SharePoint Custom Permission : Bloquer les téléchargements de fichiers

Introduction

La gestion des autorisations SharePoint devient critique lorsqu'il s'agit de permettre l'accès aux documents tout en empêchant leur téléchargement. Les organisations doivent souvent autoriser des partenaires externes ou des consultants à consulter des documents sensibles sans pouvoir les télécharger.

Le niveau d'autorisation Lecture par défaut inclut automatiquement la capacité de télécharger les fichiers, créant un défi de sécurité. SharePoint Online propose plusieurs méthodes pour bloquer les téléchargements, mais les niveaux d'autorisation personnalisés offrent l'approche la plus granulaire et économique.

Les niveaux d'autorisation personnalisés fonctionnent avec les capacités SharePoint Online standard, sans nécessiter de licences premium comme Microsoft Entra ID Premium ou SharePoint Advanced Management.

Méthodes disponibles pour bloquer les téléchargements SharePoint

Avant d'explorer les niveaux d'autorisation personnalisés, examinons les différentes approches disponibles :

1. Restriction via les liens de partage

• Principe : Sélection de l'option "Impossible de télécharger" lors du partage
• Limitation : Ne s'applique qu'au lien spécifique, pas à l'accès global
• Usage : Idéal pour le partage ponctuel de documents

2. Stratégies d'accès conditionnel Entra ID

• Principe : Restriction basée sur les risques utilisateur, appareil ou réseau
• Prérequis : Microsoft Entra ID Premium (P1 ou P2)
• Limitation : Pas de contrôle au niveau du site

3. Stratégie PowerShell au niveau du site

• Principe : Blocage des téléchargements, impressions et synchronisations
• Prérequis : Licence Microsoft Syntex SharePoint Advanced Management
• Portée : Ensemble du site SharePoint

4. Information Rights Management (IRM)

• Principe : Restrictions via Purview Information Protection
• Inconvénients : Désactive la co-édition et Office Online
• Complexité : Configuration avancée requise

5. Niveaux d'autorisation personnalisés (Recommandé)

• Avantage : Contrôle granulaire sans coût supplémentaire
• Flexibilité : Gestion basée sur les membres et groupes
• Compatibilité : Fonctionne avec les capacités SharePoint standard

Prérequis et permissions nécessaires

Seuls les utilisateurs disposant des rôles suivants peuvent créer des niveaux d'autorisation personnalisés :

• Administrateurs de collection de sites : Autorité complète sur la collection
• Propriétaires de site : Membres du groupe Propriétaires par défaut
• Administrateurs SharePoint/Globaux : Doivent s'ajouter au site avec contrôle total

Création d'un niveau "Lecture sans téléchargement"

La création d'un niveau d'autorisation personnalisé basé sur Lecture permet aux utilisateurs de consulter les documents sans les télécharger.

Naviguer vers le site SharePoint cible, puis cliquer sur l'icône Paramètres (⚙️) et sélectionner Autorisations du site.

Sélectionner Paramètres d'autorisation avancés pour accéder à la page de gestion classique des autorisations SharePoint.

Dans la barre de commandes, cliquer sur Niveaux d'autorisation pour afficher les niveaux existants.

Faire défiler vers le bas et cliquer sur Copier le niveau d'autorisation en sélectionnant le niveau Lecture comme base.

Attribuer un nom approprié (ex: "Lecture - Pas de téléchargement") et une description explicite au niveau d'autorisation.

Décocher les permissions suivantes :

• "Ouvrir les éléments" sous Autorisations de liste
• "Utiliser les fonctionnalités d'intégration client" sous Autorisations de site

La désactivation d'"Ouvrir les éléments" supprime automatiquement la permission "Afficher les versions".

Cliquer sur Créer pour enregistrer le nouveau niveau d'autorisation personnalisé.

Niveau "Modification sans téléchargement"

Pour les utilisateurs devant modifier des documents sans pouvoir les télécharger, un niveau basé sur Modification peut être créé suivant le même processus.

Attribution des niveaux d'autorisation personnalisés

Attribution directe aux utilisateurs et groupes

L'attribution directe permet un contrôle précis sur les permissions individuelles.

Accéder à Paramètres (⚙️) → Autorisations du site → Paramètres d'autorisation avancés.

Cliquer sur Accorder des autorisations et saisir le nom du groupe de sécurité ou des utilisateurs.

Dans le menu déroulant Sélectionner un niveau d'autorisation, choisir le niveau personnalisé créé.

Cliquer sur Partager pour appliquer les nouvelles autorisations.

Attribution aux groupes SharePoint par défaut

La gestion des autorisations via les groupes par défaut (Propriétaires, Membres, Visiteurs) simplifie l'administration et maintient la cohérence.

Sites non connectés à un groupe Microsoft 365

Pour les sites SharePoint traditionnels, la modification des niveaux d'autorisation des groupes est directe :

Dans les paramètres d'autorisation avancés, sélectionner le groupe Visiteurs du site (ou le groupe cible).

Cliquer sur Modifier les autorisations utilisateur dans la barre de commandes.

Décocher le niveau existant (Lecture) et sélectionner le niveau personnalisé (Lecture - Pas de téléchargement).

Cliquer sur OK pour valider les modifications.

