Microsoft Entra Connect: Hybride Identitätssynchronisierung für Berliner Unternehmen
Microsoft Entra Connect: Hybride Identitätssynchronisierung für Berliner Unternehmen
Viele kleine Berliner Unternehmen betreiben noch On-Premises-Active-Directory-Umgebungen neben Microsoft 365 und Azure. Microsoft Entra Connect (früher Azure AD Connect) synchronisiert Identitäten aus dem lokalen Active Directory in Microsoft Entra ID — und ermöglicht so Single Sign-On über beide Umgebungen hinweg, ohne ein separates Cloudkonto-Managementsystem zu benötigen. Dieser Leitfaden erklärt Architektur, Bereitstellung und Sicherheitsaspekte für kleine und mittelständische Berliner Unternehmen.
Was ist Microsoft Entra Connect?
Entra Connect ist ein leichtgewichtiger Dienst, der auf einem domänenbeigetretenen Windows-Server installiert wird und die Synchronisierung von Identitätsobjekten — Benutzer, Gruppen, Kontakte — zwischen dem lokalen Active Directory Domain Services (AD DS) und Microsoft Entra ID durchführt. Nach der Synchronisierung können Benutzer sich mit denselben Anmeldedaten bei Microsoft 365, Azure-Ressourcen und Entra-integrierten SaaS-Anwendungen authentifizieren, die sie auch lokal verwenden.
Die wichtigsten Funktionen:
- Kennwort-Hash-Synchronisierung (PHS): Ein Hash des Benutzerkennworts wird mit Entra ID synchronisiert — ermöglicht Cloud-Authentifizierung ohne lokale Abhängigkeit beim Anmeldevorgang
- Pass-Through-Authentifizierung (PTA): Authentifizierungsanfragen werden in Echtzeit über einen leichtgewichtigen Agent an lokale DC weitergeleitet — Kennwörter verlassen das Unternehmensnetzwerk nie
- Kennwort-Rückschreibung: Im Cloud zurückgesetzte Kennwörter (über SSPR) werden ins lokale AD zurückgeschrieben — eliminiert Split-Identitätsprobleme
- Gruppenrückschreibung: Microsoft 365-Gruppen und Entra-Sicherheitsgruppen können ins lokale AD zurückgeschrieben werden
Kennwort-Hash-Synchronisierung vs. Pass-Through-Authentifizierung
Für kleine Unternehmen ist die Wahl zwischen PHS und PTA die primäre Architekturentscheidung:
| Faktor | Kennwort-Hash-Sync | Pass-Through-Auth |
|---|---|---|
| On-Premises-Abhängigkeit | Keine beim Anmeldevorgang | Erforderlich — AD muss erreichbar sein |
| Ausfallsicherheit | Cloud-Auth funktioniert bei DC-Ausfall | Auth schlägt fehl wenn On-Premises nicht erreichbar |
| Kennwort in Cloud | Nur Hash (nicht umkehrbar) | Verlässt lokales Netzwerk nie |
| Entra ID Protection | Vollständige Kompromittierungserkennung | Eingeschränkt — kein Hash-Vergleich |
| Empfehlung für KMU | Ja | Nur bei Compliance-Anforderung |
Für die meisten kleinen Berliner Unternehmen ist die Kennwort-Hash-Synchronisierung die richtige Wahl: Sie ist ausfallsicher, aktiviert die Kompromittierungserkennung von Entra ID Protection und erfordert keine zusätzliche lokale Infrastruktur.
Systemanforderungen
- Server: Windows Server 2016 oder neuer, domänenbeigetreten, kein Domänencontroller (dedizierter Server empfohlen)
- Netzwerk: Ausgehender HTTPS-Zugriff auf Microsoft-Endpunkte (Ports 443 und 80); keine eingehenden Firewallregeln erforderlich
- Verzeichnisberechtigungen: Enterprise-Admin- oder Domain-Admin-Anmeldedaten für die Ersteinrichtung
- Lizenz: Kostenlos für die grundlegende Synchronisierung; Kennwort-Rückschreibung und erweiterte Funktionen erfordern Entra ID P1 (in Microsoft 365 Business Premium enthalten)
Installationsablauf
Schritt 1: Installer herunterladen und ausführen
Microsoft Entra Connect kann aus dem Microsoft Download Center oder direkt aus dem Entra-Admin-Portal unter entra.microsoft.com → Hybrid management → Microsoft Entra Connect heruntergeladen werden. Den Installer auf dem dedizierten Synchronisierungsserver ausführen.
Schritt 2: Express- oder benutzerdefinierte Einstellungen wählen
Expresseinstellungen konfigurieren die Kennwort-Hash-Synchronisierung mit Standard-Synchronisierungsfilterung (alle Benutzer und Gruppen aus allen Domänen). Geeignet für die meisten kleinen Unternehmen mit einer Single-Forest-Single-Domain-AD-Umgebung.
