Microsoft Entra ID: Erweiterte Features für Identity Governance
Identity Governance und Lifecycle Management mit Entra ID – Stand 2026Consulting Briefing
02.07.2026 · boddenberg.de
|
SECURITY & COMPLIANCE |
|---|
Microsoft Entra ID: Erweiterte Features für Identity Governance und Lifecycle Management
Executive Summary
Kurz gesagt: Identity Governance ist 2026 endgültig vom Nice-to-have zum Pflichtprogramm geworden – und ab jetzt kostet es auch echtes Geld. Microsoft Entra ID Governance ist die IGA-Antwort (Identity Governance and Administration) aus Redmond und beantwortet vier unbequeme Fragen: Wer darf auf was zugreifen? Was macht er damit? Gibt es organisatorische Kontrollen? Und kann ein Auditor beweisen, dass diese Kontrollen tatsächlich wirken? Wer das nicht sauber beantworten kann, hat bei der nächsten Prüfung nach NIS2, DORA oder ISO 27001 ein handfestes Problem.
Drei Dinge sind neu und landen deshalb auf deinem Tisch: Erstens wird die Governance von Gastkonten seit 2026 tatsächlich abgerechnet – nach dem Monthly-Active-User-Modell, und ohne verknüpfte Azure-Subscription friert Microsoft deine Gast-Konfiguration schlicht ein. Zweitens ziehen KI-Agenten in die Governance ein: Jeder Agent braucht jetzt einen menschlichen Sponsor, der geradesteht. Drittens werden Lifecycle Workflows spürbar schlauer – mehr Trigger, neue Aufgaben, Delegation über Administrative Units und sogar Bau per Copilot in natürlicher Sprache. Dieses Briefing sortiert, was davon Chance ist, was Kostenfalle – und was du besser diese Woche als nächstes Quartal anfasst.
|
AUF EINEN BLICK Entra ID Governance macht Least Privilege, sauberes On- und Offboarding sowie den Compliance-Nachweis automatisierbar. Aber die neue Gast-Abrechnung (MAU) und die Lizenz-Zähllogik – lizenziert wird, wer beantragen darf, nicht wer beantragt – können dich kalt erwischen, wenn du sie nicht vorher durchrechnest. |
|---|
Worum geht es im Detail?
Entra ID Governance steht auf vier Säulen, die zusammen den kompletten Lebenszyklus von Identitäten und Zugriffen abdecken. Stell dir ein Haus vor: Das Fundament ist der Identity Lifecycle, das Dach sind Zero Trust und Compliance – und dazwischen tragen vier Säulen die Last: Entitlement Management, Access Reviews, Privileged Identity Management und Lifecycle Workflows.

Grafik 1: Das Governance-Haus von Entra ID – vier Säulen auf einem Fundament aus dem Identity Lifecycle.
Lifecycle Workflows – das Herzstück
Lifecycle Workflows (LCW) automatisieren die drei klassischen Momente eines Arbeitslebens: Joiner (Eintritt), Mover (Wechsel) und Leaver (Austritt). Ein Workflow besteht immer aus zwei Zutaten – aus Aufgaben (was passiert) und einer Ausführungsbedingung, die Scope (wer) und Trigger (wann) definiert. Das Standardbeispiel aus der Microsoft-Doku: Sieben Tage bevor im Attribut employeeHireDate der Starttermin steht, bekommt der Manager automatisch eine E-Mail mit einem Temporary Access Pass für den neuen Kollegen. Der ist am ersten Tag produktiv, statt drei Tage auf sein Konto zu warten und derweil Kaffee zu trinken.

Grafik 2: Joiner, Mover, Leaver – jede Phase mit eigenen Triggern und Aufgaben, gespeist aus der HR-Quelle.
