Gebruikersrechten, klassieke sites en Office Groups, hoe zit het nu?

SharePoint Online is inmiddels al vele jaren in gebruik voor het online samenwerken en opslaan van documenten. De afgelopen jaren heeft Microsoft verschillende ontwikkelingen gedaan aan de interface van SharePoint Online. Tevens is de functionaliteit rondom samenwerken enorm uitgebreid. Een van deze nieuwe ontwikkelingen is het koppelen van beveiligingsgroepen (Office Groups) aan SharePoint sites. Als je werkt met zogenaamde ‘klassieke’ SharePoint sites, is er de mogelijkheid om deze te moderniseren. Hierdoor krijgt de site een nieuw fris (modern) uiterlijk en is het ook mogelijk een ‘Office Groups‘ te koppelen aan je site. 

Beter beheer

Door het koppelen van een Office Group wordt het mogelijk om het beheren en beveiligen van SharePoint sites sterk te verbeteren. Waar er voorheen allerlei zaken via instellingen op de site zelf geregeld moesten worden, kunnen we de groepen beheren op centraal niveau, met behulp van beleidsregels. Ook vanuit het informatiebeveiligingsbeleid van organisaties en wetgeving (bijvoorbeeld de AVG) is dit vaak zeer gewenst. Zo kunnen Office Groups (en dus ook de SharePoint sites) geclassificeerd worden op basis van de gevoeligheid van informatie. Met deze classificatie wordt bijvoorbeeld weer bepaald of een site extern gedeeld mag worden, of welke beveiliging van toepassing is. 

Betere gebruikerservaring

Naast deze technische reden, is het ook voor gebruikers een positieve verandering. Zo verandert te lay-out naar een snel en modernere versie. Tevens is de SharePoint site responsive, wat wil zeggen dat deze ook goed te gebruiken is op je telefoon of tablet. Ook wordt het mogelijk om andere tooling als Microsoft TeamsMicrosoft Planner, Flow, Power BI en PowerApps te gaan integreren in de SharePoint site. Door het upgraden is daarom SharePoint weer toekomst vast. 

Door het moderniseren van een SharePoint site en het koppelen van een Office Group, verandert er het een en ander qua rechten van gebruikers. Zo krijgen gebruikers van de site meer rechten om de site in te richten naar eigen inzicht. Onderstaand overzicht geeft een goed beeld van de veranderingen. 

Eigenaren 

Veel organisaties kennen wel eigenaren van een site, maar deze zijn vaak ingericht met een beperkte set van rechten. Het is immers een risico als een gebruiker, ook al is deze eigenaar, bijvoorbeeld een site weg gooit, of bijvoorbeeld site onderdelen activeert. Op de gemoderniseerde sites (met een Office Group) worden deze eigenaren ook echt de eigenaar van de groep, waarmee ze de permissies en instellingen van de groep zelf kunnen beheren. In feite krijgt de eigenaar de verantwoordelijkheid over de site en de content die erop staat. Dit heeft voordelen, omdat aanpassingen niet meer via Office 365 beheer hoeven te verlopen. Ook mogen eigenaren andere eigenaren uitnodigen op een SharePoint site. We maken hierbij een duidelijk onderscheid tussen de inhoud (content en proces) en het (beveiligings-)beleid wat moet gelden op een SharePoint site. 

Leden

Met het koppelen van een Office Group aan een SharePoint site, gaan we meeliften op het permissiemodel van deze groepen. Hierin zijn twee niveaus te onderscheiden: eigenaren (zie punt hierboven) en leden. In de oude SharePoint site, hebben leden vaak (afhankelijk van de inrichting natuurlijk) bijdragen rechten. Dit betekent dat alleen documenten en lijstitems bewerkt mogen worden, maar dat leden geen mogelijkheid hebben om de SharePoint site zo te laten werken wat voor hen prettig is. In de moderne SharePoint sites krijgen leden de mogelijkheid om de inhoud (waarmee ook de lijsten worden bedoeld), zo in te richten, dat deze aansluiten bij de manier van werken die prettig is voor de gebruiker.   

