Der erste Arbeitstag entscheidet oft darüber, ob jemand in Ihrem Unternehmen schnell ins Tun kommt – oder sich erst einmal durch Ticket-Warteschlangen, fehlende Zugriffe und unklare Checklisten kämpfen muss. Genauso heikel ist der letzte Tag: Geräte, Lizenzen, Teams-Mitgliedschaften, Datenzugriffe – alles muss zügig und nachvollziehbar geregelt sein. In beiden Momenten zeigt sich, wie reif Ihre digitalen Prozesse wirklich sind. Die gute Nachricht: Mit Microsoft 365 Bordmitteln lässt sich der komplette Mitarbeiter-Lifecycle von „Joiner“ über „Mover“ bis „Leaver“ robust, transparent und audit-sicher gestalten. Microsoft Entra Lifecycle Workflows nehmen wiederkehrende Schritte ab und sorgen dafür, dass Onboarding und Offboarding nicht vom Zufall abhängen, sondern verlässlich ablaufen.
Die Bausteine dafür sind erprobt: SharePoint bzw. Microsoft Lists dienen als zentrale, gemeinsam pflegbare Aufgaben- und Asset-Register – von Schlüsselkarten bis Laptop-Rückgabe. HR und IT sehen in einer Liste denselben Status, arbeiten strukturiert Schritt für Schritt und hinterlassen eine saubere Spur für spätere Audits.
Die eigentliche Automatisierung erledigt Power Automate: Über den Microsoft Entra ID-Connector fügen Sie neue Mitarbeitende automatisch den richtigen Gruppen hinzu, setzen Manager-Beziehungen, prüfen Mitgliedschaften oder stoßen Freigaben an – die technischen Zugriffe folgen so direkt der Rolle. In Kombination mit gruppenbasierter Lizenzierung landen Microsoft 365-Lizenzen automatisch dort, wo sie hingehören, und verschwinden genauso automatisch wieder, wenn jemand das Unternehmen verlässt.
Für das Offboarding wird es noch konkreter: Geräte lassen sich per Intune aus der Ferne zurücksetzen oder „retiren“, App-Daten werden entfernt, und der Account verliert zeitgesteuert seine Zugriffe – von Teams-Mitgliedschaften bis zur Lizenz. Standardisierte Entra-Workflows liefern dafür Vorlagen, die Sie an Ihre Prozesse anpassen, etwa um nach dem letzten Arbeitstag Lizenzen zu entziehen, Teams-Mitgliedschaften zu entfernen und Konten kontrolliert zu schließen.
In diesem Beitrag zeigen wir, wie Sie aus diesen Bausteinen eine praxistaugliche Lösung bauen: eine klare HR/IT-Checkliste in SharePoint, Automatisierungen in Power Automate, Lifecycle Workflows in Entra und – wo nötig – Intune-Aktionen für Geräte. Das Ergebnis ist ein spürbar schnelleres Onboarding, ein revisionssicheres Offboarding und vor allem: weniger Abstimmungsaufwand, weil der Prozess sich selbst erklärt und verlässlich läuft.
Was Sie konkret gewinnen
Automatisiertes Onboarding ist kein „Nice to have“, sondern ein ganz handfestes Produktivitäts-Upgrade. Neue Kolleginnen und Kollegen sind am ersten Tag arbeitsfähig, weil Zugriffe, Geräte und Begrüßungsinformationen bereits vorbereitet sind. Gleichzeitig reduziert sich die Fehlerquote, da wiederkehrende Schritte standardisiert ablaufen und nicht mehr von einzelnen Personen abhängen. Für das Offboarding gilt das Gleiche – nur mit umgekehrter Stoßrichtung: Zugriffe werden zeitgesteuert entzogen, Daten geschützt und Geräte kontrolliert aus dem Verkehr gezogen. Die Basis dafür liefern Entra Lifecycle Workflows, die Joiner-, Mover- und Leaver-Szenarien strukturiert abbilden und so Ihre Governance messbar stärken.
Die Bausteine und wie sie zusammenspielen
Im Zentrum steht eine schlanke Informationsarchitektur: Eine oder mehrere Microsoft-Lists in SharePoint bündeln alle HR- und IT-To-dos, Status und Verantwortlichkeiten; das ist die gemeinsame Wahrheitsquelle für alle Beteiligten. Die Automatisierung kommt aus Power Automate, das die Listenereignisse aufgreift, Genehmigungen einholt und operative Schritte in Entra ID, Teams, Exchange oder Intune anstößt. Zugriffe und Lizenzen werden mit Gruppen und – wo es um komplexere Rollensets und Ablaufdaten geht – mit Entitlement Management geregelt. Für Geräteaktionen bindet sich Intune ein, etwa um Firmendaten selektiv zu entfernen oder Geräte vollständig zu löschen. So entsteht aus Standarddiensten ein nahtloser End-to-End-Prozess.
