SharePoint ist die Grundlage von Teams
Die in einer SharePoint Dokumentbibliothek gespeicherten Dateien werden in MS Teams über Kanäle referenziert. D.h. die Betrachtungsweise erfolgt auf Grundlage eines vorhanden Teams in MS Teams.
Die Ausgangslage ist die, dass Berechtigungen zunächst aufgrund der Mitgliedschaft in MS Teams bestehen. Alle Mitglieder erhalten durch die Mitgliedschaft in einer Office 365 Gruppe die automatisch zugrunde liegt „Bearbeiten“ Rechte.
Nun lautet die Fragestellung, wie können die Rechte individuell gestaltet werden?
In MS Teams kann dies gar nicht angepasst werden. Die erweiterte Berechtigungseinstellungen erfolgen direkt in SharePoint. Jeder Mitglied gelangt von Teams aus bequem zu SharePoint.
Aus dem jeweiligen Kanal über die Registerkarte „Dateien“ über den Befehl „In SharePoint öffnen“
Ab hier in (SharePoint) können jedoch die hier beschriebenen nachfolgenden Schritte und Szenarien von einem Besitzer ausgeführt und nachvollzogen werden, einem Mitglied sind diese verwehrt.
Die in der SharePoint Dokumentbibliothek aufgerufenen Dateien können abweichende Rechte aufweisen, als es zunächst vorgesehen ist – nämlich standardmäßig haben alle Mitglieder das Recht Dateien erstellen, bearbeiten und löschen.
Um die Berechtigungen anzupassen wird: Menü -> Details -> Zugriff verwalten aufgerufen.
Im nachfolgenden Menü sind Einstellungen wie „Nicht mehr teilen“ oder Direkter Zugriff auf Basis für einzelne Benutzer oder auf Grundlage der Gruppenmitgliedschaft ebenfalls möglich.
Szenario 1:
Die Rechteverwaltung einer Datei „Test_pivot.xlsx“ wird „Nicht mehr teilen“ verwendet.
Auswirkungen: Die Datei wird keinem Mitglied mehr angezeigt werden können, ebenso nicht mehr bearbeitet und gelöscht, die Besitzer haben weiterhin darauf Zugriff. Dies geschieht sowohl in SharePoint als auch in Teams. Die Excel-Datei fehlt allen Mitgliedern in der Ansicht.
In SharePoint in der Dokumentbibliothek und in Teams ist diese Datei nicht mehr sichtbar.
In Teams in der Registerkarte „Dateien“ ist die Datei ebenso nicht mehr sichtbar
Fazit: Mittels dieser Vorgehensweise können Konzepte umgesetzt werden, wo die Prämisse lautet, dass nicht jedes Mitglied automatisch jede Datei sehen und bearbeiten dürfen soll.
Hinweis: Die Gefahr liegt jedoch vor, dass es einen hohen Aufwand bedeutet die Berechtigungen anzupassen, es ist eher nicht empfehlenswert, außer die Situation erfordert es, und die Besitzer sind diejenigen die das entsprechend pflegen und einrichten dürfen.
Szenario 2:
Die Berechtigungen sollen individuell auf Benutzerebene auf einzelne Dateien erfolgen.
Das kann wie folgt eingerichtet werden: Dateimenü -> Details -> Zugriff erteilen
Fazit: Besitzer der Gruppe haben Zugriff und Mitglieder auch, zusätzlich zu der Freigabe an weitere Personen oder Gruppen. Der Zugriff kann somit sowohl von Besitzern als auch von Mitgliedern weiteren einzelnen Identitäten wie auch Gruppen, die nicht zur Office 365 Gruppe gehören, gewährt werden.
Hinweis: Vorteilhaft kann dies durchaus sein, aber es bedeutet dennoch ebenso einen Verwaltungsaufwand betreiben zu müssen. Ob diese Konstellation der Rechtevergabe viel Sinn macht bleibt stark zu hinterfragen.
Szenario 3:
Eine weitere (neue) Dokumentbibliothek wird erstellt, um den Zugriff auf Dateien einem bestimmten Personenkreis zu erlauben und diese gleichzeitig fürs Team in Teams per Registerkarte hinzuzufügen.
In die neue Bibliothek wurde ein Dokument hinzugefügt, nun wird die Bibliothek als neue Registerkarte in Teams einem Kanal hinzugefügt.
