Blog

So meistern Sie das Offboarding von Benutzern und gewährleisten die Sicherheit Ihres Unternehmens

8 min read
Liam Cleary
Header_blogpost_Microsoft 365 User Offboarding Strategies
8 min read
Liam Cleary

In den meisten Unternehmen ist das Onboarding zu einer Kunstform geworden. Konten werden eingerichtet, Lizenzen werden zugewiesen und neue Mitarbeiter sind innerhalb weniger Stunden einsatzbereit. Aber was, wenn jemand das Unternehmen verlässt? Dieser Prozess wird oft überstürzt, an eine veraltete Checkliste delegiert oder ganz übersprungen, bis etwas kaputt geht.

Im Jahr 2026 ist diese Lücke größer, als sie aussieht. Microsoft 365 besteht nicht mehr nur aus E-Mail und SharePoint. Ausscheidende Mitarbeiter hinterlassen Copilot-Interaktionsverläufe, gemeinsam genutzte Eingabeaufforderungen, Power Automate-Abläufe und Copilot Studio-Agenten, die noch lange nach ihrem letzten Arbeitstag weiterlaufen, sensible Daten offenlegen und Kosten verursachen können.

Dieser Leitfaden deckt alles ab, was Ihr Team braucht, um das Offboarding von Microsoft 365 richtig zu handhaben: von der Blockierung der Anmeldung bis zur Deaktivierung von KI-Agenten, mit einer einfach zu befolgenden Schritt-für-Schritt-Checkliste für das Offboarding.

Die wichtigsten Erkenntnisse:

  • Manuelles M365-Offboarding hinterlässt verwaiste Konten, aktive Copilot-Lizenzen und laufende Agenten, die von niemandem überwacht werden.
  • Eine vollständige Offboarding-Checkliste 2026 muss den Entzug von Copilot-Lizenzen, die Überprüfung von Agenten und Power-Automate-Flow-Audits umfassen.
  • Rencore Governance hilft IT-Administratoren, den gesamten Prozess auf einer einzigen Plattform zu zentralisieren und zu automatisieren.

Warum das Offboarding von Microsoft 365-Benutzern für die Sicherheit wichtig ist

Das Offboarding von Anwendern ist eine der direktesten Möglichkeiten, unbefugten Zugriff auf die Daten eines Unternehmens zu verhindern. Wenn ein Mitarbeiter geht, verschwindet seine Identität nicht automatisch aus Ihrer Umgebung. Solange niemand absichtlich etwas unternimmt, bleibt sein Microsoft Entra ID-Konto aktiv, seine Lizenzen laufen weiter und sein Zugriff auf Teams, SharePoint, OneDrive und Copilot bleibt intakt.

Ein paar Zahlen, die Sie im Hinterkopf behalten sollten:

  • Verwaiste Konten werden immer wieder als Top-Vektoren für auf Anmeldeinformationen basierende Angriffe und Insider-Bedrohungen eingestuft.
  • Branchen-Benchmarks zeigen, dass die durchschnittliche Zeitspanne zwischen dem Ausscheiden eines Mitarbeiters und dem Entzug des Zugangs mehr als 3 Tage beträgt, wenn das Offboarding manuell erfolgt.
  • Unternehmen verschwenden schätzungsweise 30 % ihrer SaaS-Lizenzausgaben für inaktive oder ausgeschiedene Benutzer. Bei Copilot-Lizenzen, die mehr als 30 US-Dollar pro Benutzer und Monat kosten, summiert sich das schnell.

Ein ordnungsgemäßer Offboarding-Prozess für Microsoft 365 schließt diese Lücken. Er schützt Ihre Daten, sorgt dafür, dass Sie die Vorschriften einhalten, und spart Geld, das Sie wahrscheinlich ohnehin schon verlieren.

Welche Risiken birgt ein unzureichendes Microsoft-Offboarding?

