ADSync, CloudSync, SCIM, MDM, Graph - Ihre Wahl

Inhaltsverzeichnis

Entra AD Connect Sync oder Cloud Sync
Alle Lösungen
Weitere Links

Wer immer ein lokale AD hat und dort seine Anwender verwaltet, wird einen Abgleich mit dem AzureAD-Verzeichnis anstreben. Diese Seite beschreibt die verschiedenen Ansätze. Es gibt nämlich nicht genau den einen Verzeichnisabgleich, sondern gleich mehrere Optionen mit individuellen Vor/Nachteilen.

Entra AD Connect Sync oder Cloud Sync

Wenn Sie genau einen Tenant und Identitäten aus einem oder mehrere lokale Forests synchronisieren wollen, also was vermutlich 95% aller Firmen mit einem lokalen AD tun, dann haben Sie die Wahl zwischen dem lokale installierten "ADSync", der mittlerweile EntraID Connect Sync heisst und der Cloud-Version in Form von Entra ID Cloud Sync. Beide Lösungen haben vielleicht 80% übereinstimmende Features aber es gibt unterschiede, die den ein oder anderen Service besser sein lassen.

Der Stand der Tabelle ist Juli 2025. Hinweise auf veraltete Informationen sind immer Willkommen.

Kriterium	EntraID Connect	Microsoft Entra‎ Cloud Sync
Funktionsprinzip	Sie installieren lokal einen Server mit der Synchronisations-Software, die bis ca. 100.000 Objekte einen SQL-Express Dienst nutzt. Sie liest per LDAP lokal die Forests und Domains aus und überträgt Änderungen nach Verarbeitung durch lokal verwaltete Synchronisierungsregeln per HTTP in das Entra ID ihres Tenant	Sie installieren auf ein oder mehreren Servern einen kleinen Agenten, der sich per HTTP ausgehend mit EntraID CLoud Sync verbindet und von dort angesprochen wird. Die kompletten Synchronisierungsregeln werden in EntraID selbst verwaltet.
Hochverfügbarkeit	Ein Server ist aktiv, weitere Server können als "Standby" betrieben und im Fehlerfall manuell aktiviert werden	Sie können problemlos mehrere Agenten lokal installieren und der Synchronisierungsdienst in der Cloud spricht diese an
Multi Forest Support	Ja, aber der Server muss sich zu allen DCs verbinden können. Das kann ein Problem bei M&A-Szenarien sein, wen z.B. IP-Adressen nicht routbar sind	Vorhanden und funktioniert sogar, wenn jeder Forest für sich ins Internet kommt aber untereinander keine Verbindung haben.
Eigene LDAP-Felder	Ja	Ja
Device Hybrid Device	Ja	Nein, Diese Funktion wird noch nicht unterstützt. Client können nur EntraID Join nutzen oder im lokalen AD aufgenommen aber nicht mit einem Cloud Konto verbunden werden.
Self Service Password Reset	Ja	Ja
Exchange Hybrid	Ja	Ja (Das war früher noch nicht möglich)
Exchange Ressource Forest	Ja, Postfächer in einem anderen Forest (LinkedMailbox mit Disabled Account) könne mit einem Anmeldekonto in einem anderen Forest verbunden werden.	Nein
Anzahl der Objekte	Über 100.000 Objekten sollten Sie statt des SQL-Express einen vollwertigen SQL-Server als Unterbau einplanen	Maximal 150.00 Objekte
XXL-Gruppen	Bis 250.000 Mitgliedschaften	Maximal 50.000 Mitgliedschaften
Filter anhand OUS	Ja	Ja
Filter anhand Gruppenmitgliedschaften	Ja	Ja
Filter anhand Attributwerten	Ja	Nein
Password Hash Sync (PHS)	Ja	Ja
Pass Through Authentifizierung (PTA)	Ja	Nein
ADFS/Federation	Ja	Ja
Seamless Single Sign On	Ja	Ja

Was ist die Microsoft Entra-Cloudsynchronisierung? - Microsoft Entra ID
https://learn.microsoft.com/de-de/entra/identity/hybrid/cloud-sync/what-is-cloud-sync#comparison-between-azure-ad-connect-and-cloud-sync
Microsoft 365 admin center - Wizard zur Entscheidungsfindung
https://admin.microsoft.com/adminportal/home?Q=entra#/modernonboarding/identitywizard
Microsoft Entra Connect: Supported topologies - Microsoft Entra ID
https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/plan-connect-topologies
Ressource Forest
LinkedMailbox
Disabled Account

Alle Lösungen

Alle Welt redet immer nur von ADSync oder Cloud Connect aber es gibt noch einige andere Optionen, Identitäten in Entra ID zu verwalten. Sie werden natürlich deutlich seltener eingesetzt aber ich kenne die meisten Varianten von verschiedenen Kunden, z.B.: die ein eigenes Identity Management nutzen und direkt die Eigenschaften im lokalen AD und EntraID setzen oder die lokal eine Samba-Domain/OpenLDAP/Shibboleth-Topologie betreiben und diese Daten für Entra ID nutzen wollen.

