Authenticator Logo

Wenn Gäste keine Gäste sein sollen

Mit der Möglichkeit Gäste in SharePoint Online oder Microsoft Teams einzuladen wurde die Zusammenarbeit zwischen verschiedenen Unternehmen massiv vereinfacht. Auf der anderen Seite stellt diese Offenheit auch ein Problem dar, wenn es darum geht sensible Inhalte zu schützen. Neben den tollen Möglichkeiten rund um Sensitivity Labels, Data Loss Prevention & Co ist eins der effektivsten Mittel aber immer noch auf bestimmten SharePoint-Sites einfach den Guest-Access komplett zu deaktivieren. Das ist schnell im SharePoint Online Admin-Center konfiguriert und z.B. für Intranet-Seiten durchaus sinnvoll.

Jetzt gibt es aber diesen einen Ausnahmefall, bei dem die „keine Gäste auf dieser Seite“-Regel vielleicht doch nicht passt. Vielleicht ist es ein Freelancer mit dem man eng zusammenarbeitet oder ein Berater der hier Zugriff benötigt. Jetzt kann man natürlich den „klassischen“ Weg gehen und der Person einen ganz normalen Account im eigenen System anlegen, inkl. zugehöriger Lizenz. Schöner wäre es aber für alle Seiten, wenn der andere mit seinem ganz normalen Account weiterarbeiten könnte.

Hierfür hält das Azure AD die Möglichkeit per PowerShell bereit einen Gast nicht als Gast einzuladen, sondern als „normales“ Mitglied. Auch bestehende Gäste können per PowerShell konvertiert werden. Der konkrete Befehl sieht wie folgt aus:

New-AzureADMSInvitation -InvitedUserDisplayName „Max Mustermann (Gast)“ -InvitedUserEmailAddress „max.mustermann@bright-skies.de“ -SendInvitationMessage $true -InviteRedirectUrl „https://www.myapps.microsoft.com“ -InvitedUserType Member

bzw. für die Umwandlung bestehender User:

Set-AzureADUser -ObjectId 123-456789-123 -UserType Member

Die Veränderung des Gast-Nutzer-Status wirkt sich sowohl bei Conditional Access, als auch bei SharePoint Online und Microsoft 365 Groups aus. Weitere Punkte sind – nach bisherigen Tests – nicht davon betroffen.

Es gilt wie so oft: Nur weil etwas technisch machbar ist, sollte man es nicht unbedingt auch tun. Am Ende kommt es darauf an einen Plan zu haben. Die benannte Variante sollte gut durchdacht genutzt werden und eine Ausnahme sein statt der Regel. Dazu gehört eine saubere Dokumentation der so eingeladenen Externen Accounts sowie eine Betrachtung der Folgen. Dabei ist es wichtig das vollständige Conditional Access-Regelwerk des Unternehmens zu kennen, sowie die Governance-Richtlinien und konkreten Einstellungen in SharePoint. Vergisst man etwas davon passiert es leicht, dass man mit einem mal zu viele Informationen teilt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.