SharePoint Online — biblioteki dokumentów dla biura rachunkowego (z KSeF)

SharePoint Online jako archiwum klienta biura rachunkowego w 2026 roku

Biuro rachunkowe obsługujące 10-50 klientów potrzebuje czegoś więcej niż wspólnego folderu w chmurze. Po wejściu obowiązkowego KSeF dokumenty przychodzą szybciej, mają format XML, muszą być możliwe do odtworzenia podczas kontroli, a jednocześnie zawierają dane objęte RODO i tajemnicą zawodową. Dobrze zaprojektowany SharePoint Online porządkuje ten proces: osobne przestrzenie dla klientów, biblioteki dokumentów według procesu księgowego, metadane zamiast chaotycznych folderów, retencja oraz kontrolowane udostępnianie klientom.

W praktyce najlepszym punktem startu jest Microsoft 365 Business, a dla biur, które chcą wdrożyć szyfrowanie, zasady dostępu warunkowego, Defender for Business i zarządzanie urządzeniami, rozsądniejszym wariantem jest Microsoft 365 Business Premium. Według cennika Microsoft w Polsce Business Premium kosztuje 19,10 EUR za użytkownika miesięcznie przy rozliczeniu rocznym, bez VAT. Sam SharePoint nie zastępuje systemu finansowo-księgowego ani rozwiązania klasy Polski ERP, ale może stać się bezpieczną warstwą dokumentów, akceptacji i archiwum.

Źródła, na których warto oprzeć projekt, są jasne: Microsoft opisuje retencję plików SharePoint w Microsoft Purview, zewnętrzne udostępnianie działa w modelu SharePoint i Microsoft Entra B2B, a Ministerstwo Finansów potwierdza harmonogram KSeF 2.0 oraz strukturę FA(3). Szczegóły znajdziesz w dokumentacji Microsoft Learn o retencji SharePoint, Microsoft Learn o udostępnianiu zewnętrznym oraz w komunikacie Ministerstwa Finansów o API KSeF 2.0 i FA(3).

Co zwykle pomijają poradniki o SharePoint dla księgowości

Wyniki wyszukiwania dla fraz typu sharepoint online biuro rachunkowe, sharepoint ksef czy biblioteki dokumentow biuro rachunkowe są zdominowane przez ogólne poradniki: jak utworzyć bibliotekę dokumentów, jak udostępnić folder albo jak zsynchronizować pliki z OneDrive. Brakuje w nich trzech elementów istotnych dla polskiego biura rachunkowego w 2026 roku:

• modelu wieloklientowego, w którym klient A nigdy nie zobaczy metadanych, nazw ani gości klienta B;
• mapowania procesu KSeF na biblioteki, kolumny i statusy dokumentów;
• połączenia retencji, IRM, kopii zapasowej i audytu w jeden operacyjny standard dla biura.

Dlatego poniższa konfiguracja zakłada biuro rachunkowe, które ma kilku księgowych, 10-50 klientów, pracuje z fakturami XML/PDF, umowami, raportami, korespondencją oraz chce ograniczyć ręczne przesyłanie załączników e-mailem.

Architektura witryn: osobna witryna klienta czy hub?

Dla małego biura najprostszy wariant to jedna witryna zespołu SharePoint na całe biuro i biblioteki/foldery per klient. Jest szybki, ale słaby pod względem separacji. Dla biura rachunkowego rekomendowany jest model: jedna witryna główna biura jako hub operacyjny oraz osobna witryna SharePoint dla każdego klienta. Subsites nie są dobrym kierunkiem w nowoczesnym SharePoint Online, bo trudniej nimi zarządzać, gorzej współpracują z nowoczesnymi zasadami uprawnień i utrudniają późniejsze przeniesienie klienta.

Biblioteki dokumentów dla jednego klienta

Każda witryna klienta powinna mieć identyczny szablon. Dzięki temu księgowy nie zastanawia się, gdzie zapisać plik, a automatyzacje Power Automate mogą działać według stałych nazw bibliotek.

