Entra ID Governance Lifecycle Workflows für Berliner KMU
Jedes Mal, wenn ein neuer Mitarbeiter dem Unternehmen beitritt, die Abteilung wechselt oder ausscheidet, müssen IT-Aufgaben erledigt werden: Konten erstellen, Lizenzen zuweisen, Gruppenmitgliedschaften anpassen, Zugriff entziehen. Manuell ausgeführt sind diese Aufgaben langsam, fehleranfällig und erzeugen Sicherheitsrisiken — insbesondere, wenn das Offboarding verzögert wird und ausgeschiedene Mitarbeiter weiterhin Zugriff haben. Entra ID Governance Lifecycle Workflows automatisieren den gesamten Joiner–Mover–Leaver-Prozess, ausgelöst durch HR-Datenänderungen.
Das Joiner–Mover–Leaver-Problem
- Joiner: Neue Mitarbeiter warten Stunden oder Tage auf Zugriff, während die IT Konten manuell erstellt. Produktivität geht am ersten Tag verloren.
- Mover: Beim Abteilungswechsel werden alte Gruppenmitgliedschaften und Lizenzen nicht immer entzogen. Über Zeit akkumulieren Nutzer übermäßige Zugriffsrechte.
- Leaver: Konten ausgeschiedener Mitarbeiter werden nicht immer sofort deaktiviert. In KMU ohne formale Offboarding-Checklisten bleiben Konten manchmal wochenlang aktiv.
Wie Lifecycle Workflows funktionieren
Workflows werden in Entra ID → Identity Governance → Lifecycle Workflows konfiguriert. Jeder Workflow definiert:
- Auslöser: Eine Attributänderung in Entra ID — typischerweise
employeeHireDate, Abteilungswechsel oderaccountExpires. HR-Systeme, die über Azure AD Connect oder SCIM mit Entra synchronisieren, liefern diese Attribute automatisch. - Geltungsbereich: Auf welche Nutzer der Workflow angewendet wird (alle Nutzer oder gefiltert nach Abteilung, Standort, Stellenbezeichnung).
- Aufgaben: Konto aktivieren/deaktivieren, Gruppenmitgliedschaft hinzufügen/entfernen, Lizenz zuweisen/entziehen, Willkommens-E-Mail senden, Temporary Access Pass generieren, benutzerdefinierte Logic App ausführen.
Vorgefertigte Workflow-Vorlagen
| Vorlage | Auslöser | Hauptaufgaben |
|---|---|---|
| Neuen Mitarbeiter anlegen | X Tage vor Einstellungsdatum | Konto aktivieren, Lizenz zuweisen, zu Gruppen hinzufügen, Willkommens-E-Mail mit TAP senden |
| Neuer Mitarbeiter (Tag des Eintritts) | Einstellungsdatum | Konto aktivieren, Manager benachrichtigen |
| Sofortiger Mitarbeiteraustritt | Sofortiger Auslöser | Konto deaktivieren, Gruppenmitgliedschaften entfernen, aktive Sitzungen widerrufen |
| Geplanter Austritt | X Tage nach letztem Arbeitstag | Konto löschen, Lizenzzuweisungen entfernen |
| Abteilungswechsel | Änderung des Abteilungsattributs | Zu neuer Abteilungsgruppe hinzufügen, aus alter entfernen |
Temporary Access Pass für Einsteiger
Eine der nützlichsten Joiner-Workflow-Aufgaben ist die Ausstellung eines Temporary Access Pass (TAP) — ein zeitlich begrenzter Einmalcode, mit dem ein neuer Mitarbeiter sich anmelden und seine MFA-Methode registrieren kann, ohne ein vorhandenes Credential zu benötigen. Kombiniert mit der Konfiguration passwortloser Authentifizierung kann ein neuer Mitarbeiter am ersten Tag über ein vollständig konfiguriertes, MFA-geschütztes Konto verfügen — ohne IT-Beteiligung bei der eigentlichen Einrichtung.
Lizenzanforderung
Lifecycle Workflows erfordern Microsoft Entra ID Governance, das in Microsoft 365 E5 enthalten oder als eigenständiges Add-on verfügbar ist. Für Microsoft 365 Business Premium Kunden: Die enthaltene Entra ID P2-Lizenz deckt Access Reviews und PIM ab, aber nicht Lifecycle Workflows — das Governance-Add-on muss separat lizenziert werden.
Integration mit bestehenden Tools
Lifecycle Workflows unterstützen benutzerdefinierte Aufgabenerweiterungen über Azure Logic Apps. Das bedeutet: Der Workflow kann Aktionen auslösen, die über Entra ID hinausgehen — ein Ticket im Helpdesk-System erstellen, einen Nutzer in einer Fachanwendung anlegen, einen Manager in Teams benachrichtigen oder eine spezifische Intune-Compliance-Prüfung auslösen — alles automatisch am Tag des Eintritts oder Austritts.
Möchten Sie Joiner-, Mover- und Leaver-Prozesse in Ihrer Berliner Organisation automatisieren? Kontaktieren Sie uns für ein kostenloses Gespräch.
Weiterfuehrende Artikel
Auch zu diesem Thema