Blog

Microsoft 365 – Utilisateurs invités et accès externe – Le guide complet

david

Avec sa suite de productivité Microsoft 365 (anciennement Office 365), Microsoft cherche à faire tomber les cloisonnements traditionnels qui entravent le partage de contenus et la collaboration en entreprise. Les capacités étroitement corrélées de SharePoint Online et de OneDrive Entreprise permettent aux utilisateurs de collaborer avec un grand nombre de collègues, à l’intérieur comme à l’extérieur de leur organisation.

Hormis ses avantages, le partage de fichiers présente de nombreux risques. Et si vos fichiers étaient partagés par inadvertance ou de manière intentionnelle avec des utilisateurs indésirables ? Et si des utilisateurs géraient mal des informations sensibles ? Comment garder la maîtrise de vos utilisateurs invités ?

Pour limiter les problèmes de sécurité liés au partage, il est important de comprendre comment configurer les deux mécanismes de partage de Microsoft 365 :

  • Accès invité: Partage de contenus avec des membres invités dans les groupes Microsoft 365 ou Microsoft Teams
  • Partage externe: Partage avec des tiers de liens vers des ressources spécifiques sur SharePoint et OneDrive

Cet article explique comment gérer les utilisateurs invités et les accès externes dans Microsoft 365 pour assurer la continuité opérationnelle sans compromettre la sécurité de vos données critiques.

Accès invité dans Microsoft 365

De manière générale, les groupes Microsoft 365 sont des objets dans Azure Active Directory (Azure AD). Chaque objet groupe d’Azure AD contient des informations d’identification uniques telles que :

  • Informations concernant le propriétaire du groupe
  • URL des ressources associées
  • Liste des membres du groupe, y compris les éventuels comptes d’invité

Comment activer ou restreindre la fonction Accès invité ?

Par défaut, la fonction Accès invité est activée pour les clients Microsoft 365, ce qui signifie que le propriétaire d’un groupe Microsoft 365 peut inviter toute personne disposant d’un compte e-mail professionnel ou personnel à devenir membre invité du groupe.

En tant qu’administrateur Microsoft 365, vous pouvez définir le niveau d’accès externe pour le client dans la page Groupes Microsoft 365 du centre d’administration Microsoft 365. Dans la rubrique Services et compléments, vous pouvez désactiver totalement l’accès invité ou autoriser les propriétaires de groupe à inviter des utilisateurs.

Vous pouvez aussi utiliser PowerShell pour limiter la politique d’accès invité. Vous pouvez notamment :

  • Empêcher des utilisateurs invités d’accéder à un groupe spécifique.
  • Bloquer des invités externes issus d’un domaine spécifique.

Comment ajouter un utilisateur invité à un groupe ?

Tout membre d’un groupe peut proposer un accès invité pour un utilisateur externe d’un groupe Office 365, mais seul le propriétaire du groupe peut accorder cet accès invité. Le processus d’ajout d’un utilisateur invité à un groupe se déroule comme suit :

  1. Le propriétaire ou un membre du groupe utilise la commande Groupes > Ajouter des membres pour proposer que l’utilisateur externe devienne membre, en entrant l’adresse e-mail de ce dernier.
  2. Le propriétaire du groupe consulte les autorisations d’accès que l’invité recevrait en rejoignant le groupe, puis approuve l’ajout.
  3. L’invité reçoit un e-mail de bienvenue et peut commencer à participer aux activités du groupe.

Quel est le niveau d’accès d’un utilisateur invité ?

Les membres invités d’un groupe Microsoft 365 :

  • Ne disposent d’accès direct pour aucun site du groupe, par exemple un site d’équipe de SharePoint
  • Peuvent participer aux activités du groupe par le biais de conversations et d’invitations à un calendrier de groupe envoyées à leur adresse e-mail
  • Peuvent accéder aux fichiers partagés inclus dans des e-mails, par exemple des pièces jointes ou des liens, à condition que l’administrateur ait accordé les autorisations de partage de fichiers nécessaires

Partage externe dans Microsoft 365 : SharePoint Online

Il est possible de gérer les capacités de partage externe de SharePoint Online à deux niveaux :

  • Pour l’ensemble du client Microsoft 365, via le centre d’administration SharePoint, le centre d’administration Microsoft 365 ou Azure AD
  • Au niveau site

Comment gérer le partage au niveau client ?

