Si notre dernier webinaire nous a enseigné une chose, c’est que les gens ont des tonnes de questions sur l’accès externe dans Microsoft 365. De la longue liste des demandes reçues par Dux et John au cours de la présentation, nous avons sélectionné 25 des meilleures questions auxquelles nous voulons répondre dans cet article. C’est parti !
En savoir plus :
- Teams : Sécuriser le partage externe et les utilisateurs invités
- Comment fonctionne le partage externe dans Microsoft 365 ?
- Teams : différences entre l’accès externe et l’accès invité
- Guide pratique du partage externe avec Microsoft Team
Ces questions et réponses font suite à notre récent webinaire « Résolvez le puzzle de l’utilisateur invité Microsoft 365 ». Regardez-le à la demande dès aujourd’hui !
AvePoint Cloud Governance couvre-t-elle la totalité du cycle de vie des utilisateurs ? L’intégration, la révision/le renouvellement et le départ ?
Oui ! Cloud Governance offre un processus de gestion complet du cycle de vie des utilisateurs.
Si un utilisateur qui possède une licence E3 ou E5 pour Fabricam est ajouté dans Contoso comme utilisateur invité, continuera-t-il d’utiliser une licence d’invité dans Contoso ?
Oui, les licences de l’entité d’origine ne sont pas transférées dans l’entité pour laquelle l’utilisateur a un statut d’invité.
La solution AvePoint exige-t-elle une licence P2 ?
Non ! Techniquement parlant, ce sont seulement des licences d’entreprise de base ou commerciales pour Microsoft/Office 365 qui sont nécessaires.
Existe-t-il des restrictions dans l’ajout d’utilisateurs invités qui ont une adresse e-mail avec l’extension .org ou .gov ?
Pas du côté d’Office 365, mais vous pouvez définir des limites dans Azure AD sur la base de domaines utilisateurs si vous le souhaitez. Des restrictions au niveau de l’entité de l’utilisateur invité sont possibles si vous rencontrez des difficultés.
Que se passe-t-il avec les comptes d’invités si nous scindons les licences et que cela engendre un rapport largement supérieur à 5:1 pour les utilisateurs invités ? La conséquence pourrait-elle être un blocage automatique de certains utilisateurs invités ?
Théoriquement oui, mais, si on se base sur les essais, ce ne sera pas le cas. Notez aussi que, si les utilisateurs possèdent leur propre compte Microsoft 365 ou Microsoft, cette limite ne s’appliquera pas dans leur cas ; sont principalement concernés les utilisateurs invités dont les comptes ont été créés à partir de 0 au sein d’AD.
Ces flux de renouvellement d’invités fonctionnent-ils uniquement pour les invités qui utilisent votre flux d’invitation ou également pour les invités existants dans votre entité ?
Il est possible d’importer des utilisateurs existants qui seront gérés par la solution de gouvernance du cloud. Les parties prenantes peuvent certifier le besoin constant des invités de rester dans le répertoire, de retirer l’utilisateur des groupes et équipes sélectionnés ou même de choisir de retirer l’utilisateur du répertoire si nécessaire.
Comment recommandez-vous de maintenir les invités dans les groupes ? Laisser les propriétaires de groupe ajouter des invités revient en fait à ne plus détenir le contrôle.
C’est une question qui nous est sans cesse posée et qui n’est pas simple. Il y a beaucoup d’aspects qui demandent à être pris en considération. AvePoint apporte beaucoup à notre outil de gouvernance, par exemple la désignation de propriétaires, la mise en place d’une supervision, l’application de stratégies automatisées dans notre processus de provisioning et le maintien de contrôles pour les équipes d’administrateurs.
Initialement, le moyen le plus direct pour y arriver est soit de disposer seulement de quelques équipes/groupes avec un partage externe pour des besoins spécifiques, soit d’être très strict à l’échelle de l’entreprise concernant qui peut ou non faire partie d’un groupe ou d’une équipe. Il n’existe pas vraiment de manière plus simple de gérer ce processus.
