Créer un environnement de partage invité plus sécurisé
Dans cet article, nous allons parcourir différentes options pour créer un environnement de partage d’invités plus sécurisé dans Microsoft 365. Voici des exemples pour vous donner une idée des options disponibles. Vous pouvez utiliser ces procédures dans différentes combinaisons pour répondre aux besoins de sécurité et de conformité de votre organisation.
Cet article contient les rubriques suivantes :
- Configuration de l’authentification multifacteur pour les invités.
- Configuration des conditions d’utilisation pour les invités.
- Configuration des révisions trimestrielles d’accès invité pour vérifier régulièrement si les invités ont toujours besoin d’autorisations pour les équipes et les sites.
- Limitation de l’accès des invités au Web uniquement pour les appareils non gérés.
- Configuration d’une stratégie de délai d’expiration de session pour assurer l’authentification quotidienne des invités.
- Création d’un type d’informations sensibles pour un projet hautement sensible.
- Attribution automatique d’une étiquette de confidentialité aux documents contenant un type d’informations sensibles.
- Suppression automatique de l’accès invité aux fichiers avec une étiquette de confidentialité.
Certaines des options décrites dans cet article nécessitent que les invités disposent d’un compte dans Microsoft Entra ID. Pour vous assurer que les invités sont inclus dans le répertoire lorsque vous partagez des fichiers et des dossiers avec eux, utilisez l’intégration de SharePoint et OneDrive à Microsoft Entra B2B Preview.
Notez que nous ne parlons pas de l’activation des paramètres de partage d’invités dans cet article. Consultez la rubrique Collaborer avec des personnes extérieures à votre organisation pour plus d’informations sur l'activation du partage des invités pour différents scénarios.
Configurer l’authentification multifacteur pour les invités
L’authentification multifacteur réduit considérablement les risques de compromission d’un compte. Étant donné que les invités peuvent utiliser des comptes de messagerie personnels qui n’adhèrent à aucune stratégie de gouvernance ou bonnes pratiques, il est particulièrement important d’exiger l’authentification multifacteur pour les invités. En cas de vol du nom d'utilisateur et du mot de passe d’un invité, la nécessité d’un second facteur d'authentification réduit considérablement les chances de voir des inconnus accéder à vos sites et fichiers.
Dans cet exemple, nous avons configuré l’authentification multifacteur pour les invités à l’aide d’une stratégie d’accès conditionnel dans Microsoft Entra ID.
Pour configurer l’authentification multifacteur pour les invités
- Ouvrez le centre d’administration Microsoft Entra.
- Développez Protection, puis sélectionnez Accès conditionnel.
- Sur l’accès conditionnel | Page Vue d’ensemble , sélectionnez Créer une stratégie.
- Dans le champ Nom , tapez un nom.
- Sélectionnez le lien Utilisateurs .
- Choisissez Sélectionner des utilisateurs et des groupes, puis sélectionnez la zone Invités ou utilisateurs externes case activée.
- Dans la liste déroulante, sélectionnez Utilisateurs invités B2B Collaboration et Utilisateurs membres B2B Collaboration.
- Sélectionnez le lien Ressources cibles .
- Sélectionnez Toutes les applications cloud sous l’onglet Inclure .
- Sélectionnez le lien Accorder .
- Dans le panneau Accorder, sélectionnez la zone Exiger l’authentification multifacteur case activée, puis cliquez sur Sélectionner.
- Sous Activer la stratégie, sélectionnez Activé, puis sélectionnez Créer.
Désormais, les invités doivent s’inscrire à l’authentification multifacteur avant de pouvoir accéder au contenu partagé, aux sites ou aux équipes.
Informations supplémentaires
Planifier un déploiement d’authentification multifacteur Microsoft Entra
Configurer les conditions d’utilisation pour les invités
Dans certains cas, les invités peuvent ne pas avoir signé d’accords de non-divulgation ou d’autres accords juridiques avec votre organization. Vous pouvez demander aux invités d’accepter les conditions d’utilisation avant d’accéder aux fichiers partagés avec eux. Les conditions d’utilisation peuvent s’afficher lors de la première tentative d’accès à un fichier ou à un site partagé.
Pour créer des conditions d’utilisation, vous devez commencer par créer le document dans Word ou dans un autre logiciel de création, puis l’enregistrer sous forme de fichier .pdf. Ce fichier peut ensuite être chargé dans Microsoft Entra’ID.
