Zurück zum Blog|Identity

Microsoft Entra ID neben Authentik: Wann sich die Doppel-Strategie 2026 für den deutschen Mittelstand rechnet

15. Mai 2026
Timo Wevelsiep
authhost

Microsoft Entra ID neben Authentik: Wann sich die Doppel-Strategie 2026 für den deutschen Mittelstand rechnet

Authentik vs. Microsoft Entra ID 2026: Pricing, CLOUD Act, NIS2 – und wann Coexistence statt Replacement die richtige Strategie für den Mittelstand ist.

authhost.de Blog

Hinweis zum Inhalt: Die Informationen in diesem Artikel wurden nach bestem Wissen zum Zeitpunkt der Veröffentlichung zusammengestellt. Technische Details, Preise, Versionen, Lizenzmodelle und externe Inhalte können sich ändern. Bitte prüfen Sie die genannten Angaben eigenständig, insbesondere vor geschäftskritischen oder sicherheitsrelevanten Entscheidungen. Dieser Artikel ersetzt keine individuelle Fach-, Rechts- oder Steuerberatung.

Inhaltsverzeichnis

TL;DR – Das Wichtigste in 60 Sekunden

  • Entra ID ist im Mittelstand omnipräsent – aber selten bewusst gewählt. Es kommt mit Microsoft 365 mit. Das macht es schwer zu ersetzen, aber leicht zu ergänzen.
  • Die Souveränitätsfrage hat sich verschärft: Microsoft hat 2025 vor dem französischen Senat bestätigt, dass der US CLOUD Act EU-Datenresidenz aushebeln kann [5].
  • Die Lizenzmatrix wird teurer und komplexer: P1, P2, Entra Suite, Governance als Add-on, Workload ID Premium – plus die Microsoft-365-Preiserhöhung im Juli 2026 [1][10].
  • Authentik ist quelloffen (MIT-Lizenz), deckt alle relevanten Protokolle ab und läuft als Managed Service auf deutscher Infrastruktur – ab 34,90 €/Monat, unbegrenzte Nutzer.
  • Die ehrliche Empfehlung lautet meist Coexistence: Entra ID bleibt für den Microsoft-365-Stack, Authentik übernimmt alles außerhalb davon – Linux-Server, Custom-Apps, RADIUS, Legacy-LDAP.

Die Ausgangslage 2026: Warum Identity zur Chefsache wird

Identity-Management war lange eine reine IT-Frage. 2026 ist es eine strategische – und im Zweifel eine geschäftsführungsrelevante. Drei Strömungen laufen zusammen.

Der CLOUD-Act-Eid von Microsoft France

Am 10. Juni 2025 sagte Anton Carniaux, Chefjurist von Microsoft France, vor dem französischen Senat aus, dass Microsoft nicht garantieren kann, dass Daten europäischer Bürger in EU-Rechenzentren vor dem Zugriff von US-Behörden geschützt sind – auch ohne Zustimmung europäischer Stellen [5]. Der Hamburgische Beauftragte für Datenschutz fasste es im August 2025 so zusammen: Trotz früherer Microsoft-Aussagen, EU-Daten seien sicher, gebe es keine Möglichkeit, US-Behörden vom Zugriff auf EU-Daten abzuhalten [6].

Das ist nicht neu im Sinne der Rechtslage – der CLOUD Act gilt seit 2018. Neu ist, dass die Behauptung „EU-Datenresidenz = Datensouveränität" auf höchster offizieller Ebene als unzutreffend gelten muss.

Die Bewegung im öffentlichen Sektor

Was im Behördensektor begann, erreicht den Mittelstand. Schleswig-Holstein hat im Oktober 2025 begonnen, rund 30.000 Beamten-Arbeitsplätze von Exchange und Outlook auf Open-Source-Alternativen umzustellen [7][8]. Die deutsche Bundesregierung gab 2024 nach eigenen Angaben 481 Millionen Euro für Microsoft-Lizenzen aus – eine Steigerung um 76 Prozent in zwei Jahren. Diese Zahlen sind im DACH-Diskurs zum Referenzpunkt geworden: nicht als Aufruf zum Microsoft-Ausstieg, sondern als Anlass, die eigene Abhängigkeit überhaupt einmal zu beziffern.