Sites connectés à un groupe Microsoft 365

Les sites connectés à un groupe Microsoft 365 présentent des restrictions d'interface pour préserver l'intégrité multi-services. PowerShell devient nécessaire :

1# Attribution du niveau "Lecture - Pas de téléchargement" aux visiteurs
2Set-SPOSiteGroup -Site "" -Identity "" -PermissionLevelsToAdd "Lecture - Pas de téléchargement" -PermissionLevelsToRemove "Lecture"
3 
4# Attribution du niveau "Modification - Pas de téléchargement" aux membres
5Set-SPOSiteGroup -Site "" -Identity "" -Identity "" -PermissionLevelsToAdd "Modification - Pas de téléchargement" -PermissionLevelsToRemove "Modification"

Avant d'attribuer un niveau personnalisé, vérifiez que l'utilisateur ne dispose pas d'un niveau supérieur qui annulerait les restrictions.

Renforcement avec Information Rights Management (IRM)

Pour une protection renforcée des documents sensibles, l'Information Rights Management complète efficacement les niveaux d'autorisation personnalisés.

Configuration IRM au niveau tenant

Naviguer vers le Centre d'administration SharePoint et accéder aux Paramètres.

Sélectionner Page des paramètres classiques pour accéder aux options IRM.

Activer Utiliser le service IRM spécifié dans votre configuration et cliquer sur Actualiser les paramètres IRM.

Sélectionner OK pour enregistrer la configuration tenant.

Les paramètres IRM peuvent prendre jusqu'à une heure pour devenir disponibles dans les bibliothèques SharePoint.

Configuration IRM sur une bibliothèque de documents

Une fois IRM activé au niveau tenant, la configuration peut s'appliquer aux bibliothèques individuelles :

Accéder à Paramètres → Paramètres de bibliothèque → Plus de paramètres de bibliothèque.

Sous Autorisations et gestion, sélectionner Information Rights Management (IRM).

Activer Restreindre les autorisations sur cette bibliothèque lors du téléchargement.

Saisir un Titre de stratégie d'autorisation et une Description explicites.

Sélectionner Afficher les options pour configurer l'expiration, l'impression, la copie, etc.

Cliquer sur OK pour appliquer la stratégie IRM à la bibliothèque.

Test et validation des configurations

La validation des niveaux d'autorisation personnalisés nécessite des tests approfondis avec différents profils utilisateurs.

Scénario de test : Modification sans téléchargement

Un utilisateur "Alex" membre du groupe Finance Members avec le niveau Modification (Pas de téléchargement) peut :

• ✅ Ouvrir les documents dans le navigateur
• ✅ Modifier et sauvegarder les fichiers
• ✅ Collaborer dans la bibliothèque
• ❌ Accéder à l'option de téléchargement

Scénario de test : Lecture sans téléchargement

Un utilisateur "Freddy" membre du groupe Finance Visitors avec le niveau Lecture (Pas de téléchargement) peut :

• ✅ Consulter les documents dans le navigateur
• ❌ Modifier les fichiers
• ❌ Télécharger les documents
• ❌ Synchroniser la bibliothèque

Testez systématiquement avec des comptes utilisateurs réels pour valider le comportement attendu avant le déploiement en production.

Considérations de sécurité avancées

Bien que les niveaux d'autorisation personnalisés empêchent efficacement le téléchargement, certaines limitations subsistent :

• Copie de texte : Le contenu peut être copié depuis le navigateur
• Captures d'écran : Les utilisateurs peuvent capturer visuellement le contenu
• Création manuelle : Possibilité de recréer manuellement les informations

Pour une protection maximale des données sensibles, combinez les niveaux d'autorisation personnalisés avec :

• Stratégies IRM complètes
• Surveillance des activités utilisateurs
• Formation de sensibilisation à la sécurité
• Classification et étiquetage des documents

Scripts PowerShell pratiques

Script de création de niveau d'autorisation personnalisé

1# Connexion à SharePoint Online
2Connect-SPOService -Url "https://contoso-admin.sharepoint.com"
3 
4# Variables de configuration
5$SiteURL = "https://contoso.sharepoint.com/sites/finance"
6$CustomPermissionName = "Lecture - Pas de téléchargement"
7$GroupName = "Finance Visitors"
8 
9# Attribution du niveau personnalisé
10Set-SPOSiteGroup -Site $SiteURL -Identity $GroupName -PermissionLevelsToAdd $CustomPermissionName -PermissionLevelsToRemove "Lecture"
11 
12Write-Host "Niveau d'autorisation personnalisé appliqué avec succès" -ForegroundColor Green

Script de vérification des autorisations

1# Vérification des niveaux d'autorisation d'un utilisateur
2$SiteURL = "https://contoso.sharepoint.com/sites/finance"
3$UserEmail = "alex@contoso.com"
4 
5# Obtention des permissions utilisateur
6$UserPermissions = Get-SPOUser -Site $SiteURL | Where-Object {$_.LoginName -like "*$UserEmail*"}
7$UserPermissions | Select-Object LoginName, Groups

Glossaire des termes techniques

Niveau d'autorisation : Ensemble de permissions définissant les actions autorisées dans SharePoint.

IRM (Information Rights Management) : Technologie de protection des documents qui contrôle l'utilisation après téléchargement.

Collection de sites : Ensemble hiérarchique de sites SharePoint partageant des paramètres communs.

Groupe de sécurité : Collection d'utilisateurs facilitant la gestion des autorisations.

Accès conditionnel : Stratégies basées sur le contexte pour contrôler l'accès aux ressources.

PowerShell SharePoint : Interface de ligne de commande pour l'administration SharePoint.

Liens utiles et documentation

• Documentation officielle SharePoint permissions
• Guide IRM SharePoint Online
• PowerShell SharePoint Online
• Meilleures pratiques de sécurité SharePoint
• Centre de conformité Microsoft Purview