Gouvernance de l’accès dans les groupes Microsoft 365, Teams et SharePoint

De nombreux contrôles vous permettent de régir la façon dont les personnes accèdent aux ressources dans les groupes, les équipes et SharePoint. Passez en revue ces options et réfléchissez à la façon dont elles correspondent aux besoins de votre entreprise, à la sensibilité de vos données et à l’étendue des personnes avec lesquelles vos utilisateurs doivent collaborer.

Le tableau suivant fournit une référence rapide pour les contrôles d’accès disponibles dans Microsoft 365. Pour plus d’informations, consultez les sections suivantes.

Catégorie Description Référence
Appartenance
Appartenance à un groupe dynamique basée sur des règles Créer ou mettre à jour un groupe dynamique dans Microsoft Entra ID
Contrôler qui peut partager des fichiers, des dossiers et des sites. Configurer et gérer les demandes d’accès
Accès conditionnel
Authentification multifacteur Authentification multifacteur Microsoft Entra
Contrôlez l’accès aux appareils en fonction de la sensibilité du groupe, de l’équipe ou du site. Utiliser les étiquettes de confidentialité pour protéger le contenu dans Microsoft Teams, les Groupes Microsoft 365 et les sites SharePoint
Limitez l’accès au site pour les appareils non gérés. Contrôler l’accès à SharePoint à partir d’appareils non gérés
Contrôler l’accès au site en fonction de l’emplacement Contrôler l’accès aux données SharePoint et OneDrive en fonction de l’emplacement réseau
Appliquer des conditions d’accès plus strictes lorsque les utilisateurs accèdent aux sites SharePoint. Stratégie d’accès conditionnel pour les sites SharePoint et OneDrive
Accès invité
Autoriser ou bloquer le partage SharePoint à partir de domaines spécifiés. Restreindre le partage de contenu SharePoint et OneDrive par domaine
Autorisez ou bloquez l’appartenance à une équipe ou à un groupe à partir de domaines spécifiés. Autoriser ou bloquer des invitations à des utilisateurs B2B à partir d’organisations spécifiques
Empêcher le partage anonyme. Désactiver les liens Tout le monde
Contrôler les autorisations pour les liens d’accès anonyme. Définir des autorisations de lien pour les liens Tout le monde
Contrôler l’expiration des liens de partage anonymes. Définir une date d’expiration pour les liens Tout le monde
Contrôlez le type de lien de partage affiché aux utilisateurs par défaut. Modifier le type de lien par défaut d’un site
Limitez le partage externe à des personnes spécifiques. Limiter le partage externe à des groupes de sécurité spécifiés
Contrôlez l’accès invité à un groupe, une équipe ou un site en fonction de la sensibilité des informations. Utiliser les étiquettes de confidentialité pour protéger le contenu dans Microsoft Teams, les Groupes Microsoft 365 et les sites SharePoint
Désactivez les options de partage. Limiter le partage dans Microsoft 365
Gestion des utilisateurs
Passez régulièrement en revue l’appartenance à une équipe et à un groupe. Que sont les révisions d’accès Microsoft Entra ?
Automatisez la gestion des accès aux groupes et aux équipes. Qu’est-ce que Microsoft Entra gestion des droits d’utilisation ?
Limitez l’accès OneDrive aux membres d’un groupe de sécurité spécifique. Restreindre l’accès à OneDrive par groupe de sécurité
Restreindre l’accès des équipes ou du site aux membres d’un groupe. Restreindre l’accès au site SharePoint aux membres d’un groupe
Classification des informations
Classifier des groupes et des équipes Utiliser les étiquettes de confidentialité pour protéger le contenu dans Microsoft Teams, les Groupes Microsoft 365 et les sites SharePoint
Classifier automatiquement le contenu sensible Appliquer automatiquement une étiquette de confidentialité au contenu
Chiffrer le contenu sensible Restreindre l'accès au contenu grâce à la mise en place d'un chiffrement par les étiquettes de confidentialité
Segmentation des utilisateurs
Restreindre la communication entre les segments d’utilisateurs Obstacles aux informations
Résidence de données
Stocker des données dans des emplacements géographiques spécifiques Microsoft 365 Multi-Geo

Appartenance

Vous pouvez gérer dynamiquement l’appartenance à un groupe ou à une équipe en fonction de certains critères, tels que le service. Dans ce cas, les membres et les propriétaires ne peuvent pas inviter des personnes à rejoindre l’équipe. Les groupes dynamiques utilisent des métadonnées que vous définissez dans Microsoft Entra’ID pour contrôler qui est membre du groupe. Assurez-vous que les métadonnées que vous utilisez sont complètes et à jour, car des métadonnées incorrectes peuvent entraîner l’ajout d’utilisateurs en dehors de groupes ou d’utilisateurs incorrects.

