Steuern des Zugriffs in Microsoft 365-Gruppen, Teams und SharePoint
Es gibt viele Steuerelemente, mit denen Sie steuern können, wie Personen auf Ressourcen in Gruppen, Teams und SharePoint zugreifen. Überprüfen Sie diese Optionen, und überlegen Sie, wie sie Ihren geschäftlichen Anforderungen entsprechen, die Vertraulichkeit Ihrer Daten und den Umfang der Personen, mit denen Ihre Benutzer zusammenarbeiten müssen.
Die folgende Tabelle enthält eine Kurzübersicht über die in Microsoft 365 verfügbaren Zugriffssteuerungen. Weitere Informationen erhalten Sie in den folgenden Abschnitten.
Kategorie | Beschreibung | Referenz |
---|---|---|
Mitgliedschaft | ||
Dynamische Gruppenmitgliedschaft basierend auf Regeln | Erstellen oder Aktualisieren einer dynamischen Gruppe in Microsoft Entra ID | |
Steuern Sie, wer Dateien, Ordner und Websites freigeben kann. | Einrichten und Verwalten der Funktion „Zugriffsanforderungen“ | |
Bedingter Zugriff | ||
Mehrstufige Authentifizierung | mehrstufige Authentifizierung Microsoft Entra | |
Steuern Sie den Gerätezugriff basierend auf der Vertraulichkeit von Gruppen, Teams oder Websites. | Vertraulichkeitsbezeichnungen zum Schutz von Inhalten in Microsoft Teams, Microsoft 365-Gruppen und SharePoint-Websites verwenden | |
Beschränken Sie den Websitezugriff für nicht verwaltete Geräte. | Steuern des SharePoint-Zugriffs von nicht verwalteten Geräten | |
Steuern des Standortzugriffs basierend auf dem Standort | Steuern des Zugriffs auf SharePoint- und OneDrive-Daten anhand der Netzwerkadresse | |
Erzwingen Sie strengere Zugriffsbedingungen, wenn Benutzer auf SharePoint-Websites zugreifen. | Richtlinie für bedingten Zugriff für SharePoint-Websites und OneDrive | |
Gastzugriff | ||
Zulassen oder Blockieren der SharePoint-Freigabe für angegebene Domänen. | Einschränken der Freigabe von SharePoint- und OneDrive-Inhalten nach Domäne | |
Zulassen oder Blockieren der Team- oder Gruppenmitgliedschaft in angegebenen Domänen. | Zulassen oder Blockieren von Einladungen für B2B-Benutzer von bestimmten Organisationen | |
Anonyme Freigabe verhindern. | Deaktivieren von "Jeder"-Links | |
Steuern Sie die Berechtigungen für anonyme Zugriffslinks. | Festlegen von Linkberechtigungen für "Jeder"-Links | |
Steuern sie den Ablauf anonymer Freigabelinks. | Festlegen eines Ablaufdatums für Jeder-Links | |
Steuern Sie den Typ des Freigabelinks, der Benutzern standardmäßig angezeigt wird. | Ändern des Standardlinktyps für eine Site | |
Beschränken Sie die externe Freigabe auf bestimmte Personen. | Beschränken der externen Freigabe auf angegebene Sicherheitsgruppen | |
Steuern sie den Gastzugriff auf eine Gruppe, ein Team oder eine Website basierend auf der Vertraulichkeit von Informationen. | Vertraulichkeitsbezeichnungen zum Schutz von Inhalten in Microsoft Teams, Microsoft 365-Gruppen und SharePoint-Websites verwenden | |
Deaktivieren Sie die Freigabeoptionen. | Einschränken der Freigabe in Microsoft 365 | |
Benutzerverwaltung | ||
Überprüfen Sie die Team- und Gruppenmitgliedschaft regelmäßig. | Was sind Microsoft Entra Zugriffsüberprüfungen? | |
