English|DEField NotesKontaktAnmeldenDemo buchen

Iden vs Entra ID Governance

Ein detaillierter Vergleich: Abdeckung, Kontrolle, Kosten - und wann welche Lösung in deinen Stack passt.

10 Min. Lesezeit · Zuletzt aktualisiert April 2026

Microsoft besitzt das Verzeichnis, auf dem Enterprise-IT läuft: AD, M365, Entra SSO. Die Governance-Schicht ist eine andere Geschichte. Non-Microsoft SaaS, Contractors, Service Accounts, 90 %+ des Stacks ohne SCIM. Nichts davon gut abgedeckt.

Entra ID Governance bringt zusätzlich zwei separate Steuerschichten mit: E5-Steuer, um Governance-Features freizuschalten, und SCIM-Steuer für jedes SaaS-Tool. Dieser Leitfaden zeigt, was jede Lösung gut kann, wo sie an ihre Grenzen stößt und wie du entscheidest.

Auf dieser Seite

Wann Entra ID Governance die richtige Wahl ist

Entra ID Governance funktioniert, wenn euer Stack wirklich Microsoft-first ist und ihr bereits auf dem Tier seid, das die Features freischaltet. Weniger Teams erfüllen diese Bedingung, als Microsofts Vertrieb vermuten lässt.

  • Euer gesamter Stack läuft auf Microsoft. M365, Teams, SharePoint, Azure. Native Governance, kein zusätzlicher Anbieter.

  • Ihr seid bereits auf E5. Der Governance-Step-up kostet 4 $/Nutzer/Monat - überschaubar, wenn ihr sowieso schon dort seid.

  • Einfache Zertifizierungen reichen aus: Microsoft-Apps, ein paar SCIM-fähige SaaS-Tools, maximal zwei Review-Ebenen.

  • Ein dedizierter Microsoft Identity Engineer im Team - jemand, der das Entra-Modell kennt und aktuell hält.

  • Contractors und externe Partner spielen kaum eine Rolle. Kein komplexer Guest-Lifecycle, keine große Partner-Population.

Wann Iden die richtige Wahl ist

Die meisten IT-Teams stoßen schneller an die Grenzen von Entra ID Governance, als erwartet. Wer schon mal versucht hat, Notion oder Salesforce über Entra zu govermen und dabei Logic Apps gebaut oder die Lücke einfach akzeptiert hat, weiß wovon wir reden.

  • Mehr als die Hälfte eures Stacks ist Non-Microsoft SaaS. Notion, Figma, Salesforce, GitHub Standard. Entra kann sie nicht govermen.

  • Ihr habt Contractors. Entra behandelt sie als B2B Guests ohne eigenen Lifecycle - und berechnet seit Januar 2026 0,75 $/Guest/Monat für jede Governance-Aktion.

  • Ihr seid auf E3, nicht E5. Das Upgrade kostet 21 $/Nutzer/Monat mehr - pro Nutzer mehr als Idens Vollpreis, noch bevor die SCIM-Steuer greift.

  • SOD-Durchsetzung über mehr als ein paar Microsoft-Apps hinaus, oder über Systeme, die Entra gar nicht sieht.

  • Service Accounts, API Keys, OAuth Grants. Entra braucht dafür eine separate 3 $/Workload-SKU - die Managed Identities trotzdem nicht abdeckt.

  • Audit-Logs über 30 Tage hinaus. Entra-Standard sind 30 Tage. SOC 2, HIPAA oder SOX bedeuten: Azure Monitor Pipeline selbst bauen.

  • Interne Tools, Legacy-Systeme oder Eigenentwicklungen. Entra hat dafür keinen Weg. Iden liefert Konnektoren in 48 Stunden.

Nutzt ihr bereits Entra SSO? Entra bleibt für Authentifizierung und MFA zuständig. Iden übernimmt die Governance darüber. Verschiedene Tools, verschiedene Aufgaben.

