Få styr på fil-tilladelser i Teams/SharePoint
Forstå samspillet – gør det rigtigt – og undgå faldgruber
14. November 2025 / Ejner Jensen
Baggrund
Denne artikel er for alle som kæmper med fil-tilladelser i Teams/SharePoint – eller bare gerne vil vide noget mere:
Her kan du læse om:
- Teams og SharePoint
- Balance mellem sikkerhed og samarbejde
- Opret de rigtige Teams
- To forskellige modeller for adgangsstyring
- De fem måder at styre tilladelser
- Yderligere anbefalinger
- Anbefaling til en enkel model for tilladelser
De fem måder at styre fil tilladelser
Teams og SharePoint
Når du opretter et Team i Microsoft Teams, oprettes der automatisk et SharePoint-websted til alle filer – dvs. dokumenter, videoer, loops osv.
I Teams kan du lave kanaler til at organisere indlæg og tilhørende filer.
I SharePoint gemmes filerne i biblioteket ”Dokumenter” i en mappe for hver kanal.
Hvis du uploader en fil til et indlæg i en kanal, vil den automatisk blive gemt her.
Du kan se kanalens filer, via fanen “Delt” i Teams.
I SharePoint kan du lave yderligere mapper, biblioteker og lister.
Du styrer som udgangspunkt adgangen til filerne – og andet indhold på webstedet – ved at tilføje ejere, medlemmer og gæster til dit Team. Men ofte er dette ikke nok, og så er det vigtigt at vide, hvordan du skal administrere tilladelser i SharePoint. Og efter Copilot er kommet til, er det ekstra vigtigt, at du har styr på, hvem der har adgang til filerne.
Desværre kan tilladelser i SharePoint nemt blive meget kompliceret.
Balance mellem sikkerhed og samarbejde
En “Best practice” fra Microsoft for tilladelser er:
Følg Princippet for mindste tilladelser:
Giv brugerne det laveste niveau af tilladelser, som de skal bruge for at kunne udføre deres opgaver.
⚖️
Men – der er behov for at balancere dette ift. behovet for nemt at kunne samarbejde – og samtidigt holde administrationen af tilladelser simpel og overskuelig!
At finde den rette balance er ikke nemt. 
Oven i det har Microsoft optimeret standardopsætningen af tilladelser i Teams, så den understøtter samarbejde maksimalt – men desværre på bekostning af sikkerheden!
Det får du hjælp til at rette op på i denne artikel – se stederne markeret med 
NB: Det er ikke sikkert, at du skal stramme sikkerheden alle steder!
Det er en balancegang – afhængig af dine konkrete behov i dit Team og i din organisation!
Opret de rigtige Teams
Den bedste måde, at få simple tilladelser i Teams, er at få oprettet de rigtige Teams!
Men dette kræver en balancegang mellem forskellige hensyn – og det er ikke nemt.
Her er nogle råd:
- Lav ikke for store Teams
Der skal være et fælles formål for et Team
Store Teams kan øge behovet for komplekse fil-tilladelser - Lav ikke for små Teams
Der skal være basis for en jævnlig aktivitet i indlæggene
For mange Teams kan blive uoverskueligt for brugerne - Bland ikke kortlivede og mere langvarige emner i samme Team
Fx organisation (ændrer sig jævnligt)
og produkter (mere permanente – og ansvaret kan ændre sig) - Overvej fremtidige behov
Passer det/de Teams, som du er ved at oprette, også til kendte fremtidige behov?
Er dine Teams robuste overfor organisatoriske ændringer?
I mit næste blog-indlæg vil jeg gå mere i dybden med dette emne. 😊
NB: Når et Team først er taget i brug, er det i praksis svært at splitte det op i flere Teams – eller lægge det sammen med andre Teams!
To meget forskellige modeller for adgangsstyring
Teams og SharePoint bruger to vidt forskellige modeller for at styre tilladelser.
Her er den første overblikstegning for den helt simple adgangsstyring via Teams.
Gennem artiklen vil tegningen blive udbygget, efterhånden som yderligere elementer beskrives.
Tip: Klik på tegningerne, for at se en større version.
Teams bruger en simpel model – lavet til den almindelige bruger
- Der er tilknyttet en M365-gruppe med nogle indbyggede roller, hvor du kan tilføje brugere
- Du kan oprette private (fortrolige) og delte kanaler, hvis der er behov for det
- M365-gruppen giver også adgang til Teamets Planner, Mailboks og Kalender
SharePoint bruger en avanceret model – lavet for ekspertbrugeren
- Der er en SharePoint-gruppe for hver rolle (ejere, medlemmer og besøgende), hvor du kan tilknytte både brugere, M365-grupper og andre sikkerheds-grupper
- Du kan ændre på tilladelserne for en SharePoint-gruppe
- Du kan oprette dine egne SharePoint-grupper – hvis der er behov for det
- Der er indbygget en række tilladelsesniveauer(adgange) – fx Rediger og Læs
- Du kan oprette dine egne tilladelsesniveauer – hvis der er behov for det
Steder, hvor du skal være særligt opmærksom, er her i artiklen markeret med
ℹ️ Mere om denne artikel
Jeg håber, at artiklen kan hjælpe dig til at:
- Forstå, hvordan fil-tilladelser virker
- Vælge de rigtige måder at give tilladelser
- Undgå fejl, som kan føre til utilsigtet adgang eller administrativt ekstraarbejde.
