Was ist Entra External ID?

Die Lösung Azure AD B2C wurde von Microsoft als Customer Identity & Access Management (CIAM) Plattform entwickelt, wobei Unternehmen ihren Endkunden eine Identität bereitstellen konnten – sei es über soziale Identitätsanbieter oder über eigene lokale Konten. Im Verlauf der Namens- und Produktstrategie wurde Azure AD zu Microsoft Entra ID umbenannt, parallel dazu werden die verschiedenen Identitätstypen gesamtheitlicher betrachtet. Dazu gehören auch die externen Identitäten, welche mit dem Service Entra External ID verwaltet werden können.

Microsoft identifiziert mit Entra External ID die nächste Generation ihrer CIAM- und externen Identitätslösungen: Eine Plattform, die nicht nur Verbraucherkonten (B2C) adressiert, sondern auch Partner, Lieferanten und sonstige externe Identitäten (B2B/B2C hybrid) in einem einheitlichen Modell. Die Plattform wurde dabei vereinheitlicht, sowohl technisch wie auch administrativ. Anders als die bisher getrennten Lösungen basiert sie vollständig auf Microsoft Entra. 

Ab dem 1. Mai 2025 stellte Microsoft den Verkauf neuer Azure AD B2C-Tenants bzw. den Abschluss von Neukäufen über die bisherigen B2C Premium-Pläne ein. Bestehende B2C-Tenants können weiterhin betrieben werden und Microsoft sichert Service-Level, Updates und Compliance bis mindestens 2030 zu.

Somit gilt: Für Neuprojekte ist nicht mehr Azure AD B2C der Einstiegspunkt, sondern Entra External ID.

Entra External ID bietet eine modernisierte Plattform für externe Identitäten (Kunden, Partner, Bürger). Microsoft unterscheidet dabei zwischen Workforce Tenants und External ID Tenants. Wobei ein Workforce Tenant die Identitäten der Mitarbeitenden vorhält und B2B-Szenarien ermöglicht. Ein External ID Tenant wiederum fokussiert sich auf die CIAM-Szenarien. Das hat folgende Vorteile:

• Eine einheitlichePlattform zur Verwaltung externer Identitäten, sowohl im B2C- als auch im B2B-Kontext.
• Integration in die Microsoft Entra Infrastruktur: Gemeinsam genutzte Sicherheits-, Compliance- und Zugriffskontrollmechanismen, die bisher vielfach intern orientiert waren, nun aber auch für externe Zielgruppen verfügbar sind.
• Flexible Lizenzierung und Abrechnung auf Basis monatlich aktiver externer Nutzer (MAU), inklusive einer kostenfreien Stufe für den Einstieg (z. B. erste 50 000 MAU gratis) – ideal für Wachstumsszenarien.
• Zukünftige Innovations-Investitionen fokussieren massgeblich auf External ID, wodurch Unternehmen langfristig auf eine zukunftssichere Plattform setzen können.

Abbildung 1: https://learn.microsoft.com/de-de/entra/external-id/tenant-configurations 

Beim direkten Vergleich zeigen sich mehrere zentrale Unterschiede – und auch viele Überlappungen:

• Zielgruppe und Einsatzszenarien
  • Azure AD B2C war primär für Verbraucherkonten (Endkunden) konzipiert, mit starken Funktionen für soziale Logins, lokale Konten und Branding. 
  • Entra External ID adressiert ein breiteres Spektrum: nicht nur Endkunden, sondern auch Partner, Lieferanten, Bürger usw., mit einheitlicher Plattform für externe Identitäten.
• Produktstatus und Roadmap
  • B2C bleibt zwar im Betrieb für Bestandskunden, aber Microsoft investiert nicht mehr in neue Funktionen für diesen Service. 
  • External ID ist der strategische Nachfolger, auf den Innovationen ausgerichtet sind. Neue Projekte sollten diesen Weg wählen.
• Funktionale Merkmale und Architektur
  • B2C bietet bereits ausgereifte CIAM-Funktionalitäten inkl. Social Login, Branding, Skalierung auf Millionen Verbrauchern. 
  • External ID bringt zusätzlich: modernisierte APIs, Integration mit Entra Governance, vereinfachte Tenant-Modelle, zukunftsorientierte CIAM-Architektur. 

