Restreindre l’accès aux sites SharePoint avec les groupes Microsoft 365 et les groupes de sécurité Entra
Certaines fonctionnalités de cet article nécessitent Microsoft SharePoint Premium - Gestion avancée de SharePoint
Vous pouvez restreindre l’accès aux sites et au contenu SharePoint aux utilisateurs d’un groupe spécifique à l’aide d’une stratégie de restriction d’accès aux sites. Les utilisateurs qui ne font pas partie du groupe spécifié ne peuvent pas accéder au site ou à son contenu, même s’ils disposaient d’autorisations préalables ou d’un lien partagé. Cette stratégie peut être utilisée avec des sites connectés à un groupe Microsoft 365, connectés à Teams et non connectés à un groupe.
Les stratégies de restriction d’accès au site sont appliquées lorsqu’un utilisateur tente d’ouvrir un site ou d’accéder à un fichier. Les utilisateurs disposant d’autorisations directes sur le fichier peuvent toujours afficher les fichiers dans les résultats de recherche. Toutefois, ils ne peuvent pas accéder aux fichiers s’ils ne font pas partie du groupe spécifié.
La restriction de l’accès au site via l’appartenance à un groupe peut réduire le risque de surpartage du contenu. Pour obtenir des informations sur le partage de données, consultez Rapports de gouvernance de l’accès aux données.
Configuration requise
La stratégie de restriction d’accès au site nécessite Microsoft SharePoint Premium - SharePoint Advanced Management.
Activer la restriction d’accès au niveau du site pour votre organization
Vous devez activer la restriction d’accès au niveau du site pour votre organization avant de pouvoir la configurer pour des sites individuels.
Pour activer la restriction d’accès au niveau du site pour votre organization dans le Centre d’administration SharePoint :
Développez Stratégies et sélectionnez Contrôle d’accès.
Sélectionnez Restriction d’accès au niveau du site.
Sélectionnez Autoriser la restriction d’accès , puis Enregistrer.
Pour activer la restriction d’accès au niveau du site pour votre organization à l’aide de PowerShell, exécutez la commande suivante :
Set-SPOTenant -EnableRestrictedAccessControl $true
L’application de la commande peut prendre jusqu’à une heure
Remarque
Pour les utilisateurs microsoft 365 multigéographiques, exécutez cette commande séparément pour chaque emplacement géographique souhaité.
Restreindre l’accès aux sites connectés à un groupe (Groupes Microsoft 365 et Teams)
La stratégie de restriction d’accès au site pour les sites connectés à un groupe restreint l’accès au site SharePoint aux membres du groupe ou de l’équipe Microsoft 365 associé au site.
Pour gérer la restriction d’accès au site pour un site connecté à un groupe dans le Centre d’administration SharePoint
- Dans le Centre d’administration SharePoint, développez Sites et sélectionnez Sites actifs.
- Sélectionnez le site que vous souhaitez gérer et le panneau détails du site s’affiche.
- Sous l’onglet Paramètres , sélectionnez Modifier dans la section Accès restreint au site .
- Sélectionnez la zone Restreindre l’accès à ce site , puis sélectionnez Enregistrer.
Pour gérer la restriction d’accès aux sites pour les sites connectés à un groupe à l’aide de PowerShell, utilisez les commandes suivantes :
| Action | Commande PowerShell |
|---|---|
| Activer la restriction d’accès au site pour un site connecté à un groupe | Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $true |
| Afficher la restriction d’accès au site pour un site connecté à un groupe | Get-SPOSite -Identity <siteurl> -Select RestrictedAccessControl |
| Désactiver la restriction d’accès au site pour un site connecté à un groupe | Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $false |
Remarque
Une fois la stratégie activée pour un site, le propriétaire du site peut afficher les détails de la façon dont la stratégie de restriction d’accès au site affecte le site.
Pour les sites connectés à un groupe, la stratégie status et les détails du groupe de contrôle configuré sont affichés dans les volets Informations sur le site et Autorisations.
Restreindre l’accès aux sites non connectés au groupe
Vous pouvez restreindre l’accès aux sites non connectés à un groupe en spécifiant les groupes de sécurité Entra ou les groupes Microsoft 365 qui contiennent les personnes qui doivent être autorisées à accéder au site. Vous pouvez configurer jusqu’à 10 groupes de sécurité Entra ou groupes Microsoft 365. Une fois la stratégie appliquée, les utilisateurs du groupe spécifié qui disposent d’autorisations d’accès au site se voient accorder l’accès au site et à son contenu. Vous pouvez utiliser des groupes de sécurité dynamiques si vous souhaitez baser l’appartenance au groupe sur les propriétés de l’utilisateur.
