Entra Connect und Entra Connect Cloud Sync im Vergleich

Die Verwaltung von Identitäten und Verzeichnissen ist für moderne Unternehmen, die hybride oder cloudbasierte IT-Umgebungen nutzen, von zentraler Bedeutung. Microsoft bietet mit Entra Connect und Entra Connect Cloud Sync zwei Werkzeuge an, die Organisationen bei der Synchronisation und Verwaltung von Identitäten zwischen der lokalen IT-Infrastruktur und Microsoft Entra ID (ehemals Azure AD) unterstützen. Doch welches der beiden Tools passt besser zu den aktuellen und zukünftigen Anforderungen Ihres Unternehmens?

Um diese Frage zu beantworten, ist es wichtig, die Ursprünge und Entwicklungen dieser Technologien zu verstehen. Im Folgenden werfen wir zunächst einen Blick auf die Historie von Entra Connect und beleuchten, wie und warum Microsoft den Weg in Richtung Entra Connect Cloud Sync als zukunftsorientierte Lösung eingeschlagen hat.

Die Zukunft von Entra Connect

Vorab wichtig, dediziert darauf hinzuweisen ist, dass Entra Connect aktuell, aus Sicht von Microsoft, keinerlei Zukunft hat! Denn zum heutigen Stand 12/2024 beschreibt Microsoft offiziell, dass Entra Connect Cloud Sync Entra Connect ERSETZTEN wird, bis alle Funktionen von Entra Connect in Entra Connect Cloud Sync abgebildet werden können. Panik braucht allerdings keine zu entstehen, denn Microsoft wird sehr wohl bewusst sein, dass Entra Connect weit verbreitet ist und es kein Leichtes sein wird, dieses Tool vollumfänglich abzulösen. Gerade in Hinblick auf komplexe Hybrid-Strukturen oder auch gesonderte Datenschutzanforderungen, die zum Beispiel verlangen, dass Passwörter nicht in die Cloud gelangen dürfen, was aktuell mit einer Cloud Synchronisierung nicht umsetzbar wäre. Dies sollte im folgenden Blog-Beitrag im Hinterkopf behalten werden.

Entra Connect und Cloud Sync

Quelle: https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/how-to-connect-sync-whatis

Von Azure AD Connect zu Entra Connect

Die Geschichte von Entra Connect beginnt mit seinem Vorgänger Azure AD Connect, das Microsoft als zentrale Lösung für die Synchronisation von lokalen Active Directory-Objekten mit Azure Active Directory eingeführt hat. Ziel war es, eine Brücke zwischen der on-premises IT-Welt und den Cloud-Diensten von Microsoft zu schlagen. Azure AD Connect ermöglichte es Unternehmen, Benutzerkonten, Gruppen und andere Verzeichnisinformationen mit Azure AD zu synchronisieren, um Funktionen wie Single Sign-On (SSO), Multi-Faktor-Authentifizierung und rollenbasierte Zugriffssteuerung zu nutzen.

Die Historie von Entra Connect:

2015: Einführung von Azure AD Connect als Nachfolger von DirSync und AADSync.

2023: Umbenennung von Azure AD zu Microsoft Entra ID und Azure AD Connect zu Entra Connect, um die Weiterentwicklung der Identitätslösungen unter der Entra-Marke zu reflektieren.

Entra Connect ist bis heute eine weit verbreitete Lösung, die besonders in hybriden Szenarien eine zentrale Rolle spielt. Doch mit der zunehmenden Verschiebung von IT-Workloads in die Cloud und der wachsenden Nachfrage nach flexibleren, leichter skalierbaren Lösungen begann Microsoft, auf ein moderneres Synchronisationsmodell zu setzen: Entra Connect Cloud Sync.

