Microsoft SharePoint: Best Practices für Admins und Organisationen

SharePoint ist eine Plattform für gemeinsames Arbeiten in Unternehmen, die on-premise oder als Teil der Microsoft 365 Infrastruktur betrieben werden kann. SharePoint unterstützt das Teilen von Inhalten, die Organisation von Projekten und den Aufbau von Wikis und Intranets. Zudem dient die Plattform als Dokumenten-Ablage für Microsoft Teams und ist eng mit dem persönlichen Cloud-Speicher OneDrive verbunden.

Die Struktur von SharePoint lässt sich flexibel an die Bedürfnisse einer Organisation anpassen, um eine Vielzahl möglicher Anwendungsfälle abzudecken. Um SharePoint erfolgreich zu nutzen, ist es dabei entscheidend, den grundlegenden Aufbau sowie die verschiedenen Bauteile der Plattform zu verstehen.

SharePoint ist unterteilt in:

SharePoint wurde ursprünglich als on-premise Anwendung entwickelt, ist seit 2011 und dem Start von Office 365 jedoch auch Teil der Microsoft Cloud. Unternehmen können also zwischen zwei Varianten wählen: SharePoint Server oder SharePoint Online.

Der wesentliche Unterschied zwischen SharePoint Server und SharePoint Online liegt in der Tatsache, dass Organisationen für SharePoint Server eine eigene Infrastruktur betreiben müssen. Das gibt Unternehmen zwar etwas mehr Kontrolle, bringt aber auch zusätzlichen Aufwand durch das Aufsetzen der Server, Updates und Wartung mit sich. SharePoint Online ist inzwischen deutlich beliebter, auch da in dem Cloud-Dienst neue Features oft früher verfügbar sind.

SharePoint ist nicht nur eine eigene App in der Microsoft Cloud, sondern wird auch von vielen anderen Diensten verwendet. Zum Beispiel werden Teams und Kanäle in Microsoft Teams im Hintergrund als SharePoint Websites bzw. Unterwebsites realisiert. Das Hochladen und Teilen von Daten innerhalb eines Channels funktioniert also über SharePoint, während Dateien aus einzelnen Chats in OneDrive abgelegt werden.

SharePoint unterscheidet im Wesentlichen zwischen drei Arten von Benutzern:

Darüber hinaus existiert in Microsoft 365 die Rolle der SharePoint-Administratoren, die sämtliche SharePoint-Sites sowie allgemeine Einstellungen verwalten können. Um Zugriffsrechte granularer zu verwalten, erlaubt SharePoint das Zuweisen anderer Berechtigungsstufen, die bei Bedarf im Detail angepasst werden können (Ausnahme: Vollzugriff und Beschränkter Zugriff).

Die normalen SharePoint-Berechtigungsstufen sind:

Berechtigungsstufe	Details
Nur anzeigen	Erlaubt das Anzeigen von Seiten und Elementen. Dokumente, die im Browser dargestellt werden können, können nicht heruntergeladen werden.
Eingeschränkter Lesezugriff (nur Kommunikationswebsites)	Ermöglicht das Anzeigen von Seiten und Dokumenten, aber ohne Zugriff auf Versionshistorie oder Informationen zu Benutzerberechtigungen.
Hierarchie verwalten (nur Kommunikationswebsites)	Benutzer können Websites erstellen und Seiten, Listenelemente und Dokumente bearbeiten.
Genehmigen (nur Kommunikationswebsites)	Benutzer können Seiten, Listenelemente und Dokumente genehmigen.
Eingeschränkter Zugriff	Ermöglicht Benutzern das Navigieren zum Speicherort eines Objekts. Wird automatisch zugewiesen, wenn Admins einem User Zugang zu einem bestimmten Element gewähren.
Eingeschränkter Zugriff (nur Web)	Wie Eingeschränkter Zugriff, aber erlaubt nur Zugriff auf das Webobjekt.
Lesen	Erlaubt das Anzeigen von Seiten und Inhalten, einschließlich des Herunterladens von Dokumenten. Standard für Websitebesucher.
Mitwirken	Benutzer können Dokumente und Listenelemente anzeigen, hinzufügen, aktualisieren und löschen.
Bearbeiten	Benutzer können Dokumente, Listen und Listenelemente anzeigen, hinzufügen, bearbeiten und löschen. Standard für Websitemitglieder.
Entwerfen	Erlaubt das Erstellen von Listen und Dokumentbibliotheken sowie Anwenden von Designs, Rahmen und Stylesheets.
Vollzugriff	Erlaubt das Anzeigen, Hinzufügen, Bearbeiten und Löschen von Inhalten, Hinzufügen und Löschen von Benutzern und Gruppen sowie Bearbeiten der Website-Einstellungen. Standard für Websitebesitzer.