In de meeste gevallen is dit een prettige bijkomstigheid voor de gebruikers van de site, echter in sommige gevallen is het verstandig om werkafspraken te maken om zo vervuiling op de site tegen te gaan. In een samenwerkingsverband hebben alle leden van een site een gezamenlijk doel. De visie hier is dat ook dat leden de verantwoordelijkheid over de content dan ook gezamenlijk kunnen dragen.  

Afwijken van rechten

Het is mogelijk om af te wijken van het eigenaren-leden rechtenmodel. Dit kan door in de SharePoint site specifieke SharePoint permissies in te stellen. Als je een site met Office Group gebruikt, is dit echter af te raden, omdat je hiermee ook afwijkt van het model van rechten op de andere gekoppelde Office 365 tools als Planner en Teams.

Visie op samenwerken

Samengevat is het aansluiten op het rechtenmodel van Office Groups voor samenwerksites een groot voordeel (veel extra functionaliteit, modern en snel jasje en weer toekomst vast), maar moet rekening worden gehouden met de vrijheid die gebruikers krijgen op een SharePoint site. Een groep die samenwerkt op een SharePoint site welke gekoppeld is aan een Office Group, heeft zelf de verantwoordelijkheid om juist om te gaan met de informatie op de site. Hierbij wordt het onderscheid gemaakt tussen het beleid wat geldt op een site (onder regie van beheer) en de inhoud en structuur van de site (onder regie van de (eind)gebruiker).  Door de rechtengroepen ‘Eigenaren’ en ‘Leden’ te hanteren sluit je met de groep waarmee je samenwerkt aan op alle andere tooling van Office 365. 

Mocht je meer informatie over wanneer je nu wel en wanneer je niet een Office Group wilt gebruikt, lees dan ook dit artikel.

Uitnodigen leden in Microsoft Teams verandert

Binnenkort wordt een nieuwe feature uitgerold in Microsoft Teams. Voor leden van een team wordt het makkelijk om andere gebruikers uit te nodigen. Dit zal gaan middels een uitnodiging en een aanvraag welke naar de eigenaar van het team wordt verstuurd. Als de eigenaar dit goedkeurt, wordt de gebruiker automatisch toegevoegd aan het team. Het een en ander wordt beschreven in de Microsoft Roadmap.

Office Groups, wanneer wel en wanneer niet?

Er zijn in het ‘moderne’ Office 365 landschap verschillende manieren van toegang verlenen voor gebruikers. Het inrichten van het permissiemodel is een fundamentele keuze en daarom erg belangrijk. Goed om duidelijk te hebben welke consequenties die keuze heeft. Wellicht dat dit artikel kan helpen in het uitwerken van deze keuzes.

Als je naar SharePoint kijkt, is er een tweetal type sites te onderscheiden:

  • Samenwerken binnen een groep (in de brede zin van het woord);
  • Publiceren van content, denk hierbij aan portalen of publicatie van documenten voor inzage.

Samenwerken binnen een groep

Bij het samenwerken binnen een groep, is het verstandig vast te houden aan de architectuur van Office Groups. Office Groups zijn als het ware beveiligingsgroepen in de AAD (Azure Active Directory), waarin de permissies voor die groep te beheren is. Dit heeft grote voordelen als het gaat om beheersbaarheid, maar ook de toegang, omdat het overweg kan met de functies binnen de AAD en zaken als conditional access en identity management.

groups_5
Voorbeeld van een Office Group in de AAD

Je kan de groepen beschouwen als onderdeel van IDM (het mechanisme/proces waarmee je gebruikers beheert), waarmee de controle in inzichten mee kunnen liften met de AAD. Office Groups hebben één groot punt waarmee rekening gehouden moet worden, namelijk dat er twee type permissies ingesteld kunnen worden:

  • Eigenaren (welke controle hebben over de groep) en,
  • Leden (welke bewerk rechten hebben, dus niet alleen bijdragen). In de praktijk komt het dus neer dat leden bijvoorbeeld rechten hebben om in SharePoint lijsten te bewerken.
groups_3
Groepslidmaatschap is beperkt tot Eigenaren en Leden

Tevens is er geen functionaliteit voor ‘bezoekers’. Binnen de SharePoint site welke gekoppeld is aan een Office Group, is het uiteraard wel mogelijk om bezoekers toe te voegen (en andere specifieke rechten). Hou er in dat geval rekening mee dat je deze niet middels de AAD kunt beheren, en deze ook geen doorwerking hebben op bijvoorbeeld Teams of Planner, welke ook gekoppeld kunnen zijn aan dezelfde Office Group.