Wenn Sie das Offboarding von Microsoft 365 überspringen oder überstürzen, bleibt Ihre Umgebung auf vorhersehbare Weise anfällig. Ehemalige Mitarbeiter behalten ihre aktiven Anmeldeinformationen, automatisierte Prozesse laufen ohne deren Besitzer weiter, und sensible Daten bleiben für Personen zugänglich, die sie nicht mehr benötigen. Hier sind die spezifischen Risiken, die Sie verstehen sollten.

Datenverletzungen und unbefugter Zugriff

Wenn der Benutzerzugriff beim Ausscheiden einer Person nicht widerrufen wird, bleibt er bestehen. Ehemalige Mitarbeiter können auf SharePoint-Websites, Teams-Kanäle, OneDrive-Dateien und freigegebene Postfächer zugreifen, ob absichtlich oder nicht. Angreifer können dieselben veralteten Anmeldeinformationen ausnutzen, um sich ohne Widerstand Zugang zu verschaffen.

Compliance-Verstöße und rechtliche Auswirkungen

GDPR, HIPAA, ISO 27001 und die meisten Branchenrichtlinien verlangen von Ihnen, dass Sie kontrollieren, wer wann auf regulierte Daten zugreifen kann. Ein ehemaliger Mitarbeiter, der über ein noch aktives Konto auf Kundendaten zugreift, stellt nicht nur ein Sicherheitsproblem dar, sondern auch einen potenziellen Compliance-Verstoß. Wird der Zugriff nicht rechtzeitig und in dokumentierter Form widerrufen, kann dies zu Geldstrafen und Prüfungsfeststellungen führen.

Rufschädigung und Verlust des Kundenvertrauens

Die Schlagzeilen über Datenschutzverletzungen folgen einem vorhersehbaren Muster: Vorfall, Enthüllung, Gegenreaktion der Kunden, lange Erholung. Selbst ein einziger Vorfall, der mit den Anmeldedaten eines ehemaligen Mitarbeiters in Zusammenhang steht, kann ernsthafte Fragen zur Sicherheitslage Ihres Unternehmens aufwerfen. Die Wiederherstellung des Vertrauens nach einem solchen Vorfall erfordert Zeit, Ressourcen und oft eine öffentliche Reaktion, die Sie lieber vermeiden möchten.

KI-spezifische Risiken, die Standard-Checklisten nicht berücksichtigen

Dies ist der Bereich, in dem die meisten Unternehmen noch nicht aufgeholt haben.

  • Copilot speichert den Interaktionsverlauf. Microsoft 365 Copilot speichert einen persönlichen Interaktionsverlauf für das Konto jedes Benutzers. Dieser Verlauf, der sensible Abfragen, interne Datenverweise und geschäftlichen Kontext enthalten kann, wird nicht automatisch gelöscht, wenn eine Lizenz entfernt oder ein Konto deaktiviert wird.
  • Agenten können weiterlaufen. Copilot Studio-Agenten hören nicht auf, wenn ihr Ersteller geht. Ohne einen Besitzer werden sie zu Schattenagenten, die auf Wissensquellen zugreifen und Inhalte unbeobachtet auftauchen lassen. Agenten sollten wie Benutzer behandelt werden. Sie benötigen eine Onboarding-Governance und, was besonders wichtig ist, auch eine Offboarding-Governance.
  • Prompts können sensible Daten enthalten. Gemeinsame Eingabeaufforderungen in Microsoft 365 Copilot können Verweise auf interne Prozesse, vertrauliche Dokumente oder regulierte Daten enthalten. Wenn die Eigentumsrechte nicht übertragen werden oder die Prompts nicht überprüft werden, können diese Inhalte in gemeinsam genutzten Arbeitsbereichen verbleiben, die für das gesamte Team zugänglich sind.

Kritische Komponenten des Microsoft 365 Offboarding

Ein gründlicher Offboarding-Prozess für Microsoft 365 umfasst vier grundlegende Bereiche: Identität, Daten, Lizenzen und Geräte. Wenn alle vier Bereiche stimmen, unterscheidet sich ein sicherer Offboarding-Prozess von einem, der Lücken aufweist, die ein Angreifer oder ein Prüfer irgendwann finden wird.

