Procédure
Introduction
Lors du départ ou de la mise à pied d’un employé, nous voulons nous assurer de lui couper tous les accès aux services et systèmes de l’entreprise.
Étapes
Modification du mot de passe ou désactivation
La première étape consiste à soit modifier le mot de passe de l’utilisateur ou soit désactiver son compte (attention, la SUPPRESSION d’un compte supprimera les données de l’utilisateur dans Office 365) :
Dans le contexte où le compte provient d'une synchronisation Active Directory, la modification ou désactivation doit se faire à partir de l'AD local et une synchronisation doit avoir lieu ensuite pour que cette action prenne effet du côté Office 365.
Dans le contexte où le compte a été créé directement dans Azure AD (ou Office 365), la modification ou désactivation doit se faire à partir d'Azure AD ou à partir de la console d'administration Office 365
Forcer la déconnexion de Office365
Désactiver le compte ou changer le mot de passe est souvent suffisant lorsque la séparation se fait en bons termes. Quand ce n’est pas le cas, nous conseillons de forcer la déconnexion des applications :
À partir de la console d'administration Office 365, dans la section "Utilisateurs", cliequez sur l'utilisateur à déconnecter et dans l'onglet OneDrive, cliquez sur "Initier la déconnexion".
Si vous souhaitez automatiser cette tâche ou si vous préférez la faire à partir de PowerShell, utilisez la commande suivante : Revoke-AzureADUserAllRefreshToken -ObjectId username@domain.com
Effacer les données des appareils
Si votre entreprise contrôle les appareils de l’utilisateurs avec Microsoft Intune ou une autre solution MDM compatible, vous pouvez initier la suppression des données à distance (remote wipe) :
À partir de l'invite PowerShell, vous pouvez utiliser la commande : Clear-MobileDevice
Conserver et déléguer les données et la boite courriel de l’utilisateur
Si vous souhaitez conserver les données de l'utilisateur ainsi que les éléments de sa boite Outlook, assurez-vous d'activer l'option de rétention légale AVANT de retirer la licence de l'utilisateur;
Si vous souhaitez laisser la boite de l'utilisateur active, vous pouvez la convertir en boite partagée à partir du volet de droite, des propriétés de l'utilisateur, dans la console d'administration Exchange Online;
Au besoin, vous pouvez aussi déléguer les droits d'accès au OneDrive de l'utilisateur.
Tags: BlockAccess, Office365, RemoteWipe
Comentários