Einführung von Entra Connect Cloud Sync: Die Zukunft der Identitätssynchronisation

Microsoft führte Entra Connect Cloud Sync als ergänzende und in vielen Szenarien zukunftsweisende Lösung ein. Im Gegensatz zu Entra Connect, das eine lokale Installation und Konfiguration voraussetzt, basiert Cloud Sync vollständig auf einer cloudzentrierten Architektur. Diese Entwicklung spiegelt den allgemeinen Trend wider, immer mehr Dienste und Infrastruktur in die Cloud zu verlagern, um deren Vorteile wie automatische Skalierung, hohe Verfügbarkeit und geringeren Verwaltungsaufwand zu nutzen.

Einige Schlüsselmeilensteine in der Einführung von Cloud Sync:

2020: Erste Vorschauversion von Azure AD Connect Cloud Sync, um Unternehmen eine Alternative zu bieten, die weniger komplexe Installationen und eine vereinfachte Verwaltung bevorzugen.

2021: Allgemeine Verfügbarkeit von Cloud Sync. Microsoft begann aktiv zu kommunizieren, dass Cloud Sync in vielen Fällen die Zukunft der Identitätssynchronisation darstellen würde.

Heute: Cloud Sync wird zunehmend als Standard empfohlen, insbesondere für Organisationen, die vollständig in der Cloud arbeiten oder eine weniger aufwändige Hybrid-Infrastruktur aufbauen wollen.

Mit der zunehmenden Fokussierung auf Cloud-Lösungen positioniert sich Microsoft Entra Connect Cloud Sync als die Lösung der Zukunft, während Entra Connect so lange von Bedeutung bleibt, bis alle Funktionen in Entra Connect Cloud Sync abbildbar sind.

Wie unterscheiden sich die beiden Tools?

Entra Connect und Entra Connect Cloud Sync verfolgen das gemeinsame Ziel, Identitäten zwischen einer lokalen IT-Infrastruktur und Microsoft Entra ID (ehemals Azure AD) zu synchronisieren. Dennoch unterscheiden sich beide Tools in ihrer Architektur, ihrem Funktionsumfang und ihrem Einsatzgebiet erheblich. Während Entra Connect eine etablierte Lösung für hybride Szenarien bleibt, positioniert sich Entra Connect Cloud Sync zunehmend als die zukunftsorientierte Alternative für cloudfokussierte Unternehmen.

Architektur und Bereitstellung

Entra Connect ist ein Tool, das lokal installiert wird und einen oder mehrere dedizierte Server erfordert. Es bietet eine Verwaltungsoberfläche und ist historisch bedingt bei den meisten Organisationen mit hybriden Szenarien aktiv. Im Gegensatz dazu basiert Entra Connect Cloud Sync auf einer Cloud nativen Architektur. Hierbei wird lediglich ein kleiner Agent auf einem lokalen Server oder direkt auf einem Domain Controller installiert. Der Großteil der Synchronisationslogik läuft in der Cloud, was den Bedarf an dedizierten lokalen Ressourcen drastisch reduziert. Diese Architektur macht Cloud Sync ideal für Organisationen, die eine minimalistische oder vollständig cloudbasierte IT-Infrastruktur anstreben.

Synchronisationsfähigkeiten

Beim Vergleich der Synchronisationsfunktionen fällt auf, dass Entra Connect aktuell noch umfangreicher ist, über die Zeit hinweg aber sein Alleinstellungsmerkmal immer mehr verliert. Es synchronisiert nicht nur Benutzer und Gruppen, sondern auch Geräte und weitere Verzeichnisobjekte. Zudem können Administratoren die Synchronisation durch umfangreiche Filteroptionen präzise anpassen. Entra Connect unterstützt sowohl Passwort-Hash-Synchronisation (PHS) als auch Pass-through-Authentifizierung (PTA), was es flexibler für unterschiedliche Authentifizierungsanforderungen macht. Entra Connect Cloud Sync hingegen beschränkt sich auf die Synchronisation von Benutzern und Gruppen. Geräteobjekte und komplexe Filteroptionen fehlen hier. Zudem unterstützt Cloud Sync ausschließlich die Passwort-Hash-Synchronisation, was für viele Szenarien ausreichend, für einige hybride Anforderungen jedoch unzureichend ist.