1. Verwaltung von Benutzerkonten

Der Ausgangspunkt für jedes M365-Offboarding ist das Microsoft Entra ID-Konto. Sie müssen entscheiden, ob Sie das Eigentum an freigegebenen Dateien und Dokumenten übertragen und alle zugehörigen Berechtigungen widerrufen möchten, oder ob Sie diese deaktivieren oder löschen möchten. Das Timing ist hier wichtig: Microsoft empfiehlt, die Anmeldung als ersten Schritt zu sperren, bevor die Datenmigration beginnt.

2. Datenaufbewahrung und Archivierung

Daten, die von einem ausscheidenden Mitarbeiter erstellt oder verwaltet werden, verschwinden nicht, und das sollten sie auch nicht. Mit den Aufbewahrungsrichtlinien in Microsoft Purview können Sie festlegen, wie lange die Daten aufbewahrt werden, bevor sie gelöscht werden. Durch die Archivierung wird sichergestellt, dass die Daten für die Einhaltung von Vorschriften, für Rechtsstreitigkeiten oder als zukünftige Referenz zur Verfügung stehen, ohne aktive Systeme zu überlasten.

3. Lizenzverwaltung

Die Rückforderung von Copilot-, Microsoft 365- und Power Platform-Lizenzen bei abgemeldeten Benutzern ist ein direkter Schritt zur Kostendeckung. Auf diese Weise können Unternehmen sicherstellen, dass sie nicht für ungenutzte Dienste zahlen und Lizenzen je nach Bedarf neuen oder bestehenden Mitarbeitern zuweisen können. Außerdem wird so sichergestellt, dass ehemalige Mitarbeiter nach ihrem Ausscheiden nicht mehr auf Dienste zugreifen können.

4. Zugriffskontrolle für Geräte und Anwendungen

Mitarbeiter greifen über Laptops, Telefone und Tablets auf Microsoft 365 zu. Im Rahmen des Offboardings müssen kritische Geschäftsdaten von persönlichen Geräten über Microsoft Intune entfernt und unternehmenseigene Geräte gelöscht oder neu zugewiesen werden. Anwendungsberechtigungen, einschließlich OAuth-Tokens und Anwendungsregistrierungen, müssen ebenfalls überprüft und widerrufen werden.

Die Checkliste für das Offboarding von Microsoft 365 im Jahr 2026

Diese Checkliste spiegelt wider, wie ein vollständiges M365-Offboarding im Jahr 2026 aussieht, einschließlich der Schritte für Copilot und KI-Agenten, die von den meisten Legacy-Prozessen nicht abgedeckt werden. Gehen Sie diese Schritte der Reihe nach durch, da mehrere davon von den zuvor durchgeführten Aktionen abhängen.

Schritt 1: Deaktivieren und Sichern der Entra ID Identität

Die erste Maßnahme bei jedem Offboarding sollte sein, die Anmeldung in Microsoft Entra ID zu sperren. Dies verhindert sofort, dass sich der ehemalige Mitarbeiter bei irgendeinem Microsoft 365-Dienst authentifizieren kann.

Gehen Sie dann die folgenden Schritte durch:

  • Entziehen Sie alle aktiven Sitzungen, um alle noch aktiven Token zu ungültig machen.
  • Setzen Sie das Kontokennwort zurück, um die Wiederverwendung von Anmeldeinformationen zu verhindern.
  • Entfernen Sie alle dem Konto zugewiesenen erhöhten Rollen: Global Admin, SharePoint Admin, Teams Admin sowie alle anderen.

Schritt 2: Entziehen Sie Microsoft 365- und Copilot-Lizenzen

Entfernen Sie alle zugewiesenen Lizenzen vom Konto. Dazu gehören Microsoft 365 E3/E5, Microsoft 365 Copilot, Power Platform sowie alle Add-ons. Die Lizenzen können neuen Mitarbeitern zugewiesen oder in einer Datenbank gespeichert werden, um die Kosten zu senken.