Denne artikel beskriver fil-tilladelser for den mest almindelige type Teams:
- Private Teams
Afgrænsninger
- Offentligt Teams
Her kan alle blive medlem uden godkendelse. NB: Her kan alle i din organisation som standard redigere alle filer – medmindre du ændrer det! Tip: Du er ofte bedre stillet med en Engage gruppe end et Offentligt Team. - Hele-org Teams
Her er alle i organisationen automatisk medlemmer.
Artiklen gælder også for SharePoint websteder, der er oprettet som teamwebsted – dvs. med en M365-gruppe – men uden et Microsoft Team. Dog mangler du muligheden for Private og Delte kanaler.
Denne artikel dækker ikke sensitivitets labels, som er er måde at klassificere data, så man kan lave ekstra beskyttelse af de mest kritiske/følsomme data i organisationen.
Vær opmærksom på, at selv om meget af det beskrevne også dækker kommunikations websteder og klassiske websteder, så er der forskelle nogle steder.
Ændringslog
2025-12-02
- Link tilføjet til ny side:
Tilladelser efter Flytning af filer i Teams/SharePoint
2025-11-24:
- Billede tilføjet: Brudt nedarvning
2025-11-14:
- Dansk version publiceret
2025-11-05:
- Engelsk version publiceret
Vejledning til fil-tilladelser i Teams/SharePoint
De fem måder at styre tilladelser for filer
På websteds-niveau er der 4 måder at styre fil-tilladelser på:
- Medlemskab i Teams
– den simple måde i Teams - Private og delte kanaler
– den udvidede adgangsstyring i Teams - Webstedstilladelser i SharePoint (Modern UI)
– flere muligheder – kun for SP indhold - Avancerede tilladelser i SharePoint (Classic UI)
– for de komplekse behov
Desuden er det muligt at give:
- Entydige tilladelser til individuelle elementer
– fx en mappe eller en fil.
De fem måder at styre fil tilladelser
1. Medlemskab i Teams
Dette er den primære måde at styre adgangen til Teams og filer.
Brugere du tilføjer her, vil som udgangspunkt have adgang til alt på SharePoint webstedet.
Gælder for: Hele webstedet
Hvem kan: Kun Teams ejere har adgang til dette.
Du bruger rollerne i Teamets M365-gruppe til at styre adgang:
- Medlemmer: Kan som udgangspunkt se, oprette, ændre og slette alle filer – samt give andre adgang til filerne, medmindre du har spærret for dette (se: Anbefalinger på Websteds-niveau)
- Gæster: Eksterne brugere – har samme tilladelser som medlemmer
- Ejere: Styrer hvem der har adgang til Teamet, styrer indstillinger for Teamet og har altid fuld adgang til alle filer – undtagen i private og delte kanaler, som de ikke er medlem af
Team ejere er placeret i SharePoint-gruppen “Ejere” – og Team medlemmer og Team gæster er placeret i SharePoint-gruppen “Medlemmer”.
NB: Selvom du kan ”tilføje” en gruppe til et Team, så bliver medlemmerne af gruppen i realiteten tilknyttet enkeltvis, så senere ændringer i den ”tilføjede” gruppe bliver ikke overført til din M365-gruppe!
NB: Når du ændrer medlemskab i Teams, kan der går et stykke tid (typisk nogle minutter), inden det slår igennem i SharePoint!
2. Private og Delte kanaler
Adgangen til Private og Delte kanaler kan justeres ift. Teamets øvrige kanaler – dvs. at du kan begrænse adgangen til Private kanaler – og udvide adgangen til Delte kanaler.
Du kan dermed undgå komplicerede rettigheder i dit Team – eller undgå at oprette nye Teams.
Eksempler:
- Opret en Privat fortrolig kanal til ledergruppen i et Team
- Opret en Delt kanal til eksterne leverandører – evt. én Delt kanal pr. leverandør
Hvem kan: Som standard har alle medlemmer adgang til dette! Du kan begrænse til kun ejere.PS: Standarden kan være ændret i din tenant – fx til kun ejere.
Privat kanal
Du kan kun tilføje brugere, som allerede er i Teamet, til en Privat kanal – fx. lederne i teamet.
Delt kanal
Du kan tilføje hvem som helst til en Delt kanal – dvs. enkeltpersoner eller Microsoft Teams – indenfor eller udenfor organisationen – så de får adgang til kanalen og de tilhørende filer.
Kanal medlemmer, som ikke er med i Teamet, vil ikke kunne se de almindelige kanaler i Teamet.
I praksis oprettes der i baggrunden et separat SharePoint-websted til hver privat eller delt kanal.
NB: Når en kanal først er oprettet, kan du ikke ændre type – fx fra Almindelig til Privat!
