Haufige Fragen (FAQ)
Antworten auf die haufigsten Fragen zum Mitarbeiter-Modul
Allgemein
Warum wird Microsoft 365 als Datenquelle verwendet?
Microsoft 365 / Entra ID ist in den meisten Unternehmen bereits der zentrale Identity Provider. Durch die Synchronisation:
- Vermeiden Sie doppelte Datenpflege
- Nutzen Sie Single Sign-On (SSO)
- Haben Sie konsistente Benutzerdaten
- Profitieren Sie von M365-Sicherheitsfunktionen
Tipp: Stammdaten sollten immer in M365/Entra ID gepflegt werden. KlarKonform erganzt nur DSGVO-spezifische Felder.
Was ist der Unterschied zwischen "Mitarbeiter" und "Benutzer"?
| Begriff | Bedeutung |
|---|---|
| Benutzer | Technisches Konto in M365/KlarKonform |
| Mitarbeiter | HR-Begriff fur Beschaftigte |
In KlarKonform werden beide Begriffe synonym verwendet. Technisch arbeiten wir mit dem User-Modell.
Mussen alle M365-Benutzer importiert werden?
Nein. Sie konnen auswahlen, welche M365-Benutzer in KlarKonform importiert werden sollen. Typischerweise importieren Sie:
- Alle regularen Mitarbeiter
- Fuhrungskrafte
- Externe mit Datenzugriff
Nicht importieren:
- Shared Mailboxes
- Service Accounts
- Externe Gaste ohne DSGVO-Relevanz
Wie oft sollte ich synchronisieren?
| Situation | Empfehlung |
|---|---|
| Normale Nutzung | Wochentlich |
| Nach HR-Anderungen | Sofort |
| Nach M365-Umstellungen | Sofort |
| Routine | Bei Bedarf |
Die Synchronisation ist schnell und kann jederzeit gestartet werden.
Synchronisation
Was bedeutet "pessimistisches Pattern"?
Beim pessimistischen Pattern wird bei jeder Anderung:
- Zuerst in M365 geschrieben
- Dann die Bestatigung abgewartet
- Zuletzt lokal gespeichert
Vorteil: Es entstehen keine Inkonsistenzen zwischen M365 und lokaler Datenbank.
Was passiert, wenn M365 nicht erreichbar ist?
| Situation | Verhalten |
|---|---|
| Lesezugriff | Lokale Daten werden angezeigt |
| Schreibzugriff | Fehlermeldung, keine lokale Anderung |
| Sync | Job wird mit Verzogerung wiederholt |
Die Anwendung bleibt lesbar, aber Anderungen erfordern M365-Verbindung.
Werden geloschte M365-Benutzer automatisch entfernt?
Nein. Geloschte M365-Benutzer bleiben in KlarKonform erhalten. Dies ist beabsichtigt fur:
- DSGVO-Dokumentation
- Historische Nachvollziehbarkeit
- Vereinbarungsnachweise
Sie sollten den Status manuell auf "Ausgeschieden" setzen.
Wie erkenne ich veraltete Daten?
In der Mitarbeiter-Uebersicht wird der letzte Sync-Zeitpunkt angezeigt.
Als veraltet gilt:
- Letzter Sync mehr als 24 Stunden her
Warum sehe ich bei manchen Benutzern keine M365-Details?
Mogliche Grunde:
| Grund | Losung |
|---|---|
| Fehlender Admin-Consent | Graph-Berechtigungen prufen |
| Benutzer hat keine Lizenz | M365-Lizenz zuweisen |
| Fehlende Berechtigungen | User.Read.All, Files.Read.All benotigt |
| API-Limitierung | Spater erneut versuchen |
Verwaltung
Kann ich Mitarbeiter nur in KlarKonform anlegen (ohne M365)?
Nein. Das Modul ist auf M365-Integration ausgelegt. Jeder Mitarbeiter benotigt ein M365-Konto.
Alternativen:
- Erstellen Sie das M365-Konto uber KlarKonform (wird automatisch angelegt)
- Erstellen Sie das Konto in Entra ID und importieren Sie es
Was ist der Unterschied zwischen "Kontostatus" und "Mitarbeiterstatus"?
| Feld | Quelle | Bedeutung |
|---|---|---|
| Kontostatus | M365 | Kann sich der Benutzer anmelden? |
| Mitarbeiterstatus | Lokal | HR-Status (Aktiv, Elternzeit, etc.) |
Ein Mitarbeiter in Elternzeit kann ein aktives M365-Konto haben, um E-Mails zu lesen.
Wie deaktiviere ich einen Mitarbeiter?
- M365-Konto deaktivieren (in Entra ID)
- KlarKonform synchronisieren
- Status auf "Ausgeschieden" setzen
- Austrittsdatum eintragen
Deaktivieren Sie das M365-Konto immer zuerst! KlarKonform kann keine Konten deaktivieren.
Was bedeutet "Remote Worker"?
Remote Worker sind Mitarbeiter, die regelmasig von zu Hause oder unterwegs arbeiten. Diese benotigen:
- IT-Nutzungsvereinbarung
- Remote-Work-Vereinbarung
- Ggf. BYOD-Vereinbarung
Die Markierung hilft bei der DSGVO-Compliance-Prufung.
Was bedeutet "DSGVO ignorieren"?
Damit schliessen Sie einen Mitarbeiter von der DSGVO-Compliance-Prufung aus.
