Microsoft-365-Offboarding per PowerShell automatisieren

Was ist das Offboarding von Microsoft-365-Benutzern?

Beim Offboarding eines Mitarbeiters muss die IT-Abteilung den Benutzer aus dem Microsoft-365-Mandanten des Unternehmens entfernen. Der häufigste Grund dafür ist das Ausscheiden eines Mitarbeiters aus dem Unternehmen. Das Offboarding umfasst häufig Folgendes:

• Widerruf des Zugriffs auf verschiedene Microsoft-365-Dienste
• Übertragung der Eigentumsrechte von Dateien und Daten
• Deaktivierung von Benutzerkonten

Eine ordnungsgemäße Offboarding-Methode ist entscheidend, um die Sicherheit der Unternehmensdaten zu gewährleisten. Andernfalls kann es zu unbefugtem Zugriff auf Dateien, potenziellen Sicherheitsverletzungen, Informationsverlust und Verstößen gegen Vorschriften kommen.

Wie hilft PowerShell beim Offboarding von Microsoft 365-Benutzern?

Das Offboarding von Benutzern ist eine Aufgabe, die sich kaum verändert und sich daher ideal für die Automatisierung mit einem PowerShell-Skript eignet. Die Automatisierung von Verwaltungsaufgaben in Microsoft 365 bietet viele Vorteile, darunter die folgenden:

• Konsistenz: Durch die Automatisierung wird das Offboarding standardisiert, sodass jeder Benutzer dieselbe Checkliste mit Aufgaben durchläuft.
• Zeiteffizienz: Die Automatisierung führt mehrere Aufgaben zur Aufhebung von Berechtigungen schneller aus als manuelle Methoden.
• Fehlerreduzierung: Ein getestetes Skript folgt einem festgelegten Verfahren, um das Risiko von Fehlern zu minimieren, insbesondere bei Vorgängen, die viele Schritte umfassen.
• Sicherheit: Durch automatisiertes Offboarding werden Zugriffsrechte umgehend widerrufen, um das Risiko eines unbefugten Zugriffs zu verringern.
• Dokumentation: Die Automatisierung speichert detaillierte Offboarding-Protokolle, was für Audits von Vorteil ist und den IT-Teammitgliedern hilft, die Prozesse zu verstehen, die beim Ausscheiden eines Benutzers durchlaufen werden.
• Neuzuweisung von Ressourcen: Die Automatisierung unterstützt die Übertragung von Aufgaben, Dateien und Ressourcen vom ausscheidenden Benutzer an andere Teammitglieder.
• Benachrichtigungen: Ein Skript kann Warnmeldungen ausgeben, um die relevanten Parteien über die Phasen des Offboarding-Prozesses auf dem Laufenden zu halten.
• Compliance: Die Automatisierung entzieht einem Benutzer beim Ausscheiden den Zugriff auf sensible Daten und Systeme, um die Einhaltung gesetzlicher Vorschriften zu gewährleisten.

Die Durchführung der Benutzer-Deprovisionierung mit PowerShell erhöht die Geschwindigkeit und Effizienz eines Prozesses, der in einigen Fällen eine schnelle Lösung erfordert.

Microsoft verfügt über eine Funktion namens Entra Lifecycle Workflows, die einen Teil dieser Offboarding-Automatisierung übernehmen kann. Um sie nutzen zu können, muss das Unternehmen Entra ID Governance erwerben und zusätzlich Microsoft Entra ID P1 oder P2 pro Benutzer und Monat abonnieren. Entra Lifecycle Workflows ist in seiner Funktionalität eingeschränkt und erfordert zusätzlichen Aufwand, um die Integrationsmöglichkeiten in PowerShell zu erreichen.

Wie werden Fehler bei der Entziehung von Berechtigungen vermieden?

Ein bewährtes PowerShell-Skript sorgt für konsistente Offboarding-Abläufe und minimiert manuelle Fehlerquellen. Sie können das Offboarding auslösen, wenn Sie die Anweisung der Personalabteilung bekommen, eventuell in Kombination mit dem Betriebsrat oder dem IT-Team. So halten Sie auch notwendige Fristen ein.

Ein umfassendes Skript stellt sicher, dass alle Zugriffsrechte vollständig entfernt werden, indem alle Dienste gescannt werden, auf die der ausscheidende Benutzer Zugriff hat.

PowerShell kann ein detailliertes Protokoll aller Aktionen im Offboarding-Prozess erstellen, einschließlich Datum und Uhrzeit, zu Überprüfungs- und Audit-Zwecken.

