Ich habe in den letzten Jahren mehrere Microsoft 365 Migrationen begleitet – von kleinen Umgebungen mit wenigen Dutzend Benutzern bis zu gewachsenen Active-Directory-Strukturen mit historischer Last.
Die technischen Schritte sind in der Regel gut dokumentiert:
Azure AD Connect bzw. Entra Connect konfigurieren, Identitäten synchronisieren, Exchange-Migration planen, Lizenzen zuweisen, DNS anpassen.
Das ist planbar.
Die eigentlichen Herausforderungen liegen fast immer an anderer Stelle.
1. Active Directory ist selten migrationsbereit
Viele On-Prem-ADs sind über Jahre organisch gewachsen:
- Mehrere OU-Strukturen ohne klares Modell
- Historisch gewachsene Gruppen
- Verschachtelte Sicherheitsgruppen
- Alte Service-Accounts ohne Dokumentation
- Inkonsistente UPN- oder SMTP-Strukturen
Wird diese Struktur 1:1 synchronisiert, entstehen in Microsoft 365:
- unübersichtliche Berechtigungen
- unnötig viele privilegierte Rollen
- Schwierigkeiten bei Conditional Access
- Komplexität im Identitätsmanagement
Eine Migration ist der ideale Zeitpunkt für eine strukturelle Bereinigung.
2. Identitäten und UPN-Struktur werden unterschätzt
Vor der Migration prüfe ich immer:
- Sind UPN und E-Mail-Adressen konsistent?
- Entsprechen sie der zukünftigen Ziel-Domain?
- Gibt es Alt-Domains, die eigentlich abgelöst werden sollten?
- Sind alle Benutzerkonten wirklich aktiv?
Ein unsauberer UPN-Mix führt später zu:
- Login-Verwirrung
- Problemen bei SSO
- unnötigem Support-Aufwand
Saubere Identitäten sind die Grundlage jeder Cloud-Strategie.
3. Berechtigungsmodelle gehören hinterfragt
Ein häufiger Fehler:
Man migriert bestehende Berechtigungen unverändert in die Cloud.
Typische Beobachtungen:
- Global Administratoren im zweistelligen Bereich
- Keine klare Trennung zwischen Administrations- und Benutzerkonten
- Gruppen ohne klaren Zweck
- Vererbte File-Server-Berechtigungen, die nie dokumentiert wurden
Microsoft 365 macht Privilegien sichtbarer – und damit auch Schwächen.
Vor der Migration sollte geklärt werden:
- Wer braucht welche Rolle wirklich?
- Können privilegierte Rollen reduziert werden?
- Ist ein Rollenmodell definiert?
4. Hybrid ist kein Selbstzweck
Hybrid-Modelle sind technisch sinnvoll – besonders bei:
- Legacy-Anwendungen
- bestehenden On-Prem-Abhängigkeiten
- schrittweiser Migration
Was ich jedoch häufig sehe:
Hybrid bleibt bestehen, obwohl die ursprüngliche Begründung längst nicht mehr existiert.
Das Resultat:
- doppelte Komplexität
- zusätzlicher Wartungsaufwand
- mehr Angriffsfläche
Hybrid sollte ein klar definiertes Übergangsmodell sein – kein Dauerzustand ohne Plan.
5. Bedürfnisanalyse: Was wird überhaupt noch gebraucht?
Ein Punkt, der oft unterschätzt wird:
Nicht alles, was historisch existiert, muss migriert werden.
Vor jeder Migration stelle ich unter anderem folgende Fragen:
- Welche Dienste werden aktiv genutzt?
- Gibt es Fileshares, die seit Jahren nicht mehr geöffnet wurden?
- Werden alle Verteilergruppen noch benötigt?
- Welche Applikationen sind wirklich geschäftskritisch?
- Gibt es alte Workflows, die in Microsoft 365 gar keinen Sinn mehr machen?
Eine Migration ist eine Chance, Ballast abzuwerfen.
Was keinen klaren Nutzen mehr hat, sollte bewusst hinterfragt werden – und wenn möglich entfallen.
Das reduziert:
- Komplexität
- Lizenzkosten
- spätere Betriebsaufwände
- Sicherheitsrisiken
6. Meine technische Mindestprüfung vor Projektstart
Bevor ich eine Migration starte, kläre ich mindestens:
- AD-Struktur und OU-Design
- Gruppenmodell (Security vs. Distribution)
- Anzahl privilegierter Konten
- UPN-Konsistenz
- Zielarchitektur (Cloud-only oder Hybrid)
- Bereinigung inaktiver Konten
- MFA-Strategie
- Conditional-Access-Grundmodell
Erst danach beginne ich mit der eigentlichen technischen Umsetzung.
Fazit
Eine Microsoft 365 Migration ist kein reines Technikprojekt.
Sie ist eine strukturelle Entscheidung über:
- Identitäten
- Berechtigungen
- Sicherheitsmodell
- zukünftige Betriebsprozesse
Wer diesen Schritt nutzt, um aufzuräumen und bestehende Strukturen zu hinterfragen, schafft eine stabile und sichere Basis für die nächsten Jahre.
Wer lediglich „verschiebt“, nimmt die Altlasten mit.