Partagez un canal Teams unique avec deux organismes publics sans exposer vos équipes ni votre annuaire. Ce guide pas‑à‑pas propose une architecture éprouvée basée sur B2B Direct Connect et des groupes de sécurité, avec contrôles de conformité, gouvernance et vérifications techniques.
Problématique
Vous devez permettre à trois entités – votre tenant hôte et deux autres organismes gouvernementaux – de collaborer au sein d’un canal partagé unique, tout en restant conforme et sécurisé. Les exigences principales sont :
- Accès restreint aux seuls utilisateurs autorisés, côté hôte comme côté partenaires.
- Absence de visibilité latérale : aucune exposition des autres équipes/canaux, ni de l’annuaire complet des organisations.
- Expérience fluide : les utilisateurs restent dans leur tenant d’origine, sans « basculer ».
La solution ci‑dessous s’appuie sur Microsoft Entra ID (ex‑Azure AD), la fonctionnalité B2B Direct Connect et les groupes de sécurité, afin d’obtenir une confiance bilatérale granulaire et facilement gouvernable.
Architecture cible
Le modèle retenu est le suivant :
- Tenant hôte : détient l’équipe Teams et le canal partagé. Il contrôle l’accès via des groupes de sécurité (un groupe hôte + un groupe par organisation partenaire).
- Tenants externes : publient chacun un groupe de sécurité listant leurs utilisateurs autorisés à collaborer dans ce canal. Ils établissent une connexion B2B Direct Connect symétrique avec le tenant hôte.
- Canal partagé Teams : créé dans l’équipe cible du tenant hôte et lié à son propre site SharePoint dédié, isolé du site principal de l’équipe.
- Accès fichiers : les membres du canal (internes et externes) ont accès au site SharePoint du canal uniquement, sans héritage des autres bibliothèques.
- Identités externes : les utilisateurs partenaires se connectent dans leur propre tenant et apparaissent comme collaborateurs directs (pas de comptes invités créés dans l’hôte).
Ce pattern élimine la prolifération de comptes invités, évite les confusions d’app switching et réduit la surface d’exposition accidentelle.
Solution retenue avec B2B Direct Connect et groupes de sécurité
Les étapes ci‑dessous résument la mise en œuvre pour trois tenants (un hôte, deux externes). Les mêmes principes s’appliquent si vous avez davantage d’organisations partenaires.
| Étape | Action côté tenant hôte | Action côté tenants externes | Effet obtenu |
|---|---|---|---|
| 1 | Créer un groupe de sécurité contenant uniquement les utilisateurs autorisés à rejoindre le canal. | Même opération : un groupe de sécurité par organisation, listant les utilisateurs autorisés. | Contrôle d’accès granulaire dès la source (moindre privilège). |
| 2 | Dans Microsoft Entra ID → Accès inter‑locataire → B2B direct connect : • Créer deux connexions (une par organisation). • Flux sortant : Par défaut (aucune sortie). • Flux entrant : limiter au groupe de sécurité externe (ID fourni). • Ressources : Allow all (requis pour Teams et le site de canal). | Créer la connexion symétrique : • Flux sortant : limiter au groupe externe (le groupe destiné au tenant hôte). • Flux entrant : Par défaut. | Confiance bilatérale établie ; seuls les membres des groupes désignés traversent la frontière. |
| 3 | Créer un canal partagé dans l’équipe souhaitée et ajouter : • Vos membres internes (déjà dans votre groupe). • Les deux groupes externes. | — | Teams ajoute automatiquement les membres externes au canal, sans inviter de « guests ». |
| 4 | Valider que le canal partagé possède son propre site SharePoint isolé ; seuls les membres du canal y accèdent. | — | Garantit qu’aucun autre contenu de l’équipe ni de l’hôte n’est exposé. |
Pré‑requis techniques
- Licences Teams et SharePoint Online adaptées pour les utilisateurs concernés.
- Rôle d’administration suffisant pour configurer l’Accès inter‑locataire dans Entra ID côté hôte et côté partenaires.
- Convention de nommage des groupes de sécurité (exemple ci‑dessous) et processus d’onboarding/offboarding.
