Planen und Bereitstellen einer Dateizusammenarbeitsumgebung – SharePoint

Mit Microsoft 365-Diensten können Sie eine sichere und produktive Umgebung für die Zusammenarbeit an Dateien für Ihre Benutzer schaffen. SharePoint unterstützt vieles davon, aber die Funktionen der Dateizusammenarbeit in Microsoft 365 reichen über die herkömmliche SharePoint-Website hinaus. Teams, OneDrive und eine Vielzahl von Governance- und Sicherheitsoptionen spielen eine Rolle bei der Erstellung einer umfassenden Umgebung, in der Benutzer einfach zusammenarbeiten können und in der die vertraulichen Inhalte Ihrer Organisation sicher bleiben.

In den folgenden Abschnitten werden die Optionen und Entscheidungen aufgeführt, die Sie als Administrator beim Einrichten einer Zusammenarbeitsumgebung berücksichtigen sollten:

  • Beziehung zwischen SharePoint und anderen Diensten für die Zusammenarbeit in Microsoft 365, einschließlich OneDrive, Microsoft 365-Gruppen und Teams.

  • Wie Sie eine intuitive und produktive Zusammenarbeitsumgebung für Ihre Benutzer erstellen können.

  • Wie Sie die Daten Ihrer Organisation schützen können, indem Sie den Zugriff über Berechtigungen, Datenklassifizierungen, Governanceregeln und Überwachung verwalten.

Dies ist Teil der umfassenderen Geschichte der Microsoft 365-Zusammenarbeit:

Es wird empfohlen, das Poster microsoft Teams und die zugehörigen Produktivitätsdienste in Microsoft 365 für IT-Architekten herunterzuladen und darauf zu verweisen, während Sie diesen Artikel lesen. Dieses Poster zeigt detailliert, wie die Zusammenarbeitsdienste in Microsoft 365 miteinander in Beziehung stehen und interagieren.

Erstellen einer erfolgreichen Zusammenarbeitserfahrung

Die technischen Implementierungsoptionen, die Sie für die Dateizusammenarbeit in Microsoft 365 auswählen, sollten die scheinbar widersprüchlichen Anforderungen ausgleichen:

  • Schutz von geistigem Eigentum

  • Aktivieren von Self-Service

  • Erstellen einer reibungslosen Benutzererfahrung

Schutz von geistigem Eigentum

Es gibt mehrere Optionen, die weiter unten in diesem Artikel zum Schutz Ihres geistigen Eigentums erläutert werden. Dazu gehören das Einschränken, für wen Dateien freigegeben werden können, das Anwenden von Governancerichtlinien mithilfe von Vertraulichkeitsbezeichnungen und das Verwalten der Geräte, die Benutzer für den Zugriff auf Inhalte verwenden.

Bei der Entscheidung, welche Optionen sie wählen sollten, empfehlen wir einen ausgewogenen Ansatz:

Eine Konfiguration, die es Benutzern ermöglicht, Inhalte beliebig zu teilen, kann zur versehentlichen Freigabe von vertraulichen Daten führen. Eine Benutzeroberfläche, die schwierig zu verwenden oder zu restriktiv ist, kann jedoch dazu führen, dass Benutzer alternative Optionen für die Zusammenarbeit suchen und damit Ihre Governancerichtlinien umgehen, was letztlich zu noch größeren Risiken führt.

Durch die Verwendung einer Kombination von Features – abhängig von der Vertraulichkeit Ihrer Daten – können Sie eine Umgebung für die Zusammenarbeit erstellen, die einfach zu verwenden ist und die erforderlichen Sicherheits- und Überwachungskontrollen bereitstellt.

Aktivieren von Self-Service

In Microsoft 365 wird empfohlen, Benutzern das Erstellen von Teams, Microsoft 365-Gruppen und SharePoint-Websites nach Bedarf zu gestatten. Sie können Vertraulichkeitsbezeichnungen verwenden, um die Berechtigungsgovernance zu erzwingen, von Compliancefeatures zum Schutz Ihrer Inhalte zu profitieren und Ablauf- und Verlängerungsrichtlinien zu verwenden, um sicherzustellen, dass nicht verwendete Websites nicht akkumuliert werden.

