Governance & Compliance Logo

SharePoint File Governance Szenarien mit Cloud App Security

Heute geht’s wie im letzten Blogartikel versprochen um File Governance Szenarien in SharePoint und wie man die Cloud App Security hierfür nutzen kann. Voraussetzungen für die Nutzung sind der Einsatz von “Vertraulichkeitsbezeichnungen” bzw. “Sensitivity Labels” sowie der Einsatz von SharePoint oder OneDrive for Business. Prinzipiell lassen sich aber auch andere SaaS Apps von Hersteller wie Google oder Amazon anbinden. Unabhängig von Inhalten in den Dateien ist es häufig notwendig bei bestimmten Events der Datei selbst zu reagieren. Hierfüre stellt ich zwei Szenarien vor die man mit Richtlinien der Cloud App Security lösen kann.

  1. Szenario: Wird ein Dokument mit externen oder anonymen Benutzern geteilt und hat keine Vertraulichkeitsbezeichnung dann wird die Vertraulichkeitsbezeichnung „Öffentlich“ zugewiesen
  2. Szenario: Wird ein Dokument mit der Vertraulichkeitsbezeichnung „Vertraulich“ mit externen Benutzern geteilt einer unauthorisierten Domäne geteilt (gmail.com oder web.de), wird es in die Admin-Quarantäne verschoben sowie der Dateibesitzer benachrichtigt.
Szenario 1

Im Cloud App Security Portal unter „Control“ auf „Policies navigieren“. Danach eine neue „File Policy“ erstellen. Um externe Benutzer von internen zu unterschieden wird der Filter „Access level“ auf „Public, Public (Internet) und External“ gesetzt. Wurde die Datei nicht klassifiziert, so werden die nachfolgenden Governance Actions ausgeführt. In diesem Fall setzen wir immer die Vertraulichkeitsbezeichnung auf „Öffentlich“ und benachrichtigen den Dateibesitzer sowie eine spezifische Person.

Szenario 1: File Policy Wizard
Szenario 1: File Policy Wizard
Szenario 2

Um Dateien automatisiert in die Admin-Quarantäne zu verschieben ist vorab die Einstellung im Cloud App Security Portal zu setzen. Hierbei bestimmt man den Zielort der Quarantäne welcher auf eine bestimmte Site Collection in SharePoint/OneDrive for Business gesetzt werden kann. Wird also eine Datei mit dem Klassifizierungslabel „Vertraulich“ mit öffentlichen oder externen Benutzern geteilt und diese gehören zu einer bestimmten unauthorisierten Domäne (in diesem Fall gmail.com oder web.de), dann wird die Datei in die Admin Quarantäne (also eine bestimmte Site Collection) verschoben und unzugänglich für Dateibesitzer gemacht. Es liegt dann an den Administratoren wie mit der Datei umgegangen wird. Übrigens kann die „User quarantine“ die Administratoren vor diesem Aufwand entlasten.

Szenario 2: File Policy Wizard
Szenario 2: File Policy Wizard

Für jede Regel die dann auf Dateien eintritt werden „Alerts“ erstellt. Auf Basis dieser Alerts kann man dann auch Power Automate Workflows verknüpfen und weitere Szenarien und Systeme anbinden. Mit der Cloud App Security und den Richtlinien lassen sich sicherlich noch weitere interessante Anwendungsfälle umsetzen die über die Funktionalitäten der „Auto-apply“ Features hinausgehen und somit ganz andere Governance Szenarien ermöglichen – und das auch abseits von Microsoft 365 Diensten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.