Pour gérer l’accès au site à un site non connecté à un groupe :
Dans le Centre d’administration SharePoint, développez Sites et sélectionnez Sites actifs.
Sélectionnez le site que vous souhaitez gérer et le panneau détails du site s’affiche.
Sous l’onglet Paramètres , sélectionnez Modifier dans la section Accès restreint au site .
Sélectionnez la zone Restreindre l’accès au site SharePoint aux utilisateurs des groupes spécifiés case activée.
Ajoutez ou supprimez vos groupes de sécurité ou groupes Microsoft 365, puis sélectionnez Enregistrer.
Pour que la restriction d’accès au site soit appliquée au site, vous devez ajouter au moins un groupe à la stratégie de restriction d’accès au site.
Pour gérer la restriction d’accès aux sites pour les sites non connectés à un groupe à l’aide de PowerShell, utilisez les commandes suivantes :
| Action | Commande PowerShell |
|---|---|
| Activer la restriction d’accès au site | Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $true |
| Ajout d’un groupe | Set-SPOSite -Identity <siteurl> -AddRestrictedAccessControlGroups <comma separated group GUIDS> |
| Modifier le groupe | Set-SPOSite -Identity <siteurl> -RestrictedAccessControlGroups <comma separated group GUIDS> |
| Afficher le groupe | Get-SPOSite -Identity <siteurl> Select RestrictedAccessControl, RestrictedAccessControlGroups |
| Supprimer un groupe | Set-SPOSite -Identity <siteurl> -RemoveRestrictedAccessControlGroups <comma separated group GUIDS> |
| Réinitialiser la restriction d’accès au site | Set-SPOSite -Identity <siteurl> -ClearRestrictedAccessControl |
Après avoir activé la stratégie pour les sites de communication, la stratégie status et tous les groupes de contrôle configurés sont affichés pour les propriétaires de sites dans le panneau Accès au site, en plus des panneaux Informations sur le site et Autorisations.
Sites de canaux partagés et privés
Les sites de canaux partagés et privés sont distincts du site connecté au groupe Microsoft 365 que les canaux standard utilisent. Étant donné que les sites de canaux partagés et privés ne sont pas connectés au groupe Microsoft 365, les stratégies de restriction d’accès aux sites appliquées à l’équipe ne les affectent pas. Vous devez activer la restriction d’accès au site pour chaque site de canal partagé ou privé séparément en tant que sites non connectés à un groupe.
Pour les sites de canal partagé, seuls les utilisateurs internes du locataire de ressource sont soumis à une restriction d’accès au site. Les participants au canal externe sont exclus de la stratégie de restriction d’accès au site et sont évalués uniquement en fonction des autorisations de site existantes du site.
Importante
L’ajout de personnes au groupe de sécurité ou au groupe Microsoft 365 ne permet pas aux utilisateurs d’accéder au canal dans Teams. Il est recommandé d’ajouter ou de supprimer les mêmes utilisateurs du canal Teams dans Teams et le groupe de sécurité ou le groupe Microsoft 365 afin que les utilisateurs aient accès à Teams et SharePoint.
Partage de sites avec une stratégie d’accès aux sites restreint
Le partage de sites SharePoint et de son contenu peut être bloqué avec des utilisateurs et des groupes qui ne sont pas autorisés conformément à la stratégie de contrôle d’accès restreint.
La fonctionnalité de contrôle de partage est désactivée par défaut. Pour l’activer, exécutez la commande PowerShell suivante dans SharePoint Online Management Shell en tant qu’administrateur :
Set-SPOTenant -AllowSharingOutsideRestrictedAccessControlGroups $false
Partage avec les utilisateurs
Le partage est autorisé uniquement avec les utilisateurs qui font partie de groupes de contrôle d’accès restreint. Le partage sera bloqué avec toute personne en dehors des groupes de contrôle d’accès restreint, comme indiqué ci-dessous :
Partage avec des groupes
Le partage est autorisé avec des groupes Microsoft Entra Sécurité ou M365 qui font partie de la liste des groupes de contrôle d’accès restreint. Par conséquent, le partage avec tous les autres groupes, y compris Tout le monde à l’exception des utilisateurs externes ou des groupes SharePoint, ne sera pas autorisé.
Remarque
À l’heure actuelle, le partage d’un site et de son contenu ne sera pas autorisé pour les groupes de sécurité imbriqués qui font partie des groupes de contrôle d’accès restreint. Cette prise en charge sera ajoutée dans l’itération de la prochaine version.
