Hybrid Identity schafft eine einheitliche Benutzeridentität, die on-premises und in der Cloud gilt — das Fundament für sichere Zusammenarbeit im gesamten Unternehmen. Hybrid Identity creates a single user identity valid both on-premises and in the cloud — the foundation for secure collaboration across the entire organization.
PHS, PTA und Federation (AD FS) decken alle Unternehmensszenarien ab. Die Wahl hängt von Sicherheitsanforderungen, Verfügbarkeitszielen und Compliance-Vorgaben ab. PHS, PTA, and Federation (AD FS) cover all enterprise scenarios. The choice depends on security requirements, availability objectives, and compliance mandates.
Entra Connect Sync (V2) für komplexe Umgebungen mit benutzerdefinierten Regeln. Cloud Sync als leichtgewichtige, agentenbasierte Alternative für Multi-Forest- und Filial-Szenarien. Entra Connect Sync (V2) for complex environments with custom rules. Cloud Sync as a lightweight agent-based alternative for multi-forest and branch-office scenarios.
Password Writeback, Device Writeback und Group Writeback V2 ermöglichen bidirektionale Synchronisation und hybride Szenarien wie SSPR on-premises und Hybrid Azure AD Join. Password Writeback, Device Writeback, and Group Writeback V2 enable bidirectional synchronization and hybrid scenarios such as SSPR on-premises and Hybrid Azure AD Join.
Was ist Hybrid Identity? What is Hybrid Identity?
Hybrid Identity bezeichnet das Konzept, bei dem Benutzer, Gruppen und Geräte sowohl in einer lokalen Active Directory Domain Services (AD DS) Umgebung als auch in Microsoft Entra ID (ehemals Azure Active Directory) existieren und dieselbe Identität nutzen. Anstatt separate Konten zu pflegen, wird eine gemeinsame Identität geschaffen, die einen nahtlosen Zugriff auf Ressourcen — unabhängig davon, ob diese on-premises oder in der Cloud liegen — ermöglicht. Hybrid Identity is the concept where users, groups, and devices exist in both an on-premises Active Directory Domain Services (AD DS) environment and in Microsoft Entra ID (formerly Azure Active Directory) and share the same identity. Instead of maintaining separate accounts, a common identity is created that enables seamless access to resources regardless of whether they are on-premises or in the cloud.
Im Kern besteht Hybrid Identity aus zwei Komponenten: der Identitätsbereitstellung (wie Objekte zwischen den Verzeichnissen synchronisiert werden) und der Authentifizierungsmethode (wo und wie die eigentliche Authentifizierung stattfindet). Beide Aspekte sind unabhängig voneinander wählbar und kombinierbar. At its core, Hybrid Identity consists of two components: identity provisioning (how objects are synchronized between directories) and the authentication method (where and how authentication actually takes place). Both aspects can be chosen and combined independently.
Die langfristige Strategie von Microsoft zielt auf eine vollständige Cloud-Identität ab. Hybrid Identity ist der Überbrückungsmechanismus für Organisationen, die noch on-premises Abhängigkeiten haben. Plane den Migrations-Pfad frühzeitig ein. Microsoft's long-term strategy targets fully cloud-based identity. Hybrid Identity is the bridging mechanism for organizations that still have on-premises dependencies. Plan the migration path early.
Provisioning vs. Synchronisation Provisioning vs. Synchronization
Synchronisation bezeichnet den Prozess, durch den Änderungen an einem Objekt (z. B. einem Benutzer in AD DS) in ein anderes Verzeichnis (Entra ID) repliziert werden. Entra Connect Sync verwendet diesen Ansatz: ein Agent liest die AD-Objekte, wendet Filterregeln und Attributtransformationen an, und schreibt das Ergebnis in Entra ID. Synchronization refers to the process by which changes to an object (e.g., a user in AD DS) are replicated into another directory (Entra ID). Entra Connect Sync uses this approach: an agent reads AD objects, applies filtering rules and attribute transformations, and writes the result to Entra ID.
Inter-Directory Provisioning (oder Cloud-seitige Bereitstellung) ist ein neuerer Ansatz, bei dem die Entra-Plattform selbst die Synchronisation steuert. Die Provisioning-Agenten (leichtgewichtige Software auf den Domain Controllern oder Member Servern) kommunizieren ausschließlich ausgehend mit dem Entra-Dienst und empfangen dort Bereitstellungsaufträge. Dies ist der Ansatz von Microsoft Entra Cloud Sync. Inter-Directory Provisioning (or cloud-side provisioning) is a newer approach where the Entra platform itself controls synchronization. The provisioning agents (lightweight software on domain controllers or member servers) communicate exclusively outbound with the Entra service and receive provisioning jobs from there. This is the approach used by Microsoft Entra Cloud Sync.
| MerkmalAttribute | Synchronisation (Connect Sync)Synchronization (Connect Sync) | Inter-Directory Provisioning (Cloud Sync)Inter-Directory Provisioning (Cloud Sync) |
|---|---|---|
| SteuerungsebeneControl plane | Lokal (Sync-Engine auf dem AADC-Server)Local (sync engine on the AADC server) | Cloud (Entra-Dienst orchestriert)Cloud (Entra service orchestrates) |
| AgentengrößeAgent size | Vollständiger Anwendungsserver (~300 MB)Full application server (~300 MB) | Leichtgewichtiger Agent (~30 MB)Lightweight agent (~30 MB) |
| Komplexe AnpassungenComplex customization | Vollständige Sync Rules Engine mit deklarativen RegelnFull sync rules engine with declarative rules | Expression Builder, eingeschränkter RegelumfangExpression Builder, limited rule scope |
| Multi-Forest zu Single-TenantMulti-forest to single tenant | Vollständig unterstützt (GALSync, MetaDirectory)Fully supported (GALSync, meta-directory) | Unterstützt mit separaten Agenten pro ForestSupported with separate agents per forest |
| HochverfügbarkeitHigh availability | Staging Mode (manueller Failover)Staging Mode (manual failover) | Mehrere Agenten mit automatischem FailoverMultiple agents with automatic failover |
Authentifizierungsmethoden im Vergleich Authentication Methods Comparison
Die Wahl der Authentifizierungsmethode ist eine der wichtigsten Architekturentscheidungen in einer hybriden Umgebung. Sie bestimmt, wo Passwörter validiert werden, welche Ausfallresistenz besteht und welche Compliance-Anforderungen erfüllt werden können. Choosing the authentication method is one of the most important architectural decisions in a hybrid environment. It determines where passwords are validated, what resilience against outages exists, and which compliance requirements can be met.
