Skip to main content
Cloud Migrations

Tenant-zu-Tenant-Migration: Die vollständige Vorbereitungs-Checkliste

47 Punkte, die vor dem ersten Postfach-Umzug zu prüfen sind

Tobias Schüle13. Januar 20266 Min. Lesezeit

Tobias Schüle ist Senior Microsoft 365-Architekt und Gründer von Opsora, mit über einem Jahrzehnt Erfahrung in der IT-Transformation europäischer mittelständischer Unternehmen.

Read this article in English →

Tenant-zu-Tenant-Migrationen gehören zu den technisch anspruchsvollsten Vorgängen im Microsoft 365-Ökosystem. Auf der Oberfläche erscheinen sie wie jede andere Migration: Postfächer verschieben, Dateien verschieben, Traffic umleiten. In der Praxis umfassen sie Identitätssynchronisation über zwei separate Entra ID-Mandanten, Lizenzverwaltung mit harten Fristen, selten dokumentierte Service-Abhängigkeiten und die nahezu sichere Gewissheit, dass während des Cutover-Fensters etwas Unerwartetes passiert.

Migrationen, die reibungslos verlaufen, sind nicht jene, bei denen nichts Unerwartetes passiert. Sie sind jene, bei denen das Team gut genug vorbereitet ist, um damit umzugehen.

Diese Checkliste umfasst 47 Prüfpunkte in sieben Arbeitsbereichen. Nicht abzuhakende Punkte sind Ihr Risikoregister für das Projekt.

Identität und Verzeichnis (8 Punkte)

Bevor Benutzerdaten verschoben werden, muss die Identität in beiden Mandanten in einem bekannten Zustand sein.

  1. UPN-Ausrichtung bestätigt. Das Ziel-UPN-Suffix (z. B. unternehmen.de) ist im Ziel-Entra ID-Mandanten hinzugefügt und verifiziert.
  2. Entra ID Connect-Synchronisierungsumfang definiert. Wenn die Quelle Entra ID Connect zur Synchronisierung mit lokalem Active Directory verwendet, ist der Synchronisierungsumfang des Zielmandanten definiert und getestet.
  3. Doppelte UPNs geprüft. Vergleich der Quell- und Ziel-Benutzerlisten zur Identifizierung von UPN-Konflikten. Konflikte verursachen stille Migrationsfehler.
  4. Gastkonten auditiert. Quell-Mandant-Gäste, die migriert oder übergeleitet werden müssen, sind identifiziert. Externe Mitarbeiter, die zu internen Benutzern im Ziel werden, sind dokumentiert.
  5. Dienstprinzipale und App-Registrierungen inventarisiert. Anwendungen, die im Quell-Entra ID-Mandanten registriert sind und im Ziel äquivalente Registrierungen benötigen, sind aufgelistet.
  6. Verwaltete Identitäten bewertet. Azure-Ressourcen, die verwaltete Identitäten im Quell-Abonnement verwenden, benötigen einen Migrationsplan.
  7. Break-Glass-Konten im Ziel erstellt. Notfallzugriffskonten im Zielmandanten sind erstellt und getestet.
  8. Verzeichnis-Synchronisierungskonflikte aufgelöst. Objekte in der Quelle mit Synchronisierungsfehlern sind bereinigt.

Lizenzierung (5 Punkte)

Lizenztiming in Tenant-zu-Tenant-Migrationen ist eine Einschränkung, kein Detail. Fehler hier verursachen Serviceunterbrechungen.

  1. Lizenzverfügbarkeit im Zielmandanten bestätigt. Ausreichend Lizenzen des richtigen Typs sind im Zielmandanten verfügbar, bevor Benutzer migriert werden.
  2. Lizenz-Zuweisungszeitplan geplant. Das Fenster zwischen Entnahme der Quell-Lizenz und Zuweisung der Ziel-Lizenz muss minimiert werden. Für Exchange verursacht diese Lücke Zustellungsfehler.
  3. Spezialisierte Lizenzen identifiziert. Benutzer mit Defender für Endpoint, Purview-Compliance oder anderen speziellen Lizenzen benötigen entsprechende Lizenzen im Ziel.
  4. Testlizenzen aus dem Migrationsumfang ausgeschlossen.
  5. Post-Migrations-Lizenz-Audit geplant. Nach der Migration bestätigt ein Lizenz-Audit, dass alle Benutzer die richtigen Berechtigungen haben.

Mail-Flow und Exchange (8 Punkte)

Stehen Sie vor einer ähnlichen Herausforderung?

Opsora führt strukturierte Bewertungen für europäische IT-Teams durch. Sprechen Sie direkt mit einem erfahrenen Architekten — kein Vertriebsteam, keine vorbereitete Präsentation.

Briefing anfragen

Exchange Online-Migration ist der Arbeitsbereich mit den sichtbarsten Fehlermodi.

