Gestion des paramètres de sécurité SharePoint Online

En tant qu’administrateur SharePoint ou Global dans Microsoft 365, vous devez souvent restreindre, accorder l’accès ou évaluer le niveau d’ass à une variété de domaines à l’intérieur de votre environnement SharePoint Online. En tant que gardien de l’entreprise, vous avez accès aux outils du Centre d’administration SharePoint qui peuvent vous aider à configurer les niveaux d’accès et d’autorisation.

Contrôle de l’accès à partir de périphériques non contrôlés

L’administrateur SharePoint ou Global peut bloquer ou limiter l’accès à SharePoint et OneDrive à partir d’appareils non gérés (ceux qui ne sont pas compatibles avec l’AD hybride ou conformes à Intune). Vous pouvez bloquer ou limiter l’accès pour :

• Tous les utilisateurs de l’organisation ou seulement certains utilisateurs ou groupes de sécurité.
• Tous les sites de l’organisation ou seulement certains sites.

La limitation de l’accès permet aux utilisateurs de rester productifs tout en s’attaquant au risque de perte accidentelle de données sur les appareils nongestionnants. Lorsque vous limitez l’accès :

• Les utilisateurs sur les périphériques gérés auront un accès complet.
• Les utilisateurs sur les périphériques nongestioneux auront accès uniquement au navigateur sans possibilité de télécharger, d’imprimer ou de synchroniser des fichiers. Ils ne pourront pas non plus accéder au contenu via des applications, y compris les applications de bureau Microsoft Office.

Remarque : lorsque vous limitez l’accès, vous pouvez choisir d’autoriser ou de bloquer les fichiers d’édition dans le navigateur. Lorsque l’accès web est limité, les utilisateurs affichent le message suivant en haut des sites : bloquer ou limiter l’accès sur les périphériques nongestionés repose sur des stratégies d’accès conditionnel Azure AD

Bloquer l’accès à l’aide du nouveau Centre d’administration SharePoint

Vous devez effectuer les étapes suivantes pour bloquer l’accès à l’aide du Centre d’administration SharePoint :

1. Dans le Centre d’administration SharePoint, accédez à la page de contrôle Access et connectez-vous avec un compte doté d’autorisations d’administrateur pour votre organisation.
2. Sélectionnez Périphériques non gérés.
3. Sélectionnez Bloquer l’accès, puis sélectionnez Enregistrer. (Notez que la sélection de cette option désactivera toutes les stratégies d’accès conditionnel que vous avez créées à partir de cette page et créera une nouvelle stratégie d’accès conditionnel qui s’applique à tous les utilisateurs. Les personnalisations que vous avez effectuées sur les stratégies précédentes ne seront pas reportées.)
4. Accédez au Centre d’administration Azure AD et sélectionnez Azure Active Directory dans le volet gauche.
5. Sous Sécurité, sélectionnez Accès conditionnel.
6. Sélectionnez la stratégie [SharePoint admin Center]Utiliser les restrictions appliquées par l’application pour l’accès au navigateur.
7. Sélectionnez Conditions, puis sélectionnez Applications clientes. « Navigateur » doit déjà être sélectionné. Sélectionnez Applications mobiles et clients de bureau, sélectionnez Clients d’authentification moderne et Autres clients, puis Sélectionnez Terminé deux fois.
8. Assurez-vous que sous Session, utilisez les restrictions appliquées de l’application et assurez-vous que la stratégie Activer est active.
9. Sélectionnez Enregistrer.

Lors de la configuration de l’accès conditionnel dans les étapes précédentes, les options suivantes sont disponibles :

• Utilisez des restrictions appliquées par l’application. Ce contrôle ne fonctionne qu’avec les applications prises en charge. Actuellement Exchange Online et SharePoint Online sont les seules applications cloud qui prennent en charge les restrictions appliquées par l’application.
• Contrôle de l’application d’accès conditionnel. Ce contrôle ne fonctionne qu’avec les applications en vedette.

