Microsoft ermöglicht es jetzt, die “Source of Authority” (SoA) von Gruppen aus dem lokalen Active Directory (AD DS) in die Microsoft Entra ID (Cloud) zu verschieben – ein zentraler Schritt zur Minimierung der On-Prem-Infrastruktur.

Warum das Ganze?

Viele Organisationen wollen ihre Identitäts- und Zugriffsverwaltung in die Cloud verlagern. Mit der neuen Vorschau-Funktion Group SoA kannst du:

  • On-Prem-Gruppen in Cloud-Objekte umwandeln
  • Die Gruppen anschließend direkt in Microsoft Entra ID verwalten
  • Unnötige AD DS Gruppen löschen oder auf das Nötigste reduzieren
  • Gruppen bei Bedarf aus der Cloud zurück nach AD DS provisionieren (z. B. für Legacy-Anwendungen)

Was passiert bei der Umstellung?

  • Gruppen, die per Entra Connect synchronisiert wurden, können in Cloud-managed Gruppen umgewandelt werden.
  • Nach der Umstellung endet die AD-Synchronisierung für diese Gruppen.
  • Änderungen, wie z. B. Mitgliederverwaltung, erfolgen ausschließlich in der Cloud.
  • Die Migration ist reversibel, falls erforderlich.

Voraussetzungen

  • Microsoft Entra Connect Sync Version 2.5.76.0 oder neuer (veröffentlicht am 31. Juli 2025), enthält die neue SoA-Konvertierungsfunktion

  • Rolle: Hybrid Identity Administrator

  • Für optionale Szenarien: ggf. Microsoft Entra Cloud Sync, falls Gruppen zurückprovisioniert werden sollen

  • AD DS Gruppen auf Universell stellen

     

Gruppen SoA ändern

Die SoA Einstellung kann mittels Graph Powershellmodul geändert werden, hierbei wird der Parameter icCloudManaged auf “true” gesetzt.

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14

# Connect to Microsoft Graph using delegated permissions
Connect-MgGraph -Scopes "Group.Read.All Group-OnPremisesSyncBehavior.ReadWrite.All"

# Set Group ID
$groupObjectID = <Group ID>

# Define the Microsoft Graph API endpoint for the group
$url = "https://graph.microsoft.com/beta/groups/$groupObjectID/onPremisesSyncBehavior"

# Define the JSON payload for the PATCH request
$jsonPayload = @{isCloudManaged = "true"} | ConvertTo-Json

# Make the PATCH request to update the JSON payload
Invoke-MgGraphRequest -Uri $url -Method Patch -ContentType "application/json" -Body $jsonPayload

Quellen

https://learn.microsoft.com/de-de/entra/identity/hybrid/concept-source-of-authority-overview?utm_source=substack&amp;utm_medium=email

https://learn.microsoft.com/de-de/entra/identity/hybrid/how-to-group-source-of-authority-configure#connect-sync-client-1