Utiliser des obstacles à l’information avec SharePoint

Les obstacles à l’information Microsoft Purview sont des stratégies dans Microsoft 365 qu’un administrateur de conformité peut configurer pour empêcher les utilisateurs de communiquer et de collaborer entre eux. Cette solution est utile si, par exemple, une division gère des informations qui ne doivent pas être partagées avec d’autres divisions spécifiques, ou si une division doit être empêchée, ou isolée, de collaborer avec tous les utilisateurs en dehors de la division. Les obstacles à l’information sont souvent utilisés dans les secteurs hautement réglementés et les organisations ayant des exigences de conformité, telles que les finances, les services juridiques et le gouvernement.

Pour SharePoint, les obstacles à l’information peuvent déterminer et empêcher les types de collaborations non autorisées suivants :

• Ajout d’un utilisateur à un site
• Accès utilisateur à un site ou au contenu d’un site
• Partage d’un site ou d’un contenu de site avec d’autres utilisateurs

Modes d’obstacles à l’information et sites SharePoint

Les modes Obstacles à l’information aident à renforcer l’accès, le partage et l’appartenance à un site en fonction de son mode IB et des segments associés au site.

Lorsque vous utilisez des obstacles à l’information avec SharePoint, vous pouvez utiliser les modes IB suivants :

Partage de sites pour les modes IB

Le partage de sites avec les utilisateurs est basé sur le mode IB du site.

Ouvrir

Lorsqu’un site n’a pas de segments et que vous définissez le mode Obstacles à l’information du site sur Ouvrir :

• Le site et son contenu peuvent être partagés en fonction de la stratégie de barrière à l’information appliquée à l’utilisateur. Par exemple, si un utilisateur rh est autorisé à communiquer avec des utilisateurs dans Recherche, l’utilisateur peut partager le site avec ces utilisateurs.

Propriétaire modéré

Lorsque vous définissez le mode d’obstacles à l’information d’un site sur Owner Moderated :

• L’option de partage avec toute personne disposant du lien est désactivée.
• L’option de partage avec le lien à l’échelle de l’entreprise est désactivée.
• (Pour les sites connectés à un groupe) Le site et son contenu peuvent être partagés avec des membres existants.
• (Pour les sites non connectés à un groupe) Le site et son contenu ne peuvent être partagés que par le propriétaire du site conformément à sa stratégie IB.

Implicite

Lorsque vous définissez le mode d’obstacles à l’information d’un site sur Implicite :

• L’option de partage avec toute personne disposant du lien est désactivée.
• L’option de partage avec le lien à l’échelle de l’entreprise est désactivée.
• Le site et son contenu peuvent être partagés avec des membres existants via un lien de partage.
• Les nouveaux utilisateurs ne peuvent pas être ajoutés directement au site. Le propriétaire de l’équipe doit ajouter des utilisateurs au groupe de l’équipe à l’aide de Microsoft Teams.

Explicit

Lorsque vous associez un site à des segments et que vous définissez le mode d’obstacles à l’information du site sur Explicite :

• L’option de partage avec toute personne disposant du lien est désactivée.
• L’option de partage avec le lien à l’échelle de l’entreprise est désactivée.
• Vous pouvez partager le site et son contenu uniquement avec des utilisateurs dont le segment correspond à celui du site. Par exemple, si vous associez un site au segment RH, vous pouvez partager le site avec des utilisateurs RH uniquement (même si les RH sont compatibles avec les segments Ventes et Recherche).
• Vous pouvez ajouter de nouveaux utilisateurs en tant que membres du site uniquement si leur segment correspond au segment du site.

Contrôle d’accès pour les modes IB

La stratégie IB est appliquée lors de l’ouverture du site SharePoint ou du contenu dans le site SharePoint. Cette application est basée sur le mode IB du site.

Mode d'ouverture

Pour qu’un utilisateur accède à un site SharePoint qui n’a pas de segment et que le mode Obstacles à l’information du site est défini sur Ouvrir :

• L’utilisateur dispose d’autorisations d’accès au site.

