Sécurité et authentification mobile dans SharePoint 2013Mobile security and authentication in SharePoint 2013

Résumé : Obtenir des informations aider à sécuriser une infrastructure mobile SharePoint et en savoir plus sur les différents types d’authentification pris en charge dans SharePoint Server 2013.Summary: Learn how to help secure a SharePoint mobile infrastructure, and learn about the different authentication types supported in SharePoint Server 2013.

Cet article fournit des informations de sécurité et des recommandations afin de garantir que l’accès à SharePoint Server 2013 et des données spécifiques dans SharePoint ne sont pas compromises sur un périphérique mobile. Cet article décrit également les types d’authentification pris en charge pour sélectionner les unités et les caractéristiques d’authentification pour l’application de Newsfeed de SharePoint.This article provides security guidance and recommendations to help ensure that access to SharePoint Server 2013 and specific data in SharePoint is not compromised on a mobile device. This article also details the supported authentication types for select devices, and authentication specifics for the SharePoint Newsfeed App.

Sécurité des appareils mobilesSecurity for mobile devices

Cette section fournit des recommandations de sécurité pour l’utilisation d’appareils extérieurs à votre réseau d’entreprise. Un appareil perdu ou volé peut être catastrophique pour une organisation, à plusieurs niveaux. Par conséquent, des mesures doivent être mises en place pour prévenir les menaces à l’intégrité du système.This section provides security recommendations for using devices that are external to your corporate network. A lost or stolen device could be devastating to an organization on many levels. Therefore, necessary measures must be put in place if one were to be compromised.

Parmi les considérations de sécurité générales, notons celles-ci :General security considerations include the following:

  • Les périphériques mobiles peuvent contenir des données sensibles ou des documents. Étant donné que les périphériques mobiles peuvent être perdus ou volés, nous vous conseillons de définir stratégies autour des périphériques mobiles pour protéger les données sensibles et des documents. Cela peut inclure la sécurisation de l’appareil mobile en utilisant un code confidentiel ou un verrou et veiller à ce que vous pouvez effacer à distance les données sur le périphérique mobile. Fonctionnalités et programmes disponibles varient selon le périphérique mobile. Pour plus d’informations sur des méthodes possibles pour implémenter ces stratégies dans votre organisation, reportez-vous à la section D’Exchange ActiveSync , plus loin dans cet article.Mobile devices can contain sensitive data or documents. Because mobile devices can be lost or stolen, we recommend that you set policies around mobile devices to help protect sensitive data and documents. This can include securing the mobile device by using a PIN or lock, and ensuring that you can remotely wipe the data on the mobile device. Available programs and features vary by mobile device. For more information about a possible method to implement these policies in your organization, see Exchange ActiveSync later in this article.

  • Vous pouvez indiquer aux utilisateurs les précautions qu’ils peuvent prendre pour protéger leurs informations d’identification utilisateur. Ils peuvent, par exemple, se déconnecter des sites lorsqu’ils ont fini de travailler, n’activer aucune option qui les maintient connectés ou qui mémorise leur mot de passe et supprimer fréquemment les cookies dans le navigateur mobile. Cela permet d’éviter que d’autres personnes utilisent leurs informations d’identification utilisateur pour se connecter à un site SharePoint si leur appareil mobile est perdu ou volé.You can educate users about how they can help protect their user credentials. This can include signing out of sites when they have finished, not enabling any option that keeps them signed in or remembers their password, and frequently deleting cookies in the mobile browser. This can help prevent others from using their user credentials to log on to a SharePoint site if their mobile device is lost or stolen.

  • Nous recommandons d’activer SSL pour une communication sécurisée entre les navigateurs mobiles et l’ordinateur qui exécute SharePoint Server 2013. Pour plus d’informations sur la façon d’utiliser un serveur proxy inverse, comme Forefront Unified Access Gateway (UAG), pour une communication sécurisée, consultez Forefront Unified Access Gateway (UAG) dans la bibliothèque technique Forefront.We recommend that you enable SSL to help secure communication between mobile browsers and the computer that is running SharePoint Server 2013. For more information about how to use a reverse proxy server, such as Forefront Unified Access Gateway (UAG), to help secure communication, see Forefront Unified Access Gateway (UAG) in the Forefront Technical Library.

