Zugriff für Externe in Google Workspace verwalten

Im Rahmen des Identity & Access Managements (IAM) ist es für Google Workspace Admins nicht nur wichtig, Zugriffsberechtigungen für Personen innerhalb der Organisation festzulegen, sondern auch für externe. Oftmals ist es für eine reibungslose Zusammenarbeit notwendig, betriebsfremden Personen wie Freelancern, Beratern oder Partnern einen eigenen Account in der Organisation zur Verfügung zu stellen. In der Regel sollen diese jedoch keinen vollständigen Zugriff auf interne Informationen erhalten. In diesem Blogbeitrag stellen wir Ihnen deshalb Möglichkeiten vor, wie Sie in der Google Workspace Admin Konsole den Zugang von externen Personen freigeben bzw. einschränken können. Außerdem zeigen wir Ihnen Best Practices für die Umsetzung.

Generell gibt es 2 Wege, die Sie hierbei einschlagen können:

• Das Hinzufügen der externen Nutzer in die eigene Domain.
• Die Erstellung einer eigenen Domain für externe Nutzer.

Beide Wege bieten sowohl Vor- als auch Nachteile.

#1. Externe Personen in die eigene Domain hinzufügen

Pro:

• Sie haben einen verringerten Verwaltungsaufwand, da Sie alle Einstellungen über nur eine Admin Konsole vornehmen können
• Zudem ist die Ressourcenbuchung einfacher

Contra:

• Es besteht keine eindeutige Trennung von internen und externen Nutzern.
• Anfängliche Freigabeveränderungen, falls Dateien organisationsweit geteilt wurden, die Externen dies jedoch nicht geteilt bekommen sollen Kalenderinformationen lassen sich nur durch einen Workaround (s. Punkt 4) vor Externen verbergen.

Best Practices: Wenn Sie externe Nutzer in die eigene Organisation hinzufügen, haben wir folgende Empfehlungen für Sie:

1. Vergeben Sie ein E-Mail-Suffix wie klaus.mustermann.external@domain.com oder klaus.mustermann@ext.domain.com
2. Fügen Sie eine eigene Organisationseinheit nur für externe Personen hinzu und verschieben Sie die entsprechenden Nutzer immer dorthin.
3. Shared Drive:
   a. Erstellen Sie Target Audiences (z. B. Intern und Extern)
   b. Schalten Sie die Zugriffsprüfung auf Target Audiences ein, damit nicht automatisch zu weit großzügig geteilt wird (unter Apps > Google Workspace > Drive und Docs > Freigabeeinstellung).
4. Passen Sie Kalenderfreigaben an, damit die externen Nutzer keinen Zugriff auf die Kalender der internen Mitarbeiter erhalten
   a. Dazu müssen die Nutzer ihren eigenen Kalender einschränken (nicht mehr mit der gesamten Organisation teilen)
   b. Kalender sollte einer Gruppe geteilt werden, in der die internen Nutzer drin sind. (a und b finden Sie unter den Kalendereinstellungen > Zugriffsberechtigungen)

#2. Externe Personen in eine separate Domain hinzufügen

Pro:

• Es besteht eine vollständige sichtbare Trennung der Organisation.
• Sie müssen keine Änderung der Freigaberichtlinien von organisationsweiten Daten vornehmen.
• Kalender der organisationsinternen Belegschaft sind für Externe standardmäßig nicht sichtbar.

Contra:

• Es erhöhter Verwaltungsaufwand, da es 2 verschiedene Adminkonsolen gibt
• Die gemeinsame Ressourcenbuchung ist aufwendiger

Best Practices: Externe Nutzer können in eine separate Organisation hinzugefügt werden. Hierbei gibt es folgende Empfehlungen:

1. Falls Kalender geteilt werden sollen, müssen Sie das händisch über das Freigabemenü erledigen.
2. Vergeben Sie an externe Nutzer ein E-Mail-Suffix, wie klaus.mustermann@ext.domain.com
3. Falls Sie das Teilen von Dokumenten nach extern nicht komplett freigeben wollen, erstellen Sie am besten die primäre Domain als Allowlist.

Fazit

Prinzipiell muss jede Organisation selbst entscheiden, welche Freigabeeinstellungen sie bevorzugt. Grundsätzlich bedeutet das Hinzufügen betriebsfremder Personen in die eigene Organisation etwas weniger Verwaltungsaufwand, die Aufnahme in eine extra Domain hat jedoch Vorteile bei strengen Sicherheitsvorgaben.