SharePoint Premium bietet fortschrittliche Content-Management-Dienste für SharePoint Online und unterstützt Unternehmen bei der effizienten und effektiven Umsetzung von Content-Management-Anwendungsfällen für große Datenmengen mit KI, OCR, leichter Prozessautomatisierung und anderen Funktionen. SharePoint Premium besteht aus zahlreichen verschiedenen Funktionen, die jeweils über ein eigenes Lizenzierungsmodell verfügen, wobei die meisten davon auf Verbrauchsbasis lizenziert werden (d. h. Azure Pay-As-You-Go-Abonnement).
Microsoft hat "SharePoint Advanced Management" als Teil der SharePoint Premium-Familie eingeführt, um speziell SharePoint-Administratoren dabei zu helfen, ihre Inhalte in SharePoint Online besser zu verwalten und zu sichern. SharePoint Advanced Management besteht aus neun Funktionen, von denen jede einen anderen Bedarf an SharePoint-Sicherheit oder -Governance abdeckt. In diesem Blog werden wir jede Funktion besprechen, einschließlich ihrer Konfiguration, Lizenzierung und Anwendungsfälle, die sie lösen können.
SharePoint Advanced Management (SAM) wurde entwickelt, um Organisationen bei Sicherheits- und Governance-Anwendungsfällen in SharePoint Online zu unterstützen.
In großen Organisationen sehen wir oft Szenarien, in denen ein SharePoint-Administrator Sicherheits- oder Governance-Kontrollen für seine SharePoint-Inhalte implementieren muss, aber nicht unbedingt Zugang zu Entra ID, Purview oder Defender hat. Möglicherweise können sie auch die Administratoren dieser Services nicht zur Unterstützung heranziehen. Hier hilft SAM den SharePoint-Administratoren, die Sicherheits- und Governance-Kontrollen zu implementieren, die sie speziell für SharePoint Online-Anwendungsfälle benötigen.
Während die meisten SharePoint Premium-Funktionen hauptsächlich auf Verbrauchsbasis lizenziert werden, wird SAM auf Benutzerbasis lizenziert. Jeder Benutzer in der Organisation benötigt eine SharePoint Advanced Management Plan 1-Lizenz, um die SAM-Funktionen nutzen zu können. Einige der SAM-Funktionen sind jedoch auch über andere Lizenzen verfügbar, z. B. über eine Microsoft 365 E5-Lizenz. Wenn Sie also nur an einer oder zwei der SAM-Funktionen interessiert sind, sollten Sie prüfen, welche Lizenz erforderlich ist, da Sie möglicherweise bereits eine besitzen.
Sobald Sie den Benutzern eine SAM-Lizenz zugewiesen haben, wird die folgende Seite im SharePoint Online Admin Center angezeigt. Diese Seite enthält hilfreiche Informationen darüber, welche Funktionen zu SAM gehören, wo Sie diese konfigurieren können und wo Sie weitere Informationen erhalten.
SharePoint Advanced Management besteht aus den folgenden neun Funktionen.
Für diese Funktion ist eine Lizenz für Microsoft SharePoint Premium - SharePoint Advanced Management erforderlich.
Die Funktion "Block Download Policy" ermöglicht es einem SharePoint-Administrator, das Herunterladen von Dateien von SharePoint-Sites oder OneDrive-Konten zu blockieren, ohne "Entra Conditional Access Policies" konfigurieren zu müssen. Sie kann für einzelne Sites oder für die gesamte Organisation konfiguriert werden. Das Blockieren von Downloads hilft, das Risiko von Datenverlusten zu minimieren, indem das Herunterladen, Drucken oder Synchronisieren von Dateien von bestimmten Websites verhindert wird. Die Benutzer können weiterhin produktiv arbeiten, indem sie Dateien mit den Office-Online-Anwendungen bearbeiten.
Um diese Richtlinie zu konfigurieren, müssen Sie PowerShell verwenden. Wenn sie aktiviert ist, wird den Benutzern oben auf den Zielseiten eine Meldung angezeigt, die lautet: "Ihre Organisation erlaubt Ihnen nicht, Dateien von dieser Seite herunterzuladen, zu drucken oder zu synchronisieren". Diese Richtlinie kann bei Bedarf durch zusätzliche Parameter auch speziell auf Aufzeichnungen von Teambesprechungen ausgerichtet werden.
