Microsoft Entra Connect: Hybrid-Identität für kleine Unternehmen in Berlin

Viele kleine Unternehmen in Berlin betreiben eine hybride Umgebung: ein lokaler Windows Server mit Active Directory Domain Services neben Microsoft-365-Cloud-Diensten. Mitarbeiter wurden zuerst in Active Directory angelegt – ihre Windows-Anmeldung, der Dateiserverz ugriff und die E-Mail stammen alle aus dem lokalen AD. Ein vollständiger Wechsel zur cloudbasierten Identität ist nicht immer praktikabel oder erwünscht. Microsoft Entra Connect (früher Azure AD Connect) ist das Synchronisierungsmodul, das lokales Active Directory und Microsoft Entra ID verbindet und eine einzige Identität ermöglicht, die in beiden Umgebungen nahtlos funktioniert.

Ohne Entra Connect sind Ihr lokales Active Directory und Entra ID vollständig getrennte Identitätsspeicher. Benutzer haben separate Cloud-Konten für Microsoft 365, die keine Beziehung zu ihren Domänenkonten haben. Kennwortänderungen im einen System werden nicht in das andere propagiert. Gruppenberechtigungen in AD spiegeln sich nicht in Entra ID wider. Entra Connect beseitigt diese Fragmentierung durch kontinuierliche Synchronisierung von Benutzern, Gruppen und Kennwort-Hashes zwischen beiden Verzeichnissen.

Authentifizierungsmethoden im Vergleich

Kennwort-Hash-Synchronisierung (PHS) – Empfohlen

PHS ist die einfachste und robusteste Authentifizierungsmethode. Ein Hash des Benutzerkennwort-Hashs (nicht das Kennwort selbst) wird mit Entra ID synchronisiert. Bei der Authentifizierung validiert Entra ID die Anmeldeinformationen lokal, ohne die lokale Infrastruktur zu kontaktieren. Die Authentifizierung ist auch dann erfolgreich, wenn die lokale Umgebung offline ist oder unter Wartung steht.

PHS aktiviert die Erkennung von kompromittierten Anmeldeinformationen in Entra ID Protection – Microsoft vergleicht synchronisierte Kennwort-Hashes kontinuierlich mit Credential-Dumps aus gehackten Websites. Wird das Kennwort eines Benutzers in einer Breach-Datenbank gefunden, erhöht sich dessen Entra-ID-Risikoniveau und Conditional Access kann Massnahmen erzwingen. Diese Erkennung ist nur mit PHS möglich.

Pass-Through-Authentifizierung (PTA)

Bei PTA erfolgt die Kennwortvalidierung in Echtzeit lokal. Authentifizierungsanfragen werden an leichtgewichtige PTA-Agents auf lokalen Servern weitergeleitet, die das Kennwort gegen Active Directory validieren. Es werden keine Kennwort-Hashes in die Cloud synchronisiert. Der operative Kompromiss: Die Authentifizierung erfordert eine verfügbare lokale Infrastruktur. PTA ist geeignet, wenn die Organisationsrichtlinie jede Form von Kennwortmaterial in der Cloud untersagt.

Active Directory Federation Services (ADFS)

ADFS ist eine anspruchsbasierte Authentifizierungsinfrastruktur für SAML/WS-Federation-Token. Für kleine Unternehmen ist ADFS operativ aufwendig: dedizierte Serverinfrastruktur, Zertifikatsverwaltung und kontinuierliche Wartung. Microsofts Empfehlung seit 2020: Migration von ADFS zu PHS oder PTA für neue Bereitstellungen.

Entra Connect vs. Entra Cloud Sync

Microsoft bietet zwei Synchronisierungs-Agents an: das ursprüngliche Entra Connect (eine vollständige Anwendung auf einem Windows Server) und das neuere Entra Cloud Sync (ein leichtgewichtiger Agent mit cloudverwalteter Konfiguration).

• Entra Connect verwenden, wenn Sie mehrere lokale AD-Forests haben, Exchange Hybrid Writeback benötigen, Gerätesynchronisierung für Hybrid Join benötigen oder komplexe Synchronisierungsregelanpassungen erfordern.
• Entra Cloud Sync verwenden, wenn Sie einen einzigen AD-Forest haben, einen minimalen lokalen Footprint wünschen und Exchange Hybrid oder komplexe Writeback-Szenarien nicht benötigen. Cloud Sync ist Microsofts strategische Richtung für neue Bereitstellungen.

