Microsoft Entra ID Hybrid Identity fuer Berliner KMU: Active Directory mit der Cloud verbinden

Cloud-only-Identitaet ist der richtige Ausgangspunkt fuer neue Unternehmen. Aber Berliner KMU, die laenger als fuenf Jahre bestehen, haben fast immer On-Premises Active Directory, Domain-Joined-Workstations und Geschaeftsanwendungen, die sich gegen einen lokalen Domaenencontroller authentifizieren. Alles auf einmal abzureissen und auf Cloud-only umzusteigen ist ein erhebliches Projekt mit realem Risiko. Hybrid Identity via Microsoft Entra ID Connect Sync ist der pragmatische Weg: das beibehalten, was on-premises funktioniert, die Identitaet in die Cloud erweitern und Nutzern einen einzigen Satz von Anmeldedaten bieten, der ueberall funktioniert.

Was Hybrid Identity in der Praxis bedeutet

In einer Hybrid-Identity-Umgebung werden Benutzerkonten im On-Premises Active Directory gefuehrt. Entra ID Connect Sync (frueher Azure AD Connect) laeuft auf einem Windows Server und synchronisiert diese Konten kontinuierlich mit Entra ID (frueher Azure Active Directory) in der Cloud. Das Ergebnis: eine Identitaet, die fuer Windows-Anmeldung, Microsoft 365-Anwendungen, SharePoint, Teams und alle SAML- oder OAuth-faehigen Anwendungen ueber Entra ID funktioniert.

Aus Nutzersicht melden sie sich mit ihren Domain-Anmeldedaten an ihrem Laptop an und werden automatisch bei Cloud-Diensten authentifiziert, ohne ein zweites Passwort eingeben zu muessen. Aus Administratorperspektive bleibt das Nutzerlebenszyklus-Management in Active Directory Users and Computers — dem seit Jahren vertrauten Werkzeug — und Aenderungen werden innerhalb des Synchronisierungszyklus (Standard: 30 Minuten) in die Cloud uebertragen.

Entra ID Connect Sync: Architektur

Entra ID Connect Sync ist eine schlanke Windows-Server-Anwendung, die als Dienst ausgefuehrt wird. Anforderungen:

• Windows Server 2016 oder neuer (physisch oder virtuell) mit Internetzugang
• Ein Entra-ID-Konto mit der Rolle „Global Administrator“ oder „Hybrid Identity Administrator“ fuer die Erstkonfiguration
• Ein On-Premises-AD-Konto mit Enterprise-Admin-Rechten fuer die Erstinstallation
• Der Server sollte kein Domaenencontroller sein — setzen Sie ihn auf einem dedizierten Member-Server ein

Die Synchronisierungs-Engine liest aus AD, transformiert Attribute gemaess Regeln und schreibt in Entra ID. Standardmaessig ist die Richtung einseitig: AD ist massgeblich, Entra ID ist das Replikat. Write-back-Funktionen (Passwort-Write-back, Gruppen-Write-back, Geraete-Write-back) existieren, erfordern aber explizite Konfiguration und die entsprechende Lizenzstufe.

Authentifizierungsmethode: Password Hash Sync vs. Pass-Through Authentication

Diese Entscheidung ist die wichtigste fuer KMU. Es gibt zwei Hauptoptionen:

Password Hash Sync (PHS) synchronisiert einen Hash des AD-Passwort-Hashes in Entra ID. Die Authentifizierung gegen Cloud-Dienste erfolgt in der Cloud, ohne den On-Premises-Domaenencontroller zu kontaktieren. Wenn der Domaenencontroller nicht verfuegbar ist, koennen Nutzer sich trotzdem bei Microsoft 365 anmelden.

Pass-Through Authentication (PTA) validiert Passwoerter in Echtzeit gegen das On-Premises-AD ueber einen Lightweight-Agenten. Kein Passwortmaterial verlaesst das Unternehmen, aber bei Nichtverfuegbarkeit der On-Premises-Infrastruktur schlaegt auch die Cloud-Authentifizierung fehl.

Fuer die meisten Berliner KMU ist Password Hash Sync die richtige Wahl. Der Ausfallsicherheitsvorteil (Cloud-Authentifizierung funktioniert auch bei On-Premises-Ausfall) ueberwiegt den theoretischen Vorteil, Passwoerter vollstaendig On-Premises zu halten. PHS aktiviert ausserdem die Erkennung gestohlener Anmeldeinformationen in Entra ID Identity Protection, die Passwort-Hashes mit Microsofts Breach-Intelligence-Datenbank abgleicht — eine Sicherheitsfunktion, die mit PTA nicht verfuegbar ist.

