סקירה של מבנה ההרשאות בSharePoint Online

במאמר זה נבצע סקירה של מבנה ההרשאות בSharePoint Online, רמות ההרשאה השונות וכיצד להגדיר וליישם אותן בצורה מיטבית.
על ידי ניהול הרשאות נכון ב- SharePoint Online ,ניתן ליישם תצורת עבודה של מידור מידע בהתאם למבנה הארגון ולייעל תהליכים עסקיים על ידי מתן גישה למשאבים למורשים לכך בלבד.

על מנת להקל את הניווט במדריך, להלן תוכן עניינים:

Best practice

ההמלצה על הדרך המיטבית (best practice) של מייקרוסופט לגבי ניהול הרשאות נכון מגדירה מספר קווים מנחים עיקריים:

  1. מינימום הרשאות: יש לתת למשתמשים את רמת ההרשאה המינימלית ההכרחית הדרושה לביצוע המשימות המוקצות להם.
  2. הענקת גישה למשאבים על ידי הוספתם לקבוצות ברירת המחדל של SharePoint Online .
  3. הוספת המשתמשים לקבוצת ה-Members והגבלת מספר המשתמשים בקבוצת ה-Owners.
  4. שימוש בירושה וחלחול של הרשאות. כלומר, הימנעות מהענקת הרשאות למשתמשים בודדים.
  5. יש לשקול סגמנטציה (מידור) של התוכן על פי רמת אבטחה – למשל אתר ייעודי למסמכים רגישים, במקום לפזר את המסמכים על פני ספריות מסמכים רבות, מוגנים בהרשאות ייחודיות.

רמות הרשאה
  • Full Control – מכילה את כל הרשאות ה-SharePoint הזמינות. כברירת מחדל, ההרשאה הזו ניתנת לקבוצת ה-Owners. רמת ההרשאה הזו אינה ניתנת לשינוי או מחיקה.
  • Design – הרשאה ליצירת רשימות וספריות מסמכים, עריכת דפים, יישום ערכות נושא ועריכת דפי סגנון באתר. אין קבוצה בSharePoint המכילה את ההרשאה הזו כברירת מחדל.
  • Edit – הוספה, עריכה ומחיקה של רשימות וספריות. צפייה, הוספה, עדכון ומחיקה של פריטים ומסמכים בתוך הרשימה או הספרייה. כברירת מחדל, ההרשאה הזו ניתנת לקבוצת ה-Site members.
  • Contribute – צפייה, הוספה, עדכון ומחיקה של פריטים ומסמכים בתוך רשימה/ספרייה.
  • Read – יכולת צפייה בדפים ופריטים ברשימות וספריות מסמכים קיימות. ניתן להוריד מסמכים.
  • View only – צפייה בדפים, פריטים ומסמכים. מסמכים ניתנים לצפייה אך לא להורדה.
  • Limited access – הרשאת גישה מוגבלת היא יוצאת דופן.
    הרשאה זו מאפשרת למשתמש או קבוצה לגשת לעמוד או ספרייה כדי לגשת לפריט תוכן ספציפי.
    בדרך כלל המשתמש מקבל גישה ישירות לפריט בודד ברשימה או ספריה ואינו יכול לצפות או לערוך פריטים אחרים ברשימה. הרשאת Limited access כוללת את כל ההרשאות הנחוצות למשתמש כדי לגשת לפריט הרצוי בלבד.לא ניתן להעניק הרשאת גישה מוגבלת ישירות למשתמש או ל- קבוצה.
    במקום, אנו מעניקים למשתמש את ההרשאה הרצויה על הפריט הבודד, ו-SharePoint Online מוסיף באופן אוטומטי את הרשאת ה-limited access לשאר המיקומים באתר.

ניתן לצפות בפריטים עליהם יש את ההרשאות הספציפיות האלה דרך  Site settings -> Site permissions

SitePermissionsVisio

במידה וקיימם כאלו פריטים תופיע הודעה בראש העמוד המכילה קישור לצפייה בהם/במשתמשים להם ניתנה ההרשאה.

LimitedAccessVisio

רמת הרשאה מותאמת אישית

בנוסף לרמות ההרשאה הקיימות כברירת מחדל במערכת, ניתן ליצור על פי צרכי הלקוח רמות הרשאה מותאמות אישית.
מכיוון שמשתמשים בעלי הרשאת edit/contribute יכולים גם לבצע מחיקה של פריטים, אחת ההרשאות המותאמות אישית הנפוצות ביותר היא עריכת פריטים ללא מחיקה.
במקרה כזה יש לסמן את כל ההרשאות ולהוריד את הסימון רק מ- Delete items ו-Delete versions.

Site Collection Administrator vs Global Admin (מנהל כללי או מנהל אוסף אתרים)

הבדל שחשוב לעמוד עליו הוא ההבדל בין הרשאת מנהל אוסף אתרים לבין Global Administrator.

Site Collection Administrator הוא משתמש עם הרשאות לניהול אוסף אתרים ב-SharePoint Online. לאוסף אתרים יכולים להיות כמה מנהלים (Administrators) , אבל רק אחד מהם יכול להיות הראשי.

ה-Global Administrator מקבל הרשאה כזו באופן אוטומטי (יופיע בהרשאות אוסף אתרים כ- Company Administrator). הוא גם זה שאחראי להוסיף מנהל אוסף אתרים נוסף. (ברגע שיש שני מנהלי אוסף אתרים, שניהם יכולים להעניק את התפקיד הזה).
ה-Global Administrator אחראי על הניהול של ה-SharePoint Online Administration Center.

