Eine klare Governance-Strategie ist der Schlüssel für sichere und effiziente Microsoft-Umgebungen.
Für IT-Teams, die endlich Ordnung und Sicherheit schaffen wollen
Einleitung
Viele Unternehmen starten mit Entra ID (ehemals Azure AD), ohne sich über langfristige Governance Gedanken zu machen. Am Anfang ist alles noch übersichtlich: ein paar Admins, ein paar Gruppen – fertig.
Aber dann?
Ein neues Tool hier, ein neuer Kollege da, externe Partner, Projekte, Delegationen. Plötzlich weiß niemand mehr: Wer darf eigentlich was? Warum hat Max Zugriff auf HR-Daten? Und wer hat Admin-Rechte für Exchange Online?
Zeit für klare Strukturen.
Hier kommt rollenbasierte Governance ins Spiel. Und keine Sorge – du brauchst dafür keinen Doktortitel. Nur diese 3 Schritte:
Schritt 1: Rollen systematisch analysieren & vereinfachen
Bevor du neue Rollen einführst, musst du den Ist-Zustand verstehen.
Stell dir diese Fragen:
Welche Rollen sind derzeit aktiv?
→ Nutze das Microsoft Entra Admin Center → "Rollen & Administratoren"Wer hat gerade welche Rolle – und warum?
→ Hier hilft dir der Zugriff auf das Audit LogGibt es verwaiste Rollen oder zu breit vergebene Rechte?
→ Klassiker: „Globaler Admin“, weil „wir das mal schnell gebraucht haben“
Pro-Tipp:
Erstelle eine Tabelle mit Benutzername, Rolle, Begründung, Abteilung, Zeitstempel. Du wirst staunen, wie chaotisch das oft ist.
Schritt 2: Least Privilege + Just-In-Time als Default
Jetzt setzt du die neue Governance auf, schlank, nachvollziehbar, sicher.
Vermeide Global Admins auf Dauer
→ Nutze stattdessen Privileged Identity Management (PIM) mit zeitlich begrenzter Aktivierung.Arbeite mit Azure AD-Rollen auf Zeit
→ Beispiel: „Exchange Admin“ nur für 1 Stunde aktiv, mit Approval.Verwende Custom Roles
→ Statt „Security Admin“ direkt zu geben, erstell dir lieber eine Rolle mit nur den nötigen Rechten.Dokumentiere, dokumentiere, dokumentiere.
→ Nutze Confluence, Notion oder dein internes Wiki.
Schritt 3: Automatisieren und sichtbar machen
Gute Governance funktioniert nur, wenn sie automatisiert ist und sichtbar bleibt:
Lifecycle Policies:
Lösche alte Benutzer/Rollen nach Projektende automatischAccess Reviews:
→ Laufen regelmäßig, automatisiert über PIMBenachrichtigungen bei Admin-Zugriffen:
→ Z. B. per Mail oder Teams-WebhookDashboard oder Monthly Report an die IT-Leitung:
→ „So viele Admin-Anhebungen, so viele Approvals, keine Policy-Verletzung“
Das zeigt nicht nur Sicherheit, sondern auch Reife.
Fazit
Rollenbasierte Governance ist kein Luxus, sondern die Grundlage für sauberes Identitätsmanagement.
Mit Entra ID und PIM hast du alle Tools in der Hand – du musst sie nur richtig einsetzen.
Wenn du heute damit anfängst, sparst du dir in 6 Monaten jede Menge Ärger, Support-Tickets und unangenehme Audits.
Weiterführende Ressourcen
Microsoft Doku zu Entra ID Rollen
Praxisleitfaden: Privileged Identity Management einführen