Verwaltungsaufwand und Flexibilität

Entra Connect bringt durch seine lokale Installation einen höheren Verwaltungsaufwand mit sich. Updates und Patches müssen regelmäßig eingespielt werden, und die zugrundeliegende Infrastruktur muss gepflegt werden. Dafür bietet es jedoch eine hohe Flexibilität, etwa durch die Möglichkeit, Synchronisationsregeln individuell anzupassen oder mehrere Active Directory Forests zu integrieren. Entra Connect Cloud Sync ist in diesem Punkt deutlich schlanker. Da es auf einer cloudverwalteten Architektur basiert, sind keine dedizierten Synchronisationsserver erforderlich, und die Aktualisierung erfolgt automatisch über die Cloud. Änderungen können zentral über das Microsoft Entra Admin Center vorgenommen werden, was den Verwaltungsaufwand erheblich reduziert.

Anwendungsfälle und Zielgruppen

Die Wahl des richtigen Tools hängt stark von den individuellen Anforderungen ab. Entra Connect ist weiterhin die bevorzugte Lösung für Unternehmen mit komplexen hybriden Umgebungen. Besonders Organisationen die spezifische Funktionen wie die Synchronisation von Geräteobjekten benötigen, profitieren von dem aktuell noch höheren Funktionsumfang. Entra Connect Cloud Sync richtet sich hingegen an Unternehmen mit klarer Cloud-first-Strategie. Es eignet sich hervorragend für Organisationen, die keine aufwändige lokale Infrastruktur betreiben möchten und eine einfache, aber effektive Benutzer- und Gruppensynchronisation benötigen. Kleine und mittelgroße Unternehmen, die auf eine flexible und wartungsarme Lösung setzen, können von Cloud Sync erheblich profitieren.

Die größte Limitierung von Entra Connect

Die Wahl zwischen Entra Connect und Entra Connect Cloud Sync wird maßgeblich durch die jeweiligen Limitierungen der Tools bestimmt. Während beide Lösungen spezifische Stärken haben, gibt es einen entscheidenden Faktor, der ein Alleinstellungsmerkmal von Cloud Sync darstellt.

Denn eine der größten Einschränkungen von Entra Connect ist, dass pro Microsoft 365 Tenant immer nur ein einziger Entra Connect Server Richtung M365 synchronisieren darf (Staging Server ausgenommen). Dies kann in Organisationen mit mehreren Active Directory Forests zu einem erheblichen Aufwand führen, da alle Forests über diesen zentralen Server synchronisiert werden müssen. Im Gegensatz dazu erlaubt Cloud Sync den Einsatz mehrerer Cloud Sync-Agenten, die gleichzeitig in einen einzigen Tenant synchronisieren können. Dies macht Cloud Sync besonders attraktiv für Organisationen, die mehrere Unternehmen oder Standorte effizient in einem gemeinsamen Tenant verwalten möchten.

Microsoft stellt die genannten und weitere Vor- und Nachteile in einer übersichtlichen Tabelle gut dar. Siehe nachfolgender Link:

https://learn.microsoft.com/en-us/entra/identity/hybrid/cloud-sync/what-is-cloud-sync

Empfehlung zur strategischen Nutzung von Entra Connect und Entra Connect Cloud Sync

Mit der Einführung und Weiterentwicklung von Entra Connect Cloud Sync eröffnet Microsoft Organisationen neue Möglichkeiten, Ihre Identitätssynchronisation flexibler und zukunftssicher zu gestalten. Eine wichtige Entwicklung ist die Unterstützung von Szenarien, in denen Entra Connect und Cloud Sync parallel genutzt werden können. Diese Kombination bietet die Möglichkeit, das Beste aus beiden Welten zu nutzen, solange noch nicht alle Funktionen in die Cloud Synchronisierung migriert wurden: Benutzer und Gruppen können effizient über Cloud Sync synchronisiert werden, während Spezialfälle, die mehr Granularität oder spezifische Konfigurationen erfordern, weiterhin von Entra Connect abgedeckt werden.