Password Hash Synchronization (PHS) Password Hash Synchronization (PHS)
Bei PHS synchronisiert Entra Connect einen abgeleiteten Hash des AD-Passwort-Hashes mit Entra ID. Konkret berechnet Windows den NT-Hash (MD4 des Passworts), dann wendet Entra Connect 1.000 Iterationen PBKDF2-SHA256 mit einem zufälligen 10-Byte-Salt an und speichert das Ergebnis als 32-Byte-Wert in Entra ID. Das eigentliche Klartextpasswort oder der NT-Hash werden niemals übertragen. With PHS, Entra Connect synchronizes a derived hash of the AD password hash to Entra ID. Specifically, Windows computes the NT hash (MD4 of the password), then Entra Connect applies 1,000 iterations of PBKDF2-SHA256 with a random 10-byte salt and stores the result as a 32-byte value in Entra ID. The actual plaintext password or NT hash are never transmitted.
Microsoft vergleicht die synchronisierten Hashes kontinuierlich mit bekannten Datenlecks (Dark-Web-Quellen). Wird ein Match gefunden, wird das Benutzerrisiko in Identity Protection auf „Hoch" gesetzt und eine Benachrichtigung ausgelöst — nur bei PHS möglich. Microsoft continuously compares the synchronized hashes against known data breaches (dark web sources). When a match is found, the user risk in Identity Protection is set to "High" and an alert is triggered — only possible with PHS.
Architektur: Der AADC-Dienst liest den NT-Hash über eine privilegierte Verbindung zum AD DS (ähnlich dem Domänencontroller-Replikationsprotokoll). Dies erfordert die AD DS-Berechtigungen Verzeichnisänderungen replizieren und Alle Verzeichnisänderungen replizieren für das AADC-Dienstkonto. Architecture: The AADC service reads the NT hash via a privileged connection to AD DS (similar to the domain controller replication protocol). This requires the AD DS permissions Replicate Directory Changes and Replicate Directory Changes All for the AADC service account.
Seamless SSO Integration: PHS kann mit Seamless SSO (auch: Desktop SSO) kombiniert werden. Dabei wird ein Kerberos-Ticket der Domain für die Cloud-Authentifizierung verwendet, sodass intranet-basierte Benutzer ohne Passwortabfrage auf M365-Ressourcen zugreifen können. Seamless SSO Integration: PHS can be combined with Seamless SSO (also called Desktop SSO). A Kerberos ticket from the domain is used for cloud authentication, allowing intranet users to access M365 resources without a password prompt.
Verfügbarkeit: Da die Hashes in Entra ID gespeichert sind, können Benutzer sich auch dann authentifizieren, wenn die on-premises Infrastruktur nicht erreichbar ist. Dies macht PHS zur resilientesten Methode. Availability: Since hashes are stored in Entra ID, users can authenticate even when the on-premises infrastructure is unreachable. This makes PHS the most resilient method.
# PHS aktivieren via Microsoft Graph PowerShell
# PHS enable via Microsoft Graph PowerShell
Connect-MgGraph -Scopes "Directory.ReadWrite.All"
Enable-MgDirectorySyncFeature -Feature PasswordHashSync
# Aktuellen PHS-Status prüfen
# Check current PHS status
Get-MgDirectorySyncFeature | Select-Object Feature, Enabled
# Entra Connect: PHS-Synchronisierung prüfen (auf dem AADC-Server)
# On AADC server: verify PHS synchronization
Import-Module ADSync
Get-ADSyncAADCompanyFeature | Select-Object PasswordHashSync
# Delta-Synchronisation auslösen
# Trigger delta synchronization
Start-ADSyncSyncCycle -PolicyType Delta
# Vollständige Synchronisation (nach Konfigurationsänderungen)
# Full synchronization (after configuration changes)
Start-ADSyncSyncCycle -PolicyType InitialPHS Troubleshooting: PHS Troubleshooting:
| ProblemIssue | UrsacheCause | LösungResolution |
|---|---|---|
| Passwort synchronisiert nichtPassword not syncing | PHS deaktiviert oder BerechtigungsfehlerPHS disabled or permission error | Enable-MgDirectorySyncFeature prüfen; AD-Konto-Berechtigungen validierenCheck Enable-MgDirectorySyncFeature; validate AD account permissions |
| Veraltete HashesStale hashes | Keine Passwortänderung seit PHS-AktivierungNo password change since PHS activation | Initiale Synchronisation via "Full Password Sync" erzwingenForce initial sync via "Full Password Sync" |
| Event ID 650/651 im AADC-LogEvent ID 650/651 in AADC log | Verbindungsproblem zum DCConnection problem to DC | Netzwerkverbindung zu Port 389/3268 und DC-Erreichbarkeit prüfenCheck network connectivity to port 389/3268 and DC reachability |
Pass-Through Authentication (PTA) Pass-Through Authentication (PTA)
Bei PTA werden Benutzeranmeldeinformationen nicht in der Cloud gespeichert. Stattdessen werden Passwortvalidierungsanfragen in Echtzeit an die on-premises AD DS weitergeleitet. Entra ID sendet einen signierten Token mit dem verschlüsselten Passwort über Azure Service Bus an einen PTA-Agenten, der lokal die Validierung gegen AD DS durchführt und das Ergebnis zurückmeldet. With PTA, user credentials are not stored in the cloud. Instead, password validation requests are forwarded to on-premises AD DS in real time. Entra ID sends a signed token with the encrypted password via Azure Service Bus to a PTA agent, which performs local validation against AD DS and reports the result back.
Agenten-Architektur: PTA-Agenten sind leichtgewichtige .NET-Anwendungen (ca. 15 MB) auf Windows Server (2012 R2 oder neuer). Sie bauen ausschließlich ausgehende HTTPS-Verbindungen zu Azure (Port 443) auf — kein eingehender Firewall-Port erforderlich. Mindestens 3 Agenten werden für Hochverfügbarkeit empfohlen. Agent Architecture: PTA agents are lightweight .NET applications (~15 MB) on Windows Server (2012 R2 or newer). They establish exclusively outbound HTTPS connections to Azure (port 443) — no inbound firewall port required. At least 3 agents are recommended for high availability.
PTA-Server sind sicherheitskritische Infrastruktur: Sie haben lesenden Zugriff auf AD DS und kommunizieren direkt mit Azure. Schütze diese Server wie Tier-0-Assets, aktiviere Windows Defender Credential Guard, und überwache den Service-Account auf unerwartete Aktivitäten. PTA servers are security-critical infrastructure: they have read access to AD DS and communicate directly with Azure. Protect these servers like Tier-0 assets, enable Windows Defender Credential Guard, and monitor the service account for unexpected activities.
