ehem. Mitarbeiter sinnvoll aus dem System AD <-> o365 bekommen

[Boffe]

Hallo,

wir Nutzen Office 365 mit AAD, unsere Domainuser/Email werden darüber mit o365 gesynct.

Die Accounts ausgeschiedener Mitarbeiter wurden bisher einfach beibehalten bzw. z. T. einfach mit den Nachfolgerdaten überschrieben, das möchte ich so nicht.

Neuer Mitarbeiter -> neuer Account, das ist klar.

Meine Frage ist wie ich am Besten die alten Mitarbeiter aus dem System bekomme wobei die alten Mails erstmal für Zeitraum X erhalten bleiben bzw. weitergeleitet werden sollen.

Mit einem Testkandidaten welcher via AD gesynct wird bin ich folgendermaßen vorgegangen:

1. Postfach in freigegebenes Postfach umgewandelt
2. Office Lizenz entzogen
3. AD Konto Kennwort geändert und Konto deaktiviert, danach Azure Sync
4. AD Konto aus der Gruppe welche mit Azure gesynct wird entfernt, Dadurch wird der User in o365 zum Löschen vorgemerkt.
5. Im o365 Admin Center den User wiederhergestellt, dadurch wird dieser zu einem Cloud gesyncten User
6. Im o365 Admin Center Userkennwort geändert, aus GAL ausgeblendet und evtl. Stellvertretung eingestellt

Somit sollte doch eine vernünftige Trennung vonstatten gegangen sein oder ?

Den Domainuser kann ich somit löschen, das Mailkonto bleibt davon aber unberührt bis dieses später dann auch mal gelöscht werden kann ?

Über Tipps zu evtl. Fehlerquellen etc. würde ich mich freuen.

 

[Sithys]

Microsoft hat so viel wirklich gute Hilfe-Dokumente mittlerweile, schau mal hier (bezieht sich allerdings nur auf O365): https://docs.microsoft.com/de-de/microsoft-365/admin/add-users/delete-a-user?view=o365-worldwide

Wenn Du das Postfach in ein freigegebenes umwandelst, hat dann nicht automatisch jeder Zugriff darauf?

 

[Tamron]

Schritt 5 und 6 erklärt sich für mich gerade nicht ersichtlich. Ihr habt also anscheinend mindestens auch noch Exchange Online oder Hybrid Exchange?
Ansonsten sieht es doch solide aus. Somit hat man immer noch Zugriff auf die alten Mails falls doch was sein sollte.

@RedGunPanda
Nö, den Zugriff kann man ja explizit bestimmten Personen o.ä. freigeben.

 

[Boffe]

wir haben keinen lokalen Exchange, aber unsere AD User werden mit Online Exchange gesynct.

Der Zugriff auf das freigegebene Postfach sollte nicht möglich sein da
1. Kennwort geändert
2. User zum Anmelden blockiert

Die Mails bekommt z. B. der Nachfolger indem ich ihn als Stellvertretung hinterlege

 

[Tamron]

Deine User werden nicht mit Exchange gesynct, sondern mit deinem Azure AD - aber Haken dran

Gut, da du kein OnPrem Exchange hast kannst du das so machen.
Ich würde nach Dir frei gewählter Zeit die Mailbox exportieren und aus der Exchange Online rausnehmen, falls ihr doch ein paar mehr Mitarbeiter habt, sonst liegen nach 2 Jahren viele tote Mailboxen rum bei einer Firma mit 1000+ Mitarbeiter jetzt mal angenommen

 

[Boffe]

Super, danke für die Rückmeldungen, freut mich dass meine Überlegungen passen.

Deine User werden nicht mit Exchange gesynct, sondern mit deinem Azure AD - aber Haken dran

Gut, da du kein OnPrem Exchange hast kannst du das so machen.
Ich würde nach Dir frei gewählter Zeit die Mailbox exportieren und aus der Exchange Online rausnehmen, falls ihr doch ein paar mehr Mitarbeiter habt, sonst liegen nach 2 Jahren viele tote Mailboxen rum bei einer Firma mit 1000+ Mitarbeiter jetzt mal angenommen

Nach 6 Monaten werde ich die Mailboxen als PST exportieren, danach werden sie Online gelöscht, das hatte ich bereits so angedacht.

 

[Xechon]

Auch wenn das nicht deine Frage war: Ist das Datenschutzrechtlich nicht bedenklich, wenn wenn Mails, die an eine Person X gerichtet sind, ohne Zustimmung des Absenders an Person Y weitergeleitet werden? Bei uns wurde das vor Jahren aus Datenschutzgründen abgeschafft. Sogar in der Abwesenheitsnotiz wird vermerkt, dass die Mails nicht weitergeleitet werden.

 

[Tamron]

Das ist rechtlich umstritten und bisher nicht geklärt.

MEINE Auffassung und genereller Tenor ist so: Firmen E-Mail Adresse ist nicht für private Zwecke zu gebrauchen. Daher verweilen die Mails auch in der Firma und rechtlich kein Problem.
Ein Problem hast du, wenn die Mail auch für private Zwecke zugelassen war. Dann absichern mit Formular mit dem Mitarbeiter der das Unternehmen verlassen wird und dann ist man sicherer.
Das ist meine Meinung und keine Rechtsberatung

 

[Boffe]

Da gibt es bei uns bisher keine einheitliche Richtline, ich habe User mit einer Abwesenheitsnotiz wie von dir beschrieben aber auch welche mit Stellvertretungen. Verbesserungspotential gibt es da sicherlich noch.

 

[corvus]

Bei den Punkte 5 und 6 verstehe ich den Sinn nicht, ansonsten ok.

 

[morcego]

Das Mailkonto ist doch praktisch in dem Moment des Ausscheidens hinfällig. Du kannst also auch direkt das Postfach in eine lokale PST exportieren und anschließend mit einem Passwort sichern. Zugriff darauf wird durch sowas wie 4 Augen Prinzip geregelt und auch nur wenn ein Chef das aus betrieblichen Gründen anordnet. Dann zieht man sich etwas aus der Datenschutzproblematik raus. Auch wenn es angeblich nur reine Firmenpostfächer ohne privaten Inhalt sind, ist das meines Wissens nach trotzdem mit dem Postgeheimnis schwierig. Zumal da auch geschäftliche pikante Mails drin liegen könnten.

Der Benutzer kann dann so gesehen überall gelöscht werden. 30 Tage AD Papierkorb hat man ja in der Hinterhand. Sollte es nötig sein, dass die Mailadresse der Person noch für x Wochen aktiv sein muss, lässt die sich auch temporär einem anderen Nutzer als Zweitadresse zuordnen. Auch hier kann man durchaus ein betriebliches Interesse rein geschäftlicher Kommunikation anbringen, wenigstens so lange bis alle Partner über den Austritt der Person informiert sind. Unterschriebene Zettel sind aber auch da natürlich sinnvoll, keine Frage.