Ein wichtiger Anwendungsfall: Sie betriben bestimmte Websites, auf denen sehr sensible Daten gespeichert werden. Hier besteht das Risiko, dass sensible Dateien auf Geräte heruntergeladen werden, auf denen sie nicht gespeichert bleiben sollen. Die Richtlinie zum Blockieren von Downloads kann SharePoint-Administratoren dabei helfen, dieses Risiko zu minimieren. Darüber hinaus können sie einen der Parameter dieser Richtlinie verwenden, um eine gesamte Website als schreibgeschützt zu kennzeichnen.
Schließlich können Administratoren mit dieser Richtlinie das Herunterladen von Dateien blockieren, die mit einer bestimmten Sensibilitätskennzeichnung versehen sind. Wenn Sie beispielsweise Dateien haben, die als "Intern" oder "Vertraulich" gekennzeichnet sind, können Sie das Herunterladen dieser Dateien blockieren und das Herunterladen anderer Dateien, die anders gekennzeichnet sind, weiterhin zulassen.
Weitere Informationen zu zusätzlichen Parametern finden Sie unter Festlegen dieser Richtlinie für eine SharePoint-Website.
Für diese Funktion ist eine Microsoft SharePoint Premium - SharePoint Advanced Management-Lizenz erforderlich.
Mit der Funktion "Änderungsverlauf" können Administratoren detaillierte .csv-Berichte über Website-Aktionen oder Änderungen von Organisationseinstellungen erstellen, die von globalen Administratoren, SharePoint-Administratoren und Website-Administratoren vorgenommen wurden. Sie umfasst Änderungen, die innerhalb der letzten 180 Tage vorgenommen wurden. Der Zugriff auf diese Funktion erfolgt über das SharePoint Admin Center.
Der Bericht soll es Organisationen ermöglichen, Änderungen an der SharePoint-Konfiguration auf verschiedenen Ebenen der Organisation zu überwachen. Es wird empfohlen, diese Berichte regelmäßig zu überprüfen, um sicherzustellen, dass die SharePoint-Einstellungen weiterhin den Richtlinien der Organisation entsprechen. Bei der Erstellung eines Berichts können Administratoren die Daten nach Datumsbereich, Websites und Benutzern filtern. Die Erstellung des Berichts kann je nach den gewählten Kriterien einige Stunden dauern.
Weitere Informationen finden Sie unter Erstellen von Änderungsprotokollberichten.
Diese Funktion erfordert eine der folgenden Lizenzen:
Ein Authentifizierungskontext kann in Verbindung mit dem Microsoft "Entra Authentication Context" verwendet werden, um strengere Zugriffskontrollrichtlinien durchzusetzen, wenn Benutzer auf SharePoint-Inhalte zugreifen. Ein Authentifizierungskontext kann eine oder mehrere SharePoint-Websites mit einer Microsoft Entra Conditional Access-Richtlinie verbinden, so dass Benutzer, wenn sie auf diese Websites zugreifen, die Bedingungen der Richtlinie erfüllen müssen.
Ein wichtiger Anwendungsfall: Sie verfügen über hochsensible Websites deren Benutzer zusätzliche Authentifizierungs- oder Sicherheitsanforderungen erfüllen müssen, bevor sie auf diese Websites zugreifen dürfen. Diese Anforderungen können alle Bedingungen umfassen, die über Microsoft Entra Conditional Access-Richtlinien konfiguriert werden können, wie z. B. die Zustimmung zu Nutzungsbedingungen, die Verwendung von ausschließlich vom Unternehmen verwalteten Geräten oder sogar eine zusätzliche Authentifizierung über einen FIDO2-Schlüssel.
Um diese Funktion zu konfigurieren, müssen Administratoren einen Authentifizierungskontext und eine Richtlinie für bedingten Zugriff in Microsoft Entra ID konfigurieren und dann den Authentifizierungskontext über eine von zwei Methoden auf Ihre SharePoint-Website(n) anwenden:
Bei dieser Funktion gibt es einige wichtige Einschränkungen, die Sie beachten sollten:
Weitere Informationen finden Sie unter Richtlinie für bedingten Zugriff für SharePoint-Sites und OneDrive.
