Planifier la sécurité des sites (Windows SharePoint Services)
Mise à jour : 2008-12-18
Dans cet article :
À propos des éléments de la sécurité des sites
À propos de l’affectation des autorisations
À propos des autorisations affinées et de l’héritage des autorisations
Choisir les niveaux de sécurité de site à utiliser
Planifier l’héritage des autorisations
Feuille de calcul
Cet article traite de la planification du contrôle et des autorisations d’accès aux niveaux de la collection de sites, des sites et des sous-sites et n’aborde pas la planification de la sécurité de votre serveur ou de votre batterie de serveurs. Pour plus d’informations sur la planification des autres aspects de la sécurité, tels que les méthodes d’authentification et le chiffrement, reportez-vous à la section Planifier la sécurité de site et de contenu (Windows SharePoint Services).
Pour contrôler la sécurité des sites, vous devez affecter des autorisations aux utilisateurs et aux groupes pour un objet sécurisable spécifique (tel qu’un site, une liste ou un élément). Lorsque vous planifiez la sécurité des sites, vous devez déterminer les points suivants :
Dans quelle mesure vous souhaitez contrôler les autorisations pour les différents objets sécurisables. Par exemple, souhaitez-vous contrôler l’accès pour le site entier ou avez-vous besoin de paramètres de sécurité spécifiques pour une liste, un dossier ou un élément particulier ?
La façon dont vous souhaitez classer et gérer vos utilisateurs (à l’aide de groupes). Cet article traite des notions fondamentales liées à la sécurité du site et vous aide à déterminer les objets sécurisables auxquels appliquer des autorisations spécifiques. Pour plus d’informations sur le classement des utilisateurs en groupes, reportez-vous à la section Choisir les groupes de sécurité à utiliser (Windows SharePoint Services).
.gif "Note")
Remarque :La façon dont les groupes et les autorisations interagissent a évolué de manière significative par rapport à la version précédente. Dans la version précédente, les groupes de niveau site contenaient les utilisateurs et les autorisations (autrement dit, lorsque vous ajoutiez un utilisateur à un groupe de sites, vous déterminiez automatiquement les autorisations accordées à l’utilisateur pour un site). Dans cette version, les concepts de groupes d’utilisateurs et d’autorisations ont été séparés : les groupes SharePoint au niveau de la collection de sites contiennent les utilisateurs, les niveaux d’autorisation contiennent les autorisations et les groupes ne possèdent aucune autorisation tant qu’ils ne bénéficient pas d’un niveau d’autorisation pour un objet sécurisable spécifique (tel qu’un site, une liste, une bibliothèque, un dossier, un élément ou un document).
À propos des éléments de la sécurité des sites
Quel que soit le type de site que vous créez, la sécurité de votre site inclut les cinq éléments suivants :
Autorisations utilisateur individuelles Autorisations individuelles qui accordent la possibilité d’exécuter des actions spécifiques. Par exemple, l’autorisation Afficher les éléments accorde à l’utilisateur la possibilité d’afficher des éléments dans une liste. Les administrateurs de batterie peuvent contrôler les autorisations qui sont disponibles pour la batterie de serveurs en utilisant la page Autorisations des utilisateurs de l’application Web dans l’Administration centrale. (Pour accéder à cette page, dans la page Gestion des applications, sous Sécurité des applications, cliquez sur Autorisations des utilisateurs de l’application Web.) Pour plus d’informations sur les autorisations disponibles, reportez-vous à la section Autorisations utilisateur et niveaux d'autorisation.
Niveau d’autorisation Jeu prédéfini d’autorisations qui accorde aux utilisateurs la possibilité d’effectuer des actions connexes. Les niveaux d’autorisation par défaut sont : Accès limité, Lecture, Collaboration, Conception et Contrôle total. Par exemple, le niveau d’autorisation Lecture comprend, entre autres, les autorisations Afficher les éléments, Ouvrir les éléments, Afficher les pages et Afficher les versions, qui sont toutes nécessaires pour la lecture des documents, des éléments et des pages d’un site SharePoint. Les autorisations peuvent être incluses dans plusieurs niveaux d’autorisation. Les niveaux d’autorisation peuvent être personnalisés par n’importe quel utilisateur affecté à un niveau d’autorisation qui inclut l’autorisation Gérer les autorisations. Pour plus d’informations sur les niveaux d’autorisation par défaut et sur les autorisations qui y sont incluses, reportez-vous à la section Autorisations utilisateur et niveaux d'autorisation.
