Créer un environnement de partage invité plus sécurisé

Dans cet article, nous allons découvrir de nombreuses options permettant de créer un environnement de partage invité dans Microsoft 365. Voici des exemples pour vous donner une idée des options disponibles. Vous pouvez utiliser ces procédures dans différentes combinaisons pour répondre aux besoins de sécurité et de conformité de votre organisation.

Cet article contient les rubriques suivantes :

• Configuration de l’authentification multifacteur pour les invités.
• Configuration des conditions d’utilisation pour les invités.
• Configuration des révisions trimestrielles d’accès invité pour vérifier régulièrement si les invités ont toujours besoin d’autorisations pour les équipes et les sites.
• Limitation de l’accès des invités au Web uniquement pour les appareils non gérés.
• Configuration d’une stratégie de délai d’expiration de session pour assurer l’authentification quotidienne des invités.
• Création d’un type d’informations sensibles pour un projet hautement sensible.
• Attribution automatique d’une étiquette de confidentialité aux documents contenant un type d’informations sensibles.
• Suppression automatique de l’accès invité aux fichiers avec une étiquette de confidentialité.

Certaines des options décrites dans cet article nécessitent que les invités disposent d’un compte dans Microsoft Entra ID. Pour vous assurer que les invités sont inclus dans le répertoire lorsque vous partagez des fichiers et des dossiers avec eux, utilisez l’intégration de SharePoint et OneDrive à Microsoft Entra B2B Preview.

Notez que nous n'aborderons pas l'activation des paramètres de partage des invités dans cet article. Consultez la rubrique Collaborer avec des personnes extérieures à votre organisation pour plus d’informations sur l'activation du partage des invités pour différents scénarios.

Configurer l’authentification multifacteur pour les invités

L’authentification multifacteur réduit considérablement les risques de compromission d’un compte. Étant donné que les invités peuvent utiliser des comptes de messagerie personnels qui n’adhèrent à aucune stratégie de gouvernance ou bonnes pratiques, il est particulièrement important d’exiger l’authentification multifacteur pour les invités. En cas de vol du nom d'utilisateur et du mot de passe d’un invité, la nécessité d’un second facteur d'authentification réduit considérablement les chances de voir des inconnus accéder à vos sites et fichiers.

Dans cet exemple, nous allons configurer l’authentification multifacteur pour les invités à l’aide d’une stratégie d’accès conditionnel dans Microsoft Entra’ID.

Pour configurer l’authentification multifacteur pour les invités

1. Accédez à Stratégies d’accès conditionnel Azure.
2. Dans le panneau Accès conditionnel | Stratégies, cliquez sur Nouvelle stratégie.
3. Dans le champ Nom , tapez un nom.
4. Sélectionnez le lien Utilisateurs .
5. Sélectionnez Sélectionner des utilisateurs et des groupes, puis sélectionnez la zone Invités ou utilisateurs externes case activée.
6. Dans la liste déroulante, sélectionnez Utilisateurs invités B2B Collaboration et Utilisateurs membres B2B Collaboration.
7. Sélectionnez le lien Applications ou actions cloud .
8. Sélectionnez Toutes les applications cloud sous l’onglet Inclure .
9. Sélectionnez le lien Accorder .
10. Dans le panneau Accorder, sélectionnez la zone Exiger l’authentification multifacteur case activée, puis cliquez sur Sélectionner.
11. Sous Activer la stratégie, cliquez sur Activé, puis sur Créer.

À présent, l’invité doit s’inscrire à l’authentification multifacteur avant de pouvoir accéder au contenu partagé, aux sites ou aux équipes.

Informations supplémentaires

Planification d’un déploiement d’authentification multifacteur Microsoft Entra

Configurer les conditions d’utilisation pour les invités

Dans certains cas, Il arrive souvent que des invités n'aient pas signé de contrat de non-divulgation ou d’autres accords juridiques avec votre organisation. Vous pouvez demander aux invités d’accepter les conditions d’utilisation avant d’accéder aux fichiers partagés avec eux. Les conditions d’utilisation peuvent s’afficher lors de la première tentative d’accès à un fichier ou à un site partagé.

Pour créer des conditions d’utilisation, vous devez commencer par créer le document dans Word ou dans un autre logiciel de création, puis l’enregistrer sous forme de fichier .pdf. Ce fichier peut ensuite être chargé dans Microsoft Entra’ID.

