• Checkliste: Microsoft 365 Offboarding-Prozess ohne Datenverlust

Checkliste: Microsoft 365 Offboarding-Prozess ohne Datenverlust

Thomas Welslau
Autor: Thomas WelslauCompetence Lead SecurityAuf LinkedIn vernetzen
Jonathan Huysmans Senior Consultant Modern Workplace
Autor: Jonathan HuysmansSenior Consultant Modern WorkplaceAuf LinkedIn vernetzen

Ein häufiges Thema in unseren Governance Workshops ist das On- und Offboarding von Mitarbeitenden. Gerade der Offboarding-Prozess für ausscheidende Mitarbeitende innerhalb der Microsoft 365 Plattform kann bei einer Fehlbedienung gravierende Auswirkungen auf die Unternehmensdaten haben. In diesem Blogartikel listen wir die wichtigsten Punkte auf, die zu beachten sind, um eine erfolgreiche Offboarding-Strategie zu etablieren. Außerdem zeigen wir, wie die unterschiedlichen Microsoft 365 Dienste Sie bei Ihren Anforderungen optimal unterstützen können.

Verlässt ein Mitarbeitender das Unternehmen, werden oftmals die Microsoft 365 Lizenzen entzogen, um diese für neue Mitarbeitende weiter zu verwenden. Um hier einen ungewollten Datenverlust zu verhindern, sollten vorab einige organisatorische und technische Maßnahmen für das Offboarding festgelegt werden.

Notwendige organisatorische Schritte

Bevor Sie die technische Umsetzung für den Offboarding-Prozess vornehmen, müssen zunächst einige Fragen auf organisatorischer Ebene geklärt werden.

Was passiert mit den Daten, wenn eine Person das Unternehmen verlässt?

  • Müssen diese für einen bestimmten Zeitraum aufbewahrt werden?
  • Sollen diese gelöscht werden?

Wer bekommt Zugriff auf die Daten?

Welche Daten müssen erhalten bleiben?

  • E-Mail-Postfach?
  • Persönliches Laufwerk (OneDrive for Business)?

Wie wird sichergestellt, dass Zugriffe für ehemalige Mitarbeitende nicht mehr funktionieren?

Was passiert mit den Geräten des Mitarbeitenden?

Nur wenn Sie diese Fragen beantwortet haben, kann ein passender technischer Prozess implementiert werden.

Technische Schritte beim Microsoft 365 Offboarding-Prozess

Als Beispiel für die technischen Schritte gehen wir von folgendem Use Case aus:

  • Ein Mitarbeitender wird das Unternehmen am Ende des Monats verlassen.
  • Es gibt eine rechtliche Anforderung, dass firmenrelevante Daten für 10 Jahre aufbewahrt werden müssen. Dazu zählen E-Mails und Daten, die in SharePoint oder Teams gespeichert werden.
  • Das persönliche Laufwerk sollte laut Firmenrichtlinie keine kritischen Dateien enthalten. Um auch hier einen Datenverlust zu verhindern, wird das OneDrive sicherheitshalber für 1 Jahr vorgehalten. Der vorgesetzten Person wird Zugriff auf das OneDrive Verzeichnis des Mitarbeitenden gewährt, sodass diese die relevanten Daten gegebenenfalls exportieren kann.
  • Der Mitarbeitende hat einen Laptop und ein Firmenhandy. Diese Geräte müssen geprüft und bereinigt werden.

Vorbereitende Tätigkeiten

Zunächst stellen Sie sicher, dass für die Daten in Exchange Online und OneDrive for Business die Aufbewahrungsrichtlinien entsprechend den Vorgaben eingerichtet sind. Bevor Benutzerkonten entfernt oder Lizenzen entzogen werden, sollten Sie mindestens die folgenden Konfigurationen prüfen:

  • OneDrive Konfiguration für gelöschte User

    Legen Sie in der OneDrive Konfiguration fest, dass die Seiten von gelöschten Usern noch 365 Tage erhalten bleiben.

  • Exchange Online Postfach Retention Policy prüfen

    Prüfen Sie für das Exchange Online Postfach, dass eine Retention Policy mit einer Aufbewahrungsfrist von 10 Jahren konfiguriert ist und diese dem Postfach des Mitarbeitenden auch explizit zugewiesen wurde. Kontrollieren Sie diese Einstellung per PowerShell am Postfach über das Attribut „InPlaceHolds“. Hier sollte die ID der in Microsoft Purview konfigurierten Retention Policy hinterlegt sein.

Wenn diese technischen Voraussetzungen geschaffen sind, haben Sie die Anforderungen der Aufbewahrung sichergestellt. Wichtig ist hierbei eine frühzeitige Konfiguration, da z. B. die Umsetzung der Retention Policies für Exchange Online bis zu einer Woche dauern kann.

Technisches Offboarding eines Mitarbeitenden

Der Mitarbeitende ist nicht mehr im Unternehmen

Wenn der Tag des Austritts gekommen ist, erledigen Sie folgende Schritte genau in dieser Reihenfolge:

  • Deaktivieren Sie das Benutzerkonto

    Das bedeutet, dass der Mitarbeitende sich nicht mehr anmelden kann.

  • Prüfen Sie, ob alle Retention Policies korrekt zugewiesen sind

  • Geben Sie nun die Lizenz frei

  • Die vorgesetzte Person erhält Zugriff auf das OneDrive

    Hinweis: Microsoft bietet hier auch einen Standard-Workflow an, aber je nachdem, wie Ihre Organisationsstruktur aufgebaut ist, wird dieser nicht die gewünschten Effekte erzeugen. Die Gründe sind z. B., dass die vorgesetzte Person nicht im Active Directory gepflegt ist oder z. B. noch ein Teamlead dem Mitarbeitenden als vorgesetzte Person zugeordnet ist.

  • Löschen Sie das Benutzerkonto

  • Geräte sperren, zurücksetzen und neu aufbereiten

    Die vom Mitarbeitenden verwendeten Geräte werden gesperrt, zurückgesetzt und zur Neuaufbereitung für den nächsten User vorbereitet.

Wo sind nun die Daten und wie erhalten Sie bei Bedarf Zugriff?

Das E-Mail-Postfach wird im Microsoft Purview Center als inaktive Mailbox aufgelistet. Über die Inhaltssuche können auch inaktive Postfächer bei Bedarf durchsucht und in z. B. PST-Dateien exportiert werden.

Die Daten aus der OneDrive Seite können vom Vorgesetzten oder dem neu zugewiesenen Besitzer in OneDrive online abgerufen werden. Die Seite kann auch per PowerShell ausfindig gemacht werden.

Der gesamte Prozess sollte idealerweise z. B. per Powershell automatisiert werden.

Wichtiger Hinweis

Bitte beachten Sie, dass einige Inhalte innerhalb von Microsoft 365 nicht übertragen werden können. Hier ist es wichtig, bereits zur Einführung der Dienste Richtlinien festzulegen, wie diese zu nutzen sind. Hierunter fallen z. B. Dienste wie Microsoft Forms oder Power Automate.

Governance Workshop

Wie Sie Ihren individuellen On- und Offboarding-Prozess bestmöglich aufbauen und gestalten, erarbeiten wir gemeinsam mit Ihnen in unserem Governance Workshop.

Jetzt informieren!

Weitere News zu diesem Thema