Y a-t-il un moyen de savoir si les utilisateurs de mon entité/Azure AD sont également invités en tant qu’utilisateurs invités dans d’autres entités ?
Nous disposons de quelques fonctionnalités concernant les rapports et la restriction à ce niveau. Cliquez ici pour plus d’informations.
Existe-t-il des paramètres qui permettent le partage anonyme dans OneDrive mais pas dans SharePoint ?
Non, pas pour le moment.
Existe-t-il une API externe capable de créer les équipes (p. ex. de Dynamics 365 si une occasion se présente) ?
Oui ! Cela est possible via les connecteurs Power Automate et il est aussi possible d’utiliser AvePoint Cloud Governance pour lancer des demandes de service pour Teams via des connecteurs dans Power Automate.
Veuillez expliquer les différences entre un accès externe aux sites SharePoint qui ne sont pas rattachés à Teams/Groups par rapport aux sites qui constituent la colonne vertébrale de Teams. En quoi l’expérience l’utilisateur externe diffère-t-elle de celle des utilisateurs ayant un accès direct aux sites de SharePoint ?
La seule différence est que lorsque quelqu’un est un utilisateur invité dans un groupe ou une équipe, il a également accès à certaines sinon toutes les applications supplémentaires liées via les groupes et les équipes Teams. L’accès de site de SharePoint sera le même.
Si l’utilisateur B est supprimé de Fabrikam AD, la référence à cet utilisateur est-elle aussi supprimée de la liste des utilisateurs invités de Contoso ?
Non, il faudra continuer à le faire du côté de Contoso.
Existe-t-il un moyen de revenir intégralement sur les paramètres par défaut de manière à désactiver External Sharing, mais en laissant seulement certains sites de Teams/SharePoint activés ?
Cela est facile à accomplir en utilisant la solution AvePoint Cloud Governance ou en restreignant le provisioning des utilisateurs pour Teams et en ajustant l’accès comme partie intégrante du processus organisationnel.
Existe-t-il un moyen de n’empêcher qu’un seul département d’utiliser l’accès invité n’importe où (un paramètre utilisateur au lieu d’un paramètre groupe de pairs/équipe/site) ?
C’est possible en configurant un service dans la solution AvePoint Cloud Governance.
Pour inviter un invité, ce dernier a-t-il seulement besoin d’une adresse e-mail ? Aucun compte Microsoft ou compte similaire n’est-il requis ?
Exactement !
Pouvez-vous conformer les politiques aux fonctions de l’entreprise ? Existe-t-il dans AvePoint des outils pour la classification professionnelle qui complètent ce service ?
Oui, absolument. AvePoint Cloud Governance permet d’adapter les contrôles de sorte que les raisons pour lesquelles un espace de travail est créé sont visibles via les métadonnées et les conventions de nommage. L’exécution du partage externe et de beaucoup d’autres paramètres est alors correctement appliquée et mise en œuvre pour l’entreprise. Les politiques sont appliquées dynamiquement via une combinaison des aspects suivants : quels utilisateurs ont besoin de services Microsoft 365 et pourquoi.
Tout cela s’effectue automatiquement au moyen d’une simple demande remplie par l’utilisateur, facilitant considérablement la vie des utilisateurs et réduisant la charge de travail en ce qui concerne la configuration et la maintenance du côté de l’entreprise. C’est la raison pour laquelle de nombreuses entreprises font confiance à cet outil pour la gouvernance à l’échelle de leur entreprise et ont adopté Teams !
Si un invité est membre d’un espace de travail de Microsoft Teams, cet invité pourra-t-il avoir accès à PowerApps qui est partagé avec ce groupe d’Office 365 ?
Potentiellement, oui. Cela dépendra des paramètres de sécurité de l’entité hôte, mais il est probable qu’il aura accès à l’appli.
Sachant que les utilisateurs invités n’ont pas accès à OneDrive, que se passerait-il s’ils essayaient de partager un fichier dans une conversation individuelle ? Je suppose qu’ils auraient un message d’erreur indiquant que OneDrive n’est pas disponible.
