Comment offrir un accès distant aux fichiers d’entreprise, sur site et hors site, sans imposer un VPN contraignant ? Découvrez trois architectures Microsoft éprouvées, des plans d’implémentation concrets, des check‑lists sécurité et des pièges à éviter.
Accès distant aux fichiers d’entreprise (sur site & hors site)
Vue d’ensemble de la question
Objectif : mettre en place un serveur pour partager des fichiers en local et à distance, avec l’option la plus simple pour les employés. Des licences Microsoft existent déjà. Le VPN classique est jugé trop contraignant et difficile à supporter au quotidien.
Réponse & solutions (synthèse)
Voici trois approches Microsoft, classées du plus simple pour l’utilisateur au plus proche du serveur de fichiers historique.
Option cloud‑first (recommandée si vous avez Microsoft 365)
Basculer les partages vers SharePoint Online / OneDrive Entreprise et accéder aux fichiers via le client OneDrive (avec Files On‑Demand) ou un navigateur.
- Pour les utilisateurs : pas de VPN, ouverture des fichiers comme s’ils étaient locaux, coédition Office, mode hors‑ligne avec synchronisation automatique.
- À prévoir : gouvernance (sites, bibliothèques, droits), sauvegarde/versions, prévention des fuites (DLP), MFA, Accès conditionnel, formation express.
- Quand l’adopter : si vous pouvez migrer la majorité des dossiers bureautiques/collaboratifs vers SharePoint/OneDrive.
Option sans VPN via bureau ou application distante
Publier Services Bureau à Distance (RDS) avec Passerelle RDS sur HTTPS (443) : les employés se connectent via un portail web ou le client Remote Desktop et travaillent “à l’intérieur” du réseau.
- Pour les utilisateurs : URL unique, authentification (idéalement MFA), aucune configuration VPN.
- À prévoir : RDS CALs par utilisateur/appareil, certificat TLS public, règles NPS/CAP/RAP, durcissement, supervision.
- Quand l’adopter : si vous gardez un serveur de fichiers SMB sur site et/ou avez des applications qui exigent un partage interne.
Option VPN géré pour conserver SMB
Mettre un VPN Always On (ou par application) géré, uniquement si des applications exigent l’accès réseau direct aux partages.
- Pour les utilisateurs : connexion transparente si bien gérée, mais dépendances poste‑réseau plus nombreuses.
- À prévoir : supervision, split tunneling, certificats, MFA, MDM/Intune, procédures de secours.
- Quand l’adopter : si les deux options précédentes ne couvrent pas tous les usages.
Option hybride utile
Azure File Sync : garder le serveur de fichiers local pour les sites, synchronisé dans Azure Files (sauvegarde/DR, tiering). L’accès externe direct à SMB ne doit pas être exposé à Internet : passer par RDS ou par une liaison privée (VPN/ExpressRoute/Private Link).
Mise en œuvre concrète (deux plans rapides)
Plan SharePoint/OneDrive (sans VPN, le plus simple)
- Concevoir la structure : un site d’équipe SharePoint par service/projet ; des bibliothèques par dossier majeur ; appliquer une convention de nommage stable (“BU‑Projet‑Confidentialité”).
- Migrer avec l’outil de migration SharePoint (SPMT) : lancer un pré‑scan pour détecter chemins trop longs, fichiers verrouillés et caractères non pris en charge ; mapper les droits NTFS vers des groupes Microsoft 365/SharePoint.
- Déployer le client OneDrive avec Files On‑Demand activé ; configurer la synchronisation sélective des bibliothèques critiques et le Known Folder Move pour Bureau/Documents/Images si souhaité.
- Sécuriser : activer MFA et Accès conditionnel (appareils conformes, pays autorisés, blocage des navigateurs anonymes), définir la politique de partage externe, les étiquettes de rétention et les règles DLP.
- Former en 30 minutes : “Ouvrir, Partager, Coéditer, Restaurer une version”, bonnes pratiques d’arborescence et de nomenclature, réflexes en mobilité.
Paramètres utiles OneDrive/Intune (exemple de politique)
// OneDrive (exemples de stratégies)
- Activer Files On-Demand
- Connexion silencieuse avec identifiants du poste
- Déplacer automatiquement les dossiers connus (KFM)
- Bloquer la synchronisation sur appareils non conformes
- Limiter la bande passante en heures de pointe
// Accès conditionnel (exemples)
* Exiger MFA pour tout accès web et client lourd
* Bloquer le téléchargement sur appareils non conformes
* Imposer appareils joints / conformes pour partager ou synchroniser
* Exclure comptes de secours (BreakGlass) avec contrôles compensatoires Plan RDS + Passerelle (HTTPS, pas de VPN)
- Préparer les rôles RDS : Hôte de session (RDSH), Accès Web (RD Web), Passerelle RDS (RD Gateway), Broker de connexion (RD CB), Gestion des licences (RD Licensing). Petites équipes : possible sur 1–2 serveurs, en tenant compte de la capacité.