• Faktury KSeF input - faktury pobrane z KSeF, XML FA(3), PDF podglądowy, UPO i pliki techniczne.
• Output - deklaracje, pliki JPK, raporty wysłane klientowi, paczki miesięczne.
• Korespondencja - pisma z urzędów, wiadomości klienta, potwierdzenia ustaleń.
• Umowy - umowa z klientem, pełnomocnictwa, upoważnienia KSeF, aneksy RODO.
• Raporty - zestawienia zarządcze, raporty podatkowe, okresowe podsumowania.

Nie warto tworzyć głębokich folderów typu Klient / 2026 / Styczeń / Faktury / Zakup / Do sprawdzenia. SharePoint lepiej działa, gdy kluczowe informacje są kolumnami metadanych. Folder można zostawić tylko dla wygody widoku miesięcznego, ale wyszukiwanie, filtrowanie i retencja powinny opierać się na polach.

Metadane: kolumny, które naprawdę pomagają

Dla bibliotek księgowych minimum to NIP klienta, rok podatkowy, typ dokumentu oraz status KSeF. Przy 10-50 klientach różnica między folderami a metadanymi jest odczuwalna już po pierwszym kwartale: można filtrować wszystkie faktury z błędem, wyszukać dokumenty bez numeru KSeF albo przygotować paczkę kontrolną za 2026 rok.

Konfiguracja krok po kroku

1. Utwórz hub biura. W centrum administracyjnym SharePoint utwórz witrynę komunikacyjną lub zespołową o nazwie Biuro Rachunkowe - Operacje. Zarejestruj ją jako hub i ustaw nawigację: Klienci, Procedury, Raporty wewnętrzne, KSeF.
2. Utwórz osobną witrynę dla klienta. Nazwij ją neutralnie, np. BR-KL-ACME, bez pełnych danych wrażliwych w adresie URL. Dodaj tylko zespół księgowy przypisany do klienta.
3. Dodaj biblioteki. Utwórz: Faktury KSeF input, Output, Korespondencja, Umowy, Raporty. W każdej włącz wersjonowanie główne i kosz drugiego etapu pozostaw jako mechanizm operacyjny, ale nie traktuj go jako backupu.
4. Dodaj kolumny metadanych. NIP klienta, rok podatkowy, typ dokumentu, status KSeF i numer KSeF ustaw jako widoczne w domyślnym widoku. Dla Faktury KSeF input dodaj widoki: Do weryfikacji, Błędy, Zaksięgowane, Rok podatkowy.
5. Skonfiguruj retencję. W Microsoft Purview utwórz etykietę retencji, np. Dokumentacja księgowa - 10 lat, i opublikuj ją do witryn klientów. Dla dokumentów księgowych wybierz retencję od daty utworzenia lub od daty etykietowania, zgodnie z przyjętą polityką rachunkowości.
6. Włącz ochronę IRM lub etykiety poufności. Dla bibliotek Umowy i Korespondencja ogranicz drukowanie oraz kopiowanie, jeśli proces klienta tego wymaga. Microsoft wskazuje, że IRM w SharePoint Online działa na poziomie listy i biblioteki; nowszym kierunkiem są etykiety poufności Microsoft Purview, ale IRM nadal bywa praktyczne przy bibliotekach z plikami pobieranymi lokalnie. Zobacz konfigurację IRM w SharePoint admin center.
7. Ogranicz udostępnianie zewnętrzne. Włącz je tylko na witrynach klientów, które faktycznie mają portal klienta. Ustaw linki tylko dla konkretnych osób, wymagaj logowania gościa i wyłącz anonimowe linki.
8. Dodaj backup zewnętrzny. Veeam Backup for Microsoft 365 lub Veeam Data Cloud powinien obejmować Exchange, OneDrive, SharePoint i Teams. Veeam wskazuje, że dla SharePoint licencjonuje się użytkowników wewnętrznych mających dostęp do chronionych witryn, a użytkownicy zewnętrzni nie wymagają osobnej licencji. Szczegóły opisuje Veeam Backup for Microsoft 365.

