Synchronisation B2B
L’application de synchronisation OneDrive permet désormais aux utilisateurs de synchroniser des bibliothèques ou des dossiers dans Microsoft SharePoint ou Microsoft OneDrive qui ont été partagés à partir d’autres organisations. Ce scénario est souvent appelé Collaboration B2B (Business-to-Business). Nous appelons cette nouvelle fonctionnalité dans l’application de synchronisation OneDrive « B2B Sync ».
Les comptes invités Microsoft Entra jouent un rôle clé dans la création de B2B Collaboration. Un compte invité dans une organisation est lié à un compte de membre d’une autre organisation. Une fois créé, un compte invité permet aux services Microsoft 365 tels que OneDrive et SharePoint d’accorder une autorisation d’invité aux sites et dossiers de la même façon qu’un membre de l’organisation se voit accorder l’autorisation. Étant donné que les comptes de deux organisations sont liés, l’utilisateur doit uniquement mémoriser le nom d’utilisateur et le mot de passe du compte au sein de son organisation. Par conséquent, une authentification unique à leur compte permet d’accéder au contenu de leur propre organisation et de toutes les autres organisations qui ont créé des comptes invités pour elles.
Important
Nous vous recommandons d’activer l’intégration de SharePoint et OneDrive à Microsoft Entra B2B pour vous assurer que le compte invité Microsoft Entra requis pour le destinataire du partage est créé dans l’annuaire de votre organisation.
Pour que les personnes extérieures à votre organisation synchronisent les bibliothèques et dossiers partagés :
- Le partage externe doit être activé pour votre organisation.
- Le partage externe doit être activé pour le site ou OneDrive.
- Le contenu doit être partagé avec des personnes extérieures à l’organisation au niveau du site ou du dossier. Si un dossier est partagé, il doit passer par un lien qui nécessite une connexion.
- Les destinataires de partage doivent avoir un compte professionnel ou scolaire Microsoft 365 (dans l’ID Microsoft Entra) dans le même cloud que le locataire de contenu ( Microsoft Azure Commercial, Microsoft Azure Government ou Microsoft Azure Chine). (Notez que Microsoft Azure Commercial contient les environnements cloud microsoft 365 commerciaux et GCC, et Microsoft Azure Government contient les environnements cloud GCC High et DoD.)
- Toutes les stratégies d’accès conditionnel Microsoft Entra doivent être compatibles avec les invités (plus d’informations ci-dessous).
- La bibliothèque ADAL ne doit pas être activée si vous utilisez des builds antérieures à la version 19.086.*.
Cet article fournit une vue d’ensemble de l’expérience de synchronisation B2B et décrit ces exigences plus en détail.
- Le contenu partagé à partir d’un locataire dans un cloud (par exemple, Microsoft Azure Chine) ne peut pas être synchronisé par un utilisateur dans un autre cloud (par exemple, Microsoft Azure Commercial).
- Sur le Mac, les miniatures des fichiers à la demande ne s’affichent pas à partir des sites de l’organisation externe. Les miniatures s’affichent correctement pour les fichiers de la propre organisation de l’utilisateur.
- Sur le Mac, si le compte invité a été créé avec un format d’adresse e-mail différent de celui utilisé avec l’application de synchronisation, le contenu du site externe ne peut pas être synchronisé. Par exemple, first.last@fabrikam.com vs alias@fabrikam.com.
- Sur le Mac, le contenu externe peut être placé sur l’ordinateur local dans le dossier de l’organisation de l’utilisateur au lieu d’un dossier portant le nom de l’organisation externe.
- L’interface utilisateur d’authentification interactive pour les comptes invités d’une organisation externe n’est pas prise en charge par le client de synchronisation.
Voici un exemple de ce qui se passe après qu’une personne de « Contoso » partage un site ou un dossier avec une personne à l’adresse « Fabrikam » :
Le destinataire Fabrikam reçoit un e-mail semblable à ce qui suit.
Lorsque le destinataire clique sur le lien dans l’e-mail pour accéder à l’élément partagé, il doit cliquer sur « Compte d’organisation » pour se connecter avec son compte Fabrikam. En arrière-plan, cela crée le compte invité Contoso dans l’ID Microsoft Entra.