# PTA-Agenten-Status abrufen
# Get PTA agent status
Get-MgOrganizationOnPremiseDirectorySynchronization | Select-Object *
# PTA-Agenten auflisten (Entra Admin Center API)
# List PTA agents via Graph API
$agents = Invoke-MgGraphRequest -Method GET `
-Uri "https://graph.microsoft.com/beta/onPremisesPublishingProfiles/provisioning/agentGroups"
$agents.value | Select-Object id, publishingType, isDefault
# PTA-Agent-Installation auf neuem Server (als Admin ausführen)
# Install PTA Agent on new server (run as admin)
# 1. Download AADConnectAuthAgent.exe from Entra Portal
# 2. Ausführen und mit Global Admin anmelden
# 3. Installation abschließen
# AADConnectAuthAgent.exe /quiet
# Agenten-Verbindung testen
# Test agent connectivity
Test-NetConnection -ComputerName "autologon.microsoftonline.com" -Port 443
Test-NetConnection -ComputerName "login.microsoftonline.com" -Port 443PTA Einschränkungen vs. PHS: PTA Limitations vs. PHS:
| MerkmalFeature | PTAPTA | PHSPHS |
|---|---|---|
| Verfügbarkeit bei DC-AusfallAvailability when DC is down | ❌ Anmeldung nicht möglich❌ Sign-in fails | ✅ Anmeldung möglich✅ Sign-in works |
| Leaked Credential DetectionLeaked Credential Detection | ❌ Nicht verfügbar❌ Not available | ✅ Verfügbar mit Identity Protection✅ Available with Identity Protection |
| Smart LockoutSmart Lockout | ✅ On-prem und Cloud kombiniert✅ On-prem and cloud combined | ✅ In der Cloud✅ In the cloud |
| Passwort in Cloud gespeichertPassword stored in cloud | ❌ Nein❌ No | ✅ Hash des Hashes✅ Hash of hash |
| Compliance (kein Cloud-Passwort)Compliance (no cloud password) | ✅ Für strenge Regulierung geeignet✅ Suitable for strict regulation | ⚠️ Zu evaluieren⚠️ To be evaluated |
Federation (AD FS) Federation (AD FS)
Active Directory Federation Services (AD FS) ermöglicht Federated Authentication, bei der Entra ID als Service Provider eine Claims-basierte Assertion von einem on-premises Identity Provider (AD FS) akzeptiert. Benutzer werden nie gegen Entra ID direkt authentifiziert — der AD FS-Server ist der eigentliche Authentifizierungsendpunkt. Active Directory Federation Services (AD FS) enables federated authentication where Entra ID as a service provider accepts a claims-based assertion from an on-premises identity provider (AD FS). Users are never authenticated directly against Entra ID — the AD FS server is the actual authentication endpoint.
Wann Federation verwenden? Federation ist sinnvoll bei: Smart-Card-Authentifizierung (PIV/CAC), strikten regulatorischen Anforderungen (kein Passwort darf die Unternehmensgrenze verlassen), komplexen Claims-Transformationen für Legacy-Apps, oder bei bestehender AD FS-Infrastruktur mit Investitionsschutz. When to use Federation? Federation makes sense for: Smart card authentication (PIV/CAC), strict regulatory requirements (no password may cross the corporate boundary), complex claims transformations for legacy apps, or existing AD FS infrastructure protecting investments.
Architektur: Mindestens zwei AD FS-Server (Farm) und zwei Web Application Proxy (WAP) Server in der DMZ für externe Erreichbarkeit. WAP übernimmt die Präauthentifizierung und schützt interne AD FS-Server vor direktem Internetzugriff. Zertifikate: Token-Signing-Zertifikat (selbstsigniert, automatisch rollover), Token-Decryption-Zertifikat, und SSL/TLS-Zertifikat für den externen Endpunkt (fs.domain.com). Architecture: At least two AD FS servers (farm) and two Web Application Proxy (WAP) servers in the DMZ for external accessibility. WAP handles pre-authentication and protects internal AD FS servers from direct internet access. Certificates: Token Signing certificate (self-signed, automatic rollover), Token Decryption certificate, and SSL/TLS certificate for the external endpoint (fs.domain.com).
Microsoft empfiehlt aktiv die Migration von AD FS zu PHS oder PTA. AD FS erhöht die Angriffsfläche erheblich (öffentlich erreichbarer Endpunkt), erfordert komplex zu pflegende Infrastruktur und bietet keine Vorteile gegenüber modernen cloud-nativen Authentifizierungsfeatures wie Passkeys oder Certificate-Based Authentication in Entra ID. Microsoft actively recommends migrating from AD FS to PHS or PTA. AD FS significantly increases the attack surface (publicly accessible endpoint), requires complex infrastructure to maintain, and offers no advantages over modern cloud-native authentication features like passkeys or Certificate-Based Authentication in Entra ID.
Staged Rollout für AD FS Migration: Mit dem Staged Rollout Feature kann die Migration von Federation zu PHS/PTA schrittweise (gruppenbasiert) erfolgen, ohne die Domain-Konvertierung sofort für alle Benutzer durchzuführen. Dies ermöglicht einen kontrollierten, risikoarmen Migrationspfad. Staged Rollout for AD FS Migration: With the Staged Rollout feature, migration from Federation to PHS/PTA can happen gradually (group-based) without immediately converting the domain for all users. This enables a controlled, low-risk migration path.
