Partager via


Administrateurs informatiques - Contrôles d’accès aux appareils non managés SharePoint et OneDrive

En tant qu’administrateur SharePoint dans Microsoft 365 au moins, vous pouvez bloquer ou limiter l’accès au contenu SharePoint et OneDrive à partir d’appareils non gérés (ceux qui ne sont pas joints à AD hybride ou conformes dans Intune). Vous pouvez bloquer ou limiter l’accès pour :

  • Tous les utilisateurs de l’organisation, ou certains utilisateurs ou groupes de sécurité uniquement

  • Tous les sites de votre organisation, ou certains sites uniquement

Le blocage de l’accès contribue à la sécurité, mais au détriment de la convivialité et de la productivité. Lorsque l’accès est bloqué, les utilisateurs voient l’erreur suivante.

L’expérience lorsque l’accès est bloqué

La limitation de l’accès permet aux utilisateurs de rester productifs tout en évitant les risques de perte accidentelle de données sur les appareils non gérés. Lorsque vous limitez l’accès, les utilisateurs sur les appareils gérés disposent d’un accès complet (sauf s’ils utilisent l’une des combinaisons de navigateur et de système d’exploitation répertoriées dans Navigateurs pris en charge). Les utilisateurs sur les appareils non gérés disposent d’un accès par navigateur uniquement sans possibilité de télécharger, d’imprimer ou de synchroniser des fichiers. Ils ne pourront pas non plus accéder au contenu via des applications, y compris les applications de bureau Microsoft Office. Lorsque vous limitez l’accès, vous pouvez choisir d’autoriser ou de bloquer la modification de fichiers dans le navigateur. Lorsque l’accès web est limité, les utilisateurs voient le message suivant en haut des sites.

L’expérience quand l’accès web est limité

Remarque

Contrôle de l’accès à un appareil sur Microsoft 365

Les procédures décrites dans cet article affectent uniquement l’accès à SharePoint par les appareils non gérés. Si vous souhaitez étendre le contrôle des appareils non gérés au-delà de SharePoint, vous pouvez créer une stratégie d’accès conditionnel Microsoft Entra pour toutes les applications et services de votre organization. Pour configurer cette stratégie spécialement pour les services Microsoft 365, sélectionnez l’application cloud Office 365 sous Applications ou actions cloud.

Capture d’écran de l’application cloud Office 365 dans une stratégie d’accès conditionnel Microsoft Entra

L’utilisation d’une stratégie qui affecte tous les services Microsoft 365 peut mener à une meilleure expérience et à une sécurité optimisée pour vos utilisateurs. Par exemple, lorsque vous bloquez l’accès à des appareils non gérés dans SharePoint uniquement, les utilisateurs peuvent accéder à la conversation d’une équipe avec un appareil non géré, mais ils perdront l’accès quand ils tenteront d’accéder à l’onglet Fichiers. L’utilisation de l’application cloud Office 365 permet d’éviter les problèmes avec les dépendances de service.

Bloquer l’accès

  1. Accédez à Contrôle d’accès dans le nouveau Centre d’administration SharePoint et connectez-vous avec un compte disposant d’autorisations d’administrateur pour votre organization.

    Remarque

    Si vous avez Office 365 géré par 21Vianet (Chine), connectez-vous à la Centre d’administration Microsoft 365, puis accédez au Centre d’administration SharePoint et ouvrez la page Contrôle d’accès.

  2. Sélectionnez appareils non utilisés.

    Volet Appareils non gérés dans le Centre d’administration SharePoint

  3. Sélectionnez Bloquer l’accès, puis Enregistrer.

    Importante

    La sélection de cette option désactive toutes les stratégies d’accès conditionnel précédentes que vous avez créées à partir de cette page et crée une stratégie d’accès conditionnel qui s’applique à tous les utilisateurs. Les personnalisations que vous avez apportées aux stratégies précédentes ne seront pas reportées.

    Remarque

    L’application de la stratégie peut prendre jusqu’à 24 heures. Elle n’entrera pas en vigueur pour les utilisateurs qui sont déjà connectés à partir d’appareils non gérés.

    Importante

    Si vous bloquez ou limitez l’accès à partir d’appareils non gérés, nous vous recommandons également de bloquer l’accès à partir d’applications qui n’utilisent pas l’authentification moderne. Certaines applications et versions tierces d’Office antérieures à Office 2013 n’utilisent pas l’authentification moderne et ne peuvent pas appliquer de restrictions basées sur les appareils. Cela signifie qu’ils permettent aux utilisateurs de contourner les stratégies d’accès conditionnel que vous configurez dans Azure. Dans Contrôle d’accès dans le nouveau Centre d’administration SharePoint, sélectionnez Applications qui n’utilisent pas l’authentification moderne, sélectionnez Bloquer l’accès, puis Enregistrer.

Limiter l’accès

  1. Accédez à Contrôle d’accès dans le nouveau Centre d’administration SharePoint et connectez-vous avec un compte disposant d’autorisations d’administrateur pour votre organization.

