Zum Hauptinhalt springen

Lädt...

Hören Sie in die erste Folge von "Wo Wandel wirkt", dem Podcast für Führungskräfte – mit Gast: Petra Finke, CDO der DEKRA

Jetzt reinhören
05/27/2026 Identity Access Management 5 Min. Lesezeit

Microsoft Identity Manager Nachfolger: Was kommt nach MIM — und was kostet es wirklich?

Der 14. Juli 2026 ist kein abstraktes Datum im Microsoft-Support-Kalender. Für viele IT-Abteilungen in Deutschland und Österreich ist es eine operative Deadline mit unmittelbaren Konsequenzen. An diesem Tag endet der Support für SharePoint-Server 2016 und 2019. Und wer Microsoft Identity Manager betreibt, weiß: Die meisten MIM-Portale laufen auf genau dieser SharePoint-Basis.

Die Frage nach dem richtigen Microsoft Identity Manager Nachfolger ist damit keine strategische Zukunftsfrage mehr, sondern eine, die Entscheider in IT und HR heute beantworten müssen. Dieser Artikel gibt Ihnen eine fundierte Übersicht über die offiziellen Optionen, ihre Grenzen und über einen Ansatz, der speziell für Belegschaften ohne PC-Arbeitsplatz entwickelt wurde.

Dr. Nirmalarajah Asokan

Key Takeaways

1. Microsoft Identity Manager (MIM) muss früher migriert werden als gedacht. Das offizielle Supportende für Microsoft Identity Manager liegt im Januar 2029, aber die operative Deadline ist der 14. Juli 2026, wenn SharePoint Server 2016/2019 seinen Support verliert. Da die MIM-Portale in den meisten Produktivumgebungen auf SharePoint laufen, sind IT-Teams bereits jetzt gezwungen, ihre Infrastruktur zu migrieren oder grundlegend zu erneuern. Wer mit der Planung bis 2028 wartet, riskiert, auf einem unsicheren Unterbau zu operieren.

2. Microsoft Entra ID ist der offizielle Nachfolger, aber nicht für alle Nutzende gleich gut geeignet. Microsoft positioniert Entra ID als die zentrale Zukunftsplattform für Identitätsmanagement im Microsoft-Ökosystem. Für Wissensarbeiter, die bereits in Microsoft 365 integriert sind, ist der Wechsel logisch und oft sinnvoll. Für operative Mitarbeitende ohne E-Mail-Adresse und ohne Desktop-Arbeitsplatz entstehen jedoch lizenzrechtliche und funktionale Hürden: Die F-Serien-Lizenzen von Microsoft sind für Belegschaften mit einfachem App-Zugang oft schwer zu rechtfertigen. Das ist ein Effekt, den Praktiker als „Entra Tax" bezeichnen.

3. Forefront Identity Manager (FIM) ist keine Alternative mehr. Wer heute noch Forefront Identity Manager betreibt, den Vorgänger von MIM, befindet sich in einer kritischen Lage: FIM erhält seit Jahren keine Sicherheitsupdates mehr, ist mit aktuellen Serverversionen kaum kompatibel und stellt ein aktives Sicherheitsrisiko dar. Die Migration ist nicht optional, sondern überfällig. Ein Migrationsplan, der FIM als Zwischenstation vorsieht, verlängert das Problem, löst es aber nicht.

4. Frontline-Identitäten brauchen eine eigene Architekturentscheidung. Organisationen mit gemischten Belegschaften (Büroarbeitende und gewerbliche Mitarbeitende) fahren selten gut damit, alle Identitäten über einen einzigen Identity-Provider abzuwickeln. Operative Mitarbeitende benötigen einen Mitarbeiter-Login, der ohne E-Mail, ohne PC und ohne IT-Ticket funktioniert, aktivierbar per QR-Code oder Passkey, direkt aus dem HR-System provisioniert. Eine eigenständige, auf Frontline-Szenarien spezialisierte Identitätslösung kann diese Anforderungen kosteneffizienter abdecken als eine vollständige Entra-Migration für alle Benutzer.

