Artikel, Microsoft 365, Projekte

Dokumente mit SharePoint online archivieren

Für kleine und mittlere Unternehmen ist es im Verhältnis häufig zu kostspielig eine spezialisierte Archivierungslösung einzusetzen, welche den Anforderung an eine Versionierung resp. Unveränderbarkeit nachkommt.

Im nachfolgenden Artikel hatten wir bereits vor einiger Zeit eine Einschätzung für die gesetzlichen Anforderungen an ein digitales Langzeitarchiv gewagt.

Die Gesetzeslage, um die Buchführung zu digitalisieren

Die meisten Unternehmen setzten heute bereits Microsoft 365 ein, womit es nahe liegt eine Archivierung mittels SharePoint Online zu realisieren. Der hier beschriebene Lösungsansatz geht von einem zentralen Langzeitarchiv aus, in welchem Drittsysteme (z.B. InvoiceR oder CashCtrl) Dokumente zur Aufbewahrung über eine Schnittstelle ablegen.

Bei der Einrichtung muss grundsätzlich zwischen den vergleichbar günstigeren «Business-Lizenzen», M365 Business Standard / Premium und den teureren Enterprise-Lizenzen M365 E3 / E5 unterschieden werden. In Bezug auf die Archivierung ist der wesentliche Unterschied, dass es bei den E3 (mit Zusatz) und E5 Lizenzen möglich ist, die Löschung von Dokumenten auf Policy-Ebene komplett zu unterbinden.

Die hier beschriebene Lösung richtet sich eher an kleinere und mittlere Unternehmen, weshalb wir die nachfolgenden Punkte mit dem Fokus «Business-Lizenzen» beschreiben.

Funktionsweise

SharePoint Sites können grundsätzlich bereits mit der integrierten Versionierung sicherstellen, dass alle Änderungen an Dokumenten nachvollziehbar sind. Wird jedoch ein Dokument gelöscht, wird das Dokument mit allen Änderungen in den Papierkorb verschoben. Ein privilegierter Benutzer kann das Dokument dann durch zusätzliches Leeren des Papierkorbes endgültig löschen.

Um dies zu verhindern helfen «Retention Policies» und «Labels». Wird eine Site mit solchen ausgestattet, wird im Hintergrund eine sogenannte «Preservation hold library» erstellt. In dieser werden standardmässig alle gelöschten Dokumente gespeichert und für die Dauer der Policy aufbewahrt. Wird ein Dokument von einem Benutzer gelöscht, wird dies jedoch in der normalen Library nicht mehr angezeigt was den Benutzer glauben lässt, dass Dokument sei gelöscht worden. Mit den Enterprise-Lizenzen könnte dies mittels «Records management» konfigurativ verhindert werden und dem Benutzer würde klar signalisiert, dass das Dokument nicht gelöscht werden kann, da es sich in einem Archiv befindet. Wie bereits erwähnt, setzt dies jedoch die teuren Enterprise-Lizenzen voraussetzt (M365 E5 oder M365 E3 mit dem M365 E5 Compliance Add-on).

Üblicherweise benötigen «normale» Benutzer für ein Dokumentenarchiv weder Lese- noch Schreib-Berechtigungen. Sollte dies dennoch notwendig sein, z.B. für Treuhänder oder Revisoren, sollte den Benutzern für die Archiv Site grundsätzlich nur Leserechte gewährt werden. Damit kommen die Benutzer erst gar nicht in die Situation das sie Dokumente vermeintlich löschen können.

Um den unwahrscheinlichen Fall abzufangen das ein Administrator die komplette SharePoint Site versehentlich löscht, kann diese mit einem optionalen «Perservation lock» versehen werden. Wurde dieser einmal auf eine Site angewendet, kann die Site nicht mehr gelöscht werden.

Achtung: diese Option sollte mit Bedacht eingesetzt werden da die Site auch nicht mehr vom globalen Administrator gelöscht werden kann.

