Folder Konfigurationen) bleibt Connect Sync die empfohlene Lösung.
  • Komplexe Filterregeln: Über den integrierten Synchronization Rules Editor hast du die volle Kontrolle über den Datenfluss. Du kannst Attribute transformieren, zusammenfügen oder basierend auf komplexer Logik filtern, bevor sie die Cloud erreichen.

Herausforderungen und Nachteile

Die Macht dieses Tools hat ihren Preis in Form von Betriebsaufwand:

  • Infrastruktur: Du benötigst einen dedizierten Server und musst dich um dessen Wartung (OS-Updates, Software-Upgrades) kümmern.
  • Netzwerk-Anforderungen: Der Server muss eine direkte Verbindung (Line-of-Sight) zu allen Domänencontrollern aller Gesamtstrukturen haben, die du synchronisieren möchtest.
  • Single Point of Failure: Fällt der Server aus, stoppt die Synchronisation. Für Hochverfügbarkeit musst du einen zweiten Server im sogenannten „Staging Mode“ (passiv) betreiben und im Ernstfall manuell umschalten.

Wann ist dies deine Wahl?

Du solltest auf Microsoft Entra Connect Sync setzen, wenn:

  • Du Geräte-Objekte für den Hybrid Join synchronisieren musst.
  • Du Pass-Through Authentication (PTA) als Anmeldemethode benötigst.
  • Du mehr als 250.000 Objekte in einem einzelnen AD-Objekt verwalten musst (wobei diese Grenze weich ist und Cloud Sync aufholt).
  • Du sehr komplexe Attribut-Transformationen benötigst, die über einfaches Mapping hinausgehen.
grafik 3
grafik 7
grafik 8
grafik 9
grafik 10
grafik 11

Die moderne Alternative: Microsoft Entra Cloud Sync

Microsoft Entra Cloud Sync (früher „Azure AD Connect Cloud Sync“) ist die moderne, leichtgewichtige Antwort von Microsoft auf die Synchronisierungsanforderungen heutiger IT-Landschaften. Sie wurde entwickelt, um Hybrid-Identitätsziele schneller und mit weniger lokalem Aufwand zu erreichen.

Der technische Unterschied ist fundamental: Anstatt einer schweren Server-Anwendung installierst du lediglich einen schlanken Cloud-Bereitstellungsagenten (Microsoft Entra Cloud Provisioning Agent) auf einem oder mehreren Windows Servern in deinem Netzwerk. Die eigentliche „Intelligenz“ – also die Konfiguration der Regeln, Filter und Zeitpläne – findet nicht mehr lokal, sondern zentral im Microsoft Entra Admin Center statt.

Die Kernfunktionen

Cloud Sync spielt seine Stärken vor allem dort aus, wo die klassische Lösung zu starr oder zu komplex ist:

  • Unterstützung für getrennte Gesamtstrukturen (Disconnected Forests): Dies ist das „Killer-Feature“. Der Agent kann Benutzer aus verschiedenen Active Directory-Gesamtstrukturen synchronisieren, selbst wenn diese Netzwerke nicht miteinander verbunden sind und keine Vertrauensstellungen (Trusts) bestehen. Das macht das Tool zur idealen Lösung bei Fusionen und Übernahmen (M&A), um neue Firmenstandorte schnell anzubinden.
  • Echte Hochverfügbarkeit (High Availability): Du möchtest Ausfallsicherheit? Installiere den schlanken Agenten einfach auf einem zweiten oder dritten Server. Microsoft Entra nutzt automatisch die verfügbaren Agenten. Es ist kein komplexer „Staging Mode“ oder manuelles Umschwenken wie beim Klassiker nötig.
  • Leichtgewichtige Installation: Da keine lokale SQL-Datenbank benötigt wird, sind die Anforderungen an den Server minimal. Das macht die Lösung kostengünstig und einfach zu warten.
  • Modernes Group Writeback: Wer Microsoft 365-Gruppen (und deren Sicherheits-Features) zurück ins lokale AD schreiben möchte, sollte auf Cloud Sync setzen, da Microsoft diese Funktion hier primär weiterentwickelt.

