Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Le contrôle d’accès restreint aux sites permet d’éviter le surpartage en désignant l’accès des sites SharePoint et de son contenu aux utilisateurs d’un groupe spécifique. Les utilisateurs qui ne font pas partie du groupe spécifié ne peuvent pas accéder au site ou à son contenu, même s’ils disposaient d’autorisations préalables ou d’un lien partagé. Vous pouvez appliquer cette stratégie sur les sites connectés à un groupe Microsoft 365, connectés à Teams et non connectés à un groupe à l’aide de groupes Microsoft 365 ou de groupes de sécurité Microsoft Entra.
Les stratégies de restriction d’accès au site prennent effet lorsqu’un utilisateur tente d’ouvrir un site ou d’accéder à un fichier. Les utilisateurs disposant d’autorisations directes sur le fichier peuvent toujours afficher les fichiers dans les résultats de recherche. Toutefois, ils ne peuvent pas accéder aux fichiers s’ils ne font pas partie du groupe spécifié.
La restriction de l’accès au site par le biais de l’appartenance à un groupe peut réduire le risque de surpartage de contenu. Pour obtenir des informations sur le partage de données, consultez Rapports de gouvernance de l’accès aux données.
De quoi avez-vous besoin pour restreindre l’accès au site ?
Critères de licence
Votre organization doit disposer des licences appropriées et répondre à certaines autorisations ou rôles administratifs pour utiliser la fonctionnalité décrite dans cet article.
Tout d’abord, votre organisation doit avoir l’une des licences de base suivantes :
- Office 365 E3, E5 pi A5
- Microsoft 365 E1, E3, E5 ou A5
En outre, vous avez besoin d’au moins une de ces licences :
- Microsoft 365 Copilot licence : au moins un utilisateur de votre organization doit se voir attribuer une licence Copilot (cet utilisateur n’a pas besoin d’être administrateur SharePoint).
- Licence Microsoft Gestion avancée de SharePoint : Disponible en tant qu’achat autonome.
Configuration requise pour l’administrateur(-trice)
Vous devez être administrateur(-trice) SharePoint ou disposer d’autorisations équivalentes.
Informations supplémentaires
Si votre organisation dispose d’une licence Copilot et qu’au moins une personne de votre organisation se voit attribuer une licence Copilot, les administrateurs SharePoint ont automatiquement accès aux fonctionnalités de gestion avancée sharePoint nécessaires au déploiement de Copilot.
Pour les organisations sans licence Copilot, vous pouvez utiliser les fonctionnalités de gestion avancée sharePoint en achetant une licence Gestion avancée de SharePoint autonome.
Activer la restriction d’accès au niveau du site pour votre organization
Vous devez activer la restriction d’accès au niveau du site pour votre organization avant de pouvoir la configurer pour des sites individuels. Vous pouvez également déléguer le contrôle de restriction d’accès au site à tous les administrateurs de site de votre organization.
Pour activer la restriction d’accès au niveau du site pour votre organization dans le Centre d’administration SharePoint, procédez comme suit :
Développez Stratégies et sélectionnez Contrôle d’accès.
Sélectionnez Restriction d’accès au niveau du site.
Sélectionnez Autoriser la restriction d’accès , puis Enregistrer.
Pour activer la restriction d’accès au niveau du site pour votre organization à l’aide de PowerShell, exécutez la commande suivante :
Set-SPOTenant -EnableRestrictedAccessControl $true
L’application de la commande peut prendre jusqu’à une heure.
Déléguer la gestion des Access Control restreintes aux administrateurs de site
En tant qu’administrateur SharePoint, vous pouvez également déléguer la gestion des Access Control restreintes aux administrateurs de site. S’ils mettent à jour la stratégie, ils doivent fournir une justification appropriée sur la raison pour laquelle la stratégie est mise à jour.
Par défaut, la délégation est désactivée. Si vous décidez de l’activer, exécutez la commande suivante :
Set-SPOTenant -DelegateRestrictedAccessControlManagement $true
Une fois que le Access Control restreint est délégué à tous les administrateurs de site, ils peuvent gérer la stratégie.
