Zum Inhalt springen
sw
en

Tippe um zu suchen

IT-Prozesse & Betrieb

IT-Onboarding & Offboarding Checkliste

Strukturiertes Vorgehen beim Ein- und Austritt von Mitarbeitenden: AD-Konten, M365-Lizenzen, Hardware, Zugänge und Sicherheit – Schritt fuer Schritt.

7 Min Lesezeit Anfänger Zuletzt aktualisiert:

Warum eine Checkliste unverzichtbar ist

In vielen KMU laeuft Onboarding und Offboarding nach Gefuehl – der zustaendige Techniker erinnert sich an die meisten Schritte, aber eben nicht an alle. Das Ergebnis: Neue Mitarbeitende warten am ersten Tag auf ihren Laptop-Zugang, oder ex-Angestellte haben noch Wochen nach dem Austritt aktive Konten und VPN-Zugaenge.

Beides ist vermeidbar. Mit einer festen Checkliste dauert ein sauber ausgefuehrtes Onboarding zwar gleichviel Zeit – aber kein Schritt geht vergessen, und du bist abgesichert, falls jemand fragt: “Hat die IT das auch wirklich gemacht?”


Onboarding: Neuer Mitarbeiter

Der Onboarding-Prozess beginnt idealerweise zwei bis drei Tage vor dem ersten Arbeitstag – nicht erst am Morgen des Eintritts.

Phase 1: Infrastruktur und Konten

Diese Schritte koennen und sollen vorab erledigt werden:

Active Directory / Entra ID:

# AD-User anlegen (On-Premise)
New-ADUser `
  -Name "Max Mustermann" `
  -GivenName "Max" `
  -Surname "Mustermann" `
  -SamAccountName "m.mustermann" `
  -UserPrincipalName "m.mustermann@firma.ch" `
  -AccountPassword (ConvertTo-SecureString "Temp@2026!" -AsPlainText -Force) `
  -Enabled $true `
  -Path "OU=Mitarbeiter,OU=Benutzer,DC=firma,DC=local" `
  -Department "Verkauf" `
  -Title "Sachbearbeiter" `
  -Company "Firma AG"

# In Sicherheitsgruppen aufnehmen
Add-ADGroupMember -Identity "GRP_Verkauf" -Members "m.mustermann"
Add-ADGroupMember -Identity "GRP_VPN_User" -Members "m.mustermann"

M365-Lizenz zuweisen (Microsoft Graph PowerShell):

# Module laden
Import-Module Microsoft.Graph.Users
Connect-MgGraph -Scopes "User.ReadWrite.All", "Directory.ReadWrite.All"

# Lizenz zuweisen (SKU-ID fuer Microsoft 365 Business Premium)
$userId = (Get-MgUser -Filter "userPrincipalName eq 'm.mustermann@firma.ch'").Id
Set-MgUserLicense -UserId $userId `
  -AddLicenses @{SkuId = "cbdc14ab-d96c-4c30-b9f4-6ada7cdc1d46"} `
  -RemoveLicenses @()

Checkliste Infrastruktur:

AufgabeErledigt
AD-Konto anlegen (Namenskonvention pruefen)
M365-Lizenz zuweisen
E-Mail-Adresse aktiv und erreichbar
In Verteilergruppen und Teams aufnehmen
Shared Mailboxes berechtigen (falls noetig)
MFA einrichten (Authenticator App)
VPN-Zugang einrichten
Passwort-Manager-Zugang anlegen

Phase 2: Hardware und Arbeitsplatz

Workstation aufsetzen, bevor der neue Mitarbeitende kommt:

# Hostname nach Firma-Standard setzen und in Domaene aufnehmen
Rename-Computer -NewName "PC-MMUSTERMANN" -Restart

# Nach dem Neustart: Domaenen-Beitritt
Add-Computer -DomainName "firma.local" `
  -OUPath "OU=Workstations,DC=firma,DC=local" `
  -Credential (Get-Credential) `
  -Restart

Checkliste Hardware:

AufgabeErledigt
Workstation aufsetzen (Hostname nach Konvention)
Domaenen-Beitritt und Gruppenrichtlinien pruefen
User als Standard-Benutzer einrichten (kein lokaler Admin!)
Office und alle Pflicht-Apps installieren
Drucker einrichten (Netzwerkdrucker per GPO oder manuell)
Headset / VoIP-Telefon konfigurieren
Zweiten Monitor anschliessen und Aufloesung pruefen

Phase 3: Zugaenge und Berechtigungen

Berechtigungen immer nach dem Least-Privilege-Prinzip: so wenig Zugriff wie noetig, um die Arbeit zu erledigen.