Contrôler l’accès aux données SharePoint et OneDrive en fonction de l’emplacement du réseau

Vous devez tenir compte des problèmes suivants avant de cofigurer le paramètre d’accès conditionnel pour contrôler l’accès aux données SharePoint et OneDrive en fonction de l’emplacement du réseau :

• Partage externe. Si des fichiers et des dossiers ont été partagés avec des invités qui s’authentifient, ils ne pourront pas accéder aux ressources en dehors de la plage d’adresses IP définie.
• Accédez à partir d’applications de première et tierces. Normalement, un document SharePoint peut être consulté à partir d’applications telles que Exchange, Yammer, Skype, Teams, Planner, Flow, PowerBI, Power Apps, OneNote, etc. Lorsqu’une stratégie basée sur la localisation est activée, les applications qui ne prennent pas en charge les stratégies basées sur l’emplacement sont bloquées. Les seules applications qui prennent actuellement en charge les stratégies basées sur l’emplacement sont Teams, Yammer et Exchange. Cela signifie que toutes les autres applications sont bloquées, même lorsque ces applications sont hébergées dans la limite réseau approuvée. C’est parce que SharePoint ne peut pas déterminer si un utilisateur de ces applications se trouve dans la limite approuvée.
• Accès à partir de plages IP dynamiques. Plusieurs services et fournisseurs hébergent des applications qui ont des adresses IP dynamiques d’origine. Par exemple, un service qui accède à SharePoint pendant l’exécution à partir d’un centre de données Azure peut commencer à s’exécuter à partir d’un centre de données différent en raison d’une condition de basculement ou d’une autre raison, modifiant ainsi dynamiquement son adresse IP. La stratégie d’accès conditionnel basée sur la localisation repose sur des plages d’adresses IP fixes et approuvées. Si la plage d’adresses IP ne peut pas être déterminée à l’avance, la stratégie basée sur la localisation peut ne pas être une option pour votre environnement.

Vous devez effectuer les étapes suivantes pour configurer une stratégie basée sur l’emplacement pour l’accès au repos :

• Accédez à la page de contrôle Access du nouveau Centre d’administration SharePoint et connectez-vous avec un compte doté d’autorisations d’administrateur pour votre organisation.
• Sélectionnez Emplacement réseau et activez Autoriser l’accès uniquement à partir de plages d’adresses IP spécifiques.
• Entrez les adresses IP et les plages d’adresses séparées par des virgules.

Authentification

Par défaut, tous les cookies SharePoint Online sont des cookies de session. Ces cookies ne sont pas enregistrés dans le cache de cookies du navigateur et sont supprimés chaque fois que le navigateur est fermé. Azure AD fournit un bouton Keep Me Signed In pendant la connexion qui transmet un signal à Microsoft 365 pour activer les cookies persistants. Ces cookies sont enregistrés dans le cache du navigateur et persisteront même si le navigateur est fermé ou si l’ordinateur est redémarré.

Les cookies persistants ont un impact énorme sur l’expérience de connexion en réduisant le nombre d’invites d’authentification que les utilisateurs voient. Des cookies persistants sont également requis pour certaines fonctionnalités SharePoint Online, telles que Ouvrir avec l’Explorateur et les lecteurs mappés.

Vous devez effectuer les étapes suivantes pour spécifier les paramètres de déconnexion de session inactifs dans le nouveau Centre d’administration SharePoint :

1. Accédez à la page de contrôle Access du nouveau Centre d’administration SharePoint et connectez-vous avec un compte doté d’autorisations d’administrateur pour votre organisation.
2. Sélectionnez Connexion à la session d’activité.
3. Activez Les utilisateurs inactifs, puis sélectionnez lorsque vous souhaitez déconnecter les utilisateurs et combien de préavis vous souhaitez leur donner avant de les déconnecter.
4. Sélectionnez Enregistrer.