Sécurité et authentification mobile dans SharePoint 2013
S’APPLIQUE À :2013 2016 2019 Édition d’abonnement SharePoint dans Microsoft 365
Cet article fournit des conseils et des recommandations en matière de sécurité pour vous assurer que l’accès à SharePoint Server 2013 et aux données spécifiques dans SharePoint n’est pas compromis sur un appareil mobile. Cet article détaille également les types d’authentification pris en charge pour certains appareils et les spécificités de l’authentification pour l’application SharePoint Newsfeed.
Sécurité des appareils mobiles
Cette section fournit des recommandations de sécurité pour l’utilisation d’appareils externes à votre réseau d’entreprise. Un appareil perdu ou volé peut être dévastateur pour une organisation à de nombreux niveaux. Par conséquent, les mesures nécessaires doivent être mises en place si l’une d’elles devait être compromise.
Les considérations générales relatives à la sécurité sont les suivantes :
Les appareils mobiles peuvent contenir des données ou des documents sensibles. Étant donné que les appareils mobiles peuvent être perdus ou volés, il est recommandé de définir des stratégies autour des appareils mobiles afin de protéger les données et les documents sensibles. Cela peut inclure la sécurisation de l’appareil mobile à l’aide d’un code PIN ou d’un verrou et l’effacement à distance des données sur l’appareil mobile. Les programmes et fonctionnalités disponibles varient d’un appareil mobile à l’autre. Pour plus d’informations sur une méthode possible d’implémentation de ces stratégies dans votre organisation, consultez Exchange ActiveSync plus loin dans cet article.
Vous pouvez indiquer aux utilisateurs les précautions qu’ils peuvent prendre pour protéger leurs informations d’identification utilisateur. Cela peut inclure la déconnexion des sites lorsqu’ils ont terminé, l’activation d’aucune option qui les maintient connectés ou mémorise leur mot de passe, et la suppression fréquente des cookies dans le navigateur mobile. Cela permet d’éviter que d’autres personnes utilisent leurs informations d’identification utilisateur pour se connecter à un site SharePoint si leur appareil mobile est perdu ou volé.
Nous vous recommandons d’activer SSL pour sécuriser la communication entre les navigateurs mobiles et l’ordinateur qui exécute SharePoint Server 2013. Pour plus d’informations sur l’utilisation d’un serveur proxy inverse, tel que Forefront Unified Access Gateway (UAG), pour sécuriser la communication, consultez Forefront Unified Access Gateway (UAG) dans la bibliothèque technique Forefront.
Exchange ActiveSync
Microsoft Exchange ActiveSync est un protocole de communication qui permet d’accéder, par voie aérienne, aux messages électroniques, aux données de planification, aux contacts et aux tâches. Exchange ActiveSync est disponible sur les téléphones Windows Phone et tiers et les ardoises qui sont activés pour Exchange ActiveSync tels que l’iPhone Apple. L’un des avantages de l’implémentation de Exchange ActiveSync dans votre organisation est la sécurité côté appareil et l’administration par le biais de l’application de la stratégie. Si SharePoint Server 2013 est déployé dans une topologie extranet, les appareils mobiles accèdent à l’ordinateur qui exécute SharePoint Server 2013 via une URL publique. Si l’appareil mobile est perdu ou volé, il est nécessaire de s’assurer que les données SharePoint ne sont pas compromises. Par exemple, en utilisant Exchange ActiveSync vous pouvez effacer le contenu des données de l’appareil à distance, par exemple des configurations SharePoint, ou appliquer un mot de passe complexe sur l’écran de verrouillage pour empêcher tout accès non autorisé.
Le tableau suivant répertorie une sélection de fonctionnalités et de stratégies Exchange ActiveSync que vous pouvez appliquer à certains appareils.
