SharePoint Online & Teams : imposer la Lecture seule par défaut, gérer le groupe Members et remplacer Edit par Contribuer (guide complet)

Besoin que les nouveaux arrivants aient Lecture seule sur des sites SharePoint connectés à Teams, sans casser l’expérience Teams ? Voici un guide pas à pas pour imposer la lecture par défaut, remplacer « Edit » par « Contribuer », et activer un vrai « no‑download ».

Vue d’ensemble de la question

Objectif : que toute personne qui découvre un site (ou rejoint l’organisation) démarre en Lecture seule sur SharePoint. Problèmes fréquents :

• Le groupe Members (créé automatiquement avec l’équipe Teams/le groupe Microsoft 365) possède par défaut le niveau Modifier (Edit).
• Supprimer Members est envisagé, mais vous craignez d’impacter l’équipe Teams et les usages (édition dans Teams, synchronisation OneDrive, etc.).
• L’option Modifier les autorisations/Retirer est parfois grisée pour Members.
• Besoin d’un mode Lecture seule sans téléchargement sur certains espaces.
• Souhait de remplacer « Edit » par « Contribuer » afin d’autoriser la modification d’éléments sans permettre de modifier la structure du site.

Réponse et solutions

Pourquoi ne pas supprimer le groupe Members

À éviter : la suppression de Members n’efface pas l’équipe Teams, mais entraîne des effets de bord :

• Perte d’accès en écriture depuis l’onglet Fichiers de Teams.
• Dysfonctionnements des scénarios de co‑édition Office, synchronisation OneDrive et « Ajouter un raccourci à OneDrive ».
• Complexification de la gouvernance (plusieurs groupes parallèles à maintenir manuellement).

Bon principe : conservez le groupe Members, mais abaissez son niveau d’autorisation (ou ne l’utilisez pas pour les lecteurs). Vous pourrez ainsi garder l’expérience Teams tout en reprenant la main sur la structure de votre site.

Définir un groupe Lecture seule comme groupe par défaut du site

La clé pour « dégriser » la modification des autorisations de Members est de changer le groupe par défaut du site. Procédez ainsi :

1. Créez, ou identifiez, un groupe Lecture seule (souvent le groupe intégré Visitors avec le niveau Read suffit).
2. Ouvrez Paramètres du site → Autorisations du site → Paramètres avancés.
3. Dans le menu Paramètres de la page des autorisations, définissez ce groupe comme groupe par défaut du site.

Effet immédiat : lorsque le groupe par défaut n’est plus Members, le bouton Modifier les autorisations pour Members cesse d’être grisé. Vous pouvez alors lui attribuer un niveau plus restrictif.

Option organisationnelle : si votre stratégie est « lecture par défaut pour tout le monde », vous pouvez ajouter le groupe dynamique Everyone except external users au groupe Visitors du site. Cette approche ouvre la lecture à tout l’environnement : réservez‑la aux sites d’information non sensibles, et préférez des groupes ciblés pour les sites d’équipe privés.

Remplacer Edit par Contribuer pour Members

Le niveau Edit autorise la modification de la structure (créer/supprimer des listes et bibliothèques, gérer des colonnes), ce qui dépasse souvent le besoin. Remplacez‑le par Contribuer (Contribute) pour permettre l’ajout/la modification/la suppression d’éléments sans toucher à la structure.

Niveau	Créer/éditer des éléments	Supprimer des éléments	Créer/supprimer des listes	Modifier colonnes/vues	Télécharger
Edit	Oui	Oui	Oui	Oui	Oui
Contribute	Oui	Oui	Non	Non	Oui
Read	Non	Non	Non	Non	Oui
View Only	Non	Non	Non	Non	Bloqué pour Office*

^*« View Only » empêche le téléchargement des documents Office (ouverts dans le navigateur), mais pas nécessairement des PDF/images/autres types.

Étapes UI :

1. Après avoir défini un autre groupe comme « groupe par défaut », revenez sur la page des autorisations.
2. Cliquez sur Members → Modifier les autorisations.
3. Remplacez Edit par Contribute (ou Read si vous voulez un accès strictement en lecture).

Astuce : si la page signale que le site hérite des autorisations, sélectionnez Arrêter l’héritage des autorisations pour pouvoir modifier les niveaux au niveau du site (ou au niveau des bibliothèques si vous avez besoin de granularité).

Exemple PowerShell (PnP) pour basculer Members sur « Contribute »

Ce script conserve le groupe Members, retire « Edit » et applique « Contribute ». À exécuter avec un compte administrateur SharePoint.