  1. MX-Record-TTL im Voraus reduziert. Mindestens 48 Stunden vor dem Cutover auf 300 Sekunden (5 Minuten) reduzieren.
  2. Freigegebene Postfächer und Ressourcenpostfächer inventarisiert. Alle freigegebenen Postfächer, Raum- und Ausstattungspostfächer mit ihren aktuellen Eigentümern und Berechtigungen dokumentiert.
  3. Verteilerlisten und E-Mail-aktivierte Gruppen zugeordnet. Jede Verteilerliste im Quellmandanten benötigt ein Äquivalent im Ziel.
  4. Mail-Kontakte für Koexistenz konfiguriert. Während der Migrationsperiode müssen bereits migrierte und noch nicht migrierte Benutzer gegenseitig erreichbar sein.
  5. Mail-Flow-Regeln (Transportregeln) dokumentiert. Verschlüsselungs-, Routing- und Compliance-Transportregeln dokumentiert und für die Neuerstellung im Ziel vorbereitet.
  6. Exchange Online Protection-Konfiguration überprüft. Anti-Spam-, Anti-Phishing- und Safe-Links-Richtlinien dokumentiert.
  7. Archiv-Postfächer berücksichtigt. Benutzer mit Exchange Online Archiv oder Compliance-Archiv benötigen das Archiv im Migrationsumfang.
  8. SMTP-Relay-Konfiguration verifiziert. Lokale Systeme, Drucker und Anwendungen, die SMTP-Relay über Exchange Online nutzen, müssen auf den Relay-Endpunkt des Zielmandanten umkonfiguriert werden.

Teams und SharePoint (7 Punkte)

  1. Invalidierung von Teams-Meeting-Links kommuniziert. Alle bestehenden Teams-Meeting-Links aus dem Quellmandanten funktionieren nach dem Cutover nicht mehr. Benutzer müssen wiederkehrende Meetings neu planen. Kommunikationsplan erforderlich.
  2. Teams-Kanal-Registerkarten und Connectors inventarisiert. Benutzerdefinierte Registerkarten, Power-Automate-Connectors und Drittanbieter-Integrationen müssen identifiziert und im Ziel neu konfiguriert werden.
  3. SharePoint-Berechtigungen dokumentiert. Berechtigungen auf Website-Ebene, eindeutige Ordnerberechtigungen und freigegebene Links in SharePoint vor der Migration dokumentiert.
  4. Externe Freigabe-Links adressiert. "Jeder"- und "Personen in Ihrer Organisation"-Links werden nach der Migration ungültig.
  5. OneDrive-Migrationsquota verifiziert. Benutzer mit großen OneDrive-Repositories (>100 GB) benötigen einen Migrationszeitplan, der die Übertragungsgeschwindigkeit berücksichtigt.
  6. SharePoint-Website-Vorlagenkompatibilität geprüft. Benutzerdefinierte Website-Vorlagen und Branding an einem repräsentativen Sample getestet.
  7. Teams-Aufzeichnungsspeicher migriert. Teams-Meeting-Aufzeichnungen in SharePoint oder OneDrive explizit in den Migrationsumfang aufgenommen.

Geräte und Intune (6 Punkte)

  1. Autopilot-Profile im Zielmandanten vorbereitet. Windows-Autopilot-Bereitstellungsprofile erstellt und getestet.
  2. Intune-Compliance-Richtlinien neu erstellt. Geräte-Compliance-Richtlinien, Konfigurationsprofile und App-Schutzrichtlinien im Ziel-Intune-Mandanten neu erstellt — kein Export/Import, sondern Neuaufbau aus Dokumentation.
  3. Geräte-Registrierungsstrategie bestätigt. Entscheidung: Neuregistrierung (Gerät zurückgesetzt) oder Migration mit einem Tool wie dem Opsora Endpoint Migrator, der Geräte ohne Wipe verschiebt.
  4. Conditional-Access-Richtlinien vorbereitet. Zielmandanten-Richtlinien müssen konfiguriert sein, bevor die Gerätmigration beginnt.
  5. BYOD (persönliche Geräte) adressiert. Persönliche Geräte, die im Quell-Intune-Mandanten registriert sind, benötigen einen separaten Kommunikations- und Migrationsplan.
  6. Zertifikatsprofile bewertet. Geräte mit SCEP- oder PKCS-Zertifikatsprofilen benötigen replizierte oder äquivalente Zertifikatsinfrastruktur im Ziel.