Installationsvoraussetzungen

Entra Connect wird auf einem dedizierten Windows Server installiert (nicht auf einem Domänencontroller):

• Betriebssystem: Windows Server 2016, 2019 oder 2022.
• Hardware: Für Umgebungen unter 10.000 Objekte: 4 GB RAM, 70 GB Festplatte.
• SQL: Entra Connect installiert LocalDB für kleine Umgebungen. Für über 100.000 Objekte ist eine vollständige SQL-Server-Instanz erforderlich.
• Netzwerk: Ausgehende HTTPS-Verbindungen zu *.msappproxy.net, *.servicebus.windows.net, login.microsoftonline.com. Keine eingehenden Firewallregeln erforderlich.
• Konten: Ein Enterprise-Admin-Konto im lokalen AD, ein Entra-ID-Globaladministratorkonto und ein dediziertes Dienstkonto für die laufende Synchronisierung (wird während der Installation automatisch erstellt).

Bereitstellungsschritte

Die Express-Einstellungen-Installation eignet sich für die überwiegende Mehrheit der KMU-Bereitstellungen. Laden Sie den Entra Connect Installer aus dem Microsoft Download Center herunter und führen Sie ihn auf dem dedizierten Server aus:

• Express-Einstellungen (empfohlen für Einzelforest-/Einzeldomänenumgebungen mit PHS): Akzeptiert alle Standardeinstellungen, konfiguriert PHS automatisch und startet die initiale Synchronisierung unmittelbar nach Abschluss des Assistenten.
• Benutzerdefinierte Einstellungen: Erforderlich für PTA, mehrere Forests, gefilterte Synchronisierung oder Exchange-Hybrid-Writeback.

Überwachung mit Entra Connect Health

Entra Connect Health ist ein cloudbasierter Überwachungsdienst, der Synchronisierungsstatus, Latenz und Fehler verfolgt. Das Health-Dashboard im Entra Admin Center zeigt:

• Letzten erfolgreichen Synchronisierungszeitstempel und -dauer
• Synchronisierungsfehler (Objekte, die aufgrund von Attributkonflikten nicht synchronisiert werden konnten)
• Kennwort-Hash-Synchronisierungsverzögerung
• Agent-Integritätsstatus und -version
• Warnungsverlauf mit E-Mail-Benachrichtigungen bei Synchronisierungsfehlern

Häufige Synchronisierungsfehler und Lösungen

• Duplizierte Attribute (AttributeValueMustBeUnique): Zwei lokale Benutzer teilen denselben UPN oder dieselbe Proxyadresse. Lösung: Korrigieren Sie das duplizierte Attribut im Active Directory.
• Ungültiges UPN-Suffix: Benutzer mit UPN-Suffixen, die in Entra ID nicht als verifizierte Domänen registriert sind. Lösung: Domäne als benutzerdefinierte Domäne in Entra ID hinzufügen.
• Soft-Match-Konflikte: Ein Cloud-Only-Konto mit demselben UPN wie ein zu synchronisierender Benutzer existiert bereits. Lösung: Entra Connect Soft-Match oder Hard-Match-Prozess verwenden.

Hybrid-Identität für Berliner KMU: Wann sie sinnvoll ist

Entra Connect ist nicht die richtige Lösung für jedes Berliner KMU. Für Unternehmen, die mit reiner Cloud-Infrastruktur starten – keine lokalen Dateiserver, keine Windows-Server-Domäne – ist ein Cloud-Only-Entra-ID-Identitätsmodell einfacher und wartungsärmer. Entra Connect erfordert operative Komplexität, die nur gerechtfertigt ist, wenn die lokale Infrastruktur es tatsächlich verlangt.

Berechtigte Gründe für den Betrieb von Entra Connect in einer KMU-Umgebung: bestehendes Active Directory, das kurzfristig nicht ausser Betrieb genommen werden kann (Dateifreigaben, Legacy-Anwendungen, Drucker), Anforderungen an hybrid-verbundene Geräte für Gruppenrichtlinien neben Intune oder Exchange Server Hybrid für eine schrittweise Migration zu Exchange Online.

Für Berliner Unternehmen, die tatsächlich hybrid sind und es bleiben werden, ist Entra Connect mit Kennwort-Hash-Synchronisierung eine bewährte, zuverlässige Grundlage. Die wichtigste operative Disziplin: Halten Sie den Entra-Connect-Server gepatcht und den Agent aktualisiert, überwachen Sie Synchronisierungsintegritätswarnungen aktiv und dokumentieren Sie den Synchronisierungsumfang und die Konfiguration.