Neuer SharePoint-Berechtigungsbericht: wer hat wo Zugriff?

von | Jan. 28, 2026 | CB-M365, Consulting Briefing | 0 Kommentare

Table of Contents
2
3

Consulting Briefing: Thema des Tages

Neuer SharePoint-Berechtigungsbericht: wer hat wo Zugriff?

SharePoint-Berechtigungsbericht: Endlich Schluss mit der Detektivarbeit im Berechtigungsdschungel

Wer schon einmal beantworten musste, „Auf welche SharePoint-Sites hat dieser Nutzer eigentlich Zugriff?“ kennt das Spiel: Site für Site durchklicken, Gruppenmitgliedschaften prüfen, irgendwo hängt noch ein direkter Zugriff an einer Bibliothek, und natürlich gibt es noch diesen einen „Jeder außer externen Benutzern“-Moment, der für leichtes Herzrasen sorgt. Genau dafür hat Microsoft jetzt einen neuen Berechtigungsbericht im SharePoint Admin Center nachgelegt: „Websiteberechtigungen für Benutzer“ (englisch: Site permissions for users report).

Wo du den Bericht findest

Der Bericht steckt im SharePoint Admin Center unter:

Berichte → Datenzugriffsgovernance → Websiteberechtigungen für Benutzer

Dort gibt es eine Landing Page für die Datenzugriffsgovernance-Berichte. Von dort aus wählst du bei „Websiteberechtigungen für Benutzer“ „Berichte anzeigen“ und erstellst bei Bedarf einen neuen Report.

Wichtig für die Praxis: Das Ganze gehört zu SharePoint Advanced Management. Wenn eure Organisation Copilot-Lizenzen hat und mindestens eine Copilot-Lizenz zugewiesen ist, bekommen SharePoint-Administratoren den Zugriff auf die dafür nötigen Advanced-Management-Funktionen automatisch; ohne Copilot geht es typischerweise über eine separate Lizenz.

So nutzt du den Bericht, um alle Site-Zugriffe eines Nutzers zu sehen

Der Workflow ist angenehm „Admin Center statt Archäologie“:

  1. Report erstellen (im Bereich „Websiteberechtigungen für Benutzer“).

  2. Nutzer hinzufügen (du kannst mehrere auswählen).

  3. Scope festlegen: SharePoint oder OneDrive – für deinen SharePoint-Berechtigungsbericht also Scope = SharePoint. (OneDrive ist dann nicht Bestandteil dieses konkreten Exports, sondern ein eigener Scope.)

  4. Report benennen und Erstellen & ausführen.

Wenn der Report fertig ist, bekommst du pro ausgewähltem Nutzer eine Ansicht: links die Nutzerliste, rechts die Sites, auf die der ausgewählte Nutzer zugreifen kann – inklusive der Info, ob der Zugriff auf die gesamte Site gilt oder nur auf einige Elemente (zum Beispiel einzelne Dateien/Ordner). Außerdem wird unterschieden, ob der Zugriff direkt oder indirekt über Gruppen kommt.

Für Doku-Fans (und Auditoren, die gern CSVs riechen): Du kannst den Report als CSV herunterladen – entweder für den ausgewählten Nutzer oder als ZIP für alle Nutzer im Report.

Was der Bericht inhaltlich liefert (und warum das Gold wert ist)

Der Report ist eine Momentaufnahme („Snapshot“) des Berechtigungszustands zum Zeitpunkt der Erstellung. Du siehst unter anderem:

  • Site-Name, URL, Template

  • primäre Site-Administratoren

  • externe Freigabe (ja/nein)

  • Sensitivity Label der Site

  • ob der Nutzer siteweit berechtigt ist (über SharePoint-Gruppen)

  • Zählwerte für Elemente mit direktem bzw. indirektem Zugriff

  • Report-Datum (mit dem Hinweis auf mögliche Verzögerung)

Das ist genau die Sorte Übersicht, die bisher oft nur mit PowerShell-Skripten, Graph-Bastelei oder Dritttools halbwegs komfortabel machbar war – und selbst dann blieb es gerne „kommt drauf an“. Jetzt bekommst du es als Admin-Center-Feature, nachvollziehbar und exportierbar.

Compliance-Use-Cases: Offboarding und Least Privilege ohne Kopfschmerzen

Offboarding (Mitarbeiter verlässt das Unternehmen):
Vor dem Deaktivieren des Kontos willst du wissen: Wo hat die Person noch Zugriff? Der Bericht zeigt dir schnell, ob irgendwo noch direkte Freigaben kleben oder ob der Zugriff sauber über Gruppen geregelt ist. Besonders hilfreich ist das, wenn Nutzer im Laufe der Zeit Abteilungswechsel hatten und „alte“ Gruppenmitgliedschaften einfach nie aufgeräumt wurden.