# Modules requis : PnP.PowerShell
# Install-Module PnP.PowerShell -Scope CurrentUser

\$siteUrl = "[https://contoso.sharepoint.com/sites/MonEquipe](https://contoso.sharepoint.com/sites/MonEquipe)"

Connect-PnPOnline -Url \$siteUrl -Interactive

# Récupère le groupe 'Members' associé au site

\$members = Get-PnPGroup -AssociatedMemberGroup

# Assure l'héritage rompu (si nécessaire)

Set-PnPWeb -BreakRoleInheritance -CloneRoleAssignments:\$true -ClearSubscopes:\$false

# Retire le rôle 'Edit' (si présent)

try {
Remove-PnPRoleAssignment -Principal \$members -RoleDefinition "Edit" -ErrorAction Stop
} catch {
Write-Host "Le rôle 'Edit' n'était pas appliqué ou a déjà été retiré."
}

# Ajoute le rôle 'Contribute'

Add-PnPRoleAssignment -Principal \$members -RoleDefinition "Contribute"

Write-Host "Le groupe Members dispose désormais du niveau 'Contribute'." 

Variante : si votre politique impose Lecture seule par défaut pour les membres Teams, remplacez « Contribute » par « Read ». Sachez toutefois que cela empêchera l’édition des fichiers depuis Teams : vous devrez alors créer un groupe d’éditeurs séparé (voir ci‑dessous).

Mettre en place un « Lecture seule » sans téléchargement

Le « no‑download » parfait n’existe pas pour tous les formats. Combinez plusieurs leviers :

Option	Portée	Avantages	Limites	Quand l’utiliser
View Only / Affichage uniquement	Site, bibliothèque ou dossier	Empêche le téléchargement natif des fichiers Office (Word/Excel/PowerPoint) dans le navigateur	Ne bloque pas toujours PDF, images, autres fichiers; contournable par capture	Portails d’info, bibliothèques de modèles, zones de diffusion
Liens « Bloquer le téléchargement »	Fichier/dossier partagé	Très rapide à mettre en place, granulaire	Spécifique au lien de partage; n’affecte pas l’accès direct	Partage ad hoc ou externe contrôlé
Accès conditionnel / App‑enforced restrictions	Organisation, sites ciblés	Bloque téléchargements sur appareils non gérés; cohérent Microsoft 365	Nécessite Azure AD Premium & politique d’appareils; ne s’applique pas aux clients riches synchronisés	Conformité BYOD, sécurisation globale sans friction
IRM de bibliothèque (gestion des droits)	Bibliothèque	Limite l’impression, l’export, l’accès hors ligne au niveau fichier	Configuration plus lourde; non pris en charge par tous les formats	Documents sensibles devant rester consultables
Étiquettes de sensibilité (MIP)	Fichier, auto ou manuel	Protection qui suit le document, contrôle au-delà de SharePoint	Adoption/utilisation à piloter; nécessite licences adéquates	Protéger le document où qu’il aille

Bonnes pratiques :

• Pour une « ardoise » de référence (politiques, procédures), appliquez View Only au groupe Visitors, et créez un petit groupe « Éditeurs » en Contribute.
• Pour empêcher l’exfiltration sur appareils non gérés, ajoutez une politique d’accès conditionnel ciblant SharePoint/OneDrive et bloquez le téléchargement sur ces appareils.
• Testez les formats courants (PDF, images, zip) et complétez avec IRM/DLP/étiquettes si nécessaire.

Stratégie d’appartenance et parcours utilisateurs

Structurez l’accès en trois couches simples (réutilisables à l’échelle de l’organisation) :

• Lecteurs – tout nouvel arrivant est placé dans Visitors/Read. Ils voient le contenu, sans modifier.
• Contributeurs – les participants actifs à l’équipe sont dans Members/Contribute (ou un groupe « Éditeurs » dédié). Ils éditent les éléments, sans toucher à la structure.
• Propriétaires – le noyau de gouvernance (Owners/Full Control). Ils gèrent la structure, les paramètres, la sécurité.

Cas d’usage Teams :

• Si vous basculez Members sur Contribute, l’édition de fichiers via l’onglet Fichiers continue de fonctionner normalement.
• Si vous basculez Members sur Read, l’édition via Teams ne sera plus possible pour les membres standards : prévoyez un groupe d’éditeurs distinct (Azure AD/Sécurité ou SharePoint) mappé en Contribute sur la bibliothèque Documents.
• Évitez les autorisations uniques dès qu’il n’y a pas de besoin métier fort. À défaut, documentez‑les précisément (qui, où, pourquoi, durée).