- Installer un certificat TLS public et un enregistrement DNS externe (ex.
rd.votre-domaine.tld). Harmoniser le Common Name/SAN avec le nom exposé. - Configurer CAP/RAP sur la Passerelle (NPS) et MFA (extension NPS ou proxy d’identité). Activer NLA, forcer TLS récent, désactiver les chiffrages obsolètes.
- Publier des RemoteApps : Explorateur de fichiers, Office, applications métiers ; limiter le bureau complet aux cas nécessaires. Gérer les profils avec FSLogix.
- Monter les partages SMB via GPO/script dans la session RDS ; appliquer des droits NTFS par groupes (principe du moindre privilège).
- Remettre aux employés : l’URL RD Web ou un flux RDP à importer dans le client Remote Desktop (Windows/macOS/iOS/Android).
Schéma minimal de l’architecture RDS
Internet (HTTPS 443)
│
▼
\[ RD Gateway ] ──► \[ RD Web Access ]
│ │
└────────► \[ RD Connection Broker ] ──► \[ RD Session Host(s) ]
│
└──► \[ Fichier SMB / DFS-N / Azure File Sync ] Exemples de durcissement et bonnes pratiques RDS
- Activer MFA, NLA et canal chiffré ; forcer TLS moderne et désactiver RC4/3DES.
- Limiter le presse‑papiers/redirection de lecteurs aux besoins métier.
- Mettre RD Gateway derrière un équilibreur (HA) ; sauvegarder la configuration NPS.
- Superviser les tentatives et anomalies (journal NPS, RD Gateway, AAD Sign‑In).
- Isoler le réseau des RDSH ; appliquer mises à jour et antimalware.
Comparatif express
| Critère | SharePoint / OneDrive | RDS + Passerelle | VPN Always On |
|---|---|---|---|
| Simplicité utilisateur | ✔️ très simple, pas de VPN | ✔️ URL unique, portail web | ⚠️ dépend du poste et du réseau |
| Travail hors‑ligne | ✔️ via OneDrive | ✖️ session distante uniquement | ✔️ si fichiers locaux + sync |
| Applis legacy internes | ⚠️ à moderniser ou publier en RDS | ✔️ natif | ✔️ natif |
| Coédition Office | ✔️ natif | ⚠️ possible dans session, moins fluide | ⚠️ dépend des applis |
| Surface d’attaque exposée | ✔️ contrôlée (CA/MFA) | ⚠️ Gateway à durcir & surveiller | ⚠️ clients & concentrateur VPN |
| Licences | Inclus dans Microsoft 365 (selon plan) | Windows Server CALs + RDS CALs | Selon solution VPN + OS |
| Effort IT | ⚠️ gouvernance et migration | ⚠️ capacity planning & HA | ⚠️ gestion MDM, certificats |
| Cas idéal | Bureautique, collaboration | Applications internes + SMB | Applications SMB strictes |
Sécurité & conformité (minima recommandés)
- MFA partout (cloud et RDS), avec politiques de session adaptées.
- Accès conditionnel : appareils conformes, géographies autorisées, blocage des anonymizers et navigateurs non protégés.
- Moindre privilège : groupes AD/Entra pour NTFS/SharePoint, éviter tout “Everyone Full Control”.
- Sauvegardes & versions : instantanés et versions SharePoint/OneDrive ; sauvegarde des partages et du stockage cloud.
- Journaux & alertes : connexions RDS, partage externe, téléchargement massif, tentatives d’exfiltration.
- Durcissement SMB/RDS : ne jamais exposer 445/TCP à Internet ; TLS à jour ; sécuriser RDP (NLA) ; appliquer les mises à jour.
| Contrôle | Cloud‑first | RDS | VPN |
|---|---|---|---|
| MFA | ✔️ AAD/Entra | ✔️ via NPS/MFA | ✔️ recommandé |
| Accès conditionnel | ✔️ fin et puissant | ⚠️ via NPS/pare‑feu | ⚠️ via MDM/pare‑feu |
| Audit & alertes | ✔️ activité SharePoint/OneDrive | ✔️ Gateway/NPS/OS | ✔️ concentrateur/clients |
Pièges à éviter
- Exposer un partage SMB directement sur Internet.
