Stratégies d’accès conditionnel et SharePoint

En utilisant Microsoft Entra contexte d’authentification, vous pouvez appliquer des conditions d’accès plus strictes lorsque les utilisateurs accèdent à des sites SharePoint.

Utilisez des contextes d’authentification pour connecter une stratégie d’accès conditionnel Microsoft Entra à un site SharePoint. Vous pouvez appliquer des stratégies directement au site ou les appliquer via une étiquette de confidentialité.

Vous ne pouvez pas appliquer cette fonctionnalité au site racine dans SharePoint (par exemple, https://contoso.sharepoint.com).

Capture d’écran du tableau de bord de stratégie d’accès conditionnel.

Avant de commencer

Passez en revue les conditions préalables à la gestion avancée de SharePoint.

De plus, vous avez besoin de l’une des licences suivantes :

  • Conformité Microsoft 365 E5/A5
  • Microsoft 365 E5, Protection des informations et gouvernance

Limitations

Certaines applications ne fonctionnent pas avec les contextes d’authentification. Testez les applications sur un site avec le contexte d’authentification activé avant de déployer cette fonctionnalité à grande échelle.

Les applications et scénarios suivants ne fonctionnent pas avec les contextes d’authentification :

  • Versions antérieures des applications Office (voir la liste des versions prises en charge)
  • Applications mobiles SharePoint (iOS et Android)
  • Viva Engage
  • Vous ne pouvez pas ajouter l’application OneNote à un canal si le site SharePoint associé a un contexte d’authentification.
  • Le chargement de l’enregistrement de réunion de canal Teams échoue sur les sites avec un contexte d’authentification.
  • Le changement de nom du dossier SharePoint dans Teams échoue si le site a un contexte d’authentification.
  • La planification des webinaires Teams échoue si OneDrive a un contexte d’authentification.
  • L’application Synchronisation OneDrive ne synchronise pas les sites avec un contexte d’authentification.
  • L’association d’un contexte d’authentification à la collection de sites du catalogue d’applications d’entreprise n’est pas prise en charge.
  • La fonctionnalité « Visualiser la liste SharePoint dans Power BI » ne prend actuellement pas en charge le contexte d’authentification.
  • Outlook sur Windows, Mac, Android et iOS ne prend pas en charge la communication avec les sites SharePoint protégés par un contexte d’authentification.
  • La fonctionnalité de téléchargement de plusieurs fichiers ne fonctionne actuellement pas lorsque le contexte d’authentification et l’option « Utiliser le contrôle d’application par accès conditionnel » dans le contrôle de session sont activés dans la stratégie d’accès conditionnel.
  • La fonctionnalité de téléchargement de plusieurs fichiers ne fonctionne pas si un contexte d’authentification est défini directement sur un site SharePoint sans stratégie d’accès conditionnel active à l’aide de ce contexte, ou si la stratégie existe mais est désactivée.
  • La fonctionnalité de copie et de déplacement de fichiers entre différentes régions (intergéographiques) ne fonctionne actuellement pas lorsqu’un contexte d’authentification est appliqué au site de destination.
  • L’exportation vers Excel en tant que requête web Excel (IQY) ne prend actuellement pas en charge le contexte d’authentification.

Configurer un contexte d’authentification

Pour configurer un contexte d’authentification pour les sites étiquetés, procédez comme suit :

  1. Ajoutez un contexte d’authentification dans Microsoft Entra ID.

  2. Créez une stratégie d’accès conditionnel qui s’applique à ce contexte d’authentification et qui contient les conditions et les contrôles d’accès que vous souhaitez utiliser.

  3. Effectuez l’une des étapes suivantes :

    1. Définissez une étiquette de confidentialité pour appliquer le contexte d’authentification aux sites étiquetés.

    2. Appliquez le contexte d’authentification directement à un site.

Dans cet article, vous voyez l’exemple où les invités doivent accepter des conditions d’utilisation avant d’accéder à un site SharePoint sensible. Vous pouvez également utiliser les autres conditions d’accès conditionnel et contrôles d’accès dont vous pourriez avoir besoin pour votre organization.

Ajouter un contexte d’authentification

Tout d’abord, ajoutez un contexte d’authentification dans Microsoft Entra ID.

Pour ajouter un contexte d’authentification :

  1. Dans Microsoft Entra accès conditionnel, sous Gérer, sélectionnez Contexte d’authentification.

  2. Sélectionnez Nouveau contexte d’authentification.

  3. Tapez un nom et une description, puis sélectionnez la zone Publier dans les applications case activée.

    Capture d’écran de l’interface utilisateur ajouter un contexte d’authentification

  4. Sélectionnez Enregistrer.

Créer une stratégie d'accès conditionnel

Ensuite, créez une stratégie d’accès conditionnel qui s’applique à ce contexte d’authentification et exige que les invités acceptent les conditions d’utilisation comme condition d’accès.

