Delte drev er fortid – intelligent adgangsstyring er nutiden. Alligevel kæmper mange kontorer stadig med uoverskuelige mapper, dubletter og usikker fildeling, der gør selv de bedste workflows til et digtalt vildnis. Lyder det bekendt? Så er tiden inde til at tage styringen med organisationens vigtigste vidensbank: Microsoft SharePoint.

I denne artikel dykker vi ned i hvorfor og hvordan du sætter klare retningslinjer for adgang til filer i SharePoint – retningslinjer, der både styrker samarbejdet på kontoret, beskytter forretningskritiske data og holder lovgivningens krav i skak. Vi giver dig et konkret overblik over roller, processer og tekniske greb, som forvandler SharePoint fra endnu et IT-system til en strategisk løftestang for bedre forretning.

Uanset om du er IT-chef, HR-partner eller den daglige superbruger, vil du her finde praktiske råd og hands-on eksempler – fra informationsklassificering og “least privilege”-principper til eksternt samarbejde og løbende compliance-kontrol. Følg med, og opdag hvordan klar tænkning kan skabe mere tillid, produktivitet og konkurrencekraft på din arbejdsplads.

Formål og omfang: Hvorfor retningslinjer for SharePoint-adgang?

Veldefinerede retningslinjer for adgang til vores SharePoint-miljø er fundamentet for både smidigt samarbejde og robust informationssikkerhed. Ved at sætte klare rammer kan vi dele viden gnidningsfrit, uden at gå på kompromis med fortrolighed, lovkrav eller virksomhedens risikovillighed.

Mål med retningslinjerne

  1. Sikre effektivt samarbejde
    Strukturerede adgangsregler gør det let for kolleger at finde, dele og co-redigere dokumenter – uanset om de sidder i HR, økonomi eller projektledelse.
  2. Beskytte forretningskritiske data
    Kontrolleret adgang forhindrer utilsigtet deling af følsomme oplysninger som løndata, kontrakter og kunderapporter.
  3. Efterleve lovkrav og interne politikker
    GDPR, bogføringsloven og branche-specifik regulering kræver, at vi kan dokumentere, hvem der har adgang til hvad – og hvorfor.
  4. Reducere operationel og juridisk risiko
    Færre rettigheder giver færre angrebsflader. Ved at logge og revurdere adgang reduceres risikoen for datalæk, insider-trusler og compliance-bøder.

Omfang – Hvad dækker politikken?

  • Enheder
    Gælder primært firmakontrollerede pc’er og laptops, men omfatter også godkendte mobile enheder (MDM-styrede smartphones/tablets) anvendt på kontoret.
  • Teams og afdelinger
    Samtlige forretnings- og supportfunktioner: Salg, Marketing, HR, Økonomi, IT, R&D, produktion samt eventuelle projekt- og kundeteams.
  • Datatyper
    Offentlig: f.eks. brochurer og pressemeddelelser.
    Intern: arbejdsdokumenter, mødereferater.
    Fortrolig: medarbejderdata, finansielle prognoser.
    Særligt beskyttelsesværdig: CPR-numre, sundhedsoplysninger, strategiske M&A-dokumenter.
  • Lokation
    Fokus er på kontormiljøer med firmanetværk; fjern- eller feltarbejde dækkes af særskilte retningslinjer, men følger samme klassificeringsprincipper.

Retningslinjerne gælder derfor alle medarbejdere og tilknyttede konsulenter, der arbejder på kontoret og tilgår virksomhedens SharePoint-ressourcer. De udgør den fælles reference, vi vender tilbage til, hver gang vi opretter et site, deler en fil eller vurderer en adgangsanmodning.

Roller og ansvar i adgangsstyring

Effektiv adgangsstyring i SharePoint kræver, at alle kender deres plads i processen – fra den første anmodning om adgang til den dag, hvor adgangen lukkes ned. Nedenfor finder du både en kort rollebeskrivelse og en RACI-matrix, der fordeler ansvaret for anmodning, godkendelse, kontrol og nedlukning af adgang.