Für diese Funktion ist eine der folgenden Lizenzen erforderlich:
Mit den Data Governance Reports in SharePoint Advanced Management können Administratoren ihre Daten besser verwalten, indem sie Fälle von potenziellem Oversharing von SharePoint-Websites aufspüren und untersuchen. Sie ermöglichen es Administratoren auch, SharePoint-Websites zu finden, die sensible Daten enthalten.
Letztendlich können Administratoren mit diesen Berichten Websites unter den Aspekten von Oversharing und Sensibilität besser bewerten und bei Bedarf geeignete Sicherheits- und Datenschutzkontrollen anwenden. Obwohl die Berichte nicht besonders detailliert sind, enthalten sie eine Liste der Websites, auf denen Oversharing vorkommen kann, sowie die Anzahl der Dateien mit ausgewählten Sensibilitätskennzeichnungen. Zudem wird auch der Hauptadministrator der Website ersichtlich, so dass ein SharePoint-Administrator mit diesem Kontakt aufnehmen und erforderliche Maßnahmen empfehlen oder durchführen kann.
Es sind mehrere Arten von Berichten verfügbar:
Einige wichtige Einschränkungen sind:
Weitere Informationen finden Sie unter Data Access Governance-Berichte für SharePoint-Sites.
Diese Funktion wurde früher als Teil von SharePoint Advanced Management angesehen und war mit einer Microsoft SharePoint Premium - SharePoint Advanced Management-Lizenz verfügbar. Microsoft hat sie jedoch nur mit einer der Microsoft 365 E5/A5/G5-Lizenzen oder deren Sicherheits- oder Compliance-Varianten verfügbar gemacht. Weitere Informationen zur Lizenzierung finden Sie in diesem Artikel: Microsoft Purview Information Protection Sensitivity Labeling wird im SharePoint Admin Center immer noch als Feature von SharePoint Advanced Management aufgeführt.
Standardmäßige Sensitivity Labels, die für eine SharePoint-Dokumentenbibliothek konfiguriert sind, wenden eine Kennzeichnung auf alle neuen Dateien an, die innerhalb einer Bibliothek hochgeladen oder erstellt werden, sofern das Dokument nicht bereits gekennzeichnet ist oder eine Kennzeichnung mit niedrigerer Priorität hat. Diese Funktion bietet ein grundlegendes Schutzniveau für Dateien, die in einer SharePoint-Dokumentenbibliothek gespeichert sind. Sie kann auch als eine Form der automatischen Kennzeichnung verwendet werden, ohne dass eine Inhaltsprüfung konfiguriert werden muss (d. h. ohne dass Richtlinien konfiguriert werden müssen, die nach sensiblen Informationstypen oder SITs suchen).
Diese Funktion wird manchmal auch als ortsabhängige Kennzeichnung bezeichnet, da Sie automatische Kennzeichnungen konfigurieren können, die auf der Grundlage des Speicherorts eines Dokuments angewendet werden. Wenn beispielsweise ein Vertragsdokument in einer Bibliothek mit dem Namen "Vertrauliche Verträge" gespeichert ist, können Sie es automatisch mit der Sensibilitätskennzeichnung "Vertraulich" versehen lassen.
Es gibt zahlreiche Auswirkungen und Einschränkungen für diese Funktion, die Sie unbedingt kennen sollten, bevor Sie sie anwenden:
Weitere Informationen finden Sie unter Konfigurieren eines Standardsensibilitätslabels für eine SharePoint-Dokumentenbibliothek.
Für diese Funktion ist eine Microsoft SharePoint Premium - SharePoint Advanced Management-Lizenz erforderlich.
Mit dieser Funktion können Administratoren den Zugriff auf OneDrive-Inhalte nur auf Benutzer beschränken, die Mitglieder einer Sicherheitsgruppe sind. Die Richtlinie wird mithilfe von Microsoft Entra-Sicherheitsgruppen angewendet, die Zugriff auf die Dateien in OneDrive haben sollen.
