SharePoint

In deel 1 van deze serie blog postings, heb ik aangegeven dat veel inrichtingen die in SharePoint gedaan zijn, gebaseerd zijn op metadata modellen. Bij Microsoft zijn ze er inmiddels achter dat dit voor veel gebruikers als lastig wordt ervaren en in vele inrichtingen gaat dit het doel dan ook voorbij. Er is daarom besloten een aantal zaken anders aan te pakken, waardoor het voor de gebruiker een stuk eenvoudiger wordt. Dit is best een verandering; een aantal principiële uitgangspunten wordt namelijk in twijfel getrokken:

• Metadata is niet heilig, gebruik het ter ondersteuning (bijvoorbeeld weergaven of workflow), maar niet voor het beveiligen of classificeren van documenten.
• Folders zijn handig. In het verleden werd vaak geteld dat je metadata moet gebruiken in plaats van een folderstructuur. Heel zuiver gezien is dit zo, maar in de praktijk willen gebruikers vaak toch een vorm van (fysieke) structuur toepassen. Hoewel SharePoint beschikt over ‘Documentsets’, lijkt dit mechanisme inmiddels bestempeld te zijn als legacy.
• Gebruik geen sub sites meer. Sub sites bevatten vaak een structuur, soms met aangepaste rechten. Met de verschuiving naar Office Groups, wordt deze structuur niet goed ondersteund. In plaats daarvan is het gebruik van verschillende site collecties óf het Hub Site mechanisme veel flexibeler en transparanter. Zeker op het gebied van rechten.
• Beperk de inrichting op basis van SharePoint groepen met specifieke permissies. Probeer de leunen op het model van Eigenaren, Leden en Bezoekers, zoals deze ook terug komen in Office Groups.

Het grote uitgangspunt binnen Office 365 is dat het niet meer uit maakt wat voor content op welke plek staat, zolang je de content maar classificeert. Dit classificeren kan op verschillende manieren. Een van deze manieren het is het classificeren van de Office Group (met daarbij de SharePoint site). Het is standaard mogelijk om een Group een ‘classificatie label’ mee te geven, waardoor Office 365 bewust wordt van het feit dat de content in deze Group van een bepaalde gevoeligheid is.

Met de gevoeligheid van content wordt bedoeld dat duidelijk is wat het effect is van bijvoorbeeld een datalek van de content. Wat is de ‘schade’ (in kosten, in reputatie, in wetgeving) als de content gelekt wordt naar personen die het niet zouden mogen zien. Denk bijvoorbeeld aan het lekken van persoonsgegevens, e-mail uitwisseling over bedrijfsovernames of beursgang van een organisatie. De effecten daarvan kunnen enorm zijn!

Veel (grotere) organisaties hebben daarom een classificering van gegevens opgesteld. Bijvoorbeeld: openbaar, intern, vertrouwelijk en geheim. Hierbij worden regels ofwel beleid opgesteld over wat er met deze content wel en niet mag. Zo mag vertrouwelijke content bijvoorbeeld niet gedeeld worden met externen of moet geheime informatie versleuteld zijn.

Dit beleid kan worden vertaald naar een inrichting in Office 365, maar daarvoor moeten we wel eerst goed weten hoe dat beleid er uit ziet. Zo kan het bijvoorbeeld zijn dat er nog verschillende gradaties zijn in vertrouwelijke informatie. Bijvoorbeeld ‘persoonsgegevens’ mogen niet gedeeld worden met externen, maar moeten ook vernietigd worden binnen 1 jaar. Of: ‘jaarverslagen’ mogen alleen door het management ingezien worden, maar mogen 7 jaar niet verwijderd worden.

Het is daarom van belang dat deze differentiaties in kaart gebracht worden. Als voorbeeld de volgende indeling:

• Openbaar
• Intern (geen gevoelige informatie)
• Vertrouwelijk
  • Persoonsgegevens
  • Financiele gegevens
• Geheim
  • Persoonsgegevens
  • Stategisch

Let wel: dit is een voorbeeld en (waarschijnlijk) geen complete lijst. Dit is uiteraard organisatieafhankelijk, maar in ons geval voldoet het als voorbeeld.

Het is nu mogelijk om op basis van deze classificatie indeling, Office Groups te gaan classificeren. Om dit te doen kan er met behulp van een Powershell commando worden aangegeven welke classificaties er beschikbaar zijn, wat de omschrijvingen zijn van de classificaties en welke classificatie als standaard kan worden ingesteld.

