Un Guide pratique pour les autorisations de site SharePoint

Matt Wade
Matt Wade

Suivre

>

29 novembre 2019 · 14 min de lecture

Les autorisations SharePoint peuvent être compliquées. Que vous soyez un nouveau propriétaire de site ou un vétérinaire chevronné, garder les autorisations aussi simples que possible est toujours une bonne pratique. Cela vous évitera de perdre la tête.

Cet article vous donnera quelques conseils sur la configuration des autorisations lorsque vous obtenez ou héritez d’un nouveau site SharePoint. Suivez ces pratiques éprouvées et les choses resteront simples et plus faciles à gérer.

Les autorisations SharePoint – également connues sous le nom de sécurité SharePoint par les informaticiens — présentent de nombreux avantages pour vous, votre équipe, vos collègues étendus et les autres personnes qui ont accès à votre réseau.

Dans le domaine informatique, nous parlons de l’impact du “rognage de sécurité”, essentiellement qu’il peut y avoir une tonne de contenu sur votre système SharePoint, mais vous n’avez généralement accès qu’à une certaine quantité. Cet autre contenu est “coupé” de votre point de vue. Peu de gens ont accès à tout; généralement, cet accès divin est limité aux administrateurs informatiques.

C’est en fait un peu comme Facebook. Il y a beaucoup de contenu Facebook, mais la plupart sont hors de vue de vous; il est protégé. Pareil ici.

Voici quelques raisons pour lesquelles les autorisations SharePoint peuvent être assez géniales :

  1. Les autorisations vous donnent la possibilité de masquer les informations de brouillon afin que ceux qui ne devraient pas les voir ne puissent pas.
  2. L’accès au site de l’équipe peut être limité à cette équipe. Il peut aussi être agrandi ou rétréci à mesure que l’équipe change.
  3. Les informations centralisées peuvent être hébergées pour pratiquement tout le monde si nécessaire. Besoin d’un accès rapide au menu de la cafétéria? Déposez-le dans une bibliothèque de documents pertinente accessible à tous.
  4. Les autorisations SharePoint peuvent utiliser des groupes d’utilisateurs déjà créés à partir d’Active Directory (plus à ce sujet plus tard), vous n’avez donc pas besoin de continuer à donner accès à des individus.
  5. Vous pouvez également créer des groupes SharePoint ad hoc qui peuvent être utilisés sur différents sites. Gardez-les à jour et vos sites sauront qui autoriser automatiquement grâce à une liste de groupes centrale.
  6. Si quelqu’un reçoit un lien vers un fichier ou un site auquel il n’a pas accès, il ne verra pas le contenu, ce qui signifie que vos contenus restent protégés. Ils peuvent demander l’accès, mais rien ne dit que vous devez le leur donner.

En n’ayant accès qu’à certains contenus (et non à la valeur totale des fichiers, dossiers et sites du système), vos résultats de recherche contiendront moins d’informations superflues. Cette information ne peut pas apparaître dans vos résultats, ce qui est une victoire pour vous lorsque vous cherchez des choses.

Propriétaires, Membres, Visiteurs, oh mon dieu!

SharePoint vous donne trois groupes d’autorisations dans chaque nouveau site SharePoint : Propriétaires, Membres et Visiteurs. C’est une bonne idée de s’en tenir à ça. Vous êtes libre de créer de nouveaux groupes SharePoint à tout moment, mais cela ajoute de la complexité, plusieurs fois inutilement.

Dans certains cas, cela peut faire du bien de créer un nouveau groupe SharePoint, mais vous devez toujours combattre l’envie et vraiment vous convaincre que vous avez besoin d’un nouveau groupe. Chaque nouveau groupe rend un site plus complexe, ce qui rend un transfert de propriété plus difficile à l’avenir.

Par défaut, les Propriétaires ont le “Contrôle total”, les Membres ont un accès ”Modifier” et les Visiteurs ont un accès ”Lire”. Vous pouvez bien sûr les modifier; en fait, je recommande de faire un changement pour le groupe de membres de chaque site. Mais sinon, je m’en tiendrais comme ils viennent parce que 1) c’est plus simple et 2) quand quelqu’un prend le relais pour vous, vous voulez que la transition soit aussi facile que possible. Les configurations d’autorisations super compliquées ne créent pas une expérience amusante pour un nouveau propriétaire.

