Sicherere Teilen-Links in SharePoint: So ändern Sie die Standard-Linktyp auf 'Personen mit Zugriff'
Das Teilen von Dateien mit anderen Benutzern funktioniert in SharePoint sehr einfach. Doch die dabei erzeugen Freigabe-Links bringen als Nebeneffekt externe Zugriffsberechtigungen – und damit potenzielle Sicherheitsrisiken. Ideal wäre die Voreinstellung „Personen mit bestehendem Zugriff“ für sichere Teilen-Links in SharePoint – aber diese muss das explizit über die Einstellungen aktiviert werden.
Zielkonflikt beim Teilen: User-Komfort vs. Sicherheitsrisiken
Nicht erst seit der „Datenschnüffelei“ durch Copilot steht die Teilen-Funktion von SharePoint unter Beobachtung. Für Verantwortliche und Admins gehört die Überprüfung der SharePoint-Freigabeeinstellungen immer schon zur Pflicht. Zu finden sind sie im SharePoint-Admin-Center unter Richtlinien, Teilen. Je nach Bedarf und Richtlinien in der Organisation kann man hier das Teilen von Inhalten stufenweise regeln, von völlig freigeben bis komplett blockieren.
Normale Teilen-Links unterbrechen Berechtigungsvererbung
Microsoft hat mit seinen Vorgaben einen halbwegs sicheren Mittelweg gewählt, wobei das Ziel erkennbar ein so einfach wie mögliches Teilen war. Problematisch daran ist, dass für das Teilen der Link-Typ Jeder mit dem Link (siehe Bild unten) vorgegeben wird, welcher eine potenzielle Sicherheitslücke darstellt.
Diese Voreinstellung hat nämlich zur Folge, dass die Berechtigungsvererbung für das geteilte Objekt unterbrochen wird, ob Dokument oder Ordner. Konkret heißt das, dass zu den normalen – stringent geregelten – Gruppenberechtigungen noch individuelle Berechtigungen dazukommen (Bild rechts, aufgelistet unter dem Abschnitt Links), auch für externe Personen. Das betrifft übrigens auch die beiden anderen wählbaren Linktypen Nur bestimmte Personen in Ihrer Organisation und Bestimmte Personen.
Sichere Linkoption in Teilen-Einstellungen nicht verfügbar
Die Lösung wäre einfach, indem man den vierten möglichen Link-Typ Personen mit bestehendem Zugriff (Only people with existing access) für den gesamten Microsoft 365-Tenant verwenden würde. Allerdings fehlt genau dieser Menüpunkt in der Teilen-Konfiguration des Admin Centers, wie das obige Bild zeigt.
Stattdessen findet man ihn an ganz anderer Stelle, etwas versteckt im Admin Center unter den Aktiven Websites. Eine weitere Einschränkung ist, dass dieser Link-Typ nicht global für den Tenant festgelegt werden kann, sondern immer individuell für jede Site – siehe Lösungsbeschreibung unten.
‚Personen mit bestehendem Zugriff‘ ist wie klassischer Link
Hier zunächst einmal die Erklärung, warum der Link-Typ Personen mit bestehendem Zugriff sicherer ist. Es handelt sich dabei um einen einfachen Link auf Dateien oder Ordner, der keinen zusätzlichen Berechtigungsmechanismus nach sich zieht. Solche einfachen Links können in der Regel von alle Benutzern im Intranet beziehungsweise im Tenant verwendet werden, da ohnehin alle über den Basiszugriff auf interne Ressourcen verfügen.
Es existiert nämlich meist fast überall im Intranet die standardmäßige Gruppenberechtigung Jeder, ausser externe Benutzer (Everyone except external users (EEEU)), die Leserechte an alle in der Organisation einräumt. Und somit direkte Links ohne Extra-Berechtigung ermöglicht.
[Nachtrag: Seit April funktioniert dieser Linktyp nicht mehr in OneDrive, weil Microsoft hier die EEEU-Berechtigung entfernt hat. ]Einen offensichtlichen Nachteil dieses rein internen Link-Typs gibt es allerdings auch: Wird er als Standard vorgegeben, dürften viele weniger versierte Benutzer beim Teilen mit Externen Schwierigkeiten bekommen. Hier muss dann nämlich im Teilen-Dialog der Typ Von Ihnen ausgewählte Personen extra angeklickt werden. Vermutlich deshalb hält Microsoft weiter an der alten Vorgabe fest.
Anleitung für Link-Typ ‚Personen mit bestehendem Zugriff‘
Wie lässt sich nun der Link-Typ Personen mit bestehendem Zugriff als Standard-Link-Typ aktivieren?
1. Öffnen Sie im SharePoint Admin Center den Abschnitt Aktive Websites(1). Klicken Sie hier auf die gewünschte Site (2), um rechts die Site-Einstellungen zu öffnen.
