Partager via


Emplacements approuvés pour les fichiers Office

S’applique à :Microsoft 365 Apps, Office LTSC 2021, Office 2019 et Office 2016

Emplacements approuvés est une fonctionnalité d’Office dans laquelle les fichiers contenus dans ces dossiers sont supposés sécurisés, tels que les fichiers que vous créez vous-même ou enregistrés à partir d’une source digne de confiance. Ces fichiers contournent les services de protection contre les menaces, contournent les paramètres de blocage de fichiers et tout le contenu actif est activé. Cela signifie que les fichiers enregistrés dans les emplacements approuvés ne sont pas ouverts en mode protégé ou Application Guard.

Le contenu actif peut inclure des compléments non signés, des macros VBA, des connexions à des données externes, etc. Veillez à approuver la source d’origine du fichier avant de l’enregistrer dans un emplacement approuvé. Il est important que tout le contenu actif soit activé et que les utilisateurs ne reçoivent pas de notifications sur les risques potentiels pour la sécurité. Le diagramme suivant montre le flux de travail d’approbation pour l’ouverture de fichiers Office.

Capture d’écran d’un organigramme détaillant le processus et les conditions d’ouverture de fichiers à partir d’emplacements approuvés et de gestion du contenu actif en fonction de différentes stratégies.

Comme indiqué à l’étape 2, les fichiers des emplacements approuvés contournent toutes les autres vérifications de sécurité et de stratégie. Par conséquent, les emplacements approuvés doivent être utilisés rarement, pour des situations uniques et uniquement pour certains utilisateurs. Dans la base de référence de sécurité de Microsoft 365 Apps for enterprise, l’aide consiste à désactiver les emplacements approuvés basés sur le réseau. Ensuite, si nécessaire, contrôlez les emplacements approuvés de manière centralisée via la stratégie et n’autorisez pas les utilisateurs à définir eux-mêmes des emplacements approuvés.

Étapes de planification pour les emplacements approuvés

Les emplacements approuvés activent tout le contenu d’un fichier, y compris les compléments, les contrôles ActiveX, les liens hypertexte, les liens vers des sources de données et des médias, et les macros VBA. Les fichiers ouverts à partir d’emplacements approuvés ignorent les vérifications de validation des fichiers, les vérifications de bloc de fichiers et ne s’ouvrent pas en mode protégé ou Application Guard. Il existe différents niveaux de confiance que vous pouvez autoriser dans votre organisation pour les emplacements approuvés :

  • Autoriser les utilisateurs finaux à créer eux-mêmes des emplacements approuvés sur leur appareil ou leur réseau
  • Utiliser une stratégie pour empêcher les utilisateurs de créer des emplacements approuvés
  • Utiliser la stratégie pour gérer de manière centralisée les emplacements approuvés
  • Désactivation des emplacements approuvés

Il est important de choisir les scénarios qui conviennent le mieux à votre organisation et sa tolérance aux risques de sécurité.

Remarque

Certains emplacements approuvés sont créés par défaut lors de l’installation d’Office. Pour obtenir la liste de ces emplacements approuvés, voir Emplacements approuvés par défaut pour les applications Office.

Pour implémenter des emplacements approuvés, vous devez déterminer :

  • Les applications Office pour lesquelles vous souhaitez configurer des emplacements approuvés.
  • les dossiers que vous voulez désigner comme emplacements approuvés ;
  • les paramètres de partage et de sécurité des dossiers à appliquer à vos emplacements approuvés ;
  • les restrictions à appliquer aux emplacements approuvés.

Déterminer les applications Office pour lesquelles vous souhaitez configurer des emplacements approuvés

Vous pouvez afficher la liste des emplacements approuvés en accédant àOptions> de fichiers> Paramètres duCentre> de gestion de laconfidentialité...>Emplacements approuvés dans les applications Office suivantes :

  • Access
  • Excel
  • PowerPoint
  • Visio
  • Word

Des stratégies sont disponibles pour gérer les emplacements approuvés pour chacune de ces applications Office. Pour plus d’informations, consultez Utiliser une stratégie pour gérer des emplacements approuvés.

Remarque

Les stratégies sont également disponibles pour Project, mais Project n’a pas de paramètres Emplacements approuvés dans le Centre de gestion de la confidentialité.

Détermination des dossiers à indiquer comme emplacements approuvés

Voici quelques considérations à prendre en compte lors de la détermination des dossiers à utiliser en tant qu’emplacements approuvés :

  • À moins d’être bloqués par une stratégie, les utilisateurs peuvent créer et modifier des emplacements approuvés dans le Centre de gestion de la confidentialité pour leur application Office. Pour plus d’informations, consultez Ajouter, supprimer ou modifier un emplacement approuvé.