NB: Fil-tilladelser på Private og Delte kanaler kan kun ændres i Teams via medlemskabet til kanalen – samt via entydige tilladelser til individuelle elementer på kanalens websted!
NB: Der kan være helt eller delvist spærret for delte kanaler i din organisation.
Se: Anbefalinger for M365 admins
Private og Delte kanaler – Begrænsninger
Der var fra staten mange begrænsninger på private og delte kanaler ift. almindelige kanaler.
Microsoft har heldigvis fjernet en del af begrænsningerne og er i gang med at fjerne flere – bl.a. øges antallet af private kanaler i et Team snart fra 30 til 1000.
Læs evt. mere her:
3. Webstedstilladelser i SharePoint (Modern UI)
Webstedstilladelser i SharePoint giver dig en lidt mere granuleret kontrol over filer – uden at påvirke medlemskabet i Teams.
Eksempel: Giv læse-adgang til hele webstedet, til udvalgte brugere udenfor Teamet.
Gælder for: Hele webstedet
Hvem kan: Som standard har kun ejere adgang til dette. Du kan evt. give flere adgang.
Du kan administrere disse SharePoint-grupper:
- Webstedsejere: Har fuld kontrol over SharePoint-webstedet – men ingen rettigheder til Teams.
Denne gruppe inkluderer altid ejerne fra Teams M365-gruppen (som ikke kan ændres/fjernes). Kan bruges, hvis du gerne vil have fil-administratorer, som ikke må kunne administrere i Teams.
PS: I denne gruppe er det helt i orden at tilføje enkeltpersoner frem for grupper. - Webstedsmedlemmer: Har redigerings-adgang – dvs. kan oprette, se, ændre og slette filer – samt give andre adgang til filerne, medmindre du har spærret for dette (se: Anbefalinger for Websted).
Inkluderer både medlemmer og gæster (eksterne brugere) fra Teams M365-gruppen. - Besøgende på webstedet: Har læse-adgang.
Denne SharePoint-gruppe er tom fra starten – du kan selv tilføje nye Besøgende NB: ”Besøgende” har ingen sammenhæng til rollen ”Gæster” i Teams!
Du kan tilføje både brugere og sikkerheds-grupper til en SharePoint-gruppe og/eller ændre adgangen for de aktuelle medlemmer.
NB: Når du ændrer adgangen for nogen her (i Modern UI), bliver de i praksis flyttet til en af de andre SharePoint-grupper.
NB: Det er muligt at ændre adgang for Teams-medlemmer fra ”Rediger” til ”Læs” – men det bør du ikke gøre, da de så bl.a. ikke kan bruge Loop eller vedhæfte filer til indlæg i Teams!
NB: Hvis du(/nogen) har givet adgang til webstedet via en egen-oprettet SharePoint-gruppe, så vises dette ikke i Modern UI ! For at se disse adgange, skal du gå til avancerede tilladelser.
🪚 Webstedstilladelser (Modern UI) – "How to" – Klik for at se mere
For at ændre disse tilladelser:
- Klik på tandhjulet øverst til højre på skærmen
- Klik på “Webstedstilladelser”
- Ændr indstillinger – fx hvem der kan dele (”Webstedsdeling”)
…eller
- klik på “Tilføj medlemmer”
- Klik på “Del kun websted” NB: Hvis du vælger ”Føj medlemmer til gruppen” giver du adgang til Teamet!
- Tilføj brugere/grupper og vælg adgang (Læs, Rediger eller Fuld kontrol), så vil de komme i den rigtige SharePoint-gruppe
NB: Du kan ikke bruge denne metode for Private og Delte kanaler!
Se evt. også:
4. Avancerede tilladelser i SharePoint (Classic UI)
For langt de fleste Teams, har du heldigvis ikke behov for at bruge denne metode 😊
Eksempel: Giv adgang til at nogle brugere må opdatere, men ikke kan slette filer.
Gælder for: Hele webstedet
Hvem kan: Som standard har kun ejere adgang til dette. Du kan evt. give flere adgang.
NB: Du er nu i SharePoint Classic UI – med mange muligheder – Vær forsigtig!
Brug kun disse indstillinger, hvis du virkelig har behov for det!
Her kan du administrere:
- Administratorer af gruppe af websteder (Site Collection Administrators)
Har ultimativ kontrol over webstedet og alt indhold.
Denne gruppe inkluderer ejerne i Teams M365-gruppen – du kan tilføje flere. - SharePoint-gruppe: Websteds-ejere
Har fuld kontrol (i praksis næsten på niveau med administrator)
Gruppen ser tom ud fra starten – men faktisk er Team-ejere også med – bare skjult!
Se i øvrigt: 3. Webstedstilladelser i SharePoint (Modern UI) - SharePoint-gruppe: Medlemmer af webstedet
Se: 3. Webstedstilladelser i SharePoint (Modern UI) - SharePoint-gruppe: Besøgende på webstedet
Se: 3. Webstedstilladelser i SharePoint (Modern UI) - Standard tilladelsesniveauer
NB: Bør ikke rettes, da det vil forvirre! Opret i stedet nye tilladelsesniveauer! - Brugerdefinerede tilladelsesniveauer: Opret/rediger dine egne tilladelsesniveauer
Du kan fx lave et tilladelsesniveau til “Rediger uden sletning”, som du kan tilknytte brugere, der kun skal korrektur ændre.