SharePoint/Microsoft Lists: die gemeinsame Checkliste für HR & IT
Der schnellste Einstieg ist ein dedizierter Onboarding-Bereich auf SharePoint, idealerweise auf Basis der bereitgestellten Onboarding-Vorlage: Sie bringt bereits eine Liste für Aufgaben, News-Layouts und Trainings-Verlinkungen mit, die Sie an Ihr Branding und Ihre Prozessschritte anpassen. Für jedes Onboarding entsteht ein eigener Eintrag, der Verantwortliche, Fälligkeiten, benötigte Assets (Laptop, Badge, Softwarepakete) und den Fortschritt bündelt. Das reduziert Rückfragen, schafft Transparenz und liefert zugleich ein sauberes Audit-Protokoll – ohne zusätzliche Tools.
Entra Lifecycle Workflows: Joiner, Mover, Leaver richtig automatisieren
Lifecycle Workflows standardisieren die kritischen Übergänge des Mitarbeiterlebenszyklus. Beim Onboarding (Joiner) werden z. B. Managerbeziehungen gesetzt, Gruppenmitgliedschaften vergeben und Willkommensschritte vor dem Starttermin vorbereitet. Beim internen Wechsel (Mover) passen Sie Zugriffe und Teams an die neue Rolle an. Beim Offboarding (Leaver) greifen zeitgesteuerte Aufgaben: Lizenzen werden entzogen, Teams-Mitgliedschaften entfernt und der Account kontrolliert geschlossen – bis hin zur finalen Löschung nach Ihrer Aufbewahrungslogik. Diese Workflows lassen sich planen, ad-hoc starten und mit eigenen Task-Erweiterungen kombinieren, um Spezialschritte abzubilden.
Zugriffe & Lizenzen: Gruppenbasierte Lizenzierung und Entitlement Management
Für den Alltag genügt oft ein einfaches, aber sehr wirkungsvolles Muster: Rollenbezogene Sicherheitsgruppen steuern sowohl Zugriffe als auch Microsoft-365-Lizenzen. Tritt jemand der Gruppe bei, erhält er automatisch die hinterlegten Lizenzen; verlässt er sie, werden diese wieder entfernt. Für umfangreichere Rollensets – etwa wenn neben Teams und SharePoint-Sites auch externe Apps, Ablaufdaten und periodische Reviews ins Spiel kommen – empfiehlt sich Entitlement Management mit Access Packages. Damit bündeln Sie alle Ressourcen in einem Paket, definieren Richtlinien für Anforderung, Genehmigung und Ablauf und lassen die Zuweisung revisionssicher laufen.
Power Automate: Benachrichtigungen, Genehmigungen, operative Schritte
Power Automate verbindet Ihre Liste mit den Identitäts- und Kommunikationsdiensten. Ein neuer Onboarding-Eintrag kann automatisch Willkommens-Mails erstellen, Teams-Nachrichten an den Manager schicken, Genehmigungen einholen und – über die Entra- und Microsoft-Graph-Connectoren – Gruppenmitgliedschaften setzen oder prüfen. Der Vorteil liegt in der Kombination aus Mensch-im-Loop und Automatisierung: Entscheidungsschritte bleiben transparent, technische Aktionen laufen deterministisch und nachvollziehbar.
Geräte & Daten: Intune für selektives Löschen oder vollständiges Zurücksetzen
Im Offboarding ist der Umgang mit Endgeräten zentral. Intune erlaubt sowohl das vollständige Zurücksetzen eines Geräts als auch das selektive Entfernen von Unternehmensdaten aus verwalteten Apps. Besonders in streng regulierten Umgebungen hilft die Option, administrative Aktionen durch ein Vier-Augen-Prinzip abzusichern. In der Praxis kombinieren Sie das mit Ihrem Leaver-Workflow: Am letzten Arbeitstag laufen Lizenzentzug und Gruppenbereinigung, kurz darauf folgt – je nach Gerätetyp – das selektive Löschen oder ein kompletter Wipe.
Governance, Compliance & Lizenzen
Die meisten Grundfunktionen in SharePoint und Power Automate sind in Microsoft 365 ohnehin vorhanden. Für Lifecycle Workflows und Entitlement Management benötigen Sie jedoch Entra-ID-Governance-bzw. P2-Funktionen. Microsoft dokumentiert die Lizenzvoraussetzungen transparent; prüfen Sie vor dem Rollout, welche Nutzergruppen tatsächlich in den Scope der Workflows fallen und wie Sie Gast-Zugriffe lizenzieren. Der positive Nebeneffekt: Governance-Features wie wiederkehrende Access Reviews werden damit gleich mit ermöglicht.
Umsetzung in der Praxis: ein kompaktes Blueprint
1) Inhalte und Felder definieren
Starten Sie mit einer Microsoft-List „Onboarding“ und einer „Offboarding/Leaver“-Liste. Legen Sie Pflichtfelder fest: Start-/Enddatum, Abteilung, Manager, Standort, benötigte Geräte/Software, Verantwortliche pro Aufgabe, Fälligkeitsdatum, Status, Audit-Hinweise. Nutzen Sie die Onboarding-Site-Vorlage als Starthilfe und passen Sie sie an Ihr Wording an.