    Remarque

    Si vous avez Office 365 géré par 21Vianet (Chine), connectez-vous au Centre d’administration Microsoft 365, accédez au Centre d’administration SharePoint et sélectionnez Stratégies à développer, puis sélectionnez Access Control.

  2. Sélectionnez appareils non utilisés.

  3. Sélectionnez Autoriser l’accès web limité, puis enregistrer. (Notez que la sélection de cette option désactive toutes les stratégies d’accès conditionnel précédentes que vous avez créées à partir de cette page et crée une stratégie d’accès conditionnel qui s’applique à tous les utilisateurs. Les personnalisations que vous avez apportées aux stratégies précédentes ne seront pas reportées.)

    Volet Appareils non gérés dans le nouveau Centre d’administration SharePoint

    Si vous revenez à Autoriser l’accès complet, l’application des modifications peut prendre jusqu’à 24 heures.

    Importante

    Si vous bloquez ou limitez l’accès à partir d’appareils non gérés, nous vous recommandons également de bloquer l’accès à partir d’applications qui n’utilisent pas l’authentification moderne. Certaines applications et versions tierces d’Office antérieures à Office 2013 n’utilisent pas l’authentification moderne et ne peuvent pas appliquer de restrictions basées sur les appareils. Cela signifie qu’ils permettent aux utilisateurs de contourner les stratégies d’accès conditionnel que vous configurez dans Azure. Dans Contrôle d’accès dans le nouveau Centre d’administration SharePoint, sélectionnez Applications qui n’utilisent pas l’authentification moderne, sélectionnez Bloquer l’accès, puis Enregistrer.

    Remarque

    Si vous limitez l’accès et modifiez un site à partir d’un appareil non géré, les composants WebPart image n’affichent pas les images que vous chargez dans la bibliothèque de ressources du site ou directement dans le composant WebPart. Pour contourner ce problème, vous pouvez utiliser cette API SPList pour exempter la stratégie de téléchargement de bloc sur la bibliothèque de ressources du site. Cela permet au composant WebPart de télécharger des images à partir de la bibliothèque de ressources du site.

    Lorsque Access Control pour les appareils non gérés dans SharePoint est défini sur Autoriser l’accès web limité, les fichiers SharePoint ne peuvent pas être téléchargés, mais ils peuvent être aperçus. Les préversions des fichiers Office fonctionnent dans SharePoint, mais elles ne fonctionnent pas dans Microsoft Viva Engage.

Limiter l’accès à l’aide de PowerShell

  1. Téléchargez la dernière version de SharePoint Online Management Shell.

    Remarque

    Si vous avez installé une version précédente de SharePoint Online Management Shell, accédez à Ajouter ou supprimer des programmes, puis désinstallez « SharePoint Online Management Shell ».

  2. Connectez-vous à SharePoint en tant qu’administrateur SharePoint au moins dans Microsoft 365. Pour savoir comment procéder, reportez-vous à l’article Prise en main de SharePoint Online Management Shell.

  3. Exécutez la commande suivante :

    Set-SPOTenant -ConditionalAccessPolicy AllowLimitedAccess
    

    Remarque

    Par défaut, cette stratégie permet aux utilisateurs d’afficher et de modifier des fichiers dans leur navigateur web. Pour modifier cela, consultez Configurations avancées.

Bloquer ou limiter l’accès à un site SharePoint ou OneDrive spécifique

Pour bloquer ou limiter l’accès à des sites spécifiques, procédez comme suit. Si vous avez configuré la stratégie à l’échelle du organization, le paramètre au niveau du site que vous spécifiez doit être au moins aussi restrictif que le paramètre de niveau organization.

  1. Créez manuellement une stratégie dans le centre d’administration Microsoft Entra en suivant les étapes décrites dans Utiliser des restrictions appliquées par l’application.

  2. Définissez le paramètre au niveau du site à l’aide de PowerShell ou d’une étiquette de confidentialité :

  3. Pour utiliser PowerShell : téléchargez la dernière version de SharePoint Online Management Shell.

    Remarque

    Si vous avez installé une version antérieure de SharePoint Online Management Shell, accédez à Ajouter ou supprimer des programmes et désinstaller « SharePoint Online Management Shell ».

  4. Connectez-vous à SharePoint en tant qu’administrateur SharePoint au moins dans Microsoft 365. Pour savoir comment procéder, reportez-vous à l’article Prise en main de SharePoint Online Management Shell.

  5. Exécutez l’une des commandes suivantes.

    Pour bloquer l’accès à un seul site :

    Set-SPOSite -Identity https://<SharePoint online URL>/sites/<name of site or OneDrive account> -ConditionalAccessPolicy BlockAccess
    

    Pour limiter l’accès à un seul site :

    Set-SPOSite -Identity https://<SharePoint online URL>/sites/<name of site or OneDrive account> -ConditionalAccessPolicy AllowLimitedAccess
    

    Pour mettre à jour plusieurs sites à la fois, utilisez la commande suivante comme exemple :

    Get-SPOSite -IncludePersonalSite $true -Limit all -Filter "Url -like '-my.sharepoint.com/personal/'" | Set-SPOSite -ConditionalAccessPolicy AllowLimitedAccess
    

    Cet exemple obtient le OneDrive pour chaque utilisateur et le transmet en tant que tableau à Set-SPOSite pour limiter l’accès.

