Azure AD Connect (obecnie oficjalnie Microsoft Entra Connect Sync) to bezpłatne narzędzie Microsoftu instalowane na serwerze lokalnym, które synchronizuje obiekty z Twojej lokalnej domeny Active Directory do chmury Microsoft Entra ID (dawniej Azure AD). Dzięki niemu użytkownicy logują się do Microsoft 365, Outlooka, Teams i SharePoint tym samym hasłem co do komputera firmowego — wszystko w modelu hybrydowym, gdzie tożsamość jest zarządzana lokalnie, a uwierzytelnianie działa też w chmurze.
W skrócie
- Trzy kroki: (1) sprawdź wymagania serwera i domeny, (2) zainstaluj Microsoft Entra Connect z centrum administracyjnego Entra, (3) skonfiguruj synchronizację (ekspresową lub niestandardową) i zweryfikuj pierwszy cykl
- Narzędzie zastąpiło starsze DirSync i Azure AD Sync — od października 2022 roku wersja 1.x jest całkowicie wycofana i nie działa
- Od 2026 roku Microsoft promuje Microsoft Entra Cloud Sync jako następcę — ale Entra Connect Sync w wersji 2.x jest w pełni wspierany
- Ważne: wszystkie instancje muszą być zaktualizowane do co najmniej wersji 2.5.79.0 — po 30 września 2026 synchronizacja przestanie działać w starszych wersjach
- Narzędzie obsługuje do 250 000 członków na grupę (z endpointem V2) i automatyczne aktualizacje
Czym jest Microsoft Entra Connect Sync
Microsoft Entra Connect Sync to silnik metakatalogu instalowany na Windows Server (minimum 2016 w wersji 2.x), który tworzy pomost między lokalną domeną Active Directory a dzierżawą Microsoft Entra ID. Jego głównym zadaniem jest dwukierunkowa synchronizacja obiektów — użytkowników, grup, kontaktów i komputerów — przy zachowaniu jednego źródła autorytetu (najczęściej lokalne AD).
W praktyce działa to tak: tworzysz użytkownika w Active Directory, a Connect Sync kopiuje go do Entra ID razem z atrybutami (imię, nazwisko, login, dział, stanowisko). Gdy wyłączasz konto w AD, w chmurze również zostaje zablokowane. Zmiana nazwiska? Propaguje się automatycznie przy następnym cyklu.
Kluczowe pojęcia architektury sync:
| Komponent | Opis |
|---|---|
| Łączniki (Connectors) | Moduły komunikujące się z AD (lokalnym) i Entra ID (chmurowym) |
| Przestrzeń łącznika (Connector Space) | Lokalna baza przefiltrowanych obiektów z danego źródła |
| Metaverse (Metawersum) | Centralna, zagregowana baza łącząca obiekty z obu łączników |
| Reguły synchronizacji | Definiują przepływ atrybutów (inbound/outbound) między przestrzeniami a metawersum |
| Provisioning | Automatyczne tworzenie nowych obiektów w przestrzeni docelowej na podstawie reguł |
| Join rules | Mechanizm łączenia istniejących obiektów z różnych źródeł |
Wymagania wstępne
Przed instalacją upewnij się, że spełniasz poniższe warunki — pominięcie któregokolwiek to najczęstsza przyczyna nieudanych wdrożeń:
- System operacyjny: Windows Server 2016, 2019, 2022 lub 2025 (wersja 2.x nie działa na 2012 R2)
- .NET Framework: minimum 4.7.2 (od wersji 2.4.18.0)
- TLS 1.2: wymagane i egzekwowane — skrypt
Set-ADSyncToolsTls12pomoże Ci to sprawdzić - SQL Server: Microsoft Entra Connect używa własnej instancji SQL Server 2019 LocalDB (instalowanej automatycznie) — nie potrzebujesz zewnętrznego SQL
- Domena Active Directory: poziom funkcjonalności lasu minimum Windows Server 2003, a w praktyce zalecane 2012 R2 lub wyższy
- Konto administratora: Hybrid Identity Administrator lub Global Administrator w dzierżawie Entra ID oraz Enterprise Admin w domenie AD
- Łączność wychodząca: porty 80 i 443 do listy endpointów Microsoftu (m.in.
