Dateiberechtigungen in MS Teams und SharePoint Online verwalten – So funktioniert es

Wie funktioniert die Dateiberechtigungen in Microsoft Teams und SharePoint? In Microsoft Teams können Dateien auch direkt in Teams gespeichert werden. Das erleichtert den Austausch von Informationen zwischen Team-Mitgliedern, da diese nicht verschiedene Informationsquellen nutzen müssen, sondern alle Dateien direkt im Team verfügbar sind. Die Speicherung der Daten erfolgt dazu in SharePoint Online von Microsoft 365.  Dazu gibt es für jedes Team eine Registerkarte mit der Bezeichnung „Dateien“. Hier sind die Dateien zu sehen, die für das Team zur Verfügung stehen und die Team-Mitglieder gespeichert haben.

Diese Daten stehen im Desktop-Client und auch in der Web-Oberfläche zur Verfügung, genauso wie in der Smartphone-App. Als Dateispeicherort für Teams dient SharePoint Online. Die Berechtigungen, die gesetzt werden können, sind also in Teams und in SharePoint Online relevant. Der Zugriff auf die Daten kann auch aus SharePoint heraus erfolgen.

Über den Menüpunkt „Synchronisieren“ können die Dateien eines Teams darüber hinaus über den OneDrive-Client auch mit lokalen PCs synchronisiert werden. Die Optionen dazu stehen zur Verfügung, wenn Anwender über das Menü eines Ordners oder einer Datei den Menüpunkt „In SharePoint öffnen“ auswählen.

Saubere Benutzerkonten für saubere Berechtigungen

Vorab: Ohne richtige Pflege der Benutzerkonten in AD und Azure AD ist die Dateiverwaltung in Teams und SharePoint kaum möglich

Basis der Berechtigungen für Dateien in Microsoft Teams sind die Konten in Azure AD, die auch in Microsoft 365 zum Einsatz kommen. Aus diesem Grund muss natürlich sichergestellt sein, dass in hybriden Umgebungen die Benutzerkonten richtig gepflegt sind. Alle Daten müssen so zur Verfügung stehen, wie sie für die Vergabe von Berechtigungen in Teams und SharePoint gebraucht werden. Dabei helfen Lösungen wie das FirstWare IDM-Portal von FirstAttribute.

Nur dadurch ist sichergestellt, dass die Felder und Attribute der Benutzerkonten auch richtig und konsistent gepflegt sind, sodass die Gruppen und Benutzer in Azure AD auch richtig für Teams nutzbar sind. Parallel dazu müssen die Synchronisierungsvorgänge zwischen AD und Azure AD immer optimal funktionieren, da alle geänderten Felder und Attribute auch synchronisiert werden können.

Benutzerkonten in Azure AD lassen sich mit Gruppen bündeln und als Basis von Berechtigungen verwenden. Damit das funktioniert, müssen alle Daten von Benutzerkonten natürlich sauber gepflegt sein. Dazu sollten Systeme wie das FirstWare IDM-Portal zum Einsatz kommen. Denn hier lassen sich Attribute und Felder wesentlich komfortabler und weniger anfällig vor Fehlern in den Benutzerkonten pflegen. Über automatische Vorgänge, Skripte und Felder, die leicht ausfüllbar sind, können Benutzerkonten lokal gepflegt und zu Azure AD synchronisiert werden. Danach stehen die Benutzer und Gruppen auch in Teams und anderen Anwendungen in Microsoft 365 zur Verfügung.

Dateiberechtigungen in Microsoft Teams

Für alle Dateien und Ordner in einem Team gibt es nach dem Markieren des Objektes auf der rechten Seite ein Menü mit drei Punkten. Um Berechtigungen anzupassen, muss die Datei in SharePoint Online geöffnet werden. Der entsprechende Menüpunkt dazu steht über das Menü der Datei zur Verfügung. Für die Anpassung der Berechtigungen einer Datei steht auf der rechten Seite ein i-Icon in einem blauen Kreis zur Verfügung. Hierüber lassen sich die Detaileinstellungen der Datei oder des Ordners anzeigen.

Über die Details ist auch zu sehen, wer Zugriff auf das Dokument hat. Mit dem Link „Zugriff verwalten“ lassen sich die Berechtigungen anpassen. Bei „Zugriff gewährende Links“ ist zu sehen, welchen Benutzern die Datei freigegeben wurde. Bei „Direkter Zugriff“ ist es möglich, einzelnen Benutzern direkt Zugriff auf eine Datei zu geben.

