Partager via

Stratégie d’accès conditionnel

Avec Microsoft Entra contexte d’authentification, vous pouvez appliquer des conditions d’accès plus strictes lorsque les utilisateurs accèdent à des sites SharePoint.

Vous pouvez utiliser des contextes d’authentification pour connecter une stratégie d’accès conditionnel Microsoft Entra à un site SharePoint. Les stratégies peuvent être appliquées directement au site ou via une étiquette de confidentialité.

Cette fonctionnalité ne peut pas être appliquée au site racine dans SharePoint (par exemple, https://contoso.sharepoint.com).

Capture d’écran du tableau de bord de stratégie d’accès conditionnel.

De quoi avez-vous besoin pour configurer des stratégies d’accès conditionnel ?

Quelles sont les exigences de licence ?

Votre organization doit disposer de la licence appropriée et répondre à certaines autorisations ou rôles administratifs pour utiliser la fonctionnalité décrite dans cet article.

Tout d’abord, votre organization doit avoir l’une des licences de base suivantes :

  • Office 365 E3, E5 ou A5
  • Microsoft 365 E1, E3, E5 ou A5

En outre, vous avez besoin d’au moins une de ces licences :

  • Microsoft 365 Copilot licence : au moins un utilisateur de votre organization doit se voir attribuer une licence Copilot (cet utilisateur n’a pas besoin d’être administrateur SharePoint).
  • Licence Microsoft SharePoint Advanced Management : Disponible en tant qu’achat autonome.

Configuration requise pour l’administrateur

Vous devez être administrateur SharePoint ou disposer d’autorisations équivalentes.

Informations supplémentaires

Si votre organization dispose d’une licence Copilot et qu’au moins une personne de votre organization se voit attribuer une licence Copilot, les administrateurs SharePoint ont automatiquement accès aux fonctionnalités de gestion avancée sharePoint nécessaires au déploiement de Copilot.

Pour les organisations sans licence Copilot, vous pouvez utiliser les fonctionnalités de gestion avancée sharePoint en achetant une licence SharePoint Advanced Management autonome.

En outre, vous avez également besoin de l’une des licences suivantes :

  • Microsoft SharePoint Advanced Management
  • Microsoft 365 E5/A5/G5
  • Conformité Microsoft 365 E5/A5
  • Microsoft 365 E5, Protection des informations et gouvernance
  • Office 365 E5/A5/G5

Limitations

Certaines applications ne fonctionnent pas avec les contextes d’authentification. Nous vous recommandons de tester les applications sur un site avec le contexte d’authentification activé avant de déployer largement cette fonctionnalité.

Les applications et scénarios suivants ne fonctionnent pas avec les contextes d’authentification :

  • Ancienne version des applications Office (voir la liste des versions prises en charge)
  • Applications mobiles SharePoint (iOS et Android)
  • Viva Engage
  • L’application OneNote ne peut pas être ajoutée au canal si le site SharePoint associé a un contexte d’authentification.
  • Le chargement de l’enregistrement de réunion de canal Teams échoue sur les sites avec un contexte d’authentification.
  • Le changement de nom du dossier SharePoint dans Teams échoue si le site a un contexte d’authentification.
  • La planification des webinaires Teams échoue si OneDrive a un contexte d’authentification.
  • L’application Synchronisation OneDrive ne synchronise pas les sites avec un contexte d’authentification.
  • L’association d’un contexte d’authentification à la collection de sites du catalogue d’applications d’entreprise n’est pas prise en charge.
  • La fonctionnalité « Visualiser la liste SharePoint dans Power BI » ne prend actuellement pas en charge le contexte d’authentification.
  • Outlook sur Windows, Mac, Android et iOS ne prend pas en charge la communication avec les sites SharePoint protégés par un contexte d’authentification.
  • La fonctionnalité de téléchargement de plusieurs fichiers ne fonctionne actuellement pas lorsque le contexte d’authentification et l’option « Utiliser le contrôle d’application par accès conditionnel » dans le contrôle de session sont activés dans la stratégie d’accès conditionnel.
  • La fonctionnalité de téléchargement de plusieurs fichiers ne fonctionne pas si un contexte d’authentification est défini directement sur un site SharePoint sans stratégie d’accès conditionnel active à l’aide de ce contexte, ou si la stratégie existe mais est désactivée.
  • La fonctionnalité de copie et de déplacement de fichiers entre différentes régions (intergéographiques) ne fonctionne actuellement pas lorsqu’un contexte d’authentification est appliqué au site de destination.
  • L’exportation vers Excel en tant que requête web Excel (IQY) ne prend actuellement pas en charge le contexte d’authentification.

Configuration d’un contexte d’authentification

La configuration d’un contexte d’authentification pour les sites étiquetés nécessite les étapes de base suivantes :

  1. Ajoutez un contexte d’authentification dans Microsoft Entra ID.

  2. Créez une stratégie d’accès conditionnel qui s’applique à ce contexte d’authentification et qui contient les conditions et les contrôles d’accès que vous souhaitez utiliser.

  3. Effectuez l’une des opérations suivantes :

    1. Définissez une étiquette de confidentialité pour appliquer le contexte d’authentification aux sites étiquetés.
    2. Appliquer le contexte d’authentification directement à un site

Dans cet article, nous examinons l’exemple selon lequel les invités doivent accepter des conditions d’utilisation avant d’accéder à un site SharePoint sensible. Vous pouvez également utiliser les autres conditions d’accès conditionnel et contrôles d’accès dont vous pourriez avoir besoin pour votre organization.

Ajouter un contexte d’authentification

Tout d’abord, ajoutez un contexte d’authentification dans Microsoft Entra ID.