5. Der Migrationsplan entscheidet: Segmentierung statt Einheitslösung. Die Migration von MIM ist eine strategische Weichenstellung. Unternehmen, die jetzt einen durchdachten Migrationsplan entwickeln, mit klarer Segmentierung zwischen Wissensarbeiter-Identitäten (Entra ID) und operativen Identitäten (spezialisierter IDP) , schaffen eine Identity-Infrastruktur, die langfristig tragfähig, compliant und kosteneffizient ist. Wer dagegen unreflektiert alle Mitarbeitende in Entra überführt, löst kurzfristig das Migrationsproblem, schafft aber mittelfristig ein Kostenproblem.

Woman in warehouse with thumbs up, holding phone, Logistics Control Center logo on shirt

Insights für bessere interne Kommunikation

Einmal im Monat: konkrete Ideen, Studien und Praxisbeispiele rund um operative Mitarbeitende, interne Kommunikation und Frontline-HR — direkt in Ihr Postfach.

Was ist Microsoft Identity Manager (MIM) — und warum endet seine Ära jetzt?

Microsoft Identity Manager, kurz MIM, ist eine On-Premises-Lösung zur Verwaltung digitaler Identitäten innerhalb von Unternehmensnetzwerken. Microsoft Identity Manager 2016 ist die aktuelle und letzte Version der Plattform. Sie ermöglicht die Synchronisation von Benutzeridentitäten über verschiedene Verzeichnisse hinweg, die Provisionierung von Zugängen aus HR-Systemen heraus, die Verwaltung von Zertifikaten und Berechtigungen sowie Self-Service-Funktionen wie Self Service Password Reset über das MIM-Portal.

MIM ist der direkte Nachfolger von Forefront Identity Manager (FIM), der seinerseits auf dem Identity Integration Feature Pack (IIFP) von Microsoft aufbaute. Diese Entwicklungslinie spiegelt wider, wie lange Unternehmen ihre Identity-Management-Infrastruktur auf Microsoft-Technologien aufgebaut haben — oft über zehn bis fünfzehn Jahre hinweg, tief integriert in Active Directory und angebundene HR-Systeme wie SAP oder Workday.

Das Supportende für MIM selbst ist auf Januar 2029 datiert. Wer das als Puffer interpretiert, übersieht eine entscheidende Abhängigkeit: Das MIM-Portal, die zentrale Schnittstelle für Self-Service-Funktionen, Berechtigungsverwaltung und Benutzeranfragen, basiert in den meisten produktiven Umgebungen auf SharePoint. Genau dieser Unterbau verliert im Juli 2026 seinen Support. Sicherheitsupdates, Patches, Dokumentation, all das entfällt. Wer bis dahin nicht migriert, betreibt eine kritische Zugriffsverwaltungslösung auf einer Plattform ohne Support.

So erreichen Sie Ihre operativen Teams zu 80 % schneller und zuverlässiger

Die mobile App von Flip vereint Nachrichten, Chat, HR-Tools und Ihr Wissensarchiv in einer sicheren Anwendung. Keine zusätzlichen Tools oder Lizenzen erforderlich.

Die offizielle Antwort von Microsoft: Entra ID als MIM-Nachfolger

Microsoft hat seine Antwort auf die Frage nach dem MIM-Nachfolger klar kommuniziert: Microsoft Entra ID — früher bekannt als Azure Active Directory — ist die Zukunft des Identitätsmanagements im Microsoft-Ökosystem. Die Cloud-basierte Plattform übernimmt wesentliche Funktionen, die Unternehmen bislang mit MIM abgedeckt haben: Single Sign-On, Multi-Faktor-Authentifizierung, Lifecycle-Management von Identitäten, Governance- und Compliance-Funktionen sowie die Anbindung an externe Verzeichnisse über Entra Connect.

Microsoft Entra ID bietet eine moderne, cloud-native Architektur und ist in viele Microsoft-Dienste nativ integriert, von Microsoft 365 über Azure bis hin zu Dynamics. Für Organisationen, die bereits stark im Microsoft-Ökosystem verankert sind und überwiegend Wissensarbeiter beschäftigen, ist der Wechsel zu Entra die logische Konsequenz ihrer bestehenden Cloud-Strategie.