*.msappproxy.net,*.servicebus.windows.net) - Synchronizacja czasu: maksymalnie 5 minut odchylenia między serwerem a czasem rzeczywistym
- Przygotowanie domeny: zweryfikowana domena niestandardowa w Entra ID (np.
firma.pl), a nie tylko*.onmicrosoft.com
⚠️ Uwaga: jeśli używasz wielu lasów AD, każdy las musi być osiągalny sieciowo z serwera Connect, a relacje zaufania nie są wymagane — Connect Sync obsługuje również lasy rozłączone.
Instalacja krok po kroku
Krok 1: Pobierz narzędzie
Od maja 2025 roku instalatora nie pobiera się już z Microsoft Download Center. Jedynym oficjalnym źródłem jest centrum administracyjne Microsoft Entra (entra.microsoft.com):
- Zaloguj się jako Hybrid Identity Administrator
- Przejdź do Microsoft Entra Connect → Get started → zakładka Manage
- Pobierz plik
.msinajnowszej dostępnej wersji
Krok 2: Uruchom instalację
- Uruchom instalator
.msijako Administrator na serwerze spełniającym wymagania - Zaakceptuj warunki licencji
- Wybierz Express Settings (pojedynczy las AD, zalecane) lub Customize (wiele lasów, filtrowanie, własne reguły)
Krok 3: Skonfiguruj uwierzytelnianie
Kreator poprosi o zalogowanie się do Entra ID. Od wersji 2.5.76.0 domyślną metodą jest Application-Based Authentication — bezpieczniejsza, bez przechowywania hasła na serwerze. Możesz też użyć konta Hybrid Identity Administrator.
Krok 4: Połącz z Active Directory
Podaj nazwę lasu AD i dane konta Enterprise Admin. Kreator automatycznie odczyta konfigurację domeny.
Krok 5: Wybierz opcje synchronizacji
Dla trybu Express:
- Password Hash Synchronization (PHS) — włączona domyślnie; hash hasła kopiowany do chmury
- Automatyczna aktualizacja — włączona (zalecane)
- Filtrowanie: domyślnie synchronizowani są wszyscy użytkownicy, grupy, kontakty i komputery Windows 10/11
Dla trybu Customize dodatkowo dostępne:
- Pass-Through Authentication (PTA) — uwierzytelnianie delegowane do lokalnego agenta
- Federacja z AD FS — dla organizacji wymagających pełnego SSO z infrastrukturą własną
- Filtrowanie według OU (jednostek organizacyjnych) i atrybutów
- Password Writeback — resetowanie hasła w chmurze zapisywane z powrotem w AD
Krok 6: Rozpocznij pierwszą synchronizację
Po zakończeniu kreatora pierwsza synchronizacja uruchomi się automatycznie. W zależności od liczby obiektów (tysiące do setek tysięcy), pierwszy pełny cykl trwa od kilku minut do kilku godzin. Kolejne cykle delta (domyślnie co 30 minut) synchronizują tylko zmiany.
Metody uwierzytelniania — którą wybrać
| Metoda | Jak działa | Zalety | Wady |
|---|---|---|---|
| Password Hash Sync (PHS) | Hash hasła z AD kopiowany do Entra ID | Najprostsza; działa nawet gdy serwer lokalny niedostępny; wykrywa leaked credentials | Jednokierunkowa (chyba że dodasz writeback); zależna od cyklu sync |
| Pass-Through Auth (PTA) | Agent lokalny waliduje hasło w czasie rzeczywistym | Natychmiastowe blokowanie konta; zgodność z politykami AD | Wymaga kilku agentów dla HA; awaria serwerów = brak logowania |
| Federacja AD FS | Logowanie przekierowane do infrastruktury ADFS | Pełna kontrola; smartcard, MFA on-prem; integracja z zewnętrznymi IdP | Skomplikowana; wymaga własnych serwerów ADFS + WAP; wyższe koszty utrzymania |
Rekomendacja dla większości organizacji (2026): PHS z włączonym Password Writeback i SSPR (samoobsługowe resetowanie hasła). To najprostsza konfiguracja, która spełnia wymagania 99% małych i średnich firm — a w razie awarii łącza lokalnego użytkownicy wciąż logują się do chmury.