  • Par défaut, seuls les emplacements approuvés locaux sur l’appareil de l’utilisateur sont autorisés. Les emplacements réseau peuvent également être définis en tant qu’emplacement approuvé, mais ils ne sont pas recommandés.

  • Nous déconseillons aux utilisateurs de spécifier les dossiers racines en tant qu’emplacements approuvés. Par exemple, le lecteur C : ou le dossier Mes documents. Au lieu de cela, créez un sous-dossier dans ces dossiers et spécifiez uniquement ce dossier en tant qu’emplacement approuvé.

  • Une ou plusieurs applications peuvent utiliser le même emplacement approuvé.

  • Vous pouvez utiliser la stratégie Emplacement approuvé #1 pour désigner des emplacements approuvés pour vos utilisateurs.

Déterminer les paramètres de partage de dossiers et de sécurité des dossiers pour les dossiers Emplacement approuvé

Tous les dossiers que vous spécifiez en tant qu’emplacements approuvés doivent être sécurisés pour empêcher les utilisateurs malveillants d’ajouter ou de modifier des fichiers dans un emplacement approuvé.

Si un dossier est partagé, configurez les autorisations de partage de sorte que seuls les utilisateurs autorisés aient accès au dossier partagé.

Veillez à recourir au principe du moindre privilège et d'octroyer des autorisations appropriées aux utilisateurs. Accordez l’autorisation Lecture aux utilisateurs qui n’ont pas besoin de modifier des fichiers dans emplacements approuvés. Accordez l’autorisation Contrôle total aux utilisateurs qui doivent modifier des fichiers.

Utiliser la stratégie pour gérer les emplacements approuvés

Il existe plusieurs stratégies que vous pouvez utiliser pour gérer les emplacements approuvés dans votre organisation.

Vous pouvez utiliser la stratégie cloud, le Centre d’administration Microsoft Intune ou la console de gestion des stratégies de groupe pour configurer et déployer des paramètres de stratégie pour les utilisateurs de votre organisation. Pour plus d’informations, consultez Outils disponibles pour gérer les stratégies.

Remarque

Pour les versions sous licence en volume d’Office 2016, telles qu’Office Professionnel Plus 2016, vous pouvez utiliser l’outil de personnalisation Office (OCT) pour configurer des emplacements approuvés. Pour plus d’informations, voir Aide de l’outil de personnalisation Office 2016 : paramètres de sécurité Office.

Il existe des stratégies distinctes pour les emplacements approuvés pour chaque application Office. Le tableau suivant indique où se trouve chaque stratégie dans la console de gestion des stratégies de groupe sous Configuration utilisateur\Stratégies\Modèles d’administration.

Application Emplacement de la stratégie
Access Microsoft Access 2016\Paramètres de l’application\Sécurité\Centre de gestion de la confidentialité\Emplacements approuvés
Excel Microsoft Excel 2016\Options Excel\Sécurité\Centre de gestion de la confidentialité\Emplacements approuvés
PowerPoint Microsoft PowerPoint 2016\Options PowerPoint\Sécurité\Centre de gestion de la confidentialité\Emplacements approuvés
Project Microsoft Project 2016\Options de projet\Sécurité\Centre de gestion de la confidentialité
Visio Microsoft Visio 2016\Options Visio\Sécurité\Centre de gestion de la confidentialité
Word Microsoft Word 2016\Options Word\Sécurité\Centre de gestion de la confidentialité\Emplacements approuvés

Configurez la stratégie Autoriser la combinaison d’emplacements de stratégie et d’utilisateur pour déterminer si les utilisateurs et les administrateurs, ou uniquement les administrateurs, peuvent définir des emplacements approuvés.

Stratégie « Emplacement approuvé n° 1 »

Vous pouvez utiliser cette stratégie pour spécifier le chemin d’accès d’un emplacement approuvé pour les utilisateurs de votre organisation. Il existe 20 instances de cette stratégie. Par exemple, Emplacement approuvé #1, Emplacement approuvé #2, Emplacement approuvé #3, etc.

Par défaut, ces stratégies sont vides. Pour ajouter un emplacement approuvé, activez la stratégie et spécifiez le chemin d’accès à l’emplacement approuvé. Assurez-vous que l’emplacement que vous spécifiez est sécurisé, en définissant des autorisations afin que seuls les utilisateurs appropriés puissent ajouter des fichiers Office à cet emplacement.

Les emplacements approuvés que vous spécifiez avec cette stratégie s’affichent sous la section Emplacements des stratégies sous Options de>> fichiers Paramètres duCentre>de gestion de la confidentialité...>Emplacements approuvés.

