KlarKonform Docs
Mitarbeiter

M365-Synchronisation

Microsoft 365 Benutzerprofil-Synchronisation mit pessimistischem Pattern

Die Synchronisation zwischen KlarKonform und Microsoft 365 stellt sicher, dass Benutzerdaten konsistent und aktuell sind. Das System verwendet ein pessimistisches Pattern, bei dem M365 immer die autoritative Datenquelle ist.

Synchronisationsmuster

Pessimistisches Pattern

Bei allen Schreiboperationen wird zuerst M365 aktualisiert, dann lokal synchronisiert:

┌─────────────────────────────────────────────────────────────────────┐
│              PESSIMISTISCHER SYNC-ABLAUF                            │
├─────────────────────────────────────────────────────────────────────┤
│                                                                     │
│  Benutzer            KlarKonform           Microsoft 365            │
│     │                    │                      │                   │
│     │  1. Anderung       │                      │                   │
│     │  anfordern         │                      │                   │
│     │ ──────────────────▶│                      │                   │
│     │                    │  2. In M365          │                   │
│     │                    │  schreiben           │                   │
│     │                    │ ────────────────────▶│                   │
│     │                    │                      │                   │
│     │                    │  3. Bestatigung      │                   │
│     │                    │◀────────────────────│                   │
│     │                    │                      │                   │
│     │                    │  4. Aktualisierte    │                   │
│     │                    │  Daten abrufen       │                   │
│     │                    │ ────────────────────▶│                   │
│     │                    │                      │                   │
│     │                    │  5. M365-Daten       │                   │
│     │                    │◀────────────────────│                   │
│     │                    │                      │                   │
│     │                    │  6. Lokal            │                   │
│     │                    │  speichern           │                   │
│     │                    │ ─────┐               │                   │
│     │                    │◀─────┘               │                   │
│     │                    │                      │                   │
│     │  7. Erfolg         │                      │                   │
│     │◀──────────────────│                      │                   │
│     │                    │                      │                   │
└─────────────────────────────────────────────────────────────────────┘

Warum pessimistisch?

AnsatzBeschreibungRisiko
OptimistischLokal speichern, dann syncInkonsistenz bei M365-Fehler
PessimistischM365 zuerst, dann lokalKeine Inkonsistenz moglich

Das pessimistische Pattern garantiert:

  • Keine verwaisten lokalen Datensatze
  • SSO-Identitat stimmt immer uberein
  • Audit-Trail in M365 vollstandig

Synchronisationsarten

1. Bulk-Synchronisation

Synchronisiert alle M365-Benutzer eines Tenants.

Ausloeser:

  • Automatisch beim Onboarding
  • Manuell ueber Mitarbeiter > Von M365 synchronisieren

Ablauf:

  1. Das System prueft alle M365-Benutzer
  2. Fuer jeden Benutzer mit E-Mail-Adresse:
    • Falls bereits vorhanden: Profil wird aktualisiert
    • Falls neu: Benutzer wird angelegt
  3. Rollen werden aus Security Groups synchronisiert
  4. Synchronisation wird als abgeschlossen markiert

2. Einzel-Import

Importiert einen spezifischen M365-Benutzer.

Ablauf:

  1. Verfugbare M365-Benutzer abrufen (nicht importierte)
  2. Benutzer auswahlen
  3. Profil aus M365 laden
  4. Lokalen Benutzer erstellen

3. Profil-Update

Aktualisiert einen bestehenden Benutzer (pessimistisch).