- Politiques de sécurité et conformité validées par les responsables SSI/RSI et juridiques, notamment pour le traitement des données sensibles.
Détails d’implémentation dans Microsoft Entra ID
Paramétrage côté tenant hôte
- Créer un groupe de sécurité interne GOV‑CANAL‑PROJET‑HOTE et y ajouter uniquement les utilisateurs autorisés.
- Pour chaque organisme partenaire, collecter l’ID de leur groupe (GUID).
- Dans Accès inter‑locataire → B2B direct connect, ajouter chacune des organisations et choisir :
- Entrant : autoriser seulement le groupe externe fourni par l’organisation.
- Sortant : conserver le comportement Par défaut (aucune sortie) pour éviter toute fuite latérale.
- Ressources : Allow all, condition nécessaire au fonctionnement de Teams Shared Channels.
Paramétrage côté tenants externes
- Créer un groupe de sécurité dédié (ex. GOV‑CANAL‑PROJET‑ORG‑X) listant les utilisateurs autorisés.
- Dans B2B direct connect, ajouter le tenant hôte et configurer :
- Sortant : autoriser uniquement le groupe ci‑dessus vers le tenant hôte.
- Entrant : conserver Par défaut.
- Communiquer l’ID du groupe au tenant hôte (GUID).
Conseil : si vos politiques exigent une sécurité renforcée, activez également la confiance des revendications MFA et appareil conforme dans la configuration de confiance inter‑tenant, afin que le tenant hôte puisse reconnaître l’authentification forte et la conformité poste de travail réalisée chez le partenaire.
Création du canal partagé dans Teams
- Dans l’équipe cible du tenant hôte, créer un canal partagé (pas un canal standard ou privé).
- Nommer clairement le canal (ex. Gov‑Projet‑X – Canal partagé) et indiquer une description opérationnelle.
- Ajouter les membres :
- Membres internes : via le groupe GOV‑CANAL‑PROJET‑HOTE.
- Partenaires : ajouter les groupes externes des deux organisations, non pas des individus.
- Vérifier que le site SharePoint du canal est créé et que ses autorisations ne dépassent pas le périmètre du canal.
Résultats attendus : les utilisateurs externes accèdent au canal depuis leur client Teams habituel, sans bascule de tenant, et voient uniquement ce canal et ses fichiers.
Points de sécurité et de gouvernance
Absence de statut « Invité »
Les comptes externes ne sont pas importés comme guests dans votre annuaire. Ce sont des collaborateurs directs gérés par la politique B2B Direct Connect, ce qui contourne les mécanismes classiques d’invitation invité. Cela réduit l’empreinte d’identité dans votre tenant et simplifie l’offboarding partenaire.
Blocage des partages non souhaités
Pour éviter que des propriétaires d’équipe partagent d’autres canaux à leur initiative, déployez une stratégie de canaux dans le Centre d’administration Teams et assignez‑la aux propriétaires concernés, en désactivant si nécessaire :
- la création de canaux partagés ;
- l’ajout de membres externes à des canaux partagés existants.
Mutualité obligatoire
Le B2B Direct Connect exige une confiance bilatérale. Chaque organisation doit :
- ajouter l’autre comme organisation approuvée ;
- publier, via un groupe de sécurité, les identités autorisées à sortir/entrer.
Contrôles complémentaires recommandés
- SharePoint : appliquer un label de sensibilité propre au site du canal ; si nécessaire, configurer « Externe = Lecture seule ».
- Microsoft Purview : activer l’audit des activités de partage externe et des alertes DLP ciblées sur le site du canal.
- Conditional Access : exiger la MFA et la conformité du poste pour les utilisateurs externes.
- Journalisation & rapports : surveiller l’onglet Insights du site SharePoint et les journaux Entra relatifs aux connexions inter‑tenant.