Entra Connect ermöglicht dabei die Brücke zwischen bestehenden On-Premises-Umgebungen mit Active Directory und der Cloud-basierten Plattform, eine wichtige Funktion für Unternehmen, die keine sofortige Vollmigration durchführen können oder wollen. Auch ein gestufter Migrationsplan, bei dem Teile der Identitätsverwaltung schrittweise in die Cloud verlagert werden, ist mit Entra umsetzbar.

Soweit die offizielle Perspektive. Die Frage ist: Passt sie vollständig zu Ihrer Organisation?

Der „Entra-Tax"-Effekt: Warum Microsoft Entra ID für Frontline-Teams teuer wird

Für viele Unternehmen in Deutschland und Österreich gilt eine Realität, die in den offiziellen Microsoft-Migrationsempfehlungen kaum auftaucht: Ein erheblicher Teil der Belegschaft sitzt nicht am PC. In der Produktion, im Lager, im Einzelhandel, in der Pflege — überall dort arbeiten Menschen, die keine Unternehmens-E-Mail-Adresse haben, keinen Desktop-Arbeitsplatz und oft auch kein privates Gerät, über das sie auf digitale Systeme zugreifen.

Für genau diese Mitarbeitenden greift das gängige Microsoft-Lizenzmodell hart zu. Eine Entra-ID-Lizenz in der F-Serie kostet pro Nutzer und Monat — und wer eine vollständige Microsoft-365-Umgebung für seine Frontline-Belegschaft abbilden möchte, kommt schnell auf ein Vielfaches dessen. Bei 500 gewerblichen Mitarbeitenden, die die App lediglich für den Mitarbeiter-Login zum Schichtplan oder zur Lohnabrechnung nutzen, summiert sich das auf eine jährliche Belastung, die schwer gegenüber dem CFO zu rechtfertigen ist.

Dieser Effekt ist in der Branche bekannt: verschiedene IT-Dienstleister haben auf die Kostenimplikationen von Entra-Migrationen für gemischte Belegschaften hingewiesen. Das Problem ist struktureller Natur: Microsoft Entra ID ist als universelle Identitätsplattform konzipiert — für Wissensarbeiter mit vollständiger Microsoft-365-Integration. Für Unternehmen mit großen operativen Belegschaften bedeutet das, dass sie für Benutzer bezahlen, die nur einen Bruchteil der lizenzierten Funktionen nutzen.

Entra ID kann viel, aber nicht alles: Was für Frontline-Umgebungen fehlt

Microsoft Entra ID ist eine mächtige Plattform. Aber sie ist nicht für alle Szenarien gleich gut geeignet. Wer Identity Management für Mitarbeitende ohne PC aufsetzt, stößt auf strukturelle Grenzen:

  1. Provisionierung ohne E-Mail. In klassischen Entra-Umgebungen setzt die Erstellung einer Benutzeridentität eine E-Mail-Adresse voraus oder zumindest eine definierte Schnittstelle zu HR-Systemen, die diese liefert. Viele Industrieunternehmen haben für gewerbliche Mitarbeitende historisch keine digitalen Identitäten angelegt. Der Aufwand, diese Lücke im Rahmen einer Entra-Migration zu schließen, wird regelmäßig unterschätzt.

  2. Mobile-First-Szenarien. Frontline-Mitarbeitende nutzen Smartphones, nicht Laptops. Die Entra-basierte Authentifizierung ist für Desktop-Workflows optimiert; mobile Onboarding-Flows für Mitarbeitende ohne unternehmenseigene Geräte erfordern zusätzliche Konfiguration und in vielen Fällen zusätzliche Lizenzen.

  3. Self-Service-Funktionen mit Grenzen. Self Service Password Reset funktioniert in Entra, aber nur für Benutzer, die bereits vollständig im System angelegt sind. Für Mitarbeitende, die ihre digitale Identität per QR-Code oder Einladungscode aktivieren sollen, ist Entra nicht der optimale Ausgangspunkt.

Die digitale Identität von operativen Angestellten erfordert andere Antworten als die klassische Bürokratie-Optimierung des Wissensarbeiter-Workflows.

