logo

Comprendre les autorisations SharePoint

À quoi servent les autorisations SharePoint ?

Les autorisations SharePoint contrôlent l’accès des employés, partenaires, fournisseurs tiers et autres à vos contenus SharePoint. Vous pouvez déterminer qui peut lire des informations spécifiques et qui ne le peut pas. Les autorisations SharePoint couvrent non seulement l’affichage des données dans les listes et les bibliothèques de documents, mais aussi les résultats de recherche et même l’interface utilisateur. Par exemple, si vous ne disposez pas d’autorisations pour une liste de documents spécifiques, vous ne verrez aucun document de cette liste dans les résultats de recherche. Ce modèle d’autorisations permet de protéger les données sensibles des personnes qui ne devraient pas les voir ou les diffuser.

Contenus connexes sélectionnés :

Rôles administratifs de SharePoint

La figure suivante montre les composants du système que chacun des principaux rôles administratifs de SharePoint peut gérer :

SharePoint Permissions Explained Administration Roles

Voici les composants des serveurs SharePoint et les rôles administratifs correspondants :

Rôles des serveurs et des batteries

  • Administrateurs Windows – Si SharePoint est installé sur un serveur Windows, le groupe des administrateurs locaux de ce serveur est automatiquement ajouté au groupe des administrateurs de batterie SharePoint. En conséquence, ces administrateurs locaux (administrateurs Windows) ont des autorisations de contrôle total sur la batterie SharePoint – ils peuvent installer des applications et des logiciels et gérer des sites Web IIS (Internet Information Services) et des services Windows. Mais, par défaut, ils n’ont pas accès aux contenus des sites.
  • Administrateurs de batterie – Les membres du groupe des administrateurs de batterie ont des droits de contrôle total sur toutes les batteries SharePoint, c’est-à-dire qu’ils peuvent effectuer toutes les tâches administratives dans l’Administration centrale de SharePoint pour la batterie de serveurs. Ils peuvent, par exemple, désigner des administrateurs pour gérer les applications de service, les fonctionnalités et les collections de sites. Ce groupe n’a pas accès aux sites particuliers, aux collections de sites ni à leur contenu, mais un administrateur de batterie peut facilement prendre en charge une collection de sites et obtenir un accès complet à ses contenus, en s’ajoutant simplement au groupe d’administrateurs de la collection de sites sur la page Gestion des applications.

Rôles de services partagés

  • Administrateurs d’application de service – Ces administrateurs sont sélectionnés par l’administrateur de batterie. Ils peuvent configurer les paramètres d’une application de service spécifique dans une batterie. En revanche, ils ne peuvent pas créer d’applications de service, accéder à d’autres applications de service dans la batterie, ni effectuer des opérations de niveau batterie, telles que des changements de topologie. Par exemple, l’administrateur d’une application de recherche dans une batterie peut configurer les paramètres qui concernent cette application uniquement.
  • Administrateurs de fonctionnalités – Un administrateur de fonctionnalités est associé à une ou plusieurs fonctionnalités spécifiques d’une application de service. Ces administrateurs peuvent gérer un sous-ensemble de paramètres de l’application de service, mais pas l’application de service tout entière. Par exemple, un administrateur de fonctionnalités peut gérer la fonctionnalité « Publics » de l’application de service « Profil de l’utilisateur ».

Rôles des applications Web

Le niveau applications Web ne dispose pas d’un groupe d’administrateurs unique, mais les administrateurs de batterie ont le contrôle des applications Web qui relèvent de leurs responsabilités. Les membres du groupe des administrateurs de batterie et les membres du groupe des administrateurs du serveur local peuvent définir une stratégie pour accorder les autorisations aux utilisateurs individuels au niveau applications Web. Les stratégies suivantes sont disponibles :