Exchange ActiveSyncExchange ActiveSync

Microsoft Exchange ActiveSync est un protocole de communication qui permet l’accès mobile, sur l’air, de messages électroniques, des contacts, des tâches et des données de planification. Exchange ActiveSync est disponible sur Windows Phone et les téléphones de tiers et les tablettes multimédias qui sont activés pour Exchange ActiveSync, tels que l’iPhone Apple. Un des avantages de l’implémentation d’Exchange ActiveSync dans votre organisation est sécurité côté périphérique et l’administration par le biais de l’application des stratégies. Si SharePoint Server 2013 est déployé dans une topologie extranet, les périphériques mobiles accéder à l’ordinateur qui exécute SharePoint Server 2013 via une URL accessible au public. Si l’appareil mobile doit devenir perdu ou volé, il est nécessaire pour s’assurer que les données de SharePoint ne sont pas compromises. Par exemple, à l’aide d’Exchange ActiveSync, vous pouvez effacer le contenu des données du périphérique à distance, telles que les configurations de SharePoint, ou appliquer des mots de passe complexes à l’écran de verrouillage afin d’empêcher tout accès non autorisé.Microsoft Exchange ActiveSync is a communications protocol that enables mobile access, over the air, to e-mail messages, scheduling data, contacts, and tasks. Exchange ActiveSync is available on Windows Phone and third-party phones and slates that are enabled for Exchange ActiveSync such as the Apple iPhone. One of the benefits of implementing Exchange ActiveSync in your organization is device-side security, and administration through policy enforcement. If SharePoint Server 2013 is deployed in an extranet topology, mobile devices access the computer that is running SharePoint Server 2013 via a public-facing URL. If the mobile device were to become lost or stolen, it is necessary to ensure that SharePoint data is not compromised. For example, by using Exchange ActiveSync you can wipe data contents from the device remotely, such as SharePoint configurations, or enforce a complex password at the lock screen to help prevent unauthorized access.

Le tableau suivant liste une sélection de fonctions Exchange ActiveSync et de stratégies que vous pouvez appliquer à certains appareils.The following table lists a selection of Exchange ActiveSync features and policies that you can apply to some devices.

Table : Stratégies Exchange ActiveSync pour les périphériques mobilesTable: Exchange ActiveSync policies for mobile devices

Stratégie d’Exchange ActiveSyncExchange ActiveSync policy DescriptionDescription
Réinitialisation à distance (il s’agit d’une fonction, pas d’une stratégie Exchange ActiveSync)Remote wipe (this is a feature and not an Exchange ActiveSync policy)
En cas de perte d’un téléphone mobile, vol ou de compromission, vous pouvez émettre une commande d’effacement à distance à partir de l’ordinateur Exchange ou à partir de n’importe quel navigateur web à l’aide d’Outlook Web App. Cette commande restaure le périphérique par défaut.If a mobile phone is lost, stolen, or otherwise compromised, you can issue a remote wipe command from the Exchange computer or from any web browser by using Outlook Web App. This command restores the device to factory defaults.
> [!IMPORTANT]> Après qu’un effacement de périphérique à distance s’est produite, il est très difficile. Toutefois, aucun processus de suppression de données ne laisse un périphérique aussi vide de données que lorsqu’il est nouveau. Récupération de données à partir d’un périphérique est toujours possible à l’aide d’outils sophistiqués.> [!IMPORTANT]> After a remote device wipe has occurred, data recovery is very difficult. However, no data removal process leaves a device as free from residual data as when it is new. Recovery of data from a device may still be possible using sophisticated tools.
Imposition d’un mot de passe sur l’appareil (DevicePasswordEnabled)Enforce password on device (DevicePasswordEnabled)
Ce paramètre active le mot de passe du téléphone mobile.This setting enables the mobile phone password.
Longueur minimale du mot de passe (MinDevicePasswordLength)Minimum password length (MinDevicePasswordLength)
Cette option spécifie la longueur du mot de passe de l’appareil mobile. La longueur par défaut est de 4 caractères, mais peut en accepter 18.This option specifies the length of the password for the mobile phone. The default length is 4 characters, but as many as 18 can be included.
Mot de passe alphanumérique requis (AlphanumericDevicePasswordRequired)Require alphanumeric password (AlphanumericDevicePasswordRequired)
Ce paramètre impose l’utilisation d’un mot de passe contenant des caractères numériques et non-numériques.This setting requires that a password contains numeric and non-numeric characters.
Autoriser les mots de passe simples (AllowSimpleDevicePassword)Allow simple password (AllowSimpleDevicePassword)
Ce paramètre active ou désactive la capacité d’utiliser un mot de passe simple tel que 1234.This setting enables or disables the ability to use a simple password such as 1234.
Verrou de durée d’inactivité maximale (MaxInactivityTimeDeviceLock)Maximum inactivity time lock (MaxInactivityTimeDeviceLock)
Cette option détermine combien de temps le téléphone mobile doit rester inactif avant que l’utilisateur doive refournir son mot de passe pour déverrouiller le téléphone mobile.This option determines how long the mobile phone must be inactive before the user is prompted for a password to unlock the mobile phone.

