Neuer Mitarbeiter startklar in 2 Stunden statt 2 Tagen

Tag 1: Kein Laptop, kein Account, keine Tools

Wenn ein neuer Mitarbeiter anfängt und am ersten Tag keinen funktionsfähigen Arbeitsplatz hat, ist das kein Kavaliersdelikt. Es ist ein Signal: „Wir waren nicht vorbereitet auf dich." Die Motivation sinkt, bevor sie überhaupt entstehen konnte. Und in der IT-Abteilung herrscht Hektik — obwohl der Starttermin seit Wochen bekannt war.

Genau dieses Bild fand ich Ende 2024 bei einem Dienstleistungsunternehmen mit 60 Mitarbeitern vor. Das Unternehmen wuchs schnell — fünf neue Mitarbeiter pro Quartal, Tendenz steigend. Und jedes Mal stand die einzige IT-verantwortliche Person 1–2 Tage vor dem Laptop.

Der manuelle Prozess im Detail: Windows neu installieren. Microsoft 365 Apps laden. E-Mail-Account anlegen. Berechtigungen setzen — welche SharePoint-Sites? Welche Teams-Kanäle? Welche Drittanbieter-Apps? Drucker einrichten. VPN konfigurieren. Sicherheitsrichtlinien aktivieren. Und das alles per Hand, jedes Mal von vorne.

Die Fehlerquellen waren systemisch: Vergessene Berechtigungen, fehlende Apps, falsche Gruppenzuordnungen. Neue Mitarbeiter meldeten in der ersten Woche Tickets — nicht weil etwas kaputt war, sondern weil beim Setup etwas vergessen wurde. Die IT-Person verbrachte mehr Zeit mit Nacharbeiten als mit dem eigentlichen Setup.

Und das Schlimmste: Der Prozess war nicht dokumentiert. Alles steckte im Kopf einer einzigen Person. Wenn diese Person im Urlaub war, ging gar nichts.

Die Lösung: Zero-Touch-Onboarding mit Intune und Autopilot

Das Ziel war ambitioniert: Ein neues Gerät wird aus dem Karton genommen, dem Mitarbeiter übergeben — und richtet sich beim ersten Einloggen vollautomatisch ein. Kein manuelles Setup, kein IT-Ticket, keine Wartezeit.

Windows Autopilot: Das Gerät konfiguriert sich selbst

Der Kern der Lösung ist Windows Autopilot in Kombination mit Microsoft Intune. Beim Kauf eines neuen Geräts wird der Hardware-Hash direkt beim Lieferanten registriert — das Gerät kennt seinen Intune-Tenant, bevor es ausgeliefert wird.

Beim ersten Einschalten meldet sich der neue Mitarbeiter mit seinem Microsoft-365-Account an. Ab diesem Moment übernimmt Autopilot: Windows wird konfiguriert, Compliance-Policies greifen, Apps werden installiert, Sicherheitsrichtlinien aktiviert. Der Mitarbeiter sieht einen Fortschrittsbalken — nach etwa 30–45 Minuten ist das Gerät einsatzbereit.

Was installiert wird, hängt von der Abteilung ab. Und genau hier kommt die Gruppenlogik ins Spiel.

Entra ID Gruppen: Abteilung bestimmt Ausstattung

Jeder neue Mitarbeiter wird einer Entra-ID-Gruppe (ehemals Azure AD) zugeordnet — basierend auf Abteilung und Rolle. Diese Gruppenzuordnung steuert automatisch:

Apps — Die Vertriebsabteilung bekommt das CRM, das Marketing-Team bekommt die Design-Tools, die Buchhaltung bekommt DATEV. Jede Gruppe hat ein definiertes App-Set.

SharePoint-Berechtigungen — Der neue Mitarbeiter hat sofort Zugang zu den richtigen Dokumenten, Projekträumen und Wikis seiner Abteilung. Kein Ticket an die IT nötig.

Teams-Kanäle — Automatische Mitgliedschaft in den relevanten Teams und Kanälen. Am ersten Tag ist der Mitarbeiter bereits in allen wichtigen Unterhaltungen.

Drucker — Der standortspezifische Drucker wird automatisch zugewiesen. Klingt banal, war aber vorher ein wiederkehrendes IT-Ticket.

Sicherheitsrichtlinien — Conditional Access Policies, MFA-Anforderungen, Geräte-Compliance — alles greift automatisch basierend auf der Gruppenzugehörigkeit.

Power Automate: Der HR-Trigger

Der Prozess beginnt nicht in der IT, sondern in der Personalabteilung. Wenn HR einen neuen Mitarbeiter in einer SharePoint-Liste anlegt — Name, Abteilung, Startdatum, Vorgesetzter — löst ein Power-Automate-Flow die gesamte Kette aus:

1. Microsoft-365-Lizenz zuweisen — automatisch, basierend auf der Rolle.

2. Entra-ID-Gruppenzuordnung — Der Mitarbeiter wird der richtigen Gruppe zugeordnet, was alle App- und Berechtigungsprovisionen auslöst.