Pour créer une Microsoft Entra conditions d’utilisation
Ouvrez le centre d’administration Microsoft Entra.
Développez Protection, puis sélectionnez Accès conditionnel.
Sélectionnez Conditions d’utilisation.
Sélectionnez Nouveaux termes.
Tapez un Nom.
Pour le document Conditions d'utilisation, accédez au fichier PDF que vous avez créé et sélectionnez-le.
Sélectionnez la langue de votre document Conditions d’utilisation.
Tapez un nom d’affichage.
Validez l'option Demander aux utilisateurs d'étendre les conditions d'utilisation en la définissant sur ACTIVÉ.
Sous Accès conditionnel, dans la liste Appliquer le modèle de stratégie sur l'accès conditionnel, choisissez Créer une stratégie d'accès conditionnel ultérieurement.
Sélectionnez Créer.
Une fois que vous avez créé les conditions d’utilisation, l’étape suivante consiste à créer une stratégie d’accès conditionnel qui affiche les conditions d’utilisation sur les systèmes des utilisateurs invités.
Pour créer une stratégie d’accès conditionnel, procédez comme suit :
- Dans le centre d’administration Microsoft Entra, sous Protection, sélectionnez Accès conditionnel.
- Sur l’accès conditionnel | Page Vue d’ensemble , sélectionnez Créer une stratégie.
- Dans le champ Nom, tapez un nom.
- Sélectionnez le lien Utilisateurs .
- Sélectionnez Sélectionner des utilisateurs et des groupes, puis sélectionnez la zone Invités ou utilisateurs externes case activée.
- Dans la liste déroulante, sélectionnez Utilisateurs invités B2B Collaboration et Utilisateurs membres B2B Collaboration.
- Sélectionnez le lien Ressources cibles .
- Sous l’onglet Inclure , sélectionnez Sélectionner des applications, puis cliquez sur le lien Sélectionner .
- Dans le panneau Sélectionner, sélectionnez Office 365, puis cliquez sur Sélectionner.
- Sélectionnez le lien Accorder .
- Dans le panneau Accorder, sélectionnez la zone case activée des conditions d’utilisation que vous avez créées, puis cliquez sur Sélectionner.
- Sous Activer la stratégie, sélectionnez Activé, puis sélectionnez Créer.
Maintenant, la première fois qu’un invité tente d’accéder au contenu ou à une équipe ou à un site dans votre organization, il doit accepter les conditions d’utilisation.
Informations supplémentaires
Microsoft Entra conditions d’utilisation
Vue d’ensemble de la signature électronique Microsoft SharePoint
Configurer les révisions d’accès invité
Avec les révisions d’accès dans Microsoft Entra ID, vous pouvez automatiser une révision périodique de l’accès utilisateur à différentes équipes et groupes. En exigeant une révision d’accès pour les invités en particulier, vous pouvez vous assurer que les invités ne conservent pas l’accès aux informations sensibles de votre organization plus longtemps que nécessaire.
Configurer une révision d’accès des invités
Ouvrez le centre d’administration Microsoft Entra.
Développez Gouvernance des identités, puis sélectionnez Révisions d’accès.
Sélectionnez Nouvelle révision d’accès.
Sélectionnez l’option Équipes + groupes.
Sélectionnez l'option Tous les groupes Microsoft 365 avec des utilisateurs invités. Cliquez sur Sélectionner les groupes à exclure si vous voulez exclure des groupes.
Choisissez l’option Utilisateurs invités uniquement , puis sélectionnez Suivant : Avis.
Sous Sélectionner les réviseurs, sélectionnez Propriétaires du groupe.
Cliquez sur Sélectionner les réviseurs de secours, choisissez les réviseurs, puis cliquez sur Sélectionner.
Choisissez une durée (en jours) pour que la révision soit ouverte pour les commentaires.
Sous Spécifier la périodicité de l'évaluation, choisissez Trimestriel.
Sélectionnez une date de début et une durée.
Pour Fin, choisissez Jamais, puis sélectionnez Suivant : Paramètres.
Sous l’onglet Paramètres, examinez les paramètres de conformité aux règles de votre entreprise.
Sélectionnez Suivant : Vérifier + créer.