Forefront Identity Manager: Warum der Vorgänger keine Option ist

Eine Überlegung, die in der Praxis gelegentlich auftaucht: Wenn MIM zu komplex in der Migration ist, könnte man dann nicht beim Vorgänger, dem Forefront Identity Manager (FIM), bleiben? Die Antwort ist eindeutig: Nein. FIM ist seit Jahren ohne Support, erhält keine Sicherheitsupdates mehr und ist mit aktuellen Windows-Server-Versionen und modernen LDAP-Implementierungen kaum noch kompatibel. FIM im Produktivbetrieb zu halten bedeutet, eine bekannte Angriffsfläche in der eigenen Infrastruktur zu tolerieren.

Wer heute noch FIM betreibt, hat die dringende Migration auf eine zeitgemäße Plattform bereits überfällig. Der Schritt zu einem modernen Nachfolger ist hier noch kritischer als bei MIM 2016.

Was einen echten MIM-Nachfolger für operative Belegschaften auszeichnet

Bevor Organisationen eine Migrationsentscheidung treffen, lohnt es sich, die Anforderungen sauber zu formulieren. Nicht als abstrakte Feature-Liste, sondern als Beschreibung der Realität in ihren eigenen Umgebungen.

Ein leistungsfähiger Nachfolger für Microsoft Identity Manager in Organisationen mit gemischten Belegschaften sollte folgende Kriterien erfüllen:

  1. Lifecycle-Management ohne E-Mail-Abhängigkeit. Der Lebenszyklus einer digitalen Identität — von der Anlage über Statusänderungen bis zur Deaktivierung — muss aus HR-Systemen heraus steuerbar sein, ohne dass eine E-Mail-Adresse als Pflichtattribut vorausgesetzt wird.

  2. Mobile Aktivierung. Der Login für operative Angestellte muss ohne IT-Ticket funktionieren. QR-Code-Aktivierung, Einladungscodes, Passkeys — das sind die Onboarding-Mechanismen, die in Produktionshallen, Lagern und Verkaufsflächen tatsächlich funktionieren.

  3. Integrationsfähigkeit. Kein isoliertes System. Der Nachfolger muss sauber mit bestehenden Verzeichnissen (Active Directory, Entra), HR-Systemen (SAP SuccessFactors, Workday, Personio) und operativen Anwendungen kommunizieren.

  4. Compliance und Sicherheit. Revisionssichere Audit Logs, Rollenbasierte Zugriffskontrolle, MFA — diese Anforderungen gelten auch für gewerbliche Mitarbeitende und sollten nicht als „zu aufwändig für Frontline" abgetan werden.

  5. Skalierbarkeit ohne Lizenz-Overhead. Die Plattform muss für große Belegschaften bezahlbar bleiben, auch wenn Mitarbeitende nur für einen einzigen, klar definierten Zugriffszweck digital identifiziert werden müssen.

Flip Identity: Eine Alternative für die digitale Identität operativer Mitarbeitender

Hier kommt ein Ansatz ins Spiel, der explizit für die beschriebenen Szenarien entwickelt wurde: Frontline Identity by Flip.

Flip Identity ist ein Identity Provider (IDP), der als eigenständige Plattform neben Microsoft Entra ID betrieben werden kann — kein Ersatz für Entra, wo Entra sinnvoll ist, aber eine Alternative für jenen Teil der Belegschaft, für den eine Vollmigration in Entra finanziell nicht rechtfertigbar ist.

Das Kernszenario: Unternehmen nutzen Entra ID für ihre Büro- und Verwaltungsmitarbeitenden wie gehabt. Für gewerbliche Mitarbeitende, die einen Mitarbeiter-Login für operative Apps wie Flip, Schichtplanungs-Tools oder digitale Lohnabrechnungen benötigen, übernimmt Flip Identity die Identitätsverwaltung. Der Zugang wird über QR-Code oder Einladungscode aktiviert, Passkeys ersetzen das klassische Passwort, und die Anbindung an HR-Systeme sorgt für automatisiertes Lifecycle-Management.

Das Ergebnis ist eine saubere Trennung: Desk-Worker bleiben in Entra. Frontline-Mitarbeitende erhalten eine sichere, zweckgebundene digitale Identität, ohne dass für sie vollständige Microsoft-Lizenzen bezahlt werden müssen. Die Integration läuft über offene APIs zurück in die zentralen HR-Systeme und Active-Directory-Umgebungen — kein Silo, sondern eine ring-fenced Identitätsschicht, die sich kohärent in die bestehende Infrastruktur einfügt.