Benutzerdefinierte Einstellungen ermöglichen die Auswahl spezifischer Organisationseinheiten (OUs) zur Synchronisierung. Für Unternehmen, die bestimmte OUs (z.B. Dienstkonten) aus der Synchronisierung ausschließen möchten, sind benutzerdefinierte Einstellungen erforderlich.
Schritt 3: Kennwort-Rückschreibung aktivieren
Falls SSPR bereitgestellt wird, muss die Kennwort-Rückschreibung in diesem Schritt aktiviert werden. Das ist ein kritischer Schritt — ohne aktivierte Rückschreibung schlagen SSPR-Kennwortzurücksetzungen fehl, wenn Benutzer versuchen, sich lokal anzumelden.
Synchronisierungsfilterung und Sicherheitshärtung
Standardmäßig synchronisiert Entra Connect alle Benutzer- und Gruppenobjekte aus allen OUs der Domäne. Für eine sicherheitsgehärtete Bereitstellung:
- OU-Filterung: OUs mit Dienstkonten, Admin-Konten und Computerobjekten aus der Synchronisierung ausschließen
- Dedizierter Server: Kein gemeinsamer Betrieb mit Domänencontrollern, ADFS oder Anwendungsservern
- Zugriffsbeschränkung: RDP- und administrativer Zugriff auf den Sync-Server über Conditional Access und Just-in-Time-Zugriff einschränken
- Entra ID Protection: Überwacht Anmelderisiken für synchronisierte Konten und erkennt, wenn lokale Anmeldedaten in Datenschutzverletzungsdatenbanken auftauchen
Entra Connect Health
Entra Connect Health ist ein cloudbasierter Überwachungsdienst, der Synchronisierungsfehler, Agent-Zustand und Leistungsmetriken verfolgt. Er ist im Entra-Admin-Portal zugänglich und sendet Warnungen, wenn Synchronisierungsfehler auftreten oder der Synchronisierungszyklus (Standard: 30 Minuten) verzögert wird.
Häufige Synchronisierungsfehler:
- Duplikatattributkonflikte: Zwei AD-Objekte haben denselben UPN oder dieselbe Proxyadresse
- Exportfehler: Objekt kann nicht in Entra ID geschrieben werden — häufig Lizenz- oder Attributvalidierungsproblem
- Kennwortsynchronisierungsfehler: Oft durch unzureichende Berechtigungen des Connectorkontos verursacht
Kosten
Microsoft Entra Connect ist kostenlos herunterzuladen und zu installieren. Die Server-Infrastrukturkosten (ein lokaler oder Azure-gehosteter Windows-Server-VM) sind die primären Ausgaben. Kennwort-Rückschreibung, Entra-ID-Protection-Integration und Entra-Connect-Health-Überwachung erfordern Microsoft Entra ID P1, das in Microsoft 365 Business Premium enthalten ist.
Fazit: Hybride Identität ohne Komplexität
Für kleine Berliner Unternehmen, die ein lokales Active Directory neben Microsoft 365 oder Azure betreiben, ist Entra Connect die architektonisch richtige Lösung. Sie eliminiert duales Identitätsmanagement, ermöglicht Single Sign-On über Cloud- und lokale Ressourcen und erschließt Sicherheitsfunktionen wie SSPR mit Kennwort-Rückschreibung und Entra-ID-Protection — alles aus einer einzigen Serverinstallation, die weniger als eine Stunde für die Bereitstellung benötigt.
Weiterführende Artikel
- Azure Conditional Access: Conditional-Access-Richtlinien gelten gleichermaßen für synchronisierte On-Premises-Konten und reine Cloud-Identitäten — sobald Entra Connect Ihre AD-Benutzer in Entra ID bringt, deckt das vollständige Conditional-Access-Richtlinienmodul diese ab, einschließlich MFA, Gerätekonformität und Standortbedingungen
- Microsoft Entra MFA: Entra-Connect-synchronisierte Benutzer profitieren von Entra MFA in der Cloud und behalten gleichzeitig ihre lokalen AD-Anmeldedaten — MFA wird bei jeder Cloud-Authentifizierung erzwungen, unabhängig davon, ob das zugrunde liegende Konto lokal oder in Entra ID erstellt wurde
- Microsoft Entra SSPR: Die Kennwort-Rückschreibung in Entra Connect ermöglicht es SSPR, Cloud-Kennwortzurücksetzungen ins lokale AD zurückzuschreiben — ohne aktivierte Rückschreibung setzen Benutzer ihr Cloud-Kennwort zurück, aber lokale Anmeldungen schlagen weiterhin mit dem alten Kennwort fehl
- Microsoft Entra ID Protection: Entra ID Protection überwacht das Anmelderisiko für synchronisierte Konten und erkennt, wenn lokale Anmeldedaten in Datenschutzverletzungsdatenbanken auftauchen — die Kennwort-Hash-Synchronisierung ist erforderlich, um die Kompromittierungserkennung für hybride Identitäten zu aktivieren