Gemeinsame Funktionen

Bevor wir zu den Unterschieden kommen: Was beide gleichwertig können. Beide decken den Kern von Identity Governance ab.

FunktionEntraIden

JML-Workflows

Eintritt, Rollenwechsel, Austritt. Ausgelöst durch HR-Events.

Access Certifications

Mehrstufige Reviews, Eskalation und Reporting. Umfang unterscheidet sich - siehe unten.

SCIM-Provisionierung

Beide unterstützen SCIM, wo Apps es anbieten. Die Lücke dazu: siehe unten.

Self-Service Access Requests

End-User-Portal für Zugriffsanfragen. Tiefe und UX unterscheiden sich.

Separation of Duties

Konflikte in Zugriffskombinationen blockieren. App-Abdeckung und Tiefe unterscheiden sich.

Policy-based Access Control

Rollenbasierte Policies nach Abteilung, Standort oder Titel.

Audit-Logs und Compliance-Reporting

Manipulationssichere Logs. SOC 2, ISO 27001, Standard-Compliance.

Teams-, Slack- und E-Mail-Benachrichtigungen

Genehmigungsflows, Review-Erinnerungen, Zugriffsanfragen.

Wo sie sich unterscheiden

Damit endet die Überschneidung. Außerhalb des Microsoft-Ökosystems zeigen sich die Lücken bei Abdeckung, Kontrolle und Kosten.

1. Iden deckt euren gesamten Stack ab. Mit oder ohne SCIM.

Microsoft governet, was in Entra ist: M365, Teams, SharePoint und Apps mit SCIM im Enterprise-Tarif. Von den rund 300 Apps, die die meisten IT-Teams betreiben, bieten weniger als 4 % SCIM im Standardtarif an. Die anderen 96 % sind auf sich gestellt.

Iden nutzt über 180 Konnektoren - SCIM wo verfügbar, API-basiert wo nicht, individuell gebaut für alles andere. Interne Tools, Legacy-Systeme, Eigenentwicklungen - alles abgedeckt. Die ersten 15 Apps sind in unter einer Stunde live. Was nicht im Katalog ist, baut Iden in 48 Stunden.

SCIM oder nicht.

Iden verbindet Apps, die Entra nicht erreicht. Notion, Figma, Linear, GitHub Standard und über 100 weitere.

Interne Tools.

Entra hat keinen Weg zu internen Tools oder Legacy-Systemen. Iden liefert SCIM++-Konnektoren in 48 Std. oder weniger.

Jeder IdP.

Entra SSO, Okta, Google Workspace oder ein Mix? Iden setzt oben drauf. Keine Migration nötig.

NHI auch.

Service Accounts, API Keys, OAuth Grants, KI-Agenten. Gleiche Oberfläche wie für Menschen.

EntraIden
Non-SCIM-AppsNicht abgedeckt180+ native Konnektoren
Non-Microsoft IdP(s)Nur EntraJeder IdP
NHI GovernanceSeparate SKU (3 $/Workload/Monat)Nativ
On-Prem jenseits AD/LDAPNicht unterstütztAlles, inkl. Mainframes
Shadow IT DiscoveryNeinJa
SaaS-Lizenz-OptimierungNeinJa
Zeit bis zu ersten 15 AppsWochen<1 Std.
Custom ConnectorsPartner/API-Build - Tage bis WochenLieferung in <48 Std.

Abdeckung bringt euch connected. Kontrolle ist, wo Governance tatsächlich passiert - und wo die Grenzen von Entra ID Governance sich zu stapeln beginnen.

2. Kontrollen, die tiefer gehen als Entras.

Entra governet auf Gruppen- und Access-Package-Ebene - nicht auf Entitlement-Ebene. Access Reviews sagen euch, ob jemand in einer Gruppe ist - nicht, was die Person innerhalb der App tatsächlich tun kann. Diese Einschränkung zieht sich durch Zertifizierungen, SOD und alles, was danach kommt.