Für Organisationen, die gerade dabei sind, ihren Migrationsplan aus MIM heraus zu entwickeln, lautet die entscheidende Frage nicht: „Wie migrieren wir alle in Entra?" Sondern: „Welche Identitäten gehören wirklich nach Entra — und welche brauchen eine andere Antwort?"

Was bei der Migration wirklich zählt: Ein Migrationsplan für gemischte Umgebungen

Eine Migration von Microsoft Identity Manager ist kein reines Technologieprojekt. Sie ist ein Organisationsprojekt, das IT, HR und Compliance zusammenbringt. Wer jetzt mit der Planung beginnt, sollte folgende Schritte in der richtigen Reihenfolge angehen:

  1. Bestandsaufnahme der Identitätslandschaft. Welche Benutzergruppen existieren? Welche Systeme werden durch MIM provisioniert? Welche Abhängigkeiten bestehen zu SharePoint, zu HR-Systemen, zu LDAP-Verzeichnissen? Eine gute Dokumentation der aktuellen Umgebung ist die Grundlage jeder sinnvollen Migrationsentscheidung.

  2. Segmentierung nach Nutzertypen. Wissensarbeiter und Frontline-Mitarbeitende haben unterschiedliche Identitätsanforderungen. Eine undifferenzierte Vollmigration aller Nutzer in eine einzige Plattform erzeugt in gemischten Belegschaften fast immer entweder Kostendruck oder funktionale Lücken.

  3. Entscheidung über die Plattformarchitektur. Wird Entra ID für die gesamte Organisation eingesetzt? Oder wird ein Hybridmodell gewählt, bei dem eine spezialisierte Lösung für operative Identitäten genutzt wird? Diese Entscheidung sollte vor der technischen Implementierung fallen

  4. Integration mit HR-Systemen priorisieren. Der Lebenszyklus von Identitäten — besonders bei Mitarbeitenden mit hoher Fluktuation wie in Logistik oder Einzelhandel — funktioniert nur dann zuverlässig, wenn die Provisionierung aus dem HR-System heraus automatisiert ist. Manuelle Prozesse sind kein tragfähiges Fundament für Compliance.

  5. Supportoptionen klären. Wer bislang auf externe Dienstleister wie die Oxford Computer Group oder andere Microsoft-Partner für seine MIM-Implementierung gesetzt hat, sollte frühzeitig klären, welche Unterstützung für die Zielarchitektur verfügbar ist — inklusive Fragen zu Schulung, laufendem Betrieb und Sicherheitsupdates.

Fazit: Der Nachfolger muss zur Belegschaft passen, nicht umgekehrt

Der Druck, aus Microsoft Identity Manager herauszumigieren, ist real und er ist für viele Organisationen akuter als das offizielle Supportende 2029 vermuten lässt. Wer seine Infrastruktur noch auf SharePoint 2016 oder 2019 betreibt, muss jetzt handeln.

Microsoft Entra ID ist eine starke Antwort für viele Szenarien. Aber sie ist nicht die einzige und für Organisationen mit großen operativen Belegschaften ist sie nicht immer die günstigste oder funktional passendste.

Die Unternehmen, die aus dieser Migration mit einer dauerhaft tragfähigen Identity-Architektur herausgehen, sind jene, die eine klare Segmentierung vornehmen: welche Identitäten in Entra gehören, welche einen anderen, leichtergewichtigen Weg brauchen. Identity Management für Mitarbeiter ohne PC ist keine Randanforderung — es ist eine der wichtigsten offenen Fragen im digitalen Wandel der Industrie.

So erreichen Sie Ihre operativen Teams zu 80 % schneller und zuverlässiger

Die mobile App von Flip vereint Nachrichten, Chat, HR-Tools und Ihr Wissensarchiv in einer sicheren Anwendung. Keine zusätzlichen Tools oder Lizenzen erforderlich.

