Azure AD Connect i Microsoft Entra Cloud Sync to dwa narzędzia Microsoftu służące do synchronizacji tożsamości między lokalnym Active Directory a Microsoft Entra ID (dawniej Azure AD). W 2026 roku Microsoft jednoznacznie wskazuje Cloud Sync jako kierunek strategiczny, a Azure AD Connect stopniowo wycofuje — wszystkie wersje Connect poniżej 2.5.79.0 przestaną działać 30 września 2026 roku. Wybór między nimi zależy od złożoności środowiska, potrzebnych funkcji i gotowości na migrację do architektury cloud-first.
Werdykt w 3 zdaniach
- Dla nowych wdrożeń — wybierz Entra Cloud Sync, chyba że potrzebujesz funkcji niedostępnych w Cloud Sync (np. device writeback, federacja ADFS).
- Dla istniejących środowisk z Azure AD Connect — zaplanuj migrację do Cloud Sync przed końcem wsparcia Twojej wersji Connect. Nie czekaj na ostatnią chwilę.
- Jeśli Twoja organizacja ma złożone, wielolasowe środowisko lub przechodzi fuzje i przejęcia — Cloud Sync jest architektonicznie lepszym wyborem dzięki natywnej obsłudze rozłączonych lasów.
W skrócie
- Azure AD Connect (wersja 2.x) to dojrzałe, on-premisesowe narzędzie synchronizacji — instaluje się je na serwerze Windows w Twojej infrastrukturze; pełna kontrola nad regułami synchronizacji, ale wymaga zarządzania serwerem, aktualizacjami i wysoką dostępnością.
- Microsoft Entra Cloud Sync to lekki agent instalowany on-premises, podczas gdy cała logika synchronizacji działa w chmurze Microsoftu — konfigurujesz ją przez portal Entra, agent automatycznie się aktualizuje, a wiele agentów zapewnia wysoką dostępność bez dodatkowej konfiguracji.
- Azure AD Connect V1 (1.x) został całkowicie wycofany — wszystkie wersje 1.x przestały działać; nie synchronizują się i nie są wspierane.
- Azure AD Connect V2 (2.x) działa, ale Microsoft wymusza obowiązkową aktualizację do minimum wersji 2.5.79.0 do 30 września 2026 — po tym terminie starsze wersje przestaną synchronizować dane.
- Cloud Sync synchronizuje dane co 2 minuty (Connect domyślnie co 30 minut), co oznacza szybsze odzwierciedlenie zmian w chmurze.
- Cloud Sync nie zastępuje wszystkich funkcji Connect — brakuje m.in. device writeback, group writeback (już wycofanego także w Connect), pass-through authentication ani konfiguracji federacji ADFS.
Tabela porównawcza: Azure AD Connect vs Entra Cloud Sync
| Cecha | Azure AD Connect (2.x) | Microsoft Entra Cloud Sync |
|---|---|---|
| Architektura | Silnik synchronizacji na serwerze on-premises | Agent on-premises + logika w chmurze Microsoftu |
| Instalacja | Pełna instalacja na Windows Server 2016+ | Lekki agent (można zainstalować na DC) |
| Zarządzanie konfiguracją | Lokalny kreator + Synchronization Service Manager | Portal Microsoft Entra (dowolne miejsce, bez VPN) |
| Aktualizacje | Ręczne lub auto-upgrade (ograniczony) | Automatyczne z chmury |
| Częstotliwość synchronizacji | Domyślnie co 30 minut | Co 2 minuty |
| Wysoka dostępność | Serwer stagingowy (ręczna konfiguracja) | Wiele agentów — automatyczne przełączanie |
| Wsparcie wielu lasów | Tak, przez łączenie lasów (forest trust) | Tak, w tym lasy rozłączone (bez trustu) |
| Synchronizacja haseł (PHS) | ✅ Tak | ✅ Tak |
| Pass-through Authentication (PTA) | ✅ Tak | ❌ Nie |
| Federacja ADFS | ✅ Pełna konfiguracja | ❌ Nie |
| Device writeback | ✅ Tak | ❌ Nie |
| Group writeback | ❌ Wycofane (V2 zdekomisjonowane) | ❌ Nie (Connect też już tego nie ma) |
| Password writeback (SSPR) | ✅ Tak | ❌ Nie (w planach) |
| Exchange hybrid writeback | ✅ Tak | ⚠️ Ograniczone (w trakcie rozwoju) |
