Mit einem Tenant-Cleanup bringen Sie Ordnung in verwaiste Accounts, Gastzugriffe, Teams und SharePoint-Seiten. Wenn Sie Ihren Microsoft-365-Tenant regelmäßig prüfen, erkennen Sie alte Berechtigungen, unnötige Inhalte und technische Altlasten frühzeitig. So verhindern Sie, dass daraus Sicherheits-, Betriebs- oder Supportprobleme entstehen.

Was meinen wir mit „Tenant-Cleanup“?

Mit „Tenant-Cleanup“ bezeichnen wir die strukturierte Prüfung und Bereinigung eines Microsoft-365-Tenants. Im Mittelpunkt stehen dabei vor allem:

  • verwaiste Benutzerkonten
  • alte Gastaccounts
  • nicht mehr genutzte Teams
  • verwaiste SharePoint-Seiten
  • überholte Berechtigungen
  • technische Objekte ohne klaren Besitzer

Wichtig: Tenant-Cleanup heißt nicht, „alles Alte zu löschen“.

Drei typische Szenarien, durch die Microsoft-365-Tenants nach und nach unübersichtlich werden

Ein Microsoft-365-Tenant wächst manchmal nicht nach Plan, sondern durch Projekte, Abteilungen, externe Dienstleister, neue Geräte, Migrationen, Tests und vieles mehr.

Beispiel 1: Projektteams bleiben technisch bestehen

Ein neues Projektteam ist schnell erstellt. Dazu kommen meist eine Microsoft-365-Gruppe, eine SharePoint-Seite, Dateien, Planner-Aufgaben, Gäste und Berechtigungen. Nach Projektende bleibt technisch oft mehr übrig, als fachlich noch gebraucht wird.

Beispiel 2: Gastaccounts werden nicht sauber zurückgebaut

Ähnlich sieht es bei Gastaccounts aus. Externe Partner, Berater oder Lieferanten erhalten Zugriff auf Teams, SharePoint oder geteilte Dateien. Wenn die Zusammenarbeit endet, fehlt häufig der saubere Rückbau.

Beispiel 3: Historisch gewachsene SharePoint-Berechtigungen

Bei SharePoint kommt ein weiterer Punkt dazu. Berechtigungen entstehen nicht nur zentral. Sie entstehen auch durch geteilte Ordner, einzelne Dateien, Site-Mitgliedschaften und historische Gruppen. Irgendwann weiß niemand mehr sicher, welche Freigabe noch sinnvoll ist.

Welche Bereiche gehören zu einem Tenant-Cleanup?

Bei einem Tenant-Cleanup sollten Sie mindestens diese Bereiche betrachten:

  • verwaiste Benutzerkonten
  • Gastaccounts und externe Zugriffe
  • Teams ohne aktiven Zweck
  • SharePoint-Seiten ohne Owner oder Nutzung
  • Microsoft-365-Gruppen
  • alte oder doppelte Geräteobjekte
  • Intune-, Entra-ID- und Autopilot-Reste
  • veraltete Berechtigungen
  • inaktive Mailboxen und OneDrive-Inhalte
  • ungenutzte Lizenzen
  • App-Registrierungen, Service Principals und Secrets
  • administrative Rollen und Notfallkonten

Für den Einstieg sind aber nicht alle Bereiche gleich wichtig. Setzen Sie zuerst dort an, wo Risiko und Sichtbarkeit hoch sind: Gastaccounts, verwaiste Inhalte, Teams, SharePoint-Seiten und ehemalige Mitarbeiter.

Warum „einfach löschen“ beim Tenant-Cleanup gefährlich ist

Alte Inhalte sind nicht automatisch unnütz. Ein SharePoint-Bereich kann veraltet aussehen, aber noch archivierungsrelevante Dokumente enthalten. Ein Team kann inaktiv wirken, aber wichtige Projektdokumentation enthalten. Ein Gastaccount kann alt sein, aber weiterhin für eine laufende Dienstleisterbeziehung gebraucht werden.

