1. Livres & vidéos
  2. Administrer Microsoft 365
  3. Gestion des accès externes et des invités
Extrait - Administrer Microsoft 365 Configurer efficacement son environnement cloud
Extraits du livre
Administrer Microsoft 365 Configurer efficacement son environnement cloud Revenir à la page d'achat du livre

Gestion des accès externes et des invités

Introduction

La collaboration externe est un sujet important que tout administrateur ne doit pas négliger. Qu’elle soit sous forme d’invitation ou de partage direct, elle fait partie intégrante d’un environnement cloud.

Longtemps, les systèmes informatiques étaient étroitement cloisonnés. Du fait de leur architecture (infrastructure hébergée sur site), la gestion des accès vers l’extérieur nécessitait des solutions temporaires ou difficilement traçables. Il fallait donc utiliser divers moyens comme :

  1. l’envoi d’e-mails avec pièces jointes ;

  2. les supports physiques (CD/DVD, clés USB et disques durs externes) ;

  3. un compte d’accès interne couplé à un accès VPN ;

  4. des outils tiers comme WeTransfer, ou Dropbox.

Même si certains de ces moyens sont encore utilisés, leur usage a grandement diminué avec l’arrivée du cloud et des outils collaboratifs comme SharePoint, Microsoft Teams ou encore OneDrive. Ces plateformes ont certes permis de simplifier le partage de données, mais il est indispensable que les administrateurs mettent en place une gouvernance liée aux accès invités et au partage externe, afin de garder un œil sur les échanges et d’éviter de potentielles fuites de données.

En 2016, Microsoft intègre...

Configuration des accès externes

Dans l’environnement de Microsoft 365, les organisations sont de plus en plus amenées à collaborer avec des utilisateurs externes. Microsoft propose deux méthodes de partage : l’accès externe et le compte invité. Chacune de ces deux méthodes répond à des cas d’usage différents et possède des configurations et des contrôles spécifiques.

1. Accès externe vs compte invité

Pour être en mesure de définir une gouvernance liée à l’accès externe, il est important de bien comprendre les différents processus de fonctionnement.

Un accès externe est la méthode qui permet à un utilisateur d’un tenant de collaborer avec d’autres utilisateurs et ce, peu importe leur identité, qu’elle provienne de Microsoft ou d’un autre fournisseur cloud. Un compte invité est une identité externe ajoutée au sein du tenant Microsoft 365. Ce compte invité ne possède pas de compte interne au sein de l’organisation, mais est en mesure d’avoir un accès contrôlé à certaines ressources grâce à une identité externe. 

Pour mieux comprendre la différence entre un accès externe et un compte invité dans Microsoft 365, l’environnement Microsoft 365 peut être comparé au fonctionnement d’un bâtiment sécurisé, où chaque niveau d’accès correspond au niveau d’autorisation accordée aux personnes extérieures.

L’accès externe est une interaction entre deux personnes, l’une à l’intérieur d’un bâtiment et l’autre à l’extérieur. Il peut s’agir d’une simple conversation, d’un appel ou du partage d’une information sans que la personne extérieure ne franchisse la porte du bâtiment.

Voici la représentation d’un accès externe :

images/New-12RI01.png

Dans Microsoft 365, cela correspond à une collaboration dans Microsoft Teams. C’est ce qu’on appelle une fédération entre tenants. Pendant cette interaction, l’utilisateur externe continue d’utiliser son environnement Microsoft Teams...

Gestion des comptes invités

Comme il s’agit de comptes qui ouvrent une brèche vers l’extérieur, une gouvernance des comptes invités est indispensable. Sans cela, il existe un risque que les administrateurs se retrouvent à gérer des comptes inutilisés depuis plusieurs mois ainsi que des données exposées à des utilisateurs externes qui ne devraient plus y accéder.

1. Stratégie et prérequis

Pour gérer les comptes invités, plusieurs stratégies peuvent être mises en place.

Contrôle des invitations

L’un des premiers points à mettre en place est le contrôle des invitations. Il est essentiel de répondre aux questions suivantes :

Qui est autorisé à inviter ?

Définir si tous les utilisateurs, uniquement les administrateurs ou seulement les détenteurs d’un rôle spécifique peuvent inviter.

De quelle manière sont invités les utilisateurs externes ?

Intégrer les utilisateurs externes en mode manuel ou à travers un workflow.

Quels sont les utilisateurs externes autorisés à accéder au tenant ?

Mettre en place une liste avec des domaines autorisés ou non admis.

Toutes ces options sont disponibles dans le centre d’administration de Microsoft Entra ID (voir sous-section Activation des accès externes de ce chapitre). 

Activation de l’authentification multifacteur

Étant donné que ces utilisateurs viennent de domaines ou de tenants externes non gérés en interne, il est fortement recommandé d’activer l’authentification multifacteur (MFA) pour renforcer la sécurité de ce type de compte.

L’activation de l’authentification multifacteur se fait à travers une politique d’accès conditionnel (voir chapitre Administration de Microsoft Entra ID, sous-section Création d’un accès conditionnel).

Application de délais de session

La mise en place des délais de session permet de limiter le risque d’accès prolongé. Ce paramètre contrôle le temps de session d’un compte, pour ensuite appliquer une stratégie...

Conclusion

Qu’elle soit interne ou externe, la collaboration fait partie des nombreuses fonctionnalités que propose Microsoft 365. L’intégration des utilisateurs externes permet d’étendre cette collaboration et de gagner en productivité.

Cependant, cette ouverture vers l’extérieur, si elle n’est pas correctement gérée, peut représenter un risque de sécurité au sein de l’organisation. Ce risque est d’autant plus important que la gestion des accès externes et des invités repose sur différents portails d’administration. En effet, même si Microsoft Entra ID est le point d’entrée en matière de gestion d’identité, les centres d’administration de Microsoft 365, Exchange, Microsoft Teams, SharePoint Online et OneDrive disposent de certaines fonctionnalités d’accès externe.

L’entrée des utilisateurs externes dans le tenant doit faire l’objet d’une étude afin de déterminer un processus d’intégration adapté. Ce processus peut être manuel, en masse, ou via une inscription en libre-service, permettant aux utilisateurs de s’enregistrer eux-mêmes. Une fois présents dans l’environnement, les administrateurs peuvent surveiller leurs accès grâce aux révisions...