Azure AD / Entra ID: Hybrid-Szenarien

Die meisten Unternehmen haben heute eine gemischte IT-Umgebung: Ein klassisches On-Premise Active Directory läuft seit Jahren und verwaltet alle lokalen Ressourcen. Gleichzeitig werden Cloud-Dienste wie Microsoft 365, Teams, SharePoint Online und Azure-Workloads eingesetzt. Hier kommt Microsoft Entra ID ins Spiel – früher als Azure Active Directory (Azure AD) bekannt.

Entra ID ist Microsofts Cloud-Identity-Dienst. Er ist kein direktes Äquivalent zum klassischen AD – er funktioniert anders (REST-APIs statt LDAP, OAuth/OpenID Connect statt Kerberos), hat andere Stärken (Cloud-Dienste, bedingter Zugriff, MFA) und andere Schwächen (kein echtes OU-Konzept, kein Group Policy). Die meisten Unternehmen betreiben heute ein Hybrid-Szenario: klassisches AD on-premise synchronisiert mit Entra ID in der Cloud, verbunden durch Microsoft Entra Connect (früher: Azure AD Connect).

1) Hybrid-Szenarien verstehen

Es gibt verschiedene Arten wie on-premise AD und Entra ID zusammenarbeiten können. Je nach Unternehmensstrategie und vorhandener Infrastruktur wählt man das passende Modell. Klicke ein Szenario für Details:

Entra-ID-Szenarien – Modell wählen

Nur On-Premise AD

Hybrid (Sync)

Hybrid (Federated)

Nur Cloud (Entra)

← Klicke ein Szenario.

Entra Connect Sync läuft als Dienst auf einem Windows Server im internen Netz. Er synchronisiert Objekte und Attribute alle 30 Minuten (konfigurierbar). Passwort-Hash-Synchronisation sendet verschlüsselte Passwort-Hashes in die Cloud – damit können sich Benutzer auch bei DC-Ausfall mit ihren Domänen-Credentials bei Microsoft 365 anmelden.

2) Klassisches AD vs. Entra ID im Vergleich

Entra ID ist kein Ersatz für das klassische AD – es ist ein anderes Produkt für andere Szenarien. Wer beide betreibt muss verstehen was jedes kann und was nicht:

On-Premise AD vs. Microsoft Entra ID

On-Premise Active Directory

Kerberos-Authentifizierung (Port 88)
LDAP-Verzeichnisabfragen (Port 389/636)
Group Policy Objects (GPOs)
OUs und Delegation
Fileserver-Berechtigungen via NTFS/AD
Domänenbeitritt (Domain Join)
On-Premise-Ressourcen: Fileserver, Drucker, interne Apps

Microsoft Entra ID (Azure AD)

OAuth 2.0 / OpenID Connect (HTTPS)
Graph API statt LDAP
Conditional Access (bedingter Zugriff)
MFA-Integration nativ
Microsoft 365, Teams, SharePoint Online
Azure AD Join (für Cloud-native Geräte)
Keine OUs – nur Gruppen für Organisation

Conditional Access in Entra ID: Zugriff auf Cloud-Dienste kann an Bedingungen geknüpft werden – z.B. „nur wenn Gerät als compliant gilt", „nur aus bekannten IP-Bereichen", „nur mit MFA aus fremden Ländern". Das ist eine erheblich modernere Sicherheitsfunktion als klassische Firewall-Regeln.

Zusammenfassung

Entra ID (früher Azure AD) = Microsofts Cloud-Identity. Kein LDAP/Kerberos sondern OAuth/OIDC/Graph API. Hybrid: Entra Connect synchronisiert on-premise AD mit Entra ID – eine Identität für lokal und Cloud. Passwort-Hash-Sync ist der einfachste Hybridansatz. ADFS-Federation für mehr Kontrolle aber mehr Komplexität. Conditional Access in Entra ID modernisiert Zero-Trust-Szenarien.

Azure AD / Entra ID: Hybrid-Szenarien

1) Hybrid-Szenarien verstehen

2) Klassisches AD vs. Entra ID im Vergleich

Zusammenfassung

Anmelden

Account Registrieren und Fortschritt Speichern!

Modal title