Les sites SharePoint permettent d’ajouter des propriétaires, des membres et des visiteurs en dehors de l’appartenance à un groupe ou à une équipe. En fonction de vos besoins, vous pouvez restreindre les personnes autorisées à inviter des personnes sur le site. En outre, en fonction du niveau de confidentialité des informations d’un site donné, vous pouvez restreindre les personnes autorisées à partager des fichiers et des dossiers. Ces restrictions sont configurées par l’équipe, le groupe ou le propriétaire du site :

Accès conditionnel

Avec Microsoft 365, vous pouvez exiger l’authentification multifacteur pour les personnes à l’intérieur et à l’extérieur de votre organization. Il existe de nombreuses options pour les circonstances où les utilisateurs sont invités à entrer un deuxième facteur d’authentification. Nous vous recommandons vivement de déployer l’authentification multifacteur pour votre organization :

Si vous avez des informations sensibles dans certains de vos groupes et équipes, vous pouvez appliquer des stratégies de gestion des appareils basées sur l’étiquette de confidentialité d’un groupe ou d’une équipe. Vous pouvez bloquer entièrement l’accès à partir d’appareils non gérés, ou autoriser un accès limité uniquement au web :

Dans SharePoint, vous pouvez restreindre l’accès aux sites à partir d’emplacements réseau spécifiés.

Ressources supplémentaires :

Accès invité

Vous pouvez restreindre les invités en fonction du domaine de leur adresse e-mail. SharePoint offre des paramètres de restriction de domaine organization et spécifiques au site. Les groupes et Teams utilisent les listes d’autorisation ou les listes de blocage de domaine dans Microsoft Entra ID. Veillez à configurer les deux paramètres pour éviter les partages indésirables et garantir une expérience utilisateur cohérente :

Microsoft 365 autorise le partage anonyme de fichiers et de dossiers à l’aide de liens de partage Anyone . Les liens tout le monde peuvent être transférés et toute personne disposant du lien peut accéder à l’élément partagé. En fonction de la sensibilité de vos données, envisagez de régir la façon dont les liens Anyone sont utilisés, notamment en les désactivant entièrement, en limitant les autorisations de lien en lecture seule ou en définissant un délai d’expiration pour eux :

Lors du partage de fichiers ou de dossiers, les utilisateurs ont le choix entre plusieurs types de liens. Pour réduire le risque de partage accidentel inapproprié, vous pouvez modifier le type de lien par défaut présenté aux utilisateurs lorsqu’ils partagent. Par exemple, la modification de la valeur par défaut des liens Tout le monde (qui autorisent l’accès anonyme) pour Personnes dans vos liens organization peut réduire le risque de partage externe indésirable d’informations sensibles :

Si votre organization contient des données sensibles que vous devez partager avec des invités, mais que vous vous inquiétez d’un partage inapproprié, vous pouvez limiter le partage externe de fichiers et de dossiers aux membres des groupes de sécurité spécifiés. De cette façon, vous pouvez limiter le partage en externe à un groupe spécifique de personnes, ou demander à vos utilisateurs de suivre une formation sur le partage externe approprié avant de les ajouter au groupe de sécurité :

Les groupes et Teams ont des paramètres de niveau organization qui autorisent ou refusent l’accès invité. Bien que vous puissiez restreindre l’accès invité à des équipes ou groupes spécifiques à l’aide de Microsoft PowerShell, nous vous recommandons de le faire au moyen d’une étiquette de confidentialité. Avec les étiquettes de confidentialité, vous pouvez autoriser ou refuser automatiquement l’accès invité en fonction de l’étiquette appliquée :

Dans un environnement où vous invitez fréquemment des invités à des groupes et des équipes, envisagez de configurer des révisions d’accès invité planifiées régulièrement. Les propriétaires peuvent être invités à passer en revue les invités de leurs groupes et équipes et à approuver ou refuser l’accès.