Wer bereits Zugriff auf die Datei hat, ist im Fenster ebenfalls zu sehen. Besitzer eines Teams haben normalerweise natürlich umfassende Rechte für eine Datei, die Mitglieder eines Teams haben eingeschränkte Rechte. Durch einen Klick auf den kleinen Pfeil bei der jeweiligen Gruppe öffnet sich ein Menü. Hier kann festgelegt werden, dass die Gruppe oder der Benutzer keinen Zugriff mehr erhalten sollen (Nicht mehr teilen).

Weitere Menüpunkte an dieser Stelle sind die Rechte „Kann bearbeiten“ und „Kann anzeigen“. Die entsprechenden Icons dazu sind im Fenster ebenfalls zu sehen. Dadurch können Besitzer einer Datei sehr granular direkt über Teams und SharePoint die Berechtigungen von Dateien und auch ganzen Ordnern anpassen. Wenn die Rechte einer Datei, zum Beispiel eines Dokumentes, auf „Kann anzeigen“ geändert wird, dürfen die Mitglieder die Datei weder bearbeiten oder löschen. Die Benutzer könnten die Datei aber anzeigen.

Erweiterte Berechtigungen für Dateien in Teams und SharePoint steuern

In der Konfiguration von Berechtigungen der Dateien in einem Team steht auch der Menüpunkt „Erweitert“ zur Verfügung. Hierüber können Administratoren der Umgebung direkt in SharePoint Berechtigungen für die Dateien anpassen, aber auch Benutzer der Teams können erweiterte Berechtigungen für Dokumente vergeben. Standardmäßig erbt ein Ordner oder eine Bibliothek die Berechtigungen des übergeordneten Objektes in SharePoint. Das zeigt das Fenster an dieser Stelle auch an.

Sollen für ein Team oder ein Ordner andere Berechtigungen gelten, können Anwender oder Admins mit entsprechender Berechtigung mit dem Menüpunkt „Berechtigungsvererbung beenden“ die Rechte aus dem übergeordneten Objekt löschen und eigene Rechte vergeben. Vor dem Beenden der Vererbung blendet SharePoint noch eine Warnung ein.

Auch hier greift SharePoint wieder auf die Konten und Benutzer aus Azure AD zurück, die dafür richtig gepflegt sein müssen. Beim manuellen Erteilen der Berechtigungen für ein Dokument kann nach Namen und Benutzerkonten gesucht werden. Diese sind hier natürlich nur dann zu finden, wenn die Daten richtig gepflegt und in hybriden Umgebungen auch korrekt zwischen Active Directory und Azure Active Directory synchronisier wurden. Dieser Sachverhalt kann nicht oft genug wiederholt werden. 

Nach dem Zuweisen von einzelnen Benutzern oder Gruppen, die nicht zu den Standardgruppen in SharePoint gehören, zeigt SharePoint Online das für die Datei an, wenn Sie deren Berechtigungen aufrufen.

Mit dem Menüpunkt „Übergeordnetes Element verwalten“ können die Rechte für das Objekt verwaltet werden, die schlussendlich auf das aktuelle Objekt vererbt werden.

In der Mitte des Fensters ist zu sehen, welche Berechtigungsstufen die einzelnen SharePoint-Gruppen für die Dokumente und Dateien im jeweiligen Team und der damit verknüpften Bibliothek in SharePoint haben. Durch einen Klick auf eine der Gruppe wechselt SharePoint in die Einstellungen der jeweiligen Gruppe.

Mit „Berechtigungen überprüfen“ ist es möglich, nach Benutzerkonten und Gruppen zu suchen. Anschließend prüft SharePoint die Berechtigungen des Benutzers oder der Gruppe und zeigt diese im Fenster an. Dadurch lassen sich Berechtigungen flexibel überprüfen, wenn die Berechtigungsstruktur im Unternehmen etwas komplizierter ist.

Rechte in Bibliotheken steuern

Wer das Recht hat, die Berechtigungen der übergeordneten Elemente in SharePoint zu steuern, kann über „Berechtigungen erteilen“ zusätzliche Rechte erteilen. Hier ist es wiederum möglich, eindeutige Rechte zu löschen, die nicht von Gruppen zentral gesteuert werden. Gibt es für einzelne Elemente spezielle Berechtigungen, zeigt das SharePoint ebenfalls im Fenster an.

Wenn die Benutzerkonten in Active Directory und Azure AD sauber gepflegt sind, lassen sie sich mit Azure AD Connect zu Azure AD synchronisieren. Das ist eine wesentliche Basis für das Verwenden von AD-Gruppen oder gruppierten Benutzerkonten für die Berechtigungen in Teams. Wir haben die Synchronisierung in den folgenden Beiträgen näher beschrieben:

Azure AD Connect installieren

Azure AD Connect und Azure AD Connect Cloud Sync