Vérifier status de la gestion déléguée du contrôle d’accès restreint aux administrateurs de site
Pour case activée le status de délégation, exécutez la commande suivante :
Get-SPOTenant | Select-Object DelegateRestrictedAccessControlManagement
Remarque
Pour les utilisateurs microsoft 365 multigéographiques, exécutez cette commande séparément pour chaque emplacement géographique souhaité.
Restreindre l’accès à tous les sites SharePoint à l’aide d’un groupe Microsoft 365 ou de groupes de sécurité Microsoft Entra
Vous pouvez restreindre l’accès à un site SharePoint en spécifiant Microsoft Entra groupes de sécurité ou groupes Microsoft 365 comme groupe Access Control restreint. Le groupe de contrôle doit inclure les utilisateurs autorisés à accéder au site et à son contenu.
Pour un site, vous pouvez configurer jusqu’à 10 groupes de sécurité Microsoft Entra ou groupes Microsoft 365. Une fois que vous avez appliqué la stratégie, les utilisateurs du groupe spécifié qui ont l’autorisation d’accès au contenu se voient accorder l’accès.
Importante
L’ajout de personnes au groupe Access Control restreint (groupe de sécurité Microsoft Entra ou groupe Microsoft 365) n’autorise pas automatiquement les utilisateurs à accéder au site ou au contenu. Pour qu’un utilisateur accède au contenu protégé par cette stratégie, il a besoin de l’autorisation d’accès au site ou au contenu et d’être membre du groupe Access Control restreint.
Remarque
Vous pouvez également utiliser des groupes de sécurité dynamiques comme groupe de Access Control restreint si vous souhaitez baser l’appartenance au groupe sur les propriétés de l’utilisateur.
Gérer l’accès au site pour un site
Pour gérer l’accès au site pour un site, procédez comme suit :
Dans le Centre d’administration SharePoint, développez Sites et sélectionnez Sites actifs.
Sélectionnez le site que vous souhaitez gérer. Le panneau détails du site s’affiche.
Sous l’onglet Paramètres , sélectionnez Modifier dans la section Accès restreint au site.
Sélectionnez la zone Restreindre l’accès au site SharePoint aux utilisateurs des groupes spécifiés case activée.
Ajoutez ou supprimez vos groupes de sécurité ou groupes Microsoft 365, puis sélectionnez Enregistrer.
Pour appliquer une restriction d’accès au site, vous devez ajouter au moins un groupe à la stratégie de restriction d’accès au site.
Pour un site connecté à un groupe, le groupe Microsoft 365 connecté au site est le groupe Access Control restreint par défaut. Vous pouvez choisir de conserver ce groupe et d’ajouter d’autres groupes de sécurité Microsoft 365 ou Microsoft Entra en tant que groupe Access Control restreint.
Remarque
Une balise intitulée Groupe par défaut est marquée par rapport au groupe Microsoft 365 connecté au site, comme illustré dans l’image précédente.
Pour gérer la restriction d’accès au site pour un site SharePoint à l’aide de PowerShell, utilisez les commandes suivantes :
| Action | Commande PowerShell |
|---|---|
| Activer la restriction d’accès au site | Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $true |
| Ajout d’un groupe | Set-SPOSite -Identity <siteurl> -AddRestrictedAccessControlGroups <comma separated group GUIDS> |
| Modifier le groupe | Set-SPOSite -Identity <siteurl> -RestrictedAccessControlGroups <comma separated group GUIDS> |
| Afficher le groupe | Get-SPOSite -Identity <siteurl> | Select RestrictedAccessControl, RestrictedAccessControlGroups |
| Supprimer un groupe | Set-SPOSite -Identity <siteurl> -RemoveRestrictedAccessControlGroups <comma separated group GUIDS> |
| Réinitialiser la restriction d’accès au site | Set-SPOSite -Identity <siteurl> -ClearRestrictedAccessControl |
Expérience de l’administrateur de site
Une fois que vous avez délégué le contrôle de restriction d’accès au site aux administrateurs de site, ils peuvent configurer le paramètre de restriction d’accès au site dans le panneau Informations sur le site .