Die Microsoft-Preiserhöhung im Juli 2026

Beim ersten umfassenden Plan-Refresh seit Jahren steigen die Microsoft-365-Preise. M365 E5 klettert von 57 auf 60 US-Dollar pro Nutzer und Monat, M365 F1 (Frontline) von 2,25 auf 3,00 US-Dollar [10]. Gleichzeitig wurde mit M365 E7 (99 US-Dollar pro Nutzer und Monat, allgemeine Verfügbarkeit ab Mai 2026) ein neues Top-Bundle eingeführt, das erstmals die Entra Suite und das neue „Agent 365" enthält [9]. Wer 2026 ohnehin ein Lizenz-Review macht, kommt um die Identity-Kostenfrage nicht herum.

Was Microsoft Entra ID gut kann – und was nicht

Eine ehrliche Coexistence-Betrachtung beginnt damit, die Stärken des Platzhirsches anzuerkennen.

Die echten Stärken

  • Tiefe Microsoft-365-Integration. Conditional Access für Outlook, Teams, SharePoint, OneDrive und die Geräteverwaltung über Intune – diese Verzahnung auf Endpunkt-Ebene ist real und lässt sich von außen nicht nachbauen.
  • Marktreife. Entra ID wurde im November 2025 zum neunten Mal in Folge als „Leader" im Gartner Magic Quadrant for Access Management geführt [2]. Das ist kein reiner Microsoft-Bonus, sondern technisch fundiert.
  • Breites Feature-Set für Microsoft-zentrische Stacks. Identity Protection, Privileged Identity Management, Verified ID, Entra Internet Access und Private Access sind ausgereifte Bausteine – wenn der Stack ohnehin Microsoft ist.

Die strukturellen Grenzen

  • Lizenz-Komplexität. P1, P2, die Entra Suite als Add-on, Identity Governance als separates Add-on, Workload ID Premium als nie gebündelter Posten – dazu die M365-Bundles, in denen Entra-Tiers mitschwimmen. Die tatsächlichen Kosten sind ohne Tabelle kaum greifbar (siehe unten).
  • CLOUD-Act-Exposition. Microsoft ist ein US-Konzern. Die Carniaux-Aussage (oben) macht die Drittstaaten-Frage zu einem dokumentationspflichtigen Risiko.
  • Konzentrationsrisiko. Storm-0558 (Juli 2023) und Midnight Blizzard (Januar 2024) zeigten, dass auch der Identity-Anbieter selbst zum Ziel wird. Der Cyber Safety Review Board der US-Regierung nannte die Storm-0558-Kette im März 2024 eine „Kaskade vermeidbarer Fehler" und Microsofts damalige Sicherheitskultur „inadäquat" [3][4]. Der globale Azure-Front-Door-Ausfall vom 29. Oktober 2025 legte M365- und Entra-Anmeldungen über zwölf Stunden lahm – durch einen einzigen Konfigurationsfehler [11]. Microsoft hat mit der „Secure Future Initiative" reagiert; der strukturelle Punkt bleibt: Ein zentraler Identity Provider bündelt Risiko.

Keiner dieser Punkte heißt „Entra ID ist schlecht". Sie heißen: Entra ID ist nicht für jede Anwendung im Haus die zwingende Wahl.

Was Authentik gut kann – und was nicht

Die Stärken

  • Quelloffen und unabhängig. Authentik steht unter der MIT-Lizenz; Träger ist Authentik Security, Inc., organisiert als Public Benefit Corporation [12]. Kein geschlossener Code, keine erzwungene Vendor-Roadmap.
  • Vollständige Protokoll-Suite. OIDC, SAML 2.0, LDAP, RADIUS, SCIM, mTLS und Kerberos – plus eine visuelle Flow-Engine, mit der sich Authentifizierungs-Logik ohne Code abbilden lässt. Conditional Access (GeoIP, Impossible Travel, Device Posture) und moderne MFA inklusive Passkeys gehören dazu.
  • Eigene Umgebung, eigene Daten. Self-Hosted oder als Managed Service – in beiden Fällen ein dedizierter Tenant, kein geteilter Mandant eines US-Konzerns. Die Release 2025.10 hat Redis als Abhängigkeit entfernt; das Remote Access Gateway (RDP/SSH/VNC) ist seit Release 2025.2 frei verfügbar [13].