Herausforderungen und Einschränkungen

Trotz der modernen Architektur gibt es funktionale Lücken, die (Stand heute) den Einsatz in vielen Bestandsnetzwerken verhindern:

  • Objekt-Limits: Während der Klassiker fast unbegrenzt skaliert, ist Cloud Sync (je nach Szenario) auf etwa 150.000 Objekte pro AD-Domäne optimiert, wobei Microsoft diese Grenzen stetig erweitert.

Wann ist dies deine Wahl?

Microsoft Entra Cloud Sync ist die richtige Lösung für dich, wenn:

  • Du deine „Hybrid-Journey“ neu startest und eine schlanke, wartungsarme Infrastruktur bevorzugst.
  • Du im Rahmen einer Firmenübernahme ein fremdes AD schnell anbinden musst, ohne VPN-Tunnel oder Trusts einzurichten.
  • Du keine komplexen Legacy-Anforderungen (wie Device Sync für Hybrid Join) hast.
  • Du eine hohe Verfügbarkeit ohne komplexes Cluster-Setup erreichen willst.
grafik 4
grafik 5
grafik 6

Empfehlungen für die Auswahl

Die Entscheidung zwischen dem bewährten Klassiker und der modernen Cloud-Variante hängt oft an wenigen, aber kritischen K.O.-Kriterien. Es gibt keine pauschale Antwort, aber klare Szenarien, die den Weg weisen.

Hier sind unsere Empfehlungen basierend auf den häufigsten Anwendungsfällen:

✅ Wähle Microsoft Entra Connect Sync (Klassisch), wenn…

Du solltest bei der etablierten Server-Lösung bleiben oder diese wählen, wenn deine Anforderungen tief in der lokalen Infrastruktur verwurzelt sind:

  • Du Hybrid Join für Clients benötigst: Wenn du Windows-Geräte im lokalen AD verwalten und gleichzeitig als „Hybrid Entra ID Joined“ in der Cloud haben möchtest, ist dieses Tool aktuell Pflicht, da Cloud Sync keine Geräteobjekte synchronisiert.
  • Du strenge Sicherheitsvorgaben hast (PTA): Wenn deine Policy verbietet, dass Passwort-Hashes in die Cloud synchronisiert werden, und du auf Pass-Through Authentication angewiesen bist.
  • Du eine sehr große Umgebung hast: Bei mehr als 150.000 bis 250.000 Objekten pro AD-Domäne ist die klassische SQL-basierte Engine oft noch performanter und stabiler.
  • Du komplexe Exchange-Hybrid-Szenarien betreibst: Für das vollständige Rückschreiben aller Exchange-Attribute und die Unterstützung alter Exchange-Versionen ist der Klassiker die sicherere Bank.

✅ Wähle Microsoft Entra Cloud Sync (Modern), wenn…

Du solltest den modernen Weg einschlagen, wenn du Ballast abwerfen willst oder vor komplexen Netzwerk-Herausforderungen stehst:

  • Du Fusionen & Übernahmen (M&A) managst: Du musst eine gekaufte Firma integrieren, deren AD-Forest keine Netzwerkverbindung (VPN/Trust) zu deinem Haupt-AD hat? Der Cloud Agent löst das elegant über Port 443 nach außen, ohne direkte Verbindung der Domänen.
  • Du die Infrastruktur verschlanken willst: Wenn du Kosten für Server-Wartung, Patching und SQL-Lizenzen sparen möchtest, ist der leichte Agent ideal.
  • Du „Greenfield“ startest: Wenn du eine Hybrid-Umgebung ganz neu aufbaust und keine Altlasten (wie Hybrid Join Anforderungen) hast, ist dies der zukunftssichere Weg.

