SharePoint 2016 Easter-Eggs – Frohe Ostern

Frohe Ostern alle miteinander!

Zu diesem Fest möchte ich euch ein paar kleinere Funktionen in SharePoint 2016 zeigen, über die bisher noch nicht so intensiv diskutiert wurde – man möchte fast sagen, es gibt ein paar kleine versteckte Ostereier, die wir nun gemeinsamen finden möchten.

1. Automatische QR Codes für SharePoint Objekte

Microsoft hat viel am Look and Feel geschraubt, um den neuen SharePoint auch freundlicher bei mobiler Nutzung zu machen. Es ist dennoch sehr mühsam, sich mit einem Handy oder einem anderem mobilen Gerät, durch die Struktur des SharePoints zu hangeln. In SharePoint 2013 gab es daher schon eine kleine Lösung im Codeplex, die per Click einen  QR Code (Quick Response) erzeugt hat. So ein QR Code ist ein zweidimensionales Muster, das mit einer Handy-App und der Kamera eingescannt wird und normalerweise nach der „Übersetzung“ einen Link generiert, der dann direkt zu dem enstsprechenden Objekt navigiert. Eine sehr schöne Erleichterung.

In SharePoint 2016 ist diese kleine aber feine Funktion nun direkt eingebaut und man findet sie im Kontextmenü der entsprechenden Objekte einer Liste oder Bibliothek. Dies hilft sehr, wenn man noch schnell ein Dokument auf dem Handy lesen möchte, aber schon den Arbeitsplatz verlassen muss. In SP2016 ist fix der Code generiert, mit dem Handy eingescannt und schon wird das Dokument mit dem mobilen Gerät geöffnet. Vorraussetzung ist natürlich, ein Handy mit Kamera und entsprechender App (normalerweise standard in fast jedem mobilen Browser). Außerdem muss man sich mit dem Handy im Unternehmensnetzwerk befinden oder der SharePoint bzw. das einzelne Objekt ist auch über das Internet extern zugänglich.

 

2. Einen Ordner erstellen und direkt teilen

Ein weiter Fokus wurde von Microsoft auf die „Moderne Zusammenarbeit“ gelegt. Ein Beispiel dafür ist das erstellen eines neuen Ordners in einer Dokumentenbibliothek. Daber können nun direkt Nutzer oder Gruppen mit eingetragen werden, die Zugriff auf diesen Ordner erhalten sollen. Dies reduziert den administrativen Aufwand bei entsprechenden Berechtigungsstrukturen um einige Klicks. Ich finde, auch diese kleine Verbesserung ist gut gelungen.

 

3. Das Pinnen von Seiten

Wir können Seiten folgen – na klar, das ist keine Neuerung! Aber dabei kann auch schnell mal eine recht lange Liste an Seiten zusammen kommen. In SharePoint 2016 hat Microsoft daher eine weitere Option zum „Sortieren“ der gefolgten Seiten eingeführt. Man kann nun einzelne Seiten „pinnen“, was bedeutet, dass diese Seiten ganz nach oben in der Liste der gefolgten Seiten wandern. Auch eine schöne Funktion, um etwas mehr Übersichtlichkeit da rein zu bringen, was die Social Features unter Umständen unordentlich machen können.

 

Aber nun viel Spaß bei der echten Eiersuche und spätestens ab Dienstag wieder „Happy SharePointing“!

Governance und Compliance mit dem neuen SharePoint 2016 – DLP im Compliance Center

Die Grundlagen für die neuen Governance und Compliance Funktionen haben wir bereits im ersten Beitrag vor wenigen Tagen „gelernt“ (DLP mit eDiscovery). Heute schauen wir uns daher den zweiten Punkt aus der Reihe an: das neue Compliance Center mit Fokus auf die „Data Lost prevention“ (DLP).

2. DLP im neuen Compliance Center

 Mit der eDoscovery im ersten Teil konnten wir bereits überprüfen, dass unsere SharePoint Suche die gwünschten Dokumente findet und die DLP-Filter die sensitiven Daten daraus erkennen. Ich empfehle, dass Sie bei der Anwendung neuer DLP Richtlinien zunächst immer die Regeln im eDiscovery testen, um so auch heraus zu finden, in welchen Bereichen bzw. auf welchen Site Collections entsprechende Regeln angewendet werden müssen. So können Sie gezielte Richtlinien für bestimmte Bereiche ausrollen. In unserem Beispiel setzen wir die Suche nach Kreditkarteninformationen auf unserer Accounting-Seite fort.

