Microsoft 365 External Sharing – Dateien sicher mit externen Personen teilen
Das unbedachte Teilen Ihrer Dateien mit Personen außerhalb des Unternehmens kann ungewollte Konsequenzen haben, z. B. den unerlaubten Zugriff auf eine Datenquelle. Hier werden bestimmte Dateien dem falschen Personenkreis zugeordnet, was zu Datenverlust führen kann. Wir zeigen Ihnen, was Sie als User beim Microsoft 365 External Sharing, also bei der externen Freigabe Ihrer SharePoint-, OneDrive- und Teams-Dateien beachten sollten und welche Basis-Einstellungen wir unternehmensweit im Admin Center empfehlen.
Häufige Anforderungen beim Teilen von Dateien in Microsoft SharePoint, OneDrive- und Teams mit Personen außerhalb des Unternehmens
In unseren Orientierungs- und Governance-Workshops stellen Kunden uns häufig die Frage, wie Daten mit Personen außerhalb des Unternehmens geteilt werden können. Innerhalb von Microsoft 365 gibt es einige Funktionen, die diesen Use Case abdecken, jedoch ist der Umfang der technischen Möglichkeiten nicht immer klar. Dabei sind die Anforderungen abhängig vom Unternehmen auch sehr unterschiedlich. Wir stellen dennoch immer wieder einige Gemeinsamkeiten fest, die in den meisten Bereichen benötigt werden:
- Das Teilen von Daten mit externen Personen soll für den User einfach, aber sicher sein.
- Personen, die z. B. kein Microsoft Konto haben, sollten ebenfalls Daten empfangen können.
- Im Idealfall ist die Daten-Freigabe zeitlich begrenzt, was möglichst automatisiert durchgeführt werden sollte.
Auf diese grundlegenden Anforderungen greifen wir später zurück, um eine ideale Lösung aufzusetzen. Jedoch sollte auch hier wieder jeder Use Case individuell betrachtet werden. Eine Standardlösung für alle Fälle gibt es nicht.
Technische Möglichkeiten für die sichere Datei-Freigabe in Microsoft 365
Mit Microsoft 365 können Sie als User verschiedene Arten von Links erstellen. Diese Links haben unterschiedliche Auswirkungen bzw. Vor- und Nachteile. Wir verwenden in dieser Beschreibung eine Microsoft 365 Umgebung mit Standardeinstellungen als Ausgangslage.
Zur Freigabe von Dateien in SharePoint oder OneDrive stehen Ihnen insgesamt vier Link-Arten zur Verfügung, davon drei für Personen außerhalb des Unternehmens. Die 4. Option wird in diesem Artikel nicht behandelt, weil diese das Teilen von Daten mit externen Personen unterbindet.
Microsoft 365 External Sharing Möglichkeit 1: Anonyme Gast-Links
Mit anonymen Gast-Links können Dateien mit Personen geteilt werden, ohne dass eine Anmeldung erforderlich ist. Der große Vorteil dabei ist, dass solche Links auch für öffentlich verfügbare Informationen (z. B. auf der Webseite des Unternehmens) genutzt werden können.
Diese Link-Art bringt aber auch einige Nachteile mit sich, denn sie lässt sich einfach weiterleiten. In diesem Fall können die Dateien dann von mehreren Personen geöffnet werden. Bei öffentlich verfügbaren Informationen ist das kein Problem, es wird aber immer dann problematisch, wenn die Informationen eigentlich nur für einen bestimmten Empfängerkreis bestimmt waren.
Nutzen Sie folgende Einstellungsmöglichkeiten, um dem ein wenig entgegenzuwirken:
- Verknüpfen Sie ein Ablaufdatum mit diesen Links. Auf diesem Weg können Sie sicherstellen, dass eine Datei nach z. B. 7 Tagen nicht mehr über den Link geöffnet werden kann.
- Als zweite Sicherheitsstufe können Sie zu diesen Links zusätzlich Kennwörter vergeben. Das Passwort muss dann dem Empfängerkreis über einen anderen Weg bekannt gemacht werden. Ohne das Kennwort ist die Datei hinter dem Link nicht einsehbar.
Beide Einstellungen sind optional durch den Link-Erstellenden zu konfigurieren. Das Unternehmen kann zudem ein vorkonfiguriertes Ablaufdatum im SharePoint Admin Center erzwingen bzw. die maximale Lebensdauer eines Links einschränken.
Hinweis:
Bei jeder Link-Art können Sie festlegen, ob die Daten nur gelesen werden können oder ob der Empfängerkreis Bearbeitungsrechte erhält. Bei lesendem Zugriff kann zusätzlich auch der Download unterbunden werden.
Microsoft 365 External Sharing Möglichkeit 2: Datei-Links für neue und bereits vorhandene Gäste
Mit dieser Einstellung können Links gezielt geteilt werden.
- Bereits vorhandene Gäste sind Gastkonten, die schon im Azure Active Directory bekannt sind, wie z. B. Partner oder Dienstleister, mit welchen Sie in Projekten zusammenarbeiten.
- Neue Gäste werden im SharePoint oder OneDrive Kontext generell nicht im Azure Active Directory auftauchen, nur in den SharePoint Seiten oder OneDrive Konten, aus welchen eine Datei oder ein Ordner geteilt worden ist.
Im Grunde ist der größte Unterschied, dass diese Links gezielt an bestimmte Personen geschickt werden. Der Zugriff wird auf Basis der E-Mail-Adresse in dem betreffenden Link festgelegt. Das setzt voraus, dass die nachfolgende Einstellung auf jeden Fall konfiguriert ist. Ansonsten könnte eine eingeladene E-Mail-Adresse den Link auch an eine andere Person weiterleiten, falls der Einladungslink unbenutzt bleibt. Mit folgender Einstellung ist das nicht mehr möglich. Dann kann der Link lediglich von der E-Mail-Adresse geöffnet werden, die den Link erhalten hat.
Zusätzlich können Sie im SharePoint Admin Center auch Ablauffristen für geteilte Links festlegen, wie z. B. dass nach 90 Tagen alle Zugriffe auf in OneDrive und SharePoint geteilte Dateien entfallen.
Hinweis:
Der Besitzende der Daten kann diese Ablauffrist verlängern. Wenn es Personen gibt, die den Zugriff verlieren, wird das sowohl auf der SharePoint Seite als auch per Mail gemeldet. Sollte es Bereiche geben, in welchen der Gastzugriff nie ablaufen soll, können Sie dies im SharePoint Admin Center konfigurieren oder ganz bequem mit PowerShell.
Aus Sicht der empfangenden Person sieht der External Sharing Prozess wie folgt aus: Es wird eine Mail verschickt, dass ein Dokument freigegeben worden ist. Alternativ können Sie auch den Link kopieren und selbst eine Mail verfassen.
Wenn die empfangsberechtigte Person auf diesen Link klickt, wird sie aufgefordert, einen Prüfcode an die eingetragene E-Mail-Adresse zu schicken.
Nachdem der Prüfcode eingegeben wurde, kann die empfangsberechtigte Person das Dokument öffnen.
Microsoft 365 External Sharing Möglichkeit 3: Empfohlener Lösungsansatz ohne anonyme Gast Links
Um den oben genannten Anforderungen gerecht zu werden, empfehlen wir unseren Kunden, folgenden Lösungsansatz umzusetzen:
Microsoft 365 External Sharing Beratungstermin
Haben Sie noch weitere Fragen zum Teilen von Microsoft 365 Dateien mit Personen außerhalb des Unternehmens? Dann buchen Sie einen individuellen Beratungstermin mit unseren Experten.