Häufig gestellte Fragen zu Microsoft Identity Manager Nachfolger

Was ist der offizielle Nachfolger von Microsoft Identity Manager (MIM)?  +

Microsoft hat Microsoft Entra ID (früher Azure Active Directory) als Nachfolger von Microsoft Identity Manager positioniert. Entra ID ist eine cloud-basierte Identity-Management-Plattform, die wesentliche MIM-Funktionen — Lifecycle-Management, Single Sign-On, MFA, Berechtigungsverwaltung — in einer modernen Architektur abbildet. Für Organisationen mit überwiegend desk-basierten Mitarbeitenden ist Entra ID in den meisten Szenarien die richtige Wahl.

Bis wann muss ich von MIM migriert haben?  +

Das offizielle Supportende für Microsoft Identity Manager 2016 ist der 9. Januar 2029. Die operative Deadline liegt jedoch früher: SharePoint Server 2016 und 2019, auf dem die meisten MIM-Portale aufsetzen, verliert am 14. Juli 2026 seinen Support. Wer MIM-Portale für Self-Service-Funktionen oder Berechtigungsverwaltung nutzt, sollte seinen Migrationsplan jetzt aufsetzen — nicht erst 2028.

Was ist der Unterschied zwischen MIM und Entra ID?  +

Microsoft Identity Manager ist eine On-Premises-Lösung zur Synchronisation von Benutzeridentitäten über lokale Verzeichnisse (Active Directory, LDAP, HR-Systeme). Microsoft Entra ID ist eine cloud-native Plattform mit deutlich erweitertem Funktionsumfang: Zero-Trust-Architektur, Conditional Access, nativer Azure-Integration und modernen Authentifizierungsmethoden wie Passkeys. MIM war auf komplexe On-Premises-Umgebungen ausgelegt; Entra ist für hybride und vollständig cloud-basierte Infrastrukturen konzipiert.

Ist Forefront Identity Manager (FIM) eine Option als Übergangslösung?  +

Nein. Forefront Identity Manager, der Vorgänger von MIM, erhält seit Jahren keine Sicherheitsupdates mehr und ist mit aktuellen Server-Versionen und modernen LDAP-Implementierungen nicht mehr kompatibel. FIM im Produktivbetrieb zu halten bedeutet, eine bekannte Angriffsfläche dauerhaft offen zu lassen. Eine Migration ist hier nicht optional, sondern überfällig.

Was kostet die Migration von MIM zu Entra ID für Frontline-Belegschaften?  +

Die Lizenzkosten für Entra ID sind nutzerbezogen. Für Büro- und Verwaltungsmitarbeitende, die bereits Microsoft-365-Lizenzen besitzen, entsteht oft kein signifikanter Mehraufwand. Für gewerbliche Mitarbeitende ohne E-Mail-Adresse und ohne PC-Arbeitsplatz — in Logistik, Produktion oder Einzelhandel — können die F-Serien-Lizenzen bei großen Belegschaften schnell zu erheblichem Kostendruck führen. Diesen Effekt bezeichnet die Branche als „Entra Tax". Alternatives Identity Management für Mitarbeiter ohne PC, etwa über spezialisierte Frontline-IDP-Lösungen wie Flip Identity, kann diese Kosten deutlich reduzieren.

Kann ich Entra ID und einen zweiten Identity Provider parallel betreiben?  +

Ja. Eine Hybridarchitektur, in der Entra ID für Wissensarbeiter und ein spezialisierter IDP für Frontline-Mitarbeitende genutzt wird, ist technisch sauber umsetzbar und wird von verschiedenen Unternehmen bereits praktiziert. Beide Systeme lassen sich über offene APIs und Standard-Protokolle (OIDC, SAML) miteinander verbinden und in bestehende HR-Systeme integrieren. Eine sorgfältige Planung der Identitätssegmentierung ist dabei entscheidend.

Dr. Nirmalarajah Asokan

Dr. Nirmalarajah Asokan ist Senior Content Marketing Manager bei Flip und schreibt zu Themen wie HR-Digitalisierung, Mitarbeiter-Apps, interne Kommunikation und KI-Transformation. Mit akademischem Hintergrund und jahrelanger Erfahrung im Content Marketing sowie SEO spezialisiert er sich auf praxisnahe und datengetriebene Inhalte rund um Employee Experience, Change Management und digitale Kollaboration für moderne Unternehmen.

Weitere Artikel von Dr. Nirmalarajah Asokan

Beitrag teilen

Mehr zum Thema Identity Access Management

Zurück zu allen Flip-Artikeln