  • Stratégies anonymes – Elles définissent la restriction d’accès à appliquer aux utilisateurs qui ne sont pas autorisés pour le domaine : aucune stratégie, refus d’accès en écriture ou refus de tout accès.
  • Stratégies d’autorisation – Elles définissent un ensemble d’autorisations qui peuvent être accordées aux utilisateurs ou aux groupes SharePoint pour un site, une bibliothèque, une liste, un dossier, un élément, un document ou une autre entité. Vous pouvez utiliser les stratégies d’autorisation par défaut ou en créer de nouvelles, personnalisées.
  • Stratégies utilisateur – Ensemble d’autorisations de haut niveau appliquées à une application Web et héritées par toutes les collections de sites. Avec une stratégie utilisateur, vous pouvez accorder à tout utilisateur ou groupe d’utilisateurs des autorisations uniques pour une application Web particulière et pour toutes les collections de sites qu’elle contient.
  • Autorisations utilisateur – Elles définissent les autorisations avancées que les administrateurs de collection de sites peuvent utiliser pour créer des autorisations uniques pour une certaine application Web. (Je ne sais pas pourquoi Microsoft n’a pas appelé cela une « stratégie », puisque cela fonctionne aussi comme une stratégie).

Je reviendrai sur ces stratégies plus tard, dans le cadre de la discussion sur l’héritage.

Rôles des collections de sites

  • Administrateurs des collections de sites – Ces administrateurs disposent du niveau d’autorisation « Contrôle total » sur tous les sites d’une collection de sites. Ils disposent d’un contrôle total de l’accès à tous les contenus de cette collection de sites, même s’ils n’ont pas les autorisations explicites pour ce site. Ils peuvent auditer tous les contenus des sites et recevoir tout message administratif. Des administrateurs primaire et secondaire de collection de sites peuvent être désignés lors de la création d’une collection de sites.
  • Propriétaires du site – Par défaut, les membres du groupe Propriétaires du site ont le niveau d’autorisation Contrôle total sur le site. Ils peuvent effectuer des tâches administratives sur le site, et sur toute liste ou bibliothèque du site. Ils reçoivent des notifications par e-mail pour des événements tels que la suppression automatique de sites inactifs et les demandes d’accès aux sites.
Contenus connexes sélectionnés :

Types d’autorisations SharePoint par défaut

Par défaut, SharePoint définit les types d’autorisations utilisateur suivants :

  • Accès complet – L’utilisateur peut gérer les paramètres du site, créer des sous-sites et ajouter des utilisateurs à des groupes.
  • Conception – L’utilisateur peut consulter, ajouter, mettre à jour et supprimer des approbations et des personnalisations, créer et modifier de nouvelles bibliothèques de documents et listes sur le site, mais il ne peut pas gérer les paramètres de l’ensemble du site.
  • Collaboration – L’utilisateur peut consulter, ajouter, mettre à jour et supprimer des éléments de liste et des documents. Ces droits sont les plus courants pour les utilisateurs réguliers de SharePoint, ils leur permettent de gérer des documents et des informations sur un site.
  • Lecture – L’utilisateur peut consulter des éléments de liste, des pages et télécharger des documents.
  • Modification – L’utilisateur peut gérer des listes et des éléments de liste et accorder des autorisations.
  • Affichage seul – L’utilisateur peut afficher des pages, des éléments de liste et des documents. Les documents ne peuvent être consultés que dans le navigateur ; ils ne peuvent être téléchargés depuis un serveur SharePoint vers un ordinateur local.
  • Accès limité – L’utilisateur peut accéder à des ressources partagées et à des ressources spécifiques. L’accès limité est conçu pour être associé à des autorisations affinées (non héritées, uniques) afin de permettre aux utilisateurs d’accéder à une liste, une bibliothèque de documents, un dossier, un élément de liste ou un document spécifique sans leur donner accès à l’ensemble du site. L’autorisation Accès limité ne peut être ni modifiée ni supprimée.

Groupes SharePoint

Deux méthodes permettent d’attribuer des autorisations à un site SharePoint via les groupes : La première consiste à ajouter

un utilisateur à un groupe SharePoint, et la seconde consiste à donner à un groupe de sécurité AD un accès direct au site ou à le placer dans un groupe SharePoint qui a des autorisations pour le site.

