Ihr Microsoft-365-Tenant ist über drei, vier, fünf Jahre mitgewachsen — und niemand im Haus kann mehr ehrlich sagen, wer welche Lizenz braucht, welche SharePoint-Site noch lebt und warum es 14 Verteilerlisten mit ähnlichen Namen gibt. Diese Seite beschreibt, wie ein strukturiertes Aufräumen aussieht, ohne dass der Betrieb dabei steht oder Leute aus Versehen ausgesperrt werden.
Kennen Sie diese Situation?
- Lizenzen wurden über die Jahre angefasst, wenn jemand neu kam oder kündigte — aber nie systematisch durchgegangen. Heute gibt es E5 für Leute, die nur Mail und Teams nutzen, und Business Basic für jemanden, der eigentlich Power BI braucht.
- SharePoint-Sites sind wild entstanden: pro Projekt eine, pro Abteilung mehrere, manche von Mitarbeitenden angelegt, die längst nicht mehr im Haus sind. Niemand will eine löschen, weil keiner weiß, ob sie noch gebraucht wird.
- Berechtigungen sind ein Knäuel aus Direkt-Zuweisungen, Gruppen, geerbten Rechten und „Jeder im Unternehmen”-Sharing-Links, die mal jemand schnell rausgeschickt hat.
- Globale Admins gibt es vier — zwei davon sind ehemalige Mitarbeitende, einer ist der frühere Dienstleister, und der vierte ist ein Service-Account mit einem Passwort, das seit 2022 nicht geändert wurde.
- Wenn jemand fragt „Wer hat eigentlich Zugriff auf den Geschäftsführungs-Ordner?”, bekommen Sie keine Antwort, sondern eine zehnminütige Klick-Tour durch SharePoint-Berechtigungen, die mit „eigentlich nur die richtigen, glaube ich” endet.
Warum jetzt — und nicht später
- Lizenz-Renewal steht an. In den nächsten 3–9 Monaten verlängert sich Ihr Microsoft-Vertrag. Ohne klare Bestandsaufnahme zahlen Sie weiter für Lizenzen, die niemand nutzt, und kaufen eventuell sogar nach.
- Eine neue Mitarbeitenden-Welle steht bevor. Neue Auszubildende, ein neuer Standort, eine Abteilung wird verdoppelt — das aktuelle Onboarding-Provisorium hält das nicht aus.
- Der Cyber-Versicherer oder Wirtschaftsprüfer hat nachgefragt. MFA-Status, Admin-Rollen, Conditional Access, Daten-Klassifizierung — und Sie haben gemerkt, dass die ehrliche Antwort gerade „Wir wissen es nicht genau” wäre. Das gehört bereinigt, bevor es jemand für Sie tut.
So sähe das bei Ihnen aus
Schritt 1 — Bestandsaufnahme, ehrlich und vollständig (Woche 1–2)
Wir gehen mit lesendem Zugriff durch Ihren Tenant und ziehen die harten Daten: Welche Lizenzen sind vergeben, welche werden tatsächlich genutzt (Sign-in-Logs, App-Nutzung), wer ist Admin, wie viele SharePoint-Sites existieren, welche davon haben in den letzten 90 Tagen Aktivität gesehen, wie ist der MFA-Status, welche Conditional-Access-Policies sind scharf. Ergebnis ist ein kompaktes Dokument — was gut ist, was schief liegt, was dringend, was Zeit hat. Auch für die Geschäftsführung lesbar.
Stack: Microsoft Graph, Entra ID Sign-in-Logs, SharePoint Admin Center, Microsoft 365 Admin Center, Defender for Cloud Apps (wo vorhanden).
Schritt 2 — Zielbild definieren (Woche 2–3)
Mit Ihnen zusammen klären wir den Soll-Zustand: Welche Lizenz-Profile passen zu welchen Rollen bei Ihnen? Wer braucht wirklich E5, wem reicht Business Premium? Wie soll die SharePoint-Struktur aussehen, wenn sie neu gedacht wäre? Wer darf künftig Admin sein, und unter welchen Bedingungen? Das wird kein PowerPoint-Berg — das wird eine kurze Architektur-Skizze, die Sie verstehen und der Sie zustimmen können.