# AD FS Claims Rules Beispiele (auf AD FS Server)
# AD FS Claims Rules examples (on AD FS server)
# Alle Relying Party Trusts auflisten
Get-AdfsRelyingPartyTrust | Select-Object Name, Identifier, Enabled
# Token Signing Zertifikate anzeigen
Get-AdfsCertificate -CertificateType Token-Signing
# Token Decryption Zertifikate anzeigen
Get-AdfsCertificate -CertificateType Token-Decrypting
# Azure AD Relying Party Trust prüfen
Get-AdfsRelyingPartyTrust -Name "Microsoft Office 365 Identity Platform"
# AD FS Ereignisprotokoll auf Fehler prüfen
Get-WinEvent -LogName "AD FS/Admin" -MaxEvents 50 | `
Where-Object { $_.LevelDisplayName -in "Error","Warning" } | `
Select-Object TimeCreated, Message | Format-ListEntscheidungsmatrix: PHS vs. PTA vs. Federation Decision Matrix: PHS vs. PTA vs. Federation
| SzenarioScenario | EmpfehlungRecommendation | BegründungReasoning |
|---|---|---|
| Neue hybride Bereitstellung, keine besonderen AnforderungenNew hybrid deployment, no special requirements | PHS + Seamless SSOPHS + Seamless SSO | Einfachste Implementierung, höchste Resilienz, beste Identity-Protection-IntegrationSimplest implementation, highest resilience, best Identity Protection integration |
| Strenge Compliance: Passwort darf Cloud nicht verlassenStrict compliance: password must not leave the cloud | PTAPTA | Echtzeit-Validierung on-premises, kein Speichern von HashesReal-time on-premises validation, no hash storage |
| Smart-Card / PIV-Authentifizierung erforderlichSmart card / PIV authentication required | AD FS (kurzfristig) → CBA in Entra ID (langfristig)AD FS (short-term) → CBA in Entra ID (long-term) | Entra ID CBA unterstützt PKI-Zertifikate nativ ohne AD FSEntra ID CBA natively supports PKI certificates without AD FS |
| Höchste Resilienz gegen on-premises AusfallHighest resilience against on-premises outage | PHSPHS | Hashes in Entra ID ermöglichen Authentifizierung auch bei komplettem DC-AusfallHashes in Entra ID enable authentication even during complete DC failure |
| Migration von AD FS (Staged)Migration from AD FS (staged) | PHS (zuerst aktivieren, dann Staged Rollout)PHS (enable first, then Staged Rollout) | PHS als Sicherheitsnetz aktivieren, schrittweise Benutzer migrierenEnable PHS as a safety net, migrate users gradually |
Microsoft Entra Connect Sync (V2) Microsoft Entra Connect Sync (V2)
Entra Connect Sync V2 (ehemals Azure AD Connect) ist die Hauptsynchronisierungs-Engine für komplexe hybride Identitätsszenarien. Version 2.x bringt TLS 1.2 als Mindestanforderung, .NET Framework 4.7.2+, SQL Server 2019 LocalDB als Standard-Backend und eine neue Synchronisationsregel-Engine mit verbesserter Performance. Entra Connect Sync V2 (formerly Azure AD Connect) is the primary synchronization engine for complex hybrid identity scenarios. Version 2.x brings TLS 1.2 as a minimum requirement, .NET Framework 4.7.2+, SQL Server 2019 LocalDB as default backend, and a new sync rules engine with improved performance.
Architektur und Komponenten Architecture and Components
| KomponenteComponent | FunktionFunction |
|---|---|
| Sync EngineSync Engine | Liest AD-Objekte, wendet Filterregeln und Attributtransformationen an, schreibt in Entra IDReads AD objects, applies filter rules and attribute transformations, writes to Entra ID |
| Connector Space (CS)Connector Space (CS) | Lokaler Cache der Objekte aus AD und Entra ID für delta-basierte SynchronisationLocal cache of objects from AD and Entra ID for delta-based synchronization |
| Metaverse (MV)Metaverse (MV) | Vereinheitlichtes Identitätsobjekt, das alle Quellattribute zusammenführt (besonders wichtig bei mehreren Forests)Unified identity object that merges all source attributes (especially important with multiple forests) |
| Management Agent (MA)Management Agent (MA) | Connector zu AD DS und zu Entra ID; implementiert das jeweilige Protokoll (LDAP / Graph API)Connector to AD DS and Entra ID; implements the respective protocol (LDAP / Graph API) |
| Synchronisation Rules EngineSynchronization Rules Engine | Deklarative, priorisierte Regeln für Attributflow von CS in MV (Inbound) und von MV in CS (Outbound)Declarative, prioritized rules for attribute flow from CS to MV (inbound) and from MV to CS (outbound) |
| SchedulerScheduler | Steuert Delta-Zyklen (Standard: 30 min) und initiale VollsynchronisationControls delta cycles (default: 30 min) and initial full synchronization |
| Password AgentPassword Agent | Verarbeitet PHS und Password WritebackHandles PHS and Password Writeback |
Installationsvoraussetzungen Installation Prerequisites
| AnforderungRequirement | DetailsDetails |
|---|---|
| BetriebssystemOperating System | Windows Server 2016 / 2019 / 2022 (Standard oder Datacenter)Windows Server 2016 / 2019 / 2022 (Standard or Datacenter) |
| .NET Framework.NET Framework | 4.7.2 oder höher (Windows Server 2022 bereits enthalten)4.7.2 or higher (included in Windows Server 2022) |
| SQL ServerSQL Server | Lokal: SQL Server 2019 LocalDB (bis 100.000 Objekte empfohlen) oder vollständiger SQL Server für größere UmgebungenLocal: SQL Server 2019 LocalDB (recommended up to 100,000 objects) or full SQL Server for larger environments |
| Entra ID RolleEntra ID Role | Hybrid Identity Administrator oder Global Administrator für InstallationHybrid Identity Administrator or Global Administrator for installation |
| AD DS-KontoAD DS Account | Enterprise Admin für Express-Installation; custom mit Mindestberechtigungen für Custom-InstallationEnterprise Admin for Express installation; custom account with minimum permissions for Custom installation |
| NetzwerkNetwork | HTTPS (443) ausgehend zu *.msappproxy.net, login.microsoftonline.com, *.windows.netHTTPS (443) outbound to *.msappproxy.net, login.microsoftonline.com, *.windows.net |
| TLSTLS | TLS 1.2 muss aktiviert sein (Registry-Einstellung auf älteren OS-Versionen prüfen)TLS 1.2 must be enabled (check registry setting on older OS versions) |
Filterung: Domäne, OU, Attribut, Gruppenbasiert Filtering: Domain, OU, Attribute, Group-Based
Filterung bestimmt, welche AD-Objekte synchronisiert werden. Es gibt vier Filterebenen, die kombinierbar sind: Filtering determines which AD objects are synchronized. There are four filtering levels that can be combined:
| FiltertypFilter Type | KonfigurationsortConfiguration Location | HinweisNote |
|---|---|---|
| DomänenfilterDomain filter | AADC Wizard → Domains and OUsAADC Wizard → Domains and OUs | Ganze Domänen inkl./exkl.; empfohlen für Multi-Forest-SzenarienInclude/exclude entire domains; recommended for multi-forest scenarios |
| OU-FilterOU filter | AADC Wizard → Domains and OUsAADC Wizard → Domains and OUs | Granularste Standardoption; empfohlen als primärer FilteransatzMost granular standard option; recommended as primary filter approach |
| Attribut-basierter FilterAttribute-based filter | Sync Rules Editor → Scoping FilterSync Rules Editor → Scoping Filter | z. B. extensionAttribute1 = "Sync"; erfordert benutzerdefinierte Sync-RegelE.g., extensionAttribute1 = "Sync"; requires custom sync rule |
| Gruppenbasierter FilterGroup-based filter | AADC Wizard → Filter users and devices (Pilot only)AADC Wizard → Filter users and devices (Pilot only) | Nur für Pilotprojekte; in Produktion nicht skalierbar (max. 50.000 Mitglieder)For pilot projects only; not scalable in production (max. 50,000 members) |
Synchronisationsregeln-Engine Synchronization Rules Engine
Die Sync Rules Engine ist das Herzstück von AADC. Regeln haben einen Richtungssinn (Inbound oder Outbound), einen Scoping Filter (wann gilt die Regel), einen Join Filter (wie wird das Objekt im Metaverse zugeordnet) und Transformationen (wie werden Attributwerte geflossen). Jede Regel hat eine Priorität (0–99 reserviert für Microsoft, 100–999 für Kunden), wobei niedrigere Zahlen höhere Priorität haben. The Sync Rules Engine is the heart of AADC. Rules have a direction (Inbound or Outbound), a scoping filter (when the rule applies), a join filter (how the object is matched in the metaverse), and transformations (how attribute values flow). Each rule has a precedence (0–99 reserved for Microsoft, 100–999 for customers), where lower numbers indicate higher priority.