💡 Tip: I Modern UI kan du på Word-dokumenter give adgangen ”Kan gennemse”, som giver adgang til at foreslå ændringer til dokumentet. NB: Hvis en bruger skal oprette webstedssider i ”Sidebiblioteket”, skal brugeren også have tilladelse til at slette sider i ”Sidebiblioteket”, da oprettelsen sker som en midlertidig oprettelse, med en efterfølgende sletning af den midlertidige side! 🤔
💡 Tip: Giv tilladelsesniveauerne logiske navne, som er nemme at forstå for alle. - Brugerdefinerede SharePoint-grupper:
Opret/rediger dine egne SharePoint-grupper og tilknyt selv tilladelsesniveau(er).
Du kan fx lave en gruppe til ”Forfattere”, som du giver ”Bidrage”-adgang, så de kan opdatere filer, men ikke slette biblioteker og lister.
💡 Tip: Giv grupperne logiske navne, som er nemme at forstå for alle. NB: Dine egne SharePoint-grupper, kan kun ses i Avancerede indstillinger! - Ændre tilladelser på standard SharePoint-grupper – ikke muligt længere.
Opret i stedet brugerdefinerede SharePoint-grupper til særlige tilladelsesniveauer. - Omdøbe eller slette standard SharePoint-grupper: Ikke anbefalet!
NB: Nogle af de ændringer du laver her, kun kan ses fuldt ud her i Classic UI!
NB: Brug avancerede tilladelser med omtanke – det er et kraftfuldt værktøj!
ℹ️ Rediger eller Bidrage tilladelsen? – Klik for at se mere
Der findes 2 tilladelsesniveauer, som giver opdaterings-adgang:
- Bidrage: Kan få vist, tilføje, opdatere og slette filer og listeelementer.
- Rediger: Kan få vist, tilføje, opdatere og slette filer og listeelementer.
Plus: Kan tilføje, redigere og slette biblioteker og lister!
Som du kan se, er ”Rediger”-tilladelsen meget stærk! Og det er den, medlemmer i Teams/SharePoint får som standard!!
Hvis du ikke laver ekstra biblioteker eller lister i SharePoint, er dette dog normalt ikke noget problem, da det eneste bibliotek af betydning, så vil være ”Dokumenter” – og det kan ikke slettes – heller ikke af Teams-ejere. 😊
Medlemmer kan dog også ændre i opsætningen af biblioteker – fx metadata-felter og listeviews – hvilket kan være uheldigt – og der er ikke nogen roll-back mulighed.
Hvis du vil begrænse medlemmers redigerings-adgang
Har du vigtige biblioteker, lister eller opsætninger, som du gerne vil være sikker på, at et medlem ikke kommer til at rette/slette ved en fejl, kan du ændre ”Rediger” til ”Bidrage” på flere måder:
- På det enkelte bibliotek – den simple måde: NB: Du bryder nedarvning! (se: Entydige tilladelser)
- Gå i indstillinger for biblioteket/listen
- Tryk på ”Stop nedarvning af tilladelser”
- Rediger brugertilladelser for ”Medlemmer af <webstedsnavn>”:
– Ret ”Rediger” til ”Må bidrage” - Gentag for hvert bibliotek, du vil beskytte
- På hele webstedet – den bedre – og mere omstændelige måde: NB: Har kun delvis effekt på elementer, hvor nedarvningen allerede er brudt!
Når du har læst om Entydige tilladelser, skulle du gerne kunne regne ud, hvad jeg mener med “delvis effekt”😉- Opret en ny SharePoint(SP)-gruppe og kald den fx ”Medlemmer-bidrage”
- Giv den ”Bidrage”-adgang
- Tilføj M365-gruppen ”Medlemmer af <webstedsnavn>”
til SP-gruppen ”Medlemmer-bidrage” - Fjern M365-gruppen ”Medlemmer af <webstedsnavn>”
fra SP-gruppen ”Medlemmer af <webstedsnavn>”
PS: Lad dig ikke forvirre af, at navnene er ens – det er 2 forskellige typer af grupper.
- På tilladelsesniveauet – dette vil jeg fraråde!
Du kan redigere direkte i tilladelsesniveauet ”Rediger” – men det kan have uventede bivirkninger.
Det er også noget, som kan forvirre supportere og andre, som ikke ved, at denne rettelse er lavet! Dette kan afbødes lidt, ved at du ændrer på navn og beskrivelse på tilladelsesniveauet, så alle kan se, hvad der er ændret. NB: Dette vises dog ikke i Modern UI!
NB: Bemærk, at hver Privat og Delt kanal har sit eget separate websted, som ikke vil blive påvirket af ovenstående rettelser! Her er du nødt til at bruge metode 1 på hvert bibliotek, på hvert enkelt websted! (hvis du har behov for at rette på private og delte kanaler)
PS: Tidligere (dvs. SharePoint 2013 og tidligere) fik medlemmer af webstedet kun ”Bidrage”-adgang, men det blev ændret med moderne SharePoint websteder i M365 – til stor fortrydelse for mange garvede SharePoint eksperter.
