Partager via


Héritage des autorisations dans SharePoint

Bien que SharePoint autorise une personnalisation considérable des autorisations de site, y compris la modification de l’héritage, nous vous recommandons vivement de ne pas rompre l’héritage. Utilisez les groupes SharePoint intégrés pour les sites de communication et gérez les autorisations de site d’équipe via le groupe Microsoft 365 associé. Utilisez des liens de partage pour partager des fichiers et dossiers individuels avec des personnes extérieures au site. Cela facilite beaucoup l’administration. Pour plus d’informations sur la gestion des autorisations dans l’expérience moderne SharePoint, voir Partage et autorisations dans l’expérience moderne SharePoint.

Qu’est-ce que l’héritage des autorisations ?

L’héritage des autorisations signifie que les paramètres d’autorisation d’un élément dans une collection de sites sont transmis aux enfants de cet élément. De cette façon, les sites héritent des autorisations du site de niveau supérieur (« racine ») de la collection de sites, les bibliothèques héritent du site qui contient la bibliothèque, etc. L’héritage d’autorisation vous permet d’effectuer une attribution d’autorisation une seule fois et de faire en sorte que cette autorisation s’applique à tous les sites, listes, bibliothèques, dossiers et éléments qui héritent d’autorisations. Ce comportement peut réduire la complexité et le temps que les administrateurs de collections de sites et les propriétaires de sites consacrent à la gestion de la sécurité.

Par défaut, les sites SharePoint héritent des autorisations d’un site parent. Cela signifie que lorsque vous affectez un utilisateur au groupe Membres, les autorisations de l’utilisateur descendent automatiquement en cascade dans tous les sites, listes, bibliothèques, dossiers et éléments qui héritent du niveau d’autorisation.

Qu’est-ce qu’un parent dans les autorisations SharePoint ?

Le terme parent, lorsqu’il est utilisé dans les autorisations SharePoint, n’est qu’un moyen de mettre l’accent sur l’héritage. Le parent transmet ses paramètres d’autorisation à tous ses enfants. Par défaut, le site racine d’une collection de sites est le premier parent de tous les sites et autres objets qui se trouvent en dessous dans la hiérarchie de sites.

Le site racine d’une collection de sites n’est pas le seul parent. Chaque objet sécurisable (sites, bibliothèques, listes, etc.) d’une collection de sites peut être un parent. Autrement dit, le site racine est le parent de ses sous-sites, chaque site est le parent de ses bibliothèques et de ses listes, et chaque liste est le parent des éléments de liste qu’il contient. Dans cette terminologie, un objet avec un parent est appelé enfant. Ainsi, un sous-site est l’enfant de son site parent, un élément de liste est l’enfant de son parent de liste, et ainsi de suite.

Importante

Nous vous recommandons de créer une collection de sites pour chaque unité de travail au lieu d’utiliser des sous-sites pour créer une structure hiérarchique. En savoir plus sur l’utilisation de sites hub pour organiser votre intranet

Par défaut, les autorisations sont héritées de parent à enfant. Autrement dit, si vous ne modifiez pas la structure des autorisations, un élément de liste hérite des autorisations (par le biais de sa liste parente) du site racine dans la collection. Toutefois, même si vous rompez l’héritage d’une liste, cette liste est toujours un parent pour ses propres éléments de liste. Les éléments de liste de la liste héritent des autorisations dont dispose la liste, et si vous modifiez les autorisations pour la liste, les éléments de liste héritent des modifications.

Lorsque vous interrompez pour la première fois cette chaîne d’héritage du parent à l’enfant, l’enfant commence par une copie des autorisations du parent. Ensuite, vous modifiez ces autorisations pour les rendre comme vous le souhaitez. Vous pouvez ajouter des autorisations, supprimer des autorisations, créer des groupes spéciaux, etc. Aucune des modifications n’affecte le parent d’origine. Et, si vous décidez que la rupture de l’héritage n’était pas la mauvaise décision, vous pouvez reprendre l’héritage des autorisations à tout moment.

Lorsqu’un utilisateur partage ou arrête de partager un élément qui contient d’autres éléments dont l’héritage est rompu, un push-down unique de cette ajout ou suppression d’autorisation est envoyé à tous les éléments enfants, même ceux dont l’héritage est rompu. Cela s’applique à la fois aux autorisations directes et aux liens de partage. Lors de la gestion des autorisations d’un élément dont l’héritage est rompu, les utilisateurs peuvent supprimer les autorisations directes sur celui-ci. Si un élément dont l’héritage est rompu est accessible par un lien de partage créé sur l’un de ses dossiers parents et qu’un utilisateur ne souhaite pas que ce lien accorde l’accès à l’élément, les utilisateurs peuvent supprimer entièrement le lien ou déplacer le fichier en dehors du dossier pour lequel le lien de partage dispose d’autorisations.