Hoewel dit dus allemaal mogelijk is, zou dit een bewuste keuze moeten zijn, bijvoorbeeld vanuit het oogpunt van transparantie (open, tenzij). Hou er in dat geval ook rekening mee dat gebruikers die alleen leesrechten hebben, ook geconfronteerd worden met bijvoorbeeld meer resultaten uit de zoekfunctie en mogelijk andere zaken die als ‘vervuilend’ bestempeld kunnen worden door de gebruiker. Het advies hierin is dit ook beperkt toe te passen binnen Office Group gekoppelde sites, ook vanuit het security oogpunt (wat als iemand gevoelige informatie deelt binnen een groep?).

groups_4
Toch ook sitebezoekers, maar dit zijn de SharePoint beveiligingsgroepen!

Binnen Office Groups is het mogelijk om verschillende ‘privacy’ niveaus aan te houden. Grofweg zijn er hierbij 3 mogelijke opties:

  • Privé. Leden moeten hierbij worden toegevoegd door de eigenaar. Dit is de meest logische keuze als je samenwerk in groepen.
  • Openbaar. Leden mogen zichzelf hierbij als lid toevoegen. Dit zou een logische keuze zijn als je bijvoorbeeld wilt samenwerken in een community of een thema, waarbij de leden ook content mogen bewerken/toevoegen.
  • Company-wide (alleen door admin in te stellen). Hierbij worden alle leden automatisch toegevoegd aan de groep, ook als er nieuwe users worden aangemaakt. Denk hierbij aan een bedrijfs-brede community (of vergelijk het met een Yammer groep, waarbij iedereen standaard lid is).
groups_2
Keuze voor privacyinstellingen

Bij het instellen van het niveau, is het ook goed om de link te leggen naar de consequenties in Teams (als je deze gebruikt). Zo is het gebruik van het gekoppelde Team weer specifiek in te regelen in Teams zelf. Denk bijvoorbeeld aan het beperken van aanmaken van kanalen, of het mogen verwijderen van chats, etc.. Vaak zie ik in de praktijk dat de ‘Privé’ groepen de standaard zijn.

Publiceren van content

Voor sites met een publicerend karakter (intranet, portalen, documentpublicatie, etc.), is het verstandiger om geen Office Group te gebruiken, maar een losse SharePoint site. Vaak zijn er bij dit soort sites ook geen Planner of Team nodig en voldoet SharePoint alleen. Kies in deze gevallen om een Communicatiesite, of een moderne teamsite zonder Office Group (sinds kort mogelijk). Let daarbij ook dat de rechten dus niet meer vanuit de AAD geregeld worden, maar vanuit de permissies in SharePoint zelf, zoals ‘vroeger’ ook het geval al was. Advies hierbij is na te denken over een ‘publicatie’ team (groep content beheerders) en een bezoekers groep (standaard bezoekersgroep). Probeer niet af te wijken van de standaard permissies die SharePoint biedt, omdat dit in de praktijk altijd tot problemen gaat leiden.

Ook is het verstandig een model te hanteren met uniforme rechten binnen de site collectie. Probeer, indien het gewenst is verschillende rechten niveaus te hanteren, ervoor te kiezen dit in een nieuwe site collectie te doen, en deze site collecties middels een Hub Site te koppelen. Zo blijft de rechtenstructuur beheersbaar en transparant.

groups_6
Probeer gebroken rechten te vermijden binnen een site collectie. Een hubsite zou een alternatief kunnen zijn.

Governance

Verstandig is de keuzes (wanneer gebruik je wat, en hoe dan) vast te leggen in een governance, zodat iedereen weet en kan lezen hoe jullie SharePoint en Teams inzetten en welke keuzes er hier zijn gemaakt. Denk hierbij ook na over de lifecycle van vooral Office Groups (publicaties sites zullen vaak permanent zijn). Als gebruikers zelf groepen (en Teams) mogen gaan aanmaken, kan dit leiden tot veel Office Groups, waarbij sommigen wellicht nooit gebruikt worden. Hoewel er een limiet is van 500.000 site collecties per tenant, het is het verstandig hier vanaf dag 1 rekening mee te houden. De AAD biedt hiervoor een mechanisme, maar je zou het ook in een proces kunnen vangen.