Mode modéré propriétaire

Pour qu’un utilisateur accède à un site SharePoint avec le mode d’obstacles à l’information du site défini sur Propriétaire modéré :

• (Pour les sites non connectés à un groupe) L’utilisateur dispose d’autorisations d’accès au site.
• (Pour les sites connectés à un groupe) L’utilisateur doit être membre du groupe Microsoft 365 connecté au site.

Mode implicite

Pour accéder aux sites SharePoint qui utilisent le mode barrières à l’information défini sur Implicite :

• Vous êtes membre du groupe Microsoft 365 connecté au site.
• Si vous n’êtes pas membre du groupe Microsoft 365 connecté au site, vous ne pouvez pas accéder au site.
• Le assistant de conformité aux obstacles à l’information garantit que l’appartenance au groupe est conforme à IB.

Mode explicite

Pour accéder aux sites SharePoint qui utilisent des segments et le mode d’obstacles à l’information du site est Explicite :

• Votre segment correspond à un segment associé au site.

  AND

• Vous disposez d’une autorisation d’accès au site.

Les utilisateurs non segments ne peuvent pas accéder à un site associé à des segments. Un message d’erreur s’affiche.

Autoriser les applications s’exécutant en mode application uniquement à accéder aux sites IB

De nombreuses organisations utilisent des applications s’exécutant dans un contexte d’application uniquement dans leur organization. Pour permettre à ces applications s’exécutant en mode application uniquement d’accéder aux sites protégés ib, les administrateurs SharePoint peuvent activer la fonctionnalité d’adhésion.

Pour permettre aux applications s’exécutant en mode application uniquement d’accéder aux sites IB, exécutez la commande suivante :

Set-SPOTenant -AppBypassInformationBarriers $true

Si vous activez l’application d’enregistrement de réunion Teams ou d’affectation EDU dans votre organization, exécutez la commande suivante pour permettre à ces applications d’interagir avec les sites protégés ib :

Set-SPOTenant -AppOnlyBypassPeoplePickerPolicies $true

Exemple de scénario

L’exemple suivant illustre trois segments d’un organization : RH, Ventes et Recherche. Une stratégie d’obstacle à l’information bloque la communication et la collaboration entre les segments Ventes et Recherche. Ces segments sont incompatibles.

Avec les obstacles aux informations SharePoint, un administrateur SharePoint ou un administrateur général peut associer des segments à un site pour empêcher le site d’être partagé avec des utilisateurs en dehors des segments ou d’y accéder. Vous pouvez associer jusqu’à 100 segments compatibles à un site. Vous associez les segments au niveau du site (précédemment appelé niveau collection de sites). Le groupe Microsoft 365 connecté au site est également associé au segment du site.

Dans l’exemple précédent, le segment RH est compatible avec Sales et Research. Toutefois, étant donné que les segments Ventes et Recherche sont incompatibles, vous ne pouvez pas les associer au même site.

Configuration requise

1. Assurez-vous que vous respectez les exigences de licence pour les obstacles à l’information.
2. Créez des stratégies de barrière des informations qui autorisent ou bloquent la communication entre les segments, puis définissez-les sur actives. Créez des segments et définissez les utilisateurs dans chacun d’eux.
3. Attendez 24 heures après avoir configuré et activé vos stratégies de barrière des informations pour que les modifications se propagent dans votre organization.
4. Suivez les étapes décrites dans les sections suivantes pour activer et gérer les obstacles à l’information SharePoint et OneDrive dans votre organization.

Activer les obstacles à l’information SharePoint et OneDrive dans votre organization

Les administrateurs SharePoint ou les administrateurs généraux peuvent activer les obstacles à l’information dans SharePoint et OneDrive dans votre organization. Effectuez les étapes suivantes pour activer les obstacles à l’information pour votre organization :

1. Téléchargez et installez la dernière version de SharePoint Online Management Shell.

2. Connectez-vous à SharePoint Online en tant qu’administrateur général ou administrateur SharePoint dans Microsoft 365. Pour savoir comment procéder, reportez-vous à l’article Prise en main de SharePoint Online Management Shell.

3. Exécutez la commande suivante pour activer les obstacles à l’information dans SharePoint et OneDrive :

   Set-SPOTenant -InformationBarriersSuspension $false 
   

4. Attendez environ 1 heure que les modifications prennent effet une fois que vous avez activé les obstacles à l’information pour SharePoint et OneDrive dans votre organization.

