Office 365 邮箱生命周期管理

大多数组织都有一致的设置新用户的流程。但很多时候处理用户离开的流程并不是很清晰。

当 Office 365 用户离开您的组织时，您应该制定流程来确保您免受数据泄露和数据丢失的影响。您的流程应包括以下内容：

• 切断用户对组织数据和服务的访问
• 保留和重新分配与用户的 Office 365 帐户关联的数据
• 确保涉及用户的工作流程被重定向
• 妥善释放用户的Office 365帐户许可证以供重复使用

这些主题应该从广义上考虑，但本文将重点讨论 Office 365 邮箱的处理。

切断访问

要切断用户对组织的访问权限，您有几种选择。选择合适的航班取决于出发的“紧急程度”和您的设置。

对于混合环境中的非紧急访问阻止，您只需禁用本地用户帐户即可。相应的 Office 365 帐户将在下一个复制周期从 Azure AD Connect 登录被阻止。请注意，现有用户与电子邮件和其他 Office 365 服务的连接不会终止。

如果您更紧急地需要立即停止用户帐户的任何活动，您可以要求用户更新访问令牌。在禁用帐户后完成这当然是不可能的。因此，这相当于立即有效地锁定 Office 365 服务。使用 Revoke-AzureADUserAllRefreshToken 命令执行配置。您必须安装 Azure AD PowerShell 模块才能使用此命令：

PS C:\WINDOWS\system32> Get-AzureADUser -All $True | ? {$_.DisplayName -eq 'Tycho Brahe'} | ft DisplayName,RefreshTokensValidFromDateTime

DisplayName RefreshTokensValidFromDateTime
----------- ------------------------------
Tycho Brahe 4/18/2019 9:54:45 AM


PS C:\WINDOWS\system32> Get-Date

Monday, July 15, 2019 5:36:43 PM


PS C:\WINDOWS\system32> Get-AzureADUser | ? {$_.DisplayName -eq 'Tycho Brahe'} | Revoke-AzureADUserAllRefreshToken
PS C:\WINDOWS\system32> Get-AzureADUser | ? {$_.DisplayName -eq 'Tycho Brahe'} | ft DisplayName,RefreshTokensValidFromDateTime

DisplayName RefreshTokensValidFromDateTime
----------- ------------------------------
Tycho Brahe 7/15/2019 3:37:18 PM

在上面的示例中，用户的 RefreshTokensValidFromDateTime 是在用户最新的 Office 365 会话启动时（上午 9:50:51）设置的。使用 Revoke-AzureADUserAllRefreshToken，RefreshTokensValidFromDateTime 属性设置为当前时间（上午 9:54:45），这意味着现在需要更新早于上午 9:54:45 的令牌。这会导致 Office 365 服务要求用户重新登录。如果我们在此之前禁用用户帐户，则用户将被有效锁定，无法使用所有 Office 365 服务。

保留和重新分配数据

保留和重新分配数据意味着您需要控制用户的数据并将其提供给相关人员。这可能包括用户的邮箱、OneDrive 数据以及用户个人文件夹和本地设备中保存的数据。应考虑以下步骤：

• 确保数据不被过早删除
• 保留数据以供将来必要时访问
• 将数据移动或重新分配给新所有者或组
• 将传入数据重定向到新所有者

邮箱保留可以在用户的 Office 365 许可证仍处于活动状态时执行，也可以在删除后最多 30 天内执行。一种选择是将用户邮箱转换为非活动状态。这将无限期地保留邮箱数据以供电子数据展示和存档，并允许您删除本地和 Office 365 用户帐户。此处详细介绍了将邮箱转换为非活动状态所涉及的步骤。然而，总的来说，我不推荐这种方法——至少在邮箱内容“死”（不再需要）之前不推荐。向替换用户授予对非活动邮箱内容的访问权限并不是一个非常友好的过程。

更好的选择是简单地将邮箱类型从用户转换为共享。共享邮箱最多可以保存 50GB 的数据，无需 Office 365 许可证。这将不允许您从本地或 Office 365 中删除用户对象，但用户帐户可以保持禁用状态，并且本地帐户可以移动到离职用户的专用 OU。您还应该从 GAL 中删除邮箱。这种方法的一大优点是可以轻松地为经理或替代用户提供对离职员工邮箱的访问权限。这可以按照以下步骤完成（在委派对个人邮箱或数据的访问权限之前始终考虑法律问题）。

请注意：法律的不变性要求可能会损害使用共享邮箱方法的简单解决方案。此外，对离职用户使用邮件存档可能会影响您的决定，因为未经许可的共享邮箱不支持存档。但对于大多数中小型企业来说，对剩余用户使用共享邮箱的方式无疑是最灵活的方式。

处理工作流重定向

相关员工现在可以使用现有邮箱数据。新的入站电子邮件怎么样？处理此问题的一种方法是在旧邮箱上设置转发。这可确保对发送给退出用户的新电子邮件采取适当的操作。如果您将邮箱转换为非活动邮箱，则需要手动将邮件别名移至其他收件人。如果将邮箱转换为共享邮箱，则转发配置非常简单。

此外，您还应该考虑设置自动回复，以通知发件人用户已离开公司，并提供新的电子邮件地址以用于与您的组织进行通信。

根据您的需求，您可能希望在用户离开后 3 到 6 个月内继续保留转发、自动回复和委派访问权限。此后，大多数通信应该已转移到组织中的新通信渠道。

仅当您将用户邮箱转换为共享邮箱时，转发和自动回复才可用。如果您的方法是使用非活动邮箱，那么实现相同目标的复杂性就会大大增加。因此，这是选择共享邮箱方法而不是非活动邮箱的另一个原因。

释放 Office 365 许可证

最后，是时候确保释放昂贵的 Office 365 许可证并将其返回到您的许可证池。可以通过 Office 365 管理中心从用户帐户中删除许可证。从用户删除许可证后，您可以将其分配给新用户。严格来说，Microsoft 在线服务条款规定，组织不得在上次分配后 90 天内重新分配许可证。然而，这并没有以任何方式强制执行。

总结 - 使用 Easy365Manager

（警告：对我们自己的软件的偏见赞扬即将出现）

如果您有混合方案，就像大多数使用 Office 365 的组织一样，上述步骤涉及在本地管理工具 Active Directory 用户和计算机与 Office 365 管理门户之间进行大量来回循环。

Easy365Manager 允许您管理本机 Active Directory 用户和计算机工具内的所有内容，具有以下几个优点：

• 一切都在一个地方进行管理。
• 您可以确保本地环境和 Office 365 环境之间的一致性。
• 您可以选择立即将本地更改复制到 Office 365。

关于停用 Office 365 邮箱的用户帐户，Easy365Manager 允许您在 Active Directory 用户和计算机中执行以下步骤，而无需访问 Office 365 管理门户：

• 禁用本地用户帐户并立即复制到 Office 365
• 将用户邮箱转换为共享邮箱。
• 从地址列表中隐藏邮箱。
• 向相关员工授予对共享邮箱的访问权限。
• 设置转发给相关员工。
• 从帐户中删除 Office 365 Exchange 许可证。

实际上，这意味着 10 至 15 分钟的任务可以在一分钟内完成。只是看：

同样，Easy365Manager 也将增强您的用户配置。

在此下载功能齐全的 30 天试用版。

安装只需几分钟即可完成，无需更改基础设施。