FREE QUOTE
FREE QUOTE

Identity Governance Framework

Microsoft 365 Governance & Collaboration • Schweiz / Global • Aktualisiert: 04. März 2026

Identity Governance Framework

Ein praxisnahes Identity Governance Framework für Organisationen, um digitale Identitäten, Zugriffsrechte und Verantwortlichkeiten kontrolliert zu steuern – von Rollen und Joiner-Mover-Leaver-Prozessen bis Reviews, Compliance und Lifecycle Management.

Lesezeit: 10 Min. Niveau: Mittel Zielgruppe: IT, Security, IAM-Verantwortliche, Compliance, Führung
Beratung anfragen Services entdecken

Kernaussagen

  • Identitäten sind ein Governance-Thema: Nicht nur Login-Daten, sondern Rollen, Verantwortungen, Freigaben und Lifecycle müssen gesteuert werden.
  • Least Privilege ist Pflicht: Zugriffe sollten rollenbasiert, nachvollziehbar und regelmässig überprüft sein.
  • Joiner-Mover-Leaver zählt: Die grössten Schwächen entstehen oft bei Eintritten, Rollenwechseln und Austritten.
  • IAM ohne Governance skaliert nicht: Erst Governance macht Identitäts- und Zugriffsmanagement auditierbar und nachhaltig.
Praxis-Check: Wenn Berechtigungen historisch gewachsen sind, Rollen unklar bleiben und ehemalige Mitarbeitende oder Dienstleister zu lange Zugriff behalten, fehlt nicht Technik – sondern Identity Governance.

Was Identity Governance ist

Identity Governance umfasst die strukturierte Steuerung digitaler Identitäten, Zugriffsrechte und Verantwortlichkeiten in einer Organisation. Ziel ist, sicherzustellen, dass jede Person, jedes Konto und jeder Dienst genau die Zugriffe erhält, die für die jeweilige Rolle notwendig sind – nicht mehr und nicht weniger.

Ein starkes Identity Governance Framework verbindet organisatorische Regeln mit technischen Kontrollen. Es definiert, wie Identitäten angelegt, verändert, geprüft und wieder entzogen werden. Damit wird Governance zum Bindeglied zwischen Identity & Access Management, Entra ID Grundlagen und Entra ID Governance.

Identity Governance vs. IAM

Diese Begriffe werden oft vermischt. IAM steuert technische Authentifizierung und Berechtigungen. Identity Governance legt die Regeln fest, nach denen diese Zugriffe entstehen, geprüft und wieder entzogen werden. Governance beantwortet also: Wer darf was, warum, wie lange und auf Basis welcher Freigabe?

Begriff Bedeutung Warum es wichtig ist
Identity Governance Regeln, Rollen und Prozesse zur Steuerung digitaler Identitäten und Zugriffe. Schafft Nachvollziehbarkeit, Compliance und klare Verantwortlichkeit.
IAM Technische Systeme und Prozesse für Authentifizierung und Autorisierung. Setzt Governance praktisch um und kontrolliert den Zugriff auf Systeme.
Access Reviews Regelmässige Überprüfung bestehender Rechte und Rollen. Reduziert Überberechtigungen und verbessert Auditierbarkeit.

Warum Identity Governance wichtig ist

In fast jeder Organisation wachsen Identitäten schneller als die Kontrolle darüber: Mitarbeitende wechseln Rollen, externe Partner kommen hinzu, Admin-Rechte werden temporär vergeben, neue SaaS-Plattformen entstehen. Ohne Governance bleibt unklar, welche Rechte noch nötig, zulässig oder risikogerecht sind.

Häufiger Fehler: Identitätsmanagement nur als IT-Aufgabe betrachten. Tatsächlich betrifft es Security, Compliance, HR, Fachbereiche und Führung – denn Rollen, Freigaben und Verantwortungen entstehen im Business.

