Recommandations de stratégie pour la sécurisation des sites et des fichiers SharePoint
Cet article explique comment implémenter les stratégies d’identité et d’accès aux appareils Confiance nulle recommandées pour protéger SharePoint et OneDrive Entreprise. Ces conseils s’appuient sur les stratégies courantes d’accès aux identités et aux appareils.
Ces recommandations sont basées sur trois niveaux différents de sécurité et de protection pour les fichiers SharePoint qui peuvent être appliqués en fonction de la granularité de vos besoins : le point de départ, l’entreprise et la sécurité spécialisée. Vous pouvez en savoir plus sur ces niveaux de sécurité et les systèmes d’exploitation clients recommandés, référencés par ces recommandations dans la vue d’ensemble.
En plus de mettre en œuvre ces conseils, veillez à configurer les sites SharePoint avec le niveau de protection approprié, notamment en définissant les autorisations appropriées pour le contenu de sécurité d’entreprise et spécialisé.
Mise à jour des stratégies courantes pour inclure SharePoint et OneDrive Entreprise
Pour protéger les fichiers dans SharePoint et OneDrive, le diagramme suivant illustre les stratégies à mettre à jour à partir des stratégies d’identité et d’accès aux appareils courantes.
Si vous avez inclus SharePoint lors de la création des stratégies courantes, vous devez uniquement créer les nouvelles stratégies. Pour les stratégies d’accès conditionnel, SharePoint inclut OneDrive.
Les nouvelles stratégies implémentent la protection des appareils pour le contenu de sécurité d’entreprise et spécialisé en appliquant des exigences d’accès spécifiques aux sites SharePoint que vous spécifiez.
Le tableau suivant répertorie les stratégies que vous devez examiner et mettre à jour ou créer pour SharePoint. Les stratégies courantes sont liées aux instructions de configuration associées dans l’article Stratégies courantes d’accès aux appareils et aux identités.
| Niveau de protection | Stratégies | Informations supplémentaires |
|---|---|---|
| Point de départ | Exiger l’authentification multifacteur lorsque le risque de connexion est moyen ou élevé | Incluez SharePoint dans l’attribution d’applications cloud. |
| Bloquer les clients ne prenant pas en charge l’authentification moderne | Incluez SharePoint dans l’attribution d’applications cloud. | |
| Appliquer des stratégies de protection des données d’application | Assurez-vous que toutes les applications recommandées sont incluses dans la liste des applications. Veillez à mettre à jour la stratégie pour chaque plateforme (iOS, Android, Windows). | |
| Utiliser des restrictions appliquées par l’application dans SharePoint | Ajoutez cette nouvelle stratégie. Cela indique Microsoft Entra ID d’utiliser les paramètres spécifiés dans SharePoint. Cette stratégie s’applique à tous les utilisateurs, mais affecte uniquement l’accès aux sites inclus dans les stratégies d’accès SharePoint. | |
| Enterprise | Exiger l’authentification multifacteur lorsque le risque de connexion est faible, moyen ou élevé | Incluez SharePoint dans les affectations des applications cloud. |
| Exiger des PC et des appareils mobiles conformes | Incluez SharePoint dans la liste des applications cloud. | |
| Stratégie de contrôle d’accès SharePoint : autoriser l’accès par navigateur uniquement à des sites SharePoint spécifiques à partir d’appareils non gérés. | Cela empêche la modification et le téléchargement de fichiers. Utilisez PowerShell pour spécifier des sites. | |
| Sécurité spécialisée | Toujours exiger l’authentification multifacteur | Incluez SharePoint dans l’attribution d’applications cloud. |
| Stratégie de contrôle d’accès SharePoint : bloquer l’accès à des sites SharePoint spécifiques à partir d’appareils non gérés. | Utilisez PowerShell pour spécifier des sites. |
Utiliser des restrictions appliquées par l’application dans SharePoint
Si vous implémentez des contrôles d’accès dans SharePoint, des stratégies d’accès conditionnel sont créées dans Microsoft Entra ID pour indiquer à Microsoft Entra ID d’appliquer les stratégies que vous configurez dans SharePoint. Par défaut, cette stratégie s’applique à tous les utilisateurs, mais affecte uniquement l’accès aux sites que vous spécifiez à l’aide de PowerShell lorsque vous créez les contrôles d’accès dans SharePoint. La stratégie peut également être étendue à des utilisateurs, des groupes ou des sites spécifiques.
Pour configurer cette stratégie, consultez « Bloquer ou limiter l’accès à des collections de sites SharePoint spécifiques ou à des comptes OneDrive » dans Contrôler l’accès à partir d’appareils non gérés.
Stratégies de contrôle d’accès SharePoint
Microsoft vous recommande de protéger le contenu des sites SharePoint avec du contenu de sécurité spécialisé et d’entreprise avec des contrôles d’accès aux appareils. Pour ce faire, vous créez une stratégie qui spécifie le niveau de protection et les sites auxquels appliquer la protection.
- Sites d’entreprise : autorisez l’accès par navigateur uniquement. Cela empêche les utilisateurs de modifier et de télécharger des fichiers.
- Sites de sécurité spécialisés : bloquez l’accès à partir d’appareils non gérés.
Consultez « Bloquer ou limiter l’accès à des collections de sites SharePoint spécifiques ou à des comptes OneDrive » dans Contrôler l’accès à partir d’appareils non gérés.
Fonctionnement de ces stratégies ensemble
Il est important de comprendre que les autorisations de site SharePoint sont généralement basées sur les besoins professionnels en matière d’accès aux sites. Ces autorisations sont gérées par les propriétaires de site et peuvent être très dynamiques. L’utilisation de stratégies d’accès aux appareils SharePoint garantit la protection de ces sites, que les utilisateurs soient affectés à un groupe Microsoft Entra associé à un point de départ, à une protection de sécurité d’entreprise ou spécialisée.
L’illustration suivante fournit un exemple de la façon dont les stratégies d’accès aux appareils SharePoint protègent l’accès aux sites pour un utilisateur.
James dispose de stratégies d’accès conditionnel de point de départ, mais il peut avoir accès aux sites SharePoint avec une protection de sécurité spécialisée ou d’entreprise.
- Si James accède à un site dont il est membre avec une protection de sécurité spécialisée ou d’entreprise à l’aide de son PC, son accès est accordé.
- Si James accède à un site de protection d’entreprise dont il est membre à l’aide de son téléphone non géré, ce qui est autorisé pour les utilisateurs de point de départ, il reçoit un accès uniquement par navigateur au site d’entreprise en raison de la stratégie d’accès aux appareils configurée pour ce site.
- Si James accède à un site de sécurité spécialisé dont il est membre à l’aide de son téléphone non géré, il sera bloqué en raison de la stratégie d’accès configurée pour ce site. Il ne peut accéder à ce site qu’à l’aide de son PC géré.
Étape suivante
Configurer les stratégies d'accès conditionnel pour :
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour