Was ist der Unterschied zwischen Active Directory und Entra ID?

Active Directory (AD DS – Active Directory Domain Services) ist Microsofts klassischer On-Premises-Verzeichnisdienst seit Windows 2000 für PCs, Server und Gruppenrichtlinien (GPO). Entra ID (ehemals Azure AD) ist Microsofts Cloud-basierter Identity-Provider für M365, SaaS-Apps, mobile Geräte und Zero Trust. Entra ID ersetzt AD nicht 1:1 – Kerberos, GPO und lokale Datei-Server-Berechtigungen brauchen weiterhin oft AD oder Entra Domain Services.

Sollte ein KMU 2026 noch ein lokales AD betreiben?

In den meisten Fällen nein. Für reine M365-/Cloud-KMU mit Notebooks im Home-Office (Entra-Join, Intune, OneDrive) reicht Entra ID alleine völlig. Lokale AD-Server lohnen sich 2026 nur noch, wenn legacy Anwendungen Kerberos brauchen (alte ERP, Datei-Shares mit Windows-NTFS-Berechtigungen, Hyper-V-Cluster, alte Lieferanten-Software). Trend: Cloud-only neu, Hybrid bei Bestandskunden mit Legacy.

Was kostet die Migration von AD auf Entra ID?

Für ein typisches Schweizer KMU mit 30–100 Mitarbeitenden: CHF 8000–25000 für die einmalige Migration (Inventur, Cloud-Identitäten, Entra Connect / Cloud Sync, Geräte-Reset auf Entra-Join, Intune-Onboarding, GPO-Migration nach Intune-Policies, AVD/Cloud-PC falls nötig). Plus laufende Microsoft 365 Business Premium-Lizenzen (CHF 22/User/Monat) – die meisten Funktionen sind dort enthalten.

Was ist Entra Domain Services / Entra ID Domain Services?

Entra Domain Services (vormals Azure AD Domain Services) ist ein Cloud-gemanagter Kerberos/LDAP-Domain-Controller, der wie ein klassisches AD aussieht – aber von Microsoft betrieben wird. Nützlich, wenn Anwendungen Kerberos oder LDAP-Bind brauchen, Sie aber keine eigenen DCs mehr betreiben wollen. Kostet ab USD 110/Monat. Für die meisten KMU NICHT nötig – nur bei spezifischen Legacy-Anforderungen.

Active Directory vs. Entra ID 2026: Migration für Schweizer KMU

Kurz vorweg: Entra ID ersetzt Active Directory nicht 1:1. Es ist ein anderer Dienst mit anderer Architektur – Cloud-First, OAuth/OIDC/SAML statt Kerberos, Geräte-Compliance über Intune statt GPO. Wer das ignoriert und einfach "abschaltet", verliert NTFS-Zugriffsrechte, Kerberos-Apps und das Druck-Ökosystem. Wer es richtig plant, gewinnt: weniger Server, sicherer, Home-Office-tauglich, deutlich günstiger im Betrieb.

Begriffsordnung: AD DS, Entra ID, Entra DS, Intune

Dienst	Wo	Protokolle	Wofür
AD DS (klassisches Active Directory)	On-Prem (Windows Server)	Kerberos, LDAP, NTLM	PC-Beitritt, GPO, Dateifreigaben, lokale Apps
Entra ID (ex Azure AD)	Microsoft-Cloud	OAuth2, OpenID Connect, SAML, SCIM	M365-Login, SSO für SaaS, Conditional Access
Entra Domain Services	Azure (Microsoft-managed)	Kerberos, LDAP, NTLM	Cloud-Domain-Controller für Legacy-Apps
Entra Connect / Cloud Sync	On-Prem ↔ Entra ID	LDAP → Graph API	Hybrid-Sync von Usern, Passwörtern, Gruppen
Intune (Endpoint Manager)	Cloud	MDM/MAM-Protokolle	Gerätepolicies, App-Verteilung, Compliance
Windows Autopilot	Cloud + OEM	Provisioning	Neue Geräte ohne IT-Hand auspacken und konfigurieren
Cloud PC (Windows 365)	Azure	RDP/AVD	Vollständiger Windows-Desktop in der Cloud

Welche Architektur passt zu welchem KMU?