Pour restreindre l’accès à un site SharePoint :
- Limitez les personnes autorisées à accéder à un site à l’aide de groupes de sécurité Microsoft Entra ou de groupes Microsoft 365.
- Ajoutez les groupes qui contiennent les utilisateurs qui doivent avoir accès.
- Ajoutez jusqu’à 10 groupes pour chaque site.
- Lorsque vous enregistrez la configuration du paramètre de restriction d’accès au site, seuls les utilisateurs de ces groupes et les utilisateurs qui ont déjà l’autorisation d’accéder au contenu peuvent accéder au site.
- Fournissez une justification chaque fois que vous mettez à jour le paramètre de restriction d’accès au site.
Expérience du propriétaire du site
Après avoir appliqué la stratégie au site, le panneau Accès au site affiche les status de stratégie et tous les groupes de contrôle configurés pour les propriétaires de site, en plus des panneaux Informations sur le site et Autorisations.
Sites de canaux partagés et privés
Les sites de canaux partagés et privés sont distincts du site connecté au groupe Microsoft 365 que les canaux standard utilisent. Étant donné que les sites de canaux partagés et privés ne sont pas connectés au groupe Microsoft 365, les stratégies de restriction d’accès aux sites appliquées à l’équipe ne les affectent pas. Vous devez activer la restriction d’accès au site pour chaque site de canal partagé ou privé séparément en tant que sites non connectés à un groupe.
Pour les sites de canal partagé, seuls les utilisateurs internes du locataire de ressource sont soumis à une restriction d’accès au site. Les participants au canal externe sont exclus de la stratégie de restriction d’accès au site et sont évalués uniquement en fonction des autorisations de site existantes du site.
Importante
L’ajout de personnes au groupe de sécurité ou au groupe Microsoft 365 n’accorde pas aux utilisateurs l’accès au canal dans Teams. Ajoutez ou supprimez les mêmes utilisateurs du canal Teams dans Teams et le groupe de sécurité ou le groupe Microsoft 365, afin que les utilisateurs aient accès aux sites Teams et SharePoint.
Audit
Le portail Microsoft Purview fournit des événements d’audit qui vous aident à surveiller les activités de restriction d’accès au site. Le système enregistre les événements d’audit pour les activités suivantes :
- Application d’une restriction d’accès au site pour un site
- Suppression de la restriction d’accès au site pour un site
- Modification des groupes de restriction d’accès au site pour un site
- Justification de l’administrateur de site pour la mise à jour de la restriction d’accès au site
Reporting
Informations sur les stratégies d’accès restreint aux sites
En tant qu’administrateur informatique, vous pouvez afficher les rapports suivants pour obtenir plus d’informations sur les sites SharePoint protégés par une stratégie d’accès restreint aux sites :
- Sites protégés par une stratégie d’accès restreint aux sites (RACProtectedSites)
- Détails des refus d’accès en raison d’une stratégie d’accès restreint au site (ActionsBlockedByPolicy)
Les rapports ne sont actuellement pas disponibles pour Gallatin, même si vous disposez des licences requises.
Remarque
La génération de chaque rapport peut prendre quelques heures.
