Gastbenutzer und externer Zugriff in Microsoft 365: Ein umfassender Leitfaden

Mit seinem Flaggschiffprodukt Microsoft 365 (ehemals Office 365) zielt Microsoft darauf ab, traditionelle Barrieren im Unternehmen abzubauen, die das Teilen von Inhalten und die Zusammenarbeit behindern. Die miteinander verbundenen Funktionen von SharePoint Online und OneDrive for Business ermöglichen es Benutzern, mit einer Vielzahl von Personen innerhalb und außerhalb der Organisation zusammenzuarbeiten.

Das Teilen von Dateien bietet zahlreiche Vorteile, birgt aber auch verschiedene Risiken. Was passiert, wenn Ihre Dateien versehentlich oder absichtlich mit den falschen Benutzern geteilt werden? Oder wenn Benutzer vertrauliche Informationen falsch handhaben? Wie können Sie die Kontrolle über Ihre Gastbenutzer behalten?

Um Sicherheitsbedenken im Zusammenhang mit der Dateifreigabe auszuräumen, müssen Sie wissen, wie Sie die beiden Freigabemechanismen in Microsoft 365 ordnungsgemäß konfigurieren:

• Zugang für Gäste: Freigeben von Inhalten für Gastmitglieder in Microsoft 365-Gruppen oder Microsoft Teams
• Externe Freigabe: Freigeben von Links zu bestimmten SharePoint- und OneDrive-Ressourcen für externe Parteien

In diesem Artikel wird erläutert, wie Sie Gastbenutzer und externe Zugriffe in Microsoft 365-Umgebungen verwalten, um die Geschäftskontinuität zu gewährleisten, ohne die Sicherheit Ihrer kritischen Daten zu gefährden:

• Gastzugang in Microsoft 365
  • Aktivieren oder Einschränken der Gastzugriffsfunktion
  • Hinzufügen eines Gastbenutzers zu einer Gruppe
  • Welche Zugriffsebene wird einem Gastbenutzer zugewiesen?
• Externe Freigabe in Microsoft 365: SharePoint Online
  • Verwalten von mandantenweiten Freigaben
    • • Verwenden des SharePoint Admin Centers
      • Verwenden des Microsoft 365 Admin Centers
    • Verwenden von Azure AD
  • Verwalten des Zugriffs auf Websiteebene für externe Benutzer in SharePoint Online
    • Ändern der Einstellungen für die externe Freigabe für eine Website
    • Beschränken Sie den Zugriff auf eine Website basierend auf der Benutzerdomäne
  • Externe Freigabe in OneDrive for Business
    • Verwalten von mandantenweiten Freigaben für OneDrive
      • Konfigurieren von Freigaben für OneDrive über das SharePoint Admin Center
      • Konfigurieren von OneDrive-Freigaben über das OneDrive Admin Center
    • Verwalten externer Freigaben für das OneDrive eines bestimmten Benutzers
  • Minimieren Sie das Risiko der unbefugten externen Weitergabe kritischer Daten
  • Häufig gestellte Fragen

Gastzugang in Microsoft 365

Microsoft 365 Gruppen sind Objekte in Azure Active Directory (Azure AD). Jedes Gruppenobjekt in Azure AD enthält Informationen, die es eindeutig identifizieren. Dazu gehören:

• Informationen zum Gruppenbesitzer
• URLs für die zugehörigen Ressourcen
• Eine Liste der Gruppenmitgliedschaften, einschließlich Gastkonten

Aktivieren oder Einschränken der Gastzugriffsfunktion

Das Gastzugriffsfeature ist standardmäßig für Microsoft 365 Mandanten aktiviert, was bedeutet, dass ein Microsoft 365 Gruppenbesitzer Benutzer mit einem geschäftlichen oder persönlichen E-Mail-Konto einladen kann, der Gruppe als Gastmitglieder beizutreten.

Microsoft 365 Administratoren können auf der Seite Microsoft 365 Gruppen im Microsoft 365 Admin Center steuern, inwieweit der externe Zugriff auf den Mandanten möglich ist. Unter Dienste und Add-Ins können Sie steuern, ob der Gastzugriff vollständig deaktiviert werden soll und ob Gruppenbesitzer Gastbenutzer einladen können.