Ablauf:

  1. Anderungen validieren
  2. Zuerst M365 aktualisieren
  3. Dann aktualisierte Daten aus M365 abrufen
  4. Zuletzt lokal speichern

Synchronisierte Felder

Synchronisierte Daten aus M365

Bei jeder Synchronisation werden folgende Daten aktualisiert:

FeldBeschreibung
AnzeigenameVollstaendiger Name
VornameVorname
NachnameNachname
E-Mail-AdressePrimaere E-Mail
PositionStellenbezeichnung
AbteilungAbteilungszuordnung
MobilnummerMobiltelefon
GeschaeftstelefoneBueronummern
BuerostandortOffice-Standort
AdresseStrasse, Stadt, PLZ, Land
Bevorzugte SpracheSpracheinstellung
KontostatusAktiv oder deaktiviert

Nur in KlarKonform gespeichert

Diese Felder werden nicht mit M365 synchronisiert und muessen in KlarKonform gepflegt werden:

FeldBeschreibung
MitarbeitertypBeschaeftigungsart (Angestellter, Freelancer, etc.)
MitarbeiterstatusInterner Status (Aktiv, Ausgeschieden, etc.)
Remote-MitarbeiterHome-Office-Kennzeichnung
DSGVO ignorierenDSGVO-Ausnahme-Kennzeichnung
DSGVO-BegruendungGrund fuer Ausnahme
EintrittsdatumBeginn der Beschaeftigung
AustrittsdatumEnde der Beschaeftigung

Rollen-Synchronisation

Rollen werden aus M365 Security Groups abgeleitet:

┌─────────────────────────────────────────────────────────────────┐
│              ROLLEN-MAPPING                                     │
├─────────────────────────────────────────────────────────────────┤
│                                                                 │
│  M365 Security Group              →    KlarKonform Rolle        │
│  ─────────────────────────────────────────────────────────────  │
│  KlarKonform-[Tenant]-Admin       →    Admin                    │
│  KlarKonform-[Tenant]-User        →    User                     │
│  KlarKonform-[Tenant]-HR          →    HR                       │
│  KlarKonform-[Tenant]-Accounting  →    Accounting               │
│                                                                 │
└─────────────────────────────────────────────────────────────────┘

Rollenzuweisung

  1. Security Groups werden in M365/Entra ID verwaltet
  2. Bei Sync werden Gruppenmitgliedschaften abgefragt
  3. Lokale Rollen werden entsprechend aktualisiert
  4. Mindestens Rolle "User" wird zugewiesen

Automatische Aktualisierungen

Nach jeder Profilaenderung werden automatisch folgende Aktionen ausgefuehrt:

  • Zwischengespeicherte Benutzerdaten werden aktualisiert
  • Aenderungen werden im Aktivitaetsprotokoll erfasst

Fehlerbehandlung

M365-Verbindungsfehler

Bei Verbindungsproblemen wird die Synchronisation automatisch mehrfach versucht. Falls kein gueltiges Admin-Token vorhanden ist, wird die Synchronisation verschoben.

Typische Fehler

FehlerUrsacheLosung
"No valid admin token"Token abgelaufenWarten auf Erneuerung
"Access denied"Fehlende BerechtigungAdmin-Consent prufen
"User not found"Benutzer in M365 geloschtLokalen Benutzer prufen

Monitoring

Letzte Synchronisation

Die Ubersichtsseite zeigt den Zeitstempel der letzten Synchronisation:

┌─────────────────────────────────────────────┐
│ Mitarbeiter                                 │
├─────────────────────────────────────────────┤
│ Letzte Synchronisation: 02.02.2026, 10:30   │
└─────────────────────────────────────────────┘

Sync-Status pro Benutzer

Fuer jeden Benutzer wird der Zeitpunkt der letzten Synchronisation angezeigt.

Veraltete Daten: Benutzer, deren letzter Sync mehr als 24 Stunden zurueckliegt, sollten erneut synchronisiert werden.

Best Practices

Synchronisation planen

AktionEmpfehlung
Initiale EinrichtungAutomatisch bei Onboarding
Laufender BetriebWochentlich manuell oder bei Bedarf
Nach M365-AnderungenSofort synchronisieren
Bei ProblemenEinzelnen Benutzer reimportieren

Datenqualitat sicherstellen

  1. In M365 pflegen: Stammdaten sollten in M365 gepflegt werden
  2. Lokale Felder erganzen: DSGVO-Felder in KlarKonform erganzen
  3. Regelmasig prufen: Sync-Status uberwachen

Previous

Mitarbeiter-Modul

Next

Mitarbeiterverwaltung

On this page