Indem Sie Optionen wählen, die den Self-Service für Benutzer bevorzugen, können Sie die Auswirkungen auf Ihre IT-Mitarbeiter minimieren und gleichzeitig ein einfacheres Erlebnis für Ihre Benutzer schaffen.

Erstellen einer reibungslosen Benutzererfahrung

Der Schlüssel zu einer reibungslosen Benutzererfahrung besteht darin, Barrieren für Ihre Benutzer zu vermeiden, die sie nicht verstehen oder die sie an Ihren Helpdesk eskalieren müssen. Beispielsweise kann das Deaktivieren der externen Freigabe für eine Website zu Verwirrung oder Frustration der Benutzer führen. während die Bezeichnung der Website und ihrer Inhalte als vertraulich und die Verwendung von Richtlinien zur Verhinderung von Datenverlust und E-Mails, um Ihre Benutzer in Ihren Governancerichtlinien aufzuklären, zu einer viel reibungsloseren Erfahrung für sie führen kann.

SharePoint, Microsoft 365-Gruppen und Teams

In SharePoint in Microsoft 365 ist jede SharePoint-Teamwebsite Teil einer Microsoft 365-Gruppe. Eine Microsoft 365-Gruppe ist eine einzelne Berechtigungsgruppe, die einer Vielzahl von Microsoft 365-Diensten zugeordnet ist, einschließlich einer SharePoint-Website, einer Instanz von Planner, einem Postfach, einem freigegebenen Kalender und anderen. Wenn Sie der Microsoft 365-Gruppe Besitzer oder Mitglieder hinzufügen, erhalten diese Zugriff auf die SharePoint-Website zusammen mit den anderen verbundenen Diensten.

Sie können SharePoint-Websiteberechtigungen weiterhin separat mithilfe von SharePoint-Gruppen verwalten, es wird jedoch empfohlen, Berechtigungen für SharePoint zu verwalten, indem Sie Personen zur zugeordneten Microsoft 365-Gruppe hinzufügen oder daraus entfernen. Dies erleichtert die Verwaltung und gibt Benutzern Zugriff auf eine Vielzahl verwandter Dienste, die sie für eine bessere Zusammenarbeit verwenden können.

Microsoft Teams bietet einen Hub für die Zusammenarbeit, indem alle gruppenbezogenen Microsoft 365-Dienste sowie verschiedene Microsoft Teams-spezifische Dienste in einer zentralen Benutzeroberfläche mit beständigem Chat zusammengeführt werden. Teams verwendet die zugeordnete Microsoft 365-Gruppe, um ihre Berechtigungen zu verwalten. Innerhalb der Microsoft Teams-Umgebung können Benutzer direkt auf SharePoint und die übrigen Dienste zugreifen, ohne die Anwendung wechseln zu müssen. Damit wird ein zentraler Ort für die Zusammenarbeit und die Möglichkeit, Berechtigungen von einer einzigen Stelle aus zu verwalten, bereitgestellt. Teams verwendet die SharePoint-Website, die mit der Microsoft 365-Gruppe verbunden ist, für Dateien in Standardkanälen und erstellt separate SharePoint-Websites für jeden privaten oder freigegebenen Kanal. Für Zusammenarbeitsszenarien in Ihrer Organisation wird dringend empfohlen, Teams zu verwenden, anstatt Dienste wie SharePoint unabhängig zu verwenden.

Informationen zur Interaktion zwischen SharePoint und Teams finden Sie unter Übersicht über die Integration von Teams und SharePoint und Verwalten von Einstellungen und Berechtigungen wenn SharePoint und Teams integriert sind.