On-Prem AD-Gruppenaufgaben funktionieren in Lifecycle Workflows nicht. Nur cloud-native Gruppen werden unterstützt. Wenn euer On-Prem AD noch die Quelle für App-Autorisierungen ist, bleibt diese Lücke euer Problem.

Audit-Logs sind standardmäßig 30 Tage. Eigene Reports bedeuten Export nach Azure Data Explorer - KQL-Kenntnisse, separate Infrastruktur, laufende Wartung. Für SOC 2, HIPAA oder SOX muss diese Pipeline stehen, bevor das Audit beginnt, nicht währenddessen.

Iden governet auf Entitlement-Ebene. Langfristige Audit-Aufbewahrung inklusive. Contractor- und NHI-Lifecycle nativ - keine Logic Apps, keine B2B-Guest-Workarounds.

EntraIden
BerechtigungsgranularitätGruppe / Access PackageFeingranular
On-Prem AD-Gruppenaufgaben in WorkflowsNicht unterstütztUnterstützt
Audit-Log-Aufbewahrung30 Tage (Standard)Langfristig
Custom ReportingErfordert Azure Data ExplorerIntegriert
Contractor-LifecycleB2B-Guest-WorkaroundNativ
NHI-LifecycleSeparate SKU erforderlichNativ
SOD auf Entitlement-EbeneNur Microsoft-AppsGesamter Stack
Proxy-ZugriffsanfragenNicht unterstütztUnterstützt
Reviewer-Entscheidung revidierenNicht unterstütztUnterstützt
Engineering-AbhängigkeitHochKeine

Die Funktionslücken sind das eine. Die Kosten tauchen zweimal auf - einmal auf der Microsoft-Rechnung, einmal bei jeder SaaS-Verlängerung.

3. Zwei Steuern: E5-Steuer + SCIM-Steuer.

Entra ID Governance kostet rund 13 $/Nutzer/Monat - P2 plus Governance-Step-up oder P1 plus das vollständige Add-on. Noch ohne die beiden Steuern.

Die meisten Mid-Market-Unternehmen sind auf M365 E3, nicht E5. E3 enthält Entra P1 - kein PIM, keine vollständigen Access Reviews, keine Lifecycle Workflows. Governance erfordert den Wechsel auf E5. Das sind 21 $/Nutzer/Monat mehr.

Pro Nutzer mehr als Idens Vollpreis.

Dann die SCIM-Steuer. ~70 % eures Stacks sperren SCIM hinter Enterprise-Tarifen. Sobald ihr auf einem Enterprise-IdP seid, kennen das die Anbieter und kalkulieren entsprechend. Das kommt on top auf die E5-Kosten, die ihr bereits bezahlt habt.

E5-Steuer: M365 E3 → E5 um Governance freizuschalten

E3 enthält Entra P1. Für PIM, Lifecycle Workflows und vollständige Access Reviews braucht ihr E5 - oder P2 plus das Governance-Add-on. Der Unterschied: ca. 21 $/Nutzer/Monat.

300 Nutzer+6.300 $/Monat+75.600 $/Jahr
500 Nutzer+10.500 $/Monat+126.000 $/Jahr
1.000 Nutzer+21.000 $/Monat+252.000 $/Jahr

Noch ohne SCIM-Steuer. Noch ohne Guest-Abrechnung. Noch ohne Workload ID Premium für Service Accounts.

Iden: 7,50 $/Nutzer/Monat. Kein E5 erforderlich.

SCIM-Steuer: dann kommen die SaaS-Upgrades

~70 % eures Stacks sperren SCIM hinter Enterprise-Tarifen. Ihr upgradet nur, um die Provisionierung zu automatisieren - on top auf das E5-Upgrade, das ihr bereits bezahlt habt.

SalesforceStarter (25 $/Nutzer)Enterprise (175 $/Nutzer)7x
FigmaProfessional (16 $/Nutzer)Enterprise (90 $/Nutzer)5,6x
GitHubTeam (4 $/Nutzer)Enterprise (21 $/Nutzer)5,3x
SlackPro (7,25 $/Nutzer)Business+ (15 $/Nutzer)2,1x
NotionPlus (10 $/Nutzer)Enterprise?
LinearBasic (10 $/Nutzer)Enterprise?