Der Clou gegenüber klassischen dynamischen Gruppen: LCW verwalten auch statische Gruppen ohne komplizierte Regeln, können zeitbezogen relativ zu Attributen reagieren („X Tage vor Starttermin“) und Aktionen auf die Gruppe selbst ausführen, nicht nur auf die Mitgliedschaft. 2026 kamen dazu: die neue Aufgabe „User Attribute Updates“, die Nutzer- und Custom-Attribute im Workflow selbst schreibt; ein erweiterter „Attribute Changes“-Trigger, der Mover-Ereignisse auch anhand eigener und erweiterter Attribute erkennt; sowie die Verwaltung von Workflows über Administrative Units – damit delegierst du die Pflege an einzelne Teams, ohne gleich Tenant-weit alle Türen aufzureißen. Für komplexe Fälle hängst du per Logic Apps eigene Erweiterungen an (bis zu 100 Custom Task Extensions), und mit Security Copilot baust du Workflows inzwischen per Zuruf in natürlicher Sprache.
|
PRAXIS-TIPP AUS DEM PROJEKTALLTAG Bau den Leaver-Workflow zuerst und teste ihn paranoid in einem Staging-Tenant. Ein Offboarding-Workflow, der wegen eines falsch gepflegten employeeLeaveDateTime 200 aktive Konten deaktiviert, ist der schnellste Weg, einen Freitagabend zu ruinieren – und deinen Ruf gleich mit. |
|---|
Entitlement Management & Access Reviews
Entitlement Management bündelt Gruppen, Teams, App-Rollen und SharePoint-Rollen in Access Packages, die Anwender im Self-Service beantragen. Genehmigt wird mehrstufig, inklusive Separation-of-Duties-Prüfung, damit niemand gleichzeitig Rechnungen erfassen und freigeben darf. Neu in 2026: Antragsteller sehen im Portal My Access jetzt Namen und E-Mail des Genehmigers samt offener Anträge, und die Account Discovery findet verwaiste Konten in angebundenen Anwendungen, die niemandem mehr zugeordnet sind. In der Vorschau stehen Entra-Rollen und SAP-IAG-Business-Rollen als Ressourcen in Access Packages.
Access Reviews sorgen dafür, dass einmal vergebene Rechte nicht ewig weiterleben. Wiederkehrende Rezertifizierungen, maschinell gestützte Empfehlungen (etwa die Peer-Outlier-Analyse: „Alle in dieser Abteilung haben Recht X, nur dieser eine nicht – verdächtig“) und die Erkennung inaktiver Konten nehmen dem Reviewer Arbeit ab. Neu ist ein Access-Review-Agent in Microsoft Teams (Preview), der dich per Chat und in natürlicher Sprache durch offene Reviews führt. Darüber wacht Privileged Identity Management (PIM) mit Just-in-Time-Aktivierung, zeitgebundenen Rollen, Genehmigung und MFA – damit Administratorrechte nicht dauerhaft herumliegen wie ein Generalschlüssel unter der Fußmatte.
Gäste und Agenten – die zwei neuen Baustellen
Externe Identitäten (userType=Guest) landen über Entitlement Management automatisch als B2B-Gast im Verzeichnis, sobald ein Antrag genehmigt wird – und werden ebenso automatisch entfernt, wenn der Zugriff abläuft oder widerrufen wird. Genau hier zieht Microsoft 2026 die Preisschraube an: Governance-Funktionen für Gäste werden nach dem Monthly-Active-User-Modell (MAU) abgerechnet. Abgerechnet wird pro Gast und Monat, sobald in diesem Monat mindestens eine Governance-Aktion stattfindet. Keine Aktion, keine Gebühr für diesen Gast – aber ohne verknüpfte Azure-Subscription mit dem Add-on „Governance for Guests“ kannst du Gast-Policies gar nicht mehr anlegen oder ändern.

Grafik 3: Der Entscheidungsfluss der Gast-Abrechnung – ohne verknüpfte Subscription friert die Konfiguration ein.
Die zweite Baustelle sind KI-Agenten. Mit Microsoft Entra Agent ID bekommen Agenten eigene Identitätskonstrukte – und die müssen genauso regiert werden wie Menschen. Jeder Agent braucht einen menschlichen Sponsor, der für Zweck, Lebenszyklus und Zugriffs-Reviews geradesteht. Verlässt der Sponsor das Unternehmen, wandert die Verantwortung automatisch an dessen Manager – damit nie ein Agent ohne Aufsicht durch die Gegend läuft. Agent Identity Blueprints sind zentrale Vorlagen, über die du Conditional Access, Berechtigungen und Kontrollen einmal definierst und alle heutigen wie künftigen Instanzen erben lässt. So kannst du eine ganze Klasse von Agenten in einem einzigen Vorgang deaktivieren oder entrechten. Governiert werden Agenten über dieselben Access Packages wie Menschen; Lifecycle Workflows übernehmen die Benachrichtigungen bei Sponsor-Wechseln. Das Ziel: kein Wildwuchs, keine Schatten-KI.
