Alle artikelen
Entra IDActive DirectoryMicrosoftIAM

Entra ID vs Active Directory in 2026

Ruben van der Graaf··4 min lezen

Active Directory draait nog altijd op veel plekken terwijl Entra ID de standaard wordt. Dit is de stand van zaken in 2026: wat doe je met je AD, wanneer stap je over, wat houd je hybride?

In 2026 is Microsoft Entra ID de de facto standaard voor identity in de Microsoft-wereld. Tegelijk draait on-prem Active Directory nog op een groot deel van de Nederlandse mid-market. Dit artikel gaat over de beslissing: blijf je hybride, migreer je, of doe je niets?

TL;DR

  • Entra ID is Microsoft's cloud-first identity-platform. AD is het legacy on-prem systeem.
  • Volledige migratie naar Entra ID kan vaak wel, maar is niet altijd nodig.
  • Hybride (Entra Connect) is de meest voorkomende setup in 2026.
  • Je nieuwe Entra-apps draaien op Entra ID. Je legacy file-shares blijven op AD.
  • ABAC, license management en self-service werken op beide.

Kort: wat zijn ze

Active Directory (AD). On-prem directory service van Microsoft. Loopt op een of meer domain controllers in je eigen datacenter. Gebruikt Kerberos en LDAP. Al sinds 2000 standaard voor Windows-authenticatie in enterprises.

Microsoft Entra ID (voorheen Azure AD). Cloud-native identity en access management. Gebruikt OAuth2, OpenID Connect, SAML. Standaard voor M365, Azure en moderne SaaS.

Ze kunnen naast elkaar draaien via Entra Connect: attributen en password-hashes syncen van AD naar Entra ID.

De drie mogelijke setups in 2026

SetupWie gebruikt ditWanneer kies je het
Alleen Entra ID (cloud-only)Nieuwe bedrijven, volledig M365Geen legacy apps, geen file-shares, alles cloud
Hybride (AD + Entra Connect)het merendeel van mid-marketJe hebt legacy die AD nodig heeft
Alleen ADKrimpende groep, meestal regulated industriesStrict on-prem vereisten of offline-omgevingen

Wanneer blijf je hybride

Blijf hybride als je een van deze hebt:

  • File-shares op Windows servers met NTFS-ACLs
  • Legacy apps die Kerberos of NTLM vereisen
  • Print-servers die domain-authenticatie gebruiken
  • Netwerk-shares die alleen via SMB werken
  • Line-of-business apps die LDAP-binding doen tegen AD
Deze dingen kun je niet simpel naar Entra ID schuiven. Entra Connect is je vriend.

Wanneer migreer je volledig

Cloud-only kan als:

  • Alle file-shares al in SharePoint of OneDrive staan
  • Geen apps meer Kerberos of LDAP vereisen
  • Printers allemaal Universal Print of cloud-managed zijn
  • VPN vervangen door Azure AD Join of Conditional Access
Dit is zeldzaam in 2026 maar groeit. Startups en volledig cloud-geborn organisaties zijn er doorgaans.

Wat syncs Entra Connect precies

In hybride setups synct Entra Connect bijna alles van AD naar Entra ID:

  • User accounts en attributen (incluis jobTitle, department, manager)
  • Security groups
  • Password hashes (met Password Hash Sync) of real-time authenticatie (met Pass-Through Authentication)
  • Device objects (met hybrid Azure AD Join)
Wat niet synct: file-share-permissies (die blijven lokaal op AD), group policy objects, certificate services.

Hoe werkt ABAC in een hybride setup

Dit is een veelgestelde vraag. Kort: ABAC loopt in Entra ID. Attributen komen uit AD via sync. Groeps-memberships die Entra ID bepaalt, worden via Entra Connect teruggezet naar AD als het nodig is.

Voor ServiceChanger betekent het: je hoeft niet te kiezen. We draaien bovenop Entra ID, de attributen die AD levert worden gebruikt, en memberships worden door Entra Connect teruggeschreven naar AD voor legacy apps.

De realiteit in Nederland

In 2026 is de typische Nederlandse mid-market-organisatie (100-500 medewerkers) hybride:

  • Identity primair in Entra ID
  • M365, SaaS-tools, moderne apps: pure Entra ID
  • Oude file-servers, branch-office printers: nog AD
  • Sommige line-of-business apps draaien nog tegen AD (door leveranciersafhankelijkheid)
Het volledig uitfaseren van AD is vaak een meerjarig traject. Dat is oké. Je hoeft niet alles nu op te lossen.

Pitfalls

  1. Dubbele administratie. Als Entra Connect niet goed ingericht is, ga je handmatig in twee systemen aanpassingen doen. Zet schrijfrichting duidelijk op één plek (meestal AD als master, Entra ID secundair).
  2. Password policy mismatch. AD heeft andere password policies dan Entra ID. Een keer per kwartaal syncen leidt tot verwarring. Zorg dat beleid overeenkomt.
  3. Geen disaster recovery voor Entra Connect. Als je Entra Connect server down gaat, syncen stopt. Test backup en recovery.

FAQ

Moet ik Entra Connect naar Cloud Sync migreren? Microsoft duwt Cloud Sync als opvolger. Voor de meeste standaard-scenario's werkt het. Voor complexe setups (bijvoorbeeld meerdere forests) blijft de klassieke Entra Connect nodig.

Werkt ServiceChanger in cloud-only en hybride? Beide. We detecteren je setup en passen de workflow aan.

Wat als ik van alleen-AD naar hybride wil? Start met Entra Connect installeren, pilot-groep syncen, M365 koppelen. Meestal kan een mid-market-organisatie dit in 2-4 weken.

In een hybride omgeving wil je dezelfde toegangsregels over Entra ID en on-prem AD heen. Hoe je dat met attributen opzet, lees je in ABAC in Entra ID.

Volgende stap

Wil je IAM-automatisering in je hybride of cloud-only setup? ServiceChanger werkt op beide. Plan een demo of lees de Active Directory documentatie.

Ook interessant

Entra ID groepen automatiseren met attributen

Hoe je Entra ID group membership automatisch laat volgen uit HR-attributen zoals functie, afdeling en locatie. Van concept naar werkende dynamic groups.

Wat is ABAC in Microsoft Entra ID?

ABAC (Attribute-Based Access Control) bepaalt toegang op basis van attributen zoals functie, afdeling of locatie. Zo werkt het in Entra ID, waar het verschilt van RBAC, en wanneer je het gebruikt.

Dynamic groups, een IGA-platform of ServiceChanger: wanneer kies je wat?

Toegang in Microsoft regelen kan met native Entra dynamic groups, een volwaardig IGA-platform of een regellaag als ServiceChanger. Dit zijn de drie aanpakken, hun grenzen, en wanneer welke past.