1. Rollebeskrivelser

  1. Dataejere (Business Owner)
    Indholdsansvarlige for et forretningsområde (fx HR-chef, CFO). Sikrer, at information klassificeres korrekt og at adgang gives efter least-privilege-princippet.
  2. Siteejere (SharePoint Site Owners / Team Owners)
    Daglig forvaltning af det enkelte site eller team. Håndterer medlemsskab, metadata, rettighedsarv og periodisk recertificering.
  3. Teamledere / Projektledere
    Initierer adgangsanmodninger for projektmedlemmer. Validerer forretningsbehov, før anmodning sendes til dataejer.
  4. IT / Global Admins
    Teknisk opsætning, platformskonfiguration, break-glass-konti og automatiserede politikker (Conditional Access, DLP, backup). Udfører godkendte ændringer, men træffer ikke forretningsbeslutninger om indhold.
  5. Sikkerhed & Compliance-team
    Overvåger logfiler og efterlevelse af interne politikker, ISO/SoC og lovgivning (fx GDPR). Eskalerer brud og foretager audits.
  6. DPO (Data Protection Officer)
    Sikrer, at behandling af personoplysninger følger GDPR. Skal konsulteres, hvis adgang omfatter følsomme eller særligt beskyttelsesværdige data.
  7. Almindelige brugere
    Skal kun anmode om adgang, når det er nødvendigt, følge retningslinjer for deling og rapportere potentielle brud.

2. Raci-matrix for adgangslivscyklussen

Fase Dataejer Siteejer Teamleder IT / Global Admin Sikkerhed / Compliance DPO Bruger
Anmodning A R R C C C* I
Godkendelse A R C C C C* I
Kontrol / Overvågning I R I R A C I
Nedlukning / Offboarding A R C R C C* I

* DPO konsulteres kun, når persondata i Fortrolig eller Særligt beskyttelsesværdig kategori berøres.

  • R = Responsible (udfører)
  • A = Accountable (endeligt ejerskab)
  • C = Consulted (hører og rådgiver)
  • I = Informed (orienteres)

3. Praktiske pejlemærker

  • Sammenkæd RACI-rollen Responsible med automatiske arbejdsgange i Power Automate / Access Packages, så processen ikke strander ved ferie eller sygdom.
  • Sørg for, at ejerskab er navngivet, ikke afdelings- eller rollebaseret; “HR-afdelingen” er ikke en person, men “Maria Jensen (HR-chef)” er.
  • Kombinér RACI med Systemdokumentation, så audit-spor altid indeholder: hvem gav adgang, hvornår, til hvad og med hvilket forretningsformål.
  • Review roller og matrix minimum hvert 12. måned eller ved organisatoriske ændringer.

En klar rollefordeling minimerer flaskehalse, øger datasikkerheden og gør det muligt at demonstrere compliance – helt i tråd med Erhvervsfilosofis filosofi om klar tænkning, bedre forretning.

Informationsklassificering og adgangskrav

En klar og fælles forståelse af, hvilke data vi arbejder med, er fundamentet for enhver adgangspolitik i SharePoint. Derfor etablerer vi fire klassifikationsniveauer, der dækker alle filer og mapper på kontoret. Hver klasse er knyttet til konkrete tekniske og organisatoriske adgangskrav.

1. Klassifikationsniveauer og praktiske eksempler

  1. Offentlig
    Indhold beregnet til bred intern/ekstern deling uden skaderisiko ved offentliggørelse.
    Eksempler: Marketingbrochurer, pressemeddelelser, produkt­ark.
  2. Intern
    Dagligdags driftsdata, som kun ansatte bør have adgang til.
    Eksempler: Projektplaner, procesbeskrivelser, interne referencepriser.
  3. Fortrolig
    Forretningskritisk information, hvis utilsigtet deling kan skade virksomheden eller kunder.
    Eksempler: Budgetter, forecasts, kontrakter, kundelister, PII i begrænset mængde.
  4. Særligt beskyttelsesværdig
    Data underlagt streng lovgivning eller med høj skaderisiko ved brud.
    Eksempler: HR-persondata (CPR, helbredsoplysninger), kortdata under PCI-DSS, følsomme kundedata under NDA/DPA.