Microsoft 365 offre de nombreuses méthodes de partage d’informations. Si vous avez des informations sensibles et que vous souhaitez restreindre la façon dont elles sont partagées, passez en revue les options permettant de limiter le partage :

Ressources supplémentaires :

Gestion des utilisateurs

À mesure que les groupes et les équipes évoluent dans votre organization, une bonne pratique consiste à examiner régulièrement l’appartenance aux équipes et aux groupes. Cela peut être particulièrement utile pour les équipes et les groupes dont l’appartenance change, ceux qui contiennent des informations sensibles ou ceux qui incluent des invités. Envisagez de configurer des révisions d’accès pour ces équipes et groupes :

De nombreuses organisations ont des partenariats commerciaux avec d’autres organisations ou des fournisseurs clés avec lesquels elles collaborent en profondeur. La gestion des utilisateurs et l’accès aux ressources peuvent être difficiles à gérer dans ces scénarios. Envisagez d’automatiser certaines des tâches de gestion des utilisateurs et même de transférer certaines d’entre elles vers votre partenaire organization :

Les canaux privés dans Teams permettent des conversations étendues et le partage de fichiers entre un sous-ensemble de membres de l’équipe. Selon vos besoins spécifiques, vous pouvez autoriser ou bloquer cette fonctionnalité.

Les canaux partagés vous permettent d’inviter des personnes extérieures à l’équipe ou à l’organization. En fonction de vos besoins professionnels spécifiques et des stratégies de partage externe, vous pouvez autoriser ou bloquer cette fonctionnalité.

OneDrive permet aux utilisateurs de stocker et de partager facilement du contenu sur lequel ils travaillent. En fonction des besoins de votre entreprise, vous pouvez restreindre l’accès à ce contenu aux employés à temps plein de l’entreprise ou à d’autres groupes au sein de l’entreprise. Si c’est le cas, vous pouvez limiter l’accès au contenu OneDrive aux membres d’un groupe de sécurité.

Pour certaines équipes ou sites plus sensibles, vous pouvez limiter l’accès au contenu de l’équipe ou du site aux membres de l’équipe ou aux membres d’un groupe de sécurité.

Ressources supplémentaires :

Classification des informations

Vous pouvez utiliser des étiquettes de confidentialité pour régir l’accès invité, la confidentialité des groupes et des équipes, et l’accès par des appareils non gérés pour les groupes et les équipes. Lorsqu’un utilisateur applique l’étiquette, ces paramètres sont automatiquement configurés comme spécifié par les paramètres d’étiquette.

Vous pouvez configurer Microsoft 365 pour appliquer automatiquement des étiquettes de confidentialité aux fichiers et aux e-mails en fonction des critères que vous spécifiez, notamment la détection des types d’informations sensibles ou la correspondance de modèle avec des classifieurs pouvant être entraînés.

Vous pouvez utiliser des étiquettes de confidentialité pour chiffrer les fichiers, en autorisant uniquement ceux disposant d’autorisations à les déchiffrer et à les lire.

Ressources supplémentaires :

Segmentation des utilisateurs

Avec les obstacles à l’information, vous pouvez segmenter vos données et vos utilisateurs pour restreindre la communication et la collaboration indésirables entre les groupes et éviter les conflits d’intérêts dans votre organization. Les obstacles à l’information vous permettent de créer des stratégies pour autoriser ou empêcher la collaboration de fichiers, les conversations, les appels ou les invitations à une réunion entre des groupes de personnes dans votre organization.

Résidence de données

Avec Microsoft 365 Multi-Geo, vous pouvez provisionner et stocker des données au repos dans les emplacements géographiques que vous avez choisis pour répondre aux exigences de résidence des données. Dans un environnement multigéographique, votre locataire Microsoft 365 se compose d’un emplacement central (où votre abonnement Microsoft 365 a été initialement approvisionné) et d’un ou plusieurs emplacements satellites où vous pouvez stocker des données.

Recommandations relatives à la planification de la gouvernance de la collaboration

Créer votre plan de gouvernance de collaboration

Sécurité et conformité dans Microsoft Teams

Gérer les paramètres de partage dans SharePoint

Configurer Teams avec trois niveaux de protection