🪚 Avancerede tilladelser (Classic UI) – "How to" – Klik for at se mere
For at ændre disse tilladelser:
- Klik på tandhjulet øverst til højre på skærmen
- Klik på “Webstedstilladelser”
- Klik på linket ”Indstillinger for avancerede tilladelser” nederst i “Webstedstilladelser”.
NB: Du kan ikke bruge denne metode for Private og Delte kanaler!
Se evt. også:
Modern versus Classic UI
Microsoft har længe arbejdet på at forbedre det moderne brugerinterface (Modern UI) til at styre rettigheder.
Det er dog ikke nogen nem opgave og der er stadig enkelte uhensigtsmæssigheder/fejl i Modern UI – fx:
- Både tilladelsesniveauet “Rediger” og “Bidrage” vises som “Rediger” i Modern UI.
- Hvis du ændrer adgangen på et element fra fx ”Læs” til ”Rediger” – så får brugeren i realiteten tilladelsesniveauet ”Bidrage”.
- Navnet på SP-medlemsgruppen er forskelligt i Modern og Classic UI:
– Modern UI: Webstedsmedlemmer
– Classic UI: Medlemmer af <webstedsnavn>
PS: Kun et problem på dansk - I Classic UI er navnet på M365-medlemsgruppen præcis det samme som SharePoint medlemsgruppen. Noget forvirrende, hvis man ikke ved det 🤔
Heldigvis har disse ting dog sjældent betydning i praksis.
✏️ Skriv en kommentar, hvis du har opdaget andre inkonsistenser/fejl i Modern UI.
5. Entydige tilladelser til individuelle elementer på et websted
Du kan give entydige tilladelser til enkeltelementer i SharePoint!
Eksempel: Du kan give en enkelt fil andre tilladelser end de andre filer i samme mappe.
Dette vil sandsynligvis være årsag til de fleste af dine problemer med fil-tilladelser – og desværre er det i de fleste Teams ikke til at undgå at bruge Entydige tilladelser.
Gælder for: Enkeltelementer Hvem kan: Alle med redigerings-adgang har som standard adgang til dette – og oven i købet direkte i Teams! Du kan begrænse til ejere.
Nedarvning og brudt Nedarvning
Som standard arves tilladelser fra webstedet ned til biblioteker, videre ned til mapper og til sidst videre ned til filer.
NB: Når der gives entydige tilladelser til et element, brydes nedarvningen af tilladelser fra det overliggende element, hvilket kan give problemer senere!
Hvis nogen fx senere tilføjer en ny SharePoint gruppe på websteds-niveau, vil dette ikke slå igennem på de elementer, hvor nedarvningen er brudt.
Hvis man derimod tilføjer medlemmer til en eksisterende SharePoint gruppe, vil dette slå igennem, hvis gruppen var med, da nedarvningen blev brudt. 🤔
Hvad man kan
Man kan give entydige tilladelser på hhv. fil-, mappe-, og biblioteks-niveau – det kan gøres fra både Teams og SharePoint – og man kan gøre det, uden at man er klar over det!
NB: Et uskyldigt ”Kopier link” kan resultere i, at et element får entydige tilladelser! NB: Som udgangspunkt, kan alle med redigerings-adgang give entydige tilladelser!
…medmindre du har spærret for det (se: Anbefalinger på Websteds-niveau).
Entydige tilladelser kan gives til både SharePoint grupper, sikkerheds-grupper og enkelt brugere – men undgå så vidt muligt det sidste.
Når du giver entydige tilladelser til en SharePoint-gruppe, er det også muligt at ændre på gruppens tilladelsesniveau(er) for det aktuelle element.
Du kan fx på et element ændre adgang for SharePoint-gruppen Medlemmer fra ”Rediger” til ”Læs”.
Der er flere måder at give entydige tilladelser på
- Direkte på det enkelte element (Bibliotek, mappe eller fil)
Via Modern UI kan du give disse adgange:
– Kan redigere
– Kan gennemse – dvs. foreslå ændringer (kun for Word-dokumenter i Modern UI)
– Kan få vist
– Kan ikke downloade – Kan få vist, men ikke downloade (kun i Modern UI) NB: Hvis du(/nogen) har givet adgang med andre tilladelsesniveauer end ovenstående, så vises dette ikke/kun delvis i Modern UI!
Fx vises ”Bidrage” som ”Kan redigere”. For at se disse adgange, er du nødt til at gå i avancerede indstillinger for elementet. - Via deling (dvs. give adgang til andre – og dermed bryde nedarvning) NB: Check altid, om indstillinger står som ønsket!
Er det den ønskede adgang, som gives? - Via links (dette kan også ændre adgangen til elementet – og bryde nedarvning!) 🤔
NB: Bemærk, det der står med småt under ”Linket er kopieret”!
I ovenstående eksempel, kan alle i organisation redigere, hvis de får linket!