2. Hier klicken Sie im rechten Reiter Einstellungen (Settings, 3), und unterhalb von Externes Teilen auf den Link Weitere Freigabeeinstellungen (4).
3. Im nächsten Dialog gehen zum Abschnitt Standardtyp für Freigabelink.
4. Deaktivieren Sie zunächst „Identisch mit der Einstellung…“ und klicken Sie dann Personen mit bestehendem Zugriff an und bestätigen Sie mit Speichern.
Damit erscheint nun in allen Teilen-Dialogen automatisch als Voreinstellung Personen mit bestehenden Zugriff. Wie bereits erwähnt beschränkt sich diese Einstellung jedoch nur auf die jeweilige Website und muss für jede andere Site individuell umgesetzt werden.
Vergleich: Das ändert sich nach der Änderung des Link-Typs
Hier nun der Vergleich, wie sich die Änderung des Link-Typs auf den Teilen-Dialog in Dokumentbibliotheken und in OneDrive-Ordnern ändert:
Vorher – unvorteilhafte Standard-Links:
Die Voreinstellung im SharePoint Admin Center unter Aktive Websites ist Jeder mit dem Link. Falls Sie keine E-Mail-Adresse eingeben, fällt die Auswahl rechts im Teilen-Menü auf die Option Personen <in Ihrer Organisation>.
Daraus resultiert dann wie oben beschrieben der individuelle Link, der die Berechtigungsvererbung unterbricht.
Geben Sie hingegen die Adresse einer externen Person ein, dann wird in den Linkeinstellungen der Link-Typ Von Ihnen ausgewählte Person aktiviert und ebenfalls ein entsprechender Berechtigungslink erzeugt. In diesem Fall für einen externen Benutzer.
Nachher – die Lösung ‚Personen mit Zugriff‘:
Wenn die Freigabelinks der Site auf Personen mit bestehendem Zugriff abändern, passen sich die Linkeinstellungen in den Bibliotheken und Ordner entsprechend an. Rechts in den Linkeinstellungen ist das in Form der mittleren Auswahl Nur Personen mit vorhandenem Zugriff erkennbar.
Der entscheidende Unterschied spielt sich im Hintergrund ab: Nur so entsteht ein normaler, „nicht-manipulativer“ Link, der keine Änderungen in den Berechtigungen hinterlässt.
TIPP: Wie die vier verschiedenen Linkoptionen im Detail funktionieren, und für welche Zwecke Sie welchen verwenden, erfahren Sie im Beitrag 4 Teilen-Optionen in SharePoint und Teams: Von praktischen bis wirklich sicheren Linkvarianten
So kontrollieren Sie, ob es bestehende (unerwünschte Freigaben) gibt:
Ob zu einem Dokument oder Ordner bereits individuelle Freigaben existieren, lässt sich direkt aus der Arbeitsumgebung über das Kontextmenüpunkt Zugriff verwalten (links) überprüfen. (Effizienter lassen sich Freigaben natürlich über das Admin Center verwalten.)
Im entsprechenden Menü (rechts) sind im Abschnitt Links alle bisher für das Objekt angelegten Freigaben aufgelistet. In unserem Fall sind es 2, wovon ein Link nur die Darstellung der Datei ermöglicht, der andere auch die Bearbeitung durch einen externen Nutzer.
Über das Mülltonnensymbol können solche Links jederzeit entfernt werden.
- Über den Autor
- Letzte Beiträge
Wolfgang Miedl ist der Gründer und Publisher des Community-Portals SharePoint360.de. Die Themenfelder Microsoft Office, Collaboration und Digital Workplace zählen seit über 25 Jahren zu seinen Arbeitsschwerpunkten als Berater, Autor und Analyst. Er ist Mitherausgeber einiger SharePoint- und Microsoft 365-Marktstudien.
Hallo,
ich habe versucht diese Einstellung auch für OneDrive for Business vorzunehmen.
Da OneDrive nicht unter ‚Aktive Websites‘ angeführt wird, habe ich es mit dem SPO PowerShell Command
Set-SPOTenant -CoreDefaultLinkToExistingAccess $true
versucht, hat aber nur für SharePoint, jedoch nicht für OneDrive funktioniert.
Irgendwelche Ideen wie es auch für OneDrive funktionieren könnte?
Erst jetzt gefunden: Es gibt einen technischen Grund, weshalb das in OneDrive nicht mehr funktioniert: Microsoft hat im April die Intranet-Standardberechtigung EEEU (Everyone Except External Users) aus OneDrive entfernt. Als Grund wird „Oversharing“ genannt. https://learn.microsoft.com/en-us/answers/questions/5446629/eeeu-permission-to-be-removed-by-ms Somit sind hier Freigaben mit „nacktem Link“ nicht mehr möglich.