Inhalt in Kürze
- Azure AD heißt seit Juli 2023 Microsoft Entra ID — gleicher Dienst, neuer Name. Lizenzen, Funktionen und Admin-Portale sind unverändert.
- Drei Deployment-Modelle: Lokale Active Directory (On-Prem), Hybrid (AD + Entra Connect) und Cloud-only (nur Entra ID). Für die meisten KMU in Hamburg ist Hybrid oder Cloud-only der richtige Weg.
- Cloud-only spart Server-Hardware, aber nicht automatisch Geld — Entra ID P1 kostet 5,50 Euro pro Nutzer und Monat, P2 rund 8,00 Euro.
- Conditional Access, Identity Protection und PIM sind die Features, die eine lokale AD strukturell nicht liefern kann — sie brauchen die Cloud-Telemetrie.
- Microsoft 365 funktioniert nur mit Entra ID — eine reine On-Prem-AD reicht nicht, Sie brauchen mindestens das Hybrid-Modell.
Seit Microsoft Azure AD im Juli 2023 in Microsoft Entra ID umbenannt hat, tauchen die gleichen Fragen in jedem Erstgespräch auf: Brauchen wir noch einen Domain-Controller? Funktioniert das mit unserem Dateiserver? Und lohnt sich der Aufwand, wenn eh alles in Microsoft 365 läuft? Wir sehen in Hamburger KMU mit 10-150 Mitarbeitern drei sehr unterschiedliche Ausgangslagen — und für jede gibt es einen anderen richtigen Weg. Dieser Artikel vergleicht die Modelle so, wie wir sie täglich bei unseren Kunden planen und umsetzen.
Entra ID (Azure AD) vs. lokale AD — die Kurze Antwort
Microsoft Entra ID (früher Azure AD) ist ein Cloud-Identitätsdienst von Microsoft, der Benutzer, Geräte und Anwendungen zentral authentifiziert — ohne eigenen Server. Die klassische lokale Active Directory (AD DS, Active Directory Domain Services) ist der Domain-Controller-basierte Verzeichnisdienst, der seit Windows Server 2000 im LAN läuft und Gruppenrichtlinien, Dateiserver-Berechtigungen und Kerberos-Tickets verwaltet. Beide verwalten Identitäten — aber mit komplett unterschiedlichen Protokollen, Einsatzszenarien und Kostenmodellen.
Für Microsoft 365, Teams, SharePoint, Intune und alle modernen SaaS-Dienste brauchen Sie Entra ID. Für klassische Dateiserver, Druckserver, On-Prem-ERP oder lokale Anwendungen mit AD-Anbindung brauchen Sie AD DS. Wer beides parallel betreibt, fährt das Hybrid-Modell mit Azure AD Connect (heute: Entra Connect).
Azure Active Directory = Microsoft Entra ID. Azure AD B2C = Microsoft Entra External ID. Azure AD Connect = Microsoft Entra Connect. Die Funktionen, Lizenzen und APIs sind unverändert. Alte Dokumentation, Microsoft Learn-Artikel und das Admin-Portal nennen den Dienst teilweise noch Azure AD — laut Microsoft Learn läuft die Umstellung noch. In diesem Artikel nutzen wir beide Namen, damit Sie beide Welten wiedererkennen.
Die 3 Deployment-Modelle im Überblick
Bevor wir in die Features gehen: Welche Architektur passt zu welchem Unternehmen? Wir sehen in unserer Praxis drei klare Modelle — mit fließenden Übergängen.
| Modell | Passt zu | Identitätsquelle | Anmeldeweg |
|---|---|---|---|
| On-Prem (klassisch) | Fertigung, Anwaltskanzleien mit DATEV-Server, Ingenieurbüros mit CAD-Cluster | Lokale AD DS auf Windows Server | Kerberos im LAN, VPN für Remote |
| Hybrid (AD + Entra Connect) | Die meisten KMU ab 20 Mitarbeitern mit lokalen Servern + Microsoft 365 | Lokale AD DS als Master, Sync zu Entra ID | Password Hash Sync oder Pass-Through Auth |
| Cloud-only (Entra ID) | Junge Unternehmen, Beratungen, Agenturen, reine M365-Shops | Nur Entra ID | Direkt gegen Cloud, passwortlos möglich |
On-Prem funktioniert noch — aber nur, wenn Sie wirklich keine Cloud-Dienste nutzen. Sobald Microsoft 365, Teams oder ein einziger SaaS-Dienst ins Spiel kommt, brauchen Sie Entra ID. Deshalb ist reines On-Prem 2026 ein Auslaufmodell für KMU.
Hybrid ist der Standard in Hamburger Mittelstand. Die lokale AD bleibt als Master, Entra Connect synchronisiert Benutzer und Passwörter in die Cloud. Wer sich an seinem Arbeitsplatz anmeldet, bekommt sofort SSO zu Microsoft 365, Teams und allen SAML-Apps. Vorteil: Alle bestehenden Dateiserver, Druckserver und GPOs funktionieren weiter.
Cloud-only ist das Zielbild. Keine Domain-Controller, keine Fileserver, keine VPN-Hardware. Laptops werden per Intune Autopilot Partner Hamburg ausgerollt, alles läuft über Entra ID. Für 5-40-Personen-Firmen in Hamburg mit guter Internet-Anbindung machbar.
Funktionsvergleich: lokale AD vs. Entra ID
Beide Dienste verwalten Identitäten, aber die Feature-Sets überlappen nur in ~40 %. Hier der Direktvergleich der 15 wichtigsten Funktionen:
| Funktion | Lokale AD DS | Entra ID (Azure AD) |
|---|---|---|
| Benutzer- und Gruppenverwaltung | Ja | Ja |
| Passwort-Richtlinien | GPO-basiert | Banned-Passwords + Smart Lockout |
| Gruppenrichtlinien (GPO) | Ja | Nein (Intune-Richtlinien) |
| Authentifizierungsprotokoll | Kerberos, NTLM | OAuth 2.0, OIDC, SAML, WS-Fed |
| Multi-Faktor-Authentifizierung | Nur mit Zusatzlösung | Nativ integriert, kostenlos |
| Conditional Access | Nein | Ja (ab P1) |
| Single Sign-On zu SaaS-Apps | Nur mit ADFS | Nativ für tausende Apps |
| Privileged Identity Management | Nein | Ja (ab P2) |
| Identity Protection (Risk-based) | Nein | Ja (ab P2) |
| Dateiserver-Berechtigungen | Ja (NTFS/SMB) | Nein |
| Druckserver-Anbindung | Ja | Universal Print (separat) |
| Geräte-Management | Domain-Join + GPO | Entra-Join + Intune |
| Offline-Login am Arbeitsplatz | Ja | Nur gecachter Token (begrenzt) |
| Betriebskosten | Server + Lizenzen + Admin | Pro-Nutzer-Abo |
| Ausfallsicherheit | Eigene Verantwortung | 99,99 % SLA von Microsoft |
Die größte Lücke in der lokalen AD sind moderne Sicherheitsfeatures: Conditional Access, Identity Protection und PIM gibt es on-prem schlicht nicht. Wer diese Funktionen nachrüsten will, landet bei Drittanbieter-Lösungen — und das kostet deutlich mehr als Entra ID P1.
Die meisten haben Microsoft 365 schon, aber die wenigsten nutzen das wirklich angepasst und eingestellt. Bei Entra ID ist es genauso — die Lizenz liegt oft schon dabei, nur konfiguriert hat sie keiner.
Jens HagelGeschäftsführer, hagel IT-Services GmbH
Hybrid: Azure AD Connect und Password Hash Sync
Das Hybrid-Modell ist das meistgenutzte Setup im Hamburger Mittelstand. Warum? Weil Sie das Bestehende nicht wegwerfen müssen — und trotzdem sofort Cloud-SSO bekommen.
So funktioniert es:
- Entra Connect installieren: Das Tool läuft als Dienst auf einem Windows-Server im LAN (oder auf einem dedizierten Connect-Server). Installation dauert ca. 30 Minuten, Assistent führt durch die Konfiguration.
- Synchronisationsregeln festlegen: Welche OUs werden synchronisiert? Welche Attribute gehen mit? Service-Accounts und Kontakt-Objekte meist aussortieren.
- Authentifizierungsmodus wählen: Password Hash Sync (Hash des Hashes geht in die Cloud, einfachste Variante), Pass-Through Authentication (Anmeldung schlägt in der lokalen AD auf) oder ADFS (eigener Federation-Server — 2026 nur noch in Ausnahmen).
- Seamless SSO aktivieren: Windows-Clients bekommen Kerberos-basierten Login ohne weitere Passwort-Eingabe für Microsoft 365.
- MFA und Conditional Access in Entra einrichten: Erst jetzt — vorher kippt Ihnen das Setup Anmeldungen ab.
Password Hash Sync ist laut Microsoft Learn-Dokumentation der empfohlene Modus für die meisten Unternehmen. Der Passwort-Hash Ihres AD-Users wird als Hash eines Hashes in die Cloud synchronisiert — Microsoft selbst kann das Passwort nicht rekonstruieren. Vorteil: Wenn der Connect-Server oder die Internet-Leitung ausfällt, können sich Cloud-Nutzer trotzdem an Microsoft 365 anmelden. In der Praxis sehen wir bei 9 von 10 Hamburger KMU genau dieses Setup.
Viele Firmen aktivieren Password Hash Sync und lassen die lokale AD unverschlüsselt laufen. Dann hilft kein Cloud-Schutz — wer die lokale AD kompromittiert, kommt auch in die Cloud. Die BSI-Empfehlungen zur Active Directory sind Pflichtlektüre für jeden Admin.
Identity Governance, Conditional Access und PIM
Diese drei Funktionen sind der eigentliche Grund, warum jedes KMU nach Entra ID will — sie lösen Probleme, die mit lokaler AD strukturell nicht lösbar sind.
Conditional Access — regelbasierter Zugriff
Conditional Access prüft bei jeder Anmeldung Kontext-Signale und entscheidet dann: zulassen, blockieren oder MFA verlangen. Beispiele aus unserer Praxis:
- MFA für externe Zugriffe. Wer aus dem Firmennetz kommt (öffentliche IP Ihres Standorts), darf ohne MFA rein. Alle anderen müssen MFA bestätigen.
- Geräte-Compliance erzwingen. Zugriff auf SharePoint nur von Intune-gemanagten oder Hybrid-Entra-Join-Geräten. Privat-Laptops werden abgewiesen.
- Geoblocking. Zugriff nur aus EU-Ländern. Ein Klick — und Login-Versuche aus Russland, China oder Iran sind geblockt.
- App-Einschränkungen. Alte Protokolle wie IMAP, POP3 oder Legacy SMTP komplett blockieren — schließt 99 % der Password-Spray-Angriffe aus.
- Session-Kontrollen. Downloads aus SharePoint auf privaten Geräten sperren. Daten bleiben in der Cloud.
Conditional Access braucht Entra ID P1 — das ist in Microsoft 365 Business Premium enthalten. Für reine Business Basic- oder Standard-Pläne zahlen Sie 5,50 Euro pro Nutzer und Monat zusätzlich.
Identity Protection — automatische Risiko-Erkennung
Identity Protection analysiert mit Machine-Learning-Modellen Anmelde-Versuche und klassifiziert sie nach Risiko. Ein Login aus Hamburg und 30 Minuten später aus Manila? Der sogenannte „impossible travel” wird automatisch geflaggt, der User-Account gesperrt oder MFA erzwungen. Laut Microsoft Digital Defense Report blockiert das System täglich über 7.000 Passwort-Angriffe pro Sekunde allein auf Entra ID. Feature ist nur in Entra ID P2 oder Microsoft 365 E5/Business Premium (für KMU) enthalten.
Privileged Identity Management — Just-in-Time-Admin
Admin-Rechte nur, wenn sie gebraucht werden. PIM macht aus einem dauerhaften Global Admin einen Mitarbeiter, der sich seine Admin-Rolle für 4 Stunden „aktiviert” — mit Begründung und Chef-Freigabe. Nach Ablauf ist die Rolle wieder weg. Das reduziert die Angriffsfläche drastisch: Ein kompromittierter Admin-Account ist nur dann gefährlich, wenn er gerade aktiv ist.
Unser alter IT-Partner hat uns seit Jahren nur die lokale AD gepflegt. Als wir auf Microsoft 365 umgestiegen sind, war Entra gar nicht konfiguriert. Heute haben wir MFA für alle, Conditional Access und Intune — und endlich das Gefühl, dass die IT mit uns mitwächst.
Kosten: Entra ID P1 vs. P2 vs. Windows Server CAL
Hier geht es ans Rechnen. Was kostet lokale AD tatsächlich? Was kostet Cloud-only? Und wann kippt der Case?
