Microsoft hat im April-2026-Update zu Entra die Transition von Entra Connect Sync zu Entra Cloud Sync angekündigt. Beide Werkzeuge synchronisieren Benutzer, Gruppen und Kontakte aus dem lokalen Active Directory zu Entra ID. Cloud Sync ist laut Microsoft die strategische Richtung für die hybride Identitätssynchronisation und der empfohlene Weg für die meisten Organisationen. Dieser Artikel ordnet ein, was angekündigt wurde, und was daraus für den Admin-Alltag folgt.
Was Microsoft angekündigt hat #
Die Kernaussagen der Ankündigung:
- Microsoft beginnt die Transition von Entra Connect Sync zu Entra Cloud Sync. Als Gründe nennt Microsoft geringere lokale Komplexität, höhere Sicherheit und Zuverlässigkeit sowie einfacheres Management.
- Die Umstellung erfolgt phasenweise, abhängig von den Features, die eine Organisation einsetzt.
- Ab Juli 2026 informiert Microsoft betroffene Organisationen über ihr individuelles Transition-Fenster. Die Benachrichtigung läuft über das M365 Message Center, über Entra Connect Health und über gezielte E-Mails.
- Den Anfang machen Tenants, bei denen Cloud Sync die aktuellen Connect-Sync-Use-Cases bereits vollständig abdeckt. Spätere Wellen folgen, sobald Cloud Sync die jeweils benötigten Funktionen unterstützt.
Microsoft formuliert es so, dass spätere Gruppen erst dann benachrichtigt werden, wenn die entsprechende Unterstützung in Cloud Sync verfügbar ist. Ein hartes, globales Abschaltdatum für Connect Sync wurde in diesem Zusammenhang nicht genannt. Laut der offiziellen Migrations-FAQ musst du nicht migrieren, solange die von dir benötigten Funktionen in Cloud Sync nicht unterstützt sind. Bis dahin kannst du Connect Sync weiter betreiben und migrierst, sobald diese Funktionen verfügbar werden.
Zwei getrennte Termine sauber auseinanderhalten #
In der Microsoft-Kommunikation laufen zwei unterschiedliche Vorgänge nebeneinander. Sie gehören nicht zusammen und haben unterschiedliche Konsequenzen.
Pflicht-Upgrade von Connect Sync (harte Deadline). Connect-Sync-Versionen älter als 2.5.79.0 stellen den Sync zum 30. September 2026 ein. Hintergrund ist eine Backend-Sicherheitsänderung. Wer unter dieser Version liegt und nicht aktualisiert, dessen Synchronisation stoppt. Der Installer ist nur noch über das Entra Admin Center verfügbar (Blade „Microsoft Entra Connect"), nicht mehr über das Microsoft Download Center. Die zugehörigen Message-Center-Einträge sind MC1262584 und MC1263280. Microsoft staffelt die Durchsetzung pro Tenant, die für dich gültigen Daten stehen also in deinen Message-Center-Benachrichtigungen. Dieser Schritt betrifft dich auch dann, wenn du auf Connect Sync bleibst, denn es ist Bestandspflege, kein Migrationsschritt.
Migration zu Cloud Sync (phasenweise, ab Juli notifiziert). Das ist der eigentliche Umzug auf das neue Werkzeug mit individuellen Fenstern und Benachrichtigungen. Hier gibt es Stand heute kein hartes Abschaltdatum.
Die praktische Reihenfolge lautet also: zuerst das Pflicht-Upgrade bis 30. September 2026, danach, sofern Tenant und Umgebung dafür bereit sind, die Migration zu Cloud Sync.
Parallel dazu greift ab 1. Juni 2026 zusätzlich das Hard-Match-Hardening, bei dem Entra bestimmte Hard-Match-Takeovers auf rollenbehaftete Cloud-Objekte blockiert. Das ist ein eigenes Thema, sollte aber im Hinterkopf bleiben, da im selben Zeitraum mehrere Sync-Änderungen zusammenfallen.
Wie Cloud Sync aufgebaut ist #
Cloud Sync verlagert die Konfiguration in die Cloud. Statt eines dedizierten Connect-Servers installierst du einen leichtgewichtigen Provisioning-Agent auf einem domänen-gejointen Server. Die Sync-Engine läuft bei Microsoft, die gesamte Konfiguration liegt im Entra Admin Center. Daraus ergeben sich laut Microsoft folgende Eigenschaften:
- Cloud-managte Konfiguration. Konfiguration, Statusprüfung und Troubleshooting erfolgen über das Entra Admin Center, ohne direkten Serverzugriff oder VPN. Konfigurationsänderungen werden automatisch an die Agents verteilt.
- Mehrere aktive Agents. Cloud Sync unterstützt mehrere aktive Provisioning-Agents mit automatischem Failover. Fällt ein Agent aus, übernehmen die übrigen. Connect Sync stellt dagegen einen Single Point of Failure dar.