Speziell bei Copilot-Lizenzen wird durch den Widerruf der Lizenz der Zugriff blockiert, der Verlauf der Copilot-Interaktionen wird jedoch nicht automatisch gelöscht. Dazu sind zusätzliche Schritte erforderlich, die weiter unten beschrieben werden.

Verwenden Sie Microsoft Graph PowerShell, um deaktivierte Konten zu identifizieren, denen noch aktive Lizenzen zugewiesen sind:

# Authentifizierung mit Microsoft Graph

Connect-MgGraph -Scopes "User.Read.All", "Directory.Read.All", "User.ReadWrite.All"

# Fetch disabled users with active licenses

$allUsers = Get-MgUser -Select "id,displayName,userPrincipalName,accountEnabled,assignedLicenses"

$disabledWithLicenses = $allUsers | Where-Object {

-not $_.AccountEnabled -und $_.AssignedLicenses.Count -gt 0

}

# Ergebnisse anzeigen

$disabledWithLicenses | Format-Tabelle Id, DisplayName, UserPrincipalName

# Lizenzen entfernen

foreach ($Benutzer in $disabledWithLicenses) {

$licenseRemoval = @{

"addLicenses" = @()

"removeLicenses" = ($user.AssignedLicenses | ForEach-Object { $_.SkuId })

}

Set-MgUserLicense -UserId $user.Id -BodyParameter $licenseRemoval

Write-Host "Entfernte Lizenzen von $($user.DisplayName)"

}

Disconnect-MgGraph

 

Schritt 3: Sichern Sie E-Mail, OneDrive, Teams und SharePoint

  • E-Mail: Wandeln Sie das Postfach in ein freigegebenes Postfach um, damit ein Vorgesetzter oder Nachfolger darauf zugreifen kann, ohne eine Lizenz zu beanspruchen. Richten Sie bei Bedarf eine Weiterleitung ein, um die Kontinuität zu gewährleisten. Legen Sie eine Prozesssperre fest, wenn die E-Mails des Mitarbeiters rechtlichen oder Compliance-Anforderungen unterliegen.
  • OneDrive: Gewähren Sie einem Manager Zugriff auf die OneDrive-Inhalte des ausscheidenden Benutzers. Microsoft bewahrt OneDrive-Inhalte 30 Tage lang auf, nachdem ein Konto nicht mehr lizenziert ist, und bis zu 93 Tage nach der Löschung, je nach Ihren Aufbewahrungseinstellungen. Übertragen Sie das Eigentum aller geschäftskritischen Dateien, bevor sich das Fenster schließt.
  • Teams und SharePoint: Identifizieren Sie alle Teams oder SharePoint-Sites, bei denen der ausscheidende Benutzer der alleinige Eigentümer ist, und weisen Sie sofort einen neuen Eigentümer zu. Kanäle und Websites ohne gültige Eigentumsnachweise stellen ein Problem für die Unternehmensführung dar. Entfernen Sie den Benutzer aus allen Verteilerlisten und Microsoft 365-Gruppen, um jeglichen weiteren Zugriff auf die gemeinsame Kommunikation zu verhindern.

Schritt 4: Prüfen und neu zuweisen von Power-Automate-Abläufen

Ausscheidende Mitarbeiter betreuen oft geschäftskritische Abläufe: Genehmigungsworkflows, Datensynchronisierungsprozesse und Berichts-Pipelines. Wenn ihr Konto deaktiviert wird, werden diese Abläufe unterbrochen.

Für jeden Ablauf, der dem ausscheidenden Benutzer gehört:

  • Identifizieren Sie, wer ihn wie häufig nutzt.
  • Bestimmen Sie, ob sie geschäftskritisch ist oder stillgelegt werden kann.
  • Übertragen Sie bei kritischen Abläufen die Verantwortung auf ein Dienstkonto und nicht auf einen anderen Benutzer.
  • Dokumentieren Sie die Änderung zu Prüfzwecken

Abläufe, die an ein persönliches Konto gebunden sind, stellen einen einzigen Fehlerpunkt dar. Die Neuzuweisung an ein Dienstkonto macht Ihre Automatisierung widerstandsfähiger und verhindert, dass dieses Problem immer wieder auftritt, wenn jemand ausscheidet.