Automatisieren Sie die Zugriffsverwaltung für Gruppen und Teams. | Was ist Microsoft Entra Berechtigungsverwaltung? | |
Beschränken Sie den OneDrive-Zugriff auf Mitglieder einer bestimmten Sicherheitsgruppe. | Einschränken des OneDrive-Zugriffs nach Sicherheitsgruppe | |
Beschränken Sie den Zugriff auf Teams oder Websites auf Mitglieder einer Gruppe. | Einschränken des SharePoint-Websitezugriffs auf Mitglieder einer Gruppe | |
Informationsklassifizierung | ||
Klassifizieren von Gruppen und Teams | Vertraulichkeitsbezeichnungen zum Schutz von Inhalten in Microsoft Teams, Microsoft 365-Gruppen und SharePoint-Websites verwenden | |
Automatisches Klassifizieren vertraulicher Inhalte | Automatisches Anwenden einer Vertraulichkeitsbezeichnung auf Inhalte | |
Verschlüsseln vertraulicher Inhalte | Einschränken des Zugriffs auf Inhalte mithilfe der Vertraulichkeitsbezeichnungen zur Verschlüsselung | |
Benutzersegmentierung | ||
Einschränken der Kommunikation zwischen Benutzersegmenten | Informationsbarrieren | |
Datenaufbewahrung | ||
Speichern von Daten an bestimmten geografischen Standorten | Microsoft 365 Multi-Geo |
Mitgliedschaft
Sie können die Mitgliedschaft in einer Gruppe oder einem Team dynamisch basierend auf einigen Kriterien verwalten, z. B. abteilung. In diesem Fall können Mitglieder und Besitzer keine Personen zum Team einladen. Dynamische Gruppen verwenden Metadaten, die Sie in Microsoft Entra ID definieren, um zu steuern, wer Mitglied der Gruppe ist. Stellen Sie sicher, dass die von Ihnen verwendeten Metadaten vollständig und aktuell sind, da falsche Metadaten dazu führen können, dass Benutzer aus Gruppen ausgeschlossen werden oder falsche Benutzer hinzugefügt werden.
SharePoint-Websites bieten die Möglichkeit, Besitzer, Mitglieder und Besucher außer der Gruppen- oder Teammitgliedschaft hinzuzufügen. Je nach Ihren Anforderungen können Sie einschränken, wer Personen zur Website einladen kann. Abhängig von der Vertraulichkeit der Informationen auf einer bestimmten Website können Sie auch einschränken, wer Dateien und Ordner freigeben kann. Diese Einschränkungen werden vom Team, der Gruppe oder dem Websitebesitzer konfiguriert:
Bedingter Zugriff
Mit Microsoft 365 können Sie die mehrstufige Authentifizierung sowohl für Personen innerhalb als auch außerhalb Ihrer organization anfordern. Es gibt viele Optionen für die Umstände, in denen Personen nach einem zweiten Authentifizierungsfaktor aufgefordert werden. Es wird dringend empfohlen, die mehrstufige Authentifizierung für Ihre organization bereitzustellen:
Wenn Sie in einigen Ihrer Gruppen und Teams über vertrauliche Informationen verfügen, können Sie Geräteverwaltungsrichtlinien basierend auf der Vertraulichkeitsbezeichnung einer Gruppe oder eines Teams erzwingen. Sie können den Zugriff von nicht verwalteten Geräten aus vollständig blockieren oder eingeschränkten, reinen Webzugriff zulassen:
In SharePoint können Sie den Zugriff auf Websites von angegebenen Netzwerkspeicherorten einschränken.