- Automatische Agent-Updates. Die Agents beziehen Updates und Sicherheitspatches automatisch von Microsoft.
- Native Unterstützung getrennter Forests. Disconnected Forests, typisch bei Mergern und Akquisitionen, werden ohne Forest-Konsolidierung unterstützt.
- Plattform für neue Features. Neue Synchronisations- und Provisioning-Funktionen entwickelt Microsoft primär auf Cloud Sync. Beispiele sind Group Provisioning nach Active Directory und erweitertes Source-of-Authority-Management.
Zu den Agent-Voraussetzungen: Windows Server 2016, 2019 oder 2022, mindestens 4 GB RAM, .NET 4.7.1 oder höher, kein Server Core. Der Agent muss die Domänencontroller per LDAP (TCP 389) und Global Catalog (TCP 3268) erreichen.
Cloud-first: Entra ID als führendes Directory #
Cloud Sync ist nicht auf die klassische Richtung von Active Directory nach Entra ID beschränkt. Es ist zugleich die Grundlage für ein cloud-first-Modell, in dem Entra ID zur Source of Authority (SOA) wird. Praktisch bedeutet das, dass ein bestehendes, aus AD synchronisiertes Objekt auf cloud-verwaltet umgestellt wird. Danach wird es nicht mehr aus AD überschrieben, sondern verhält sich, als wäre es originär in der Cloud erstellt worden.
Dafür gibt es zwei zusammenhängende Bausteine:
- Source-of-Authority-Umstellung. Für Benutzer und Kontakte stellt Microsoft eine dokumentierte Umstellung der SOA auf Entra ID bereit, mit der sich einzelne synchronisierte AD-Objekte in cloud-verwaltete Identitäten überführen lassen. Für diese Objekte entfällt damit die Abhängigkeit von der AD-Synchronisation. Die SOA-Umstellung für synchronisierte Gruppen befindet sich zum Zeitpunkt der Ankündigung in der Public Preview. Da sich der Funktionsstand je Objekttyp unterscheidet, lohnt sich vor dem Einsatz ein Blick in die Doku, ob das jeweilige Szenario bereits allgemein verfügbar (GA) oder noch Preview ist.
- Group Provision to AD DS. Cloud Sync kann cloud-verwaltete Sicherheitsgruppen zurück nach Active Directory provisionieren (im Cloud-Sync-Setup als Konfiguration „Microsoft Entra ID to AD sync"). Damit lassen sich AD- bzw. Kerberos-basierte Anwendungen aus der Cloud über Entra ID Governance steuern. Diese Richtung ist ausschließlich in Cloud Sync verfügbar, Connect Sync kann das nicht.
Zwei Punkte sind dabei wichtig. Erstens ist das kein Dual-Write: Sobald die SOA eines Objekts in der Cloud liegt, werden direkte Änderungen am On-Prem-Objekt beim nächsten Provisioning-Zyklus wieder überschrieben. Die Cloud ist die führende Quelle. Zweitens geht es um Gruppen und um die Autoritätsverlagerung bestehender Benutzer, nicht um das Neuanlegen von Benutzern in AD aus der Cloud heraus. Cloud-to-AD-User-Provisioning wird derzeit weder von Connect Sync noch von Cloud Sync unterstützt.
Voraussetzungen für die SOA-Szenarien sind unter anderem ein aktueller Provisioning-Agent, das AD-Schema-Attribut msDS-ExternalDirectoryObjectId (ab Windows Server 2016 enthalten) sowie die passende Microsoft-Graph-Berechtigung zum Ändern der SOA.
Funktionsumfang: Was Cloud Sync kann und was nicht #
Cloud Sync hat noch nicht den vollen Funktionsstand von Connect Sync. Genau das ist der Grund für die phasenweise Migration. Die folgende Übersicht orientiert sich an der offiziellen Vergleichstabelle im Decision Guide.
Volle Parität besteht bei: Synchronisation von Benutzern, Gruppen und Kontakten, Single und Multiple Connected Forests, Password Hash Synchronization, Password Writeback (SSPR), Directory Extensions (1 bis 15), Basis-Attributanpassung über den Expression Builder, OU-basiertem Filtering und Seamless Single Sign-On.