Die ehrlichen Grenzen

  • Keine native M365-Conditional-Access-Tiefe. Authentik kann sich per Föderation an Entra ID anbinden, aber die Endpunkt-nahe Verzahnung mit Outlook, Teams und SharePoint ist und bleibt Entra-Territorium.
  • Betriebsverantwortung. Self-Hosting heißt: Updates, Backups, Monitoring, Verfügbarkeit – im Ernstfall rund um die Uhr. Genau dafür gibt es Managed-Angebote, aber der Aufwand verschwindet nicht, er verlagert sich.
  • Kein 1:1-Ersatz für jedes Microsoft-Föderationsszenario. Bestimmte SharePoint-Federation-Konstellationen erwarten ältere Token-Formate, die Authentik nicht bedient. Wer solche Szenarien hat, muss das in der Architektur einplanen.

Pricing-Realität 2026

Microsoft veröffentlicht keine vollständig konsolidierte Preisliste – die folgenden Tabellen fassen die öffentlich einsehbaren Werte zusammen.

Microsoft Entra ID: standalone

Plan Preis (pro Nutzer/Monat) Enthält
Entra ID Free 0 USD Basis-SSO und Basis-MFA, im Lieferumfang von Azure und M365
Entra ID P1 6 USD Conditional Access, Self-Service-Password-Reset, Hybrid-Identitäten
Entra ID P2 9 USD zusätzlich Identity Protection, Privileged Identity Management
Entra Suite (Add-on auf P1/P2) + 12 USD ID Governance, Internet Access, Private Access, Verified ID Premium
Entra ID Governance (Standalone-Add-on) + 7 USD (auf P1) / + 4 USD (auf P2) Access Reviews, Entitlement Management, Lifecycle Workflows
Workload ID Premium 3 USD pro Workload-Identität nie in M365- oder Suite-Bundles enthalten

Microsoft Entra ID: über Microsoft-365-Bundles

Bundle Preis (pro Nutzer/Monat) Enthaltenes Entra-Tier
M365 Business Premium ~ 22 USD Entra ID P1
M365 E3 36 USD (Preiserhöhung Juli 2026 angekündigt) Entra ID P1
M365 E5 57 USD → 60 USD (ab Juli 2026) Entra ID P2
M365 F1 (Frontline) 2,25 USD → 3,00 USD (ab Juli 2026) Entra ID P1
M365 E7 (neu, ab Mai 2026) 99 USD Entra ID P2 + Entra Suite + Agent 365

Authentik und Managed Authentik

Variante Preis Charakter
Authentik (Open Source, MIT) 0 € vollständiger IdP, Self-Hosted, Betrieb in Eigenregie
Authentik Enterprise 5 USD pro Nutzer/Monat zusätzliche Enterprise-Funktionen, Lizenz von Authentik Security
Managed Authentik (authhost) ab 34,90 €/Monat – Pauschale, unbegrenzte Nutzer dedizierte Instanz, Betrieb durch authhost, Hosting in Deutschland

Rechenbeispiel: 100-Personen-KMU mit gemischtem Stack

Ein Mittelständler mit 100 Mitarbeitern nutzt Microsoft 365 – und betreibt daneben rund 15 Anwendungen außerhalb des Microsoft-Stacks: Linux-Server mit SSH-Zugriff, eine GitLab-Instanz, ein RADIUS-VPN, eine eigene SaaS-Anwendung, mehrere Self-Hosted-Tools.

  • Der M365-Stack läuft über die bestehenden Lizenzen – Entra ID P1 ist dort enthalten. Daran ändert eine Coexistence-Strategie nichts.
  • Variante A – alles über Entra: Für die 15 Nicht-Microsoft-Anwendungen und ihre Service-Identitäten fallen je nach Anforderung Entra ID Governance (7 USD pro Nutzer/Monat auf P1), die Entra Suite (12 USD pro Nutzer/Monat) oder Workload ID Premium (3 USD pro Workload-Identität) an – Kosten, die mit jeder Nutzer- und Workload-Zahl mitwachsen.
  • Variante B – Coexistence: Microsoft 365 und Entra ID bleiben unverändert. Managed Authentik übernimmt die 15 Nicht-Microsoft-Anwendungen – als Pauschale ab 34,90 €/Monat, unabhängig von Nutzer- oder Workload-Zahl.

Die Ersparnis entsteht nicht durch „Microsoft rauswerfen", sondern dadurch, dass die Identity-Kosten der Nicht-Microsoft-Welt von „pro Nutzer, pro Add-on, pro Workload" auf eine planbare Pauschale umgestellt werden.