Tapez un nom de révision, puis examinez les paramètres.
Sélectionnez Créer.
Informations supplémentaires
Gérer l’accès invité avec les révisions d’accès
Créer une révision d’accès des groupes et des applications dans Microsoft Entra ID
Configurer l’accès web uniquement pour les invités avec des appareils non gérés
Si vos invités utilisent des appareils qui ne sont pas gérés par votre organization ou un autre organization avec lequel vous avez une relation d’approbation, vous pouvez leur demander d’accéder à vos équipes, sites et fichiers à l’aide d’un navigateur web uniquement. Cela réduit le risque qu'ils téléchargent des fichiers sensibles et les laissent sur un appareil non géré. Cela est également utile en cas de partage avec des environnements qui utilisent des appareils partagés.
Pour Groupes Microsoft 365 et Teams, cela s’effectue avec une stratégie d’accès conditionnel Microsoft Entra. Pour SharePoint, celui-ci est configuré dans le centre d’administration SharePoint. (Vous pouvez également utiliser des étiquettes de confidentialité pour restreindre l’accès web uniquement aux invités.)
Pour restreindre l'accès des invités au web uniquement pour les groupes et Microsoft Teams :
Ouvrez le centre d’administration Microsoft Entra.
Développez Protection, puis sélectionnez Accès conditionnel.
Sur l’accès conditionnel | Page Vue d’ensemble , sélectionnez Créer une stratégie.
Dans le champ Nom, tapez un nom.
Sélectionnez le lien Utilisateurs .
Sélectionnez Sélectionner des utilisateurs et des groupes, puis sélectionnez la zone Invités ou utilisateurs externes case activée.
Dans la liste déroulante, sélectionnez Utilisateurs invités B2B Collaboration et Utilisateurs membres B2B Collaboration.
Sélectionnez le lien Ressources cibles .
Sous l’onglet Inclure , sélectionnez Sélectionner des applications, puis cliquez sur le lien Sélectionner .
Dans le panneau Sélectionner, sélectionnez Office 365, puis cliquez sur Sélectionner.
Sélectionnez le lien Conditions .
Dans le panneau Conditions , sélectionnez le lien Applications clientes .
Dans le panneau Applications clientes, sélectionnez Oui pour Configurer, puis sélectionnez les paramètres Applications mobiles et clients de bureau, Exchange ActiveSync clients et Autres clients. Désactivez la case à cocher Navigateur.
Sélectionnez Terminé.
Sélectionnez le lien Accorder .
Dans le panneau Accorder, sélectionnez Exiger que l’appareil soit marqué comme conforme et Exiger Microsoft Entra appareil joint hybride.
Sous Pour plusieurs contrôles, sélectionnez Exige l’un des contrôles sélectionnés, puis cliquez sur Sélectionner.
Sous Activer la stratégie, sélectionnez Activé, puis sélectionnez Créer.
Informations supplémentaires
Contrôles d’accès aux appareils non gérés SharePoint et OneDrive
Configurer une stratégie de délai d’expiration de session pour les invités
Exiger des invités qu’ils s’authentifient régulièrement peut réduire le risque que des utilisateurs inconnus accèdent au contenu de votre organisation si l'appareil d'un invité n'est pas sécurisé. Vous pouvez configurer une stratégie d’accès conditionnel de délai d’expiration de session pour les invités dans Microsoft Entra ID.
Pour configurer une stratégie de délai d’expiration de session d’invité, procédez comme suit :
- Ouvrez le centre d’administration Microsoft Entra.
- Développez Protection, puis sélectionnez Accès conditionnel.
- Sur l’accès conditionnel | Page Vue d’ensemble , sélectionnez Créer une stratégie.
- Dans le champ Nom , tapez un nom.
- Sélectionnez le lien Utilisateurs .
- Sélectionnez Sélectionner des utilisateurs et des groupes, puis sélectionnez la zone Invités ou utilisateurs externes case activée.
- Dans la liste déroulante, sélectionnez Utilisateurs invités B2B Collaboration et Utilisateurs membres B2B Collaboration.
- Sélectionnez le lien Ressources cibles .
- Sous l’onglet Inclure , sélectionnez Sélectionner des applications, puis cliquez sur le lien Sélectionner .