Lokale AD — Gesamtkosten pro Jahr (50 Mitarbeiter)
| Posten | Kosten/Jahr |
|---|---|
| Windows Server Lizenz (2-Node-Cluster) | ~1.600 € (einmalig, abgeschrieben) |
| CALs (User + Device, 50 MA) | ~2.000 € einmalig |
| Hardware (2 Server + Storage) | ~4.000 € einmalig |
| Strom + Klimatisierung Serverraum | ~1.200 € |
| Backup-Software + Storage | ~2.400 € |
| Admin-Zeit (Patch, Monitoring, Troubleshoot, ~8h/Monat) | ~8.640 € |
| Gesamt (laufend) | ~12.240 €/Jahr |
| TCO über 5 Jahre | ~70.000 € |
Quelle: Eigene Kalkulation auf Basis typischer Kundenprojekte in Hamburg (10-150 Mitarbeiter, 2024-2026).
Entra ID — Gesamtkosten pro Jahr (50 Mitarbeiter)
| Posten | Kosten/Jahr |
|---|---|
| Entra ID Free (in M365 enthalten) | 0 € |
| Entra ID P1 (50 × 5,50 € × 12) | 3.300 € |
| Entra ID P2 (50 × 8,00 € × 12, empfohlen) | 4.800 € |
| Admin-Zeit (deutlich weniger, ~2h/Monat) | ~2.160 € |
| Gesamt Cloud-only mit P1 | ~5.460 €/Jahr |
| TCO über 5 Jahre | ~27.300 € |
Die Rechnung kippt nicht immer zugunsten der Cloud. In unserer Praxis sehen wir: Je mehr lokale Dienste ein Unternehmen hat (CAD, ERP, spezielle Branchensoftware), desto länger braucht eine AD ohnehin. Dann sparen Sie mit Hybrid am meisten, weil die Hardware schon steht. Reine Büro-Betriebe (Kanzleien, Beratungen, Agenturen) fahren Cloud-only deutlich günstiger.
Häufige Fehler bei Azure AD / Entra ID — und wie Sie sie vermeiden
Aus rund fünfzig Migrationsprojekten in den letzten drei Jahren haben wir eine Top-7 der Fehler gesammelt, die wir fast immer vorfinden — und die sich mit 30 Minuten Vorbereitung vermeiden lassen.
- Global Admin ohne MFA. Der Notfall-Admin-Account hat oft kein MFA „weil sonst niemand mehr reinkommt". Stattdessen: Zwei Break-Glass-Accounts mit komplexen Passwörtern im Tresor, MFA-Ausnahme nur für diese zwei. Kein Tagesgeschäft darüber.
- Entra Connect auf dem Domain Controller installiert. Das funktioniert, ist aber ein Sicherheitsrisiko. Connect gehört auf einen dedizierten Server oder mindestens auf einen Member-Server mit getrennten Rechten.
- Kein Conditional Access konfiguriert. Viele aktivieren nur Security Defaults — das ist besser als nichts, aber Sie verschenken 80 % der Features. Mindestens: MFA für Admins, Geoblocking, Legacy-Protokolle aus.
- Gleiche Passwörter in AD und Cloud. Wer Password Hash Sync nutzt, sollte sein AD-Passwort nicht 1:1 als Cloud-Passwort wiederverwenden. Banned Passwords in der lokalen AD aktivieren (via Entra Connect).
- Keine Sitzungs-Limits. Standard ist 90 Tage. Für Admins drastisch runter (8 Stunden), für User je nach Risikoprofil.
- Gast-Zugriffe unkontrolliert. Externe Mitarbeiter als Gäste in den Tenant einladen — ohne Conditional Access gilt dasselbe Sicherheitsniveau wie Ihre Mitarbeiter. Gäste sollten strenger abgesichert sein, nicht lockerer.
- Keine Backup-Strategie für Entra ID. Cloud heißt nicht „Microsoft kümmert sich". Konfigurationen (CA-Policies, Apps, Gruppen) gehen verloren, wenn ein Admin versehentlich löscht. Tools wie Azure AD B2C Backup oder PowerShell-Exporte einplanen.
Checkliste — Entscheidung in 10 Minuten
Gehen Sie die folgenden Fragen durch. Jede „Nein”-Antwort bei 1-3 heißt: Sie brauchen mindestens Hybrid. Jede „Ja”-Antwort bei 4-10: Cloud-only ist möglich.