Microsoft-eigene Sync-Regeln (Priorität 0–99) dürfen nie direkt bearbeitet werden. Erstelle stattdessen benutzerdefinierte Regeln mit höherer Prioritätsnummer, die die Standardregel überschreiben. Standard-Regeln werden bei AADC-Upgrades überschrieben. Microsoft-owned sync rules (priority 0–99) must never be directly edited. Instead, create custom rules with a higher priority number that override the default rule. Default rules are overwritten during AADC upgrades.
# Alle Sync-Regeln auflisten
# List all sync rules
Get-ADSyncRule | Select-Object Name, Direction, Precedence, Connector | Sort-Object Precedence
# Benutzerdefinierte Inbound-Regel erstellen (Beispiel: extensionAttribute15 → employeeType)
# Create custom inbound rule (example: extensionAttribute15 → employeeType)
$rule = New-ADSyncRule `
-Name "In from AD - User extensionAttribute15 to employeeType" `
-Connector "contoso.com" `
-Direction Inbound `
-Precedence 110 `
-EnablePasswordSync $false `
-LinkType Join
$rule | Add-ADSyncAttributeFlowMapping `
-Source extensionAttribute15 `
-Destination employeeType `
-FlowType Direct `
-ExecuteOnce $false
Add-ADSyncRule -SynchronizationRule $rule
# Scheduler-Konfiguration prüfen
# Check scheduler configuration
Get-ADSyncScheduler
# Scheduler auf 15 Minuten setzen (Minimum: 30 Minuten, aber manuell auf 5+ setzbar)
# Set scheduler to 15 minutes
Set-ADSyncScheduler -SyncCycleEnabled $true -SchedulerSuspended $false
# CustomSyncCycleInterval setzt die Zeit (Minimum empfohlen: 30 Minuten)
# Synchronisierungsfehler anzeigen
# Show synchronization errors
Get-ADSyncCSObject -ConnectorName "contoso.com" | `
Where-Object { $_.SyncError -ne $null } | `
Select-Object DN, SyncErrorAttribut-Flow-Referenz Attribute Flow Reference
| AD-AttributAD Attribute | Entra ID AttributEntra ID Attribute | HinweisNote |
|---|---|---|
| userPrincipalNameuserPrincipalName | userPrincipalNameuserPrincipalName | Primärer Anmeldename; Suffix muss verifizierte Domain seinPrimary sign-in name; suffix must be verified domain |
| sAMAccountNamesAMAccountName | onPremisesSamAccountNameonPremisesSamAccountName | Legacy-Anmeldename; wird gespeichert, nicht für Anmeldung genutztLegacy sign-in name; stored but not used for sign-in |
| mailmail | mail / proxyAddressesmail / proxyAddresses | Primäre E-Mail; als SMTP: in proxyAddressesPrimary email; stored as SMTP: in proxyAddresses |
| displayNamedisplayName | displayNamedisplayName | Anzeigename in allen Microsoft-DienstenDisplay name in all Microsoft services |
| givenName / sngivenName / sn | givenName / surnamegivenName / surname | Vor- und NachnameFirst and last name |
| departmentdepartment | departmentdepartment | Abteilung; für dynamische Gruppen und CA nutzbarDepartment; usable for dynamic groups and CA |
| titletitle | jobTitlejobTitle | BerufsbezeichnungJob title |
| managermanager | managermanager | Vorgesetzten-DN; wird aufgelöst und als Referenz gespeichertManager DN; resolved and stored as a reference |
| telephoneNumbertelephoneNumber | telephoneNumbertelephoneNumber | BürotelefonOffice phone |
| mobilemobile | mobilePhonemobilePhone | Mobiltelefon; kann für MFA genutzt werdenMobile phone; can be used for MFA |
| streetAddress / l / st / postalCode / costreetAddress / l / st / postalCode / co | streetAddress / city / state / postalCode / countrystreetAddress / city / state / postalCode / country | AdressattributeAddress attributes |
| memberOfmemberOf | Nicht direkt (Gruppen werden separat synchronisiert)Not directly (groups are synchronized separately) | Gruppenmitgliedschaft wird über Gruppen-Sync übertragenGroup membership is transferred via group sync |
| objectGUIDobjectGUID | onPremisesImmutableIdonPremisesImmutableId | Unveränderlicher Anker; Base64-kodiert; kritisch für Objekt-ZuordnungImmutable anchor; Base64-encoded; critical for object matching |
| objectSidobjectSid | onPremisesSecurityIdentifieronPremisesSecurityIdentifier | AD-SID; für Ressourcenzugriff und Conditional Access genutztAD SID; used for resource access and Conditional Access |
| extensionAttribute1-15extensionAttribute1-15 | onPremisesExtensionAttributes / customSecurityAttributesonPremisesExtensionAttributes / customSecurityAttributes | Erweiterungsattribute; für eigene Metadaten und FilterregelnExtension attributes; for custom metadata and filter rules |
| userAccountControluserAccountControl | accountEnabledaccountEnabled | Kontostatus: aktiviert/deaktiviertAccount status: enabled/disabled |
| pwdLastSetpwdLastSet | onPremisesLastPasswordChangeDateTimeonPremisesLastPasswordChangeDateTime | Letztes PasswortänderungsdatumLast password change date |
Neu 2026: Interaktive Admin-Autorisierung für Konfigurationsänderungen New 2026: Interactive Admin Authorization for Configuration Changes
Ab 2026 erfordert Entra Connect Sync für bestimmte kritische Konfigurationsänderungen (z. B. Änderungen an Filterregeln, Aktivierung/Deaktivierung von PHS, Änderungen am Hard Match-Verhalten) eine interaktive Bestätigung durch einen autorisierten Administrator mit Hybrid Identity Administrator-Rolle. Dies verhindert, dass Konfigurationsänderungen unbeaufsichtigt oder durch kompromittierte Skripte durchgeführt werden. Die Autorisierung erfolgt über einen Browser-Flow mit Conditional Access-Integration. Starting in 2026, Entra Connect Sync requires interactive confirmation by an authorized administrator with the Hybrid Identity Administrator role for certain critical configuration changes (e.g., changes to filter rules, enabling/disabling PHS, changes to hard match behavior). This prevents configuration changes from being made unattended or through compromised scripts. Authorization occurs via a browser flow with Conditional Access integration.