2. Adgangskrav pr. Klassifikation

Krav Offentlig Intern Fortrolig Særligt beskyttelsesværdig
MFA påkrævet Nej Ja (kontor-MFA) Ja Ja + betinget adgang (CA)
Ekstern deling Tilladt uden tidsbegrænsning Tilladt til godkendte domæner Kun “specifikke personer”, udløb ≤ 30 dage Som udgangspunkt forbudt – kræver CISO-godkendelse
Kryptering Standard O365-kryptering Standard MIP Sensitivity Label “Fortrolig” (AIP) MIP Sensitivity Label “Særligt beskytt.” + double encryption (AIP + BitLocker)
Lagringsplacering Public kommunikationssite Teamsite med arv Teamsite med brudt arv og lukkede grupper Isoleret site-collection (Compliance boundary)
Godkendelseskrav N/A Siteejer Dataejer + IT-sikkerhed DPO + CISO + Dataejer
Opbevarings-/sletnings­politik Ingen tvungen retention 5 år 7 år 10 år (eller jvf. lovkrav)

3. Sådan anvender du klassificeringen i hverdagen

  • Opret altid indhold på lavest mulige niveau. Højere niveau kræver eksplicit begrundelse.
  • Filer skal mærkes ved oprettelse – brug Sensitivity Labels, eller vælg klassifikation i dokumentets egenskaber.
  • Nedklassificering kræver samme godkendelse som opklassificering.
  • Automatiske politikker (DLP) scanner for CPR-numre og kreditkortnumre og henviser filen til højere klassifikation.
  • Uddannelse: Nye medarbejdere gennemfører 30 min. træning om klassifikation inden SharePoint-adgang tildeles.

Ved konsekvent at koble klassifikation til konkrete adgangskrav, minimerer vi både over- og underbeskyttelse af data – og gør det nemmere for alle at arbejde sikkert og effektivt i SharePoint på kontoret.

Struktur i SharePoint: Sites, biblioteker og rettighedsarv

SharePoint Online tilbyder to primære site-skabeloner, som hver især understøtter forskellige samarbejdsformer på kontoret:

  • Team-site – designet til dag-til-dag samarbejde i mindre grupper. Et Team-site ejes af en Microsoft 365-gruppe og får automatisk en tilknyttet Microsoft Teams-arbejdsflade.
    • Filer, der gemmes i kanaler i Teams, placeres i dokumentbiblioteket Shared Documents på Team-sitets rodfolder.
    • Anbefales til projektgrupper, afdelinger og R&D-teams, hvor alle skal kunne oprette, redigere og dele indhold hurtigt.
  • Kommunikationssite – optimeret til ensrettet publicering til et bredere publikum.
    • Har ingen tilknyttet Microsoft 365-gruppe og kan derfor ikke kobles direkte til Teams.
    • Ideelt til intranetsektioner, HR-håndbøger, brand-guides og ledelses­kommunikation, hvor få personer producerer indhold til mange læsere.

Brug Team-sites som “arbejdsrum” og Kommunikationssites som “showroom”. Undgå at blande formålene – det skaber forvirring om rettigheder og navigationsstruktur.

Standardgrupper og tilhørende tilladselsesniveauer

Gruppe Standardnavn (EN) Tilladselsesniveau Typiske opgaver
Ejere Owners Full Control Administrere site-indstillinger, tilføje/fjerne brugere, oprette ekstra biblioteker, bryde arv.
Medlemmer Members Edit (tidl. Contribute) Oprette, redigere og slette filer og mapper. Ingen rettighedsændringer.
Besøgende Visitors Read Gennemse og downloade filer uden at ændre dem.

Tilføj aldrig brugere direkte på fil- eller mappeniveau; placer dem i en gruppe for at bevare overblik og forenkle governance.

Rettighedsarv – hvornår brydes den?

  1. Særligt beskyttede data
    HR-dokumenter, finansbogholderi eller kundekontrakter kan isoleres i et dedikeret privat bibliotek med brudt arv.
  2. Eksternt samarbejde
    Opret et “Gæstebibliotek”, bryd arv og tildel en ekstern gruppe kun de nødvendige rettigheder.
  3. Publicering til hele organisationen
    Et nyhedsbibliotek på et Kommunikationssite kan have åben læseadgang, mens redigering begrænses til redaktører.

Hver gang du bryder arv, øges kompleksiteten eksponentielt. Dokumentér derfor altid formål, dato og ejer i et permissions-register.

