Intégration de SharePoint et de OneDrive à Azure AD B2B

Cet article explique comment activer l’intégration de Microsoft SharePoint et de Microsoft OneDrive à Azure AD B2B.

Azure AD B2B permet d’authentifier et de gérer les invités. L’authentification a lieu via un code secret à usage unique lorsqu’ils n’ont pas encore de compte professionnel ou scolaire, ou un compte Microsoft.

Une fois SharePoint et OneDrive intégrés au gestionnaire d’invitations Azure B2B activé, le gestionnaire d’invitations Azure B2B peut être utilisé pour le partage de fichiers, dossiers, éléments de liste, des bibliothèques de documents et sites avec des utilisateurs externes à l’organisation. Cette fonctionnalité offre une expérience mise à niveau à partir de l’expérience existante du destinataire du partage externe sécurisé. En outre, la fonctionnalité de code secret à usage unique Azure B2B Invitation Manager permet aux utilisateurs qui n’ont pas de comptes professionnels ou scolaires existants ou de comptes Microsoft de ne pas avoir à créer de compte pour s’authentifier, mais il peuvent utiliser le code secret à usage unique pour vérifier leur identité à la place.

L’activation de cette intégration ne modifie pas vos paramètres de partage. Par exemple, si vous avez des collections de sites pour lesquelles le partage externe est désactivé, celui-ci reste désactivé.

Une fois l’intégration activée, vous et vos utilisateurs n’avez pas besoin de partager à nouveau ou d’effectuer une migration manuelle des invités avec lesquels un partage a précédemment été effectué. Au lieu de cela, lorsqu’un utilisateur externe à votre organisation clique sur un lien créé avant l’intégration Azure AD B2B, SharePoint créera automatiquement un compte d’invité B2B. Ce compte d’invité est créé pour l’utilisateur ayant créé à l’origine le lien de partage. (Si l’utilisateur qui a créé le lien n’est plus dans l’organisation ou n’a plus l’autorisation de partager, l’invité ne sera pas ajouté à l’annuaire et le fichier devra être partagé à nouveau.)

L’intégration de SharePoint et de OneDrive à la fonctionnalité de code secret à usage unique d’Azure AD B2B est actuellement désactivée par défaut.

Les avantages d’Azure AD B2B sont les suivants :

  • Les utiliseurs hors de votre organisation reçoivent chacun un compte dans l’annuaire et sont soumis aux stratégies d’accès d’Azure AD telles que l’authentification multifacteur.
  • Les invitations à un site SharePoint utilisent Azure AD B2B et n'exigent plus que les utilisateurs possèdent ou créent un compte Microsoft.
  • Si vous avez configuré la fédération Google dans Azure AD, les utilisateurs fédérés peuvent désormais accéder aux ressources SharePoint et OneDrive que vous avez partagées avec eux.
  • Le partage SharePoint et OneDrive est soumis aux paramètres de relations organisationnelles d’Azure AD tels que Les membres peuvent inviter et Les invités peuvent inviter. Comme pour les Groupes Microsoft 365 et Teams, si un paramètre de relation d’organisation Azure AD est plus restrictif qu’un paramètre de SharePoint ou OneDrive, le paramètre Azure AD est prioritaire.

Cette intégration n’est pas prise en charge dans les services Microsoft 365 suivants :

  • Office 365 géré par 21Vianet
  • GCC High et DoD

Notes

Les clients des clouds nationaux et restreints qui activent l’intégration Azure B2B avec SharePoint Online ne peuvent pas pour l’instant partager des fichiers et des dossiers avec des destinataires en dehors de ces environnements.

Activation de l’intégration

Cette intégration nécessite que votre organisation active également l’authentification par envoi d’un code secret à usage unique par e-mail Azure AD.

Notes

Lorsque l’intégration est activée, les personnes externes à l’organisation sont invitées via la plateforme Azure B2B lors du partage à partir de SharePoint. Lorsque l’option Code secret à usage unique Azure B2B est activée, les destinataires qui ne sont pas titulaires de comptes avec mot de passe peuvent se connecter via Azure AD qui utilise des codes secret à usage unique. Sinon, ils s’authentifieront via leur propre compte Azure AD ou un compte MSA. Lorsque l’intégration n’est pas activée, les personnes extérieures à l’organisation continuent d’utiliser leurs comptes existants créés lorsqu’elles ont précédemment été invitées à rejoindre le client. Tout partage avec de nouvelles personnes en dehors de l’organisation peut entraîner la génération de comptes Azure AD ou des invités d’authentification par e-mail uniquement de SharePoint qui utilisent une expérience de code secret à usage unique SharePoint pour se connecter.

Notes

Passez en revue les restrictions de partage de domaine personnalisées dans SharePoint et OneDrive et décidez si elles doivent être déplacées vers la liste Azure AD B2B Autoriser/Refuser. La liste Azure AD autoriser/refuser affecte également d’autres services Microsoft 365 tels que Teams et Groupes Microsoft 365.

Pour activer l’authentification par code secret Azure AD

  1. Connectez-vous au portail Azure en tant qu’administrateur général Azure AD.
  2. Dans le volet de navigation, sélectionnez Azure Active Directory.
  3. Sous Gérer, cliquez sur Identités externes.
  4. Cliquez sur Tous les fournisseurs d'identité.
  5. Sous Fournisseurs d'identité configurés, sélectionnez Envoyer le code d'accès à usage unique par e-mail et choisissez Activer le code d'accès à usage unique par e-mail pour les invités à compter de maintenant.
  6. Sélectionnez Enregistrer.

Pour activer l’intégration de SharePoint et de OneDrive à Azure AD B2B

  1. Téléchargez la dernière version de SharePoint Online Management Shell.

    Notes

    Si vous avez installé une version antérieure de SharePoint Online Management Shell, accédez à Ajouter ou supprimer des programmes et désinstaller « SharePoint Online Management Shell ».

  2. Connectez-vous à SharePoint en tant qu'administrateur général ou administrateur SharePoint dans Microsoft 365. Pour savoir comment, voir Prise en main de SharePoint Online Management Shell.

  3. Exécutez les applets de commande suivantes :

    Set-SPOTenant -EnableAzureADB2BIntegration $true
    Set-SPOTenant -SyncAadB2BManagementPolicy $true
    

Désactivation de l’intégration

Vous pouvez désactiver l’intégration en exécutant «Set-SPOTenant -EnableAzureADB2BIntegration $false'.

Important

Une fois désactivés, les utilisateurs qui ont été partagés pendant l’activation de l’intégration seront toujours un utilisateur invité AAD pour les partages futurs. Pour convertir un utilisateur invité AAD en utilisateur invité SharePoint, vous devez supprimer l’invité dans AAD et supprimer tous les objets SPUser de votre organisation qui référencent cet utilisateur invité.

Voir aussi

Set-SPOTenant

Présentation du partage externe