Partager via


Présentation des groupes de sécurité dans SharePoint Server

S’APPLIQUE À :oui-img-132013 oui-img-162016 oui-img-192019 oui-img-seÉdition d’abonnement no-img-sopSharePoint dans Microsoft 365

Vous pouvez gérer les utilisateurs des sites SharePoint plus efficacement si vous attribuez des niveaux d'autorisation à des groupes plutôt qu'à des utilisateurs spécifiques. Un groupe SharePoint est un ensemble d'utilisateurs individuels et peut également comprendre des groupes de services de domaine Active Directory (AD DS).

Découvrez les groupes dans Microsoft 365.

Introduction

Dans AD DS, les groupes suivants sont couramment utilisés pour organiser les utilisateurs :

  • Groupe de distribution Ce groupe, uniquement utilisé pour la distribution de courrier électronique, n'est pas sécurisé. Les groupes de distribution ne peuvent pas être répertoriés dans les listes de contrôle d'accès discrétionnaires, qui sont utilisées pour définir des autorisations sur les ressources et les objets.

  • Groupe de sécurité Ce groupe peut être répertorié dans les listes de contrôle d'accès discrétionnaires. Un groupe de sécurité peut également servir d'entité de messagerie.

Vous pouvez utiliser les groupes de sécurité afin de contrôler les autorisations pour votre site en ajoutant des groupes de sécurité aux groupes SharePoint et en accordant des autorisations aux groupes SharePoint. Vous ne pouvez pas ajouter des groupes de distribution aux groupes SharePoint, mais vous pouvez développer un groupe de distribution et ajouter des membres individuels à un groupe SharePoint. Si vous utilisez cette méthode, vous devez maintenir manuellement la synchronisation entre le groupe SharePoint et le groupe de distribution. Si vous utilisez des groupes de sécurité, il est inutile de gérer les utilisateurs individuels dans l'application SharePoint. Puisque vous avez inclus le groupe de sécurité au lieu des membres individuels du groupe, AD DS gère les utilisateurs pour vous.

Notes

Pour une gestion aisée de la sécurité, nous vous déconseillons les actions suivantes quand vous gérez des groupes AD DS : > Attribuez des niveaux d’autorisation directement aux groupes AD DS. > Ajout de groupes de sécurité qui contiennent des groupes de sécurité imbriqués, des contacts ou des listes de distribution.

Décider si ajouter ou non des groupes de sécurité

L’ajout de groupes de sécurité aux groupes SharePoint offre la gestion centralisée des groupes et de la sécurité. Le groupe de sécurité est le seul endroit où gérer des utilisateurs individuels. Après l’ajout du groupe de sécurité à un groupe SharePoint, vous n’avez pas à gérer les membres du groupe de sécurité dans ce groupe SharePoint. Si un utilisateur est supprimé du groupe de sécurité, il est automatiquement supprimé du groupe SharePoint.

Toutefois, les groupes de sécurité dans les sites SharePoint ne procurent pas une visibilité complète de ce qui se passe. Par exemple, lorsqu'un groupe de sécurité est ajouté à un groupe SharePoint pour un site spécifique, ce site n'apparaît pas dans les Sites Mon site des utilisateurs. La liste des informations utilisateur n'affiche pas les utilisateurs individuels tant qu'ils n'ont pas contribué au site. En outre, les groupes de sécurité dont la structure est fortement imbriquée risquent d'affecter l'intégrité des sites SharePoint.

Compte tenu des avantages et des inconvénients indiqués ci-dessus, voici les recommandations :

  • Pour les sites intranet largement accessibles à vos utilisateurs, utilisez des groupes de sécurité car vous ne vous souciez pas des utilisateurs individuels ayant accédé à la page d’accueil du site intranet.

  • Pour les sites de collaboration auxquels accède un groupe réduit d'utilisateurs, ajoutez les utilisateurs directement à des groupes SharePoint. Dans ce cas, il peut s'avérer nécessaire de savoir qui est membre afin que chaque membre du groupe connaisse l'adresse de messagerie des autres membres et qu'il sache comment les contacter.

Déterminer les groupes de sécurité à utiliser pour l’octroi de l’accès aux sites

Chaque organisation configure ses groupes de sécurité différemment. Pour faciliter la gestion des autorisations, les groupes de sécurité doivent être :

  • Suffisamment grande et stable pour que vous n’ajoutiez pas continuellement d’autres groupes de sécurité à vos sites SharePoint.

  • suffisamment petits pour que vous puissiez attribuer les autorisations appropriées.

Par exemple, un groupe de sécurité nommé « tous les utilisateurs du bâtiment 2 » n'est probablement pas assez petit pour attribuer des autorisations, sauf si tous les utilisateurs du bâtiment 2 ont la même fonction, telle que secrétaires à la comptabilité clients. Ce scénario se produit rarement. Ainsi, vous devez rechercher un ensemble d'utilisateurs plus petit et plus spécifique tel que « Comptabilité clients ».

Décider s’il faut autoriser l’accès à tous les utilisateurs authentifiés

Si vous souhaitez que tous les utilisateurs de votre domaine soient en mesure d’afficher le contenu de votre site, envisagez d’accorder l’accès à tous les utilisateurs authentifiés (le groupe de sécurité Windows Utilisateurs du domaine). Ce groupe spécial permet à tous les membres de votre domaine d’accéder à un site web (au niveau d’autorisation que vous choisissez), sans que vous ayez à activer l’accès anonyme.

Décider s’il faut autoriser l’accès aux utilisateurs anonymes

Vous pouvez activer l’accès anonyme pour permettre aux utilisateurs d’afficher les pages de façon anonyme. La plupart des sites web Internet autorisent l'affichage anonyme d'un site, mais peuvent exiger une authentification lorsqu'un utilisateur souhaite modifier le site ou acheter un article sur un site d'achat. L'accès anonyme est désactivé par défaut et doit être accordé au niveau de l'application web au moment de la création de celle-ci.

Si l'accès anonyme est autorisé pour l'application web, les administrateurs de site peuvent décider s'il convient d'accorder l'accès anonyme à un site ou à une partie du contenu de ce site.

L'accès anonyme repose sur le compte d'utilisateur anonyme sur le serveur web. Ce compte est créé et géré par Internet Information Services (IIS), et non par votre site SharePoint. Par défaut, dans IIS, le compte d'utilisateur anonyme est IUSR. Lorsque vous autorisez l’accès anonyme, vous octroyez en fait à ce compte l’accès au site SharePoint. L’autorisation d’accès à un site, ou à des listes et des bibliothèques, accorde l’autorisation Afficher les éléments au compte d’utilisateur anonyme. Même avec l’autorisation Afficher les éléments, il existe des restrictions aux tâches que les utilisateurs anonymes peuvent effectuer. Les utilisateurs anonymes ne peuvent pas :

  • ouvrir des sites pour les modifier dans Office SharePoint Designer ;

  • afficher des sites dans les Favoris réseau ;

  • télécharger ou modifier des documents dans les bibliothèques de documents, telles que les bibliothèques Wiki.

    Importante

    Pour améliorer la sécurité des sites, des listes ou des bibliothèques, n'activez pas l'accès anonyme. L'accès anonyme permet aux utilisateurs de contribuer aux listes, aux discussions et aux enquêtes, ce qui peut se traduire par la consommation de l'espace disque sur le serveur et d'autres ressources. En outre, l'accès anonyme permet aux utilisateurs anonymes de découvrir des informations de site, notamment les adresses de messagerie des utilisateurs et du contenu publié dans les listes, les bibliothèques et les discussions.

Les stratégies d'autorisation permettent de configurer et de gérer de façon centralisée un ensemble d'autorisations qui concerne uniquement un sous-ensemble d'utilisateurs ou de groupes dans une application web. Vous pouvez gérer la stratégie d'autorisation pour les utilisateurs anonymes en activant ou en désactivant l'accès anonyme pour une application web. Si vous activez l'accès anonyme pour une application web, les administrateurs de site peuvent accorder ou refuser l'accès anonyme au niveau de la collection de sites, du site ou de l'élément. Si l'accès anonyme est désactivé pour une application web, aucun site au sein de cette application web n'est accessible par les utilisateurs anonymes.

  • Aucune Aucune stratégie. Cette option est celle par défaut. Aucune restriction d’autorisation ou ajout supplémentaire n’est appliqué aux utilisateurs anonymes du site.

  • Refuser l'accès en écriture Les utilisateurs anonymes ne peuvent pas écrire du contenu, même si l'administrateur de site tente spécifiquement d'accorder cette autorisation au compte d'utilisateur anonyme.

  • Refuser tous les accès Les utilisateurs anonymes n'ont aucun accès, même si les administrateurs de sites tentent spécifiquement d'accorder au compte d'utilisateur anonyme un accès à leurs sites. Pour plus d’informations sur les stratégies d’autorisation, voir Gérer les stratégies d’autorisation pour une application web dans SharePoint Server.

Voir aussi

Autres ressources

Planification des autorisations pour les sites et le contenu dans SharePoint Server

Gérer des stratégies d'autorisation pour une application web dans SharePoint Server