La gestion des droits dans SharePoint Online est l’un des piliers de toute stratégie Microsoft 365 réussie. En contrôlant précisément qui peut accéder à quoi et avec quel niveau de permission, vous protégez vos données sensibles tout en facilitant la collaboration. Dans cet article, nous vous présentons le modèle de sécurité SharePoint, des exemples concrets de mise en œuvre et une méthodologie éprouvée pour structurer vos autorisations SharePoint Online efficacement.
Comprendre le modèle de sécurité SharePoint Online
SharePoint Online s’appuie sur un modèle de sécurité hiérarchique où les autorisations SharePoint peuvent être définies à plusieurs niveaux : site, bibliothèque, dossier ou élément individuel. Par défaut, chaque bibliothèque hérite des droits définis au niveau du site parent, ce qui simplifie la gestion globale. Cette logique d’héritage est centrale dans l’architecture des droits d’accès SharePoint.
Les trois groupes SharePoint par défaut
Lors de la création d’un site SharePoint, trois groupes sont automatiquement générés :
- Propriétaires (Owners) : contrôle total sur le site, gestion des paramètres et des permissions
- Membres (Members) : peuvent lire, modifier et contribuer au contenu
- Visiteurs (Visitors) : accès en lecture seule
Microsoft recommande de toujours gérer les accès via ces groupes plutôt qu’en attribuant des permissions directement aux utilisateurs individuels, ce qui simplifie considérablement la maintenance et l’audit des droits.
Les niveaux d’autorisation natifs de SharePoint Online
SharePoint Online propose cinq niveaux d’autorisation prédéfinis, couvrant la grande majorité des besoins métier :
| Niveau d’autorisation | Usage recommandé |
|---|---|
| Contrôle total | Administration complète du site |
| Conception | Modification des pages et de la structure |
| Modification | Ajout, modification et suppression de contenu |
| Contribution | Ajout et modification sans suppression |
| Lecture | Consultation uniquement |
Il est également possible de créer des niveaux d’autorisation personnalisés dans les paramètres avancés du site pour répondre à des besoins spécifiques non couverts par les niveaux natifs.
Gérer les droits au niveau du site SharePoint
La gestion des droits au niveau du site définit le socle d’accès pour l’ensemble des ressources. Pour y accéder, rendez-vous dans Paramètres du site > Autorisations du site. C’est ici que vous attribuez les groupes aux différents niveaux d’autorisation et que vous gérez les accès globaux.
Exemple concret : site Intranet RH
Prenons l’exemple d’un site SharePoint dédié aux ressources humaines. La configuration recommandée est la suivante :
- Propriétaires : équipe IT + responsables RH (gestion et maintenance du site)
- Membres : ensemble du service RH (contribution au contenu)
- Visiteurs : tous les salariés de l’entreprise (lecture des politiques et procédures)
En liant ces groupes SharePoint à des groupes Microsoft 365, la synchronisation des membres est automatique : quand un collaborateur rejoint le service RH dans Entra ID, il obtient automatiquement les bons droits dans SharePoint sans intervention manuelle.
Affiner les permissions sur les bibliothèques de documents
La véritable puissance de SharePoint Online réside dans la gestion granulaire des droits au niveau des bibliothèques. Cette flexibilité permet de répondre à des exigences de confidentialité précises sans multiplier les sites SharePoint.
Briser l’héritage des autorisations SharePoint
Par défaut, une bibliothèque hérite des droits du site parent. Pour définir des permissions spécifiques à une bibliothèque, il faut rompre cet héritage en suivant ces étapes :
- Accédez aux paramètres de la bibliothèque cible
- Cliquez sur Autorisations pour cette bibliothèque
- Sélectionnez Arrêter l’héritage des autorisations
- Confirmez la copie des autorisations actuelles
- Configurez ensuite les groupes et niveaux d’autorisation spécifiques
⚠️ Bonne pratique : Évitez de multiplier les bibliothèques avec des autorisations uniques. Limitez-la aux cas où la confidentialité est réellement requise.
Exemple concret : bibliothèque de contrats sensibles
Dans notre site RH, la bibliothèque Contrats ne doit être accessible qu’aux responsables RH et à la direction. Voici la configuration à appliquer après rupture de l’héritage :
- Supprimer le groupe Visiteurs (l’accès global des salariés est retiré)
- Ajouter un groupe Direction personnalisé avec le niveau Lecture
- Conserver le groupe Membres RH avec le niveau Contribution
Résultat : les salariés non autorisés ne verront même pas cette bibliothèque dans leur navigation SharePoint.
Méthodologie de mise en place des droits SharePoint Online
- Cartographier les besoins : identifiez qui accède à quoi et avec quel niveau. Impliquez les responsables métier dès cette phase de conception.
- Concevoir la structure de groupes : créez des groupes Microsoft 365 alignés sur vos équipes. Évitez les droits attribués directement aux utilisateurs individuels.
- Appliquer le principe du moindre privilège : accordez uniquement les permissions nécessaires. Commencez par le niveau Lecture et augmentez si le besoin est avéré.
- Tester avant de déployer : utilisez des comptes pilotes pour valider les accès. Vérifiez que les utilisateurs voient uniquement ce qu’ils doivent voir.
- Auditer régulièrement : exploitez les rapports d’activité SharePoint et le Centre de conformité Microsoft Purview pour surveiller les accès. Pour des corrections en masse, découvrez comment réinitialiser des droits de bibliothèque via PowerShell.
FAQ – Gestion des droits SharePoint Online
Peut-on définir des droits au niveau d’un dossier dans SharePoint Online ?
Oui, SharePoint Online permet de définir des autorisations uniques au niveau d’un dossier individuel, en suivant le même principe de rupture d’héritage qu’au niveau des bibliothèques. Cette approche est cependant déconseillée pour les environnements à grande échelle car elle complexifie considérablement la gestion et l’audit des droits d’accès SharePoint.
Comment vérifier qui a accès à une ressource SharePoint Online ?
Accédez aux Paramètres du site > Autorisations du site pour voir les groupes et utilisateurs. Utilisez le bouton Vérifier les autorisations pour tester l’accès d’un utilisateur spécifique. Le Centre de conformité Microsoft Purview offre des rapports d’audit détaillés.
Est-il possible de restreindre l’accès à un seul fichier dans une bibliothèque SharePoint ?
Oui, SharePoint Online autorise la gestion des permissions au niveau de l’élément individuel. Utilisez cette fonctionnalité avec prudence : elle est difficile à maintenir à grande échelle et peut générer des comportements inattendus dans les flux Power Automate.
Conclusion
La gestion des droits dans SharePoint Online est un levier essentiel pour sécuriser vos données tout en maintenant une collaboration fluide. En combinant une architecture de groupes Microsoft 365 solide, le principe du moindre privilège et des permissions granulaires sur vos bibliothèques sensibles, vous construisez un environnement sécurisé et ergonomique. Retrouvez nos autres guides sur l’administration SharePoint, notamment notre guide complet de migration SharePoint tenant à tenant, sur Power Platform Addict.