|
HINTERGRUND: WARUM DER GANZE AUFWAND? Treiber sind Regulatorik und Angriffsrealität. NIS2, DORA und ISO 27001 verlangen belastbare Nachweise, dass Zugriffe kontrolliert vergeben und regelmäßig geprüft werden. Und die meisten realen Einbrüche laufen über gültige, aber vergessene Konten – den ausgeschiedenen Dienstleister, dessen Gastkonto seit zwei Jahren still weiterlebt. Governance ist die Antwort auf beides gleichzeitig. |
|---|
Was sind Chancen? Was sind Risiken?
Fangen wir mit den Chancen an, denn die sind erheblich. Automatisiertes Onboarding macht Mitarbeiter am ersten Tag produktiv statt in der Warteschleife. Automatisiertes Offboarding schließt genau die Lücke, über die die meisten Datenabflüsse laufen – das stille Konto des Ausgeschiedenen. Access Reviews und PIM setzen Least Privilege durch, ohne dein Team in manueller Excel-Pflege zu ertränken. Und der komplette Prozess ist protokolliert und auditierbar, was bei der nächsten Zertifizierung Gold wert ist. Skalierung inklusive: Wächst das Unternehmen, wächst der manuelle Aufwand eben nicht mit.
Jetzt die Risiken, und die sind vor allem kaufmännischer Natur. Die Lizenz-Zähllogik ist eine klassische Falle: Für Access Packages brauchst du Lizenzen für alle, die beantragen dürfen – nicht nur für die, die tatsächlich beantragt haben. Microsofts eigenes Beispiel: 2.000 Mitarbeiter dürfen ein Paket anfordern, 150 tun es – lizenzpflichtig sind trotzdem 2.000. Dazu kommt die neue Gast-Abrechnung, die dir eine Rechnung präsentiert, sobald du über Jahre gewachsene Gäste-Bestände governst. Und Vorsicht bei Microsoft Entra ID P2: In diese SKU kommen keine neuen IGA-Funktionen mehr – wer dort hängen bleibt, fährt auf einem Abstellgleis.
|
WARNUNG: KOSTENFALLE NUMMER EINS – DIE LIZENZ-ZAEHLUNG Lizenziert wird nach „wer beantragen darf“, nicht nach „wer beantragt hat“. Eine Policy mit Scope „Alle Mitarbeiter“ auf einem einzigen Access Package kann so den kompletten Tenant lizenzpflichtig machen. Scope bewusst schneiden – nicht aus Bequemlichkeit „Alle“ auswählen. |
|---|
|
WARNUNG: KOSTENFALLE NUMMER ZWEI – DIE GAST-RECHNUNG Ohne verknüpfte Azure-Subscription mit dem Add-on „Governance for Guests“ kannst du Gast-Governance-Policies weder anlegen noch ändern. Wer die Verknüpfung erst nach dem Stichtag nachzieht, steht so lange mit eingefrorener Konfiguration da. Erst Bestand aufräumen, dann verknüpfen – sonst bezahlst du für Karteileichen. |
|---|
Das dritte Risiko ist technischer Natur: Ueber-Automatisierung. Ein Workflow ist nur so gut wie die Datenqualität, die ihn füttert. Falsch gepflegte HR-Attribute, ein vertippter Abteilungscode oder ein leeres employeeLeaveDateTime – und schon deaktiviert die Maschine die falschen Leute mit beeindruckender Effizienz. Governance verstärkt gute wie schlechte Datenqualität gleichermaßen; sie ist ein Hebel, kein Wunder.
Was müssen wir jetzt schon vorbereiten?
Genug Theorie, jetzt die To-do-Liste. Die folgenden Schritte gehören realistisch in die nächsten Wochen, nicht ins übernächste Quartal – vor allem, weil du sonst für Karteileichen bezahlst oder mit eingefrorener Konfiguration dastehst.