Typische Grunde:
- Externer Berater mit eigener Compliance
- Reiner Test-Account
- Technischer Service-Account
Wichtig: Sie mussen einen Grund angeben!
Berechtigungen
Wie weise ich einem Benutzer die Admin-Rolle zu?
Methode 1: Uber Entra ID (empfohlen)
- Entra ID offnen
- Gruppe "KlarKonform-[Tenant]-Admin" suchen
- Benutzer als Mitglied hinzufugen
- KlarKonform synchronisieren
Methode 2: Uber KlarKonform UI
- Mitarbeiter > Bearbeiten
- Rolle "Admin" anhaken
- Speichern (fugt automatisch zur M365-Gruppe hinzu)
Warum hat ein Benutzer keine Rollen?
| Ursache | Losung |
|---|---|
| Nicht synchronisiert | Sync ausfuhren |
| Keine Gruppenmitgliedschaft | Zu M365-Gruppe hinzufugen |
| Security Groups nicht vorhanden | Gruppen in Entra ID erstellen |
Bei fehlendem Mapping erhalt der Benutzer automatisch die Rolle "User".
Konnen Rollen kombiniert werden?
Ja. Ein Benutzer kann mehrere Rollen haben:
Die Berechtigungen werden kombiniert (hochste Berechtigung gilt).
Wer kann Rollen vergeben?
| Rolle | Kann Rollen vergeben |
|---|---|
| Admin | Ja, alle Rollen |
| HR | Nein |
| Accounting | Nein |
| User | Nein |
Was passiert bei geanderten M365-Gruppenmitgliedschaften?
Bei der nachsten Synchronisation werden die lokalen Rollen aktualisiert. Bis dahin gelten die gecachten Rollen.
Empfehlung: Nach Rollenanderungen in Entra ID manuell synchronisieren.
DSGVO-Integration
Wie haengt das Mitarbeiter-Modul mit DSGVO zusammen?
| DSGVO-Bereich | Verknuepfung |
|---|---|
| Mitarbeitervereinbarungen | Ueber das M365-Konto verknuepft |
| Verarbeitungstaetigkeiten | Mitarbeiter als Betroffene |
| Compliance-Score | Anteil unterschriebener Vereinbarungen |
Zahlen alle Mitarbeiter zur Compliance?
Nicht alle Mitarbeiterstatus werden gezahlt:
| Status | In Compliance gezahlt |
|---|---|
| Aktiv | Ja |
| Probezeit | Ja |
| Ausgeschieden | Nein |
| Elternzeit | Teilweise |
| DSGVO ignoriert | Nein |
Wie erstelle ich Vereinbarungen fur alle Mitarbeiter?
- DSGVO > Mitarbeitervereinbarungen > Vorlage erstellen
- Mitarbeiter auswahlen (einzeln oder alle)
- Vereinbarung versenden
- Status in Mitarbeiter-Detailansicht prufen
Technische Fragen
Welche M365-Berechtigungen werden benotigt?
| Berechtigung | Zweck |
|---|---|
User.Read.All | Benutzerprofile lesen |
User.ReadWrite.All | Benutzer erstellen/andern |
Group.Read.All | Security Groups lesen |
GroupMember.ReadWrite.All | Gruppenmitgliedschaften andern |
Directory.Read.All | Verzeichnis lesen |
Files.Read.All | OneDrive-Quota anzeigen |
Device.Read.All | Registrierte Gerate anzeigen |
Warum schlagt die Synchronisation fehl?
| Fehler | Ursache | Losung |
|---|---|---|
| "No valid admin token" | Token abgelaufen | Warten oder Admin neu anmelden |
| "Access denied" | Fehlende Berechtigung | Admin-Consent prufen |
| "Rate limit exceeded" | Zu viele Anfragen | Spater wiederholen |
| "Tenant suspended" | Tenant deaktiviert | Admin kontaktieren |
Wie funktioniert der Cache?
| Cache | Inhalt | Lebensdauer |
|---|---|---|
| Authorization | Benutzer-Berechtigungen | Session |
| Roles | Zugewiesene Rollen | Bis zum Profil-Update |
| Group IDs | M365 Gruppen-IDs | 15 Minuten |
Cache wird bei Profilanderungen automatisch invalidiert.
Wie viele Benutzer konnen synchronisiert werden?
Die Synchronisation verwendet Paginierung. Es gibt kein hartes Limit, aber:
| Anzahl | Performance |
|---|---|
| < 100 | Sehr schnell |
| 100-1000 | Schnell |
| > 1000 | Kann einige Minuten dauern |
Der Sync-Job lauft im Hintergrund und blockiert nicht die UI.
Problemlosung
Mitarbeiter erscheint nicht nach Sync
- Hat der Benutzer eine E-Mail-Adresse in M365?
- Ist der Benutzer im gleichen Tenant?
- Wurde die Synchronisation erfolgreich abgeschlossen?
- Prufen Sie die Logs auf Fehler
Anderungen werden nicht ubernommen
- Prufne Sie auf Fehlermeldungen
- Ist M365 erreichbar?
- Hat der Admin gultigen Token?
- Ist das M365-Konto aktiv?
Rollen stimmen nicht
- Synchronisation ausfuhren
- M365-Gruppenmitgliedschaft prufen
- Gruppen-Namenskonvention prufen:
KlarKonform-[Tenant]-[Role] - Cache leeren (Abmelden/Anmelden)