Important

La sélection des stratégies Exchange ActiveSync qui peuvent être utilisés peut-être varier selon le périphérique par périphérique. Pour plus d’informations sur les stratégies sont pris en charge sur une plate-forme de périphérique spécifique, tels que les iPhone Windows Phone et Apple, voir Comprendre les stratégies de boîte aux lettres Exchange ActiveSync.The selection of Exchange ActiveSync policies that can be used might differ on a device-by-device basis. For more information about which policies are supported on a specific device platform, such as Windows Phone and Apple iPhone, see Understanding Exchange ActiveSync Mailbox Policies.

Détection d’un appareil perduFinding a lost device

En cas de perte ou de vol d’un appareil, il peut être utile de trouver l’emplacement de ce périphérique, et de pouvoir effacer tout contenu de données si cela est possible. Il existe plusieurs services et solutions de tiers qui fournissent cette fonctionnalité. Citons par exemple le service Localiser mon téléphone de Windows Phone qui vous aide à retrouver votre appareil mobile en le localisant, ou en empêchant qu’un de l’utiliser sans votre consentement.When a device is lost or stolen it may be useful to find the location of that device, and be able to wipe all data contents if it is necessary. There are various third-party services and solutions that can provide this functionality. An example is the Windows Phone Find My Phone service that can make it easier to recover your mobile device by locating it, or prevent someone from using it without your consent.

La fonctionnalité que ce service peut fournir inclut ce qui suit :The functionality this service can provide includes the following:

  • Mapper la position de votre appareil mobile.Map your mobile device location.

  • Faire sonner votre appareil mobile.Make your mobile device ring.

  • Verrouiller votre appareil mobile et afficher un message.Lock your mobile device and show a message.

  • Effacer les données de votre appareil mobile.Wipe your mobile device data.

Note

Pour en savoir plus sur le service de recherche de mon téléphone pour Windows Phone, consultez Rechercher un téléphone perdu.To learn more about the Find My Phone service for Windows Phone, see Find a lost phone.

Authentification pour les appareils mobilesAuthentication for mobile devices

SharePoint Server 2013 prend en charge plusieurs méthodes d'authentification et modes d'authentification. Tous les appareils et navigateurs mobiles ne fonctionnent pas avec toutes les méthodes d'authentification disponibles. Lorsque vous planifiez l'accès des appareils mobiles, vous devez effectuer les opérations suivantes :SharePoint Server 2013 supports multiple authentication methods and authentication modes. Not all mobile browsers and devices work with all the available authentication methods. When you plan for mobile device access, you must do the following:

  • Déterminez les appareils mobiles que vous devez prendre en charge. Ensuite, étudiez les méthodes d'authentification prises en charge par les appareils mobiles. Ces informations varient d'un constructeur à l'autre.Determine the mobile devices that you must support. Then, learn the authentication methods that are supported by the mobile devices. This information varies by manufacturer.

  • Déterminez les sites à rendre accessibles aux utilisateurs d'appareils mobiles.Determine the sites that you want to make available to your mobile device users.