- Haben wir einen lokalen Dateiserver mit AD-Berechtigungen? Wenn ja, AD DS bleibt vorerst.
- Nutzen wir eine Branchensoftware mit AD-Anbindung? DATEV, SAP, CAD-Systeme mit Lizenzserver.
- Haben wir einen lokalen Druckserver mit AD-basierten Druckberechtigungen? Universal Print ist die Cloud-Alternative — aber nicht für jeden Drucker.
- Nutzen alle Mitarbeiter Microsoft 365? Dann brauchen Sie sowieso Entra ID.
- Arbeiten viele mobil/im Homeoffice? Entra ID macht Remote-Zugriffe einfacher als VPN zum DC.
- Haben wir eine stabile Internet-Verbindung? Cloud-only braucht Uplink — mit Fallback-Leitung für Ausfallsicherheit.
- Ist MFA flächendeckend aktiv? Wenn nein — höchste Priorität, unabhängig vom Modell.
- Haben wir Intune oder ein anderes MDM? Voraussetzung für Cloud-only-Geräteverwaltung.
- Können wir auf GPOs verzichten? Intune-Richtlinien decken 80 % ab, aber nicht alles.
- Haben wir Budget für Entra ID P1/P2? Ohne P1 keine Conditional Access — und dann verschenken Sie die Cloud-Vorteile.
Was Sie heute tun können
Ganz egal, ob Sie gerade mit der Entscheidung starten oder mitten in einer Migration stecken — diese drei Schritte bringen sofort Mehrwert:
- MFA für alle Admin-Accounts aktivieren — kostet nichts, dauert 30 Minuten, blockt laut BSI 99 % aller Ransomware-Angriffe. Im Entra-Portal unter „Security > Authentication Methods”.
- Conditional Access im Report-only-Modus aktivieren — Sie sehen, was passiert würde, ohne dass User ausgesperrt werden. Nach zwei Wochen Monitoring dann scharf schalten.
- Entra Connect Gesundheit prüfen — Sync-Fehler, doppelte Attribute, unvollständige Objekte schleichen sich über Jahre ein. Ein Connect Health Report bringt alles ans Licht.
Wenn Sie unsicher sind, welches Modell für Ihr Unternehmen richtig ist: Wir machen das in der Cyber-Risikoanalyse mit dem Geschäftsführer in 60 Minuten durch und liefern eine klare Empfehlung. Kostenlos, ohne Vertriebsdruck. Wer den Identity-Wechsel als Teil einer kompletten Cloud-Strategie denkt, findet die passende Roadmap auf unserer Azure-Beratung Hamburg-Seite.
Fazit
Die Frage „Azure AD oder lokale AD?” ist 2026 fast immer falsch gestellt. Richtig wäre: „Welches Deployment-Modell — und in welchen Schritten?” Für fast jedes KMU in Hamburg ist Hybrid heute der Startpunkt, Cloud-only das Ziel in 3-5 Jahren. Dazwischen liegen sauber geplante Projekt-Phasen: Entra Connect installieren, MFA ausrollen, Conditional Access anschalten, Intune übernehmen, lokale Dienste ablösen.
Wir bei hagel IT begleiten diesen Weg seit über 20 Jahren — von der ersten Microsoft 365 Migration bis zum Abbau des letzten Domain Controllers. In 5.000+ Support-Tickets pro Jahr sehen wir, wo Projekte scheitern — und wo sie fliegen. Wenn Sie Ihr Identity-Management neu aufstellen wollen, hilft Ihnen unser Managed Workplace Services pro Arbeitsplatz oder eine direkte Cybersecurity-Beratung mit Fokus auf Entra ID.
Mehr zu modernen Arbeitsplätzen und M365-Features finden Sie in unserem Artikel Modern Workplace Microsoft 365 Hamburg, und eine Praxisgeschichte zum Cloud-Umstieg im Intune Autopilot Partner Hamburg.
Entra ID oder lokale AD — was passt zu Ihrem Unternehmen?
15 Minuten. Kostenlos. Ohne Vertriebsdruck. Wir schauen gemeinsam auf Ihre aktuelle Infrastruktur und sagen Ihnen, welches Modell für die nächsten 5 Jahre trägt.
Erstgespräch buchen →