Vergleich basiert auf öffentlich verfügbaren Informationen, Stand Mai 2026. Microsoft-Preise in US-Dollar, authhost-Preise in Euro; Preise und Tarife können sich jederzeit ändern – bitte direkt beim jeweiligen Anbieter prüfen. Microsoft® und Microsoft Entra ID® sind Marken der Microsoft Corporation. Authentik ist Open-Source-Software; das Projekt wird von der Authentik Security, Inc. (USA) gepflegt. authhost ist ein unabhängiger Managed-Hosting-Anbieter und steht in keiner Verbindung zu diesen Unternehmen.

Drei Szenarien, in denen die Doppel-Strategie aufgeht

Szenario 1 – Microsoft 365 plus Linux-Server und Custom-SaaS

Das Office läuft auf M365, aber die Produktentwicklung auf Linux-Servern, dazu eine selbst entwickelte SaaS-Anwendung und Tools wie GitLab oder Grafana. Entra ID bleibt für den Office-Stack; Authentik wird zum Identity Provider für SSH-Zugriff, interne Tools und die eigene Anwendung – ein Bereich, in dem Entra-Lizenzen schnell teuer und unhandlich werden.

Szenario 2 – Microsoft 365 plus RADIUS-VPN und LDAP-Legacy

Klassischer Mittelstand: M365 für die Büro-IT, aber ein RADIUS-abgesichertes VPN und mehrere Legacy-Anwendungen, die nur LDAP sprechen. Authentik stellt RADIUS- und LDAP-Outposts bereit und bindet genau diese Systeme an, ohne dass jeder betroffene Nutzer ein höheres Entra-Tier braucht.

Szenario 3 – Microsoft 365 plus DSGVO-kritische Eigenanwendung

Eine Anwendung verarbeitet besonders sensible Daten – Gesundheits-, Finanz- oder Mandantendaten. Hier ist der CLOUD-Act-Rahmen am relevantesten. Diese Anwendung bekommt ihren Identity Provider in Deutschland, getrennt vom US-Stack; das übrige Office bleibt bei Entra.

Und wann eines allein reicht

Coexistence ist kein Selbstzweck. Ein reines Microsoft-Haus ohne nennenswerte Anwendungen außerhalb des M365-Stacks fährt mit Entra ID allein gut – der Mehraufwand eines zweiten Systems lohnt sich dann nicht. Umgekehrt braucht ein reiner Open-Source-Stack ohne Microsoft 365 kein Entra ID; dort ist Authentik allein die schlüssige Wahl. Die Doppel-Strategie ist die richtige Antwort für den großen Mittelbau dazwischen – und das sind die meisten DACH-Mittelständler.

NIS2, DSGVO und der CLOUD Act: der Compliance-Rahmen

Was NIS2 verlangt

Das deutsche NIS2-Umsetzungsgesetz nennt in § 30 einen Katalog an Risikomanagement-Maßnahmen. Für Identity & Access Management einschlägig sind Zugriffskontrollkonzepte und der Einsatz von Multi-Faktor-Authentifizierung [14]. Entscheidend: NIS2 nennt keinen Anbieternamen. Die regulatorische Frage ist Wirksamkeit nach dem Stand der Technik, nicht „Microsoft oder nicht". § 38 etabliert die persönliche Verantwortung der Geschäftsleitung – und sie ist nicht delegierbar.

DSGVO Art. 32 und der CLOUD Act

Verantwortliche müssen nach Art. 32 DSGVO begründen, warum eine technische Maßnahme dem Stand der Technik entspricht. Bei einem US-Anbieter mit CLOUD-Act-Exposition gehört dazu die Feststellung, dass der Schutz vor Drittstaaten-Zugriffen nicht garantiert werden kann – Microsoft hat das selbst bestätigt. Wo ein hohes Risiko besteht, ist ohnehin eine Datenschutz-Folgenabschätzung vorgeschrieben; die CLOUD-Act-Exposition gehört nach Auffassung des Hamburgischen Datenschutzbeauftragten dort hinein.

Geschäftsführer-Verantwortung

„Der IT-Leiter hat gesagt, wir nutzen Entra, weil das Standard ist" ist unter NIS2 kein tragfähiges Argument. Die Wahl des Identity Providers ist eine dokumentierte, begründete Entscheidung – und genau deshalb lohnt sich der bewusste Blick auf die Architektur.