Cykl synchronizacji — co się dzieje pod maską
Każdy cykl synchronizacji składa się z czterech faz wykonywanych przez wbudowany scheduler:
- Import z AD — łącznik odczytuje zmiany (delta) lub wszystkie obiekty (pełny) z lokalnego Active Directory do przestrzeni łącznika AD
- Import z Entra ID — analogiczny odczyt zmian z chmury do przestrzeni łącznika Entra
- Synchronizacja (Sync) — silnik przetwarza reguły: join (łączy obiekty), projection (tworzy nowe w metawersum), attribute flow (przepisuje atrybuty), provisioning (tworzy obiekty w przestrzeni docelowej)
- Eksport do Entra ID i AD — zmiany z przestrzeni łącznika są wypychane do systemów docelowych
Harmonogram domyślny: cykl co 30 minut (delta). Pełna synchronizacja (full sync) co 24 godziny lub na żądanie. Możesz też uruchomić ręcznie przez Start-ADSyncSyncCycle -PolicyType Delta.
Najczęstsze problemy i rozwiązywanie
"Synchronizacja stoi — ostatni eksport sprzed 3 dni"
- Otwórz Synchronization Service Manager (
miisclient.exe) - Sprawdź zakładkę Operations — szukaj statusu
completed-errors - Najczęstsze przyczyny: duplikacja UPN (UserPrincipalName), przekroczony próg accidental deletes (domyślnie 500 obiektów), wygasłe certyfikaty łącznika
- Dla duplikatów UPN użyj
Search-ADSyncToolsADobjectlub sprawdź raport IdFix
"Po instalacji widzę błąd 'no registered protocol handlers'"
Ten błąd występuje przy konfiguracji federacji AD FS w starszych wersjach. Rozwiązanie: zaktualizuj do wersji 2.4.129.0 lub nowszej — błąd został naprawiony.
"Synchronizacja nie działa po aktualizacji — System.IO.FileLoadException"
Jeśli wcześniej modyfikowałeś plik miiserver.exe.config (np. dla FIPS), po aktualizacji do wersji 2.5.190.0 lub 2.6.1.0 musisz ręcznie dodać binding dla System.Diagnostics.DiagnosticSource:
<dependentAssembly>
<assemblyIdentity name="System.Diagnostics.DiagnosticSource"
publicKeyToken="cc7b13ffcd2ddd51" culture="neutral" />
<bindingRedirect oldVersion="0.0.0.0-8.0.0.0" newVersion="8.0.0.0" />
</dependentAssembly>
Zapisz plik i zrestartuj usługę ADSync.
"Użytkownicy mają krzaki w polskich znakach po synchronizacji"
Problem kodowania — zazwyczaj dotyczy atrybutów rozszerzonych (extension attributes). Sprawdź reguły synchronizacji w Synchronization Rules Editor — upewnij się, że atrybuty z AD są mapowane jako Unicode string, a nie ASCII.
Microsoft Entra Cloud Sync — czy warto migrować?
W 2026 roku Microsoft aktywnie promuje Entra Cloud Sync jako następcę Connect Sync. Oto kluczowe różnice:
| Cecha | Entra Connect Sync | Entra Cloud Sync |
|---|---|---|
| Gdzie działa silnik | Lokalnie na Windows Server | W chmurze Microsoftu |
| Agent na serwerze | Ciężki (cały silnik sync) | Lekki agent provisioning |
| Częstotliwość sync | Co 30 min | Co 2 min |
| Wiele lasów rozłączonych | Wymaga złożonej konfiguracji | Natywnie wspierane |
| Konfiguracja | Lokalny kreator | Portal Entra (z dowolnego miejsca) |
| Wysoka dostępność | Staging server | Wiele agentów, automatyczne przełączanie |
| Password Hash Sync | ✅ | ✅ |
| Pass-Through Auth | ✅ | ✅ (przez osobny agent PTA) |
| Federacja AD FS | ✅ | ❌ |
| Device writeback | ✅ | ❌ (w planach) |
| Group writeback do AD | ✅ (V2) | ✅ (przez provisioning) |
Rekomendacja Microsoftu (stan na Q2 2026): jeśli Twoje wymagania są spełnione przez Cloud Sync i nie potrzebujesz AD FS ani device writeback — migruj. Jeśli używasz federacji lub złożonych reguł synchronizacji — pozostań na Connect Sync 2.x, który będzie wspierany jeszcze co najmniej do 2027 roku (ostatnia wersja 2.6.3.0 ma EOS 10 marca 2027).