Die Richtlinie für den Gastzugriff lässt sich auch mithilfe von PowerShell beschränken. Sie können beispielsweise:

• Gastbenutzer am Zugriff auf eine bestimmte Gruppe hindern
• den Zugriff für externe Gäste aus einer bestimmten Domäne blockieren

Hinzufügen eines Gastbenutzers zu einer Gruppe

Jedes Gruppenmitglied kann den Gastzugriff für einen externen Benutzer einer Office 365-Gruppe beantragen, doch nur der Gruppenbesitzer kann den Gastzugriff gewähren. Gastbenutzer werden einer Gruppe wie folgt hinzugefügt:

1. Der Gruppenbesitzer oder ein Gruppenmitglied beantragt über den Befehl Groups > Add Members die Gruppenmitgliedschaft für einen externen Benutzer und gibt die E-Mail-Adresse dieses Benutzers ein.
2. Der Gruppenbesitzer überprüft die Zugriffsberechtigungen, die der Gast durch seine Mitgliedschaft erhält, und genehmigt den Antrag.
3. Der Gast erhält eine Begrüßungs-E-Mail und kann sich nun an den Gruppenaktivitäten beteiligen.

Welche Zugriffsstufe ist einem Gastbenutzer zugewiesen?

Gastmitglieder einer Microsoft 365-Gruppe:

• haben keinen direkten Zugriff auf Websites der Gruppe, etwa auf eine Teamwebsite in SharePoint
• können sich über Unterhaltungen und Gruppenkalender-Einladungen, die an ihr Postfach gesendet werden, an Gruppenaktivitäten beteiligen
• können auf freigegebene Dateien in E-Mail-Nachrichten zugreifen (z. B. Anlagen oder Links), sofern der Administrator die erforderlichen Dateifreigabeberechtigungen aktiviert hat

Externe Freigabe in Microsoft 365: SharePoint Online

Die Funktionen von SharePoint Online für externe Freigaben können auf zwei Ebenen verwaltet werden:

• auf dem gesamten Microsoft 365-Mandanten, entweder über das SharePoint Admin Center, das Microsoft 365 Admin Center oder Azure AD
• auf Ebene der Website

Verwalten von mandantenweiten Freigaben

Verwenden des SharePoint Admin Center

Um externe Freigabeeinstellungen für den gesamten Mandanten zu konfigurieren, wechseln Sie im SharePoint Admin Center zur Seite Sharing. Der Bereich External sharing auf dieser Seite enthält Optionen, mit denen Sie die mandantenweite Freigabeebene in SharePoint steuern können:

• Only people in your organization: Mit dieser Option deaktivieren Sie die externe Freigabe und beschränken Freigaben auf interne Benutzer. Dies ist die Standardeinstellung für Kommunikationswebsites und klassische Websites in SharePoint. Zur Verbesserung der Sicherheit empfiehlt es sich, mandantenweite externe Freigaben mit dieser Option zu deaktivieren.
• Existing guests: Mit dieser Option erlauben Sie Freigaben für externe Benutzer, die bereits zu Ihrem Azure Active Directory hinzugefügt wurden. Dabei kann es sich um Gastbenutzer handeln, die zu einem früheren Zeitpunkt eine Einladung angenommen haben oder von einem Administrator im Azure-Portal zu Ihrem Azure Active Directory hinzugefügt wurden. Für diese Option müssen sich Gäste mit gültigen Anmeldeinformationen in Microsoft 365 authentifizieren, bevor sie Zugriff auf freigegebene Ressourcen erhalten.
• New and existing guests: Mit dieser Option gewähren Sie Websitebesitzern und -benutzern die Berechtigung „Vollzugriff“ für die Freigabe von Websites für externe Benutzer. Websitebenutzer können Dateien und Ordner ebenfalls für die Zusammenarbeit mit externen Benutzern freigeben.
• Anyone: Mit dieser Option ermöglichen Sie allen Benutzern, die über den Link zu einer Ressource verfügen, den Zugriff auf diese Ressource und das Weiterleiten des Links an andere Benutzer. Diese Option ist standardmäßig aktiviert, es empfiehlt sich jedoch, für externe Freigaben die Einstellung Only people in your organization zu wählen. Die Option Anyone sollte mit Vorsicht verwendet werden, da sie die unkontrollierte Freigabe für anonyme, authentifizierte Benutzer ermöglicht und dadurch sensible Daten gefährden könnte.