Als archivering hierbij een rol speelt, kijk dan vooral naar de retentielabels in het compliance center. Hiermee borg je op centraal niveau de bewaartermijnen en daarmee het beleid dat je wilt voeren.

Herstellen van OneDrive bestanden naar een tijdstip in het verleden

Sinds het begin van SharePoint (ergens in 2001) komt het onderwerp altijd ter sprake: hoe is het geregeld met back-up en restore? Dit geldt voor SharePoint sites, maar zeker ook voor OneDrive, waarbij gebruikers volledig zelf in controle zijn van hun bestanden. Een foutje is snel gemaakt, en gebruikers komen dan ook met de vraag om bestanden van drie weken geleden terug te zetten.

In ‘on-premise’ (in het interne netwerk) installaties van SharePoint en OneDrive, zal een SharePoint beheerder vaak beschikken over (dagelijkse) back-ups en bijbehorende software, waarmee deze vragen van gebruikers beantwoord kunnen worden.

In Office 365 bestaat ook back-up en restore software. Maar laten we eerlijk zijn: met de keuze voor Office 365 verwachten we dat Microsoft dit voor ons regelt. Dit gebeurt natuurlijk ook, alleen is het terughalen van back-ups niet altijd even eenvoudig, zeker niet als je een kleinere organisatie bent en geen direct lijnen met Microsoft onderhoudt.

Microsoft heeft er belang bij dat het back-up en restore verhaal zo goed mogelijk geregeld is en dat gebruikers zelf de meest elementaire zaken zelf kunnen afhandelen. Hierover heb ik enige tijd geleden een uitgebreide blogpost over geschreven.

Sinds kort is er echter een nieuwe vorm bijgekomen die gebruikers in staat stelt om hun eigen OneDrive terug te zetten naar de situatie in het verleden! Dit kan erg handig zijn en zou ook een oplossing zijn voor bestanden die door indringers opzettelijk versleuteld zijn om zo veel geld bij je los te peuteren. Iets waar veel aandacht voor is geweest de laatste tijd.

Hoe doe je dat?

In je OneDrive omgeving klikt je het tandwieltje aan (rechtsboven) en je selecteert ‘Uw OneDrive herstellen’.

onedrive_restore_1

Vervolgens is het mogelijk om een vastgestelde tijdspan te selecteren.

onedrive_restore_3

Klik op ‘Herstellen’ om alle bestanden terug te zetten naar dat moment in het verleden.

Tevens is het mogelijk zelf een tijdstip te selecteren.

onedrive_restore_2

Met behulp van de schuifbalk kan de tijd worden geselecteerd. Tevens zie je wat er in die tijd allemaal veranderd is, erg handig! Zo krijgt de gebruiker weer meer mogelijkheden om verkeerd gewijzigde bestanden terug te zetten.

Afwegingen

Het terugzetten van bestanden is een zeer welkome toevoeging. Echter, er is wel een aantal zaken waarmee rekening gehouden moet worden. Zo worden verwijderde bestanden niet terug gezet. Deze blijven in de prullenbak staan. Het per ongeluk verwijderen van bestanden is op deze manier op te lossen, maar wel iets om rekening mee te houden.

Tevens werkt het terugzetten op basis van versies. Dit betekent dat als je dit hebt uitgezet in je OneDrive, dit mechanisme niet meer werkt. Dit zal normaal gesproken niet vaak voorkomen, maar toch handig om te weten.

Het kunnen terugzetten van bestanden voor een gebruiker erg prettig. Het maakt daarbij ook inzichtelijk dat je zonder eigen back-up software, toch de mogelijkheid hebt om back-ups terug te zetten.