2) Rollen & Gruppen sauber schneiden
Definieren Sie wenige, sprechende Sicherheitsgruppen pro Funktionsbereich (z. B. „Sales-Core“, „Werkstatt-Apps“, „Buchhaltung-Finanz“). Hängen Sie Lizenzen an diese Gruppen und regeln Sie Zugriff auf Sites/Teams darüber. Das hält Ihre Zuweisungslogik schlank und vermeidet Sonderfälle.
3) Lifecycle Workflows konfigurieren
Erstellen Sie je einen Workflow für Joiner, Mover und Leaver. Für Leaver empfiehlt sich ein zweistufiges Modell: ein geplanter Run „am letzten Arbeitstag“ für Lizenzentzug und Team-Bereinigung sowie ein nachgelagerter Run „X Tage später“ für das finale Schließen/Löschen des Kontos gemäß Aufbewahrungsfristen.
4) Power-Automate-Flows verbinden
Ein „Bei Erstellung eines Elements“-Trigger in der Onboarding-Liste stößt Begrüßungsmails, Genehmigungen und Gruppenprüfungen an. Nutzen Sie den Entra-Connector für Manager-Beziehungen und Mitgliedschaftschecks sowie den Graph-Connector für weitergehende Operationen. So bleiben sensible Schritte im Identity-System, während Ihre Fachprozesse in der Liste transparent dokumentiert sind.
5) Intune-Aktionen verknüpfen
Hinterlegen Sie in Offboarding-Einträgen den Gerätestatus. Ein zeitgesteuerter Flow löst dann das selektive Löschen für App-Daten oder einen vollständigen Wipe aus – passend zur Gerätekategorie. Dokumentieren Sie Abschluss und Rückgabe direkt in der Liste, damit HR/IT denselben Fortschritt sehen.
Praxisbeispiel: Vom Vertragsangebot bis zum produktiven Start
Ein neues Teammitglied wird in der HR-Liste erfasst, die Zielabteilung wählt ein Access Package „Sales-Starter“. Nach Managerfreigabe landen SharePoint-Site, Teams-Kanal, CRM-Rollen und die passende M365-Lizenz automatisch beim Neuzugang. Parallel erstellt Power Automate eine Willkommensmail, ein Teams-Willkommensposting und erinnert IT an die Gerätevorbereitung. Am Tag X meldet sich die Person an und ist sofort arbeitsfähig; die Liste zeigt „on track“. Wechselt dieselbe Person später in den Key-Account-Bereich, wird das Mover-Paket aktiviert: neue Gruppen, neue Teams, alte Zugriffe werden automatisch bereinigt. Verlassen Mitarbeitende das Unternehmen, greift der Leaver-Workflow in zwei Stufen – zuerst sichere Entziehung der Lizenzen und Mitgliedschaften, dann die definierte Kontoschließung.
Häufige Fragen aus Projekten
Wie hole ich Entscheider:innen in den Prozess, ohne E-Mail-Ping-Pong?
Nutzen Sie die integrierten Genehmigungen in Power Automate. Freigaben kommen als Teams-Karte oder E-Mail, sind mit einem Klick entscheidbar und werden revisionssicher protokolliert – inklusive Eskalation, falls jemand nicht reagiert.
Wie verhindere ich Lizenz-Wildwuchs?
Hängen Sie Lizenzen an Sicherheitsgruppen und steuern Sie Zugehörigkeiten ausschließlich über Workflows. Das macht Lizenzzuweisungen deterministisch und spart Kosten, weil Entzug und Zuweisung automatisch an den Lebenszyklus gekoppelt sind.
Wie schütze ich Unternehmensdaten auf privaten Geräten?
Mit App-selektivem Löschen entfernt Intune ausschließlich Firmeninhalte aus verwalteten Apps, ohne persönliche Daten anzutasten – ideal für BYOD-Szenarien und externe Mitarbeitende.
Schlanke Prozesse, starke Governance
Onboarding und Offboarding werden dann richtig gut, wenn HR, IT und Führungskräfte denselben, transparenten Ablauf teilen – und die Technik den Fleißjob übernimmt. Mit einer SharePoint-Checkliste als Single Source of Truth, Power Automate für Benachrichtigungen und Entscheidungen, Entra Lifecycle Workflows für die Identitätsautomatisierung und Intune für die Geräteschritte entsteht genau das: ein Prozess, der skaliert, Prüfungen standhält und Menschen den Rücken freihält. Wenn Sie möchten, entwickeln wir daraus mit Ihnen ein passgenaues Blueprint für Ihr Unternehmen – inklusive Feldschema, Flows und Governance-Leitplanken.