Pour ajouter un contexte d’authentification :

  1. Dans Microsoft Entra accès conditionnel, sous Gérer, sélectionnez Contexte d’authentification.

  2. Sélectionnez Nouveau contexte d’authentification.

  3. Tapez un nom et une description, puis sélectionnez la zone Publier dans les applications case activée.

    Capture d’écran de l’interface utilisateur ajouter un contexte d’authentification

  4. Sélectionnez Enregistrer.

Créer une stratégie d’accès conditionnel

Ensuite, créez une stratégie d’accès conditionnel qui s’applique à ce contexte d’authentification et qui exige que les invités acceptent les conditions d’utilisation comme condition d’accès.

Pour créer une stratégie d’accès conditionnel :

  1. Dans Microsoft Entra accès conditionnel, sélectionnez Nouvelle stratégie.

  2. Tapez un nom pour la stratégie.

  3. Sous l’onglet Utilisateurs et groupes, choisissez l’option Sélectionner des utilisateurs et des groupes, puis sélectionnez la zone Case activée Utilisateurs invités ou externes.

  4. Choisissez utilisateurs invités B2B Collaboration dans la liste déroulante.

  5. Sous l’onglet Applications ou actions cloud, sous Sélectionner ce à quoi cette stratégie s’applique, choisissez Contexte d’authentification, puis sélectionnez la zone case activée pour le contexte d’authentification que vous avez créé.

    Capture d’écran des options de contexte d’authentification dans les paramètres des applications cloud ou des actions pour une stratégie d’accès conditionnel.

  6. Sous l’onglet Accorder, sélectionnez la zone case activée pour les conditions d’utilisation que vous souhaitez utiliser, puis sélectionnez Sélectionner.

  7. Choisissez si vous souhaitez activer la stratégie, puis sélectionnez Créer.

Appliquer le contexte d’authentification directement à un site

Vous pouvez appliquer directement un contexte d’authentification à un site SharePoint à l’aide de l’applet de commande PowerShell Set-SPOSite .

Remarque

Cette fonctionnalité nécessite une licence Microsoft 365 E5 ou Microsoft SharePoint Advanced Management.

Dans l’exemple suivant, nous appliquons le contexte d’authentification que nous avons créé ci-dessus à un site appelé « recherche ».

Set-SPOSite -Identity https://contoso.sharepoint.com/sites/research -ConditionalAccessPolicy AuthenticationContext -AuthenticationContextName "Sensitive information - guest terms of use"

Définir une étiquette de confidentialité pour appliquer le contexte d’authentification aux sites étiquetés

Si vous souhaitez utiliser une étiquette de confidentialité pour appliquer le contexte d’authentification, mettez à jour une étiquette de confidentialité (ou créez-en une nouvelle) pour utiliser le contexte d’authentification.

Remarque

Les étiquettes de confidentialité nécessitent Microsoft 365 E5 ou Microsoft 365 E3 plus la licence De conformité avancée.

Pour mettre à jour une étiquette de confidentialité

  1. Dans le portail Microsoft Purview, sous l’onglet Protection des informations , sélectionnez l’étiquette à mettre à jour, puis sélectionnez Modifier l’étiquette.

  2. Sélectionnez Suivant jusqu’à ce que vous soyez dans la page Définir les paramètres de protection pour les groupes et les sites .

  3. Vérifiez que la zone Partage externe et Accès conditionnel case activée est cochée, puis sélectionnez Suivant.

  4. Dans la page Définir les paramètres de partage externe et d’accès aux appareils, sélectionnez la zone Utiliser l’accès conditionnel Microsoft Entra pour protéger les sites SharePoint étiquetés case activée.

  5. Sélectionnez l’option Choisir un contexte d’authentification existant .

  6. Dans la liste déroulante, choisissez le contexte d’authentification que vous souhaitez utiliser.

    Capture d’écran des paramètres d’étiquette de sensibilité du contexte d’authentification Microsoft Entra

  7. Sélectionnez Suivant jusqu’à ce que vous soyez sur la page Vérifier vos paramètres et terminer , puis sélectionnez Enregistrer l’étiquette.

Une fois l’étiquette mise à jour, les invités qui accèdent à un site SharePoint (ou à l’onglet Fichiers d’une équipe) avec cette étiquette devront accepter les conditions d’utilisation avant d’accéder à ce site.

Blocage des applications en arrière-plan

Si le contexte d’authentification est défini sur un site, les administrateurs peuvent choisir d’empêcher les applications en arrière-plan d’accéder à ce site pour les applications affectées avec ce contexte d’authentification dans une stratégie d’accès conditionnel. Vous pouvez configurer une stratégie d’accès conditionnel de telle sorte qu’un contexte d’authentification spécifique puisse être affecté à des principes d’application choisis (applications non-Microsoft). Vous devez activer explicitement cette fonctionnalité via l’applet de commande suivante. Vous devez disposer d’au moins une stratégie d’accès conditionnel avec un principe d’application configuré.

Set-SPOTenant -BlockAppAccessWithAuthenticationContext $false/$true (default false)

Intégration d’applications tierces

Les applications tierces qui utilisent des sites avec un contexte d’authentification attaché doivent être en mesure de gérer la demande de revendications. Si vous avez des applications tierces, nous vous recommandons de tester les applications et de lire les conseils ici.

Voir aussi

Utiliser les étiquettes de confidentialité pour protéger le contenu dans Microsoft Teams, les Groupes Microsoft 365 et les sites SharePoint

Accès conditionnel : applications cloud, actions et contexte d’authentification

Conseils sur les licences Microsoft 365 pour la sécurité et la conformité

  • Last updated on