Mit den folgenden vier Punkten kann somit sichergestellt werden das niemand Dokumente aus dem Archiv ändern oder löschen kann, ohne dass dies nicht nachvollziehbar wäre:

  1. SharePoint Versionierung stellt die Nachvollziehbarkeit sicher (ist bei jeder «Team Site» standardmässig aktiviert.
  2. Allfällige Benutzer haben nur maximal Leseberechtigung auf das Archiv und können Dokumente somit nicht vermeidlich löschen (betrifft nur M365 Business Standard oder Premium Lizenzen – bei Enterprise Lizenzen kann die Option «Records management» aktiviert werden).
  3. Um den Fall abzudecken, dass Dokumente trotz der limitierten Berechtigung gelöscht werden (z.B. von einem Administrator), werden diese mittels «Retention Policies» und «Labels policies» in der «Preservation hold library» aufbewahrt.
  4. Um zu verhindern das die komplette SharePoint Site von einem Administrator gelöscht wird, kann optional für die Site ein «Preservation lock» aktiviert werden.

Die Einrichtung findet unter den Berechtigungen eines globalen Administrators statt (oder vergleichbare Rechte) und sollten nur durch versierte Mitarbeiter durchgeführt werden.

Lizenzierung

Alle Benutzer, welche auf das Archiv zugreifen, müssen mit entsprechenden Lizenzen ausgestattet sein. Wie oben bereits erwähnt unterscheiden wir zwischen Business- und Enterprise-Lizenzen.

Für Schnittstellenbenutzer empfiehlt es sich einen personenunabhängigen Benutzer zu erstellen. Für unser KMU-Szenario muss dieser mit mindestens einer SharePoint (Plan 2) Lizenz ausgestattet sein.

«Typ»Lizenz ArtFunktionalitätPreis1
BusinessMicrosoft 365 Business Standard oder PremiumDas Unbeabsichtigte Löschen von Dokumenten kann nur mittels Leseberechtigungen abgefangen werden. Die Option «Records management» ist nicht vorhanden.12.30 oder 21.70
EnterpriseMicrosoft 365 E3 mit M365 E5 Compliance Add-on oder Microsoft 365 E5Bietet die Option «Records management» womit der Benutzer eine klare Meldung erhält das Dokumente aus dem Archiv nicht gelöscht werden können.41.30 + 11.80 oder 62.70
SchnittstelleSharePoint (Plan 2)Anfangskapazität von 1 TB OneDrive for Business-Speicher, ansonsten analog Business-Lizenzen.9.80
1 Listenpreis in CHF pro Benutzer und Monat (Stand Februar 2023)

Sofern keine erweiterten Funktionalitäten aus den Enterprise-Lizenzen wie z.B. eDiscovery, Regelbasierte Richtlinien, Azure Information Protection P2, Defender for Identity, PIM oder PowerBI benötigt werden, empfiehlt es sich mit den günstigeren Business-Lizenzen zu fahren.

Datenschutz

Bei Datenarchiven sollte der Datenschutz auch immer mitbetrachtet werden. So können Daten welche in einer SharePoint Site, welche nach den oben genannten Grundsätzen konfiguriert sind, nicht mehr gelöscht werden (auch nicht von einem Administrator oder von Microsoft). Dies kann bei einem Antrag zur Datenlöschung unter Umständen zu Problemen führen. Aus diesem Grund sollte vor der Befüllung eines Archives immer zuerst die Klassifikation der Daten geklärt werden.

Automatisch archivieren

Kontaktieren Sie uns unverbindlich, um zu erfahren wie Sie ohne teure wiederkehrende Lizenzkosten Ihre Dokumente archivieren können. Mit unserer Expertise und unserer breiten Auswahl an standardisierten Schnittstellen, binden wir praktisch jedes System an ein SharePoint Archiv an um den Archivierungsprozess zu automatisieren.

Unverbindliche Online-Beratung

FlowPro Marc Bleuler

Marc Bleuler
Inhaber

«Ob und zu welchem Zeitpunkt eine Prozess-Automatisierung für Ihr Unternehmen geeignet ist, finden wir am besten in einem persönlichen Beratungsgespräch heraus.»
 
Buchen Sie jetzt Ihren Termin für ein 30-minütiges Online-Meeting!
Online-Termin buchen
Hotline
044 500 93 30