Einleitung
Teilen in Microsoft 365 ist eine wichtige Angelegenheit. Microsoft hat mit Microsoft 365 ein Ökosystem für quasi grenzenlose Zusammenarbeit mit externen Teilnehmern erschaffen. Aber was genau ist nun der Unterschied zwischen Gästen und Externen? Wann nutze ich ein Team, wann OneDrive, wann SharePoint? Antworten auf diese Fragen gibt dieser Artikel.
Endanwender möchten sich nicht mit komplizierten Entscheidungsmatrizen, -prozessen oder Gedankenspielen auseinandersetzen. Sie möchten eine einfache Möglichkeit, ihre Dateien oder Informationen mit dem „Gegenüber“ – egal ob intern oder extern – zu teilen. Dieser Wunsch ist natürlich absolut nachvollziehbar. Allerdings steht diesem sehr oft ein Wunsch des Unternehmens entgegen:
Die Daten und Informationen des Unternehmens müssen gegen unbefugten Zugriff geschützt werden.
Dieser Wunsch ist natürlich absolut nachvollziehbar. Kein Unternehmen möchte riskieren, dass seine schützenswerten Daten in fremde Hände fallen. Damit Sie für Ihr Unternehmen die passenden Möglichkeiten und Wege zum Teilen definieren können, erklären wir Ihnen mit diesem Artikel die wichtigsten Grundlagen.
Externe oder Gäste?
Diese Herausforderung hat quasi jeder Anwender früher oder später zu meistern, wenn eine Unterhaltung mit einer Person gestartet werden soll, die keinen internen Account im eigenen Microsoft 365 Tenant hat. In der Teams Suche beginnt man den Namen einzutippen und erhält eventuell ein Ergebnis wie dieses oder sehr ähnliches:
Hinter beiden Benutzern versteckt sich die selbe Person, aber technisch ein anderer Account. Auch wenn die Chance, den richtigen oder falschen zu erwischen statistisch gesehen bei 50:50 liegt, so hat Murphys Law gezeigt, dass man fast immer den falschen erwischt. Also: Welcher ist denn der richtige? Um dies zu beantworten muss der Unterschied zwischen Gast und Extern klar sein:
Extern – dieser Account liegt außerhalb des eigenen Tenants. Wird an diesen Account eine Information gesendet, dann verlässt diese Information die eigene Umgebung und wird nicht mehr von den Sicherheitsmechanismen der eigenen IT geschützt.
Gast – dieser Account kommt ursprünglich zwar aus einem fremden Tenants, wurde aber in den eigenen Tenant eingeladen. Der Quellaccount liegt zwar immer noch außerhalb der eigenen Infrastruktur, aber der Gast wird (zumindest teilweise) in der eigenen Umgebung verwaltet. Wird an diesen Account eine Information gesendet, dann verlässt diese Information die eigene Umgebung NICHT und fällt somit unter die Sicherheitsmechanismen der eigenen IT.
Ein Gastbenutzer ist im Azure AD sehr leicht zu identifizieren, er wird als solcher administrativ angezeigt:
Anonyme Benutzer
Neben Gästen und Externen gibt es manchmal noch den Benutzertyp Anonym. Dieser Benutzertyp ist ein Externer, der ohne Authentifizierung auf freigegebene Informationen und Dateien zugreifen darf. Diese Art des Teilens kann durchaus Sinn machen (zum Beispiel um eine Produktbroschüre oder Flyer zu veröffentlichen), ist aber für die meisten Arbeitsdokumente und -informationen absolut ungeeignet. Anonyme Benutzer sollten im Standard immer komplett deaktiviert werden. Dies geht im SharePoint Admin Center:
Teilen via Teams
Wie der Name schon sagt sind Teams für jede Art von Arbeitsgruppen, Projektgruppen und ähnliches gedacht. Diese können sowohl mit internen als auch externen Mitarbeitern gefüllt werden. Zur besseren Aufteilung der Informationen können Teams mit Kanälen organisiert werden. Auch die Kanäle können durch ihre unterschiedlichen Typen Zugriffsschutz bieten. So werden alle für das Team frei zugänglichen in öffentlichen Kanälen abgelegt, alle sensiblen Daten in privaten Kanälen und andere in geteilten Kanälen.
