Office 365 Tenant löschen

Ein Tenant ist schnell angelegt aber auch die Löschung ist möglich. Manchmal ist dies sogar erforderlich wenn Sie z.B. den Tenant mit dem gleichen Namen in einem anderen Land neu anlegen wollen. Vielleicht wollten Sie aber auch einfach aufräumen und sicherstellen, dass die Daten nicht in falsche Hände komme.

Achtung: Der Löschprozess ist nicht umkehrbar und es gibt keine Backups, um die Daten seitens Microsoft wieder herzustellen. Prüfen Sie bei jedem Schritt genau, dass Sie der richtige Administrator im richtigen Tenant sind.

Die Reihenfolge der Checkliste kann variieren und neue Schritte könnten mittlerweile dazu gekommen sein. Ich lösche ja nicht täglich Tenants bei Kunden. Feedback und Korrekturen werden gerne genommen.

Aktion Erledigt

Daten Export

Mit dem Löschen geht der Zugriff auf alle Daten verloren. Kontrollieren Sie mehrfach, dass Sie alle noch erforderlichen Daten und Informationen außerhalb des Tenant gesichert haben.

Anmeldung als Global Admin

Um einen Tenant zu entfernen, müssen sie "Globaler Administrator" des Tenants sein. Einige Dinge können per Browser im Office 365 Admin-Center oder im Azure AdminPortal erfolgen. Einige Aktionen gehen aber schnell per PowerShell. Laden und verbinden Sie sich daher mit der AzureAD-PowerShell und der MSOnline-PowerShell

Install-Module -Name AzureAD 
Connect-AzureAD 

Install-Module -Name Connect-MsolService 
Connect-MsolService 

MX-Record

Sobald sie in den nächsten Schritten die Benutzer und damit die Postfächer entfernen, können eingehende Mails nicht mehr zugestellt werden. Sie sollten daher den MX-Record entweder auf 127.0.0.1 umstellen, damit Absender nichts mehr zustellen oder irgendwo anders ein temporäres Mailsystem aufbauen, welches die Mails während der Unterbrechung annimmt und für einen späteren Versand vorhält, bis das richtige Zielsystem samt der Empfänger wieder online ist.

Tipp: Exportieren Sie mit "Get-Recipient" zur Sicherheit alle Empfänger für einen späteren Abgleich.

get-recipient `
   -resultsize unlimited `
| export-csv  exorecipients.csv

get-recipient `
   -resultsize unlimited `
| export-clixml  exorecipients.xml

Sie wissen nie, wie diese Information später nicht doch noch mal erforderlich ist.

Benutzer entfernen

Alle Benutzer mit Ausnahme des letzten globalen Administrators, mit dem sie arbeiten, müssen entfernt werden. "CloudOnly"-Anwender können Sie einfach so löschen. Objekte, die durch ADSync angelegt werden, sollten Sie über ADSync löschen lassen.

Konfigurieren Sie den bestehenden ADSync einfach so um, dass Sie quasi alle OUs aus dem Filterkriterium entfernen. Beim nächsten Lauf wird ADSync dann all diese Objekte in den Papierkorb verschieben.

Wenn Sie keinen ADSync mehr lokal haben, dann entfernt der nächste Schritt die Objekte, was aber etwas länger dauert.

DirSync abschalten

Solange ADSync im Tenant noch konfiguriert ist, kann der Tenant nicht deinstalliert werden. Folgende Zeile schalten die Konfiguration in Office 365 ab.

# DirSync abschalten
Set-MsolDirSyncEnabled -EnableDirSync $false

# Status abfragen
(Get-MSOLCompanyInformation).DirectorySynchronizationEnabled

Es kann angeblich bis zu 72h dauern, bis die User dann von "DirSync" auf "CloudOnly" wechseln.

Danach können Sie die Benutzer dann über das Azure Portal, das Office 365 Portal oder PowerShell entfernen. Manchmal kann es etwas dauern, bis die alle Benutzer entfernt sind.

# Benutzer forciert loeschen
Get-MsolUser | Remove-MsolUser -Force

# Benutzer aus dem Papierkorb entfernen.
Get-MsolUser -ReturnDeletedUsers | Remove-MsolUser -RemoveFromRecycleBin -Force

Dieser Schritt entfernt aber nicht die ADSync-Installation und Einrichtungen in ihrem lokalen Active Directory. Wenn Sie später das lokale Active Directory erneut mit ADSync verbinden wollen, dann sollten Sie dort auch ADSync deinstallieren und bei den Objekten den SourceAnchor entfernen

MFA deaktivieren

Wenn Sie eigene MFA-Provider eingebunden haben, dann müssen diese vorab entfernt werden

Lizenzen

Nun sind alle Benutzer zwar entfernt aber sie haben ja noch Lizenzen im Tenant, die gelöscht werden müssen. Damit verhindert Microsoft, dass Sie einen Tenant mit aktiven Lizenzen irrtümlich löschen. Ziel ist es, dass der Status auf "Deprovisioniert" steht. Office 36 kennt hier vier Stati.

