Sécurité et authentification mobile dans SharePoint 2013
**Sapplique à :**SharePoint Foundation 2013, SharePoint Server 2013
**Dernière rubrique modifiée :**2017-07-20
Résumé : Obtenir des informations aider à sécuriser une infrastructure mobile SharePoint et en savoir plus sur les différents types d’authentification pris en charge dans SharePoint Server 2013.
Cet article fournit des conseils sur la sécurité et de recommandations afin de garantir que l’accès à des données spécifiques dans SharePoint et de SharePoint Server 2013 n’est pas compromise sur un périphérique mobile. Cet article décrit également les types d’authentification pris en charge pour sélectionner les unités et les caractéristiques d’authentification pour l’application de Newsfeed de SharePoint.
Contenu de cet article :
Sécurité des appareils mobiles
Authentification pour appareils mobiles
Authentication for the SharePoint Newsfeed App
Sécurité des appareils mobiles
Cette section fournit des recommandations de sécurité pour l’utilisation d’appareils extérieurs à votre réseau d’entreprise. Un appareil perdu ou volé peut être catastrophique pour une organisation, à plusieurs niveaux. Par conséquent, des mesures doivent être mises en place pour prévenir les menaces à l’intégrité du système.
Parmi les considérations de sécurité générales, notons celles-ci :
Les appareils mobiles peuvent contenir des données ou des documents sensibles. Étant donné que les appareils mobiles peuvent être perdus ou volés, il est recommandé de définir des stratégies autour des appareils mobiles afin de protéger les données et les documents sensibles. Cela peut inclure la sécurisation de l’appareil mobile à l’aide d’un code PIN ou d’un verrou et l’effacement à distance des données sur l’appareil mobile. Les programmes et fonctionnalités disponibles varient d’un appareil mobile à l’autre. Pour plus d’informations sur une méthode d’implémentation possible de ces stratégies dans votre organisation, voir Exchange ActiveSync plus loin dans cet article.
Vous pouvez indiquer aux utilisateurs les précautions qu’ils peuvent prendre pour protéger leurs informations d’identification utilisateur. Ils peuvent, par exemple, se déconnecter des sites lorsqu’ils ont fini de travailler, n’activer aucune option qui les maintient connectés ou qui mémorise leur mot de passe et supprimer fréquemment les cookies dans le navigateur mobile. Cela permet d’éviter que d’autres personnes utilisent leurs informations d’identification utilisateur pour se connecter à un site SharePoint si leur appareil mobile est perdu ou volé.
Nous recommandons d’activer SSL pour une communication sécurisée entre les navigateurs mobiles et l’ordinateur qui est en cours d’exécution SharePoint Server 2013. Pour plus d’informations sur la façon d’utiliser un serveur proxy inverse, comme Forefront Unified Access Gateway (UAG), pour une communication sécurisée, consultez Forefront Unified Access Gateway (UAG) dans la bibliothèque technique Forefront.
Exchange ActiveSync
Microsoft Exchange ActiveSync est un protocole de communication qui permet l’accès mobile, sur l’air, de messages électroniques, des contacts, des tâches et des données de planification. Exchange ActiveSync est disponible sur Windows Phone et les téléphones de tiers et les tablettes multimédias qui sont activés pour Exchange ActiveSync, tels que l’iPhone Apple. Un des avantages de l’implémentation d’Exchange ActiveSync dans votre organisation est sécurité côté périphérique et l’administration par le biais de l’application des stratégies. Si SharePoint Server 2013 est déployé dans une topologie extranet, les périphériques mobiles accéder à l’ordinateur qui est en cours d’exécution SharePoint Server 2013 via une URL accessible au public. Si l’appareil mobile doit devenir perdu ou volé, il est nécessaire pour s’assurer que les données de SharePoint ne sont pas compromises. Par exemple, à l’aide d’Exchange ActiveSync, vous pouvez effacer le contenu des données du périphérique à distance, telles que les configurations de SharePoint, ou appliquer des mots de passe complexes à l’écran de verrouillage afin d’empêcher tout accès non autorisé.
