Sécurité et authentification mobile dans SharePoint 2013
S’APPLIQUE À :
2013
2016
2019
Subscription Edition
SharePoint in Microsoft 365
Cet article fournit des conseils et des recommandations en matière de sécurité pour vous assurer que l’accès à SharePoint Server 2013 et à des données spécifiques dans SharePoint n’est pas compromis sur un appareil mobile. Cet article détaille également les types d’authentification pris en charge pour certains appareils, ainsi que les spécificités de l’authentification pour l’application SharePoint Newsfeed.
Sécurité pour les appareils mobiles
Cette section fournit des recommandations de sécurité pour l’utilisation d’appareils externes à votre réseau d’entreprise. Un appareil perdu ou volé peut être une catastrophe pour une organisation à de nombreux niveaux. Par conséquent, les mesures nécessaires doivent être mises en place si l’une d’elles devait être compromise.
Les considérations générales en matière de sécurité sont les suivantes :
Les appareils mobiles peuvent contenir des données ou des documents sensibles. Étant donné que les appareils mobiles peuvent être perdus ou volés, il est recommandé de définir des stratégies autour des appareils mobiles afin de protéger les données et les documents sensibles. Cela peut inclure la sécurisation de l’appareil mobile à l’aide d’un code PIN ou d’un verrou et l’effacement à distance des données sur l’appareil mobile. Les programmes et fonctionnalités disponibles varient d’un appareil mobile à l’autre. Pour plus d’informations sur une méthode possible d’implémenter ces stratégies dans votre organisation, voir Exchange ActiveSync plus loin dans cet article.
Vous pouvez indiquer aux utilisateurs les précautions qu’ils peuvent prendre pour protéger leurs informations d’identification utilisateur. Il peut s’agir de se désigner des sites une fois qu’ils ont terminé, de ne pas activer d’option qui les maintient en ligne ou de mémoriser leur mot de passe, et de supprimer fréquemment les cookies dans le navigateur mobile. Cela permet d’éviter que d’autres personnes utilisent leurs informations d’identification utilisateur pour se connecter à un site SharePoint si leur appareil mobile est perdu ou volé.
Nous vous recommandons d’activer SSL pour sécuriser la communication entre les navigateurs mobiles et l’ordinateur exécutant SharePoint Server 2013. Pour plus d’informations sur l’utilisation d’un serveur proxy inverse, tel que Forefront Unified Access Gateway (UAG), pour sécuriser la communication, voir Forefront Unified Access Gateway (UAG) dans la bibliothèque technique Forefront.
Exchange ActiveSync
Microsoft Exchange ActiveSync est un protocole de communication qui permet l’accès mobile, en l’air, aux messages électroniques, aux données de planification, aux contacts et aux tâches. Exchange ActiveSync est disponible sur Windows Phone téléphones et tablettes tiers et tiers qui sont activés pour des Exchange ActiveSync comme apple iPhone. L’un des avantages de l’Exchange ActiveSync dans votre organisation est la sécurité et l’administration côté appareil par le biais de l’application des stratégies. Si SharePoint Server 2013 est déployé dans une topologie extranet, les appareils mobiles accèdent à l’ordinateur exécutant SharePoint Server 2013 via une URL publique. Si l’appareil mobile deviendrait perdu ou volé, il est nécessaire de s’assurer SharePoint données ne sont pas compromises. Par exemple, à l’aide de Exchange ActiveSync vous pouvez effacer à distance le contenu des données de l’appareil, par exemple des configurations SharePoint, ou appliquer un mot de passe complexe à l’écran de verrouillage pour empêcher tout accès non autorisé.
Le tableau suivant répertorie une sélection de Exchange ActiveSync et de stratégies que vous pouvez appliquer à certains appareils.