  • Aktiv
    Die Lizenz ist gültig und kann durch Anwender genutzt werden
  • Expired (30 Tage)
    Eine abgelaufene Lizenz kann bis zu 30 Tage weiter genutzt werden
  • Disabled ( 30 Tage)
    Anwender können nicht mehr zugreifen aber die Daten sind für Administratoren weiter erreichbar.
  • Deprovisioned (30 Tage nach Disable)
    Die Daten werden gelöscht

Als Administrator müssen Sie im Bereich der Lizenzen daher zwei Schritte durchführen:

  • Cancel Subscription
    Damit beenden sie das Abonnement aber die Lizenz ist noch weiterhin vorhanden und könnte bis zu 90 Tage wieder reaktiviert werden. Der Status der Lizenz ändert sich dann in "Disabled".
  • Delete Subscription
    In dem zweiten Schritt löschen Sie die Lizenz. Die Dateien werden nach 3 Tagen gelöscht. Bis dahin können Sie ihren Irrtum wieder rückgängig machen. Der Status wird nach 3 Tagen nach "Deprovisioned" gesetzt

Für die Entfernung des Tenants müssen alle Lizenzen im Status "Deprovisioned" sein.

Enterprise Apps

Wenn der Admin im Tenant zusätzliche Applikationen eingerichtet hat, müssen diese auch entfernt werden. Das geht per AzureAD Portal oder PowerShell:

$ObjIds = (Get-AzureADServicePrincipal).ObjectId
For ($i=0; $i -lt $ObjIds.Length; $i++){ 
   Remove-AzureADServicePrincipal -objectid $ObjIds[$i]
}

Azure Subscription umziehen/löschen

Manchmal nutzt eine Firma nicht nur "Office 365" sondern es gibt noch Azure Subscriptions, die mit dem Tenant verbunden sind. Wenn Sie weiterhin Zugriff auf die Subscriptions behalten möchten, müssen Sie diese an einen anderen Tenant binden.

Natürlich können Sie eine Subscription auch löschen:

 

Tenant im AzureAD Löschen

Der finale Schritt erfolgt im Azure Portal auf dem Verzeichnis. Hier wird auch noch einmal geprüft, ob die Voraussetzungen erfüllt sind:

Vor dem finalen Löschen kommt noch einmal eine Überprüfung. In dem Beispiel wurden wohl ein paar Schritte übersprungen.

Der "Delete"-Button ist solange nicht aktiviert.

Expedited Deletion

Normalerweise können gelöschte Daten bis zu 180 Tage (nicht garantiert!) wieder hergestellt werden. Über die Funktion "Expedited Deletion" können Sie erzwingen, dass die Daten nach spätestens drei Tagen gelöscht.

Tenant Freigabe

Mit der Löschung der Daten wird der Tenant selbst aber noch nicht gelöscht. Der Name "<tenantname>.onmicrosoft.com" wird erst dann freigegeben, wenn sich 180 Tage niemand mehr am Tenant anmeldet. Nach den oben beschrieben Schritten gibt es nur noch den einen "Global Administrator".

Sobald sich dieser Administrator auch nur anmeldet, wird der Counter auf 0 zurück gestellt und die 180 Tage starten von Beginn an.

Ich denke das ist ein Schutz, damit kein Tenantname nach zur kurzer Zeit wieder verwendet werden kann. Der Name kommt ja durchaus in URLs vor (z.B. SharePoint und OneDrive), so dass jemand beim Klick auf alte Links damit Missbrauch treiben könnte.

Retention Time

"Halt Halt", höre ich da rufen. Es gibt ja in Exchange, SharePoint und anderen Diensten entsprechende "Retention"-Regeln. Ein Administrator kann z.B. einstellen, dass auch durch den Benutzer gelöschte Mails dennoch wiederherstellbar sind. Es gibt ja auch noch die Compliance-Vorschriften, nach denen Informationen für eine gewisse Zeit aufbewahrt werden müssen. (Stichwort 10 Jahre für buchhaltungsrelevante Vorgänge.

