Quando una persona lascia l’azienda, l’account Microsoft 365 che resta attivo è un rischio concreto: accessi non revocati, dati personali sul suo OneDrive, email importanti che continuano ad arrivare a una casella “morta”. L’offboarding fatto bene richiede pochi minuti — ma va fatto nell’ordine giusto. Ecco la checklist che usiamo sui tenant che gestiamo.
⚙️ Operazioni da amministratore globale (o con i ruoli delegati). Per farlo in massa o pianificato, vedi il toolkit PowerShell gestione utenti M365.
1. Blocca l’accesso (subito)
Il primo gesto, prima di tutto il resto: blocca l’accesso all’account nell’interfaccia di amministrazione (Utenti → utente → Blocca accesso). Questo impedisce nuovi sign-in ma non chiude le sessioni già aperte.
2. Revoca le sessioni attive
Blocco accesso e cambio password non disconnettono chi è già loggato (i token restano validi fino a ~1 ora). Esegui quindi “Revoca sessione” (Revoke sign-in sessions) o Revoke-AzureADUserAllRefreshToken/Revoke-MgUserSignInSession: invalida i refresh token e forza il logout ovunque, inclusi app mobile e web.
3. Reimposta la password
Imposta una password casuale lunga: anche se l’accesso è bloccato, evita riutilizzi e garantisce che la persona non possa più autenticarsi se il blocco venisse rimosso per errore.
4. Metti in sicurezza i dati
- OneDrive: assegna un delegato (di norma il manager) ai file dell’utente prima di eliminare l’account. Dopo la cancellazione, OneDrive resta recuperabile per 30 giorni (estendibili a 3650 lato admin) — non aspettare l’ultimo momento.
- Email: converti la cassetta in shared mailbox così il team continua a ricevere e rispondere senza pagare la licenza (vedi sotto).
5. Converti la mailbox in cassetta condivisa
Trasformare la casella in shared mailbox mantiene lo storico e gli indirizzi (amministrazione@, ecc.) senza consumare una licenza (fino a 50 GB). È il modo corretto di “spegnere” una persona senza perdere comunicazioni: dettagli in Cassetta condivisa M365: serve la licenza?.
6. Rimuovi le appartenenze e gli accessi
- Rimuovi l’utente da gruppi, Team, distribution list, ruoli di amministrazione e accessi a SharePoint.
- Disabilita eventuali regole di inoltro sospette create dall’utente.
- Revoca i metodi MFA registrati (Authenticator, telefono).
7. Gestisci i dispositivi (Intune)
Se i device sono gestiti, esegui un wipe selettivo (rimuove solo i dati aziendali sul BYOD) o un retire/wipe sul dispositivo aziendale da Microsoft Intune. Recupera l’hardware.
8. Rilascia o riassegna la licenza
Solo dopo aver messo in sicurezza i dati: rimuovi la licenza (per recuperarne il costo) o riassegnala. Ricorda che la conversione in shared mailbox al punto 5 libera la licenza email.
9. Traccia tutto (audit)
Annota chi ha fatto cosa e quando: l’Audit Log unificato registra le azioni amministrative. È un requisito tipico per GDPR e per la conformità NIS2.
Quando conviene affidarlo
L’offboarding è un processo ripetitivo e a rischio: un passaggio saltato è una porta aperta. SynSphere lo gestisce come parte dell’assistenza Microsoft 365, con runbook standard e automazioni PowerShell.
Parla con un nostro consulente per standardizzare il lifecycle degli utenti, oppure scarica il toolkit PowerShell utenti M365 per automatizzarlo.