Tableau : stratégies Exchange ActiveSync pour les appareils mobiles
| Exchange ActiveSync stratégie | Description |
|---|---|
| Effacement à distance (il s’agit d’une fonctionnalité et non d’Exchange ActiveSync stratégie) |
Si un téléphone mobile est perdu, volé ou compromis, vous pouvez émettre une commande de effacement à distance à partir de l’ordinateur Exchange ou de n’importe quel navigateur web à l’aide de Outlook Web App. Cette commande rétablit les paramètres d’usine par défaut de l’appareil. > [!IMPORTANT]> une fois qu’une effacement à distance s’est produit, la récupération des données est très difficile. Toutefois, aucun processus de suppression de données ne laisse un appareil aussi libre de données qu’il n’en existe de nouvelles. La récupération des données à partir d’un appareil peut toujours être possible à l’aide d’outils sophistiqués. |
| Appliquer le mot de passe sur l’appareil (DevicePasswordEnabled) |
Ce paramètre active le mot de passe de téléphone mobile. |
| Longueur minimale du mot de passe (MinDevicePasswordLength) |
Cette option spécifie la longueur du mot de passe du téléphone mobile. La longueur par défaut est de 4 caractères mais le mot de passe peut en contenir jusqu'à 18. |
| Exiger un mot de passe alphanumérique (AlphanumericDevicePasswordRequired) |
Ce paramètre requiert qu'un mot de passe contienne des caractères numériques et non numériques. |
| Autoriser un mot de passe simple (AllowSimpleDevicePassword) |
Ce paramètre active ou désactive la possibilité d’utiliser un mot de passe simple, tel que 1234. |
| Verrouillage de temps d’inactivité maximal (MaxInactivityTimeDeviceLock) |
Cette option détermine la durée pendant combien de temps le téléphone mobile doit être inactif avant que l’utilisateur soit invité à obtenir un mot de passe pour déverrouiller le téléphone mobile. |
Important
La sélection des stratégies Exchange ActiveSync qui peuvent être utilisées peut différer d’un appareil à l’autre. Pour plus d’informations sur les stratégies qui sont pris en charge sur une plateforme d’appareil spécifique, telles que Windows Phone et Apple iPhone, voir Understanding Exchange ActiveSync Mailbox Policies.
Recherche d’un appareil perdu
Lorsqu’un appareil est perdu ou volé, il peut être utile de trouver l’emplacement de cet appareil et de pouvoir effacer tout le contenu des données si nécessaire. Il existe différents services et solutions tiers qui peuvent fournir cette fonctionnalité. Par exemple, le service Windows Phone Find My Téléphone peut faciliter la récupération de votre appareil mobile en le localisant ou empêcher quelqu’un de l’utiliser sans votre consentement.
Les fonctionnalités que ce service peut fournir sont les suivantes :
Ma cartographier l’emplacement de votre appareil mobile.
Faites sonner votre appareil mobile.
Verrouillez votre appareil mobile et affichez un message.
Effacez vos données d’appareil mobile.
Notes
Pour en savoir plus sur le service Rechercher mon Téléphone pour Windows Phone, voir Rechercher un téléphone perdu.
Authentification pour les appareils mobiles
SharePoint Server 2013 prend en charge plusieurs méthodes d'authentification et modes d'authentification. Tous les appareils et navigateurs mobiles ne fonctionnent pas avec toutes les méthodes d'authentification disponibles. Lorsque vous planifiez l'accès des appareils mobiles, vous devez effectuer les opérations suivantes :
Déterminez les appareils mobiles que vous devez prendre en charge. Ensuite, étudiez les méthodes d'authentification prises en charge par les appareils mobiles. Ces informations varient d'un constructeur à l'autre.
Déterminez les sites à rendre accessibles aux utilisateurs d’appareils mobiles.
Déterminez si vous souhaitez que les sites SharePoint soient accessibles aux appareils mobiles lorsque ceux-ci sont utilisés à l’extérieur du pare-feu d’entreprise. Si tel est votre souhait, la méthode que vous utilisez pour activer l’accès externe peut également avoir une incidence sur l’authentification des appareils mobiles.
Les tableaux suivants détaillent les types d’authentification pris en charge pour les navigateurs, OneDrive et l’expérience Office Hub Windows Phone dans SharePoint Server 2013. Pour les données ci-dessous, OrgID fait référence à Microsoft Online Services ID, le fournisseur d’identité pour Microsoft 365. En outre, MSOFBA fait référence à Microsoft Office’authentification basée sur les formulaires.
