Sécuriser l’accès externe à Microsoft Teams, SharePoint et OneDrive avec l’ID Microsoft Entra

Utilisez cet article pour déterminer et configurer la collaboration externe de votre organisation à l’aide de Microsoft Teams, OneDrive Entreprise et SharePoint. Un défi courant consiste à équilibrer la sécurité et la facilité de collaboration pour les utilisateurs finaux et les utilisateurs externes. Si une méthode de collaboration approuvée est perçue comme restrictive et difficile, les utilisateurs finaux évitent la méthode approuvée. Les utilisateurs finaux peuvent envoyer du contenu non sécurisé ou configurer des processus externes et des applications, tels qu’un Dropbox personnel ou OneDrive.

Avant de commencer

Cet article est le numéro 9 dans une série de 10 articles. Nous vous recommandons de consulter les articles dans l’ordre. Accédez à la section Étapes suivantes pour voir la série entière.

Paramètres des identités externes et Microsoft Entra ID

Le partage dans Microsoft 365 est partiellement régi par les identités externes, les paramètres de collaboration externe dans Microsoft Entra ID. Si le partage externe est désactivé ou restreint dans l’ID Microsoft Entra, il remplace les paramètres de partage configurés dans Microsoft 365. Une exception est si l’intégration de Microsoft Entra B2B n’est pas activée. Vous pouvez configurer SharePoint et OneDrive pour prendre en charge le partage ad hoc via un mot de passe à usage unique (OTP). La capture d’écran suivante montre la boîte de dialogue Identités externes, paramètres de collaboration externe.

Pour en savoir plus:

• Centre d'administration Microsoft Entra
• Identités externes dans Microsoft Entra ID

Accès utilisateur invité

Les utilisateurs invités sont invités à avoir accès aux ressources.

1. Connectez-vous au centre d’administration Microsoft Entra.
2. Accédez à Entra ID>Identités externes>paramètres de collaboration externe.
3. Recherchez les options d’accès utilisateur invité .
4. Pour empêcher l’accès de l’utilisateur invité à d’autres détails de l’utilisateur invité et pour empêcher l’énumération de l’appartenance au groupe, sélectionnez Utilisateurs invités ayant un accès limité aux propriétés et aux appartenances aux objets d’annuaire.

Paramètres d’invitation invité

Les paramètres d’invitation invité déterminent qui invite les invités et comment les invités sont invités. Les paramètres sont activés si l’intégration B2B est activée. Il est recommandé que les administrateurs et les utilisateurs, dans le rôle Inviteur d’invités, puissent inviter. Ce paramètre permet la configuration des processus de collaboration contrôlés. Par exemple:

• Le propriétaire de l’équipe envoie un ticket demandant l’affectation au rôle d'invitation des invités :

  • Responsable des invitations d’invités
  • Accepte de ne pas ajouter d’utilisateurs à SharePoint
  • Effectue des révisions d’accès régulières
  • Révoque l’accès en fonction des besoins

• L’équipe informatique :

  • Une fois la formation terminée, l’équipe informatique accorde le rôle d'invitation invité.
  • Garantit qu’il existe suffisamment de licences Microsoft Entra ID P2 pour les propriétaires de groupes Microsoft 365 qui vont procéder à une révision.
  • Crée une révision d’accès au groupe Microsoft 365
  • Confirme que les révisions d’accès se produisent
  • Supprime les utilisateurs ajoutés à SharePoint

1. Sélectionnez la bannière pour les codes secrets à usage unique par e-mail pour les invités.
2. Pour activer l’auto-inscription des invités via des flux d’utilisateurs, sélectionnez Oui.

Restrictions de collaboration

Pour l’option Restrictions de collaboration, les exigences métier de l’organisation déterminent le choix de l’invitation.

• Autoriser l’envoi d’invitations à n’importe quel domaine (le plus inclusif) : tout utilisateur peut être invité
• Refuser les invitations aux domaines spécifiés : tout utilisateur en dehors de ces domaines peut être invité
• Autoriser uniquement les invitations aux domaines spécifiés (les plus restrictifs) : tout utilisateur en dehors de ces domaines ne peut pas être invité

Utilisateurs externes et utilisateurs invités dans Teams

Teams différencie les utilisateurs externes (en dehors de votre organisation) et les utilisateurs invités (comptes invités). Vous pouvez gérer le paramètre de collaboration dans le Centre d’administration Microsoft Teams sous paramètres à l’échelle de l’organisation. Les informations d’identification de compte autorisées sont requises pour se connecter au portail d’administration Teams.

