Szenarien möglicher Berechtigungskonzepte in Office 365 - Berechtigungen auf Grundlage von SharePoint und Teams

SharePoint ist die Grundlage von Teams

Die in einer SharePoint Dokumentbibliothek gespeicherten Dateien werden in MS Teams über Kanäle referenziert. D.h. die Betrachtungsweise erfolgt auf Grundlage eines vorhanden Teams in MS Teams.

Die Ausgangslage ist die, dass Berechtigungen zunächst aufgrund der Mitgliedschaft in MS Teams bestehen. Alle Mitglieder erhalten durch die Mitgliedschaft in einer Office 365 Gruppe die automatisch zugrunde liegt „Bearbeiten“ Rechte.

image

Nun lautet die Fragestellung, wie können die Rechte individuell gestaltet werden?

In MS Teams kann dies gar nicht angepasst werden. Die erweiterte Berechtigungseinstellungen erfolgen direkt in SharePoint. Jeder Mitglied gelangt von Teams aus bequem zu SharePoint.

Aus dem jeweiligen Kanal über die Registerkarte „Dateien“ über den Befehl „In SharePoint öffnen“

image

Ab hier in (SharePoint) können jedoch die hier beschriebenen nachfolgenden Schritte und Szenarien von einem Besitzer ausgeführt und nachvollzogen werden, einem Mitglied sind diese verwehrt.

Die in der SharePoint Dokumentbibliothek aufgerufenen Dateien können abweichende Rechte aufweisen, als es zunächst vorgesehen ist – nämlich standardmäßig haben alle Mitglieder das Recht Dateien erstellen, bearbeiten und löschen.

Um die Berechtigungen anzupassen wird: Menü -> Details -> Zugriff verwalten aufgerufen.

image image

Im nachfolgenden Menü sind Einstellungen wie „Nicht mehr teilen“ oder Direkter Zugriff auf Basis für einzelne Benutzer oder auf Grundlage der Gruppenmitgliedschaft ebenfalls möglich.

image

Szenario 1:

Die Rechteverwaltung einer Datei „Test_pivot.xlsx“ wird „Nicht mehr teilen“ verwendet.

clip_image012

Auswirkungen: Die Datei wird keinem Mitglied mehr angezeigt werden können, ebenso nicht mehr bearbeitet und gelöscht, die Besitzer haben weiterhin darauf Zugriff. Dies geschieht sowohl in SharePoint als auch in Teams. Die Excel-Datei fehlt allen Mitgliedern in der Ansicht.

image

In SharePoint in der Dokumentbibliothek und in Teams ist diese Datei nicht mehr sichtbar.

image

In Teams in der Registerkarte „Dateien“ ist die Datei ebenso nicht mehr sichtbar

image

Fazit: Mittels dieser Vorgehensweise können Konzepte umgesetzt werden, wo die Prämisse lautet, dass nicht jedes Mitglied automatisch jede Datei sehen und bearbeiten dürfen soll.

Hinweis: Die Gefahr liegt jedoch vor, dass es einen hohen Aufwand bedeutet die Berechtigungen anzupassen, es ist eher nicht empfehlenswert, außer die Situation erfordert es, und die Besitzer sind diejenigen die das entsprechend pflegen und einrichten dürfen.

Szenario 2:

Die Berechtigungen sollen individuell auf Benutzerebene auf einzelne Dateien erfolgen.

Das kann wie folgt eingerichtet werden: Dateimenü -> Details -> Zugriff erteilen

image image

Fazit: Besitzer der Gruppe haben Zugriff und Mitglieder auch, zusätzlich zu der Freigabe an weitere Personen oder Gruppen. Der Zugriff kann somit sowohl von Besitzern als auch von Mitgliedern weiteren einzelnen Identitäten wie auch Gruppen, die nicht zur Office 365 Gruppe gehören, gewährt werden.

Hinweis: Vorteilhaft kann dies durchaus sein, aber es bedeutet dennoch ebenso einen Verwaltungsaufwand betreiben zu müssen. Ob diese Konstellation der Rechtevergabe viel Sinn macht bleibt stark zu hinterfragen.

