SharePoint-Governance: Bewährte Praktiken für Sicherheit, Compliance und Verwaltung

In Teil 1 dieser SharePoint 2016/2019-Migrationsserie haben wir zunächst 6 Schritte zur Vorbereitung Ihrer Migrationen behandelt. In Teil 2 haben wir ältere SharePoint-Umgebungen modernisiert. Nun in Teil 3 setzen wir praktische Leitplanken ein, damit Ihr neues SharePoint—online oder SPSE—organisiert, sicher und konform bleibt.

Die Migration zu SharePoint Online oder SharePoint Server Subscription Edition (SPSE) ist nur der Anfang. Was langfristigen Erfolg wirklich bestimmt, ist die Verwaltung der Umgebung nach dem Umzug. Hier kommen Governance, Sicherheit und Struktur ins Spiel.  

Schauen wir uns an, wie Sie eine saubere Informationsarchitektur festlegen, Berechtigungen richtig dimensionieren, sensible Inhalte klassifizieren und schützen und eine Überwachung einrichten, die sicherstellt, dass Ihre Umgebung langfristig gesund bleibt. Unser Fokus liegt auf SharePoint Online (Microsoft 365), mit Hinweisen zu SPSE, wo es einen Unterschied macht.

‍

Laden Sie unser eBook herunter, um wichtige Erkenntnisse zur Verwaltung, Sicherung und Governance Ihrer SharePoint-Umgebung zu erhalten.

‍

Warum Governance und Sicherheit nicht warten können

Ein frisch migrierter Mandant kann schnell zur Wildwuchs werden: Websites multiplizieren sich, Berechtigungen verschwimmen und die Leute verlieren den Überblick darüber, wo sich was befindet. Governance—Ihre Regeln, Rollen und Prozesse—verhindert das. Erstellen Sie sofort einen effektiven SharePoint Governance-Plan, damit sich schlechte Gewohnheiten nie einschleichen.  

Sicherheit und Compliance verdienen dieselbe Dringlichkeit. Sie haben gerade eine wertvolle und sensible Kopie von Unternehmensdaten in der Cloud platziert. Ohne ordnungsgemäße Kontrollen könnten Sie alles von einer unorganisierten Umgebung bis hin zu einem kostspieligen Datenleck erleben. Ein ungeprüftes SharePoint-Repository birgt ernsthafte Risiken; Im besten Fall unorganisierte Inhalte. Im schlimmsten Fall die Offenlegung vertraulicher Daten. Deshalb sollte Ihr Governance-Plan nicht nur Compliance-Anforderungen, sondern auch die tägliche Sicherheitshygiene ansprechen: wer Zugriff auf was hat, wie externe Freigaben verwaltet werden und wie riskantes Benutzerverhalten erkannt wird.

‍

Nutzen Sie den Neustart, um Ihre Informationsarchitektur zu verbessern

Ich habe bereits vier Schlüsselbereiche zur Modernisierung von Websites und Benutzererfahrung in Teil 2 der Serie behandelt. Hier erkläre ich, wie das Abflachen von Website-Hierarchien und die Klarstellung von Zwecken die Basis für bessere Governance, einfachere Richtlinien und eine reibungslosere Benutzererfahrung schaffen.

Modernes SharePoint bevorzugt eine flache Struktur: separate Websitesammlungen (oft gruppenverbunden), die mit Hub-Websites zusammengefügt werden.  

‍

Das ist nicht nur kosmetisch—gezielte Richtlinien und Aufbewahrung sind viel einfacher, wenn die Einstellungen einer Website nicht über einen tiefen Unterwebsite-Baum kaskadieren.

In einem flachen Modell können Sie Aufbewahrungsrichtlinien oder Einstellungen auf eine bestimmte Website anwenden, ohne eine gesamte Sammlung zu beeinträchtigen. Im alten Unterwebsite-Modell galten viele Governance-Richtlinien, wie Aufbewahrung oder Klassifizierung, für alle Unterwebsites in einer Websitesammlung, selbst wenn Sie es nur in einem Bereich wollten.  