Auch Geräteobjekte verdienen Vorsicht. Microsoft weist darauf hin, dass das Löschen eines Geräteobjekts in Microsoft Entra ID nicht automatisch die Registrierung auf dem Client entfernt. Es verhindert vor allem, dass das Gerät weiter als Identität für Ressourcenzugriffe verwendet wird, etwa bei Conditional Access.

Gehen Sie kontrolliert vor: erst auswerten, dann bewerten, dann protokollieren – und erst danach Maßnahmen umsetzen. Löschen ist nur eine Option. Oft ist es sinnvoller, zuerst zu deaktivieren, zu archivieren oder Zuständigkeiten zu klären.

Welche Risiken entstehen, wenn Sie Ihren Tenant nicht bereinigen?

Ein unbereinigter Tenant wird schleichend schwerer beherrschbar. Das merken Sie oft nicht an einem großen Ausfall, sondern an vielen kleinen Reibungen.

Typische Risiken sind:

  • alte Gastaccounts mit nicht mehr geprüften Zugriffsrechten
  • SharePoint-Seiten ohne verantwortlichen Owner
  • Teams, deren Zweck niemand mehr kennt
  • historisch gewachsene Berechtigungen
  • Geräteobjekte, die Support und Compliance-Auswertungen verfälschen
  • App-Zugriffe ohne klare technische Verantwortung
  • Lizenzen, die noch vergeben sind, obwohl keine Nutzung mehr erkennbar ist
  • unklare Zuständigkeiten bei Prüfungen oder Audits

Für Sie als IT-Verantwortlichen ist das unangenehm, weil jede Nachfrage mehr manuelle Recherche auslöst. „Wer hat Zugriff?“ klingt einfach. In einem gewachsenen Tenant kann die Antwort sportlich werden.

Wie läuft ein sinnvoller Tenant-Cleanup ab?

Starten Sie nicht im Papierkorb, sondern in der Auswertung. Verschaffen Sie sich zuerst einen Überblick, bevor Sie Maßnahmen festlegen.

1. Scope festlegen

Halten Sie den Scope bewusst klein. Ein kompletter Tenant-Cleanup über alle Dienste hinweg wird sonst schnell zu groß für einen sauberen ersten Durchlauf.

2. Daten auswerten

Prüfen Sie Gastzugriffe gezielt, zum Beispiel mit Monitoring und Access Reviews, um veraltete Konten zu erkennen und Berechtigungen zu bestätigen oder zu entziehen.

3. Ergebnisse protokollieren

So bleibt der Cleanup nachvollziehbar. Außerdem vermeiden Sie, dass Sie dieselben Fragen alle paar Monate erneut beantworten müssen.

4. Handlungshinweise ableiten

Formulieren Sie Handlungshinweise konkret. Statt allgemein „Bitte prüfen“ sollte der Hinweis lauten: „Owner fehlt, letzte Nutzung liegt lange zurück – Fachbereich bestätigt Archivierung oder Löschung.“

5. Umsetzung kontrolliert durchführen

Das wirkt weniger spektakulär als ein großer Löschlauf, ist aber deutlich stabiler für den Betrieb.

6. Regelbetrieb etablieren

Arbeiten Sie in einem wiederkehrenden Ablauf: auswerten, protokollieren, Handlungshinweise senden, Rückmeldungen einholen, Maßnahmen umsetzen – und den nächsten Lauf vorbereiten.

Welche Reihenfolge ist für den Einstieg sinnvoll?

Für Sie als IT-Verantwortlichen ist diese Reihenfolge pragmatisch:

1. Verwaiste Accounts identifizieren

Prüfen Sie ehemalige Mitarbeiter, ungenutzte Konten und Identitäten ohne klaren Zweck.

2. Gastaccounts bewerten

Welche externen Benutzer haben noch Zugriff? Gibt es einen aktiven fachlichen Bedarf?

3. Teams und SharePoint-Seiten auswerten

Welche Teams sind inaktiv? Welche Sites haben keinen klaren Owner? Welche Inhalte wirken verwaist?