  • Déterminez si vous souhaitez que les sites SharePoint soient accessibles aux appareils mobiles lorsque ceux-ci sont utilisés à l'extérieur du pare-feu d'entreprise. Si tel est votre souhait, la méthode que vous utilisez pour activer l'accès externe peut également avoir une incidence sur l'authentification des appareils mobiles.Determine whether you want to make SharePoint sites available for mobile devices when the devices are used outside the corporate firewall. If you do, the method that you use to enable external access can also affect mobile device authentication.

Les tableaux suivants décrivent les types d’authentification pris en charge pour les navigateurs, OneDrive pour les entreprises et l’expérience Office pivot Windows Phone dans SharePoint Server 2013. Pour le ci-dessous, OrgID fait référence à l’ID Microsoft Online Services, le fournisseur d’identité pour Office 365. En outre, MSOFBA fait référence à Office Forms l’authentification Microsoft.The following tables detail the authentication types supported for browsers, OneDrive for Business, and the Office Hub Windows Phone experience in SharePoint Server 2013. For the below, OrgID refers to Microsoft Online Services ID, the identity provider for Office 365. Also, MSOFBA refers to Microsoft Office Forms Based Authentication.

Tableau : Prise en charge de l'authentification mobile pour les navigateurs SharePointTable: Mobile authentication support for SharePoint browsers

Infrastructure SharePointSharePoint Infrastructure Périphériques mobilesMobile Devices
Type d’authentificationAuthentication Type
Protocole d’authentificationAuthentication Protocol
Authentification WindowsWindows Authentication
NTLMNTLM
Authentification de baseBasic Authentication
Active DirectoryActive Directory
Authentification basée sur les formulaires (FBA)Forms-Based Authentication (FBA)
FBAFBA
FBAFBA
OrgIDOrgID
SAML (basée sur le jeton)SAML (Token-based)
SAMLSAML

Table : Les types d’authentification pris en charge pour le OneDrive pour une application métierTable: Supported authentication types for the OneDrive for Business app

Type d’authentificationAuthentication type DescriptionDescription Pris en chargeSupported Type d’administrateur requis pour la configurationAdministrator type required for configuration
ID de l’organisationOrg-ID
Organisations avec un client Office 365 ou SharePoint Online sans fédération.Organizations with an Office 365 or SharePoint Online tenant without any federation.
OuiYes
Administrateur globalGlobal admin
Fédération ADFS et ID de l’organisationADFS and Org-ID federation
Organisations disposant d’un client hybride Office 365 ou SharePoint Online avec des utilisateurs fédérés à partir d’un annuaire local.Organizations with a hybrid Office 365 or SharePoint Online tenant with users federated from an on-premises directory.
OuiYes
Administrateur global + administrateur réseau local + administrateur SharePointGlobal admin plus the on-premises network administrator plus the SharePoint administrator
Authentification Windows (NTLM)Windows authentication (NTLM)
Organisations avec un environnement SharePoint configuré pour autoriser l’authentification Windows basée sur les revendications NTLM.Organizations with a SharePoint environment configured to allow NTLM claims-based Windows authentication.
OuiYes
Administrateur SharePointSharePoint administrator
Authentification basée sur les formulaires (FBA)Forms-based authentication (FBA)
Organisations avec un environnement SharePoint configuré pour autoriser l’authentification basée sur les formulaires ou toute autre authentification basée sur les revendications compatible via un contrôle web standard.Organizations with a SharePoint environment configured to allow Forms-based authentication or other compatible claims-based authentication via a standard web control.
OuiYes
Administrateur SharePointSharePoint administrator
Fournisseurs d’identité non qualifiée-ADFSQualified non-ADFS identity providers
Les organisations avec un environnement Office 365 ou SharePoint Online configuré pour autoriser l’authentification de l’utilisateur qui est fédéré avec un fournisseur d’identité qualifié pour les clients complexes dans le fonctionne avec Office 365 - programme d’identité.Organizations with an Office 365 or SharePoint Online environment configured to allow user sign-in that is federated with an identity provider qualified for rich clients in the Works with Office 365 - Identity program.
OuiYes
Administrateur SharePoint + administrateur réseau local ou administrateur global (dans certaines organisations, l’administrateur global n’est pas facultatif, mais obligatoire)SharePoint administrator plus the on-premises Network administrator or Global admin (in some organizations the Global admin is a requirement, not an option.)
Tous les autres fournisseurs d’identité non-ADFSAll other non-ADFS identity providers
Organisations avec un environnement SharePoint configuré pour autoriser un fournisseur d’identité non ADFS.Organizations with a SharePoint environment configured to allow a non-ADFS identity provider.
NonNo
Administrateur SharePoint + administrateur réseau localSharePoint administrator plus the on-premises network administrator
Authentification KerberosKerberos authentication
Organisations avec un environnement SharePoint configuré pour prendre en charge l’authentification Kerberos.Organizations with a SharePoint environment configured to support Kerberos authentication.
NonNo
Administrateur SharePoint + administrateur réseau localSharePoint administrator plus the on-premises network administrator
Authentification de baseBasic authentication
Organisations avec un environnement SharePoint configuré pour prendre en charge l’authentification de base.Organizations with a SharePoint environment configured to support Basic authentication.
NonNo
Administrateur SharePoint + administrateur réseau localSharePoint administrator plus the on-premises network administrator