Utilisateur Personne possédant un compte d’utilisateur qui peut être authentifié par le biais de la méthode d’authentification utilisée pour le serveur. Vous pouvez ajouter des utilisateurs individuels et attribuer directement un niveau d’autorisation à chacun d’eux ; les utilisateurs n’ont pas besoin de faire partie d’un groupe. Il est recommandé d’affecter les autorisations à des groupes plutôt qu’à des utilisateurs. Étant donné qu’il est inefficace de gérer directement des comptes d’utilisateurs, vous ne devez affecter des autorisations à un utilisateur spécifique qu’à titre exceptionnel. Pour plus d’informations sur les types de compte d’utilisateur, reportez-vous à la section Autorisations utilisateur et niveaux d'autorisation.
Groupe Groupe d’utilisateurs. Il peut s’agir d’un groupe de sécurité Windows (tel que Département_A) que vous ajoutez au site ou d’un groupe SharePoint tel que Propriétaires du site, Membres du site ou Visiteurs du site. Chaque groupe SharePoint reçoit un niveau d’autorisation par défaut, mais le niveau d’autorisation associé à n’importe quel groupe peut être modifié selon vos besoins. Toute personne à laquelle est affecté un niveau d’autorisation qui comprend l’autorisation Créer des groupes (incluse dans le niveau d’autorisation Contrôle total par défaut) peut créer des groupes SharePoint personnalisés.
Objet sécurisable Les utilisateurs ou les groupes reçoivent un niveau d’autorisation pour un objet sécurisable spécifique : site, liste, bibliothèque, dossier, document ou élément. Par défaut, les autorisations associées à une liste, une bibliothèque, un dossier, un document ou un élément sont héritées du site, de la liste ou de la bibliothèque parent. Cependant, toute personne bénéficiant, pour un objet sécurisable particulier, d’un niveau d’autorisation qui inclut l’autorisation Gérer les autorisations peut modifier les autorisations associées à cet objet sécurisable. Par défaut, les autorisations sont initialement contrôlées au niveau du site et toutes les listes et bibliothèques héritent les autorisations du site. Utilisez des autorisations au niveau de la liste, du dossier et de l’élément pour mieux contrôler les utilisateurs autorisés à afficher le contenu du site ou à interagir avec ce contenu. Vous pouvez opter pour l’héritage des autorisations d’une liste parent, de la totalité du site ou d’un site parent à tout moment.
À propos de l’affectation des autorisations
Vous pouvez affecter à un utilisateur ou à un groupe un niveau d’autorisation pour un objet sécurisable spécifique (site, liste ou élément). Des utilisateurs individuels ou des groupes peuvent avoir différents niveaux d’autorisation pour différents objets sécurisables.
| Remarque : |
|---|
Étant donné qu’il est inefficace de gérer directement des comptes d’utilisateurs, il est recommandé d’utiliser des autorisations de groupe autant que possible. En particulier, si vous utilisez des autorisations affinées (voir la section suivante), vous devez utiliser des groupes pour ne pas avoir à effectuer le suivi de comptes d’utilisateurs individuels. Les personnes pouvant intégrer ou quitter les équipes et changer de responsabilité fréquemment, vous ne souhaitez pas être obligé de suivre toutes ces modifications et de mettre à jour en permanence les autorisations associées à des objets sécurisés de manière unique. |
Le diagramme suivant illustre la façon dont les utilisateurs et les groupes reçoivent des niveaux d’autorisation spécifiques pour un objet sécurisable particulier.