Microsoft Entra Cloud Sync Microsoft Entra Cloud Sync
Entra Cloud Sync ist eine leichtgewichtige, agentenbasierte Alternative zu Connect Sync. Die Synchronisationslogik läuft nicht auf dem Agenten, sondern im Entra-Cloud-Dienst. Der Agent (Provisioning Agent) ist ein einfacher Brückenservice, der LDAP-Anfragen vom Entra-Dienst entgegennimmt und die Ergebnisse zurückmeldet. Entra Cloud Sync is a lightweight, agent-based alternative to Connect Sync. The synchronization logic does not run on the agent but in the Entra cloud service. The agent (Provisioning Agent) is a simple bridge service that receives LDAP requests from the Entra service and reports results back.
| Unterstütztes SzenarioSupported Scenario | Cloud SyncCloud Sync | Connect SyncConnect Sync |
|---|---|---|
| Multi-Forest zu Multi-TenantMulti-forest to multi-tenant | ✅✅ | ⚠️ (ein Tenant pro Connect Sync)⚠️ (one tenant per Connect Sync) |
| Filial-Synchronisation ohne zentralen ServerBranch sync without central server | ✅ (Agent direkt auf DC)✅ (agent directly on DC) | ❌ (separater Server erforderlich)❌ (separate server required) |
| Password Hash SyncPassword Hash Sync | ✅ (seit 2022)✅ (since 2022) | ✅✅ |
| Password WritebackPassword Writeback | ✅✅ | ✅✅ |
| Komplexe Sync-Regeln (deklarative Engine)Complex sync rules (declarative engine) | ❌ (nur Expression Builder)❌ (expression builder only) | ✅ (vollständige Rules Engine)✅ (full rules engine) |
| On-Demand Provisioning / TestsynchronisationOn-demand provisioning / test sync | ✅ (integriert im Portal)✅ (built into portal) | ⚠️ (Invoke-ADSyncRunProfile)⚠️ (Invoke-ADSyncRunProfile) |
| Verzeichniserweiterungen (Schema-Erweiterungen)Directory extensions (schema extensions) | ✅✅ | ✅✅ |
# Cloud Sync Provisioning Agent Status prüfen
# Check Cloud Sync Provisioning Agent status
Get-Service -Name "AADConnectProvisioningAgent"
# Cloud Sync Konfiguration via Graph API anzeigen
# View Cloud Sync configuration via Graph API
Invoke-MgGraphRequest -Method GET `
-Uri "https://graph.microsoft.com/beta/servicePrincipals?`$filter=appId eq 'cb1056e2-e479-49de-ae31-7812af012ed8'"
# On-Demand Provisioning für spezifischen Benutzer testen
# Test on-demand provisioning for specific user
# (Im Entra Admin Center: Azure AD Connect → Cloud Sync → Provision on demand)
# Oder via Graph API:
$body = @{
objectId = "AD-Benutzer-ObjectID" # ObjectID des AD-Benutzers
ruleId = "Provisioning-Regel-ID"
taskId = "validateAndProvisionOnDemand"
} | ConvertTo-Json
Invoke-MgGraphRequest -Method POST `
-Uri "https://graph.microsoft.com/beta/synchronization/jobs/{jobId}/validateCredentials" `
-Body $body -ContentType "application/json"
# Cloud Sync Synchronisierungsfehler abfragen
# Query Cloud Sync synchronization errors
Invoke-MgGraphRequest -Method GET `
-Uri "https://graph.microsoft.com/beta/auditLogs/provisioning?`$filter=provisioningAction eq 'create' and status/errorCode ne '0'"Seamless SSO (Desktop SSO) Seamless SSO (Desktop SSO)
Seamless SSO ermöglicht Benutzern auf in die Domain eingebundenen Rechnern die automatische Anmeldung ohne Passworteingabe. Dazu wird ein spezielles Computerkonto (AZUREADSSOACC$) in AD DS angelegt, dessen Kerberos-Schlüssel für die Token-Ausstellung verwendet werden. Der Browser des Benutzers erhält beim Aufruf von login.microsoftonline.com ein Kerberos-Ticket für dieses Computerkonto, das von Entra ID als Beweis für die AD-Authentifizierung akzeptiert wird. Seamless SSO allows users on domain-joined computers to sign in automatically without entering a password. A special computer account (AZUREADSSOACC$) is created in AD DS, whose Kerberos key is used for token issuance. The user's browser receives a Kerberos ticket for this computer account when calling login.microsoftonline.com, which Entra ID accepts as proof of AD authentication.
Das AZUREADSSOACC$-Konto hat einen Kerberos-Entschlüsselungsschlüssel, der niemals in Entra ID oder Azure gespeichert wird. Microsoft empfiehlt, diesen Schlüssel alle 30 Tage zu rotieren, um das Risiko von Golden-Ticket-Angriffen zu reduzieren. The AZUREADSSOACC$ account has a Kerberos decryption key that is never stored in Entra ID or Azure. Microsoft recommends rotating this key every 30 days to reduce the risk of golden-ticket attacks.
# Seamless SSO aktivieren (auf AADC-Server)
# Enable Seamless SSO (on AADC server)
Import-Module 'C:\Program Files\Microsoft Azure Active Directory Connect\AzureADSSO.psd1'
New-AzureADSSOAuthenticationContext
# Kerberos-Schlüssel für AZUREADSSOACC$ rotieren (empfohlen alle 30 Tage)
# Rotate Kerberos key for AZUREADSSOACC$ (recommended every 30 days)
Update-AzureADSSOForest -OnPremCredentials (Get-Credential) -PreserveCustomPermissionsOnDesktopSsoAccount
# Seamless SSO Status prüfen
# Check Seamless SSO status
Get-AzureADSSOStatus | ConvertFrom-Json | Select-Object Domains, SsoEnabledPassword Writeback Password Writeback
Password Writeback ermöglicht es Benutzern, ihr Passwort über Entra ID SSPR (Self-Service Password Reset) oder den Entra-Admin zurückzusetzen, und das neue Passwort wird sofort auf das on-premises AD DS geschrieben. Die Kommunikation erfolgt über Azure Service Bus — kein eingehender Firewall-Port erforderlich. Password Writeback allows users to reset their password through Entra ID SSPR (Self-Service Password Reset) or the Entra admin portal, with the new password immediately written back to the on-premises AD DS. Communication occurs via Azure Service Bus — no inbound firewall port required.
