Sicherheit & Datenschutz
SP Toolkit laeuft vollstaendig in Ihrem Browser, innerhalb Ihrer Microsoft 365-Grenze. Ihre Daten verlassen niemals Ihren Mandanten.
Nur delegiert
Keine Anwendungsberechtigungen - niemals
Im Mandanten
Daten bleiben in Ihrer M365-Grenze
Vollstaendiger Audit-Trail
Jede Aktion unter Benutzeridentitaet protokolliert
Keine Infrastruktur
Keine Agents, Dienste oder VMs
Fuer IT-Sicherheitsteams
Dieses Dokument behandelt die Architektur, den Datenfluss, das Berechtigungsmodell und die Compliance-Lage von SP Toolkit. Es richtet sich an IT-Sicherheitsmanager, SharePoint-Administratoren und Compliance-Teams, die das Tool fuer die Bereitstellung evaluieren.
1. Architektur: Im Mandanten & browserbasiert
SP Toolkit ist ein SPFx (SharePoint Framework) Webpart - kein externer SaaS-Agent, kein Desktop-Installer und kein Dienstprinzipal mit mandantenweitem Zugriff.
Die Migrations-Engine laeuft vollstaendig in Ihrem Browser, innerhalb Ihrer Microsoft 365-Grenze. Wenn Sie eine Liste migrieren, fliessen die Daten direkt von SharePoint -> Browser -> SharePoint. Es gibt keinen Zwischenserver, keinen Staging-Bereich und keinen externen Datenspeicher.
| Komponente | Wo es laeuft |
|---|---|
| Migrations-Engine | Browser des Benutzers (JavaScript) |
| Daten lesen | SharePoint REST API / Microsoft Graph API |
| Daten schreiben | SharePoint REST API (PnPjs) |
| Authentifizierung | SPFx-Kontext (Ziel) / MSAL-Popup (Quelle) |
| Lizenzvalidierung | Azure-gehostete API (Mandanten-ID + aggregierte Nutzungszaehler) |
SP Toolkit wird aus dem SharePoint App-Katalog bereitgestellt - derselbe Mechanismus, den Microsoft fuer alle Erst- und Drittanbieter-SPFx-Loesungen verwendet. Ihr SharePoint-Admin behaelt die volle Kontrolle ueber den Bereitstellungsumfang und kann ihn auf bestimmte Websitesammlungen beschraenken.
2. Datenresidenz & Souveraenitaet
Kein Datentransit
Kein Dateiinhalt, keine Listenelementdaten, Metadaten, Anhaenge oder Benutzerinformationen verlassen jemals Ihren Microsoft 365-Mandanten waehrend der Migration.
- Quell-Lesevorgaenge gehen direkt an SharePoint/Graph-Endpunkte innerhalb Ihrer Microsoft 365-Grenze
- Ziel-Schreibvorgaenge gehen direkt an SharePoint REST-Endpunkte innerhalb Ihrer Microsoft 365-Grenze
- Cross-Tenant-Migrationen fliessen von Quell-Mandant -> Browser -> Ziel-Mandant. Der Browser ist der einzige Vermittler, laeuft auf dem eigenen Geraet des Benutzers
Australische Compliance
- Keine Daten werden ueber Drittanbieter-Server oder Offshore-Infrastruktur geleitet
- Die Datenresidenz wird ausschliesslich durch Ihre bestehende Microsoft 365-Mandantenkonfiguration bestimmt
- SP Toolkit fuehrt kein zusaetzliches Datensouveraenitaetsrisiko ein
- Konform mit dem Australian Privacy Act 1988 (APP 8 - grenzueberschreitende Offenlegung), da keine personenbezogenen Daten oder SharePoint-Inhalte Grenzen ueberschreiten. Lizenzvalidierungsaufrufe an Azure uebermitteln nur eine Mandanten-ID und aggregierte numerische Zaehler.
3. Berechtigungsmodell: Delegiert (Benutzeridentitaetswechsel)
SP Toolkit verwendet ausschliesslich das Delegierte Berechtigungsmodell. Es verwendet niemals Anwendungsberechtigungen.
