Azure AD Connect (AADC) ist ein Identitätssynchronisierungstool von Microsoft, zuständig für die Synchronisation von Identitätsdaten vom lokalen Verzeichnisdienst ins Azure Active Directory (AAD). Microsoft kündigt an, dass das Identitätssynchronisierungstool Azure AD Connect einem Nachfolger weicht und künftig wohl ausgedient hat. Die Ankündigung von Microsoft besagt, dass der Nachfolger Azure AD Connect Cloud Sync vollständig übernehmen wird.
Microsoft Ankündigung
Der Azure AD Connect Cloud Sync (folgend nur noch Cloud Sync genannt) übernimmt sinnvollerweise die gleiche Aufgabe wie das bestehende Produkt. Es basiert allerdings nicht mehr auf der Azure AD Connect Applikation, sondern dem Azure AD provisioning agent. Dieser Agent wurde bereits im Januar 2019 in einer ersten Version von Microsoft zum Download freigegeben. Mit der Ankündigung von Microsoft per Ende 2022 wird festgehalten, dass der bestehende Azure AD Connect eingestellt wird, sobald Cloud Sync volle Parität erlangt hat. Es lohnt sich also, sich mit dem Cloud Sync vertraut zu machen. Früher oder später wird bei bestehenden Installationen eine Migration anstehen. Es ist daher wichtig die Unterschiede zu verstehen.
Unterschiede von Azure AD Connect und Cloud Sync
Der Hauptunterschied der beiden Tools besteht darin, dass der Synchronisierungsdienst und dessen Management und Konfiguration nicht mehr lokal auf dem Server, sondern in der Cloud vorgenommen wird.
Lokal wird beim Cloud Sync nur noch ein lightweight Agent zur Konnektivität, Authentifizierung und Autorisierung installiert. Mit Cloud Sync stellt Microsoft automatisch und kostenfrei eine hochverfügbare und zuverlässige Synchronisationsarchitektur der nächsten Generation zur Verfügung. Durch die Verschiebung vom Kern des Synchronisierungsdienstes besteht ein weiterer Vorteil darin, dass Cloud Sync laufend von Microsoft gewartet und aktualisiert wird. Die internen oder auch externen Betriebs- und Wartungskosten sinken somit. Die Erstellung des Dienstes in der Cloud ist zudem einfach und schnell realisiert.
Da die Parität der beiden Tools (AADC und Cloud Sync) noch nicht erreicht ist, existieren weiterhin essenzielle Funktionalitätsunterschiede. Die folgenden fehlenden Funktionen möchte ich daher im speziellen hervorheben.
- Support für Geräteobjekte
- Synchronisation von benutzerdefinierten AD-Attributen
- Support für Pass-Through Authentication
- Objektfilter auf Attributsbasis
- Support für group- und device writeback
- …
Ein vollständiger Vergleich der Funktionalitäten ist unter diesem Link zu finden.
Entscheidungsgrundlage zur Toolauswahl
Wie vorgehend aufgezeigt, hat Cloud Sync zum heutigen Zeitpunkt noch nicht volle Parität mit AADC erreicht und ist heute somit nicht für alle Umgebungen bereits geeignet. Es wird aber davon ausgegangen, dass der grösste Teil aller bestehenden AADC-Umgebungen bereits heute mit Cloud Sync ersetzt werden könnten.
Grundsätzlich kannst du die Entscheidung des zu verwendenden Tools ganz einfach herbeiführen. Folgenden Fragekatalog musst du dazu beantworten.
- Möchtest du benutzerdefinierte Attribute synchronisieren?
- Möchtest du Hybrid Azure AD Join verwenden?
- Möchtest du Exchange Hybrid verwenden oder Mailboxen und Kontakte in einem anderen AD-Forest platzieren als die Benutzerkonten?
- Hast du mehr als 250’000 Objekte, die du synchronisieren möchtest?
- Möchtest du die Synchronisation anhand von AD-Attributen filtern?
Beantwortest du eine der Fragen mit «JA», so ist AADC vorerst noch das richtige Tool. Falls nicht, so solltest du eine Migration zu Cloud Sync in Erwägung ziehen.
Hinweis:
Microsoft stellt im M365 Admin Center einen Wizard zur Analyse und Entscheidungsfindung zur Verfügung. Klicke hier, um zum Wizard zu gelangen.
Migrationspfad zu Cloud Sync
Azure AD Connect Cloud Sync kann parallel zum AADC betrieben werden. Dies ermöglicht dir sowohl einen Pilot-Betrieb als auch eine Schritt-für-Schritt Migration. Microsoft beschreibt das Vorgehen für einen Pilot-Betrieb unter diesem Link detailliert.
Empfehlung
Da Microsoft das Ende von Azure AD Connect bereits in Aussicht stellt, ist zu empfehlen, dass Organisationen ihre Gegebenheiten anhand des oben zur Verfügung gestellten Fragekataloges prüfen. Falls die Organisation eine Migration mit Berücksichtigung der Funktionalitäten bereits gewährleisten kann, ist eine solche mit vorgehendem Pilotbetrieb ins Auge zu fassen. Für alle Organisationen, welche auf noch nicht verfügbare Funktionen angewiesen sind (bspw. Exchange Hybrid), gilt es vorerst weiter abzuwarten und die Updates von Microsoft zu Cloud Sync zu verfolgen.
Quellen: