Az Active Directory modernizálása 2026-ban nem az on-premises AD lecserélését jelenti, hanem annak kiterjesztését: a Microsoft Entra ID – korábban Azure Active Directory – és a helyi Active Directory összekötésével olyan hibrid identitáskezelési architektúra alakítható ki, amely egyszerre nyújt felhőalapú rugalmasságot és megőrzi a meglévő on-premises infrastruktúra befektetett értékét. Magyar kis- és középvállalkozásoknál az on-premises Active Directory az identitáskezelés gerince: a felhasználói fiókok, a csoportházirendek és a hozzáférési jogosultságok évek óta erre a rendszerre épülnek. A hibrid identitáskezelés bevezetése nem nulláról indít, hanem a meglévő AD-befektetésre épít, és fokozatosan terjeszti ki a felhőalapú identitásszolgáltatásokra – a Microsoft 365 integrációtól a feltételes hozzáférésen át az MFA-ig. Ez a cikk bemutatja, mit jelent a hibrid identitáskezelés a gyakorlatban, milyen lépésekben modernizálható egy hagyományos AD-környezet, és milyen konkrét biztonsági és üzemeltetési előnyök realizálhatók a folyamat során.
| Identitáskezelési szempont | Csak on-prem AD | Hibrid (AD + Entra ID) | Csak Entra ID |
|---|---|---|---|
| Microsoft 365 integráció | Korlátozott, manuális szinkron | Natív, automatizált | Teljes körű |
| MFA és feltételes hozzáférés | Korlátozott | Teljes körű | Teljes körű |
| Home office és hibrid munkavégzés | VPN-függő | Natív felhőhozzáférés | Natív felhőhozzáférés |
| Csoportházirendek (GPO) | Teljes körű | Párhuzamos (GPO + Intune) | Csak Intune |
| Hagyományos alkalmazások | Teljes támogatás | Teljes támogatás | Korlátozott |
| Bevezetési komplexitás | Alacsony (meglévő) | Közepes | Magas (migráció) |
Az Active Directory modernizálásának hat prioritási sorrendje:
- Microsoft Entra Connect telepítése és szinkronizáció konfigurálása – az on-prem AD és az Entra ID összekötése
- MFA bevezetése minden szinkronizált felhasználóra – az identitásbiztonság azonnali megerősítése
- Feltételes hozzáférési szabályzatok konfigurálása – kontextusfüggő, adaptív hozzáférés-vezérlés
- Jelszóvisszaállítás önkiszolgálón (SSPR) – helpdesk-teher csökkentése, felhasználói produktivitás növelése
- Entra ID Protection aktiválása – kockázatalapú bejelentkezési anomáliadetekció
- Fokozatos GPO-migráció Intune-alapú policy-ra – ahol az alkalmazáskörnyezet ezt lehetővé teszi
Miért nem elegendő az on-premises AD önmagában 2026-ban:
- A Microsoft 365 és a felhőalapú SaaS-alkalmazások natív Entra ID integrációt igényelnek a MFA és a feltételes hozzáférés teljes körű konfigurálásához
- A home office és hibrid munkavégzés VPN nélküli, biztonságos hozzáférést igényel, amelyet csak felhőalapú identitás tud natívan kiszolgálni
- Az Entra ID Protection kockázatalapú bejelentkezési védelme kizárólag szinkronizált vagy felhő-natív identitáson érhető el
- A kiberbiztosítók és a NIS2 irányelv egyaránt MFA-t és feltételes hozzáférést várnak el – ezek on-prem AD-n nem konfigurálhatók natívan
Mit jelent a hibrid identitáskezelés a gyakorlatban – és mi az Entra Connect szerepe
A hibrid identitáskezelés lényege, hogy a felhasználó egyetlen identitással rendelkezik, amely egyszerre él az on-premises Active Directoryban és a Microsoft Entra ID-ban: a Microsoft Entra Connect nevű szinkronizálási eszköz folyamatosan replikálja a helyi AD-objektumokat a felhőbe, és gondoskodik arról, hogy a jelszóváltozások, a csoporttagságok és a felhasználói attribútumok mindkét irányban konzisztensek maradjanak. Ez azt jelenti, hogy a felhasználó ugyanazzal a felhasználónévvel és jelszóval lép be a helyi Windows-munkállomásra és a Microsoft 365 alkalmazásaiba – külön felhős fiók, külön jelszó nélkül.
Az Entra Connect bevezetése KKV szinten a modernizálás legkritikusabb és leggyakrabban legtovább halasztott lépése: a szinkronizáció konfigurálása technikai szempontból nem komplex, de a meglévő AD-adatok minőségének auditja – duplikált fiókok, elavult csoporttagságok, inkonzisztens attribútumok – jellemzően olyan előkészítő munkát igényel, amelyre a szervezetek nincsenek felkészülve. Tapasztalataink alapján az Entra Connect bevezetési projektek közel felének leghosszabb fázisa nem a konfiguráció, hanem az AD-adatminőség rendezése – és ezt a fázist nem szabad kihagyni, mert a szinkronizálás a hibás adatokat is replikálja a felhőbe.
Mire figyelj, ha először vezeted be az Entra Connectet? Az AD-tisztítás elvégzése a szinkronizáció előtt kötelező: minden inaktív, elavult és duplikált fiókot azonosítani és archiválni kell, mert ezek a felhőbe szinkronizálva biztonsági kockázatot és licensing-felesleget teremtenek. Az általunk vizsgált esetekben az AD-tisztítás során szervezetenként átlagosan 20–35 százaléknyi inaktív vagy indokolatlanul aktív fiókot találtunk, amelyek azonnali biztonsági kockázatot jelentettek. A biztonságos IT-biztonsági és identitáskezelési audit keretrendszer részletei bemutatják, hogy egy magyarországi KKV milyen lépésekkel végzi el az AD-adatminőség-auditot az Entra Connect bevezetése előtt.
Az MFA bevezetése hibrid környezetben – miért nem elegendő az on-prem MegoldáS
A többfaktoros hitelesítés – MFA – az identitásbiztonság alapköve, de on-premises Active Directory önmagában nem nyújt natív, korszerű MFA-megoldást: a Microsoft Authenticator alkalmazásalapú MFA, az SMS-alapú és az alkalmazásjelszó-alapú hitelesítés kizárólag az Entra ID-n keresztül konfigurálható. Ez azt jelenti, hogy az MFA bevezetése elválaszthatatlan az Entra Connect szinkronizációtól: a hibrid identitáskezelés az az alap, amelyen az MFA teljes körűen bevezethető. Az általunk vizsgált esetekben az Entra Connect nélkül MFA-t bevezetni próbáló szervezetek kivétel nélkül részleges, inkonzisztens megoldásba ütköztek, ahol a Microsoft 365-ös MFA és a helyi hálózati hitelesítés elkülönülten működött, kettős felhasználói terhelést okozva.
A feltételes hozzáférési szabályzatok hibrid AD-környezetben
A feltételes hozzáférési szabályzatok a hibrid identitáskezelés legértékesebb biztonsági eszközei: lehetővé teszik, hogy a szervezet az identitás, az eszközállapot és a hálózati kontextus alapján differenciált hozzáférési döntést hozzon. Hibrid AD-környezetben a feltételes hozzáférés az Entra ID szintjén konfigurálódik, és a szinkronizált on-prem felhasználókra is teljes körűen érvényes. Egy tipikus KKV-szintű feltételes hozzáférési konfiguráció: irodai, tartományhoz csatlakoztatott eszközről – alacsony kockázat, MFA opcionális; Entra ID-regisztrált eszközről otthoni hálózatból – közepes kockázat, MFA kötelező; ismeretlen eszközről – magas kockázat, csak korlátozott hozzáférés vagy teljes blokkolás. Ez a háromszintű konfiguráció a legtöbb magyarországi KKV hibrid biztonsági igényét lefedi.
A GPO és az Intune policy párhuzamos kezelése – mikor melyik és hogyan
A csoportházirendek – Group Policy Objects, GPO – az on-premises Active Directory legerősebb konfigurációs eszközei: az évek alatt felhalmozott GPO-struktúra a szervezet IT-konfigurációjának gerince, amelyet nem lehet egyik napról a másikra Intune-alapú policyre migrálni. A hibrid identitáskezelési modell lehetővé teszi a párhuzamos kezelést: a tartományhoz csatlakoztatott eszközök a hagyományos GPO-t kapják, az Intune-regisztrált eszközök – különösen a home office és a BYOD eszközök – az Intune-policy-t. Ez a párhuzamos modell az átmeneti időszak legjobb megközelítése, de hosszú távon inkonzisztenciát teremt, amelyet fokozatos GPO-migrációval kell feloldani.
A GPO-migráció sorrendje az eszközpark és az alkalmazáskörnyezet alapján határozandó meg: először az egyszerű, kevés függőséggel rendelkező GPO-k migrálhatók Intune-ra, majd a komplexebb, alkalmazásspecifikus házirendek következnek. A migráció nem egyszeri projekt, hanem iteratív folyamat, amelynek során a két rendszer párhuzamosan fut – és ez az átmeneti párhuzamosság rendszergazdai szempontból magasabb figyelmet igényel, mert az inkonzisztenciák mindkét rétegben egyszerre kell nyomon követni. Az általunk vizsgált esetekben a legsikeresebbnek bizonyuló GPO-migrációk azok voltak, amelyek eszköztípus alapján határolták el a GPO- és az Intune-kezelés hatókörét – nem alkalmazásonként, hanem eszközkategóriánként.
Mikor érdemes a teljes GPO-migrációt megcélozni Intune-ra? Ha a szervezet tervezi az on-premises AD kivonását és a tisztán felhőalapú identitáskezelésre való átállást; ha az eszközpark döntő részét nem tartomány-csatlakoztatott eszközök alkotják; és ha az Intune-kompetencia a szervezetben vagy a külső IT-partnernél rendelkezésre áll. Ha ezek a feltételek nem teljesülnek, a párhuzamos modell fenntartása jobb megoldás, mint az erőltetett, hiányos Intune-migráció. A szerver üzemeltetés és Active Directory karbantartás strukturált keretrendszere meghatározza, hogy az on-premises AD-infrastruktúra milyen minimális karbantartási szintet igényel a hibrid identitáskezelési modellben való megbízható részvételhez.
Gyakorlati példa: 30 fős KKV hibrid AD modernizálása három fázisban
Egy 30 fős magyarországi kereskedelmi vállalkozásnál az AD-modernizálás három fázisban zajlott. Az első fázisban – négy hét – az AD-adatminőség-audit elvégzése történt: 12 inaktív fiók archiválása, 8 duplikált csoport összevonása és az attribútumok konszenzus-ellenőrzése. Az Entra Connect telepítése és az alapszinkronizáció konfigurálása ezután három munkanap alatt elvégzett. A második fázisban – két hét – az MFA bevezetése következett minden felhasználóra Microsoft Authenticator alkalmazással, majd a feltételes hozzáférési alapszabályzat aktiválása. A harmadik fázisban – folyamatos – a home office eszközök Intune-regisztrációja és a GPO-Intune párhuzamos kezelés kialakítása zajlott. Az eredmény: a sikertelen bejelentkezési kísérletek 85 százalékkal csökkentek, a helpdesk jelszó-visszaállítási kérelmei 60 százalékkal estek vissza, és a szervezet teljesítette a kiberbiztosítói MFA-elvárást.
Jelszóvisszaállítás önkiszolgálón – miért csökkenti ez szignifikánsan a helpdesk-terhelést
Az önkiszolgáló jelszóvisszaállítás – Self-Service Password Reset, SSPR – az Entra ID egyik leggyorsabban megtérülő funkciója: a felhasználó maga állítja vissza jelszavát a Microsoft Authenticator alkalmazáson vagy egy regisztrált e-mail-címen keresztül, anélkül hogy IT-segítségre lenne szüksége. Tapasztalataink alapján a jelszó-visszaállítási kérelmek a helpdesk összes kérelmének 20–35 százalékát teszik ki – ezek döntő része SSPR-rel kiváltható, és az ezzel felszabaduló rendszergazdai idő magasabb értékű feladatokra fordítható. Az általunk vizsgált esetekben az SSPR bevezetése után a jelszó-visszaállítással kapcsolatos helpdesk-kérelmek száma hat hét alatt 65–75 százalékkal csökkent, és a felhasználói elégedettség szignifikánsan nőtt, mert a visszaállítás munkaidőn kívül is azonnal elvégezhető.
Az Active Directory biztonsági auditja modernizálás előtt és után
Az Active Directory biztonsági auditja a modernizálási projekt kötelező eleme: a hibrid identitáskezelés bevezetése előtt az on-premises AD-ban felhalmozódott biztonsági kockázatokat azonosítani és megszüntetni kell, mert a szinkronizáció ezeket a kockázatokat a felhőbe is átviszi. Az AD biztonsági audit négy kritikus területre terjed ki: a privilegizált fiókok – Domain Admin, Enterprise Admin – áttekintése és a felesleges jogosultságok visszavonása; az inaktív fiókok és számítógép-objektumok azonosítása és archiválása; a Kerberoastingra és Pass-the-Hash támadásra sebezhető konfigurációk azonosítása; és az AD replikációs állapot ellenőrzése, amely a szinkronizáció megbízhatóságának alapfeltétele.
Tapasztalataink alapján az AD-biztonsági audit elvégzésekor szervezetenként átlagosan 3–5 kritikus, azonnal javítandó konfigurációs problémát találtunk – és ezek nem a szándékos konfigurálás eredményei, hanem az évek során felhalmozódott, észrevétlen hiányosságok. A modernizálás utáni audit igazolja, hogy a hibrid modell biztonsági állapota javult, és a szinkronizáción keresztül nem kerültek új kockázatok a felhőbe. A biztonságos IT-biztonsági audit és AD-identitáskezelési keretrendszer részletei tartalmazzák azt az audit-struktúrát, amellyel egy magyarországi KKV elvégzi az AD biztonsági ellenőrzést a modernizálás előtt és után – kiberbiztosítói és NIS2-audit számára dokumentált formában.
Az Entra ID Protection szerepe a hibrid identitásvédelemben
Az Entra ID Protection az identitásvédelem legfejlettebb eszköze a hibrid modellben: gépi tanulással azonosítja a kockázatos bejelentkezési mintákat – szokatlan helyszín, ismert kompromittált jelszó, lehetetlen utazás –, és automatikusan intézkedést vált ki, például MFA-kényszert vagy hozzáférés-blokkolást. Hibrid AD-környezetben az Entra ID Protection a szinkronizált felhasználókra is teljes körűen érvényes, és a riasztásai az Entra ID portálból és a Microsoft Defender portálból egyaránt kezelhetők. Az általunk vizsgált esetekben az Entra ID Protection aktiválása az első héten átlagosan 8–12 kockázatos bejelentkezési eseményt azonosított szervezetenként – ezek közül több valódi kompromittálási kísérletre utalt, amelyek az aktiválás nélkül észrevétlenek maradtak volna.
A modernizálás üzemeltetési fenntarthatósága – mit kell rendszeresen karbantartani
A hibrid identitáskezelési modell rendszeres karbantartási feladatai négy területre terjednek ki: az Entra Connect szinkronizáció állapotának havi ellenőrzése – szinkronizációs hibák azonosítása és elhárítása; a feltételes hozzáférési szabályzatok negyedéves felülvizsgálata – új eszközök, új alkalmazások és szervezeti változások integrálása; az AD és az Entra ID közötti objektumok konzisztenciájának féléves auditja – inaktív, duplikált és inkonzisztens objektumok azonosítása; és az Entra ID Protection riasztásainak folyamatos figyelése és kezelése. Ezek a rendszeres feladatok belső IT-kapacitás nélkül nem végezhetők el megbízhatóan – de egy tapasztalt külső IT-partner beépített üzemeltetési ciklusként tudja lefedni. A szerver üzemeltetés és Active Directory karbantartás, valamint Entra ID fenntartási keretrendszer részletei meghatározzák, hogy az on-premises AD-komponens milyen karbantartási minimumot igényel a hibrid modell megbízható működéséhez. A Microsoft Entra hibrid identitáskezelési dokumentációja kötelező referenciapontot jelent minden magyarországi rendszergazda számára, aki Entra Connect alapú szinkronizációt tervez bevezetni.