.gif "Niveaux d’autorisations spécifiques")
À propos des autorisations affinées et de l’héritage des autorisations
Vous pouvez utiliser les autorisations affinées (autorisations au niveau de la liste, de la bibliothèque, du dossier ou du document) pour contrôler plus précisément les actions que les utilisateurs peuvent effectuer sur votre site. Les objets sécurisables suivants sont disponibles pour les affectations des autorisations :
Site Contrôle l’accès au site dans sa globalité.
Liste ou bibliothèque Contrôle l’accès à une liste ou bibliothèque spécifique.
Dossier Contrôle l’accès aux propriétés d’un dossier (telles que le nom du dossier).
Élément ou document Contrôle l’accès à un élément ou document de liste spécifique.
Héritage des autorisations et autorisations affinées
Par défaut, les autorisations au sein d’un site sont héritées du site. Toutefois, vous pouvez interrompre cet héritage pour n’importe quel objet sécurisable à un niveau inférieur dans la hiérarchie en modifiant les autorisations (créant ainsi une affectation d’autorisation unique) sur cet objet sécurisable. Par exemple, vous pouvez modifier les autorisations pour une bibliothèque de documents, ce qui interrompt l’héritage du site. Toutefois, l’héritage est uniquement interrompu pour l’objet sécurisable pour lequel vous avez affecté des autorisations ; les autres autorisations du site demeurent inchangées. Vous pouvez à tout moment revenir à l’héritage des autorisations de la liste ou du site parents.
Héritage d’autorisations et sous-sites
Les sites Web constituent eux-mêmes des objets sécurisables auxquels des autorisations peuvent être affectées. Vous pouvez configurer des sous-sites de manière à ce qu’ils héritent les autorisations d’un site parent ou créer des autorisations uniques pour un site particulier. L’héritage des autorisations est la façon la plus simple pour gérer un groupe de sites Web. Toutefois, si un sous-site hérite les autorisations de son parent, ce jeu d’autorisations est partagé. Cela signifie que les propriétaires de sous-sites qui héritent les autorisations du site parent peuvent modifier les autorisations du parent. Si vous souhaitez modifier les autorisations pour le sous-site uniquement, vous devez au préalable interrompre l’héritage des autorisations.
Les sous-sites peuvent hériter les autorisations d’un site parent. Vous pouvez interrompre l’héritage des autorisations pour un sous-site en créant des autorisations uniques. Cette opération copie les groupes, les utilisateurs et les niveaux d’autorisation depuis le site parent vers le sous-site, puis interrompt l’héritage. Si vous abandonnez les autorisations uniques au profit d’autorisations héritées, les utilisateurs, les groupes et les niveaux d’autorisation commencent à être hérités et vous perdez les utilisateurs, les groupes ou les niveaux d’autorisation que vous avez définis de manière unique dans le sous-site. Les niveaux d’autorisation peuvent également être hérités (ils le sont par défaut), si bien que le niveau d’autorisation Lecture est le même, quel que soit l’objet auquel il est appliqué. Vous pouvez interrompre cet héritage en modifiant le niveau d’autorisation. Par exemple, peut-être ne souhaitez-vous pas que le niveau d’autorisation Lecture sur un sous-site particulier inclue l’autorisation Créer des alertes).
Choisir les niveaux de sécurité de site à utiliser
Lorsque vous créez votre structure d’autorisations, il est important de trouver un point d’équilibre entre la facilité d’administration, les performances et la nécessité de contrôler des autorisations spécifiques pour des éléments particuliers. Si vous utilisez des autorisations affinées de manière intensive, vous allez consacrer plus de temps à la gestion des autorisations et les utilisateurs peuvent faire face à une baisse des performances lorsqu’ils essaient d’accéder au contenu du site. Comme dans le cas de n’importe quel serveur ou site Web, il est important de suivre le principe des privilèges minimum en matière d’autorisation d’accès au site : les utilisateurs ne doivent bénéficier que des niveaux d’autorisation dont ils ont besoin. Commencez par utiliser les groupes standard (Membres, Visiteurs et Propriétaires) et contrôler les autorisations au niveau du site afin de simplifier l’administration au maximum. Intégrez la plupart des utilisateurs aux groupes Visiteurs ou Membres. Limitez le nombre de personnes dans le groupe Propriétaires aux seuls utilisateurs que vous souhaitez autoriser à modifier la structure du site ou ses paramètres et son apparence. Par défaut, les utilisateurs figurant dans le groupe Membres peuvent collaborer au site, ajouter ou supprimer des éléments ou des documents, mais ils ne peuvent pas modifier la structure du site, ni ses paramètres ou son apparence. Vous pouvez créer des niveaux d’autorisation et des groupes SharePoint supplémentaires si vous devez contrôler davantage les actions que vos utilisateurs peuvent effectuer.
