Für den Austausch von Dateien setzen wir mit unserem Future Workplace auf SharePoint Online und OneDrive for Business. Der Einsatz bietet sich aber auch in herkömmlichen Umgebungen an. Die Funktion zum Teilen mit externen Benutzern wurde mit dem Übergang von BPOS zu Office 365 in SharePoint Online eingeführt. Microsoft hat nun zum Jahreswechsel eine Änderung im Bereich External Sharing produktiv genommen. Seit Einführung im Jahr 2011 dürfte es die grundlegendste Änderung sein. Für uns ist es Anlass genug, um einen Blick auf die Optionen für die Zusammenarbeit in **Office 365** zu werfen.

External Sharing 101 - Zusammenarbeit mit unternehmensfremden Accounts

Für das Teilen mit Externen unterscheiden wir zwei Optionen:

  • Teilen von einzelnen Ordnern oder Dateien (Single-Artifact) - basiert auf SharePoint Online und OneDrive for Business
  • Teilen auf Basis einer Gruppenzugehörigkeit (Guest-Membership) - basiert auf einer Office 365 Group und setzt die Mitgliedschaft in einer Azure AD Gruppe voraus

Links: Teilen einer Datei auf SharePoint, Rechts: Einladen eines Gates in eine Office 365 Group Links: Teilen einer Datei auf SharePoint, Rechts: Einladen eines Gastes in eine Office 365 Group

Datei- und Ordnerfreigabe aka Single-Artifact Sharing

Der Dialog zum Teilen von Dateien und Ordnern hat sich über die Jahre immer wieder verändert. Seit gut einem Jahr hat Microsoft nun den „Goldenen Weg“ für die Freigabe-Funktion von einzelnen Elementen gefunden. Für das Single-Artifact Sharing kann der Administrator in SharePoint oder OneDrive Admin Center Einschränkungen konfigurieren. In einem Tenant kann so das External Sharing komplett abgeschaltet werden oder stufenweise bis zum Anonymous Sharing alles erlaubt werden. Für jede Site Collection können abweichende, restriktivere Einstellungen getroffen werden. Für alle Freigaben über Anonymous Sharing hinaus benötigt die zugreifende Person ein Login. In der Vergangenheit hat Microsoft hier ein Office 365 Konto (Azure AD) oder ein Microsoft Account (Consumer wie Hotmail oder Xbox) vorausgesetzt. Folgender Dialog hat über Jahre die Benutzer verwirrt und Administratoren graue Haare beschert:

Login mit Organizational Account oder Microsoft Account

Anfang Oktober 2017 hat Microsoft im OneDrive Blog die Ankündigung für das Secure External Sharing Feature konkretisiert. Externe Benutzer benötigen jetzt kein “echtes” Konto für den Zugriff auf die geteilten Dateien mehr. Der Auswahldialog für “Organizational Account” und “Microsoft Account” gehört der Vergangenheit an. Beim Login wird die E-Mail abgefragt, und der Benutzer bekommt einen “Verification Code” (PIN) gesendet. Nach Eingabe des Codes kann er auf die Daten zugreifen.

Login mit Email und PIN

Für alle externen Benutzer ohne eigenen Azure AD Account ist der neue Weg einfacher und weniger Fehler anfällig. Das komplizierte Einrichten eines Microsoft Accounts für bspw. einen Gmail Benutzer entfällt und wird so übersichtlicher, da der Externe keine spezielle Identität für den Zugriff auf SharePoint Online erstellen und sich merken muss. Die Zusammenarbeit mit anderen Office 365 Kunden allerdings wird deutlich geschwächt. Das neue Secure External Sharing prüft nämlich Stand Q1 2018 nicht, ob der eingeladene Benutzer ein Azure AD Account besitzt. In unseren 100% Cloud Projekten ist die Zuverlässigkeit der Identität das Kernelement für moderne Sicherheit. Corporate Managed Devices, MFA, Conditional Access und weitere Security Features aus Office 365 und EMS schützen eine provisionierte Azure AD Identität. Das neue Secure Email Sharing Scenario verlässt sich aber nur auf die Zustellung einer PIN. Dokumente können so zum Beispiel auf beliebigen Clients geöffnet werden, da keine Conditional Access Policies greifen. Die Zugriffe der externen Logins werden aber über die Office 365 Audit log search protokolliert. Der Einsatz des neuen PIN-gesicherten Logins unterstützt aktuell auch nicht das Öffnen von Dokumenten in Office Client Anwendungen. Durch den Einsatz der Office Online Funktionen kann zumindest ein Großteil der Dokumente im Browser auch gemeinsam mit anderen Personen bearbeitet werden.