Lösung	Beschreibung	ExHybrid	ReadOnly	Password	Device
AzureAD Sync	Diese Lösung ist seit vielen Jahren der "Standard" zur Synchronisation lokaler AD-Konten in die Cloud und liefern den vollen Funktionsumfang, d.h. Exchange Hybrid, Password HashSync Password WriteBack, Groups Writeback V2, DeviceSync etc. Allerdings benötigen Sie dazu einen lokalen Server und sehr große Umgebungen eventuell einen eigenen SQL-Server. ADSync / AADConnect Bitte setzen sie immer die aktuellste Version von ADSync ein. Version 1.x ist nicht mehr supportet https://docs.microsoft.com/en-us/azure/active-directory/hybrid/reference-connect-version-history#retiring-azure-ad-connect-1x-versions	Ja	Ja	PHS PTA Federated Writeback	Ja
AzureAD Cloud Sync	Laut Microsoft ist AzureAD Cloud Sync der Nachfolger von ADSync, bei der die komplette Logik in der Cloud von Microsoft gestellt und verwaltet wird, während lokale Agenten nur die Kommunikation aufbauen. Wenn Sie mit den Einschränkungen von AzureAD Cloud Sync leben können, ist dies meine AzureAD Cloud Sync	Eingeschränkt	Ja	PHS Federated	Nein
MIM	ADSync nutzt als Unterbau eine reduzierte Version des "Microsoft Identity Managers" (MIM), die sich natürlich auch als Vollversion nutzen können. Dies ist für Firmen interessant, die heute schon mit MIM oder den Vorgängern (FIM, ILM, MIIS) gearbeitet haben und das AzureAD als zusätzliches Verzeichnis mit einbinden wollen. Die MIM-Lizenz ist in AzureAD P1 sogar enthalten, nicht aber der SQL-Server. AADConnect Funktionsweise	Ja	Ja	?	?
DirSync	Nur zur Vollständigkeit führe ich den alten "DirSync" noch mit auf. So war der Name vor ADSync auf einer älteren Basis und sollte heute wie auch ADSYNC V1.x nirgendwo mehr laufen. "End of support: DirSync and Azure AD Sync on 13th of April 2017" https://blog.azureandbeyond.com/2017/04/06/dirsync-azure-ad-sync-end-of-support/
SDS	Für das Provisioning von Schülern und Lehrern gibt es von Microsoft mit SDS eine eigene Schnittstelle zur Anbindung von School Data Sync (SDS)	Nein	Nein	Setzen	Nein
AzureAD Only	Ohne ein lokales AD können sich auch mit AzureAD Only einen Abgleich herstellen. Diverse HR-Programme können auch Identitäten im Tenant direkt verwalten. Teilweise sogar mit Rückschreiben ins lokale AD, damit dann ADSync wieder die Daten abgleichen kann Cloud HR-Identitymanagement SCIM - System for Cross-Domain Identity Management	Ja	Ja	Setzen	Nein
Cross Tenant	Auch für den Abgleich von Identitäten hat Microsoft mittlerweile eine Lösung wenn sie nicht zwei Tenants mit ADSync und einer lokalen Synchronisation bedienen wollen. Cross-Tenant Sync kann aber nur Benutzer übertragen aber keine Gruppen oder Geräte. Cross-Tenant Sync	Kontakte	Nein	Entfällt	Entfällt
Selbst	Sie müssen die Objekte im AzureAD nicht zwingend per ADSync verwalten. Über Microsoft Graph können Sie per Skript fast alle Änderungen an Objekten vornehmen und einen eigenen Abgleich schreiben. Bei einer Schule habe ich so eine Lösung mit per PowerShell entwickelt, die dann die Schule per Perl produktiv genommen hat. Graph API Graph und Kennworte	Manuell	Nein	Setzen	Manuell

Die Bedeutung der hinteren Spalten ist

ExHybrid
Unterstützt den Betrieb von Exchange im Hybrid Mode, d.h. Abgleich dere relevanten Properties aus dem AD zu AzureAD und Exchange Online
ReadOnly
Die Objekte im AzureAD werden auf "DirSynced" und damit weitgehend "ReadOnly" gesetzt,
Password
Verfügbare Optionen für Kennwortabgleich u.a. (Password Sync)
Device
Synchronisation von Geräten für AzureAD Join

Es gibt natürlich noch weitere Unterscheidungsmerkmale, z.B. inwieweit sie in der Quelle filtern können, welche Topologien aus mehrere Forests und Domains unterstützt werden oder wie flexible Sie Transformation-Rules einsetzen können, etc. Vielleicht brauchen Sie auch keines der Lösungen, z.B. weil Sie über ein eigenes Provisioning die Werte setzen wollen.