Microsoft Entra Connect V2 ermöglicht die Integration von on-premises Windows Server Active Directory (AD) mit Microsoft Entra ID (ehemals Azure AD), um Nutzern eine einheitliche Anmeldung mit demselben Benutzernamen und Passwort sowohl lokal als auch in der Cloud zu ermöglichen. Ursprünglich als Azure AD Connect bekannt, wurde das Tool nicht nur umbenannt, sondern auch um neue Funktionen erweitert.
Neben dem klassischen Entra Connect Sync gibt es auch die modernere Lösung Microsoft Entra Cloud Sync, die eine einfachere Verwaltung und höhere Verfügbarkeit bietet, jedoch bestimmte Einschränkungen aufweist. Auf diese gehen wir ebenfalls in diesem Beitrag ein.
Index
Entra Connect V2: Voraussetzungen und Überlegungen
Entra Connect V2 erfordert mindestens Windows Server 2016 und eine aktuelle .NET-Version. Je nach Anzahl der zu synchronisierenden Objekte kann zusätzlich ein SQL Server erforderlich sein. Während die Synchronisation in erster Linie von on-premises AD zu Entra ID verläuft, können ausgewählte Attribute, wie geänderte Passwörter, auch zurück ins lokale AD geschrieben werden. Unterschiedliche Anforderungen wie die Notwendigkeit von Hybrid Join, Pass-through-Authentifizierung oder Attribute-Filtering bestimmen, ob die klassische oder die Cloud-Variante verwendet werden sollte. Es ist wichtig, vor der Implementierung alle Systemanforderungen und Berechtigungen sowie mögliche Fallstricke zu beachten, um eine reibungslose Synchronisation zu gewährleisten.
Die Bezeichnungen hat Microsoft noch nicht an allen Stellen angepasst. Neben der Bezeichnung Entra, kommt immer noch Azure AD zum Einsatz, auch in der Installation von Entra Connect Sync. Hier ist an verschiedenen Stellen noch immer Azure Active Directory Connect zu lesen, auch wenn im Hintergrund die neuen Funktionen von Entra Connect Sync zum Einsatz kommen.
Die wesentlichen Neuerungen in Entra Connect V2
Leistungsverbesserungen und Sicherheitsupdates in Entra Connect V2
Microsoft Entra Connect V2 bringt im Vergleich zur älteren Version V1 Neuerungen, die sowohl die Leistung als auch die Sicherheit der Plattform verbessern. Eine der bedeutendsten Änderungen ist die Aktualisierung der SQL Server-Komponente. Während die Version V1 noch SQL Server 2012 LocalDB verwendete, integriert V2 die SQL Server 2019 LocalDB-Funktion. Dies führt zu einer gesteigerten Stabilität und Performance und behebt zudem mehrere sicherheitsbezogene Schwachstellen. Da der erweiterte Support für SQL Server 2012 im Juli 2022 endete, ist diese Aktualisierung essenziell, um weiterhin einen sicheren und unterstützten Betrieb zu gewährleisten.
Ein weiteres Sicherheitsmerkmal von Entra Connect V2 ist die ausschließliche Unterstützung des TLS 1.2-Protokolls. Frühere Versionen, die noch TLS 1.0 und 1.1 nutzten, gelten als unsicher und werden nicht mehr unterstützt. Dadurch wird sichergestellt, dass die Kommunikationsprotokolle den aktuellen Sicherheitsstandards entsprechen. Zudem wurden alle Binärdateien, die zuvor mit dem unsicheren SHA-1-Algorithmus signiert waren, auf den sichereren SHA-2-Algorithmus umgestellt, um die Integrität der Software zu gewährleisten.
Erweiterte Funktionen und Kompatibilität in Entra Connect V2
Ein weiterer wichtiger Fortschritt in Entra Connect V2 ist der Wechsel von der veralteten ADAL-Authentifizierungsbibliothek zu der moderneren MSAL-Bibliothek, die in Entra Connect V2 enthalten ist. ADAL wird seit Dezember 2022 nicht mehr unterstützt, was ein Upgrade auf die neue Version zwingend erforderlich macht, um mögliche Authentifizierungsprobleme zu vermeiden. Die Microsoft Authentication Library (MSAL) bietet im Vergleich zur älteren Azure Active Directory Authentication Library (ADAL) wesentliche Vorteile, insbesondere in Verbindung mit Entra Connect V2. MSAL unterstützt nicht nur die Authentifizierung von Benutzern in Microsoft Entra ID, sondern auch in anderen Identitätsanbietern über die OpenID Connect und OAuth 2.0 Protokolle. Ein entscheidender Vorteil von MSAL ist die Unterstützung für moderne Authentifizierungsfunktionen wie Conditional Access und Multi-Factor Authentication (MFA), die in ADAL nicht nativ integriert sind. Zudem ermöglicht MSAL eine nahtlose Integration mit Microsoft Graph, was eine einfachere und umfassendere Verwaltung von Identitäten und Ressourcen in der Cloud ermöglicht.
