Microsoft Entra ID Governance: Zugriffsüberprüfungen, PIM und Lifecycle-Workflows für kleine Unternehmen Berlin
Zu wissen, wer auf was Zugriff hat — und ob dieser Zugriff noch gerechtfertigt ist — ist eine der schwierigsten Identity-Governance-Herausforderungen für wachsende Unternehmen. Microsoft Entra ID Governance adressiert dies mit Zugriffsüberprüfungen, Entitlement Management, Privileged Identity Management (PIM) und Lifecycle-Workflows: strukturierten Mechanismen zur Vergabe, Überprüfung und automatischen Entziehung von Zugriffsrechten basierend auf Regeln, Zeitlimits und Managemententscheidungen.
Für kleine und mittelständische Unternehmen in Berlin reduziert Entra ID Governance das Risiko dauerhafter privilegierter Zugriffe, hilft beim Nachweis der DSGVO- und ISO 27001-Zugriffskontrollanforderungen und automatisiert den Joiner-Mover-Leaver-Lebenszyklus (JML), den IT-Teams sonst manuell verwalten. Dieser Beitrag erläutert jede Komponente, ihre Interaktionen und praktische Konfigurationsanleitungen.
Zugriffsüberprüfungen (Access Reviews)
Zugriffsüberprüfungen ermöglichen regelmäßige, prüfbare Überprüfungen, wer Zugriff auf Anwendungen, Gruppen oder privilegierte Rollen hat — und entfernen den Zugriff automatisch, wenn Reviewer zustimmen oder wenn innerhalb des Überprüfungszeitraums keine Antwort eingeht. Überprüfungen können für Azure AD-Gruppenmitgliedschaften, Enterprise-Application-Zuweisungen, Azure RBAC-Rollen und Entra ID-Verzeichnisrollen konfiguriert werden.
Konfigurationsoptionen für Zugriffsüberprüfungen
| Einstellung | Empfohlener Wert | Begründung |
|---|---|---|
| Überprüfungshäufigkeit | Vierteiljährlich für Apps, monatlich für privilegierte Rollen | Entspricht dem ISO 27001 A.9.2.5-Überprüfungsrhythmus |
| Reviewer-Typ | Manager (für App-Zugriff); Selbstüberprüfung + Manager für Gruppenmitgliedschaft | Manager haben Geschäftskontext; Selbstüberprüfung markiert veraltete Zugriffe |
| Bei keiner Antwort | Zugriff entfernen | Fail-Secure-Standard — Unterlassen = Entziehung |
| Ergebnisse automatisch anwenden | Aktiviert (7 Tage Kulanzfrist) | Eliminiert manuelle Nachverfolgung; setzt Entscheidungen durch |
| Umfang | Alle Benutzer (einschließlich Gäste) | Gästekonten sind risikobehaftet, wenn sie nicht überprüft werden |
Zugriffsüberprüfungsergebnisse sind im Entra ID-Audit-Protokoll verfügbar, in Log Analytics exportierbar und können in Microsoft Sentinel für Compliance-Berichte integriert werden. Jede Entscheidung — genehmigt, abgelehnt, keine Antwort — wird mit Zeitstempel und Reviewer-Identität aufgezeichnet.
Entitlement Management
Entitlement Management ermöglicht die Definition von Zugriffspaketen — Bündeln von Ressourcen (Gruppen, Anwendungen, SharePoint-Websites), die Benutzer über ein Self-Service-Portal anfordern können, mit Genehmigungsworkflows und zeitgebundenen Zuweisungen. Dies ersetzt Ad-hoc-IT-Ticketprozesse für Zugriffsanfragen durch einen gesteuerten, prüfbaren Workflow.
Komponenten eines Zugriffspakets
- Katalog: Container für Zugriffspakete — typischerweise eines pro Abteilung oder Projekt (z. B. „Finanzressourcen“, „Azure DevOps-Projekte“)
- Zugriffspaket: Benanntes Bündel von Ressourcen (z. B. „Finance Analyst-Zugriff“ umfasst Finanzgruppe + SAP-Anwendung + SharePoint-Finanzwebsite)
- Richtlinie: Wer das Paket anfordern kann (interne Benutzer, bestimmte Gruppen, externe Partner), wer genehmigt und wie lange der Zugriff gilt (z. B. 180 Tage mit Verlängerungsoption)
- Zuweisung: Die aktive, zeitgebundene Gewährung des Zugriffspakets an einen Benutzer — bei Ablauf automatisch entzogen, es sei denn, die Zuweisung wird verlängert
Entitlement Management ist besonders wertvoll für den Partnerzugriff von außen: Ein Berliner KMU kann ein Zugriffspaket für eine bestimmte Partnerorganisation erstellen, die Genehmigung durch einen internen Sponsor konfigurieren und den automatischen Ablauf nach 90 Tagen festlegen. Kein IT-Ticket, keine dauerhaften Gästekonten, keine manuelle Bereinigung.
Privileged Identity Management (PIM)
PIM eliminiert dauerhaften privilegierten Zugriff, indem Benutzer berechtigte Rollenzuweisungen Just-in-Time (JIT) aktivieren müssen. Ein berechtigter globaler Administrator muss die Rolle in Entra PIM explizit aktivieren und dabei eine Begründung angeben und optional MFA oder eine Genehmigung auslösen — und die Rolle verfällt nach dem konfigurierten Zeitfenster automatisch (typischerweise 1-8 Stunden).