Stack: Confluence/Notion/SharePoint für die Dokumentation, je nachdem, wo Ihre Doku-Heimat ist.
Schritt 3 — Aufräumen in kontrollierten Wellen (Woche 3–8)
Wir setzen nicht alles auf einmal um. Die Reihenfolge ist bewusst: Erst Admin-Rollen und MFA — das ist das größte Sicherheitsrisiko und gleichzeitig das, was am wenigsten Endnutzende stört. Dann Lizenz-Reallokation in kleinen Gruppen, immer mit Test vorab. Dann SharePoint-Cleanup mit klarer Ankündigung an die Site-Owner, was passiert: archiviert, gelöscht, umgebaut. Pro Welle gibt es einen Rollback-Pfad, falls etwas hakt.
Stack: PIM (Privileged Identity Management), Entra ID Access Reviews, SharePoint Admin Center, Microsoft Defender for Office 365, Intune (wenn Geräte mitbetroffen).
Schritt 4 — Übergabe und Quartals-Rhythmus (Woche 8+)
Am Ende steht eine Dokumentation, mit der jemand anders Ihre Konfiguration nachvollziehen könnte — bewusst so gebaut. Plus ein Quartals-Rhythmus für Lizenz-Check, Admin-Review und SharePoint-Aktivitäts-Report, damit das nächste „über die Jahre gewachsen” gar nicht erst entsteht.
Worauf Sie achten sollten
- Lassen Sie sich den Rollback-Plan zeigen, bevor irgendwer im Tenant etwas anfasst. Wer auf die Frage „Was passiert, wenn diese Conditional-Access-Policy 200 Leute aussperrt?” stutzt, hat noch keinen Plan. Ein guter Plan hat eine Test-Gruppe, ein Reporting auf Risiko-Sign-ins und einen Notfall-Admin-Zugang.
- Fragen Sie nach der Kommunikations-Strategie für die Endnutzenden. Wenn Sie SharePoint-Sites archivieren oder Lizenzen wechseln, müssen die Betroffenen das vorher wissen — sonst landen die Tickets bei Ihnen, nicht beim Dienstleister.
- Behalten Sie die Global-Admin-Rolle. Mindestens eine Person in Ihrem Haus muss in der Lage sein, jeden externen Dienstleister im Tenant zu deaktivieren. Wenn der Dienstleister das anders haben will — Warnsignal.
- Vorsicht bei „Wir migrieren das mal eben über das Wochenende”-Angeboten. Tenant-Cleanup ist Detail-Arbeit. Wer es als Wochenend-Aktion verkauft, hat entweder ein sehr kleines Setup oder einen sehr großen Optimismus.
Was sich danach realistisch ändert
- Sie haben eine Liste, in der für jede aktive Lizenz steht, wer sie hat, warum, und wann das zuletzt überprüft wurde. Das gleiche gilt für Admin-Rollen.
- Neue Mitarbeitende bekommen einen sauberen Onboarding-Pfad — Lizenz-Profil, Gruppen, Standard-Apps. Statt drei Tagen Setup-Arbeit pro Person ist das eine halbe Stunde.
- Die Frage „Haben alle MFA?” ist in zehn Sekunden beantwortbar. Die Frage „Wer hat Zugriff auf die Geschäftsführungs-Daten?” ebenso.
- SharePoint hat eine nachvollziehbare Struktur, in der die Hauptnutzergruppen wieder finden, was sie suchen. Ob etwas per Mail oder in Teams läuft, folgt künftig einer Regel statt der Gewohnheit.
- Beim nächsten Lizenz-Renewal verhandeln Sie auf Basis von Nutzungsdaten, nicht auf Basis von „letztes Jahr hatten wir das so”.
Was Sie beisteuern
- Zugriff: Ein:e Global-Admin im Tenant, der/die uns gezielt Lese- und später Konfigurations-Rechte gibt. Wir arbeiten nicht mit eigenen permanenten Admin-Konten.