Le destinataire peut avoir besoin d’entrer son nom d’utilisateur ou mot de passe Fabrikam, puis il peut afficher l’élément partagé. S’ils ne souhaitent pas synchroniser tout ce qui a été partagé, ils peuvent accéder à la bibliothèque ou au dossier qu’ils souhaitent synchroniser. Pour configurer la synchronisation, ils doivent cliquer sur le bouton Synchroniser.
Le navigateur de l’invité affiche un message lui demandant s’il souhaite ouvrir « Microsoft OneDrive », et il doit l’autoriser.
S’il s’agit de la première fois que l’invité utilise l’application de synchronisation avec son compte Fabrikam, il doit se connecter. L’adresse e-mail est automatiquement définie sur le compte Fabrikam utilisé dans les étapes précédentes. L’invité doit sélectionner « Se connecter ».
L’invité peut être en mesure de se connecter à l’application de synchronisation sans entrer son mot de passe Fabrikam s’il est connecté à Windows avec le même compte. Sinon, ils devront entrer leur mot de passe.
L’invité vérifie où il souhaite synchroniser l’élément partagé sur son ordinateur.
Notes
Le contenu est placé dans un dossier dont le nom inclut le nom de l’organisation (« SharePoint - Contoso » dans cet exemple). Si l’utilisateur synchronise également le contenu SharePoint à partir de Fabrikam, il aura également un dossier « SharePoint - Fabrikam ».
L’invité continue via la configuration de l’application de synchronisation OneDrive.
Une fois l’installation de l’invité terminée, le site commence la synchronisation. L’utilisateur peut cliquer sur l’icône de cloud bleu dans la zone de notification pour ouvrir le centre d’activités de synchronisation OneDrive et voir les fichiers en cours de synchronisation, ouvrir le dossier local avec les fichiers ou ouvrir le site SharePoint dans un navigateur web.
Pour que les utilisateurs de votre organisation puissent partager avec leurs partenaires d’autres organisations, le partage externe doit être activé au niveau de l’organisation. Pour ce faire, vous devez être administrateur global ou SharePoint dans Microsoft 365. Après avoir activé le partage externe au niveau de l’organisation, vous pouvez le restreindre site par site. Les paramètres d’un site peuvent être identiques à ceux de l’organisation, ou plus restrictifs, mais pas plus permissifs.
Vous pouvez modifier les paramètres de partage au niveau de l’organisation à deux endroits différents (les deux contrôlent la même chose) :
- Dans la page Partage du nouveau Centre d’administration SharePoint. Pour plus d’informations, consultez Modifier le paramètre de partage externe au niveau de l’organisation
- Dans le Centre d’administration Microsoft 365, accédez à la page > Paramètres de l’organisation SharePoint.
Important
Si vous autorisez les liens Anyone (parfois appelés « liens d’accès anonyme »), ces liens ne créent pas de comptes invités. Par conséquent, le destinataire du partage externe ne pourra pas tirer parti de la synchronisation B2B lors de la réception de ce type de lien.
Pour plus d’informations, consultez Vue d’ensemble du partage externe.
Lorsque vous autorisez les utilisateurs à partager du contenu de votre organisation en externe, vous pouvez utiliser plusieurs fonctionnalités de Microsoft 365 pour gérer qui a accès au contenu. Les administrateurs et les propriétaires de sites peuvent passer en revue les autorisations et auditer l’accès aux sites. Pour plus d’informations, consultez Recherche de contenu de site partagé avec des personnes extérieures à votre organisation et Activer les notifications de partage externe. Vous pouvez activer le partage externe uniquement avec des domaines Internet spécifiques, ou vous pouvez bloquer des domaines spécifiques. Pour plus d’informations, consultez Partage de domaines restreints. Vous pouvez également autoriser uniquement les membres de groupes de sécurité spécifiques à partager en externe. Pour plus d’informations, consultez Activer ou désactiver le partage externe.
Nous vous recommandons de créer des sites distincts (collections de sites, et non sous-sites) pour chaque unité de travail que vous souhaitez partager en externe. De cette façon, vous pouvez annoter clairement les sites pour indiquer que des personnes extérieures à l’organisation y ont accès et éviter la divulgation involontaire d’informations. Pour les utilisateurs individuels qui partagent du contenu à partir de leur OneDrive, nous vous recommandons de créer des dossiers distincts pour différents projets ou groupes de collaboration.
Vous pouvez supprimer l’autorisation d’un invité sur un site ou un dossier, ou supprimer le compte invité pour supprimer son autorisation de tout le contenu de votre organisation.