Password Writeback erfordert mindestens Microsoft Entra ID P1 (oder Microsoft 365 Business Premium). Entra ID P2 wird für SSPR mit Identity-Protection-Integration (risikosensitives SSPR) benötigt. Password Writeback requires at least Microsoft Entra ID P1 (or Microsoft 365 Business Premium). Entra ID P2 is required for SSPR with Identity Protection integration (risk-sensitive SSPR).
# Password Writeback aktivieren
# Enable Password Writeback
Import-Module ADSync
Set-ADSyncAADPasswordResetConfiguration -Enable $true
# Password Writeback Status prüfen
# Check Password Writeback status
Get-ADSyncAADPasswordResetConfiguration
# SSPR Konfiguration via Graph API
# SSPR configuration via Graph API
Get-MgPolicyAuthorizationPolicy | Select-Object AllowedToUseSSPRDevice Writeback und Hybrid Azure AD Join Device Writeback and Hybrid Azure AD Join
Device Writeback schreibt Geräte, die in Entra ID registriert sind, zurück in AD DS als Computerobjekte. Dies wird für bestimmte Szenarien benötigt, z. B. für AD FS-basierte Conditional Access, die gerätekonforme Informationen aus AD DS benötigt. In modernen Umgebungen mit Entra ID-basiertem CA ist Device Writeback selten noch erforderlich. Device Writeback writes devices registered in Entra ID back to AD DS as computer objects. This is needed for certain scenarios, e.g., AD FS-based Conditional Access that needs device compliance information from AD DS. In modern environments with Entra ID-based CA, Device Writeback is rarely required anymore.
Hybrid Azure AD Join (HAADJ) ist der Prozess, durch den on-premises in die Domain eingebundene Geräte auch in Entra ID registriert werden. HAADJ nutzt entweder Service Connection Point (SCP) in AD DS für die Erkennung des Tenants, oder eine Group Policy Object (GPO) für automatische Registrierung. Das Ergebnis ist ein Gerät, das sowohl AD DS als auch Entra ID kennt und ein Primary Refresh Token (PRT) für SSO hat. Hybrid Azure AD Join (HAADJ) is the process by which on-premises domain-joined devices are also registered in Entra ID. HAADJ uses either a Service Connection Point (SCP) in AD DS for tenant discovery, or a Group Policy Object (GPO) for automatic registration. The result is a device that is known to both AD DS and Entra ID and has a Primary Refresh Token (PRT) for SSO.
Group Writeback V2 / Cloud Sync Pfad Group Writeback V2 / Cloud Sync Path
Group Writeback V2 ermöglicht es, Microsoft 365-Gruppen und Sicherheitsgruppen aus Entra ID in AD DS zu schreiben. Dies ist relevant für Szenarien, in denen on-premises Applikationen Gruppeninformationen aus AD DS konsumieren. Die neue V2-Version unterstützt auch das Schreiben von cloudbasierten Gruppen und ist über Cloud Sync (ohne Connect Sync) verfügbar. Group Writeback V2 allows Microsoft 365 groups and security groups from Entra ID to be written to AD DS. This is relevant for scenarios where on-premises applications consume group information from AD DS. The new V2 version also supports writing cloud-based groups and is available via Cloud Sync (without Connect Sync).
# Group Writeback V2 aktivieren (Connect Sync)
# Enable Group Writeback V2 (Connect Sync)
Import-Module ADSync
Set-ADSyncAADCompanyFeature -GroupWritebackEnabled $true
# Ziel-OU für Group Writeback festlegen
# Set target OU for Group Writeback
$aadConnector = Get-ADSyncConnector | Where-Object {$_.Type -eq "Extensible2"}
Set-ADSyncAADPasswordResetConfiguration # (Verwende AADC Wizard für OU-Auswahl)
# Gruppen-Synchronisierungsstatus prüfen
# Check group sync status
Get-MgGroup -Filter "onPremisesSyncEnabled eq true" | `
Select-Object DisplayName, OnPremisesSyncEnabled, OnPremisesLastSyncDateTimeStaged Rollout Staged Rollout
Staged Rollout ermöglicht die schrittweise Migration von Benutzern von Federation (AD FS) zu Managed Authentication (PHS oder PTA), ohne die Domain-Konvertierung für alle Benutzer gleichzeitig durchführen zu müssen. Benutzer in der Staged-Rollout-Gruppe werden gegen Entra ID authentifiziert, während alle anderen weiterhin über AD FS authentifiziert werden. Staged Rollout allows the gradual migration of users from Federation (AD FS) to Managed Authentication (PHS or PTA) without having to convert the domain for all users at once. Users in the Staged Rollout group are authenticated against Entra ID while all others continue to be authenticated via AD FS.
Staged Rollout unterstützt maximal 500.000 Benutzer. Nahtloses SSO und PHS/PTA müssen vor der Staged-Rollout-Aktivierung konfiguriert sein. Seamless SSO wird automatisch als Feature im Staged Rollout angeboten. Staged Rollout supports a maximum of 500,000 users. Seamless SSO and PHS/PTA must be configured before activating Staged Rollout. Seamless SSO is automatically offered as a feature in Staged Rollout.
# Staged Rollout Feature-Richtlinien anzeigen (Graph API)
# View Staged Rollout feature policies (Graph API)
Invoke-MgGraphRequest -Method GET `
-Uri "https://graph.microsoft.com/beta/policies/featureRolloutPolicies"
# Neue Staged Rollout Policy erstellen
# Create new Staged Rollout policy
$body = @{
displayName = "PHS Pilot - Abt. IT"
description = "Pilotgruppe für PHS-Migration"
feature = "passwordHashSync"
isEnabled = $true
isAppliedToOrganization = $false
} | ConvertTo-Json
$policy = Invoke-MgGraphRequest -Method POST `
-Uri "https://graph.microsoft.com/beta/policies/featureRolloutPolicies" `
-Body $body -ContentType "application/json"
# Gruppe zur Staged Rollout Policy hinzufügen
# Add group to Staged Rollout policy
$groupBody = @{ "@odata.id" = "https://graph.microsoft.com/v1.0/groups/{groupId}" } | ConvertTo-Json
Invoke-MgGraphRequest -Method POST `
-Uri "https://graph.microsoft.com/beta/policies/featureRolloutPolicies/$($policy.id)/appliesTo/`$ref" `
-Body $groupBody -ContentType "application/json"Entra Connect Health — Gesundheitsüberwachung Entra Connect Health — Health Monitoring
Microsoft Entra Connect Health bietet ein zentralisiertes Dashboard zur Überwachung der Hybrid-Identity-Infrastruktur. Es überwacht AADC-Server, AD FS-Farmen, AD DS-Domänencontroller und PTA-Agenten. Daten werden automatisch an Entra ID gesendet, wenn der Health Agent installiert ist. Microsoft Entra Connect Health provides a centralized dashboard for monitoring hybrid identity infrastructure. It monitors AADC servers, AD FS farms, AD DS domain controllers, and PTA agents. Data is automatically sent to Entra ID when the Health Agent is installed.
