Ist CodeB ein Ersatz für Microsoft Entra ID?

Nein. CodeB ist dafür gebaut, neben Entra ID zu laufen, nicht als Ersatz. Entra ID ist ausgezeichnet für den modernen Office-Anwender — Cloud-Konten, Windows Hello auf dem persönlichen Notebook, SaaS-Anmeldung. CodeB übernimmt dort, wo das Entra-Modell endet: geteilte Terminals, OT-Segmente, Air-Gap-Standorte, HMIs, alte Domänen, klinisches Roaming, Operator-Zuordnung auf Sammelkonten.

Warum deckt Entra ID geteilte Arbeitsplätze nicht ab?

Windows Hello ist eine Pro-Anwender, Pro-Gerät-Registrierung. An einem geteilten Terminal müsste sich jede Pflegekraft, jeder Operator oder Schichtarbeiter auf jeder Workstation, die er anfasst, einzeln registrieren. Diese Übung scheitert in der Praxis. CodeB stellt NFC-Karten zentral per CLI aus — ohne End-Anwender-Registrierung.

Funktioniert CodeB ohne Internet?

Ja. CodeB öffnet im Betrieb keine ausgehende Verbindung. Installation, Karten-Enrolment, Anmeldung — alles funktioniert offline, dauerhaft. Genau aus diesem Grund standardisieren Kunden im Verteidigungsumfeld, in Klinik-OT und in isolierter Fertigung auf CodeB statt auf einen Entra-zentrierten Stack.

Endpunkt-Authentifizierung, ehrlich

Warum Organisationen Endpunkt-Authentifizierung jenseits von Entra ID brauchen.

Entra ID ist das richtige Werkzeug für den Office-Anwender im Cloud-Modell. Für geteilte Terminals, OT-Segmente, Air-Gap-Standorte, HMIs, alte Domänen und Operator-Zuordnung auf Sammelkonten ist es das nicht. Diese Seite ist die ehrliche Liste von neun Umgebungen, in denen der Cloud-only-Stack an seine Grenze stößt — und CodeB stattdessen daneben Platz nimmt.

Das ist keine Anti-Microsoft-Seite. Die meisten unserer Kunden betreiben Entra ID für ihre Office-Belegschaft und CodeB für die Teile der Umgebung, für die Entra ID nicht gebaut wurde. Beide laufen auf derselben Workstation friedlich nebeneinander.

Die ehrliche Einordnung

Entra ID dort, wo es glänzt. CodeB dort, wo es nicht hinkommt.

Entra ID ist eine hervorragende Identity-Ebene für Office-Anwender, SaaS-Anmeldung und das moderne Firmen-Notebook. Schwierig wird es, sobald dasselbe Spielbuch auf ein Stations-Terminal in der Klinik, eine CNC-Operator-Station, ein Air-Gap-Labor, eine zehn Jahre alte AD-Domäne mit einer klinischen Anwendung oder ein Fertigungs-HMI angewendet werden soll, das einmal pro Schicht hochfährt. Keiner dieser Endpunkte ist für Cloud-Identität gebaut. Diese Endpunkte unter Entra ID zu pressen ist entweder unmöglich — sie haben kein Internet — oder teuer und brüchig. CodeB übernimmt genau an dieser Grenze.

Entra ID Active Directory Lokale Konten Hybrid

Neun Umgebungen

Wo Entra ID am Anmeldebildschirm nicht die Antwort ist.

Jede dieser Umgebungen ist ein wiederkehrendes Gespräch mit Security-Architekten, deren Führung Entra ID standardisiert hat und unterwegs feststellt, dass Teile der Umgebung nicht passen. Das Muster ist immer gleich: Das Cloud-Modell funktioniert auf dem Notebook der Vertrieblerin perfekt und verliert mit jedem Schritt vom Büro weg an Halt.

01 / Geteilte Arbeitsplätze

Viele Anwender, eine Tastatur, Roaming unter einer Sekunde.

Ein Stations-Terminal in der Klinik, eine Fertigungslinien-Station, ein Helpdesk-PC: Dutzende Identitäten teilen eine Workstation pro Schicht. Windows Hello ist pro Anwender, pro Gerät — jede Pflegekraft müsste sich auf jeder Workstation registrieren, die sie anfasst. CodeB stellt eine NFC-Karte zentral aus, und diese Karte öffnet jeden Arbeitsplatz im Geltungsbereich in unter einer Sekunde — mit voller Pro-Anwender-Zuordnung.