Durch die Umorganisation in separate Websitesammlungen pro Team, Projekt oder Abteilung (und deren Verknüpfung mit Hubs) verhindern Sie, dass die Einstellungen einer Website unbeabsichtigt andere beeinträchtigen.

Vergessen Sie nicht, dass jedes erstellte Team auch eine Teams-verbundene SharePoint-Website erstellt (und private/freigegebene Kanäle erstellen ihre eigenen Kanal-Websites). Planen Sie Hubs und Navigation mit diesem Website-Wachstum im Hinterkopf.

Praktische Schritte:

• Archivieren oder konsolidieren Sie redundante Websites, die während der Migration übernommen wurden.
• Definieren Sie Hubs (z.B. nach Abteilung) und verbinden Sie Projekt-/Abteilungs-Websites mit klaren Zweckerklärungen.
• Aufräumen der Navigation, damit die Leute ab Tag eins wissen, wo sie Inhalte platzieren/erstellen können.

Ergebnis: weniger Überraschungen, einfacherer Richtlinienumfang und eine Benutzererfahrung, die tatsächlich Sinn macht.

‍

Berechtigungshygiene: Aufräumen und bewährte Praktiken implementieren

Neben der Website-Struktur benötigen Berechtigungen und Zugriffsverwaltung sofortige Aufmerksamkeit nach der Migration. Es ist üblich, alte Strukturen "wie sie sind" zu übernehmen—ad-hoc SharePoint-Gruppen, eindeutige Berechtigungen überall und sogar überprovisionierte Zugriffe. Nach der Migration ist der richtige Zeitpunkt, um zu rationalisieren und aufzuräumen, damit Sie sich am Prinzip der geringsten Berechtigung und modernen bewährten Praktiken orientieren.

‍

Microsoft 365-Gruppen für Team-Websites nutzen

In SharePoint Online kann jede moderne Team-Website durch eine Microsoft 365-Gruppe unterstützt werden—eine einheitliche Sicherheitsgruppe, die den Zugriff über SharePoint, Teams, Outlook, Planner und mehr kontrolliert. Immer wenn Sie eine neue Team-Website von der SharePoint-Startseite oder Teams aus erstellen, wird automatisch eine M365-Gruppe erstellt.

Anstatt wie früher separate SharePoint-Gruppen und AD-Gruppen zu verwalten, verwenden Sie M365-Gruppen zur Verwaltung von Team-Bereichen. Dies sorgt für Konsistenz: dieselben Personen, die auf die Dateien des Teams zugreifen, haben auch die SharePoint-Website, Planner- und Outlook-Berechtigungen—über eine Gruppe.

Für Kommunikationswebsites oder Websites, die nicht gruppenverbunden sind, können Sie weiterhin mit SharePoint-Gruppen verwalten, aber erwägen Sie die Verwendung von Entra-Sicherheitsgruppen für Konsistenz.

‍

Unterbrochene Vererbung vermeiden und eindeutige Berechtigungen begrenzen

Eine der Grundregeln der SharePoint-Governance: das Berechtigungsmodell einfach halten. Vererbung nur unterbrechen, wenn absolut notwendig—und die Gründe dokumentieren, falls Sie es tun.

Während der Migration wurden möglicherweise viele eindeutige Berechtigungen übernommen. Jetzt ist die Zeit zu bewerten, ob sie wirklich benötigt werden. Eindeutige Berechtigungen minimieren, damit Websites, Bibliotheken und Listen vom übergeordneten Element erben. Zu viele Ausnahmen erschweren später das Prüfen und die Fehlerbehebung.

Ein gruppenbasierter Ansatz hilft hier: anstatt individuelle Berechtigungen zu vergeben, erstellen Sie Rollen wie "Projekt X Mitglieder" oder "Projekt X Besucher." Dies hält die Dinge einfach und prüfbar.