SiteCollectionAdmin

ניהול הרשאות ושיתופים

בתור אדמיניסטרטור או משתמש בעל הרשאת Full control, ניתן לנהל הרשאות מרמת האתר ועד רמת הפריט הבודד.
ניתן להשתמש באופציית ה-Share, או לגשת למאפיינים מתקדמים כדי לנהל ירושת הרשאות, רמות הרשאה ויצירת קבוצות.

שיתוף כמנהל
  • שיתוף Site– כאשר אדמיניסטרטור משתף אתר, נפתחת לו האופציה לבחור לאיזו קבוצה להוסיף את המשתמשים.
  • שיתוף ספריה – נפתחת אופציה לבחירה ב-Permission level, לא בקבוצה ספציפית.
  • שיתוף מסמך – ניתן לבחור האם לשתף את המסמך לעריכה או לצפייה בלבד.

בנוסף, מנהל יכול לצפות ב-Access requests שמגיעות ממשתמשים עם הרשאות נמוכות יותר.

באופן כללי, בתור מנהל מערכת מומלץ לעבוד עם תפריטי ההרשאות המתקדמים יותר כי הם מספקים יותר חופש פעולה.

שיתוף כמשתמש בעל הרשאות עריכה
  • משתמש בעל הרשאות עריכה יכול לשתף אתר עם משתמשים אחרים. השיתוף הזה מוסיף את המשתמש החדש לקבוצת ה-Members של האתר.
  • האפשרות להענקת גישה לאתר וגם האופציה לתת לחברי האתר לשתף פריטים באופן כללי ניתנת לשינוי. כברירת מחדל האופציה הזו מופעלת.
  • למשתמש בעל הרשאות עריכה אין גישה לשיתוף ספריית מסמכים (רק למשתמש בעל הרשאות Full control יש).
  • ברמת הפריט הבודד, ניתן לעשות Share ולבחור בין הרשאת צפייה לעריכה.
שיתוף כמשתמש בעל הרשאת קריאה בלבד
  • משתמש בעל הרשאות קריאה בלבד יכול לשלוח בקשה לשיתוף האתר עם משתמש אחר. הבקשה הזו צריכה להיות מאושרת על ידי האדמיניסטרטור.
  • אין גישה לשיתוף ספריית מסמכים.
  • המשתמש יכול לעשות share למסמכים או פריטים בודדים; גם הבקשה הזו נשלחת לאישור ע"י האדמיניסטרטור.

שיתוף עם משתמשים חיצוניים

ניתן לשתף את האתר ופריטים מתוכו גם עם משתמשים חיצוניים לארגון. שיתוף עם משתמשים וארגונים חיצוניים הוא Feature (אפשרות) שניתן להפעיל או לכבות. כברירת מחדל הוא מאופשר.
כדי לשנות את הגדרות ה-Feature הזה יש לגשת בממשק הניהול של  Office 365 ל- Resources —> Sites

ExternalSharing1

בחלון הבא יש לבחור בSite Collection הרצוי

ExternalSharing2

במסך הבא יש ללחוץ על Edit

ExternalSharing3

במסך האחרון יש להפעיל את אופציית השיתוף החיצוני

 

 

ExternalSharing4

שיתוף עם משתמשים חיצוניים אפשרי בשתי רמות:

  1. שיתוף עם משתמשים מאומתים (Authenticated users) בלבד. המשתמש אתו שותף האובייקט חייב לבצע Login עם שם משתמש וסיסמה על מנת לגשת אליו. משתמש מאומת יכול להיות בעל Tenant ב-Office 365 או בעל חשבון ב-Outlook.com .
  2. שיתוף עם משתמשים אנונימיים באמצעות לינקים לאתר או המסמך. אין צורך בשם משתמש וסיסמה על מנת לעבוד עם האובייקט ששותף.

עם משתמשים מאומתים ניתן לשתף קבצים, תיקיות, ספריות ואתר שלם.
כדי לשתף ספריית מסמכים עם משתמש חיצוני מאומת (Authenticated user), צריך בשלב ראשון לשתף מסמך מתוך הספרייה: ברגע שהמשתמש החיצוני ניגש לקובץ פעם אחת, ניתן גם לשתף את כל הספרייה.
עם משתמשים אנונימיים ניתן לשתף רק קבצים.

Audiences

Audience הוא קבוצה של משתמשים שניתן להשתמש בהם כדי למקד תוכן מסוים לאנשים בארגון.
הקבוצות שניתן לשייך ל-Audience הם רשימות תפוצה בExchange Online, קבוצות SharePoint או על פי חוקים ומסננים (Filters) מסוימים שמנהל המערכת מגדיר.
Audience הוא לא הרשאה של ממש. ניתן לשייך Web part מסוים בעמוד לAudience ספציפי ורק הם יראו אותו. כל שאר המשתמשים שלא מוגדרים שם יראו את העמוד ללא ה-Web part.

 

בהצלחה,

אילן שפיגל

Ilan Spiegel

סקירה של מבנה ההרשאות בSharePoint Online

סקירה של מבנה ההרשאות בSharePoint Online

סקירה של מבנה ההרשאות בSharePoint Online

סקירה של מבנה ההרשאות בSharePoint Online