Eine der größten Herausforderungen bei der Verwaltung von SharePoint-Berechtigungen liegt in der Tatsache, dass jede abweichende Berechtigung auf einem Unterobjekt automatisch zu einer Unterbrechung der Vererbung führt. Rechte, die sich aus darüberliegenden Objekten ableiten, werden dabei in explizite Berechtigungen übertragen. Die zuvor vererbten Berechtigungen bleiben also gültig, aber bei Veränderungen auf darüberliegenden Ebenen erbt das Objekt keine neuen Berechtigungen mehr.

Ein Beispiel: Die Personalabteilung einer Organisation hat eine Teamwebsite, auf der alle Mitglieder der HR-Gruppe berechtigt sind. Für ein Firmenevent wird nun ein Projekt-Ordner angelegt, zu dem Admins weitere Personen hinzufügen – die Vererbung ist für dieses Objekt also unterbrochen. Alle aktuellen Mitglieder der HR-Gruppe behalten ihren Zugriff. Aber wenn ein Admin später einen anderen Benutzer auf einem darüberliegenden Objekt berechtigt, erhält dieser keinen Zugriff auf den Ordner.

Admins stellt die Berechtigungsvererbung in SharePoint vor zwei Probleme: Erstens ist die unterbrochene Vererbung leicht zu übersehen. Zweitens verhalten sich SharePoint-Rechte dadurch im Vergleich zu NTFS-Berechtigungen und Freigabeberechtigungen anders als gewohnt. Während es etwa auf dem Fileserver problemlos möglich ist, eine zusätzliche Gruppe auf einem Unterordner zu berechtigen und die übrigen Rechte weiterhin über Vererbung zu steuern, müssen Admins bei SharePoint-Objekten mit abweichendem Zugriff genau aufpassen, um Fehler und problematische Strukturen zu vermeiden.

Wer SharePoint optimal nutzen möchte, muss einige entscheidende Punkte beachten – von der richtigen Struktur über Sicherheitseinstellungen bis hin zur Verwendung im Alltag. Mit unseren Best Practices können Admins für die sichere, effiziente und reibungslose Nutzung von SharePoint sorgen!

Während in der Frühzeit von SharePoint hierarchische Strukturen noch üblich waren, ist mittlerweile eine flache Architektur Standard für moderne SharePoint-Umgebungen. Mit anderen Worten: Admins legen pro Aufgabenbereich eine eigene, getrennte Site an, statt Unterwebsites zu bestehenden Sites hinzuzufügen.

Eine flache SharePoint-Struktur hat mehrere Vorteile: Einerseits können Administratoren so das Problem der unterbrochenen Vererbung auf Unterobjekten umgehen. Darüber hinaus ist es bei getrennten Sites einfacher, nicht mehr benötigte Websites zu löschen, ohne auf darunterliegende Ebenen achten zu müssen. Bei mehreren Unterebenen kann in SharePoint zudem die Zeichenbegrenzung beim Dateipfad zu Problemen bei Dateinamen führen.

Um trotz der flachen Architektur Ordnung in das eigene SharePoint zu bringen, empfiehlt es sich, Sites zu Hubs zu gruppieren (z.B. ein Hub pro Abteilung). Über eine Hubwebsite können Organisationen eine gemeinsame Navigation und Inhaltssuche für mehrere Sites nutzen. Sites, die einem Hub zugeordnet sind, bleiben dennoch eigenständige Objekte und erben keine Berechtigungen von dem Hub.

Ob es Benutzern erlaubt sein sollte, neue Websites anzulegen, hängt davon ab, wie Organisationen SharePoint nutzen. Damit beim Anlegen neuer Sites die flache Struktur von SharePoint erhalten bleibt, ist es aber in jedem Fall sinnvoll, das Erstellen von Unterwebsites zu blockieren. Die entsprechende Einstellung findet sich im SharePoint Admin Center unter dem Punkt Websiteerstellung auf der klassischen Einstellungsseite. Näheres zur Websiteerstellung.

Zur besseren Übersicht erlaubt es SharePoint, Elemente in Listen und Bibliotheken mit Metadaten zu versehen. Dazu können Websitebesitzer entweder bestimmte Datentypen vorgeben oder Benutzern erlauben, über Enterprise Keywords eigene Tags anzulegen. Verwendete Metadaten werden im Terminologiespeicher von SharePoint verwaltet.

Die effektive Nutzung von Metadaten in SharePoint erfordert etwas Einarbeitung, mit der nötigen Vorbereitung erleichtern Tags und Schlüsselwörter die Suche nach Informationen für User jedoch deutlich. Näheres zur Verwendung von Metadaten.