Um nun Compliance Richtlinien anzuwenden, müssen folgende Voraussetzungen erfüllt sein:

a)      Konfigurierte Search Service Application
b)      Beispieldatei mit Kreditkarteninformationen
c)      Crawl der entsprechenden Bereiche, wo die obigen Dateien liegen
d)      Outgoing Email ist konfiguriert (optional)
e)      Site Collection mit der Compliance Policy Center Vorlage

Die Punkte a) bis c) habe ich bereits im ersten Beitrag erläutert.

d) Outgoing Email ist konfiguriert (optional)
Dieser Punkt ist optional, aber zu empfehlen, um auch die sehr hilfreichen Email-Informationen zu erhalten, sollte man gegen eine angewendete DLP Richtlinien mit einem hochgeladenen Dokument verstoßen haben. Die Konfiguration für zu sendende Emails ist die gleiche, wie in SharePoint 2013: In der Central Administration navigieren Sie dafür in die „System Settings“ und finden dort in der Kategorie „E-Mail and Text Messages (SMS)“ den Link zu „Configure outgoing e-mail settings“.

Die Möglichkeit, nun auch Emails verschlüsselt zu versenden, ist eine Option, die neu in SharePoint 2016 hinzu gekommen ist. Die Konfiguration ist aber selbsterklärend, sodass wir darauf nicht weiter im Detail eingehen brauchen.

e) Site Collection mit der Compliance Policy Center Vorlage
Auch hier gibt es nichts besonderes zu beachten, also einfach erstellen und dann kann es auch schon losgehen.

Anlegen einer DLP Policy im Compliance Policy Center

Im Compliance Policy Center gibt es zwei Optionen. Die erste, nämlich Richtlinien für das Löschen von Inhalten, geht mehr in die Richtung Governance. Dieses Thema schauen wir uns im dritten Teil genauer an. Wir konzentrieren uns nun auf die Data Loss Prevention Richtlinien.

Für den ersten Teil eines erfolgreichen Compliance Managements, müssen wir uns zunächst DLP Richtlinien definieren, nach denen sensitive Informationen identifiziert werden sollen.

Der Vorgang ist dabei sehr ähnlich, wie zur eDiscovery. Wir vergeben der Richtlinie einen Namen, wählen eine Vorlage aus und legen fest, wie häufig mindestens ein Verstoß gegen die Vorlage (PCI Data Security Standard -> Credit Card Numbers) gefunden werden muss, damit entsprechende Dokumente als sensitiv eingestuft und entsprechende Aktionen vorgneommen werden sollen.

Neu sind dabei im Compliance Center die zusätzlichen Aktionen, die nun bei einem Fund ausgeführt werden können. Der Policy Tip ist ein Hinweis auf einen Verstoß. Er wird in der Objekt-Vorschau angezeigt, aber auch mit Office 2016 direkt im enstprechenden Client. Ein cooles Beispiel dazu finden Sie hier: Policy Tipps im Office Client basierend auf O365 Außerdem können wir aktiv die Datei blockieren, sodass sie Unbefugte nicht länger öffnen können. Nur noch der Anwender, der das Dokument als letztes geändert und damit den Verstoß erzeugt hat, sowie der Dokument-Besitzer und Site Administrator werden noch in der Lage sein, das Dokument zu sehen und zu ändern.

Anwenden von DLP Richtlinien auf Site Collections

Haben wir uns nun DLP Richtlinien definiert, so müssen diese im zweiten Teil auf Site Collections angewendet werden, die wir überwachen möchten. Diese haben wir ja bereits im eDiscovery identifiziert.

Im DLP Policy Center starten wir nun also mit einer neuen Zuweisung.

Im ersten Schritt suchen wir nach einer Site Collection und wählen diese dann aus.
Hinweis: Auch das Suchen und Auswählen von Site Collections basiert auf dem Suchindex! Haben Sie also gerade eine ganz frische Seite angelegt und wollen diese nun auf DLP Richtlinien anwenden, so werden Sie feststellen, dass SharePoint diese nicht findet. Warten Sie daher den nächsten Continous oder Incremental Crawl ab bzw. starten Sie einen Crawl manuell, um die Seite sofort für die Anwendung von DLP Richtlinien verfügbar zu machen.

Im zweiten Schritt weisen wir der gewählten Site Collection eine Richtlinien zu. In meinem Screenshot gibt es nur eine einzige Richtlinien, aber selbst wenn Sie mehrere Richtlinien auf eine Seite anwenden wollen, so müssen Sie viele einzelne 1-zu-1 Zuweisungen erstellen. Außerdem werden leider nur die Dokumente der Site Collection selbst analysiert, aber nicht die in einer Sub-Seiten. Ja, ich kann mir gut vorstellen, was Sie nun denken… *Ohne Worte* 😉

Ist dies erledigt, so haben wir unsere DLP Richtlinien erfolgreich angewendet und nun heißt es warten, bis die entsprechenden Timer Jobs die Verstöße in unseren Dokumenten finden. Diese laufen je nach Sensitivität der zu findenden Daten alle 15 Minuten oder bis hin zu alle 24 Stunden.

