Microsoft Entra Cloud Sync eröffnet Unternehmen neue Möglichkeiten in der hybriden Gruppenverwaltung und ersetzt die bisher genutzte Group Write Back Version 2 in Entra Connect Sync. Mit Entra Cloud Sync können Cloud-Sicherheitsgruppen nicht nur effizient in lokale Active-Directory-Umgebungen zurückgeschrieben, sondern auch dynamisch verwaltet und an individuelle Anforderungen angepasst werden.
Entra Cloud Sync ermöglicht die Synchronisierung von Gruppen aus der Cloud in lokale AD-Umgebungen.
(Bild: Joos - Microsoft)
Microsoft Entra Cloud Sync unterstützt in der aktuellen Version die Group Write Back-Funktion, die es ermöglicht, Gruppen in der Cloud mit einem lokalen Active Directory zu synchronisieren. Diese Funktion vereinfacht die Verwaltung von Gruppen und Identitäten für hybride Cloud-Szenarien. Entra Cloud Sync ist die Nachfolgeversion von Group Write Back V2, das über Entra Connect Sync realisiert wurde. Group Write Back V2 wurde im Sommer 2024 eingestellt. Ein Migrationsleitfaden auf Microsoft Learn unterstützt den Wechsel zur neuen Entra Cloud Sync-Version.
Cloud-First-Ansatz für die Identitätsverwaltung: Gruppenverwaltung direkt in der Cloud
Mit Microsoft Entra Cloud Sync erfolgt die Verwaltung und Provisionierung von Gruppen in einer Cloud-First-Strategie, bei der Entra ID als primäre Quelle für Identitäten und Gruppen genutzt wird. Der neue Ansatz ermöglicht es Administratoren, Cloud-Sicherheitsgruppen direkt in Entra ID zu erstellen und zu verwalten, wobei diese anschließend ins lokale Active Directory zurückgeschrieben werden.
Dieser Prozess erlaubt es, die gesamte Gruppenverwaltung – einschließlich der Governance und Mitgliederverwaltung – zentral und ausschließlich in der Cloud zu organisieren. Dadurch entfällt die Notwendigkeit, Gruppen lokal zu erstellen und zu verwalten, was eine erhebliche Entlastung für IT-Abteilungen darstellt, und das Cloud-Management optimiert.
Da Entra ID im Group Write Back-Szenario zur primären Quelle für die betreffenden Gruppen wird, laufen alle Änderungsprozesse in der Cloud, während die Gruppen nur zur Anzeige und Verwaltung der hybriden Infrastruktur in das lokale AD zurückgeschrieben werden. Änderungen oder Ergänzungen von Benutzern in synchronisierten Gruppen müssen ebenfalls in Entra ID erfolgen, um Konsistenz und korrekte Synchronisation sicherzustellen.
Dieser Cloud-zentrierte Ansatz unterstützt Unternehmen dabei, ihre Identitätsverwaltung cloudorientiert auszurichten und sorgt gleichzeitig für mehr Kontrolle und Flexibilität bei der Nutzung cloudbasierter Ressourcen und Identitätslösungen.
Zentrale Governance für On-Premises-Ressourcen durch Entra Cloud Sync
Mit Microsoft Entra Cloud Sync wird die Governance von Gruppenmitgliedschaften erheblich optimiert, indem die robusten Verwaltungs- und Überwachungsfunktionen von Entra ID auch auf lokale Active Directory-Ressourcen (AD) angewendet werden können. Durch die Synchronisierung von Cloud-Sicherheitsgruppen mit den lokal verwalteten Gruppen im AD können alle Governance-Funktionen von Entra ID, wie Zugriffsüberprüfungen und Berechtigungsmanagement, auch für On-Premises-Ressourcen genutzt werden. Dies bedeutet, dass Gruppenmitgliedschaften zentral verwaltet und regelmäßig überprüft werden können, wodurch veraltete Zugriffsrechte vermieden und Zugriffsanforderungen zeitlich befristet gewährt werden können.
Eine besondere Stärke von Entra Cloud Sync liegt in der Kombination von Cloud-gesteuerter Governance und Flexibilität für On-Premises-Ressourcen. So lassen sich etwa durch das Entitlement Management von Entra ID Zugangspakete mit bestimmten Rollen und Berechtigungen für Cloud- und On-Premises-Ressourcen definieren und steuern. Mit der Synchronisation von Gruppenmitgliedschaften wird dabei sichergestellt, dass lokale AD-Ressourcen, die der Cloud-First-Strategie untergeordnet sind, ebenfalls von der zentralen Governance profitieren. Entra ID fungiert hier als Quelle der Autorität für die Gruppen, während Active Directory die synchronisierten Gruppen und deren Mitglieder für lokale Anwendungen und Zugänge nutzt.