4. Berechtigungen prüfen

Wo gibt es externe Freigaben, direkte Berechtigungen oder Gruppenmitgliedschaften, die nicht mehr nachvollziehbar sind?

5. Geräte und technische Objekte betrachten

Stale Devices, App-Registrierungen und Service Principals sollten folgen, wenn Sie die organisatorisch sichtbaren Altlasten im Griff haben.

6. Regeln für neue Objekte definieren

Cleanup wirkt nur dauerhaft, wenn neue Teams, Gäste, Sites und Apps künftig sauberer entstehen.

Starten Sie bewusst bodenständig: Beginnen Sie dort, wo Fachbereiche mitentscheiden können und wo Sie schnell Transparenz gewinnen.

Woran Sie erkennen, dass Tenant-Cleanup fällig ist

Tenant-Cleanup ist fällig, wenn Ihnen eine oder mehrere dieser Aussagen bekannt vorkommen:

  • Es gibt Gastaccounts, deren Zweck niemand kennt.
  • Teams haben keine aktiven Owner mehr.
  • SharePoint-Seiten existieren ohne erkennbare Verantwortung.
  • Ehemalige Mitarbeiter tauchen noch in Gruppen oder Berechtigungen auf.
  • Fachbereiche fragen nach Zugriffen, die Sie nur mühsam nachvollziehen können.
  • Admin Center zeigen unterschiedliche Stände für Benutzer, Geräte oder Gruppen.
  • Lizenzen sind vergeben, ohne dass die Nutzung klar ist.
  • Externe Freigaben wurden nie systematisch überprüft.
  • App- oder Automationszugriffe haben keinen dokumentierten technischen Owner.

Der wichtigste Punkt: Wenn Sie für einfache Antworten zu lange suchen müssen, ist das selbst schon ein Signal.

Warum ein monatlicher Tenant-Cleanup-Zyklus sinnvoll ist

Ein monatlicher Cleanup-Zyklus macht aus Aufräumen einen geregelten Betriebsvorgang. Das ist besonders im Mittelstand hilfreich, weil IT-Teams selten Zeit für große Sonderprojekte haben.

Wir haben dafür beispielsweise eine automatisierte, monatliche Auswertung entwickelt. Damit prüfen wir regelmäßig, welche verwaisten Inhalte, Gastaccounts, Teams, SharePoint-Seiten oder sonstigen Auffälligkeiten in Ihrem Tenant vorhanden sind. Die Ergebnisse werden protokolliert und mit konkreten Handlungshinweisen an Sie übergeben.

Der Vorteil: Entscheidungen bleiben nachvollziehbar. Sie erhalten eine belastbare Grundlage, statt jedes Mal neu im Nebel zu stochern.

Ein guter monatlicher Report beantwortet zum Beispiel:

  • Welche verwaisten Inhalte wurden gefunden?
  • Welche Gastaccounts sollten geprüft werden?
  • Welche Teams oder SharePoint-Seiten brauchen einen Owner?
  • Wo besteht akuter Handlungsbedarf?
  • Welche Punkte sind reine Beobachtung?
  • Welche Maßnahmen wurden bereits umgesetzt?
  • Welche Entscheidungen sind offen?

So wird Tenant-Cleanup messbar, wiederholbar und weniger abhängig von einzelnen Admins.

Was nach dem ersten Cleanup dauerhaft geregelt werden sollte

Regeln Sie nach dem ersten Cleanup den laufenden Betrieb. Sonst sieht Ihr Tenant nach wenigen Monaten wieder ähnlich aus.

Sinnvoll sind:

  • klare Owner für Teams und SharePoint-Seiten
  • regelmäßige Prüfung von Gastaccounts
  • definierte Fristen für inaktive Inhalte
  • dokumentierte Zuständigkeiten für Fachbereiche
  • nachvollziehbare Protokolle zu Cleanup-Maßnahmen
  • klare Regeln für externe Freigaben
  • ein strukturierter Offboarding-Prozess
  • regelmäßige Prüfung administrativer Rollen
  • ein Review-Prozess für Apps und Automationen

Tenant-Cleanup ist damit nicht nur IT-Hygiene. Es ist ein Baustein für Microsoft-365-Governance, Security und sauberen Betrieb.

