In der heutigen Arbeitswelt ist Cloud-Speicher unverzichtbar, insbesondere Plattformen wie Microsoft 365. Daten online zu speichern ist äußerst praktisch; man kann sich von überall und mit fast jedem Gerät anmelden. Das birgt aber natürlich auch Sicherheitsrisiken. Im Prinzip kann sich jeder mit privaten Geräten anmelden, was bei sensiblen Daten problematisch sein kann. Glücklicherweise können Administratoren den Zugriff von nicht verwalteten Geräten einschränken, insbesondere auf SharePoint. So behalten Unternehmen die Kontrolle über ihre Daten – unabhängig davon, von wo aus sich die Mitarbeiter anmelden.
So blockieren Sie den Zugriff von nicht verwalteten Geräten auf SharePoint
Um dieses Problem zu beheben, benötigen Sie Administratorrechte mit weitreichenden Berechtigungen – beispielsweise globale Administratorrechte. Falls Sie über diese Berechtigungen verfügen, befolgen Sie diese Schritte, um den Zugriff nicht verwalteter Geräte in SharePoint einzuschränken:
- Besuchen Sie das Microsoft 365 Admin Center – https://admin.microsoft.com
- Nach dem Einloggen finden Sie in der linken Seitenleiste die Option „Alle anzeigen“. Klicken Sie darauf, um Ihre Optionen zu erweitern.
- Suchen und klicken Sie auf SharePoint – dadurch wird das SharePoint Admin Center geöffnet.
- Klicken Sie im SharePoint Admin Center im linken Menü auf „Richtlinien“ und wählen Sie dann „Zugriffskontrolle“ aus.
- Wechseln Sie zur Registerkarte „Nicht verwaltete Geräte“.
- Jetzt wird es wichtig: Aktivieren Sie die Einstellung „ Zugriff für nicht verwaltete Geräte blockieren“.Beachten Sie jedoch: Diese Funktion erfordert in der Regel eine Enterprise Mobility + Security- Lizenz in Ihrem Microsoft 365-Plan. Ohne diese Lizenz stehen Ihnen nur Lesezugriffe oder grundlegende Steuerelemente zur Verfügung.
- Klicken Sie auf Speichern, um die Änderungen zu übernehmen.
Sobald man es einmal verstanden hat, ist es eigentlich ganz einfach, und ehrlich gesagt etwas seltsam, dass es nicht immer offensichtlich ist. Bei manchen Konfigurationen funktioniert es möglicherweise nicht sofort oder erfordert ein kurzes Aktualisieren des Browsers oder ein Ab- und erneutes Anmelden. Wenn es aber funktioniert, ist es eine zuverlässige Methode, unerwünschte Zugriffe von nicht vertrauenswürdigen Geräten einzuschränken.
Um sicherzustellen, dass auch Apps ohne moderne Authentifizierung eingeschränkt werden, gehen Sie zurück zur Seite „Zugriffskontrolle“ und klicken Sie auf „Apps ohne moderne Authentifizierung“. Klicken Sie anschließend auf „ Zugriff blockieren“. Windows muss es einem natürlich unnötig schwer machen, nicht wahr? Aber um auf Nummer sicher zu gehen, ist es das wert.
Wie kann der Zugriff für bestimmte Benutzer eingeschränkt werden?
Reicht die gerätebasierte Sperrung nicht aus und müssen Sie bestimmte Benutzer einschränken – beispielsweise solche, die auf nicht verwalteten Geräten keinen Zugriff auf sensible Daten haben sollten –, müssen Sie deren Kontoberechtigungen manuell anpassen. Im Microsoft 365 Admin Center können Sie Lizenzen widerrufen, Kennwörter zurücksetzen oder Anmeldebeschränkungen implementieren. Beachten Sie jedoch, dass SharePoint keine separate Option für benutzerspezifische Zugriffseinstellungen bietet; diese werden größtenteils über Benutzerlizenzen und Richtlinien gesteuert.
Für eine detailliertere Steuerung, wie z. B.IP-basierte Einschränkungen oder die Sperrung bestimmter Benutzer, können Sie PowerShell oder Richtlinien für bedingten Zugriff in Azure AD verwenden. Das ist zwar etwas aufwendiger, aber der beste Weg für eine strengere Kontrolle.
Verwaltete vs.nicht verwaltete Geräte – Wo liegt der wirkliche Unterschied?
Verwaltete Geräte werden technisch von Ihrem Unternehmen kontrolliert – stellen Sie sich Geräte mit entsprechenden Sicherheitsrichtlinien, MDM-Profilen oder erzwungener Verschlüsselung vor. Sie sind vergleichbar mit „vertrauenswürdigen“ Computern. Nicht verwaltete Geräte sind private Laptops oder Smartphones – hier gibt es keine Einschränkungen, der Zugriff ist jedoch von außerhalb der Kontrolle des Unternehmens möglich. Auf nicht verwalteten Geräten können Benutzer Apps installieren, Einstellungen ändern oder sogar externe Laufwerke anschließen. Daher ist es in sicherheitsorientierten Umgebungen sinnvoll, den Zugriff auf diese Geräte einzuschränken.
Der eigentliche Sinn dieser Kontrollmechanismen besteht darin, Datenlecks von Geräten zu verhindern, die nicht unter Ihrer Kontrolle stehen – denn natürlich machen Windows und Microsoft die Sicherheit gerne etwas komplizierter, aber hoffentlich tragen diese Schritte dazu bei, die Situation zu verbessern.
Zusammenfassung
- Greifen Sie im Admin Center auf SharePoint- Richtlinien > Zugriffskontrolle zu.
- Aktivieren Sie die Option „Nicht verwaltete Geräte“, um den Gerätezugriff zu blockieren, sofern Ihr Tarif dies unterstützt.
- Nutzen Sie bei Bedarf zusätzliche Kontrollfunktionen wie das Blockieren von Apps oder das Einschränken bestimmter Benutzer.
- Denken Sie daran, dass Lizenzen und Abonnements Ihre Möglichkeiten einschränken können. Prüfen Sie daher Ihre eigenen Bedingungen zuerst.
Zusammenfassung
Die Kontrolle über den Zugriff auf nicht verwaltete Geräte zu behalten, ist nicht ganz einfach – manchmal fühlt es sich an wie ein Labyrinth, insbesondere wenn Lizenzanforderungen im Spiel sind. Ist die Einrichtung jedoch korrekt, bietet sie einen soliden Schutz für sensible Daten. Beachten Sie, dass manche Einstellungen etwas Geduld oder ein kurzes Aktualisieren des Browsers erfordern, um wirksam zu werden. Hoffentlich hilft Ihnen dies, die Probleme von Datenlecks und unberechtigtem Zugriff zu reduzieren. Ich drücke Ihnen die Daumen und wünsche Ihnen viel Erfolg bei der Optimierung Ihrer SharePoint-Umgebung!