Tjek indstillinger via tandhjulet! – og ret dem eventuelt!
💡 Tip: Vælg så vidt muligt ”Kun personer med eksisterende adgang”, så brydes nedarvning af tilladelser ikke. NB: Standarden ”Personer i din organisation” virker ikke for Gæster/eksterne brugere!
Dvs. at de får en fejl, når de klikker på linket – også selv om de har adgang til elementet! 🤔
Vælg i stedet link-typen ”Kun personer med eksisterende adgang” eller ”Bestemte personer”.
💡 Tip: For fortrolige/følsomme filer, kan du overveje at sætte en udløbsdato på linket! - Via Avancerede indstillinger NB: Det er SharePoint Classic UI – med mange muligheder – Vær forsigtig! NB: Alle kan komme ind i Avancerede indstillinger (Classic UI) direkte fra Teams!
Mere om brudte nedarvninger
I mindre Teams oplever man heldigvis sjældent problemer med brudte nedarvninger pga. kopierede links og delinger – men de kan forekomme – og jo større Teamet er – jo større er risikoen!
Tip: Du kan undgå de fleste problemer med brudt nedarvning med disse råd:
- Hold en flad struktur i dit mappe-hierarki
- Tilføj/fjern ikke tilladelser på biblioteks-/mappe-niveau, når først Teamet er er sat op
- Før du bryder nedarvning – overvej at oprette en ny privat/delt kanal eller et nyt Team!
- Undervis dine Team medlemmer i korrekt brug af deling og links
- Overvej at begrænse delingsmulighed til ejere – se: Anbefalinger på Websteds-niveau)
Hvis du flytter en fil eller mappe til et andet sted i SharePoint, vil du opleve at de entydige tilladelser nogle gange flytter med – læs mere her:
Har du behov for at rydde op i brudte nedarvninger – så gå i avancerede indstillinger i Classic UI og tryk på: ”Slet entydige tilladelser”
– du skal måske trykke en del steder, inden du har ryddet op i alle brudte nedarvninger…
– og nogle brugere vil sikkert klage over, at de pludselig har mistet deres adgang.
NB: Brug entydige tilladelser med omtanke – det bliver hurtigt svært at overskue!
NB: Der er ingen Ctrl-z fortryd funktion, når det gælder tilladelser – så undgå fejl!
🪚 Entydige tilladelser – "How to" – Klik for at se mere
Via Modern UI kan du give nogle specielle ekstra adgange ift. Classic UI:
- Kan gennemse (gælder kun Word-dokumenter)
Giver adgang til at foreslå ændringer
Tilladelsesniveau: ”Gennemgå” (tilladelsesniveauet kan ikke ændres) - Kan ikke downloade
Giver adgang til at læse, men ikke downloade
Tilladelsesniveau: ”Begrænset visning” (vises ikke med de andre tilladelsesniveauer)
Entydige tilladelser kan gives på flere måder:
- På det enkelte element
Mappe eller fil
– Vælg tre-prik menuen for elementet
– Vælg ”Administrer adgang”
– Vælg ”Tildel adgang”-ikonet i øverste højre hjørne af boksen
…eller ret de tilladelser du vil rette
Tip: For at rette en brugers/gruppes adgang:
– Klik på brugeren og klik så på tilladelsenBibliotek
– Gå ind i biblioteket
– Klik på tandhjulet øverst til højre på skærmen
– Klik på “Biblioteksindstillinger”
– Klik på ”Indstillinger for mediebibliotek”
– Klik på ” Tilladelser til denne/dette dokumentbibliotek” NB: Du er nu i det klassiske SharePoint interface – Vær forsigtig! - Via deling
– Vælg tre-prik menuen for elementet
– vælg ”Del” NB: Check altid indstillingerne! Er det den ønskede adgang, som gives? - Via links
– Vælg tre-prik menuen for elementet
– Vælg ”Kopiér link” NB: Bemærk, det der står med småt under ”Linket er kopieret”!
– Tjek indstillinger via tandhjulet – og ret dem eventuelt!
– Er det den ønskede adgang, som gives?
Tip: Vælg så vidt muligt ”Kun personer med eksisterende adgang”, så brydes nedarvning af rettigheder ikke. - Via Avancerede indstillinger NB: Dette er det klassiske SharePoint interface – Vær forsigtig!
– Vælg tre-prik menuen for elementet
– Vælg ”Administrer adgang”
– Klik på tre-prik menuen i øverste højre hjørne af boksen
– Vælg ”Avancerede indstillinger”
– Lav dine rettelser
…eller brug funktionen ”Kontrollér tilladelser”
Se evt. også:
Yderligere anbefalinger for tilladelser
Anbefalinger for M365 Admins
Hvis de ikke allerede er ændret i din tenant – så er der en del indstillinger, som bør/skal rettes af en M365-administrator – bl.a.:
- Anonyme links uden logon er tilladt!
- Standardtilladelse på links er ”Rediger”!
- Standard link type er ”Kun(=Alle) personer i organisationen”!
