Il est souvent nécessaire de partager des documents sur lesquels vous travaillez, avec vos collègues de votre entreprise, ou avec des personnes externes à votre société. La fonctionnalité Microsoft de « Partage » de document (“Sharing Links” en anglais), permet en quelques clics de générer un lien de partage ou d’envoyer une invitation par mail intégrant un lien vers votre document. Pour autant cette action anodine n’est pas sans conséquence, regardons cela en détail !
De quoi parle t’on ?
La fonctionnalité de partage de document est assez incontournable quand vous voulez partager des documents depuis votre OneDrive. Dans l’usage elle est souvent utilisée également dans des sites SharePoint de contenus, ou dans Microsot Teams, et dans tous les cas, votre partage va venir potentiellement modifier les autorisations de vos documents sans que ce soit forcément ce que vous vouliez faire. Certains s’en servent parfois pour envoyer un simple lien vers le document sans forcément penser à toute la mécanique de droits qui va découler de la génération du lien selon le type de lien et les personnes sélectionnées, et d’autres ne font pas attention au type de lien qui sera créé en laissant le type par défaut.
Lors d’une demande de partage, vous pouvez générer 4 types de liens :
Suivant le type de lien que vous allez choisir d’utiliser, les permissions accordées initialement à vos documents peuvent être modifiées et c’est la que très vite l’administrateur de votre site s’arrachera les cheveux à comprendre qui peut faire quoi, et le schéma de permissions du site s’éloignera petit à petit de la structure originelle prévue lors de la création du site.
Pour rappel, avant d’étudier les types de liens de partage que l’on peut créer, revenons sur le fonctionnement même des permissions sur un site SharePoint.
Les permissions SharePoint Online
Dans SharePoint, à la création d’un site, vous définissez 3 groupes qui auront chacun leur niveau de permissions sur le site. Ce sont les groupes des Visiteurs, Membres et Propriétaires. Ces permissions s’appliquent à tout élément du site, par héritage du site père, c’est à dire aux sous-sites, aux listes et bibliothèques de documents, et ensuite aux répertoires et éléments ou documents.
A tout niveau de cet arbre d’objets, vous pouvez casser l’héritage des droits pour personnaliser les permissions et rajouter par exemple un groupe de personnes « Collaborateurs de TOURS » qui auraient spécifiquement le droit de modifier les documents d’un répertoire « TOURS » et non le groupe des membres par défaut. On retrouve des découpages assez poussés souvent dans un site qui sert de Gestion Documentaire. Votre administrateur aura bien réfléchi à la structure de bibliothèque de documents et de dossier et aura personnalisé les droits de chacun selon les usages voulus. Mais c’était sans compter sur les liens de partage….
Les différents types de liens de partage
Si nous reprenons maintenant les 4 types de lien de partage un par un, nous avons :
- « Tout le monde » : c’est un lien anonyme qui permettra à toute personne ayant ce lien d’accéder à votre document. La plupart du temps ce type de lien est désactivé dans la ferme car les bonnes pratiques, en termes de sécurité, le conseillent pour éviter de ne plus maitriser le « qui peut voir quoi » si le lien est transféré à d’autres personnes. Vous pouvez spécifier une date d’expiration du lien, la faculté de télécharger le document ou non, mettre un mot de passe et un niveau de permission entre « consultation », « modification » et « révision ». Ce niveau est sélectionnable si le partage externe à « Tout le monde » est autorisé sur le site.
- « Personnes dans votre entreprise » (sélectionné par défaut sur une ferme non paramétrée): vous pouvez spécifier les personnes de votre entreprise qui auront accès au document, avec le niveau de permissions entre « consultation », « modification » (par défaut sur la ferme) et « révision » et la possibilité de le télécharger ou non
- « Personnes ayant déjà l’accès » : ce type de lien ne modifie pas les autorisations sur le document. Cela revient à avoir un simple raccourci vers le document et cela devrait permettre de répondre souvent aux besoins de certains utilisateurs qui vont choisir un autre type de lien plus intrusif dans les permissions.