Das Einhalten klarer Regeln für die Benennung von Sites, Seiten und Dokumenten verbessert die Übersicht und erleichtert die Verwaltung – insbesondere in größeren Organisationen mit mehreren Admins. Um sicherzustellen, dass dabei alle Beteiligten an einem Strang ziehen, ist es wichtig Benutzer und Websitebesitzer innerhalb der Fachabteilungen zu sensibilisieren und Konventionen klar und offen zugänglich zu kommunizieren.

Wie in allen Bereichen der IT muss der Zugang zu sensiblen Daten auch in SharePoint auf nur die Personen beschränkt werden, die diese zwingend benötigen. Berechtigungen nach dem Least Privilege Prinzip zu vergeben beugt Cyberangriffen, Datenlecks und Datendiebstahl vor.

Zur Umsetzung von Least Privilege Zugriff müssen Administratoren sicherstellen, dass Konten den richtigen Sites zugewiesen werden, die Berechtigungen auf Bibliotheken, Ordnern und Listen korrekt konfiguriert sind und interne wie externe Zugänge durch eine regelmäßige Rezertifizierung kontrolliert werden.

Microsoft 365 bietet eine breite Palette an Security Features: Um SharePoint Online und die übrigen Apps der Microsoft Cloud bestmöglich zu schützen, müssen Admins diese Sicherheitsfunktionen aktivieren und die nötigen Einstellungen im Sinne der eigenen Anforderungen treffen.

Empfehlenswert ist in jedem Fall, in Azure AD neben der Multifaktor-Authentifizierung auch Richtlinien für den bedingten Zugriff festzulegen. Darüber hinaus sollten Verantwortliche über das SharePoint Admin Center und den Menüpunkt Zugriffsteuerung die automatische Abmeldung für inaktive Sitzungen aktivieren und Apps ohne moderne Authentifizierung blockieren.

Das Teilen von Inhalten ist eine der Hauptaufgaben von SharePoint – sowohl innerhalb der Organisation als auch mit externen Konten. Um zu verhindern, dass die falschen Personen Zugang zu sensiblen Dokumenten erhalten, bietet SharePoint Möglichkeiten um das File-Sharing einzuschränken.

Zum Beispiel können Admins das Teilen über Anyone-Links deaktivieren, um anonymes Teilen zu verhindern und jeden Zugriff einer konkreten Person zuordnen zu können. Ebenso lässt sich das Teilen von Dateien für bestimmte Domänen sperren, nur für spezifische Sicherheitsgruppen aktivieren oder ein automatischer Ablauf für Gastzugänge aktivieren. Näheres zu Freigabeeinstellungen in SharePoint.

Die automatische Synchronisierung lokaler Dateien nach SharePoint bzw. OneDrive kann dazu führen, dass User versehentlich sensible oder sehr große Dateien hochladen, die eigentlich nicht in die Cloud gehören. Außerdem nutzen Ransomware-Programme dieses Feature oft für den Zugriff auf Cloud-Backups aus.

Um versehentliche oder missbräuchliche Uploads zu verhindern, lässt sich die Synchronisation für bestimmte Dateitypen blockieren. Diese Einstellung findet sich im SharePoint Admin Center unter dem Punkt OneDrive Sync. Hier können Admins festlegen, welche Dateiendungen von der Synchronisierung ausgenommen werden sollen. Noch genauere Regeln lassen sich über das Gruppenrichtlinienobjekt bzw. die Intune-Template EnableODIgnoreListFromGPO festlegen: Auch bestimmte Dateinamen wie z.B. “Gehaltsliste*.xlsx” lassen sich hier blockieren.

Die Analyse aufgezeichneter Events spielt eine wichtige Rolle bei der Behebung von Sicherheitsproblemen und dem Erkennen von Angriffen. In SharePoint Server muss die Überwachung von Websites selbst konfiguriert werden, in SharePoint Online ist diese per default aktiv und Teil des zentralen Audit Logs im Compliance Center bzw. Microsoft Purview. Allerdings werden Events standardmäßig nur für 90 Tage aufgezeichnet. Eine längere Aufbewahrung erfordert eine Microsoft 365 E5 Lizenz. Nähere Informationen zu Premium Audits.

Da Microsoft 365 eine Vielzahl unterschiedlicher Ereignisse aufzeichnet, ist die Auswertung relevanter Events keine einfache Aufgabe. Hier können Third-Party-Tools eine wichtige Hilfe sein, um Informationen zu filtern und schnell die richtigen Erkenntnisse daraus zu ziehen.