En savoir plus sur l’héritage des autorisations

L’héritage d’autorisation permet à un administrateur d’attribuer des niveaux d’autorisation en même temps et de faire en place les autorisations dans l’ensemble de la collection de sites. Les autorisations passent du parent au niveau enfant dans toute la hiérarchie SharePoint, du niveau supérieur d’un site au bas. L’héritage des autorisations peut faire gagner du temps aux administrateurs de site, en particulier sur les collections de sites volumineuses ou complexes.

Toutefois, certains scénarios ont des exigences différentes. Dans un scénario, vous devrez peut-être restreindre l’accès à un site, car il contient des informations sensibles que vous devez protéger. Dans un autre scénario, vous souhaiterez peut-être étendre l’accès et inviter d’autres personnes à partager des informations. Si vous le souhaitez, vous pouvez interrompre le comportement d’héritage (arrêter d’hériter des autorisations) à n’importe quel niveau de la hiérarchie.

Examinons des exemples de ces différents scénarios.

Supposons que vous ayez une société appelée Northwind Traders. Vous créez un site de communication appelé « Avantages » avec l’URL northwindtraders.sharepoint.com/sites/benefits. À la racine de la collection de sites, vous configurez des groupes SharePoint, attribuez des niveaux d’autorisation et ajoutez des utilisateurs aux groupes.

Supposons ensuite que vous créez des sous-sites pour le site « Avantages », tels que « Soins de santé » (northwindtraders.sharepoint.com/sites/benefits/healthcare) et « Retraite » (northwindtraders.sharepoint.com/sites/benefits/retirement). Ces sous-sites peuvent même contenir davantage de sous-sites. Par exemple, le sous-site « Soins de santé » peut avoir un sous-site « Dental » (northwindtraders.sharepoint.com/sites/benefits/healthcare/dental).

Scénario qui utilise le comportement par défaut

Par défaut, les autorisations passent directement aux sous-sites. Autrement dit, les groupes et les niveaux d’autorisation que vous avez attribués à la racine de la collection de sites sont automatiquement transmis au sous-site pour être réutilisés.

Scénario qui restreint l’accès à un site et à ses enfants

Supposons que votre entreprise offre des avantages spéciaux uniquement pour les cadres. Dans ce cas, les administrateurs décident de séparer le sous-site « Exécutif » et de rompre l’héritage du site parent, « Avantages ».

Les propriétaires de site pour le site « Exécutif » modifient les autorisations du site, en supprimant certains groupes et en créant d’autres. Les sous-sites du site « Executive », « Bonus » et « Company transportation », héritent désormais des autorisations uniquement du sous-site « Executive ». Seuls les groupes et les utilisateurs pour « Executive » peuvent accéder aux listes et bibliothèques qui contiennent des informations sensibles.

Pour faciliter la maintenance, nous vous recommandons d’utiliser une méthode similaire pour restreindre l’accès. Autrement dit, organisez votre site de sorte que le matériel sensible se trouve au même endroit. Si vous organisez le site de cette façon, vous ne devez interrompre l’héritage qu’une seule fois, pour ce site ou bibliothèque spécifique. C’est beaucoup moins de frais généraux. Cela nécessite beaucoup moins de travail que la création de structures d’autorisation distinctes dans de nombreux emplacements pour des sous-sites et des bibliothèques individuels.

Scénario qui partage l’accès à un dossier et à ses enfants

Supposons qu’un employé de Northwind Traders a embauché des consultants et qu’il souhaite collaborer avec eux sur des documents dans SharePoint. L’employé ne souhaite pas donner aux consultants l’accès à autre chose sur le site SharePoint.

Lorsque l’employé partage le dossier avec les consultants, SharePoint gère automatiquement tous les détails des autorisations et des accès, en cassant l’héritage sur le dossier lui-même. Les consultants peuvent accéder à tous les documents du dossier, mais ils ne peuvent pas afficher ou accéder à d’autres informations sur le site. Même si l’héritage est techniquement rompu, si des personnes sont ajoutées ultérieurement à la collection de sites parente, elles sont automatiquement autorisées à accéder au dossier partagé.