Machen wie es kurz: Ohne Lizenz gibt es auch keine Retention/Compliance. Das dokumentiert Microsoft auch:

Q: Is data immutability maintained after service ends? (In other words, are mailboxes placed on In-Place Hold or Litigation Hold retained after service ends?)
A: No. Microsoft’s responsibility as a service provider ends after your service ends, which is when you stop being a customer/subscriber of the service. As noted above, data is permanently deleted when your tenant account enters the deprovisioning state, within a reasonable time after 120 days of end of subscription, or within 3 days if you request expedited deprovisioning. Mailboxes placed on In-Place Hold or Litigation Hold, including inactive mailboxes, are also deleted as part of deprovisioning.
Quelle: https://techcommunity.microsoft.com/t5/exchange-team-blog/data-immutability-and-office-365-tenant-lifecycle/ba-p/604610

Das bedeutet damit auch, dass eine erloschene oder insolvente Firma, die ihre monatlichen Office 365-Rechnungen nicht mehr bezahlt, sehr schnell ohne Daten da steht. Wobei das beim "Papierbüro" in der Regel auch nicht anders ist. Es dürfte regelmäßig ein Herausforderung sein ,wo die Ordner und Unterlagen mit den Rechnungen etc. einer erloschenen Firma deponiert sind, wenn niemand mehr dafür bezahlt.

Das Thema kennen Sie aber auch von verlassenen Kliniken, in denen Patientendaten ungesichert zurückbleiben.

Microsoft lässt es da etwas gemächlicher angehen und hat verschiedene Zeiten veröffentlicht, die nach "aktiver Löschung" und "passive Löschung" unterscheidet. Passive Löschung tritt ein, wenn der Tenant gelöscht wurde. Die aktiven Löschungen betreffen Informationen, die ein Administrator oder der Benutzer selbst gelöscht hat oder der Benutzer, das Team, die SharedMailbox etc. gelöscht wurde.

Die genannten Zahlen sind "bis zu"-Intervalle, d.h. Microsoft stellt sicher, dass die Daten spätestens nach dieser Zeit gelöscht sind. Es könnte aber auch früher passieren.

Datenbestand Aktiv Passiv (Tenant gelöscht) Subscription Ende Expedited Deletion

Vom Anwender erzeugte Inhalte

  • Mails, Termine, Kontakte im Postfach
  • Dateien im OneDrive oder SharePoint
  • Yammer oder Teams Daten
  • Aufzeichnungen in Streams etc

30 Tage

bis zu 180 Tage

90 Tage
180 Tage

3 Tage

Metadaten z.B. des AzureAD

Irgendwo müssen ja die Identitäten und Anmeldeinformationen, MFA-Daten etc. liegen.

  • Benutzername/Kennwort
  • UPN
  • IP-Adressen in Anmeldelogs

180 Tage

180 Tage

180 Tage

3 Tage

Interne Daten

Daten, die Microsoft intern selbst verwaltet und verwendet.

  • SIDs, GUIDs etc.

30 Tage

180 Tage

180 Tage

3 Tage

Andere Werte kommen zum Tragen, wenn es um Lizenzen geht.

If a paid subscription ends or is terminated, Microsoft retains customer data stored in Microsoft 365 in a limited-function account for 90 days to enable the subscriber to extract the data. After the 90-day retention period ends, Microsoft disables the account and deletes the customer data. No more than 180 days after expiration or termination of a subscription to Microsoft 365, Microsoft disables the account and deletes all customer data from the account. Once the maximum retention period for any data has elapsed, the data is rendered commercially unrecoverable.
Quelle: https://docs.microsoft.com/en-us/microsoft-365/enterprise/microsoft-365-data-retention-deletion-and-destruction-overview?view=o365-worldwide

Sonderfall "Expedited Deletion"

"Bis zu 180 Tage" kann sehr lang sein, wenn es Gründe für eine aktive Löschung gibt. In dem Fall können Sie auf alle Optionen zum "Undelete" verzichten und eine "Expedited Deletion" anfordern. Über ein Microsoft Support-Ticket im Tenant können Sie einen "Lockout-Code" anfordern, der dann bei der Löschung einzugeben ist. In dem Fall wird Microsoft alle Daten des Tenant nach spätestens 3 Tagen gelöscht haben. Bedenken Sie aber, dass so eine Aktion natürlich Ermittlungsbehörden nicht verborgen bleiben dürfte und nicht immer ohne Folgen bleibt.

Aus meiner Sicht gibt es aber einen Grund, warum so eine "Expedited Deletion" aktiviert werden könnte. Stellen Sie sich vor, eine Tochter ihrer Firma in einem anderen Land hat bereits einen Tenant registriert, den sie als produktiven Tenant haben wollten. Damit ist aber nicht nur die Default Sprache vielleicht unpassend sondern die "Office 365 Region und UsageLocation" dürfte sicher nicht passend sein. Dann könnte es wirklich eine Option sein, den Tenant leer zu räumen, zu löschen und dann neu einzurichten.

Weitere Links