Wenn Sie die Freigabeoption Anyone wählen, können Sie die Verwaltung und Sicherheit von Dokumenten verbessern, indem Sie diese empfohlenen erweiterten Einstellungen konfigurieren:

• Stellen Sie ein, dass Links mit der Freigabeoption Anyone nach einem bestimmten Zeitraum ablaufen.
• Beschränken Sie die Funktion von Gastlinks auf die Anzeige von Dateien und Ordnern.
• Schränken Sie Standardlinks auf interne Benutzer ein, indem Sie die Zugriffsoption Only people in your organization wählen.
• Aktivieren Sie die Funktion für sichere ATP-Anlagen.
• Beschränken Sie externe Freigaben für Benutzer aus blockierten Domänen.

Verwenden des Microsoft 365 Admin Center

Sie können für SharePoint auch Freigaben auf Mandantenebene konfigurieren, indem Sie im Microsoft 365 Admin Center Settings > Services & add-ins > Sites wählen. Auf dieser Seite können Sie dieselben Optionen für externe Freigaben konfigurieren wie im SharePoint Admin Center.

Verwenden von Azure AD

Für die größtmögliche Kontrolle des externen Zugriffs auf SharePoint konfigurieren Sie die Freigabeeinstellungen in Azure AD. Hierfür gibt es zwei Vorgehensweisen:

• Definieren Sie in SharePoint eine eigene, von Azure B2B unabhängige Liste für externe Freigaben und konfigurieren Sie in Azure AD die Einstellungen für Organisationsbeziehungen. Melden Sie sich im Azure-Portal an und wählen Sie Azure Active Directory > Overview > Organizational relationships. Definieren Sie auf der Seite Settings die Einstellungen für externe Freigaben in SharePoint Online, die Sie für Ihre Organisation verwenden möchten.
• Richten Sie SharePoint so ein, das die in Azure B2B definierten Einstellungen für externe Freigaben verwendet werden, und konfigurieren Sie die B2B-Zusammenarbeit in Azure AD.

Tipp: Die in Azure AD konfigurierten Freigabeeinstellungen setzen die im Microsoft 365 Admin Center oder SharePoint Admin Center konfigurierten Freigabeeinstellungen außer Kraft. Wenn Sie beispielsweise über das Microsoft 365 Admin Center externe Freigaben erlauben, diese jedoch über Azure AD deaktivieren, hat die Azure AD-Einstellung Vorrang. Externe Freigaben sind demnach für Ihre Organisation deaktiviert.

Verwalten des Zugriffs auf Website-Ebene für externe Benutzer in SharePoint Online

Neben der Konfiguration mandantenweiter Freigaberichtlinien können Sie externe Freigaben für eine bestimmte SharePoint-Website weiter einschränken. Hierzu benötigen Sie globale Administrator- oder SharePoint-Administratorberechtigungen. Websitebesitzer können die Einstellungen für die externe Freigabe von Websites nicht ändern.

Ändern der Einstellungen für externe Freigaben für eine Website

1. Wechseln Sie im SharePoint Admin Center zu Sites > Active Sites.
2. Aktivieren Sie das Kontrollkästchen neben dem Namen der Website.
3. Klicken Sie auf das Symbol „i“ oben rechts auf der Seite.
4. Wählen Sie in der Liste der Freigabeoptionen die gewünschte Freigabeebene. Es stehen dieselben vier Freigabeoptionen zur Verfügung wie bei der mandantenweiten Konfiguration.

Tipp: Die externe Freigabeeinstellung für eine bestimmte Website muss der mandantenweiten Einstellung entsprechen oder strenger sein. Wenn beispielsweise die mandantenweite Freigabe auf die Option Existing guests beschränkt ist, kann die Freigabeeinstellung für eine bestimmte Website zu Only people in your organization geändert werden, nicht jedoch zu einer weiter gefassten Option wie Anyone.f

Ein weiteres typisches Anwendungsszenario besteht darin, dass ein globaler Administrator oder SharePoint-Administrator den Zugriff auf eine bestimmte Website für externe Benutzer aus einer bestimmten Netzwerkdomäne beschränken muss. So kann beispielsweise festgelegt werden, dass Benutzer aus der Domäne Client A nicht auf eine Website zugreifen können, die der Zusammenarbeit in der Domäne Client B dient.