 

 

 

Microsoft Teams: waarom ‘bots’ het in 2018 (nog niet) gaan worden

In 2017 kriebelde het al, maar in 2018 wordt het ‘hot’: bots in Microsoft Teams. Bots (in de context van Office 365) zijn eigenlijk digitale gesprekspartners in Microsoft Teams. Het is in Teams mogelijk om bots toe te voegen aan je conversaties, waardoor je gesprekken kan voeren met deze digitale hulpjes.

Niet alleen is het mogelijk om informatie op te vragen aan de bot via een chatscherm, maar het is ook mogelijk om de bot bepaalde taken te laten uitvoeren. Denk bijvoorbeeld aan het inplannen van een vergadering, of nog interessanter, het aftrappen van een Flow.

De gebruiker doet dit door de bot een opdracht te geven, en aan de achterkant wordt de opdracht vertaald in een digitale actie met behulp van code. Een krachtige combinatie, waarmee je veel werk kan digitaliseren en laten afhandelen.

Er is op dit moment een aantal bots beschikbaar, echter vrijwel allemaal Engelstalig. Kom er achter welke bots je in Teams kan toevoegen, door te klikken op ‘Chat’ en dan te klikken in de zoekbalk.

bots_toevoegen

Je kan vervolgens een scala aan bots toevoegen.

bots_toevoegen2

En je kan de bot vervolgens gebruiken:

bots_gebruiken

Er is echter een aantal zaken waar je rekening mee zal moeten houden. Het gebruik van bots heeft ook een aantal aandachtspunten.

  1. Bots zijn vaak nog ‘dom’. Bots zijn stukjes code. Deze code moet jouw tekst gaan ontleden in omzetten in een actie. Ondanks dat er vele diensten zijn die tekst (redelijk goed) kunnen interpreteren, blijft het lastig dit op een goede manier te doen.
  2. Goede bots maken gebruik van A.I.. Een goede bot leert van zichzelf en van anderen. Zo wordt de bot steeds beter in het begrijpen van tekst en beeld en het uitvoeren van opdrachten. Als een bot zelf leert, noemt men dit ook wel Artificial Intelligence, oftewel A.I.. Hoewel het erg complex is om dit te maken, komen bedrijven als Facebook en Google toch wel erg dichtbij. Zo dichtbij, dat letterlijk de stekker uit het experiment getrokken is.
  3. Bots in Teams willen vaak toegang tot je data. Als een bot iets moet doen voor je, moet de bot daarvoor wel de juiste rechten hebben om de actie uit te voeren. Denk bijvoorbeeld aan toegang tot je agenda om een afspraak in te plannen, of voldoende rechten om een Flow af te trappen. Hier wordt het ‘spannend’. Hoe weet je dat dit het enige is wat de bot doet? Hoe weet je dat je data waar de bot toegang toe heeft niet opgeslagen wordt of gebruikt wordt? Hoeveel rechten heb je eigenlijk in Office 365? Hoewel je snel in allerlei theorieën terecht kan komen, is dit weldegelijk een aandachtspunt. Ik raad daarom graag het boek ‘Je hebt wél iets te verbergen‘ aan. Een gewaarschuwd mens telt voor twee… bots_gebruiken2
  4. Er is terechte ‘angst’ bij gebruikers. Een bot heeft te maken met gebruikers. Indien een bot een opdracht niet begrijpt of verkeerde conclusies trekt uit je tekst, dan ontstaat er snel argwaan bij gebruikers. Wat gebeurt er in je agenda als een bot een afspraak inplant op de verkeerde tijd? Hou rekening met gebruikers die bots niet leuk vinden. In Office 365 voegt een gebruiker zelf een bot toe en heeft dit dus zelf in de hand. Let daarom wel op dat de taken die door een bot uitgevoerd worden, ook op andere manier geïnitieerd kunnen worden.

Het is goed een bot te vergelijken met bijvoorbeeld Siri van Apple of Cortana van Microsoft. Deze digitale assistenten kunnen je helpen met het uitvoeren van simpele taken. Maar ook vaak wordt de vraag of opdracht niet goed begrepen. Het geeft aan hoe moeilijk het is een goede bot te maken.

En wat betreft de bot functionaliteit in Microsoft Teams? Het is een mooie toevoeging en het biedt veel mogelijkheden! Probeer het eens uit en voor de meer technische lezers, maak je eigen bot!