Voici la page que vous voyez lorsque vous créez un nouveau site. Vous avez la possibilité de créer les nouveaux groupes. Vous pouvez les renommer et choisir d’utiliser des groupes déjà existants pour remplacer les Visiteurs, les Membres et les Propriétaires. Je ne le recommande pas. Utilisez les valeurs par défaut. Et profitez maintenant de l’ajout de personnes à vos groupes si vous le souhaitez.

Comment utilisez-vous votre site ?

L’utilisation prévue d’un site SharePoint doit dicter la façon dont vous donnez les autorisations. Si vous êtes en charge d’un site qui contient des informations finales publiées — le site intranet de votre service des ressources humaines, par exemple —, vous devez donner un accès en lecture à un grand nombre de personnes, un accès aux modifications à très peu de personnes et encore moins de propriétaires. Si vous possédez un site d’équipe, vous devriez donner principalement un accès aux modifications; les gens ont du travail à faire, alors laissez-les le faire. Ne donnez pas d’accès en lecture si vous pouvez l’éviter; et limitez également les propriétaires. Pour d’autres types de sites ad hoc, c’est vraiment votre choix.

Groupe de propriétaires

Ce groupe obtient le contrôle total du site. Les propriétaires peuvent créer, modifier et supprimer à peu près n’importe quoi dans un site, y compris la suppression du site lui-même. En tant que propriétaire, vous n’êtes peut-être pas le propriétaire de l’entreprise, mais vous êtes le propriétaire des processus métier pour l’hébergement du contenu, l’organisation de l’architecture, la création et la mise à jour des listes et, dans l’ensemble, vous contribuez à rationaliser vos collègues et votre équipe.

C’est un rôle assez important dans votre organisation et doit être considéré comme faisant partie de votre description de poste. Un bon propriétaire de site a une valeur évidente dans une équipe car le travail se fait avec moins d’obstacles et de retards. Les choses work fonctionnent, et vous êtes un ajout très précieux à votre équipe. Assurez-vous que votre patron le sait.

Règle de trois

Un bon site SharePoint n’a pas besoin de plus de trois propriétaires. C’est vrai, trois: le propriétaire principal, une sauvegarde et une sauvegarde secondaire si la sauvegarde principale n’est pas disponible.

Je sais ce que vous pensez: “Mais tant de gens ont besoin d’accès pour mettre à jour le site pour faire ceci, cela ou l’autre chose.”D’accord, mais ils n’ont pas besoin d’être propriétaires. Alors ne leur donnez pas la propriété. Faites-en des membres. Et donnez-leur seulement l’accès des membres aux listes sur lesquelles ils en ont besoin.

Vous n’aimerez peut-être pas cette recommandation, mais ce n’est pas arbitraire. C’est une pratique éprouvée qui découle de nombreuses leçons apprises et du succès pratique que j’ai connu en supervisant mes propres sites et tout un réseau de sites dans ma vie professionnelle. Croyez-moi: cette règle permet la configuration la plus simple disponible. Voici pourquoi :

  1. Vous avez besoin de plus d’un propriétaire. Quand vous êtes dehors, quelqu’un doit jouer votre sauvegarde. La deuxième sauvegarde est destinée à minimiser davantage le risque qu’il n’y ait pas de sauvegarde disponible en cas de besoin.
  2. Tous les propriétaires ne sont pas du même calibre. Moins il y a de propriétaires, moins il y a de risques que quelque chose soit cassé par un propriétaire moins expérimenté.
  3. Moins de propriétaires signifie plus de contrôle lorsque des modifications sont apportées au site. Quand quelqu’un veut changer quelque chose sur son site, il vient vers vous et vos deux collègues; vous pouvez alors faire la recommandation sur la solution la plus intelligente. S’il y a un groupe de propriétaires, on peut simplement partir, faire le changement parce que “ce n’est pas grave”, et vous pouvez tous le regretter à l’avenir à cause de conséquences involontaires.
  4. Garder le groupe de propriétaires petit assure une véritable propriété du site. S’il y a dix propriétaires et qu’un problème se pose, il y aura beaucoup de pointages du doigt et “Je pensais que c’était sa responsabilité” faisant son apparition. Faites-moi confiance. J’ai été là.
  5. Si vous êtes le propriétaire principal, vous devrez former d’autres propriétaires. Former deux personnes est beaucoup plus facile que d’en former sept.

Je n’ai pas encore connu une situation où la règle de trois n’a pas été la meilleure solution. Et j’ai visité beaucoup de sites SharePoint de mon temps.