Beschränken des Zugriffs auf eine Website auf Basis der Benutzerdomäne

1. Wechseln Sie im SharePoint Admin Center zu Sites > Active Sites.
2. Aktivieren Sie das Kontrollkästchen neben dem Namen der Website.
3. Öffnen Sie die Registerkarte Policies.
4. Klicken Sie unter External sharing auf Edit.
5. Aktivieren Sie unter Advanced settings for external sharing das Kontrollkästchen neben Limit external sharing by domain.
6. Klicken Sie auf Add domains.
7. Wählen Sie Allow only specific domains.
8. Geben Sie den vollqualifizierten Domänennamen (FQDN) aller Domänen ein, die Sie zur Zulassungsliste hinzufügen möchten. Nur Benutzer der Domänen in der Liste können Einladungen für die Website erhalten.

Externe Freigabe in OneDrive for Business

OneDrive for Business ist ein persönliches Repository, das für die Speicherung von Dateien oder die Synchronisierung von Dateien auf unterschiedlichen Geräten verwendet werden kann. Damit ist OneDrive so etwas wie ein Stammverzeichnis oder persönlich zugeordnetes Laufwerk, das das Speichern von Dateien auf Cloud-Speicher und das Abrufen von Dateien von beliebigen Geräten ermöglicht.

Viele Kunden nutzen OneDrive auch, um Elemente mit anderen Benutzern auszutauschen, obwohl dies nicht der ursprüngliche Verwendungszweck von OneDrive war. Administratoren können festlegen, in welchem Umfang externe Benutzer auf OneDrive-Dateien in ihrer Organisation zugreifen können.

Verwalten von mandantenweiten Freigaben für OneDrive

Mandantenweite Freigabeeinstellungen werden auf alle OneDrive-Instanzen für Benutzer Ihres Microsoft 365-Kontos angewendet. Es gibt zwei Portale, über die Sie diese Freigabeeinstellungen für OneDrive konfigurieren können:

• über die Seite Sharing im SharePoint Admin Center (Microsoft empfiehlt diese Seite für die Konfiguration Ihrer OneDrive-Freigabeeinstellungen)
• über die Seite Sharing im OneDrive Admin Center

Konfigurieren von Freigaben für OneDrive über das SharePoint Admin Center

Befolgen Sie die Anweisungen und Richtlinien im Abschnitt „Verwalten von mandantenweiten Freigaben über das SharePoint Admin Center“ weiter oben. In OneDrive stehen dieselben vier Freigabeoptionen zur Verfügung wie in SharePoint.

Tipp: Die Freigabeebene für OneDrive muss der für SharePoint entsprechen oder strenger sein. Wenn beispielsweise für die mandantenweite Freigabe in SharePoint die Option Existing guests gewählt wurde, können Sie in OneDrive lediglich dieselbe Einstellung oder die restriktivere Option Only people in your organization wählen.

Konfigurieren von Freigaben für OneDrive über das OneDrive Admin Center

1. Melden Sie sich im OneDrive Admin Center
2. Navigieren Sie zur Seite Sharing.

Hier können Sie die Ebene der externen Freigabe in OneDrive festlegen und weitere detaillierte Freigabekontrollen konfigurieren, z. B.:

• die Art des Links, der standardmäßig bei der Freigabe einer Datei durch einen Benutzer erstellt wird
• den Zeitraum, nach dem Links ablaufen
• ob das Bearbeiten und Hochladen von Berechtigungen für Links erlaubt werden soll, über die OneDrive-Dateien oder -Ordner extern freigegeben werden
• bestimmte Domänen, deren Benutzer Freigabeeinladungen erhalten können oder für Einladungen blockiert werden
• ob externe Benutzer dasselbe Konto für das Empfangen und Annehmen von Freigabeeinladungen verwenden müssen
• ob externe Benutzer Inhalte freigeben können, deren Besitzer sie nicht sind
• ob die Besitzer von Inhalten die Liste der Benutzer überwachen können, die ihre Inhalte angezeigt haben

Verwalten von externen Freigaben für das OneDrive eines bestimmten Benutzers

Um die Freigabeebene für das OneDrive eines bestimmten Benutzers anzupassen, verwenden Sie das Microsoft 365 Admin Center:

1. Melden Sie sich mit globalen Administratorberechtigungen oder SharePoint-Administratorberechtigungen im Microsoft 365 Admin Center an.
2. Wechseln Sie zu Users > Active users.
3. Wählen Sie den OneDrive-Benutzer, dessen Freigabeebene Sie ändern möchten.
4. Öffnen Sie die Registerkarte OneDrive.
5. Wählen Sie im Abschnitt Sharing die Option Manage sharing.
6. Konfigurieren Sie die externe Freigabeebene und speichern Sie Ihre Änderungen.