Les groupes SharePoint vous permettent de gérer des ensembles d’utilisateurs plutôt que des utilisateurs individuels. Un groupe peut comprendre des utilisateurs individuels créés dans SharePoint et des utilisateurs ou des groupes provenant de tout système de gestion des identités ou de services de domaine, tels que les services de domaine Active Directory (AD DS), les répertoires basés sur LDAPv3, les bases de données spécifiques aux applications et les modèles d’identité tels que Windows Live ID.

Les groupes SharePoint définis par l’utilisateur ne disposent pas de droits d’accès spécifiques au site. Vous pouvez organiser vos utilisateurs en autant de groupes que vous le souhaitez, en fonction de la taille et de la complexité de votre organisation ou de votre site. Soulignons que les groupes SharePoint ne peuvent pas être imbriqués.

Il existe cependant aussi des groupes SharePoint prédéfinis qui accordent aux membres des autorisations d’accès spécifiques. Un ensemble de groupes prédéfinis dépend du modèle de site que vous utilisez. Voici les groupes prédéfinis pour un site d’équipe et ses autorisations par défaut pour le site SharePoint :

  • Visiteurs – Autorisations de lecture
  • Membres – Autorisations de modification
  • Propriétaires – Autorisations de contrôle total
  • Spectateurs – Autorisations de visualisation uniquement

Et voici les groupes prédéfinis pour le modèle de site de publication et leurs autorisations par défaut :

  • Lecteurs restreints – Ils peuvent consulter les pages et les documents, mais ne peuvent pas consulter les versions antérieures ni les informations relatives aux autorisations.
  • Lecteurs de ressources de style – Ils ont une autorisation de lecture pour la galerie Pages maîtres et une autorisation de lecture restreinte pour la bibliothèque de styles. Par défaut, tous les utilisateurs authentifiés sont membres de ce groupe.
  • Concepteurs – Ils peuvent consulter, ajouter, mettre à jour, supprimer, approuver et personnaliser la mise en page des pages du site à l’aide d’un navigateur ou de SharePoint Designer.
  • Approbateurs – Ils peuvent modifier et approuver des pages, des listes et des documents.
  • Gestionnaires de hiérarchies – Ils peuvent créer des sites, des listes, des éléments de liste et des documents.

Remarquez que tous ces groupes et leurs autorisations peuvent être modifiés.

Une bonne pratique consiste à ajouter les utilisateurs réguliers qui ont seulement besoin de lire des informations au groupe Visiteurs et à ajouter les utilisateurs qui doivent créer ou modifier des documents au groupe Membres. En effet, les utilisateurs du groupe Membres peuvent ajouter, modifier ou supprimer des éléments ou des documents, mais ils ne peuvent pas modifier la structure, les paramètres ni l’apparence du site. De même, les utilisateurs du groupe Visiteurs peuvent consulter des pages, des documents et des éléments mais ne peuvent pas effectuer d’opérations d’ajout ni de suppression.

Attribuer des autorisations pour les objets

Des autorisations peuvent être définies pour divers éléments de SharePoint :

  • Batterie SharePoint – Autorisations administratives
  • Application Web – Stratégie anonyme, stratégie utilisateur, autorisations utilisateur
  • Services partagés – Autorisations administratives pour les applications de service et les fonctionnalités
  • Collection de sites – Autorisations administratives pour les collections de sites
  • Sous-site – Autorisations
  • Bibliothèque ou liste de documents – Autorisations de partage
  • Dossier dans la bibliothèque ou la liste de documents – Autorisations de partage
  • Fichier distinct – Partage des autorisations

Bonnes pratiques d’attribution des autorisations

Vous avez la possibilité de réguler les droits d’accès à différents niveaux. Si nécessaire, vous pouvez créer des exceptions (autorisations uniques) lors de la définition des autorisations aux niveaux inférieurs de la hiérarchie, et vous pouvez également interrompre l’héritage des autorisations. Vous pouvez, par exemple, créer des autorisations uniques pour une bibliothèque de documents particulière et l’empêcher d’hériter des autorisations de son parent.

