Très souvent, on me demande quel est la marche à suivre pour retirer les accès d’un collaborateur qui quitte une société. Alors voici une checklist rapide des éléments à prendre en considération.

1. Bloquer la connexion : Désactivez le compte pour empêcher les nouvelles connexions. Utilisez la commande cmdlet Revoke-MgUserSignInSession pour forcer la déconnexion de toutes les sessions immédiatement.
2. Désactiver le compte AD local : Si votre entreprise utilise Active Directory, désactivez le compte dans l’AD local.
3. Réinitialiser le mot de passe de l’utilisateur : Mettez à jour le compte avec un mot de passe aléatoire pour empêcher l’employé de continuer à accéder au tenant.
4. Soumettre une demande d’effacement sélectif des applications/effacement des appareils : Si Intune est déployé, soumettez une demande d’effacement pour tous les appareils enregistrés.
   • 
5. Soumettre une demande d’effacement ActiveSync : Si Intune n’est pas déployé, soumettez une demande d’effacement pour les appareils utilisant ActiveSync.
   • Clear-MobileDevice -AccountOnly -Identity User -NotificationEmailAddresses "admin@domain.com"
6. Désactiver les appareils de l’utilisateur : Invalidez toute authentification basée sur un compte d’ordinateur en utilisant les cmdlets du Microsoft Graph PowerShell SDK.
   • $Device = Get-MgUserRegisteredDevice -UserId "user@domain.com"
   • Update-MgDevice -DeviceId $Device.Id -AccountEnabled:$false
7. Activer la délégation sur OneDrive for Business : Déléguez l’accès au OneDrive for Business de l’employé à un utilisateur autorisé.
8. Conserver la boîte aux lettres de l’utilisateur : Convertissez la boîte aux lettres de l’utilisateur en boîte aux lettres partagée ou utilisez des rétentions pour conserver la boîte aux lettres en tant que boîte aux lettres inactive.
   • L’impact sur les éléments chiffrés, tels que les emails ou les documents, peut être significatif lorsqu’un utilisateur est supprimé. Avec l’adoption croissante des étiquettes de sensibilité, des problèmes peuvent survenir pour les éléments stockés dans Microsoft 365. Les étiquettes de sensibilité appliquent des restrictions d’accès et/ou un chiffrement à ces éléments. Si les étiquettes restreignent l’accès de manière à ce qu’un seul utilisateur soit le propriétaire d’un document, et que cet utilisateur est celui qui est supprimé, il n’y a pas de moyen facile d’identifier quels documents ou éléments sont impactés par la suppression du compte utilisateur.
   • Pour résoudre ce problème, il existe une configuration appelée Super User dans Azure Rights Management Service (RMS), qui est la technologie utilisée par les étiquettes de sensibilité pour appliquer le chiffrement et/ou le contrôle d’accès. Le Super User est un compte administratif spécial qui a des droits de propriétaire sur tous les éléments protégés par Azure RMS
9. Supprimer la licence de l’utilisateur : Réduisez les coûts de licence en supprimant la licence de l’utilisateur.
10. Supprimer le compte utilisateur : Après une période de grâce, supprimez le compte utilisateur du système.
11. Services avancés : Cette liste couvre les étapes de base pour les tenants Microsoft 365. Si vous avez des services avancés comme Defender for Cloud Apps, des étapes supplémentaires peuvent être nécessaires.
    • Ajouter les utilisateurs aux politiques de Defender for Cloud Apps : Cela permet de surveiller les téléchargements massifs de fichiers inexpliqués depuis Teams/SharePoint.
    • Configurer les notifications de flux de travail : Configurez un flux de travail de notification dans votre tenant pour que votre équipe IT soit informée lorsque des actions sont nécessaires.
    • Utiliser PowerAutomate pour automatiser le processus : Envisagez d’automatiser le processus en utilisant PowerAutomate cloud flow pour minimiser les interventions manuelles.

I wrote an article for my friends over at Rencore. Click here to read the article.

Super excited to be back at ECS again to speak about one of my favorite topics: Microsoft Teams & Governance. Hereby my session: Setup and implement a successful Microsoft Teams governance strategyMicrosoft Teams enables organizations to stay connected and access shared content at any time to learn, plan, and innovate—together. To guarantee a successful rollout and adoption of your Microsoft Teams implementation, it is crucial to set up and implement a Governance strategy. Jasper Oosterveld, Microsoft MVP & Modern Workplace Consultant, has vast experience with the implementation of Microsoft Teams governance strategies. During this session, he is going to share his hands-on approach, so after this session, you are ready to set up and implement your successful governance strategy for Microsoft Teams. I hope to see you in Germany this year! Click here to learn more.

The situation I am about to describe in this article is inevitable. A user creates a Team in Teams or a Team Site in SharePoint. This, in turn, makes that user an Owner of that Team/Microsoft 365 Group. At some point, the user leaves the organization, and their account is deleted from Microsoft 365. The result is the Team/Team Site/Microsoft 365 Group that no longer has any owners. Some time ago, I published an article where I advocated keeping the number of owners on a site to a minimum, but what can we do when the number of owners becomes zero? Luckily, there is a way to handle those situations in Microsoft 365, which is what I want to explain in this post.

Owners and Members

The Microsoft 365 Group contains owners and members. Members can add/edit/delete content, and owners can do all of the above + also invite other members, delete the group or tweak its many settings.

Ownerless Groups

As mentioned above, people come and go, and the following situation can occur – the Owner’s account is deleted or disabled in Microsoft 365 (if the user is no longer with the organization). This leaves the other members on a site/group without “the boss.” It does not automatically stop collaboration, but should certain site, team, or group settings be tweaked, this won’t be possible.

It is important to note that the team/team site/Microsoft 365 Group can only become “ownerless” only when the Owner’s account is deleted or disabled in Microsoft 365 Admin Center. Suppose the Owner decides to leave a given Microsoft 365 Group or demote to the Member level. In that case, the system will not allow for this to occur unless someone else is manually promoted to the Owner role.

Manually add owners to the Microsoft 365 Group

If a group became Ownerless, your SharePoint or Microsoft 365 Global Admin would be able to manually add owners to the group via the SharePoint Admin Center – I described this mechanism in an earlier post.

Configure Microsoft 365 Group settings to avoid Ownerless Teams and Microsoft 365 Groups

However, another option is available that allows you to automate the process. The idea is that you can configure the settings such that when the group becomes ownerless, its members are immediately sent an email asking them to step up and become the Owner of the Group. Here is how to achieve this. You need to be a Global Microsoft 365 Admin to be able to set this up.

1. Click on Microsoft 365 App Launcher, then Admin
2. Under Settings, click Org settings
3. Under the Services tab, scroll down and click Microsoft 365 Groups
4. On the pop-up that appears, you will need to check the box next to “When there’s no owner, email and ask active group members to become an owner.”
5. If you would like to accept default settings, all you need to do is click Save. However, if you would like to configure notifications, email message, and other settings, you would need to click Configure policy.

Configure Ownerless Group Policy

You can configure a few things in terms of an Ownerless policy. Once you click on Configure policy from the step above, you can configure the following:

1. Notification Options
2. Sender
3. Subject and Email Message text
4. Groups to email/target
5. Once you make all the changes, click Finish

User Experience

Once the policy has been configured, it might take several days for the first email to be sent out. Below is an example of one of the Microsoft 365 Groups left without an Owner.

And here is an email the Team Members receive in their inbox asking them to take ownership of the group.

Once they accept the duty, they become the Owner of the Group/Team/Site.

The post How to avoid Ownerless Teams and Microsoft 365 Groups appeared first on SharePoint Maven.