Euer Microsoft-365-Tenant ist über drei, vier, fünf Jahre mitgewachsen — und niemand im Haus kann mehr ehrlich sagen, wer welche Lizenz braucht, welche SharePoint-Site noch lebt und warum es 14 Verteilerlisten mit ähnlichen Namen gibt. Diese Seite beschreibt, wie ein strukturiertes Aufräumen aussieht, ohne dass der Betrieb dabei steht oder Leute aus Versehen ausgesperrt werden.
Hast du diese Situation?
- Lizenzen wurden über die Jahre angefasst, wenn jemand neu kam oder kündigte — aber nie systematisch durchgegangen. Heute gibt es E5 für Leute, die nur Mail und Teams nutzen, und Business Basic für jemanden, der eigentlich Power BI braucht.
- SharePoint-Sites sind wild entstanden: pro Projekt eine, pro Abteilung mehrere, manche von Mitarbeitenden angelegt, die längst nicht mehr im Haus sind. Niemand will eine löschen, weil keiner weiß, ob sie noch gebraucht wird.
- Berechtigungen sind ein Knäuel aus Direkt-Zuweisungen, Gruppen, geerbten Rechten und „Jeder im Unternehmen”-Sharing-Links, die mal jemand schnell rausgeschickt hat.
- Globale Admins gibt es vier — zwei davon sind ehemalige Mitarbeitende, einer ist der frühere Dienstleister, und der vierte ist ein Service-Account mit einem Passwort, das seit 2022 nicht geändert wurde.
- Wenn jemand fragt „Wer hat eigentlich Zugriff auf den Geschäftsführungs-Ordner?”, bekommt ihr keine Antwort, sondern eine zehnminütige Klick-Tour durch SharePoint-Berechtigungen, die mit „eigentlich nur die richtigen, glaube ich” endet.
Warum das jetzt löst statt verschoben wird
- Lizenz-Renewal steht an. In den nächsten 3–9 Monaten verlängert sich euer Microsoft-Vertrag. Ohne klare Bestandsaufnahme zahlt ihr weiter für Lizenzen, die niemand nutzt, und kauft eventuell sogar nach.
- Eine neue Mitarbeitenden-Welle steht bevor. Neue Auszubildende, ein neuer Standort, eine Abteilung wird verdoppelt — das aktuelle Onboarding-Provisorium hält das nicht aus.
- Der Cyber-Versicherer oder Wirtschaftsprüfer hat nachgefragt. MFA-Status, Admin-Rollen, Conditional Access, Daten-Klassifizierung — und ihr habt gemerkt, dass die ehrliche Antwort gerade „Wir wissen es nicht genau” wäre. Das gehört bereinigt, bevor es jemand für euch tut.
So sähe das bei dir aus
Schritt 1 — Bestandsaufnahme, ehrlich und vollständig (Woche 1–2)
Wir gehen mit lesendem Zugriff durch euren Tenant und ziehen die harten Daten: Welche Lizenzen sind vergeben, welche werden tatsächlich genutzt (Sign-in-Logs, App-Nutzung), wer ist Admin, wie viele SharePoint-Sites existieren, welche davon haben in den letzten 90 Tagen Aktivität gesehen, wie ist der MFA-Status, welche Conditional-Access-Policies sind scharf. Ergebnis ist ein kompaktes Dokument — was gut ist, was schief liegt, was dringend, was Zeit hat. Auch für die Geschäftsführung lesbar.
Stack: Microsoft Graph, Entra ID Sign-in-Logs, SharePoint Admin Center, Microsoft 365 Admin Center, Defender for Cloud Apps (wo vorhanden).
Schritt 2 — Zielbild definieren (Woche 2–3)
Mit euch zusammen klären wir den Soll-Zustand: Welche Lizenz-Profile passen zu welchen Rollen bei euch? Wer braucht wirklich E5, wer reicht mit Business Premium aus? Wie soll die SharePoint-Struktur aussehen, wenn sie neu gedacht wäre? Wer darf künftig Admin sein, und unter welchen Bedingungen? Das wird kein PowerPoint-Berg — das wird eine kurze Architektur-Skizze, die ihr versteht und der ihr zustimmen könnt.