Zusätzliche Ressourcen:
Gastzugriff
Sie können Gäste basierend auf der Domäne ihrer E-Mail-Adresse einschränken. SharePoint bietet organization- und websitespezifische Domäneneinschränkungseinstellungen. Gruppen und Teams verwenden die Zulassungs- oder Sperrlisten der Domäne in Microsoft Entra ID. Stellen Sie sicher, dass Sie beide Einstellungen konfigurieren, um unerwünschte Freigaben zu vermeiden und eine konsistente Benutzererfahrung sicherzustellen:
Einschränken der Freigabe von SharePoint- und OneDrive-Inhalten nach Domäne
Zulassen oder Blockieren von Einladungen für B2B-Benutzer von bestimmten Organisationen
Microsoft 365 ermöglicht die anonyme Freigabe von Dateien und Ordnern mithilfe von Links zum Freigeben von Jeder . Jeder Link kann weitergeleitet werden, und jeder mit dem Link kann auf das freigegebene Element zugreifen. Erwägen Sie abhängig von der Vertraulichkeit Ihrer Daten, wie Anyone-Links verwendet werden, einschließlich der vollständigen Deaktivierung, dem Einschränken von Linkberechtigungen auf schreibgeschützt oder dem Festlegen einer Ablaufzeit für sie:
Beim Freigeben von Dateien oder Ordnern stehen Benutzern mehrere Linktypen zur Auswahl. Um das Risiko einer versehentlichen unangemessenen Freigabe zu verringern, können Sie den Standardlinktyp ändern, der Benutzern bei der Freigabe angezeigt wird. Wenn Sie z. B. die Standardeinstellung von "Jeder-Links", die anonymen Zugriff ermöglichen, auf Personen in Ihren organization-Links ändern, kann dies das Risiko einer unerwünschten externen Freigabe vertraulicher Informationen verringern:
Wenn Ihr organization über vertrauliche Daten verfügt, die Sie für Gäste freigeben müssen, sie aber über unangemessene Freigaben besorgt sind, können Sie die externe Freigabe von Dateien und Ordnern auf die Mitglieder der angegebenen Sicherheitsgruppen beschränken. Auf diese Weise können Sie die externe Freigabe auf eine bestimmte Gruppe von Personen beschränken oder ihre Benutzer dazu auffordern, schulungen für die entsprechende externe Freigabe zu absolvieren, bevor Sie sie der Sicherheitsgruppe hinzufügen:
Gruppen und Teams verfügen über einstellungen auf organization ebene, die den Gastzugriff zulassen oder verweigern. Sie können den Gastzugriff zwar mithilfe von Microsoft PowerShell auf bestimmte Teams oder Gruppen beschränken, es wird jedoch empfohlen, dies mithilfe einer Vertraulichkeitsbezeichnung zu tun. Mit Vertraulichkeitsbezeichnungen können Sie den Gastzugriff basierend auf der angewendeten Bezeichnung automatisch zulassen oder verweigern:
In einer Umgebung, in der Sie häufig Gäste zu Gruppen und Teams einladen, sollten Sie regelmäßig geplante Gastzugriffsüberprüfungen einrichten. Besitzer können aufgefordert werden, Gäste in ihren Gruppen und Teams zu überprüfen und den Zugriff zu genehmigen oder zu verweigern.
Microsoft 365 bietet viele verschiedene Methoden zum Teilen von Informationen. Wenn Sie über vertrauliche Informationen verfügen und die Freigabe einschränken möchten, überprüfen Sie die Optionen zum Einschränken der Freigabe:
Zusätzliche Ressourcen:
Bewährte Methoden zum Freigeben von Dateien und Ordnern für nicht authentifizierte Benutzer
Aktivieren der externen B2B-Zusammenarbeit und Verwalten, wer Gäste einladen kann
Benutzerverwaltung
Wenn Sich Gruppen und Teams in Ihrem organization weiterentwickeln, empfiehlt es sich, die Team- und Gruppenmitgliedschaft regelmäßig zu überprüfen. Dies kann besonders nützlich sein für Teams und Gruppen mit einer sich ändernden Mitgliedschaft, solche, die vertrauliche Informationen enthalten, oder solche, die Gäste enthalten. Erwägen Sie die Einrichtung von Zugriffsüberprüfungen für diese Teams und Gruppen:
Viele Organisationen haben Geschäftspartnerschaften mit anderen Organisationen oder wichtigen Anbietern, mit denen sie eingehend zusammenarbeiten. Die Verwaltung von Benutzern und der Zugriff auf Ressourcen kann in diesen Szenarien schwierig sein. Erwägen Sie, einige der Benutzerverwaltungsaufgaben zu automatisieren und sogar einige davon an Ihren Partner organization zu übertragen:
Private Kanäle in Teams ermöglichen bereichsbezogene Unterhaltungen und die Dateifreigabe zwischen einer Teilmenge von Teammitgliedern. Je nach Ihren spezifischen Geschäftlichen Anforderungen können Sie diese Funktion zulassen oder blockieren.