- Overvej at sætte udløb på Gæste-adgang til websteder
- Opsæt B2B direct connect, så eksterne brugere kan tilføjes til Delte kanaler
Overvej også:
- Standarder for typer af Teams og brugen af dem
- Uddannelse af ejere af Teams ift. opsætning af Teams og hvordan tilladelser virker
- Brugen af centrale rapporter over adgange og brudte nedarvninger
- Brugen af Hubs og evt. Hub-besøgende
🪚 M365 Administrator – Detaljer – Klik for at se mere
Politik for Deling: Indstillinger, som bør/skal rettes
Via: SharePoint Administration > Politikker > Deling
NB: Nogle af disse indstillinger er måske allerede rettet i din tenant – eller måske er standard settings anderledes i din tenant.
Ekstern deling
- Overvej indstillinger for ekstern deling i din organisation
- Standard for ”Indhold kan deles med:” er ”Alle uden logon”!
Dette bør ændres til fx: ”Nye og eksisterende gæster”, for at undgå anonyme links!
Endnu bedre er ”Eksisterende gæster”, men det kræver et system/procedurer til at styre gæster. - Overvej om der skal være forskel på indstillinger for SharePoint og OneDrive
- Ret evt. ”Tillad, at gæster deler elementer de ikke ejer” – det er som standard tilladt!
Hvis du begrænser dette, kan eksterne brugere kun dele elementer, som de selv har oprettet! - Overvej øvrige indstillinger – fx udløb på Gæsteadgang til websteder
- Overvej, om du skal bygge eller købe et system til at styre Gæster
Det kunne fx styre, hvem der er den forretningsansvarlige for gæsten, hvorfor gæsten skal have adgang, automatisk review fx hvert år osv.
Fil- og Mappelinks
- Du bør rette standard tilladelse på links fra ”Rediger” til ”Vis”, for at undgå utilsigtede rettelser/sletninger fra brugere, som kun burde have haft læse-adgang! Det er utroligt, hvad brugere kan finde på at slette, hvis de får utilsigtet rette/slette-adgang.
- Overvej hvilken link type, der er valgt som standard, når brugere deler filer og mapper.
Standard er: ”Kun(=Alle) personer i organisationen” – en meget bred adgang.
Det vil sikkerhedsmæssigt være bedre at rette til ”Kun bestemte personer”. NB: Dette giver i realiteten link typen ”Personer, der har adgang” – meget forvirrende! Men også rigtig godt, da man så ikke får brudt nedarvning af rettigheder, når man kopier links. Dette vil spare dig for rigtig mange brudte nedarvninger! 😊😊 - Hvis du beslutter at bibeholde anonyme links (Alle-links), bør du kraftigt overveje at sætte udløb på anonyme links! Vurdér også hvilke tilladelser Alle-links må få!
Delte kanaler
NB: For at kunne tilføje eksterne brugere til Delte kanaler, skal administratorer opsætte B2B direct connect. Se: Collaborate with external participants in a shared channel (IT Admins).
Skal vurderes
Typer af Teams og struktur
- Overvej, hvordan strukturen af Teams skal bygges op.
Skal det gives helt frit? Eller skal der være nogen retningslinjer for hvilke typer af Teams der findes, og hvad de skal anvendes til? - Overvej, hvad anbefalingen skal være for at vælge at lave en ny kanal ift. at lave et nyt Team?
- Overvej, hvornår man laver et Kommunikations websted frem for et Team?
Brugeruddannelse
Sørg for at ejere af Teams er uddannede i hvordan tilladelser virker – specielt for kritiske/følsomme Teams/websteder.
Reporter
Brug SharePoints indbyggede rapporter til at få overblik over adgange og brudte nedarvninger.
Via: SharePoint Administration > Rapporter > Styring af Dataadgang > Webstedstilladelser på tværs af organisationen
Brug evt. funktionen ”Start vurdering af webstedsadgang”, for de mest kritiske/følsomme websteder i organisationen.
Værktøjer
Tip: Hvis du har en uoverskuelig stak brudte nedarvninger, er det værd at overveje at anskaffe et værktøj som fx Sharegate til at hjælpe dig.
Hubs
Hvis du har mange Teams/websteder i din tenant, kan du organisere dem i Hubs for at få en bedre struktur.
Det giver dig også mulighed for på Hub-niveau, at give adgang til Hub-besøgende, der som standard har læse-adgang til alle SharePoint-sites i Hub’en.
PS: De enkelte websteds-ejere kan deaktivere dette.
Dette kan fx være nyttigt ved organisatoriske Teams, hvor man har et Team til hvert team i en afdeling + et Team til alle i afdelingen.
Selv om alle medarbejdere kun er medlemmer af deres eget Team – og afdelingens Team – så vil de kunne læse filer fra alle Teams i afdelingen – med mindre hub-synkronisering er slået fra for et websted – eller der er entydige rettigheder på enkelt-elementer.
Læs mere her
Anbefalinger for websteder
Når du opretter et Team – eller laver større ændringer
- Ret evt. hvem der kan dele (dvs. ændre rettigheder og bryde nedarvning) på webstedet
– Via: Webstedstilladelser > Webstedsdeling > Skift, hvordan medlemmer kan dele
Default for filer og mapper er: ”Alle med redigerings-adgang”!