Le tableau suivant liste une sélection de fonctions Exchange ActiveSync et de stratégies que vous pouvez appliquer à certains appareils.
Tableau : stratégies Exchange ActiveSync pour appareils mobiles
| Stratégie Exchange ActiveSync | Description |
|---|---|
Réinitialisation à distance (il s’agit d’une fonction, pas d’une stratégie Exchange ActiveSync) |
En cas de perte d’un téléphone mobile, vol ou de compromission, vous pouvez émettre une commande d’effacement à distance à partir de l’ordinateur Exchange ou à partir de n’importe quel navigateur web à l’aide d’Outlook Web App. Cette commande restaure le périphérique par défaut. Important Après une réinitialisation à distance d’un appareil mobile, la récupération des données est très difficile. Toutefois, aucun processus de suppression des données ne laisse un appareil aussi vide de données résiduelles qu’à son état neuf. La récupération de données sur un appareil reste possible à l’aide d’outils sophistiqués. |
Imposition d’un mot de passe sur l’appareil (DevicePasswordEnabled) |
Ce paramètre active le mot de passe du téléphone mobile. |
Longueur minimale du mot de passe (MinDevicePasswordLength) |
Cette option spécifie la longueur du mot de passe de l’appareil mobile. La longueur par défaut est de 4 caractères, mais peut en accepter 18. |
Mot de passe alphanumérique requis (AlphanumericDevicePasswordRequired) |
Ce paramètre impose l’utilisation d’un mot de passe contenant des caractères numériques et non-numériques. |
Autoriser les mots de passe simples (AllowSimpleDevicePassword) |
Ce paramètre active ou désactive la capacité d’utiliser un mot de passe simple tel que 1234. |
Verrou de durée d’inactivité maximale (MaxInactivityTimeDeviceLock) |
Cette option détermine combien de temps le téléphone mobile doit rester inactif avant que l’utilisateur doive refournir son mot de passe pour déverrouiller le téléphone mobile. |
Important
La sélection de stratégies Exchange ActiveSync pouvant être utilisées peut varier selon les appareils. Pour plus d’informations sur les stratégies qui sont prises en charge sur une plateforme spécifique, telle que Windows Phone et Apple iPhone, voir Présentation des stratégies de boîte aux lettres Exchange ActiveSync.
Détection d’un appareil perdu
En cas de perte ou de vol d’un appareil, il peut être utile de trouver l’emplacement de ce périphérique, et de pouvoir effacer tout contenu de données si cela est possible. Il existe plusieurs services et solutions de tiers qui fournissent cette fonctionnalité. Citons par exemple le service Localiser mon téléphone de Windows Phone qui vous aide à retrouver votre appareil mobile en le localisant, ou en empêchant qu’un de l’utiliser sans votre consentement.
La fonctionnalité que ce service peut fournir inclut ce qui suit :
Mapper la position de votre appareil mobile.
Faire sonner votre appareil mobile.
Verrouiller votre appareil mobile et afficher un message.
Effacer les données de votre appareil mobile.
Notes
Pour en savoir plus sur le service Localiser mon téléphone de Windows Phone, voir Recherche d’un téléphone égaré.
Authentification pour appareils mobiles
SharePoint Server 2013 prend en charge plusieurs méthodes d’authentification et les modes d’authentification. Pas tous les navigateurs et périphériques mobiles fonctionnent avec toutes les méthodes d’authentification disponibles. Lors de la planification de l’accès aux périphériques mobiles, vous devez effectuer les opérations suivantes :
Déterminez les appareils mobiles que vous devez prendre en charge. Ensuite, étudiez les méthodes d’authentification prises en charge par les appareils mobiles. Ces informations varient d’un constructeur à l’autre.
