Technische Details: Analyse und Bereinigung von SharePoint-Berechtigungen.

Dieser Artikel beschreibt die technische Vorgehensweise sowie die notwendigen Voraussetzungen zur Identifizierung und optionalen Bereinigung individueller Freigaben in SharePoint Online.

Der Fokus liegt auf Transparenz, Nachvollziehbarkeit und einem kontrollierten Vorgehen.

Die Lösung im Detail.

Für die Analyse und Bereinigung von SharePoint-Berechtigungen nutzen wir das PnP-PowerShell-Modul, um kontrolliert und gezielt mit Ihrer SharePoint-Umgebung zu interagieren.

Die Lösung besteht aus drei klar getrennten Funktionsbausteinen:

1. Analyse bestehender Freigaben.

Skript: SharingInformation.ps1

Dieses Skript dient ausschließlich der Auswertung bestehender Berechtigungen. Es liest alle individuellen Freigaben in einer oder mehreren Bibliotheken beziehungsweise Listen aus und berücksichtigt Freigaben auf Bibliotheks- und Listenebene, Ordnerebene sowie Dateiebene. Die Ergebnisse werden in eine strukturierte CSV-Datei exportiert. Der erzeugte Report zeigt nachvollziehbar, welches Element freigegeben ist, welche Berechtigungsstufe vergeben wurde und welche internen oder externen Benutzer Zugriff haben. Dieser Schritt schafft die nötige Transparenz und dient als Entscheidungsgrundlage für weitere Maßnahmen.

2. Bereinigung einzelner Bibliotheken oder Listen.

Skript: RestoringPermissionsInheritanceOnOneLists.ps1

Dieses Skript ermöglicht die gezielte Bereinigung einer einzelnen Bibliothek oder Liste, indem es alle individuellen Freigaben entfernt und die Berechtigungsvererbung des übergeordneten Elements wiederherstellt. An globalen Rollen oder Gruppen nimmt es dabei keine Änderungen vor.

3. Bereinigung auf Site-Ebene (optional).

Skript: RestoringPermissionsInheritanceOnLibrariesAndLists.ps1

Dieses Skript führt die unter Punkt 2 beschriebene Bereinigung für alle Bibliotheken und Listen innerhalb einer Site aus. Systemrelevante Bibliotheken wie Site Assets und die Style Library werden dabei explizit ausgeschlossen, sodass die Funktionalität der Site erhalten bleibt. Der Einsatz erfolgt ausschließlich nach vorheriger Analyse und Abstimmung und eignet sich besonders für strukturierte Aufräum-Maßnahmen in gewachsenen Umgebungen.

Voraussetzungen zur Durchführung.

Für die Analyse und Bereinigung sind folgende Voraussetzungen im SharePoint Tenant erforderlich:

App-Registrierung
Es wird eine App im Azure AD/Entra ID Tenant registriert.

API-Berechtigungen
Der App werden die Application-Berechtigungen Microsoft Graph: Sites.FullControl.All sowie SharePoint: Sites.FullControl.All zugewiesen. Diese Berechtigungen werden ausschließlich für die Dauer der Analyse- bzw. Bereinigungsmaßnahmen genutzt.

Authentifizierung
Die Authentifizierung erfolgt über eine Kombination aus interaktiver Benutzeranmeldung und der Client-ID der registrierten App. Eine dauerhafte Speicherung von Passwörtern oder Zugangsdaten findet nicht statt.

Technische Umgebung
Es kommen aktuelle Versionen von PowerShell-Core und dem PnP-PowerShell-Modul zum Einsatz. Dies stellt Kompatibilität, Stabilität und eine kontrollierte Ausführung sicher.

Zusammenfassung
Es besteht eine klare Trennung von Analyse und Bereinigung, vollständige Transparenz vor jeder Änderung und ein kontrolliertes, nachvollziehbares Vorgehen. Die SharePoint-Funktionalität bleibt unverändert. Die technische Umsetzung dient ausschließlich dazu, fundierte Entscheidungen über SharePoint-Berechtigungen zu ermöglichen und nicht dazu, automatisiert Änderungen ohne Abstimmung vorzunehmen.

FAQ.

1. Greift ihr direkt in produktive SharePoint-Daten ein?
Nein. Die Analyse erfolgt lesend. Änderungen an Berechtigungen erfolgen ausschließlich nach Freigabe und expliziter Beauftragung.

2. Welche Berechtigungen benötigt die App wirklich?
Die App benötigt die Berechtigung Sites.FullControl.All, um individuelle Freigaben vollständig auszulesen und – falls gewünscht – die Berechtigungsvererbung gezielt wiederherzustellen. Ohne diese Berechtigung ist eine vollständige und verlässliche Analyse nicht möglich.

3. Werden Inhalte oder Dateien verändert oder kopiert?
Nein. Es werden keine Inhalte gelesen, verändert oder übertragen. Die Analyse beschränkt sich ausschließlich auf Berechtigungsinformationen (Metadaten).

4. Was passiert mit externen Freigaben?
Externe Freigaben werden vollständig identifiziert und im Analyse-Report klar gekennzeichnet. Eine Entfernung erfolgt nur nach Abstimmung.

5. Kann die Bereinigung selektiv erfolgen?
Die Bereinigung kann für einzelne Bibliotheken oder Listen, für komplette Sites und mit definierten Ausnahmen erfolgen. Der Umfang wird vorab festgelegt.

6. Besteht ein Risiko für die Funktionalität von SharePoint-Sites?
Nein, sofern die Bereinigung nach Analyse und abgestimmt erfolgt. Systemrelevante Bibliotheken werden standardmäßig ausgeschlossen. Globale Rollen, Gruppen und Site-Berechtigungen bleiben unverändert.

7. Werden Passwörter oder Zugangsdaten gespeichert?
Nein. Es erfolgt keine dauerhafte Speicherung von Passwörtern oder Tokens.

8. Ist die Lösung revisions- oder auditfähig?
Die Lösung erzeugt eine nachvollziehbare Dokumentation der bestehenden Berechtigungen vor Änderungen. Diese Dokumentation kann für interne Prüfungen oder Audits genutzt werden.

9. Wie lange dauert eine Analyse?
Die Dauer ist abhängig von der Anzahl der Bibliotheken, dem Umfang der Inhalte und der Anzahl individueller Freigaben. Typischerweise benötigt der Vorgang nur wenige Minuten pro Bibliothek.

10. Ist das ein einmaliger Vorgang oder wiederholbar?
Beides ist möglich: eine einmalige Bestandsaufnahme oder eine wiederholte Analyse (zum Beispiel nach Projekten oder Umstrukturierungen).

Keine Maßnahme erfolgt automatisiert oder ungeplant. Für mehr Informationen freuen wir uns über eine Kontaktaufnahme über unser Formular. Wenn Du noch mehr darüber lesen möchtest, findest Du hier noch mehr.