Gast-Bestand inventarisieren und ausmisten: Zähle deine aktiven und vor allem deine inaktiven Gastkonten. Jeder alte Gast, den du vor der MAU-Abrechnung sauber entfernst, taucht später nicht auf der Rechnung auf. Der Insights-Report für inaktive Gäste ist dein Startpunkt.
Azure-Subscription für das Gast-Add-on verknüpfen: Ueber das Governance-Dashboard eine Subscription und eine Resource Group verknüpfen, damit die Gast-Governance nicht einfriert – aber erst nach dem Ausmisten, sonst zahlst du für Konten, die weg gehören.
Lizenz-SKU bewusst wählen: Entra ID Governance, Governance Step-Up für P2, Entra Suite oder gleich Microsoft 365 E7 (enthält alles über Suite und Agent 365)? Rechne die Zähllogik durch, bevor du kaufst – der Unterschied ist schnell fünfstellig.
HR-Attribut-Hygiene herstellen: employeeHireDate, employeeLeaveDateTime, Abteilung und Manager müssen stimmen. Ohne saubere Attribute aus Workday oder SuccessFactors laufen die Workflows ins Leere – oder schlimmer, ins Falsche.
Mit dem Leaver-Workflow im Staging pilotieren: Erst Offboarding paranoid testen, dann Joiner und Mover. Access Reviews klein anfangen: eine Abteilung, ein Access Package – und die Ergebnisse ernst nehmen, statt reflexhaft alles zu bestätigen.
Agenten-Sponsoring-Modell definieren, bevor die Agenten kommen: Lege heute fest, wer Sponsor sein darf, wie Blueprints aufgebaut sind und welche Access Packages Agenten bekommen. Ein sauberes Modell verhindert Schatten-KI, bevor sie überhaupt entsteht.
|
TIPP: DER PRAGMATISCHE STARTPUNKT Nimm dir eine reale Abteilung, baue Joiner-, Mover- und Leaver-Workflow, hänge einen wiederkehrenden Access Review dran und miss den Aufwand vorher und nachher. Dieser eine belastbare Case überzeugt Geschäftsführung und Betriebsrat mehr als jede Folie – und du lernst die Fallstricke im kleinen Rahmen kennen, wo sie nicht weh tun. |
|---|
Häufig gestellte Fragen
Ab wann wird die Governance von Gastkonten tatsächlich abgerechnet?
Die Abrechnung nach dem Monthly-Active-User-Modell wird seit 2026 durchgesetzt und gilt inzwischen breit. Ohne verknüpfte Azure-Subscription mit dem Add-on „Governance for Guests“ lassen sich neue Gast-Governance-Policies weder anlegen noch ändern.
Brauchen alle Mitarbeiter eine Governance-Lizenz oder nur die aktiven Nutzer?
Es zählt, wer eine Funktion nutzen darf, nicht wer sie tatsächlich nutzt. Für ein Access Package mit dem Scope „Alle Mitarbeiter“ brauchst du so viele Lizenzen, wie Mitarbeiter beantragen dürften – auch wenn nur ein Bruchteil den Antrag jemals stellt.
Was passiert mit meinen Governance-Funktionen, wenn ich bei Entra ID P2 bleibe?
Alle heute in P2 allgemein verfügbaren Funktionen bleiben erhalten, aber neue IGA-Funktionen kommen nicht mehr in die P2-SKU. Für moderne Lifecycle Workflows, ML-gestützte Reviews oder Auto-Assignment brauchst du eine Entra-ID-Governance- oder Entra-Suite-Lizenz.
Wie unterscheiden sich Lifecycle Workflows von dynamischen Gruppen?
Dynamische Gruppen aktualisieren nur Mitgliedschaften anhand aktueller Attribute. Lifecycle Workflows können zeitbezogen agieren (etwa Tage vor dem Starttermin), führen mehrere Aufgaben aus, wirken auf die Gruppe selbst und liefern eine vollständige Historie für Audits.
Müssen KI-Agenten wirklich einzeln verwaltet werden?
Ja. Jeder Agent braucht einen menschlichen Sponsor, und Zugriffe laufen über dieselben Access Packages wie bei Menschen. Ueber Agent Identity Blueprints definierst du Kontrollen aber einmal zentral, sodass alle Instanzen sie automatisch erben – das hält den Aufwand beherrschbar.
— boddenberg.de Consulting Briefing —