Hoe kan ik bestanden delen, terwijl mijn organisatie dit niet toe laat?

In dit artikel neem ik je mee in dingen die ik vaak tegenkom bij organisaties waarvan je denkt dat ze het goed geregeld hebben. Ik ga het hebben over het delen van onder andere bestanden en meer met externe.

Werk je in een organisatie die extern delen toestaat? Dan kun je hier stoppen met lezen.

Ik help veel organisaties bij het opzetten van hun Microsoft 365 governance. Nee, niet alleen Teams beheer, geen SharePoint governance maar over heel Microsoft 365 het beheer. We kijken naar elke instelling. Vaak vinden we de dingen die mensen niet weten of niet willen weten.

Ik kom regelmatig organisaties tegen die niet willen dat personeel extern deelt. Wanneer ik doorvraag waarom zij dat niet willen, heeft het antwoord vaak iets te maken met hun wettelijke of privacy vereisten. Of hoor ik dat zij zich in branche X bevinden en daarom moeten voldoen aan Y. Ik kom ook bij identieke organisaties in hetzelfde gebied (d.w.z.: overheid, financiële diensten, onderwijs, enz.) die geen probleem hebben met extern delen. Dus waarom delen zij wel extern en jij niet?

“We hebben extern delen van SharePoint en OneDrive uitgeschakeld.”

Het probleem bij deze visie is dat mensen vaak praten over extern delen in Microsoft 365 alsof het alleen van toepassing is op SharePoint Online en OneDrive.

Fout!

Extern delen bestaat namelijk uit veel meer. In andere applicaties, zoals: Sway, Formulieren, Outlook agenda, Power BI en Bookings, worden ook gegevens vastgelegd. Hoewel de gegevens die hierin worden opgeslagen niet hetzelfde zijn als een gedeeld bestand, kunnen er nog steeds stukjes privacy of informatie gedeeld worden die voldoende zijn om een ​​probleem te veroorzaken. Dit omdat er maar iets hoeft te gebeuren en je gegevens zijn weg.

“We hebben extern delen uitgeschakeld voor elke service in Microsoft 365”

“Nouwen”. Zelfs als delen vanuit SharePoint en OneDrive is uitgeschakeld, kun je Power Automate gebruiken. Zodat elke keer als een bestand wordt geüpload op locatie X een workflow een kopie maakt en deze in een externe service plaatst.

Nog niet overtuigd? Bekijk dit sjabloon, geleverd door Microsoft zelf:

Bestanden van SharePoint opslaan op google

 

Kop in het zand

Je gaat voor eenvoudig en schakelt die app, services en functies gewoon uit; probleem opgelost!
Dit is een optie, maar je bent zeker geen feestbeest als je hiervoor kiest. Daarnaast leg je door extern delen te verhinderen ook je personeel dit saaie bestaan op. Daar komt bij dat als mensen echt iets willen doen waarvan iemand ze weerhoudt, ze zelf een manier gaan vinden om dit probleem te omzeilen:

Extern bestanden delen uitschakelen = gebruik van Dropbox, Box, Google Drive, enz.
Formulieren uitschakelen = gebruik van SurveyMonkey
Booking uitschakelen = gebruik van Calendly

Alles wat je uitschakelt in Microsoft 365 wordt aangeboden door een gelijkwaardige (en soms zelfs betere) externe service. Daar komt bij dat ik er vrij zeker van ben dat wanneer er ingelogd wordt in die externe service het account niet is verbonden met je Azure Active Directory. Wordt er wel aangemeld met hun Azure AD-account is dat net zo zorgwekkend! Nu heeft die externe service namelijk toegang tot al je directory, personeelsgegevens, misschien de mailbox van de gebruikers, OneDrive, elke SharePoint-site die ze gebruiken, enz., enz.  

“We blokkeren externe services bij de firewall” 

Echt? Elke afzonderlijke service die er is?
En wie zit er tegenwoordig achter een firewall? Vooral in dit COVID-tijdperk van thuiswerken?

Hoe dan ook, bestanden kunnen altijd nog gewoon als een e-mailbijlage worden verzonden, naar een USB-stick gekopieerd, via Bluetooth naar een ander apparaat worden verstuurd, via wifi naar een andere computer worden verstuurd en ga zo maar door.

“We blokkeren bijlagen, schakelen USB-opslagapparaten uit en schakelen een heleboel andere methoden uit”

Op dit punt moet je je afvragen: “Wil ik wel in de cloud zijn, en vooral in een omgeving met meerdere tenants?”
Nee, dat wil je schijnbaar niet. Jij zit in een donkere kamer met meerdere sloten op de deur. Je raam is ook op slot, je schrijft dingen op papier en bergt dit op in een archiefkast met slot en sleutel. Mensen komen binnen als ze de geheime handdruk kennen en documenten worden verbrand zodra je er klaar mee bent.

Wat ik bedoel te zeggen is: wat heeft het voor zin om digitaal te werken en een samenwerkingsplatform als Microsoft 365 te gebruiken als je er alles aan doet om te voorkomen dat mensen samenwerken met externe? Er zijn nu eenmaal mensen van buitenaf nodig om sommige werkzaamheden te uitvoeren. Externe mensen die jouw collega’s nodig hebben om mee te communiceren, informatie te delen en samen te werken aan gemeenschappelijke bestanden.