Note

Si vous êtes un utilisateur de mutualisée Office 365 vous pouvez vous connecter à partir de l’OneDrive pour une application métier dans un environnement de réseau, y compris le Wi-Fi et données cellulaires. Si vous n’utilisez pas plusieurs utilisateurs Office 365, vous pouvez vous connecter uniquement lorsque vous utilisez le réseau Wi-Fi sur site de votre organisation. Contactez votre administrateur SharePoint si vous n’êtes pas sûr de l’utilisateur qui vous êtes.If you're an Office 365 multi-tenant user you can connect from the OneDrive for Business app in any network environment including Wi-Fi and cellular data. If you're not using multi-tenant Office 365, you can connect only when using your organization's on-site Wi-Fi network. Contact your SharePoint administrator if you're unsure which user you are.

Table : Matrice de support l’authentification Mobile pour le Hub OfficeTable: Mobile authentication support matrix for Office Hub

Infrastructure SharePointSharePoint Infrastructure Côté clientClient side Périphériques mobilesMobile devices
Type d’authentificationAuthentication Type
Protocole d’authentificationAuthentication Protocol
ID fournisseurID Provider
Authentification WindowsWindows Authentication
NTLMNTLM
Active DirectoryActive Directory
Authentification de baseBasic Authentication
Active DirectoryActive Directory
Sur site, extranetOn-premises, extranet
Authentification basée sur les formulaires (FBA)Forms-Based Authentication (FBA)
FBAFBA
Active Directory, LDAP, SQLActive Directory, LDAP, SQL
FBAFBA
OrgIDOrgID
SharePoint Online, scénarios hybridesSharePoint Online, hybrid -based scenarios
FBAFBA
OrgIDOrgID
SharePoint Online, scénarios hybridesSharePoint Online, hybrid -based scenarios
SAML (basée sur le jeton)SAML (token-based)
SAMLSAML
Fournisseur d’identité compatible WS-Federation 1.1WS-Federation 1.1 compatible Identity Provider
SAMLSAML
Fournisseur d’identité compatible WS-Federation 1.1WS-Federation 1.1 compatible Identity Provider
Sur site, SharePoint Online, scénarios hybridesOn-premises, SharePoint Online, hybrid -based scenarios

Note

Pour que les appareils mobiles communiquent avec des serveurs SharePoint, Internet Protocol Security (IPSec) doit être désactivé sur les serveurs. La raison est que les appareils mobiles ne sont pas joints par domaine.In order for mobile devices to communicate with SharePoint servers, Internet Protocol Security (IPSec) must be disabled on the servers. The reason this must be done is that mobile devices are not domain-joined.

Authentification pour l’application SharePoint NewsfeedAuthentication for the SharePoint Newsfeed App

Cette section fournit des instructions d’authentification et décrit les éléments à prendre en compte pour l’application SharePoint Newsfeed. Elle inclut des informations associées aux déploiements sur site et à l’utilisation de SharePoint Online.This section provides authentication guidance and considerations for the SharePoint Newsfeed app. This includes information for on-premises based deployments, and using SharePoint Online.

