Start / Use Cases / Tenant aufräumen

Wie räumen wir einen historisch gewachsenen Microsoft-365-Tenant auf?

Lizenzen, SharePoint-Sites und Admin-Rollen strukturiert bereinigen — ohne Betriebsunterbrechung. So räumen Sie Ihren Microsoft-365-Tenant auf.

Ihr Microsoft-365-Tenant ist über drei, vier, fünf Jahre mitgewachsen — und niemand im Haus kann mehr ehrlich sagen, wer welche Lizenz braucht, welche SharePoint-Site noch lebt und warum es 14 Verteilerlisten mit ähnlichen Namen gibt. Diese Seite beschreibt, wie ein strukturiertes Aufräumen aussieht, ohne dass der Betrieb dabei steht oder Leute aus Versehen ausgesperrt werden.

Kennen Sie diese Situation?

Warum jetzt — und nicht später

So sähe das bei Ihnen aus

Schritt 1 — Bestandsaufnahme, ehrlich und vollständig (Woche 1–2)

Wir gehen mit lesendem Zugriff durch Ihren Tenant und ziehen die harten Daten: Welche Lizenzen sind vergeben, welche werden tatsächlich genutzt (Sign-in-Logs, App-Nutzung), wer ist Admin, wie viele SharePoint-Sites existieren, welche davon haben in den letzten 90 Tagen Aktivität gesehen, wie ist der MFA-Status, welche Conditional-Access-Policies sind scharf. Ergebnis ist ein kompaktes Dokument — was gut ist, was schief liegt, was dringend, was Zeit hat. Auch für die Geschäftsführung lesbar.

Stack: Microsoft Graph, Entra ID Sign-in-Logs, SharePoint Admin Center, Microsoft 365 Admin Center, Defender for Cloud Apps (wo vorhanden).

Schritt 2 — Zielbild definieren (Woche 2–3)

Mit Ihnen zusammen klären wir den Soll-Zustand: Welche Lizenz-Profile passen zu welchen Rollen bei Ihnen? Wer braucht wirklich E5, wem reicht Business Premium? Wie soll die SharePoint-Struktur aussehen, wenn sie neu gedacht wäre? Wer darf künftig Admin sein, und unter welchen Bedingungen? Das wird kein PowerPoint-Berg — das wird eine kurze Architektur-Skizze, die Sie verstehen und der Sie zustimmen können.

Stack: Confluence/Notion/SharePoint für die Dokumentation, je nachdem, wo Ihre Doku-Heimat ist.

Schritt 3 — Aufräumen in kontrollierten Wellen (Woche 3–8)

Wir setzen nicht alles auf einmal um. Die Reihenfolge ist bewusst: Erst Admin-Rollen und MFA — das ist das größte Sicherheitsrisiko und gleichzeitig das, was am wenigsten Endnutzende stört. Dann Lizenz-Reallokation in kleinen Gruppen, immer mit Test vorab. Dann SharePoint-Cleanup mit klarer Ankündigung an die Site-Owner, was passiert: archiviert, gelöscht, umgebaut. Pro Welle gibt es einen Rollback-Pfad, falls etwas hakt.

Stack: PIM (Privileged Identity Management), Entra ID Access Reviews, SharePoint Admin Center, Microsoft Defender for Office 365, Intune (wenn Geräte mitbetroffen).

Schritt 4 — Übergabe und Quartals-Rhythmus (Woche 8+)

Am Ende steht eine Dokumentation, mit der jemand anders Ihre Konfiguration nachvollziehen könnte — bewusst so gebaut. Plus ein Quartals-Rhythmus für Lizenz-Check, Admin-Review und SharePoint-Aktivitäts-Report, damit das nächste „über die Jahre gewachsen” gar nicht erst entsteht.

Worauf Sie achten sollten

Was sich danach realistisch ändert

Was Sie beisteuern

Risiken & wann es NICHT passt

So fängt das Gespräch an

30 Minuten Erstgespräch, kostenfrei, per Video oder Telefon. Was wir klären: ungefähre Mitarbeitendenzahl, eingesetzte Lizenz-Pakete, wer aktuell den Tenant administriert, was der aktuelle Auslöser ist (Renewal, neue Welle, Audit, Versicherer). Daraus ergibt sich, ob ein Aufräum-Projekt der richtige Weg ist oder zuerst etwas anderes ansteht.

Remote-Reaktion erfolgt sofort zu Servicezeiten. Ein Erstgespräch lässt sich typischerweise innerhalb von 3–5 Werktagen einrichten; den nächsten freien Termin bestätigen wir verbindlich nach Ihrer Anfrage.

Erstgespräch buchen

Häufige Fragen

Wie lange dauert das typischerweise? Stellen Sie sich eine Firma mit 80 Mitarbeitenden und moderatem Wildwuchs vor — die ist meist in 4–8 Wochen in einem deutlich besseren Zustand. Eine Organisation mit mehreren Standorten und stärker verwachsenen Berechtigungen braucht entsprechend länger. Im Erstgespräch nennen wir eine ehrliche Spannweite, kein Wunschdenken.

Müssen wir die Arbeit unterbrechen? Nein. Der Sinn des Schritt-für-Schritt-Vorgehens ist, dass der Tagesbetrieb weiterläuft. Endnutzende merken im besten Fall nur, dass ihre Anmeldung jetzt MFA verlangt und dass eine alte SharePoint-Site vorab angekündigt archiviert wird.

Was passiert mit den Daten in Sites, die wir löschen? Nichts wird ohne explizite Freigabe gelöscht. Verdächtig-tote Sites werden zunächst archiviert (lesbar, aber nicht mehr aktiv beschreibbar), die Site-Owner werden informiert, und erst nach einer Karenz-Zeit wird endgültig entschieden. Backup gehört sowieso davor — wir prüfen das mit.

Können wir das nicht selbst machen? Wenn Sie eine Person im Haus haben, die Microsoft Graph, Entra-ID-Konzepte, SharePoint-Berechtigungs-Vererbung und Lizenz-Mapping im Schlaf beherrscht — ja, klar. Wenn diese Person Vollzeit für andere Dinge gebraucht wird, lohnt sich ein externer Sprint, der das in Wochen statt Monaten erledigt.

Verwandtes