 $setting= Get-AzureADDirectorySetting | ? {$_.DisplayName -eq "Group.Unified"}
 $AzureADDirectorySettingId= Get-AzureADDirectorySetting | where {$_.DisplayName -like "Group.Unified"} | Select-Object Id
 # zet classificatie opties
 $setting["ClassificationList"] = "Openbaar,Intern (geen gevoelige informatie),Vertrouwelijk (Persoonsgegevens),Vertrouwelijk (Financiële gegevens),Geheim (Persoonsgegevens),Geheim (Strategisch)"
 # Sla classificaties op
 Set-AzureADDirectorySetting -Id $AzureADDirectorySettingId.id -DirectorySetting $setting
 # bepaald de standaard waarde
 $setting["DefaultClassification"] = "Intern (geen gevoelige informatie)"
 # bepaal de omschrijvingen
 $setting["ClassificationDescriptions"] = "Openbaar: mag gedeeld worden met iedereen en bevat geen gevoelige informatie,Intern (geen gevoelige informatie): mag alleen binnen de organisatie gedeeld worden,Vertrouwelijk (Persoonsgegevens): bevat vertrouwelijke persoonsgegevens,Vertrouwelijk (Financiële gegevens): bevat financiële gegevens als jaarverslagen of contracten,Geheim (Persoonsgegevens): bevat geheime medische gegevens als bijvoorbeeld medische gegevens,Geheim (Strategisch): bevat strategische inforamtie als bijvoorbeeld overnames"
 # Sla instellingen iop
 Set-AzureADDirectorySetting -Id $AzureADDirectorySettingId.id -DirectorySetting $setting
 # Toon ingestelde waarden
 (Get-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id).Values

Na het uitvoeren van deze actie, wordt in het standaard scherm voor aanmaken van een nieuwe SharePoint site, de mogelijkheid geboden de classificatie van de site (of eigenlijk de Office Group) te kiezen. Dit is standaard functionaliteit.

Het prettige is dat de site die vervolgens wordt aangemaakt ook zodanig gekenmerkt is in de header van de site. Het is dus voor gebruikers direct duidelijk welk type informatie er op de site staat.

Bij het aanmaken van de site zijn ook ‘privacy instellingen’ te specificeren. Dit onderdeel behoeft wel wat uitleg, want de keuze is hierbij ‘Openbaar (public)’ of ‘Privé (private)’. In het geval van ‘Privé’ is de site alleen te benaderen door eigenaren en leden die specifiek zijn toegevoegd. In het geval van ‘Openbaar’ kan iedereen op de site komen (logisch), maar heeft iedereen ook bewerk rechten (minder logisch). Het idee hier achter is dat iedereen in het laatste geval deelneemt aan het team en daarmee bewerk rechten krijgt. Echter, deze bewerkrechten houden ook in dat er bibliotheken kunnen worden aangemaakt of verwijderd en dat pagina’s in de site kunnen worden bewerkt. Kortom, dit is vaak niet het doel van een openbare site waarbij de verwachting is dat iedereen standaard alleen leesrechten heeft.

Mocht dit laatste daarom gewenst zijn, dan is wellicht een communicatiesite een logische optie, waarbij dit wel het geval is.

Met het instellen van de classificatie is verder niets gezegd over het beveiligingsniveau van de site of het beleid dat geldt op de site. Hiervoor moet de volgende stap worden uitgevoerd: het toevoegen van site designs en site scripts.

Site Designs en Site Scripts (templates)

De specifieke inrichting van de site, samen met de classificatie en privacy instellingen, kan ervoor zorgen dat de gewenste instellingen (grotendeels) automatisch bepaald worden. Voor elke type template kan in Office 365 een zogenaamd ‘Site Design’ worden geregistreerd. Een Site Design bevat één of meerdere Site Scripts, waarin de inrichting van een site mee wordt bepaald. Zo kunnen bijvoorbeeld branding, rechten, inhoudstypen of lijsten worden bepaald in een Site Script, welke na het aanmaken van een site worden uitgevoerd.

In dit mechanisme is het ook mogelijk om Flow triggers te definiëren, zodat ook complexere inrichting kan worden gedaan, of bijvoorbeeld het initiëren van een provisioning tool (of Powershell) actie. Site Designs komen beschikbaar bij het aanmaken van een nieuwe site. Na het aanmaken van de site, zullen de acties automatisch worden uitgevoerd en uitgerold op de SharePoint site. Een van de zaken die je hierbij niet wilt missen, is het uitrollen van labels en beleid op de site. Hierover zal de volgende blog post gaan.

Site designs komen ook weer als standaard functionaliteit terug bij het aanmaken van een nieuwe site.

Tip: Laura Kokkarinen heeft een helder en compleet overzicht uitgewerkt over Site Designs en Site Scripts. Het is het lezen waard als je hiermee aan de slag wilt gaan.

SharePoint vs. Office 365

Het valt je misschien op dat het bovenstaande vooral gaat over SharePoint sites. Dit is deels waar: bij het aanmaken van een site wordt je geconfronteerd met deze classificatie. Het mooie echter is dat de classificatie ook terug komt als je een Planner omgeving aanmaakt, een Power BI workspace of een Microsoft Teams omgeving. Hierbij wordt onder water ook een Office Group aangemaakt, waardoor de classificatie ook daar doorwerkt:

In deze gevallen geldt ook dat hieraan het juiste beleid gekoppeld kan gaat worden, wat van toepassing is op de achterliggende SharePoint site, de chat conversaties en planner taken. Kortom, binnen alle Office Group gebaseerde content kan gebruik gemaakt worden van de classificatie!

In de volgende post zal ik het samenstellen van beleid voor content verder bespreken.