Una Guida Pratica per Autorizzazioni del Sito di SharePoint

Matt Wade
Matt Wade

Seguire

Nov 29, 2019 · 14 min leggere

le autorizzazioni di SharePoint può essere complicato. Che tu sia nuovo di zecca alla proprietà del sito o un veterinario esperto, mantenere le autorizzazioni il più semplice possibile è sempre una buona pratica. Ti impedirà di perdere la testa.

Questo post ti fornirà alcune indicazioni su come impostare le autorizzazioni quando ottieni o erediti un nuovo sito SharePoint. Segui queste pratiche comprovate e le cose rimarranno semplici e più facili da gestire.

Autorizzazioni SharePoint-noto anche come sicurezza SharePoint da geek IT — ha un sacco di vantaggi per voi, il vostro team, i vostri colleghi estesi, e gli altri che hanno accesso alla rete.

Nel campo IT, parliamo dell’impatto del “taglio della sicurezza”, in pratica che potrebbe esserci una tonnellata di contenuti sul tuo sistema SharePoint, ma in genere hai accesso solo a una certa quantità. Quell’altro contenuto è “tagliato” dalla tua vista. Poche persone hanno accesso a tutto; di solito quell’accesso simile a Dio è limitato solo agli amministratori IT.

È un po ‘ come Facebook. C’è un sacco di contenuti di Facebook là fuori, ma la maggior parte di esso è fuori dalla vista da voi; è protetto. Idem.

Ecco alcuni motivi per cui le autorizzazioni di SharePoint possono essere davvero fantastiche:

  1. Le autorizzazioni ti danno la possibilità di nascondere le informazioni sulla bozza in modo che chi non dovrebbe vederlo, non possa.
  2. L’accesso al sito del team può essere limitato a quella squadra. Può essere cresciuto o ridotto come la squadra cambia, anche.
  3. Le informazioni centralizzate possono essere ospitate praticamente per tutti, se necessario. Hai bisogno di un rapido accesso al menu della caffetteria? Rilascialo in una libreria di documenti pertinente disponibile per chiunque.
  4. Le autorizzazioni di SharePoint possono utilizzare gruppi di utenti già creati da Active Directory (ne parleremo più avanti), in modo da non dover continuare a dare accesso agli individui.
  5. È inoltre possibile creare gruppi SharePoint ad hoc che possono essere utilizzati in diversi siti. Tienili aggiornati e i tuoi siti sapranno chi consentire automaticamente grazie a un roster di gruppo centrale.
  6. Se qualcuno ha dato un link a un file o un sito a cui non ha accesso, non vedrà il contenuto, il che significa che le tue cose rimangono protette. Possono richiedere l’accesso, ma nulla dice che devi darglielo.

Avendo accesso solo ad alcuni contenuti (non all’intero sistema di file, cartelle e siti), i risultati della ricerca conterranno meno informazioni estranee. Queste informazioni non possono apparire nei risultati, il che è una vittoria per te quando stai cercando cose.

Proprietari, i Soci, i Visitatori, oh mio!

SharePoint offre tre gruppi di autorizzazioni in ogni nuovo sito SharePoint: proprietari, membri e visitatori. E ‘ una buona idea attenersi a questi. Sei libero di creare nuovi gruppi di SharePoint ogni volta che vuoi, ma aggiunge complessità, molte volte inutilmente.

In alcuni casi, potrebbe essere utile creare un nuovo gruppo SharePoint, ma dovresti sempre combattere l’impulso e convincerti veramente di aver bisogno di un nuovo gruppo. Ogni nuovo gruppo rende un sito più complesso, il che rende più difficile un trasferimento di proprietà in futuro.

Per impostazione predefinita, i proprietari hanno “Pieno controllo”, i membri hanno accesso “Modifica” e i visitatori hanno accesso “Lettura”. Naturalmente è possibile modificare questi; infatti, vi consiglio di fare un cambiamento per il gruppo di membri in ogni sito. Ma altrimenti, rimarrei con questi nel modo in cui vengono perché 1) è più semplice e 2) quando qualcuno prende il sopravvento per te, vuoi che la transizione sia il più semplice possibile. Le configurazioni di autorizzazioni super complicate non offrono un’esperienza divertente per un nuovo proprietario.