Stack: Confluence/Notion/SharePoint für die Dokumentation, je nachdem, wo eure Doku-Heimat ist.
Schritt 3 — Aufräumen in kontrollierten Wellen (Woche 3–8)
Wir setzen nicht alles auf einmal um. Die Reihenfolge ist bewusst: Erst Admin-Rollen und MFA — das ist das größte Sicherheitsrisiko und gleichzeitig das, was am wenigsten Endnutzende stört. Dann Lizenz-Reallokation in kleinen Gruppen, immer mit Test vorab. Dann SharePoint-Cleanup mit klarer Ankündigung an die Site-Owner, was passiert: archiviert, gelöscht, umgebaut. Pro Welle gibt es einen Rollback-Pfad, falls etwas hakt.
Stack: PIM (Privileged Identity Management), Entra ID Access Reviews, SharePoint Admin Center, Defender for Office, Intune (wenn Geräte mitbetroffen).
Schritt 4 — Übergabe und Quartals-Rhythmus (Woche 8+)
Am Ende steht eine Dokumentation, mit der jemand anders eure Konfiguration nachvollziehen könnte — bewusst so gebaut. Plus ein Quartals-Rhythmus für Lizenz-Check, Admin-Review und SharePoint-Aktivitäts-Report, damit das nächste „über die Jahre gewachsen” gar nicht erst entsteht.
Worauf du dabei achten solltest
- Lass dir den Rollback-Plan zeigen, bevor irgendwer im Tenant etwas anfasst. Wer auf die Frage „Was passiert, wenn diese Conditional-Access-Policy 200 Leute aussperrt?” stutzt, hat noch keinen Plan. Ein guter Plan hat eine Test-Gruppe, ein Reporting auf Risiko-Sign-ins und einen Notfall-Admin-Zugang.
- Frag nach der Kommunikations-Strategie für die Endnutzenden. Wenn ihr SharePoint-Sites archiviert oder Lizenzen wechselt, müssen die Betroffenen das vorher wissen — sonst landen die Tickets bei euch, nicht beim Dienstleister.
- Behaltet die Global-Admin-Rolle. Mindestens eine Person in eurem Haus muss in der Lage sein, jeden externen Dienstleister im Tenant zu deaktivieren. Wenn der Dienstleister das anders haben will — Warnsignal.
- Pass auf bei „Wir migrieren das mal eben über das Wochenende”-Angeboten. Tenant-Cleanup ist Detail-Arbeit. Wer es als Wochenend-Aktion verkauft, hat entweder ein sehr kleines Setup oder einen sehr großen Optimismus.
Was sich danach realistisch ändert
- Ihr habt eine Liste, in der für jede aktive Lizenz steht, wer sie hat, warum, und wann das zuletzt überprüft wurde. Das gleiche gilt für Admin-Rollen.
- Neue Mitarbeitende bekommen einen sauberen Onboarding-Pfad — Lizenz-Profil, Gruppen, Standard-Apps. Statt drei Tagen Setup-Arbeit pro Person ist das eine halbe Stunde.
- Die Frage „Haben alle MFA?” ist in zehn Sekunden beantwortbar. Die Frage „Wer hat Zugriff auf die Geschäftsführungs-Daten?” ebenso.
- SharePoint hat eine nachvollziehbare Struktur, in der die Hauptnutzergruppen wieder finden, was sie suchen. Die Diskussion „nehmen wir Mail oder Teams?” verschiebt sich von Gewohnheit zu Regel.
- Beim nächsten Lizenz-Renewal verhandelt ihr auf Basis von Nutzungsdaten, nicht auf Basis von „letztes Jahr hatten wir das so”.
Was du beisteuerst
- Zugriff: Ein:e Global-Admin im Tenant, der/die uns gezielt Lese- und später Konfigurations-Rechte gibt. Wir arbeiten nicht mit eigenen permanenten Admin-Konten.
- Stakeholder-Zeit: Eine Person aus eurer IT (oder mit IT-Verantwortung), die ansprechbar ist — geschätzt 2–4 Stunden pro Woche während der aktiven Phasen. Plus die Geschäftsführung für zwei bis drei kurze Entscheidungs-Punkte.