Important
Tout contenu synchronisé reste sur l’ordinateur de l’utilisateur une fois les autorisations supprimées.
Pour afficher ou modifier le paramètre de partage d’un site, utilisez le nouveau centre d’administration SharePoint.
Accédez à Sites actifs dans le nouveau Centre d’administration SharePoint, puis connectez-vous à l’aide d’un compte disposant des autorisations d’administrateur pour votre organisation.
Notes
Si vous avez Office 365 géré par 21Vianet (en Chine), connectez-vous au Centre d’administration Microsoft 365, puis recherchez dans le Centre d’administration SharePoint et ouvrez la page de sites actifs.
Personnalisez l’affichage si nécessaire pour afficher la colonne Partage externe.
Si nécessaire, modifiez le paramètre de partage externe pour un site.
Vérifier que toutes les stratégies d’accès conditionnel Microsoft Entra sont compatibles avec l’accès externe
L’administrateur de locataire peut activer plusieurs types de stratégies d’accès conditionnel sur son locataire. Lorsqu’un invité va accéder au contenu d’un locataire, ces stratégies peuvent avoir besoin d’être ajustées pour les invités afin qu’ils puissent y accéder.
Actuellement, le client de synchronisation ne prend pas en charge l’interface utilisateur d’authentification interactive lors de la synchronisation de contenu externe. Toute stratégie qui nécessiterait une interface utilisateur de connexion telle que l’authentification multifacteur (MFA) ou l’invite de conditions d’utilisation empêchera la synchronisation du contenu externe à partir de ce locataire. Si un administrateur de locataire déploie une telle stratégie avant qu’un invité commence la synchronisation à partir de ce locataire, l’utilisateur ne peut pas établir la relation de synchronisation. Si la stratégie est déployée après qu’un invité synchronise le contenu du locataire, cet invité reçoit une erreur et ne peut pas poursuivre la synchronisation à partir du locataire.
Les locataires peuvent mettre à jour leurs conditions d’utilisation de temps à autre. Une stratégie peut déclencher l’utilisateur pour afficher et accepter les informations d’utilisation mises à jour via une invite d’authentification interactive. Étant donné que la synchronisation ne prend pas en charge l’interface utilisateur de connexion du locataire externe, la synchronisation indique qu’elle ne peut pas synchroniser le contenu du site externe.
La conformité des appareils exige que les ordinateurs utilisateur soient gérés par le locataire, puis à jour avec les exigences. Pour les invités, leurs machines sont susceptibles d’être gérées par leur propre organisation et sont donc incompatibles avec l’exigence que leurs machines soient gérées par le locataire de partage de contenu.
Les stratégies d’accès conditionnel basées sur l’emplacement sont généralement utilisées pour appliquer des exigences supplémentaires telles que l’authentification multifacteur lorsque l’utilisateur ne se connecte pas à partir d’un emplacement approuvé (tel que le réseau de bureau du locataire). En règle générale, dans un scénario invité, l’ordinateur client ne se trouve pas aux emplacements approuvés, et étant donné que la synchronisation ne prend pas en charge l’authentification multifacteur, vous ne souhaitez probablement pas que cette stratégie s’applique à vos invités.
Pour plus d’informations, consultez Authentification et accès conditionnel pour les identités externes.
Les sites et les dossiers peuvent être partagés de différentes façons dans SharePoint et OneDrive :
- Si les utilisateurs synchronisent un dossier, ils peuvent cliquer dessus avec le bouton droit dans l’Explorateur de fichiers pour le partager.
- Les utilisateurs peuvent accéder au site ou dossier SharePoint sur le web et cliquer sur le bouton Partager pour le partager.
- Les utilisateurs peuvent partager des sites et des dossiers dans les applications mobiles SharePoint et OneDrive.
- Les administrateurs peuvent créer des comptes invités et utiliser le Centre d’administration ou PowerShell pour les ajouter aux sites.
Notes
Pour plus d’informations sur ces méthodes, consultez Découvrir comment partager un site et Découvrir comment partager un dossier.
B2B Sync fonctionne avec toutes ces méthodes de partage. Il a uniquement les exigences suivantes :
- Pour que les invités puissent synchroniser le contenu partagé, le contenu doit être partagé au niveau du site ou du dossier. Les invités ne peuvent pas synchroniser les fichiers partagés individuellement (par exemple, à partir des applications Office).
