终止使用 Microsoft 365 帐户的员工的清单

是时候删除访问权限了

最近，我不得不解雇一名团队成员。这很悲伤，但有时我们必须做我们必须做的事情才能让团队继续前进。我们为什么这样做不是本文的重点，相反，我想分享我所学到的关于删除离职团队成员的访问权限的必要步骤的知识。

解雇员工时我们到底需要做什么？由于终止可能是突然的（除了那些决定放弃谁的人），因此最好制定一份清单，列出收到删除某人对 Microsoft 365 访问权限的请求时要采取的操作。让我们看看我使用的清单。

标准清单

此清单适用于不需要高级服务的租户，我们将在稍后讨论。

• 阻止登录 - 这是禁用帐户的最重要步骤，如图 1 所示。请注意，执行此操作只会阻止新登录，但用户仍可以访问系统最多 60 秒从您调用“阻止登录”的时间算起。要立即强制注销所有会话，请考虑使用 Revoke-MgUserSignInSession Microsoft Graph PowerShell cmdlet 和用户的对象 ID。示例脚本如下所示：

Import-Module Microsoft.Graph.Users.Actions
Revoke-MgUserSignInSession -UserId "[email protected]"

• 禁用本地 AD 帐户 - 接下来我会执行此操作，因为阻止登录不会通过 Entra Connect（又名 AAD Connect）从 Entra ID 同步到您的本地 AD。当然，如果组织不使用 Active Directory，则无需执行此步骤。
• 重置用户密码 - 我通常使用随机密码更新帐户，以确保被解雇的员工确实无法访问租户。
• 提交应用选择性擦除/设备擦除请求（如果部署了 Intune）- 这可确保移动设备和/或公司分配的设备上不会留下任何数据。当您提交应用程序选择性擦除请求（图 2）时，请确保选择所有已注册的设备。当然，您需要预先配置 Intune MAM。您可以参考此博客以获取有关在您的环境中设置 MAM 的帮助。

• 提交 ActiveSync 擦除请求（如果未部署 Intune 或最终用户使用非 Microsoft 应用）- 用户有可能使用利用 ActiveSync 的应用来检索邮箱内容。我们还应该提交擦除请求以擦除内容。无论他们使用什么类型的设备，我总是执行此任务以保证安全。我们可以使用 Exchange Admin Center 或 PowerShell（如下面的脚本）来提交请求：

Clear-MobileDevice -AccountOnly -Identity User1 -NotificationEmailAddresses "[email protected]"

• 禁用用户的设备 - 此步骤是为了确保任何基于计算机帐户的身份验证（移动和 Windows/macOS 端点）无效，并且可以从条件访问策略中排除。通常，我会通过 Microsoft Graph PowerShell SDK cmdlet 执行此操作，因为用户可能拥有许多注册设备。以下是示例脚本：

$Device = Get-MgUserRegisteredDevice -UserId "[email protected]"
Update-MgDevice -DeviceId $Device.Id -AccountEnabled:$false

• 在 OneDrive for Business 上启用委派 - 启用对授权用户（通常是员工的直接经理，但也可能是其他用户）的委派，以访问员工的 OneDrive for Business。此操作允许指定用户恢复企业所需的文件。在处理 OneDrive 时，我们还需要注意一些其他事项，我们稍后会介绍。
• 保留用户邮箱 - 这不是必须执行的操作，但这取决于您公司的做法。有几种方法可以做到这一点。一种是将用户的邮箱转换为共享邮箱，请确保在删除员工的许可证之前将邮箱转换为共享邮箱，因为在进行转换时邮箱必须获得许可。另一种方法是利用保留保留将邮箱保留为非活动邮箱。但是，使用保留策略仅允许合规团队访问邮箱内容，而共享邮箱方法允许其他员工访问邮箱内容，就像普通邮箱一样，以在允许的情况下接手剩余的工作。法规可能会在这里发挥作用，这可能会迫使您执行额外的任务。前员工的邮箱中可能存在一些敏感信息。如果查看 OneDrive 帐户内容的员工不应有权访问该信息，这可能会导致一些问题。您可以考虑实施带有访问限制或加密的敏感度标签，以便为每个项目级别提供额外的保护。您可以在此处了解有关实施敏感度标签的更多信息。
• 删除用户许可证 - 这是为了减少许可证支出，因为没有必要为不再为组织工作的员工付费。
• 删除用户帐户 - 通常，这会在宽限期（例如 14 或 30 天）后发生。如果您使用 Entra Connect 将本地 AD 同步到 Entra ID，则必须删除 AD 中的帐户并等待下一个 Entra Connect 同步周期完成。一旦您发现用户的帐户是未分配许可证的纯云帐户，您就可以将其从系统中删除。但是，如果您将用户的邮箱转换为共享邮箱，则无法删除 Entra ID 中的用户帐户，因为共享邮箱需要锚帐户才能工作。