Prise en charge de l’authentification pour l’application de Newsfeed de SharePointAuthentication support for the SharePoint Newsfeed App

Le tableau suivant détaille les types d’authentification pris en charge pour l’application d’échange de News de SharePoint dans SharePoint Server 2013. Pour le ci-dessous, OrgID fait référence à l’ID Microsoft Online Services, le fournisseur d’identité pour Office 365. En outre, MSOFBA fait référence à Office Forms l’authentification Microsoft.The following table details the authentication types supported for the SharePoint Newsfeed App in SharePoint Server 2013. For the below, OrgID refers to Microsoft Online Services ID, the identity provider for Office 365. Also, MSOFBA refers to Microsoft Office Forms Based Authentication.

Table : Matrice de support l’authentification Mobile pour l’application de Newsfeed de SharePointTable: Mobile authentication support matrix for the SharePoint Newsfeed App

Infrastructure SharePointSharePoint Infrastructure Côté clientClient side Périphériques mobilesMobile devices
Type d’authentificationAuthentication Type
Protocole d’authentificationAuthentication Protocol
ID fournisseurID Provider
Authentification WindowsWindows Authentication
NTLMNTLM
Active DirectoryActive Directory
Authentification de baseBasic Authentication
Active DirectoryActive Directory
Sur site, extranetOn-premises, extranet
Authentification basée sur les formulaires (FBA)Forms-Based Authentication (FBA)
FBAFBA
Active Directory, LDAP, SQLActive Directory, LDAP, SQL
FBAFBA
OrgIDOrgID
SharePoint Online, scénarios hybridesSharePoint Online, hybrid -based scenarios
FBAFBA
OrgIDOrgID
SharePoint Online, scénarios hybridesSharePoint Online, hybrid -based scenarios
SAML (basée sur le jeton)SAML (token-based)
SAMLSAML
Fournisseur d’identité compatible WS-Federation 1.1WS-Federation 1.1 compatible Identity Provider
SAMLSAML
Fournisseur d’identité compatible WS-Federation 1.1WS-Federation 1.1 compatible Identity Provider
Sur site, SharePoint Online, scénarios hybridesOn-premises, SharePoint Online, hybrid -based scenarios

Important

Pour les scénarios de fédération dans SharePoint Online, seulement Active Directory Federation Services (ADFS) 2.0 est pris en charge. Pendant le processus d’installation, il est nécessaire de prendre en charge une authentification passive fédération URI de : « urn : oasis : noms : tc : SAML:2.0:ac:classes:Password » .For federated scenarios in SharePoint Online, only Active Directory Federation Services (ADFS) 2.0 is supported. During the setup process it is necessary to support a passive federation authentication URI of: "urn:oasis:names:tc:SAML:2.0:ac:classes:Password" .

Flux de travail d’authentificationAuthentication Workflows

L’application SharePoint Newsfeed est prise en charge pour utilisation sur site et sur SharePoint Online. Chaque option peut présenter des différences avec le flux de travail d’authentification de l’utilisateur final. Ce tableau fournit des exemples d’expériences d’authentification pour chaque type d’implémentation.The SharePoint Newsfeed App is supported for both on-premises and SharePoint Online use. Each option can present differences with end user authentication workflow. For example, this table provides sample authentication experiences for each type of implementation.

DéploiementDeployment Flux de travailWorkflow DétailsDetails
Sur siteOn-premises
SPNewsfeed local Types d’authentification pris en chargeSupported Authentication Types
Authentification WindowsWindows Authentication
Authentification basée sur les formulairesForms Based Authentication
SAMLSAML
SharePoint OnlineSharePoint Online
SPNewsfeed SPO Types d’authentification pris en chargeSupported Authentication Types
Authentification basée sur les formulairesForms Based Authentication
SAMLSAML

Pour plus d’informations sur le déploiement de l’application de News SharePoint dans votre réseau, y compris la configuration de l’accès de travers le pare-feu, consultez configurer un accès externe pour les périphériques mobiles dans SharePoint Server.For more information on how to deploy the SharePoint Newsfeed App in your network, including configuring cross-firewall access, see Configure external access for mobile devices in SharePoint Server.

Voir aussiSee also

ConceptsConcepts

Vue d'ensemble des appareils mobiles et de SharePoint Server 2013Overview of mobile devices and SharePoint Server 2013