Ajouter un invité SharePoint : sécurisez un accès strictement limité aux fichiers et dossiers

Vous souhaitez partager un fichier ou un dossier précis hébergé dans SharePoint avec un partenaire externe sans dévoiler le reste de votre espace de travail ? Voici la procédure complète pour offrir un accès minimal, sécurisé et réversible.

Sommaire

Contexte et objectifs

Dans un environnement Microsoft 365, la collaboration externe repose sur l’accueil d’invités « Azure AD B2B ». La difficulté consiste à accorder un accès chirurgical : l’invité doit voir exactement l’élément partagé — et rien d’autre. Les étapes ci‑dessous décrivent la configuration optimale, les pièges à éviter et les bonnes pratiques de gouvernance.

Prérequis organisationnels

  • Licence : l’invitation B2B s’appuie sur Azure AD (inclus dans Microsoft 365 Business / Enterprise).
  • Rôle requis : Propriétaire du site ou administrateur SharePoint.
  • Stratégies de partage : le partage externe doit être activé au niveau du tenant et du site.
  • Accès conditionnel (facultatif) : si votre tenant impose des restrictions (MFA, pays autorisés, etc.), vérifiez que le futur invité entre dans le périmètre autorisé.

Étapes pas à pas

Vérifier le niveau de partage du site

  1. Ouvrez le Centre d’administration SharePoint ▶️ Sites actifs.
  2. Sélectionnez le site concerné ▶️ Politiques > Partage.
  3. Positionnez le curseur sur Invités nouveaux et existants (recommandé) ou, si vos besoins sont plus stricts, Invités existants pour n’autoriser que les invités déjà enregistrés.

Préparer l’élément à partager

Pour limiter les fuites, placez tous les fichiers destinés à l’invité dans un dossier dédié ; vous ne partagerez alors qu’un seul objet.

Partager l’élément ciblé

  1. Dans la bibliothèque, cochez la case à gauche du fichier ou dossier.
  2. Cliquez sur Partager.
  3. Dans la fenêtre Envoyer le lien, cliquez sur le type de lien affiché sous le champ destinataire pour ouvrir les Paramètres du lien.

Choisir le bon type de lien

OptionCas d’usageCaractéristiques clé
Personnes spécifiquesInvité unique ou groupe d’invités connusValidation par e‑mail individuel, empêche la transmission du lien
Personnes de l’organisationPartage interne étenduRefusé aux comptes externes
Toute personne disposant du lienContenu à faible sensibilité, durée courteLien anonyme ; activer un mot de passe et une expiration courte

Paramétrer les options de sécurité

  • Peut afficher / Peut modifier : octroyez Peut modifier uniquement si l’invité doit téléverser ou réécrire.
  • Bloquer le téléchargement : idéal pour un aperçu rapide sans copie locale.
  • Date d’expiration : impose un renouvellement — par exemple 30 jours.
  • Mot de passe : couche supplémentaire pour les liens anonymes.
  • Mode révision uniquement : pour les documents Word nécessitant commentaires mais pas d’édition.

Inviter l’utilisateur externe

  1. Saisissez l’adresse e‑mail de l’invité dans Nom, groupe ou e‑mail.
  2. Ajoutez un message contextualisant le partage ; préférez un ton clair (« Voici le contrat en version finale »).
  3. Activez (ou non) l’option Ouvrir dans Outlook si vous souhaitez personnaliser davantage l’e‑mail.
  4. Cliquez sur Envoyer.

L’invité reçoit un e‑mail automatique. Au premier clic, il doit :

  1. S’authentifier via un compte Microsoft ou vérifier son adresse via un code à usage unique.
  2. Accepter les conditions d’utilisation du tenant (si configurées).

Une fois ces étapes franchies, l’invité apparaît dans Azure AD comme Utilisateur de type Invité.