Wenn diese Richtlinie konfiguriert ist, erhalten die Personen in der Sicherheitsgruppe keine Berechtigungen für Dateien in OneDrive direkt. Der OneDrive-Eigentümer muss weiterhin Dateien für die vorgesehenen Benutzer freigeben, wie er es normalerweise tun würde. Diese Richtlinie verhindert, dass Benutzer, die nicht Miglied der Sicherheitsgruppe sind, auf den OneDrive-Inhalt zugreifen können, selbst wenn sie zuvor mit ihnen geteilt wurde oder in Zukunft mit ihnen geteilt wird.
Zugriffsbeschränkungsrichtlinien werden zu dem Zeitpunkt durchgesetzt, zu dem ein Benutzer versucht, auf eine Datei zuzugreifen. Ein Benutzer sieht weiterhin Dateien in den Suchergebnissen, wenn er direkte Berechtigungen für diese hat. Er wird jedoch am Zugriff auf die Dateien gehindert, wenn er nicht Teil der angegebenen Sicherheitsgruppe ist.
Diese Funktion kann im SharePoint Admin Center oder über PowerShell konfiguriert werden.
Weitere Informationen finden Sie unter Beschränken des Zugriffs auf OneDrive-Inhalte eines Benutzers auf Personen in einer Gruppe.
Wenn ein Administrator über die Lizenz Microsoft SharePoint Premium - SharePoint Advanced Management verfügt, kann er die Aktionen nach der aktuellen Browsersitzung sehen. Wenn der Administrator nicht über diese Lizenz verfügt, kann er nur die in der aktuellen Sitzung durchgeführten Aktionen sehen. Sobald er den Browser schließt oder sich abmeldet, wird der Verlauf der letzten Aktionen gelöscht.
Mit dieser Funktion können SharePoint-Administratoren die letzten 30 Änderungen, die sie innerhalb der letzten 30 Tage an den Eigenschaften einer SharePoint-Website vorgenommen haben, im SharePoint-Admin Center überprüfen und überwachen. Diese Funktion zeigt nur die Änderungen an, die vom angemeldeten Administrator vorgenommen wurden, nicht aber von anderen Administratoren. Außerdem werden Änderungen, die auf Organisationsebene an den Eigenschaften der Website vorgenommen wurden, nicht in diesem Bereichangezeigt.
Weitere Informationen finden Sie unter Überprüfen der letzten Änderungen an SharePoint-Webseiteneigenschaften.
Für diese Funktion ist eine Microsoft SharePoint Premium - SharePoint Advanced Management-Lizenz erforderlich.
Mit dieser Funktion können Administratoren automatisierte, regelbasierte Richtlinien ausführen, um inaktive Websites zu verwalten und zu reduzieren. Sie wird manchmal auch als Richtlinie für inaktive Websites bezeichnet. Sie hilft, Wildwuchs zu reduzieren, indem inaktive SharePoint-Sites automatisch identifiziert werden.
Die Richtlinien werden im SharePoint Admin Center konfiguriert. Ein Administrator legt Kriterien für Inaktivität fest (z. B. fehlende Aktualisierungen oder Benutzeraktivität über einen bestimmten Zeitraum), und sobald diese identifiziert sind, erhalten die Eigentümer der Website automatische E-Mail-Benachrichtigungen, um den aktiven/inaktiven Status der Website zu bestätigen. Wenn ein Website-Eigentümer eine E-Mail-Benachrichtigung erhält, muss dieser, um die Website zu behalten, die Schaltfläche "Website zertifizieren" in der E-Mail auswählen. Sobald der Eigentümer die Site als aktiv zertifiziert hat, wird die Aktivität der Site ein Jahr lang nicht mehr überprüft.
Die Website-Eigentümer werden drei Monate lang monatlich benachrichtigt, dann werden für die nächsten drei Monate keine Benachrichtigungen mehr gesendet. Nach sechs Monaten werden die monatlichen Benachrichtigungen wieder aufgenommen, wenn die Site inaktiv ist. Administratoren können einen Bericht über die Ausführung der Richtlinie herunterladen und eine Liste der Websites anzeigen, die von einem Website-Besitzer aktiviert oder deaktiviert wurden.