Opis zrzutów ekranu do dokumentacji wdrożenia

W artykule lub instrukcji wewnętrznej warto dodać zrzuty ekranowe, które pokazują dokładnie te miejsca, w których administrator lub właściciel witryny może popełnić błąd:

• Zrzut 1: Centrum administracyjne SharePoint, lista aktywnych witryn, kolumna Udostępnianie zewnętrzne ustawiona osobno dla każdej witryny klienta.
• Zrzut 2: Biblioteka Faktury KSeF input z widocznymi kolumnami NIP klienta, Rok podatkowy, Typ dokumentu, Status KSeF i Numer KSeF.
• Zrzut 3: Microsoft Purview, etykieta retencji Dokumentacja księgowa - 10 lat, zakres publikacji do witryn SharePoint klientów.
• Zrzut 4: Ustawienia biblioteki Umowy, sekcja Information Rights Management lub etykieta poufności dla dokumentów zawierających dane osobowe.
• Zrzut 5: Power Automate, przepływ pobierający plik XML z integracji KSeF i zapisujący go do biblioteki wraz z metadanymi.

Automatyczne archiwum KSeF w Power Automate

Ministerstwo Finansów wskazuje, że KSeF służy do wystawiania, odbierania i przechowywania faktur ustrukturyzowanych, a faktura w KSeF jest archiwizowana przez 10 lat. Biuro rachunkowe nadal powinno mieć własny porządek operacyjny: powiązać numer KSeF z klientem, statusem księgowania i paczką miesiąca. KSeF jest źródłem faktury, SharePoint jest roboczym archiwum procesu księgowego.

1. Trigger: cykliczny harmonogram co 2-4 godziny albo webhook z systemu finansowo-księgowego zintegrowanego z KSeF.
2. Akcja HTTP: pobranie metadanych faktury i pliku XML z warstwy integracyjnej KSeF. Nie przechowuj tokenów w treści przepływu; użyj Azure Key Vault lub bezpiecznego konektora.
3. Warunek: rozpoznanie NIP klienta i przypisanie do właściwej witryny SharePoint.
4. Utworzenie pliku: zapis XML w bibliotece Faktury KSeF input z nazwą: rok-miesiac-numerKSeF-nip.xml.
5. Aktualizacja właściwości pliku: NIP klienta, rok podatkowy, typ dokumentu, status KSeF = Pobrano, numer KSeF.
6. Powiadomienie księgowego: tylko przy statusie Błąd lub Do weryfikacji, aby nie produkować szumu w Teams i Outlook.

Jeśli biuro korzysta już z programu księgowego zintegrowanego z KSeF, SharePoint nie powinien dublować całej logiki. Wystarczy archiwizować kopie robocze, UPO, wyjątki i raporty miesięczne. Licencje Microsoft 365 dają wtedy wspólny standard pracy dokumentowej bez przepisywania ERP.

PowerShell: szybkie utworzenie bibliotek i kolumn

Dla 10-50 klientów ręczne klikanie konfiguracji jest źródłem błędów. Poniższy przykład pokazuje kierunek automatyzacji z PnP.PowerShell. Przed uruchomieniem dostosuj adres tenant, nazwy witryn i politykę uwierzytelniania.

Install-Module PnP.PowerShell -Scope CurrentUser

$siteUrl = "https://twojtenant.sharepoint.com/sites/BR-KL-ACME"
Connect-PnPOnline -Url $siteUrl -Interactive

$libraries = @(
  "Faktury KSeF input",
  "Output",
  "Korespondencja",
  "Umowy",
  "Raporty"
)

foreach ($library in $libraries) {
  New-PnPList -Title $library -Template DocumentLibrary -OnQuickLaunch:$true
  Set-PnPList -Identity $library -EnableVersioning $true -MajorVersions 100
}

Add-PnPField -List "Faktury KSeF input" -DisplayName "NIP klienta" -InternalName "NIPKlienta" -Type Text -AddToDefaultView
Add-PnPField -List "Faktury KSeF input" -DisplayName "Rok podatkowy" -InternalName "RokPodatkowy" -Type Number -AddToDefaultView
Add-PnPField -List "Faktury KSeF input" -DisplayName "Numer KSeF" -InternalName "NumerKSeF" -Type Text -AddToDefaultView
Add-PnPField -List "Faktury KSeF input" -DisplayName "Status KSeF" -InternalName "StatusKSeF" -Type Choice -Choices "Pobrano","Do weryfikacji","Zaksięgowano","Błąd","Korekta" -AddToDefaultView

Retencja, RODO i zasada najmniejszych uprawnień

Retencja SharePoint nie jest zwykłym kasowaniem po dacie. Microsoft wyjaśnia, że pliki objęte retencją mogą trafiać do ukrytej Preservation Hold Library, jeśli użytkownik je zmieni lub usunie. To ważne dla biura rachunkowego: użytkownik może uporządkować widok biblioteki, ale organizacja nadal zachowuje kopię wymaganą przez politykę zgodności.

