Stratégie d’accès conditionnel pour les sites SharePoint et OneDrive

  • Article

Certaines fonctionnalités de cet article nécessitent Microsoft Syntex - Gestion avancée de SharePoint

Avec Microsoft Entra contexte d’authentification, vous pouvez appliquer des conditions d’accès plus strictes lorsque les utilisateurs accèdent à des sites SharePoint.

Vous pouvez utiliser des contextes d’authentification pour connecter une stratégie d’accès conditionnel Microsoft Entra à un site SharePoint. Les stratégies peuvent être appliquées directement au site ou via une étiquette de confidentialité.

Notez que cette fonctionnalité ne peut pas être appliquée au site racine dans SharePoint (par exemple, https://contoso.sharepoint.com).

Configuration requise

L’utilisation du contexte d’authentification avec des sites SharePoint nécessite l’une des licences suivantes :

  • Microsoft Syntex - Gestion avancée de SharePoint
  • Microsoft 365 E5/A5/G5
  • Conformité Microsoft 365 E5/A5
  • Microsoft 365 E5, Protection des informations et gouvernance
  • Office 365 E5/A5/G5

Limitations

Certaines applications ne fonctionnent pas avec les contextes d’authentification. Nous vous recommandons de tester les applications sur un site avec le contexte d’authentification activé avant de déployer largement cette fonctionnalité.

Les applications et scénarios suivants ne fonctionnent pas avec les contextes d’authentification :

  • Ancienne version des applications Office (voir la liste des versions prises en charge)
  • Viva Engage
  • Application web Teams
  • L’application OneNote ne peut pas être ajoutée au canal si le site SharePoint associé a un contexte d’authentification.
  • Le chargement de l’enregistrement de réunion de canal Teams échoue sur les sites avec un contexte d’authentification.
  • Le changement de nom du dossier SharePoint dans Teams échoue si le site a un contexte d’authentification.
  • La planification des webinaires Teams échoue si OneDrive a un contexte d’authentification.
  • Applications tierces
  • L’application Synchronisation OneDrive ne synchronise pas les sites avec un contexte d’authentification.
  • L’association d’un contexte d’authentification à la collection de sites du catalogue d’applications d’entreprise n’est pas prise en charge.
  • La fonctionnalité « Visualiser la liste SharePoint dans Power BI » ne prend actuellement pas en charge le contexte d’authentification.
  • Outlook sur Windows, Mac, Android et iOS ne prend pas en charge la communication avec les sites SharePoint protégés par un contexte d’authentification.

Configuration d’un contexte d’authentification

La configuration d’un contexte d’authentification pour les sites étiquetés nécessite les étapes de base suivantes :

  1. Ajoutez un contexte d’authentification dans Microsoft Entra ID.

  2. Créez une stratégie d’accès conditionnel qui s’applique à ce contexte d’authentification et qui contient les conditions et les contrôles d’accès que vous souhaitez utiliser.

  3. Effectuez l’une des opérations suivantes :

    1. Définissez une étiquette de confidentialité pour appliquer le contexte d’authentification aux sites étiquetés.
    2. Appliquer le contexte d’authentification directement à un site

Dans cet article, nous allons examiner l’exemple selon lequel les invités doivent accepter des conditions d’utilisation avant d’accéder à un site SharePoint sensible. Vous pouvez également utiliser les autres conditions d’accès conditionnel et contrôles d’accès dont vous pourriez avoir besoin pour votre organization.

Ajouter un contexte d’authentification

Tout d’abord, ajoutez un contexte d’authentification dans Microsoft Entra ID.

Pour ajouter un contexte d’authentification :

  1. Dans Microsoft Entra accès conditionnel, sous Gérer, cliquez sur Contexte d’authentification.

  2. Cliquez sur Nouveau contexte d’authentification.

  3. Tapez un nom et une description, puis sélectionnez la zone Publier dans les applications case activée.

    Capture d’écran de l’interface utilisateur ajouter un contexte d’authentification

  4. Cliquez sur Save (Enregistrer).

Créer une stratégie d’accès conditionnel

Ensuite, créez une stratégie d’accès conditionnel qui s’applique à ce contexte d’authentification et qui exige que les invités acceptent les conditions d’utilisation comme condition d’accès.

Pour créer une stratégie d’accès conditionnel :

  1. Dans Microsoft Entra accès conditionnel, cliquez sur Nouvelle stratégie.

  2. Tapez un nom pour la stratégie.

  3. Sous l’onglet Utilisateurs et groupes, choisissez l’option Sélectionner des utilisateurs et des groupes, puis sélectionnez la zone Case activée Utilisateurs invités ou externes.