‍

Das Prinzip der geringsten Berechtigung implementieren

Stellen Sie sicher, dass Benutzer nur die niedrigste Zugriffsebene haben, die für ihre Arbeit erforderlich ist. Nach der Migration ist der perfekte Zeitpunkt, um Rechte zu überprüfen:

• Braucht wirklich jeder Bearbeiten auf einer Website, oder würde Lesen für einige reichen?
• Haben Sie zu viele Besitzer, was zu unkontrollierter Freigabe oder Änderungen an Einstellungen führen kann?

Regelmäßige Überprüfungen und das Kürzen übermäßiger Rechte reduziert das Risiko versehentlicher oder bösartiger Datenoffenlegung.  

Automatisieren Sie es: Die Verwendung von ShareGate  kann hier sehr helfen oder eine Mischung aus Skripten und Entra ID-Zugriffsüberprüfungen für Microsoft 365-Gruppen/Teams (insbesondere Gäste), während Besitzer vierteljährlich den Zugriff bestätigen müssen, zusammen mit den Websitebesitz-Richtlinien von SharePoint Advanced Management, damit Websites nicht besitzerlos bleiben.  

Diese Überprüfungen hängen auch mit Content-Labeling zusammen—sensible Websites benötigen möglicherweise noch strengere Beschränkungen und Durchsetzung.

Vergessen Sie nicht die Einstellungen für externen Zugriff

Standardmäßig ist in SharePoint Online oft die externe Freigabe aktiviert. Entscheiden Sie unmittelbar nach der Migration, wo externe Freigabe erlaubt sein sollte und welche Richtlinien gelten.

• Im SharePoint Admin Center können Sie die Freigabe auf vertrauenswürdige Domänen beschränken oder Gastkonten erfordern.
• M365-Gruppen/Teams haben auch Gastzugriff-Einstellungen, die Sie abgleichen sollten.
• Eine gute Praxis: bestimmte Hubs (z.B. einen "Extranet-Hub") bestimmen, wo externe Freigabe erlaubt ist, und andere Hubs sperren, die sensible interne Inhalte enthalten.
• Um dies weiter zu stärken, verwenden Sie Microsoft Purview Data Loss Prevention (DLP), um Überteilung sensibler Informationen zu erkennen.
• Für Hochrisiko-Mandanten aktivieren Sie Neue Dateien standardmäßig als sensibel markieren, um neue Uploads zu schützen, bis DLP sie bewertet, sobald Sie effektive Kennzeichnung und DLP eingerichtet haben.

Das Modell sauber und überprüfbar halten

Durch die frühzeitige Behandlung von Berechtigungen verhindern Sie Berechtigungswildwuchs, der sich mit der Zeit nur verschlechtert. In sechs Monaten sollten Sie immer noch genau wissen, wie der Zugriff strukturiert ist—nicht raten müssen.

• Dokumentieren Sie Ihr Modell. Schreiben Sie Ihren Berechtigungsansatz und Ausnahmen auf.
• Regelmäßig überprüfen. Verwenden Sie die Nutzungs- und Freigabeberichte des SharePoint Admin Centers (Aktive Dateien, externe Freigabe, Website-Speicher), Data Access Governance-Berichte (SAM), Microsoft 365-Nutzungsanalytik in Power BI für workload-übergreifende Trends und ShareGate zur Rationalisierung, detaillierterer Berichterstattung und Vereinfachung von Abhilfemaßnahmen.

Mit SharePoint Advanced Management und ShareGate ist ein Großteil dieser Berechtigungsbereinigung und laufenden Überwachung zugänglicher und erreichbarer als je zuvor.

‍

Inhalte mit Labels klassifizieren und schützen (Vertraulichkeit und Aufbewahrung)

Die Migration zu Microsoft