Industrialiser avec des modèles et scripts

Pour ne pas « repasser » site par site, standardisez :

• Modèles d’équipe (Teams) et scripts d’initialisation lancés dès la création : changer le groupe par défaut du site, abaisser Members à Contribute, créer les groupes « Lecteurs/Éditeurs », appliquer View Only sur les bibliothèques concernées.
• Provisioning PnP (modèles) pour appliquer des RoleAssignments cohérents (Owners = Full Control, Members = Contribute, Visitors = Read).
• Scripts PowerShell pour traiter les sites existants par lot.

Script d’exemple : traiter une liste de sites connectés à Teams

Ce script : (1) rompt l’héritage si besoin, (2) remplace Edit par Contribute pour Members, (3) confirme que Visitors a bien Read, (4) applique View Only en option sur la bibliothèque Documents.

# Requires: PnP.PowerShell
# Input: CSV avec une colonne Url, et facultativement ApplyViewOnly (True/False)

\$csv = Import-Csv -Path ".\sites.csv"

foreach (\$row in \$csv) {

```
$url = $row.Url
$applyViewOnly = $false
if ($row.PSObject.Properties.Name -contains "ApplyViewOnly") {
    $applyViewOnly = [System.Convert]::ToBoolean($row.ApplyViewOnly)
}

Write-Host "Traitement du site $url ..." -ForegroundColor Cyan

Connect-PnPOnline -Url $url -Interactive

# 1) Héritage
Set-PnPWeb -BreakRoleInheritance -CloneRoleAssignments:$true -ClearSubscopes:$false

# 2) Bascule Members sur Contribute
$members = Get-PnPGroup -AssociatedMemberGroup
try { Remove-PnPRoleAssignment -Principal $members -RoleDefinition "Edit" } catch {}
Add-PnPRoleAssignment -Principal $members -RoleDefinition "Contribute"

# 3) Vérifie/assigne Read pour Visitors
$visitors = Get-PnPGroup -AssociatedVisitorGroup
try { Add-PnPRoleAssignment -Principal $visitors -RoleDefinition "Read" } catch {}

# 4) Option: 'View Only' sur la bibliothèque Documents
if ($applyViewOnly) {
    $lib = Get-PnPList -Identity "Documents"
    # Retire 'Read' et attribue 'View Only' aux Visitors sur la bibliothèque
    try { Remove-PnPRoleAssignment -List $lib -Principal $visitors -RoleDefinition "Read" } catch {}
    Add-PnPRoleAssignment -List $lib -Principal $visitors -RoleDefinition "View Only"
    Write-Host "View Only appliqué aux Visitors dans la bibliothèque 'Documents'."
}

Disconnect-PnPOnline
```

} 

Conseil : commencez par un dry‑run sur 1 à 3 sites pilotes, documentez les écarts, puis déployez à grande échelle.

Scénarios types et modèles prêts à l’emploi

Site d’équipe « standard » connecté à Teams

• Groupe par défaut du site : Visitors (Read).
• Members : Contribute.
• Owners : Full Control.
• Documents : héritage du site, pas d’autorisations uniques.
• Partage externe : désactivé par défaut, activé à la demande.

Site d’information interne (diffusion)

• Visitors : Read (ou View Only si vous voulez limiter le téléchargement Office).
• Éditeurs : groupe dédié en Contribute (pas le groupe Members s’il n’y a pas d’équipe associée).
• Pages & Documents : publication avec approbation si nécessaire.

Site sensible (projet confidentiel)

• Pas d’« Everyone except external users » en Visitors.
• Members strictement Contribute, Owners limités.
• Accès conditionnel renforcé, étiquettes de sensibilité requises.
• Audit d’accès mensuel et revues automatiques (Access Reviews).

Questions fréquentes

Changer le groupe par défaut casse‑t‑il Teams ?

Non : le groupe par défaut du site influence surtout la cible par défaut du bouton « Partager » et dégrise la gestion des autorisations du groupe Members. L’équipe Teams continue de fonctionner. Ce qui change l’expérience Teams, c’est le niveau d’autorisation réel du groupe Members (Contribute vs Read).

Puis‑je retirer complètement le groupe Members des autorisations du site ?

C’est possible techniquement, mais déconseillé. Vous risquez de surprendre les utilisateurs de l’équipe (impossibilité d’éditer depuis Teams) et de multiplier les groupes parallèles. Préférez abaisser son niveau à Contribute (ou Read si c’est un choix assumé), et créez un groupe « Éditeurs » si nécessaire.

« View Only » suffit‑il pour bloquer les téléchargements ?

« View Only » bloque le téléchargement des documents Office ouverts dans le navigateur, mais pas tous les types de fichiers. Pour une stratégie robuste, combinez‑le avec l’accès conditionnel sur appareils non gérés et, pour les documents sensibles, des étiquettes de sensibilité/IRM.