Hinweis: Dies ist kein Rechtsrat. Konkrete Compliance- und Haftungsfragen gehören in die Hand von Datenschutz- und Rechtsberatung.

Coexistence in der Praxis: wie es technisch funktioniert

Die Architektur ist unspektakulärer, als sie klingt. Authentik wird zum Identity Provider für alles außerhalb des Microsoft-Stacks – Linux-SSO über OIDC, SaaS-Anwendungen über SAML 2.0, Legacy-Systeme über das LDAP-Outpost, VPNs über das RADIUS-Outpost.

Die Brücke zu Microsoft 365 ist Standard-Föderation: Authentik und Entra ID lassen sich über OIDC oder SAML verbinden, sodass Single Sign-On erhalten bleibt – Nutzer melden sich einmal an, unabhängig davon, ob die Zielanwendung im Microsoft-Stack liegt oder nicht. Die Identitäten der Nicht-Microsoft-Welt landen dabei nicht in der Microsoft-Cloud.

Für besonders schützenswerte Anwendungen lassen sich in Authentik Conditional-Access-Policies (GeoIP, Impossible Travel, Device Posture) aktivieren und Hardware-Keys nach WebAuthn/FIDO2 als Standard etablieren. Mit Managed Authentik von authhost übernimmt der Betrieb – Updates, Backups, Monitoring – ein Team in Deutschland; die Datenhoheit bleibt beim Kunden.

Fazit

Microsoft Entra ID ist im deutschen Mittelstand allgegenwärtig – aber selten eine bewusste Entscheidung. Es kommt mit Microsoft 365 mit. 2026 lohnt sich der bewusste Blick: Die CLOUD-Act-Lage hat sich verfestigt, NIS2 macht Identity zur dokumentationspflichtigen Geschäftsführungsfrage, und die Lizenzkosten steigen.

Die ehrliche Antwort ist für die meisten Unternehmen nicht „Microsoft rauswerfen", sondern Coexistence: Entra ID bleibt, wofür es gebaut ist – den Microsoft-365-Stack. Authentik übernimmt alles andere – quelloffen, auf deutscher Infrastruktur, zu planbaren Kosten. Wer M365 nutzt und daneben Linux-Server, Custom-Apps oder Legacy-Systeme betreibt, fährt mit der Doppel-Strategie meist sauberer und souveräner als mit „Entra für alles".

Jetzt Managed Authentik kennenlernen → | → Pläne & Preise ansehen

Quellen

  1. Microsoft – Entra Pricing-Übersicht: microsoft.com
  2. Microsoft Security Blog – Gartner Magic Quadrant for Access Management 2025: microsoft.com
  3. CISA / Cyber Safety Review Board – Review of the Summer 2023 Microsoft Exchange Online Intrusion (20.03.2024): cisa.gov
  4. Microsoft MSRC – Midnight Blizzard / Nation-State Actor (Januar/März 2024): microsoft.com
  5. Microsoft France vor dem französischen Senat – CLOUD-Act-Aussage (Juni 2025): Berichterstattung u. a. borncity.com
  6. Hamburgischer Beauftragter für Datenschutz – Microsoft kann US-Zugriff auf EU-Cloud nicht verhindern (08/2025): datenschutzbeauftragter-hamburg.de
  7. The Register – Schleswig-Holstein migriert auf Open Source (10/2025): theregister.com
  8. The Irish Times – A small German state's quiet revolt against Microsoft (02/2026): irishtimes.com
  9. Wintive – Microsoft Entra ID Complete Guide 2026 (Agent 365, M365 E7): wintive.com
  10. SAMexpert – Microsoft Entra ID Licensing Guide & M365-Preisänderungen 2026: samexpert.com
  11. breached.company – Azure Front Door Outage (29.10.2025): breached.company
  12. Authentik – Offizielle Website & Lizenz: goauthentik.io
  13. Authentik – Release 2025.10 (Redis-Abhängigkeit entfernt): goauthentik.io
  14. NIS2-Richtlinie (EU) 2022/2555 – Risikomanagement-Maßnahmen (Art. 21): eur-lex.europa.eu