Was ein gutes Framework erreicht

  • Klare Verantwortlichkeit für Rollen, Freigaben und Zugriffe
  • Weniger überprivilegierte Konten und Schattenberechtigungen
  • Saubere Joiner-Mover-Leaver-Prozesse
  • Bessere Auditierbarkeit bei internen und externen Prüfungen
  • Höhere Sicherheit für Microsoft 365, SharePoint, Teams und Fachanwendungen

Typische Schwachstellen ohne Governance

Häufig fehlen standardisierte Rollenmodelle, Rezertifizierungen oder nachvollziehbare Freigabeprozesse. Die Folge sind dauerhafte Altlasten: verwaiste Konten, unnötige Admin-Rechte, fehlende Trennung kritischer Aufgaben und ein erhöhtes Risiko für Datenabfluss oder Compliance-Verstösse.

So baust du ein Identity Governance Framework auf (Schritt für Schritt)

Ein gutes Framework muss klar, skalierbar und im Alltag anwendbar sein. Starte nicht mit maximaler Komplexität, sondern mit den zentralen Kontrollpunkten: Rollen, Freigaben, Reviews und Lifecycle.

Die 5 Bausteine eines wirksamen Frameworks

  1. Identitätstypen definieren: Mitarbeitende, externe Partner, Admin-Konten, Service Accounts und privilegierte Rollen unterscheiden.
  2. Rollenmodell festlegen: Standardrollen, Business-Rollen und kritische Zugriffe sauber beschreiben und dokumentieren.
  3. Freigabeprozesse regeln: Wer genehmigt Zugriffe, auf welcher Basis und mit welcher Laufzeit?
  4. Lifecycle steuern: Joiner, Mover und Leaver mit klaren Übergaben, Fristen und automatisierten Kontrollen abbilden.
  5. Reviews & Monitoring etablieren: Access Reviews, Ausnahmeprozesse, KPI-Tracking und Audit-Nachweise regelmässig verankern.

Wichtige Designprinzipien

In der Praxis bewährt sich ein Framework, das technische und organisatorische Controls verbindet: Rollenbasierte Zuweisung, dokumentierte Genehmigungen, zeitlich begrenzte Sonderrechte und regelmässige Überprüfungen. Besonders wichtig ist die Abstimmung mit Conditional Access, Microsoft 365 Security und Security Governance.

Schweiz-Notiz: In regulierten oder datensensitiven Umfeldern sollten Identitäts- und Zugriffsentscheidungen nachvollziehbar dokumentiert, regelmässig rezertifiziert und mit Datenschutz- sowie Audit-Anforderungen abgestimmt sein.

Hilfreiche Tools (optional)

Je nach Umsetzungsbedarf können Tools für Freigaben, Nachvollziehbarkeit und Dokumentation unterstützen:

SignNTrack – eSign & Tracking SEOBoost – SEO Schweiz BudgetHub – finanzielle Klarheit SubTracker – Abo-Übersicht

Hinweis: Links dienen der Orientierung. Wähle Tools anhand deiner Sicherheits-, Governance- und Compliance-Anforderungen.

Checkliste: Identity Governance Framework (copy/paste)

Nutze diese Checkliste, um dein Identity-Governance-Modell strukturiert aufzubauen oder zu überprüfen.

  • Identitätstypen wie Mitarbeitende, Externe, Admin-Konten und Service Accounts sind definiert.
  • Ein Rollenmodell mit klaren Standard- und Sonderrollen ist dokumentiert.
  • Freigabeprozesse für neue und erweiterte Zugriffe sind festgelegt.
  • Joiner-Mover-Leaver-Prozesse sind mit HR, IT und Fachbereichen abgestimmt.
  • Access Reviews und Rezertifizierungen finden in definierter Cadence statt.
  • Privilegierte Rechte werden besonders überwacht und zeitlich begrenzt vergeben.
  • Ausnahmen, Notfallzugriffe und Eskalationen sind dokumentiert.
  • Governance ist mit Entra ID, Microsoft 365, Security und Compliance abgestimmt.
Quick Win: Starte mit drei priorisierten Bereichen: privilegierte Konten, externe Zugriffe und Rezertifizierung bestehender Rollen. Hier entsteht meist schnell der grösste Sicherheitsgewinn.

