Contrôler l’accès aux données SharePoint et OneDrive en fonction de l’emplacement réseau

En tant qu’administrateur informatique, vous pouvez contrôler l’accès aux ressources SharePoint et OneDrive dans Microsoft 365 en fonction des emplacements réseau définis que vous avez confiance. C’est ce qu’on appelle aussi une stratégie basée sur l’emplacement.

Pour ce faire, vous définissez une limite de réseau approuvé en spécifiant une ou plusieurs plages d’adresses IP autorisées. Tout utilisateur qui tente d’accéder à SharePoint et OneDrive en dehors de cette limite réseau (à l’aide d’un navigateur web, d’une application de bureau ou d’une application mobile sur n’importe quel appareil) sera bloqué.

Message restreint d’accès dans le navigateur

Voici quelques considérations importantes pour la définition d’une stratégie basée sur l’emplacement :

  • Partage externe : si des fichiers et des dossiers ont été partagés avec des invités qui s’authentifier, ils ne pourront pas accéder aux ressources en dehors de la plage d’adresses IP définie.

  • Accès à partir d’applications tierces et de premières applications : normalement, un document SharePoint est accessible à partir d’applications telles que Exchange, Yammer, Skype, Teams, Planner, Power Automate, PowerBI, Power Apps, OneNote, etc. Lorsqu’une stratégie basée sur l’emplacement est activée, les applications qui ne la prisent pas en charge sont bloquées. Les seules applications qui actuellement la prise en charge des stratégies basées sur l’emplacement sont Teams, Yammer et Exchange. Cela signifie que toutes les autres applications sont bloquées, même lorsque ces applications sont hébergées dans la limite du réseau approuvé. Cela est dû au SharePoint ne peut pas déterminer si un utilisateur de ces applications se trouve à l’intérieur de la limite de confiance.

    Notes

    Lorsqu’une stratégie basée sur l’emplacement est activée pour SharePoint, nous vous recommandons de configurer les mêmes stratégies et plages d’adresses IP pour Exchange et Yammer. SharePoint s’appuie sur ces services pour s’assurer que les utilisateurs de ces applications sont dans la plage d’adresses IP de confiance. Pour protéger l’accès à SharePoint via le portail Office.com, nous vous recommandons d’utiliser la stratégie d’accès conditionnel Azure Active Directory pour « Office 365 » et d’y configurer la plage d’adresses IP de confiance.

  • Accès à partir de plages d’adresses IP dynamiques : plusieurs services et fournisseurs hébergent des applications qui ont des adresses IP d’origine dynamiques. Par exemple, un service qui accède à SharePoint lors de l’exécution à partir d’un centre de données Azure peut commencer à s’exécute à partir d’un autre centre de données en raison d’une condition de failover ou d’une autre raison, ce qui modifie dynamiquement son adresse IP. La stratégie d’accès conditionnel basé sur l’emplacement s’appuie sur des plages d’adresses IP fixes et fiables. Si la plage d’adresses IP ne peut pas être déterminée à l’avance, il se peut que la stratégie basée sur l’emplacement ne soit pas une option pour votre environnement.

Définir une stratégie basée sur l’emplacement dans le nouveau centre d SharePoint’administration

Notes

L’application de ces paramètres peut prendre jusqu’à 15 minutes.

  1. Accédez au contrôle d’accès dans SharePoint centre d’administration, puis connectez-vous avec un compte qui dispose d’autorisations d’administrateur pour votre organisation.

Notes

Si vous avez Office 365 géré par 21Vianet (Chine), connectez-vous au Centre d'administration Microsoft 365, puis accédez au Centre d’administration SharePoint et ouvrez la page de contrôle Access.

  1. Sélectionnez l’emplacement réseau, puis sélectionnez Autoriser l’accès uniquement à partir de plages d’adresses IP spécifiques.

    Panneau Emplacement réseau

  2. Entrez les adresses IP et les plages d’adresses séparées par des virgules.

    Important

    Veillez à inclure votre propre adresse IP pour ne pas vous verrouiller. Ce paramètre limite non seulement l’accès aux sites OneDrive et SharePoint, mais également aux centres d’administration OneDrive et SharePoint et à l’exécution des cmdlets PowerShell. Si vous vous verrouillez et que vous ne pouvez pas vous connecter à partir d’une adresse IP dans la plage que vous avez spécifiée, vous devez contacter le support technique pour obtenir de l’aide.
    Si vous enregistrez des adresses IP qui se chevauchent, vos utilisateurs voient un message d’erreur générique avec un ID de corrélation qui pointe vers « La liste d’adresses IP d’entrée autorise les chevauchements ».

Notes

Pour définir une stratégie basée sur l’emplacement à l’aide de PowerShell, exécutez Set-SPOTenant avec le paramètre -IPAddressAllowList. Pour plus d’informations, voir Set-SPOTenant.