Im SharePoint Admin Center können Administratoren innerhalb der Richtlinie für inaktive Websites auch KI-gestütz Einsicht darüber erhalten, welche Websites sie am besten bereinigen oder die sensiblen Inhalte ihrer Organisation schützen können. Sie können Muster aus dem Bericht extrahieren und eine Liste potenzieller Abhilfemaßnahmen erstellen.
Weitere Informationen finden Sie unter Verwalten von Richtlinien für den Site-Lebenszyklus.
Für diese Funktion ist eine Microsoft SharePoint Premium - SharePoint Advanced Management-Lizenz erforderlich.
Mit dieser Funktion können Administratoren den Zugriff auf SharePoint-Websites auf Benutzer beschränken, die Mitglieder einer bestimmten Gruppe sind, indem sie eine Richtlinie zur Zugriffsbeschränkung auf Websites konfigurieren. Die Beschränkung des Website-Zugriffs über die Gruppenmitgliedschaft kann dazu beitragen, das Risiko des Oversharing von Inhalten zu minimieren, insbesondere wenn Unternehmen die Nutzung einer Lösung wie Copilot für Microsoft 365 in Betracht ziehen.
Website-Zugriffsbeschränkungen müssen zunächst auf Organisationsebene konfiguriert werden, bevor sie für einzelne Websites konfiguriert werden können. Admins konfigurieren diese Richtlinie entweder über das SharePoint Admin Center oder über PowerShell.
Benutzer, die nicht der angegebenen Gruppe angehören, können nicht auf die Website oder deren Inhalt zugreifen, selbst wenn ihnen zuvor Berechtigungen oder ein freigegebener Link gewährt wurden. Die Richtlinie kann mit Gruppen-verbundenen, Team-verbundenen und nicht-Gruppen-verbundenen Microsoft 365-Sites verwendet werden. Richtlinien zur Einschränkung des Sitezugriffs werden zum Zeitpunkt des Zugriffs angewendet, wenn ein Benutzer versucht, eine Site zu öffnen oder auf eine Datei zuzugreifen. Benutzer mit direkten Berechtigungen für Dateien in einer Site mit eingeschränktem Zugriff können die Dateien weiterhin in den Suchergebnissen anzeigen. Sie können jedoch nicht auf die Dateien zugreifen, wenn sie nicht der angegebenen Gruppe angehören.
Weitere Informationen finden Sie unter Einschränken des SharePoint-Site-Zugriffs mit Microsoft 365-Gruppen und Entra-Sicherheitsgruppen.
Mit den neun besprochenen Funktionen unterstützt SharePoint Advanced Management (SAM) Unternehmen bei Sicherheits- und Governance-Anwendungsfällen innerhalb von SharePoint Online. Es bietet Administratoren relativ einfache Möglichkeiten, wichtige Sicherheits- und Governance-Kontrollen zu implementieren, um die Ausbreitung von Inhalten zu verwalten, eine übermäßige Freigabe zu verhindern und den Lebenszyklus von Inhalten zu verwalten.
Der Einstieg in SharePoint Advanced Management ist eine hervorragende Grundlage für den Informations- und Daten-Governance-Ansatz Ihres Unternehmens - insbesondere in Kombination mit einer KI-Strategie. SharePoint ist jedoch nur einer von vielen Diensten, die Informationen und Daten enthalten. Wenn Sie nach einem ganzheitlicheren Ansatz für die Microsoft 365-Governance suchen, haben Tools von Drittanbietern wie Rencore Governance einen Vorteil gegenüber der Vielzahl von Microsoft-Diensten und Verwaltungszentren. Während letztere meist auf einen Dienst beschränkt sind, decken umfassende Microsoft 365 Governance-Tools viele Anwendungsfälle in ganz Microsoft 365 ab.
Sie können Rencore Governance 30 Tage lang kostenlos testen, um zu sehen, wie wertvoll es ist, einen zentralen Ort zu haben, an dem Sie Ihre gesamte Microsoft 365 Governance lösen können.