Tableau : Prise en charge de l'authentification mobile pour les navigateurs SharePoint
| Infrastructure SharePoint | Appareils mobiles | |||||||
|---|---|---|---|---|---|---|---|---|
| Type d’authentification |
Protocole d’authentification |
Fournisseur d’ID |
SharePoint déploiement |
Windows Phone 7.5 (Internet Explorer Mobile) |
Windows Phone 8 (Internet Explorer Mobile) |
Windows 8 (Internet Explorer) |
iOS 5.x ou versions ultérieures (Safari Browser) |
Android 4.x ou versions ultérieures (navigateur Android) |
| Authentification Windows |
NTLM |
Active Directory |
Sur site |
Oui |
Oui |
Oui |
Oui |
Oui |
| Authentification de base |
Active Directory |
Local, extranet |
Oui |
Oui |
Oui |
Oui |
Oui |
|
| Authentification basée sur les formulaires (FBA) |
FBA |
Active Directory, LDAP, SQL |
Local, extranet |
Oui |
Oui |
Oui |
Oui |
Oui |
| FBA |
OrgID |
SharePoint scénarios Microsoft 365 hybrides |
Oui |
Oui |
Oui |
Oui |
Oui |
|
| SAML (basé sur un jeton) |
SAML |
Fournisseur d’identité compatible WS-Federation 1.1 |
Scénarios locaux, SharePoint dans Microsoft 365 hybrides |
Oui |
Oui |
Oui |
Oui |
Oui |
Tableau : Types d’authentification pris en charge pour l OneDrive appl;
| Type d’authentification | Description | Pris en charge | Type d’administrateur requis pour la configuration |
|---|---|---|---|
| Org-ID |
Organisations avec une organisation Microsoft 365 ou SharePoint organisation sans aucune fédération. |
Oui |
Administrateur général |
| Fédération ADFS et ID d’organisation |
Organisations avec une organisation Microsoft 365 ou SharePoint avec des utilisateurs fédérés à partir d’un annuaire local. |
Oui |
Administrateur général plus l’administrateur réseau local, ainsi que l’SharePoint administrateur |
| Windows’authentification par utilisateur (NTLM) |
Organisations avec un environnement SharePoint configuré pour autoriser l’authentification basée sur les revendications NTLM Windows authentification. |
Oui |
Administrateur SharePoint |
| Authentification basée sur les formulaires (FBA) |
Organisations avec un environnement SharePoint configuré pour autoriser l’authentification basée sur les formulaires ou d’autres authentifications compatibles basée sur les revendications via un contrôle web standard. |
Oui |
Administrateur SharePoint |
| Fournisseurs d’identité non ADFS qualifiés |
Organisations avec un environnement Microsoft 365 ou SharePoint configuré pour autoriser la signature utilisateur fédérée avec un fournisseur d’identité qualifié pour les clients riches dans le programme Works with Microsoft 365 - Identity. |
Oui |
SharePoint administrateur réseau plus l’administrateur réseau local ou l’administrateur général (dans certaines organisations, l’administrateur général est une condition requise, et non une option).) |
| Tous les autres fournisseurs d’identité non-ADFS |
Organisations avec un environnement SharePoint configuré pour autoriser un fournisseur d’identité non-ADFS. |
Non |
SharePoint administrateur de réseau local plus l’administrateur réseau local |
| Authentification Kerberos |
Organisations avec un environnement SharePoint configuré pour prendre en charge l’authentification Kerberos. |
Non |
SharePoint administrateur de réseau local plus l’administrateur réseau local |
| Authentification de base |
Organisations avec un environnement SharePoint configuré pour prendre en charge l’authentification de base. |
Non |
SharePoint administrateur de réseau local plus l’administrateur réseau local |
Notes
Si vous êtes un utilisateur multi-Microsoft 365, vous pouvez vous connecter à partir de l’application OneDrive dans n’importe quel environnement réseau, y compris Wi-Fi données cellulaires. Si vous n’êtes pas Microsoft 365 utilisateur multi-organisation, vous ne pouvez vous connecter que lorsque vous utilisez le réseau local de Wi-Fi de votre organisation. Si vous n’êtes pas sûr de l’utilisateur que vous êtes, contactez SharePoint administrateur.
Tableau : Matrice de prise en charge de l’authentification mobile Office Hub
| Infrastructure SharePoint | Côté client | Appareils mobiles | ||||
|---|---|---|---|---|---|---|
| Type d’authentification |
Protocole d’authentification |
Fournisseur d’ID |
SharePoint déploiement |
Géré via : |
Windows Phone 7.5 (Internet Explorer Mobile) |
Windows Phone 8 (Internet Explorer Mobile) |
| Authentification Windows |
NTLM |
Active Directory |
Sur site |
NTLM |
Oui |
Oui |
| Authentification de base |
Active Directory |
Local, extranet |
Authentification de base |
Non |
Oui (https) |
|
| Authentification basée sur les formulaires (FBA) |
FBA |
Active Directory, LDAP, SQL |
Local, extranet |
MSOFBA |
Oui |
Oui |
| FBA |
OrgID |
SharePoint scénarios hybrides |
MSOFBA |
Oui |
Oui |
|
| FBA |
OrgID |
SharePoint scénarios hybrides |
Active Authentication(IDCRL) |
Non |
Oui |
|
| SAML (basé sur un jeton) |
SAML |
Fournisseur d’identité compatible WS-Federation 1.1 |
Scénarios locaux, SharePoint hybrides |
MSOFBA |
Oui |
Oui |
| SAML |
Fournisseur d’identité compatible WS-Federation 1.1 |
Scénarios locaux, SharePoint dans Microsoft 365 hybrides |
Active Authentication(IDCRL) |
Non |
Oui |
Notes
Pour que les appareils mobiles communiquent SharePoint serveurs, ipSec (Internet Protocol Security) doit être désactivé sur les serveurs. Cela est dû au fait que les appareils mobiles ne sont pas joints à un domaine.