En guise de bonne pratique, vous devez concevoir la structure des autorisations de niveau supérieur de manière aussi détaillée que possible et minimiser le nombre d’exceptions. Plus vous créez d’autorisations uniques à différents niveaux, plus il sera difficile d’auditer et de contrôler les droits d’accès. Rappelez-vous qu’il existe des outils tiers qui simplifient l’audit et le contrôle des autorisations. Par exemple, Netwrix Auditor for SharePoint peut établir un rapport sur l’état actuel de vos autorisations SharePoint, ainsi que sur leur état à un moment antérieur, et vous alerter lorsque quelqu’un modifie les autorisations.

Héritage des autorisations

Par défaut, les sous-sites, les bibliothèques et les listes héritent des autorisations du site dans lequel elles ont été créées (le site parent). J’ai déjà décrit les stratégies définies au niveau applications Web. Toutes les collections de sites héritent des autorisations de la stratégie utilisateur et de la stratégie anonyme de l’application Web, qui accordent ou refusent l’accès aux comptes d’utilisateur. Les applications Web héritent également des autorisations utilisateur, qui définissent les niveaux d’autorisation pouvant servir à créer des autorisations uniques pour les collections de sites. Le niveau applications Web est également assorti d’une stratégie d’autorisations, qui définit les types d’autorisation de haut niveau pour la stratégie utilisateur.

Si vous rompez l’héritage des autorisations, le sous-site, la bibliothèque de documents, le site Web ou le fichier pourra créer ses propres autorisations uniques, mais, comme indiqué précédemment, seuls les niveaux d’autorisation réglementés par les autorisations utilisateur de l’application Web seront disponibles.

Nous avons donc deux types d’héritage, qui sont liés aux stratégies configurées au niveau applications Web :

  1. La stratégie utilisateur, qui est héritée de toutes les collections de sites de niveau inférieur.
  2. Les autorisations utilisateur, qui sont héritées par toutes les collections de sites, sont des autorisations avancées ; cet héritage ne peut être rompu aux niveaux inférieurs.

Toute modification d’autorisation au niveau du site parent (liste d’articles, bibliothèque de documents) n’affectera pas les éléments enfants assortis d’autorisations uniques, et les autorisations uniques prévaudront toujours en cas de conflit avec celles des parents.

Bonnes pratiques relatives à l’héritage des autorisations

Il est beaucoup plus facile de gérer les autorisations lorsqu’il existe une hiérarchie claire entre les autorisations héritées du parent. Cela se complique lorsque certaines listes d’un site sont assorties d’autorisations précises (uniques), et lorsque certains sites ont des sous-sites avec des autorisations uniques et d’autres avec des autorisations héritées. Il est donc recommandé, dans la mesure du possible, d’organiser les sites et les sous-sites, les listes et les bibliothèques de manière à ce qu’ils puissent hériter de la plupart des autorisations du parent.

Voici une structure complexe d’autorisations SharePoint, simplifiée pour vous :

SharePoint Permissions Explained SharePoint permission structure

Autorisations avancées

Les niveaux d’autorisation et les groupes par défaut de SharePoint fournissent un cadre général pour les autorisations, qui se révèle utile pour de nombreux types d’organisations. Cependant, ils peuvent ne pas correspondre exactement à la manière dont les utilisateurs s’organisent ou aux tâches diverses qu’ils accomplissent. Si les niveaux d’autorisation par défaut ne correspondent pas à votre organisation, vous pouvez créer des groupes personnalisés, modifier les autorisations incluses dans des niveaux d’autorisation spécifiques ou créer des niveaux d’autorisation personnalisés.

Autorisations pour les sites SharePoint

Ces autorisations concernent les paramètres de site et les paramètres personnels, l’interface Web, l’accès au site et la configuration du site :