Tableau : stratégies de Exchange ActiveSync pour les appareils mobiles
Exchange ActiveSync stratégie | Description |
---|---|
Réinitialisation à distance (il s’agit d’une fonctionnalité et non d’une stratégie de Exchange ActiveSync) | Si un téléphone mobile est perdu, volé ou compromis, vous pouvez émettre une commande de réinitialisation à distance à partir de l’ordinateur Exchange ou de n’importe quel navigateur web à l’aide d’Outlook Web App. Cette commande restaure les valeurs par défaut de l’appareil. Important : Une fois qu’une réinitialisation d’appareil à distance s’est produite, la récupération des données est très difficile. Toutefois, aucun processus de suppression de données ne laisse un appareil aussi exempt de données résiduelles que lorsqu’il est nouveau. La récupération de données à partir d’un appareil peut toujours être possible à l’aide d’outils sophistiqués. |
Appliquer le mot de passe sur l’appareil (DevicePasswordEnabled) | Ce paramètre active le mot de passe de téléphone mobile. |
Longueur minimale du mot de passe (MinDevicePasswordLength) | Cette option spécifie la longueur du mot de passe du téléphone mobile. La longueur par défaut est de 4 caractères mais le mot de passe peut en contenir jusqu'à 18. |
Exiger un mot de passe alphanumérique (AlphanumericDevicePasswordRequired) | Ce paramètre requiert qu'un mot de passe contienne des caractères numériques et non numériques. |
Autoriser le mot de passe simple (AllowSimpleDevicePassword) | Ce paramètre active ou désactive la possibilité d’utiliser un mot de passe simple, tel que 1234. |
Verrouillage du temps d’inactivité maximal (MaxInactivityTimeDeviceLock) | Cette option détermine la durée pendant laquelle le téléphone mobile doit être inactif avant que l’utilisateur ne soit invité à entrer un mot de passe pour déverrouiller le téléphone mobile. |
Importante
La sélection des stratégies de Exchange ActiveSync qui peuvent être utilisées peut varier d’un appareil à l’autre. Pour plus d’informations sur les stratégies prises en charge sur une plateforme d’appareil spécifique, telle que Windows Phone et Apple iPhone, consultez Présentation des stratégies de boîte aux lettres Exchange ActiveSync.
Recherche d’un appareil perdu
Lorsqu’un appareil est perdu ou volé, il peut être utile de trouver l’emplacement de cet appareil et de pouvoir réinitialiser tout le contenu des données si nécessaire. Il existe différents services et solutions tiers qui peuvent fournir cette fonctionnalité. Un exemple est le Windows Phone service Localiser mon téléphone qui peut faciliter la récupération de votre appareil mobile en le localisant ou empêcher une personne de l’utiliser sans votre consentement.
Les fonctionnalités que ce service peut fournir sont les suivantes :
Mapper l’emplacement de votre appareil mobile.
Faites sonner votre appareil mobile.
Verrouillez votre appareil mobile et affichez un message.
Effacez les données de votre appareil mobile.
Remarque
Pour en savoir plus sur le service Localiser mon téléphone pour Windows Phone, consultez Rechercher un téléphone perdu.
Authentification pour les appareils mobiles
SharePoint Server 2013 prend en charge plusieurs méthodes d'authentification et modes d'authentification. Tous les appareils et navigateurs mobiles ne fonctionnent pas avec toutes les méthodes d'authentification disponibles. Lorsque vous planifiez l’accès des appareils mobiles, vous devez effectuer les opérations suivantes :
Déterminez les appareils mobiles que vous devez prendre en charge. Ensuite, étudiez les méthodes d’authentification prises en charge par les appareils mobiles. Ces informations varient d’un constructeur à l’autre.
Déterminez les sites à rendre accessibles aux utilisateurs d’appareils mobiles.
Déterminez si vous souhaitez que les sites SharePoint soient accessibles aux appareils mobiles lorsque ceux-ci sont utilisés à l’extérieur du pare-feu d’entreprise. Si tel est votre souhait, la méthode que vous utilisez pour activer l’accès externe peut également avoir une incidence sur l’authentification des appareils mobiles.
Les tableaux suivants détaillent les types d’authentification pris en charge pour les navigateurs, OneDrive et l’expérience de Windows Phone Office Hub dans SharePoint Server 2013. Pour la section ci-dessous, OrgID fait référence à l’ID Microsoft Online Services, le fournisseur d’identité pour Microsoft 365. En outre, MSOFBA fait référence à l’authentification basée sur les formulaires Microsoft Office.
