Die Migration von Active Directory zu Microsoft Entra ID (vormals Azure AD) wird in Projektplänen gern als Stichtag dargestellt: vorher On-Premises, nachher Cloud. In der Praxis regulierter Großkundenumgebungen sieht es anders aus. Zwischen dem klassischen Verzeichnis und einer vollständig cloud-basierten Identität liegt fast immer eine Hybrid-Phase, die Monate bis Jahre dauert — und in dieser Phase entstehen die Fehler, die später teuer werden.
Kurz gefasst: Drei Fehlerquellen entscheiden im Hybrid-Betrieb regelmäßig über Erfolg oder Ausfall:
- Synchronisierung ohne sauberes Quell-Datenmodell — ungeklärte Attribut-Autorität multipliziert bestehende AD-Altlasten in der Cloud.
- Gruppen und Berechtigungen zwischen zwei Welten — ohne Gesamtsicht entsteht ein Zwitter aus AD- und Entra-Steuerung.
- Authentifizierung, die nur im Testbetrieb trägt — Legacy-Protokolle und Conditional Access kollidieren erst beim breiten Rollout.
Was bedeutet Hybrid-Betrieb? Als hybride Identität bezeichnet man den Zustand, in dem Benutzerkonten parallel im lokalen Active Directory und in Microsoft Entra ID existieren und über ein Synchronisierungswerkzeug wie Entra ID Connect abgeglichen werden. Diese Phase ist kein kurzer Übergang, sondern eine eigenständige Betriebsphase mit eigenen Regeln — und genau deshalb unterschätzt.
Aus wiederkehrenden Mandaten lassen sich die drei Stolperfallen konkret benennen. Keine davon ist exotisch. Alle drei werden regelmäßig unterschätzt, weil sie in der Testumgebung nicht auffallen und erst unter Produktivlast sichtbar werden.
Stolperfalle 1: Synchronisierung ohne sauberes Quell-Datenmodell
Entra ID Connect (bzw. Cloud Sync) ist schnell installiert, und genau das ist das Problem. Die eigentliche Arbeit liegt nicht im Tool, sondern in der Frage, welches System die Autorität über welches Attribut besitzt. Wird das nicht vorab geklärt, synchronisiert man gewachsene Inkonsistenzen aus dem AD unverändert in die Cloud — und multipliziert sie dort.
Typische Symptome: Konten, die sich beim sogenannten Soft-Match nicht sauber zuordnen lassen und als Duplikate in Entra ID landen. Uneinheitliche UPN-Suffixe, die nicht zur verifizierten Domäne passen, sodass Anmeldungen scheitern. Oder ein mail-Attribut, das im AD nie konsequent gepflegt wurde und nun über die Cloud-Sichtbarkeit erstmals auffällt. Die Korrektur unter laufendem Sync ist deutlich aufwendiger als eine vorgeschaltete Bereinigung.
Der belastbare Weg führt über ein explizites Attribut- und Autoritätsmodell vor dem ersten Sync: Welche Quelle ist führend, welche UPN-Strategie gilt, wie werden Alt-Lasten bereinigt. Das klingt nach Vorarbeit, die man sich sparen könnte — bis der erste Rezertifizierungslauf die Duplikate zutage fördert.
Stolperfalle 2: Gruppen und Berechtigungen zwischen zwei Welten
On-Premises-Gruppen und Cloud-Gruppen folgen unterschiedlicher Logik, und im Hybrid-Betrieb existieren beide gleichzeitig. Wer weiterhin im AD gepflegte Sicherheitsgruppen für den Zugriff auf Cloud-Ressourcen nutzen will, braucht Group Writeback und muss dessen Grenzen kennen — etwa beim Verhalten verschachtelter Gruppen oder bei dynamischen Gruppen, die es on-premises so nicht gibt.
Die Stolperfalle ist selten technischer, sondern konzeptioneller Natur: Es entsteht ein Zwitter, in dem manche Berechtigungen aus dem AD, andere aus Entra ID gesteuert werden, ohne dass jemand die Gesamtsicht hält. Für ein sauberes Berechtigungsmodell — Thema unseres IAM- und IDM-Angebots — ist genau diese Gesamtsicht die Voraussetzung. Ohne sie wird jede spätere Governance- oder Rezertifizierungsanforderung zur Archäologie.
Praktisch bewährt sich, früh zu entscheiden, welche Welt für welchen Ressourcentyp führend ist, und diese Entscheidung zu dokumentieren, statt sie implizit dem jeweiligen Administrator zu überlassen.