Zusammenarbeit in Clientanwendungen

Office-Anwendungen wie Word, Excel und PowerPoint bieten eine Vielzahl von Funktionen für die Zusammenarbeit, einschließlich der gemeinsamen Dokumenterstellung und @mentions, und sind auch in Vertraulichkeitsbezeichnungen und die Verhinderung von Datenverlust integriert (siehe unten).

Es wird dringend empfohlen, Microsoft 365 Apps for Enterprise bereitzustellen. Microsoft 365 Apps for Enterprise bietet Ihren Benutzern eine immer aktuelle Erfahrung mit den neuesten Features und Updates, die nach einem Zeitplan bereitgestellt werden, den Sie steuern können.

Ausführliche Informationen zum Bereitstellen von Microsoft 365 Apps for Enterprise finden Sie im Bereitstellungshandbuch für Microsoft 365 Apps.

OneDrive-Bibliotheken

Während SharePoint freigegebene Bibliotheken für freigegebene Dateien bereitstellt, an denen Teams zusammenarbeiten können, verfügen Benutzer auch über eine einzelne Bibliothek in OneDrive, in der sie Dateien speichern können, die sie besitzen.

Wenn ein Benutzer eine Datei zu OneDrive hinzufügt, wird diese Datei nicht für andere Personen freigegeben. OneDrive bietet die gleichen Freigabefunktionen wie SharePoint, sodass Benutzer Dateien nach Bedarf in OneDrive freigeben können.

Auf die individuelle Bibliothek eines Benutzers kann über Teams sowie über die OneDrive-Weboberfläche und die mobile Anwendung zugegriffen werden.

Auf Geräten mit Windows oder macOS können Benutzer die OneDrive-Synchronisierungs-App installieren, um Dateien von OneDrive und SharePoint auf ihren lokalen Datenträger zu synchronisieren. Dies ermöglicht es ihnen, offline an Dateien zu arbeiten, und bietet auch den Komfort, Dateien in ihrer nativen Anwendung (wie Word oder Excel) zu öffnen, ohne die Weboberfläche wechseln zu müssen.

Die beiden wichtigsten Entscheidungen für die Verwendung von OneDrive in Szenarien für die Zusammenarbeit sind:

Diese Einstellungen sind im SharePoint Admin Center verfügbar.

Schützen Ihrer Daten

Ein großer Teil einer erfolgreichen Lösung für die Zusammenarbeit besteht darin, sicherzustellen, dass die Daten Ihrer Organisation sicher bleiben. Microsoft 365 bietet eine Vielzahl von Features, die Ihnen helfen, Ihre Daten zu schützen und gleichzeitig eine nahtlose Zusammenarbeit für Ihre Benutzer zu ermöglichen.

Um die Informationen Ihrer Organisation zu schützen, haben Sie folgende Möglichkeiten:

  • Steuern der Freigabe : Durch das Konfigurieren von Freigabeeinstellungen für jede Website, die für die Art der Informationen auf der Website geeignet sind, können Sie einen Bereich für die Zusammenarbeit für Benutzer erstellen und gleichzeitig Ihr geistiges Eigentum schützen.

  • Klassifizieren und Schützen von Informationen : Indem Sie die Arten von Informationen in Ihrer Organisation klassifizieren, können Sie Governancerichtlinien erstellen, die ein höheres Maß an Sicherheit für vertrauliche Informationen bieten im Vergleich zu Informationen, die frei freigegeben werden sollen.

  • Verwalten von Geräten : Mit der Geräteverwaltung können Sie den Zugriff auf Informationen basierend auf Gerät, Standort und anderen Parametern steuern.

  • Überwachen von Aktivitäten : Durch die Überwachung der Zusammenarbeitsaktivität in Teams und SharePoint können Sie Einblicke in die Verwendung der Informationen Ihrer Organisation erhalten. Sie können auch Warnungen festlegen, um verdächtige Aktivitäten zu kennzeichnen.