Ergänzend dazu wurde die C++-Laufzeitbibliothek auf die Visual C++ Redistributable 14-Version aktualisiert, um die Kompatibilität mit SQL Server 2019 sicherzustellen. Ein weiterer wichtiger Aspekt ist die geänderte Unterstützung der zugrunde liegenden Betriebssysteme. Entra Connect V2 benötigt mindestens Windows Server 2016, da die enthaltenen SQL Server 2019-Komponenten nicht mehr mit älteren Windows Server-Versionen kompatibel sind. Für Benutzer, die noch ältere Betriebssysteme verwenden, bedeutet dies, dass ein Upgrade auf eine neuere Windows Server-Version erforderlich ist, idealerweise Windows Server 2022. Das ist angesichts des ausgelaufenen Supports von Windows Server 2016 aber ohnehin notwendig.
Entra Connect V2 versus Entra Cloud Sync
Überblick der aktuellen Versionen
Microsoft Entra Connect V2 und Microsoft Entra Cloud Sync unterscheiden sich in verschiedenen Aspekten, die für die Auswahl der passenden Lösung entscheidend sind. Bevor wir weitergehen, ist es vielleicht notwendig, einen kurzen Überblick über die aktuellen Werkzeuge und Namen zu geben:
⇒Azure AD Connect und Entra Connect sind alte Versionen von Entra Connect V2.
⇒Azure AD Connect Cloud Sync“ entspricht Microsoft Entra Cloud Sync
Weitere Informationen über den Unterschied können Sie hier lesen: Azure AD Connect und Azure AD Connect Cloud Sync
Aktuell gibt:
- Entra Connect V2: Synchronisiert lokale Verzeichnisse mit Entra ID
- Entra Connect Sync: Automatisiert den Abgleich von Identitäten.
- Entra Cloud Sync: Cloudbasiert, optimiert für Synchronisation ohne lokale Infrastruktur.
Wir können nun fortfahren.
Hauptunterschiede in Architektur
Entra Connect V2 bietet umfangreichere Möglichkeiten, wenn es um die Verbindung mit Active Directory-Gesamtstrukturen geht. Entra Connect unterstützt sowohl die Anbindung an einzelne als auch an mehrere lokale AD-Gesamtstrukturen, selbst wenn diese voneinander getrennt sind. Diese Flexibilität macht die Lösung besonders geeignet für komplexe, verteilte IT-Umgebungen. Cloud Sync kann ebenfalls mehrere AD-Gesamtstrukturen verbinden, jedoch nicht getrennte Strukturen.
Ein wesentlicher Unterschied zwischen beiden Lösungen liegt in der Installationsarchitektur. Entra Cloud Sync verwendet ein Agent-basiertes Modell, das eine einfache Installation und Konfiguration ermöglicht. Mehrere aktive Agents sorgen hier für Hochverfügbarkeit, sodass die Synchronisierung auch bei einem Agent-Ausfall ohne Unterbrechung weiterläuft. Entra Connect V2 hingegen folgt einem traditionelleren Installationsmodell, das eine umfassendere Konfiguration und Anpassung erfordert, aber auch mehr Kontrolle über die Synchronisierung bietet.
Erweiterte Funktionen
In Bezug auf die unterstützten Objekttypen und Funktionen bieten beide Lösungen grundlegende Unterstützung für Benutzer-, Gruppen- und Kontaktobjekte sowie die Synchronisation von Exchange Online-Attributen und erweiterten Attributen (1–15). Allerdings unterstützt Entra Connect V2 zusätzlich die Synchronisation von Geräteobjekten und benutzerdefinierten AD-Attributen, was für Umgebungen mit spezifischen, gerätebasierten Anforderungen relevant ist.
Ein weiterer Unterschied besteht in den Anpassungs- und Filtermöglichkeiten. Beide Lösungen ermöglichen grundlegende Anpassungen von Attributflüssen und die Filterung nach Domänen, Organisationseinheiten oder Gruppen. Entra Connect bietet jedoch weitergehende Möglichkeiten, einschließlich der Filterung nach Attributwerten eines Objekts und erweiterter Anpassungen des Attributflusses, was eine detaillierte Kontrolle über die Synchronisation erlaubt. Cloud Sync verzichtet auf diese erweiterten Anpassungsoptionen, was die Bedienung vereinfacht, aber weniger Flexibilität bietet.
