Benutzer und Security

Inhalt

Service Benutzer
- Multi Factor Authentication & Conditional Access
- zugewiesene Benutzerrollen
Allgemeine Benutzerrollen in beeSpaces

Service Benutzer

beeSpaces benötigt im Kundenmandant einen dedizierten Dienstbenutzer (Service Account). Über dessen Zugriffsinformationen (Benutzername & Passwort) werden mittels entsprechender Dienstanfragen (sog. «Service Requests»; siehe Architektur) gewisse Provisionierungsschritte aus dem Bereitstellungsdienst («Provisioning Service») von bee365 abgesetzt.

Hinweis

Empfehlung zur Namensgebung des Dienstbenutzers: Service Provisioning <service.provisioning@...>

Multi Factor Authentication & Conditional Access

Für den Service-Benutzer muss MFA zwingend deaktiviert sein. Regeln, welche Conditional Access-Einstellungen beinhalten, sind ebenfalls zu deaktivieren.

zugewiesene Benutzerrollen

Für die Provisionierung von Workspaces (für Teams oder Sites in SharePoint Online) müssen folgende Rollen dem Service-Benutzer zugewiesen werden:

	Zweck	Benötigt für folgende Aktion(en)
User Admin	Gäste-Einstellungen pro Team bzw. pro M365-Gruppe zu hinterlegen; dadurch lässt sich auch der Gast-Zugriff für Teams festlegen (bspw. `allowtoaddguests=false`)	Verwaltung der M356 Groups (Enable / Disable Guest Access)
SharePoint Administrator	Erstellen von Sites in SharePoint Online, Festlegen von Site-Einstellungen, Benutzermanagement	Erstellung neuer Site Collections (Workspace Types: `Team Site`, `Communication Site`, `Team Workspace`, `Group Workspace`, `Classroom` [nur EDU]) Applizieren eines PnP Provisioning Templates
Teams Administrator	Erstellen und Modifizieren von Teams in Microsoft Teams	Erstellung neuer Teams (Workspace Types: `Team Workspace`, `Group Workspace`, `Classroom` [nur EDU]) Festlegen der Benutzer-Mitgliedschaften (Team Owners, Team Members) Festlegen diverser Standard-Einstellungen im Team

Wichtig

Für die intiale Bereitstellung braucht der Service-Benutzer zusätzlich Global Admin-Rechte (App-Registrierungen in der Azure AD), welche nach Abschluss der Bereitstellung für den produktiven Betrieb dem Benutzer wieder entzogen werden können.

Allgemeine Benutzerrollen in beeSpaces

Im bereitgestellten Grund-Setup beeSpaces (in SharePoint Online) sind folgende Benutzer-Rollen vorgesehen:

Rolle	Bezeichnung	Beschreibung	Rechte
Administratoren	`Provisioning Administrators`	Administratoren im Umfeld von beeSpaces haben Vollzugriff auf alle Elemente (Listen, Pages, …). Hinweis Diese Rolle sollte nur internen IT Administratoren zugewiesen werden.	`Vollzugriff (Full Control)`
Superusers	`Provisioning Superusers`	Provisioning Superusers sind Mitarbeitende aus dem Business, welche inhaltliche Änderungen an den Elementen am Provisioning-Setup vornehmen dürfen (Templates erstellen und löschen, zusätzliche Ressourcen definieren, …). Änderungen an Berechtigungen sowie dem bereitgestellten Grund-Setup sind nicht möglich. Hinweis Diese Rolle ist bestimmt für sogenannte «Super User».	`Mitwirken (Contribute)`
Benutzer	`Provisioning Creators`	Diese Benutzergruppe umfasst alle Benutzer:innen (vorzugweise gesammelt in einer AAD Security Group und hier referenziert), welche grundsätzlich Arbeitsbereiche bestellen dürfen / sollen.	`Bestellen [Workspace bestellen, ohne Editieren]`

Wir empfehlen, dieses Grund-Setup nicht zu verändern. Ferner sei die Erstellung entsprechend gleich lautender Security Groups (in der Azure AD bzw. über das M365-Admin Center) sowie deren Mapping zu obigen Benutzerrollen in SharePoint umzusetzen.