  • Schutz vor Bedrohungen : Indem Sie Richtlinien verwenden, um schädliche Dateien in SharePoint, OneDrive und Teams zu erkennen, können Sie dazu beitragen, die Sicherheit der Daten und des Netzwerks Ihrer Organisation zu gewährleisten.

Diese werden im Folgenden jeweils ausführlicher erläutert. Es gibt viele Optionen zur Auswahl. Abhängig von den Anforderungen Ihrer Organisation können Sie die Optionen auswählen, die Ihnen das beste Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit bieten. Wenn Sie in einer stark regulierten Branche arbeiten oder mit streng vertraulichen Daten arbeiten, sollten Sie weitere dieser Kontrollen einsetzen. Wenn die Informationen Ihrer Organisation nicht vertraulich sind, sollten Sie sich jedoch auf grundlegende Freigabeeinstellungen und böswillige Dateiwarnungen verlassen.

Steuern der Freigabe

Die Freigabeeinstellungen, die Sie für SharePoint und OneDrive konfigurieren, bestimmen, mit wem Ihre Benutzer innerhalb und außerhalb Ihrer Organisation zusammenarbeiten können. Abhängig von Ihren geschäftlichen Anforderungen und der Vertraulichkeit Ihrer Daten haben Sie folgende Möglichkeiten:

  • Die Freigabe für Personen außerhalb Ihrer Organisation ist nicht zulässig.

  • Personen außerhalb Ihrer Organisation müssen sich authentifizieren.

  • Schränken Sie die Freigabe auf angegebene Domänen ein.

Sie können diese Einstellungen für die gesamte Organisation oder für jeden Standort unabhängig konfigurieren (mit Ausnahme von privaten oder freigegebenen Kanalwebsites). Ausführliche Informationen finden Sie unter Aktivieren oder Deaktivieren der Freigabe und Aktivieren oder Deaktivieren der Freigabe für eine Website.

Weitere Informationen zur Freigabe für Personen außerhalb Ihrer Organisation finden Sie unter Einschränken der versehentlichen Gefährdung von Dateien bei der Freigabe für Gäste .

Wenn Benutzer Dateien und Ordner freigeben, wird ein freigabefähiger Link erstellt, der über Berechtigungen für das Element verfügt. Es gibt drei primäre Linktypen:

  • Jeder : Links, die für jeden geeignet sind und keine Anmeldung erfordern
  • Personen in Ihrer Organisation : Links, die für Benutzer in Ihrer Organisation funktionieren
  • Bestimmte Personen : Links, die für die Personen funktionieren, die beim Erstellen des Links angegeben wurden

Weitere Informationen zu diesen Linktypen finden Sie unter Funktionsweise freigegebener Links in OneDrive und SharePoint in Microsoft 365.

Nicht authentifizierter Zugriff mit Jeder-Links

Jeder-Links sind eine hervorragende Möglichkeit, Dateien und Ordner ganz einfach für Personen außerhalb Ihrer Organisation freizugeben. Wenn Sie jedoch vertrauliche Informationen freigeben, ist dies möglicherweise nicht die beste Option.

Wenn Sie die Authentifizierung von Personen außerhalb Ihrer Organisation anfordern, sind Alle Links für Benutzer nicht verfügbar, und Sie können Gastaktivitäten für freigegebene Dateien und Ordner überwachen.

Obwohl Jeder-Links keine Authentifizierung von Personen außerhalb Ihrer Organisation erfordern, können Sie die Verwendung von Jeder-Links nachverfolgen und den Zugriff bei Bedarf widerrufen.

Wenn Sie Jeder-Links zulassen möchten, gibt es mehrere Optionen, die Freigabe sicherer zu machen.

Sie können Jeder-Links auf schreibgeschützt einschränken. Sie können auch ein Ablaufzeitlimit festlegen, nach dem der Link nicht mehr funktioniert.

