Onboarding a Offboarding: Co musíte stihnout za 10 minut (Checklist pro přežití)

V ideálním světě vám HR nahlásí nástup měsíc dopředu. V reálném světě vám volají v pátek odpoledne: „V pondělí nastupuje Novák, potřebuje notebook.“ A ještě horší je telefonát: „Právě jsme vyhodili Kováře, okamžitě ho odřízněte.“
Tady je 10minutový záchranný plán pro obě situace.
🟢 ONBOARDING: Aby první den nebyl trapas (5 minut)
Cíl: Nováček přijde, sedne si a pracuje. Nic nefrustruje víc, než když IT řekne: „Jé, my tu pro tebe ještě nemáme myš a účet se teprve synchronizuje.“
✅ 1. Účet a licence (Cloud first) Vytvořte účet (M365 / Google). Okamžitě přiřaďte licenci. Bez ní nefunguje e-mail a nováček bude zírat na chybovou hlášku. Tip: Mějte připravenou skupinu „Default Employees“, která automaticky přidělí základní práva (tiskárny, Wi-Fi, intranet), ať to neklikáte ručně.
✅ 2. Hardware "na stole" Nečekejte, až si přijde. Notebook musí být na stole (nebo v poště), zapojený v dokovací stanici, s monitorem. Zkontrolujte: Je disk šifrovaný (BitLocker)? Je tam antivir?
✅ 3. MFA od první vteřiny Při předávání hesla (ideálně přes SMS nebo na papírku, který se hned zničí) nováčka nepusťte dál, dokud si nenastaví MFA (aplikaci v mobilu). Proč: Pokud to neudělá hned, bude to odkládat týdny a vy máte bezpečnostní díru.
🔴 OFFBOARDING: Digitální "Kill Switch" (5 minut)
Cíl: Zamezit přístupu k datům. Hned. Tady jde o vteřiny, zvláště pokud rozchod nebyl přátelský.
✅ 1. Blokovat, NE mazat! (Zlaté pravidlo) Nikdy účet hned nemažte. Smazáním přijdete o e-maily, soubory a historii. V Active Directory / M365 zvolte „Block Sign-in“ (Zablokovat přihlášení). Data zůstanou, člověk se nepřihlásí.
✅ 2. Reset hesla + Kill Sessions (Klíčový krok!) Změna hesla nestačí! Pokud má uživatel e-mail v mobilu nebo otevřený prohlížeč doma, může mít platný "token" (přístup) ještě hodiny. V administraci (M365/Google) musíte kliknout na tlačítko: „Sign out of all sessions“ (Odhlásit ze všech relací). Tohle ho okamžitě "vykopne" ze všech zařízení.
✅ 3. Vymazat firemní data z mobilu Pokud používáte MDM (Intune), odešlete příkaz „Wipe“ (jen firemní data). Pokud ne, doufejte, že jste si pohlídali bod 2. Změna hesla by ho měla odpojit od pošty v mobilu.
✅ 4. Přesměrování pošty Co se stane, když napíše klient?
Nastavte automatickou odpověď: „Pan Kovář u nás již nepracuje, obraťte se na...“
Udělejte z jeho schránky Shared Mailbox a dejte přístup jeho nadřízenému.
Odeberte licenci (ušetříte peníze), u sdílené schránky ji nepotřebujete.
✅ 5. Stínové IT (Shadow IT check) Tohle je nejčastější chyba. Odřízli jste e-mail, ale co Canva? Adobe Cloud? Správa firemního Facebooku? Mějte seznam „externích služeb“, kam se zaměstnanci hlásí mimo centrální správu, a hesla změňte ručně.
Závěr: Checklist je zákon
Nespoléhejte na paměť. Vytvořte si v systému (nebo na papíře) jednoduchý seznam těchto 10 bodů. Až přijde ten páteční telefonát, jen pojedete prstem po řádcích. Zachrání vám to víkend.