Configurer le lien En savoir plus pour la page d’erreur de refus d’accès
Configurez votre lien En savoir plus pour informer les utilisateurs auxquels l’accès à un site SharePoint a été refusé en raison de la stratégie de contrôle d’accès restreint au site. Avec ce lien d’erreur personnalisable, vous pouvez fournir des informations et des conseils supplémentaires à vos utilisateurs.
Remarque
Le lien En savoir plus est un paramètre au niveau du locataire qui s’applique à tous les sites pour qui la stratégie de contrôle d’accès restreint est activée.
Pour configurer le lien, exécutez la commande suivante dans SharePoint PowerShell :
Set-SPOTenant -RestrictedAccessControlForSitesErrorHelpLink “<Learn more URL>”
Pour récupérer la valeur du lien, exécutez la commande suivante :
Get-SPOTenant | select RestrictedAccessControlForSitesErrorHelpLink
Le lien En savoir plus configuré est lancé lorsque l’utilisateur sélectionne le lien En savoir plus sur les stratégies de votre organization ici.
Informations sur les stratégies d’accès restreint aux sites
En tant qu’administrateur informatique, vous pouvez afficher les rapports suivants pour obtenir plus d’informations sur les sites SharePoint protégés par une stratégie d’accès restreint aux sites :
- Sites protégés par une stratégie d’accès restreint aux sites (RACProtectedSites)
- Détails des refus d’accès en raison d’un accès restreint au site (ActionsBlockedByPolicy)
Remarque
La génération de chaque rapport peut prendre quelques heures.
Sites protégés par un rapport de stratégie d’accès restreint aux sites
Vous pouvez exécuter les commandes suivantes dans SharePoint PowerShell pour générer, afficher et télécharger les rapports :
| Action | Commande PowerShell | Description |
|---|---|---|
| Générer un rapport | Start-SPORestrictedAccessForSitesInsights -RACProtectedSites |
Génère une liste de sites protégés par une stratégie d’accès restreint aux sites |
| Afficher le rapport | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> |
Le rapport affiche les 100 principaux sites avec les pages les plus consultées qui sont protégés par la stratégie. |
| Télécharger le rapport | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -Action Download |
Cette commande doit être exécutée en tant qu’administrateur. Le rapport téléchargé se trouve sur le chemin d’accès où la commande a été exécutée. |
| Pourcentage de sites protégés avec un rapport d’accès restreint au site | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -InsightsSummary |
Ce rapport indique le pourcentage de sites protégés par la stratégie par rapport au nombre total de sites |
Refus d’accès en raison d’une stratégie d’accès restreint au site
Vous pouvez exécuter les commandes suivantes pour créer, extraire et afficher un rapport pour les refus d’accès en raison de rapports d’accès restreint au site :
| Action | Commande PowerShell | Description |
|---|---|---|
| Créer un rapport de refus d’accès | Start-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy |
Crée un rapport pour récupérer les détails du refus d’accès |
| Récupérer les status de rapport sur les refus d’accès | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy |
Récupère la status du rapport généré. |
| Derniers refus d’accès au cours des 28 derniers jours | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content AllDenials |
Obtient une liste des 100 derniers refus d’accès qui se sont produits au cours des 28 derniers jours |
| Afficher la liste des principaux utilisateurs auxquels l’accès a été refusé | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopUsers |
Obtient une liste des 100 premiers utilisateurs qui ont reçu le plus grand nombre de refus d’accès |
| Afficher la liste des principaux sites ayant reçu le plus de refus d’accès | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopSites |
Obtient une liste des 100 principaux sites qui ont eu le plus grand nombre de refus d’accès |
| Distribution des refus d’accès entre différents types de sites | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content SiteDistribution |
Montre la distribution des refus d’accès entre différents types de sites |
Remarque
Pour afficher jusqu’à 10 000 refus, vous devez télécharger les rapports. Exécutez la commande download en tant qu’administrateur et les rapports téléchargés se trouvent sur le chemin d’accès à partir duquel la commande a été exécutée.
Audit
Les événements d’audit sont disponibles dans le portail de conformité Purview pour vous aider à surveiller les activités de restriction d’accès au site. Les événements d’audit sont enregistrés pour les activités suivantes :
- Application d’une restriction d’accès au site pour le site
- Suppression de la restriction d’accès au site pour le site
- Modification des groupes de restriction d’accès au site pour le site
Articles connexes
Stratégie d’accès conditionnel pour les sites SharePoint et OneDrive