2 min read

Entra ID: ImmutableID korrigieren, wenn der Benutzer bereits existiert

Entra ID: ImmutableID korrekt setzen (Hybrid AD / Entra ID)

In Hybrid-Umgebungen mit lokalem Active Directory und Entra ID (Azure AD) kommt es immer wieder vor, dass Benutzer nicht korrekt miteinander verknüpft sind. Häufige Ursache ist eine falsche oder bereits vergebene ImmutableID.

Diese Anleitung zeigt Schritt für Schritt, wie du:

  • die korrekte ImmutableID aus dem lokalen AD ermittelst
  • sie in Entra ID setzt
  • und was zu tun ist, wenn die ImmutableID bereits einem anderen Benutzer zugeordnet ist (der häufigste Fall).
⚠️ Warnung: Die folgenden Schritte beinhalten das Löschen von Entra-ID-Benutzern. Vorher immer genau prüfen!

Schritt 1: ObjectGUID des lokalen AD-Benutzers ermitteln

Zuerst benötigen wir die ObjectGUID des lokalen AD-Users:

Get-ADUser -Identity username | Select ObjectGUID

Beispielausgabe:

d10b7a72-0a74-4cd0-9924-192985fcd2a0

Schritt 2: ObjectGUID in ImmutableID umwandeln

Die ImmutableID ist nichts anderes als die Base64-kodierte ObjectGUID:

[Convert]::ToBase64String(
    [guid]::New("d10b7a72-0a74-4cd0-9924-192985fcd2a0").ToByteArray()
)

Ergebnis:

cnoL0XQK0EyZJBkphfzSoA==

Diese Zeichenfolge benötigen wir später in Entra ID.

Schritt 3: Verbindung zu Microsoft Graph herstellen

Für Änderungen an Entra-ID-Benutzern benötigen wir entsprechende Berechtigungen:

Connect-MgGraph -Scopes "User.ReadWrite.All"

Schritt 4: ImmutableID setzen (Normalfall)

Falls die ImmutableID noch nicht vergeben ist, kann sie direkt gesetzt werden:

Update-MgUser \
  -UserId "user@example.com" \
  -OnPremisesImmutableId "cnoL0XQK0EyZJBkphfzSoA=="

In der Praxis schlägt dieser Schritt jedoch oft fehl, da die ImmutableID bereits einem anderen Benutzer zugeordnet ist.

Sonderfall: ImmutableID existiert bereits in Entra ID (meistens der Fall)

Schritt 5: Benutzer mit dieser ImmutableID suchen

Zuerst prüfen, welche Benutzer aktuell diese ImmutableID verwenden:

Get-MgUser -Filter "onPremisesImmutableId eq 'cnoL0XQK0EyZJBkphfzSoA=='" |
Select DisplayName, UserPrincipalName, Id

➡️ Jetzt genau prüfen, ob es sich wirklich um den falschen Benutzer handelt.

Schritt 6: Falschen Benutzer löschen

Wenn eindeutig klar ist, dass der gefundene Benutzer falsch ist, kann er gelöscht werden:

Remove-MgUser -UserId "olduser@example.com" -Confirm:$false

Schritt 7: Benutzer aus „Gelöschte Benutzer“ entfernen

Nach dem Löschen befindet sich der Account im Papierkorb von Entra ID.

⚠️ Wichtig: Der Benutzer muss auch aus den „Gelöschten Benutzern“ entfernt werden, sonst kann die ImmutableID nicht erneut vergeben werden.

Dies kann:

  • über das Entra Admin Center
  • oder per PowerShell erfolgen

Schritt 8: ImmutableID dem richtigen Benutzer zuweisen

Nun kann die ImmutableID korrekt gesetzt werden:

Update-MgUser \
  -UserId "user@example.com" \
  -OnPremisesImmutableId "cnoL0XQK0EyZJBkphfzSoA=="

Schritt 9: Azure AD Connect Sync starten

Zum Abschluss einen Delta-Sync auslösen:

Start-ADSyncSyncCycle -PolicyType Delta

Fertig ✅

Nach dem nächsten Sync:

  • ist der Benutzer korrekt mit dem lokalen AD verknüpft
  • es entstehen keine doppelten Benutzer mehr
  • Anmeldung und Microsoft-365-Dienste funktionieren wieder sauber

Published by:

Sven Stromann