Häufige Fragen

Was ist Microsoft Entra ID und wofür wird es eingesetzt?
Entra ID ist Microsofts Cloud-basierter Identity Provider, früher als Azure Active Directory bekannt. Es authentifiziert Nutzer für Microsoft 365, Azure und integrierte Drittanwendungen – von Conditional Access über MFA bis zu Identity Governance. In den meisten DACH-Mittelständlern kommt Entra ID nicht standalone, sondern automatisch über ein Microsoft-365-Abonnement: M365 Business Premium und E3 enthalten Entra ID P1, E5 enthält P2.
Was ist Authentik und worin unterscheidet es sich strukturell von Entra ID?
Authentik ist ein Open-Source Identity Provider unter MIT-Lizenz, entwickelt von Authentik Security, Inc., einer als Public Benefit Corporation organisierten US-Gesellschaft. Strukturell unterscheidet er sich auf drei Ebenen: Erstens läuft Authentik in einer eigenen, dedizierten Umgebung – self-hosted oder bei einem europäischen Managed-Provider –, nicht im geteilten Mandanten eines US-Konzerns. Zweitens unterliegt der quelloffene Code keiner geschlossenen Vendor-Roadmap. Drittens fallen in der Open-Source-Variante keine Pro-Nutzer-Lizenzkosten an; Enterprise-Funktionen kosten bei Authentik Security 5 US-Dollar pro Nutzer und Monat.
Was bedeutet die Microsoft-Aussage vor dem französischen Senat für deutsche Unternehmen?
Am 10. Juni 2025 bestätigte der Chefjurist von Microsoft France, Anton Carniaux, vor dem französischen Senat, dass Microsoft nicht garantieren kann, dass Daten europäischer Bürger in EU-Rechenzentren nicht an US-Behörden gelangen – auch ohne Zustimmung europäischer Stellen. Konsequenz für deutsche Unternehmen: Wer personenbezogene Daten über einen US-Identity-Provider verarbeitet, sollte das Drittstaaten-Transfer-Risiko in der Datenschutz-Folgenabschätzung explizit dokumentieren. Eine reine EU-Datenresidenz reicht nach Auffassung des Hamburgischen Datenschutzbeauftragten nicht aus, das CLOUD-Act-Risiko zu eliminieren.
Welche NIS2-Anforderungen betreffen das Identity-Management?
Das deutsche NIS2-Umsetzungsgesetz nennt in § 30 einen Katalog an Risikomanagement-Maßnahmen; für Identity & Access Management relevant sind Zugriffskontrollkonzepte und der Einsatz von Multi-Faktor-Authentifizierung. NIS2 schreibt kein bestimmtes Produkt vor, sondern Wirksamkeit nach dem Stand der Technik. § 38 etabliert die persönliche Verantwortung der Geschäftsleitung. Wichtig: Die Wahl des Identity Providers ist eine dokumentationspflichtige Entscheidung – egal ob Entra ID oder Authentik, die Geschäftsführung muss begründen können, warum die gewählte Lösung dem Stand der Technik entspricht. Dies ist kein Rechtsrat – konkrete Compliance-Entscheidungen gehören in die Hand von Datenschutz- und Rechtsberatung.
Was kostet Microsoft Entra ID 2026 im Vergleich zu Authentik?
Microsoft Entra ID kostet 2026 standalone 6 US-Dollar pro Nutzer und Monat (P1) oder 9 US-Dollar (P2), bei jährlicher Bindung. Die meisten DACH-Mittelständler haben Entra über M365-Bundles – M365 Business Premium und E3 enthalten P1, E5 enthält P2. Wer Identity Governance braucht, zahlt als Add-on 7 US-Dollar zusätzlich auf P1 oder bucht die Entra Suite für 12 US-Dollar. Workload ID Premium (3 US-Dollar pro Workload-Identität) ist nie in Bundles enthalten. Authentik Open Source ist kostenlos, Enterprise-Funktionen kosten 5 US-Dollar pro Nutzer und Monat. Managed Authentik bei authhost startet bei 34,90 €/Monat als Pauschale mit unbegrenzten Nutzern.
Ist Authentik eine vollwertige Alternative zu Microsoft Entra ID?