💡 Der hybride Weg: Koexistenz

Gut zu wissen: Es ist kein „Entweder-oder“ für die Ewigkeit. Beide Tools können koexistieren. Ein häufiges Szenario ist der Betrieb von Connect Sync für die Haupt-Domäne (um Hybrid Join zu gewährleisten) und der parallele Einsatz von Cloud Sync für neu hinzugekaufte Firmenstandorte oder Test-Umgebungen.

Praxis-Tipp: Bist du immer noch unsicher? Microsoft bietet im Admin Center einen Assistenten („Synchronisierung überprüfen“), der anhand deiner Antworten eine technische Empfehlung ausspricht.

Zukünftige Entwicklungen

Wer die Updates von Microsoft in den letzten Jahren verfolgt hat, erkennt eine klare strategische Marschrichtung: Cloud First.

Auch wenn die klassische Microsoft Entra Connect-Synchronisierung heute noch das Arbeitspferd in vielen Unternehmen ist, fließt die Entwicklungsarbeit fast ausschließlich in die moderne Cloud Sync-Variante. Das klassische Tool befindet sich faktisch in einem Wartungsmodus – es wird gepflegt und sicher gehalten, aber große neue Features sind dort nicht mehr zu erwarten.

Hier sind die Trends, auf die du dich einstellen solltest:

  • Funktionsverlagerung:
    Ein deutliches Signal war die Abkündigung von Group Writeback V2 im klassischen Tool. Microsoft hat klar kommuniziert, dass moderne Features wie das Zurückschreiben von M365-Gruppen primär über Cloud Sync bereitgestellt werden.
  • Schließen der Lücken:
    Es ist davon auszugehen, dass Microsoft die funktionalen Lücken von Cloud Sync (z. B. Pass-Through Authentication oder komplexere Exchange-Szenarien) nach und nach schließen wird, um den Klassiker langfristig obsolet zu machen.
  • Der Wandel der Endgeräte-Strategie:
    Ein Grund, warum Cloud Sync noch keine Geräte-Synchronisation (für Hybrid Join) unterstützt, könnte strategischer Natur sein. Microsofts Vision für den modernen Arbeitsplatz ist nicht mehr das Hybrid Joined Device, sondern das Entra ID Joined Device (Cloud Native). Langfristig wird die Notwendigkeit, Computer-Objekte zu synchronisieren, also eher abnehmen, da Unternehmen direkt auf Cloud-Native-Geräte umsteigen.

Fazit

Die Wahl des richtigen Synchronisierungs-Tools ist keine Entscheidung für die Ewigkeit, aber sie legt das Fundament für deine hybride Infrastruktur.

Zusammenfassend lässt sich sagen:

  • Bleib beim Klassiker (Connect Sync), wenn du auf Nummer sicher gehen musst. Solange du Geräteobjekte für den klassischen Hybrid Join benötigst oder komplexe Exchange-Altlasten mitschleppst, führt an der Server-Installation kein Weg vorbei. Es ist die solide, wenn auch wartungsintensive Wahl.
  • Wage den Schritt zu Cloud Sync, wenn du die Möglichkeit dazu hast. Für neue Projekte, Zukäufe (M&A) oder reine User-Synchronisation ist der schlanke Agent unschlagbar. Du sparst dir Patch-Management, SQL-Lizenzen und Nerven bei der Konfiguration.

Die Zukunft gehört ganz klar der Cloud-Synchronisierung. Auch wenn der Funktionsumfang heute noch nicht zu 100 % deckungsgleich ist, schließt Microsoft die Lücken mit jedem Update. Es lohnt sich also, die eigene Architektur regelmäßig auf den Prüfstand zu stellen: Brauche ich den schweren Server wirklich noch, oder reicht mittlerweile der leichte Agent?

Nutze die Entscheidungshilfen in diesem Artikel und das Microsoft-Tool zur Überprüfung, um deinen Weg in die moderne Hybrid-Identität zu finden.

This post is also available in: Deutsch

Ähnliche Artikel