Least Privilege Review (Berechtigungen auf das Nötige begrenzen):
Der Report ist ein prima Startpunkt für quartalsweise oder halbjährliche Reviews: Wer kommt auf zu viele Sites? Wo gibt es auffällig viele direkte Zugriffe? Wo ist externe Freigabe aktiv, obwohl das nicht sein sollte? Und ja: Diese Auswertungen sind auch interessant, bevor man Copilot breit ausrollt – weil Copilot am Ende nur so „brav“ ist wie eure Berechtigungen.

Wie der Bericht die händische Recherche ablöst

Früher war das oft eine Kette aus:
„Welche Sites? → Welche Gruppen? → Welche Site-Berechtigungen? → Gibt es gebrochene Vererbung? → Gibt es Direktfreigaben auf Bibliotheken/Ordnern/Dateien?“

Der neue Report zieht diese Perspektive um: vom Nutzer aus gedacht („Was kann Ulrich sehen?“) statt von der Site aus („Wer darf hier rein?“). Und genau das spart Stunden, besonders bei Incident- oder Audit-Fragen, die nicht warten, bis man sich durch 200 Sites geklickt hat.

Einschränkungen: Was du wissen solltest, bevor du dich zu früh freust

Ein paar Realitätschecks (die guten alten „Kleingedruckt“-Monster):

  • Momentaufnahme mit Verzögerung: Die Daten können bis zu 48 Stunden hinterherhinken. Für „Was wurde eben gerade entzogen?“ ist das also kein Live-Monitoring.

  • Frequenz und Limits: Maximal 5 Reports, erneutes Ausführen alle 30 Tage. Außerdem sollen die Reports Daten bis zu 48 Stunden vor der Generierung enthalten.

  • Voraussetzung: Der „Websiteberechtigungen für Ihre Organisation“-Report sollte mindestens einmal generiert worden sein, bevor du den Nutzer-Report erstellst.

  • Scope-Trennung: Du wählst SharePoint oder OneDrive als Scope. Wenn du „rein SharePoint“ willst, nimm Scope SharePoint – OneDrive ist dann nicht automatisch mit drin.

  • Bekannte Stolperfalle bei „verdeckten Namen“: Wenn in den Microsoft-365-Report-Einstellungen „verdeckte Namen anzeigen“ aktiv ist, können die Berichte Probleme machen. Das ist so ein Klassiker: Datenschutz-Einstellung trifft Governance-Feature, beide starren sich an, nichts passiert.

Governance-Tipps: So baust du das sinnvoll in Prozesse ein

Microsoft empfiehlt, Snapshot-Reports quartalsweise als Basislinie zu nutzen und ergänzend Aktivitätsreports monatlich, um frische Oversharing-Signale zu sehen. Für den Berechtigungsbericht bedeutet das in der Praxis: Quarterly Permission Audit als fester Governance-Baustein.

Ein praxistaugliches Vorgehen:

  • Quartalsweise: Für ausgewählte Risikogruppen einen Nutzer-Report ziehen (zum Beispiel Abteilungsleiter, Assistenz, HR, Finance, Projektleiter, Externe).

  • Review-Regeln definieren: „Direkte Berechtigungen nur in Ausnahmefällen“, „externe Freigabe nur nach Bedarf“, „keine Altgruppen ohne Owner“.

  • Ergebnisse dokumentieren: CSV/ZIP ablegen, Ticket pro Abweichung, Verantwortliche benennen (Site-Owner, IT).

  • Nachhalten: Entzug/Umstellung nicht „irgendwann“, sondern terminiert.

Umgang mit Überberechtigungen: Entzug, Umbau, Aufräumen

Wenn der Report Überberechtigungen zeigt, ist die Devise: nicht wild alles abreißen, sondern strukturiert.

  • Direkte Berechtigungen abbauen: Wenn möglich, Zugriff über Gruppen statt Einzelpersonen regeln (besser prüfbar, besser entziehbar).

  • Gruppenmitgliedschaften bereinigen: Häufig ist nicht die Site das Problem, sondern die Gruppe, die über Jahre gewachsen ist wie ein schlecht geschnittener Bonsai.

  • Owner einbinden: Für kollaborative Bereinigung gibt es im Kontext der Datenzugriffsgovernance auch Features wie Site Access Review, damit Owner Berechtigungen selbst überprüfen und anpassen.

  • Schnelle Notbremse bei echten Risiken: Als Sofortmaßnahme wird unter den Remediation-Optionen auch Restricted Access Control (RAC) genannt, um Zugriff auf eine definierte Gruppe zu begrenzen.

Unterm Strich: Der neue SharePoint-Berechtigungsbericht ist kein Spielzeug, sondern ein echter Hebel. Er macht Berechtigungen endlich wieder zu etwas, das man regelmäßig prüfen kann – ohne dass jemand dafür drei Tage Urlaub nehmen muss.

Anmelden zum Consulting Briefing per Mail

Wenn Sie kostenlos das tägliche Consulting Briefing von Ulrich Boddenberg per Mail erhalten möchten, melden Sie sich auf dieser Seite an.

Die zehn letzten Consulting Briefings