Skip to content
Buchen Sie Ihren Termin
Buchen Sie Ihren Termin
Microsoft Teams Governance Teams Center

Feingranulare Berechtigungen in Microsoft Teams und SharePoint — ohne Berechtigungschaos

Valprovia Governance führt Zugriffsprofile (Access Profiles) ein: Benutzerdefinierte Rollen, die sich direkt in Workspace-Templates definieren und automatisch mit SharePoint-Berechtigungsgruppen verknüpfen lassen. Projektmanager und Endbenutzer wählen beim Hinzufügen von Mitgliedern einfach eine Rolle aus einem Dropdown — Valprovia Governance setzt die korrekten Berechtigungen automatisch, ohne manuelle Nacharbeit in SharePoint.

 

Was sind Zugriffsprofile — und warum gibt es sie jetzt?

Organisationen stehen seit Jahren vor demselben Problem: Microsoft Teams erlaubt nur zwei Rollen — Owner und Member. Externe Gäste werden dabei implizit als Members behandelt, ohne eigene Rollenkategorie. In der Praxis reicht das nicht. Ein Projektleiter braucht andere Berechtigungen als ein Projektmitarbeiter, ein externer Partner andere als ein Steuerkreis-Mitglied. Bisher hieß die Antwort: nach jeder Workspace-Erstellung manuell in SharePoint nacharbeiten. Mit Zugriffsprofilen in Valprovia Governance gibt es jetzt eine bessere Lösung.

Zugriffsprofile führen benutzerdefinierte Rollen für Microsoft Teams-Workspaces ein. Jede Rolle wird mit einer SharePoint-Berechtigungsgruppe verknüpft. Wenn jemand eine Person zu einem Workspace hinzufügt und eine Rolle zuweist, setzt Valprovia Governance die korrekten SharePoint-Berechtigungen automatisch im Hintergrund.

Das Problem: Warum Projektberechtigungen in Microsoft 365 zum Chaos führen

Ein typisches Szenario aus der Projektarbeit: Ein neues Beratungsprojekt wird aufgesetzt. Der Projektleiter braucht Vollzugriff auf alle Dokumente und muss Projektpläne freigeben können. Projektmitarbeiter sollen Dokumente bearbeiten, aber keine Strukturänderungen vornehmen. Ein Controlling-Verantwortlicher benötigt Lesezugriff auf Finanzdokumente. Und der externe Beratungspartner soll nur auf freigegebene Projektdokumente zugreifen.

Microsoft Teams kennt diese Unterscheidung nicht. Es gibt nur Owner oder Member — dazwischen nichts. Der Administrator steht vor zwei schlechten Optionen: alle als Member mit identischen Rechten einrichten und damit zu viel Zugriff gewähren, oder nach jeder Workspace-Erstellung manuell in SharePoint Gruppen pflegen und Berechtigungen setzen.

Bei einem einzelnen Projekt ist das noch handhabbar. Aber Organisationen verwalten dutzende oder hunderte Projekte gleichzeitig. Jedes Projekt braucht dieselbe Berechtigungsstruktur — und jedes Mal muss sie manuell nachgebaut werden. Das Ergebnis: inkonsistente Berechtigungen, vergessene Zuweisungen, Sicherheitslücken und ein IT-Team, das mit Berechtigungs-Tickets überlastet ist.

Dasselbe Problem besteht auch bei reinen SharePoint-Workspaces — und dort ist es oft noch ausgeprägter. Gibt man Endbenutzern umfangreiche Berechtigungen in SharePoint, passen sie die Berechtigungsstrukturen eigenständig an — oft unkontrolliert und mit unbeabsichtigten Folgen. Gibt man ihnen keine Berechtigungen für die Verwaltung, muss jede Änderung über die IT laufen.

Zugriffsprofile lösen dieses Dilemma — für Microsoft Teams-Workspaces und reine SharePoint-Sites gleichermaßen: Die IT definiert im Governance-Template, welche Rollen und Berechtigungen zur Verfügung stehen. Die Endbenutzer verwalten die Berechtigungen eigenständig über das Rollen-Dropdown — aber nur innerhalb des Rahmens, den die IT vorgegeben hat. Kontrolle ohne Engpass, Selbstständigkeit ohne Chaos.

Wie lösen Zugriffsprofile dieses Problem?

Die Konfiguration erfolgt einmalig im Workspace-Template. Danach erbt jeder neue Workspace automatisch die definierten Rollen und Berechtigungen.