A hibrid identitáskezelés fenntarthatósága – mi változik, ha a szervezet növekszik
A hibrid identitáskezelési modell fenntarthatósága a szervezet növekedésével arányosan növekvő karbantartási igényt jelent: minden új dolgozó új szinkronizált fiókot, új MFA-regisztrációt és potenciálisan új feltételes hozzáférési szabályzatot igényel – ha ez a bevezetési folyamat nem automatizált és dokumentált, az AD és az Entra ID közötti konzisztencia fokozatosan erodálódik. Tapasztalataink alapján a hibrid identitáskezelési modell a 30–50 fős határnál éri el azt a komplexitási szintet, ahol az ad hoc, manuális kezelés már nem tartható megbízhatóan – ettől a ponttól az automatizált onboarding-folyamat, az Entra Connect szinkronizáció rendszeres monitoringja és a negyedéves jogosultsági felülvizsgálat nem opcionális, hanem szükséges üzemeltetési minimum.
A növekedési fázisban a hibrid identitáskezelés leggyakoribb csapdája az inaktív fiókok felhalmozódása: a kilépő dolgozók fiókja az on-premises AD-ban és az Entra ID-ban egyaránt aktív marad, ha az offboarding-folyamat nem automatizált. Ez kettős biztonsági kockázatot jelent – kompromittálható inaktív felhőfiók és felesleges Microsoft 365-licencdíj. Az általunk összehasonlított megközelítések során az vált egyértelművé, hogy a dokumentált, automatizált offboarding-folyamat önmagában a hibrid AD-biztonsági incidensek 25–30 százalékát előzi meg, és a licencdíj-megtakarítás az első fél évben fedezi a folyamat kialakításának ráfordítását.
Mikor nem elegendő a hibrid identitáskezelési konfiguráció felülvizsgálat nélkül fenntartani? Ha a szervezet az elmúlt tizenkét hónapban legalább 20 százalékkal növelte létszámát; ha új Microsoft 365-alkalmazást vagy külső SaaS-platformot vezet be, amelynek SSO-integrációja Entra ID-on alapul; vagy ha kiberbiztosítási kötvény megújítása előtt áll – ezekben az esetekben a hibrid identitáskezelési konfiguráció teljes körű felülvizsgálata szükséges, nem csak a szokásos karbantartási ciklus.
A hibrid AD és a kiberbiztosítói megfelelőség dokumentálása
A kiberbiztosítói auditok 2025–2026-tól egyre részletesebben vizsgálják az identitáskezelési konfigurációt: az MFA-lefedettség, a feltételes hozzáférési szabályzatok megléte és az Entra ID Protection aktiválása mind ellenőrzési pont. A hibrid AD-modell előnye a kiberbiztosítói audit szempontjából, hogy az Entra ID portál exportálható riportokat biztosít az MFA-regisztrációs arányról, a feltételes hozzáférési szabályzatok hatásáról és az azonosított kockázatos bejelentkezésekről – ezek a riportok hiteles, gépileg generált dokumentációt adnak, amelyet a biztosítói audit azonnal elfogad. A biztonságos IT-biztonsági és AD-identitáskezelési audit keretrendszer részletei tartalmazzák azt a dokumentációs struktúrát, amellyel a hibrid AD-konfiguráció állapota kiberbiztosítói és NIS2-audit számára átadható, exportálható formában rögzíthető.
Az instantws.hu megközelítése: fokozatos AD-modernizálás, mérhető biztonsági eredménnyel
Az instantws.hu tapasztalatai szerint az Active Directory modernizálásának legsikeresebb modellje a fokozatos, fázisalapú megközelítés, ahol minden fázis önálló, mérhető biztonsági javulással zárul. Az első fázis – AD-audit és Entra Connect bevezetés – önmagában is azonosítható kockázatokat szüntet meg és megalapozza a következő lépéseket. A második fázis – MFA és feltételes hozzáférés – azonnal mérhető eredményt hoz a sikertelen bejelentkezési kísérletek csökkenésében. A harmadik fázis – GPO-migráció és Intune-integráció – a home office és BYOD eszközök teljes körű felügyeletét zárja be. Ez a fázisstruktúra teszi lehetővé, hogy a modernizálás ne egyszeri, nagy kockázatú projektként, hanem folyamatos, dokumentált fejlesztési folyamatként valósuljon meg. A szerver üzemeltetés és Active Directory karbantartás, hibrid identitáskezelési keretrendszer részletei meghatározzák, hogy az on-premises AD-komponens milyen karbantartási minimumot igényel a hibrid Entra ID-modellben – az első Entra Connect szinkronizációtól a teljes körű, kiberbiztosítói audit-kész, NIS2-kompatibilis hibrid identitáskezelési architektúráig.