Das Teilen von Dokumenten ist Fluch und Segen gleichermassen. Einerseits können Dokumente einfach und schnell mit Personen geteilt werden, andererseits ist das Oversharing von Informationen eine Gefahr – wie beispielsweise, dass die Informationen von Personen gefunden werden können, die keinen Zugriff darauf haben sollten. Etwa über Microsoft Search, die SharePoint Suche und über Microsoft 365 Copilot.
Oversharing
Der Feind aller Benutzer: Oversharing von Informationen. Wer möchte schon versehentlich Dokumente an eine zu grosse Benutzergruppe teilen? Niemand.
Die Suche in SharePoint und die Microsoft Search in den M365 Apps zeigen nur immer jene Dokumente an, auf welche die Benutzer Zugriff haben. Dokumente, auf die der angemeldete Benutzer keinen Zugriff hat, werden nie in der Suche angezeigt. Auf dieser Basis zeigt auch Microsoft Copilot die Informationen an. Copilot zeigt nur die Informationen von Dokumenten, auf die der Benutzer Zugriff hat.
Die Dokumente sind auf SharePoint abgespeichert. Dabei gibt es verschiedene Voraussetzungen und Einstellungen, um einen falschen Zugriff zu vermeiden und das versehentliche Oversharing verringern.
Implementierte IA als Basis
Eine implementierte und gelebte SharePoint Informations-Architektur (IA) bildet dabei die Basis für die Nutzung von AI (=Artificial Intelligence; DE: KI = Künstliche Intelligenz). Dadurch wird der Grundstein gelegt, damit die Dokumente so abgelegt werden, dass nur berechtigte Benutzer Zugriff darauf haben. Und es wird sichergestellt, dass Dokumente nur für berechtigte Benutzer in der Suche und im Copilot angezeigt werden.
Bei implementierter und gelebter SharePoint Informations-Architektur spricht man auch von einer Governance, mit welcher der Wildwuchs innerhalb eines M365 Tenants vermieden werden soll. Unter anderem wird in einer Governance folgendes geregelt:
- Erstellung von SharePoint Sites
- Erstellung und Lifecycle von Microsoft Teams Teams
- Privacy (Öffentlich, Privat, Organisationsweit) von erstellten Microsoft Teams
- Berechtigungen auf die Sites
- Teilen-Einstellungen der erstellten Sites
- Ownership der Sites
Berechtigungen auf SharePoint Sites werden in der Regel über Microsoft 365 Sicherheitsgruppen vergeben, damit sichergestellt wird, dass nur die Benutzer in den Gruppen entsprechenden Zugriff auf die Sites und die darin enthaltenen Dokumente haben. In Microsoft Teams werden die Berechtigungen über die hinzugefügten Besitzer und Mitglieder erteilt. Auf einen Mix der beiden Berechtigungskonzepte ist zu verzichten, um den Microsoft Konzepten zu folgen und eine möglichst hohe Transparenz der erteilten Berechtigungen zu gewähren.
Freigabe-Einstellungen überprüfen (SharePoint Admin Center)
Nebst den Berechtigungen gibt es die Freigabe-Einstellungen, um den Benutzern einerseits den Freiraum zu geben, Dokumente mit anderen Benutzern zu teilen, andererseits aber bewusst so einzuschränken, um ein Oversharing zu vermeiden. Nebst dem Teilen hat die Einstellung auch einen Einfluss auf die Funktion Link kopieren in SharePoint und Microsoft Teams.
Die Freigabe-Einstellungen (aka Teilen; EN: Sharing) können auf M365 Tenant-Level für die gesamte Umgebung im SharePoint Admin Center gesetzt werden. Auf den einzelnen Sites und auf Microsoft Teams SharePoint Sites können die Einstellungen auch individuell vorgenommen werden. In den Einstellungen wird definiert, ob überhaupt Dokumente mit externen Benutzern, oder gar mit JEDER geteilt werden können. Dadurch wird der Benutzerkreis so eingeschränkt, dass Dokumente nicht an externe Benutzer geteilt werden können.
Die weiteren Einstellungen betreffen die Standard-Einstellungen beim Erstellen eines Freigabelinks oder beim Kopieren eines Links. So wird definiert, welchen Typ von Link standardmässig erstellt wird, wenn Benutzer die Teilen- oder Link kopieren Funktion in SharePoint oder Teams nutzen.
Ob eine Freigabe mit JEDER möglich ist, wird auf M365 Tenant-Level definiert. Falls aktiv, ist mit dieser Einstellung mit Bedacht umzugehen und nur im Bedarfsfall einzuschalten. JEDER Links sind anonyme Links, die keine Anmeldung erfordern und von allen mit dem Link geöffnet werden können!
Ein besonderes Augenmerk ist dabei dem Standardtyp für Freigabelinks zu legen, mit welcher auch die Funktion Link kopieren beeinflusst wird. Mit dem Standardtyp Nur Personen in Ihrer Organisation wird beim Link kopieren automatisch die Berechtigung aufgebrochen.
Teilen: Beim Nutzen der Funktion Teilen öffnet sich in SharePoint eine eigene Eingabemaske, mit der Dokumente an spezifische Personen geteilt werden können. Beim Hinzufügen eines Benutzers, welcher noch keinen Zugriff hat, wird die Berechtigung des Dokumentes aufgebrochen, und der hinzugefügte Benutzer hat auf das Dokument eine Berechtigung.