Profil	Empfohlene Architektur	Begründung
Neugründung / Start-up, <50 User, M365-only	Entra ID + Intune (Cloud-only)	Kein AD-Server, kein VPN. Notebooks via Entra-Join + Autopilot. SharePoint/OneDrive ersetzt Datei-Server.
Etablierter KMU 20–80 User, M365 + 1–2 Legacy-Apps	Hybrid: AD on-prem + Entra Connect Sync	Sukzessive Apps auf SSO migrieren, AD parallel weiterbetreiben.
KMU mit Datei-Server / NTFS-Berechtigungen	Entra ID + Intune + Datei-Server via Entra-Join (Storage Migration) oder SharePoint-Migration	Klassischer Datei-Server bleibt schwierig ohne AD. Migration auf SharePoint oder Azure Files.
Produktion / Werkstatt mit Kerberos-Legacy-Software	Entra Domain Services oder Hybrid	Kerberos zwingend. EDS spart eigenen DC, kostet aber USD 110+/Monat.
Aussendienst-/Service-KMU, mobile Mitarbeitende	Entra ID + Intune + Cloud PC bei Bedarf	Reine Cloud, MFA, Conditional Access nach Standort. Kein VPN.
Mehrere Standorte mit Site-to-Site Anforderungen	Entra ID + Intune + SD-WAN / Cloudflare Tunnel	VPN-Tunnel ersetzen durch Cloudflare Access oder Tailscale.

Was Entra ID besser kann als AD

Conditional Access: Zugriff abhängig von User, Gerät, Standort, App, Risiko. Klassisches AD hat das nicht.
SaaS-SSO native für 1000+ Apps: Entra ID-Gallery mit Salesforce, Slack, Zoom, Bexio, Workday, ServiceNow etc. Ein Klick statt OAuth-Bastelei.
MFA & Passwordless: Microsoft Authenticator, FIDO2-Keys, Passkeys, Windows Hello for Business – nativ integriert.
Identity Protection: ML-basierte Risikoerkennung. Sperrt verdächtige Logins automatisch.
Sicherer Zugriff von überall: Kein VPN mehr, kein Reverse-Proxy. Geräte registrieren sich direkt bei Entra.
Privileged Identity Management (PIM): Just-in-time-Admin-Rollen – Admin nur für 1 Stunde, mit Begründung, MFA-Approval.
Lifecycle Workflows: Onboarding/Offboarding automatisiert mit Power Automate und Entra-Triggern.
Compliance-Reporting: M365-Audit, Audit Log Search, M365-Defender-Integration – out of the box, ohne extra Server.

Wo klassisches AD (noch) im Vorteil ist

GPO-Granularität: 5000+ verfügbare Group Policy-Einstellungen. Intune deckt 80%, aber nicht alle Edge-Cases (alte Druckertreiber, spezielle Software-Konfigurationen).
Kerberos für ältere Apps: Datei-Shares, alte ERP, gewisse Branchensoftware, alte Drucker-Server – wollen Kerberos.
Datei-Server mit NTFS-Berechtigungen: SharePoint ist die Antwort, aber die Migration ist nicht trivial. Wer "Tausende ACLs" hat, behält AD oft länger.
On-Prem-Fallback bei Internet-Ausfall: User können sich am lokalen DC anmelden, auch wenn Entra nicht erreichbar ist. Bei Cloud-only sind Sie offline = nicht angemeldet (außer Cached Credentials).
Spezielle Branchen-/Behörden-Anforderungen: Manche Schweizer Branchen-Compliance verlangt explizit "Daten nur on-prem", was AD impliziert.
Komplexe Druckerlandschaft: Print Server, Treiber-Verteilung via GPO. Mit Universal Print + Intune mittlerweile lösbar, aber kostet Premium-Lizenz.

Migration in 12 Wochen

Woche 1–2 – Inventur & Zielarchitektur

User, Gruppen, GPOs, Apps, Datei-Server, Drucker, Skripte, Service-Konten erfassen. Klären: welche Anwendungen brauchen Kerberos? Welche GPOs ersetzen wir 1:1, welche fallen weg? Zielarchitektur dokumentieren (Cloud-only, Hybrid, Entra Domain Services).

Pflicht: Inventar-Tool (AD Tidy, Quest, Specops). Entscheidungs-Matrix App → Authentifizierungsmethode.

Woche 3–4 – Entra ID Foundation

M365 Tenant aufsetzen / aufräumen. Custom Domain verifizieren. Entra Connect / Cloud Sync einrichten (Hash-Sync oder Pass-through-Auth). MFA für alle Accounts. Conditional Access Policies definieren (vor allem für Admins). Break-Glass-Konten anlegen.

Pflicht: 2 Break-Glass-Admins ausserhalb Conditional Access, FIDO2-Keys.

Woche 5–6 – Intune & Device Migration

Intune-Mandant einrichten. Apps via Win32-App-Format paketieren. Geräte-Compliance-Policies (BitLocker, Defender, Update-Ring). Pilot mit 5–10 Geräten: AD-Geräte zu Hybrid-Join, dann später zu Entra-Join.

Konkret: Pilot-Gruppe IT + Power-User, Lessons learned dokumentieren.

Woche 7–8 – Datei-Server-Strategie

Datei-Migration zu SharePoint/OneDrive (für kleine Datei-Sets) oder Azure Files mit Entra-Authentifizierung. NTFS-Berechtigungen analysieren. Mover, Migrationswiz, ShareGate, AvePoint Fly.

Konkret: Klare Wiederherstellungspunkte, Audit der Permissions vor + nach Migration.