Das Tool handelt im Namen des angemeldeten Benutzers. Es kann auf keine Website, Liste, kein Dokument oder Element zugreifen, auf das der Benutzer selbst keinen Zugriff hat.
| Risikofaktor | SP Toolkit | Typische Migrationstools |
|---|---|---|
| Globaler Admin erforderlich? | Nein | Oft ja |
| App-Only-Berechtigungen? | Nein | Oft ja (mandantenweit) |
| Dienstkonto erforderlich? | Nein | Oft ja |
| Kann auf Websites zugreifen, die der Benutzer nicht kann? | Nein - konstruktionsbedingt unmoeglich | Oft ja (App-only) |
Keine API-Berechtigungsgenehmigung erforderlich
SP Toolkit erfordert null API-Berechtigungsgenehmigungen im SharePoint Admin Center. Der Lizenzvalidierungsdienst wird ueber Standard-HTTPS aufgerufen - kein Entra ID-Zustimmungsschritt ist erforderlich.
Fuer Cross-Tenant-Migrationen werden Graph-Berechtigungen (z.B. Sites.Read.All) zur Laufzeit ueber interaktive MSAL-Anmeldung abgerufen - der Benutzer authentifiziert sich explizit in einem Popup und stimmt den Bereichen zu.
4. Auditierung & Protokollierung
Da jede Aktion unter der Identitaet des angemeldeten Benutzers ausgefuehrt wird, werden alle Operationen im Microsoft 365 Unified Audit Log unter dem Namen dieses Benutzers erfasst:
- Datei-Uploads -> als Benutzer protokolliert
- Listenelements-Erstellung -> als Benutzer protokolliert
- Ordner-Erstellung -> als Benutzer protokolliert
- Berechtigungsaenderungen -> werden nicht durchgefuehrt (SP Toolkit aendert keine Berechtigungen)
Es gibt keine Dienstkonten, keine Hintergrundprozesse und keine Daemon-Anwendungen. Wenn der Browser-Tab geschlossen wird, stoppt das Tool.
5. Lizenzvalidierung - Volle Transparenz
SP Toolkit validiert Ihren Abonnementstatus durch Aufruf einer Azure-gehosteten API. Dies ist ein Standard-SaaS-Lizenz-Heartbeat - er bestaetigt, dass Ihr Mandant eine aktive Lizenz hat und verfolgt die aggregierte Nutzung gegen Planlimits.
Was gesendet wird
| Gesendete Daten | Beispiel | Zweck |
|---|---|---|
| Mandanten-ID | a1b2c3d4-... (GUID) | Identifizierung der zu pruefenden Lizenz |
| Admin-E-Mail | admin@contoso.com | Nur Testversion-Registrierung / Checkout |
| Aggregierte Metriken | items: 1200, lists: 3 | Nutzungsverfolgung gegen Planlimits |
| Client-Version | 1.4.0 | Kompatibilitaetspruefungen |
Was NICHT gesendet wird - niemals
- ❌ Listennamen, Elementinhalte oder Metadaten
- ❌ Dokumentinhalte oder Dateinamen
- ❌ Benutzernamen, E-Mail-Adressen oder Verzeichnisdaten (ausser Admin-E-Mail bei Registrierung)
- ❌ Website-URLs oder Mandanten-Domainnamen
- ❌ Passwoerter, Tokens oder Anmeldeinformationen
- ❌ Feldwerte, Spaltendefinitionen oder Schemadetails
Antwortintegritaet
Lizenzantworten enthalten ein digital signiertes Ticket, das clientseitig mit einem im SPFx-Manifest eingebetteten RSA-Oeffentlichen-Schluessel verifiziert wird. Dies verhindert Manipulationen am Lizenzstatus waehrend der Uebertragung.
6. Cross-Tenant-Migration - Zusaetzlicher Sicherheitskontext
Fuer Migrationen zwischen zwei separaten Microsoft 365-Mandanten:
- Quell-Mandanten-App-Registrierung - Der Kunde erstellt eine Microsoft Entra ID-App-Registrierung im Quell-Mandanten mit spezifischen Graph-API-delegierten Berechtigungen
- Interaktive Benutzeranmeldung - Der Benutzer authentifiziert sich ueber ein MSAL-Popup. SP Toolkit sieht oder speichert das Passwort niemals
- Nur delegierter Zugriff - Die App verwendet delegierte Berechtigungen, die erfordern, dass der angemeldete Benutzer entsprechenden Zugriff hat
- Sitzungsbezogene Tokens - Zugriffstoken werden in
sessionStoragegespeichert (geloescht wenn der Tab geschlossen wird) mit automatischer Aktualisierung
Graph-API-Bereiche (Cross-Tenant-Quell-Lesevorgang)
| Bereich | Zweck |
|---|---|
| Sites.Read.All | Website- und Listenstruktur lesen |
| Sites.ReadWrite.All | Listenelemente und Felder lesen |
| User.Read.All | Benutzer-/Personenfelder aufloesen |
| TermStore.ReadWrite.All | Vorab-Registrierung verwalteter Metadaten-Begriffe |
| Directory.Read.All | Erweiterte Benutzereigenschafts-Aufloesung |
| Group.Read.All | Gruppenbasierte Berechtigungsaufloesung (optional) |
Diese Bereiche werden zur Laufzeit ueber interaktive Zustimmung angefordert — sie werden nicht zum Bereitstellungszeitpunkt vorgewaehrt.
