Ihr seid Key-User oder Site Owner und so für eine Websitesammlung in SharePoint verantwortlich? Dann habt ihr euch bestimmt schon das ein- oder andermal gewundert, warum plötzlich Personen auf eure Seite berechtigt sind, die ihr gar nicht freigeben habt. Ja, die Berechtigungsvergabe in SharePoint ist schon nicht immer einfach, denn hier steck der Teufel oft im Detail. Der Sharing Link oben auf der Seite sorgt oft dafür, dass Berechtigungsstrukturen gebrochen werden und stellt so schon das ein oder andere Chaos an. Deswegen erhaltet ihr mit dieser Folge die ultimative Schritt für Schritt Anleitung, um die Berechtigungsproblematik in den Griff zu bekommen.

Download Visual

Allgemeine Einstellungen und das Berechtigungskonzept

Bevor ihr eure Seite veröffentlicht, habt ihr euch bestimmt Gedanken darüber gemacht, wer Zugriff auf die Seite erhalten soll, welche Inhalte besonders geschützt werden müssen und welche Kollegen vielleicht auch mit an der Seite arbeiten dürfen. Zusätzlich muss festgelegt werden, ob die Seite auch für externe User zugänglich sein soll.

Außerdem haltet ihr fest, welche Seiten oder Inhalte Einzelberechtigungen erhalten und wo die Berechtigungsvererbung immer noch aktiv ist.

Diese Berechtigungskonzept ist sehr wichtig und sollte gut dokumentiert werden, um auch später immer wieder nachvollziehen zu können, wo Berechtigungen gebrochen wurden. Nachdem euer Konzept steht, setzt ihr dieses in die Tat um. Ihr erstellt Gruppen mit unterschiedlichen Berechtigungsstufen, fügt Kollegen hinzu und unterbrecht die Vererbung wenn notwendig.

Berechtigungschaos

Doch was ist das? Einige Zeit später prüft ihr die von euch vergebenen Berechtigungen und stellt fest, einige neue User haben Zugriff und ihr habt die Berechtigungen nicht vergeben – „Wer also hat die Berechtigungen geändert?!“

Hier kommt das Sharing ins Spiel. Unbewusst können so User eure Berechtigungsstruktur brechen und weiter Personen auf die Seite berechtigen. Und dies, ohne dass diese eine besondere Berechtigungsgruppe- oder stufe haben.

Mitglieder der Gruppe „Website Mitglieder“ können mit wenigen Klicks:

  • Seiten teilen und damit freigeben
  • Dokumente oder Listenelemente teilen und somit freigeben
  • Öffentliche Links erstellen und verteilen

Was passiert beim Teilen?

Benutzer haben verschiedene Möglichkeiten einen Link zu erstellen und damit Dateien oder Dokumente zu teilen. Mit der Funktion „Teilen“ wird die Berechtigungsvererbung für das Dokument unterbrochen und es erhält Einzelberechtigungen.

powerpoint_teilen_nuboRadio

Außer, es wird die Einstellung „Personen mit bestehendem Zugriff“ gewählt. Bei allen anderen Optionen („Bestimmte Personen (nur die vom Benutzer angegebenen Personen)“, „Nur Personen Ihrer Organisation“, „Jeder mit dem Link“) wird eine neue Berechtigung vergeben.

Über „Website teilen“ wird die gesamte Website freigegeben, jemand wird also ebenfalls neu berechtigt und wenn die Person, die teilt, in der Gruppe Mitglieder ist, kann diese sogar „Bearbeiten“ als Berechtigungsstufe vergeben.

website_teilen_nuboRadio

So könnt ihr das Teilen deaktivieren und weiter Sicherheitsvorkehrungen treffen

Einstellungen für Zugriffsanforderungen über die Websiteebene einschränken:

1. Öffnet die Websiteeinstellungen und dann die Berechtigungen
websiteeinstellungen_nuboradio

2. Klickt oben in der Menüleiste auf Einstellungen für Zugriffsanforderungen (Access Request Settings)
Berechtigung_zugriffsanforderung_nuboRadio

3. Es öffnet sich ein Pop-Up Fenster in dem ihr jetzt die folgende Einstellungen wählen könnt:

Mitgliedern das Freigeben der Website sowie einzelner Dateien und Ordner erlauben

Ist diese Funktion aktiviert, kann jeder User, der Zugriff auf die Seite hat, Dokumente und Dateien über „Teilen“ mit Personen aus der ganzen Organisation teilen. Dadurch entstehen auch die gebrochenen Berechtigungsstrukturen, da durch das Teilen Einzelberechtigungen für das Dokumente oder die Datei vergeben werden. Für den Überblick und die Berechtigungsverwaltung ist diese eine mittlere Katastrophe.