Bei einem 300-Personen-Team bedeutet allein das Figma-Upgrade +22.200 $/Jahr. Nur für automatisierte Provisionierung.

Iden läuft auf Standard-Tarifen. Keine Upgrades nötig.

Dazu die Guest-Abrechnung: 0,75 $/Guest/Monat, Azure-seitig abgerechnet, seit Januar 2026. Service Accounts: separate SKU. Workload ID Premium bei 3 $/Workload/Monat. Nicht in E5 oder der Entra Suite enthalten.

Iden startet bei 7,50 $/Nutzer/Monat. Keine E5-Steuer. Keine SCIM-Steuer. Keine Guest-Steuer. Kein NHI-SKU-Aufschlag.

EntraIden
Einstiegspreis (volle Governance)~13 $/Nutzer/Monat*7,50 $/Nutzer/Monat
Microsoft E5 erforderlichJa (oder P2 + Add-on)Nein
SCIM-Steuer~70 % eures StacksNein
Guest-/Contractor-Abrechnung0,75 $/Guest/MonatInklusive
NHI GovernanceSeparate SKU (3 $/Workload/Monat)Inklusive
Audit-Aufbewahrung30 Tage (Azure Monitor extra)Langfristig inklusive
ImplementierungszeitWochenUnter 24 Stunden
SaaS-Lizenz-OptimierungNicht verfügbarIntegriert

* P2 (9 $) + Governance-Step-up (4 $), oder P1 (6 $) + vollständiges Governance-Add-on (7 $).

Was Praktiker über Entra ID sagen

The biggest problem is that the solution cannot be used as the only IGA today. It just doesn't have a front-end. It has a great back-end with many functions, API integration, etc., but the front-end is missing.

Verifizierter Nutzer·Gartner Peer Insights

Reporting capabilities are very poor. It is important to have all possible reports and be able to build new custom reports inside of the product. This is not the case today.

Verifizierter Nutzer·Gartner Peer Insights

The solution lacks the feature to work well with third-party applications.

Verifizierter Nutzer·PeerSpot

If you want to conduct access review of database-based applications, then you cannot do that.

Verifizierter Nutzer·PeerSpot

In hybrid environments, a governance gap arises: rights in the cloud are tightly regulated, but not transparent locally, and recertification remains a manual effort.

Praxisanalyse·Aumatics

Was Iden-Kunden sagen

Wir govermen Notion, Figma, Linear und unsere internen Tools. Alles an einem Ort. Entra hätte die Hälfte davon gar nicht erfasst.

IT-Manager · Devtools-Startup, 300 Personen

Das E5-Upgrade nur für Governance hätte uns pro Nutzer mehr gekostet als Iden. Die Entscheidung war einfach.

VP of IT · SaaS-Unternehmen, 600 Personen

Endlich echte Access Reviews. Nicht nur 'ist diese Person im Access Package', sondern was sie in der App wirklich tun kann.

Director of IT · Edtech-Unternehmen, 10.000+ Personen (Entra-Kunde)

Unsere Contractors haben jetzt einen richtigen Lifecycle. Kein Guest-Account mehr, den irgendwer vergisst zu löschen.

Head of IT · Fintech-Startup, 200 Personen

Wie ihr zwischen Iden und Entra ID Governance entscheidet

Kommt auf euren Stack, eure Lizenz und euer Team an. Entra funktioniert, wenn ihr wirklich Microsoft-first seid und bereits auf E5 seid. Iden passt für alles andere.