- Oublier les RDS CALs : accès non conforme.
- Migrer “tel quel” sans nettoyer doublons et accès hérités obsolètes.
- Laisser WebDAV IIS ouvert sans durcissement ni MFA : faible et peu performant.
- Synchroniser des bibliothèques trop volumineuses sur tous les postes : privilégier la sélection.
Décision rapide (arbre de choix)
Votre priorité est la simplicité utilisateur ?
└─► Oui : Migrer vers SharePoint/OneDrive (cloud‑first)
└─► Besoin d'applis internes legacy ?
└─► Oui : Ajouter RDS + Passerelle HTTPS pour ces usages
└─► Non : Cloud‑first suffit
└─► Non : Applis ne fonctionnant que via SMB natif ?
└─► Oui : VPN géré Always On (ou RDS si possible)
└─► Sites distants avec serveur local incontournable ?
└─► Ajouter Azure File Sync (hybride)
Informations complémentaires utiles (licences & devices)
- RDS : Windows Server CALs plus RDS CALs par utilisateur (le plus simple) ou par appareil.
- Microsoft 365 : OneDrive/SharePoint inclus dès Business Standard ; avec Business Premium : Intune + Accès conditionnel pour sécuriser les postes.
- Multi‑OS : clients Remote Desktop et OneDrive officiels pour Windows, macOS, iOS, Android.
| Élément | Pré‑requis | Notes |
|---|---|---|
| SharePoint/OneDrive | Licences Microsoft 365 éligibles | Activer versions et recycle bin ; prévoir sauvegarde tiers si politique interne. |
| RDS | Windows Server + RDS CALs, certificat public | Dimensionner RDSH (CPU/RAM/IO), FSLogix, supervision. |
| VPN Always On | NPS/PKI/MDM, concentrateur | Favoriser IKEv2 ; split tunneling ; surveillance des clients. |
| Azure File Sync | Subscription Azure + agent | Cloud tiering (fichiers chauds locaux, froids tiersés) ; pas d’exposition SMB publique. |
FAQ & cas pratiques
Pouvons‑nous migrer “à l’identique” notre arborescence de partages vers SharePoint ?
Oui, mais c’est rarement optimal. Profitez de la migration pour dé‑dupliquer, normaliser les noms, archiver l’inactif, et reposer les droits par groupes fonctionnels. Visez des bibliothèques thématiques plutôt qu’un “monolithe” ; synchronisez sélectivement côté utilisateur.Combien d’utilisateurs par serveur RDS ?
Varie selon les applications : en bureautique, on observe couramment quelques dizaines de sessions par serveur avec 1–2 vCPU et 2–4 Go de RAM par 5–10 sessions. Mesurez vos charges (CPU, RAM, disque, réseau) et faites un test de montée en charge avant la mise en prod.Le VPN Always On remplace‑t‑il RDS ?
Non. Le VPN restaure la connectivité réseau, mais il expose davantage les postes et demande plus de support. RDS offre un confinement applicatif et une surface d’attaque plus maîtrisable, notamment pour publier des applications spécifiques.Comment gérer les invités et partenaires ?
SharePoint/OneDrive gère le partage externe : définissez qui peut inviter, imposez MFA et appareils conformes, limitez le téléchargement aux navigateurs protégés et utilisez des liens à durée limitée. Pour RDS, préférez des comptes invités contrôlés et des RemoteApps dédiées.Quid des fichiers volumineux ou nombreux ?
Évitez de synchroniser intégralement des bibliothèques contenant des centaines de milliers d’éléments sur les postes ; privilégiez la navigation web/OneDrive avec Files On‑Demand et des vues filtrées. Pour les gros fichiers, assurez‑vous que la bande passante et les limites clientes suffisent.
Checklist de réussite
- Valider l’arbre de décision avec les métiers : qui va dans le cloud‑first ? qui passe par RDS ?
- Nettoyer la donnée source (doublons, obsolète, droits hérités incohérents).
- Configurer MFA, Accès conditionnel et MDM/Intune avant d’ouvrir l’accès externe.
- Préparer un plan de migration par vagues (pilote → équipes → généralisation).
- Définir un runbook de support : qui fait quoi en cas d’incident (OneDrive, RDS, VPN) ?
- Mesurer les KPI (adoption, incidents, temps de réponse, partages externes).