Remarque

Par défaut, un paramètre qui inclut l’accès web permet aux utilisateurs d’afficher et de modifier des fichiers dans leur navigateur web. Pour modifier cela, consultez Configurations avancées.

Configurations avancées

Les paramètres suivants peuvent être utilisés avec -ConditionalAccessPolicy AllowLimitedAccess pour le paramètre organization et le paramètre au niveau du site :

-AllowEditing $false Empêche les utilisateurs de modifier des fichiers Office dans le navigateur.

-ReadOnlyForUnmanagedDevices $true Rend l’ensemble du site en lecture seule pour les utilisateurs concernés.

-LimitedAccessFileType OfficeOnlineFilesOnly Permet aux utilisateurs d’afficher un aperçu uniquement des fichiers Office dans le navigateur. Cette option augmente la sécurité, mais peut constituer un obstacle à la productivité des utilisateurs.

-LimitedAccessFileType WebPreviewableFiles (par défaut) Permet aux utilisateurs d’afficher un aperçu des fichiers Office dans le navigateur. Cette option optimise la productivité des utilisateurs, mais offre moins de sécurité pour les fichiers qui ne sont pas des fichiers Office. Avertissement : Cette option est connue pour provoquer des problèmes avec les types de fichiers PDF et image, car ils peuvent être nécessaires pour être téléchargés sur l’ordinateur de l’utilisateur final pour s’afficher dans le navigateur. Planifiez soigneusement l’utilisation de ce contrôle. Sinon, vos utilisateurs pourraient être confrontés à des erreurs inattendues « Accès refusé ».

-LimitedAccessFileType OtherFiles Permet aux utilisateurs de télécharger des fichiers qui ne peuvent pas être prévisualisés, tels que .zip et .exe. Cette option offre moins de sécurité. Si ce mode est activé, pour télécharger des fichiers comme .zip ou .exe, copiez simplement l’URL du fichier et collez-le dans le navigateur (exemple : https://contoso.sharepoint.com/:u:/r/sites/test/Shared%20Documents/test1.zip).

Le AllowDownlownloadingNonWebViewableFiles paramètre a été abandonné. Utilisez plutôt LimitedAccessFileType.

Personnes en dehors du organization sont affectés lorsque vous utilisez des stratégies d’accès conditionnel pour bloquer ou limiter l’accès à partir d’appareils non gérés. Si les utilisateurs ont partagé des éléments avec des personnes spécifiques (qui doivent entrer un code de vérification envoyé à leur adresse e-mail), vous pouvez les exempter de cette stratégie en exécutant la commande suivante.

Set-SPOTenant -ApplyAppEnforcedRestrictionsToAdHocRecipients $false

Remarque

Les liens « Tout le monde » (liens partageables qui ne nécessitent pas de connexion) ne sont pas affectés par ces stratégies. Personnes qui ont un lien « Tout le monde » vers un fichier ou un dossier pourront télécharger l’élément. Pour tous les sites où vous activez des stratégies d’accès conditionnel, vous devez désactiver les liens « Tout le monde ».

Impact de l’application

Le blocage de l’accès et le téléchargement peuvent avoir un impact sur l’expérience utilisateur dans certaines applications, notamment dans certaines applications Office. Nous vous recommandons d’activer la stratégie pour certains utilisateurs et de tester l’expérience avec les applications utilisées dans votre organization. Dans Office, veillez à case activée le comportement dans Power Apps et Power Automate lorsque votre stratégie est activée.

Remarque

Les applications qui s’exécutent en mode « application uniquement » dans le service, comme les applications antivirus et les analyseurs de recherche, sont exemptées de la stratégie.

Si vous utilisez des modèles de site SharePoint classiques, il se peut que les images de site ne s’affichent pas correctement. Cela est dû au fait que la stratégie empêche le téléchargement des fichiers image d’origine dans le navigateur.

Pour les nouveaux locataires, les applications qui utilisent un jeton d’accès uniquement aux applications ACS sont désactivées par défaut. Nous vous recommandons d’utiliser le modèle Microsoft Entra ID application uniquement, qui est moderne et plus sécurisé. Mais vous pouvez modifier le comportement en exécutant set-spotenant -DisableCustomAppAuthentication $false (nécessite la dernière version de PowerShell d’administrateur SharePoint).

Besoin d’aide supplémentaire ?

Q&R SharePoint

Voir aussi

Recommandations de stratégie pour la sécurisation des sites et des fichiers SharePoint

Contrôler l’accès aux données SharePoint et OneDrive en fonction des emplacements réseau définis