Schritt 1: Projektrollen definieren

Der Administrator legt die Rollen fest, die im Projektalltag benötigt werden. Anders als Microsoft Teams, das Gäste implizit unter Members führt, unterscheidet Valprovia Governance explizit drei Benutzertypen:

Owners — z.B. "Projektleiter" mit Vollzugriff und "Stellvertreter" als Backup. Members — z.B. "Projektmitarbeiter" mit Bearbeitungsrechten und "Controlling Reader" mit reinem Lesezugriff. Guests — z.B. "Externer Partner" mit eingeschränktem Zugriff auf freigegebene Bereiche. Durch die explizite Trennung von Guests erhalten externe Benutzer eigene Rollen mit eigenen Berechtigungen — statt pauschal dieselben Rechte wie interne Members.

Valprovia Governance Zugriffsprofile — Konfiguration benutzerdefinierter Rollen für Owners, Members und Guests im Workspace-Template

Hier legt der Administrator die Projektrollen an. Für Owners wurden "Project Manager" und "Partner" definiert, für Members der "Controlling Reader". Jede Rolle kann als Standard markiert und in der Reihenfolge angepasst werden.

 

Valprovia Governance Zugriffsprofile — Dialog zum Anlegen einer neuen Owner-Rolle mit Name und Beschreibung
Der Administrator klickt auf "New Owner Role" und gibt im Dialog den Rollennamen ein — z.B. "Projektleiter". Optional ergänzt er eine Beschreibung, die dem Endbenutzer später als Tooltip angezeigt wird.

 

Schritt 2: Verhalten festlegen

Zwei optionale Einstellungen steuern, wie Endbenutzer mit den Rollen arbeiten: Rollenauswahl erzwingen stellt sicher, dass jedes Projektmitglied eine Rolle bekommt — wichtig für regulierte Umgebungen und Audit-Anforderungen. Mehrfachauswahl erlauben ermöglicht es, einer Person mehrere Rollen zuzuweisen — z.B. wenn jemand gleichzeitig Projektmitarbeiter und Controlling-Verantwortlicher ist.

Schritt 3: Rollen mit SharePoint-Berechtigungen verknüpfen

Jede Rolle wird einer SharePoint-Gruppe zugeordnet. Diese Gruppen definieren, welche Berechtigungen auf welche Projektordner und Dokumentbibliotheken gelten. Falls eine Gruppe bei der Workspace-Erstellung noch nicht existiert, wird sie automatisch angelegt.

Valprovia Governance Zugriffsprofile — Rollen-zu-SharePoint-Gruppen-Zuordnung für Owners, Members und Guests

Im Bereich "Role-Based Permission Assignments" verknüpft der Administrator jede Rolle mit einer SharePoint-Gruppe. Hier ist "Project Manager" mit der gleichnamigen SharePoint-Gruppe verbunden, "Controlling Reader" mit "Project Controlling Reader". Für Gäste sind noch keine Rollen definiert.

Valprovia Governance Zugriffsprofile — Inline-Bearbeitung einer Rolle mit Dropdown und SharePoint-Gruppeneingabe

So sieht die Zuordnung im Bearbeitungsmodus aus: Der Administrator wählt links die Rolle aus dem Dropdown und tippt rechts den SharePoint-Gruppennamen ein. Ein Klick auf den Haken speichert die Verknüpfung.

 

Valprovia Governance Zugriffsprofile — Gesamtübersicht mit Workspace-Template und allen rollenbasierten Berechtigungszuweisungen
Die vollständige Konfiguration auf einen Blick: Oben ist das Workspace-Template ("ConsultancyProject.xml") hinterlegt. Darunter die Role-Based Permission Assignments — "Project Manager" und "Partner" für Owners, "Controlling Reader" für Members, jeweils mit der zugeordneten SharePoint-Gruppe. Für Guests sind noch keine Rollen definiert.

Was erleben Projektmanager und Endbenutzer?

Für den Projektmanager ändert sich der Arbeitsalltag spürbar: Statt ein IT-Ticket zu stellen und auf die Berechtigungseinrichtung zu warten, öffnet er den Workspace, fügt ein neues Teammitglied hinzu und wählt aus dem Dropdown die passende Rolle. Fertig. Die SharePoint-Berechtigungen werden im Hintergrund automatisch gesetzt.