Ganzheitliches Teilen über Gruppenfreigabe aka Guest-Membership Sharing

Ist die Zusammenarbeit mit einem externen Kontakt ganzheitlicher und intensiver, so bietet es sich an, auf ein gruppenbasiertes Sharing zu setzen. Mit dem Single-Artifact Sharing können einzelne Dateien aus einem sensiblen Datentopf gezielt geteilt werden. Das Guest-Membership Sharing geht hingegen davon aus, dass der Externe genau wie jedes andere Gruppenmitglied alles sehen und schreiben darf. In Office 365 ist das über eine Office 365 Group umgesetzt. Als Schaltzentrale für modernes Teamwork setzt Microsoft auch in der Zusammenarbeit mit unternehmensfremden Identitäten auf genau dieses Konstrukt.

Gäste als Mitglieder in einer Gruppe

Konzeptionell sollte man davon ausgehen, dass alle Inhalte der Gruppe auch für externe Logins zur Verfügung stehen. Die Implementierung Stand Q1 2018 ist allerdings nicht vollständig, so dass Externe eben nicht auf alle Daten zugreifen können. Es ist aber davon auszugehen, dass Microsoft wie im Fall Microsoft Teams nachbessert. Für Microsoft Planner ist ebenfalls bereits ein Zugang für externe Nutzer in Entwicklung. Stand Q1 2018 funktioniert Guest Membership wie folgt:

  • Exchange - Weiterleitung aller Emails vom Gruppenverteiler (Benutzer ohne eigene Mailbox können vergangene Konversationen nicht einsehen, da OWA das nicht unterstützt)
  • SharePoint aka Files - vollwertiges Mitglied mit Lese- und Schreibrechten auf alle Dateien der Gruppe, allerdings können Externe kein Group-Owner werden
  • OneNote - liegt in SharePoint, daher vollumfänglicher Zugriff
  • Planner - kein Zugriff
  • Microsoft Teams - voller Zugriff auf persistenten Chat
  • Microsoft Stream - kein Zugriff

Es gibt noch weitere angeschlossene Dienste (PowerBI, etc.), und die Liste wird weiter wachsen, aber grundsätzlich ist davon auszugehen, dass alle Gruppeninhalte kurzfristig auch für Externe zugänglich sind. Der Unternehmensadministrator kann einschränkend tätig werden. Guest Group Membership kann für alle Office 365 Groups auf Tenant Ebene abgeschaltet werden, auch selektiv für bspw. Gruppen mit hoher Sicherheitsstufe. Für angeschlossene Dienste wie zum Beispiel Microsoft Teams gibt es ebenfalls grobe Stellschrauben. In Teams kann man auf Tenant Ebene die Gastfunktion deaktivieren. Allerdings braucht es einiges an Planung und Schulung, damit die Mitarbeiter des eigenen Unternehmens nicht den Überblick verlieren und Daten ohne zusätzlichen Schutz (vgl. Azure Information Protection) ungewollt preisgegeben werden.

Was ist eigentlich mit Azure AD B2B Collaboration?

Guest-Membership Sharing in Office 365 Groups setzt technisch auf die Funktionen von Azure AD B2B Collaboration auf. Für jeden Gast in einer Office 365 Group gibt es eine eindeutige Referenz im Unternehmens Azure AD des einladenden Tenants. Vor der Einführung des neuen Secure External Sharing (E-Mail + PIN) hat auch das Single-Artifact Sharing in SharePoint selber eine eindeutige Referenz im Unternehmens Azure AD erzeugt, allerdings an den Azure B2B Funktionen vorbei. Die neue Methode des Single Artifact Sharing setzt nicht mehr auf Azure AD oder Microsoft Accounts auf und verzichtet so auf Azure AD Referenzobjekte.

Fazit - Better together!

Single-Artifact Sharing ergänzt Guest-Membership Sharing. Microsoft richtet seinen Kurs auf Office 365 Groups aus, und so muss man sich zwangsläufig mit Gästen in Gruppen beschäftigen. Ist Ihr Unternehmen und, noch wichtiger, sind Ihre Benutzer noch nicht bereit für diesen Ansatz, so kann man jederzeit auf Single-Artifact Sharing zurückgreifen und externe Benutzer mit wenigen Klicks unkomplizierte auf einzelne Dateien in einer Group oder auf dem eigenen OneDrive berechtigen. Durch den gezielten Einsatz von Azure B2B Funktionen können auch kurzfristig Unzulänglichkeiten, wie der fehlende Einsatz von Office Desktop Applikationen, für Gäste umgangen werden. Wir unterstützen unsere Kunden gezielt mit Workshops, um eine maßgeschneiderte Lösung für Unternehmen zu finden und immer aktuell zu bleiben.

Kontaktieren Sie uns.