- Dans le panneau Sélectionner, sélectionnez Office 365, puis cliquez sur Sélectionner.
- Sélectionnez le lien Session .
- Dans le panneau Session, sélectionnez Fréquence de connexion.
- Choisissez 1 et Jours pour la période, puis cliquez sur Sélectionner.
- Sous Activer la stratégie, sélectionnez Activé, puis sélectionnez Créer.
Créer un type d’informations sensibles pour un projet hautement sensible
Les types d’informations sensibles sont des chaînes prédéfinies qui peuvent être utilisées dans les flux de travail de stratégie afin d’appliquer les exigences de conformité. Le portail de conformité Microsoft Purview inclut plus d’une centaine de types d’informations sensibles, notamment les numéros de permis de conduire, les numéros de carte de crédit, les numéros de compte bancaire, etc.
Vous pouvez créer des types d'informations sensibles personnalisés pour vous aider à gérer le contenu propre à votre organisation. Dans cet exemple, nous créons un type d’informations sensibles personnalisé pour un projet hautement sensible. Vous pouvez ensuite utiliser ce type d’informations sensibles pour appliquer automatiquement une étiquette de confidentialité.
Pour créer un type d’informations sensibles personnalisé, procédez comme suit :
- Dans le portail de conformité Microsoft Purview, dans le volet de navigation de gauche, développez Classification des données, puis sélectionnez Classifieurs.
- sélectionnez l’onglet Types d’informations sensibles .
- Sélectionnez Créer un type d’informations sensibles.
- Pour Nom et Description, tapez Projet Saturne, puis sélectionnez Suivant.
- Sélectionnez Créer un modèle.
- Dans le panneau Nouveau modèle , sélectionnez Ajouter un élément principal, puis sélectionnez Liste de mots clés.
- Tapez un ID tel que Project Saturn.
- Dans la zone non sensible à la casse, tapez Projet Saturne, Saturne, puis sélectionnez Terminé.
- Sélectionnez Créer, puis Suivant.
- Choisissez un niveau de confiance, puis sélectionnez Suivant.
- Sélectionnez Créer.
- Sélectionnez Terminé.
Pour plus d’informations, consultez En savoir plus sur les types d’informations sensibles.
Créer une stratégie d’attribution automatique d’étiquette pour affecter une étiquette de confidentialité sur la base d’un type d’informations sensibles
Si vous utilisez des étiquettes de confidentialité dans votre organization, vous pouvez appliquer automatiquement une étiquette aux fichiers qui contiennent des types d’informations sensibles définis.
Pour créer une stratégie d’étiquetage automatique :
- Ouvrez le Centre d’administration Microsoft Purview.
- Dans le volet de navigation de gauche, développez Protection des informations, puis sélectionnez Étiquetage automatique.
- Sélectionnez Créer une stratégie d’étiquetage automatique.
- Dans la page Choisir les informations à appliquer à cette étiquette , choisissez Personnalisé , puis sélectionnez Stratégie personnalisée.
- Sélectionnez Suivant.
- Tapez un nom et une description pour la stratégie, puis sélectionnez Suivant.
- Dans la page Affecter des unités d’administration , sélectionnez Suivant.
- Dans la page Choisir les emplacements où vous souhaitez appliquer l’étiquette , sélectionnez Sites SharePoint et éventuellement Modifier pour choisir les sites.
- Sélectionnez Suivant.
- Dans la page Configurer des règles communes ou avancées , choisissez Règles communes , puis sélectionnez Suivant.
- Dans la page Définir des règles pour le contenu dans tous les emplacements , sélectionnez Nouvelle règle.
- Dans la page Nouvelle règle , donnez un nom à la règle, sélectionnez Ajouter une condition, puis sélectionnez Contenu contient.
- Sélectionnez Ajouter, Types d’informations sensibles, choisissez les types d’informations sensibles que vous souhaitez utiliser, sélectionnez Ajouter, puis Enregistrer.
- Sélectionnez Suivant.
- Sélectionnez Choisir une étiquette, sélectionnez l’étiquette que vous souhaitez utiliser, puis sélectionnez Ajouter.
- Sélectionnez Suivant.
- Laissez la stratégie en mode simulation et choisissez si vous souhaitez qu’elle s’active automatiquement.
- Sélectionnez Suivant.
- Sélectionnez Créer une stratégie, puis Terminé.