Sites protégés par un rapport de stratégie d’accès restreint aux sites
Exécutez les commandes suivantes dans SharePoint PowerShell pour générer, afficher et télécharger les rapports :
| Action | Commande PowerShell | Description |
|---|---|---|
| Générer un rapport | Start-SPORestrictedAccessForSitesInsights -RACProtectedSites |
Génère une liste de sites protégés par une stratégie d’accès restreint aux sites |
| Afficher le rapport | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> |
Le rapport affiche les 100 principaux sites avec les pages les plus consultées qui sont protégés par la stratégie. |
| Télécharger le rapport | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -Action Download |
Exécutez cette commande en tant qu’administrateur. Le rapport téléchargé se trouve sur le chemin d’accès où la commande a été exécutée. |
| Pourcentage de sites protégés avec un rapport d’accès restreint au site | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -InsightsSummary |
Ce rapport indique le pourcentage de sites protégés par la stratégie par rapport au nombre total de sites |
Refus d’accès en raison d’un rapport de stratégie d’accès restreint au site
Exécutez les commandes suivantes pour créer, extraire et afficher un rapport pour les refus d’accès en raison de rapports d’accès restreint au site :
| Action | Commande PowerShell | Description |
|---|---|---|
| Créer un rapport de refus d’accès | Start-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy |
Crée un rapport pour récupérer les détails du refus d’accès |
| Récupérer les status de rapport sur les refus d’accès | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy |
Récupère la status du rapport généré. |
| Derniers refus d’accès au cours des 28 derniers jours | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content AllDenials |
Obtient une liste des 100 derniers refus d’accès qui se sont produits au cours des 28 derniers jours |
| Afficher la liste des principaux utilisateurs auxquels l’accès a été refusé | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopUsers |
Obtient une liste des 100 premiers utilisateurs qui ont reçu le plus grand nombre de refus d’accès |
| Afficher la liste des principaux sites ayant reçu le plus de refus d’accès | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopSites |
Obtient une liste des 100 principaux sites qui ont eu le plus grand nombre de refus d’accès |
| Distribution des refus d’accès entre différents types de sites | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content SiteDistribution |
Montre la distribution des refus d’accès entre différents types de sites |
Remarque
Pour afficher jusqu’à 10 000 refus, vous devez télécharger les rapports. Exécutez la commande download en tant qu’administrateur. Les rapports téléchargés se trouvent sur le chemin d’accès où vous exécutez la commande.
Partage du site et du contenu avec des utilisateurs en dehors des groupes de Access Control restreints (fonctionnalité d’adhésion)
Par défaut, le partage de sites SharePoint et de leur contenu ne suit pas la stratégie d’accès restreint aux sites. L’administrateur SharePoint peut choisir de restreindre le partage d’un site et de son contenu avec des utilisateurs qui ne sont pas membres du groupe Access Control restreint.
Pour limiter la fonctionnalité de partage aux utilisateurs en dehors du groupe Access Control restreint, exécutez la commande PowerShell suivante dans SharePoint Online Management Shell en tant qu’administrateur :
Set-SPOTenant -AllowSharingOutsideRestrictedAccessControlGroups $false
Partage avec les utilisateurs
Lorsque vous appliquez la restriction de partage, elle bloque le partage pour les utilisateurs qui ne sont pas membres du groupe Access Control restreint.
Partage avec des groupes
Le partage est autorisé avec Microsoft Entra sécurité ou les groupes Microsoft 365 qui font partie de la liste Groupes Access Control restreints. Le partage n’est pas autorisé avec tous les autres groupes, y compris tout le monde sauf les utilisateurs externes ou les groupes SharePoint.
Remarque
Le partage d’un site et de son contenu est désormais autorisé pour les groupes de sécurité imbriqués qui font partie des groupes de Access Control restreints.
Configurer le lien En savoir plus pour la page d’erreur de refus d’accès (fonctionnalité d’adhésion)
Configurez le lien En savoir plus pour informer les utilisateurs qui se voient refuser l’accès à un site SharePoint en raison de la stratégie de contrôle d’accès restreint au site. En personnalisant ce lien d’erreur, vous pouvez fournir des informations et des conseils supplémentaires à vos utilisateurs.
Remarque
Le lien En savoir plus est un paramètre au niveau du locataire qui s’applique à tous les sites pour 2000 la stratégie de Access Control restreinte activée.
Pour configurer le lien, exécutez la commande suivante dans SharePoint PowerShell :
Set-SPOTenant -RestrictedAccessControlForSitesErrorHelpLink "<Learn more URL>"
Pour récupérer la valeur du lien, exécutez la commande suivante :
Get-SPOTenant | select RestrictedAccessControlForSitesErrorHelpLink
Le lien En savoir plus configuré démarre lorsque l’utilisateur sélectionne le lien En savoir plus sur les stratégies de votre organization ici.
Articles connexes
Stratégie d’accès conditionnel pour les sites SharePoint et OneDrive