Eine weitere Möglichkeit besteht darin, einen anderen Linktyp zu konfigurieren, der dem Benutzer standardmäßig angezeigt wird. Dadurch können Sie die Risiken einer versehentlichen ungeeigneten Freigabe minimieren. Wenn Sie z. B. Jeder-Links zulassen möchten, aber bedenken, dass sie nur für bestimmte Zwecke verwendet werden, können Sie den Standardlinktyp auf Bestimmte Personenlinks oder Personen in Ihrer Organisation festlegen, anstelle von "Jeder "-Links. Benutzer müssten dann Jeder-Links explizit auswählen, wenn Sie eine Datei oder einen Ordner freigeben.

Sie können auch die Verhinderung von Datenverlust verwenden, um den Zugriff auf Jeder-Links auf Dateien einzuschränken, die vertrauliche Informationen enthalten.

Links zu Personen in Ihrer Organisation

Personen in Ihrer Organisation sind eine hervorragende Möglichkeit, Informationen innerhalb Ihrer Organisation freizugeben. Personen in Ihrer Organisation-Links funktionieren für jeden in Ihrer Organisation, sodass Benutzer Dateien und Ordner für Personen freigeben können, die nicht Teil eines Teams oder Mitglieder einer Website sind. Der Link, wenn er eingelöst wird, ermöglicht den Zugriff auf die jeweilige Datei oder den jeweiligen Ordner und kann innerhalb der Organisation übergeben werden. Dies ermöglicht eine einfache Zusammenarbeit mit Projektbeteiligten aus Gruppen, die möglicherweise über separate Teams oder Websites verfügen – z. B. Design-, Marketing- und Supportgruppen.

Wenn Sie einen Personen-Link in Ihrer Organisation erstellen, wird die zugeordnete Datei oder der zugehörige Ordner nicht in den Suchergebnissen angezeigt, über Copilot zugänglich sein oder allen Personen innerhalb der Organisation Zugriff gewähren. Das einfache Erstellen dieses Links bietet keinen organisationsweiten Zugriff auf den Inhalt. Damit Personen auf die Datei oder den Ordner zugreifen können, müssen sie den Link besitzen, und er muss durch Einlösung aktiviert werden. Ein Benutzer kann den Link einlösen, indem er darauf klickt, oder in einigen Fällen kann der Link automatisch eingelöst werden, wenn er per E-Mail, Chat oder anderen Kommunikationsmethoden an jemanden gesendet wird. Der Link funktioniert nicht für Gäste oder andere Personen außerhalb Ihrer Organisation.

Bestimmte Personenlinks

Bestimmte Personenlinks eignen sich am besten für Situationen, in denen Benutzer den Zugriff auf eine Datei oder einen Ordner einschränken möchten. Der Link funktioniert nur für die angegebene Person, und sie muss sich authentifizieren, um ihn verwenden zu können. Diese Links können intern oder extern sein (wenn Sie die Gastfreigabe aktiviert haben).

Klassifizieren und Schützen von Informationen

Microsoft Purview Data Loss Prevention bietet eine Möglichkeit, Ihre Teams, Gruppen, Websites und Dokumente zu klassifizieren und eine Reihe von Bedingungen, Aktionen und Ausnahmen zu erstellen, um zu steuern, wie sie verwendet und freigegeben werden.

Indem Sie Ihre Informationen klassifizieren und Governanceregeln um sie herum erstellen, können Sie eine Umgebung für die Zusammenarbeit erstellen, in der Benutzer problemlos miteinander arbeiten können, ohne versehentlich oder absichtlich vertrauliche Informationen unangemessen zu teilen.

Wenn Sie Richtlinien zur Verhinderung von Datenverlust eingerichtet haben, können Sie ihre Freigabeeinstellungen für eine bestimmte Website relativ großzügig nutzen und sich auf die Verhinderung von Datenverlust verlassen, um Ihre Governanceanforderungen zu erzwingen. Dies bietet eine benutzerfreundlichere Benutzererfahrung und vermeidet unnötige Einschränkungen, die Benutzer möglicherweise umgehen möchten.