Die Automatisierung verwaltet auch die Übertragung oder Sicherung wichtiger Dateien, um Datenverluste zu vermeiden.

Schließlich kann ein PowerShell-Skript Lizenzen widerrufen und neu zuweisen, um unbeaufsichtigte Lizenzen zu vermeiden, ein häufiges Versehen bei manuellen Prozessen.

Wichtige Schwerpunkte beim Offboarding von Microsoft-365-Benutzern

Beim Offboarding von Benutzern ist es wichtig, sich über die technischen Aspekte hinaus auf mehrere Schlüsselbereiche zu konzentrieren, um einen gründlichen, sicheren und effizienten Prozess zu gewährleisten:

1. Entzug von Zugriffsrechten: Der Schwerpunkt sollte auf dem Entzug des Zugriffs des Benutzers auf alle Systeme, Anwendungen und Daten liegen. Dazu gehören E-Mail-Konten, Dateifreigabesysteme, CRM-Systeme und andere Software oder Plattformen.

2. Datensicherheit: Sichern Sie alle sensiblen Daten, auf die der Benutzer Zugriff hat. Dies kann die Übertragung von Dateien an einen anderen Mitarbeiter, die Löschung personenbezogener Daten gemäß den Datenschutzbestimmungen wie der DSGVO oder die Änderung gemeinsam genutzter Passwörter umfassen.

3. Kommunikation: Informieren Sie alle relevanten internen und externen Parteien über das Ausscheiden des Benutzers. Dazu können Teammitglieder, Kunden, Lieferanten oder andere Stakeholder gehören.

4. Rückgabe von Vermögenswerten: Sichern Sie alle physischen und digitalen Vermögenswerte. Zu den physischen Vermögenswerten gehören alle firmeneigenen Hardwaregeräte wie Notebooks, Telefone oder Schlüsselkarten. Zu den digitalen Vermögenswerten gehören Softwarelizenzen, Cloud-Storage und digitale Schlüssel.

5. Dokumentation: Dokumentieren Sie jeden Schritt des Offboarding-Prozesses. Dies kann für zukünftige Audits erforderlich sein, um die getroffenen Maßnahmen nachzuvollziehen und eine einheitliche Vorgehensweise sicherzustellen.

Beim Offboarding von Benutzern in Microsoft 365 sollten Sie Folgendes beachten:

1. Lizenzverwaltung: Entfernen Sie die Lizenzen des Benutzers, um Kosten zu sparen oder sie einem anderen Benutzer zur Verfügung zu stellen.

2. E-Mail-Weiterleitung: Richten Sie gegebenenfalls eine Weiterleitung für das E-Mail-Konto des ausscheidenden Benutzers ein, um E-Mails an einen Vorgesetzten oder Nachfolger weiterzuleiten und so die Kontinuität zu gewährleisten.

3. Archivierung von Daten: Speichern Sie die Mailbox des Benutzers, Microsoft-Teams-Daten und andere wichtige Informationen für die Aufbewahrung und zur Einhaltung gesetzlicher Vorschriften.

4. Geräteverwaltung: Verwenden Sie die Geräteverwaltungsfunktionen von Microsoft 365 oder Microsoft Intune, um Unternehmensdaten von den Geräten des Benutzers zu entfernen.

Indem Sie sich auf diese Bereiche konzentrieren, können Sie einen reibungslosen Offboarding-Prozess gewährleisten, der die Sicherheit und Integrität Ihrer Systeme und Daten gewährleistet.

Einrichten und Verwenden von PowerShell zum Verwalten des Benutzer-Offboardings

Sie können ein PowerShell-Skript erstellen, um beim Offboarding eines Benutzerkontos in Microsoft 365 bewährte Methoden zu befolgen. Das Skript könnte beispielsweise die folgenden Aufgaben umfassen:

• Deaktivieren Sie den Anmeldezugriff des Benutzers auf alle Microsoft-365-Dienste, um unbefugte Nutzung zu verhindern.
• Konvertieren Sie das Postfach für einen Übergabezeitraum in ein freigegebenes Postfach, richten Sie automatische Antworten oder E-Mail-Weiterleitungen ein oder exportieren Sie den Inhalt des Postfachs zur Archivierung. Dabei gilt es die rechtlichen Vorschriften zu berücksichtigen.
• Identifizieren und sichern Sie die erforderlichen Daten aus dem Benutzerkonto.
• Entfernen Sie die Microsoft-365-Lizenz des Benutzers.
• Löschen Sie Unternehmensdaten von den Geräten des Benutzers.
• Entfernen Sie den Benutzer aus Microsoft-365-Gruppen, Microsoft Teams und Verteilerlisten.