  • Gérer les autorisations – Créer et modifier les niveaux d’autorisation d’un sous-site et attribuer des autorisations aux utilisateurs et aux groupes
  • Afficher les données Web Analytics – Afficher les rapports d’utilisation du site
  • Créer des sous-sites – Créer des sous-sites, tels que des sites d’équipe, des sites de publication et des sites de flux d’actualités
  • Gérer le site Web – Effectuer toutes les actions d’administration et de gestion des contenus pour le site
  • Ajouter et personnaliser des pages – Ajouter, modifier et supprimer des pages HTML
  • Appliquer des thèmes et des bordures – Appliquer un thème ou des bordures au site
  • Appliquer des feuilles de style – Appliquer une feuille de style (fichier .CSS) au site
  • Créer des groupes – Créer un groupe d’utilisateurs pouvant être utilisé n’importe où dans la collection de sites
  • Parcourir les répertoires – Recenser les fichiers et les dossiers d’un site à l’aide de SharePoint
  • Utiliser la création de sites en libre-service – Créer un site en utilisant la création de sites en libre-service
  • Afficher les pages – Afficher les pages d’un site
  • Détailler les autorisations – Recenser les autorisations relatives à un site, une liste, un dossier, un document ou un élément de liste
  • Parcourir les informations utilisateur – Consulter les informations sur les utilisateurs du site
  • Gérer les alertes – Gérer les alertes pour tous les utilisateurs du site
  • Utiliser les interfaces distantes – Utiliser les interfaces SOAP, Web DAV, Modèle objet client ou SharePoint Designer pour accéder au site
  • Utiliser les fonctionnalités d’intégration des clients – Utiliser les fonctionnalités de lancement des applications client dans le site (les utilisateurs n’ayant pas cette autorisation doivent télécharger les documents localement, travailler avec ceux-ci et ensuite télécharger les documents révisés)
  • Ouvrir – Ouvrir un site, une liste ou un dossier et accéder aux éléments contenus dans ce conteneur
  • Modifier les informations personnelles de l’utilisateur – Modifier ses propres informations d’utilisateur, par exemple mettre à jour un numéro de téléphone ou un poste ou ajouter une photo

Autorisations pour les listes SharePoint

Ces autorisations portent sur la gestion des listes, des dossiers et des documents, ainsi que sur l’affichage des éléments et des pages d’application :

  • Gérer les listes – Créer et supprimer des listes, des colonnes de liste et des affichages publics d’une liste
  • Remplacer les comportements relatifs aux listes – Rejeter ou enregistrer un document vérifié par un autre utilisateur
  • Ajouter des éléments – Ajouter des éléments aux listes et des documents aux bibliothèques de documents
  • Modifier des éléments – Modifier des éléments dans des listes et des documents dans des bibliothèques de documents, et personnaliser des pages de composants WebPart dans des bibliothèques de documents
  • Supprimer des éléments – Supprimer des éléments des listes et des documents des bibliothèques de documents
  • Afficher les éléments – Afficher les éléments dans les listes et les documents dans les bibliothèques de documents
  • Approuver des éléments – Approuver ou refuser la nouvelle version d’une liste, d’un élément ou d’un document
  • Ouvrir les éléments – Ouvrir des documents à l’aide des gestionnaires de fichiers côté serveur (les documents ne seront pas téléchargés vers l’ordinateur local)
  • Afficher les versions – Afficher les versions antérieures d’un élément de liste ou d’un document
  • Supprimer les versions – Supprimer les versions antérieures d’un élément de liste ou d’un document
  • Créer des alertes – Créer des alertes permettant de suivre les modifications apportées aux listes, bibliothèques, dossiers, fichiers ou éléments de liste
  • Afficher les pages des applications – Afficher les formulaires, les affichages et les pages des applications

Autorisations personnelles SharePoint

Ces autorisations concernent la configuration et la gestion des pages personnelles :

  • Gérer les affichages personnels – Créer, modifier et supprimer des affichages de listes personnelles
  • Ajouter/Supprimer des composants WebPart personnels – Ajouter ou supprimer des composants WebPart personnels
  • Mettre à jour les composants WebPart personnels – Ajouter ou modifier des informations personnalisées dans les composants WebPart personnels
Free guide: The Ultimate Guide to SharePoint Permissions Best Practices
Afficher les commentaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Articles recommandés
Utilitaire gratuit : Soyez averti de toutes les modifications dans votre environnement SharePoint
Tags populaires
Active Directory CISSP Conformité Cyber attack Cybersécurité Data security GDPR Insider threat IT compliance IT security Office 365 PowerShell SharePoint Windows Server
...