Modèles prêts à l’emploi
Convention de nommage
| Objet | Modèle | Exemple | Commentaire |
|---|---|---|---|
| Groupe hôte | GOV‑CANAL‑<PROJET>‑HOTE | GOV‑CANAL‑X‑HOTE | Contient uniquement des utilisateurs internes autorisés. |
| Groupe externe | GOV‑CANAL‑<PROJET>‑<ORG> | GOV‑CANAL‑X‑MININT | Un groupe par organisation partenaire. |
| Canal partagé | Gov‑<Projet> – Canal partagé | Gov‑Projet‑X – Canal partagé | Nom explicite pour l’utilisateur et la conformité. |
| Site SharePoint | SP‑CANAL‑<PROJET>‑<AAAA> | SP‑CANAL‑X‑2025 | Facilite la traçabilité et la rétention. |
Matrice RACI simplifiée
| Tâche | Hôte | Org. A | Org. B | Notes |
|---|---|---|---|---|
| Création groupes sécurité | R | R | R | Chaque tenant gère son groupe. |
| Connexion B2B DC | A/R | A/R | A/R | Symétrie nécessaire. |
| Création canal partagé | R | C | C | Hôte propriétaire du canal. |
| Politiques Teams | A/R | C | C | Empêche partages non souhaités. |
| Audit & DLP | A/R | C | C | Règles Purview ciblées. |
Validation fonctionnelle et technique
Checklist de bout en bout
| Vérification | Attendu | Remédiation en cas d’échec |
|---|---|---|
| Accès au canal depuis l’org. A | Le canal s’ouvre sans bascule de tenant. | Vérifier appartenance au groupe Org. A et la règle sortant chez A. |
| Accès au canal depuis l’org. B | Idem org. A. | Vérifier appartenance au groupe Org. B et la règle sortant chez B. |
| Co‑édition d’un document | Contributions simultanées visibles en temps réel. | Vérifier autorisations du site SharePoint du canal. |
| Recherche et visibilité | Seuls les contenus du canal apparaissent. | Contrôler que l’utilisateur ne fait pas partie d’autres équipes. |
| Étiquetage de sensibilité | Le label s’applique à la bibliothèque du canal. | Vérifier la politique d’étiquetage et la portée du site. |
| Accès mobile | Accès si l’appareil est conforme MDM. | Élargir la CA ou corriger la conformité de l’appareil. |
Signaux d’audit à collecter
- Connexions inter‑tenant réussies/échouées (journaux Entra).
- Partages et téléchargements dans la bibliothèque SharePoint du canal.
- Alertes DLP spécifiques au site du canal.
- Modifications d’appartenance aux groupes de sécurité.
Exemples de contrôles de sécurité
Accès conditionnel dédié aux externes
Créez une politique ciblant les utilisateurs externes identifiés par l’organisation partenaire (ou par revendication de confiance), et exigez :
- MFA à chaque session risquée,
- appareil conforme pour l’accès aux fichiers,
- blocage en dehors d’adresses IP de confiance si nécessaire.
DLP ciblée
Créez une règle Purview DLP avec ces paramètres :
- Portée : site SharePoint du canal uniquement.
- Types d’infos sensibles : jeux de données gouvernementaux spécifiques + modèles internes.
- Actions : bloquer l’exfiltration, autoriser un override justifié pour les rôles autorisés.
SharePoint en lecture seule pour les externes
Si la politique l’exige, affectez un niveau d’autorisation « Membres externes = Lecture » sur le site du canal et réservez la modification aux membres internes.
Résolution des problèmes courants
| Symptôme | Cause probable | Correctif |
|---|---|---|
| L’utilisateur externe ne voit pas le canal | Non‑membre du groupe externe ou flux sortant non autorisé dans son tenant | Ajouter l’utilisateur au bon groupe ; vérifier la connexion B2B DC côté partenaire |
| Accès aux fichiers refusé | Autorisations SharePoint du site du canal incorrectes | Re‑synchroniser les membres du canal avec le site ; vérifier l’héritage et les niveaux |
| Message d’échec d’accès inter‑tenant | Confiance bilatérale incomplète | Créer la connexion réciproque ; valider les IDs de groupes de sécurité |
| Application Teams indisponible dans le canal | Consentement inter‑tenant non accordé | Vérifier les règles de consentement d’applications et approuver explicitement |
| Mobile bloqué | Exigence d’appareil conforme non satisfaite | Inscrire l’appareil dans l’outil MDM/Intune ou adapter la politique CA |
Limitations à connaître
- Fonctionne uniquement entre tenants Microsoft 365 (commercial ou GCC) qui activent B2B Direct Connect ; non compatible aujourd’hui avec GCC‑High ou DoD.