Pour activer le contrôle d’accès et de partage basés sur l’appartenance aux groupes Microsoft 365 pour tous les sites connectés à Teams en mode implicite dans votre locataire, exécutez la commande suivante :

Set-SPOTenant -IBImplicitGroupBased $true

Si vous avez installé une version précédente du SharePoint Online Management Shell, procédez comme suit :

1. Accédez à Ajouter ou supprimer des programmes et désinstallez SharePoint Online Management Shell.

2. Accédez au Centre de téléchargement Microsoft pour la SharePoint Online Management Shell), sélectionnez votre langue, puis sélectionnez Télécharger.

3. Vous pouvez être invité à choisir entre le téléchargement d’un fichier .msi x64 et x86. Téléchargez le fichier x64 si vous exécutez la version 64 bits de Windows ou le fichier x86 si vous exécutez la version 32 bits de Windows. Si vous ne savez pas quelle version vous exécutez sur votre ordinateur, consultez Quelle version du système d’exploitation Windows j’exécute ?.

4. Une fois le téléchargement terminé, exécutez le fichier du programme d’installation et suivez les étapes de configuration dans le workflow d’installation.

5. Connectez-vous à SharePoint Online en tant qu’administrateur général ou administrateur SharePoint dans Microsoft 365. Pour savoir comment procéder, reportez-vous à l’article Prise en main de SharePoint Online Management Shell.

6. Exécutez la commande suivante pour activer les obstacles à l’information dans SharePoint et OneDrive :

   Set-SPOTenant -InformationBarriersSuspension $false 
   

7. Attendez environ 1 heure pour que les modifications prennent effet après avoir configuré les barrières à l’information dans SharePoint et OneDrive dans votre organization.

Pour activer le contrôle d’accès et de partage basés sur l’appartenance aux groupes Microsoft 365 pour tous les sites en mode implicite dans votre organization, exécutez la commande suivante :

Set-SPOTenant -IBImplicitGroupBased $true

Afficher et gérer les segments en tant qu’administrateur

Les administrateurs SharePoint ou les administrateurs généraux peuvent afficher et gérer des segments sur un site SharePoint. Votre organization peut avoir jusqu’à 5 000 segments, et les utilisateurs peuvent être affectés à plusieurs segments.

Affichez et gérez les segments d’obstacles à l’information comme suit :

1. Utiliser le Centre d’administration SharePoint pour afficher et gérer les segments d’informations

Pour afficher, modifier ou supprimer des segments d’informations d’un site, utilisez Sites actifs dans le Centre d’administration SharePoint.

La colonne Segments répertorie le premier segment associé au site et indique si d’autres segments sont associés au site. Découvrez comment afficher ou déplacer cette colonne

Pour afficher la liste complète des segments associés à un site, sélectionnez le nom du site pour ouvrir le panneau d’informations, puis sélectionnez l’onglet Paramètres .

Pour modifier les segments associés au site, sélectionnez Modifier, ajouter ou supprimer des segments, puis sélectionnez Enregistrer.

2. Utiliser SharePoint PowerShell pour afficher et gérer les segments d’informations sur un site

1. Connectez-vous au Centre de conformité sécurité & PowerShell en tant qu’administrateur général.

2. Exécutez la commande suivante pour obtenir la liste des segments et leurs GUID.

   Get-OrganizationSegment | ft Name, EXOSegmentID
   

3. Enregistrez la liste des segments.

   Name	EXOSegmentId
   Ventes	a9592060-c856-4301-b60f-bf9a04990d4d
   Recherche	27d20a85-1c1b-4af2-bf45-a41093b5d111
   HR	a17efb47-e3c9-4d85-a188-1cd59c83de32

4. Si vous n’avez pas effectué cette étape précédemment, téléchargez et installez la dernière SharePoint Online Management Shell. Si vous avez installé une version précédente de l’SharePoint Online Management Shell, suivez les instructions de la section Activer les obstacles à l’information SharePoint et OneDrive dans votre organization de cet article.

