Groupes de permissions SharePoint

Comprendre les groupes SharePoint

Les groupes Microsoft SharePoint vous permettent de gérer des ensembles d'utilisateurs au lieu d'utilisateurs individuels. Un groupe peut inclure des utilisateurs SharePoint individuels, ainsi que des utilisateurs ou des groupes de tout système de Identity Management ou de services de domaine, tels que Active Directory Domain Services (AD DS), des annuaires basés sur LDAPv3, des bases de données spécifiques à des applications et des modèles d'identité tels que Windows Live ID.

Vous pouvez organiser vos utilisateurs en un nombre quelconque de groupes, en fonction de la taille et de la complexité de votre organisation ou site. Cependant, les groupes SharePoint ne peuvent pas contenir d'autres groupes SharePoint (c'est-à-dire qu'ils ne peuvent pas être imbriqués).

Il existe deux manières d'attribuer des permissions à un site SharePoint via des groupes : La première consiste à ajouter un utilisateur à un groupe SharePoint, et la seconde à donner à un groupe de sécurité AD un accès direct au site ou à l'intégrer dans un groupe SharePoint disposant des permissions sur le site.

Groupes intégrés SharePoint

SharePoint inclut plusieurs groupes intégrés. Ils existent au niveau du site dans SharePoint et peuvent se voir attribuer des permissions au sein de la collection de sites à laquelle ils appartiennent. L'ensemble des groupes prédéfinis dépend du modèle de site que vous utilisez. Par exemple, voici les groupes prédéfinis pour un site d'équipe et leurs permissions par défaut sur le site SharePoint :

• Les visiteurs — Ont des permissions de lecture
• Les membres — Ont des permissions de modification
• Les propriétaires — ont des permissions de Contrôle total
• Les spectateurs — Ont des permissions de visualisation uniquement

Et voici les groupes prédéfinis pour le modèle de site de newsfeed et leurs permissions par défaut :

• Lecteurs d'entreprise — Ont des permissions de lecture et peuvent voir les pages et documents ainsi que télécharger les documents
• Membres de l'entreprise — Ont des permissions de contribution et peuvent voir, ouvrir, ajouter, mettre à jour et supprimer des éléments de liste et des documents
• Les concepteurs — Peuvent afficher, ajouter, mettre à jour, supprimer, approuver et personnaliser la mise en page des pages du site à l'aide d'un navigateur ou de SharePoint Designer
• Éditeurs — Peuvent ajouter, modifier et supprimer des listes, et peuvent voir, ajouter, mettre à jour et supprimer des éléments de listes et des documents SharePoint
• Les propriétaires d'entreprise — Ont la permission de Contrôle total sur le site

Notez que tous ces groupes intégrés peuvent être modifiés en attribuant différents niveaux d'autorisation.

Meilleures pratiques

Une meilleure pratique pour la gestion des permissions consiste à ajouter les utilisateurs réguliers qui ont seulement besoin de lire des informations au groupe des Visiteurs, et à ajouter les utilisateurs qui ont besoin de créer ou modifier des documents au groupe des Membres. Cela est dû au fait que les utilisateurs dans le groupe des Membres peuvent ajouter, modifier ou supprimer des éléments ou documents, mais ils ne peuvent pas changer la structure du site, les paramètres ou l'apparence. De même, les utilisateurs dans le groupe des Visiteurs peuvent voir des pages, des documents et des éléments mais ne peuvent pas effectuer d'opérations d'ajout ou de suppression.

Création d'un groupe SharePoint

Pour créer un groupe SharePoint, rendez-vous dans les autorisations du site dans les paramètres du site et cliquez sur le bouton « Créer un groupe ». Saisissez un nom et une description pour le groupe. Ensuite, spécifiez le propriétaire du groupe ; les utilisateurs qui peuvent voir et modifier l'adhésion du groupe ; s'il faut permettre aux utilisateurs de demander l'adhésion ou de demander à quitter le groupe ; et les permissions du groupe pour le site. Cliquez ensuite sur « Créer » pour créer le groupe.