Wie auch auf dem Fileserver empfiehlt es sich, Berechtigungen in SharePoint mithilfe von Gruppen zu steuern. Anstatt Benutzer also einzeln auf einer Site zu berechtigen, erstellt man eine Sicherheitsgruppe mit den entsprechenden Usern (z.B. “Mitarbeiter Sales”) und fügt diese Sicherheitsgruppe zu den Website-Mitgliedern hinzu. Durch die Nutzung von dynamischen Gruppen lassen sich neue Benutzer so automatisch den richtigen Ressourcen zuordnen.

Die Verwendung von Gruppen spart Zeit und verbessert die Übersicht, was insbesondere spätere Korrekturen und Anpassungen erleichtert. Vorsicht: Hier ist es wichtig den Unterschied zwischen Gruppen in Azure AD wie Sicherheitsgruppen, Verteilergruppen und Microsoft 365 Gruppen auf der einen Seite und SharePoint-Gruppen wie Website-Besitzer und Website-Mitglieder auf der anderen Seite zu verstehen.

Soweit es sich vermeiden lässt, sollten Admins und Websitebesitzer keine individuellen Rechte auf Datei-Ebene vergeben. Durch die Unterbrechung der Vererbung und schwierige Nachvollziehbarkeit gerät das Berechtigungsmanagement durch solche Einzelrechte extrem mühselig und kleinteilig. Zur besseren Übersicht sollten Berechtigungen immer auf möglichst hoher Ebene verwaltet werden, z.B. durch das Anlegen eigener Sites, Ordner oder Bibliotheken für bestimmte Zwecke.

Richtlinien zur Aufbewahrung ermöglichen es, Inhalte in SharePoint und anderen Bereichen von Microsoft 365 für einen bestimmten Zeitraum aufzubewahren oder nach einer vorgesehenen Frist zu löschen. Diese Funktion dient dem Erfüllen gesetzlicher Vorgaben und Pflichten. Dabei unterscheidet M365 zwischen Aufbewahrungsrichtlinien und Aufbewahrungsbezeichnungen, die auf Site-Ebene bzw. Element-Ebene zur Anwendung kommen.

Das Konfigurieren von Retention Policies kann einige Zeit in Anspruch nehmen, bietet aber eine wichtige Hilfe um das ungewollte Löschen wichtiger Daten zu verhindern und die korrekte Speicherung notwendiger Dokumente sicherzustellen.

Organisationen, die das Teilen von Daten genau im Blick behalten und ungewollte Freigaben vermeiden möchten, können das externe Teilen auf allen Sites blockieren und stattdessen eine eigene Site für externes File-Sharing anlegen. Alle externe Zugriffe an einem Ort zu steuern erleichtert die Kontrolle und macht es Admins einfacher nachzuvollziehen, welche Benutzer Zugriff auf welche Inhalte haben.

Wer die Informationsarchitektur und Berechtigungsvergabe in SharePoint nach Best Practices gestalten möchte, muss einiges an Zeit investieren. Insbesondere, da die Verwaltung von SharePoint nur ein Teilbereich der Microsoft 365 Administration ist. Schneller, einfacher und garantiert fehlerfrei gelingt die Zuweisung von Benutzern, Verwaltung von Freigaben und Kontrolle von Zugriffen über automatische Plattformen.

Das gilt besonders für hybride Umgebungen, in denen die Steuerung von lokalen und Cloud-Systemen so über eine einzelne Anwendung möglich ist. Als Lösung für das Identity und Access Management erlaubt tenfold nicht nur die zentrale und automatische Verwaltung von Daten und Identitäten in der Cloud, sondern erweitert die bestehenden Funktionen von M365 um wichtige neue Features wie ein klares und detailliertes Reporting, sowie die regelmäßige Rezertifizierung von Zugriffsrechten.

Benutzer im eigenen Netzwerk und der Microsoft Cloud über eine Anwendung verwalten und dabei Zugriffsrechte auf dem Fileserver und in SharePoint jederzeit nachvollziehen? Das geht einfacher als Sie denken! Mit tenfold lässt sich nicht nur das Benutzermanagement quer über alle Systeme automatisieren, sondern auch der Zugang zu unstrukturierten Daten mühelos verwalten und laufend kontrollieren.

Das Beste? Dank out-of-the-box Schnittstellen mit No-Code-Konfiguration profitieren Sie mit tenfold in Rekordzeit von den Vorteilen des zentralen Identity und Access Management. Während andere Lösungen Sie Monate bis Jahre für das Programmieren eigener Plugins kosten, sind Sie mit tenfold in wenigen Wochen startklar! Überzeugen Sie sich selbst bei einem kostenlosen Test von den Vorteilen von tenfold.