- Les applications Teams tierces ajoutées au canal suivent les règles de consentement inter‑tenant ; validez les autorisations avant déploiement.
- Les appareils mobiles doivent être gérés (Intune ou équivalent) si le canal contient des documents classifiés et/ou si l’accès conditionnel l’exige.
- Les scénarios de découverte (recherche, personnes) restent limités au périmètre du canal ; c’est un comportement voulu de cloisonnement.
Bonnes pratiques condensées
- Moindre privilège : mettez à jour régulièrement les trois groupes de sécurité ; évitez les appartenances dynamiques trop larges.
- Nommez clairement le canal et le site SharePoint pour éviter toute confusion (ex. Gov‑Projet‑X – Canal partagé).
- Documentez la matrice de responsabilités : qui peut ajouter/retirer des membres, qui audite les accès, qui approuve les exceptions.
- Testez de bout en bout avant production : accès canal, co‑édition d’un fichier, DLP, accès mobile, expérience utilisateur.
- Communiquez aux utilisateurs un guide succinct : liens d’accès, règles d’usage, point de contact support.
Procédures d’exploitation
Onboarding partenaire
- Échanger les IDs de tenant et l’ID du groupe externe.
- Créer/mettre à jour la connexion B2B DC bilatérale.
- Ajouter le groupe externe en tant que membre du canal partagé.
- Exécuter la checklist de validation.
Offboarding partenaire
- Retirer le groupe externe du canal partagé.
- Désactiver le flux sortant côté partenaire (ou supprimer la connexion).
- Archiver le canal si la collaboration est terminée ; appliquer la rétention exigée.
Gestion courante
- Revues d’accès mensuelles des groupes de sécurité.
- Surveillance des journaux Entra et du site Insights SharePoint.
- Tests trimestriels de conformité (MFA, appareil conforme, DLP, labels).
Comparatif avec d’autres approches
| Approche | Avantages | Inconvénients | Quand l’utiliser |
|---|---|---|---|
| Canal partagé + B2B Direct Connect | Pas de comptes invités ; pas de bascule de tenant ; périmètre fin | Dépend d’une confiance bilatérale ; nécessite coordination entre IT | Collaboration récurrente avec partenaires de confiance |
| Comptes invités (B2B Collaboration) | Implémentation simple ; fonctionnement largement connu | Bascule de tenant ; annuaire élargi ; gouvernance plus lourde | Partages ponctuels, besoins limités |
| Partage de fichiers ad‑hoc | Très rapide ; sans canal Teams | Pas de chat/contextes ; traçabilité et UX plus faibles | Échanges de documents à faible fréquence |
FAQ
Les membres externes voient‑ils nos autres équipes ?
Non. Ils ne voient que le canal partagé autorisé et ses fichiers, pas votre annuaire complet ni vos autres équipes.
Pouvons‑nous limiter l’édition de fichiers aux seuls internes ?
Oui. Paramétrez le site SharePoint du canal pour que les externes soient en lecture seule, et complétez avec des règles DLP.
Que devient l’accès si un collaborateur externe quitte son organisation ?
Il perd l’accès dès sa suppression du groupe externe ou de l’annuaire de son organisation, sans action supplémentaire chez l’hôte.
Peut‑on ajouter une troisième organisation plus tard ?
Oui. Créez un groupe externe dédié, établissez la connexion B2B DC bilatérale et ajoutez le groupe au canal.
Conclusion
En combinant des groupes de sécurité ciblés et B2B Direct Connect configuré dans les trois tenants, vous obtenez une collaboration fluide dans un unique canal, une isolation automatique des fichiers via un site SharePoint dédié et la garantie que les autres équipes, canaux et annuaires restent inaccessibles. La clé est la symétrie des réglages, adossée à une gouvernance continue (politiques Teams, DLP, audits). Ce modèle répond aux exigences des organismes gouvernementaux, tout en offrant une expérience utilisateur simple et efficace.