Une fois la stratégie en place, lorsqu’un utilisateur tape « Projet Saturne » dans un document, la stratégie d’étiquetage automatique applique automatiquement l’étiquette spécifiée lors de l’analyse du fichier.
Pour plus d’informations sur l’étiquetage automatique, consultez Appliquer automatiquement une étiquette de confidentialité au contenu.
Informations supplémentaires
Configurer une étiquette de confidentialité par défaut pour une bibliothèque de documents SharePoint
Créer une stratégie DLP pour supprimer l’accès invité aux fichiers hautement sensibles
Vous pouvez utiliser la Protection contre la perte de données (DLP) Microsoft Purview pour empêcher le partage indésirable de contenus sensibles par les invités. La protection contre la perte de données peut prendre des mesures basées sur l’étiquette de confidentialité d’un fichier et supprimer l’accès invité.
Création d’une stratégie DLP
Ouvrez le Centre d’administration Microsoft Purview.
Dans le volet de navigation de gauche, développez Protection contre la perte de données, puis sélectionnez Stratégies.
Sélectionnez Créer.
Choisissez Personnalisé , puis Stratégie personnalisée.
Sélectionnez Suivant.
Tapez un nom pour la stratégie, puis sélectionnez Suivant.
Dans la page Affecter des unités d’administration , sélectionnez Suivant.
Dans la page Emplacements pour appliquer la stratégie, désactivez tous les paramètres à l’exception des sites SharePoint et des comptes OneDrive, puis sélectionnez Suivant.
Dans la page Définir les paramètres de stratégie , sélectionnez Suivant.
Dans la page Personnaliser les règles DLP avancées , sélectionnez Créer une règle et tapez un nom pour la règle.
Sous Conditions, sélectionnez Ajouter une condition, puis choisissez Contenu partagé à partir de Microsoft 365.
Dans la liste déroulante, choisissez avec des personnes extérieures à mon organization.
Sous Conditions, sélectionnez Ajouter une condition, puis choisissez Contenu contient.
Sélectionnez Ajouter, Étiquettes de confidentialité, choisissez les étiquettes que vous souhaitez utiliser, puis sélectionnez Ajouter.
Sous Actions , sélectionnez Ajouter une action et choisissez Restreindre l’accès ou chiffrer le contenu dans les emplacements Microsoft 365.
Choisissez l’option Bloquer uniquement les personnes extérieures à votre organization.
Activez les notifications utilisateur, puis sélectionnez la zone Notifier les utilisateurs dans Office 365 service à l’aide d’un conseil de stratégie case activée.
Sélectionnez Enregistrer , puis Suivant.
Choisissez vos options de test, puis sélectionnez Suivant.
Sélectionnez Envoyer, puis Terminé.
Il est important de noter que cette stratégie ne supprime pas l’accès si l’invité est membre du site ou de l’équipe. Si vous envisagez d’avoir des documents hautement sensibles dans un site ou une équipe avec des membres invités, envisagez les options suivantes :
- Utilisez des canaux privés et autorisez uniquement les membres de votre organization dans les canaux privés.
- Utilisez lescanaux partagés pour collaborer avec des personnes extérieures à votre organisation tout en ayant uniquement des personnes de votre organisation dans l’équipe elle-même.
Options supplémentaires
Il existe des options supplémentaires dans Microsoft 365 et l’ID Microsoft Entra qui peuvent vous aider à sécuriser votre environnement de partage d’invités.
- Vous pouvez créer une liste de domaines de partage autorisés ou refusés pour limiter les personnes avec lesquelles les utilisateurs peuvent effectuer des partages. Pour plus d’informations, consultez Restreindre le partage de contenu SharePoint et OneDrive par domaine et Autoriser ou bloquer des invitations à des utilisateurs B2B d’organisations spécifiques.
- Vous pouvez limiter les autres locataires Microsoft Entra auxquels vos utilisateurs peuvent se connecter. Pour plus d’informations, consultez Restreindre l’accès à un locataire .
- Vous pouvez créer un environnement géré dans lequel vos partenaires peuvent vous aider à gérer des comptes d'invités. Pour plus d’informations, voir Créer un extranet B2B avec des invités gérés.
Articles connexes
Limiter l’exposition accidentelle aux fichiers lors du partage avec des invités