Pour créer une stratégie d’accès conditionnel, procédez comme suit :

  1. Dans Microsoft Entra accès conditionnel, sélectionnez Nouvelle stratégie.

  2. Entrez un nom pour la stratégie.

  3. Sous l’onglet Utilisateurs et groupes, choisissez l’option Sélectionner des utilisateurs et des groupes, puis sélectionnez la zone Case activée Utilisateurs invités ou externes.

  4. Choisissez utilisateurs invités B2B Collaboration dans la liste déroulante.

  5. Sous l’onglet Applications ou actions cloud, sous Sélectionner ce à quoi cette stratégie s’applique, choisissez Contexte d’authentification, puis sélectionnez la zone case activée pour le contexte d’authentification que vous avez créé.

    Capture d’écran des options de contexte d’authentification dans les paramètres des applications cloud ou des actions pour une stratégie d’accès conditionnel.

  6. Sous l’onglet Accorder, sélectionnez la zone case activée pour les conditions d’utilisation que vous souhaitez utiliser, puis sélectionnez Sélectionner.

  7. Choisissez si vous souhaitez activer la stratégie, puis sélectionnez Créer.

Appliquer le contexte d’authentification directement à un site

Vous pouvez appliquer directement un contexte d’authentification à un site SharePoint à l’aide de l’applet de commande PowerShell Set-SPOSite .

Remarque

Cette fonctionnalité nécessite une licence Microsoft 365 E5 ou Microsoft Gestion avancée de SharePoint.

Dans l’exemple suivant, vous appliquez le contexte d’authentification que vous avez créé précédemment à un site appelé « recherche ».

Set-SPOSite -Identity https://contoso.sharepoint.com/sites/research -ConditionalAccessPolicy AuthenticationContext -AuthenticationContextName "Sensitive information - guest terms of use"

Définir une étiquette de confidentialité pour appliquer le contexte d’authentification aux sites étiquetés

Si vous souhaitez utiliser une étiquette de confidentialité pour appliquer le contexte d’authentification, mettez à jour une étiquette de confidentialité (ou créez-en une nouvelle) pour utiliser le contexte d’authentification.

Remarque

Les étiquettes de confidentialité nécessitent Microsoft 365 E5 ou Microsoft 365 E3 plus la licence De conformité avancée.

Pour mettre à jour une étiquette de confidentialité

  1. Dans le portail Microsoft Purview, sous l’onglet Protection des informations , sélectionnez l’étiquette à mettre à jour, puis sélectionnez Modifier l’étiquette.

  2. Sélectionnez Suivant jusqu’à ce que vous soyez dans la page Définir les paramètres de protection pour les groupes et les sites .

  3. Vérifiez que la zone Partage externe et Accès conditionnel case activée est cochée, puis sélectionnez Suivant.

  4. Dans la page Définir les paramètres de partage externe et d’accès aux appareils, sélectionnez la zone Utiliser l’accès conditionnel Microsoft Entra pour protéger les sites SharePoint étiquetés case activée.

  5. Sélectionnez l’option Choisir un contexte d’authentification existant .

  6. Dans la liste déroulante, choisissez le contexte d’authentification que vous souhaitez utiliser.

    Capture d’écran des paramètres d’étiquette de sensibilité du contexte d’authentification Microsoft Entra

  7. Sélectionnez Suivant jusqu’à ce que vous soyez sur la page Vérifier vos paramètres et terminer , puis sélectionnez Enregistrer l’étiquette.

Après avoir mis à jour l’étiquette, les invités qui accèdent à un site SharePoint (ou à l’onglet Files dans une équipe) avec cette étiquette doivent accepter les conditions d’utilisation avant d’accéder à ce site.

Bloquer les applications en arrière-plan

Si vous définissez le contexte d’authentification sur un site, les administrateurs peuvent choisir d’empêcher les applications en arrière-plan d’accéder à ce site pour les applications affectées avec ce contexte d’authentification dans une stratégie d’accès conditionnel. Vous pouvez configurer une stratégie d’accès conditionnel de telle sorte qu’un contexte d’authentification spécifique puisse être affecté à des principaux d’application choisis (applications non-Microsoft). Vous devez activer explicitement cette fonctionnalité à l’aide de l’applet de commande suivante. Vous devez avoir au moins une stratégie d’accès conditionnel avec un principal d’application configuré.

Set-SPOTenant -BlockAppAccessWithAuthenticationContext $false/$true (default false)

Intégration d’applications tierces

Les applications tierces qui utilisent des sites avec un contexte d’authentification attaché doivent être en mesure de gérer la demande de revendications. Consultez le Guide du développeur pour le contexte d’authentification de l’accès conditionnel.

Voir aussi

Utiliser les étiquettes de confidentialité pour protéger le contenu dans Microsoft Teams, les Groupes Microsoft 365 et les sites SharePoint

Accès conditionnel : applications cloud, actions et contexte d’authentification

Conseils sur les licences Microsoft 365 pour la sécurité et la conformité

  • Last updated on