Cutover-Planung (8 Punkte)

  1. Migrationswellen definiert. Benutzer nach Abteilung, Standort oder Risikotoleranz in Wellen gruppiert. Die erste Welle sollte IT-Personal und freiwillige Tester sein.
  2. Rollback-Verfahren dokumentiert. Bei kritischem Ausfall: Verfahren zur Wiederherstellung des Dienstes dokumentiert und getestet.
  3. Kommunikationsplan genehmigt. Benutzer erhalten mindestens 5 Arbeitstage vorher eine verständliche Benachrichtigung über Migrationsfenster, Änderungen und Ansprechpartner.
  4. Helpdesk gebrieft und eingeplant. First-Level-Support weiß, was passiert, kennt häufige Probleme und wie sie zu lösen sind. Zusätzliche Helpdesk-Abdeckung für 48 Stunden nach jeder Migrationswelle.
  5. Migrationstool an einer Pilotgruppe getestet. Das Migrationstool an einer Pilotgruppe von 5–10 Benutzern getestet, bevor produktive Wellen beginnen.
  6. DNS-Änderungsberechtigung bestätigt. Wer hat Zugriff auf DNS-Eintragsänderungen, und wie lange dauert die Propagierung? Muss vor dem Cutover-Fenster bestätigt sein.
  7. Cutover-Fenster-Timing vereinbart. Migrations-Cutover sollte außerhalb der Geschäftszeiten der betroffenen Benutzerpopulation erfolgen.
  8. Post-Cutover-Verifikationstests definiert. Standardtests: Test-E-Mail senden und empfangen, auf freigegebenes Postfach zugreifen, OneDrive-Sync verifizieren, Teams-Zugriff bestätigen, Conditional-Access-Konformität prüfen.

Nach der Migration (5 Punkte)

  1. Zeitplan für Quellmandanten-Dekommissionierung vereinbart. Wann Lizenzen entfernt und wann der Mandant geschlossen wird.
  2. DNS-Bereinigung abgeschlossen. Alte MX-Einträge, SPF-Einträge, DKIM-Selektoren und andere DNS-Einträge, die auf den Quellmandanten verweisen, entfernt.
  3. Residualer Zugriff widerrufen. Dienstkonten, Gastkonten und Admin-Konten im Quellmandanten überprüft und entfernt.
  4. Dokumentation aktualisiert. IT-Dokumentation, Runbooks, Onboarding-Leitfäden und Support-Verfahren auf den neuen Mandanten aktualisiert.
  5. Post-Migrations-Gesundheitscheck geplant. 30 Tage nach der letzten Migrationswelle: Lizenz-Compliance prüfen, verwaiste Konten bestätigen, Überwachungsprotokollaufbewahrung überprüfen, Conditional-Access-Richtlinieneffektivität prüfen.

Die drei häufigsten Fehlerpunkte

Mail-Koexistenz nicht konfiguriert. Der störendste Fehlermodus in einer phasenweisen Tenant-zu-Tenant-Migration ist, dass keine E-Mails zwischen bereits migrierten und noch nicht migrierten Benutzern fließen. Dies erfordert explizite Koexistenzkonfiguration und muss getestet werden, bevor der erste Benutzer wechselt.

Gerätemigrierung unterschätzt. Unternehmen, die Geräte löschen und neu registrieren wollen, stellen häufig fest, dass ein erheblicher Teil des Geräteparks nicht remote erreichbar ist. Ein Migrationsansatz, der die Geräteregistrierung ohne Wipe verschiebt — wie der Opsora Endpoint Migrator — eliminiert diese Problemklasse.

Teams-Meeting-Link-Kommunikation vergessen. Jedes geplante Teams-Meeting in der Organisation hat einen Link, der beim Cutover nicht mehr funktioniert. Das wird zum Support-Vorfall, wenn Benutzer nicht im Voraus gewarnt wurden.

Tenant-zu-Tenant-Migrationen sind nicht von Natur aus gefährlich, aber sie verzeihen keine unvollständige Vorbereitung. Jeder Punkt auf dieser Checkliste repräsentiert einen entdeckten Fehlermodus aus echten Migrationen.

Wenn Sie eine Migration planen und erfahrene Programmleitung benötigen, erfahren Sie, wie Opsora Tenant-zu-Tenant-Migrationen durchführt.

Tenant-MigrationM365ExchangeEntra IDM&AMigrations-Checkliste
Teilen:Auf LinkedIn teilen

Weitere Artikel

NIS2 & Compliance

NIS2-Compliance für Microsoft 365: Eine praktische Roadmap

NIS2 ist kein Checklistenprojekt. Hier ist eine strukturierte, M365-spezifische Roadmap für IT-Teams, die sich erstmals mit der Richtlinie befassen.

10 February 20265 min
Read
AI Governance

Microsoft Copilot ohne Governance ist ein Risiko, keine Strategie

Copilot gibt Daten zurück, auf die Ihre Benutzer bereits Zugriff haben. Wenn Berechtigungen und Klassifizierung falsch sind, macht Copilot das sichtbar — und zwar schnell.

3 February 20264 min
Read

Bereit zu handeln?

Opsora begleitet europäische IT-Führungskräfte bei genau diesen Herausforderungen. Ein typisches Engagement beginnt mit einem 30-minütigen Briefing und einem klaren Projektumfang innerhalb einer Woche.

Briefing anfragen Zurück zu Insights