Stratégie d’accès conditionnel pour les sites SharePoint et OneDrive

  • Article

Certaines fonctionnalités de cet article nécessitent Microsoft SharePoint Premium - Gestion avancée de SharePoint

Avec le contexte d’authentification Microsoft Entra, vous pouvez appliquer des conditions d’accès plus strictes lorsque les utilisateurs accèdent à des sites SharePoint.

Vous pouvez utiliser des contextes d’authentification pour connecter une stratégie d’accès conditionnel Microsoft Entra à un site SharePoint. Les stratégies peuvent être appliquées directement au site ou via une étiquette de confidentialité.

Cette fonctionnalité ne peut pas être appliquée au site racine dans SharePoint (par exemple, https://contoso.sharepoint.com).

Configuration requise

L’utilisation du contexte d’authentification avec des sites SharePoint nécessite l’une des licences suivantes :

  • Microsoft SharePoint Premium - Gestion avancée de SharePoint
  • Microsoft 365 E5/A5/G5
  • Conformité Microsoft 365 E5/A5
  • Microsoft 365 E5, Protection des informations et gouvernance
  • Office 365 E5/A5/G5

Limitations

Certaines applications ne fonctionnent pas avec les contextes d’authentification. Nous vous recommandons de tester les applications sur un site avec le contexte d’authentification activé avant de déployer largement cette fonctionnalité.

Les applications et scénarios suivants ne fonctionnent pas avec les contextes d’authentification :

  • Ancienne version des applications Office (voir la liste des versions prises en charge)
  • Viva Engage
  • Application web Teams
  • L’application OneNote ne peut pas être ajoutée au canal si le site SharePoint associé a un contexte d’authentification.
  • Le chargement de l’enregistrement de réunion de canal Teams échoue sur les sites avec un contexte d’authentification.
  • Le changement de nom du dossier SharePoint dans Teams échoue si le site a un contexte d’authentification.
  • La planification des webinaires Teams échoue si OneDrive a un contexte d’authentification.
  • Applications tierces
  • L’application de synchronisation OneDrive ne synchronise pas les sites avec un contexte d’authentification.
  • L’association d’un contexte d’authentification à la collection de sites du catalogue d’applications d’entreprise n’est pas prise en charge.
  • La fonctionnalité « Visualiser la liste SharePoint dans Power BI » ne prend actuellement pas en charge le contexte d’authentification.
  • Outlook sur Windows, Mac, Android et iOS ne prend pas en charge la communication avec les sites SharePoint protégés par un contexte d’authentification.
  • La fonctionnalité de téléchargement de plusieurs fichiers ne fonctionne actuellement pas lorsque le contexte d’authentification et l’option « Utiliser le contrôle d’application par accès conditionnel » dans le contrôle de session sont activés dans la stratégie d’accès conditionnel.

Configuration d’un contexte d’authentification

La configuration d’un contexte d’authentification pour les sites étiquetés nécessite les étapes de base suivantes :

  1. Ajoutez un contexte d’authentification dans l’ID Microsoft Entra.

  2. Créez une stratégie d’accès conditionnel qui s’applique à ce contexte d’authentification et qui contient les conditions et les contrôles d’accès que vous souhaitez utiliser.

  3. Effectuez l’une des opérations suivantes :

    1. Définissez une étiquette de confidentialité pour appliquer le contexte d’authentification aux sites étiquetés.
    2. Appliquer le contexte d’authentification directement à un site

Dans cet article, nous examinons l’exemple selon lequel les invités doivent accepter des conditions d’utilisation avant d’accéder à un site SharePoint sensible. Vous pouvez également utiliser l’une des autres conditions d’accès conditionnel et contrôles d’accès dont vous pourriez avoir besoin pour votre organisation.

Ajouter un contexte d’authentification

Tout d’abord, ajoutez un contexte d’authentification dans l’ID Microsoft Entra.

Pour ajouter un contexte d’authentification :

  1. Dans Accès conditionnel Microsoft Entra, sous Gérer, sélectionnez Contexte d’authentification.

  2. Sélectionnez Nouveau contexte d’authentification.

  3. Tapez un nom et une description, puis cochez la case Publier dans les applications .

    Capture d’écran de l’interface utilisateur ajouter un contexte d’authentification

  4. Sélectionnez Enregistrer.

Créer une stratégie d’accès conditionnel

Ensuite, créez une stratégie d’accès conditionnel qui s’applique à ce contexte d’authentification et qui exige que les invités acceptent les conditions d’utilisation comme condition d’accès.