- Wissen über Eigenheiten: Welche Abteilung arbeitet wie, wer reagiert empfindlich auf Tool-Änderungen, gibt es Sonderlizenzen für externe Dienstleister, läuft irgendwo eine Schatten-IT, von der nur ein paar Leute wissen.
- Bereitschaft, mitzudokumentieren. Wir liefern die strukturierte Doku — aber die Antwort auf „Warum ist die Marketing-Abteilung eigentlich auf einer eigenen SharePoint-Site?” kommt aus eurem Haus.
Risiken & wann es NICHT passt
- Wenn parallel eine Migration läuft — etwa von einem alten Exchange-Server, von Google Workspace oder von einem anderen Tenant — dann macht Aufräumen erst Sinn, wenn die Migration abgeschlossen ist. Vorher fasst ihr eine bewegliche Zielscheibe an.
- Wenn es im Haus noch keinen Konsens gibt, dass es ein Problem ist. Tenant-Cleanup ist kein Geschenk an die Endnutzenden, sondern eine Veränderung. Wenn die Geschäftsführung nicht hinter dem Vorhaben steht, sondern es als reine IT-Aufgabe abtut, scheitert es an Kommunikation, nicht an Technik.
- Wenn ihr akut in einem Sicherheitsvorfall steckt. Dann zuerst Incident, dann Forensik, dann Härten, dann Aufräumen — nicht durcheinander.
- Wenn die Erwartung ist, Copilot in vier Wochen flächig auszurollen, ohne Datenbasis zu bereinigen. Dann erst aufräumen, dann Copilot — sonst sieht Copilot Daten, die er nicht sehen sollte.
So fängt das Gespräch an
30 Minuten Erstgespräch, kostenfrei, per Video oder Telefon. Was wir klären: ungefähre Mitarbeitendenzahl, eingesetzte Lizenz-Pakete, wer aktuell den Tenant administriert, was der aktuelle Auslöser ist (Renewal, neue Welle, Audit, Versicherer). Daraus ergibt sich, ob ein Aufräum-Projekt der richtige Weg ist oder zuerst etwas anderes ansteht.
Reaktion auf eine Anfrage ist remote sofort zu Service-Zeiten. Erstgespräch lässt sich typischerweise innerhalb von 3–5 Werktagen einrichten — abhängig davon, was bei mir gerade läuft, ehrlich gesagt im Solo-Betrieb.
Häufige Fragen
Wie lange dauert das typischerweise? Stell euch eine 80-Mitarbeitenden-Firma mit moderatem Wildwuchs vor — die ist meist in 4–8 Wochen in einem deutlich besseren Zustand. Eine Organisation mit mehreren Standorten und stärker verwachsenen Berechtigungen braucht entsprechend länger. Im Erstgespräch nennen wir eine ehrliche Spannweite, kein Wunschdenken.
Müssen wir die Arbeit unterbrechen? Nein. Der Sinn des Schritt-für-Schritt-Vorgehens ist, dass der Tagesbetrieb weiterläuft. Endnutzende merken im besten Fall nur, dass ihre Anmeldung jetzt MFA verlangt und dass eine alte SharePoint-Site vorab angekündigt archiviert wird.
Was passiert mit den Daten in Sites, die wir löschen? Nichts wird ohne explizite Freigabe gelöscht. Verdächtig-tote Sites werden zunächst archiviert (lesbar, aber nicht mehr aktiv beschreibbar), die Site-Owner werden informiert, und erst nach einer Karenz-Zeit wird endgültig entschieden. Backup gehört sowieso davor — wir prüfen das mit.
Können wir das nicht selbst machen? Wenn ihr eine Person im Haus habt, die Microsoft Graph, Entra-ID-Konzepte, SharePoint-Berechtigungs-Vererbung und Lizenz-Mapping im Schlaf beherrscht — ja, klar. Wenn diese Person Vollzeit für andere Dinge gebraucht wird, lohnt sich ein externer Sprint, der das in Wochen statt Monaten erledigt.