Alle artikelen
Entra IDOffboardingMicrosoftSecurity

IT offboarding checklist: wat je kunt automatiseren

Ruben van der Graaf··5 min lezen

De 15 stappen van een volledige IT-offboarding in Microsoft Entra ID. Welke je moet automatiseren, welke je handmatig laat, en waarom de volgorde ertoe doet.

Offboarding is de plek waar de meeste IT-afdelingen geld en veiligheid verliezen. Dit is de checklist die we bij klanten gebruiken, met onderscheid tussen wat je direct automatiseert en wat beter handmatig blijft.

TL;DR

  • Het meeste van de 15 standaard offboarding-stappen is te automatiseren, al niet alles door één tool.
  • De volgorde doet ertoe: in Microsoft start de OneDrive-opschoning pas bij het verwijderen van het account, dus plan de timing rond dat retentievenster.
  • Vergeet niet: SSO-sessies, refresh-tokens, shared mailboxes, distributielijsten.
  • Het toegangsdeel is waar ServiceChanger past: zodra het account op disabled gaat of een attribuut wijzigt, vallen attribuut-gedreven groeps- en rollidmaatschappen mee weg.
  • Een paar stappen blijven bewust bij de native Microsoft-tooling of je servicedesk.

De volledige 15-stappen checklist

  1. Account in Entra ID op disabled zetten
  2. Alle actieve sessies revoken (sign-in tokens)
  3. Refresh-tokens invalidaten
  4. Wachtwoord resetten (niet voor de user, voor de audit)
  5. MFA-methodes verwijderen
  6. App-toegang intrekken (conditional access policies)
  7. M365-licentie blokkeren, niet verwijderen (grace period)
  8. Teams, SharePoint, OneDrive toegang herzien
  9. Shared mailboxes: owner-role overdragen
  10. Distributielijsten: uitfaseren
  11. Device-enrollment: unenroll in Intune
  12. Certificaten: revoken
  13. Externe apps (SaaS): SCIM-deprovisioning
  14. Audit-logregel schrijven
  15. Na 30 dagen: licentie en account definitief verwijderen

Wat is te automatiseren, en waarmee

Veel van deze stappen zijn te automatiseren, maar het helpt om precies te zijn over welke tool wat doet.

Native Entra ID en Microsoft 365 kunnen zelf al een account uitschakelen, sessies en refresh-tokens intrekken, MFA-methodes verwijderen, conditional access toepassen en een apparaat uit Intune halen. Dat zijn platformacties, vaak via Graph of je eigen scripts en policies.

Waar ServiceChanger past is de toegangslaag (met name stap 8 en 10, en het toegangsdeel van de rest): het beheert lidmaatschappen van groepen en rollen in Entra ID en on-prem AD op basis van regels. Zodra het account op disabled gaat of het relevante attribuut wijzigt, vallen de attribuut-gedreven lidmaatschappen mee weg, zodat de persoon de toegang verliest die aan die regels hing zonder dat iemand een ticket opent.

Wat ServiceChanger niet doet: het orkestreert niet de volledige HR-gedreven offboarding, wijst geen licentie-SKU's toe of trekt ze in, en deprovisioned geen externe SaaS via SCIM. De Intune-gebaseerde apparaatkant staat op de roadmap, niet vandaag in productie. Het houdt de toegang in lijn met de attributen in je Entra ID; de rest van de checklist loopt via Microsofts eigen tooling en je servicedesk.

Wat houd je handmatig

Sommige stappen wil je niet automatiseren omdat er een menselijke keuze nodig is:

  • Stap 4: een wachtwoordreset voor audit is standaard, maar het specifieke wachtwoord wordt voor legal soms gevraagd.
  • Stap 8: toegang tot SharePoint-content herzien. Je wilt weten welke documenten de persoon had voor je ze aan iemand anders geeft.
  • Stap 9: shared mailbox owner overdragen. Welke collega krijgt de verantwoordelijkheid?
  • Stap 12: certificaten intrekken. Voor klantfacing certificaten wil je soms extra bevestiging.
Die blijven op de servicedesk-workflow.

Waarom de volgorde ertoe doet

Volgorde bepaalt of je data verliest of security-gaten laat staan.