02 / OT & Fertigung

Anlagen-Netze, die nie mit der Firmen-Cloud sprechen.

OT-Segmente sind typischerweise vom Firmennetz abgeschottet und dürfen Microsoft-Tenants ausdrücklich nicht erreichen. Die Windows-Maschinen in diesen Segmenten brauchen trotzdem eine zuordenbare Anmeldung — für NIS2, IEC 62443 und die interne Incident-Response. CodeB läuft als Software innerhalb des Segments und authentifiziert gegen lokale oder AD-Konten, ohne die Grenze zu verlassen.

03 / Offline-Systeme

Windows auf Geräten ohne Route nach draußen.

Ein mobiler Bildgebungs-Wagen auf der Station, eine Forensik-Arbeitsstation, ein Strahlentherapie-Planungs-PC, ein Vermessungs-Notebook auf See. Der Endpunkt ist Windows; das Netz ist manchmal nichts. Entra ID braucht weiterhin periodische Token-Refreshes gegen die Cloud; CodeB ist dafür ausgelegt, ohne diese Verbindungen zu arbeiten.

04 / Getrennte und lückenhaft verbundene Standorte

Der Betrieb darf nicht stehenbleiben, wenn die Anbindung steht.

Außenkliniken, Praxen, Schiffe, Offshore-Plattformen, Filialen am Ende einer marginalen DSL-Leitung. Wenn das Internet ausfällt — und das tut es — müssen Ihre Operatoren sich an der Workstation vor ihnen weiterhin anmelden können. CodeB authentifiziert lokal; der SaaS-Identity-Provider-Ausfall wird nicht zum Anmelde-Ausfall.

05 / HMIs & Embedded Windows

Druckerpressen, Verpackungslinien, CNC-Maschinen, Laboranalyzer.

Eingebettete Windows-HMIs laufen oft zehn bis fünfzehn Jahre innerhalb größerer Maschinen und waren nie für Cloud-Identität gedacht. Sie zu ersetzen, nur um ein Identity-Refresh zu ermöglichen, ist nicht realistisch. CodeB härtet die Anmeldung am vorhandenen HMI, ohne die Operator-Software umzubauen oder das signierte OEM-Image anzufassen.

06 / Alte Domänen und nicht stillgelegte AD-Forests

Das Verzeichnis, von dem Sie weiter abhängen, das aber nicht in die Cloud kommt.

Die meisten Unternehmen haben mindestens einen AD-Forest, der eine Klinik-Anwendung, ein ERP, eine Akten-Verwaltung oder eine alte ICS-Konsole trägt — und dieser Forest wird im Planungshorizont nicht nach Entra ID gehen. CodeB authentifiziert gegen dieses AD wie es ist, ohne Schema-Änderungen, ohne Entra Connect, ohne Hybrid-Join.

07 / Klinik-Terminals und Roaming-Sitzungen

Karte auflegen zum Anmelden. Karte abziehen zum Sperren oder Abmelden. Nächstes Bett.

Bettkanten-Terminals und mobile klinische Workstations brauchen Sub-Sekunden-Anmeldung, konfigurierbares Verhalten beim Karten-Entfernen und ein Sitzungsmodell, das den Stationswechsel beherrscht. Entra ID kann den Anwender authentifizieren, liefert aber diesen Endpunkt-Workflow nicht. Die Karten-Entfernen-Aktion von CP V2 ist per Policy konfigurierbar: nichts tun, die Workstation sperren oder den Anwender abmelden — je nach Stations-Policy.

08 / Operator-Zuordnung auf Sammelkonten

Ein geteiltes Konto, ein Operator pro Zeitpunkt.

Deutsche Kliniken und Fertigungslinien halten historisch gewachsene Sammelkonten für klinische Anwendungs-Gründe, die Auditoren nicht einfach beiseite schieben. NIS2 und KRITIS-Regulierer erwarten trotzdem Zuordnung. CodeB legt pro-Anwender-NFC- oder TOTP-Authentifizierung über das geteilte Windows-Konto, sodass jede Handlung auf eine reale Person zurückführbar bleibt — auch wenn das Konto darunter geteilt ist. Bei NFC geht CP V2 einen Schritt weiter: Bei Anmeldung und Entsperren wird die ID der authentifizierenden Karte an das Office-Author-Profil angehängt, z. B. username (EA35CF34). Jede Änderung, jeder Kommentar und jeder Metadaten-Eintrag in Word, Excel und PowerPoint trägt dann dieses Karten-Token, das mit derselben ID im Windows-Anmelde-Event korreliert — volle Zuordnung auf Dokument-Ebene auf einem Sammelkonto.