Mit freigegebenen Kanälen können Sie Personen einladen, die sich außerhalb des Teams oder außerhalb des organization befinden. Abhängig von Ihren spezifischen Geschäftsanforderungen und externen Freigaberichtlinien können Sie diese Funktion zulassen oder blockieren.
OneDrive bietet Benutzern eine einfache Möglichkeit zum Speichern und Freigeben von Inhalten, an denen sie gerade arbeiten. Abhängig von Ihren geschäftlichen Anforderungen können Sie den Zugriff auf diese Inhalte auf Vollzeitmitarbeiter des Unternehmens oder andere Gruppen innerhalb des Unternehmens beschränken. Wenn ja, können Sie den Zugriff auf OneDrive-Inhalte auf Mitglieder einer Sicherheitsgruppe beschränken.
Bei einigen sensibleren Teams oder Websites möchten Sie möglicherweise den Zugriff auf Team- oder Websiteinhalte auf Mitglieder des Teams oder auf Mitglieder einer Sicherheitsgruppe beschränken.
Zusätzliche Ressourcen:
Informationsklassifizierung
Sie können Vertraulichkeitsbezeichnungen verwenden, um den Gastzugriff, den Gruppen- und Teamdatenschutz sowie den Zugriff auf nicht verwaltete Geräte für Gruppen und Teams zu steuern. Wenn ein Benutzer die Bezeichnung anwendet, werden diese Einstellungen automatisch gemäß den Bezeichnungseinstellungen konfiguriert.
Sie können Microsoft 365 so konfigurieren, dass Vertraulichkeitsbezeichnungen automatisch auf Dateien und E-Mails angewendet werden, basierend auf den von Ihnen angegebenen Kriterien, einschließlich erkennung vertraulicher Informationstypen oder Musterabgleich mit trainierbaren Klassifizierern.
Sie können Vertraulichkeitsbezeichnungen verwenden, um Dateien zu verschlüsseln, sodass sie nur für Personen mit Berechtigungen entschlüsselt und gelesen werden können.
- Einschränken des Zugriffs auf Inhalte mithilfe der Vertraulichkeitsbezeichnungen zur Verschlüsselung
Zusätzliche Ressourcen:
Benutzersegmentierung
Mit Informationsbarrieren können Sie Ihre Daten und Benutzer segmentieren, um unerwünschte Kommunikation und Zusammenarbeit zwischen Gruppen einzuschränken und Interessenkonflikte in Ihren organization zu vermeiden. Mit Informationsbarrieren können Sie Richtlinien erstellen, um Dateizusammenarbeit, Chatten, Anrufe oder Besprechungseinladungen zwischen Personengruppen in Ihrem organization zuzulassen oder zu verhindern.
Datenaufbewahrung
Mit Microsoft 365 Multi-Geo können Sie ruhende Daten an den geografischen Standorten bereitstellen und speichern, die Sie zur Erfüllung der Datenresidenzanforderungen ausgewählt haben. In einer Multi-Geo-Umgebung besteht Ihr Microsoft 365-Mandant aus einem zentralen Standort (an dem Ihr Microsoft 365-Abonnement ursprünglich bereitgestellt wurde) und einem oder mehreren Satellitenstandorten, an denen Sie Daten speichern können.
Verwandte Themen
Planungsempfehlungen für die Zusammenarbeitsgovernance
Erstellen eines Plans für die Zusammenarbeitsgovernance
Sicherheit und Compliance in Microsoft Teams