5. Connectez-vous à SharePoint Online en tant qu’administrateur général ou administrateur SharePoint dans Microsoft 365. Pour savoir comment procéder, reportez-vous à l’article Prise en main de SharePoint Online Management Shell.

6. Exécutez la commande suivante :

   Set-SPOSite -Identity <site URL> -AddInformationSegment <segment GUID>
   

   Par exemple :

   Set-SPOSite -Identity https://contoso.sharepoint.com/sites/ResearchTeamSite -AddInformationSegment 27d20a85-1c1b-4af2-bf45-a41093b5d111
   

Un message d’erreur s’affiche si vous tentez d’associer un segment qui n’est pas compatible avec les segments existants du site.

Pour supprimer un segment d’un site, exécutez la commande suivante :

Set-SPOSite -Identity <site URL> -RemoveInformationSegment <segment GUID>

Par exemple :

Set-SPOSite -Identity https://contoso.sharepoint.com/sites/ResearchTeamSite -RemoveInformationSegment 27d20a85-1c1b-4af2-bf45-a41093b5d111

Pour afficher les segments d’un site, exécutez la commande suivante pour renvoyer les GUID de tous les segments associés au site.

Get-SPOSite -Identity <site URL> | Select InformationSegment

3. Utiliser l’API REST SharePoint pour afficher et gérer les segments d’informations sur un site

SharePoint inclut un service REST (Representational State Transfer) que vous pouvez utiliser pour gérer les segments sur un site. Pour accéder aux ressources SharePoint et gérer les segments de site à l’aide de REST, créez une requête HTTP RESTful à l’aide de la norme OData. Cette requête correspond à l’interface de programmation d’application (API) du modèle objet client souhaité.

Pour plus d’informations sur le service REST SharePoint, voir Découvrir le service REST SharePoint.

Afficher et gérer les modes IB en tant qu’administrateur avec SharePoint PowerShell

Pour afficher le mode IB d’un site, exécutez la commande suivante :

Get-SPOSite -Identity <site URL> | Select InformationBarriersMode

Scénario en mode modéré propriétaire

Vous souhaitez autoriser un utilisateur Sales and Research à collaborer sur un site SharePoint en présence d’un utilisateur RH.

Owner Moderated est un mode applicable au site (site connecté à Teams, sites non connectés à un groupe) qui permet aux utilisateurs de segments incompatibles d’accéder au site. Seul le propriétaire du site a la possibilité d’inviter des utilisateurs de segment incompatibles sur ce même site.

Pour mettre à jour le mode d’un site vers Owner Moderated, exécutez la commande PowerShell suivante :

Set-SPOSite -Identity <siteurl> -InformationBarriersMode OwnerModerated

Vous ne pouvez pas définir le mode IB modéré par le propriétaire sur un site avec des segments. Supprimez d’abord les segments avant de définir le mode IB sur Owner Moderated. Les utilisateurs disposant d’autorisations d’accès au site peuvent accéder à un site modéré par le propriétaire. Seul le propriétaire du site peut partager un site modéré propriétaire et son contenu conformément à sa stratégie IB.

Audit

Vous pouvez afficher les événements d’audit dans le portail Microsoft Purview pour surveiller les activités de barrière à l’information. Le système enregistre les événements d’audit pour les activités suivantes :

• Activation des obstacles à l’information pour SharePoint et OneDrive
• Application d’un segment à un site
• Modification du segment d’un site
• Suppression du segment d’un site
• Application du mode d’obstacles à l’information à un site
• Modification du mode d’obstacles à l’information d’un site
• Désactivation des obstacles à l’information pour SharePoint et OneDrive

Pour plus d’informations sur l’audit de segment SharePoint dans Office 365, voir Rechercher dans le journal d’audit dans le portail Microsoft Purview.

Création et gestion de site par les propriétaires de site

Lorsqu’un utilisateur segmenté crée un site SharePoint, le site s’associe au segment de l’utilisateur et le mode d’obstacles à l’information du site définit automatiquement sur Explicite.