- La synchronisation B2B fonctionne uniquement lorsque des comptes invités sont créés dans l’organisation et lorsque le destinataire dispose d’un compte Microsoft Entra. Cela ne fonctionne pas lorsque les utilisateurs partagent en créant un lien Tout le monde (également appelé lien « accès anonyme ») ou lorsqu’ils partagent avec des personnes disposant d’un compte Microsoft ou d’un autre compte personnel.
En tant qu’administrateur dans Microsoft 365, vous pouvez partager avec des personnes extérieures à l’organisation en créant des invités individuellement dans le Centre d’administration Microsoft Entra, puis en les ajoutant à un site d’équipe SharePoint individuellement ou en les ajoutant à un groupe de sécurité qui dispose déjà des autorisations sur le site que vous souhaitez partager. Si vous accordez des autorisations à l’aide de la page autorisations avancées (au lieu du bouton Partager le site), vous devez informer l’invité que vous lui avez accordé l’autorisation d’accéder au site. Ils ne recevront pas d’e-mail d’invitation.
Important
Si vous utilisez la page Autorisations avancées, nous vous recommandons d’accorder des autorisations au niveau du site, et non au niveau de la bibliothèque de documents ou du dossier.
Si vous devez créer et accorder des autorisations à de nombreux comptes invités, vous pouvez utiliser le script PowerShell suivant, qui crée des comptes invités et leur accorde des autorisations sur un site. Le script prend un fichier CSV (valeur séparée par des virgules) comme entrée, qui contient une liste de noms d’affichage d’utilisateur et d’adresses e-mail. Pour chaque nom et adresse e-mail, un compte invité est créé et ce compte est ajouté à un groupe de sécurité pour lui accorder l’autorisation. Le script est conçu pour que vous puissiez alimenter le fichier CSV de sortie obtenu comme entrée du script lors d’une exécution ultérieure. Cela vous permet d’ajouter d’autres utilisateurs à votre fichier CSV ou de réessayer de créer un compte ayant échoué.
Notes
Les modules PowerShell Azure AD et MSOnline seront obsolètes à compter du 30 mars 2024. Pour en savoir plus, consultez la mise à jour sur l’obsolescence. Après cette date, la prise en charge de ces modules sera limitée à l’assistance à la migration vers le kit de développement logiciel Microsoft Graph PowerShell et aux correctifs de sécurité. Les modules obsolètes continueront de fonctionner jusqu’au 30 mars 2025.
Nous vous recommandons de migrer vers Microsoft Graph PowerShell pour interagir avec Microsoft Entra ID (anciennement Azure AD). Pour toutes questions liées à la migration, consultez la FAQ sur la migration.
N’oubliez pas que les versions 1.0. x de MSOnline peut subir une interruption après le 30 juin 2024.
À mesure que les utilisateurs sont ajoutés au groupe Microsoft Entra, ils doivent recevoir un e-mail les invitant au groupe. Après avoir exécuté le script, vous devez envoyer un e-mail aux utilisateurs avec un lien direct vers le site SharePoint auquel vous leur avez accordé des autorisations. Lorsqu’ils cliquent sur le lien, l’interface utilisateur ci-dessous leur est présentée pour accepter les conditions de l’invitation. Une fois qu’ils acceptent, ils sont dirigés vers le site que vous avez partagé avec eux. À ce stade, ils peuvent cliquer sur le bouton Synchroniser pour commencer à synchroniser les fichiers des sites sur leur PC ou Mac.
