Przez lata Microsoft Entra Connect Sync był jednym z tych elementów infrastruktury, które po prostu miały działać. Stał gdzieś w środowisku lokalnym, synchronizował użytkowników, grupy i atrybuty z Active Directory do Microsoft Entra ID, a administratorzy przypominali sobie o nim głównie wtedy, gdy pojawiał się błąd synchronizacji.

Autor: 7 min czytania

Model ten nadal funkcjonuje, ale Microsoft coraz wyraźniej pokazuje kierunek zmian: przyszłość synchronizacji hybrydowej ma należeć do Microsoft Entra Cloud Sync. Z lokalnie utrzymywanego serwera synchronizacji przechodzimy na lżejszy, bardziej chmurowo zarządzany mechanizm.

Czy Microsoft zaczyna wymuszać przejście do Cloud Sync?

Microsoft zapowiedział rozpoczęcie procesu przechodzenia z Entra Connect Sync do Entra Cloud Sync. Od lipca 2026 roku klienci mają otrzymywać powiadomienia o indywidualnych oknach przejścia przez Centrum komunikatów Microsoft 365, Entra Connect Health oraz bezpośrednie wiadomości e-mail. Migracja ma być realizowana etapami, a pierwsze fale mają objąć środowiska, w których Cloud Sync już dziś pokrywa potrzeby synchronizacji. Microsoft opisuje ten plan w sekcji „Upcoming Change – Migrate from Microsoft Entra Connect Sync to Microsoft Entra Cloud Sync”.

Dlaczego Cloud Sync to nie tylko „nowszy Entra Connect”?

Entra Connect Sync jest rozwiązaniem osadzonym silnie lokalnie. Wymaga serwera, aktualizacji, konfiguracji, monitoringu i wiedzy o regułach synchronizacji. W wielu firmach konfiguracja ta jest efektem wielu lat zmian, wyjątków i obejść, których czasami nikt już nie dokumentuje.

Cloud Sync działa inaczej. Microsoft opisuje go jako nowoczesną zarządzaną chmurowo usługę synchronizacji użytkowników, grup i kontaktów między Active Directory a Microsoft Entra ID. Rozwiązanie korzysta z lekkiego agenta lokalnego i jest wskazywane jako strategiczny kierunek Microsoftu dla tożsamości hybrydowej. Szczegóły znajdują się w dokumentacji – What is Microsoft Entra Cloud Sync?.

To ważna zmiana. Mniej logiki ma być utrzymywane lokalnie, więcej konfiguracji zarządzane z poziomu chmury. Dla bezpieczeństwa i operacji to może być dobra wiadomość, ale tylko jeśli organizacja wie, co dzisiaj synchronizuje.

Co może pójść nie tak podczas migracji?

Największym ryzykiem nie jest sama instalacja agenta Cloud Sync, lecz brak wiedzy o obecnej konfiguracji Entra Connect Sync.

W wielu środowiskach synchronizacja nie ogranicza się do prostego przesłania użytkowników z Active Directory do Microsoft Entra ID. Dochodzą do tego niestandardowe reguły synchronizacji, filtrowanie obiektów, zapisy zwrotne, wiele lasów Active Directory, zależności pocztowe, aplikacje lokalne i procesy biznesowe oparte na konkretnych atrybutach.

W związku z powyższym przed migracją warto przejść przez oficjalny przewodnik decyzyjny Microsoftu, który porównuje możliwości Entra Connect Sync i Cloud Sync oraz pomaga ocenić gotowość środowiska: Migrate from Microsoft Entra Connect to Cloud Sync.

Czy zapis zwrotny grup może skomplikować projekt?

Mówiąc krótko – tak. Jednym z obszarów, który wymaga szczególnej uwagi, jest zapis zwrotny, czyli sytuacja, gdy zmiany wykonane w chmurze są przenoszone z powrotem do środowiska lokalnego.

Dotyczy to szczególnie zapisu zwrotnego grup, znanego jako Group Writeback. Jeżeli organizacja używa zapisu zwrotnego grup w Entra Connect Sync, powinna sprawdzić, który wariant jest wykorzystywany i czy scenariusz jest obsługiwany w Cloud Sync. Microsoft wskazuje, że w przypadku używania Group Writeback v2 należy przenieść klienta synchronizacji do Cloud Sync. Ten scenariusz opisuje dokumentacja Group writeback with Microsoft Entra Cloud Sync.

To nie jest detal techniczny. Grupy często sterują dostępem do aplikacji lokalnych, udziałów, systemów biznesowych i procesów administracyjnych. Błąd w tym obszarze może szybko przełożyć się na problemy z dostępem.

Gdzie znajduje się źródło prawdy o użytkownikach i grupach?

Migracja do Cloud Sync jest dobrym momentem, aby wrócić do pytania o źródło prawdy kont. Innymi słowy – gdzie znajduje się główna prawda o użytkowniku lub grupie?

Historycznie najczęściej było to lokalne Active Directory. Użytkownik powstawał lokalnie, był synchronizowany do Microsoft Entra ID i dopiero tam otrzymywał dostęp do usług chmurowych. Dzisiaj coraz częściej pojawiają się modele mieszane: część obiektów nadal żyje lokalnie, część jest zarządzana w chmurze, a część ma wpływ na oba światy. Cloud Sync może pomóc uporządkować taki model, ale nie zrobi tego automatycznie. Organizacja musi wiedzieć, które procesy nadal wymagają lokalnego Active Directory, które mogą zostać przeniesione do chmury i które aplikacje zależą od konkretnych atrybutów.

Co administrator powinien sprawdzić już teraz?

Przygotowanie warto zacząć od inwentaryzacji, nie od instalacji.

Po pierwsze, trzeba udokumentować obecną konfigurację Entra Connect Sync: zakres synchronizacji, jednostki organizacyjne, atrybuty, reguły i wyjątki. Po drugie, należy przejrzeć niestandardowe reguły synchronizacji i ustalić, czy nadal są potrzebne. Po trzecie, trzeba sprawdzić zapisy zwrotne, zwłaszcza zapis zwrotny grup. Po czwarte, warto ocenić scenariusze z wieloma lasami Active Directory, aplikacjami lokalnymi i zależnościami pocztowymi. Po piąte, należy przygotować pilotaż Cloud Sync na ograniczonym zakresie obiektów. Warto też sprawdzić wersję Entra Connect Sync. Microsoft wskazuje, że usługi synchronizacji przestaną działać po 30 września 2026 roku, jeżeli środowisko nie będzie korzystało co najmniej z wersji 2.5.79.0. Informacja ta znajduje się w dokumentacji Microsoft Entra Connect: Version release history.

Czy warto czekać na komunikat od Microsoftu?

Komunikat od Microsoftu może wskazać okno migracyjne, ale nie opisze lokalnych zależności Twojej organizacji. Nie wyjaśni, dlaczego ktoś lata temu dodał niestandardową regułę synchronizacji. Nie wskaże, które aplikacje lokalne korzystają z konkretnego atrybutu. Nie powie też, czy zapis zwrotny grup jest elementem krytycznego procesu dostępowego. Migracja z Entra Connect Sync do Cloud Sync nie jest tylko zmianą technologiczną. To test dojrzałości zarządzania tożsamością hybrydową. Najważniejsze pytanie nie brzmi więc: „Czy Microsoft będzie dalej przesuwał klientów w stronę Cloud Sync?”. Pytanie brzmi: „Czy Twoja organizacja rozumie własną synchronizację tożsamości na tyle dobrze, żeby bezpiecznie pójść w tym kierunku?”.