Dois‑je créer des niveaux personnalisés ?

Dans la majorité des cas, non. Les niveaux Read, View Only, Contribute et Full Control couvrent les besoins. Si vous avez un besoin précis (« Contribute sans suppression »), créez un niveau personnalisé en copiant Contribute et en décochant Supprimer des éléments, puis documentez‑le (nom court, description, périmètre d’usage).

Faut‑il rompre l’héritage ?

Uniquement si vous devez différencier un sous‑site/bibliothèque/dossier. À l’échelle d’un site connecté à Teams, gardez un modèle simple : héritage global, et autorisations gérées au niveau du site.

Procédure détaillée pas à pas

Préparer les groupes

1. Vérifiez la présence des trois groupes associés : Owners, Members, Visitors.
2. Créez si besoin un groupe Éditeurs (SharePoint) ou un groupe de sécurité Azure AD « Éditeurs » pour l’ajouter ensuite en Contribute.

Changer le groupe par défaut du site

1. Allez sur Paramètres du site → Autorisations du site → Paramètres avancés.
2. Dans le menu Paramètres de la page, cliquez sur Groupe par défaut du site et choisissez Visitors (ou votre groupe « Lecture seule »).
3. Validez. L’option Modifier les autorisations de Members n’est plus grisée.

Abaisser le niveau de Members

1. Depuis la même page, ouvrez Members.
2. Cliquez sur Modifier les autorisations, remplacez Edit par Contribute (ou Read).
3. Enregistrez.

Option « no‑download »

1. Dans Autorisations → Niveaux d’autorisations, vérifiez la présence de View Only.
2. Sur la bibliothèque concernée (par ex. Documents), Paramètres de la bibliothèque → Autorisations → Arrêter l’héritage des autorisations (si nécessaire).
3. Attribuez View Only au groupe Visitors (à la place de Read).

Gouvernance : mettre en place la règle « Lecture seule par défaut » à l’échelle

Pour passer de l’intention à l’exécution, formalisez :

• Standard d’entreprise : « Tout site connecté à Teams doit configurer Members = Contribute, Visitors = Read, Owners = Full Control » + « Groupe par défaut = Visitors ».
• Kit de démarrage : modèle Teams + script d’initialisation PnP (comme ci‑dessus), document utilisateur (1 page) expliquant qui est Lecteur, Contributeur, Propriétaire.
• Contrôles : revue trimestrielle des autorisations (rapports PnP/Graph), alerte si un site réactive Edit pour Members.

Erreurs courantes et correctifs

• « Members en Read, plus personne n’édite dans Teams » : créez un groupe « Éditeurs » en Contribute et communiquez qui doit y figurer. Documentez la raison de ce choix.
• « J’ai tout cassé avec des autorisations uniques » : revenez au niveau site et ré‑héritez la bibliothèque si possible. Gardez les exceptions pour des dossiers bien identifiés et à durée limitée.
• « Le bouton Modifier les autorisations est grisé » : changez d’abord le groupe par défaut du site (Visitors), puis réessayez.
• « No‑download ne fonctionne pas sur PDF » : normal. Ajoutez une politique d’accès conditionnel et/ou protégez le document (IRM/étiquette de sensibilité).

Checklist de déploiement rapide

• [ ] Choisir/Créer Visitors (Read) et le définir comme groupe par défaut.
• [ ] Réduire le niveau de Members à Contribute (ou Read).
• [ ] Au besoin, configurer View Only + Accès conditionnel pour le « no‑download ».
• [ ] Pour l’existant, arrêter l’héritage lorsque nécessaire puis mettre à jour les niveaux.
• [ ] Pour l’avenir, industrialiser via modèles Teams et scripts d’initialisation PnP.

Modèle de communication aux utilisateurs

Informez clairement vos équipes pour éviter l’incompréhension :

Ce qui change : par défaut, tout nouvel arrivant voit le site en Lecture seule. Les personnes qui doivent contribuer seront ajoutées au groupe « Éditeurs » (ou deviendront « Members » en Contribute). Pourquoi : protéger la structure du site, simplifier la gouvernance, réduire les erreurs de manipulation.

Conclusion

En conservant le groupe Members mais en abaissant son niveau à Contribute, en définissant un groupe Lecture seule comme groupe par défaut, et en complétant par des options « no‑download » adaptées, vous obtenez un modèle robuste : lecture par défaut, édition maîtrisée, et structure préservée. Le tout sans dégrader l’expérience Teams et sans gestion manuelle chronophage à chaque nouveau site.