Uprawnienia Sharepoint – czyli jak zabezpieczyć dostęp do danych

W poprzednim wpisie pisałem o bezpiecznym udostępnianiu danych z OneDrive-a. Jednak nie jest to przecież jedyne miejsce, w którym przechowujemy dane, na których pracujemy. Z przechowywaniem danych w chmurze, oprócz OneDrive-a najczęściej kojarzymy oczywiście SharePoint-a. Co więcej, tak naprawdę mówiąc o współpracy większych grup osób SharePoint będzie bardziej naturalnym wyborem, niż stworzony do użytku prywatnego czy współpracy w małych grupach osób OneDrive. A do zabezpieczenia takich danych, niezbędne będą odpowiednio nadane uprawnienia.

Choć oczywiście sam SharePoint to przede wszystkim witryny, to tworzone w ramach witryn biblioteki dokumentów są dedykowanym rozwiązaniem do przechowywania danych i współpracy. Mówiąc o przechowywaniu danych, a tym bardziej o współpracy i ich współdzieleniu, kwestia uprawnień staje się tym bardziej istotna. Dlatego też w tym wpisie skoncentrujemy się na uprawnieniach, które możemy nadawać za pomocą wbudowanych w SharePoint-a mechanizmów. Zapraszam!

Udostępnianie a dostęp bezpośredni

Zacznijmy od tego, czym różni się udostępnianie od nadawania uprawnień. Zarówno w przypadku OneDrive-a, jak i SharePoint-a obie te formy pozwalają na przyznanie określonych uprawnień do wybranego zasobu. Jednak, gdy zajrzymy nieco głębiej – dostrzeżemy różnice pomiędzy tymi dwoma formami. Udostępnianie, o którym pisałem w poprzednim wpisie, pozwala nam na szybkie nadanie dostępu do danego folderu czy pliku. Po określeniu bardzo podstawowego poziomu uprawnień (odczyt/modyfikacja) oraz grupy odbiorców (cała firma, wybrane osoby itd.) wygenerowany zostanie link. Taki link przesyłamy następnie osobie, której taki dostęp nadaliśmy, aby mogła ona dostać się do obiektu, do którego prowadzi. Alternatywnie możemy również np. wybrać odbiorców i wysłać im automatycznie wygenerowaną wiadomość, w której to również taki link się znajdzie:

W przypadku nadawania podstawowych uprawnień działa to dość podobnie. Uprawnienia mają jednak wiele opcji zaawansowanych, dzięki którym możemy dużo dokładniej określić niezbędne danemu użytkownikowi uprawnienia. Do tego dochodzi również kwestia dziedziczenia uprawnień. W przypadku uprawnień – możemy takie dziedziczenie wyłączyć. W przypadku udostępniania dokumentów – z szybkiego testu wynika, że udostępnione uprawnienia, choć niewidoczne np. w podfolderach, mimo wyłączonego dziedziczenia uprawnień nadal będą dawały możliwość dostania się w głąb udostępnionego folderu.

Choć udostępnianie zawartości i nadawanie uprawnień do niej w pewnych miejscach mocno się przenikają, to nieco uogólniając możemy przyjąć, że uprawnienia pozwalają nam po prostu na bardziej zaawansowane podejście do tematu. Jeżeli chcemy szybko udostępnić dany plik czy folder współpracownikom – udostępnianie jest wygodną metodą. Jeżeli chcemy nadać uprawnienia do zasobów dla większej grupy osób – skorzystamy raczej z uprawnień.

Pierwsza warstwa uprawnień na SharePoint

Pierwszą, bardzo ogólną warstwę uprawnień w SharePoint, nadajemy już na etapie tworzenia witryny. To tutaj określamy jej widoczność. W „Ustawieniach prywatności”, które dostępne są w początkowym kreatorze, mamy do wyboru dwie opcje widoczności witryny:

• Publiczna – dostęp mogą uzyskiwać wszystkie osoby w organizacji
• Prywatna – dostęp mogą uzyskiwać tylko jej członkowie, czy konkretnie wybrane osoby, posiadające uprawnienia

Wybrane tutaj uprawnienia jesteśmy oczywiście w stanie zmodyfikować na późniejszym etapie. Nie zmienia to jednak faktu, że proces nadawania uprawnień rozpoczynamy już tutaj. Dodatkowo uprawnienia nadajemy również określając właściciela oraz członków danej witryny w kolejnym kroku kreatora:

Jakie uprawnienia związane są z poszczególnymi grupami? O tym w sekcji poniżej.