Authentification pour l’application SharePoint Newsfeed
Cette section fournit des conseils et des considérations sur l’authentification pour l’SharePoint d’actualités. Cela inclut des informations sur les déploiements locaux et l’utilisation de SharePoint dans Microsoft 365.
Prise en charge de l’authentification pour l SharePoint appension De Newsfeed
Le tableau suivant détaille les types d’authentification pris en charge pour l’application SharePoint Newsfeed dans SharePoint Server 2013. Pour ce qui suit, OrgID fait référence à Microsoft Online Services ID, le fournisseur d’identité pour Microsoft 365. En outre, MSOFBA fait référence à Microsoft Office’authentification basée sur les formulaires.
Tableau : Matrice de prise en charge de l’authentification mobile pour l’SharePoint Newsfeed App\
| Infrastructure SharePoint | Côté client | Appareils mobiles | ||||||
|---|---|---|---|---|---|---|---|---|
| Type d’authentification |
Protocole d’authentification |
Fournisseur d’ID |
SharePoint déploiement |
Géré via : |
Windows Phone 7.5 Apps |
Windows Phone 8 applications |
Applications Windows 8 |
Applications iOS 6.x ou versions ultérieures |
| Authentification Windows |
NTLM |
Active Directory |
Sur site |
NTLM |
Non |
Non |
Oui |
Oui |
| Authentification de base |
Active Directory |
Local, extranet |
Authentification de base |
Oui |
Oui |
Non |
Oui (https) |
|
| Authentification basée sur les formulaires (FBA) |
FBA |
Active Directory, LDAP, SQL |
Local, extranet |
MSOFBA |
Oui |
Oui |
Non |
Oui |
| FBA |
OrgID |
SharePoint scénarios hybrides |
MSOFBA |
Oui |
Oui |
Non |
Oui |
|
| FBA |
OrgID |
SharePoint scénarios hybrides |
Active Authentication(IDCRL) |
Non |
Non |
Oui |
Oui |
|
| SAML (basé sur un jeton) |
SAML |
Fournisseur d’identité compatible WS-Federation 1.1 |
Scénarios locaux, SharePoint dans Microsoft 365 hybrides |
MSOFBA |
Oui |
Oui |
Non |
Oui |
| SAML |
Fournisseur d’identité compatible WS-Federation 1.1 |
Scénarios locaux, SharePoint dans Microsoft 365 hybrides |
Active Authentication(IDCRL) |
Non |
Non |
Oui |
Oui |
Important
Pour les scénarios fédérés SharePoint dans Microsoft 365, seuls les services ADFS (Active Directory Federation Services) 2.0 sont pris en charge. Pendant le processus d’installation, il est nécessaire de prendre en charge un URI d’authentification de fédération passive de : « urn:oasis:names:tc:SAML:2.0:ac:classes:Password ».
Flux de travail d’authentification
L’SharePoint d’actualités est prise en charge à la fois pour les applications locales SharePoint en Microsoft 365'utilisation. Chaque option peut présenter des différences avec le flux de travail d’authentification de l’utilisateur final. Par exemple, ce tableau fournit des exemples d’expériences d’authentification pour chaque type d’implémentation.
| Déploiement | Flux de travail | Détails |
|---|---|---|
| Local |
![]() |
Types d’authentification pris en charge Authentification Windows Authentification basée sur les formulaires SAML |
| SharePoint dans Microsoft 365 |
![]() |
Types d’authentification pris en charge Authentification basée sur les formulaires SAML |
Pour plus d’informations sur le déploiement de l’application de SharePoint Newsfeed dans votre réseau, notamment la configuration de l’accès à travers le pare-feu, voir Configurer l’accès externe pour les appareils mobiles dans SharePoint Server.
Voir aussi
Concepts
Vue d'ensemble des appareils mobiles et de SharePoint Server 2013