• Accès externe : Teams autorise l’accès externe par défaut. L’organisation peut communiquer avec tous les domaines externes
  • Utiliser le paramètre d’accès externe pour restreindre ou autoriser des domaines
• Accès invité - Gérer l’accès invité dans Teams

En savoir plus : Utilisez l’accès invité et l’accès externe pour collaborer avec des personnes extérieures à votre organisation.

La fonctionnalité de collaboration des identités externes dans Microsoft Entra ID contrôle les autorisations. Vous pouvez augmenter les restrictions dans Teams, mais les restrictions ne peuvent pas être inférieures aux paramètres Microsoft Entra.

Pour en savoir plus:

• Gérer les conversations et les réunions externes dans Microsoft Teams
• Étape 1. Déterminer votre modèle d’identité cloud
• Modèles d’identité et authentification pour Microsoft Teams
• Étiquettes de confidentialité pour Microsoft Teams

Régir l’accès dans SharePoint et OneDrive

Les administrateurs SharePoint peuvent trouver des paramètres à l’échelle de l’organisation dans le Centre d’administration SharePoint. Il est recommandé que vos paramètres à l’échelle de l’organisation soient les niveaux de sécurité minimaux. Augmentez la sécurité sur certains sites, si nécessaire. Par exemple, pour un projet à haut risque, limitez les utilisateurs à certains domaines et empêchez les membres d’inviter des visiteurs.

Pour en savoir plus:

• Centre d’administration SharePoint : les autorisations d’accès sont requises
• Prise en main du Centre d’administration SharePoint
• Présentation du partage externe

Intégration de SharePoint et OneDrive à Microsoft Entra B2B

Dans le cadre de votre stratégie de gouvernance de la collaboration externe, nous vous recommandons d’activer l’intégration de SharePoint et OneDrive à Microsoft Entra B2B. Microsoft Entra B2B dispose de l’authentification et de la gestion des utilisateurs invités. Avec l’intégration de SharePoint et OneDrive, utilisez des codes secrets à usage unique pour le partage externe de fichiers, de dossiers, d’éléments de liste, de bibliothèques de documents et de sites.

Pour en savoir plus:

• Authentification par code secret à usage unique par e-mail
• Intégration de SharePoint et OneDrive à Microsoft Entra B2B
• Vue d’ensemble de la collaboration B2B

Si vous activez l’intégration de Microsoft Entra B2B, le partage SharePoint et OneDrive est soumis aux paramètres de relations organisationnelles Microsoft Entra, tels que les membres peuvent inviter et inviter des invités.

Stratégies de partage dans SharePoint et OneDrive

Dans le portail Azure, vous pouvez utiliser les paramètres de partage externe pour SharePoint et OneDrive pour vous aider à configurer des stratégies de partage. Les restrictions OneDrive ne peuvent pas être plus permissives que les paramètres SharePoint.

En savoir plus : Vue d’ensemble du partage externe

Recommandations relatives aux paramètres de partage externe

Utilisez les instructions de cette section lors de la configuration du partage externe.

• Tout le monde - Non recommandé. Si cette option est activée, quel que soit l’état d’intégration, aucune stratégie Azure n’est appliquée pour ce type de lien.
  • N’activez pas cette fonctionnalité pour la collaboration régie
  • Utilisez-la pour des restrictions sur des sites individuels
• Invités nouveaux et existants - Recommandé, si l’intégration est activée
  • Intégration de Microsoft Entra B2B activée : les invités nouveaux et actuels disposent d’un compte invité Microsoft Entra B2B que vous pouvez gérer avec les stratégies Microsoft Entra
  • Intégration de Microsoft Entra B2B non activée : les nouveaux invités n’ont pas de compte Microsoft Entra B2B et ne peuvent pas être gérés à partir de l’ID Microsoft Entra
  • Les invités ont un compte Microsoft Entra B2B, selon la façon dont l’invité a été créé
• Invités existants : recommandé si vous n’avez pas activé l’intégration
  • Avec cette option activée, les utilisateurs peuvent partager avec d’autres utilisateurs dans votre annuaire
• Seules les personnes de votre organisation - Non recommandées avec la collaboration des utilisateurs externes
  • Quel que soit l’état d’intégration, les utilisateurs peuvent partager avec d’autres utilisateurs de votre organisation
• Limiter le partage externe par domaine : par défaut, SharePoint autorise l’accès externe. Le partage est autorisé avec des domaines externes.
  • Utilisez cette option pour restreindre ou autoriser des domaines pour SharePoint
• Autoriser uniquement les utilisateurs dans des groupes de sécurité spécifiques à partager en externe : utilisez ce paramètre pour restreindre les personnes qui partagent du contenu dans SharePoint et OneDrive. Le paramètre dans Microsoft Entra ID s’applique à toutes les applications. Utilisez la restriction pour diriger les utilisateurs vers une formation sur le partage sécurisé. L'achèvement est le signal pour les ajouter à un groupe de sécurité de partage. Si ce paramètre est sélectionné et que les utilisateurs ne peuvent pas devenir un partageur approuvé, ils peuvent trouver des moyens non approuvés de partager.
• Autoriser les invités à partager des éléments qu’ils ne possèdent pas . Non recommandé. Les conseils sont de désactiver cette fonctionnalité.
• Les personnes qui utilisent un code de vérification doivent se réauthentifier après ce nombre de jours (la valeur par défaut est 30) - Recommandé