Gefolgt von weiteren Einstellungen:
Die Rechtevergabe und Steuerung der Zugriffe gestaltet sich auf die exakt gleiche Art und Weise wie im Szenario 1 und Szenario 2 beschrieben. Der tatsächliche Vorteil hierbei ist, dass es eine gesonderte Bibliothek ist, d.h. nicht die Standardbibliothek die für die Speicherung sämtlicher Dateien in SharePoint zuständig ist und somit hier verschiedenste Konstellationen an Rechtestrukturen vorgenommen werden können oder sogar sollten, da diese Bibliothek bei Bedarf zum Einsatz kommt, und nicht die zentrale Bibliothek ist.
Der größte Vorteil kann insofern entstehen, als dass z.B. nicht nur Berechtigungen auf Dateiebene vergeben werden können, sondern ebenso die Möglichkeit besteht die Gruppe der Mitglieder zu entfernen. Bei der zentralen Dokumentbibliothek wäre das immer zu unterlassen, dass sonst die Arbeitsgrundlage für die vorgesehene Arbeit mit Teams und SharePoint nicht mehr vorliegen würde. Weiterführend könnte hier der Wunsch in Frage kommen und umgesetzt werden, über die Gruppe Besucher von Remi Office nur lesende Rechte zu vergeben oder die Mitglieder von Remi Office die Rechte „Lesen“ zuweisen.
Rechte der Mitglieder auf Lesen zu reduzieren erfolgt wie folgt:
Obere Menüleiste (Zahnrad) Einstellungen -> Websiteberechtigungen -> Websitemitglieder -> Lesen.
Hinweis: damit es in öffentlichen Gruppen funktioniert, muss unter Websitemitglieder der Eintrag: „Jeder, außer externen Benutzern“ entfernt werden, sonst haben die Mitglieder weiterhin die Rechte bearbeiten zu dürfen, danach jedoch nicht mehr.
Szenario 4:
Gleiche Vorgehensweise wie im Szenario 3, mit dem Unterschied, dass die Bibliothek, welche über eine neue Registerkarte hinzugefügt wird, nicht aus der gleichen SharePoint Websitesammlung stammt, sondern einer beliebigen anderen.
Hintergrund: Der ergibt sich folgender Vorteil: die Benutzung von Teams stellt eine zentrale Anwendung dar. Dennoch kann im Hintergrund die Bereitstellung einer Bibliothek für einen bestimmten Personenkreis vorgesehen sein und dieser taucht nicht in der SharePoint Struktur auf.
Die Bibliothek wird genauso als neue Registerkarte hinzugefügt, allerdings direkt über den Befehl „SharePoint Link verwenden“. Zuvor habe ich den Link kopiert, indem ich die Bibliothekeigenschaften aufgerufen habe und mir diesen herauskopiert habe.
Die Bibliothek heißt hier: Dokumente aus Website Aufgaben
Diese Bibliothek bekommt nun einen Namen „Bibliothek aus WS Aufgaben“ als neue Registerkarte, um sie deutlich zu unterscheiden.
Die nachfolgende Freigabe umfasst analog zu den beschriebenen Schritten in Szenario 2 und 3 nahezu identische Vorgehensweise, unterscheidet sich allerdings in einem Punkt wesentlich. Neben der Freigabe aller oder einzelner Dateien nach beliebigen Kriterien, wird hier noch zusätzlich die Freigabe auf Ordnerebene vorgenommen. Dieses Vorgehen erfordert jedoch die Beachtung von wichtigen Details, sonst scheitert das Konzept.
Ausgangspunkt ist eine neue Website (Datenschutz: privat) mit einer neuen Dokumentbibliothek und darin einem weiteren Ordner „Wichtig“.
Ziel: vollkommen individuelle Gestaltung der Berechtigungen auf Dateiebene sowie auf Ordnerebene.
Voraussetzungen für die Freigabe:
1. Die berechtigten User sind Mitglied auf Websiteebene. In diesem Fall ist es der Benjamin.
2. Die Bibliothek hat eigene Berechtigungen, d.h. die Berechtigungsvererbung ist unterbrochen.
Dokumentbibliothek -> Einstellungen -> Bibliothekeinstellungen
Im weiteren Schritt wird die Vererbung unterbrochen (Berechtigungsvererbung beenden), sonst sieht jeder alle Inhalte (Dateien und Ordner).
Das vorläufige Resultat muss noch durch die Zuweisung eindeutiger Berechtigungen bearbeitet werden.