W 2026 roku trzeba rozróżnić dwa poziomy. KSeF przechowuje e-faktury przez 10 lat, ale dokumentacja rachunkowa i podatkowa musi być traktowana zgodnie z ustawą o rachunkowości, Ordynacją podatkową, polityką rachunkowości klienta oraz zakresem przetwarzania przez biuro. Analizy podatkowe zwracają uwagę, że nowe przepisy o e-fakturach w KSeF wymagają przeglądu polityk archiwizacji i dostępu. Dlatego praktyczna rekomendacja brzmi: dla bibliotek KSeF ustaw 10 lat retencji, a dla pozostałych bibliotek przyjmij macierz retencji uzgodnioną z klientem i doradcą podatkowym.

• nadawaj dostęp przez grupy Entra ID, nie pojedynczym osobom;
• oddziel role: właściciel witryny, księgowy prowadzący, klient-gość, audytor tylko do odczytu;
• włącz MFA dla pracowników i gości;
• blokuj anonimowe linki i linki firmowe w bibliotekach z danymi klientów;
• przeglądaj uprawnienia co miesiąc, szczególnie po zmianie obsługi klienta.

Udostępnianie klientom bez chaosu

Najbezpieczniejszy model to portal klienta w jego własnej witrynie SharePoint: klient ma dostęp tylko do biblioteki Output i ewentualnie Korespondencja, a biblioteka Faktury KSeF input pozostaje dla biura. Microsoft podkreśla, że ustawienia udostępniania działają na poziomie organizacji i witryny, a ostatecznie obowiązuje wariant bardziej restrykcyjny. W praktyce oznacza to, że nawet jeśli tenant dopuszcza gości, konkretna witryna klienta może mieć ostrzejsze reguły.

Nie udostępniaj całej witryny, jeśli klient ma tylko pobrać raport miesięczny. Użyj grupy Klient - odczyt, biblioteki Output i linków do konkretnych osób. Przy zmianie osoby kontaktowej usuń konto gościa z Entra ID lub co najmniej z grupy danej witryny. To ogranicza ryzyko naruszenia poufności i pomaga wykazać rozliczalność RODO.

Backup: dlaczego retencja to nie kopia zapasowa

Retencja, kosz SharePoint i historia wersji nie są pełnym backupem. Chronią przed częścią pomyłek, ale nie zastąpią niezależnej kopii, szybkiego odtworzenia całej witryny klienta ani raportu z testu restore. Veeam Backup for Microsoft 365 jest popularnym wyborem, bo obejmuje SharePoint Online, OneDrive, Exchange i Teams oraz pozwala odtwarzać pojedyncze pliki, biblioteki lub witryny.

Dla biura rachunkowego sensowny standard to codzienny backup, przechowywanie kopii w oddzielnym repozytorium, kwartalny test odtworzenia losowej witryny klienta oraz procedura awaryjna: kto zatwierdza restore, gdzie trafiają odtworzone dane i jak dokumentuje się incydent. Bez testu odtworzenia backup jest tylko deklaracją.

Podsumowanie wdrożeniowe

Najlepszy model dla biura rachunkowego 10-50 klientów to hub biura plus osobna witryna na klienta, pięć stałych bibliotek, metadane KSeF, retencja oparta na Microsoft Purview, kontrolowane udostępnianie gościom i niezależny backup. Taki projekt nie jest przesadnie skomplikowany, ale wymaga dyscypliny: te same nazwy bibliotek, te same kolumny, automatyzacja tworzenia witryn i regularny przegląd uprawnień.