Dette kan være OK ift. samarbejde – men du ønsker det muligvis ikke i dit Team!
Du kan ændre det til “Kun hjemmesideejere” – så behøver du kun at lære dine med-ejere den korrekte brug af links og deling 😊 - Husk, at moderne SharePoint arkitektur er flad – både på Team/Websteds- og Mappe-niveau!
Lav højest 2-3 niveauer af mapper – og brug dem primært til styring af adgang.
Den logiske organisering af filer laves bedst med meta-data og nogle listeviews. - Byg strukturen af kanaler og mapper på dit websted, så den er nem at give tilladelser til.
Når du ændrer tilladelser
- Hvis du har behov for at give entydige tilladelser på mappe-/biblioteks-niveau:
– Overvej at lave en ny privat eller delt kanal – eller et helt nyt Team?🤔
– Det rigtige svar kommer an på situationen – og hvad adgangsbehovet vil være i fremtiden… - Bryd ikke nedarvning af rettigheder på mere end et niveau i samme gren af biblioteks-/mappe-hierarkiet.
Bemærk, dette betyder, at hvis du bryder nedarvningen på et bibliotek, så bør du ikke bryde nedarvningen på nogen af mapperne i biblioteket! - Dokumenter det – inkl. hvorfor det er gjort – hvis du ændrer noget via ”Avancerede tilladelser”, eller giver entydige tilladelser til biblioteker eller mapper.
Hvorfor du skal gøre dette:- Dine kollegaer ved hvad og hvorfor, hvis du ikke er tilstede
- Du kan genskabe tilladelserne, hvis nogen får ændret på dem
Regelmæssigt
- Tjek med jævne mellemrum, hvem der har adgang til dine filer – frekvensen afhænger af kritikaliteten af dine filer.
Brug SharePoints indbyggede rapporter til at få overblik over adgange og brudte nedarvninger.
Via: SharePoint Indstillinger > Webstedsbrug > Delt med eksterne brugere > Kør rapporten
(NB: Giver alle adgange – ikke kun de eksterne)
Ekstra Tips
- Tip: Vis forsiden af dit SharePoint websted som en fane i dit Team – og brug siden til bl.a. at skabe overblik over:
– Retningslinjer for deling af indhold – Hvordan og hvem må få adgang til hvad
– Dokumentation af evt. brudte nedarvninger – inkl. formålet
– Listeviews over filer – fx senest oprettede eller senest ændrede - Tip: Hvis du har udfordringer med en brugers adgang til webstedet, en fil eller en mappe, så prøv funktionen ”Kontrollér tilladelser” under ”Avancerede indstillinger”.
- Tip: Sørg for altid at have mindst 2 ejere på dit websted, så der er nogen til at give adgang i tilfælde fravær eller jobskifte. Men der skal heller ikke være for mange ejere – et maks. på 3-5 ejere er normalt passende.
Anbefaling til en enkel model for tilladelser
0. Byg din Teams struktur, så den understøtter enkle tilladelser
- Opret de rigtige Teams – ikke for store, ikke for små – og overvej fremtidige behov
- Hold din struktur flad – det gælder både Teams og mapper
1. Medlemskab i Teams
- Brug, som den primære måde at kontrollere adgang til Teams og filer
2. Private og delte kanaler
- Brug, hvis du har behov for differentieret adgang til Teams kanaler og filer
- Fx til en fortrolig privat kanal til ledergruppen i et Team
3. Webstedstilladelser i SharePoint (Modern UI)
- Brug, hvis du har behov for ekstra styring af adgang til filer
- Fx til at give læse-adgang til alle filer, for nogle brugergrupper
4. Undgå at bruge avancerede tilladelser (Classic UI)
- …med mindre det er absolut nødvendigt
5. Entydige tilladelser til individuelle elementer på et websted
- Bør bruges så lidt som muligt!
- Bryd kun nedarvning af tilladelser på mapper og biblioteker, hvis du er helt sikker på konsekvenserne! Og dokumentér, hvem der har adgang til hvad – og hvorfor!
Flere anbefalinger
- Giv tilladelser til grupper frem for enkeltpersoner, når det er muligt
- Tilføj/fjern ikke tilladelser på biblioteks- eller mappe-niveau, efter Teamet er sat op
- Tjek tenant indstillinger – fx bør standard link type være “Kun bestemte personer”
- For links – brug normalt “Kun brugere med adgang”, så nedarvning ikke brydes
- Undervis Team medlemmer i korrekt brug af deling og links – eller stop dem fra deling!
- Før du bryder nedarvning – overvej at oprette en ny privat/delt kanal eller et nyt Team!
De fem måder at styre fil tilladelser
Og sidst, men ikke mindst – Tænk dig godt om!
Specielt efter Copilot er kommet til, er det ekstra vigtigt, at der er styr på rettighederne!
Har du brug for hjælp, er du velkommen til at kontakte mig for en snak og et tilbud på assistance.
Skriv også gerne spørgsmål i kommentarerne nedenfor, så vil jeg prøve at svare, så godt jeg kan.