  4. Choisissez utilisateurs invités B2B Collaboration dans la liste déroulante.

  5. Sous l’onglet Applications ou actions cloud, sous Sélectionner ce à quoi cette stratégie s’applique, choisissez Contexte d’authentification, puis sélectionnez la zone case activée pour le contexte d’authentification que vous avez créé.

    Capture d’écran des options de contexte d’authentification dans les paramètres des applications cloud ou des actions pour une stratégie d’accès conditionnel.

  6. Sous l’onglet Accorder, sélectionnez la zone case activée des conditions d’utilisation que vous souhaitez utiliser, puis cliquez sur Sélectionner.

  7. Choisissez si vous souhaitez activer la stratégie, puis cliquez sur Créer.

Appliquer le contexte d’authentification directement à un site

Vous pouvez appliquer directement un contexte d’authentification à un site SharePoint à l’aide de l’applet de commande PowerShell Set-SPOSite .

Remarque

Cette fonctionnalité nécessite une licence Microsoft 365 E5 ou Microsoft Syntex - Gestion avancée SharePoint.

Dans l’exemple suivant, nous appliquons le contexte d’authentification que nous avons créé ci-dessus à un site appelé « recherche ».

Set-SPOSite -Identity https://contoso.sharepoint.com/sites/research -ConditionalAccessPolicy AuthenticationContext -AuthenticationContextName "Sensitive information - guest terms of use"

Définir une étiquette de confidentialité pour appliquer le contexte d’authentification aux sites étiquetés

Si vous souhaitez utiliser une étiquette de confidentialité pour appliquer le contexte d’authentification, mettez à jour une étiquette de confidentialité (ou créez-en une nouvelle) pour utiliser le contexte d’authentification.

Remarque

Les étiquettes de confidentialité nécessitent Microsoft 365 E5 ou Microsoft 365 E3 plus la licence De conformité avancée.

Pour mettre à jour une étiquette de confidentialité

  1. Dans la portail de conformité Microsoft Purview, sous l’onglet Protection des informations, cliquez sur l’étiquette à mettre à jour, puis cliquez sur Modifier l’étiquette.

  2. Cliquez sur Suivant jusqu’à ce que vous soyez dans la page Définir les paramètres de protection pour les groupes et les sites .

  3. Vérifiez que la zone Partage externe et accès conditionnel case activée est cochée, puis cliquez sur Suivant.

  4. Dans la page Définir les paramètres de partage externe et d’accès aux appareils, sélectionnez la zone Utiliser l’accès conditionnel Microsoft Entra pour protéger les sites SharePoint étiquetés case activée.

  5. Sélectionnez l’option Choisir un contexte d’authentification existant .

  6. Dans la liste déroulante, choisissez le contexte d’authentification que vous souhaitez utiliser.

    Capture d’écran des paramètres d’étiquette de sensibilité du contexte d’authentification Microsoft Entra

  7. Cliquez sur Suivant jusqu’à ce que vous soyez dans la page Vérifier vos paramètres et terminer , puis cliquez sur Enregistrer l’étiquette.

Une fois l’étiquette mise à jour, les invités qui accèdent à un site SharePoint (ou à l’onglet Fichiers d’une équipe) avec cette étiquette devront accepter les conditions d’utilisation avant d’accéder à ce site.

Blocage des applications en arrière-plan (déploiement en préversion)

Si le contexte d’authentification est défini sur un site, les administrateurs peuvent choisir d’empêcher les applications en arrière-plan d’accéder à ce site pour les applications affectées avec ce contexte d’authentification dans une stratégie d’accès conditionnel. Vous pouvez configurer une stratégie d’accès conditionnel de telle sorte qu’un contexte d’authentification spécifique puisse être affecté à des principes d’application choisis (applications non-Microsoft). Vous devez activer explicitement cette fonctionnalité via l’applet de commande suivante. Notez que vous devez avoir au moins une stratégie d’accès conditionnel avec un principe d’application configuré.

Set-SPOTenant -BlockAPPAccessToSitesWithAuthentcationContext $false/$true (default false)

Voir aussi

Utiliser les étiquettes de confidentialité pour protéger le contenu dans Microsoft Teams, les Groupes Microsoft 365 et les sites SharePoint

Accès conditionnel : applications cloud, actions et contexte d’authentification

Conseils sur les licences Microsoft 365 pour la sécurité et la conformité