Microsoft Entra External ID: Ausnahme von strengeren Login-Regeln

Microsofts neue Sicherheitsregeln für Login-Portale treffen nicht die moderne Kunden-Identitätsplattform Entra External ID. Diese Klarstellung kommt zur rechten Zeit, denn Unternehmen stehen unter Druck: Der Support für wichtige Sicherheitsfunktionen des Vorgängers Azure AD B2C endet bereits am 16. März 2026.

IT-Abteilungen beschleunigen deshalb weltweit die Umstellung auf das neue System. Mit nur noch wenigen Wochen bis zur Deadline bewerten sie die architektonischen Unterschiede und setzen auf neue Migrations-Tools, die Microsoft im Februar 2026 bereitgestellt hat.

Sicherheits-Update: Script-Blockade mit Ausnahme

Ein geplantes Sicherheits-Update von Microsoft sorgte kürzlich für Diskussionen. Eine neue Content Security Policy (CSP) soll bis Ende 2026 unautorisierte externe Skripte auf Standard-Login-Seiten blockieren, um Cross-Site-Scripting-Angriffe zu verhindern.

Doch offizielle Dokumente bestätigen nun: Browser-basierte Anmeldungen über Microsoft Entra External ID sind von dieser Restriktion ausgenommen. Diese Ausnahme ist ein wichtiger Freiraum für Entwickler. Sie können weiterhin maßgeschneiderte Authentifizierungserweiterungen nutzen, um alte Systeme mit modernen Kundenportalen zu verbinden.

Unternehmen, die jetzt Entra External ID oder Azure AD B2C migrieren, stehen vor neuen Sicherheitsfragen. Ein kostenloses E?Book fasst aktuelle Cyber?Security?Trends, relevante neue Gesetze (inkl. KI?Regulierung) und sofort umsetzbare Maßnahmen zusammen, mit denen IT?Teams Risiken schnell reduzieren können. Ideal für IT?Leiter und Sicherheitsverantwortliche, die Migration und Schutz gleichzeitig vorantreiben wollen. Jetzt kostenlosen Cyber?Security?Guide herunterladen

Parallel zu dieser Klarstellung brachte Microsoft im Februar mehrere Funktions-Updates für die Entra-Plattform. Ein universelles Tool zur Sitzungs-Widerrufung im Admin-Center ersetzt den veralteten Knopf zum Widerruf der Zwei-Faktor-Authentifizierung (MFA). Die alte Lösung galt nur für benutzerbasierte MFA und verursachte häufig Verwirrung. Das neue Tool beendet nun alle Sitzungen eines Nutzers gleichzeitig – unabhängig davon, wie die MFA durchgesetzt wurde. Das sorgt für eine konsistentere Reaktion bei verdächtigen Kontozugriffen.

Zudem führte Microsoft zwei neue Admin-Rollen ein: den Teams External Collaboration Administrator und den Authentication Extensibility Password Administrator. Letzterer soll IT-Teams gezielt die Berechtigungen geben, um benutzerdefinierte Logik und Erweiterungen während komplexer Nutzermigrationen zu verwalten.

Der große Unterschied: Altes B2C vs. neues External ID

Seit der allgemeinen Verfügbarkeit von Microsoft Entra External ID im Mai 2024 müssen Identity-Architekten die technischen Unterschiede zum Vorgänger Azure AD B2C verstehen. Beide Lösungen ermöglichen den Zugang für externe Nutzer – wie Kunden, Bürger oder Geschäftspartner. Doch ihre Architektur und das Entwickler-Erlebnis unterscheiden sich grundlegend.

Azure AD B2C basiert auf einer älteren Architektur. Sie erfordert separate Management-Portale und setzt für komplexe Nutzer-Journeys stark auf umfangreiche, XML-basierte Richtlinien. Entra External ID ist dagegen nativ in das größere Entra-Ökosystem integriert. Administratoren können so externe Identitäten zusammen mit internen Mitarbeiter-Identitäten über eine einheitliche Oberfläche verwalten. Das reduziert den operativen Aufwand.

Die neue Plattform setzt zudem auf einen entwicklerfreundlichen Ansatz. Native Integrationen, wie Erweiterungen für Visual Studio Code, vereinfachen die Erstellung individueller Login-Oberflächen.

