IT-Onboarding & Offboarding Checkliste
Strukturiertes Vorgehen beim Ein- und Austritt von Mitarbeitenden: AD-Konten, M365-Lizenzen, Hardware, Zugänge und Sicherheit – Schritt fuer Schritt.
Warum eine Checkliste unverzichtbar ist
In vielen KMU laeuft Onboarding und Offboarding nach Gefuehl – der zustaendige Techniker erinnert sich an die meisten Schritte, aber eben nicht an alle. Das Ergebnis: Neue Mitarbeitende warten am ersten Tag auf ihren Laptop-Zugang, oder ex-Angestellte haben noch Wochen nach dem Austritt aktive Konten und VPN-Zugaenge.
Beides ist vermeidbar. Mit einer festen Checkliste dauert ein sauber ausgefuehrtes Onboarding zwar gleichviel Zeit – aber kein Schritt geht vergessen, und du bist abgesichert, falls jemand fragt: “Hat die IT das auch wirklich gemacht?”
Onboarding: Neuer Mitarbeiter
Der Onboarding-Prozess beginnt idealerweise zwei bis drei Tage vor dem ersten Arbeitstag – nicht erst am Morgen des Eintritts.
Phase 1: Infrastruktur und Konten
Diese Schritte koennen und sollen vorab erledigt werden:
Active Directory / Entra ID:
# AD-User anlegen (On-Premise)
New-ADUser `
-Name "Max Mustermann" `
-GivenName "Max" `
-Surname "Mustermann" `
-SamAccountName "m.mustermann" `
-UserPrincipalName "m.mustermann@firma.ch" `
-AccountPassword (ConvertTo-SecureString "Temp@2026!" -AsPlainText -Force) `
-Enabled $true `
-Path "OU=Mitarbeiter,OU=Benutzer,DC=firma,DC=local" `
-Department "Verkauf" `
-Title "Sachbearbeiter" `
-Company "Firma AG"
# In Sicherheitsgruppen aufnehmen
Add-ADGroupMember -Identity "GRP_Verkauf" -Members "m.mustermann"
Add-ADGroupMember -Identity "GRP_VPN_User" -Members "m.mustermann"
M365-Lizenz zuweisen (Microsoft Graph PowerShell):
# Module laden
Import-Module Microsoft.Graph.Users
Connect-MgGraph -Scopes "User.ReadWrite.All", "Directory.ReadWrite.All"
# Lizenz zuweisen (SKU-ID fuer Microsoft 365 Business Premium)
$userId = (Get-MgUser -Filter "userPrincipalName eq 'm.mustermann@firma.ch'").Id
Set-MgUserLicense -UserId $userId `
-AddLicenses @{SkuId = "cbdc14ab-d96c-4c30-b9f4-6ada7cdc1d46"} `
-RemoveLicenses @()
Checkliste Infrastruktur:
| Aufgabe | Erledigt |
|---|---|
| AD-Konto anlegen (Namenskonvention pruefen) | |
| M365-Lizenz zuweisen | |
| E-Mail-Adresse aktiv und erreichbar | |
| In Verteilergruppen und Teams aufnehmen | |
| Shared Mailboxes berechtigen (falls noetig) | |
| MFA einrichten (Authenticator App) | |
| VPN-Zugang einrichten | |
| Passwort-Manager-Zugang anlegen |
Phase 2: Hardware und Arbeitsplatz
Workstation aufsetzen, bevor der neue Mitarbeitende kommt:
# Hostname nach Firma-Standard setzen und in Domaene aufnehmen
Rename-Computer -NewName "PC-MMUSTERMANN" -Restart
# Nach dem Neustart: Domaenen-Beitritt
Add-Computer -DomainName "firma.local" `
-OUPath "OU=Workstations,DC=firma,DC=local" `
-Credential (Get-Credential) `
-Restart
Checkliste Hardware:
| Aufgabe | Erledigt |
|---|---|
| Workstation aufsetzen (Hostname nach Konvention) | |
| Domaenen-Beitritt und Gruppenrichtlinien pruefen | |
| User als Standard-Benutzer einrichten (kein lokaler Admin!) | |
| Office und alle Pflicht-Apps installieren | |
| Drucker einrichten (Netzwerkdrucker per GPO oder manuell) | |
| Headset / VoIP-Telefon konfigurieren | |
| Zweiten Monitor anschliessen und Aufloesung pruefen |
Phase 3: Zugaenge und Berechtigungen
Berechtigungen immer nach dem Least-Privilege-Prinzip: so wenig Zugriff wie noetig, um die Arbeit zu erledigen.