Mesures & pilotage
| KPI | Comment le mesurer | Seuil de succès |
|---|---|---|
| Adoption OneDrive/SharePoint | Rapports d’activité : synchronisations actives, fichiers modifiés | > 70 % des utilisateurs actifs en 60 jours |
| Incidents VPN/RDS | Tickets et alertes de supervision | Réduction > 50 % vs avant |
| Partages externes à risque | Alerte DLP/MCAS, audit SharePoint | < 1 % des éléments sensibles |
| Temps de connexion | RUM/expérience utilisateur | < 10 s pour RDS, < 3 s OneDrive |
Dépannage rapide
OneDrive/SharePoint
- Conflits de synchronisation : renommer les fichiers, éviter les caractères spéciaux, vérifier les autorisations. Purger le cache local si nécessaire.
- Fichiers manquants : vérifier la corbeille SharePoint/OneDrive, l’historique des versions et les journaux d’audit.
- Poste non conforme : corriger la posture via Intune (chiffrement, antivirus, correctifs).
RDS + Passerelle
- “Impossible de se connecter” : certificat expiré ou nom non concordant, règle CAP/RAP trop restrictive, pare‑feu inversé.
- Performance : surveiller CPU/RAM/IO ; activer la compression, optimiser FSLogix (profils et caches), ajuster nombre de sessions par hôte.
- Impressions et périphériques : redirections limitées aux besoins, pilotes universels ou impression réseau.
VPN Always On
- Bascule aléatoire : vérifier IKEv2, la révocation de certificats et les règles de pare‑feu locales.
- Débit faible : activer le split tunneling, privilégier l’accès direct cloud pour Microsoft 365.
- Incompatibilités applicatives : passer en mode par‑application ou basculer l’app concernée en RDS.
Guides pratiques supplémentaires
Modèle d’annonce aux employés
Objet : Nouveau mode d’accès aux fichiers
Bonjour, dès la semaine prochaine, vos dossiers d’équipe seront accessibles via OneDrive/SharePoint sans VPN. Ouvrez l’application OneDrive et connectez‑vous avec votre compte professionnel ; vos bibliothèques seront visibles dans l’Explorateur. Pour certaines applications internes, utilisez l’icône Bureau à distance fournie. En cas de question, contactez le support.
Exemple de plan de migration par vagues
- Pilote : 10–20 utilisateurs / 2 semaines ; ajustements gouvernance et performances.
- Vague 1 : services back‑office (Finance, RH) ; nettoyage des ACLs et normalisation des noms.
- Vague 2 : métiers opérationnels ; introduction de RemoteApps pour les cas legacy.
- Vague 3 : sites distants ; activer Azure File Sync et le tiering.
Bonnes pratiques de gouvernance documentaire
- Créer des espaces par finalité (équipe/projet/communauté) plutôt que par personne.
- Étiqueter la sensibilité (Public, Interne, Confidentiel) et appliquer DLP.
- Limiter la prolifération des sites par des modèles standard et une validation légère.
- Automatiser l’archivage via des politiques de rétention.
Conclusion
Si votre priorité est “le plus simple pour l’employé”, migrez les dossiers courants vers SharePoint/OneDrive et complétez par une Passerelle RDS pour les quelques usages legacy. Vous évitez le VPN au quotidien, tout en gardant un accès robuste aux fichiers et applications internes quand c’est nécessaire. L’option hybride avec Azure File Sync protège vos sites distants et facilite la reprise après sinistre, sans jamais exposer SMB sur Internet. En appliquant les contrôles de sécurité minimaux (MFA, Accès conditionnel, moindre privilège, sauvegardes, durcissement), vous combinez expérience utilisateur, sécurité et maintenabilité.
Annexes techniques rapides
Scripts & commandes utiles (exemples indicatifs)
# Rôles RDS (exemple, à adapter à votre version/nommage)
Install-WindowsFeature RDS-Connection-Broker,RDS-Web-Access,RDS-Gateway,RDS-RD-Server -IncludeManagementTools
# Certificat pour RD Gateway (exemple indicatif)
# Import-PfxCertificate -FilePath "C:\certs\rd.pfx" -CertStoreLocation Cert:\LocalMachine\My
# Monter un partage dans une session (logon script)
net use X: \filesrv\Equipe /persistent\:no
# Forcer Files On-Demand via stratégie (OneDrive ADMX)
# Computer Configuration\Policies\Administrative Templates\OneDrive
# "Use OneDrive Files On-Demand" = Enabled
Remarque : adaptez soigneusement ces exemples à votre environnement et testez en pré‑production.