Woche 9–10 – Apps & SSO

Apps auf Entra-SSO umstellen (SAML/OIDC). Legacy-Apps via Entra App Proxy oder Entra Domain Services. VPN ersetzen durch Conditional Access + Cloudflare Access oder Microsoft Global Secure Access.

Konkret: SSO für 5–10 wichtigste SaaS-Apps live, App-Proxy für 1–2 Legacy-Apps.

Woche 11–12 – AD-Abschaltung oder Refresh

Wenn Cloud-only: lokale DCs herunterfahren, Backup behalten. Bei Hybrid: DC-Hardware modernisieren, Schwerpunkt auf Read-Only-Domain-Controller (RODC) für Aussenstellen oder Cloud-DC-Migration.

Konkret: Abschalt-Checkliste, DNS-Migration, finale Sicherheits-Audit (PingCastle, Purple Knight).

Welche M365-Lizenz brauchen Sie wirklich?

Lizenz	Enthalten	Preis	Für AD-Ablösung?
M365 Business Basic	Entra ID Free, MFA Basis, M365 Web	CHF 6.70/User/Mt	Nein – kein Intune, kein Conditional Access
M365 Business Standard	Wie Basic + Desktop-Apps	CHF 13.70/User/Mt	Nein – kein Intune
M365 Business Premium	Entra ID P1, Intune, Defender for Business, Conditional Access	CHF 22/User/Mt	Ja – Standard für KMU
M365 E3	Wie Premium + erweiterte Compliance + Power BI Pro	CHF 36/User/Mt	Ja – für mittelgrosse KMU
M365 E5	Wie E3 + Entra P2 + Defender XDR + Sentinel-Integration	CHF 56/User/Mt	Ja – für regulierte / Sicherheits-fokussierte KMU
Entra Suite (Add-on)	Entra ID Governance, Internet Access, Private Access, Verified ID	Ab USD 12/User/Mt	Add-on für ZTNA-Ersatz / VPN-Ablösung

Typische Stolpersteine

GPO 1:1 nach Intune übertragen wollen: Funktioniert nicht. Pflicht: GPOs auf "noch nötig" prüfen, gleichzeitig Intune-Configuration-Profiles und Settings Catalog nutzen.
Datei-Server unterschätzen: SharePoint ist nicht 1:1 ein Ersatz. Wer 500 GB altdatensicht behalten will, braucht Azure Files oder eine Migrations-Strategie. Sonst chaotische Mixed-Welten.
Drucker vergessen: GPO-Drucker-Verteilung fällt ohne AD weg. Universal Print + Intune ist Premium-Lizenz, alternativ PaperCut, PrinterLogic, ezeep.
Kein Break-Glass-Konto: Wenn der einzige Admin durch Conditional Access ausgesperrt wird, kommen Sie nicht mehr rein. Pflicht: 2 Cloud-Only-Admin-Accounts mit FIDO2-Keys, ausgenommen aus CA-Policies.
Hybrid-Identity-Konflikte: User in AD und Entra mit unterschiedlichen UPNs/Mails → Sync-Fehler. Vorab Account Cleanup, IDFix-Tool.
Service-Accounts in der Cloud: Service-Konten brauchen oft Passwörter ohne MFA. Pflicht: Workload Identity / Managed Identity verwenden, sonst hohes Compromise-Risiko.
Kerberos-Apps übersehen: Eine "harmlose" Branchen-Software, die Kerberos braucht, wird beim AD-Abschalten unbenutzbar. Pflicht: pro App Authentication-Audit.
Cloud-only ohne Offline-Plan: Notebook-User können sich offline nicht anmelden, wenn Cached Credentials nicht gepflegt sind. Pflicht: Intune-Policy für Offline-Cache.

Fazit: Cloud-First, aber mit klarem Plan

Für die Mehrheit der Schweizer KMU lohnt sich 2026 die Migration von klassischem AD zu Entra ID + Intune. Die Vorteile (Home-Office, Conditional Access, weniger Server, geringere IT-Kosten) wiegen die Aufwände bei weitem auf. Hybrid bleibt für die nächsten 2–4 Jahre noch häufig der Zwischenschritt, vor allem bei Legacy-Apps.

Was nicht funktioniert: einfach den DC ausschalten und hoffen, dass es passt. Eine saubere 12-Wochen-Migration mit Inventur, Pilot, Datei-Server-Strategie und Lizenz-Modellierung kostet CHF 8000–25000 für ein typisches KMU – und spart danach jährlich CHF 5000–15000 an Lizenz-, Hardware- und Betriebskosten.

AD-zu-Entra-Migration planen

Wir auditieren Ihre AD-/GPO-/Filer-Landschaft, definieren die Zielarchitektur, planen Hybrid- oder Cloud-only-Migration und führen die 12-Wochen-Migration inkl. Intune-Onboarding und VPN-Ablösung durch.

Beratung anfragen