Een van de speerpunten van Office 365 is het online samenwerken en delen van documenten. ‘Delen in plaats van Mailen’ is het nieuwe credo.
Bij het delen van SharePoint sites en individuele documenten in OneDrive of SharePoint kun je daarbij ongeoorloofd downloaden voorkomen. Dit is één van de beveiligingsmaatregelen die je kunt toepassen bij het samenwerking aan documenten met externen. Bij het delen wil je n.l. bepaalde voorwaarden stellen.
Uiteraard zijn DLP en AIP hierna belangrijke vervolgstappen.
Externe gebruikers krijgen een melding dat downloaden, afdrukken en synchroniseren is geblokkeerd.
Men kan nog wel in Office Online werken, maar downloaden en bewerken in de lokale client is dan niet mogelijk…. tenminste is de bedoeling.
De instellingen en configuratie hiervoor zijn onlangs echter behoorlijk aangepast. Hierdoor zijn er verschillen ontstaan in de werking die afhankelijk zijn van hoe er gedeeld wordt en of de gebruiker een ‘ad-hoc’ account of een ‘Guest’ account heeft…
Daarnaast werkt de toegangsbeperking voor niet-beheerde apparaten anders dan je zou verwachten.
De instellingen
In SharePoint Admin (New experience) onder Toegangsbeheer zijn drie instellingen die we kunnen configureren:
- Niet-beheerde apparaten
- Apps die niet gebruik maken van moderne verificatie
- Niet-actieve sessie afmelden
De instelling voor beperken netwerklocatie is niet van toepassing bij extern delen. Deze instelling is enkel interessant in situaties waar extern delen juist niet gewenst is.
De instelling ‘Niet-actieve sessie afmelden’ is bij omgevingen van belang waar veel buiten kantoor gewerkt wordt, denk aan thuiswerkers en aan willekeurige openbare of onbeheerde pc’s. Als iemand zijn werkplek verlaat, dan is het wel fijn dat de sessie na verloop van tijd wordt afgesloten.
De instelling ‘Niet-beheerde apparaten’ is verantwoordelijk van de gele balk in Office Online en moet het downloaden blokkeren op onbeheerde apparaten.
Zoals de waarschuwing in onderstaand voorbeeld aangeeft is de instelling ‘Apps die niet gebruik maken van moderne verificatie’ ook van belang. Kennelijk kan de controle niet plaatsvinden bij klassieke authenticatie. Dit is van belang voor gebruikers die een oudere versie van Office hebben. Vanaf Office 2013 is moderne authenticatie beschikbaar.
Licentie EMS
Met bovenstaande instellingen blokkeren we downloaden, afdrukken en synchroniseren op onbeheerde apparaten.
‘Beperkte webtoegang toestaan’ houdt in dat men wel online het document mag lezen en/of bewerken.
Uiteraard heb je hiervoor wel de Enterprise Mobility + Security Suite nodig:
De consequenties
Gebruikers krijgen de volgende melding als een link naar een document openen.
Door de recente aanpassingen zijn er verschillende situaties hoe dit proces werkt.
De documentatie op docs.microsoft.com (bijgewerkt op 14-01-2019) is hierin niet volledig.
Voorheen werden alle externe ‘gasten’ toegevoegd aan de Azure Active Directory (AAD) en moest men inloggen met een Microsoft account of een Office 365 account. Nu hangt het af van de procedure.
Als je een document deelt met iemand die nog niet in de AAD staat ontvangt deze een ‘one-time’ passcode om zijn of haar identiteit te verifiëren.
Bij het delen van een SharePoint site (zonder Office 365 Groep) wordt er echter nog steeds een ‘gast account’ voor de gebruiker aangemaakt. De gastgebruiker moet dan inloggen met een Microsoft account of een Office 365 werk of school account. Deze gast gebruiker heeft dan toegang tot de hele site.
Nu zou je verwachten dat de ‘gast’ documenten niet mag downloaden, maar dat hangt er van af!
Een Gast gebruiker die werkt op een apparaat dat door zijn organisatie is beheerd, kan dit wel. Ook al heeft jou organisatie niet de mogelijkheid om zijn/haar apparaat te wissen of te beheren. En daarbij kan de gast organisatie wel heel andere beveiligingseisen ingesteld hebben voor het apparaat.
Het is dus belangrijk om de documentatie juist te interpreteren!
Samengevat:
| Ad-hoc ontvanger | Gast account | Gast account Managed device | |
| Delen van enkel document | Ja | Ja | Ja |
| Delen van een map | Ja | Ja | Ja |
| Delen van hele site | Nee | Ja | Ja |
| Toegang tot gedeelde mappen en bestanden | Ja | Ja | Ja |
| Verificatie door | Verificatiecode | Inloggen op Office365 | Inloggen op Office365 |
| Online bewerken | Ja | Ja | Ja |
| Offline bewerken | Nee | Nee | Ja |
Shared Mailboxen en Office 365 groepen
Een veelvoorkomende situatie is dat er met gedeelde mailboxen gewerkt wordt, denk aan: info@…, secretariaat@…, etc.
Bij gedeelde mailboxen log je als het ware in met je eigen account en krijg je toegang tot de mail in de mailbox. Wat als je dan een document deelt naar een emailadres wat hoort bij een gedeelde mailbox?
De eindgebruiker zal moeten inloggen op de omgeving en doet dit met zijn eigen account. Omdat dit emailadres afwijkt van het emailadres waarmee is gedeeld, zal de gebruiker geen toegang krijgen tot het document. De eindgebruiker krijgt een melding “Deze koppeling is niet voor u beschikbaar”.
Bij Office 365 groepen is dit anders. Mits een gebruiker lid is van deze groep dan kan de ingelogde gebruiker netjes toegang tot het document.
Een reden om Office 365 groepen te gaan gebruiken i.p.v. gedeelde mailboxen?
Gastgebruiker verwijderen
In het geval dat men gast gebruikers verwijdert, bijvoorbeeld omdat men liever AdHoc toegang verleent, is één ding belangrijk: het duurt even voordat accounts definitief zijn verwijderd. Standaard is dit 30 dagen en eventueel kun je een account handmatig permanent verwijderen.
Tot die tijd kan deze externe gebruiker niet bij het document:
Wat gebeurt er ‘onder water’
Bij het instellen van de toegangsbeheer in SharePoint Admin worden er 2 regels aangemaakt bij ‘Conditional Access’ in Azure Intune.
De eerste regel beperkt toegang vanuit Desktop applicaties en Apps.
De tweede regel handelt de toegang af voor webbrowsers.
Meer info:
https://docs.microsoft.com/en-us/sharepoint/external-sharing-overview
https://docs.microsoft.com/en-us/sharepoint/create-b2b-extranet