Szenario 3:

Eine weitere (neue) Dokumentbibliothek wird erstellt, um den Zugriff auf Dateien einem bestimmten Personenkreis zu erlauben und diese gleichzeitig fürs Team in Teams per Registerkarte hinzuzufügen.

clip_image024

In die neue Bibliothek wurde ein Dokument hinzugefügt, nun wird die Bibliothek als neue Registerkarte in Teams einem Kanal hinzugefügt.

clip_image026

clip_image028

clip_image030

Gefolgt von weiteren Einstellungen:

clip_image032

Die Rechtevergabe und Steuerung der Zugriffe gestaltet sich auf die exakt gleiche Art und Weise wie im Szenario 1 und Szenario 2 beschrieben. Der tatsächliche Vorteil hierbei ist, dass es eine gesonderte Bibliothek ist, d.h. nicht die Standardbibliothek die für die Speicherung sämtlicher Dateien in SharePoint zuständig ist und somit hier verschiedenste Konstellationen an Rechtestrukturen vorgenommen werden können oder sogar sollten, da diese Bibliothek bei Bedarf zum Einsatz kommt, und nicht die zentrale Bibliothek ist.

Der größte Vorteil kann insofern entstehen, als dass z.B. nicht nur Berechtigungen auf Dateiebene vergeben werden können, sondern ebenso die Möglichkeit besteht die Gruppe der Mitglieder zu entfernen. Bei der zentralen Dokumentbibliothek wäre das immer zu unterlassen, dass sonst die Arbeitsgrundlage für die vorgesehene Arbeit mit Teams und SharePoint nicht mehr vorliegen würde. Weiterführend könnte hier der Wunsch in Frage kommen und umgesetzt werden, über die Gruppe Besucher von Remi Office nur lesende Rechte zu vergeben oder die Mitglieder von Remi Office die Rechte „Lesen“ zuweisen.

image

Rechte der Mitglieder auf Lesen zu reduzieren erfolgt wie folgt:

Obere Menüleiste (Zahnrad) Einstellungen -> Websiteberechtigungen -> Websitemitglieder -> Lesen.

image image

Hinweis: damit es in öffentlichen Gruppen funktioniert, muss unter Websitemitglieder der Eintrag: „Jeder, außer externen Benutzern“ entfernt werden, sonst haben die Mitglieder weiterhin die Rechte bearbeiten zu dürfen, danach jedoch nicht mehr.

image

Szenario 4:

Gleiche Vorgehensweise wie im Szenario 3, mit dem Unterschied, dass die Bibliothek, welche über eine neue Registerkarte hinzugefügt wird, nicht aus der gleichen SharePoint Websitesammlung stammt, sondern einer beliebigen anderen.

Hintergrund: Der ergibt sich folgender Vorteil: die Benutzung von Teams stellt eine zentrale Anwendung dar. Dennoch kann im Hintergrund die Bereitstellung einer Bibliothek für einen bestimmten Personenkreis vorgesehen sein und dieser taucht nicht in der SharePoint Struktur auf.

Die Bibliothek wird genauso als neue Registerkarte hinzugefügt, allerdings direkt über den Befehl „SharePoint Link verwenden“. Zuvor habe ich den Link kopiert, indem ich die Bibliothekeigenschaften aufgerufen habe und mir diesen herauskopiert habe.

clip_image042

Die Bibliothek heißt hier: Dokumente aus Website Aufgaben

clip_image044

Diese Bibliothek bekommt nun einen Namen „Bibliothek aus WS Aufgaben“ als neue Registerkarte, um sie deutlich zu unterscheiden.

clip_image046

Die nachfolgende Freigabe umfasst analog zu den beschriebenen Schritten in Szenario 2 und 3 nahezu identische Vorgehensweise, unterscheidet sich allerdings in einem Punkt wesentlich. Neben der Freigabe aller oder einzelner Dateien nach beliebigen Kriterien, wird hier noch zusätzlich die Freigabe auf Ordnerebene vorgenommen. Dieses Vorgehen erfordert jedoch die Beachtung von wichtigen Details, sonst scheitert das Konzept.

Ausgangspunkt ist eine neue Website (Datenschutz: privat) mit einer neuen Dokumentbibliothek und darin einem weiteren Ordner „Wichtig“.

Ziel: vollkommen individuelle Gestaltung der Berechtigungen auf Dateiebene sowie auf Ordnerebene.

Voraussetzungen für die Freigabe:

1. Die berechtigten User sind Mitglied auf Websiteebene. In diesem Fall ist es der Benjamin.

clip_image048 clip_image050

2. Die Bibliothek hat eigene Berechtigungen, d.h. die Berechtigungsvererbung ist unterbrochen.

Dokumentbibliothek -> Einstellungen -> Bibliothekeinstellungen

image

image

Im weiteren Schritt wird die Vererbung unterbrochen (Berechtigungsvererbung beenden), sonst sieht jeder alle Inhalte (Dateien und Ordner).

image

Das vorläufige Resultat muss noch durch die Zuweisung eindeutiger Berechtigungen bearbeitet werden.

image

Noch hat sich an den Berechtigungen nichts verändert, da die Rechtevererbung von der Website nun zwar entkoppelt worden ist, allerding gilt noch nach wie vor die Mitgliedschaft, d.h. der Benutzer Benjamin ist weiterhin Mitglied in der Gruppe „Aufgaben Members“. Daher hat sich von den Berechtigungen her noch nichts verändert.