Simpel informationsarkitektur: Biblioteker > metadata i stedet for dybe mapper

  • Enkelt bibliotek pr. hovedproces (fx Projektfiler, Marketingassets, Kontrakter). Undgå mere end 5-7 biblioteker pr. site.
  • Maks. to mappeniveauer. Jo flere under­mapper, jo sværere bliver det at navigere og migrere ved senere flytninger.
  • Erstat folderdybde med metadata:
    • Brug “Indholdstype” (Content Type) til at styre skabeloner og ekstra kolonner.
    • Tilføj kolonner som Projekt-ID, Kundedomain, Sikkerhedsklassificering og opret visninger og filtre.
    • Automatiser tagging via Power Automate eller Sensitivity Labels.
  • Giv klare navne & koder – ét fælles navnesystem for mapper, visninger og biblioteker reducerer forvekslinger (fx YY-Projekt-Navn eller FIN-Årsregnskab-2024).

Best practice tjekliste før go-live

  1. Bekræft, at Ejere er trænet i rettighedshåndtering.
  2. Gennemgå biblioteker for ufornødne arv-brud og fjern dem.
  3. Verificér, at alle filer har påkrævede metadatafelter udfyldt.
  4. Test adgang med en generisk “Test-bruger” fra hver rolle (Ejer, Medlem, Besøgende, Ekstern).
  5. Opsæt versionering (min. 50 hovedversioner) og check-in/check-out, hvor det er påkrævet.

En velgennemtænkt struktur i SharePoint sparer tid dagligt, minimerer supporthenvendelser og er fundamentet for både compliance og effektivt samarbejde. Kort sagt: hold det simpelt, brug grupper, og lad metadataen gøre arbejdet.

Tildeling af adgang: Principper, processer og tidsstyring

Grundlæggende princip: Adgang gives kun til det, den enkelte skal have for at løse sin opgave – aldrig “for en sikkerheds skyld”.

1. Principper for adgangstildeling

  • Least privilege: Brugere tildeles det lavest mulige rettighedsniveau (f.eks. Contribute frem for Edit), og kun i de SharePoint-områder hvor de reelt arbejder.
  • Gruppemedlemskab før individuelle rettigheder:
    • Standardgrupper (Ejere, Medlemmer, Besøgende) og AAD-sikkerhedsgrupper bruges som primært middel til adgangsstyring.
    • Individuelle tilladelser bruges aldrig, medmindre der er godkendt undtagelse og udført dokumentation.
  • Ingen rettighedsarv medmindre nødvendig: Hvis arv brydes, skal der oprettes en dedikeret gruppe til det afvigende sikkerhedsbehov.

2. Anmodnings- og godkendelsesflow

  1. Anmodning
    Brugeren – eller teamlederen på brugerens vegne – indsender en formular i ServiceNow (eller tilsvarende ITSM), der beskriver:
    • Formål og forretningsbehov
    • Specifikt site/bibliotek samt ønsket gruppe
    • Tidsperiode for adgangen
  2. Godkendelse
    Siteejer (eller dataejer for klassificerede data) verificerer behovet og godkender eller afviser. Ved fortrolig data kræves dobbeltsign-off fra Sikkerhed/Compliance.
  3. Provisionering
    IT-drift (Global Admin light-rolle) tilføjer brugeren til den relevante gruppe via automatiseret PowerShell/Graph-API job, der samtidig registrerer ændringen i audit-loggen.
  4. Notifikation
    Brugeren og godkender modtager bekræftelse med udløbsdato, så der er transparens fra start.

3. Krav til dokumentation

  • Anmodning og godkendelse arkiveres automatisk i ITSM-systemet i mindst 3 år.
  • Hvert site skal have ajourført Access Control Register (skabelon i SharePoint) med:
    • Gruppenavn og formål
    • Dataejer + siteejer
    • Medlemmer og udløbsdato

4. Tidsbegrænset adgang og recertificering

  • Standardudløb: 90 dage for interne projektmedlemmer, 30 dage for eksterne konsulenter.
  • Automatisk deprovisionering: Azure AD Access Reviews kører månedligt og fjerner udløbne eller inaktive medlemmer.
  • Halvårlig recertificering: Siteejere modtager rapport og skal bekræfte fortsat behov (attestation). Manglende respons medfører automatisk lukning af adgang.