Ergebnis für Endanwender und Administratoren

Sind diese Jobs durchgelaufen und auch der Suchindex ist aktuell, so erhalten wir Policy Tipps an Dokumenten, die auf unsere DLP-Regel anschlagen. In meinem Beispiel sind das Dokumente, in den eine Kreditkartennummer inklusive Ablaufdatum gefunden wird. Ohne Ablaufdatum wird das Dokument übrigens nicht als sensibel entsprechend der Regel eingestuft. Werden mindestens fünf Kreditkartennummern gefunden, wird das Dokument direkt geblockt – zu sehen an dem kleinen roten Icon.
dlp-12

Die Policy Tipps sind je nach Verstoß rot oder gelb eingefärbt. Ist die Datei geblockt, dann hat nur noch der Site Collection Administrator bzw. Owner sowie der Mitarbeiter, der das Dokument als letztes bearbeitet hat Zugriff. Dies ist eine zusätzliche Sicherheitseben zu den SharePoint Berechtigungseben. Denn wir können zwar sehen, dass die Datei noch theoretisch mit „Lots of People“ geteilt ist, unter anderem mit „Everyone“ und allen Domain Nutzern, aber tatsächlich sieht z.B. mein Beispiel-Nutzer Aaron Painter die geblockten Dateien nicht mehr.
dlp-13

dlp-14a

dlp-13a

Sollte nun eine Datei fälschlicherweise blockiert oder mit einer Policy-Warnung versehen sein, so kann dies überschrieben werden, damit die Zusammenabeit nicht unter diesen Fehlern leidet. Der Administrator oder der entsprechende Endbenutzer (Besitzer oder Person, die als letztes editierte), hat dazu zwei Möglichkeiten, das Problem zu lösen

  1. man editiert den entsprechenden Teil des Dokuments, der den Fund ausgelöst hat oder
  2. man nutzt den Policy Tipp, um den Konflikt für dieses Dokument zu lösen. Microsoft möchte nämlich nicht, dass durch DLP Richtlinien die Zusammenarbeit plötzlich zusammenbricht. Dazu können wir nun a) diesen Fund als Fehler melden, also dass es gar keine sensitiven informationen im Dokument gibt oder b) den Konflikt überschreiben mit einer Begründung, dass zwar sensitive Informationen zu finden sind, aber dies für den Zweck des Dokuments erforderlich ist. Beispielsweise kann dies eine Rechnung mit Zahlungsoptionen, inklusive Kreditkarteninformationen sein.

dlp-15

dlp-16

Ist auf eine der beiden Varianten der Konflikt gelöst worden, so erhält der Anwender zunächst einen Dialog, dass die Aktion nun entsprechend ausgeführt wurde und auch das kleine „Stopp“-Symbol am Dokument verschwindet wieder.

dlp-17

dlp-18

Nachdem eine Richtlinie überschrieben wurde, wird das Dokument bei einem erneuten Scan nicht erneut indiziert, solange es nicht erneut modifiziert wurde.

*Hinweis: Mit dem September 2016 CU haben die DLP Policies endlich angefangen für SharePoint 2016 OnPremises Deployments zu laufen – HURRA! 🙂 Leider funktionieren aber die Email Notifications und das Audit Logging der gemachten Antworten beim Überschreiben einer Policiy noch nicht.

Denn per Email sollte uns SharePoint eine Mitteilung machen, dass ein Objekt mit dem Namen abc.docx gegen eine Unternehmensrichtlinie verstößt – die Richtlinie soll sogar angezeigt werden, damit kein Frust entsteht, sondern der Nutzer klar und deutlich darüber informiert wird, warum etwas mit seinem Dokument nicht stimmt. Per Link in der Mail soll man direkt zu dem Dokument gelangen und Änderungen vornehmen können.

Der Administrator, der bei einem Verstoß einer entsprechenden Regel informiert werden soll (siehe Einstellung oben: administrator@contoso.com), bekommt sogar noch detailliertere Informationen per Email:

  • Fundort
  • Titel
  • Autor
  • Person, die als letztes editierte
  • Schweregrad
  • Regel und Richtlinienname
  • Was, wie oft und mit welcher Sicherheit gefunden wurde

Wir sind mit diesen neuen Features eindeutig auf dem richtigen Weg und ich informiere, sobald auch die noch unschönen Dinge bzw. die Notifications besser funktionieren.

Bis dahin „Happy SharePointing“!

SharePoint 2016 RTM wurde veröffentlicht – GA wird im Mai erwartet

Hurra!!! Es ist endlich soweit, Microsoft hat heute die Release to Manufacturing (RTM) Version von SharePoint Server 2016 veröffentlicht. Dies beinhaltet auch Project Server 2016 RTM. Damit können Admins nun voll auf das hybride Boot aufspringen und alle Vorteile nutzen, die SharePoint 2016 mit sich bringt.

Den Download könnt ihr von hier starten:
https://www.microsoft.com/en-us/download/details.aspx?id=51493

Ein paar weitere Details und eine kurze Zusammenfassung von Bill Bear über die neuen Features findet ihr hier:
https://blogs.office.com/2016/03/14/sharepoint-2016-rtm-and-the-future-of-sharepoint-event/
https://blogs.office.com/2016/03/14/whats-new-for-admins-in-sharepoint-server-2016/

Ich werde die Version in den nächsten Tagen testen und lasse euch wissen, was es spannendes zu entdecken gibt.

Happy SharePointing!