Pour créer une Microsoft Entra conditions d’utilisation

1. Connectez-vous à Azure en tant qu’administrateur général, administrateur de sécurité ou administrateur d’accès conditionnel.

2. Accédez aux Conditions d’utilisation.

3. Cliquez sur Nouvelles conditions d’utilisation.

   

4. Tapez un Nom.

5. Pour le document Conditions d'utilisation, accédez au fichier PDF que vous avez créé et sélectionnez-le.

6. Sélectionnez la langue de votre document Conditions d’utilisation.

7. Tapez un nom d’affichage.

8. Validez l'option Demander aux utilisateurs d'étendre les conditions d'utilisation en la définissant sur ACTIVÉ.

9. Sous Accès conditionnel, dans la liste Appliquer le modèle de stratégie sur l'accès conditionnel, choisissez Créer une stratégie d'accès conditionnel ultérieurement.

10. Cliquez sur Créer.

Une fois que vous avez créé les conditions d’utilisation, l’étape suivante consiste à créer une stratégie d’accès conditionnel qui affiche les conditions d’utilisation sur les systèmes des utilisateurs invités.

Pour créer une stratégie d’accès conditionnel, procédez comme suit :

1. Accédez à Stratégies d’accès conditionnel Azure.
2. Dans le panneau Accès conditionnel | Stratégies, cliquez sur Nouvelle stratégie.
3. Dans le champ Nom, tapez un nom.
4. Sélectionnez le lien Utilisateurs .
5. Sélectionnez Sélectionner des utilisateurs et des groupes, puis sélectionnez la zone Invités ou utilisateurs externes case activée.
6. Dans la liste déroulante, sélectionnez Utilisateurs invités B2B Collaboration et Utilisateurs membres B2B Collaboration.
7. Sélectionnez le lien Applications ou actions cloud .
8. Sous l’onglet Inclure , sélectionnez Sélectionner des applications, puis cliquez sur le lien Sélectionner .
9. Dans le panneau Sélectionner, sélectionnez Office 365, puis cliquez sur Sélectionner.
10. Sélectionnez le lien Accorder .
11. Dans le panneau Accorder, sélectionnez Conditions d’utilisation de l’invité, puis cliquez sur Sélectionner.
12. Sous Activer la stratégie, cliquez sur Activé, puis sur Créer.

À présent, la première fois qu’un invité tente d’accéder au contenu, à une équipe ou à un site de votre organisation, il est tenu d’accepter les conditions d’utilisation.

Remarque

L’utilisation de l’accès conditionnel nécessite une licence d’ID Microsoft Entra P1. Pour en savoir plus, consultez l'article Qu’est-ce que l’accès conditionnel ?.

Plus d’informations

Microsoft Entra conditions d’utilisation

Configurer les révisions d’accès invité

Avec les révisions d’accès dans Microsoft Entra ID, vous pouvez automatiser une révision périodique de l’accès utilisateur à différentes équipes et groupes. En exigeant spécifiquement une révision d’accès pour les invités, vous pouvez veiller à ce que les invités ne conservent pas l’accès aux informations sensibles de votre organisation plus longtemps que nécessaire.

Configurer une révision d’accès des invités

1. Sur la Page de Gouvernance d’identité, dans le menu de gauche, cliquez sur Révisions d’accès.

2. Cliquez sur Nouvelle révision d’accès.

3. Sélectionnez l’option Équipes + groupes.

4. Sélectionnez l'option Tous les groupes Microsoft 365 avec des utilisateurs invités. Cliquez sur Sélectionner les groupes à exclure si vous voulez exclure des groupes.

5. Sélectionnez l'option Uniquement les utilisateurs invités, puis cliquez sur Suivant : Révisions.

6. Sous Sélectionner les réviseurs, sélectionnez Propriétaires du groupe.

7. Cliquez sur Sélectionner les réviseurs de secours, choisissez les réviseurs, puis cliquez sur Sélectionner.

8. Choisissez une durée (en jours) pour que la révision soit ouverte pour les commentaires.

9. Sous Spécifier la périodicité de l'évaluation, choisissez Trimestriel.

10. Sélectionnez une date de début et une durée.

11. Pour Fin, sélectionnez Jamais, puis cliquez sur Suivant : Paramètres.

    

12. Sous l’onglet Paramètres, examinez les paramètres de conformité aux règles de votre entreprise.

    