PIM-Konfigurationscheckliste
- Alle globalen Administrator-Zuweisungen von dauerhaft aktiv zu berechtigt konvertieren — dies ist die einzelne wirkungsvollste Änderung für die Sicherheit privilegierter Zugriffe
- Maximale Aktivierungsdauer festlegen: 1 Stunde für globale Administratoren, 4 Stunden für workload-spezifische Rollen
- MFA bei der Aktivierung für alle privilegierten Rollen erfordern (auch wenn MFA über Conditional Access bereits erzwungen wird)
- Genehmigungsworkflow für globale Administratoren, privilegierte Rollenadministratoren und Benutzerzugriffsadministratoren konfigurieren
- PIM-Zugriffsüberprüfungen für alle aktiven Inhabern privilegierter Rollen aktivieren — vierteiljährlicher Rhythmus
- PIM-Warnungen konfigurieren: „Rollen werden zu häufig aktiviert“, „Rollen erfordern keine MFA“, „Zu viele globale Administratoren“
Lifecycle-Workflows
Lifecycle-Workflows automatisieren Identitätsaufgaben, die durch Beschäftigungslebenszyklus-Ereignisse ausgelöst werden: Joiner (Neuzugang), Mover (Rollenwechsel) und Leaver (Offboarding). Workflows werden als Sequenzen von Aufgaben definiert, die automatisch basierend auf Entra ID-Benutzerattributen ausgeführt werden — typischerweise employeeHireDate, department und employeeLeaveDateTime.
Integrierte Aufgabentypen umfassen: Willkommens-E-Mail senden, Temporary Access Pass (TAP) generieren, Benutzer zu Gruppen hinzufügen, Manager benachrichtigen, Benutzerkonto deaktivieren, Benutzer aus allen Gruppen entfernen, Benutzer löschen und Anmeldesitzungen widerrufen.
Joiner-Workflow-Beispiel
Auslöser: Das employeeHireDate des Benutzers liegt 7 Tage in der Zukunft. Aufgaben: (1) Temporary Access Pass generieren und per E-Mail an den Manager senden, (2) Benutzer zur Abteilungsgruppe hinzufügen, (3) Benutzer zum Onboarding-Teams-Kanal hinzufügen, (4) Willkommens-E-Mail mit TAP und Getting-Started-Link senden. Ergebnis: Am ersten Tag kann der neue Mitarbeiter sich mit dem TAP authentifizieren — kein IT-Ticket, kein geteiltes temporäres Passwort.
Leaver-Workflow-Beispiel
Auslöser: Das employeeLeaveDateTime des Benutzers ist heute. Aufgaben: (1) Benutzerkonto deaktivieren, (2) Alle Anmeldesitzungen und Refresh-Token widerrufen, (3) Aus allen Gruppen und Zugriffspaketen entfernen, (4) Manager mit Offboarding-Bestätigung benachrichtigen, (5) Postfach in ein geteiltes Postfach konvertieren. Ergebnis: konsistentes, prüfbares Offboarding — kein dauerhafter Zugriff ehemaliger Mitarbeiter.
Lizenzierungsanforderungen
Entra ID Governance-Funktionen erfordern Microsoft Entra ID P2 (in Microsoft 365 E5 enthalten oder als Add-on) für Benutzer, die Zugriffsüberprüfungen, PIM und Entitlement Management nutzen. Lifecycle-Workflows erfordern Microsoft Entra ID Governance-Lizenzierung (ein separates Add-on zu P2, ca. 7 €/Benutzer/Monat). Für die meisten Berliner KMU liefern PIM und Zugriffsüberprüfungen unter P2 den Großteil des Governance-Mehrwerts, bevor das vollständige Governance-Add-on evaluiert wird.
Integration mit Conditional Access und Entra ID Protection
Entra ID Governance arbeitet in derselben Identitätsebene wie Conditional Access und Entra ID Protection. Zugriffsüberprüfungen können auf Benutzer beschränkt werden, die von Entra ID Protection als risikobehaftet eingestuft wurden — was eine sofortige Überprüfung auslöst, wenn die Risikostufe eines Benutzers steigt. Conditional Access kann verlangen, dass Benutzer eine aktive Zugriffsüberprüfung abschließen, bevor der Zugriff auf sensible Anwendungen gewährt wird. PIM-Aktivierungsrichtlinien können Conditional Access-Konformität erzwingen — die Konformität eines verwalteten Geräts als Bedingung für die Rollenaktivierung voraussetzen.
IT Experts Berlin konfiguriert Entra ID Governance für Berliner KMU — PIM-Rollenkonvertierung, Zeitplan für Zugriffsüberprüfungen, Entitlement Management-Kataloge und Lifecycle-Workflow-Automatisierung. Kontaktieren Sie uns, um Ihre Identity-Governance-Anforderungen zu besprechen.
Weiterfuehrende Artikel
- Entra ID Protection: Risikosignale aus Entra ID Protection in Zugriffsüberprüfungen einbinden – Benutzer mit erhöhtem Risiko automatisch zur Überprüfung markieren und Zugriff bei Bestätigung entziehen
- Conditional Access: Conditional Access und Entra ID Governance als Einheit – CA erzwingt Zugriffsanforderungen in Echtzeit, Governance stellt sicher, dass Zugriffsrechte langfristig gerechtfertigt bleiben
- Zero Trust: Entra ID Governance implementiert die Identity-Governance-Schicht im Zero-Trust-Modell – explizite Verifizierung von Zugriffsrechten durch zeitgebundene Zuweisungen und automatische Zugriffsüberprüfungen