Migration von Group Write Back Version 2 von Entra Connect zu Entra Cloud Sync
Die Migration von Group Write Back Version 2 von Entra Connect zu Entra Cloud Sync stellt Unternehmen vor wichtige konfigurationsbedingte Anpassungen. Da Group Write Back V2 in Microsoft Entra Connect Sync nicht mehr unterstützt wird, empfiehlt Microsoft die Migration auf Entra Cloud Sync. Entra Cloud Sync bietet dieselbe Funktionalität zur Bereitstellung von Cloud-Sicherheitsgruppen in Active Directory und wird kontinuierlich mit neuen Funktionen weiterentwickelt.
Der Umstellungsprozess für Group Write Back V2 umfasst das Übertragen der Attributwerte von adminDescription in msDS-ExternalDirectoryObjectID zur Unterstützung der gruppenbasierten Identitätsverwaltung über die Cloud Sync. Hierfür kann ein PowerShell-Skript eingesetzt werden, das sämtliche Gruppen im Ziel-OU überprüft und das Attribut automatisch kopiert.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Zudem erfordert der Migrationsprozess das Versetzen des Entra Connect Sync-Servers in den Stagingmodus und das Deaktivieren des Synchronisierungsplaners, bevor die Entra-Cloudsynchronisierung die Verwaltung der Gruppen übernehmen kann. Über angepasste Synchronisierungsregeln lassen sich Gruppen mit spezifischen Attributbedingungen für Cloud- oder lokale Mitgliedschaft filtern, sodass nur relevante Gruppen synchronisiert werden. Die Namenskonvention für zurückgeschriebene Gruppen ändert sich dabei in der Regel zu einem neuen Format mit einem gekürzten Anzeigenamen und Teilen der Objekt-ID, wodurch eine klare Unterscheidung und Verwaltung in hybriden Umgebungen erleichtert wird.
Die Konfiguration von Group Write Back mit Entra Cloud Sync erfolgt über das Entra Admin Center https://entra.microsoft.com/ unter dem Menüpunkt „Hybridverwaltung“ (Hybrid Management). Dort stehen zwei Synchronisationsmethoden zur Auswahl: Entra Cloud Sync für die neue Group Write Back-Funktion sowie der Legacy Entra Connect Sync, der noch bis zur geplanten Abschaltung unterstützt wird.
Der neue Ansatz mit Entra Cloud Sync bietet die Möglichkeit, Gruppen aus Entra ID zu einem lokalen Active Directory zurückzusynchronisieren. Diese Rücksynchronisation wird durch einen Bereitstellungs-Agenten realisiert, der auf einem Domänencontroller (ab Windows Server 2016) installiert sein muss und eine Verbindung zum Active Directory benötigt. Die Konfiguration erfordert administrative Berechtigungen und unterstützt ausschließlich Sicherheitsgruppen. Diese müssen als hybride Identitäten im Active Directory vorliegen, da Cloud-only-Benutzer nicht in das lokale AD zurückgeschrieben werden können, wenn diese dort nicht bereits existieren.
Die Konfiguration umfasst dabei mehrere Auswahlmöglichkeiten, wie etwa das Synchronisieren aller Sicherheitsgruppen oder die Auswahl spezifischer Gruppen. Benutzer können zusätzlich Attributfilter und Namenszuordnungen für Gruppen festlegen, um die Synchronisation weiter anzupassen. Sobald die Synchronisierung für eine Domäne eingerichtet ist, wie wir in einem eigenen Beitrag gezeigt haben, lassen sich die Einstellungen durch einen Klick auf das Synchronisierungsobjekt bei „Hybridverwaltung -> Microsoft Entra Connect -> Name der Verbindung“ anpassen. Hier stehen der Bereichsfilter und die Attributzuordnung zur Verfügung.
Die Synchronisation erfolgt im 20-Minuten-Intervall (Delta Sync) und lässt sich bei Bedarf auch manuell anstoßen, wobei eine Limitierung auf fünf Benutzer pro Gruppe gilt. In der Management-Sektion von Entra können Administratoren festlegen, welche Gruppen synchronisiert werden sollen. Gruppen, die erfolgreich synchronisiert wurden, erhalten im lokalen AD automatisch eine erweiterte Object-ID, die am Gruppennamen angehängt wird.