13. Cliquez sur Suivant : Révision + Créer.

14. Tapez un nom de révision, puis examinez les paramètres.

15. Cliquez sur Créer.

Informations supplémentaires

Gérer l’accès invité avec Microsoft Entra révisions d’accès

Créer une révision d’accès de groupes ou d’applications dans Microsoft Entra révisions d’accès

Configurer l’accès web uniquement pour les invités avec des appareils non gérés

Si vos invités utilisent des appareils qui ne sont pas gérés par votre organization ou un autre organization avec lesquels vous avez une relation de confiance, vous pouvez leur demander d’accéder à vos équipes, sites et fichiers à l’aide d’un navigateur web uniquement. Cela réduit le risque qu'ils téléchargent des fichiers sensibles et les laissent sur un appareil non géré. Cela est également utile en cas de partage avec des environnements qui utilisent des appareils partagés.

Pour Groupes Microsoft 365 et Teams, cela s’effectue avec une stratégie d’accès conditionnel Microsoft Entra. Pour SharePoint, celui-ci est configuré dans le centre d’administration SharePoint. (Vous pouvez également utiliser des étiquettes de confidentialité pour restreindre l’accès web uniquement aux invités.)

Pour restreindre l'accès des invités au web uniquement pour les groupes et Microsoft Teams :

1. Accédez à Stratégies d’accès conditionnel Azure.

2. Cliquez sur Nouvelle stratégie.

3. Dans le champ Nom, tapez un nom.

4. Cliquez sur le lien Utilisateurs .

5. Sélectionnez Sélectionner des utilisateurs et des groupes, puis sélectionnez la zone Invités ou utilisateurs externes case activée.

6. Dans la liste déroulante, sélectionnez Utilisateurs invités B2B Collaboration et Utilisateurs membres B2B Collaboration.

7. Cliquez sur le lien Applications ou actions cloud .

8. Sous l’onglet Inclure , sélectionnez Sélectionner des applications, puis cliquez sur le lien Sélectionner .

9. Dans le panneau Sélectionner, sélectionnez Office 365, puis cliquez sur Sélectionner.

10. Cliquez sur le lien Conditions .

11. Dans le panneau Conditions , cliquez sur le lien Applications clientes .

12. Dans le panneau Applications clientes, cliquez sur Oui pour Configurer, puis sélectionnez les paramètres Applications mobiles et clients de bureau, Clients Exchange ActiveSyncet Autres clients. Désactivez la case à cocher Navigateur.

    

13. Cliquez sur Terminé.

14. Cliquez sur le lien Accorder .

15. Dans le panneau Accorder, sélectionnez Exiger que l’appareil soit marqué comme conforme et Exiger Microsoft Entra appareil joint hybride.

16. Sous Pour plusieurs contrôles, sélectionnez Exige l’un des contrôles sélectionnés, puis cliquez sur Sélectionner.

17. Sous Activer la stratégie, cliquez sur Activé, puis sur Créer.

Informations supplémentaires

Contrôles d’accès aux appareils non managés SharePoint et OneDrive pour les administrateurs

Configurer une stratégie de délai d’expiration de session pour les invités

Exiger des invités qu’ils s’authentifient régulièrement peut réduire le risque que des utilisateurs inconnus accèdent au contenu de votre organisation si l'appareil d'un invité n'est pas sécurisé. Vous pouvez configurer une stratégie d’accès conditionnel de délai d’expiration de session pour les invités dans Microsoft Entra ID.

Pour configurer une stratégie de délai d’expiration de session d’invité, procédez comme suit :

1. Accédez à Stratégies d’accès conditionnel Azure.
2. Cliquez sur Nouvelle stratégie.
3. Dans la zone Nom, tapez Délai d’expiration de session des invités.
4. Cliquez sur le lien Utilisateurs .
5. Sélectionnez Sélectionner des utilisateurs et des groupes, puis sélectionnez la zone Invités ou utilisateurs externes case activée.
6. Dans la liste déroulante, sélectionnez Utilisateurs invités B2B Collaboration et Utilisateurs membres B2B Collaboration.
7. Cliquez sur le lien Applications ou actions cloud .
8. Sous l’onglet Inclure , sélectionnez Sélectionner des applications, puis cliquez sur le lien Sélectionner .
9. Dans le panneau Sélectionner, sélectionnez Office 365, puis cliquez sur Sélectionner.
10. Cliquez sur le lien Session .
11. Dans le panneau Session, sélectionnez Fréquence de connexion.
12. Choisissez 1 et Jours pour la période, puis cliquez sur Sélectionner.
13. Sous Activer la stratégie, cliquez sur Activé, puis sur Créer.