Suppression d'un groupe SharePoint

Pour supprimer un groupe, utilisez le menu « Personnes et groupes » dans les Paramètres du site. Sélectionnez le groupe, cliquez sur le bouton « Modifier » puis sur le bouton « Supprimer ».

Modification de l'appartenance à un groupe

Pour ajouter des membres à un groupe SharePoint, depuis le menu « Personnes et groupes », cliquez sur le nom du groupe dans le volet de gauche, puis cliquez sur « Nouveau » et « Ajouter des utilisateurs », comme indiqué ci-dessous. Saisissez un ou plusieurs noms d'utilisateur que vous souhaitez ajouter au groupe, puis cliquez sur « Partager ».

Pour retirer un utilisateur d'un groupe, sélectionnez l'utilisateur que vous souhaitez supprimer, cliquez sur « Actions », puis cliquez sur « Retirer les utilisateurs du groupe ».

Conclusion

L'utilisation des groupes SharePoint est une méthode beaucoup plus simple et plus sécurisée pour contrôler l'accès que d'attribuer des autorisations uniques au niveau des éléments aux comptes d'utilisateurs. En configurant correctement vos groupes et en suivant toutes les modifications apportées aux autorisations et à l'appartenance aux groupes, vous pouvez contribuer à sécuriser vos données.

FAQ

Comment résoudre les erreurs d'accès refusé sur SharePoint ?

Les erreurs d'accès refusé à SharePoint résultent généralement de problèmes d'héritage des permissions, de problèmes d'appartenance à des groupes ou d'échecs d'authentification. Commencez le dépannage en utilisant la fonctionnalité Vérifier les Permissions dans les Paramètres du Site pour vérifier quelles permissions l'utilisateur a réellement par rapport à celles qu'il devrait avoir. Les causes courantes incluent un héritage de permission rompu (où des permissions uniques bloquent l'accès) ou des utilisateurs retirés des groupes de sécurité sans la connaissance de l'administrateur. Effacez le cache du navigateur et essayez d'accéder depuis une fenêtre en mode incognito pour éliminer les problèmes de jeton d'authentification. Vérifiez si l'utilisateur existe dans la section Personnes et Groupes du site et confirmez que ses appartenances à des groupes sont correctes. Pour les problèmes persistants, examinez les journaux SharePoint pour des informations détaillées sur les erreurs et vérifiez le statut de la licence de l'utilisateur dans Microsoft 365. Rappelez-vous que les changements de permissions peuvent prendre du temps à se propager, surtout dans les grands environnements. Lors du dépannage des problèmes d'accès, commencez toujours par la vérification de l'identité avant d'examiner les permissions des groupes et les paramètres d'héritage.

Comment créer et gérer efficacement les groupes SharePoint ?

La création de groupes SharePoint nécessite une planification minutieuse pour éviter la prolifération des permissions et les failles de sécurité. Accédez aux Paramètres du site et cliquez sur Personnes et groupes pour créer de nouveaux groupes, en définissant des conventions de nommage claires qui reflètent les fonctions de l'entreprise plutôt que les noms individuels. Attribuez des niveaux de permission appropriés (Contrôle total, Contribution, Lecture) basés sur les principes du moindre privilège, en veillant à ce que les utilisateurs n'aient que l'accès minimal nécessaire pour leurs rôles. Évitez de créer trop de groupes, car cela conduit à une complexité de gestion et à des risques de sécurité. Utilisez plutôt les Active Directory security groups synchronisés avec SharePoint lorsque c'est possible pour une gestion centralisée. Documentez les objectifs des groupes et les responsabilités de propriété pour maintenir la responsabilité. Auditez régulièrement les adhésions aux groupes pour identifier les comptes inutilisés ou les permissions excessives. Pour les grands environnements, mettez en œuvre des processus automatisés de provisionnement et de déprovisionnement pour garantir que les adhésions aux groupes restent à jour. Rappelez-vous qu'une gestion efficace des groupes SharePoint commence par comprendre qui a besoin d'accès à quelles données et pourquoi.

Comment modifier les autorisations SharePoint en toute sécurité ?

Modifier les SharePoint permissions nécessite une approche systématique pour éviter de perturber l'accès ou de créer des vulnérabilités de sécurité. Avant d'apporter des modifications, documentez les permissions actuelles à l'aide d'outils tels que le rapport de permissions ou des scripts PowerShell. Testez toujours les modifications de permissions dans un environnement de développement en premier, surtout lors de la rupture de l'héritage ou de la modification des niveaux de permission. Lors de la rupture de l'héritage, examinez attentivement quelles permissions seront perdues et planifiez comment restaurer l'accès nécessaire. Utilisez de préférence les groupes SharePoint plutôt que les permissions individuelles des utilisateurs pour une gestion plus facile et une meilleure sécurité. Effectuez les modifications pendant les heures creuses pour minimiser l'impact sur les utilisateurs et communiquez les changements aux utilisateurs affectés au préalable. Après avoir modifié les permissions, vérifiez que les utilisateurs peuvent toujours accéder aux ressources requises et que les exigences de sécurité sont satisfaites. Surveillez les journaux SharePoint pour les erreurs d'accès refusé qui pourraient indiquer des problèmes de permission. Mettez en place un processus d'approbation des changements pour les modifications de permissions afin de maintenir la gouvernance de la sécurité et les exigences de conformité.

Comment auditer les permissions SharePoint pour la conformité ?

L'audit des permissions SharePoint nécessite à la fois des outils intégrés et des solutions tierces pour obtenir une visibilité complète sur les droits d'accès. Utilisez le reporting natif des permissions de SharePoint via les Paramètres du Site pour générer des rapports de permission basiques pour les sites individuels. Pour les environnements d'entreprise, mettez en œuvre des scripts PowerShell ou des outils spécialisés capables d'auditer les permissions sur plusieurs collections de sites simultanément. Concentrez-vous sur l'identification des utilisateurs avec des permissions excessives, des comptes orphelins et des sites avec une rupture d'héritage qui peuvent avoir des droits d'accès non intentionnels. Documentez qui a accès aux données sensibles et vérifiez que cet accès est conforme aux exigences commerciales et aux mandats de conformité. Établissez des calendriers d'audit réguliers, typiquement trimestriels pour les environnements à haut risque et annuels pour les sites commerciaux standards. Recherchez les anomalies de permission telles que les permissions d'utilisateur individuel contournant les contrôles de groupe ou les utilisateurs externes avec des niveaux d'accès inappropriés. Créez des procédures de remédiation pour traiter les violations de permission et maintenez des pistes d'audit pour les rapports de conformité. N'oubliez pas qu'un audit efficace de SharePoint va au-delà de la simple vérification des permissions pour comprendre les modèles d'accès aux données et les risques de sécurité potentiels.

Quelles sont les meilleures pratiques pour l'héritage des permissions SharePoint ?

Il faut maintenir l'héritage des permissions SharePoint autant que possible pour simplifier la gestion et réduire les risques de sécurité. Ne rompez l'héritage que lorsque les exigences commerciales demandent absolument des permissions uniques, car cela crée un surcroît de gestion et des failles de sécurité potentielles. Lorsque vous devez rompre l'héritage, documentez la justification commerciale et établissez une propriété claire pour la gestion continue des permissions. Évitez les ruptures de permission en cascade à travers les hiérarchies de sites, car cela crée des structures de permission complexes qui sont difficiles à auditer et à maintenir. Utilisez de manière cohérente les groupes SharePoint plutôt que d'assigner des permissions individuelles, même sur des sites avec un héritage rompu. Mettez en place des révisions régulières des sites avec des permissions uniques pour vous assurer qu'ils répondent toujours aux exigences commerciales et aux normes de sécurité. Envisagez d'utiliser des sous-sites ou des bibliothèques avec des exigences de permission différentes au lieu de rompre l'héritage à des niveaux supérieurs. Formez les propriétaires de sites sur les implications de sécurité de la rupture d'héritage et exigez des processus d'approbation pour les modifications de permissions. Rappelez-vous que des structures de permission plus simples sont plus sécurisées et plus faciles à gérer que des hiérarchies complexes avec de multiples ruptures d'héritage.