Un dernier conseil pour être propriétaire: listez toujours les noms des propriétaires sur la page d’accueil. Je fournis généralement une liste de contacts SharePoint avec les noms, les numéros de téléphone, les adresses e-mail et l’horaire de travail des propriétaires afin que les utilisateurs sachent immédiatement qui contacter en cas de question ou de problème avec ce site. L’un des plus gros défauts de conception de la part de Microsoft n’est pas de fournir une liste automatique des propriétaires sur chaque site. Les gens ont besoin de savoir qui est responsable!

Groupe de membres

Les membres sont des personnes qui peuvent apporter des modifications au sein d’un site. Ils peuvent publier des documents, mettre à jour des listes, répondre à des sondages et participer essentiellement au développement du contenu, à la conservation et à l’utilisation du site. Ma recommandation pour utiliser le groupe de membres est assez simple:

  • Changez le niveau d’accès par défaut de “Modifier” à “Contribuer”: Pour une raison quelconque, Microsoft a décidé d’augmenter le niveau d’accès par défaut pour les Membres dans SharePoint 2013 (et les versions ultérieures). “Modifier” donne aux utilisateurs la possibilité de créer, de modifier et de supprimer des listes en plus de tout ce que vous pouvez faire avec ”Contribuer”. Il est fort probable que vous ne vouliez pas que les gens se foutent avec des listes que vous avez mis beaucoup de temps à créer, personnaliser et construire. Limitez donc leurs autorisations à l'”ancienne” normale dès le début. Ceci est ma recommandation quel que soit le type de site avec lequel vous avez affaire.
  • Sites d’équipes: Si vous possédez un site d’équipe, où vous et vos collègues collaborez sur des documents en cours de processus, des formulaires, des fichiers, des listes, etc., faites autant de membres que possible de vos coéquipiers. Ils devraient tous avoir l’accès disponible pour apporter des modifications au contenu parce que, eh bien, ils font du travail! Laissez-les!
  • Sites de publication: Si vous possédez un site de publication, où la majeure partie du contenu est des fichiers finis, des politiques, etc., vous devriez avoir peu ou pas de membres. Je sais, beaucoup de propriétaires n’aiment pas cette recommandation. Mais franchement, le contenu est en prime time et le moins de personnes possible devrait avoir la capacité de changer les choses. Vous ne voulez pas qu’un changement involontaire ou non autorisé ait lieu sous votre surveillance. Limitez donc les autorisations dans la zone de publication si vous le pouvez. Par exemple, dans un site de publication RH, disposez de bibliothèques de documents distinctes pour chaque fonction: une pour les avantages sociaux, une pour les documents de travail, une pour les politiques, une pour le recrutement, etc. Les membres de chacune de ces équipes devraient avoir accès à chacune de ces bibliothèques afin qu’ils puissent mettre à jour les informations au besoin; mais personne d’autre ne devrait avoir accès à ces bibliothèques.

Groupe de visiteurs

Les visiteurs sont des personnes qui ont un accès en lecture à un site. Ils peuvent ouvrir des fichiers (et même les télécharger), mais ils ne peuvent pas modifier le contenu. Ils sont destinés à consommer du contenu, mais pas à le créer, à le mettre à jour, à le modifier ou à le supprimer.

Fondamentalement, c’est la même chose que lorsque vous allez à Amazon.com . Vous ne modifiez pas la liste des choses à acheter. Tu l’as lu. Vous choisissez ceux que vous voulez, mais vous ne modifiez pas l’inventaire pour que les autres puissent le lire. En tant qu’internaute typique, vous êtes un visiteur de presque tous les sites.

Ma recommandation pour utiliser le groupe de visiteurs est encore plus simple que les Membres:

  • Sites d’équipe: Franchement, je crois que si vous êtes membre d’une équipe, vous devriez toujours être membre de ce site. Mais je me rends compte qu’il y a des moments où des personnes extérieures au groupe (direction supérieure, réviseurs, personnes qui ont juste besoin de rester “au courant”) ont besoin d’un accès en lecture mais pas d’un accès aux modifications. Donc de manière générale, dans un espace collaboratif, je suggère d’avoir le moins de Visiteurs possible. L’accès en lecture entrave potentiellement le travail.
  • Sites de publication: Les sites de publication sont destinés à partager des informations finalisées avec un grand nombre de personnes. La page d’accueil de votre entreprise ou organisation est un site de publication. Beaucoup de gens ont besoin d’y accéder. Ces personnes devraient faire partie du groupe des visiteurs. Votre page Avantages RH est un autre bon exemple. Si vous ne faites pas partie de l’équipe avantages sociaux des RH, vous devriez avoir accès en lecture aux dossiers liés à l’assurance, à la retraite, etc., mais vous ne devriez pas pouvoir changer les fichiers (même si vous le souhaitez, vous avez donc de meilleurs avantages!).

