Logo Microsoft Copilot 365  Préparez votre tenant à Copilot : identifiez et éliminez les accès non autorisés aux données

Microsoft 365

01 septembre 2022

Gestion des identités : 5 profils à comprendre dans Microsoft 365

Identité des utilisateurs sur Microsoft 365

Microsoft 365 s’appuie sur Azure Active Directory (Azure AD) pour la gestion des identités utilisateur.
Azure AD constitue ainsi le socle d’identité et pourra s’utiliser comme référentiel d’identité unique.

Les profils d’identités permettent d’attribuer des rôles, des niveaux de privilèges, des droits, en fonction de leur statut interne/externe, et de l’usage qu’ils vont faire des outils.
D’ailleurs, un utilisateur externe peut être invité de différentes manières (Azure AD, partages, groupes).

Il est fondamental de comprendre et de suivre les différents profils d’identité qui existent dans Microsoft 365 pour définir des politiques adaptées et pour assurer une sécurité du tenant, notamment dans le temps.

Découvrez les 5 types d’identité pour les utilisateurs Microsoft 365 avec leurs spécificités :

Les utilisateurs

Les utilisateurs sont généralement les salariés internes à l’organisation ou externes sous contrat de prestation longue durée.

Ils ont accès à toutes les fonctionnalités de collaboration dès lors qu’une licence Office 365 leur est accordée.
Le compte est fourni par l’organisation et c’est celle-ci qui maitrise le cycle de vie de bout en bout.

Les utilisateurs anonymes

Les utilisateurs anonymes sont externes à l’organisation.
C’est pourquoi ils doivent avoir une utilisation plus limitée des outils de collaboration et des accès plus limités aux données. Avec le profil « utilisateur anonyme » ils auront uniquement accès au tenant via des liens de partages anonymes SharePoint, OneDrive ou dans le cadre de réunions Teams (si vous les y autorisez).

En tant qu’utilisateur externe, aucune licence Microsoft n’est requise.

Les utilisateurs fédérés

On retrouve ensuite les utilisateurs fédérés qui sont aussi des externes à l’organisation mais appartenant à une entreprise autorisée par l’organisation pour l’utilisation de Microsoft Teams.
Ils ont accès à des fonctionnalités limitées autour de la communication : chat, audio, vidéo.

Le compte est fourni par l’organisation fédérée, aucune licence n’est requise par contre les utilisateurs devront s’authentifier.

Les utilisateurs Azure AD B2B

Contrairement aux autres profils d’identité, Azure AD BtoB inclut les utilisateurs externes ou invités (guest), utilisant la fonctionnalité de collaboration dans Microsoft Teams.

On différencie deux groupes depuis mars 2022 : Collaboration et direct. 

Utilisateurs Azure AD B2B Collaboration (invités)

Ces utilisateurs sont externes à l’organisation mais ont un domaine autorisé sur Azure AD.
Ils ont accès aux fonctionnalités de collaboration dans l’espace invité Teams/SharePoint après l’ajout par un propriétaire d’une équipe.

Pour ces utilisateurs, une licence Azure AD P1/P2 devra être accordée. Le cycle de vie n’est pas à gérer mais il faudra s’assurer que leur présence et leurs droits sont légitimes.

Cela peut être à partir d’un compte personnel ou un compte fourni par l’organisation.
Cette catégorie vise à remplacer les invités SharePoint.

Utilisateurs Azure AD B2B Direct

Ce sont également des externes à l’organisation mais à partir d’un tenant Azure autorisé sur Azure AD. Les fonctionnalités de collaboration leurs sont accessibles mais uniquement dans les canaux partagés.
Par défaut, ces identités sont fermées, un administrateur doit ouvrir les droits au niveau du tenant Azure AD pour qu’elles soient accessibles.
Aucune licence n’est requise et le compte est fourni par l’organisation du tenant fédéré.

 

Pour résumer, les identités Azure AD B2B de Microsoft prévoit des utilisateurs de collaboration qui sont les invités classiques où vous devez gérer le cycle de vie. Ensuite vous avez les invités directs - partenaires privilégié où vous n'avez pas la main sur le cycle de vie, mais qui peuvent être ajoutés dans vos canaux partagés.

Et aujourd'hui, cette notion de Azure AD BtoB direct est restreinte aux canaux, même si Microsoft prévoit de l'étendre sur d'autres services plus tard.

Vers une meilleure gestion des invités externes

Après avoir bien pris connaissance des 5 profils d’identités dans Microsoft 365, il faudra réfléchir aux politiques de sécurité souhaitées avec notamment l’implémentation d’un cycle de vie des utilisateurs invités.
Il est nécessaire de s’assurer que l’utilisateur invité respecte les politiques de sécurité de l’entreprise. Pour cela, les entreprises peuvent mettre en place des stratégies d’accès conditionnel.
Enfin, pour supprimer un utilisateur, Microsoft ne propose rien par défaut, il faudra alors définir et mettre en place des processus manuelles ou automatiques.

Envie d'en savoir plus sur les canaux partagés Microsoft Teams ?

 

Lire l'article

Nos articles

Ces articles peuvent
vous intéresser

Le versioning de fichiers sur Microsoft 365
Microsoft 365
stockage

La gestion des versions sur Microsoft 365

Lire l'article
Supervision des groupes et des liens de partages dans Microsoft 365
Microsoft 365
Sécurité / IT

Supervision des groupes et des liens de partages dans Microsoft 365

Lire l'article
Microsoft 365
Actualité IDECSI
Sécurité / IT
stockage

Sécurité et Gouvernance des données à l'ère de l’IA & Numérique Responsable

Lire l'article
Sécurité OneDrive : 3 points d'attention pour mieux maîtriser les données
Microsoft 365
Sécurité / IT

Sécurité OneDrive : 3 points d'attention pour mieux maîtriser les données

Lire l'article

Protection des données, discutons de votre projet ?

 

Contactez-nous
video background