Unsere Empfehlung: Diesen Haken unbedingt entfernen und die Funktion damit deaktivieren! Wenn Ihr diesen Haken entfernt, ist der nächste gleich mit deaktiviert.

Mitgliedern das Einladen von anderen zur Websitemitglieder-Gruppe „Name der Gruppe“ erlauben – Personen, die in der Gruppe Websitemitglieder sind, können die komplette Seite mit allen Inhalten mit Personen teilen, die noch nicht auf die Seite berechtigt sind. Ihnen ist es dadurch möglich, User in die Gruppe Websitemitglieder hinzuzufügen, ohne dass der Seitenbesitzer oder Administrator diese zuvor berechtigen muss.

WICHITG: Macht euch bitte ganz genau bewusst was diese Funktion anstellen kann! Unsere klare Empfehlung, auf jeden Fall deaktivieren – ihr habt sonst keine Kontrolle wer in diese Gruppe hinzugefügt wird und die Gruppe Mitglieder kann bekanntlich „Mitwirken“ und somit sogar den Inhalt auf der Seite verändern.

Zugriffsanforderungen zulassen – Diese Einstellungen lässt die Zugriffsanfragen zu, wenn jemand auf der URL landet und keinen Zugriff hat. Ist diese aktiviert, wird einen E-Mailadresse hinterlegt, an die alle Anforderungen geschickt werden und dann von demjenigen bestätigt oder abgelehnt werden kann.

Tipp: Die Einstellungen ist nicht ganz so gefährlich wie die anderen und kann durchaus in einigen Fällen sinnvoll sein. Jedoch solltet ihr euch unbedingt überlegen, wer die Zugriffsanfragen erhält und damit genehmigen darf!

einstellungen_zugriffsanforderung_nuboRadio

Admin Center Standardeinstellungen ändern

Im Admin Center könnt ihr das Teilen zwar nur beschränken, aber ihr habt zu mindestens die Möglichkeit die Standardauswahl zu verändern, die beim Teilen von Dateien oder Ordnern als erstes angezeigt wird. Auch dies kann schon hilfreich sein, weil der ein oder andere sich darüber keine Gedanken macht und einfach einen Link zum teilen erstellt.
Ihr könnt hier zwischen

  • Bestimmte Personen (nur die vom Benutzer angegebenen Personen)
  • Nur Personen Ihrer Organisation
  • Jeder mit dem Link

wählen.

Wir empfehlen euch hier, „Bestimmte Personen“ zu wählen, da es die Verbreitung doch etwas mehr einschränkt.

Linksenden_zugriffsanforderung_nuboRadio

Außerdem könnt ihr noch die Freigabe außerhalb eurer Organisation einschränken.

Vergesst aber nicht, es handelt sich hierbei immer nur um die Standardeinstellungen die ihr verändert, ihr deaktiviert damit nichts!

freigabe_nuboRadio

Da das Problem mit dem Teilen bekannt ist, haben sich darüber auch schon viele Gedanken gemacht und bei Microsoft noch weiter Einstellungsmöglichkeiten gefordert. Aktuell denkt Microsoft über einen Vorschlag zur Änderung der Standardeinstellungen nach, hier soll noch „Personen mit bestehendem Zugriff“ hinzugefügt werden.

Das solltet ihr unbedingt beachten:

Es ist wichtig, dass ihr nicht nur das teilen deaktiviert, sondern dies auch aktiv kommuniziert. Sprecht darüber und informiert Kollegen, was passiert, wenn das Teilen-Icon angeklickt wird. Nur mit dieser Sensibilisierung werdet ihr das Thema in den Griff bekommen.

 

Links

„Share and Copy Link Breaks Document Permissions in SharePoint“
„Disabling Document Sharing for Users with No Access to a SPO Site“