Machtigingen instellen in SharePoint Online
De laatste tijd komen er veel vragen binnen over hoe de machtigingen binnen SharePoint Online het beste kunnen worden ingeregeld in combinatie met een bestaande Active Directory omgeving (ADFS koppeling). Als de Active Directory koppeling eenmaal tot stand is gebracht, wordt de authenticatie via AD geregeld (wie ben je) en de autorisatie binnen SharePoint geregeld (wat mag je). Ditzelfde principe geldt overigens ook voor een On-premise SharePoint 2010 implementatie.
SharePoint machtigingen
Om de juiste machtigingen te kunnen instellen binnen SharePoint Online is het belangrijk dat er Active Directory groepen zijn aangemaakt. Deze Active Directory groepen dienen Global Security groepen te zijn met een valide e-mail adres. Deze Active Directory groepen kunnen dan weer gekoppeld worden aan SharePoint groepen. Het is belangrijk om allereerst te begrijpen hoe het autorisatie model van SharePoint in elkaar steekt, voordat machtigingen worden uitgedeeld. We hebben niet alleen te maken met SharePoint en zijn SharePoint groepen, machtigingsgroepen en machtigingen, maar ook met Active Directory die ook groepen en gebruikers heeft die weer gebruikt kunnen worden binnen SharePoint. De onderstaande tekening geeft schematisch weer hoe de machtigingen werken binnen het SharePoint platform.
- Maak een SharePoint groep aan
- Vroeg Active Directory groepen of gebruikers toe aan de SharePoint groep
- Voeg de SharePoint groep toe aan een lijst of Site.
- Bepaal welke machtiging de groep moet krijgen op de site of lijst.
Ook al is het mogelijk om Active Directory gebruikers of groepen direct aan een site of lijst te koppelen met bepaalde machtigingen, raad ik aan om dit niet te doen. SharePoint groepen bieden namelijk extra flexibiliteit doordat deze meerdere Active Directory groepen kunnen bevatten en ze bieden meer overzicht omdat aan een SharePoint groep een eigen naam gegeven kan worden (die waarschijnlijk een duidelijkere naam krijgt dan een AD groep die 10 jaar terug is aangemaakt).
Tevens is het mogelijk een Active Directory gebruiker aan een SharePoint groep toe te voegen. Echter is het een best practice om zoveel mogelijk Active Directory groepen in SharePoint groepen te plaatsen en geen losse gebruikers. Het voordeel van het gebruik van Active Directory groepen is dat als bijvoorbeeld een nieuwe medewerker in een bepaalde Active Directory groep gezet wordt, de gebruiker ook meteen de juiste machtigingen in SharePoint heeft. Het verlaagt dus de beheerlast binnen SharePoint aanzienlijk.
SharePoint groepen
SharePoint groepen kunnen van tevoren gedefinieerd worden, zonder dat deze nog verbonden zijn met een locatie of machtigingsniveau. De interface geeft bij het aanmaken van een nieuwe groep wel de optie om direct machtigingen toe te kennen aan de huidige site, maar dit hoeft niet. Het is verstandig om de namen van de SharePoint groepen bijvoorbeeld te laten beginnen met een _ (underscore) om ervoor te zorgen dat de zelf aangemaakte groepsnamen herkenbaar zijn en altijd bovenin de lijst staan.
Denk ook aan een goede naamgeving van de groep. Een handige syntax kan bijvoorbeeld zijn:
_<Sitenaam>_<subsite>_<Listnaam> - <machtiging>
Een groepsnaam kan er dan als volgt uitzien:
_Home_Afdelingen_Documenten - Bijdragen
Nu is dus aan de groepsnaam af te lezen waar in SharePoint deze is toegepast en welke machtiging de groep op deze locatie heeft gekregen. Moet er een wijziging plaatsvinden voor een bepaalde locatie, dan hoeft men alleen maar de juiste groep op te zoeken en de wijziging aan te brengen. Dus wederom een verlaging van de beheerlast.
Machtigingen
Meestal is het afdoende om de volgende drie rechten typen te gebruiken:
1. Eigenaar - Geeft volledige rechten op de plek waar deze is toegepast (meestal op site niveau)
2. Bijdrager - Geeft het recht om bij te dragen op de plek waar deze is toegepast (meestal op een site of lijst)
3. Lezer - Geeft het recht om de informatie op de plek waar deze is toegepast te lezen (meestal de hele site verzameling)
Om leesrechten toe te kennen kun je het beste de ingebouwde SharePoint groep “Bezoekers van <Site>” te gebruiken. Als iemand geen leesrechten mag hebben op een bepaalde plek, kan de ingebouwde groep op die plek worden weggehaald en een nieuwe leesgroep voor worden aangemaakt met maar een selecte groep of personen hierin.
De volgende tabel kan helpen om de structuur van machtigingen te definiëren:
Sitecollectie1 |
||||
Sites |
Lijst |
Eigenaar |
Bijdragen |
Lezen |
Home |
Home |
Piet Zwart |
- |
Alle Medewerkers |
Ziek of afwezig |
- |
domein\Secretariaat |
Alle Medewerkers |
|
Nieuws en mededelingen |
- |
domein\Communicatie |
Alle Medewerkers |
|
Jaarplanning |
- |
domein\Secretariaat |
Alle Medewerkers |
|
Veel gestelde vragen |
- |
domein\Deelnemerservicepunt |
Alle Medewerkers |
Tot slot
Probeer zo weinig mogelijk machtigingen te breken. Dit zorgt voor hoge presentaties en een verlaging van de beheerlast.
- Probeer zoveel mogelijk de bestaande machtigingsgroepen te gebruiken.
- Om iedereen leesrechten te geven, voeg dan de groep “authenticated users” toe aan de ingebouwde SharePoint groep “Bezoekers van <Site>” toe.
- Probeer het simpel te houden. Teveel groepen, gebruikers, machtigingen etc zorgt alleen maar voor extra beheer en minder overzicht.
- Ga geen machtigingen instellen op individuele items (tenzij daar een hele goede rede voor is).
- De machtigingen van een groep of gebruiker kan handig worden gecontroleerd via de knop Machtigingen controleren.
- Gebruik SharePoint groepen en vermijd het direct toekennen van Active Directory groepen/users aan sites of lijsten.
- Plaats Active Directory groepen in SharePoint groepen ipv individuele gebruikers.
Bronnen
Security planning for sites and content
https://technet.microsoft.com/en-us/library/cc262939.aspx
Best practices for using fine-grained permissions (white paper)
https://technet.microsoft.com/en-us/library/gg128955.aspx
Software boundaries and limits
https://technet.microsoft.com/en-us/library/cc262787.aspx
-Andre