# first line of InviteGuests.ps1 PowerShell script
# requires latest AzureADPreview
# Get-Module -ListAvailable AzureAD*
# Uninstall-Module AzureAD
# Uninstall-Module AzureADPreview
# Install-Module AzureADPreview
# customizable properties for this script
$csvDir = ''
$csvInput = $csvDir + 'BulkInvite.csv'
$csvOutput = $csvDir + 'BulkInviteResults.csv'
$domain = 'YourTenantOrganization.onmicrosoft.com'
$admin = "admin@$domain"
$redirectUrl = 'https://YourTenantOrganization.sharepoint.com/sites/SiteName/'
$groupName = 'SiteName'
# CSV file expected format (with the header row):
# Name,Email
# Jane Doe,jane@contoso.com
$csv = import-csv $csvInput
# will prompt for credentials for the tenantorganization admin account
# (who has permissions to send invites and add to groups)
Connect-AzureAD -TenantDomain $domain -AccountId $admin
$group = (Get-AzureADGroup -SearchString $groupName)
foreach ($row in $csv)
{
Try
{
if ((Get-Member -inputobject $row -name 'error') -and `
($row.error -eq 'success'))
{
$out = $row #nothing to do, user already invited and added to group
}
else
{
echo ("name='$($row.Name)' email='$($row.Email)'")
$inv = (New-AzureADMSInvitation -InvitedUserEmailAddress $row.Email -InvitedUserDisplayName $row.Name `
-InviteRedirectUrl $redirectUrl -SendInvitationMessage $false)
$out = $row
$out|Add-Member -MemberType ScriptProperty -force -name 'time' -Value {$(Get-Date -Format u)}
$out|Add-Member -MemberType ScriptProperty -force -name 'status' -Value {$inv.Status}
$out|Add-Member -MemberType ScriptProperty -force -name 'userId' -Value {$inv.InvitedUser.Id}
$out|Add-Member -MemberType ScriptProperty -force -name 'redeemUrl' -Value {$inv.inviteRedeemUrl}
$out|Add-Member -MemberType ScriptProperty -force -name 'inviteId' -Value {$inv.Id}
# this will send a welcome to the group email
Add-AzureADGroupMember -ObjectId $group.ObjectId -RefObjectId $inv.InvitedUser.Id
$out|Add-Member -MemberType ScriptProperty -force -name 'error' -Value {'success'}
}
}
Catch
{
$err = $PSItem.Exception.Message
$out|Add-Member -MemberType ScriptProperty -force -name 'error' -Value {$err}
}
Finally
{
$out | export-csv -Path $csvOutput -Append
}
}
# for more information please see
# https://learn.microsoft.com/azure/active-directory/b2b/b2b-tutorial-bulk-invite
# end of InviteGuests.ps1 powershell script
Si vous souhaitez obtenir plus d’informations, voir :
Si le compte invité d’une personne est supprimé ou si son autorisation de partager du contenu est supprimée, l’application de synchronisation affiche une erreur.
Une notification s’affiche indiquant que la bibliothèque ne peut pas être synchronisée.
L’icône OneDrive dans la zone de notification affiche une erreur.
Lorsque l’invité clique sur l’icône, une bannière d’erreur s’affiche dans le centre d’activités.
La fonctionnalité de synchronisation B2B de l’application de synchronisation OneDrive permet aux utilisateurs d’une organisation de synchroniser le contenu partagé avec eux à partir d’une autre organisation. Si vous souhaitez empêcher les utilisateurs de votre organisation de pouvoir utiliser B2B Sync, vous pouvez définir une valeur de stratégie sur le PC Windows ou le Mac de vos utilisateurs pour bloquer la synchronisation externe.
Vous devez uniquement effectuer ces actions si vous souhaitez empêcher les utilisateurs de votre organisation d’utiliser la fonctionnalité de synchronisation B2B (pour empêcher la synchronisation des bibliothèques et dossiers partagés à partir d’autres organisations).
Le nouveau paramètre BlockExternalSync est décrit dans les fichiers adm\OneDrive.admx et OneDrive.adml installés dans le cadre de la version 19.086.* ou ultérieure du produit de synchronisation OneDrive. Si vous utilisez ADM pour gérer vos stratégies d’application de synchronisation, importez les nouveaux fichiers comme vous le feriez normalement afin de voir le nouveau paramètre.
Si vous utilisez d’autres systèmes de gestion pour déployer des stratégies sur les PC Windows de vos utilisateurs, utilisez l’équivalent de la commande suivante pour empêcher la synchronisation B2B :
reg add "HKLM\SOFTWARE\Policies\Microsoft\OneDrive" /v BlockExternalSync /t REG_DWORD /d 1
Sur un Mac avec la version Apple Store de OneDrive, utilisez l’équivalent de la commande suivante pour empêcher la synchronisation B2B :
defaults write com.microsoft.OneDrive-mac BlockExternalSync -bool YES
Sur un Mac avec la version autonome de OneDrive, utilisez l’équivalent de la commande suivante pour empêcher la synchronisation B2B :
defaults write com.microsoft.OneDrive BlockExternalSync -bool YES