Checkliste Zugaenge:
| Aufgabe | Erledigt |
|---|---|
| Netzlaufwerke mappen (nach Abteilung und Rolle) | |
| SharePoint / OneDrive-Zugang pruefen | |
| Spezifische System-Zugaenge (ERP, CRM, Ticketsystem) | |
| Passwort-Manager: Eintrag erstellen, Zugangsdaten hinterlegen | |
| IT-Helpdesk-Kontakt kommunizieren | |
| Notfallnummern und Eskalationsweg erklaert |
Netzlaufwerke per PowerShell oder GPO mappen:
# Einmalig per PowerShell (z.B. per Login-Skript)
New-PSDrive -Name "S" -PSProvider FileSystem -Root "\\fileserver\Abteilung\Verkauf" -Persist
New-PSDrive -Name "H" -PSProvider FileSystem -Root "\\fileserver\Home\m.mustermann" -Persist
Phase 4: Dokumentation
[ ] Asset-Register aktualisieren (Geraet + zugewiesener User, Seriennummer)
[ ] Ticketsystem-User anlegen (falls separates System)
[ ] Einweisung IT-Richtlinien dokumentieren (Datum, Unterschrift oder E-Mail-Bestaetigung)
[ ] Passwort-Uebergabe dokumentieren (wann, an wen, per welchem Kanal)
Offboarding: Austretender Mitarbeiter
Beim Offboarding gilt: Sicherheit vor Komfort. Im Zweifelsfall zuerst den Zugang sperren, dann klaeren.
Am letzten Arbeitstag (oder frueher)
# AD-Konto deaktivieren – NICHT loeschen!
Disable-ADAccount -Identity "m.mustermann"
# Konto in OU "Ausgetreten" verschieben (uebersichtlicher)
Move-ADObject `
-Identity (Get-ADUser "m.mustermann").DistinguishedName `
-TargetPath "OU=Ausgetreten,DC=firma,DC=local"
# Ablaufdatum auf gestern setzen (doppelte Absicherung)
Set-ADUser -Identity "m.mustermann" -AccountExpirationDate (Get-Date).AddDays(-1)
# Alle aktiven Sessions beenden (falls Remote-Zugang aktiv)
Get-PSSession | Where-Object {$_.ComputerName -like "*"} | Remove-PSSession
M365-Offboarding:
# M365-Postfach auf Shared Mailbox umwandeln (damit Mails erhalten bleiben)
Set-Mailbox -Identity "m.mustermann@firma.ch" -Type Shared
# Weiterleitung auf Vorgesetzten oder Nachfolger
Set-Mailbox -Identity "m.mustermann@firma.ch" `
-ForwardingSmtpAddress "nachfolger@firma.ch" `
-DeliverToMailboxAndForward $false
# Lizenz entfernen (Shared Mailbox braucht keine Lizenz bis 50 GB)
Set-MgUserLicense -UserId $userId -AddLicenses @() `
-RemoveLicenses @("cbdc14ab-d96c-4c30-b9f4-6ada7cdc1d46")
# MFA-Geraete entfernen
# Im Entra Admin Center: Benutzer > Authentifizierungsmethoden > alle entfernen
Checkliste letzter Arbeitstag:
| Aufgabe | Erledigt |
|---|---|
| AD-Konto deaktivieren (nicht loeschen) | |
| M365-Lizenz entfernen / Postfach auf Shared umstellen | |
| E-Mail-Weiterleitung auf Nachfolger setzen | |
| VPN-Zugang widerrufen (Zertifikat / Benutzer entfernen) | |
| MFA-Geraet aus Entra ID entfernen | |
| Passwort aller geteilten Konten aendern (z.B. Admin-Mails, Dienst-Accounts) | |
| Zugangskarte / Schluessel einziehen (mit HR koordinieren) |
Hardware einziehen
[ ] Laptop oder Desktop zurueckfordern und inventarisieren
[ ] Lokale Daten sichern oder uebergeben (laut interner Richtlinie)
[ ] Geraet in Asset-Register als "verfuegbar" oder "in Aufbereitung" markieren
[ ] Mobile Geraete: MDM-Enrollment entfernen oder Remote Wipe ausloesen
[ ] Privates Geraet (BYOD): MDM-Profil entfernen, keine Firmendaten loeschen
Remote Wipe via Intune (falls konfiguriert):
Im Intune Admin Center unter Geraete > [Geraet auswaehlen] > Zuruecksetzen – oder als letztes Mittel “Ausserbetriebsnehmen”, das nur Firmendaten entfernt und das private Geraet intact laesst.