- « Personnes de votre choix » : Vous allez pouvoir préciser les adresses mails des personnes qui recevront le lien pour lire ou modifier le document, que ce soient des utilisateurs de l’entreprise ou des externes, pour peu que votre site permette le partage externe à des invités.
Les conséquences
L’utilisation d’un des trois types de lien « Tout le monde », « Personnes dans votre organisation » ou « Personnes de votre choix » vont avoir pour effet de casser l’héritage des permissions sur le document que vous partagez, et venir rajouter les autorisations pour les personnes spécifiées ou le lien à proprement dit pour « Tout le monde ». De ce fait vous allez, petit à petit, au fur et à mesure des partages, venir construire un mille feuilles de permissions qui vont devenir ingérable à terme et permettre à des personnes d’accéder à des contenus qu’elles ne sont pas censées voir, ou de modifier des documents qu’elles ne sont censées que consulter.
De ce fait, vous allez devoir faire face à de potentielles fuites de données, des modifications de document non voulues et des pertes de données.
Comment vérifier les droits de mon site
Si vous êtes Administrateur de site et voulez voir l’étendue du mille-feuille des permissions, il existe une fonctionnalité méconnue parce que cachée tout en bas de la page de l’utilisation du site (Contenu du site / Utilisation du site).
C’est celle du rapport de partage avec les utilisateurs externes. Bien que son nom la restreigne aux utilisateurs externes, le rapport généré vous fournira toutes les autorisations positionnées sur tout le contenu de votre site et vous pourrez ainsi suivre les autorisations uniques qui existent, avec le niveau de permissions associé et pour quelles personnes, que ce soient des partages nominatifs, à des groupes, ou via des liens.
Vous devrez choisir un répertoire dans une bibliothèque de documents de votre site pour héberger le rapport au format csv :
Après quelques minutes de travail, vous le verrez apparaître dans votre répertoire :
Vous retrouvez dans le CSV l’arborescence du site, de la bibliothèque de documents, du répertoire « TOURS » et le fichier « planning.xslx » avec pour chacun les permissions associées. C’est très pratique et cela évite d’avoir recours à des outils tiers payants pour auditer les droits de votre site.
Comment vérifier les partages effectués dans ma ferme
Si vous êtes Administrateur Général ou de la Sécurité, pour pouvoir suivre l’utilisation de ces liens de partage, vous pouvez utiliser le Centre de sécurité et les évènements d’audit :
Les évènements de création de lien de partage sont enregistrés. Pour en savoir plus je vous invite à lire l’article suivant qui décrit les principaux évènements : https://o365reports.com/2023/04/20/best-practices-of-sharing-links-in-sharepoint-online/
Si vous souhaitez au niveau de la ferme visualiser les partages externes qui ont pu être fait sur l’ensemble des sites, vous avez un rapport dédié dans l’administration SharePoint dans la section « Rapports » :
Vous pourrez demander un rapport sur l’utilisation des liens de partage, qu’ils soient anonymes (« Tout le monde »), les liens « Personnes de votre organisation » ou les liens « Personnes spécifiques » :
Comment configurer les possibilités de partages dans ma ferme
Si vous êtes administrateur SharePoint, vous pouvez spécifier dans le centre d’administration SharePoint (rubrique Stratégies / Partage) le type de lien par défaut que vous souhaitez afficher et le niveau de droits :
Cette page vous permettra de préciser le niveau de partage xterne que vous souhaitez autoriser pour SharePoint et OneDrive, ainsi que le type de lien utilisé par défaut, la permission par défaut et forcer une période d’expiration.
J’espère que ces explications vous auront permis de mieux appréhender le fonctionnement des liens de partage et leurs impacts, ainsi que les façons de les superviser !
Bruno ONDET