Freigabe und Berechtigungen in SharePoint Embedded
Additive Berechtigungen
In SharePoint Embedded erbt Inhalt immer Berechtigungen von der übergeordneten Hierarchie. Sie können diese geerbte Berechtigungsstruktur zwar nicht ändern, aber Sie können den Zugriff innerhalb eines Containers erweitern, indem Sie "additive Berechtigungen" auf bestimmte Dateien und Ordner anwenden. Wenn instance UserA zur Rolle Leser gehört, können Sie dem Benutzer mithilfe von Microsoft Graph die Bearbeitungsberechtigung für ein bestimmtes Dokument in diesem Container erteilen:
| Szenario | Microsoft Graph-API | Hinweise |
|---|---|---|
| Erteilen einer additiven Berechtigung | POST /drives/{drive-id}/items/{item-id}/invite | Die sendInvitation-Eigenschaft muss immer false sein. Sie können dem Stammordner in einem Container keine zusätzlichen Berechtigungen erteilen, da dies im Wesentlichen mit dem Hinzufügen eines Benutzers zu einer Rolle identisch ist. Sie können keine AppOnly-Berechtigungen verwenden. |
| Abrufen von Berechtigungen | GET /drives/{drive-id}/items/{item-id}/permissions & GET /drives/{drive-id}/items/{item-id}/permissions/{perm-id}, | |
| Löschen einer additiven Berechtigung | DELETE /drives/{drive-id}/items/{item-id}/permissions/{perm-id} | Sie können nur die additive Berechtigung für das Laufwerkelement löschen, dem sie ursprünglich hinzugefügt wurde. |
Einstellung für die rollenbasierte Freigabe
SharePoint Embedded bietet ein rollenbasiertes Freigabemodell, mit dem Entwickler Dateifreigabeberechtigungen basierend auf Containerberechtigungsrollen konfigurieren können und so die Wahl zwischen restriktiven und offenen Freigabemodellen bietet. Standardmäßig ist die Freigabeeinstellung für das geöffnete Modell konfiguriert, wodurch die uneingeschränkte Freigabe von Inhalten für alle Benutzer zulässig ist. Diese Freigabeeinstellung ist Teil der Containertypkonfiguration. Diese Konfiguration kann nur von den Entwicklern des Anwendungsbesitzers festgelegt werden. Weitere Informationen zu Containerberechtigungsrollen finden Sie unter Authentifizierung und Autorisierung mit SharePoint Embedded.
Restriktives Freigabemodell
Nur Containermitglieder, die entweder die Rolle "Besitzer" oder "Manager" besitzen, dürfen Dateien neue Berechtigungen hinzufügen.
Offenes Freigabemodell
Alle Containermitglieder und Gäste mit Bearbeitungsberechtigungen können dieser Datei neue Berechtigungen hinzufügen.
Dies kann mithilfe des PowerShell-Cmdlets Set-SPOcontainerTypeConfiguration wie in diesem Beispiel konfiguriert werden:
Set-SPOcontainerTypeConfiguration
-containerTypeID <containerTypeID>
-sharingRestricted $false
Freigabekonfigurationseinstellung
Standardmäßig ist die Konfiguration der SharePoint Embedded-Anwendungsfreigabe mit der Konfiguration für die Nutzung der Mandantenfreigabe identisch. Wenn der nutzende Mandant beispielsweise so konfiguriert ist, dass die Freigabe für Gäste deaktiviert wird, kann die SharePoint Embedded-Anwendung keine Gäste zu Containerrollen hinzufügen oder ihnen zusätzliche Berechtigungen erteilen.
Außerkraftsetzung der externen Anwendungsfreigabe
Für SharePoint Embedded-Anwendungen können Freigabekonfigurationen auf Anwendungsebene angepasst werden. Die Nutzung des Mandantenadministrators kann Berechtigungen konfigurieren, die sich von den Freigabeeinstellungen auf Mandantenebene unterscheiden. Wenn beispielsweise die Freigabeeinstellung eines Mandanten die Freigabe für Gäste verhindert, können SharePoint Embedded-Anwendungen so konfiguriert werden, dass sie die Gastfreigabe zulassen. Daher könnten alle Container innerhalb dieser SharePoint Embedded-Anwendung Gäste einschließen oder andere Berechtigungen erweitern, während andere SharePoint Embedded-Anwendungen und SharePoint eingeschränkte Freigabeberechtigungen beibehalten.
Diese Einstellung kann nur festgelegt werden, indem der SharePoint Embedded-Administrator des Mandanten verwendet wird, und kann mit dem neuesten PowerShell-Cmdlet Set-SPOApplication konfiguriert werden, wie in diesem Beispiel gezeigt:
Set-SPOApplication
-OwningApplicationID <OwningApplicationId>
-OverrideTenantSharingCapability $true
-SharingCapability <SharingCapability>