Schritt 5: Überprüfen und Deaktivieren von Copilot Studio-Agenten

Jeder Copilot-Agent, der einem ausscheidenden Benutzer gehört, muss aktiv überprüft werden:

  • Überprüfen Sie, ob er veröffentlicht ist und aktiv genutzt wird.
  • Überprüfen Sie seine Wissensquellen: Sind sie noch korrekt, konform und angemessen?
  • Prüfen Sie, ob er Zugriff auf vertrauliche SharePoint-Sites oder sensible Daten hat.
  • Wenn der Agent geschäftskritisch ist, ordnen Sie ihn einem Dienstkonto mit einem bestimmten menschlichen Besitzer zu.
  • Wenn er inaktiv ist oder nicht mehr benötigt wird, deaktivieren und löschen Sie ihn.

Agenten, die auf der Grundlage geplanter Auslöser laufen, sind hier besonders wichtig. Sie arbeiten autonom und können weiterhin Kosten verursachen und Daten veröffentlichen, ohne dass es jemand bemerkt.

Schritt 6: Geräte über Intune sichern

Verwenden Sie Microsoft Intune, um Maßnahmen auf allen Geräten zu ergreifen, die auf den ausscheidenden Benutzer registriert sind:

  • Selektive Löschung entfernt Unternehmensdaten von persönlichen Geräten (BYOD), während die persönlichen Daten unberührt bleiben.
  • Die vollständige Löschung setzt unternehmenseigene Geräte vor der Neuzuweisung auf die Werkseinstellungen zurück.
  • Die Compliance-Prüfung bestätigt, dass alle mit dem Konto verbundenen Geräte erfasst sind.

Gehen Sie nicht davon aus, dass die Geräte zurückgegeben und manuell gelöscht werden. Intune gibt Ihnen die Möglichkeit, dies aus der Ferne zu steuern, was vor allem für Mitarbeiter wichtig ist, die an einem anderen Ort arbeiten oder das Unternehmen unter schwierigen Umständen verlassen.

Schritt 7: Archivierung, Übertragung und Überwachung des Datenzugriffs

Der letzte Schritt besteht darin, sicherzustellen, dass nach der Schließung des Kontos nichts mehr verloren geht.

Wenden Sie Aufbewahrungsrichtlinien in Microsoft Purview an, um Daten aufzubewahren, die rechtlichen Beschränkungen oder Compliance-Anforderungen unterliegen. Archivieren Sie die Mailbox bei Bedarf. Richten Sie eine Zugriffsüberwachung ein, um ungewöhnliche Aktivitäten während des Übergangszeitraums zu erkennen, insbesondere dann, wenn das Konto nicht sofort gelöscht wird, sondern deaktiviert bleibt.

Dokumentieren Sie außerdem alles. Ein sauberer Prüfpfad, aus dem hervorgeht, wann der Benutzerzugriff widerrufen wurde, welche Lizenzen zurückverlangt wurden und wie Agenten und Datenflüsse gehandhabt wurden, ist für Compliance-Audits und die interne Rechenschaftspflicht unerlässlich.

Best Practices für das Offboarding von Mitarbeitern mit Copilot-Lizenzen

Der Entzug einer Copilot-Lizenz allein ist nicht ausreichend. Der Interaktionsverlauf, gemeinsam genutzte Eingabeaufforderungen sowie alle vom Benutzer erstellten Agenten müssen gesondert behandelt werden. Hier erfahren Sie, was Sie mit jedem Einzelnen zu tun haben.

Was passiert mit dem Copilot-Verlauf?

Microsoft 365 Copilot speichert einen persönlichen Interaktionsverlauf für jeden Benutzer: Abfragen, Antworten und Kontext aus früheren Sitzungen. Dieser Verlauf ist an das Konto des Benutzers gebunden und wird nicht automatisch gelöscht, wenn eine Lizenz widerrufen wird oder das Konto deaktiviert wird.