Valprovia Governance Zugriffsprofile — Projektmanager wählt Berechtigungsrolle aus Dropdown beim Hinzufügen eines Workspace-Mitglieds
Der Projektmanager fügt ein neues Teammitglied hinzu und öffnet das Rollen-Dropdown. Hier stehen die vom Administrator vordefinierten Rollen zur Auswahl — in diesem Fall "Project Manager" und "Partner".

 

Valprovia Governance Zugriffsprofile — Zugewiesene Rolle als Tag neben dem Benutzernamen im Workspace
Die Rolle "Project Manager." wurde ausgewählt und erscheint als Tag neben dem Benutzernamen. Der Projektmanager kann die Zuweisung noch ändern oder mit einem Klick bestätigen.

 

Valprovia Governance Zugriffsprofile — Workspace-Owners mit zugewiesenen Rollen Project Manager und Partner vor dem Absenden
Beide Workspace-Owners haben jetzt ihre Rollen: Ein Benutzer ist "Project Manager", der andere ist "Partner". Ein Klick auf "Send request" löst die automatische Berechtigungsvergabe aus.

 

Valprovia Governance Zugriffsprofile — Bestätigungsmeldung nach automatischer Berechtigungsänderung im Workspace
Nach dem Absenden erscheint die Bestätigung: Die Berechtigungsänderungen werden automatisch im Hintergrund durchgeführt. Der Projektmanager muss nichts weiter tun.

 

Rollen sind keine Labels — sie steuern echte Berechtigungen

Rollen-Labels an sich sind kein neues Konzept. Viele Governance-Lösungen ermöglichen es, Benutzern Tags oder Rollen zuzuweisen. Der entscheidende Unterschied: Diese Labels bleiben in der Regel rein visuell — sie beschriften einen Benutzer, haben aber keine Auswirkung auf die tatsächlichen Berechtigungen in SharePoint. Valprovia Governance geht einen Schritt weiter und verknüpft jede Rolle direkt mit einer SharePoint-Berechtigungsgruppe. Aus einem Label wird eine echte Berechtigung — automatisch, konsistent und bei jeder Änderung synchronisiert.

Ein konkretes Beispiel zeigt diesen Unterschied. Ein Benutzer hat die Rolle "Project Manager", ein anderer die Rolle "Partner":


Valprovia Governance Zugriffsprofile — Zwei Workspace-Benutzer mit unterschiedlichen Rollen: Partner und Project Manager
Ausgangslage: Ein Benutzer hat die Rolle "Partner", ein anderer ist "Project Manager". Beide Rollen sind mit unterschiedlichen SharePoint-Berechtigungsgruppen verknüpft.

Als Project Manager hat der Benutzer Zugriff auf alle drei Projektordner — 01_Project Calculation, 02_Controlling und 03_Development:

Valprovia Governance Zugriffsprofile — SharePoint-Dokumentbibliothek mit drei Projektordnern sichtbar für die Rolle Project Manager
In SharePoint sieht der Project Manager alle drei Projektordner. Die SharePoint-Berechtigungsgruppe "Project Manager" hat Zugriff auf die gesamte Projektstruktur.

Wird die Rolle nun auf "Partner" geändert, passt Valprovia Governance die SharePoint-Berechtigungen automatisch an:

Valprovia Governance Zugriffsprofile — Rollenwechsel von Project Manager zu Partner über das Dropdown im Workspace
Der Projektmanager ändert die Rolle über das Dropdown. Valprovia Governance entfernt den Benutzer aus der alten SharePoint-Berechtigungsgruppe und fügt ihn der neuen hinzu.

Das Ergebnis: Als Partner sieht der Benutzer nur noch einen Ordner — 03_Development. Die Ordner 01_Project Calculation und 02_Controlling sind nicht mehr sichtbar, weil die SharePoint-Berechtigungsgruppe "Partner" keinen Zugriff darauf hat:

Valprovia Governance Zugriffsprofile — SharePoint-Dokumentbibliothek mit nur einem sichtbaren Ordner nach Rollenwechsel zu Partner
Nach dem Rollenwechsel sieht der Benutzer nur noch den Ordner 03_Development. Die Berechtigungen wurden automatisch durch die dahinterstehenden SharePoint-Berechtigungsgruppen angepasst — ohne manuellen Eingriff.

Download Checkliste: Optimale Governance für Microsoft Teams

Schritt für Schritt alle relevanten Aspekte überprüfen und optimale Governance sicherstellen.