Autres groupes SharePoint

Vous pouvez créer autant de groupes SharePoint que vous le souhaitez. Ceci est utile si vous disposez d’une collection ad hoc de personnes auxquelles vous souhaitez pouvoir donner accès sur d’autres sites ailleurs dans votre environnement SharePoint.

Une chose à considérer: assurez-vous de mettre à jour le propriétaire de chacun des groupes de votre site en tant que groupe de propriétaires. Malheureusement, par défaut, SharePoint fait des propriétaires de groupe la personne qui a créé le site (ou le groupe), pas le groupe de propriétaires. Logiquement, les propriétaires devraient avoir le contrôle total du site et des groupes utilisés sur le site. Si vous ne modifiez pas cela et que la personne sélectionnée quitte votre organisation, vous ne pouvez pas modifier ou mettre à jour les paramètres du groupe SharePoint sans impliquer votre service informatique. Si vous mettez à jour le propriétaire du groupe en groupe de propriétaires, quiconque sera propriétaire à l’avenir aura la possibilité d’apporter des modifications à ces groupes.

Groupes Active Directory

Active Directory est l’outil fourni par Microsoft pour garder une trace des personnes dans un réseau. Lorsque vous envoyez un e-mail à quelqu’un depuis Outlook, il extrait des informations d’Active Directory (ou d’AD pour faire court). AD offre également la possibilité de créer des groupes. Et ce ne sont pas des groupes SharePoint, alors ne les mélangez pas.

Les groupes d’annonces offrent un énorme avantage : si votre organisation met à jour des groupes d’annonces pour vos départements, vos équipes, etc., vous pouvez les utiliser dans SharePoint. De nombreux services RH incluent la mise à jour d’un groupe d’annonces dans le cadre du processus d’intégration et de résiliation, ce qui signifie que les groupes d’annonces sont probablement à jour et fiables lorsque vous les utilisez dans SharePoint.

L’exemple le plus utile est l’utilisation d’un groupe d’annonces de type “Tout le personnel”, qui vous donne un moyen très rapide et automatisé de donner accès à tous les utilisateurs de votre réseau. (Il peut être appelé “Tout le personnel”, ”Personnel”, ”Utilisateurs de domaine” ou quelque chose de similaire. Chaque département IT/RH propose sa propre terminologie.) Je dépend de ces types de groupes lorsque je crée et partage des sites de publication qui pourraient contenir des informations à l’échelle de l’entreprise. Un site de portail de communication, le site des avantages en matière de ressources humaines, la bibliothèque de formulaires comptables et autres auraient généralement “Tout le personnel” dans le groupe des visiteurs. De cette façon, je n’ai pas à ajouter et supprimer individuellement des utilisateurs lorsqu’ils rejoignent et quittent l’organisation. Quelqu’un d’autre fait le travail pour moi, en utilisant un processus centralisé et fiable.

Si votre organisation n’utilise pas de groupes d’annonces, c’est un obstacle à la productivité et vos services informatiques et/ ou RH devraient vraiment envisager de le faire pour le bénéfice de quiconque utilise SharePoint or ou Outlook ! C’est l’un des moyens les plus simples d’envoyer un e-mail à un groupe de personnes sans avoir à rechercher des comptes d’utilisateurs individuels ou des adresses e-mail.

Notez que les avantages des groupes d’ANNONCES ne proviennent que des utilisateurs internes. Vous ne pouvez pas vraiment obtenir cet avantage lorsque vous discutez de clients, de fournisseurs et d’autres personnes extérieures à moins qu’ils ne fassent partie de votre groupe d’annonces ou qu’il y ait eu une configuration de fédération avec ces organisations, ce qui est un sujet compliqué à aborder et pas quelque chose que je prévois de couvrir ici.

Rupture de l’héritage des autorisations

L’un des aspects les plus puissants de SharePoint est les “autorisations au niveau de l’objet”. C’est un terme sophistiqué pour “vous pouvez donner accès à des éléments individuels dans SharePoint sans donner accès à un site ou à un système entier”. Et c’est un énorme avantage dans SharePoint.

Par défaut, tout le contenu de votre site hérite des autorisations du site lui-même. L’accès est donc le même sur le fichier A que le fichier B que la bibliothèque X que la liste Y que l’ensemble du site. L’option de casser l’héritage signifie que vous pouvez rendre l’accès unique pour un fichier, une bibliothèque, une liste ou tout ce qui se trouve sur ce site.