Ausführliche Informationen zur Verhinderung von Datenverlust finden Sie unter Informationen zur Verhinderung von Datenverlust.

Vertraulichkeitsbezeichnungen

Vertraulichkeitsbezeichnungen bieten eine Möglichkeit, Teams, Gruppen, Websites und Dokumente mit beschreibenden Bezeichnungen zu klassifizieren, die dann verwendet werden können, um einen Governanceworkflow zu erzwingen.

Die Verwendung von Vertraulichkeitsbezeichnungen hilft Ihren Benutzern, Informationen sicher zu teilen und Ihre Governancerichtlinien zu verwalten, ohne dass Benutzer zu Experten für diese Richtlinien werden müssen.

Sie können z. B. eine Richtlinie konfigurieren, die erfordert, dass Microsoft 365-Gruppen, die als vertraulich klassifiziert sind, privat und nicht öffentlich sind. In einem solchen Fall wird einem Benutzer, der eine Gruppe, ein Team oder eine SharePoint-Website erstellt, nur die Option "privat" angezeigt, wenn er eine Klassifizierung als vertraulich wählt. Informationen zur Verwendung von Vertraulichkeitsbezeichnungen für Teams, Gruppen und Websites finden Sie unter Verwenden von Vertraulichkeitsbezeichnungen zum Schützen von Inhalten in Microsoft Teams, Microsoft 365-Gruppen und SharePoint-Websites.

Bedingungen und Aktionen

Mit Bedingungen und Aktionen zum Schutz von Datenverlust können Sie einen Governanceworkflow erzwingen, wenn eine bestimmte Bedingung erfüllt ist.

Dazu gehören:

  • Wenn Kundeninformationen in einem Dokument erkannt werden, können Benutzer dieses Dokument nicht für Gäste freigeben.

  • Wenn ein Dokument den Namen eines vertraulichen Projekts enthält, können Gäste das Dokument auch dann nicht öffnen, wenn es für sie freigegeben wurde.

Weitere Informationen finden Sie unter Informationen zur Verhinderung von Datenverlust.

Bedingter Zugriff

Der bedingte Zugriff von Microsoft Entra bietet zusätzliche Steuerelemente, um zu verhindern, dass Benutzer in risikobehafteten Situationen auf die Ressourcen Ihrer Organisation zugreifen, z. B. von einem nicht vertrauenswürdigen Standort oder von Geräten, die nicht auf dem neuesten Stand sind.

Dazu gehören:

  • Blockieren der Anmeldung von Gästen an riskanten Standorten

  • Mehrstufige Authentifizierung für mobile Geräte erforderlich

Sie können Zugriffsrichtlinien erstellen, die speziell für Gäste gelten, sodass Personen, die wahrscheinlich über nicht verwaltete Geräte verfügen, Risikominderungen ermöglichen.

Ausführliche Informationen finden Sie unter Was ist bedingter Zugriff?.

Überwachung mit Berichten

In Microsoft 365 stehen eine Vielzahl von Berichten zur Verfügung, mit denen Sie die Websitenutzung, die Dokumentfreigabe, die Governancekonformität und eine Vielzahl anderer Ereignisse überwachen können.

Informationen zum Anzeigen von Berichten zur SharePoint-Websitenutzung finden Sie unter Microsoft 365-Berichte im Admin Center – SharePoint-Websitenutzung.

Informationen zum Anzeigen von Berichten zur Verhinderung von Datenverlust finden Sie unter Anzeigen der Berichte zur Verhinderung von Datenverlust.

Informationen zu Berichten, mit denen Sie die Inhaltsfreigabe überwachen können, finden Sie unter Datenzugriffsgovernanceberichte für SharePoint-Websites.

Erstellen einer sicheren Gastfreigabeumgebung

Bewährte Methoden zum Freigeben von Dateien und Ordnern für nicht authentifizierte Benutzer

Microsoft Syntex – Übersicht über die erweiterte SharePoint-Verwaltung