Contrôles d’accès

Le paramètre des contrôles d’accès affecte tous les utilisateurs de votre organisation. Étant donné que vous ne pourrez peut-être pas contrôler si les utilisateurs externes disposent d’appareils conformes, les contrôles ne seront pas traités dans cet article.

• Déconnexion de session inactive - Recommandé
  • Utilisez cette option pour avertir et déconnecter les utilisateurs sur des appareils non gérés, après une période d’inactivité
  • Vous pouvez configurer la période d’inactivité et l’avertissement
• Emplacement réseau : définissez ce contrôle pour autoriser l’accès à partir d’adresses IP que votre organisation possède.
  • Pour la collaboration externe, définissez ce contrôle si vos partenaires externes accèdent aux ressources dans votre réseau ou avec votre réseau privé virtuel (VPN).

Liens de fichiers et dossiers

Dans le Centre d’administration SharePoint, vous pouvez définir la façon dont les liens de fichiers et de dossiers sont partagés. Vous pouvez configurer le paramètre pour chaque site.

Une fois l’intégration Microsoft Entra B2B activée, le partage de fichiers et de dossiers avec des utilisateurs extérieurs à l’organisation entraîne la création d’un utilisateur B2B.

1. Pour choisir le type de lien sélectionné par défaut lorsque les utilisateurs partagent des fichiers et des dossiers dans SharePoint et OneDrive, sélectionnez Uniquement les personnes de votre organisation.
2. Pour choisir l’autorisation sélectionnée par défaut pour le partage de liens, sélectionnez Modifier.

Vous pouvez personnaliser ce paramètre pour une valeur par défaut par site.

Liens pour tout le monde

L’activation des liens accessibles à tous n’est pas recommandée. Si vous l’activez, définissez une expiration et limitez les utilisateurs à afficher les autorisations. Si vous sélectionnez Afficher uniquement les autorisations pour les fichiers ou les dossiers, les utilisateurs ne peuvent pas modifier les liens de personne pour inclure des privilèges de modification.

Pour en savoir plus:

• Présentation du partage externe
• Intégration de SharePoint et OneDrive à Microsoft Entra B2B

Étapes suivantes

Utilisez la série d’articles suivante pour découvrir la sécurisation de l’accès externe aux ressources. Nous vous recommandons de suivre l’ordre indiqué.

1. Déterminer votre posture de sécurité pour l’accès externe avec Microsoft Entra ID

2. Découvrir l’état actuel de la collaboration externe avec votre organisation

3. Créer un plan de sécurité pour l’accès externe aux ressources

4. Accès externe sécurisé avec des groupes dans Microsoft Entra ID et Microsoft 365

5. Transition vers une collaboration gouvernée avec la collaboration Microsoft Entra B2B

6. Gérer les accès externes avec la gestion des droits Microsoft Entra

7. Gérer l’accès externe à des ressources avec des stratégies d’accès conditionnel

8. Contrôler l'accès externe aux ressources dans Microsoft Entra ID avec des étiquettes de sensibilité

9. Accès externe sécurisé à Microsoft Teams, SharePoint et OneDrive Entreprise avec Microsoft Entra ID (Vous êtes ici)

10. Convertir les comptes invités locaux en comptes invités Microsoft Entra B2B