Checkliste Zugaenge:

AufgabeErledigt
Netzlaufwerke mappen (nach Abteilung und Rolle)
SharePoint / OneDrive-Zugang pruefen
Spezifische System-Zugaenge (ERP, CRM, Ticketsystem)
Passwort-Manager: Eintrag erstellen, Zugangsdaten hinterlegen
IT-Helpdesk-Kontakt kommunizieren
Notfallnummern und Eskalationsweg erklaert

Netzlaufwerke per PowerShell oder GPO mappen:

# Einmalig per PowerShell (z.B. per Login-Skript)
New-PSDrive -Name "S" -PSProvider FileSystem -Root "\\fileserver\Abteilung\Verkauf" -Persist
New-PSDrive -Name "H" -PSProvider FileSystem -Root "\\fileserver\Home\m.mustermann" -Persist

Phase 4: Dokumentation

[ ] Asset-Register aktualisieren (Geraet + zugewiesener User, Seriennummer)
[ ] Ticketsystem-User anlegen (falls separates System)
[ ] Einweisung IT-Richtlinien dokumentieren (Datum, Unterschrift oder E-Mail-Bestaetigung)
[ ] Passwort-Uebergabe dokumentieren (wann, an wen, per welchem Kanal)

Offboarding: Austretender Mitarbeiter

Beim Offboarding gilt: Sicherheit vor Komfort. Im Zweifelsfall zuerst den Zugang sperren, dann klaeren.

Am letzten Arbeitstag (oder frueher)

# AD-Konto deaktivieren – NICHT loeschen!
Disable-ADAccount -Identity "m.mustermann"

# Konto in OU "Ausgetreten" verschieben (uebersichtlicher)
Move-ADObject `
  -Identity (Get-ADUser "m.mustermann").DistinguishedName `
  -TargetPath "OU=Ausgetreten,DC=firma,DC=local"

# Ablaufdatum auf gestern setzen (doppelte Absicherung)
Set-ADUser -Identity "m.mustermann" -AccountExpirationDate (Get-Date).AddDays(-1)

# Alle aktiven Sessions beenden (falls Remote-Zugang aktiv)
Get-PSSession | Where-Object {$_.ComputerName -like "*"} | Remove-PSSession

M365-Offboarding:

# M365-Postfach auf Shared Mailbox umwandeln (damit Mails erhalten bleiben)
Set-Mailbox -Identity "m.mustermann@firma.ch" -Type Shared

# Weiterleitung auf Vorgesetzten oder Nachfolger
Set-Mailbox -Identity "m.mustermann@firma.ch" `
  -ForwardingSmtpAddress "nachfolger@firma.ch" `
  -DeliverToMailboxAndForward $false

# Lizenz entfernen (Shared Mailbox braucht keine Lizenz bis 50 GB)
Set-MgUserLicense -UserId $userId -AddLicenses @() `
  -RemoveLicenses @("cbdc14ab-d96c-4c30-b9f4-6ada7cdc1d46")

# MFA-Geraete entfernen
# Im Entra Admin Center: Benutzer > Authentifizierungsmethoden > alle entfernen

Checkliste letzter Arbeitstag:

AufgabeErledigt
AD-Konto deaktivieren (nicht loeschen)
M365-Lizenz entfernen / Postfach auf Shared umstellen
E-Mail-Weiterleitung auf Nachfolger setzen
VPN-Zugang widerrufen (Zertifikat / Benutzer entfernen)
MFA-Geraet aus Entra ID entfernen
Passwort aller geteilten Konten aendern (z.B. Admin-Mails, Dienst-Accounts)
Zugangskarte / Schluessel einziehen (mit HR koordinieren)

