Partage et autorisations dans SharePoint Embedded
Autorisations additives
Dans SharePoint Embedded, le contenu hérite toujours des autorisations de sa hiérarchie parente. Bien que vous ne puissiez pas modifier cette structure d’autorisation héritée, vous pouvez étendre l’accès au sein d’un conteneur en appliquant des « autorisations additives » à des fichiers et dossiers spécifiques. Par instance, si UserA appartient au rôle Lecteur, vous pouvez accorder à l’utilisateur l’autorisation de modification d’un document particulier dans ce conteneur à l’aide de Microsoft Graph :
| Scénario | API Graph Microsoft | Remarques |
|---|---|---|
| Accorder une autorisation additive | POST /drives/{drive-id}/items/{item-id}/invite | La propriété sendInvitation doit toujours avoir la valeur false. Vous ne pouvez pas accorder d’autorisations additives au dossier racine dans un conteneur, car cela équivaut essentiellement à ajouter un utilisateur à un rôle. Vous ne pouvez pas utiliser les autorisations AppOnly. |
| Récupérer des autorisations | GET /drives/{drive-id}/items/{item-id}/permissions & GET /drives/{drive-id}/items/{item-id}/permissions/{perm-id}, | |
| Supprimer une autorisation d’additif | DELETE /drives/{drive-id}/items/{item-id}/permissions/{perm-id} | Vous pouvez uniquement supprimer l’autorisation d’additif sur l’élément de lecteur où elle a été ajoutée à l’origine. |
Paramètre de partage basé sur les rôles
SharePoint Embedded offre un modèle de partage basé sur les rôles qui permet aux développeurs de configurer des autorisations de partage de fichiers basées sur des rôles d’autorisation de conteneur, offrant ainsi le choix entre le modèle de partage restrictif et le modèle de partage ouvert. Par défaut, le paramètre de partage est configuré sur le modèle ouvert, ce qui autorise le partage de contenu illimité par tous les utilisateurs. Ce paramètre de partage fait partie de la configuration du type de conteneur. Cette configuration ne peut être définie que par les développeurs du propriétaire de l’application. Pour en savoir plus sur les rôles d’autorisation de conteneur, reportez-vous à Authentification et autorisation avec SharePoint Embedded.
Modèle de partage restrictif
Seuls les membres de conteneur qui sont des rôles Propriétaire ou Gestionnaire sont autorisés à ajouter de nouvelles autorisations aux fichiers.
Ouvrir le modèle de partage
Tous les membres de conteneur et invités disposant d’autorisations de modification peuvent ajouter de nouvelles autorisations à ce fichier.
Cela peut être configuré à l’aide de l’applet de commande PowerShell Set-SPOcontainerTypeConfiguration , conformément à cet exemple :
Set-SPOcontainerTypeConfiguration
-containerTypeID <containerTypeID>
-sharingRestricted $false
Paramètre de configuration de partage
Par défaut, la configuration du partage d’applications SharePoint Embedded est identique à la configuration de partage de locataire consommatrice. Par exemple, si le locataire consommateur est configuré pour désactiver le partage pour les invités, l’application SharePoint Embedded ne peut pas ajouter d’invités aux rôles de conteneur ou leur accorder des autorisations additives.
Remplacement du partage externe d’application
Pour les applications SharePoint Embedded, les configurations de partage peuvent être ajustées au niveau de l’application. L’administrateur client qui consomme peut configurer des autorisations différentes des paramètres de partage au niveau du locataire. Par exemple, si le paramètre de partage d’un locataire interdit le partage avec des invités, les applications SharePoint Embedded peuvent être configurées pour autoriser le partage d’invités. Ainsi, tous les conteneurs au sein de cette application SharePoint Embedded ont la possibilité d’inclure des invités ou d’étendre d’autres autorisations, tandis que d’autres applications SharePoint Embedded et SharePoint conservent des autorisations de partage restreintes.
Ce paramètre ne peut être défini qu’en consommant l’administrateur SharePoint Embedded du locataire et peut être configuré à l’aide de la dernière applet de commande PowerShell Set-SPOApplication , comme illustré dans cet exemple :
Set-SPOApplication
-OwningApplicationID <OwningApplicationId>
-OverrideTenantSharingCapability $true
-SharingCapability <SharingCapability>