Déterminez les sites à rendre accessibles aux utilisateurs d’appareils mobiles.
Déterminez si vous souhaitez que les sites SharePoint soient accessibles aux appareils mobiles lorsque ceux-ci sont utilisés à l’extérieur du pare-feu d’entreprise. Si tel est votre souhait, la méthode que vous utilisez pour activer l’accès externe peut également avoir une incidence sur l’authentification des appareils mobiles.
Les tableaux suivants détaillent les types d’authentification pris en charge pour les navigateurs, OneDrive pour les entreprises et l’expérience Office pivot Windows Phone dans SharePoint Server 2013. Pour le ci-dessous, OrgID fait référence à l’ID Microsoft Online Services, le fournisseur d’identité pour Office 365. En outre, MSOFBA fait référence à Office Forms l’authentification Microsoft.
Tableau : prise en charge de l’authentification mobile pour les navigateurs SharePoint
| Infrastructure SharePoint | Appareils mobiles |
|---|---|
Type d’authentification |
Protocole d’authentification |
Authentification Windows |
NTLM |
Authentification de base |
Active Directory |
Authentification basée sur les formulaires (FBA) |
FBA |
FBA |
OrgID |
SAML (basée sur les jetons) |
SAML |
Tableau : Types d’authentification pris en charge pour l’application OneDrive Entreprise
| Type d’authentification | Description | Pris en charge | Type d’administrateur requis pour la configuration |
|---|---|---|---|
Org-ID |
Organisations avec un client Office 365 ou SharePoint Online sans fédération. |
Oui |
Administrateur global |
Fédération Org-ID et ADFS |
Organisations disposant d’un client hybride Office 365 ou SharePoint Online avec des utilisateurs fédérés à partir d’un annuaire local. |
Oui |
Administrateur global + administrateur réseau local + administrateur SharePoint |
Authentification Windows (NTLM) |
Organisations avec un environnement SharePoint configuré pour autoriser l’authentification Windows basée sur les revendications NTLM. |
Oui |
Administrateur SharePoint |
Authentification basée sur les formulaires (FBA) |
Organisations avec un environnement SharePoint configuré pour autoriser l’authentification basée sur les formulaires ou toute autre authentification basée sur les revendications compatible via un contrôle web standard. |
Oui |
Administrateur SharePoint |
Fournisseurs d’identité non ADFS qualifiés |
Organisations avec un environnement Office 365 ou SharePoint Online configuré pour autoriser une connexion d’utilisateur fédérée avec un fournisseur d’identité qualifié pour les clients riches dans le cadre du programme d’identité d’Office 365. |
Oui |
Administrateur SharePoint + administrateur réseau local ou administrateur global (dans certaines organisations, l’administrateur global n’est pas facultatif, mais obligatoire) |
Tous les autres fournisseurs d’identité non ADFS |
Organisations avec un environnement SharePoint configuré pour autoriser un fournisseur d’identité non ADFS. |
Non |
Administrateur SharePoint + administrateur réseau local |
Authentification Kerberos |
Organisations avec un environnement SharePoint configuré pour prendre en charge l’authentification Kerberos. |
Non |
Administrateur SharePoint + administrateur réseau local |
Authentification de base |
Organisations avec un environnement SharePoint configuré pour prendre en charge l’authentification de base. |
Non |
Administrateur SharePoint + administrateur réseau local |
Notes
Si vous êtes un utilisateur disposant de plusieurs clients Office 365, vous pouvez vous connecter à partir de l’application OneDrive Entreprise dans n’importe quel environnement réseau avec données cellulaires et Wi-Fi. Si vous n’utilisez pas Office 365 avec plusieurs clients, vous pouvez vous connecter uniquement via le réseau Wi-Fi sur site de votre organisation. Contactez l’administrateur SharePoint en cas de doute sur le cas de figure qui vous concerne.