Uprawnienia na poziomie witryny

Czy to na etapie tworzenia witryny, czy to już po jej stworzeniu, nadawane uprawnienia dotyczą całej witryny. Osoba posiadająca dostęp do witryny ma również dostęp (o ile tego nie ograniczmy) do wszystkich jej elementów. Mowa tutaj zarówno o plikach, jak i zamieszczanych informacjach, notesach itd.

Podstawową formą nadawania uprawnień na poziomie witryny są role:

• Właściciela
• Członka
• Odwiedzającego

Z każdą z tych ról jest również powiązany zestaw bardzo ogólnych uprawnień:

• Właściciel – Pełna kontrola
• Członek – Uprawnienia do modyfikacji
• Odwiedzający – Uprawnienia do odczytywania

Osoby czy grupy do poszczególnych ról możemy przypisać czy to na etapie tworzenia, czy na już utworzonej witrynie. Taką opcję znajdziemy w ustawieniach w prawym górnym rogu ekranu:

Możemy tutaj zobaczyć osoby czy grupy przypisane do poszczególnych ról:

Jak łatwo zauważyć, konkretne role związane z uprawnieniami do witryny są odzwierciedleniem „ról” w dedykowanej grupie. Razem z witryną na SharePoint tworzona jest również odpowiednia grupa o takiej samej nazwie. Jej właściciele mają jednocześnie prawo do pełnej kontroli nad witryną. Jej członkowie – do jej edytowania. Dodając członków do odpowiedniej grupy również możemy nadawać uprawnienia do związanej z nią witryny na SharePoint:

Co ciekawe, zmieniając poziom uprawnień, zmieniamy również rolę w kontekście witryny. W ten sposób zmieniając uprawnienia dla członków witryny na te, wyłącznie do odczytywania zawartości, są oni członkami w kontekście grupy, ale odwiedzającymi w kontekście witryny:

Warto również zwrócić uwagę na możliwość ograniczenia uprawnień do udostępniania zawartości:

Opcje te pozwalają dostosować kwestię samego udostępniania, czy to samej witryny, czy jej zawartości. Podobnie jeżeli chodzi o wskazanie osoby, która będzie odpowiedzialna za rozpatrywania przesyłanych przez użytkowników próśb o dostęp:

Uprawnienia na poziomie biblioteki dokumentów

Poziom niżej względem całej witryny, znajdują się uprawnienia, które dotyczą wybranej biblioteki dokumentów. Domyślnie tworzona jest tylko jedna biblioteka dla każdej witryny, ale nic nie stoi na przeszkodzie, aby utworzyć ich więcej. Każda z bibliotek może wtedy mieć odrębne zastawy uprawnień.

Aby móc zarządzać uprawnieniami biblioteki musimy najpierw do niej przejść. Na potrzeby tego artykułu możemy zacząć od tej domyślnej:

Po przejściu do biblioteki dokumentów pojawią się nam nowe opcje w dostępnych w prawym górnym rogu ustawieniach. Przejdźmy do ustawień biblioteki:

A następnie do jej uprawnień:

Tutaj znajdziemy już standardowy widok , który spotkamy również w przypadku uprawnień zaawansowanych dla poszczególnych plików czy folderów.

Nadawanie uprawnień w tym miejscu jest stosunkowo proste. Skorzystajmy z przycisku „Udziel uprawnień”:

W otwartym kreatorze możemy wskazać użytkownika lub grupę, której chcemy nadać uprawnienia:

Pod hasłem „Pokaż opcje” kryją się również bardziej rozbudowane poziomy uprawnień:

Skąd jednak mamy wiedzieć co oznaczają poszczególne poziomy? Czytanie, edycja … okej, ale czym różni się „edycja” od „współtworzenia”? Albo czym jest „projektowanie”?