Nahtloses Single Sign-On

Seamless SSO (auch als nahtloses Azure AD SSO bezeichnet) ist eine separate Funktion, die neben PHS oder PTA eingesetzt wird. Sie erlaubt Domain-Joined-Windows-Geraeten, sich mit Kerberos-Tickets still und ohne Passwortaufforderung bei Entra ID zu authentifizieren.

Die Aktivierung erfordert:

1. Seamless SSO im Entra ID Connect Sync-Konfigurationsassistenten aktivieren
2. Eine Gruppenrichtlinie ausrollen, die https://autologon.microsoftazuread-sso.com zur Intranet-Zone in Internet Explorer / Edge auf Domain-Mitgliedern hinzufuegt
3. Pruefen, ob das Computerkonto AZUREADSSOACC in Active Directory erstellt wurde

Danach melden sich Nutzer auf Domain-Joined-Geraeten ohne weiteren Prompt bei Microsoft 365 an. In Kombination mit Conditional-Access-Richtlinien in Entra ID erhalten konforme Domain-Mitglieder transparenten Zugang, waehrend nicht verwaltete oder nicht konforme Geraete zur MFA aufgefordert werden.

Entra ID Application Proxy: On-Premises-Anwendungen veroeffentlichen

Viele KMU mit Hybrid Identity betreiben interne Webanwendungen — ein ERP, ein Projektmanagement-Tool, ein veraltetes Intranet — die nur on-premises erreichbar sind. Entra ID Application Proxy ermoeglicht die Veroeffentlichung dieser Anwendungen im Internet ueber Entra-ID-Authentifizierung, ohne Firewall-Ports zu oeffnen oder einen Reverse-Proxy bereitzustellen.

Der Application-Proxy-Connector laeuft auf einem Windows-Server im Unternehmensnetz und stellt eine ausgehende Verbindung zum Entra-ID-Dienst her. Remote-Nutzer authentifizieren sich bei Entra ID (mit MFA-Erzwingung ueber Conditional Access) und der Proxy leitet die Anfrage an die interne Anwendung weiter. Aus Sicht der Anwendung kommt die Anfrage vom internen Connector. Ein VPN ist fuer den Endnutzer nicht erforderlich.

Haeufige Konfigurationsfehler

Die Fehler, die wir bei Hybrid-Identity-Bereitstellungen in Berliner KMU am haeufigsten sehen:

• Entra ID Connect Sync auf einem Domaenencontroller installieren. Die Software unterstuetzt dies explizit, aber Microsoft raet davon ab. Auf einem Domaenencontroller hat eine Kompromittierung des Sync-Kontos domainweite Folgen. Nutzen Sie einen dedizierten Member-Server.
• Passwort-Write-back nicht konfigurieren. Ohne Passwort-Write-back aendert ein Nutzer, der sein Passwort ueber das Entra-ID-Selfservice-Portal zuruecksetzt, nur das Microsoft 365-Passwort — das AD-Passwort bleibt unveraendert. Beim naechsten Domain-Login wird das alte Passwort verwendet, dann ueberschreibt der naechste Sync-Zyklus das Entra-ID-Passwort wieder mit dem AD-Wert. Passwort-Write-back aktivieren, wenn Sie Self-Service Password Reset einsetzen moechten.
• Sync-Health nicht ueberwachen. Entra ID Connect Sync hat ein Health-Monitoring-Dashboard unter entra.microsoft.com > Identitaet > Ueberwachung und Integrierung > Connect Sync. Nicht erkannte Sync-Fehler bedeuten, dass in AD angelegte Nutzer nicht in Microsoft 365 erscheinen — was zum Support-Ticket wird.

Was IT Experts Berlin konfiguriert

Unser Hybrid-Identity-Engagement umfasst Entra ID Connect Sync-Installation und -Konfiguration, Password Hash Sync mit Seamless SSO, optionalen Application Proxy fuer interne Webanwendungen, Conditional-Access-Richtlinien-Baseline sowie Sync-Health-Monitoring-Einrichtung. Die Bereitstellung dauert fuer eine typische KMU-Umgebung zwei bis drei Tage. Nehmen Sie Kontakt fuer ein Erstgespraech auf.