S’il existe des listes, des bibliothèques, des dossiers, des éléments ou des documents particuliers qui contiennent des données sensibles et qui doivent bénéficier d’une sécurisation renforcée, vous pouvez accorder des autorisations à un groupe ou à un utilisateur spécifique. Sachez, toutefois, qu’il est impossible d’afficher toutes les autorisations spécifiques à des listes, bibliothèques, dossiers, éléments ou documents au sein d’un site. Cela signifie qu’il est difficile de déterminer rapidement les personnes qui disposent d’autorisations sur des objets sécurisables spécifiques et de réinitialiser en bloc les autorisations affinées.
Planifier l’héritage des autorisations
Il est plus facile de gérer les autorisations lorsqu’il existe une hiérarchie claire des autorisations et des autorisations héritées. Cela devient plus difficile lorsque des autorisations affinées sont appliquées à certaines listes au sein d’un site et que certains sites disposent de sous-sites auxquels sont associées des autorisations uniques et de sous-sites auxquels sont associées des autorisations héritées. Dans la mesure du possible, réorganisez les sites, les sous-sites, les listes et les bibliothèques afin qu’ils puissent partager la plupart des autorisations. Placez les données sensibles dans leurs propres listes, bibliothèques ou sous-sites.
Par exemple, il est beaucoup plus facile de gérer un site qui bénéficie de l’héritage des autorisations, comme indiqué dans le tableau ci-dessous.
| Objet sécurisable | Description | Autorisations uniques ou héritées |
|---|---|---|
Site_A |
Page d’accueil du groupe |
Uniques |
Site_A/Sous-site_A |
Groupe sensible |
Uniques |
Site_A/Sous-site_A/Liste_A |
Données sensibles |
Uniques |
Site_A/Sous-site_A/Bibliothèque_A |
Documents critiques |
Uniques |
Site_A/Sous-site_B |
Informations de projet partagées relatives au groupe |
Héritées |
Site_A/Sous-site_B/Liste_B |
Données non sensibles |
Héritées |
Site_A/Sous-site_B/Bibliothèque_B |
Documents non critiques |
Héritées |
Comparativement, il n’est pas si facile de gérer un site qui bénéficie de l’héritage des autorisations, comme indiqué dans le tableau ci-dessous.
| Objet sécurisable | Description | Autorisations uniques ou héritées |
|---|---|---|
Site_A |
Page d’accueil du groupe |
Uniques |
Site_A/Sous-site_A |
Groupe sensible |
Uniques |
Site_A/Sous-site_A/Liste_A |
Données non sensibles |
Autorisations uniques, mais les mêmes que celles associées à Site_A |
Site_A/Sous-site_A/Bibliothèque_A |
Documents non critiques, mais existence d’un ou deux documents critiques |
Autorisations héritées et existence d’autorisations uniques au niveau du document |
Site_A/Sous-site_B |
Informations de projet partagées relatives au groupe |
Héritées |
Site_A/Sous-site_B/Liste_B |
Données non sensibles, mais existence d’un ou deux éléments sensibles |
Autorisations héritées et existence d’autorisations uniques au niveau de l’élément |
Site_A/Sous-site_B/Bibliothèque_B |
Documents non critiques, mais existence d’un dossier spécial contenant des documents critiques |
Autorisations héritées et existence d’autorisations uniques au niveau du dossier et du document |
Feuille de calcul
Utilisez la feuille de calcul suivante pour remplir votre hiérarchie de site, puis recenser les autorisations nécessaires à chaque niveau de la hiérarchie et l’héritage d’autorisations éventuel :