Security issue? Het verwijderen van bestanden met OneDrive Synchronisatie is niet altijd wat je denkt!

Met de OneDrive synchronisatie applicatie is het mogelijk om OneDrive omgeving en SharePoint bibliotheken te synchroniseren met de lokale werkstation. Dit is een heel mooi en krachtig mechanisme waarmee de adoptie van online werken sterk wordt bevorderd. Het wordt hiermee namelijk erg makkelijk om te werken met bestanden in SharePoint of OneDrive.

Zo is het mogelijk dat meerdere gebruikers dezelfde bibliotheken synchroniseren. Erg handig dus, want wijzigingen van anderen worden direct verwerkt op je eigen lokale omgeving.

Echter, hier zitten ook wat nadelen aan. Waar een van mijn klanten mee te maken kreeg is het volgende scenario:

  • Meerdere mensen hebben dezelfde SharePoint bibliotheek gesynchroniseerd.
  • Een van de gebruikers plaatst, per ongeluk, een vertrouwelijk document in de bibliotheek.
  • Deze wordt snel weer verwijderd uit SharePoint, en dus ook weer van de lokale machines van andere gebruikers.

Maar wat is er daadwerkelijk gebeurd? Ten eerste heeft elke gebruiker het bestand lokaal op zijn machine gekregen. De verwijderactie in SharePoint heeft ervoor gezorgd dat het bestand ook bij elke gebruiker wordt verwijderd. Echter, deze bestanden worden lokaal bij iedereen in de Windows Prullenbak geplaatst. Fysiek niet verdwenen dus.

N.a.v. dit gedrag werden de volgende acties uitgevoerd:

  • De gebruiker heeft de prullenbak in SharePoint (waar het document nog in stond) geleegd. Ook de site collectie prullenbak werd geleegd. Hiermee is het bestand daadwerkelijk uit de SharePoint site verwijderd, tenzij DLP beleid anders is geconfigureerd. Dit is in dit scenario niet het geval.
  • Tevens heeft de gebruiker zijn eigen prullenbak in Windows geleegd.

onedrive_delete2

In de beleving van de gebruiker is het document nu écht weg en verwijderd. Echter, het verwijderde document is nog niet verwijderd uit de lokale prullenbakken op de werkplekken van de andere gebruikers. Gebruikers kunnen de documenten vanuit de Windows prullenbak weer terugzetten in hun lokale OneDrive folder, waarmee het document ook weer in SharePoint terecht komt.

onedrive_delete3

Kortom, een mogelijk security gat, waarbij gebruikers niet altijd inzichtelijk krijgen wat er met een bestand gedaan wordt. Omdat het Office 365 Compliance & Security center ook niet fysiek op de computer van gebruikers controleert, is ook lastig te achterhalen wat er met het bestand gebeurt.

Hoe hiermee om te gaan? Vooralsnog is er een aantal mogelijkheden om grip te krijgen op dit verschijnsel.

  • De prullenbak bij alle gebruikers die synchroniseren legen. Dit is natuurlijk bewerkelijk en zal lastiger worden naarmate er meer gebruiker bij betrokken zijn.
  • (AIP) Azure Information Protection / IRM (Information Rights Management) implementeren voor dergelijk vertrouwelijke documenten. Hiermee kan centraal geregeld worden wat er met een bestand gedaan mag worden. Onder andere kunnen dan bijvoorbeeld op centraal niveau de rechten van gebruikers worden ingetrokken. Het document wordt dan onbruikbaar. Deze methode is waterdicht, maar behoeft wel enige kennis en energie om te implementeren.
  • Als derde optie, een work-around, het bestand in eerste plaats niet weg gooien (want dan belandt het in de prullenbak), maar de inhoud van het document verwijderen en vervolgens het document verwijderen. Let er bij deze methode wel op dat oude versies ook niet bewaard worden in SharePoint.

Samengevat is het een probleem als er fouten worden gemaakt met het plaatsen van bepaalde (vertrouwelijke) documenten op de verkeerde plek, in combinatie met synchronisatie van OneDrive. Ik ben daarom ook erg benieuwd naar jullie ervaringen en ideeën over dit probleem. Laat het me weten!