| FeatureFeature | Überwachtes ElementMonitored Element | AgentAgent |
|---|---|---|
| Sync MonitoringSync Monitoring | AADC Sync-Fehler, Latenz, Objekt-AnzahlAADC sync errors, latency, object count | Im AADC integriertBuilt into AADC |
| AD FS MonitoringAD FS Monitoring | Token-Anfragen, Latenz, Fehlerrate, ZertifikatsablaufToken requests, latency, error rate, certificate expiry | MicrosoftEntraConnectHealth-HealthAgentMicrosoftEntraConnectHealth-HealthAgent |
| AD DS MonitoringAD DS Monitoring | DC-Verfügbarkeit, FSMO-Rollen, ReplikationDC availability, FSMO roles, replication | MicrosoftEntraConnectHealth-HealthAgentMicrosoftEntraConnectHealth-HealthAgent |
# Entra Connect Health Agent Status prüfen
# Check Entra Connect Health Agent status
Get-Service -Name MicrosoftEntraConnectHealth*
# Connect Health Synchronisierungsfehler via Graph API
# Connect Health sync errors via Graph API
Invoke-MgGraphRequest -Method GET `
-Uri "https://graph.microsoft.com/beta/directory/onPremisesSynchronization"
# AADC Synchronisation Overview via PowerShell
# AADC Synchronization overview via PowerShell
Import-Module ADSync
$stats = Get-ADSyncConnectorRunStatus
$stats | Select-Object ConnectorName, RunProfileName, StartTime, ResultPowerShell-Referenz: Vollständige Befehlsübersicht PowerShell Reference: Complete Command Overview
| BefehlCommand | ModulModule | ZweckPurpose |
|---|---|---|
| Get-ADSyncSchedulerGet-ADSyncScheduler | ADSyncADSync | Scheduler-Konfiguration anzeigenView scheduler configuration |
| Start-ADSyncSyncCycle -PolicyType DeltaStart-ADSyncSyncCycle -PolicyType Delta | ADSyncADSync | Delta-Synchronisation startenStart delta synchronization |
| Start-ADSyncSyncCycle -PolicyType InitialStart-ADSyncSyncCycle -PolicyType Initial | ADSyncADSync | Vollsynchronisation startenStart full synchronization |
| Get-ADSyncRuleGet-ADSyncRule | ADSyncADSync | Alle Sync-Regeln anzeigenView all sync rules |
| Get-ADSyncAADCompanyFeatureGet-ADSyncAADCompanyFeature | ADSyncADSync | Aktivierte AADC Features anzeigenView enabled AADC features |
| Set-ADSyncAADCompanyFeatureSet-ADSyncAADCompanyFeature | ADSyncADSync | AADC Features aktivieren/deaktivierenEnable/disable AADC features |
| Get-ADSyncConnectorRunStatusGet-ADSyncConnectorRunStatus | ADSyncADSync | Letzten Sync-Lauf Status anzeigenView last sync run status |
| Enable-MgDirectorySyncFeatureEnable-MgDirectorySyncFeature | Microsoft.GraphMicrosoft.Graph | Entra ID Sync-Feature aktivieren (z. B. PHS)Enable Entra ID sync feature (e.g., PHS) |
| Get-MgOrganizationOnPremiseDirectorySynchronizationGet-MgOrganizationOnPremiseDirectorySynchronization | Microsoft.GraphMicrosoft.Graph | On-Premises Sync Konfiguration lesenRead on-premises sync configuration |
| Get-MgDomainFederationConfigurationGet-MgDomainFederationConfiguration | Microsoft.GraphMicrosoft.Graph | Federation-Konfiguration anzeigenView federation configuration |
| Update-AzureADSSOForestUpdate-AzureADSSOForest | AzureADSSOAzureADSSO | Seamless SSO Kerberos-Schlüssel rotierenRotate Seamless SSO Kerberos key |
| Get-AzureADSSOStatusGet-AzureADSSOStatus | AzureADSSOAzureADSSO | Seamless SSO Status anzeigenView Seamless SSO status |
# Umfassendes Hybrid Identity Diagnoseskript
# Comprehensive Hybrid Identity Diagnostics Script
Write-Host "=== ENTRA CONNECT SYNC DIAGNOSTICS ===" -ForegroundColor Cyan
Import-Module ADSync -ErrorAction SilentlyContinue
# 1. Scheduler Status
Write-Host "`n[1] Scheduler Status" -ForegroundColor Yellow
Get-ADSyncScheduler | Format-List SyncCycleEnabled, NextSyncCyclePolicyType, CurrentlyRunning, NextSyncCycleStartTimeInUTC
# 2. Letzte Sync-Läufe
Write-Host "`n[2] Letzte Sync-Läufe / Last sync runs" -ForegroundColor Yellow
Get-ADSyncConnectorRunStatus | Sort-Object StartTime -Descending | Select-Object -First 10 | `
Format-Table ConnectorName, RunProfileName, Result, StartTime, EndTime -AutoSize
# 3. Sync-Fehler
Write-Host "`n[3] Synchronisierungsfehler / Sync errors" -ForegroundColor Yellow
$errors = Get-ADSyncCSObject -ConnectorName (Get-ADSyncConnector | Where-Object Type -eq "AD").Name | `
Where-Object { $_.SyncError -ne $null }
if ($errors) { $errors | Select-Object DN, SyncError | Format-List }
else { Write-Host "Keine Synchronisierungsfehler gefunden / No sync errors found." -ForegroundColor Green }
# 4. PHS Status
Write-Host "`n[4] PHS Status" -ForegroundColor Yellow
(Get-ADSyncAADCompanyFeature).PasswordHashSync
# 5. Password Writeback
Write-Host "`n[5] Password Writeback Status" -ForegroundColor Yellow
(Get-ADSyncAADPasswordResetConfiguration).Enabled
# 6. Entra Connect Health Agent Status
Write-Host "`n[6] Health Agent Status" -ForegroundColor Yellow
Get-Service MicrosoftEntraConnectHealth* | Select-Object Name, Status, StartType