Di seguito è riportata la pagina visualizzata quando si crea un nuovo sito. Si ottiene la possibilità di creare i nuovi gruppi. Puoi rinominarli e puoi scegliere di utilizzare gruppi già esistenti per prendere il posto di Visitatori, membri e proprietari. Non lo consiglio. Usa i valori predefiniti. E approfitta di aggiungere persone ai tuoi gruppi ora se vuoi.

Come stai usando il tuo sito?

L’uso previsto di un sito SharePoint dovrebbe dettare come si danno le autorizzazioni. Se sei responsabile di un sito che ospita informazioni finali pubblicate, ad esempio il sito intranet del tuo dipartimento risorse umane, dovresti dare accesso in lettura a molte persone, modificare l’accesso a pochissime persone e la proprietà a ancora meno. Se possiedi un sito di team, dovresti dare principalmente l’accesso alla modifica; le persone hanno del lavoro da fare, quindi lascia che lo facciano. Non dare accesso in lettura se puoi evitarlo; e limitare i proprietari pure. Per altri tipi di siti ad hoc, è davvero la vostra chiamata.

i Proprietari di gruppo

Questo gruppo ha il controllo completo del sito. I proprietari possono creare, modificare ed eliminare praticamente qualsiasi cosa in un sito, inclusa l’eliminazione del sito stesso. Come proprietario, potresti non essere il proprietario dell’azienda, ma sei il proprietario del processo aziendale per l’hosting dei contenuti, l’organizzazione dell’architettura, la creazione e l’aggiornamento degli elenchi e, in generale, l’aiuto a rendere i tuoi colleghi e il tuo team più snelli.

Questo è un ruolo piuttosto importante nella tua organizzazione e dovrebbe essere considerato parte della tua descrizione del lavoro. Un buon proprietario del sito ha un valore ovvio in una squadra perché il lavoro viene svolto con meno barriere e ritardi. Le cose work funzionano e tu sei un’aggiunta di grande valore per la tua squadra. Assicurati che il tuo capo lo sappia.

Regola dei tre

Un buon sito SharePoint non ha bisogno di più di tre proprietari. Esatto, tre: il proprietario principale, un backup e un backup secondario nella remota possibilità che il backup primario non sia disponibile.

So cosa stai pensando: “Ma così tante persone hanno bisogno di accedere per aggiornare il sito per fare questo, quello o l’altra cosa.”Ok, ma non hanno bisogno di essere proprietari. Quindi non dare loro la proprietà. Rendili membri. E solo dare loro accesso membro alle liste di cui hanno bisogno su.

Si può non come raccomandazione, ma non è arbitrario. Questa è una pratica comprovata che deriva da molte lezioni apprese e dal successo pratico che ho sperimentato supervisionando i miei siti e un’intera rete di siti nella mia vita professionale. Fidati di me: questa regola rende la configurazione più semplice disponibile. Ecco perché:

  1. Hai bisogno di più di un proprietario. Quando sei fuori, qualcuno deve fare il backup. Il secondo backup ha lo scopo di ridurre ulteriormente il rischio che non ci sia un backup disponibile quando necessario.
  2. Non tutti i proprietari sono dello stesso calibro. Meno proprietari, meno rischio di qualcosa di essere rotto da un proprietario meno esperto.
  3. Meno proprietari significa più controllo quando vengono apportate modifiche al sito. Quando qualcuno vuole cambiare qualcosa nel loro sito, vengono a voi ei vostri due colleghi; è quindi possibile fare la raccomandazione sulla soluzione più intelligente. Se ci sono un gruppo di proprietari, si può semplicemente andare via, fare il cambiamento perché “non è un grosso problema”, e tutti voi potreste pentirvene in futuro a causa di conseguenze non intenzionali.
  4. Mantenere il gruppo di proprietari piccolo garantisce la vera proprietà del sito. Se ci sono dieci proprietari e si pone un problema, ci sarà un sacco di dito puntato e” Ho pensato che fosse la sua responsabilità ” fare un’apparizione. Fidati di me. Ci sono passato.
  5. Se sei il proprietario principale, dovrai formare altri proprietari. Addestrare due persone è molto più facile che addestrare sette.

Devo ancora sperimentare una situazione in cui la regola del tre non è stata la soluzione migliore. E sono stato in giro un sacco di siti di SharePoint nella mia giornata.