Beispiel: Ein einfaches Identity-Governance-Betriebsmodell

Ein pragmatisches Modell trennt Standardrollen, privilegierte Rollen und externe Identitäten. Standardrollen werden automatisch über definierte Gruppen vergeben. Privilegierte Zugriffe brauchen zusätzliche Genehmigung, eine begrenzte Laufzeit und regelmässige Überprüfung.

Beispiel: Neue Mitarbeitende erhalten Basiszugriffe gemäss Abteilung. Rollenwechsel lösen eine automatische Prüfung bestehender Rechte aus. Austritte deaktivieren den Zugang sofort, während Daten und Verantwortlichkeiten geordnet übergeben werden. Externe Partner erhalten befristete Zugriffe mit klarer Fachverantwortung.

FAQ

Was ist der Unterschied zwischen Identity Governance und IAM?
IAM steuert technische Authentifizierung und Autorisierung. Identity Governance definiert die Regeln, Verantwortlichkeiten und Prüfprozesse, nach denen diese Zugriffe vergeben und überwacht werden.
Warum sind Joiner-Mover-Leaver-Prozesse so wichtig?
Weil viele Risiken genau dort entstehen: bei Neueintritten, Rollenwechseln und Austritten. Ohne klare Prozesse bleiben unnötige oder veraltete Berechtigungen oft zu lange bestehen.
Welche Rechte sollte man besonders streng steuern?
Vor allem privilegierte Konten, Admin-Rollen, Zugriffe auf sensible Daten, externe Identitäten und Ausnahmen vom Standard-Rollenmodell. Diese Bereiche sollten streng dokumentiert und rezertifiziert werden.
Wie oft sollten Access Reviews stattfinden?
Das hängt von Risiko und Regulatorik ab. Kritische und privilegierte Zugriffe sollten häufiger geprüft werden als Standardrollen. Wichtig ist eine klare, dokumentierte Review-Cadence mit Verantwortlichkeit.

Über den Autor

Leutrim Miftaraj

Leutrim Miftaraj — Founder, Innopulse.io

Leutrim ist IT-Projektleiter und Innovation-Management Professional (BSc/MSc) mit Fokus auf skalierbare digitale Transformation, Governance und compliance-freundliche Umsetzung für KMU und Organisationen in der Schweiz.

MSc Innovation Management IT Projektleitung Identity & Access Governance Schweiz-Compliance Fokus

Qualitätsreview: Innopulse Redaktion (Qualität & Compliance) • Review-Datum: 04. März 2026

Hinweis: Dieser Inhalt dient der Information und stellt keine Rechtsberatung dar. Für fallspezifische Fragen konsultiere qualifizierte Fachstellen.

Quellen & Weiterführendes

Nutze möglichst autoritative Quellen und aktualisiere sie regelmässig. Ergänze die Liste je nach Identitäts-, Sicherheits- und Compliance-Kontext.

  1. Microsoft Learn – Microsoft Entra
  2. Microsoft Learn – Azure AD / Entra ID
  3. NIST Computer Security Resource Center
  4. ISO/IEC 27001 – ISMS
  5. ISO/IEC 27002 – Security Controls

Letztes Update: 04. März 2026 • Version: 1.0

Unterstützung bei Identity Governance & Zugriffskontrolle?

Innopulse unterstützt Organisationen bei Rollenmodellen, Identity Governance, Microsoft-365-Strukturen und pragmatischer Sicherheits-Governance – damit Zugriffe nachvollziehbar, kontrollierbar und skalierbar bleiben.

Beratung anfragen Entra ID Governance Business & IT Consulting
```

Driving innovation.

Quick Links

Get in touch

Newsletter

© 2026 Innopulse Consulting. All Rights Reserved.

Imprint | Privacy PolicyTerm of Use Cookies