Poziomy uprawnień zaawansowanych w SharePoint

Wróćmy poziom wyżej, do uprawnień witryny. Na dole, znajduje się się link do „ustawień uprawnień zaawansowanych”:

W ustawieniach uprawnień zaawansowanych witryny znajdziemy „poziomy uprawnień”:

W tym miejscu możemy zapoznać się z opisami każdego z dostępnych poziomów:

Wprawne oko zauważy, że na liście brakuje poziomu „Widok z ograniczeniami”. To prawda, choć dlaczego ten poziom nie jest widoczny na tak jak pozostałe? Nie mam pojęcia, a szybkie research dostarczył skrajnie różnych odpowiedzi. Nie jego widoczność jest jednak najważniejsza, a możliwość jego zastosowania. Jeżeli ktoś zastanawia się co kryje się pod tym uprawnieniem, już podpowiadam – możliwość odczytywania zawartości dokumentów w przeglądarce, bez możliwości ich pobierania.

Idąc dalej, klikając na poszczególne poziomy uprawnień, możemy zobaczyć dokładną listę uprawnień, które w sobie zawierają:

Możemy również tworzyć własne poziomy uprawnień, co pozwoli nam dostosować poszczególne uprawnienia do naszych potrzeb:

Uprawnienia na poziomie folderu/pliku

Choć tak naprawdę można by rozbić to na dwa osobne poziomy uprawnień, to jeżeli chodzi o samą metodę nadawania, niewiele się od siebie różnią. Z drugiej strony, różnica między folderem i plikiem jest na tyle oczywista, że nie ma chyba potrzeby jej tłumaczenia.

Uprawnienia do folderu czy pliku nadajemy w zakładce „Zarządzaj dostępem”:

W sekcji „Dostęp bezpośredni” możemy nadawać uprawnienia dla użytkowników czy grup, określając przy tym podstawowy poziom uprawnień:

Na dole znajdziemy również link prowadzący do uprawnień zaawansowanych:

Domyślnie w SharePoint włączone jest dziedziczenie uprawnień. Możemy je wyłączyć za pomocą zaznaczonej opcji: ( o tym czym jest dziedziczenie pisałem w tym wpisie)

Wyłączenie dziedziczenia pozwala nam na nadawanie uprawnień unikatowych. Po wyłączeniu dziedziczenia mamy również możliwość modyfikacji uprawnień wybranego użytkownika lub grupy:

Za pomocą mechanizmu „Sprawdź uprawnienia” mamy również możliwość weryfikacji uprawnień efektywnych danego użytkownika:

Słowo końcowe

To w zasadzie tyle, jeżeli chodzi o zarządzanie uprawnieniami w SharePoint. Samych opcji czy poziomów uprawnień jest tutaj całkiem sporo. Dzięki temu mamy możliwość dokładnego przypisania uprawnień, które są faktycznie niezbędne naszym użytkownikom.

Nadając uprawnienia, niezależnie od tego czy będzie to SharePoint czy jakiekolwiek inne miejsce, musimy pamiętać o zasadzie najniższych możliwych uprawnień. Zasada ta mówi o tym, aby każdy użytkownik posiadał dokładnie takie uprawnienia, jakie są mu niezbędne do wykonywania jego pracy. Nie mniejsze, ale przede wszystkim, nie większe.

Dobrą praktyką dla ogólnie pojętego nadawania uprawnień, jest korzystanie z grup. Pozwala to na dużo efektywniejsze zarządzanie uprawnieniami, szczególnie w kwestii niezbędnego wkładu pracy administratora. Łatwiej jest przecież przypisać uprawnienia do grupy, a następnie przypisywać do niej użytkowników, niż za każdym razem nadawać wszystkie uprawnienia indywidualnie.