Créer un type d’informations sensibles pour un projet hautement sensible

Les types d’informations sensibles sont des chaînes prédéfinies qui peuvent être utilisées dans les flux de travail de stratégie afin d’appliquer les exigences de conformité. Le portail de conformité Microsoft Purview inclut plus d’une centaine de types d’informations sensibles, notamment les numéros de permis de conduire, les numéros de carte de crédit, les numéros de compte bancaire, etc.

Vous pouvez créer des types d'informations sensibles personnalisés pour vous aider à gérer le contenu propre à votre organisation. Dans cet exemple, vous allez créer un type d’informations sensibles personnalisé pour un projet hautement sensible. Vous pouvez ensuite utiliser ce type d’informations sensibles pour appliquer automatiquement une étiquette de confidentialité.

Pour créer un type d’informations sensibles personnalisé, procédez comme suit :

1. Dans le portail de conformité Microsoft Purview, dans le volet de navigation de gauche, sélectionnez Classification des données, puis sélectionnez l’onglet Types d’informations sensibles.
2. Cliquez sur Créer un type d’informations sensibles.
3. Pour Nom et Description, tapez Projet Saturne, puis cliquez sur Suivant.
4. Sélectionnez Créer un modèle.
5. Dans le panneau Nouveau modèle , sélectionnez Ajouter un élément principal, puis sélectionnez Liste de mots clés.
6. Tapez un ID tel que Project Saturn.
7. Dans la zone non sensible à la casse, tapez Projet Saturne, Saturne, puis sélectionnez Terminé.
8. Sélectionnez Créer, puis Suivant.
9. Choisissez un niveau de confiance, puis sélectionnez Suivant.
10. Sélectionnez Créer.
11. Sélectionnez Terminé.

Pour plus d’informations, consultez Types d’informations sensibles personnalisés.

Créer une stratégie d’attribution automatique d’étiquette pour affecter une étiquette de confidentialité sur la base d’un type d’informations sensibles

Si vous utilisez des étiquettes de confidentialité au sein de votre organisation, vous pouvez appliquer automatiquement une étiquette aux fichiers qui contiennent des types d’informations sensibles définis.

Pour créer une stratégie d’étiquetage automatique :

1. Ouvrez le Centre d’administration Microsoft Purview.
2. Dans le volet de navigation gauche, cliquez sur Protection des informations.
3. Sous l’onglet Étiquetage automatique, cliquez sur Créer une stratégie d’étiquetage automatique .
4. Dans la page Choisir les informations à appliquer à cette étiquette , choisissez Personnalisé , puis cliquez sur Stratégie personnalisée.
5. Cliquez sur Suivant.
6. Entrez le nom et une description de la stratégie, puis cliquez sur Suivant.
7. Dans la page Sélectionnez l’emplacement où vous voulez appliquer l’étiquette, activez Sites SharePoint , puis cliquez sur Choisir le sites.
8. Ajoutez les URL des sites sur lesquels vous voulez activer l’étiquetage automatique, puis cliquez sur Terminé.
9. Cliquez sur Suivant.
10. Dans la page Configurer les règles courantes ou avancées , sélectionnez Règles courantes et cliquez sur Suivant.
11. Dans la page Définir des règles pour le contenu de tous les emplacements , cliquez sur Nouvelle règle.
12. Dans la page Nouvelle règle , donnez un nom à la règle, cliquez sur Ajouter une condition, puis cliquez sur Contenu contient.
13. Cliquez sur Ajouter, cliquez sur Types d’informations sensibles, sélectionnez les types d’informations sensibles que vous souhaitez utiliser, cliquez sur Ajouter, puis sur Enregistrer.
14. Cliquez sur Suivant.
15. Cliquez sur Sélectionner une étiquette, sélectionnez l’étiquette que vous voulez utiliser, puis cliquez sur Ajouter.
16. Cliquez sur Suivant.
17. Laissez la stratégie en mode simulation et choisissez si vous souhaitez qu’elle s’active automatiquement.
18. Cliquez sur Suivant.
19. Cliquez sur Créer une stratégie, puis cliquez sur Terminé.