Utilisation du centre d’administration SharePoint

Les paramètres de partage externe pour l’ensemble du client peuvent être configurés sur la page Partage du centre d’administration SharePoint. La section Partage externe de cette page propose des options permettant de contrôler le niveau de partage pour l’ensemble du client dans SharePoint :

  • Seules les personnes de votre organisation peuvent : Désactiver le partage externe et limiter le partage aux seuls utilisateurs internes. Il s’agit du paramètre par défaut dans SharePoint pour les sites de communication et les sites classiques. Les bonnes pratiques de sécurité recommandent de désactiver le partage externe pour l’ensemble du client en sélectionnant cette option.
  • Les invités existants peuvent : Autoriser le partage avec des utilisateurs externes qui ont déjà été ajoutés à votre Azure AD. Des invités existants peuvent avoir précédemment rejoint votre Azure AD en ayant accepté une invitation de partage ou en ayant été ajoutés comme utilisateurs invités par un administrateur dans le portail Azure. Cette option requiert de la part des invités qu’ils s’authentifient dans Microsoft 365 à l’aide d’identifiants valides avant de pouvoir accéder aux ressources partagées.
  • Les invités nouveaux et existants peuvent : Accorder aux propriétaires et aux utilisateurs de sites une autorisation de contrôle total pour le partage de sites avec des utilisateurs externes. Les utilisateurs de sites peuvent également partager des fichiers et des dossiers afin de collaborer avec des utilisateurs externes.
  • Tout le monde peut : Autoriser tout utilisateur disposant d’un lien vers la ressource à accéder à celle-ci et à transmettre le lien à d’autres personnes. Cette option est sélectionnée par défaut, mais nous vous recommandons de régler le paramètre de partage externe sur Uniquement les membres de votre organisation. Veillez à ne pas laisser l’option Tout le monde sélectionnée, car des utilisateurs anonymes et non authentifiés pourraient partager des données de manière incontrôlée, ce qui constitue un risque pour vos données sensibles.

Si vous choisissez d’autoriser le partage avec Tout le monde, vous pouvez améliorer la gestion et la sécurité des documents en adoptant la configuration suivante :

  • Configurez les liens Tout le monde de manière à ce qu’ils expirent après un certain temps.
  • Restreignez les liens invités de manière à n’autoriser qu’un accès en lecture aux fichiers et aux dossiers.
  • Restreignez les liens par défaut de manière à ce qu’ils soient accessibles Uniquement (aux) membres de votre organisation.
  • Activez la fonction ATP de sécurisation des pièces jointes.
  • Restreignez le partage externe pour les utilisateurs issus de domaines bloqués.

 

Utilisation du centre d’administration Microsoft 365

Vous pouvez également configurer le partage au niveau client pour SharePoint depuis le centre d’administration Microsoft 365 en sélectionnant Paramètres > Services et compléments > Sites. Cette page vous permet de paramétrer les mêmes options de partage externe que le centre d’administration SharePoint.

Utilisation d’Azure AD

Pour un contrôle optimal des accès externes à SharePoint, configurez les paramètres de partage dans Azure AD. Vous pouvez configurer le partage dans Azure AD de deux manières :

  • Faites en sorte que SharePoint utilise sa propre liste de partage externe, indépendante d’Azure B2B, et configurez les paramètres de relations organisationnelles dans Azure AD. Connectez-vous au portail Azure et sélectionnez Azure Active Directory > Vue d’ensemble > Relations organisationnelles. Dans la page Paramètres, définissez les paramètres de partage externe de SharePoint Online que vous souhaitez pour votre organisation.
  • Faites en sorte que SharePoint utilise les paramètres de partage externe définis dans Azure B2B et configurez la collaboration B2B dans Azure AD.

Astuce : Les paramètres de partage configurés dans Azure AD supplantent les paramètres de partage configurés dans le centre d’administration Microsoft 365 ou le centre d’administration SharePoint. Par exemple, si vous autorisez le partage externe via le centre d’administration Microsoft 365, mais que vous désactivez le partage externe via Azure AD, le paramètre Azure AD prime et le partage externe sera désactivé pour votre organisation.

Comment gérer l’accès des utilisateurs externes au niveau site dans SharePoint Online ?

En plus de configurer les politiques de partage au niveau client, vous pouvez restreindre davantage le partage externe pour un site SharePoint spécifique. Il vous faut pour cela disposer de privilèges d’administrateur global ou d’administrateur SharePoint. Les propriétaires de sites ne peuvent pas modifier le paramètre de partage externe des sites.

Comment modifier le paramètre de partage externe d’un site ?