Kies waar extern gedeeld kan worden

Dit is een betere aanpak. In Microsoft 365 kun je inderdaad  kiezen welke site je extern wilt delen. Je kunt het toegestane niveau voor delen voor SharePoint en OneDrive instellen op iedereen (wat betekent dat het anonieme koppelingen zijn), en kiezen op welk niveau elke site moet kunnen delen.

Delen van bestanden instellen

Instellen delen per site

 

Kies wie extern kan delen

Gebruik groepslidmaatschap om te bepalen wie extern kan delen als je niet wilt dat iedereen in de organisatie volledige toegang heeft. Dit kan los of in combinatie met delen op site-niveau werken.

Specifiek delen in SharePoint

 

Een betere aanpak: kies wat extern gedeeld mag worden

Een veiligheid die kan worden toegevoegd of op zichzelf kan worden gebruikt is om te bepalen wie toegang heeft tot de inhoud, ongeacht machtigingen voor delen of locatie. Met behulp van gevoeligheidlabels kunnen we machtigingen toepassen op basis van inhoud, locatie, groepslidmaatschap, domein en andere.

Dit stelt je in staat om een scenario te hebben waarin bestanden door iedereen extern gedeeld kunnen worden, maar alleen mensen die lid zijn van een specifieke groep kunnen die bestanden zelf openen. Dit werkt goed bij het extern delen van bestanden, aangezien we termen als ‘30 dagen geldig’ of ‘commercieel in vertrouwen’ kunnen afdwingen door de bestanden daadwerkelijk te laten verlopen of de toegang tot bestanden in te trekken.

Hiervoor ga je naar deze link in je Microsoft 365 Admin center https://compliance.microsoft.com/informationprotection?viewid=sensitivitylabels

sensitivity labels

 

Dit scenario maakt gebruik van verschillende site machtigingen. Hierdoor kun je intern gevoelige bestanden op een SharePoint-site plaatsen waar een groep mensen toegang heeft, maar slechts een subset van mensen heeft toegang tot die specifieke bestanden. Een gebruiker kan ze dus delen, maar het bestand kan niet worden geopend als de persoon geen lid is van de specifieke groep.

Bovendien kunnen organisaties proberen Data Loss Prevention (DLP) te gebruiken om te voorkomen dat de persoon iets deelt dat niet mag worden gedeeld (aangezien het een legitiem ongeval kan zijn).

DLPInstellen

Het audit logboek bekijken en waarschuwingen instellen

Het audit logboek in Microsoft 365 legt bijna alles vast. Je opent een e-mail – deze wordt geregistreerd. Je opent een bestand – het wordt gelogd. Wat nog belangrijker is; je deelt een bestand – het wordt zeker geregistreerd. Daarom kunnen we waarschuwingen instellen om beheerders of compliance beheerders op de hoogte te stellen wanneer er iets wordt gedeeld dat niet zou moeten.

Audits

Hoe zit het met alles dat geen SharePoint of OneDrive is?

Verschillende apps en services in Microsoft 365 hebben verschillende bedieningsniveaus. Voor Sway en Forms is de instelling bijvoorbeeld tenant breed. Bij Power Automate is het mogelijk om DLP-beleidsregels te maken die de verbinding met externe services blokkeren. In Azure AD is het mogelijk om te voorkomen dat gebruikers toestemming geven voor apps die toegang hebben tot hun account en de omgeving van de organisatie. Momenteel is er een preview van de mogelijkheid om een goedkeuringsproces te hebben. Power BI kan gebruikmaken van informatiebeveiliging en heeft op groepen gebaseerde toegangscontroles gebruikt om te bepalen wie extern kan delen.

Hier moeten organisaties naar het grotere plaatje kijken. Dan weer naar het kleine plaatje en dan weer naar het grote plaatje. Vooral nadenken over hoe ze de dingen zouden moeten aanpakken. Het is onrealistisch om te verwachten dat je dit de eerste keer meteen goed doet, vooral nu technologieën evolueren en nieuwe controleniveaus worden geïntroduceerd.

Het beheer van extern delen moet niet alleen worden overwogen door tenant-, site- en groep gebaseerde controles. Bovendien moeten organisaties hun beleidsvereisten aanpakken, productcapaciteiten begrijpen en hun mensen opleiden.

Laat je gebruikers extern delen. Ga er slim mee om en leid ze op. Begin bij jezelf en voer de juiste systemen in om een evenwicht te vinden tussen gebruiksvriendelijk en veilig.

Deze blogpost is origineel geschreven door Loryan Strant.

Meer weten over de inzet en gebruik van Teams en Microsoft 365?

Op ons YouTube kanaal vind je een heel bibliotheek aan “How to” video’s over het gebruik van Microsoft Teams.
In het Nederlands, met demo’s en een heldere uitleg.

KbWorks YouTube kanaal

1 thought on “Hoe kan ik bestanden delen, terwijl mijn organisatie dit niet toe laat?”

Leave a Comment

Your email address will not be published. Required fields are marked *

Scroll to Top