Hardware einziehen

[ ] Laptop oder Desktop zurueckfordern und inventarisieren
[ ] Lokale Daten sichern oder uebergeben (laut interner Richtlinie)
[ ] Geraet in Asset-Register als "verfuegbar" oder "in Aufbereitung" markieren
[ ] Mobile Geraete: MDM-Enrollment entfernen oder Remote Wipe ausloesen
[ ] Privates Geraet (BYOD): MDM-Profil entfernen, keine Firmendaten loeschen

Remote Wipe via Intune (falls konfiguriert):

Im Intune Admin Center unter Geraete > [Geraet auswaehlen] > Zuruecksetzen – oder als letztes Mittel “Ausserbetriebs­nehmen”, das nur Firmendaten entfernt und das private Geraet intact laesst.


Nach 30 Tagen

Der Grund fuer den 30-Tage-Aufschub: Manchmal wird ein Konto doch noch benoetigt (laufende Projekte, Rechtsfragen, ausstehende Rechnungen). Nach 30 Tagen sollte aber endgueltig aufgeraeumt werden – im Abgleich mit HR und Rechtsabteilung.

# AD-Konto endgueltig loeschen
Remove-ADUser -Identity "m.mustermann" -Confirm:$false

# Aus allen Gruppen entfernen (vor dem Loeschen kontrollieren)
Get-ADPrincipalGroupMembership "m.mustermann" | 
  Where-Object {$_.Name -ne "Domain Users"} | 
  ForEach-Object { Remove-ADGroupMember -Identity $_ -Members "m.mustermann" -Confirm:$false }

Checkliste nach 30 Tagen:

AufgabeErledigt
AD-Konto loeschen (nach Ruecksprache HR/Recht)
M365-Postfach loeschen oder langfristig archivieren
Alle Gruppen-Mitgliedschaften entfernt
Asset-Register aktualisiert (Geraet wieder freigegeben)
Uebergabe-Dokumentation abgelegt

Automatisierung mit Entra ID Lifecycle Workflows

Fuer Unternehmen mit regelmaessigem Personalwechsel lohnt sich die Automatisierung ueber Microsoft Entra ID Governance – Lifecycle Workflows. Das Feature erfordert eine Entra ID Governance-Lizenz (oder Entra Suite).

Damit kannst du Workflows definieren, die automatisch ausloesen:

  • 2 Tage vor Einstellung: Temporaeren Zugangscode (TAP) generieren und an Vorgesetzten senden
  • Am ersten Tag: Accounts aktivieren, Teams-Willkommensnachricht senden
  • Am letzten Tag: Konten deaktivieren, E-Mail-Weiterleitung setzen
# Einstellungsdatum auf einem User-Objekt setzen (Trigger fuer Lifecycle Workflow)
Set-MgUser -UserId $userId -EmployeeHireDate "2026-07-01T00:00:00Z"

# Lebenszyklus-Workflows im Admin Center:
# Entra Admin Center > ID-Governance > Lebenszyklusworkflows > Neuer Workflow

Fuer kleinere KMU ohne Governance-Lizenz genuegen gut gepflegte PowerShell-Skripte und diese Checkliste.


Haeufige Fehler und wie du sie vermeidest

FehlerKonsequenzLoesung
Konto sofort loeschen statt deaktivierenDatenverlust, keine Rueckabwicklung moeglichErst 30 Tage in OU “Ausgetreten” lassen
M365-Lizenz vergessen zu entfernenKosten laufen weiterLizenz-Uebersicht monatlich pruefen
Geteilte Passwörter nicht geaendertEx-Mitarbeitender hat noch ZugangAlle geteilten Accounts nach Austritt rotieren
MFA-Geraet nicht entferntPasswort-Reset moeglich via altem PhoneMFA-Methoden im Entra-Portal loeschen
Hardware nicht dokumentiertGeraet taucht nicht mehr aufAsset-Register bei jeder Zuweisung aktualisieren
Onboarding am ersten Tag statt vorherMitarbeitender sitzt den halben Tag ohne ZugangZugang 2 Tage vorher einrichten


Weiterlernen

Kommentare

Frage, Verbesserungsvorschlag oder eigene Erfahrung zu diesem Artikel? Schreib einen Kommentar. Neue Beiträge erscheinen nach kurzer Moderation.

  • Lade Kommentare …
Kommentar schreiben