Une fois la stratégie en place, lorsqu’un utilisateur tape « Projet Saturne » dans un document, la stratégie d’étiquetage automatique applique automatiquement l’étiquette spécifiée lors de l’analyse du fichier.

Pour plus d'informations, voir Appliquer automatiquement une étiquette de sensibilité au contenu.

Créer une stratégie DLP pour supprimer l’accès invité aux fichiers hautement sensibles

Vous pouvez utiliser la Protection contre la perte de données (DLP) Microsoft Purview pour empêcher le partage indésirable de contenus sensibles par les invités. La protection contre la perte de données peut prendre des mesures basées sur l’étiquette de confidentialité d’un fichier et supprimer l’accès invité.

Création d’une stratégie DLP

1. Dans le Centre de conformité Microsoft Purview, accédez à la Page de protection contre la perte de données.

2. Sous l’onglet Stratégies , cliquez sur Créer une stratégie.

3. Choisissez Personnalisé , puis Stratégie personnalisée.

4. Cliquez sur Suivant.

5. Tapez un nom pour la stratégie, puis cliquez sur Suivant.

6. Dans la page Emplacements pour appliquer la stratégie, désactivez tous les paramètres, sauf Sites SharePoint et Comptes OneDrive, puis cliquez sur Suivant.

7. Sur la page Définir les paramètres de stratégie, cliquez sur Suivant.

8. Sur la page Personnaliser les règles avancées de protection contre la perte de données , cliquez sur Créer une règle, puis tapez un nom pour la règle.

9. Sous Conditions, cliquez sur Ajouter une condition, puis choisissez Contenu partagé à partir de Microsoft 365.

10. Dans la liste déroulante, choisissez avec des personnes extérieures à mon organization.

11. Sous Conditions, cliquez sur Ajouter une condition, puis sélectionnez Le contenu contient.

12. Cliquez sur Ajouter, sélectionnez Étiquettes de confidentialité, sélectionnez les étiquettes à utiliser, puis cliquez sur Ajouter.

    

13. Sous Actions cliquez sur Ajouter une action, puis sélectionnez Restreindre l’accès ou chiffrer le contenu dans des emplacements Microsoft 365.

14. Sélectionnez la zone Restreindre l’accès ou chiffrer le contenu dans les emplacements Microsoft 365 case activée, puis choisissez l’option Bloquer uniquement les personnes extérieures à votre organization.

    

15. Activez les notifications utilisateur, puis sélectionnez la zone Notifier les utilisateurs dans Office 365 service à l’aide d’un conseil de stratégie case activée.

16. Cliquez sur Enregistrer, puis sur Suivant.

17. Sélectionnez vos options de test, puis cliquez sur Suivant.

18. Cliquez sur Envoyer, puis sur Terminé.

Il est important de noter que cette stratégie ne supprime pas l’accès si l’invité est membre du site ou de l’équipe. Si vous envisagez d’avoir des documents hautement sensibles dans un site ou une équipe avec des membres invités, envisagez les options suivantes :

• Utilisez lescanaux privés et autorisez uniquement les membres de votre organisation dans les canaux privés.
• Utilisez lescanaux partagés pour collaborer avec des personnes extérieures à votre organisation tout en ayant uniquement des personnes de votre organisation dans l’équipe elle-même.

Options supplémentaires

Il existe des options supplémentaires dans Microsoft 365 et l’ID Microsoft Entra qui peuvent vous aider à sécuriser votre environnement de partage d’invités.

• Vous pouvez créer une liste de domaines de partage autorisés ou refusés pour limiter les personnes avec lesquelles les utilisateurs peuvent effectuer des partages. Pour plus d’informations, consultez Restreindre le partage de contenu SharePoint et OneDrive par domaine et Autoriser ou bloquer des invitations à des utilisateurs B2B d’organisations spécifiques.
• Vous pouvez limiter les autres locataires Microsoft Entra auxquels vos utilisateurs peuvent se connecter. Pour plus d'informations, voir Utilisez les restrictions liées au locataire pour gérer l’accès aux applications cloud SaaS.
• Vous pouvez créer un environnement géré dans lequel vos partenaires peuvent vous aider à gérer des comptes d'invités. Pour plus d’informations, voir Créer un extranet B2B avec des invités gérés.

Voir aussi

Limiter l’exposition accidentelle aux fichiers lors du partage avec des invités

Meilleures pratiques relatives au partage de fichiers et de dossiers avec des utilisateurs non authentifiés

Créer un extranet B2B avec des invités gérés