Remarque

  • Vous pouvez utiliser des variables d’environnement lors de la spécification d’un emplacement approuvé.
  • Ces 20 stratégies sont également disponibles sous Configuration utilisateur\Stratégies\Modèles d’administration\Microsoft Office 2016\Paramètres de sécurité\Centre de gestion de la confidentialité. Si vous utilisez cette version de la stratégie, la stratégie s’applique à toutes les applications qui prennent en charge les emplacements approuvés.

Stratégie « Autoriser les emplacements approuvés sur le réseau »

Cette stratégie détermine si les emplacements approuvés sur le réseau peuvent être utilisés.

Par défaut, les emplacements approuvés sur les emplacements réseau sont désactivés. Toutefois,les utilisateurs peuvent modifier ce paramètre en accédant à Options de fichiers>> Paramètres duCentre> de gestion de laconfidentialité...>Emplacements approuvés et cochez la case Autoriser les emplacements approuvés sur mon réseau (non recommandé).

L’état que vous choisissez pour la stratégie détermine le niveau de protection que vous fournissez. Le tableau suivant indique le niveau de protection que vous obtenez avec chaque état.

Icône Niveau de protection État de la stratégie Description
Capture d’écran d’une icône verte avec une coche indiquant que le contenu est entièrement protégé. Protégé [recommandé] Désactivé Bloque les emplacements approuvés sur les emplacements réseau, y compris les emplacements configurés par l’administrateur (par exemple, à l’aide de la stratégie « Emplacement approuvé n° 1 »).

Ignore les emplacements réseau définis par les utilisateurs en tant qu’emplacements approuvés dans le Centre de gestion de la confidentialité et empêche les utilisateurs d’en ajouter d’autres.
Capture d’écran d’une icône rouge avec un « X » indiquant que le contenu n’est pas protégé. Non protégé Activé Permet aux emplacements réseau en tant qu’emplacements approuvés d’être définis à la fois par les utilisateurs et par stratégie.
Capture d’écran d’une icône orange avec une coche indiquant que le contenu est partiellement protégé. Partiellement protégé Non configuré Par défaut, les utilisateurs ne peuvent pas ajouter des emplacements réseau en tant qu’emplacements approuvés, mais peuvent activer ce paramètre en cochant la case Autoriser les emplacements approuvés sur mon réseau (non recommandé) dans le Centre de gestion de la confidentialité

Nous vous recommandons de définir cette stratégie sur Désactivé dans le cadre de la base de référence de sécurité pour Microsoft 365 Apps for enterprise. Vous devez désactiver cette stratégie pour la plupart des utilisateurs et n’effectuer des exceptions que pour certains utilisateurs si nécessaire.

Vous pouvez spécifier des dossiers web en tant qu’emplacements approuvés. Toutefois, seuls les dossiers web qui prennent en charge les protocoles WebDAV (Web Distributed Authoring and Versioning) ou FPRPC (FrontPage Server Extensions Remote Procedure Call) sont reconnus en tant qu’emplacements approuvés.

Stratégie « Désactiver tous les emplacements approuvés »

Cette stratégie peut être utilisée pour désactiver tous les emplacements approuvés.

Par défaut, les emplacements approuvés sont disponibles et les utilisateurs peuvent désigner n’importe quel emplacement comme emplacement approuvé, et un appareil peut avoir n’importe quelle combinaison d’emplacements approuvés créés par l’utilisateur et configurés par l’administrateur.

L’état que vous choisissez pour la stratégie détermine le niveau de protection que vous fournissez. Le tableau suivant indique le niveau de protection que vous obtenez avec chaque état.

Icône Niveau de protection État de la stratégie Description
Capture d’écran d’une icône verte avec une coche indiquant que le contenu est entièrement protégé. Protégé Activé Tous les emplacements approuvés sont bloqués.
Capture d’écran d’une icône rouge avec un « X » indiquant que le contenu n’est pas protégé. Non protégé Désactivé Un utilisateur ou un appareil peut avoir une combinaison d’emplacements approuvés créés par l’utilisateur ou configurés par l’administrateur (par exemple, par stratégie).
Capture d’écran d’une icône rouge avec un « X » indiquant que le contenu n’est pas protégé. Non protégé Non configuré Ce paramètre est la valeur par défaut d’Office. Fournit le même comportement que Désactivé.

Les organisations qui disposent d’un environnement de sécurité très restrictif définissent généralement cette stratégie sur Activé.

Stratégie « Autoriser la combinaison d’emplacements de stratégie et d’utilisateur »

Cette stratégie contrôle si les emplacements approuvés peuvent être définis par les utilisateurs et les administrateurs (par exemple, par stratégie), ou si les emplacements approuvés peuvent uniquement être définis par la stratégie.