Tableau : Prise en charge de l'authentification mobile pour les navigateurs SharePoint
Infrastructure SharePoint | Appareils mobiles | |||||||
---|---|---|---|---|---|---|---|---|
Type d’authentification | Protocole d’authentification | Fournisseur d’ID | Déploiement SharePoint | Windows Phone 7.5 (Internet Explorer Mobile) | Windows Phone 8 (Internet Explorer Mobile) | Windows 8 (Internet Explorer) | iOS 5.x ou versions ultérieures (navigateur Safari) | Android 4.x ou versions ultérieures (navigateur Android) |
Authentification Windows | NTLM | Active Directory | Sur site | Oui | Oui | Oui | Oui | Oui |
Authentification de base | Active Directory | Local, extranet | Oui | Oui | Oui | Oui | Oui | |
Authentification basée sur les formulaires (FBA) | FBA | Active Directory, LDAP, SQL | Local, extranet | Oui | Oui | Oui | Oui | Oui |
FBA | OrgID | SharePoint dans Microsoft 365, scénarios hybrides | Oui | Oui | Oui | Oui | Oui | |
SAML (basé sur des jetons) | SAML | Fournisseur d’identité compatible WS-Federation 1.1 | SharePoint local dans Microsoft 365, scénarios hybrides | Oui | Oui | Oui | Oui | Oui |
Tableau : Types d’authentification pris en charge pour l’application OneDrive
Type d’authentification | Description | Pris en charge | Type d’administrateur requis pour la configuration |
---|---|---|---|
ID d’organisation | Organisations avec une organisation Microsoft 365 ou SharePoint sans aucune fédération. | Oui | Administrateur général |
Fédération ADFS et Org-ID | Organisations avec une organisation Hybride Microsoft 365 ou SharePoint avec des utilisateurs fédérés à partir d’un annuaire local. | Oui | Administrateur général plus l’administrateur réseau local et l’administrateur SharePoint |
Authentification Windows (NTLM) | Organisations avec un environnement SharePoint configuré pour autoriser les Authentification Windows basées sur les revendications NTLM. | Oui | Administrateur SharePoint |
Authentification basée sur les formulaires (FBA) | Organisations avec un environnement SharePoint configuré pour autoriser l’authentification basée sur les formulaires ou d’autres authentifications basées sur des revendications compatibles via un contrôle web standard. | Oui | Administrateur SharePoint |
Fournisseurs d’identité non-ADFS qualifiés | Organisations avec un environnement Microsoft 365 ou SharePoint configuré pour autoriser la connexion utilisateur fédérée avec un fournisseur d’identité qualifié pour les clients riches dans le programme Works with Microsoft 365 - Identity. | Oui | Administrateur SharePoint plus l’administrateur réseau local ou l’administrateur général (dans certaines organisations, l’administrateur général est obligatoire, et non une option).) |
Tous les autres fournisseurs d’identité non-ADFS | Organisations avec un environnement SharePoint configuré pour autoriser un fournisseur d’identité non-ADFS. | Non | Administrateur SharePoint et administrateur réseau local |
Authentification Kerberos | Organisations avec un environnement SharePoint configuré pour prendre en charge l’authentification Kerberos. | Non | Administrateur SharePoint et administrateur réseau local |
Authentification de base | Organisations avec un environnement SharePoint configuré pour prendre en charge l’authentification de base. | Non | Administrateur SharePoint et administrateur réseau local |
Remarque
Si vous êtes un utilisateur microsoft 365 multi-organisation, vous pouvez vous connecter à partir de l’application OneDrive dans n’importe quel environnement réseau, y compris les données Wi-Fi et cellulaires. Si vous n’êtes pas un utilisateur microsoft 365 multi-organisation, vous pouvez vous connecter uniquement lorsque vous utilisez le réseau Wi-Fi de votre organisation sur site. Si vous ne savez pas quel utilisateur vous êtes, contactez votre administrateur SharePoint.
Tableau : Matrice de prise en charge de l’authentification mobile pour Office Hub
Infrastructure SharePoint | Côté client | Appareils mobiles | ||||
---|---|---|---|---|---|---|
Type d’authentification | Protocole d’authentification | Fournisseur d’ID | Déploiement SharePoint | Géré via : | Windows Phone 7.5 (Internet Explorer Mobile) | Windows Phone 8 (Internet Explorer Mobile) |
Authentification Windows | NTLM | Active Directory | Sur site | NTLM | Oui | Oui |
Authentification de base | Active Directory | Local, extranet | Authentification de base | Non | Oui (https) | |
Authentification basée sur les formulaires (FBA) | FBA | Active Directory, LDAP, SQL | Local, extranet | MSOFBA | Oui | Oui |
FBA | OrgID | SharePoint, scénarios hybrides | MSOFBA | Oui | Oui | |
FBA | OrgID | SharePoint, scénarios hybrides | Authentification active (IDCRL) | Non | Oui | |
SAML (basé sur des jetons) | SAML | Fournisseur d’identité compatible WS-Federation 1.1 | Scénarios locaux, SharePoint, hybrides | MSOFBA | Oui | Oui |
SAML | Fournisseur d’identité compatible WS-Federation 1.1 | SharePoint local dans Microsoft 365, scénarios hybrides | Authentification active (IDCRL) | Non | Oui |
Remarque
Pour que les appareils mobiles communiquent avec les serveurs SharePoint, la sécurité du protocole Internet (IPSec) doit être désactivée sur les serveurs. La raison pour laquelle cette opération doit être effectuée est que les appareils mobiles ne sont pas joints à un domaine.