C’est super tentant et peut être extrêmement utile. Mais cela peut être très dangereux car lorsque vous rompez l’héritage, vous augmentez considérablement la complexité de la configuration de vos autorisations. Ce n’est pas une mauvaise chose, mais vous devez être prêt à garder les choses sous contrôle une fois que vous le faites. Heureusement, dans SharePoint 2013, 2016 et en ligne, il est possible de voir avec qui un fichier, une liste, une bibliothèque ou un autre élément est “partagé”. Cette option est disponible dans le ruban de toute bibliothèque, liste, élément ou document ; voir ci-dessous. Dans les versions antérieures de SharePoint, ce n’était pas le cas, les autorisations sont donc devenues un cauchemar total. Maintenant, ils ne sont qu’un cauchemar partiel!

Cela dit, vous devez toujours marcher légèrement lorsqu’il s’agit de casser l’héritage et de fournir des autorisations uniques basées sur des éléments individuels. Voici mes recommandations:

  1. S’en tenir aux bibliothèques et aux sites: Si vous devez casser l’héritage, ne le faites pas dans le fichier individuel. Déposez ces fichiers dans un dossier, une bibliothèque ou même un site séparé et gérez vos autorisations à partir de là. C’est beaucoup plus facile.
  2. Utilisez des groupes SharePoint : Ne cassez pas les autorisations en donnant accès aux individus. Créez un groupe SharePoint pour l’occasion et utilisez-le à la place. Il est plus facile de mettre à jour un groupe SharePoint en un seul endroit — puis de profiter de chaque élément qui extrait automatiquement les autorisations de ce groupe — que de devoir apporter des modifications partout lorsque quelqu’un rejoint ou quitte votre organisation.
  3. Attention: Je ne dis en aucun cas de ne pas profiter des autorisations au niveau de l’objet. Je l’utilise régulièrement. Mais je connais le risque. Les choses se compliquent et les intentions sont faciles à oublier. Il est préférable de documenter le raisonnement derrière votre architecture d’autorisation (voir ci-dessous).

Documentez votre configuration

Une fois que vous avez configuré votre structure d’autorisations, vous devez la documenter. J’aime avoir une bibliothèque dans tous mes sites appelée “Documents propriétaires” ou quelque chose comme ça. Dans cette bibliothèque, je conserve un fichier qui couvre la structure des autorisations, toutes les images utilisées dans le site lui-même, un document qui couvre la description du site, l’utilisation prévue, etc.

Je sais que la documentation est nulle; personne n’aime le faire. Mais vous ne serez pas propriétaire de votre site pour toujours. Cette documentation peut aider vos propriétaires de sauvegarde et toute autre personne qui se présente à prendre la relève en tant que propriétaire à l’avenir. En fait, c’est un excellent gain de temps lorsque vous avez un nouveau propriétaire de sauvegarde à bord. Cela signifie moins de temps nécessaire pour les former et ils ont une ressource à exploiter lorsque vous êtes dehors et ils doivent prendre une décision qui peut avoir un impact sur la vision et le but de votre site.

Documenter vos autorisations est essentiellement une gouvernance à petite échelle. Et même si ce n’est pas amusant, je trouve que c’est critique.

Partage externe

SharePoint Online offre désormais la possibilité de partager avec des utilisateurs en dehors du réseau de votre organisation. Et c’est une mise à niveau vraiment puissante du service. Mais c’est hors de portée de ce post. Je couvrirai ce concept dans un article séparé car il mérite sa propre description, analyse et recommandations. Tout ce qui est mentionné dans cet article suppose que vous ne fournissez l’accès qu’aux utilisateurs de votre réseau ou de votre organisation, et non à des personnes ou à des groupes extérieurs.

Conclusion

Restez simple. Tenez-vous aux groupes prêts à l’emploi. Minimisez les autorisations au niveau de l’objet. Utilisez des groupes d’annonces lorsque vous le pouvez. Documentez votre configuration. Trois propriétaires max. Pour les sites d’édition, très peu de Membres, beaucoup de Visiteurs. Pour les sites d’équipes, beaucoup de Membres, peu ou pas de visiteurs. Faites toujours une vérification de la santé mentale lorsque vous vous éloignez de ces principes pour vous assurer que vous en avez absolument besoin. Et tenez-vous à vos armes quand les gens protestent. Tu es l’expert.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.