| Reguły synchronizacji | ✅ Edytor reguł, pełna customizacja | ⚠️ Mapowania atrybutów, bez edytora reguł |
| Filtrowanie OU / domen | ✅ Tak | ✅ Tak (scope filtering) |
| Filtrowanie atrybutów | ✅ Zaawansowane | ⚠️ Podstawowe |
| Cloud-to-AD provisioning | ❌ Nie | ✅ Tak (grupy z chmury do AD) |
| Microsoft Entra ID Governance | ❌ Nie | ✅ Tak |
| Source of Authority (SOA) | On-premises | Elastyczne (cloud-first możliwe) |
| Staging mode | ✅ Tak | Nie dotyczy (architektura agentowa) |
| Wsparcie Microsoftu | Aktywne (z aktualizacjami bezpieczeństwa) | Aktywne (kierunek strategiczny) |
| Przyszłość | Utrzymanie, bez nowych funkcji | Aktywnie rozwijane, nowe funkcje |
Azure AD Connect — co to jest i w jakiej jest sytuacji w 2026
Azure AD Connect (obecnie część rodziny Microsoft Entra Connect) to narzędzie instalowane na serwerze Windows Server w infrastrukturze lokalnej. Odpowiada za synchronizację użytkowników, grup i kontaktów z Active Directory do Microsoft Entra ID. Jego silnik synchronizacji działa w całości on-premises — serwer Connect łączy się z AD, przetwarza dane lokalnie i wysyła je do chmury.
Wersje i wsparcie
- Azure AD Connect 1.x — całkowicie wycofany. Wszystkie wersje 1.x przestały synchronizować dane. Jeśli nadal masz Connect 1.x, Twoja synchronizacja hybrydowa nie działa.
- Azure AD Connect 2.x — wciąż wspierany, ale z polityką rotacyjną: każda wersja traci wsparcie 12 miesięcy po wydaniu nowszej. Wersja 2.6.3.0 (marzec 2026) to najnowsza dostępna.
- Obowiązkowa aktualizacja do minimum 2.5.79.0 do 30 września 2026 — po tym terminie starsze wersje przestaną synchronizować dane. To twardy deadline, a nie rekomendacja.
Co Connect robi dobrze
- Pełna kontrola nad regułami synchronizacji przez Synchronization Rules Editor — możesz definiować własne reguły join, transformacje atrybutów i przepływy danych.
- Device writeback — zapisywanie urządzeń zarejestrowanych w Entra ID z powrotem do lokalnego AD (potrzebne przy Windows Hello for Business i Conditional Access).
- Password writeback (SSPR) — umożliwia użytkownikom resetowanie hasła w chmurze z zapisem do lokalnego AD.
- Pass-through Authentication (PTA) — uwierzytelnianie użytkowników bezpośrednio przez lokalne kontrolery domeny, bez synchronizacji haseł.
- Federacja ADFS — pełna konfiguracja i zarządzanie farmą Active Directory Federation Services z poziomu kreatora Connect.
Microsoft Entra Cloud Sync — nowoczesna alternatywa
Microsoft Entra Cloud Sync to następca Azure AD Connect, zbudowany w architekturze cloud-first. Zamiast pełnego serwera synchronizacyjnego on-premises, instalujesz tylko lekki agent aprowizacyjny (Microsoft Entra provisioning agent) na jednym lub wielu serwerach w infrastrukturze lokalnej. Agent ten utrzymuje wychodzące połączenie do chmury Microsoftu przez Azure Service Bus — nie wymaga otwierania portów przychodzących ani VPN.
Cała logika synchronizacji — konfiguracja, harmonogram, reguły mapowania, filtrowanie — działa w chmurze i jest zarządzana przez portal Microsoft Entra. Agent jedynie odbiera zlecenia z chmury, odpytuje Active Directory i odsyła wyniki.
Kluczowe zalety Cloud Sync
- Synchronizacja co 2 minuty — Connect domyślnie co 30 minut. Przy Cloud Sync zmiana w AD jest widoczna w Entra ID niemal natychmiast.
- Wysoka dostępność bez konfiguracji — instalujesz kilka agentów na różnych serwerach, a Cloud Sync automatycznie przełącza się między nimi przy awarii. Żadnego staging mode, żadnego ręcznego failover.
- Rozłączone lasy Active Directory — największa przewaga architektoniczna. Jeśli masz wiele lasów AD bez trustu (np. po przejęciu firmy), Cloud Sync synchronizuje je do jednego tenant Entra ID bez konieczności łączenia lasów.
- Cloud-to-AD provisioning — możliwość provisioningowania grup z chmury do lokalnego AD. Przydatne przy zarządzaniu dostępem do aplikacji on-premises z poziomu Entra ID Governance.
- Automatyczne aktualizacje — agenty aktualizują się same z chmury. Koniec z ręcznym śledzeniem wersji Connect i planowaniem upgrade'ów.
- Brak pojedynczego punktu awarii — nie ma centralnego serwera synchronizacji, który mógłby paść.
Czego Cloud Sync (jeszcze) nie potrafi
- Device writeback — nie obsługuje zapisywania urządzeń z Entra ID do AD.
- Password writeback (SSPR) — użytkownicy nie mogą resetować hasła w chmurze z zapisem do lokalnego AD przez Cloud Sync.
- Pass-through Authentication — Cloud Sync nie obsługuje PTA; jeśli nie chcesz synchronizować haseł, musisz zostać przy Connect lub użyć ADFS bez Connect.
- Federacja ADFS — Cloud Sync nie konfiguruje ani nie zarządza farmą ADFS.
- Edytor reguł synchronizacji — nie ma graficznego edytora reguł. Dostępne są mapowania atrybutów i filtrowanie zakresowe, ale bez zaawansowanych transformacji znanych z Synchronization Rules Editor.
- Exchange hybrid writeback — ograniczone wsparcie; pełna funkcjonalność w trakcie rozwoju.
Kiedy wybrać Azure AD Connect, a kiedy Cloud Sync
Zostań przy Azure AD Connect, jeśli:
- Używasz device writeback do Windows Hello for Business lub Conditional Access.
- Korzystasz z password writeback (SSPR) — użytkownicy resetują hasła w chmurze i muszą one trafić do lokalnego AD.
- Masz Pass-through Authentication i nie chcesz synchronizować haseł.
- Twoje środowisko korzysta z federacji ADFS zarządzanej przez Connect.
- Masz silnie zmodyfikowane reguły synchronizacji, których nie da się odwzorować w mapowaniach atrybutów Cloud Sync.
Migruj do Entra Cloud Sync, jeśli:
- Używasz synchronizacji haseł (PHS) jako metody uwierzytelniania — to najczęstszy scenariusz, idealny do migracji.
- Masz wiele rozłączonych lasów AD (np. po fuzji firm) — Cloud Sync został zaprojektowany właśnie pod ten scenariusz.
- Chcesz wyeliminować pojedynczy punkt awarii — kilka agentów daje automatyczną wysoką dostępność.
- Szukasz szybszej synchronizacji — 2 minuty zamiast 30 minut.
- Chcesz zmniejszyć obciążenie administracyjne — brak zarządzania serwerem sync, automatyczne aktualizacje, zarządzanie z chmury.
- Planujesz cloud-first identity — chcesz, aby Entra ID było źródłem autorytatywnym tożsamości, z cloud-to-AD provisioning.
- Twoja wersja Connect zbliża się do końca wsparcia i i tak planujesz migrację — nie warto inwestować czasu w upgrade Connect, skoro kierunek strategiczny to Cloud Sync.
Jak wygląda migracja z Connect do Cloud Sync
Microsoft dostarcza ścieżkę migracji umożliwiającą równoległe działanie obu narzędzi:
- Pilot — instalujesz agenta Cloud Sync na wybranym serwerze, konfigurujesz synchronizację dla podzbioru użytkowników (np. jednej jednostki organizacyjnej) i testujesz równolegle z działającym Connect. Obiekt może być synchronizowany tylko przez jedno narzędzie naraz.
- Stopniowe przełączanie — po zweryfikowaniu poprawności działania zwiększasz zakres Cloud Sync, zmniejszając zakres Connect.
- Wyłączenie Connect — gdy Cloud Sync przejmie całą synchronizację, przełączasz Connect w staging mode, a następnie deinstalujesz.
⚠️ Uwaga: jeśli korzystasz z PTA, device writeback, password writeback lub federacji ADFS, migracja nie jest jeszcze możliwa bez utraty tych funkcji. Śledź Microsoft 365 Roadmap — Microsoft zapowiada uzupełnianie tych luk.