Un ultimo consiglio su come essere un proprietario: elencare sempre i nomi dei proprietari sulla home page. Di solito fornisco un elenco di contatti di SharePoint con i nomi, i numeri di telefono, gli indirizzi e-mail e il programma di lavoro dei proprietari in modo che gli utenti sappiano immediatamente chi contattare se c’è una domanda o un problema con quel sito. Uno dei più grandi difetti di progettazione da parte di Microsoft non sta fornendo un elenco automatico dei proprietari su ogni sito. La gente deve sapere chi comanda!

Gruppo di membri

I membri sono persone che possono apportare modifiche all’interno di un sito. Possono pubblicare documenti, aggiornare elenchi, rispondere a sondaggi e fondamentalmente prendere parte allo sviluppo di contenuti, alla cura e all’uso del sito. La mia raccomandazione per l’utilizzo del gruppo Membri è piuttosto semplice:

  • Modifica il livello di accesso predefinito da “Modifica” a “Contribuisci”: per qualche motivo, Microsoft ha deciso di aumentare il livello di accesso predefinito per i membri in SharePoint 2013 (e versioni successive). “Modifica” offre alle persone la possibilità di creare, modificare ed eliminare elenchi oltre a tutto ciò che puoi fare con “Contribute”. È abbastanza probabile che tu non voglia che le persone si avvitino con elenchi che hai impiegato molto tempo per creare, personalizzare e costruire. Quindi limita le loro autorizzazioni al “vecchio” normale fin dall’inizio. Questa è la mia raccomandazione indipendentemente dal tipo di sito con cui hai a che fare.
  • Siti del team: Se possiedi un sito del team, in cui tu e i tuoi colleghi collaborate a documenti, moduli, file, elenchi e quant’altro in corso, crea il maggior numero possibile di membri dei tuoi compagni di squadra. Dovrebbero tutti avere l’accesso disponibile per apportare modifiche ai contenuti perché, beh, stanno facendo il lavoro! Lasciali!
  • Siti di pubblicazione: Se si possiede un sito di pubblicazione, dove la maggior parte del contenuto è finito file, politiche, ecc., Lei dovrebbe avere pochi-a-nessun Membri. Lo so, a molti proprietari non piace questa raccomandazione. Ma francamente, il contenuto è in prima serata e il minor numero possibile di persone dovrebbe avere la capacità di cambiare le cose. Non vuoi che un cambiamento involontario o non autorizzato avvenga sotto il tuo orologio. Quindi limita le autorizzazioni nell’area di pubblicazione se puoi. Ad esempio, in un sito di pubblicazione delle risorse umane, sono disponibili librerie di documenti separate per ciascuna funzione: una per i benefici, una per i documenti di lavoro, una per le politiche, una per il reclutamento, ecc. I membri di ciascuno di questi team dovrebbero avere accesso membro a ciascuna di queste librerie in modo che possano aggiornare le informazioni se necessario; ma nessun altro dovrebbe avere accesso di modifica a quelle librerie.

Gruppo visitatori

I visitatori sono persone che hanno accesso in lettura a un sito. Possono aprire file (e persino scaricarli), ma non possono apportare modifiche al contenuto. Sono pensati per consumare contenuti, ma non per crearli, aggiornarli, modificarli o eliminarli.

Fondamentalmente, è lo stesso di quando vai a Amazon.com. Non si modifica l’elenco delle cose da acquistare. Lo leggi. Si sceglie quelli che si desidera, ma non si cambia l’inventario per gli altri a leggere. Come un tipico utente di Internet, sei un visitatore di quasi tutti i siti là fuori.

La mia raccomandazione per l’utilizzo del gruppo Visitatori è ancora più semplice dei membri:

  • Siti del team: Francamente, credo che se sei un membro di un team, dovresti sempre essere un membro in quel sito. Ma mi rendo conto che ci sono momenti in cui gli estranei al gruppo (dirigenti, revisori, persone che hanno solo bisogno di rimanere “al corrente”) hanno bisogno di accesso in lettura ma non di accesso di modifica. Quindi, in generale, in uno spazio collaborativo, suggerisco di avere il minor numero possibile di visitatori. L’accesso in lettura ostacola potenzialmente il lavoro svolto.
  • Siti di pubblicazione: i siti di pubblicazione hanno lo scopo di condividere informazioni finalizzate con molte persone. La home page dell’azienda o dell’organizzazione è un sito di pubblicazione. Molte persone hanno bisogno di accesso. Quelle persone dovrebbero essere nel gruppo dei visitatori. La pagina dei vantaggi HR è un altro buon esempio. Se non fai parte del team Benefits in HR, dovresti avere accesso in lettura ai file relativi a assicurazione, pensionamento, ecc., ma Lei non dovrebbe essere capace di cambiare gli archivi (anche se lei vuole così Lei ha benefici migliori!).