5. Onboarding & offboarding

  1. Onboarding
    Nye medarbejdere tildeles roller via HR-trigger i Identity Governance. Først når velkomst-e-learning om databeskyttelse er gennemført, aktiveres gruppemedlemskab.
  2. Offboarding
    Lukning af konto initieres senest 24 timer efter fratrædelse:
    • Bruger fjernes fra alle SharePoint- og Teams-grupper.
    • OneDrive-indhold overføres til nærmeste leder.
    • Mailbox og Teams-chats placeres i 3-års retention hold.

6. Nødadgang (break-glass)

  • To dedikerede break-glass-konti med Global Admin-rettigheder opbevares:
  • Unik, stærk adgangskode i sikret password-vault; MFA deaktiveret, men konto overvåges 24/7 via SIEM.
  • Anvendelse kræver dobbeltgodkendelse (fysisk og telefonisk) af CIO + CISO og logges særskilt.
  • Adgang nulstilles straks efter brug, og en post-mortem rapport afleveres til DPO inden for 48 timer.

7. Kpi’er for modenhed

  • ≤ 5 % brugere med individuelle tilladelser (mål: 0 %).
  • 100 % af grupper har udløbsdato.
  • Alle sites gennemfører adgangsrecertificering senest 30 dage efter planlagt dato.

Ved konsekvent at følge ovenstående principper, processer og tidsstyring sikrer organisationen en robust, dokumenteret og skalerbar adgangsstyring, der både understøtter effektivt samarbejde og reducerer risikoen for datalæk.

Deling og eksterne samarbejdspartnere

Når der samarbejdes med eksterne parter, er udgangspunktet “privat som standard – deling som en kontrolleret undtagelse”. Følgende politik fastlægger, hvordan gæsteadgang opsættes, dokumenteres og følges op, så både forretningshemmeligheder og personoplysninger forbliver beskyttet.

1. Tilladte gæster og godkendte domæner

  • B2B-gæster (Azure AD) er den eneste accepterede model for ekstern adgang. Lokale, ikke-identificerede konti er forbudt.
  • Gæsteadgang begrænses til forhåndsgodkendte domæner. Listen vedligeholdes af IT-sikkerhed og revurderes kvartalsvis.
  • Ønskes der adgang til partnere uden for listen, skal siteejer udfylde en risikovurdering, som godkendes af både Data Owner og Security.

2. Linktyper og delingsindstillinger

  1. Standardlink: “Kun bestemte personer” (specific people).
  2. Alternativer: “Personer i organisationen” kan aktiveres efter konkret behov. “Alle med linket” (anonym deling) er permanent blokeret.
  3. Udløbstid: Delingslinket skal som udgangspunkt udløbe efter 30 dage. For Fortrolig og Særligt beskyttelsesværdig data forkortes perioden til 7-14 dage.
  4. Adgangsniveau: Gæster gives som hovedregel Vis– eller Bidrag-rettigheder; Fuld kontrol tildeles aldrig eksternt.

3. Juridiske forudsætninger: Nda & dpa

Før første login skal den eksterne part have underskrevet:

  • NDA (Non-Disclosure Agreement) – gælder alle samarbejder.
  • DPA (Databehandleraftale) – kræves, hvis parten behandler personoplysninger for os.

HR eller Legal arkiverer dokumenterne, mens siteejer registrerer reference-ID’et i SharePoint-sitets “Eksternt Samarbejde”-liste.

4. Registrering af formål og tidsbegrænsning

  • Hver gæst oprettes med angivelse af projekt, formål, data-klassificering og slutdato.
  • Siteejere modtager automatiske påmindelser 7 dage før udløb, hvorefter adgangen deaktiveres, hvis den ikke forlænges.
  • Inaktive gæster (>90 dages inaktivitet) fjernes automatisk af et script, som IT rapporterer på månedligt.

5. Overvågning og kontrol

Kontrol Frekvens Ansvarlig
Azure AD sign-in logs & anomali-alarmer Real-time + ugentlig rapport Security Operations
SharePoint “Access Reviews” (gæster) Hver 30. dag Siteejere
DLP-hits for eksterne delinger Månedlig DPO

6. Tekniske foranstaltninger

  • Conditional Access: MFA påkrævet for alle gæster.
  • Sensitivity Labels: “Ekstern deling forbudt” label blokerer utilsigtet eksponering.
  • Watermark & download-blokering aktiveres for fortrolig information.
  • Audit-logning er aktiveret som standard og gemmes i minimum 12 måneder.