  1. Dans le centre d’administration SharePoint, allez à Sites > Sites actifs.
  2. Cochez la case située à côté du nom du site désiré.
  3. Cliquez sur l’icône « i » en haut à droite de la page.
  4. Sélectionnez le niveau de partage désiré dans la liste d’options de partage. Ces quatre options de partage sont les mêmes que pour la configuration au niveau client.

Astuce : Le paramètre de partage externe pour un site spécifique doit être identique ou plus restrictif que le paramètre de niveau client. Par exemple, si le partage au niveau client est limité aux Invités existants, le paramètre de partage pour un site spécifique peut être changé en Uniquement les membres de votre organisation, mais il ne peut pas être changé en une option plus permissive telle que Tout le monde.

Il arrive fréquemment qu’un administrateur global ou SharePoint doive empêcher les utilisateurs externes d’un certain domaine réseau d’accéder à un site spécifique. Par exemple, les utilisateurs du domaine Client A ne doivent pas pouvoir accéder à un site spécialement conçu pour le partage collaboratif avec Client B.

Comment restreindre l’accès à un site en fonction du domaine de l’utilisateur ?

  1. Dans le centre d’administration SharePoint, allez à Sites > Sites actifs.
  2. Cochez la case située à côté du nom du site désiré.
  3. Allez à l’onglet Stratégies.
  4. Sous Partage externe, cliquez sur Modifier.
  5. Sous Paramètres avancés pour le partage externe, cochez la case située à côté de Limiter le partage externe par domaine.
  6. Cliquez sur Ajouter des domaines.
  7. Sélectionnez Autoriser uniquement des domaines spécifiques.
  8. Saisissez le nom de domaine complet (FQDN) de chaque domaine que vous souhaitez ajouter à votre liste de domaines autorisés. Seuls les utilisateurs des domaines figurant dans cette liste pourront recevoir des invitations à visiter le site.

Partage externe dans OneDrive Entreprise

OneDrive Entreprise est un dépôt personnel qui permet de stocker et de synchroniser des fichiers sur plusieurs appareils. En ce sens, OneDrive fonctionne comme un répertoire de base ou un lecteur mappé personnel. Il permet aux utilisateurs d’enregistrer des fichiers dans le Cloud et de les récupérer sur n’importe quel appareil.

De nombreux utilisateurs se servent également de OneDrive pour partager des documents avec d’autres utilisateurs, bien que OneDrive n’ait pas été conçu à cette fin. En tant qu’administrateur, vous pouvez choisir le niveau d’accès des utilisateurs externes aux fichiers OneDrive de votre organisation.

Comment gérer le partage au niveau client dans OneDrive ?

Les paramètres de partage au niveau client s’appliquent à toutes les instances de OneDrive pour les utilisateurs de votre compte Microsoft 365. Deux portails vous permettent de configurer ces paramètres de partage pour OneDrive :

  • La page Partage du centre d’administration SharePoint (Microsoft recommande d’utiliser cette page pour configurer vos paramètres de partage OneDrive)
  • La page Partage du centre d’administration OneDrive

Comment configurer le partage OneDrive via le centre d’administration SharePoint ?

Suivez les instructions et les directives exposées précédemment dans la section « Comment gérer le partage au niveau client via le centre d’administration SharePoint ». OneDrive offre les quatre mêmes options de partage que SharePoint.

Astuce : Le niveau de partage dans OneDrive doit être identique ou plus restrictif que le niveau de partage dans SharePoint. Si, par exemple, le partage au niveau client est réglé dans SharePoint sur Invités existants, vous ne pouvez configurer OneDrive que pour utiliser le même paramètre ou le paramètre plus restrictif Uniquement les membres de votre organisation.

Comment configurer le partage OneDrive via le centre d’administration OneDrive ?

  1. Connectez-vous au centre d’administration OneDrive.
  2. Accédez à la section Partage.

Ici, vous pouvez définir le niveau de partage externe pour OneDrive et configurer des contrôles de partage plus précis tels que :

  • Le type de lien généré par défaut lorsqu’un utilisateur partage un fichier
  • Le délai d’expiration des liens
  • L’autorisation ou l’interdiction des privilèges de modification et de téléchargement pour les liens qui partagent des fichiers ou des dossiers OneDrive en externe
  • Des domaines spécifiques pour autoriser ou empêcher les utilisateurs de recevoir des invitations de partage
  • La nécessité (ou non) pour les utilisateurs externes d’utiliser le même compte pour recevoir et accepter des invitations de partage
  • La possibilité (ou non) pour les utilisateurs externes de partager des contenus qui ne leur appartiennent pas
  • La possibilité (ou non) pour les propriétaires de contenu de vérifier la liste des utilisateurs qui ont consulté leurs contenus

Comment gérer le partage externe dans un OneDrive individuel ?

Pour personnaliser le niveau de partage du OneDrive d’un utilisateur spécifique, utilisez le centre d’administration Microsoft 365 :

  1. Connectez-vous au centre d’administration Microsoft 365 avec des privilèges d’administrateur global ou d’administrateur SharePoint.
  2. Allez à Utilisateurs > Utilisateurs actifs.
  3. Sélectionnez l’utilisateur OneDrive dont vous souhaitez modifier le niveau de partage.
  4. Allez à l’onglet OneDrive.
  5. Sélectionnez Gérer le partage dans la section Partage.
  6. Configurez le niveau de partage externe et enregistrez vos modifications.

Astuce : Le niveau de partage pour un OneDrive individuel doit être identique ou plus restrictif que le niveau de partage configuré pour l’ensemble du client OneDrive.

Comment réduire le risque de partage externe non autorisé de données critiques ?

Le fait de classer vos données vous permettra de savoir où se trouvent vos données critiques, et notamment si un site SharePoint Online particulier, une collection de sites ou un dossier OneDrive Entreprise partagé avec des utilisateurs externes contient des données sensibles. Grâce à ces renseignements, vous pourrez mettre en place un partage externe en fonction de la sensibilité et de la valeur des données qui y sont stockées.

Pour une découverte et une classification complètes et précises de vos données, choisissez une solution avancée comme Netwrix Data Classification. Ses fonctionnalités de marquage automatisé très précis des données vous permettent de choisir les paramètres de partage appropriés. Les utilisateurs pourront alors trouver facilement les données dont ils ont besoin. Ce marquage améliore également l’efficacité de la prévention des pertes de données (DLP), de la gestion des droits d’accès à l’information, de la gestion des documents d’entreprise et des autres solutions de gouvernance des données que votre organisation utilise déjà ou prévoit d’adopter. Vous pouvez également créer des workflows qui déplacent automatiquement les données surexposées des dépôts SharePoint Online et OneDrive Entreprise vers une zone de quarantaine désignée.

FAQ

Qui sont les utilisateurs invités dans Microsoft 365 ?

Un invité est un utilisateur externe qui a été autorisé par le propriétaire d’un groupe Microsoft 365 à participer à des conversations de groupe, des invitations de calendriers, des partages de fichiers et des activités de bloc-note. Les utilisateurs invités de Microsoft 365 sont les mêmes que les utilisateurs invités d’Office 365.

Qu’est-ce que le partage externe dans Microsoft 365 ?

Le partage externe fait référence à la capacité des utilisateurs de SharePoint Online et OneDrive de partager avec des utilisateurs externes des liens permettant d’accéder à des fichiers et des dossiers. Les propriétaires de sites SharePoint peuvent aussi partager l’accès aux sites avec des utilisateurs externes.

Comment obtenir une liste des utilisateurs invités dans mon client Microsoft 365 ?

Vous pouvez, au choix :

  • Consulter la page Invités du centre d’administration Microsoft 365.
  • Utiliser PowerShell pour Azure AD et lancer un script qui fait systématiquement appel au cmdlet Get-AzureADuser et génère la liste des utilisateurs invités dans un fichier CSV.

 

Comment savoir quels utilisateurs externes ont accès à SharePoint Online ?

Téléchargez SharePoint Search Query Tool et suivez le processus décrit dans cet article de support Microsoft pour obtenir une liste de toutes les ressources auxquelles les utilisateurs externes ont accès.

Est-il possible de limiter le partage externe de fichiers dans Microsoft 365 ?

Oui, vous pouvez désactiver complètement le partage externe pour votre organisation. Il est également possible de limiter le partage externe. Vous pouvez, par exemple :

  • Ne partager qu’avec les invités d’Azure AD qui fournissent des identifiants valides
  • Configurer les liens de partage de fichiers avec des autorisations de lecture seule
  • Empêcher les utilisateurs de domaines réseau spécifiques de recevoir des invitations de partage

 

Comment gérer le partage externe dans Microsoft 365 ?

En tant qu’administrateur global ou administrateur SharePoint, vous pouvez gérer le partage externe à l’aide de PowerShell ou depuis l’un des portails suivants :

  • Centre d’administration SharePoint
  • Centre d’administration Microsoft 365
  • Centre d’administration OneDrive
  • Portail Azure

Gardez la maîtrise de ce qui se passe dans votre environnement Office 365

Opération IT – Blog de Netwrix

chevron_left
chevron_right