SharePoint ekstern deling: luk døren når projektet slutter
I får et projekt afsluttet, men gæsterne bliver hængende i jeres Microsoft 365. En tidligere underleverandør kan stadig se gamle tegninger, tilbud eller mødereferater i Teams og SharePoint. Det er sjældent ondsindet—det er bare manglende offboarding. Her får I en praktisk model til at styre SharePoint ekstern deling, så adgangen udløber automatisk og kan dokumenteres.
Key takeaways (det I kan gøre i denne uge)
- Skær ned på “evig adgang”: Sæt udløb på gæsteadgang og projekt-Teams, så gamle projekter lukker af sig selv.
- Vælg den rigtige samarbejdsform: Brug Teams Shared Channels til faste partnere; brug gæsteadgang til kortere forløb.
- Stop anonyme links som standard: Hvis I tillader “Anyone with the link”, så brug kort udløb (Microsoft anbefaler short-term expiration).
- Indfør en simpel offboarding-regel: Projektleder bekræfter “hvem skal blive, hvem skal ud” ved milepæle—IT håndhæver.
- Dokumentér med kontrolpunkter: Brug Access Reviews (hvis licens) eller en fast rapport-/audit-rutine hver 30/90 dage.
Hvorfor projekt-samarbejde skaber “døde” gæster
Projektarbejde belønner fart: “Invitér lige rådgiveren” eller “del mappen med leverandøren”. Problemet kommer, når projektet skifter fase eller stopper. Der er sjældent en naturlig trigger, der fjerner adgang igen.
ShareGate’s governance-rapport peger på, at en stor del af eksterne brugere typisk ikke har været aktive i en længere periode (rapporten fremhæver inaktive eksterne som et gennemgående governance-hul). Det betyder i praksis, at risikoen ofte ligger i glemte rettigheder, ikke i avancerede angreb.
Micro “Før → Efter” #1 (offboarding)
Før: Projektleder sender en mail til IT: “Kan I lige fjerne dem, der er færdige?” — ingen følger op, og gæster bliver liggende i årevis.
Efter: I sætter udløb på projekt-Teams og kører en fast godkendelse hver 30/90 dage. Resultat: adgang bliver fornyet aktivt, ellers forsvinder den automatisk.
Hvordan vælger I mellem Guest Access og Shared Channels?
Den hurtige beslutningsregel: Vælg den løsning, der giver mindst mulig adgang for den opgave, der skal løses.
- Teams Guest Access (Entra ID B2B): God til projekter, hvor eksterne skal ind i jeres team og have adgang til flere kanaler/filer. Ulempen er drift: gæster oprettes hos jer, og I skal rydde op.
- Teams Shared Channels (Teams Connect / B2B Direct Connect): God til løbende samarbejde med kendte partner-organisationer. Eksterne arbejder i deres egen tenant og slipper for tenantskift. Petri fremhæver, at Shared Channels ofte giver bedre sikkerhed i praksis, men kræver korrekt cross-tenant access-opsætning.
Tre checks før I ruller Shared Channels ud
- Partnerlisten: Hvilke partner-domæner må I samarbejde med? Brug cross-tenant access settings til at tillade de rigtige og blokere resten (Microsoft Entra anbefaler mere granuleret kontrol fremfor “alt eller intet”).
- Ansvar: Hvem ejer relationen? Aftal hvem der godkender nye partnersamarbejder (IT + forretning).
- Support: Hav en proces for fejltyper: manglende politikker, forkert tenant, manglende MFA.
Sådan undgår I at “lukke ned” og skabe Shadow IT
Hvis I blokerer ekstern deling hårdt, flytter delingen bare et andet sted hen: private mails, WeTransfer eller Dropbox. Sikkerhed handler derfor om at gøre den sikre vej nemmest.
Micro “Før → Efter” #2 (linkdeling)
Før: Brugere kan kun dele ved at sende filer ud af huset, fordi SharePoint-delingsreglerne er for restriktive.
Efter: I tillader kontrolleret deling fra SharePoint med udløb på links og tydelige standarder. Resultat: færre filer uden for logning og rettighedsstyring.
Tjekliste: 12 kontrolpunkter for sikker ekstern deling
Brug tjeklisten pr. projekt-site/Team. Den er skrevet, så IT kan håndhæve, og projektledere kan forstå konsekvensen.
| Kontrolpunkt | Hvad I sætter | Hvad I kigger efter (acceptkriterie) |
|---|---|---|
| 1) Standard delingslink | “Specific people” som standard | Links kan ikke videresendes til andre uden ny invitation |
| 2) “Anyone with the link” | Blokér som default; hvis tilladt, kort udløb | Anonyme links udløber hurtigt (Microsoft Learn anbefaler short-term expiration) |
| 3) Udløb på gæsteadgang | Definér gæste-livscyklus (fx 90 dage uden fornyelse) | Ingen gæster med ukendt ejer og uden dato for seneste review |
| 4) MFA for gæster | Conditional Access: kræv MFA | Gæster kan ikke logge ind uden MFA (SCuBA anbefaler MFA for gæster) |
| 5) Cross-tenant adgang | Tillad kun kendte partner-tenants | “Allow list” fremfor “åben for alle” |
| 6) Sensitivity labels på Teams/Sites | Label styrer om ekstern adgang må være slået til | Projektsites får label, der matcher dataklasse (Microsoft Learn anbefaler labels som primær styring) |
| 7) Eksterne i grupper | Begræns hvem der kan invitere | Kun udpegede kan invitere gæster (minimer “invitation sprawl”) |
| 8) Projekt-Teams udløb | Expiration policy på M365 Groups/Teams | Teams uden aktivitet/fornyelse udløber og kræver aktiv forlængelse (Microsoft Learn fremhæver lifecycle) |
| 9) Access reviews | Automatiske reviews (hvis Entra ID P2) | Projekt-ejer recertificerer eksterne rettigheder med fast frekvens (NIST 800-53 kræver periodisk gennemgang) |
| 10) Mappe-struktur | Adskil “Udbud/Økonomi” fra “Drift/Byggeplads” | Eksterne har ikke adgang til følsomme mapper uden specifik godkendelse |
| 11) Logging & audit | Gennemgå delings- og gæsterapporter | I kan svare på: “Hvem har adgang til hvad?” inden for en arbejdsdag |
| 12) Offboarding-trigger | Milepæl: projektafslutning, fase-skift, leverandørskifte | En fast opgave i jeres proces: “revurdér eksterne” før næste fase |
Vil I have et hurtigt reality-check af jeres deling? Vi kan lave et 30-minutters “External Sharing Audit”, hvor vi gennemgår jeres vigtigste indstillinger (SharePoint, Teams og Entra ID) og giver en prioriteret to-do-liste, I kan rulle ud i drift. Se hvordan vi arbejder med IT-sikkerhed og governance.
