Ein neu eingerichteter Microsoft-365-Tenant sieht in den ersten Wochen immer gut aus. Sechs Monate später kämpfen viele Unternehmen dann mit verwucherten Berechtigungen, doppelten Lizenzen und Sicherheitslücken durch Default-Einstellungen.
Unsere sieben Schritte für einen Tenant, der auch nach einem Jahr noch sauber ist:
- Conditional Access ab Tag eins — nicht "irgendwann später".
- MFA für alle, auch Service-Accounts (mit App Passwords nur dort, wo wirklich nötig).
- Klare Lizenz-Strategie statt Lizenzen pro Mitarbeiter "auf Verdacht".
- SharePoint-Struktur vor dem ersten Upload festlegen, nicht danach.
- Externe Freigaben standardmäßig restriktiv konfigurieren.
- Logging und Audit-Aufbewahrung auf 1 Jahr setzen (Microsoft 365 E5 oder Add-on).
- Offboarding-Playbook schon beim Onboarding mit anlegen.
Das ist keine Raketenwissenschaft — aber es passiert nicht von allein. Wer M365 als "klick dich durch den Setup-Assistenten" behandelt, baut sich Probleme.