Um den Copilot-Interaktionsverlauf zu löschen, müssen Sie eine Anfrage an die betroffenen Personen (DSR) über Microsoft Purview einreichen oder das Microsoft 365 Admin Center verwenden, um die Löschung zu initiieren. Dieser Schritt ist für Organisationen obligatorisch, die strengen Anforderungen an die Datenminimierung gemäß der Datenschutz-Grundverordnung unterliegen.

Was passiert mit freigegebenen Eingabeaufforderungen?

Prompts, die vom ausscheidenden Benutzer in seinem Team oder seiner Abteilung freigegeben wurden, werden nicht automatisch gelöscht. Überprüfen Sie alle gemeinsam genutzten Prompts, die Sie erstellt haben, insbesondere wenn sie auf bestimmte Dokumente, interne Prozesse oder vertrauliche Daten verweisen. Übertragen Sie die Eigentumsrechte oder löschen Sie Prompts, die nicht im Umlauf bleiben sollen.

Was passiert mit Copilot Studio-Agenten?

Copilot Studio-Agenten hören nicht auf, wenn ihr Ersteller geht. Sie laufen weiter, es sei denn, jemand deaktiviert sie ausdrücklich. Das Risiko wird dadurch erhöht, dass Agenten oft Zugriff auf SharePoint-Wissensquellen, externe Verbindungen und Unternehmensdaten haben, manchmal mit einem breiteren Zugriff als vom ursprünglichen Ersteller beabsichtigt.

Jeder Agent sollte wie eine verwaltete Ressource mit einem benannten Eigentümer behandelt werden. Das Offboarding eines Copilot Studio-Agenten bedeutet, dass seine Konfiguration, seine Zugriffsrechte und seine Nutzung überprüft werden, bevor entschieden wird, ihn zu übertragen, zu deaktivieren oder zu löschen.

Wie Sie den Copilot-Zugriff sicher widerrufen

  1. Entfernen Sie die Microsoft 365 Copilot-Lizenz aus dem Konto im Microsoft 365 Admin Center.
  2. Sperren Sie die Anmeldung in Microsoft Entra ID, um jeglichen sitzungsbasierten Zugriff zu verhindern.
  3. Entziehen Sie alle aktiven Sitzungen über Microsoft Graph oder das Entra ID Admin Center.
  4. Reichen Sie in Microsoft Purview einen DSR ein, um den Interaktionsverlauf zu löschen, falls erforderlich.

So übertragen oder deaktivieren Sie AI-Agenten

  • Für Agenten, die übertragen werden: Weisen Sie die Agenten einem Dienstkonto zu, dessen Verantwortlicher in Ihrer Governance-Dokumentation aufgeführt ist. Aktualisieren Sie die Wissensquellen und überprüfen Sie den Zugriff auf den Connector, bevor Sie die Übertragung abschließen.
  • Für zu deaktivierende Agenten: Deaktivieren Sie zunächst alle geplanten Auslöser, heben Sie dann die Veröffentlichung des Agenten auf und löschen Sie ihn anschließend. Bestätigen Sie die Löschung in Copilot Studio, bevor Sie das Offboarding-Ticket schließen.

Microsoft 365-Tools für das Offboarding

Microsoft 365 enthält mehrere integrierte Tools, die die wichtigsten Offboarding-Schritte abdecken. Keines von ihnen erledigt die gesamte Aufgabe allein, aber gemeinsam behandeln sie Identität, Daten, Geräte und den Zugriffslebenszyklus. Im Folgenden erfahren Sie, was die einzelnen Tools leisten und wo sie im Prozess eingesetzt werden.

Microsoft Entra ID Benutzerverwaltung

Microsoft Entra ID (früher Azure Active Directory) ist das Rückgrat der Identitätsverwaltung in M365. Beim Offboarding umfasst es die Deaktivierung von Konten, den Entzug von Rollen, die Beendigung von Sitzungen und die Überprüfung von Audit-Protokollen. Das Entra ID Admin Center bietet Ihnen einen zentralen Ort zur Verwaltung dieser Aktionen, und mit Microsoft Graph PowerShell können Sie sie in großem Umfang automatisieren.