Fejl der koster mest ved SharePoint ekstern deling
1) I styrer kun i SharePoint—men glemmer Entra ID
Ekstern deling er en kæde: SharePoint/OneDrive bestemmer hvordan der deles, mens Entra ID (External Identities) styrer hvem der får adgang og under hvilke betingelser. Practical 365 fremhæver netop denne klassiske forvirring. Lav en audit, der dækker begge steder.
2) “Alle må invitere gæster” i Teams
Det giver fart, men det fjerner sporbarhed. Udpeg en lille gruppe (fx projektleder + PMO) der må invitere, og giv dem en enkel regel: “Invitér kun til det Team/site, der matcher opgaven.”
3) Projektsites lever for evigt
ISO 27001:2022 Annex A 5.15 lægger vægt på, at adgang fjernes ved ophør. Det er svært, hvis jeres “ophør” ikke er defineret. Sæt udløb på Teams/M365 Groups og kræv aktiv fornyelse.
FAQ: Sikker ekstern deling i Microsoft 365
Hvordan sætter vi SharePoint ekstern deling op uden at bremse projekterne?
Gør den sikre standard nem: brug “Specific people” som standardlink, kræv MFA for gæster, og giv projektledere en fast “forny/fjern”-opgave ved milepæle. Så kan de dele hurtigt, men I beholder kontrol.
Skal vi helt slå “Anyone with the link” fra?
Som hovedregel: ja, som standard. Hvis enkelte teams har et legitimt behov (fx marketing), så begræns det til få sites og sæt kort udløb på anonyme links. Microsoft Learn anbefaler short-term expiration for at reducere risikoen.
Hvordan fjerner vi eksterne brugere i Entra ID, når samarbejdet stopper?
Start med en rapport over gæster og deres seneste aktivitet. Fjern adgang i de Teams/Sites, de er medlem af, og slet/disable gæstebrugeren, hvis relationen er slut. Indfør derefter en fast review-cyklus (fx hver 30/90 dage), så oprydningen ikke bliver en årlig brandøvelse.
Hvad er forskellen på Teams gæsteadgang og Teams Shared Channels?
Gæsteadgang opretter en gæst i jeres miljø og kan give bred adgang i et Team. Shared Channels (Teams Connect) lader ofte partneren arbejde fra egen tenant og reducerer behovet for tenantskift. Til gengæld skal I konfigurere cross-tenant access hos begge parter.
Hvordan dokumenterer vi governance til compliance (fx ISO 27001 eller leverandørkrav)?
Dokumentér tre ting: (1) jeres standarder (MFA, linktype, udløb), (2) jeres kontroller (access reviews/audit og hvem der godkender), og (3) jeres evidens (rapporter over gæster, delingslinks og ændringer). NIST SP 800-53 og ISO 27001 peger begge på periodisk gennemgang og fjernelse af adgang ved ophør.
Skal projektfiler ligge i OneDrive eller SharePoint ved eksternt samarbejde?
Tommelfingerregel: “We-filer” i SharePoint, “me-filer” i OneDrive. Projekter skal typisk ligge i SharePoint/Teams, så ejerskab, udløb og offboarding ikke er bundet til én medarbejder.
Hvad er den hurtigste måde at komme i gang, hvis vi har rod i gæster?
Kør en 3-trins sanering: (1) find alle gæster og sortér på inaktivitet, (2) kontakt Team/Site-ejere og få et ja/nej til hver gæst, (3) fjern og sæt automatisk review/udløb fremadrettet. Det gør næste oprydning markant mindre.
Sådan implementerer I det (konkrete skridt for skridt)
- Kortlæg: Udtræk liste over gæster, hvilke Teams/Sites de har adgang til, og sidste aktivitet.
- Segmentér: Del projekter i 2–3 dataklasser (fx “åben”, “intern”, “fortrolig”) og bind dem til sensitivity labels.
- Håndhæv standarder: Sæt standard delingslink til “Specific people”, og beslutter I at tillade anonyme links, så sæt kort udløb.
- Aktivér livscyklus: Sæt expiration policy på projekt-Teams/M365 Groups, så ejere skal forny ved behov.
- Krav til gæster: Slå MFA-krav til for gæster via Conditional Access og begræns, hvem der må invitere.
- Indfør reviews: Kør Access Reviews (hvis Entra ID P2) eller en fast månedlig/kvartalsvis godkendelsesliste til projektejere.
- Test & justér: Lav en “delings-test” med et rigtigt projekt og en partner, og ret politikker før udrulning bredt.
Hvis I vil samle det i en driftbar model med klare ejere og dokumentation, kan I starte med et kort forløb omkring governance og sikker deling i Microsoft 365.