Częste pytania
Czy Azure AD Connect zostanie całkowicie wyłączony?
Microsoft nie ogłosił jeszcze pełnej daty końca życia (EOL) Azure AD Connect 2.x, ale kierunek jest jasny — Cloud Sync to strategiczna platforma. Connect jest w trybie utrzymaniowym: dostaje aktualizacje bezpieczeństwa i krytyczne poprawki, ale nowe funkcje trafiają wyłącznie do Cloud Sync. Wersje Connect tracą wsparcie 12 miesięcy po wydaniu nowszej, a wszystkie wersje poniżej 2.5.79.0 przestają synchronizować 30 września 2026.
Czy mogę używać Cloud Sync i Connect równolegle?
Tak, ale tylko w trybie pilotażowym — ten sam obiekt (użytkownik, grupa) może być synchronizowany tylko przez jedno narzędzie. Microsoft przewiduje scenariusz współistnienia podczas migracji: Connect synchronizuje większość katalogu, a Cloud Sync przejmuje kolejne zakresy.
Czy Cloud Sync wymaga otwierania portów przychodzących na firewallu?
Nie. Agent Cloud Sync łączy się wychodząco z chmurą Microsoftu przez port 443 (HTTPS) i Azure Service Bus. Nie potrzebuje otwartych portów przychodzących ani połączenia VPN. To istotna różnica względem Connect, który przy PTA wymaga dodatkowej konfiguracji sieciowej.
Czy Cloud Sync obsługuje synchronizację haseł (PHS)?
Tak, Cloud Sync w pełni obsługuje synchronizację skrótów haseł (Password Hash Sync) — to najczęściej używana metoda uwierzytelniania hybrydowego. Jeśli dziś używasz PHS na Connect, możesz bezpiecznie migrować do Cloud Sync.
Co się stanie 30 września 2026, jeśli nie zaktualizuję Connect?
Wszystkie wersje Azure AD Connect poniżej 2.5.79.0 przestaną synchronizować dane. Użytkownicy utworzeni lub zmodyfikowani w lokalnym AD nie pojawią się w Entra ID, zmiany atrybutów nie zostaną odzwierciedlone, a nowe hasła nie będą synchronizowane. To nie jest miękki deadline — to twarde wyłączenie usługi synchronizacji po stronie chmury Microsoftu.
Czy Cloud Sync działa na Windows Server 2012 R2?
Tak, agent Cloud Sync można zainstalować na Windows Server 2012 R2 i nowszych, a także na kontrolerach domeny. Jest znacznie lżejszy od pełnej instalacji Connect, która od wersji 2.0 wymaga Windows Server 2016 lub nowszego.
Czy mogę użyć Cloud Sync tylko dla części użytkowników?
Tak. Cloud Sync obsługuje filtrowanie zakresowe (scoping filters) na poziomie jednostek organizacyjnych (OU), domen i atrybutów. Możesz skonfigurować synchronizację tylko dla wybranych grup, np. działu testowego przed pełną migracją.
Potrzebujesz licencji Microsoft 365 do środowiska hybrydowego?
Niezależnie od tego, czy wybierzesz Azure AD Connect, czy Entra Cloud Sync — do działania usług Microsoft Entra ID w trybie hybrydowym potrzebujesz odpowiednich licencji Microsoft 365. Funkcje takie jak password writeback (SSPR), Microsoft Entra ID Governance czy zaawansowane raportowanie Connect Health wymagają minimum licencji Microsoft Entra ID P1 (dawniej Azure AD Premium P1), dostępnej w ramach subskrypcji Microsoft 365 Business Premium lub jako dodatek.
W KluczeSoft znajdziesz legalne, używane klucze do Microsoft 365 w cenach nawet 60% niższych od oficjalnego cennika Microsoftu — zgodnie z wyrokiem Trybunału Sprawiedliwości UE (sprawa C-128/11, UsedSoft):
→ Microsoft 365 — klucze licencyjne od 59 zł → Microsoft 365 Business Premium — pełna subskrypcja z Entra ID P1
KluczeSoft jest niezależnym sprzedawcą używanego oprogramowania Microsoft i nie jest powiązany z Microsoft Corporation. Microsoft, Windows, Active Directory, Microsoft 365, Microsoft Entra ID i Azure AD Connect są znakami towarowymi Microsoft Corporation.