Wie wir Sie beim Tenant-Cleanup unterstützen

acoris unterstützt Sie mit einem wiederkehrenden Tenant-Cleanup-Prozess im monatlichen Zyklus. Dabei werden verwaiste Inhalte und relevante Auffälligkeiten in Ihrem Microsoft-365-Tenant ausgewertet, protokolliert und mit konkreten Handlungshinweisen an Sie übergeben.

Das Ziel ist nicht, ungefragt Inhalte zu löschen. Ziel ist eine belastbare Entscheidungsgrundlage: Was wurde gefunden? Warum ist es relevant? Welche Maßnahme ist sinnvoll? Wer sollte entscheiden?

Für Sie als IT-Verantwortlichen entsteht dadurch ein regelmäßiger Überblick über Tenant-Hygiene, offene Risiken und sinnvolle nächste Schritte – ohne jedes Mal bei null anzufangen. Wir unterstützen Sie bei Bedarf mit unserer Microsoft 365 Beratung und Projekterfahrung.

Unsere Empfehlung, um Ihren Microsoft-365-Tenant ordentlich zu halten

Setzen Sie Tenant-Cleanup als regelmäßigen (vielleicht sogar teilautomatisierten) Prozess auf: auswerten, protokollieren, entscheiden, handeln. Prüfen Sie monatlich verwaiste Inhalte, Gastzugriffe, Teams und SharePoint-Seiten. So bleibt Ihr Tenant übersichtlich, und Sie vermeiden später die große Aufräumaktion mit Puls.

FAQ

Was ist Tenant-Cleanup?

Tenant-Cleanup ist die strukturierte Prüfung und Bereinigung eines Microsoft-365-Tenants. Dabei prüfen Sie zum Beispiel verwaiste Accounts, Gastzugriffe, Teams, SharePoint-Seiten, Berechtigungen, Geräte und technische Objekte. Ziel sind mehr Übersicht, weniger Risiko und ein sauberer Betrieb.

Warum sind Gastaccounts beim Tenant-Cleanup so wichtig?

Gastaccounts ermöglichen externen Personen Zugriff auf Teams, SharePoint oder geteilte Inhalte. Wenn die Zusammenarbeit endet, bleiben Konten manchmal bestehen. Prüfen Sie Gastzugriffe deshalb regelmäßig und entfernen oder beschränken Sie diese, wenn kein Bedarf mehr besteht.

Sollten Sie alte Teams und SharePoint-Seiten einfach löschen?

Löschen Sie alte Teams und SharePoint-Seiten nicht vorschnell. Sie können wichtige Projektdokumente, Nachweise oder fachliche Informationen enthalten. Prüfen Sie vor dem Löschen Owner, Nutzung, Aufbewahrungspflichten und fachliche Relevanz. Oft ist Archivieren der bessere erste Schritt.

Wie oft sollten Sie einen Tenant-Cleanup durchführen?

Planen Sie Tenant-Cleanup als monatlichen Zyklus ein. Für viele mittelständische Unternehmen passt dieser Rhythmus gut. So erkennen, protokollieren und bewerten Sie Auffälligkeiten regelmäßig. Tenant-Cleanup bleibt steuerbar und wird nicht zum großen Sonderprojekt nach mehreren Jahren Wildwuchs.

Was gehört in einen Tenant-Cleanup-Report?

Ein guter Report enthält gefundene verwaiste Inhalte, Gastaccounts, Teams, SharePoint-Seiten, Berechtigungen und weitere Auffälligkeiten. Wichtig sind außerdem Bewertung, Handlungshinweis, Priorität, möglicher Owner und Status. So können Sie gemeinsam mit den Fachbereichen fundiert entscheiden.