Microsoft 365 ist kein Plug-and-Play für KMU
M365 ist als Cloud-Workplace einfach zu starten, und genau das macht es für KMU heimtückisch. Ein paar Lizenzen kaufen, Postfächer migrieren, los. Sechs Monate später liegt eine wilde Mischung aus Standard-Konfiguration, halben Sicherheits-Policies, doppelten Adminkonten und ungeklärter SharePoint-Struktur vor.
Der Aufwand für eine saubere Einführung ist überschaubar. Der Aufwand für eine spätere Bereinigung ist es nicht.
Was vor dem Start geklärt sein muss
| Bereich | Frage |
|---|---|
| Tenant | Tenant-Name (irreversibel), Region, Sprache |
| Domain | Wer ist Inhaber? Wie wird verifiziert? |
| Identität | Cloud-only, Hybrid mit On-Prem-AD, Föderation? |
| Lizenzen | Welche Pläne, pro Benutzer, pro Funktion? |
| Sicherheit | Security Defaults oder Conditional Access? Break-Glass-Konto? |
| Daten | Was wird migriert? Was bleibt? Welche Retention? |
| Geräte | Intune ja/nein? BYOD-Policy? |
| Compliance | Welche Aufbewahrungs- und Löschpflichten? |
Sicherheits-Baseline am Tag 1
Die Tenant-Konfiguration sollte vom ersten Tag an mindestens leisten: MFA für alle (siehe MFA für KMU), Break-Glass-Konto, blockierte Legacy-Authentifizierung, eingeschränkte Adminrollen, sinnvolle Sharing-Policies in SharePoint und OneDrive, definierte Retention pro Workload (siehe M365-Backup).
Was später nachgezogen werden kann, ohne grossen Schaden: Conditional Access Detail-Regeln, DLP-Policies, Sensitivity Labels, Information Barriers.
Was oft falsch läuft
Tenant-Name nachträglich ändern wollen. Geht nicht. Der Tenant-Name (firma.onmicrosoft.com) ist permanent.
Globaler Admin = persönliches Konto. Globaler Admin sollte nie das tägliche Arbeitskonto sein.
Migration vor Sicherheit. Erst Postfächer rein, dann Sicherheit drumherum bauen, das umgekehrte Vorgehen ist günstiger.
SharePoint ungeplant. Eine Site pro Bauchgefühl wird in zwei Jahren ein Suchproblem (siehe SharePoint sauber planen).
Beispiel aus dem KMU-Alltag
Ein Treuhandbüro startet M365 selbst, weil „das ja einfach geht". Sechs Monate später: 14 SharePoint-Sites, drei davon mit anonymem Sharing, ein gelöschter Mitarbeiter ist immer noch Global Admin, Retention ist Standard (= Microsoft-Default), niemand kennt die Wiederherstellungsfristen. Die Bereinigung dauert länger als ein sauberes Setup gedauert hätte.
Wann wir helfen
Wir richten den Tenant nach dokumentierter Baseline ein, migrieren in Wellen und übergeben mit Runbook. Teil unserer Leistung Managed Workplace & Microsoft 365. Wie ein realer Einstieg aussehen kann, zeigt das Szenario Treuhand-Büro mit DATEV-Migration.
Häufige Fragen
Kann der Tenant-Name geändert werden?
Nein, nur die Hauptdomain (firma.ch) wird verifiziert und genutzt. Der onmicrosoft.com-Name bleibt.
Cloud-only oder Hybrid? Für die meisten KMU genügt Cloud-only. Hybrid lohnt sich nur bei klarem On-Prem-Ankerpunkt.
Welche Lizenz? Hängt von Funktionen ab (Intune, Defender, Audit). Nicht jeder Benutzer braucht das gleiche Paket.
Was kostet eine saubere Einrichtung? Klar abgegrenzt als Projekt. Günstiger als spätere Bereinigung.
Wie lange dauert die Migration? 2–8 Wochen je nach Datenvolumen, Zahl der Postfächer und Komplexität.