Altri gruppi SharePoint

È possibile creare tutti i gruppi SharePoint che si desidera. Ciò è utile se si dispone di una raccolta ad hoc di persone che si desidera essere in grado di fornire l’accesso in altri siti altrove nel proprio ambiente SharePoint.

Una cosa da considerare: assicurati di aggiornare il proprietario di ciascuno dei gruppi nel tuo sito come gruppo di proprietari. Sfortunatamente, per impostazione predefinita, SharePoint rende i proprietari del gruppo l’individuo che ha creato il sito( o il gruppo), non il gruppo Proprietari. Logicamente, i proprietari dovrebbero avere il pieno controllo del sito e dei gruppi utilizzati nel sito. Se non lo si modifica e l’individuo selezionato lascia l’organizzazione, non è possibile modificare o aggiornare le impostazioni del gruppo SharePoint senza coinvolgere il reparto IT. Se si aggiorna il proprietario del gruppo al gruppo Proprietari, chiunque sia un proprietario in futuro avrà la possibilità di apportare modifiche a tali gruppi.

Gruppi di Active Directory

Active Directory è lo strumento che Microsoft fornisce per tenere traccia delle persone in una rete. Quando invii un’email a qualcuno da Outlook, estrai informazioni da Active Directory (o AD in breve). AD offre anche la possibilità di creare gruppi. E non sono gruppi di SharePoint, quindi non mescolarli.

I gruppi di annunci offrono un enorme vantaggio: se la tua organizzazione aggiorna i gruppi di ANNUNCI per i tuoi reparti, team e quant’altro, puoi utilizzarli in SharePoint. Molti reparti HR includono l’aggiornamento di un gruppo di annunci come parte del processo di onboarding e terminazione, il che significa che i gruppi di ANNUNCI sono probabilmente attuali e affidabili quando li usi in SharePoint.

L’esempio più utile è l’utilizzo di un tipo di gruppo di annunci “Tutto il personale”, che offre un modo molto rapido e automatizzato per dare accesso a tutti gli utenti della rete. (Potrebbe essere conosciuto come ” Tutto il personale”, “Personale”,” Utenti di dominio ” o qualcosa di simile. Ogni reparto IT / HR si presenta con la propria terminologia.) Dipendo da questi tipi di gruppi quando creo e condivido siti di pubblicazione che potrebbero avere informazioni a livello aziendale. Un sito portale di comunicazione, il sito benefici HR, biblioteca moduli contabili e simili in genere avrebbe “Tutto il personale” come parte del gruppo di visitatori. In questo modo non devo aggiungere e rimuovere individualmente gli utenti mentre si uniscono e lasciano l’organizzazione. Qualcun altro fa il lavoro per me, utilizzando un processo centralizzato e affidabile.

Se la tua organizzazione non utilizza gruppi di annunci, è un ostacolo alla produttività e i tuoi reparti IT e/o HR dovrebbero davvero considerare di farlo a beneficio di chiunque utilizzi SharePoint!o Outlook! È uno dei modi più semplici per inviare e-mail a un gruppo di persone senza dover cercare singoli account utente o indirizzi e-mail.

Si noti che i vantaggi dei gruppi di ANNUNCI provengono solo da utenti interni. Non puoi davvero ottenere questo vantaggio quando discuti di clienti, fornitori e altri estranei a meno che non facciano parte del tuo gruppo di annunci o ci sia stata una configurazione della federazione con quelle organizzazioni, che è un argomento complicato da affrontare e non qualcosa che ho intenzione di coprire qui.

Breaking permissions ereditarietà

Uno degli aspetti più potenti di SharePoint è “autorizzazioni a livello di oggetto”. Questo è un termine di fantasia per “si può dare accesso a singoli elementi in SharePoint senza dare accesso a un intero sito o sistema”. Ed è un enorme vantaggio in SharePoint.