3. Die Gruppe „Aufgaben Members“ wird markiert und entfernt, und somit auch die Rechte, mit dem Befehl „Benutzerberechtigungen entfernen“.

image

Die Folge ist nun: Mitglied „Benjamin“ besitzt erst jetzt keine Berechtigungen mehr für diese Dokumentbibliothek.

image

4. Im nächsten Schritt erhält der Benutzer die Berechtigung, um lesen zu können.

image

Nachdem der Benutzer nun die geringsten rechte erhalten hatte, kann er die in der Bibliothek befindlichen Inhalte lesen durch das Recht „Lesen“.

5. Jetzt werden wie in den anderen Szenerien ganz analog dazu die Rechte auf der Ebene Datei, bzw. Ordner erteilt. Momentan kann Benutzer Benjamin alle Inhalte lesen, es sei denn er besitzt keine Berechtigungen.

Hinweis: diese Vorgehensweise ist zwar recht aufwendig und nicht zwingend ratsam sie anzuwenden, hat jedoch den Vorteil, dass die Dateien, sofern erforderlich absolut bedarfsgerecht und gezielt bestimmten Personen zur Verfügung gestellt werden können.

Hier der Ablauf und die Sichtbarkeit der verfügbaren Objekte aus der Perspektive von Benutzer Benjamin.

image

Benjamin sieht gegenwärtig nur die Bibliothek, darin sind für ihn derzeit keine freigegebenen Dateien zu sehen.

Nun hat er explizit die Freigabe für eine Datei oder einen Ordner erhalten. In dem ersten Fall für den Ordner, d.h. er darf hinterher auf die Inhalte von Ordner „Wichtig“ zugreifen und zwar inkl. Bearbeitung dieser, da „Kann bearbeiten“ ausgewählt wurde.

image image

Die Inhalte des Ordners „Wichtig“ sind nun für Benjamin sichtbar und bearbeitbar, da der Ordner die Rechtestruktur auf die in ihm befindlichen Inhalte vererbt. Bei Bedarf kann ihm die Berechtigung für die eine oder andere Datei wieder entzogen werden, z.B. für die Datei Finanzen.

Menü -> Details -> {Benutzer wählen} -> „Nicht mehr teilen“

image image

Hinweis: wahlweise kann die Berechtigung ebenso lauten: „Kann anzeigen“, also in dem Fall nur lesend.

image

Benjamin sieht jetzt nur noch die Excel-Datei, Finanzen fehlt.

Vorsicht: wird die Berechtigung auf den Ordner entzogen, verliert der Benutzer auch die Rechte auf die im Ordner befindlichen Dateien, d.h. die Vererbung wird unterbunden. Die Rechte nur auf eine Datei im Ordner zu legen, ohne den Ordner mit Berechtigungen zu versehen funktioniert nicht.

Bitte merken: Reihenfolge „Ordner“ -> „Datei“ und nicht umgekehrt!

Abschließend kann natürlich ohne Inhalte auf Ordnerbasis jede Datei einzeln freigegeben werden, auf die gleiche hier beschriebene Weise.

Datei markieren -> Menü -> Details -> Direkter Zugriff -> „Kann bearbeiten“ oder „Kann anzeigen“.

image

Das Resultat ist dann die Freigabe einer einzelnen Datei losgelöst vom Ordner.

image

Das Auslagern der Bibliothek auf eine fremde Website hat demnach viele Vorteile. Separat berechtigte Ordner erlauben die Bündelung der Rechte. Jede einzelne Datei kann gesondert freigegeben werden, lesend oder inkl. Bearbeitung.

Mehr zu diesem Thema und zu den Themenbereichen SharePoint und MS Teams in einem der folgenden Kurse bei der ppedv AG:

https://ppedv.de/Schulung/Kurse/Office365MicrosoftTeamsO365ExchangeOnlineSharePointCloudMCSASeminareTraining.aspx

https://ppedv.de/Schulung/Kurse/TeamsPlannerMicrosoftOffice365GrundlagenEinstiegAdminO365SeminarTraining.aspx

Viel Spaß damit, und vielleicht bis bald im Kurs

Kommentare sind geschlossen