Unternehmen haben möglicherweise eine längere Liste von Anforderungen für das Offboarding. Das Skript sollte auch jeden Schritt dokumentieren, einschließlich Erfolge, Fehler und Skriptaktionen, die nicht ausgeführt werden mussten.

Microsoft empfiehlt, zunächst nach Möglichkeit das Microsoft Graph PowerShell SDK zu verwenden. In diesem Beispiel wird davon ausgegangen, dass Sie Microsoft Entra ID – ehemals Azure Active Directory – App-Registrierung verwenden, um sich mit Anwendungsberechtigungen und nicht mit delegierten Berechtigungen in PowerShell anzumelden. Mit dieser Konfiguration können Sie eine Drittanbieteranwendung verwenden, um den Offboarding-Prozess zu starten, und dann den Code aufrufen, um die Bereinigungsarbeiten in Microsoft Entra ID durchzuführen.

Stellen Sie zunächst mit PowerShell eine Verbindung zur Microsoft-Graph-API her und authentifizieren Sie sich:

Connect-MgGraph `
-ClientId "a0513d31-4515-9729-bfeccbb3273c" `
     -TenantId "4510da24-48d3-837d-d68966409eb2" `
     -CertificateThumbprint "0C21DA5EDDDFF9802AC0975C96AFF1DA" `
     -ForceRefresh

Sobald die Verbindung hergestellt ist, suchen Sie die Details des Benutzers und speichern Sie sie:

# Suchen Sie den Benutzer zum Offboarding
$userPrincipalName = „[email protected]“
$user = Get-MgUser -UserId $userPrincipalName

Führen Sie anschließend die Aufgaben für das Offboarding aus. Beginnen Sie mit der Deaktivierung des Kontos und entfernen Sie anschließend alle dem Benutzer zugewiesenen Rollen und Lizenzen:

# Blockieren Sie die Anmeldung des Benutzers
Update-MgUser -UserId $userPrincipalName -AccountEnabled:$false
 
# Entfernen Sie alle dem Benutzer zugewiesenen Rollen
$roles = Get-MgDirectoryRole
foreach($role in $roles)
{
$members = Get-MgDirectoryRoleMember -DirectoryRoleId $role.Id
     foreach($member in $members)
     {
          if($member.Id -eq $user.Id)
          {
              Remove-MgDirectoryRoleMemberByRef `
                   -DirectoryRoleId $role.Id -DirectoryObjectId $user.Id
          }
     }
}
 
# Entfernen Sie die Lizenz des Benutzers
$licenses = Get-MgUserLicenseDetail -UserId $user.Id
foreach($license in $licenses)
{
     Set-MgUserLicense `
              -UserId $user.Id `
              -AddLicenses @() `
              -RemoveLicenses @($license.SkuId)
}

Ein weiterer wichtiger Schritt ist die Audit-Aufzeichnung, die so einfach wie ein reguläres PowerShell-Protokoll oder so komplex wie ein benutzerdefiniertes Dokument sein kann.

Der Protokollansatz ist unkompliziert und erfasst ausgeführte Befehle. Der Code kann die Aktionen in einer Datei speichern, und der Parameter NoClobber verhindert das Überschreiben der Datei. Um ihn zu verwenden, fügen Sie die erste Zeile am Anfang Ihres Skripts und die zweite Zeile am Ende ein:

Start-Transcript -Path „C:\Transcripts\Report.txt“ -NoClobber
Stop-Transcript

Nachdem Sie das Skript mit den Transkriptbefehlen ausgeführt haben, generiert das System eine Datei mit einer detaillierten Ausgabe aller ausgeführten Vorgänge.

Jedes Unternehmen ist anders und nutzt unterschiedliche Dienste. Diese Beispiele decken nicht alle Facetten von Microsoft 365 ab. Beispielsweise müssen Sie möglicherweise die OneDrive-for-Business-Dateien oder Inhalte des Benutzers, die in SharePoint Online verbleiben, speichern. Testen Sie alle Offboarding-Skripts in einer kontrollierten Umgebung, bevor Sie sie in einer Produktionsumgebung ausführen. Eventuell benötigen Sie auch mehrere Skripts, wenn sich die Offboarding-Prozesse unterscheiden, beispielsweise bei Mitarbeitern, Freelancern und Dienstleistern.