Cette stratégie se trouve sous User Configuration\Policies\Administrative Templates\Microsoft Office 2016\Security Settings\Trust Center dans la console de gestion des stratégies de groupe.

L’état que vous choisissez pour la stratégie détermine le niveau de protection que vous fournissez. Le tableau suivant indique le niveau de protection que vous obtenez avec chaque état.

Icône Niveau de protection État de la stratégie Description
Capture d’écran d’une icône verte avec une coche indiquant que le contenu est entièrement protégé. Protégé [recommandé] Désactivé Seuls les emplacements approuvés définis par la stratégie sont autorisés.
Capture d’écran d’une icône rouge avec un « X » indiquant que le contenu n’est pas protégé. Non protégé Activé Un utilisateur ou un appareil peut avoir une combinaison d’emplacements approuvés créés par l’utilisateur ou configurés par l’administrateur (par exemple, par stratégie).
Capture d’écran d’une icône rouge avec un « X » indiquant que le contenu n’est pas protégé. Non protégé Non configuré Ce paramètre est la valeur par défaut d’Office. Fournit le même comportement que Activé.

Nous vous recommandons de définir cette stratégie sur Désactivé dans le cadre de la base de référence de sécurité pour Microsoft 365 Apps for enterprise. Vous devez désactiver cette stratégie pour la plupart des utilisateurs et n’effectuer des exceptions que pour certains utilisateurs si nécessaire.

Emplacements approuvés par défaut pour les applications Office

Plusieurs dossiers sont désignés comme emplacements approuvés par défaut dans une installation d’Office. Les emplacements approuvés par défaut sont répertoriés dans les tables pour les applications suivantes.

Il n’existe aucun emplacement approuvé par défaut pour Project ou pour Visio.

Vous pouvez voir ces dossiers en accédant àOptions> de fichiers> Paramètres duCentre> de gestion de laconfidentialité...>Emplacements approuvés.

Emplacements approuvés par défaut pour Access

Le tableau suivant répertorie les emplacements approuvés par défaut pour Access et indique si les sous-dossiers sont également approuvés.

Emplacement approuvé par défaut Description du dossier Sous-dossiers approuvés ?
Program Files\Microsoft Office\Root\Office16\ACCWIZ Bases de données d'Assistant Non (non autorisé)

Emplacements approuvés par défaut pour Excel

Le tableau suivant répertorie les dossiers qui sont les emplacements approuvés par défaut pour Excel et indique si les sous-dossiers sont également approuvés.

Emplacements approuvés par défaut Description du dossier Sous-dossiers approuvés ?
Program Files\Microsoft Office\Root\Templates Modèles d'application Oui (autorisé)
Utilisateurs\user_name\Appdata\Roaming\Microsoft\Templates Modèles utilisateur Non (non autorisé)
Program Files\Microsoft Office\Root\Office16\XLSTART Démarrage Excel Oui (autorisé)
Users\user_name\Appdata\Roaming\Microsoft\Excel\XLSTART Démarrage utilisateur Non (non autorisé)
Program Files\Microsoft Office\Root\Office16\STARTUP Démarrage Office Oui (autorisé)
Program Files\Microsoft Office\Root\Office16\Library Compléments Oui (autorisé)

Emplacements approuvés par défaut pour PowerPoint

Le tableau suivant répertorie les emplacements approuvés par défaut pour PowerPoint et indique si les sous-dossiers sont également approuvés.

Emplacements approuvés par défaut Description du dossier Sous-dossiers approuvés ?
Program Files\Microsoft Office\Root\Templates Modèles d'application Oui (autorisé)
Utilisateurs\user_name\Appdata\Roaming\Microsoft\Templates Modèles utilisateur Oui (autorisé)
Users\user_name\Appdata\Roaming\Microsoft\Addins Compléments Non (non autorisé)
Program Files\Microsoft Office\Root\Document Themes 16 Thèmes d'application Oui (autorisé)

Emplacements approuvés par défaut pour Word

Le tableau suivant répertorie les emplacements approuvés par défaut pour Word et indique si les sous-dossiers sont également approuvés.

Emplacements approuvés par défaut Description du dossier Sous-dossiers approuvés ?
Program Files\Microsoft Office\Root\Templates Modèles d'application Oui (autorisé)
Utilisateurs\user_name\Appdata\Roaming\Microsoft\Templates Modèles utilisateur Non (non autorisé)
Users\user_name\Appdata\Roaming\Microsoft\Word\Startup Démarrage utilisateur Non (non autorisé)