Disable account als allereerste. Elke seconde die de account actief blijft na vertrek is een potentieel risico.

Let op wat de OneDrive-opschoning werkelijk start. Een licentie intrekken start de klok niet; Microsoft begint de OneDrive-retentie pas te tellen als het account wordt verwijderd. De standaardretentie is 30 dagen (instelbaar van 30 tot 3650 dagen in het SharePoint-beheercentrum). Houd het account dus in stand zolang je de data nog nodig hebt, en verwijder het pas als je zeker bent, wetende dat het retentievenster vanaf die verwijdering loopt.

Audit-log schrijven vóór de definitieve cleanup. Als je het account en licentie al hebt verwijderd, heb je geen actor meer om tegen te loggen.

Tijdsbesparing

De cijfers hieronder zijn een illustratie van waar handmatige offboarding-tijd doorgaans heen gaat, geen gemeten ServiceChanger-benchmarks. Je eigen tijden hangen af van je tooling en hoeveel al gescript is:

StapTijd handmatigTijd geautomatiseerd
Disable + revoke5 minseconden
License management10 minseconden
Group cleanup15 minseconden
Intune unenroll5 minseconden
Audit log10 minautomatisch
Totaal~45 mineen paar minuten
Ter illustratie: bij 5 offboardings per maand is dat het verschil tussen een paar uur en een paar minuten. Het toegangsopruimen is het deel dat automatisch uit regels volgt; de apparaat- en SaaS-stappen lopen nog via hun eigen tooling.

Pitfalls

  1. Respecteer het retentievenster. OneDrive-opschoning start bij het verwijderen van het account, en zodra de retentie verloopt is de data weg. Ken je ingestelde retentie (standaard 30 dagen) voordat je verwijdert.
  2. Shared mailbox owner. Als je dat vergeet, gaat de mailbox dicht en klanten missen antwoorden.
  3. SCIM-koppelingen. Externe SaaS-tools (Slack, Jira, GitHub) hebben hun eigen deprovisioning. Vergeet die niet in je flow; ServiceChanger deprovisioned deze niet voor je.

FAQ

Wat gebeurt er als iemand per ongeluk wordt geoffboard? Zolang het account alleen op disabled staat (niet verwijderd), zet je het terug en koppel je de licentie opnieuw, en is de toegang terug. Zodra het account is verwijderd en het retentievenster verloopt, is de data definitief weg.

Werkt dit ook voor externe inhuur? Ja, voor het toegangsdeel. Zet het account op disabled of pas het attribuut aan in Entra ID, en de attribuut-gedreven lidmaatschappen vallen automatisch weg. ServiceChanger reageert op de attributen in Entra ID, niet op een HR-systeem.

Heb je een audit-rapport van toegangswijzigingen? Ja, de groeps- en rollidmaatschapswijzigingen die ServiceChanger doet worden gelogd met user, actor, timestamp en resultaat, exporteerbaar voor je administratie. Acties in Microsofts eigen tooling worden door Microsoft gelogd.

Offboarding is één kant van toegangsbeheer. Hoe je toegang aan de voorkant op regels laat lopen, lees je in Servicedesk automatiseren: toegangsverzoeken.

Volgende stap

Wil je dit offboarding-proces draaien voor je eigen Entra ID? Plan een demo of lees de documentatie over offboarding-workflows.

Ook interessant

Joiner-Mover-Leaver met je HR-systeem: standaard of maatwerk?

JML automatiseren vanuit je HR-systeem klinkt als één knop, maar het zit op twee niveaus. Wat ServiceChanger standaard doet op groep- en rolniveau, en wat account aanmaken en verwijderen vanuit HR als maatwerk is.

Inactieve gebruikers in Entra vinden op laatste aanmelding (en wat het oplevert)

Met het signInActivity-veld in Entra ID vind je accounts die al maanden niet zijn ingelogd. Zo werkt de query, waar je op moet letten (P1, 24 uur vertraging) en wat het oplevert aan licenties.

Entra ID vs Active Directory in 2026

Active Directory draait nog altijd op veel plekken terwijl Entra ID de standaard wordt. Dit is de stand van zaken in 2026: wat doe je met je AD, wanneer stap je over, wat houd je hybride?