- Stakeholder-Zeit: Eine Person aus Ihrer IT (oder mit IT-Verantwortung), die ansprechbar ist — geschätzt 2–4 Stunden pro Woche während der aktiven Phasen. Plus die Geschäftsführung für zwei bis drei kurze Entscheidungs-Punkte.
- Wissen über Eigenheiten: Welche Abteilung arbeitet wie, wer reagiert empfindlich auf Tool-Änderungen, gibt es Sonderlizenzen für externe Dienstleister, läuft irgendwo eine Schatten-IT, von der nur ein paar Leute wissen.
- Bereitschaft, mitzudokumentieren. Wir liefern die strukturierte Doku — aber die Antwort auf „Warum ist die Marketing-Abteilung eigentlich auf einer eigenen SharePoint-Site?” kommt aus Ihrem Haus.
Risiken & wann es NICHT passt
- Wenn parallel eine Migration läuft — etwa von einem alten Exchange-Server, von Google Workspace oder von einem anderen Tenant — dann macht Aufräumen erst Sinn, wenn die Migration abgeschlossen ist. Vorher fassen Sie eine bewegliche Zielscheibe an.
- Wenn es im Haus noch keinen Konsens gibt, dass es ein Problem ist. Tenant-Cleanup ist kein Geschenk an die Endnutzenden, sondern eine Veränderung. Wenn die Geschäftsführung nicht hinter dem Vorhaben steht, sondern es als reine IT-Aufgabe abtut, scheitert es an Kommunikation, nicht an Technik.
- Wenn Sie akut in einem Sicherheitsvorfall stecken. Dann zuerst Incident, dann Forensik, dann Härten, dann Aufräumen — nicht durcheinander.
- Wenn die Erwartung ist, Copilot in vier Wochen flächig auszurollen, ohne Datenbasis zu bereinigen. Dann erst aufräumen, dann Copilot — sonst sieht Copilot Daten, die er nicht sehen sollte.
So fängt das Gespräch an
30 Minuten Erstgespräch, kostenfrei, per Video oder Telefon. Was wir klären: ungefähre Mitarbeitendenzahl, eingesetzte Lizenz-Pakete, wer aktuell den Tenant administriert, was der aktuelle Auslöser ist (Renewal, neue Welle, Audit, Versicherer). Daraus ergibt sich, ob ein Aufräum-Projekt der richtige Weg ist oder zuerst etwas anderes ansteht.
Remote-Reaktion erfolgt sofort zu Servicezeiten. Ein Erstgespräch lässt sich typischerweise innerhalb von 3–5 Werktagen einrichten; den nächsten freien Termin bestätigen wir verbindlich nach Ihrer Anfrage.
Häufige Fragen
Wie lange dauert das typischerweise? Stellen Sie sich eine Firma mit 80 Mitarbeitenden und moderatem Wildwuchs vor — die ist meist in 4–8 Wochen in einem deutlich besseren Zustand. Eine Organisation mit mehreren Standorten und stärker verwachsenen Berechtigungen braucht entsprechend länger. Im Erstgespräch nennen wir eine ehrliche Spannweite, kein Wunschdenken.
Müssen wir die Arbeit unterbrechen? Nein. Der Sinn des Schritt-für-Schritt-Vorgehens ist, dass der Tagesbetrieb weiterläuft. Endnutzende merken im besten Fall nur, dass ihre Anmeldung jetzt MFA verlangt und dass eine alte SharePoint-Site vorab angekündigt archiviert wird.
Was passiert mit den Daten in Sites, die wir löschen? Nichts wird ohne explizite Freigabe gelöscht. Verdächtig-tote Sites werden zunächst archiviert (lesbar, aber nicht mehr aktiv beschreibbar), die Site-Owner werden informiert, und erst nach einer Karenz-Zeit wird endgültig entschieden. Backup gehört sowieso davor — wir prüfen das mit.
Können wir das nicht selbst machen? Wenn Sie eine Person im Haus haben, die Microsoft Graph, Entra-ID-Konzepte, SharePoint-Berechtigungs-Vererbung und Lizenz-Mapping im Schlaf beherrscht — ja, klar. Wenn diese Person Vollzeit für andere Dinge gebraucht wird, lohnt sich ein externer Sprint, der das in Wochen statt Monaten erledigt.