Recommandations de stratégie pour la sécurisation des sites et des fichiers SharePoint

Cet article décrit comment mettre en œuvre les stratégies des identités et des accès aux appareils Confiance Zéro recommandées pour protéger SharePoint et OneDrive. Ce guide repose sur les stratégies des identités et des accès aux appareils communes.

Ces recommandations reposent sur trois différents niveaux de sécurité et de protection pour les fichiers SharePoint, qui sont applicables en fonction de la granularité de vos besoins : point de départ, entreprise et sécurité spécialisée. Vous pouvez en savoir plus sur ces niveaux de sécurité, et les systèmes d’exploitation clients recommandés, auxquels font référence ces recommandations dans la vue d’ensemble.

En plus de l’implémentation de ce guide, veillez à configurer des sites SharePoint avec le niveau de protection adéquat, notamment en définissant les autorisations appropriées pour le contenu Entreprise et Sécurité spécialisée.

Mise à jour des stratégies communes pour inclure SharePoint et OneDrive

Pour protéger les fichiers dans SharePoint et OneDrive, le diagramme suivant illustre les stratégies à mettre à jour à partir des stratégies des identités et des accès aux appareils communes.

Diagramme montrant le récapitulatif des mises à jour des stratégies pour protéger l’accès à SharePoint

Si vous avez inclus SharePoint lorsque vous avez créé les stratégies communes, vous avez uniquement besoin de créer les nouvelles stratégies. Pour les stratégies d’accès conditionnel, SharePoint inclut OneDrive.

Les nouvelles stratégies implémentent une protection des appareils pour le contenu Entreprise et Sécurité spécialisée en appliquant des exigences d’accès spécifiques aux sites SharePoint que vous spécifiez.

Le tableau suivant répertorie les stratégies que vous avez besoin de réviser et de mettre à jour ou de créer pour SharePoint. Les stratégies communes sont liées aux instructions de configuration associées dans l’article Stratégies des identités et des accès aux appareils communes.

Niveau de protection Stratégies Plus d’informations
Point de départ Exiger MFA lorsque le risque de connexion est moyen ou élevé Incluez SharePoint dans l’affectation d’applications cloud.
Bloquer les clients qui ne prennent pas en charge l'authentification moderne Incluez SharePoint dans l’affectation d’applications cloud.
Appliquer des stratégies de protection des données APP Vérifiez que toutes les applications recommandées sont incluses dans la liste des applications. Veillez à mettre à jour la stratégie pour chaque plateforme (iOS, Android, Windows).
Utiliser les restrictions appliquées par l’application dans SharePoint Ajoutez cette nouvelle stratégie. Cela indique à Microsoft Entra ID d’utiliser les paramètres spécifiés dans SharePoint. Cette stratégie s’applique à tous les utilisateurs, mais affecte uniquement l’accès aux sites inclus dans les stratégies d’accès SharePoint.
Entreprise Exigez MFA lorsque le risque de connexion est bas, moyen ou élevé Incluez SharePoint dans les affectations d’applications cloud.
Exigez des PC et des appareils mobiles conformes Incluez SharePoint dans la liste d’applications cloud.
Stratégie de contrôle d’accès SharePoint : Autoriser l’accès par navigateur uniquement à des sites SharePoint spécifiques à partir d’appareils non managés. Cela empêche de modifier et de télécharger les fichiers. Utilisez PowerShell pour spécifier des sites.
Sécurité spécialisée Exigez toujours l'authentification multifacteur Incluez SharePoint dans l’affectation d’applications cloud.
Stratégie de contrôle d’accès SharePoint : Bloquer l’accès à des sites SharePoint spécifiques à partir d’appareils non managés. Utilisez PowerShell pour spécifier des sites.

Utiliser les restrictions appliquées par l’application dans SharePoint

Si vous implémentez des contrôles d’accès dans SharePoint, les stratégies d’accès conditionnel sont créées dans Microsoft Entra ID pour indiquer à celui-ci d’appliquer les stratégies que vous configurez dans SharePoint. Par défaut, cette stratégie s’applique à tous les utilisateurs, mais affecte uniquement l’accès aux sites que vous spécifiez avec PowerShell lorsque vous créez les contrôles d’accès dans SharePoint. La stratégie peut également être délimitée à des utilisateurs, des groupes ou des sites spécifiques.

Pour configurer cette stratégie, consultez « Bloquer ou limiter l’accès à des collections de sites SharePoint ou à des comptes OneDrive spécifiques » dans Contrôler l’accès à partir d’appareils non managés.

Stratégies de contrôle d’accès SharePoint

Microsoft vous recommande de protéger le contenu des sites SharePoint avec du contenu Entreprise et Sécurité spécialisée en utilisant des contrôles d’accès aux appareils. Pour ce faire, créez une stratégie qui spécifie le niveau de protection et les sites auxquels appliquer la protection.

  • Sites Entreprise : Autoriser l’accès par navigateur uniquement. Cela empêche les utilisateurs de télécharger, d’imprimer ou de synchroniser des fichiers.
  • Sites Sécurité spécialisée : Bloquer l’accès à partir d’appareils non managés.

Consultez « Bloquer ou limiter l’accès à des collections de sites SharePoint ou à des comptes OneDrive spécifiques » dans Contrôler l’accès à partir d’appareils non managés.

Comment ces stratégies fonctionnent ensemble

Il est important de comprendre que les autorisations de site SharePoint sont généralement basées sur le besoin métier d’accéder aux sites. Ces autorisations sont gérées par les propriétaires de site et peuvent être très dynamiques. L'utilisation des stratégies d’accès aux appareils SharePoint garantit la protection de ces sites, que les utilisateurs soient affectés à un groupe Microsoft Entra associé à une protection Point de départ, Entreprise ou Sécurité spécialisée.

L’illustration suivante fournit un exemple de la façon dont les stratégies d’accès aux appareils SharePoint protègent l’accès aux sites d’un utilisateur.

Diagramme montrant un exemple de la façon dont les stratégies d’accès aux appareils SharePoint protègent les sites.

James a des stratégies d’accès conditionnel Point de départ attribuées, mais il peut se voir attribuer l’accès aux sites SharePoint avec une protection Entreprise ou Sécurité spécialisée.

  • Si James accède à un site dont il est membre avec une protection Entreprise ou Sécurité spécialisée en utilisant son PC, son accès est accordé.
  • Si James accède à un site de protection Entreprise dont il est membre en utilisant son téléphone non managé, ce qui est autorisé pour les utilisateurs Point de départ, il reçoit un accès par navigateur uniquement au site Entreprise en raison de la stratégie d’accès aux appareils configurée pour ce site.
  • Si James accède à un site Sécurité spécialisée dont il est membre en utilisant son téléphone non managé, il est bloqué en raison de la stratégie d’accès configurée pour ce site. Il ne peut accéder à ce site qu’en utilisant son PC managé.

Étape suivante

Capture d’écran de l’Étape 4 – Stratégies pour les applications cloud Microsoft 365.

Configurez des stratégies d’accès conditionnel pour :