Częste pytania
Czy Microsoft Entra Connect Sync jest darmowy?
Tak, samo narzędzie i podstawowa synchronizacja są całkowicie bezpłatne — zawarte w każdej subskrypcji Microsoft Entra ID (w tym w planie Free do 50 000 obiektów). Dodatkowe funkcje monitorowania (Entra Connect Health) wymagają licencji Entra ID P1 lub P2.
Jaka jest różnica między Azure AD Connect a Microsoft Entra Connect?
To to samo narzędzie, tylko przemianowane. W 2022 roku Microsoft zmienił nazwę Azure Active Directory na Microsoft Entra ID — odpowiednio Azure AD Connect stał się Microsoft Entra Connect. Wersja 1.x (stara) nosiła nazwę Azure AD Connect i została całkowicie wycofana 31 sierpnia 2022. Wersja 2.x to Microsoft Entra Connect.
Co się stanie 30 września 2026, jeśli nie zaktualizuję?
Wszystkie instancje Connect Sync w wersji niższej niż 2.5.79.0 przestaną synchronizować dane. Użytkownicy nadal będą istnieć w Entra ID, ale przestaną być aktualizowani — nowi użytkownicy z AD nie pojawią się w chmurze, zmiany haseł nie będą synchronizowane, a wyłączone konta pozostaną aktywne w Microsoft 365. Aktualizacja do najnowszej wersji (obecnie 2.6.3.0, marzec 2026) jest obowiązkowa.
Czy mogę używać jednego Connect Sync do synchronizacji wielu dzierżaw Microsoft 365?
Nie. Jedna instancja Microsoft Entra Connect Sync obsługuje tylko jedną dzierżawę Entra ID. Jeśli masz wiele dzierżaw, potrzebujesz osobnej instancji Connect Sync dla każdej z nich — każda na oddzielnym serwerze. Alternatywnie rozważ Entra Cloud Sync, które lepiej radzi sobie z takimi scenariuszami.
Czy synchronizacja działa, gdy serwer lokalny jest wyłączony?
Password Hash Sync — tak, użytkownicy wciąż logują się do chmury używając zsynchronizowanego wcześniej hasha. Ale zmiany (nowi użytkownicy, zmiany haseł, wyłączenia kont) nie będą propagowane do czasu uruchomienia serwera. Pass-Through Authentication — nie, logowanie nie zadziała, chyba że masz skonfigurowanych wiele agentów PTA na różnych serwerach.
Jak sprawdzić, którą wersję Connect Sync posiadam?
Otwórz Panel sterowania → Programy i funkcje → znajdź pozycję Microsoft Entra Connect Sync → kolumna Wersja. Alternatywnie uruchom PowerShell: Get-ADSyncGlobalSettings | Select-Object Microsoft.Entra.Connect.Version. Jeśli widzisz wersję 1.x — natychmiast zaplanuj migrację, bo ta wersja nie działa od 2022 roku.
Czy mogę przeprowadzić migrację z Connect Sync na Cloud Sync bez przerywania działania?
Tak, Microsoft udostępnia oficjalną ścieżkę migracji swing migration — instalujesz agenta Cloud Sync równolegle, konfigurujesz go w trybie staging, weryfikujesz wyniki, a następnie przełączasz. Proces jest szczegółowo opisany w dokumentacji Microsoftu jako Migrate from Microsoft Entra Connect to Cloud Sync: Decision Guide.
Jeśli dopiero planujesz wdrożenie hybrydowej tożsamości i potrzebujesz licencji na Windows Server do uruchomienia Entra Connect Sync lub kluczy Microsoft 365 dla użytkowników synchronizowanych z AD, sprawdź legalne licencje używane w ofercie KluczeSoft:
→ Microsoft Windows Server — licencje od 199 zł → Microsoft 365 — subskrypcje dla firm i użytkowników domowych