Tipp: Die externe Freigabeebene für ein bestimmtes OneDrive muss der mandantenweiten OneDrive-Freigabeebene entsprechen oder restriktiver sein.

Mindern des Risikos einer unzulässigen externen Freigabe von kritischen Daten

Durch Klassifizieren Ihrer Daten behalten Sie den Überblick, wo Ihre kritischen Daten gespeichert sind, und können ermitteln, ob bestimmte für externe Benutzer freigegebene Websites oder Websitesammlungen in SharePoint Online oder bestimmte OneDrive for Business-Ordner sensible Daten enthalten. Mithilfe dieser Informationen können Sie die Einstellungen für externe Freigaben abhängig davon festlegen, wie sensibel oder wertvoll die dort gespeicherten Daten sind.

Um ein umfassendes und präzises Auffinden und Klassifizieren von Daten sicherzustellen, empfiehlt sich der Einsatz einer modernen Lösung wie Netwrix Data Classification. Durch eine automatisierte und hochpräzise Kennzeichnung von Daten ermöglicht die Lösung es Ihnen, die geeigneten Freigabeeinstellungen zu wählen, und sorgt dafür, dass auch Ihre Benutzer die benötigten Daten einfach auffinden können. Die Kennzeichnung verbessert außerdem die Effektivität Ihrer Lösungen zur Verhinderung von Datenverlust, für das Information Rights Management und die Datensatzverwaltung sowie anderer Data-Governance-Lösungen, die Sie bereits nutzen oder implementieren möchten. Sie können darüber hinaus Workflows einrichten, mit denen exponierte Daten automatisch aus SharePoint Online- und OneDrive for Business-Repositories in einen speziellen Quarantänebereich verschoben werden.

Häufig gestellte Fragen

Was sind Gastbenutzer in Microsoft 365?

Ein Gast ist ein externer Benutzer, dem der Besitzer einer Microsoft 365-Gruppe die Berechtigung zur Teilnahme an Gruppenunterhaltungen, zum Erhalt von Kalendereinladungen, zum Zugriff auf freigegebene Dateien und zu Notizbuchaktivitäten erteilt hat. Microsoft 365-Gastbenutzer sind dasselbe wie Office 365-Gastbenutzer.

Was bedeutet die externe Freigabe in Microsoft 365?

Die externe Freigabe ist die Möglichkeit von SharePoint Online- und OneDrive-Benutzern, externen Benutzern Links für den Zugriff auf Dateien und Ordner zu senden. Besitzer von SharePoint-Websites können auch den Zugriff auf die Website für externe Benutzer freigeben.

Wie kann ich eine Liste der Gastbenutzer meines Microsoft 365-Mandanten anzeigen?

Verwenden Sie eine der beiden folgenden Vorgehensweisen:

• Rufen Sie im Microsoft 365 Admin Center die Seite „Guests“
• Verwenden Sie PowerShell für Azure AD und führen Sie ein Skript aus, das systematisch das Cmdlet Get-AzureADuser anwendet und die Liste der Gastbenutzer in eine CSV-Datei ausgibt.

Wie kann ich feststellen, welche externen Benutzer Zugriff auf SharePoint Online haben?

Laden Sie das SharePoint-Tool Suchabfrage herunter und befolgen Sie die in diesem Artikel des Microsoft-Supports beschriebenen Schritte, um eine Liste aller Ressourcen anzuzeigen, auf die externe Benutzer Zugriff haben.

Kann ich die externe Freigabe von Dateien in Microsoft 365 beschränken?

Ja, Sie können die externe Freigabe vollständig deaktivieren. Es gibt außerdem noch weitere Methoden, um externe Freigaben zu beschränken. Sie können beispielsweise:

• die Freigabe auf Azure AD-Gäste beschränken, die sich mit gültigen Anmeldeinformationen authentifizieren
• Links für die Freigabe von Dateien konfigurieren, die lediglich zur Anzeige der Dateien berechtigen
• festlegen, dass Benutzer aus bestimmten Netzwerkdomänen keine Freigabeeinladungen erhalten können

Wie verwalte ich externe Freigaben in Microsoft 365?

Globale Administratoren oder SharePoint-Administratoren können externe Freigaben mithilfe von PowerShell oder über eines der folgenden Portale verwalten:

• SharePoint Admin Center
• Microsoft 365 Admin Center
• OneDrive Admin Center
• Azure-Portal