Per impostazione predefinita, tutti i contenuti del sito ereditano le autorizzazioni dal sito stesso. Quindi l’accesso è lo stesso sul file A come file B come libreria X come elenco Y come l’intero sito. L’opzione per interrompere l’ereditarietà significa che è possibile rendere l’accesso univoco per un file, una libreria, un elenco o qualsiasi cosa in quel sito.

Questo è super allettante e può essere estremamente utile. Ma può essere molto pericoloso perché quando si interrompe l’ereditarietà, si aumenta significativamente la complessità della configurazione delle autorizzazioni. Non è una brutta cosa, ma devi essere pronto a tenere le cose sotto controllo una volta che lo fai. Per fortuna in SharePoint 2013, 2016 e online, c’è la possibilità di vedere con chi è “condiviso”un file, un elenco, una libreria o un altro elemento. Questa opzione è disponibile nella barra multifunzione di qualsiasi libreria, elenco, elemento o documento; vedere di seguito. Nelle versioni precedenti di SharePoint, non era così, quindi le autorizzazioni sono diventate un incubo totale. Ora sono solo un incubo parziale!

detto questo, hai ancora a camminare con leggerezza, quando si tratta di rompere l’eredità e fornendo unica autorizzazioni basate su singoli elementi. Ecco i miei consigli:

  1. Attenersi a librerie e siti: se è necessario interrompere l’ereditarietà, non farlo sul singolo file. Eliminare i file in una cartella, libreria, o anche un sito separato e gestire le autorizzazioni da lì. E ‘molto piu’ facile.
  2. Utilizzare i gruppi di SharePoint:non rompere le autorizzazioni dando l’accesso alle persone. Creare un gruppo SharePoint per l’occasione e utilizzare che invece. È più facile aggiornare un gruppo di SharePoint in un unico luogo, quindi godere di ogni elemento che estrae automaticamente quel gruppo nelle sue autorizzazioni, piuttosto che dover apportare una modifica ovunque quando qualcuno si unisce o lascia l’organizzazione.
  3. Fai attenzione: non sto affatto dicendo di non approfittare delle autorizzazioni a livello di oggetto. Lo uso regolarmente. Ma conosco il rischio. Le cose si complicano, e le intenzioni sono facili da dimenticare. Meglio documentare il ragionamento dietro la tua architettura di autorizzazione (vedi sotto).

Documenta la tua configurazione

Una volta impostata la struttura delle autorizzazioni, dovresti documentarla. Mi piace avere una libreria in tutti i miei siti chiamata ” Owner docs” o qualcosa del genere. In questa libreria, tengo un file che copre la struttura delle autorizzazioni, tutte le immagini utilizzate nel sito stesso, un documento che copre la descrizione del sito, l’uso previsto e quant’altro.

So che la documentazione fa schifo; a nessuno piace farlo. Ma non sarà proprio il tuo sito per sempre. Questa documentazione può aiutare i proprietari di backup e chiunque altro venga a prendere in consegna come proprietario in futuro. In realtà, è un grande risparmio di tempo quando si dispone di un nuovo proprietario di backup venire a bordo. Significa meno tempo necessario per addestrarli e hanno una risorsa da colpire quando sei fuori e devono prendere una decisione che potrebbe influire sulla visione e sullo scopo del tuo sito.

Documentare le tue autorizzazioni è fondamentalmente una governance su piccola scala. E anche se non è divertente, trovo che sia fondamentale.

Condivisione esterna

SharePoint Online offre ora la possibilità di condividere con utenti al di fuori della rete dell’organizzazione. E questo è un aggiornamento davvero potente al servizio. Ma è fuori dallo scopo di questo post. Tratterò questo concetto in un post separato perché merita la propria descrizione, analisi e raccomandazioni. Tutto ciò che viene menzionato in questo post presuppone che tu fornisca accesso solo agli utenti all’interno della tua rete o organizzazione, non a persone o gruppi esterni.

Conclusione

Mantenere le cose semplici. Attenersi ai gruppi out-of-the-box. Ridurre al minimo le autorizzazioni a livello di oggetto. Fare uso di gruppi di annunci quando è possibile. Documentare la configurazione. Tre proprietari max. Per i siti di pubblicazione, pochissimi membri, molti visitatori. Per i siti di squadra, molti membri, pochi-to-no Visitatori. Fai sempre un controllo di sanità mentale quando ti allontani da questi principi per assicurarti di averne assolutamente bisogno. E attaccatevi alle vostre armi quando la gente protesta. Sei tu l’esperto.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.