Wichtige Funktionen für das Offboarding:

  • Sperren von Anmeldungen und Entziehen von Sitzungen, um den Zugriff sofort zu unterbinden
  • Rollenbasierte Zugriffskontrolle (RBAC), um erweiterte Berechtigungen zu entfernen
  • Audit-Protokolle zur Überprüfung der letzten Kontoaktivitäten vor und nach dem Ausscheiden

Microsoft Purview Datenverwaltung

Microsoft Purview (das umbenannte Microsoft Security and Compliance Center) verwaltet Datenaufbewahrung, Archivierung und eDiscovery. Beim Offboarding ist es das Tool, mit dem Sie festlegen können, wie lange die Daten eines ehemaligen Mitarbeiters aufbewahrt werden sollen, wie lange sie für Rechtsstreitigkeiten gesperrt werden sollen und wie lange nach sensiblen Inhalten gesucht werden soll.

Wichtigste Funktionen:

  • Aufbewahrungsrichtlinien zur Kontrolle des Datenlebenszyklus nach dem Ausscheiden
  • Datenarchivierung zur Einhaltung von Vorschriften und gesetzlichen Aufbewahrungspflichten
  • Inhaltssuche zum Auffinden sensibler oder geschäftskritischer Daten, die an den Benutzer gebunden sind

Microsoft Intune-Geräteverwaltung

Intune ist Ihr Tool zur Verwaltung der physischen Ebene des Offboarding-Prozesses. Es ermöglicht die Fernlöschung von Geräten, Konformitätsprüfungen sowie die Aufhebung der Registrierung. Und das alles, ohne dass das Gerät physisch in der Hand sein muss.

Wichtigste Funktionen:

  • Selektive Löschung für persönliche Geräte (BYOD)
  • Vollständige Löschung für unternehmenseigene Geräte vor der Neuzuweisung
  • Richtlinien für die Gerätekonformität zur Überprüfung der Sicherheitslage in der gesamten Flotte

Identity Governance Lebenszyklus-Workflows

Microsoft Entra ID Governance umfasst Lifecycle-Workflows, mit denen Sie Offboarding-Aufgaben automatisieren können, die durch Änderungen in HR-Systemen oder in Entra ID-Attributen ausgelöst werden. Wenn sich der Beschäftigungsstatus eines Benutzers ändert, kann ein Workflow automatisch die Anmeldung blockieren, Benachrichtigungen an die IT-Abteilung senden und nachgelagerte Aufgaben auslösen.

Wichtigste Funktionen:

  • Automatisierte Workflows, die durch Ereignisse im Lebenszyklus eines Mitarbeiters ausgelöst werden
  • Zugriffsüberprüfungen zur regelmäßigen Prüfung und Zertifizierung von Benutzerberechtigungen
  • Berechtigungsmanagement zum Entzug von Zugangspaketen bei Austritt

Creating offboarding Lifecycle Workflows using Microsoft Entra ID Governance

Wie Rencore dabei hilft, das sichere Microsoft 365 Offboarding zu automatisieren

Die nativen Tools von Microsoft decken eine Vielzahl von Bereichen ab, sind jedoch über mehrere Verwaltungszentren verteilt und bieten keine einheitliche Sicht darauf, was beim Ausscheiden eines Benutzers zu tun ist. Agenten, Abläufe, Power Apps, Lizenzzuweisungen, Gastbenutzerbeziehungen: Die manuelle Nachverfolgung dieser Vorgänge führt zu versäumten Schritten und wachsenden Governance-Schulden.

Rencore Governance bietet IT-Administratoren und Sicherheitsteams einen zentralen Ort für die Verwaltung des gesamten Offboarding-Workflows, einschließlich der KI- und Copilot-Ebene, die in Standard-Checklisten nicht berücksichtigt wird.