Für die Arbeit in einer Gruppe eignen sich Teams hervorragend. Aber für den einmaligen Austausch sind sie nicht geeignet. Dies würde in einem Tenant für exorbitanten Wuchs und verwaiste Teams sorgen. Also ist hier OneDrive oder SharePoint die bessere Wahl.
Teilen via OneDrive for Business
OneDrive for Business ist der persönliche Cloudspeicher eines Anwenders und für gewöhnlich 1 TB groß. Das ist eine Menge Platz für allerhand Daten, die auch mit externen Kontakten geteilt werden könnten.
Allerdings ist die Gefahr zuviel zu teilen sehr hoch. Im Alltagsstreß ist es sehr schnell passiert, dass man statt 1 Datei einen ganzen Ordner für andere freigibt. Somit hat man potentiell Unbefugten Zugriff auf Daten gestattet, die diese niemals hätten sehen dürfen. Auch ist das Risiko sehr hoch, dass ein Ordner in der Vergangenheit einmal geteilt wurde, die genauen Einstellungen aber in Vergessenheit geraten sind, und nun fälschlicherweise Daten in diesem Ordner abgelegt werden. Auch so erhält der Externe Zugriff auf Informationen und Dateien, die nie für ihn bestimmt waren.
Das Teilen mit Anonym ist in den eben gezeigten Szenarien noch gefährlicher, sollte also nicht in Betracht gezogen werden.
Da OneDrive for Business für die persönliche Arbeit gedacht ist, sollte davon Abstand genommen werden, teamrelevante Informationen und Dokumente hier abzulegen und zu teilen. OneDrive for Business sollte lediglich intern verwendet werden. Dies bedeutet für die Einstellungen zum Teilen:
Es gibt noch weitere Einstellungen zum Teilen im SharePoint Admin Center, die nach Belieben konfiguriert werden können, beispielsweise das Eingrenzen von Teilen auf bestimmte Empfängerdomains. Dies erfordert wiederum einen internen Freigabeworkflow, welcher potentiell dringende Anfragen unnötig in die Länge zieht. Auch der administrative Aufwand steigt.
Wenn Teams und OneDrive keine Option zum Teilen darstellen, bleibt noch SharePoint Online. SharePoint ist für Gruppen- und Projektarbeit konzipiert. Aber auch hier sind die gleichen Gefahren verborgen wie bei OneDrive for Business:
- unbeabsichtigt zuviel auf einmal freigeben
- unbeabsichtigt teilen durch bereits bestehende Freigaben
Soll eine bestehende Bibliothek oder ein bestehender Ordner für einen Externen freigegeben werden, dann befindet man sich in dem Szenario, das früher Extranet genannt wurde. Dieses Szenario ist durchaus umsetzbar, allerdings sind hier klar definierte und etablierte Governance Prozesse ein absolutes Muss. Ansonsten ist auch hier die Gefahr des unbeabsichtigten zuviel Teilens allgegenwärtig.
Um zeitlich begrenzte und/oder kontrollierbare Austauschplattformen zu schaffen, die durch automatische Löschung dem Problemfall „zuviel geteilt“ vorbeugen, kann auf Dritthersteller ausgewichen werden. Dies birgt allerdings das Risiko, dass Sie Ihre Daten an einen anderen Dritten weitergeben und damit die zusätzliche Gefahr einhergeht, dass hier Datenabfluss stattfindet. Um dieses Risiko zu eliminieren, kann eine solche Austauschplattform mit myMagicShare aufgebaut werden. So wird sichergestellt, dass die Daten immer nur in einem definierten Zeitraum für einen definierten Personenkreis abrufbar sind.
Informationsschutz mit Information Protection
Jedes Dokument kann über Azure Information Protection geschützt werden. AIP verhindert, dass Unbefugte ein Dokument öffnen können. AIP erfordert allerdings ein groß angelegtes Implementierungsprojekt und viel Schulung. Prinzipiell kann AIP jedem Unternehmen empfohlen werden, allerdings nur, wenn es richtig eingeführt wird. AIP geschützte Dokumente lassen sich über myMagicShare problemlos teilen.