Noch hat sich an den Berechtigungen nichts verändert, da die Rechtevererbung von der Website nun zwar entkoppelt worden ist, allerding gilt noch nach wie vor die Mitgliedschaft, d.h. der Benutzer Benjamin ist weiterhin Mitglied in der Gruppe „Aufgaben Members“. Daher hat sich von den Berechtigungen her noch nichts verändert.
3. Die Gruppe „Aufgaben Members“ wird markiert und entfernt, und somit auch die Rechte, mit dem Befehl „Benutzerberechtigungen entfernen“.
Die Folge ist nun: Mitglied „Benjamin“ besitzt erst jetzt keine Berechtigungen mehr für diese Dokumentbibliothek.
4. Im nächsten Schritt erhält der Benutzer die Berechtigung, um lesen zu können.
Nachdem der Benutzer nun die geringsten rechte erhalten hatte, kann er die in der Bibliothek befindlichen Inhalte lesen durch das Recht „Lesen“.
5. Jetzt werden wie in den anderen Szenerien ganz analog dazu die Rechte auf der Ebene Datei, bzw. Ordner erteilt. Momentan kann Benutzer Benjamin alle Inhalte lesen, es sei denn er besitzt keine Berechtigungen.
Hinweis: diese Vorgehensweise ist zwar recht aufwendig und nicht zwingend ratsam sie anzuwenden, hat jedoch den Vorteil, dass die Dateien, sofern erforderlich absolut bedarfsgerecht und gezielt bestimmten Personen zur Verfügung gestellt werden können.
Hier der Ablauf und die Sichtbarkeit der verfügbaren Objekte aus der Perspektive von Benutzer Benjamin.
Benjamin sieht gegenwärtig nur die Bibliothek, darin sind für ihn derzeit keine freigegebenen Dateien zu sehen.
Nun hat er explizit die Freigabe für eine Datei oder einen Ordner erhalten. In dem ersten Fall für den Ordner, d.h. er darf hinterher auf die Inhalte von Ordner „Wichtig“ zugreifen und zwar inkl. Bearbeitung dieser, da „Kann bearbeiten“ ausgewählt wurde.
Die Inhalte des Ordners „Wichtig“ sind nun für Benjamin sichtbar und bearbeitbar, da der Ordner die Rechtestruktur auf die in ihm befindlichen Inhalte vererbt. Bei Bedarf kann ihm die Berechtigung für die eine oder andere Datei wieder entzogen werden, z.B. für die Datei Finanzen.
Menü -> Details -> {Benutzer wählen} -> „Nicht mehr teilen“
Hinweis: wahlweise kann die Berechtigung ebenso lauten: „Kann anzeigen“, also in dem Fall nur lesend.
Benjamin sieht jetzt nur noch die Excel-Datei, Finanzen fehlt.
Vorsicht: wird die Berechtigung auf den Ordner entzogen, verliert der Benutzer auch die Rechte auf die im Ordner befindlichen Dateien, d.h. die Vererbung wird unterbunden. Die Rechte nur auf eine Datei im Ordner zu legen, ohne den Ordner mit Berechtigungen zu versehen funktioniert nicht.
Bitte merken: Reihenfolge „Ordner“ -> „Datei“ und nicht umgekehrt!
Abschließend kann natürlich ohne Inhalte auf Ordnerbasis jede Datei einzeln freigegeben werden, auf die gleiche hier beschriebene Weise.
Datei markieren -> Menü -> Details -> Direkter Zugriff -> „Kann bearbeiten“ oder „Kann anzeigen“.
Das Resultat ist dann die Freigabe einer einzelnen Datei losgelöst vom Ordner.
Das Auslagern der Bibliothek auf eine fremde Website hat demnach viele Vorteile. Separat berechtigte Ordner erlauben die Bündelung der Rechte. Jede einzelne Datei kann gesondert freigegeben werden, lesend oder inkl. Bearbeitung.
Mehr zu diesem Thema und zu den Themenbereichen SharePoint und MS Teams in einem der folgenden Kurse bei der ppedv AG:
https://ppedv.de/Schulung/Kurse/Office365MicrosoftTeamsO365ExchangeOnlineSharePointCloudMCSASeminareTraining.aspx
https://ppedv.de/Schulung/Kurse/TeamsPlannerMicrosoftOffice365GrundlagenEinstiegAdminO365SeminarTraining.aspx
Viel Spaß damit, und vielleicht bis bald im Kurs