7. Netzwerk-Footprint
Jedes externe Netzwerkziel, das das SP Toolkit-Webpart kontaktiert:
| Ziel | Zweck | Exponierte Daten |
|---|---|---|
| *.sharepoint.com | SharePoint REST-Operationen | Standard-SP-API-Aufrufe |
| graph.microsoft.com | Graph API (Cross-Tenant) | Standard-Graph-API-Aufrufe |
| login.microsoftonline.com | Authentifizierung | Standard-OAuth-Flows |
| SP Toolkit API (Azure) | Lizenzvalidierung | Mandanten-ID + Nutzungszaehler |
Die ersten drei sind Standard-Microsoft 365-Endpunkte. Der vierte ist unsere Lizenzpruefung. Optionale benutzerkonfigurierte Endpunkte (Webhooks) sind standardmaessig nicht aktiv.
8. Was SP Toolkit NICHT tut
- ❌ Agents, Dienste oder Hintergrundprozesse installieren
- ❌ Globale Admin- oder mandantenweite Anwendungsberechtigungen erfordern
- ❌ SharePoint-Inhalte ausserhalb Ihres Microsoft 365-Mandanten speichern
- ❌ SharePoint-Berechtigungen oder Freigabeeinstellungen erstellen oder aendern
- ❌ Auf Exchange, Teams-Chat, persoenliches OneDrive oder andere Nicht-SharePoint-Workloads zugreifen
- ❌ Ausfuehren wenn der Browser-Tab geschlossen ist
- ❌ Das Oeffnen von Firewall-Ports oder VPN-Tunneln erfordern
- ❌ Anmeldeinformationen speichern - die Authentifizierung wird vollstaendig von Microsofts Identitaetsplattform gehandhabt
9. Bereitstellung & Scoping
| Steuerung | Detail |
|---|---|
| App-Katalog-Bereitstellung | Admin laedt .sppkg in Mandanten- oder Websitesammlungs-App-Katalog hoch |
| Mandantenweit vs. websitebezogen | Admin waehlt Bereitstellungsumfang |
| API-Berechtigungsgenehmigung | Keine erforderlich - kein Admin-Genehmigungsschritt |
| Entfernung | Aus App-Katalog loeschen - sofort, vollstaendig, keine Restkomponenten |
10. Zusammenfassung
| Anliegen | SP Toolkit Antwort |
|---|---|
| Wohin gehen meine Daten? | Nirgendwo ausserhalb von M365 - nur Browser-zu-SharePoint |
| Welche Berechtigungen werden benoetigt? | Keine API-Berechtigungen zu genehmigen. Lizenzpruefungen verwenden Standard-HTTPS. |
| Kann es mehr zugreifen als ich? | Nein - Delegiertes Modell, begrenzt auf die eigenen Berechtigungen des Benutzers |
| Gibt es ein Dienstkonto? | Nein - nur Benutzeridentitaet, protokolliert im Standard-Audit-Trail |
| Was sendet die Lizenzpruefung? | Mandanten-ID, aggregierte Nutzungszaehler, Operationstyp, Dauermetriken und Client-Version. Keine SharePoint-Inhalte oder Listennamen. |
| Kann mein Admin die Bereitstellung kontrollieren? | Ja - App-Katalog-Scoping, websitesammlungs- oder mandantenweit |
| Was passiert, wenn ich es entferne? | Aus App-Katalog loeschen. Keine verbleibenden Dienste, keine Bereinigung. |
Fragen zur Sicherheit?
Unser Team ist bereit, alle Fragen zu Sicherheit, Compliance oder Architektur zu beantworten.