此清单涵盖 Microsoft 365 租户的基本步骤。但如果您有一些高级服务，例如 Defender for Cloud Apps，则应该包括一些额外的步骤。例如，将用户添加到 Defender for Cloud Apps 策略中以监控来自 Teams/SharePoint 的不明原因的大量文件下载。

OneDrive for Business 的委派

处理终止员工的问题之一是他们存储在不同位置的文件，这些文件可能位于 OneDrive for Business 或 SharePoint 中。 SharePoint 网站通常不会成为问题，因为它们旨在成为其他用户可以访问文件的共享空间。但是，请注意，删除用户可能会导致团队或站点进入“无所有者”状态，这意味着除了租户管理员之外，没有人拥有该组的管理权限，因此没有人有权更新该组的权限。团体。做到这一点的最佳方法是识别此类群体并与业务团队核实以重新分配新的所有者。您可以通过 SharePoint 管理门户或运行 PowerShell cmdlet 重新分配新所有者。

OneDrive for Business 中的委派用于用户删除过程，允许指定用户（通常是用户的经理）访问其文件。您可以在删除帐户时分配其他用户对 OneDrive 的访问权限，或从用户帐户中删除许可证。

说到 OneDrive 删除过程，请参阅此处了解默认删除时间表。

Microsoft 在 OneDrive 删除过程中发送通知，为指定用户提供访问 OneDrive 内容的链接，并提醒他们即将发生删除。但是，如果用户帐户没有管理员，或者在帐户删除过程中没有为任何人分配 OneDrive 帐户的访问权限。在删除过程中，没有人会收到 Microsoft 的通知，这可能会导致 OneDrive for Business 中的内容在没有任何人通知的情况下被删除。您只能通过选择工具分配一名用户，或在文本框中键入 UPN（如图 3 所示），以作为第二所有者访问已删除用户的 OneDrive for Business。如果 OneDrive 删除过程找不到管理员，分配的第二所有者不仅会收到通知，还会收到对 OneDrive 的访问权限。

如果您需要委派给 IT、合规性或 HR 团队成员以允许访问文件，您可能需要在 SharePoint 管理中心中将第二所有者分配给用户的 OneDrive 帐户，如图 4 所示。

图 5 显示了 Microsoft 365 发送给已委派 OneDrive for Business 访问权限的指定经理和用户的一些示例通知。

保留政策和用户删除

您需要了解的一件事是保留策略对用户删除过程的影响。保留策略定义数据必须在租户中保留多长时间（最长和最短）。删除用户时，如果用户的邮箱和 OneDrive for Business 应用了保留策略并且仍在配置的最短保留期内，则邮箱和 OneDrive for Business 的内容不会被永久删除。存储库是隐藏的，但合规团队可以使用电子数据展示访问内容。

对加密项目的影响

随着敏感度标签的广泛采用，存储在 Microsoft 365 中的项目（例如电子邮件或文档）可能会出现其他问题。敏感度标签的功能之一是对这些项目应用访问限制和/或加密。如果标签限制访问权限，使得只有一个用户是文档的所有者，而该用户就是被释放的用户，该怎么办？没有简单的方法可以确定哪些文档或项目受到目标用户帐户删除的影响。我通常采取更具反应性的方法，这意味着我仅在用户意识到无法访问或修改某个项目时才帮助他们修改权限。您可能想知道当没有人拥有所有者权限时我如何访问文档。 Azure 权限管理服务 (RMS) 中有一种称为超级用户的配置，这是敏感度标签用于应用加密和/或访问控制的技术。

超级用户是一个特殊的管理帐户，拥有受 Azure RMS 保护的任何项目的所有者权限。您可以访问此处了解有关配置超级用户的更多信息。我总是谨慎使用此帐户，因为它可以访问高度敏感的数据。我建议使用专门的超级用户帐户，该帐户受到严格保护、控制，并且不会每天使用。

其他需要注意的事项

随着越来越多的服务部署到 Microsoft 365，我们在租户中积累了更多数据。当我们需要解雇员工时，这可能会促使我们添加到清单或任务中。删除用户帐户时还需要考虑其他注意事项。让我在这里指定一些：

1. 会议录音 - 如果会议是由目标用户组织的，则录音实际上存储在他们的 OneDrive 中。您可能需要考虑在禁用用户帐户后移动文件。
2. 团队聊天消息 - 所有消息都存储在 Microsoft Teams 的服务器上。但是，您可能希望为接管目标用户工作的人保留一份副本。目前，最好的解决方案是使用电子数据展示搜索导出相关消息的副本以供参考。

结论

在大多数情况下，Microsoft 365 管理员需要响应删除已终止用户的帐户的请求。但是，那些使用某些高级服务（例如 Defender for Cloud Apps 的大量下载检测策略）的用户需要在终止发生之前做好准备。我鼓励您在组织中设置一些通知工作流程，以便您的团队在需要采取行动时收到通知。我知道这可能很敏感，因此您可以考虑使用 PowerAutomate 云流自动化该流程。这可能是一个出路，因为 HR 或高级管理层可能不希望太多人知道发生这种情况的情况。