Migrations- und Investitionsentscheidung: Wenn ein Unternehmen bereits B2C im Einsatz hat und keine kurzfristigen Änderungen plant, kann der Betrieb weitergeführt werden. Falls jedoch ein neues Projekt startet oder langfristige Innovation angestrebt wird, bietet External ID die bessere Plattformwahl.

Entra External ID eignet sich insbesondere für folgende Szenarien:

• CIAM (Customer Identity & Access Management): Wenn externe Nutzer (Kunden, Bürger) Zugang zu Anwendungen benötigen, mit Social-Login, Self-Service und hoher Skalierbarkeit.
• Partner- und Lieferanten-Zugang: Externe Akteure, die nicht zum Kernunternehmen gehören, aber Zugriff auf Ressourcen benötigen – einheitliche Verwaltung möglich. Dies wird meist über Workforce Tenants ermöglicht. 
• Hybride Nutzerszenarien: Kombinationen von Verbrauchern, Geschäftspartnern und Dienstleistern in einer Plattform, statt getrennte Services.
• Neuprojekte und moderne Plattformen: Wenn Organisationen auf langfristige Identitäts- und Zugriffslösungen setzen, die innerhalb des Microsoft-Oekosystems wachsen.
• Kostenoptimierung bei hohem Nutzeraufkommen: Das MAU-Modell erlaubt günstige Skalierung – insbesondere bei grossen Nutzerzahlen mit gelegentlichen Logins.

Das Lizenz- und Preismodell von Entra External ID ist wie folgt gestaltbar:

• Basis: Die ersten 50 000 monatlich aktiven Nutzer (MAU) sind kostenlos.
• Danach erfolgt die Abrechnung pro MAU – d. h. pro einzigartigen externen Nutzer, der sich innerhalb eines Kalendermonats authentifiziert.
• Es existieren Premium-Add-ons (z. B. SMS-Authentifizierung, Go-Local Datenresidenz) mit zusätzlichen Gebühren.
• Bestehende B2C- bzw. External Identities P1/P2 SKUs bleiben gültig und Migration ist derzeit nicht zwingend erforderlich.

Im Vergleich zu klassischen CIAM-Plattformen wie Ping Identity oder OneLogin verfolgt Entra External ID einen anderen Ansatz, der stark auf die Integration in das bestehende Microsoft-Ökosystem ausgerichtet ist. Traditionelle CIAM-Anbieter liefern meist sehr breite Funktionspaletten mit tief konfigurierbaren Flows, dedizierten Regel-Engines, umfangreichen Branding-Möglichkeiten und oft langjährig gewachsenen Feature-Sets für komplexe Kundenreisen. Entra External ID konzentriert sich dagegen auf eine moderne, Cloud-native Basis, die sich, je nach Tenant-Modell, eng mit Entra ID, Entra Governance und Identity Protection verzahnt und dadurch ein besonders harmonisiertes Sicherheitsmodell für externe Identitäten bietet. Während klassische CIAM-Lösungen vor allem das Thema Customer Journey in den Mittelpunkt stellen, legt Entra External ID Wert auf ein konsistentes Zero-Trust-Modell über externe und interne Identitäten hinweg. Dadurch eignet sich der Dienst besonders für Unternehmen, die bereits stark im Microsoft-Stack verankert sind, einheitliche Richtlinien für alle Identitätstypen benötigen und Wert auf ein transparentes, MAU-basiertes Lizenzmodell legen.

Dieser Bericht beruht auf Expertenwissen, für die Ausformulierung wurde Hilfe von KI in Anspruch genommen.