Die häufigsten SharePoint-Berechtigungsfehler
- Direktzugriffe statt Gruppen → schwer zu verwalten
- Vererbung aufgehoben an zu vielen Stellen
- Zu viele Site-Owners (alle Admins)
- Keine Überprüfung veralteter Berechtigungen
- Externe Shares ohne Ablaufdatum
Berechtigungsebenen verstehen
| Ebene | Beispiel |
|---|---|
| Site | Intranet-Hauptseite |
| Subsite | /abteilung/HR |
| Bibliothek | Dokumente, Bilder |
| Ordner | Unterordner in Bibliothek |
| Dokument | Einzeldatei |
Grundregel: So wenige Ebenen wie möglich aufbrechen. Berechtigungen werden von oben vererbt.
Das richtige Gruppenmodell
Connect-PnPOnline -Url "https://firma.sharepoint.com/sites/hr" -Interactive
# Standard-Gruppen pro Site
# HR-Mitarbeiter-Lesen → Members (Read Only)
# HR-Mitarbeiter → Members (Contribute)
# HR-Admins → Owners
# Eigene Gruppe erstellen
New-PnPGroup -Title "HR-Abteilung-Contribute" -Description "HR Mitarbeiter mit Schreibzugriff"
# Berechtigungsebene zuweisen
Set-PnPGroupPermissions -Identity "HR-Abteilung-Contribute" -AddRole "Contribute"
# Benutzer hinzufügen
Add-PnPGroupMember -Group "HR-Abteilung-Contribute" -LoginName [email protected]
Berechtigungen prüfen und bereinigen
# Alle Benutzer mit direktem Zugriff (ohne Gruppen) anzeigen
Get-PnPListItem -List "Shared Documents" | ForEach-Object {
Get-PnPProperty -ClientObject $_ -Property HasUniqueRoleAssignments
}
# Site-Berechtigungen auslesen
Get-PnPSiteCollectionAdmin | Select Title, Email
# Vererbung prüfen – wo ist sie aufgehoben?
Get-PnPFolder -Recurse | ForEach-Object {
$folder = Get-PnPProperty -ClientObject $_ -Property UniqueId,HasUniqueRoleAssignments
if ($_.HasUniqueRoleAssignments) {
Write-Output "Eigene Berechtigungen: $($_.ServerRelativeUrl)"
}
}
Externe Freigaben kontrollieren
# Alle externen Shares anzeigen
Get-PnPExternalUser -SiteUrl "https://firma.sharepoint.com/sites/projekte"
# External Sharing auf Tenant-Level beschränken
Set-SPOTenant -SharingCapability ExternalUserSharingOnly
# Externe Share-Links mit Ablaufdatum
Set-SPOTenant -RequireAnonymousLinksExpireInDays 30
Access Reviews (M365 Business Premium)
Azure Portal → Identity → Access Reviews → New:
- Scope: SharePoint Site-Mitgliedschaften
- Reviewer: Site Owners
- Frequency: Monatlich
- Action if no response: Remove access
Automatisch: Mitglieder die der Owner nicht bestätigt verlieren ihren Zugriff.
Sensitivity Labels für Dokumente
# Sensitivity Label für SharePoint Site erzwingen
Set-PnPSite -Identity "https://firma.sharepoint.com/sites/hr" `
-SensitivityLabel "00000000-0000-0000-0000-000000000001"
Dokumente mit Sensitivity Label "Vertraulich" können nicht extern geteilt werden.
FAQ
Wie erkenne ich ob jemand zu viele Berechtigungen hat?
M365 Copilot "SharePoint Oversharing Report" oder Azure AD Access Reviews liefern eine Übersicht.
Fazit
Strukturierte SharePoint-Berechtigungen mit Gruppen und regelmäßigen Reviews verhindern unkontrollierten Datenzugriff – besonders wichtig vor Copilot-Einführung.
SharePoint und M365 Administration für KMU in Heidelberg, Mannheim und der Rhein-Neckar-Region. Beratung anfragen.