Ein weiterer großer Unterschied liegt in der Flexibilität der Mandanten-Konfiguration. Entra External ID erlaubt es, mehrere externe Kunden-Mandanten mit einem einzigen Mitarbeiter-Mandanten zu verbinden. So lassen sich verschiedene Kundengruppen oder Partnernetzwerke isolieren, während die zentrale Steuerung erhalten bleibt.

Auch das Lizenzmodell wurde modernisiert. Entra External ID nutzt eine Abrechnung nach Monatlich Aktiven Nutzern (MAU). Der Basisdienst ist für die ersten 50.000 MAU kostenfrei, danach gilt eine Standardgebühr pro Nutzer. Branchenbeobachter sehen in diesem Modell, kombiniert mit der tiefen Integration in Microsofts Sicherheits-Stack – inklusive nativer Passkey-Unterstützung und erweitertem bedingtem Zugriff – einen deutlichen Robustheits-Vorteil für moderne Anwendungen.

Migration erleichtert: Neue Tools für reibungslosen Übergang

Die Migration von Millionen externer Nutzer von einem alten System zu einem neuen Identitätsanbieter ist eine große technische Herausforderung, besonders beim Credential-Management. Um diese Hürde zu senken, startete Microsoft Anfang Februar 2026 die Public Preview der „Just-in-Time“-Passwort-Migration für Entra External ID.

Diese Funktion ermöglicht es, Nutzer-Anmeldedaten im Hintergrund während der nächsten aktiven Anmeldung sicher zu übertragen. Indem die Credentials über benutzerdefinierte APIs beim alten Identitätsanbieter validiert werden, entfällt der disruptive Massen-Reset von Passwörtern. Erfüllt ein Nutzer die Migrationsbedingungen am Login-Bildschirm, werden seine Daten automatisch und sicher übertragen. Das gewährleistet die Geschäftskontinuität und minimiert Frust bei den Endnutzern.

Gleichzeitig veröffentlichten auch andere Anbieter Lösungen, um den Übergang zu beschleunigen. So veröffentlichte der Zugriffsmanagement-Spezialist Datawiza am 21. Februar 2026 aktualisierte Anleitungen für No-Code-Implementierungen von Entra External ID. Technische Berichte zeigen: Traditionelle SDK- oder API-Integrationen machen Identitäts-Migrationen oft zu riesigen, anwendungs-spezifischen Ingenieursprojekten. Proxy-basierte No-Code-Lösungen können Anwendungsverkehr dagegen über moderne Identitätsprotokolle leiten, ohne umfangreiche Änderungen am Code alter Applikationen zu erfordern. Experten zufolge gewinnen diese alternativen Bereitstellungsmethoden an Popularität, da Unternehmen ihre Infrastruktur unter Zeitdruck modernisieren.

Countdown läuft: Fristende im März 2026

Der unmittelbare Auslöser für die aktuelle Modernisierungswelle ist die bevorstehende Einstellung von Identity Protection für Azure AD B2C am 16. März 2026. Microsoft hatte den Verkauf dieses Sicherheits-Add-ons an Neukunden bereits im Mai 2025 gestoppt und bestehende Nutzer gewarnt: Sie müssen einen alternativen Anbieter finden oder auf Entra External ID umstellen, um den Schutz vor Betrug aufrechtzuerhalten.

Identity Protection erkennt kompromittierte Zugangsdaten, überwacht anomale Anmeldeaktivitäten und wendet risikobasierten bedingten Zugriff an. Der Verlust dieser Fähigkeit würde alte Mandanten verwundbar für automatisierte Cyber-Bedrohungen machen.

Der Kern-Dienst von Azure AD B2C wird zwar mindestens bis 2030 unterstützt. Doch die Einstellung seiner erweiterten Sicherheitsfunktionen signalisiert Microsofts klaren strategischen Fokus auf Entra External ID als einzige CIAM-Plattform der Zukunft. Branchenbeobachter erwarten, dass Microsoft alle neuen Funktionen, KI-Integrationen und fortschrittlichen Bedrohungsschutz-Maßnahmen ausschließlich in diese Umgebung investieren wird.

Unternehmen, die noch auf die alte B2C-Infrastruktur setzen, wird geraten, ihre Nutzerabläufe zu prüfen, neue Migrations-Tools wie die JIT-Passwort-Übertragung zu evaluieren und ihren Fahrplan für den Umstieg zu finalisieren. Nur so lassen sich kritische Sicherheitslücken in den kommenden Wochen vermeiden.