Skip to main content

Planen Sie Ihren Weg zur Sicherheit mit uns.

Julia Eberl

Director Sales & Customer Success

Kostenlose Beratung vereinbaren

Modernisierung der Identitätsverwaltung

Wenn Unternehmen beginnen Microsoft Entra ID Governance zu nutzen stoßen sie oft auf ein Hindernis: Tausende von alten AD-Gruppen, die seit Jahren existieren. Diese Gruppen sind tief in interne Systeme eingebettet, was einen schnellen Wechsel in die Cloud nahezu unmöglich macht.

Das Problem mit Legacy-AD-Gruppen

  • Nicht direkt in Entra ID Governance verwaltbar: Legacy-AD-Gruppen können nicht direkt zu Zugriffspaketen (Access Packages) innerhalb von Entra ID hinzugefügt werden. Dies schränkt Ihre Möglichkeiten ein, Berechtigungen effizient zu delegieren und zu verwalten.
  • Ineffektive Zugriffstests (Access Reviews): Überprüfungen, die für AD-Gruppen durchgeführt werden, sind begrenzt. Benutzer bleiben Mitglieder der AD-Gruppen, selbst wenn ihr Zugriff während der Überprüfung verweigert wird, was den Prozess wirkungslos macht.

Schrittweiser Übergang zur Cloud-Verwaltung

Microsoft fördert eine Cloud-First-Strategie, weiß aber, dass die meisten Unternehmen den Schalter nicht über Nacht umlegen können. Um diesen schrittweisen Übergang zu unterstützen, hat Microsoft fünf Phasen der Cloud-Transformation skizziert, um sie an verschiedene Kundenszenarien und Geschäftsziele anzupassen.

Source: Road to the cloud - Determine cloud transformation posture when moving identity and access management from Active Directory to Microsoft Entra ID - Microsoft Entra | Microsoft Learn

Ein wesentlicher Bestandteil dieser Transformation ist die Minimierung der Active Directory Domain Services (AD DS). Dabei wird Ihre On-Premises-Infrastruktur schrittweise reduziert, während Ihre Cloud-Präsenz wächst. Nur die essenziellen AD-Objekte verbleiben lokal.

Einführung der Gruppen-SOA-Konvertierung

Um diese Herausforderungen zu bewältigen, hat Microsoft die Group Source of Authority (SOA) Conversion eingeführt. Damit können Sie den „Master“-Standort einer Gruppe vom On-Premises AD zu Entra ID ändern. Sobald eine Gruppe konvertiert ist, können Sie sie direkt in der Cloud verwalten, ohne alles von Grund auf neu aufbauen zu müssen.

Dies bietet Ihnen das Beste aus beiden Welten: Cloud-Funktionen wie automatisierter Zugriff und Überprüfungen, ein saubereres lokales AD und die Option, Änderungen zurückzusynchronisieren, falls Sie diese noch lokal benötigen.

Source: Embrace cloud-first posture and convert Group Source of Authority (SOA) to the cloud (Preview) - Microsoft Entra ID | Microsoft Learn

So konvertieren Sie eine Gruppe mit der SOA-Konvertierung

Die Konvertierung einer Gruppe in eine cloudgeführte Gruppe ist in wenigen Sekunden erledigt. Sie benötigen keine speziellen Tools – nutzen Sie einfach den Microsoft Graph Explorer und die entsprechenden Berechtigungen (z. B. Gruppenadministrator).

Und so funktioniert es:

Aktuelle Gruppenquelle überprüfen:
Prüfen Sie zuerst, ob die Gruppe bereits in der Cloud verwaltet wird:

GET https://graph.microsoft.com/beta/groups/{ID}/onPremisesSyncBehavior?$select=isCloudManaged

Zeigt die Antwort "isCloudManaged": false, wird die Gruppe derzeit noch im AD verwaltet.

In eine cloudverwaltete Gruppe konvertieren:

Um die Gruppe zu konvertieren, führen Sie diesen PATCH-Request aus:


PATCH https://graph.microsoft.com/beta/groups/{ID}/onPremisesSyncBehavior

{

  "isCloudManaged": true

}

Das war’s! Ihre Gruppe wird nun in Microsoft Entra ID verwaltet. Sie können sie sofort in Zugriffspaketen verwenden, Genehmigungen automatisieren, Zugriffstests durchführen und Lifecycle-Richtlinien vollständig in der Cloud verwalten.

Es gibt natürlich einige Einschränkungen

  • Keine Synchronisation lokaler Änderungen: Änderungen direkt im lokalen AD werden nach der Konvertierung nicht mehr mit Entra ID synchronisiert.
  • Konvertierung verschachtelter Gruppen: Verschachtelte Gruppen erfordern separate Konvertierungen, beginnend mit der untersten Ebene.
  • Dual-Writing wird nicht unterstützt: In Entra ID vorgenommene Änderungen werden nicht über verschachtelte AD-Gruppen zurücksynchronisiert.
  • Voraussetzung "Universal Group": Gruppen müssen vor der Konvertierung vom Typ „Universal“ sein.
  • Erweiterungsattribute (1–15) nicht unterstützt: Diese benutzerdefinierten Attribute sind nach der Konvertierung nicht mehr verfügbar.
  • E-Mail-aktivierte Gruppen: Die Verwaltung ist nach der Konvertierung auf Exchange Online beschränkt.
  • Verteilerlisten: Konvertieren Sie diese erst, nachdem die Postfächer vollständig zu Exchange Online migriert wurden.
  • Self-Service-Verwaltung: Stellen Sie sicher, dass die Verantwortlichkeit (Ownership) lokal klar definiert ist, bevor Sie die SOA konvertieren.

Fazit: Der erste Schritt zu einer modernen Identity Governance

Wenn Ihr Unternehmen noch stark auf veraltete AD-Gruppen angewiesen ist, bietet die Gruppen-SOA-Konvertierung einen praktischen Weg zur Modernisierung, ohne die bestehende Infrastruktur sofort abreißen zu müssen. Dies ist besonders wertvoll für Hybrid-Umgebungen, die Entra ID Governance-Funktionen wie Zugriffspakete und Automatisierung nutzen möchten, ohne auf eine vollständige Cloud-Migration zu warten.

Zurück zum Blog

Weitere Blogbeiträge

water surf Newsletter