Authentification pour l’application SharePoint Newsfeed
Cette section fournit des conseils et des considérations relatives à l’authentification pour l’application SharePoint Newsfeed. Cela inclut des informations sur les déploiements locaux et l’utilisation de SharePoint dans Microsoft 365.
Le tableau suivant détaille les types d’authentification pris en charge pour l’application SharePoint Newsfeed dans SharePoint Server 2013. Pour ce qui suit, OrgID fait référence à l’ID Microsoft Online Services, le fournisseur d’identité pour Microsoft 365. En outre, MSOFBA fait référence à l’authentification basée sur les formulaires Microsoft Office.
Tableau : Matrice de prise en charge de l’authentification mobile pour l’application SharePoint Newsfeed\
Type d’authentification type |
Protocole d'authentification |
Fournisseur d’ID |
Déploiement SharePoint |
Géré via : |
Applications Windows Phone 7.5 |
applications Windows Phone 8 |
Applications Windows 8 |
Applications iOS 6.x ou ultérieures |
---|---|---|---|---|---|---|---|---|
Authentification Windows |
NTLM |
Active Directory |
Sur site |
NTLM |
Non |
Non |
Oui |
Oui |
Authentification de base |
HTTPS |
Active Directory |
Local, extranet |
Authentification de base |
Oui |
Oui |
Non |
Oui (https) |
Authentification basée sur les formulaires (FBA) |
FBA |
Active Directory, LDAP, SQL |
Local, extranet |
MSOFBA |
Oui |
Oui |
Non |
Oui |
FBA |
FBA |
OrgID |
SharePoint, scénarios hybrides |
MSOFBA |
Oui |
Oui |
Non |
Oui |
FBA |
FBA |
OrgID |
SharePoint, scénarios hybrides |
Authentification active (IDCRL) |
Non |
Non |
Oui |
Oui |
SAML (basé sur des jetons) |
SAML |
Fournisseur d’identité compatible WS-Federation 1.1 |
SharePoint local dans Microsoft 365, scénarios hybrides |
MSOFBA |
Oui |
Oui |
Non |
Oui |
SAML |
SAML |
Fournisseur d’identité compatible WS-Federation 1.1 |
Localement, SharePoint dans Microsoft 365, scénarios hybrides |
Authentification active (IDCRL) |
Non |
Non |
Oui |
Oui |
Importante
Pour les scénarios fédérés dans SharePoint dans Microsoft 365, seul Services ADFS (ADFS) 2.0 est pris en charge. Pendant le processus d’installation, il est nécessaire de prendre en charge un URI d’authentification de fédération passive : « urn:oasis:names:tc:SAML:2.0:ac:classes:Password ».
Flux de travail d’authentification
L’application SharePoint Newsfeed est prise en charge pour l’utilisation locale et SharePoint dans Microsoft 365. Chaque option peut présenter des différences avec le flux de travail d’authentification de l’utilisateur final. Par exemple, ce tableau fournit des exemples d’expériences d’authentification pour chaque type d’implémentation.
Déploiement | Flux de travail | Détails |
---|---|---|
Localement | Types d’authentification pris en charge Authentification Windows Authentification basée sur les formulaires SAML |
|
SharePoint dans Microsoft 365 | Types d’authentification pris en charge Authentification basée sur les formulaires SAML |
Pour plus d’informations sur le déploiement de l’application SharePoint Newsfeed dans votre réseau, notamment sur la configuration de l’accès entre pare-feu, voir Configurer l’accès externe pour les appareils mobiles dans SharePoint Server.
Voir aussi
Concepts
Vue d'ensemble des appareils mobiles et de SharePoint Server 2013