Anonymer externer Zugriff auf Gruppen und Team Seiten

Microsoft hat im Jahr 2017 das Teilen von Dokumenten oder Ordner nicht nur überarbeitet, sondern viel einfacher gemacht. So muss der Anwender nicht mehr mit dem Browser seiner Wahl auf die Webseite navigieren, um eine Freigabe durchzuführen, nein, das Ganze geht auch vom Windows Explorer aus. Im Hintergrund wird der Next Generation Sync Client dafür bemüht.

Benutzt man Windows 10 Version 1703 oder Windows 7 bzw. 8.x, so muss die zu teilende Datei synchronisiert sein. Klingt logisch, sonst sehe ich die Datei nicht im Explorer und kann sie nicht auswählen.

Bei Windows 10 Version 1709, also mit dem Windows 10 Fall Creators Update, muss die zu teilende Datei nicht mehr synchronisiert werden. Zur Erinnerung: Das Windows 10 Fall Creators Update versetzt den Benutzer mit der Funktionalität von „Files on Demand“ in die Lage, alle Dateien in SharePoint Online anzuzeigen. Natürlich nur diejenigen, auf die er auch Zugriff hat. Damit können Dateien mit Symbol und Dateinamen angezeigt werden, ohne dass diese synchronisiert werden. Dies wurde durch die Verschmelzung des Next Generation Sync Clients mit dem Windows 10 Betriebssystem erreicht. Genau genommen wurde das Dateisystem NFTS um zwei Attribute erweitert.

Teilen aus dem Windows Explorer

Möchte man eine Datei oder Ordner teilen, so wechselt man in den Windows Explorer, öffnet mit der rechten Maustaste ein Kontextmenü und wählt „Teilen“.

Dabei wird jedoch eine Internet-Verbindung benötigt, sonst wird man mit einem Fehler konfrontiert.

Bild 1

 

 

 

 

 

 

 

 

 

Link teilenÜber den Next Generation Sync Client  (NGSC)  (OneDrive.exe=) wird nun eine Verbindung mit SharePoint Online oder OneDrive for Business aufgebaut und die Rechte der Datei ausgelesen.

Bild 2

 

 

 

 

 

 

 

 

 

 

 

Link teilenKlickt man auf den Pfeil nach unten auf der rechten Seite so werden weitere Möglichkeiten aufgezeigt.

Bild 3

 

 

 

 

 

 

 

 

 

 

 

Link teilen - Anonym nicht möglichUns interessiert heute jedoch nur der oberste Eintrag, „Jeder“. Denn der kann auch ausgegraut sein.

Bild 4

 

 

 

 

 

 

 

 

 

 

 

OneDrive Admin-Center

Bei OneDrive for Business gilt standardmäßig die Einstellung:

Extern teilbar, und keine Erweiterungen.
Diese Einstellungen kann der SharePoint-Administrator im AdminCenter unter „OneDrive“ ändern. Diese Vorgaben gelten dann für OneDrive for Business  eines jeden Benutzers innerhalb des Tenant.

Bild 5

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

SharePoint Admin CenterWie sieht eine Standard-Einstellung und SharePoint Online (Gruppen, Teamsites) aus?

Die Einstellung „Freigabe für authentifizierte externe Benutzer und Verwendung anonymer Zugriffslinks zulassen“ entspricht dem ausgegrauten Teilen Menü mit jedermann (Bild 4).

 

ein Fehler?
Wechseln wir zu PowerShell

 

 

 

 

 

 

 

 

 

 

 

PowerShell Kommando zur Darstellung der Teilen-Möglichkeiten
Bild 7 zeigt sowohl die zwei Zeilen PowerShell Code, als auch das Ergebnis an. In Zeile 1 verbinden wir uns mit dem Administrationsbereich von SharePoint als Administrator (Gobaler Administrator oder SharePoint Administrator.) Danach lesen wir alle Seiten und Gruppen von SharePoint Online aus. Eine Datei der Gruppe „finance“ ist standardmäßig nach Erstellung mit dem Attribut „ExternalUserSharingonly“ versehen (roter Pfeil). Damit der Benutzer Dateien/Ordner aus dieser Gruppe auch an externe, anonyme Benutzer freigeben kann, muss das Attribut geändert werden. Dazu dient der zweite Teil im nachstehenden Bild.

PowerShell Kommando zur Darstellung der Teilen-Möglichkeiten: Hier Ändern

Sollen alle SharePoint Teamsiten für den anonymen externen Zugriff freigeschaltet werden, so hilft die nachstehende PowerShell-Zeile:

Get-SPOSite | foreach {Set-SPOSite -Identity $_.Url -SharingCapability ExternalUserAndGuestSharing}

Wird danach jedoch eine neue Teamsite oder eine Gruppe (auch von Microsoft Teams aus) angelegt, muss der Office 365 Administrator informiert werden, um diese Seite auch für externen, anonymen Zugriff freizuschalten. Das macht im Unternehmen durchaus Sinn.

Es stellt sich jedoch die Frage…

Warum muss der Administrator dazu PowerShell benutzen?
Oder anders ausgedrückt: Wird Microsoft diese Möglichkeit noch in die Administrationsoberfläche zur Verfügung stellen?

Und noch ein Wort zur Sicherheit:
Im SharePoint Admin-Center hat der SharePoint Administrator die Möglichkeit, den Freigabe-Link, für Anonyme Zugriffslinks auch noch zeitlich einzuschränken:

SharePoint Admin Center: FreigabeWie angezeigt, bleibt die Freigabe auf 30 Tage beschränkt. Diese Einschränkung gilt für alle Seiten und Gruppen des gesamten Office 365 Tenants. Der Benutzer, der den Link zu einem Dokument versendet, kann die Zeit, die der Administrator vorgegeben hat, verkürzen, nicht aber verlängern.