Nach 30 Tagen
Der Grund fuer den 30-Tage-Aufschub: Manchmal wird ein Konto doch noch benoetigt (laufende Projekte, Rechtsfragen, ausstehende Rechnungen). Nach 30 Tagen sollte aber endgueltig aufgeraeumt werden – im Abgleich mit HR und Rechtsabteilung.
# AD-Konto endgueltig loeschen
Remove-ADUser -Identity "m.mustermann" -Confirm:$false
# Aus allen Gruppen entfernen (vor dem Loeschen kontrollieren)
Get-ADPrincipalGroupMembership "m.mustermann" |
Where-Object {$_.Name -ne "Domain Users"} |
ForEach-Object { Remove-ADGroupMember -Identity $_ -Members "m.mustermann" -Confirm:$false }
Checkliste nach 30 Tagen:
| Aufgabe | Erledigt |
|---|---|
| AD-Konto loeschen (nach Ruecksprache HR/Recht) | |
| M365-Postfach loeschen oder langfristig archivieren | |
| Alle Gruppen-Mitgliedschaften entfernt | |
| Asset-Register aktualisiert (Geraet wieder freigegeben) | |
| Uebergabe-Dokumentation abgelegt |
Automatisierung mit Entra ID Lifecycle Workflows
Fuer Unternehmen mit regelmaessigem Personalwechsel lohnt sich die Automatisierung ueber Microsoft Entra ID Governance – Lifecycle Workflows. Das Feature erfordert eine Entra ID Governance-Lizenz (oder Entra Suite).
Damit kannst du Workflows definieren, die automatisch ausloesen:
- 2 Tage vor Einstellung: Temporaeren Zugangscode (TAP) generieren und an Vorgesetzten senden
- Am ersten Tag: Accounts aktivieren, Teams-Willkommensnachricht senden
- Am letzten Tag: Konten deaktivieren, E-Mail-Weiterleitung setzen
# Einstellungsdatum auf einem User-Objekt setzen (Trigger fuer Lifecycle Workflow)
Set-MgUser -UserId $userId -EmployeeHireDate "2026-07-01T00:00:00Z"
# Lebenszyklus-Workflows im Admin Center:
# Entra Admin Center > ID-Governance > Lebenszyklusworkflows > Neuer Workflow
Fuer kleinere KMU ohne Governance-Lizenz genuegen gut gepflegte PowerShell-Skripte und diese Checkliste.
Haeufige Fehler und wie du sie vermeidest
| Fehler | Konsequenz | Loesung |
|---|---|---|
| Konto sofort loeschen statt deaktivieren | Datenverlust, keine Rueckabwicklung moeglich | Erst 30 Tage in OU “Ausgetreten” lassen |
| M365-Lizenz vergessen zu entfernen | Kosten laufen weiter | Lizenz-Uebersicht monatlich pruefen |
| Geteilte Passwörter nicht geaendert | Ex-Mitarbeitender hat noch Zugang | Alle geteilten Accounts nach Austritt rotieren |
| MFA-Geraet nicht entfernt | Passwort-Reset moeglich via altem Phone | MFA-Methoden im Entra-Portal loeschen |
| Hardware nicht dokumentiert | Geraet taucht nicht mehr auf | Asset-Register bei jeder Zuweisung aktualisieren |
| Onboarding am ersten Tag statt vorher | Mitarbeitender sitzt den halben Tag ohne Zugang | Zugang 2 Tage vorher einrichten |
Crosslinks
- Active Directory – Benutzer und Gruppen – AD-User korrekt anlegen und verwalten
- Microsoft 365 – Benutzer und Lizenzen – Lizenzen zuweisen und verwalten
- Intune – Grundlagen – Mobile Geraete und Endpoints per MDM verwalten
- IT-Dokumentation und Inventar – Asset-Register fuehren und Geraete nachverfolgen
- Passwoerter und Passphrasen – Sichere Passwoerter beim Onboarding vergeben
Weiterlernen
- Microsoft Learn – Lebenszyklus-Workflows in Entra ID (DE)
- Microsoft Learn – Entra ID Governance: Lizenzierung und Voraussetzungen
- Microsoft Learn – Benutzerkonten in M365 per PowerShell verwalten
- ComputerWeekly – M365-Onboarding per PowerShell optimieren (DE)
- ComputerWeekly – M365-Offboarding per PowerShell automatisieren (DE)
- Rencore – Microsoft 365 Offboarding Security Guide
Kommentare
Frage, Verbesserungsvorschlag oder eigene Erfahrung zu diesem Artikel? Schreib einen Kommentar. Neue Beiträge erscheinen nach kurzer Moderation.
- Lade Kommentare …