Pour créer une stratégie d’accès conditionnel :

  1. Dans Accès conditionnel Microsoft Entra, sélectionnez Nouvelle stratégie.

  2. Tapez un nom pour la stratégie.

  3. Sous l’onglet Utilisateurs et groupes , choisissez l’option Sélectionner des utilisateurs et des groupes , puis activez la case à cocher Utilisateurs invités ou utilisateurs externes .

  4. Choisissez utilisateurs invités B2B Collaboration dans la liste déroulante.

  5. Sous l’onglet Applications ou actions cloud , sous Sélectionner ce à quoi cette stratégie s’applique, choisissez Contexte d’authentification, puis cochez la case pour le contexte d’authentification que vous avez créé.

    Capture d’écran des options de contexte d’authentification dans les paramètres des applications cloud ou des actions pour une stratégie d’accès conditionnel.

  6. Sous l’onglet Accorder , cochez la case des conditions d’utilisation que vous souhaitez utiliser, puis sélectionnez Sélectionner.

  7. Choisissez si vous souhaitez activer la stratégie, puis sélectionnez Créer.

Appliquer le contexte d’authentification directement à un site

Vous pouvez appliquer directement un contexte d’authentification à un site SharePoint à l’aide de l’applet de commande PowerShell Set-SPOSite .

Remarque

Cette fonctionnalité nécessite une licence Microsoft 365 E5 ou Microsoft SharePoint Premium - Gestion avancée SharePoint.

Dans l’exemple suivant, nous appliquons le contexte d’authentification que nous avons créé ci-dessus à un site appelé « recherche ».

Set-SPOSite -Identity https://contoso.sharepoint.com/sites/research -ConditionalAccessPolicy AuthenticationContext -AuthenticationContextName "Sensitive information - guest terms of use"

Définir une étiquette de confidentialité pour appliquer le contexte d’authentification aux sites étiquetés

Si vous souhaitez utiliser une étiquette de confidentialité pour appliquer le contexte d’authentification, mettez à jour une étiquette de confidentialité (ou créez-en une nouvelle) pour utiliser le contexte d’authentification.

Remarque

Les étiquettes de confidentialité nécessitent Microsoft 365 E5 ou Microsoft 365 E3, ainsi que la licence Advanced Compliance.

Pour mettre à jour une étiquette de confidentialité

  1. Dans le portail de conformité Microsoft Purview, sous l’onglet Protection des informations , sélectionnez l’étiquette que vous souhaitez mettre à jour, puis sélectionnez Modifier l’étiquette.

  2. Sélectionnez Suivant jusqu’à ce que vous soyez dans la page Définir les paramètres de protection pour les groupes et les sites .

  3. Vérifiez que les paramètres Partage externe et Accès conditionnel sont cochés, puis sélectionnez Suivant.

  4. Dans la page Définir les paramètres de partage externe et d’accès aux appareils, cochez la case Utiliser l’accès conditionnel Microsoft Entra pour protéger les sites SharePoint étiquetés .

  5. Sélectionnez l’option Choisir un contexte d’authentification existant .

  6. Dans la liste déroulante, choisissez le contexte d’authentification que vous souhaitez utiliser.

    Capture d’écran des paramètres d’étiquette de sensibilité du contexte d’authentification Microsoft Entra

  7. Sélectionnez Suivant jusqu’à ce que vous soyez sur la page Vérifier vos paramètres et terminer , puis sélectionnez Enregistrer l’étiquette.

Une fois l’étiquette mise à jour, les invités qui accèdent à un site SharePoint (ou à l’onglet Fichiers d’une équipe) avec cette étiquette devront accepter les conditions d’utilisation avant d’accéder à ce site.

Blocage des applications en arrière-plan (déploiement en préversion)

Si le contexte d’authentification est défini sur un site, les administrateurs peuvent choisir d’empêcher les applications en arrière-plan d’accéder à ce site pour les applications affectées avec ce contexte d’authentification dans une stratégie d’accès conditionnel. Vous pouvez configurer une stratégie d’accès conditionnel de telle sorte qu’un contexte d’authentification spécifique puisse être affecté à des principes d’application choisis (applications non-Microsoft). Vous devez activer explicitement cette fonctionnalité via l’applet de commande suivante. Vous devez disposer d’au moins une stratégie d’accès conditionnel avec un principe d’application configuré.

Set-SPOTenant -BlockAPPAccessToSitesWithAuthenticationContext $false/$true (default false)

Voir aussi

Utiliser les étiquettes de confidentialité pour protéger le contenu dans Microsoft Teams, les Groupes Microsoft 365 et les sites SharePoint

Accès conditionnel : applications cloud, actions et contexte d’authentification

Conseils sur les licences Microsoft 365 pour la sécurité et la conformité