09 / Air-Gap-Umgebungen

Für den Betrieb ohne ausgehenden Verkehr konzipiert.

Industrielle OT-Umgebungen, regulierte Forschungs-Settings, kritisch-infrastrukturelle SCADA-Netze und vergleichbare Bereiche sind häufig physisch oder logisch luftgetrennt: kein Entra-Tenant erreichbar, kein Microsoft-Lizenzserver, kein Telemetrie-Pfad. CodeB ist für diesen Fall von Tag eins gebaut und wird auf Segmenten eingesetzt, in denen „ausgehend“ keine Einstellung, sondern eine Netzgrenze ist.

Auf einen Blick

Wo welches Modell passt.

Eine kurze, ehrliche Matrix. Wo die Zeile „Entra ID“ sagt, fahren Sie Entra ID. Wo die Zeile „CodeB“ sagt, ist der Cloud-only-Weg der brüchige.

Endpunkt-Realität	Beste Wahl	Warum
Büro-Notebook, Einzelanwender, Cloud-gemanagt	Entra ID	Pro-Gerät-Hello, Conditional Access, modernes Enrolment. Nutzen Sie, was Microsoft gebaut hat.
SaaS-Anmeldung quer durch die Büro-Belegschaft	Entra ID	Genau der Fall, für den Entra ID gebaut wurde. CodeB tritt hier nicht an.
Geteilter Arbeitsplatz, viele Schicht-Anwender, NFC-Tap	CodeB	Zentrale Karten-Ausgabe, keine Pro-Anwender-Registrierung, Sub-Sekunden-Roaming.
OT-Segment ohne ausgehende Route	CodeB	Kein Tenant, kein Cloud-Refresh, läuft komplett im Segment.
Alter AD-Forest, der nicht migrieren kann	CodeB	Authentifiziert gegen das AD wie es ist — ohne Schema-Änderung, ohne Entra Connect.
Klinisches Roaming, NFC-Anmeldung mit Karten-Entfernen-Sperre oder -Abmeldung	CodeB	NFC-Tap zum Anmelden; die Karten-Entfernen-Aktion ist per Policy konfigurierbar (nichts tun, sperren oder abmelden) und im Credential Provider eingebaut.
Air-Gap-Netz	CodeB	Mit der Annahme gebaut, dass es kein Internet gibt.
HMI / Embedded Windows hinter OEM-Image	CodeB	Legt sich auf die bestehende Anmeldung — ohne Maschinenersatz, ohne OEM-Image-Umbau.
Pro-Anwender-Zuordnung auf einem Sammelkonto	CodeB	Gestapelte Authentifizierung über dem geteilten Konto; jede Handlung bleibt zuordenbar.

Entra ID + CodeB

CodeB ist dafür gebaut, neben Entra ID zu sitzen — nicht dagegen.

CP V2 authentifiziert lokale Konten, Active Directory und Microsoft Entra ID aus demselben Installer. Viele unserer Kunden betreiben Entra ID für die Büro-Belegschaft und CP V2 auf derselben Windows-Version für klinische Workstations, OT-Maschinen und Air-Gap-Labore. Group Policy entscheidet, welches Modell die Maschine nutzt. Beide schließen sich nicht aus.

Ein Installer, drei Kontomodelle

Lokal, AD und Entra ID aus einer einzigen Credential-Provider-DLL, gesteuert per Policy — kein zweites Produkt.

Group Policy, keine weitere Konsole

Die Konfiguration lebt in Group Policy und der Registry. Ihre vorhandenen AD-Admins, MDT-Pipelines und Intune-Profile treiben sie.

Keine Tenant-Migration nötig

Sie müssen den alten AD-Forest oder das OT-Segment nicht zuerst nach Entra ID heben. CodeB nimmt den Endpunkt wie er heute ist.

Ein Audit-Trail, zwei Identity-Ebenen

Jede CodeB-Anmeldung wird in das Standard-Windows-Ereignisprotokoll geschrieben; Ihre Entra-ID-Anmelde-Logs laufen parallel weiter.