Stolperfalle 3: Authentifizierung, die im Testbetrieb funktioniert
Die Wahl zwischen Password Hash Synchronization, Pass-through Authentication und Federation wird oft früh und leise getroffen — und selten mit Blick auf den Zielzustand. Im Hybrid-Betrieb rächt sich das, wenn Conditional-Access-Richtlinien eingeführt werden, während ältere Anwendungen noch über Legacy-Authentifizierungsprotokolle anmelden, die sich der modernen Absicherung entziehen.
Das Muster ist immer ähnlich: In der Pilotgruppe läuft alles, weil die Piloten moderne Clients nutzen. Beim breiten Rollout melden sich dann die Fachbereiche mit Anwendungen, die niemand auf dem Schirm hatte. Wird MFA erzwungen, bevor diese Fälle identifiziert sind, steht im schlechtesten Fall ein Teil des Betriebs still.
Der Ausweg ist keine Technik, sondern Reihenfolge: erst eine belastbare Inventarisierung der Authentifizierungswege inklusive Legacy-Protokollen, dann die schrittweise Einführung von Conditional Access mit einer Report-only-Phase, und erst danach die harte Durchsetzung. Diese Disziplin kostet Wochen — verhindert aber den Ausfall, der ein Projekt politisch beschädigt.
Was die drei Fälle verbindet
Alle drei Stolperfallen haben dieselbe Wurzel: Der Hybrid-Zustand wird als Übergang behandelt, den man schnell hinter sich bringt, statt als eigenständige Betriebsphase mit eigenen Regeln. Wer ihn ernst nimmt — mit sauberem Datenmodell, klarer Berechtigungs-Autorität und einer disziplinierten Authentifizierungs-Reihenfolge — verliert weniger Zeit, als er in die Vorarbeit steckt.
Häufige Fragen zur Migration von Active Directory zu Entra ID
Wie lange dauert die Hybrid-Phase bei einer Entra-ID-Migration?
In regulierten Großumgebungen erstreckt sich die Hybrid-Phase meist über mehrere Monate bis Jahre. Sie endet nicht mit einem Stichtag, sondern wenn alle Anwendungen, Berechtigungen und Authentifizierungswege sauber in die Cloud überführt sind. Bis dahin sollte der Hybrid-Betrieb als eigenständige Betriebsphase geplant und gesteuert werden.
Was ist der Unterschied zwischen Entra ID Connect und Cloud Sync?
Entra ID Connect ist die klassische, funktionsreiche Synchronisierungslösung mit lokaler Serverkomponente und breiter Konfigurierbarkeit. Entra Cloud Sync arbeitet mit einem leichtgewichtigen Agenten und eignet sich besonders für verteilte oder mehrere Verzeichnisse, hat aber Funktionsgrenzen. Die Wahl hängt vom Attributmodell und den Anforderungen an Writeback und Filterung ab.
Muss Conditional Access sofort erzwungen werden?
Nein. Bewährt hat sich der Weg über eine Report-only-Phase: Die Richtlinien werden zunächst nur protokolliert, um Legacy-Anwendungen und Sonderfälle sichtbar zu machen, bevor die harte Durchsetzung greift. Details dazu im Beitrag Conditional Access einführen: Warum Report-only zuerst kommt.
Bleibt das lokale Active Directory nach der Migration bestehen?
In den meisten Umgebungen bleibt das lokale Active Directory zunächst bestehen, weil Anwendungen, Fileserver oder Drucker weiterhin daran gebunden sind. Der vollständige Abschied vom AD ist ein eigenes Teilprojekt und steht am Ende, nicht am Anfang der Migration.
cosoweb begleitet Migrationen von Active Directory zu Entra ID als Senior-Mandat, von der Architektur bis in den Hybrid-Betrieb. Wie wir dabei vorgehen, steht auf der Leistungsseite Active Directory und Microsoft Entra ID; angrenzende Themen wie Cloud-Migration mit Azure-Fokus und IAM und IDM finden Sie in denselben Rubriken. Verwandt ist der Beitrag zur Rechenzentrums-Konsolidierung ohne Betriebsunterbrechung.
Sie stehen vor einer AD-zu-Entra-ID-Migration in einer regulierten Umgebung? Schildern Sie uns kurz Ihre Ausgangslage — Sie erhalten in der Regel innerhalb von zwei Werktagen eine erste Einschätzung.
Eine konkrete Fragestellung im Haus?
Schildern Sie kurz Ihr Vorhaben — Ausgangslage, Ziel, gewünschter Zeitrahmen. Sie erhalten in der Regel innerhalb von zwei Werktagen eine erste Einschätzung.