In Cloud Sync nicht (oder nur eingeschränkt) verfügbar:
| Funktion | Status in Cloud Sync |
|---|---|
| Device-Synchronisation (Hybrid Entra Join) | nicht unterstützt |
| Device Writeback | eingestellt zugunsten Cloud Kerberos Trust |
| Scale pro Domain | max. 150.000 Objekte (Connect Sync unbegrenzt) |
| Gruppengröße | max. 50.000 Mitglieder (Connect Sync bis 250.000) |
| Pass-Through Authentication Config | separat vom Sync gemanagt |
| ADFS-Integration | separate Werkzeuge erforderlich |
| Advanced Sync Rules | nur Expression Builder |
| Attribut-basiertes Filtering | eingeschränkt |
| Cross-Forest-Referenzen | nicht unterstützt |
| Attribut-Merge aus mehreren Domains | nicht unterstützt |
| Reconciliation (Out-of-band-Korrektur) | nicht unterstützt |
| User Provisioning nach AD | in beiden nicht unterstützt |
Zur Authentifizierung der Hinweis von Microsoft: PHS, PTA und Seamless SSO funktionieren nach einer Migration weiter. Die PTA- und ADFS-Konfiguration wird in Cloud Sync lediglich getrennt vom Sync verwaltet.
Migrationsreife: Wer kann, wer wartet #
Microsoft teilt Organisationen im Decision Guide in drei Gruppen ein.
Sofort migrationsfähig, wenn alle Kriterien erfüllt sind: weniger als 150.000 Objekte pro Domain, Gruppen mit weniger als 50.000 Mitgliedern, kein Hybrid Entra Join (oder Bereitschaft zur Umstellung auf Cloud Kerberos Trust), Authentifizierung über PHS oder separat verwaltetes ADFS/PTA, OU-basiertes Filtering statt komplexer Attribut-Regeln, Single Forest oder verbundene Forests.
Migration in naher Zukunft planen, wenn aktuell Hybrid-Join-Device-Synchronisation, komplexes Attribut-Filtering oder User Provisioning nach AD benötigt wird. Diese Punkte könnten künftig unterstützt werden, daher Feature-Ankündigungen beobachten.
Migration für später evaluieren, wenn die Umgebung jenseits der Scale-Limits liegt, umfangreiche custom Sync Rules pflegt, Cross-Forest-Abhängigkeiten hat oder zwingend auf Reconciliation angewiesen ist. Für große Umgebungen empfiehlt Microsoft, die Migration nach Domain oder OU zu segmentieren.
Was du jetzt prüfen solltest #
- Connect-Sync-Version feststellen. Über die Synchronization-Service-Manager-Konsole prüfen, ob die Version mindestens 2.5.79.0 ist. Falls darunter, aktualisieren. Deadline ist der 30. September 2026, der Installer liegt im Entra Admin Center.
- Feature-Abhängigkeiten gegen die Funktionsübersicht halten. Bereits ein einziges nicht unterstütztes Feature bedeutet vorerst Verbleib auf Connect Sync.
- Message Center beobachten. Die individuellen Transition-Fenster werden ab Juli 2026 dort bekanntgegeben.
- Schrittweise Migration und Test einplanen. Ein Parallelbetrieb für dieselben Objekte ist nicht unterstützt. Stattdessen migrierst du OU-weise, sodass jede OU zu einem Zeitpunkt nur von einem Tool verwaltet wird. Während der Migration wird Connect Sync in den Staging-Modus versetzt, ein Rollback ist möglich. Sichere vorher deine Connect-Konfiguration per Import/Export. Zum Pilotieren eignen sich eine Test-Forest sowie On-Demand Provisioning, mit dem du Konfigurationsänderungen an einem einzelnen Benutzer prüfst.
Fazit #
Microsoft hat den Umstieg von Entra Connect Sync auf Cloud Sync offiziell gestartet. Die Migration läuft phasenweise, beginnt mit den Tenants, deren Anforderungen Cloud Sync bereits abdeckt, und wird ab Juli 2026 individuell notifiziert. Ein hartes Abschaltdatum für Connect Sync gibt es derzeit nicht.
Zwei Punkte sind für die Praxis entscheidend. Erstens ist das Pflicht-Upgrade auf Version 2.5.79.0 bis zum 30. September 2026 von der Migration zu trennen. Es betrifft alle Connect-Sync-Installationen. Zweitens ist Cloud Sync noch nicht funktionsgleich zu Connect Sync. Umgebungen mit Hybrid Join, Device Writeback, komplexen Sync Rules oder Cross-Forest-Abhängigkeiten bleiben vorerst auf Connect Sync. Für alle anderen ist der Umstieg bereits jetzt möglich.
Quellen #
- Microsoft Learn: Migrate from Microsoft Entra Connect to Cloud Sync (Decision Guide)
- Microsoft Learn: Migrate from Microsoft Entra Connect Sync to Cloud Sync FAQ
- Microsoft Learn: Migrating from Microsoft Entra Connect to Microsoft Entra Cloud Sync
- Microsoft Learn: Microsoft Entra releases and announcements (What’s new)
- What’s New in Microsoft Entra: May 2026 (Tech Community)
- Microsoft Learn: What is Microsoft Entra Cloud Sync? (Source of Authority management)
- Microsoft Learn: Configure user Source of Authority (SOA)
- Microsoft Learn: Provision groups to AD DS using Microsoft Entra Cloud Sync