Gérer les accès dans le temps

Pour afficher ou révoquer les autorisations :

  1. Sélectionnez le fichier ou le dossier.
  2. Cliquez sur … > Gérer l’accès.
  3. Dans le panneau latéral, vous pouvez :
    • Retirer le lien partagé (Supprimer le lien).
    • Changer le niveau de permission d’un invité.
    • Voir qui a ouvert l’élément et quand (via Avancé → Pages d’audit).

Approche gouvernance : aller plus loin

Centraliser les droits avec un groupe Azure AD

Plutôt que de partager directement avec chaque invité, créez un groupe Invités‑Projet‑X, partagez le dossier avec ce groupe puis ajoutez/supprimez les invités dans le groupe. Vous simplifiez ainsi la révocation et le suivi.

Automatiser l’expiration des liens

  • Centre d’administration ▶️ Paramètres ▶️ Partage ▶️ Expiration des liens de partage.
  • Définissez une valeur globale (ex. 30 jours) qui s’applique par défaut à tous les liens « Personnes spécifiques » et « Toute personne… ».

Surveillance et conformité

OutilObjectifActions recommandées
Centre de conformité Microsoft 365Audit détailléFiltrez sur FileAccessed (voir l’accès invité) et SharingSet (création de liens)
Règles de gouvernance de l’accès invitéExpiration automatique des comptesDéfinissez une règle qui supprime les invités inactifs depuis x jours
Microsoft Defender pour Cloud AppsDétection d’anomaliesRecevez des alertes si un invité télécharge un volume inhabituel de données

Questions fréquentes (FAQ)

L’invité voit le message « Vous n’avez pas accès à ce site ». Pourquoi ? Vérifiez que le lien pointe vers l’objet exact (et non vers la bibliothèque). Confirmez aussi que l’adresse e‑mail entrée correspond à celle utilisée lors de la connexion. Puis‑je empêcher la copie d’un fichier Word partagé ? Activez Bloquer le téléchargement et, si vous disposez de Microsoft Purview Information Protection, appliquez un label Ne pas copier. Le lien a expiré mais le projet continue. Que faire ? Créez un nouveau lien ou prolongez la date d’expiration depuis Gérer l’accès. Comment savoir si un invité a transféré le lien ? Avec Personnes spécifiques, le transfert ne fonctionne pas : l’invité devra explicitement demander l’ajout d’un nouveau destinataire, que vous validerez. Vérifiez aussi les logs d’activité dans le Centre de conformité.

Troubleshooting avancé

  • Erreur 403 – User not authorized
    La cause la plus fréquente est un cache d’authentification obsolète. Demandez à l’invité d’ouvrir une fenêtre de navigation privée ou de supprimer les cookies liés à Microsoft.
  • Impossible de partager : option grisée
    Soit vous n’êtes pas propriétaire de l’élément, soit la stratégie de partage du site est plus restrictive que celle du tenant. Escaladez vers l’administrateur.
  • Invitation non reçue
    Vérifiez le dossier Courrier indésirable de l’invité et assurez‑vous que microsoft.com est autorisé dans sa passerelle mail.

Récapitulatif des bonnes pratiques

Bonne pratiquePourquoi c’est importantMise en œuvre
Groupe dédié aux invitésRévocation centraliséeAzure AD ▶️ Groupes ▶️ Nouveau groupe ▶️ Type = Sécurité
Expiration automatique des liensRéduit la surface d’attaqueCentre d’administration ▶️ Paramètres globaux ▶️ Partage
Audit régulier des accèsConformité ISO 27001 / RGPDExporter les journaux d’activité chaque trimestre
Sensibilisation des propriétairesLimiter les partages excessifsFormation interne + guide de gouvernance

Conclusion

Partager un élément SharePoint avec un invité sans l’exposer au reste du site est parfaitement réalisable, à condition de respecter un double niveau de contrôle : organisationnel (paramètres de partage, accès conditionnel, gouvernance) et opérationnel (bon type de lien, durée limitée, suivi d’audit). L’application rigoureuse de ces étapes protège vos données, tout en offrant une expérience fluide à vos partenaires externes.

Sommaire