Les propriétaires de site peuvent ajouter d’autres segments à un site SharePoint qui a déjà des segments avec le mode du site défini sur Explicite. Les propriétaires de sites ne peuvent pas supprimer les segments ajoutés des sites. Les administrateurs SharePoint doivent supprimer les segments ajoutés dans votre organization si nécessaire.

Lorsqu’un utilisateur non segmenté crée un site SharePoint, le site ne s’associe à aucun segment et le mode d’obstacles à l’information du site définit automatiquement sur Ouvrir.

Lorsqu’un administrateur SharePoint crée un site SharePoint à partir du Centre d’administration SharePoint, le site ne s’associe à aucun segment et le mode IB du site définit l’option Ouvrir.

Pour aider les propriétaires de site à ajouter un segment à un site, partagez l’article Associer des segments d’informations à des sites SharePoint avec les propriétaires de votre site SharePoint.

Sites Microsoft Teams

Lorsque vous créez une équipe dans Microsoft Teams, vous créez également automatiquement un site SharePoint pour les fichiers de l’équipe. Pour protéger les sites Microsoft Teams avec le contrôle Information Barriers, vous pouvez activer les barrières à l’information dans SharePoint pour votre locataire.

Dans les 24 heures, le mode Obstacles à l’information du site est automatiquement défini comme Implicite et les segments associés aux membres de l’équipe sont associés au site.

Les sites Microsoft Teams avec le mode de barrière des informations implicite ont un accès au site et un partage basés sur l’appartenance au groupe Microsoft 365.

Par exemple, les utilisateurs ont accès au site Microsoft Teams s’ils sont membres du groupe Microsoft 365 connecté au site. Le groupe Microsoft 365 connecté à l’équipe est conforme à IB.

• Le site et son contenu peuvent être partagés avec l’utilisateur dont le segment correspond à celui du site.
• Le site et son contenu sont accessibles par un utilisateur s’il a le même segment que celui du site et dispose d’autorisations d’accès au site.

Pour activer le contrôle d’accès et de partage basés sur l’appartenance aux groupes Microsoft 365 pour tous les sites en mode implicite dans votre organization, exécutez la commande suivante en tant qu’administrateur SharePoint :

Set-SPOTenant -IBImplicitGroupBased $true

Canal privé et obstacles à l’information

Lorsque vous activez SharePoint Information Barriers dans votre organization, tout nouveau site de canal privé hérite automatiquement du mode IB de l’équipe Microsoft parente dans les 24 heures. Le mode d’un canal privé est attribué comme suit :

L’accès au site de canal privé et le partage sont régis par son mode IB :

• Site de canal privé avec le mode Open Information Barriers

  • L’accès est autorisé à toute personne disposant d’autorisations d’accès au site
  • Les liens de partage sont autorisés conformément à la stratégie de partage existante du site
  • Personnes sélecteur permet la détectabilité de l’utilisateur en fonction de la stratégie IB du partage

• Site de canal privé avec le mode d’obstacles implicites aux informations

  • L’accès est autorisé à l’utilisateur qui est actuellement membre du canal privé
  • Le partage est autorisé à l’aide de Personnes avec un lien d’accès existant

Les sites de canaux privés déjà configurés dans votre organization ont leur mode d’obstacles à l’information défini sur Ouvert. Pour configurer les sites de canal privé existants en mode implicite , exécutez l’applet de commande suivante dans le module SharePoint PowerShell :

Set-Sposite -Identity <site URL> -InformationBarriersMode Implicit

En savoir plus sur la gestion sites d’équipes connectées Microsoft Teams.

Recherche

Les utilisateurs voient les résultats de la recherche à partir de :

• Segmenter les sites associés : lorsque le segment du site correspond au segment de l’utilisateur et que l’utilisateur dispose d’une autorisation d’accès au site. Par exemple, un site en mode explicite .
• Sites non segmentés : lorsque l’utilisateur dispose d’un accès existant au contenu ou au site. Par exemple, les sites en mode Ouvert, Modéré par le propriétaire ou Implicite . Lorsque l’utilisateur sélectionne le résultat de la recherche pour ouvrir le contenu du site, l’utilisateur se voit refuser l’accès s’il ne correspond pas à la stratégie IB du site.