Mit Rencore erhalten Sie:

  1. Einen sofortigen Überblick über ausstehende Offboarding-Aufgaben in Ihrer gesamten M365-Umgebung, dargestellt in einem Dashboard
  2. Vorgefertigte, anpassbare Richtlinien, die kontinuierlich auf verwaiste Konten, nicht vorhandene Agenten, inaktive Copilot-Lizenzen und veraltete Abläufe überwachen
  3. Automatisierte Offboarding-Workflows, die ausgelöst werden, wenn ein Konto deaktiviert wird, und die jeden erforderlichen Schritt ohne manuelle Koordination durchlaufen
  4. Detaillierte, revisionssichere Berichte darüber, was, wann und von wem widerrufen wurde - direkt nützlich für Compliance-Prüfungen und interne Rechenschaftspflicht
  5. Zentralisierte Agenten- und Flow-Governance, damit ausscheidende Mitarbeiter keine laufende Automatisierung und unkontrollierte KI-Tools zurücklassen

Rencore wurde speziell für die Microsoft 365-Governance entwickelt und ist auf eine schnelle Wertschöpfung ausgelegt, die in der Regel innerhalb von Wochen, nicht Monaten, erfolgt.

Informieren Sie sich über Rencores Offboarding-Funktionen für Microsoft 365-Benutzer

Häufig gestellte Fragen (FAQ)

How long is data retained after offboarding?

By default, Microsoft retains OneDrive data for 30 days after a license is removed, and mailbox data for 30 days after account deletion. Retention policies in Microsoft Purview can extend this significantly — up to 10 years — to meet compliance or legal hold requirements.

How do you secure company data during offboarding?

Start by blocking sign-in and revoking active sessions in Microsoft Entra ID before doing anything else. Then apply retention policies in Microsoft Purview, transfer ownership of critical files and mailboxes, and remove SharePoint and Teams permissions. For organizations using Copilot, also review interaction history, shared prompts, and any agents the departing user created.

What happens to Copilot history when a user leaves?

Copilot interaction history stays tied to the user's account and is not automatically deleted when the account is disabled or the license is removed. To delete it, IT admins need to submit a data subject request through Microsoft Purview or use the admin center's content deletion tools, depending on organizational policy.

How do I offboard Copilot Studio agents?

First, identify all agents owned by the departing user in the Copilot Studio admin center. For each one: review its knowledge sources and access permissions, check usage frequency, then either reassign it to a service account with a named human owner or deactivate and delete it. Turn off any scheduled triggers before deactivating.

How do I transfer ownership of AI agents?

In Copilot Studio, agents can be reassigned to a different owner through the agent management settings. Best practice is to transfer to a service account rather than another individual user, which avoids repeating the same offboarding problem next time someone leaves. Document the new owner and review the agent's configuration as part of the transfer process.

What are the most common user offboarding process challenges?

The most common ones are disabling the account without revoking active sessions, skipping license reclamation, and failing to review Power Automate flows and Copilot Studio agents owned by the departing user. These steps either get missed entirely or handled days too late, leaving data exposed and costs running.

What are the best tools for secure data handling during offboarding?

The core Microsoft tools are Microsoft Entra ID for identity and access, Microsoft Purview for data retention and archiving, and Microsoft Intune for device management. For organizations that need a unified view across all of these — plus Copilot agents, Power Automate flows, and license governance — Rencore Governance centralizes the entire process in one place.
Blog post author image
Liam Cleary
Liam begann seine Karriere als Trainer für alle Themen rund um Computer. Er erkannte schnell, dass Programmieren und Hacken viel mehr Spaß machte. Die nächsten Jahre verbrachte Liam mit der Arbeit im Bereich Kerninfrastruktur und Sicherheitsdienste. Er ist Gründer und Eigentümer von SharePlicity, einem Beratungsunternehmen, das sich auf Microsoft 365- und Azure-Technologie spezialisiert hat. Seine Aufgabe bei SharePlicity besteht darin, Unternehmen bei der Implementierung von Microsoft 365- und Azure-Technologie zu unterstützen, um die interne und externe Zusammenarbeit, die Dokumenten- und Aktenverwaltung, die Automatisierung von Geschäftsprozessen sowie die Implementierung von Sicherheitskontrollen und Schutzmaßnahmen zu verbessern. Liam ist Microsoft MVP Alumni und MCT.