Checkliste jetzt herunterladen  

Worauf Valprovia Governance den Fokus legt

Valprovia Governance versteht sich als präventive Governance-Lösung: Probleme verhindern, bevor sie entstehen. Sicherheit und Berechtigungsverwaltung stehen dabei im Zentrum — nicht nur auf Workspace-Ebene, sondern vor allem innerhalb von Workspaces: Wer darf was, und warum?

Zugriffsprofile sind Ausdruck dieses Ansatzes. Projektmanager behalten die Kontrolle über Projektberechtigungen, ohne IT-Tickets stellen zu müssen. IT-Administratoren profitieren von konsistenten Berechtigungsstrukturen über alle Workspaces und automatischer Synchronisation bei Rollenänderungen. Compliance-Verantwortliche erhalten erzwungene Rollenzuweisungen für Audit-Zwecke und automatischen Schutz vor unkontrollierten Berechtigungsänderungen. Und für Endbenutzer bleibt es ein einfaches Dropdown — sie wählen "Projektleiter" oder "Leser", und die richtigen Berechtigungen werden automatisch gesetzt.

Häufig gestellte Fragen zu Zugriffsprofilen

Wie unterscheiden sich Zugriffsprofile von den nativen Microsoft Teams-Rollen?

Microsoft Teams kennt nur zwei feste Rollen: Owner und Member. Gäste werden implizit als Members behandelt. Valprovia Governance erweitert dieses Modell auf drei explizite Benutzertypen — Owners, Members und Guests — und ermöglicht für jeden Typ beliebig viele Rollen mit eigenen SharePoint-Berechtigungen. So lässt sich z.B. ein "Projektleiter" mit Vollzugriff von einem "Controlling Reader" mit reinem Lesezugriff unterscheiden, und externe Gäste erhalten gezielt eigene Rollen statt pauschaler Member-Rechte.

Wie profitieren Organisationen mit vielen parallelen Projekten?

Die Rollen werden einmalig im Workspace-Template definiert. Jedes neue Projekt, das mit diesem Template erstellt wird, übernimmt automatisch dieselbe Berechtigungsstruktur. Bei hundert parallelen Projekten spart das hundert manuelle SharePoint-Konfigurationen — und stellt sicher, dass jedes Projekt konsistente Berechtigungen hat.

Können externe Partner und Berater eigene Rollen bekommen?

Ja, Rollen lassen sich für alle drei Benutzertypen separat definieren — auch für Gäste. So kann ein externer Beratungspartner eine andere Rolle und damit andere Berechtigungen erhalten als ein externer Auditor. Jede Rolle hat nur Zugang zu den Projektbereichen, die für sie vorgesehen sind.

Eignen sich Zugriffsprofile für regulierte Branchen mit Audit-Anforderungen?

Ja. Die Einstellung "Rollenauswahl erzwingen" stellt sicher, dass jedes Projektmitglied eine dokumentierte Rolle hat. Es kann kein Benutzer ohne Rollenzuweisung in einem Workspace existieren. Das schafft eine nachvollziehbare Berechtigungsstruktur, die bei Audits als Nachweis dient.

Download: Der ultimative Microsoft Teams Governance Guide

Was kann eine Microsoft Teams Governance Lösung in Ihrem Unternehmen leisten? Unser Guide klärt auf. Jetzt herunterladen!

Jetzt herunterladen
 
Microsoft 365 Governance Anleitung

Fazit

Projektberechtigungen in Microsoft 365 sind ein gelöstes Problem — wenn man es richtig angeht. Zugriffsprofile ersetzen manuelle SharePoint-Nacharbeit durch einen einmalig konfigurierten, automatisierten Prozess. Projektmanager verwalten Berechtigungen selbstständig über ein einfaches Dropdown, IT-Administratoren gewinnen Zeit zurück, und Compliance-Verantwortliche erhalten die Nachvollziehbarkeit, die sie brauchen.

Der Kern: Rollen sind keine bloßen Labels mehr, sondern steuern echte SharePoint-Berechtigungen — automatisch bei jeder Zuweisung, bei jedem Rollenwechsel und bei jeder Entfernung. Einmal im Template konfiguriert, profitiert jedes neue Projekt von derselben konsistenten Berechtigungsstruktur.

Autor
CEO

Cagdas Davulcu ist Microsoft 365 Enthusiast, Solution Architect, CEO bei Valprovia GmbH. Langjährige berufliche Erfahrungen als Software Entwickler, Berater und Software Architekt bringt Herr Davulcu nun ein, als Geschäftsführer beim Lösungsanbieter Valprovia.