3. Willkommens-E-Mail — Der neue Mitarbeiter erhält eine personalisierte E-Mail mit Zugangsdaten, ersten Schritten und Links zu wichtigen Ressourcen.

4. Vorgesetzten informieren — Der direkte Vorgesetzte bekommt eine Teams-Nachricht mit den Details und einem Link zur Onboarding-Checkliste.

5. Onboarding-Checkliste erstellen — Eine Planner-Aufgabe wird automatisch erstellt — mit allen Schritten, die der Vorgesetzte und der neue Mitarbeiter in den ersten zwei Wochen durchlaufen sollen. Nicht nur IT-Setup, sondern auch fachliches Onboarding.

Compliance und Sicherheit ab Minute 1

Ein oft unterschätzter Vorteil: Die Sicherheitsrichtlinien greifen vom ersten Login an. Das Gerät wird verschlüsselt (BitLocker), Updates werden erzwungen, Antivirus ist aktiv, Conditional Access prüft den Gerätezustand bei jedem Zugriff auf Unternehmensdaten. Es gibt keine „offene Phase", in der ein unkonfiguriertes Gerät auf sensible Daten zugreift.

Für Unternehmen mit Compliance-Anforderungen — TISAX, ISO 27001, BSI Grundschutz — ist das entscheidend: Jedes Gerät ist ab dem ersten Moment konform.

Der Prozess im Überblick

1. HR-Eintrag — Personalabteilung legt neuen Mitarbeiter in SharePoint an
2. Automatische Provisionierung — Power Automate weist Lizenz, Gruppe und Berechtigungen zu
3. Geräteregistrierung — Hardware-Hash vom Lieferanten, Autopilot-Profil zugewiesen
4. Erstes Einloggen — Mitarbeiter meldet sich an, Autopilot konfiguriert das Gerät automatisch
5. Apps & Richtlinien — Intune installiert alle Apps und aktiviert Sicherheits-Policies
6. Benachrichtigungen — Willkommens-E-Mail, Vorgesetzten-Info, Onboarding-Checkliste
7. Tag 1 — Mitarbeiter ist vollständig arbeitsfähig

Die Ergebnisse

IT-Aufwand pro Onboarding: 2 Tage → unter 2 Stunden. Die IT-Person muss das Gerät nur noch registrieren und versenden. Alles andere passiert automatisch.

Fehlerquote: auf null reduziert. Vergessene Berechtigungen, fehlende Apps, falsche Konfigurationen — das gibt es nicht mehr. Die Gruppenlogik stellt sicher, dass jeder Mitarbeiter exakt die Ausstattung bekommt, die seine Rolle erfordert.

Erste-Woche-Erfahrung fundamental verbessert. Neue Mitarbeiter sind ab Tag 1 vollständig arbeitsfähig. Kein Warten auf IT-Tickets, kein „Das funktioniert noch nicht". Die Motivation bleibt hoch, der Eindruck professionell.

Skalierbarkeit. Das System funktioniert für fünf neue Mitarbeiter pro Quartal genauso wie für fünfzig. Der Aufwand steigt nicht linear mit der Anzahl der Neueinstellungen.

Dokumentiert und personenunabhängig. Der Prozess ist vollständig automatisiert und dokumentiert. Wenn die IT-Person im Urlaub ist, läuft trotzdem alles weiter.

Sicherheit ab dem ersten Moment. Compliance-Richtlinien greifen vom ersten Login — kein unkonfiguriertes Gerät hat jemals Zugang zu Unternehmensdaten. Für Unternehmen mit erhöhten Sicherheitsanforderungen haben wir auch eine ISMS-App auf der Power Platform entwickelt, die VDA ISA und BSI Grundschutz abdeckt.

Das IT-Onboarding ist dabei nur ein Baustein im Employee Lifecycle. Dieselbe M365-Infrastruktur nutzen wir auch für den digitalen Bewerbungsprozess und die automatisierte Urlaubsverwaltung — alles auf vorhandenen Lizenzen.

Eingesetzte Technologie

• Microsoft Intune — Mobile Device Management, App-Deployment, Compliance-Policies, Konfigurationsprofile
• Windows Autopilot — Zero-Touch-Gerätekonfiguration beim ersten Einschalten
• Microsoft Entra ID — Gruppenbasierte Zugriffsverwaltung, Conditional Access, automatische Lizenzierung
• Microsoft Power Automate — HR-Trigger, Account-Provisionierung, Benachrichtigungen, Onboarding-Checkliste
• Microsoft Planner — Strukturiertes Onboarding-Programm für die ersten zwei Wochen
• SharePoint Online — HR-Datenquelle, Dokumentation, Onboarding-Ressourcen

---

IT-Onboarding noch manuell? Strategie-Gespräch buchen — ich zeige Ihnen, was in Ihrem Setup möglich ist.