Tableau : Matrice de prise en charge de l’authentification mobile pour le hub Office
| Infrastructure SharePoint | Côté client | Appareils mobiles |
|---|---|---|
Type d’authentification |
Protocole d’authentification |
Fournisseur d’ID |
Authentification Windows |
NTLM |
Active Directory |
Authentification de base |
Active Directory |
Sur site, extranet |
Authentification basée sur les formulaires (FBA) |
FBA |
Active Directory, LDAP, SQL |
FBA |
OrgID |
SharePoint Online, scénarios hybrides |
FBA |
OrgID |
SharePoint Online, scénarios hybrides |
SAML (basée sur les jetons) |
SAML |
Fournisseur d’identité compatible WS-Federation 1.1 |
SAML |
Fournisseur d’identité compatible WS-Federation 1.1 |
Sur site, SharePoint Online, scénarios hybrides |
Notes
Pour que les appareils mobiles communiquent avec des serveurs SharePoint, Internet Protocol Security (IPSec) doit être désactivé sur les serveurs. La raison est que les appareils mobiles ne sont pas joints par domaine.
Authentification pour l’application SharePoint Newsfeed
Cette section fournit des instructions d’authentification et décrit les éléments à prendre en compte pour l’application SharePoint Newsfeed. Elle inclut des informations associées aux déploiements sur site et à l’utilisation de SharePoint Online.
Prise en charge de l’authentification pour l’application SharePoint Newsfeed
Le tableau suivant détaille les types d’authentification pris en charge pour l’application d’échange de News de SharePoint dans SharePoint Server 2013. Pour le ci-dessous, OrgID fait référence à l’ID Microsoft Online Services, le fournisseur d’identité pour Office 365. En outre, MSOFBA fait référence à Office Forms l’authentification Microsoft.
Tableau : Matrice de prise en charge de l’authentification mobile pour l’application SharePoint Newsfeed
| Infrastructure SharePoint | Côté client | Appareils mobiles |
|---|---|---|
Type d’authentification |
Protocole d’authentification |
Fournisseur d’ID |
Authentification Windows |
NTLM |
Active Directory |
Authentification de base |
Active Directory |
Sur site, extranet |
Authentification basée sur les formulaires (FBA) |
FBA |
Active Directory, LDAP, SQL |
FBA |
OrgID |
SharePoint Online, scénarios hybrides |
FBA |
OrgID |
SharePoint Online, scénarios hybrides |
SAML (basée sur les jetons) |
SAML |
Fournisseur d’identité compatible WS-Federation 1.1 |
SAML |
Fournisseur d’identité compatible WS-Federation 1.1 |
Sur site, SharePoint Online, scénarios hybrides |
Important
Pour les scénarios fédérés dans SharePoint Online, seuls les services ADFS (Active Directory Federation Services) 2.0 sont pris en charge. Pendant le processus de configuration, l’URI d’authentification de fédération passif : urn:oasis:names:tc:SAML:2.0:ac:classes:Password doit être pris en charge.
Flux de travail d’authentification
L’application SharePoint Newsfeed est prise en charge pour utilisation sur site et sur SharePoint Online. Chaque option peut présenter des différences avec le flux de travail d’authentification de l’utilisateur final. Ce tableau fournit des exemples d’expériences d’authentification pour chaque type d’implémentation.
| Déploiement | Flux de travail | Détails |
|---|---|---|
Sur site |
.jpg "SPNewsfeed On-premises") |
Types d’authentification pris en charge
|
SharePoint Online |
.jpg "SPNewsfeed SPO") |
Types d’authentification pris en charge
|
Pour plus d’informations sur le déploiement de l’application SharePoint Newsfeed sur votre réseau, notamment sur la configuration de l’accès à travers le pare-feu, voir Configurer l’accès externe pour les appareils mobiles dans SharePoint 2013.
See also
Vue d’ensemble des appareils mobiles et de SharePoint Server 2013