Beim Thema Authentifizierung und Rückschreibunterstützung zeigt sich ebenfalls eine Differenzierung. Entra Connect unterstützt sowohl die Kennworthashsynchronisierung als auch die Passthrough-Authentifizierung, während Cloud Sync nur die Kennworthashsynchronisierung bietet. Zudem unterstützt Connect das Rückschreiben von Passwörtern, Geräten und Gruppen in die lokale AD-Umgebung, während Cloud Sync hier in Bezug auf das Rückschreiben von Geräten Einschränkungen aufweist und stattdessen auf die zukünftige Verwendung der Cloud Kerberos-Vertrauensstellung verweist.
Funktion | Entra Connect V2 | Cloud Sync |
Unterstützte Objekttypen | Benutzer-, Gruppen- und Kontaktobjekte | Benutzer-, Gruppen- und Kontaktobjekte |
Synchronisation von Exchange Online-Attributen | Ja | Ja |
Erweiterte Attribute (1–15) | Ja | Ja |
Synchronisation von Geräteobjekten | Ja | Nein |
Synchronisation benutzerdefinierter AD-Attribute | Ja | Nein |
Anpassungs- und Filtermöglichkeiten | Erweiterte Filterung nach Attributwerten und detaillierte Anpassungen | Grundlegende Anpassungen von Attributflüssen und Filterung nach Domänen, OUs oder Gruppen |
Kennworthashsynchronisierung | Ja | Ja |
Passthrough-Authentifizierung | Ja | Nein |
Rückschreiben von Passwörtern | Ja | Nein |
Rückschreiben von Geräten |
Ja | Eingeschränkt (Zukünftige Nutzung von Cloud Kerberos-Vertrauensstellung) |
Rückschreiben von Gruppen | Ja | Nein |
Skalierbarkeit
Ein weiterer wichtiger Unterschied liegt in der Skalierung und den unterstützten Objektzahlen. Entra Connect V2 erlaubt eine unbegrenzte Anzahl von Objekten pro AD-Domäne und unterstützt große Gruppen mit bis zu 250.000 Mitgliedern. Im Gegensatz dazu ist Cloud Sync auf 150.000 Objekte pro AD-Domäne und Gruppen mit bis zu 50.000 Mitgliedern beschränkt, was in größeren Umgebungen einen deutlichen Nachteil darstellen kann.
Zusammenfassend lässt sich sagen, dass Microsoft Entra Connect eine umfassendere Lösung für komplexe, große Umgebungen bietet, die erweiterte Anpassungen, Skalierbarkeit und tiefe Integration erfordert. Microsoft Entra Cloud Sync hingegen zielt auf einfachere Implementierungen ab, bei denen schnelle Einrichtung, Hochverfügbarkeit und geringere Komplexität im Vordergrund stehen. Die Wahl zwischen beiden Lösungen sollte daher stark von den spezifischen Anforderungen und der Komplexität der jeweiligen IT-Infrastruktur abhängen.
Parameter | Entra Connect V2 | Cloud Sync |
Max. Objekte pro AD-Domäne | Unbegrenzt | 150.000 |
Max. Mitglieder pro Gruppe | 250.000 | 50.000 |
Nachteile beim Einsatz von Entra Connect V2
Ein wesentlicher Nachteil von Entra Connect im Vergleich zu Entra Cloud Sync ist die erhöhte Komplexität bei der Installation und Konfiguration. Während Cloud Sync ein Agent-basiertes Modell verwendet, das eine einfache und schnelle Implementierung ermöglicht, erfordert Entra Connect V2 eine umfassendere Infrastruktur und deutlich mehr Verwaltungsaufwand.
Zudem ist die Hochverfügbarkeit bei Entra Connect weniger flexibel, da sie keine native Unterstützung für mehrere aktive Agents bietet, was bei Cloud Sync standardmäßig vorhanden ist. Diese Faktoren führen zu einem höheren Bedarf an technischen Ressourcen und einer längeren Implementierungszeit bei Entra Connect, was in weniger agilen oder kleineren IT-Umgebungen als nachteilig empfunden werden kann.
Unterstützung benötigt?
Gerne stellen wir Ihnen unsere Leistungen und Lösungen in einem persönlichen Gespräch vor. Wir freuen uns über Ihre Kontaktaufnahme!
Leave a Reply
<p>Danke für Ihre Anregungen, Fragen und Hinweise.<br/>Infos zum <a href="https://www.active-directory-faq.dekontakt/">Datenschutz</a></p>