Ved konsekvent at følge ovenstående retningslinjer fastholder vi en kontrolleret, sporbar og lovmedholdelig ekstern deling – uden at sætte samarbejdets hastighed eller kvalitet over styr.

Kontrol, efterlevelse og løbende drift

Effektiv governance begynder med synlighed. Uden et stærkt overvågnings­setup aner vi ikke, om retningslinjerne faktisk overholdes.

  • Audit-logs: Aktiver Unified Audit Log i Microsoft 365 og fastsæt retention på minimum 1 år for hændelser omkring filadgang, rettigheds­ændringer og gæstedeling.
  • Adgangsrapporter: Udnyt rapporterne i Microsoft 365 Security & Compliance Center for:
    • Oversigt over aktive og inaktive brugere
    • Filer med usædvanligt mange visninger eller downloads
    • Hyppige rettigheds­ændringer på sites/biblioteker
  • DLP-politikker: Konfigurér skabeloner til CPR-, kreditkort- og GDPR-følsomme data. Handlinger kan være blokering, kryptering eller brugernotifikation.
  • Sensitivity labels: Kortlæg labels til klassificerings­modellen (Offentlig, Intern, Fortrolig, Særligt beskyttelsesværdig) og tvangsanvend dem på biblioteker med Auto-labeling.
  • eDiscovery & retention: Opret Core eller Advanced eDiscovery cases for juridiske og revision­sformål. Fastlæg retention policies (fx 5 år for bogførings­data, 2 år for salgsmateriale).

Adgangskontrol: Conditional access og mfa

Alle brugere, interne som eksterne, skal møde Multi-Factor Authentication. Kombinér det med Conditional Access for at styrke efterlevelsen:

  • Blokér login fra lande, hvor organisationen ikke opererer.
  • Kræv compliant eller hybrid-joined enhed for adgang til Særligt beskyttelsesværdige områder.
  • Anvend session policies (Microsoft Defender for Cloud Apps) til realtids­kontrol – fx blokér download fra usikre enheder.

Backup, versionering og gendannelse

SharePoint har indbygget version history og Recycle Bin, men det er ikke lig med komplet backup. Supplér med:

  • 3.parts backup-løsning til granular restore (filer, mails, Teams-chats).
  • Automatiseret test af gendannelses­procedurer hver kvartal.
  • Tydelig kommunikation til brugerne om, hvor mange versioner der gemmes (anbefalet: min. 100 hovedversioner).

Træning, support og awareness

Teknik løser intet uden adfærd:

  • Kvartalsvise security awareness-kurser med konkrete scenarier fra kontoret.
  • “How-to” guides indlejret i SharePoint som Just-in-time hjælp (fx “Sådan deler du en fil sikkert”).
  • Support-kanal i Teams (#sp-help) med responstid < 24 timer.

Ændringsstyring

Microsoft 365 er et dynamisk miljø. For at undgå “shadow-IT” eller brudte processer:

  • Overvåg Microsoft 365 Message Center og vurder påvirkning af nye features.
  • Brug en Change Advisory Board (CAB) til højrisiko-ændringer: Mover, Delve, Loop osv.
  • Implementér standardiserede releases (fx månedlige) med test i pilot-tenant før bred udrulning.

Kpi’er for modenhed og efterlevelse

Etabler målbare indikatorer – ellers er compliance blot et håb:

KPI Målsætning Frekvens
Andel af brugere med MFA 100 % Månedlig
Revoked gæsteadgange pr. kvartal >90 % udløbet adgang lukket inden 7 dage Kvartalsvis
DLP-policy hits uden incident <5 % af total datatrafik Månedlig
Afsluttede access-recertificeringer 100 % af kritiske sites inden deadline Halvårlig
Recovery-test succesrate 95 % eller højere Kvartalsvis

Disse KPI’er skal rapporteres til ledelsen og indgå i en årlig maturity assessment. Brug resultaterne til at prioritere næste års sikkerheds- og compliance-roadmap.

By På arbejdspladsen