Link kopieren: Beim Link kopieren wird direkt die Standard-Freigabe-Einstellung auf der Site verwendet und ein Link mit Zugriff für die ganze Organisation erstellt. Die Berechtigung auf dem Dokument wird aufgebrochen und die Benutzer in der Organisation mit dem Link können auf das Dokument zugreifen und finden es in der Suche. Folglich hat ab jetzt auch Copilot auf dieses Dokument Zugriff.
Benutzer mit Lesezugriff auf die Site können immer nur einen Link mit der Einstellung Nur Personen mit vorhandenem Zugriff kopieren. So ist ausgeschlossen, dass Lesende Benutzer sich selbst oder jemand anderem mehr Zugriff geben können, als sie selbst besitzen.
Die Krux an den Einstellungen: Die Einstellung Personen mit bestehendem Zugriff kann nicht auf Tenant-Level eingestellt werden, sehr wohl aber spezifisch auf den einzelnen Sites.
Wer darf Dokumente teilen? (SharePoint Site)
Um das Teilen von Dokumenten auf der Site einzuschränken, kann über die Site Einstellungen > Websiteberechtigungen > Websitefreigabe (Ändern, wie Mitglieder teilen können) die Einstellung so geändert werden, dass nur Sitebesitzer Dokumente teilen dürfen und jene Benutzer mit Bearbeitungsberechtigungen nicht.
Benutzer mit Bearbeitungsrechten können damit Dokumente nur an Personen mit vorhandenem Zugriff teilen, beim Kopieren eines Links wird ebenfalls der Link nur für Personen mit vorhandenem Zugriff kopiert. Dies verursacht keine Berechtigungsunterbrechung auf dem Dokument.
Data Access Governance Reports
Microsoft hat das Problem erkannt und bietet die sogenannten Data Access Governance (DAG) Reports. Diese sind aktuell nur mit einer SharePoint Premium Lizenz verfügbar, sollen aber bald auch mit der Microsoft 365 Copilot Lizenzen verfügbar sein. Mit den DAG Reports können Reports generiert werden, in welchen die Sites aufgeführt werden, die geteilte Links enthalten. Die vorgefertigten Reports führen die Sites auf, in denen Links mit den Typen Jeder, Personen in der Organisation oder Bestimmte Personen erstellt wurden.
Zurzeit steht auf Tenant-Level kein Report zur Verfügung, der direkt alle Dokumente zeigt, die geteilt wurden. Dafür muss in der entsprechenden Site über die Websiteeinstellungen > Websiteberechtigungen die Berechtigung überprüft werden. Mittels Hinweis wird bereits signalisiert, dass auf der Site Dokumente vorhanden sind, welche eindeutige Berechtigungen aufweisen. Eindeutige Berechtigungen bedeutet in diesem Fall, dass die Berechtigungsvererbung unterbrochen wurde und eine Item-Level Permission auf einzelnen Dokumenten vergeben wurde. Dies wurde durch das Nutzen der Funktionen Teilen oder Link kopieren verursacht.
Websiteverwendungs-Bericht
Auf Site-Level steht der Websiteverwendungs-Bericht zur Verfügung (Site Usage Reports), welcher alle Dokument aufführt, bei welchen ein Link, intern oder extern, generiert wurde. In den Websiteeinstellungen > Websiteverwendung steht der Bericht „Mit externen Benutzern geteilt“ zur Verfügung, zwar könnte man meinen, dass es da nur um externe Personen geht, allerdings werden beim Generieren des Berichtes alle Dokumente aufgeführt. Dafür muss der Bericht zuerst ausgeführt, also erstellt, werden. Dabei wird man durch einen Wizard geführt, in welchem der Speicherort des Berichtes angegeben werden kann.
Der Bericht wird als CSV abgespeichert. Die CSV Datei kann im Excel über Daten > Aus Text/CSV geöffnet und direkt transformiert werden, dabei wird die kommagetrennte Darstellung direkt in Spalten umgewandelt. Nun steht ein formatiertes Excel mit Angabe des Speicherorts, Berechtigung, vor allem aber des Linkstyps wie auch der Benutzer-E-Mail, zur Verfügung. Damit lässt sich auf Site-Level prüfen, für welche Dokumente welche Linktypen erstellt wurden.
Fazit
Die M365 Informations-Architektur bildet mit implementierten Berechtigungen die Basis, um den Zugriff nur für berechtigte Benutzer zu steuern, damit die Dokumente nicht „plötzlich“ in der SharePoint Suche, Microsoft Search oder im Copilot gefunden werden. Die Freigabe-Einstellungen auf den Tenants müssen unbedingt geprüft werden und können gezielt verändert und eingesetzt werden. Mit den Data Access Governance Reports (DAG) wie auch den Websiteverwendungsberichten stehen Berichte zur Verfügung, welche zur Überprüfung des Oversharings eingesetzt werden können.
Danke für den Beitrag
Als Site Owner kann ein „Sharing Report“ in den Site Usage unter Shared with external users erstellt werden… Auch wenn es den Anschein macht, dass dies nur für external users ist werden dort alle Sharing Links aufgeführt.
Interessant zu Wissen wäre wie oft den ein Organizational Link auch genutzt wird.
Hallo David,
das stimmt, der Bericht kann durchaus nützlich sein, um die Sharing Links auf Site-Level schneller zu überprüfen.
Der Blog ist um das Kapitel „Websiteverwendungs-Bericht“ reicher.
Viele Grüsse, David