Techniquement, lorsqu’un utilisateur ajoute un fichier à une conversation individuelle avec un utilisateur invité, ce fichier est alors partagé directement avec l’utilisateur invité, de sorte que l’invité pourrait en effet accéder au fichier dans ce scénario.
Comment est-ce que j’autorise quelqu’un en tant qu’utilisateur invité ? Je souhaite que seuls les responsables puissent créer des équipes et inviter des invités.
Cela est réservé aux propriétaires d’équipes/de groupes (lorsque l’accès invité est activé) ; il n’existe pas de moyen défini de contrôler cela, à part en limitant qui peut être un propriétaire dans votre entreprise. AvePoint peut faire appliquer cette limitation pro-activement et annuler automatiquement la propriété de groupes et d’équipes des utilisateurs non autorisés (ou simplement envoyer des notifications également).
Les membres peuvent-ils inviter des invités existants aux groupes Microsoft 365 ?
Si l’accès invité est activé pour les groupes/équipes en question : oui. Mais l’adhésion devra malgré tout être approuvée par un propriétaire.
Les options sont différentes, mais est-ce que SharePoint utilise Azure en tant que référentiel pour les informations d’utilisateurs ou possède-t-il un référentiel différent pour les utilisateurs ?
SharePoint extrait les informations d’utilisateurs d’Active Directory et l’accès dans SharePoint est stocké en tant que combinaison de rapports de sécurité SharePoint pour les utilisateurs et les groupes ainsi qu’Active Directory/d’autres types de groupe dans Microsoft 365. Le GUID pour les utilisateurs est stocké dans AD et synchronisé vers Microsoft 365.
Pensez-vous qu’il serait bon d’avoir un site SharePoint séparé pour cela ? La collaboration externe fait vraiment s’effondrer la sécurité.
La solution d’AvePoint permet aux entreprises d’aborder ces contrôles des angles les plus divers, par exemple en limitant la possibilité de partager des informations externes aux seuls utilisateurs, départements et situations appropriés. La vraie force de la solution est qu’elle permet aux entreprises d’appliquer ces politiques pour évoluer avec un minimum d’efforts.
Sans cela, la plupart des entreprises limitent le partage externe à un nombre restreint de sites ou de bibliothèques de documents et contrôlent strictement les accès. Notre expérience et les milliers de conversations que nous avons eues montrent que cela engendre sans arrêt des expériences utilisateur malheureuses et que les utilisateurs collaborent uniquement via le « shadow IT » ou d’autres méthodes qui échappent au contrôle de l’entreprise.
Peut-on désactiver l’invitation d’invités pour les administrateurs tout en autorisant la création d’invités depuis API Graph (mis en œuvre par le système de gestion d’identification de l’entreprise) ?
Oui, cela est possible. L’accès API est régi par les autorisations accordées par le compte/l’appli Azure interagissant avec l’API, et pas nécessairement par le paramétrage dans Microsoft 365. Vous devriez conserver un suivi de tels applis/accès accordés et avoir absolument mis en place un système qui régisse les applis/accès des utilisateurs pour de tels cas d’utilisation.
AvePoint est très transparent en ce qui concerne l’accès que nous nécessitons et utilisons pour nos applications et nous fournissons des fonctions telles que le cryptage individuel et l’assistance sous forme de MFA afin d’assurer le niveau de sécurité le plus élevé qui soit pour notre plateforme cloud.
Nous pouvons donc ajouter un utilisateur invité dans notre équipe et lui permettre l’accès au chat mais ensuite le bloquer pour l’accès aux fichiers au sein de l’équipe, en modifiant les paramètres SharePoint ?
Oui ! Cela est possible. Il est même possible de retirer l’accès d’administrateurs aux fichiers dans les bibliothèques de documents dans SharePoint grâce à des contrôles tels que l’annulation de l’héritage.
Que faire s’il est client Google ?
Vous pouvez l’inviter malgré tout en tant qu’utilisateur invité, aucun problème !
Pour en savoir plus sur Microsoft Teams ? Assurez-vous de vous abonner à notre blog !