Wenn ihr braucht…WahlWarum
Governance für einen reinen Microsoft-StackEntraNative M365-Integration. Funktioniert gut, solange ihr im Ökosystem bleibt.
Governance für Non-Microsoft SaaSIden180+ Konnektoren. Kein SCIM nötig. Keine Enterprise-Upgrades.
Governance für interne oder Legacy-SystemeIdenIden liefert Konnektoren in <48 Std. Entra hat keinen Weg zu Non-AD-On-Prem-Systemen.
Non-Microsoft oder gemischte IdP-UmgebungIdenJeder IdP. Keine Migration. Entras Governance ist an Entra als IdP gebunden.
Einfache Zertifizierungen auf Gruppenebene für M365EntraDeckt unkomplizierte Microsoft-Compliance ab.
Feingranulare Zertifizierungen + RemediationIdenEntitlement-Ebene. Gesamter Stack. Anomalien nach dem Review automatisch behoben.
Contractor-Lifecycle ohne WorkaroundsIdenNativer Contractor-Lifecycle. Kein B2B-Guest-Modell, keine Abrechnung pro Guest.
NHI Governance (Service Accounts, API Keys)IdenNativ. Entras 3 $/Workload-SKU extra deckt Managed Identities trotzdem nicht ab.
Audit-Logs über 30 Tage ohne Azure-InfrastrukturIdenIntegrierte Langzeit-Aufbewahrung. Keine Azure Monitor Pipeline nötig.
Kein E5- oder SCIM-Aufschlag, FlatrateIdenEntra-Kosten verdoppeln sich. Iden startet bei 7,50 $/Nutzer/Monat, keine Enterprise-Upgrades.

Den vollständigen Vergleich wollen?

Feature-für-Feature-Vergleich: Abdeckung, Kontrolle und Kosten in einem Referenzdokument. Jede Einschränkung von Entra ID Governance, jede Iden-Funktion - nebeneinander. Nützlich für Vendor-Evaluierungen, interne Präsentationen und Budgetgespräche.

Vergleichs-PDF herunterladen

Kein Formular. Direkter Download.

Ein paar Dinge, die es wert sind, direkt gesagt zu werden

Wir nutzen Entra bereits für SSO. Ersetzt Iden das?

Nein. Entra bleibt für SSO und MFA zuständig. Iden übernimmt die Governance obendrauf - Non-Microsoft-Apps, Contractors, Service Accounts. Verschiedene Tools, verschiedene Aufgaben.

Wir sind auf E5. Warum nicht einfach das Governance-Add-on nutzen?

Wenn euer Stack rein Microsoft ist, lohnt sich ein Versuch. Sobald ihr Non-Microsoft SaaS, Contractors oder Service Accounts govermen müsst, stoßt ihr an die Grenzen. Iden deckt ab, was Entra nicht erreicht.

Was ist mit unserem On-Prem Active Directory?

Iden governet On-Prem-Systeme nativ, inklusive AD. Entras Lifecycle-Workflow-Gruppenaufgaben funktionieren nicht für Gruppen, die aus On-Prem AD synchronisiert werden. Nur cloud-native Gruppen werden unterstützt.

Wie handhabt Iden B2B Guests - also Contractors und Partner?

Für Iden ist das einfach eine weitere Identity - daher nativer Lifecycle und Governance, ohne den 0,75 $/Guest/Monat-Aufschlag.

Wie sieht die Implementierung in der Praxis aus?

Idens Onboarding-Team kümmert sich darum. Die ersten 15 Apps in unter einer Stunde. Rollout in Batches. Custom Connectors in 48 Std. Euer Team muss nichts anfassen.

Wir haben in drei Monaten ein SOC 2 Audit. Reicht die Zeit?

Ja. Die meisten Kunden sind innerhalb von zwei Wochen nach Go-Live audit-ready. Nachweise in Echtzeit - nicht auf 30 Tage gekappt oder hinter einer Azure Monitor Pipeline versteckt, die ihr erst bauen müsst.

Schau, wie Iden eure Entra ID Governance-Lücken schließt.

Kein Deck. Kein Discovery Call. Einfach das Produkt - mit euren Apps, eurem IdP, eurer echten Umgebung.

Demo buchen (25 Min.)