Ein typisches Beispiel für ein solches Szenario wäre eine Hauptorganisation, die historisch bedingt ihr Active Directory über Entra Connect synchronisiert, während zugekaufte Organisationen und deren Acitve Directory schnell und simpel über Cloud Sync angebunden werden. Dies reduziert die Komplexität und erhöht gleichzeitig die Skalierbarkeit.

Wichtig ist jedoch zu erwähnen, neue Funktionen in Entra Connect mit großer Vorsicht zu verwenden. Microsoft hat in der Vergangenheit bewiesen, dass Funktionen, die ursprünglich in Entra Connect eingeführt wurden, später eingestellt und in Cloud Sync migriert wurden. Ein prominentes Beispiel dafür ist die Gruppenrückschreibung. Diese Funktion wurde zunächst als Preview in Entra Connect bereitgestellt, jedoch kurze Zeit später abgekündigt und für die Zukunft ausschließlich in Cloud Sync implementiert. Organisationen, die solche Funktionen bereits produktiv über Entra Connect integriert haben, stehen dadurch möglicherweise vor zusätzlichen Migrationsaufwänden.

Entra Connect und Cloud Sync

Quelle: https://learn.microsoft.com/en-us/entra/identity/hybrid/cloud-sync/migrate-group-writeback

Fazit

Es ist wichtig, Cloud Sync schon jetzt auf dem Schirm zu haben und erste Anwendungsszenarien zu schaffen. Microsoft hat in seinen offiziellen Dokumentationen klargestellt, dass Entra Connect langfristig durch Cloud Sync ersetzt werden soll, sobald alle Funktionen von Entra Connect durch Cloud Sync abgebildet werden können. Diese Entwicklung macht es unerlässlich, sich frühzeitig mit Cloud Sync auseinanderzusetzen und zu prüfen, wie diese Technologie schrittweise in die bestehende Infrastruktur integriert werden kann. Auch Microsoft ist sich den Herausforderungen, vor denen ihre Kunden stehen, bewusst und stellt daher Hilfestellungen zur Verfügung. Ein offizieller Microsoft Assistent kann über folgenden Link genutzt werden: https://aka.ms/EvaluateSyncOptions

Entra Connect und Cloud Sync

Quelle: https://setup.cloud.microsoft/entra/add-or-sync-users-to-microsoft-entra-id

Unternehmen sollten daher beginnen, produktive Szenarien zu planen und zu testen, um den Übergang zu Cloud Sync reibungslos zu gestalten. Durch die rechtzeitige Erprobung von Cloud Sync in geeigneten Bereichen können Sie nicht nur von den Vorteilen einer cloudbasierten Architektur profitieren, sondern auch sicherstellen, dass Ihre Organisation gut auf die Zukunft vorbereitet ist, wenn Microsoft den vollständigen Wechsel vollzieht.

Falls Sie Interesse an einer detaillierten Analyse der Einsatzszenarien oder weiteren Empfehlungen haben, lassen Sie es mich wissen!

 

Bei Fragen oder Anregungen zum Thema New Work, zur Microsoft Welt oder zu Collaboration Tools stehen wir Ihnen gerne beratend zur Seite. Wir freuen uns auf Ihre Kontaktaufnahme.

Weitere Blogartikel aus Bereichen, die von New Work, über Microsoft 365 bis hin zu Sustainable IT reichen, finden Sie auf unserer Blogseite.

Können wir Ihnen helfen?

Sie müssen den Inhalt von reCAPTCHA laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.

Mehr Informationen

Können wir Ihnen helfen?

Daniel Dreeser

Beitrag teilen:

Mehr Informationen, einen Austausch oder konkrete Unterstützung im Projekt?

Anfrage senden

Sie müssen den Inhalt von reCAPTCHA laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.

Mehr Informationen
Nach oben scrollen