Funktional in weiten Teilen ja, strukturell nicht vollständig. Authentik deckt OIDC, SAML 2.0, LDAP, RADIUS, SCIM, mTLS, Kerberos, Conditional Access und MFA ab – alle Protokolle, die ein Identity Provider braucht. Was Authentik nicht ersetzen kann, ist die tiefe Verzahnung mit Microsoft 365: Conditional Access für Outlook, Teams und SharePoint auf Endpunkt-Ebene funktioniert nur über Entra ID, weil Microsoft diese Schnittstellen nicht offenlegt. Für reine M365-Stacks ist Entra deshalb die natürliche Wahl. Für gemischte Stacks – M365 plus Linux-Server, Custom-Apps, Legacy-LDAP – ist die Coexistence (Entra für M365, Authentik für den Rest) meist die ehrlichste Architektur.
Welche Microsoft-Entra-Sicherheitsvorfälle sollten Entscheider 2026 kennen?
Drei dokumentierte Ereignisse sind weiterhin relevant. Storm-0558 (Juli 2023): Angreifer fälschten Authentifizierungs-Tokens mit einem gestohlenen Microsoft-Signing-Key und griffen auf E-Mail-Konten von rund 25 Organisationen zu, darunter das US-Außenministerium. Der Cyber Safety Review Board der US-Regierung nannte das Ergebnis in seinem Bericht vom März 2024 eine "Kaskade vermeidbarer Fehler" und Microsofts Sicherheitskultur "inadäquat". Midnight Blizzard (Januar 2024): staatsnahe Akteure griffen Microsoft-Konzernpostfächer über einen Legacy-Test-Tenant ohne MFA an. Hinzu kommt der globale Azure-Front-Door-Ausfall am 29. Oktober 2025, der über zwölf Stunden Microsoft-365- und Entra-Anmeldungen weltweit lahmlegte – ausgelöst durch einen Konfigurationsfehler.
Was passiert mit unseren Identitäten, wenn wir Authentik wieder verlassen wollen?
Authentik nutzt Standard-Protokolle: Nutzer, Gruppen und Rollen lassen sich über SCIM-Provisioning oder direkten Datenbank-Export jederzeit migrieren. In einer Self-Hosted- oder Managed-Variante gehören die Daten immer dem Kunden, es gibt keine proprietären Lock-in-Mechanismen. Zum Vergleich: Bei tief integrierten Entra-Setups mit Microsoft-Graph-Anbindung und Conditional-Access-Policies ist die Migrationskomplexität deutlich höher. Das ist kein Nachteil von Entra, sondern die natürliche Folge tiefer Integration – die ehrliche Frage ist, ob diese Tiefe für jede Anwendung gerechtfertigt ist.
Wann ist die Coexistence-Architektur (Entra ID und Authentik) die richtige Wahl?
Drei Indikatoren zusammen sprechen für Coexistence: Erstens, das Unternehmen läuft auf Microsoft 365 und will Microsoft nicht ablösen. Zweitens, es gibt relevante Anwendungen außerhalb des Microsoft-Stacks – Linux-Server mit SSH-Zugriff, RADIUS-VPN, LDAP-Legacy-Apps, Self-Hosted-Tools wie Gitea, Nextcloud oder Grafana oder eine eigene SaaS-Anwendung. Drittens verarbeitet das Unternehmen Daten, die unter NIS2 oder DSGVO besonders sensibel sind und für die der CLOUD-Act-Rahmen eine Rolle spielt. Treffen alle drei zu, ist die Doppel-Strategie meist sauberer als Entra für alles.
Wie schnell lässt sich Authentik neben Entra ID einsetzen?
Eine Managed-Authentik-Instanz bei authhost wird über das Self-Service-Portal in wenigen Minuten bereitgestellt. Die ersten Anwendungen lassen sich typisch in zwei bis vier Wochen anbinden – ein Linux-SSO über OIDC ist Stunden-Arbeit, ein SAML-Provider für eine SaaS-Anwendung ein halber Tag. Die Föderation mit Entra ID ("Login mit Microsoft" als Option in Authentik) ist Standard-OIDC und in rund einer Stunde konfiguriert. Der Engpass ist selten die Technik, sondern die Architektur-Entscheidung im Vorfeld.

Geschrieben von

Timo Wevelsiep

Founder, merkaio

Gründer von merkaio. Managed Authentik Identity Hosting. Fokus auf Identity Management, SSO und Zero-Trust-Architektur.

LinkedIn

Individuelle Anfrage oder Beratung?

Für Enterprise-Anfragen, individuelle Konfigurationen oder eine persönliche Beratung. Schreiben Sie uns eine kurze Nachricht – wir melden uns innerhalb von 24 Stunden bei Ihnen.

Timo Wevelsiep

Ihr Ansprechpartner

Timo Wevelsiep

Gründer, merkaio

[email protected]

Mit dem Absenden stimmen Sie unserer Datenschutzerklärung zu.