Recherche à l’échelle du locataire et expérience Copilot

L’expérience utilisateur est la suivante :

• Segmenter les sites associés : lorsque le segment du site correspond au segment de l’utilisateur et que l’utilisateur dispose d’une autorisation d’accès au site. Par exemple, un site en mode explicite . 

• Sites en mode Ouvert : Lorsque l’utilisateur dispose d’un accès existant au contenu ou au site. 

• Sites en mode modéré implicite et propriétaire :

  • Lorsque l’utilisateur dispose d’un accès existant au contenu ou au site.

  • Si l’utilisateur avait accès au site et au contenu avant l’application de stratégie, il continuerait à voir le site et son contenu dans les résultats de recherche et Copilot. Toutefois, lorsqu’ils tentent d’ouvrir le contenu, ils se voient refuser l’accès s’ils ne se conforment pas à la politique ib du site. 

Effets des modifications apportées aux segments d’utilisateurs

Si un propriétaire de site SharePoint ou le segment d’un membre de site change, il continue d’avoir accès au site ou au contenu selon le mode IB du site :

• Mode Ouvert : l’utilisateur peut accéder au site s’il dispose d’autorisations d’accès au site existantes.
• Propriétaire modéré : l’utilisateur peut accéder au site s’il dispose d’autorisations d’accès au site existantes.
• Mode implicite : si l’utilisateur est membre du groupe Microsoft 365, il continue d’avoir accès au site.
• Mode explicite : si le nouveau segment de l’utilisateur correspond au segment du site et que l’utilisateur dispose d’autorisations d’accès au site, il continue d’avoir accès au site.

Effets des modifications apportées aux stratégies existantes d’obstacles à l’information

Si un administrateur de conformité modifie une stratégie IB existante, la modification peut avoir un impact sur la compatibilité des segments associés à un site (en mode explicite ou implicite *). Par exemple, les segments qui étaient autrefois compatibles peuvent ne plus l’être.

Avec le rapport de conformité de la stratégie Obstacles à l’information, l’administrateur SharePoint peut afficher la liste des sites où les segments ne sont plus compatibles. Pour plus d’informations, consultez Découvrir comment créer un rapport de conformité de stratégie d’obstacles à l’information dans PowerShell.

Pour gérer les sites hors conformité :

• En mode explicite , un administrateur SharePoint doit modifier les segments associés pour les mettre en conformité ib.
• En mode implicite , un administrateur SharePoint ne peut pas gérer les segments directement. Nous recommandons à l’administrateur Teams de gérer l’appartenance de l’équipe afin d’intégrer la liste d’appartenance et les segments teams à la conformité IB.

Comment suspendre les obstacles aux informations SharePoint et OneDrive dans votre organization

Si votre organization souhaite suspendre temporairement les obstacles à l’information sur SharePoint, utilisez SharePoint Online Management Shell et l’applet de commande Set-Spotenant.

Pour suspendre les obstacles à l’information, exécutez la commande suivante :

Set-SPOTenant -InformationBarriersSuspension $true 

Autoriser le partage de sites en mode Ouvert avec des groupes de sécurité à extension messagerie

IB prend en charge une fonctionnalité d’adhésion disponible dans le module PowerShell SharePoint pour que les sites en mode Ouvert soient partagés avec des groupes de sécurité à extension messagerie pour les autorisations de site, le partage et le ciblage d’audience. Cette fonctionnalité est uniquement prise en charge dans les sites en mode Ouvert . Les administrateurs SharePoint peuvent activer cette prise en charge dans votre organization. Nous vous recommandons de vous assurer que l’appartenance au groupe de sécurité est conforme à IB.

Avant d’activer la prise en charge des groupes, vérifiez que vous remplissez les conditions préalables suivantes :

• Votre organization a uniquement des stratégies de blocage IB
• Votre organization est activé pour SharePoint IB (voir cette section dans cet article).

Pour configurer la prise en charge des groupes de sécurité à extension messagerie dans les sites en mode Ouvert , exécutez la commande suivante :

Set-SPOTenant -ShowPeoplePickerGroupSuggestionsForIB $true

Ressources

• Obstacles aux informations dans Microsoft Teams.

• Obstacles à l’information dans OneDrive