Voraussetzungen für Group Write Back
Für eine erfolgreiche Nutzung von Group Write Back muss in Entra ID mindestens die P1-Lizenz aktiviert sein. Entra Cloud Sync kann neben Entra Connect parallel betrieben werden, was eine hohe Flexibilität bei der hybriden Identitätsverwaltung bietet. Diese Koexistenz ermöglicht es, sowohl dynamische als auch statische Gruppen in das lokale AD zurückzuschreiben. Zusätzlich steht eine Vielzahl von Protokollierungs- und Berichtsfunktionen zur Verfügung, die Transparenz über Synchronisationsereignisse bieten.
Microsoft Entra Cloud Sync verschiebt die Quellautorität für Gruppen von der On-Premises-Umgebung in die Cloud. Dies bedeutet, dass die Verwaltung der Mitglieder und Benutzer in Entra ID erfolgt, was Konflikte bei der Identitätsverwaltung vermeiden kann. Ein unsachgemäßes Entfernen oder Ändern von Benutzern und Gruppen im lokalen AD kann zu Problemen führen. Es empfiehlt sich daher, diese Aktionen zentral in Entra ID zu steuern.
Active Directory & Domain Networking ist seit vielen Jahren ein Schwerpunktthema bei unserem Schwesterportal IP-Insider. Neben zahlreichen Fachartikeln finden Sie dort auch viele Definitionen und Begriffserklärungen aus diesem Themenkomplex. Am Artikelende der Begriffserläuterung „Was ist Active Directory?“ finden Sie jetzt alle bisher auf IP-Insider erschienenen Artikel rund um die Themen Active Directory, Entra ID und Domain Networking. Viel Spaß beim Schmökern!
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d4/df/d4dfa5d473ecbb140447fb4755cab804/0129131184v2.jpeg "Bundesinnenminister Alexander Dobrindt (CSU) will härter gegen hybride Angriffe durch staatliche Geheimdienste vorgehen. (Bild: @ BMI / Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/52/51/525165603b51419af1462a1ba3b79727/0122201348v1.jpeg "Entra Cloud Sync ermöglicht die Synchronisierung von Gruppen aus der Cloud in lokale AD-Umgebungen.(Bild: Joos - Microsoft)")
:quality(80)/p7i.vogel.de/wcms/47/4e/474eb434c2ebdccd2e6f094391f8e622/0122201341v1.jpeg "Die Synchronisierung zwischen Cloud und AD erfolgt über einen Agenten, der mit Entra Cloud Sync verbunden ist.(Bild: Joos - Microsoft)")
:quality(80)/p7i.vogel.de/wcms/b0/84/b084af042d402cef446b16d477414241/0122201338v1.jpeg "Im Rahmen der Synchronisierung zwischen Cloud und AD, lassen sich einzelne oder alle Sicherheitsgruppen aus der Cloud in das AD synchronisieren.(Bild: Joos - Microsoft)")
:quality(80)/p7i.vogel.de/wcms/88/82/8882a016b24c3d7cbc26fa58135f1e87/0122201345v1.jpeg "Die Gruppensynchronisierung kann auch über Attribute sehr flexibel angepasst werden.(Bild: Joos - Microsoft)")
:quality(80)/p7i.vogel.de/wcms/33/07/330715e07e85cb5ab855b87277dd2bd8/0123215790v2.jpeg "Entra ID und Microsoft 365 mit Passkeys nutzen: So geht’s. (Bild: BillionPhotos.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/07/10/071017a66fd014b31c71a178d9f10f42/0122450096v1.jpeg "Microsoft Entra External ID ermöglicht es, Daten über Schnittstellen mit CRM-Systemen, kundenspezifischen APIs und weiteren Anwendungen zu synchronisieren. (Bild: Aidas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ff/a4/ffa4bf35c7597a0caad09638cee1778a/0121813103v2.jpeg "Mit der verpflichtenden Multifaktor-Authentifizierung für das Microsoft 365 Admin Center will Microsoft das Risiko von Kontokompromittierungen verringern. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/1d/5a1d21918c970ad44377ca4e6aa30e19/0123283113v2.jpeg "Paula Januszkiewicz, Gründerin und CEO von Cqure, einem polnischen Unternehmen, dass sich auf Cybersicherheitsdienstleistungen spezialisiert hat, bei der IT-Defense 2025 (Bild: cirosec GmbH)")
:quality(80)/p7i.vogel.de/wcms/1c/f5/1cf5cfb8d1888abeecba82e9c7e396f1/0127320123v1.jpeg "SSoT ist keine neue Technologie, spielt aber eine immer wichtigere Rolle in modernen Netzwerken. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/ed/2b/ed2b4da99471d60843aabacf642f6ed6/0122209847v1.jpeg "Dynamische Gruppen erweitern regelbasiert die Flexibilität und Automatisierung bei der Verwaltung von Sicherheits- und Microsoft 365-Gruppen. (Bild: © sdecoret - stock.adobe.com)")