
Gouvernance > Autorisations
Gérer les autorisations des membres
Voici un sujet important: la gestion des accès aux contenus d'équipe pour faire en sorte que :
Toute personne ne peut faire
que ce qu’elle a le droit de faire.
Nous verrons comment réutiliser les groupes et briser les héritages des droits d’accès pour offrir des interactions sécuritaires avec vos collègues mais surtout avec vos partenaires externes sans avoir à banaliser vos niveaux de sécurité, ni à créer de sites pour les mauvaises raisons, ni à permettre des autorisations gruyère à travers les bibliothèques.

Débutons par un peu de théorie que tout propriétaire de site et administrateur doit connaître afin d’établir et maintenir correctement les droits d'accès dans Office 365. Je vous rassure, ce n'est rien de compliqué. Ça se résume ainsi :
Un droit d’accès répond à 3 questions :
-
Qui a le droit ?
Défini par les groupes d’utilisateurs. -
Qu’a-t-on le droit de faire ?
Défini par les niveaux d’autorisation -
Sur quel contenu ce droit porte-t-il ?
Tel qu’un site, une liste ou une bibliothèque.

Par exemple, voici comment Office 365 affiche trois droits d'accès dans le site Charron. À titre d'exemple, le 1er donne au groupe Charron - Membres le droit de Modification.

Voici une belle vidéo de 4m41 de Microsoft qui présente les notions d'héritage des droits d'accès et leurs assignations à des groupes de membres.
Les niveaux d'autorisations tel que Modification et Lecture ci-dessus regroupent chacun 33 autorisations de base. Vous avez bien lu, trente-trois. C'est beaucoup en effet mais je vous rassure, ces autorisations individuelles n'ont pas tous la même importance et elles ne sont jamais appliquées à l'unité, mais plutôt par groupe, que l'on nomme un niveau d'autorisation. Avec ÉcoSphère, dix niveaux d'autorisations prédéfinies sont disponibles. Vous êtes libre d'en ajouter si nécessaire. Il est crucial de bien garder le contrôle de ces niveaux d'autorisations. Voici quatre règles simples à ce sujet:
-
Toujours créer ou éditer les niveaux d'autorisations du site de 1er niveau de la collection. De cette façon les niveaux seront les mêmes dans l'ensemble des sites.
-
Lorsque vous avez une autorisation d'exception à appliquer, essayez de combiner des niveaux existants plutôt que de créer un nouveau niveau. Toutefois, si cette exception a le potentiel de devenir fréquente, il vaut alors mieux créer un nouveau niveau d'autorisation et de bien le documenter.
-
Ne changez pas un niveau d'autorisation existant. Il est toujours préférable d'en créer un nouveau. Si malgré tout vous faites ce changement, assurez-vous de bien en mesurer l'impact sur les contenus existants et d'en informer leurs auteurs.
-
Tout changement et ajout aux niveaux d'autorisation doit être documenté, au minimum dans le site Administration Office 365 tel que présenté sur cette page.
Avec Office 365, vous devez aussi tenir compte de ces quatre spécificités techniques:
-
Les groupes et niveaux d’autorisations sont réutilisables à travers une collection de site mais ne se partagent pas entre collections de sites.
-
Un groupe ne peut être imbriqué dans un autre groupe, ce qui entraîne d’ajouter le même compte d’utilisateur à plus d’un groupe.
-
On ne peut soustraire des autorisations à un groupe, seul l’ajout est permis.
-
Les droits d’accès s’appliquent à toutes les colonnes et affichages (vues) d’une bibliothèque ou d’une liste.
Voici une vidéo de 6m32 où un groupe est créé et auquel est ajouté/retiré un membre suivi de l'ajout d'un droit d'accès en réutilisant ce nouveau groupe. L'ajout d'un niveau d'autorisation suivi de leurs cumuls pour créer un droit d'accès sont également présentés.
Votre mission sera de garder un nombre minimum de groupes et de garder ce nombre stable tout en octroyant que le minimum requis de droits d'accès. Voici quatre règles pour vous aider. Les deux premières sont évidentes. les deux autres sont plus subtiles. Elles s'appliquent toutes à l'échelle de chaque collection de sites.
-
Chaque membre est inscrit à au moins deux groupes. le 1er donne accès en lecture au site de 1er niveau de la collection. Ce groupe contient généralement le membre prédéfini Tout le monde sauf les utilisateurs externes qui offre le grand avantage de ne demander aucune mise à jour. Les autres groupes où est inscrit un membre sont ceux qui lui permettent de réaliser ses tâches quotidiennes.
-
N'octroyez le Contrôle Total (toutes les autorisations) qu'aux propriétaires d’un site correctement formé à sa gestion. Dans certains cas, ce contrôle total est même trop puissant. On préfère alors créer un niveau d'autorisation tel que Propriétaire-site sans le droit de créer des sous-sites, sans le droit de gérer les autorisations et même sans le droit de gérer le site. Ces droits sont alors gardés entre les mains des administrateurs de la collection de sites.
-
Privilégiez des groupes avec le moins de membres communs. Par exemple, si 2 membres d’une équipe de 6 personnes ont des responsabilités additionnelles aux 4 autres, créez deux groupes de 2 et 4 personnes. Cette règle vise à éviter des groupes qui s'empilent sous forme de pyramide.
-
Avant de créer un nouveau groupe, vérifiez s‘il est possible de scinder des groupes existants (et d'y distribuer les membres) ou de combiner des groupes existants. Si vous scinder un groupe, il sera sûrement nécessaire d'ajuster les autorisations associées au groupe initial, ce qui est très simple avec Office 365 (telle que démontrée dans la prochaine vidéo).
L'ajout d'un droit d'accès à un site existant est simple mais implanté sans "finesse" par Microsoft. Par exemple, voici comment autoriser le droit de lecture au groupe Tests - visiteurs pour que leurs membres accèdent au site courant.

Voici une vidéo de 1m01 qui démontre ces étapes :
Le choix des noms de groupe a aussi son importance pour faciliter leur réutilisation. Ainsi, évitez d'y insérer le nom d'un niveau d'autorisation. Par exemple, Portail - Collaboration n'est pas approprié puisque Collaboration est un des niveaux d'autorisations. Voici une meilleure technique d'appellation: Débutez avec un préfixe correspondant au département (FIN, Vente, MKT, RH, TI, OP, SAC) suivi d'un suffixe correspondant à un rôle d'affaires (directeurs, adjoints, comptables princ, comptables tech...). Il y a quelques exceptions, dont les propriétaires de site qui sont dans des groupes distincts nommés [nom du site]-proprios et le groupe Portail-personnel qui inclut tout les membres qui ont accès en lecture.
Bris d'héritage des droits d'accès (autorisations)
Encore une fois Small is beautiful en matière de gestion des autorisations, en particulier en terme de bris d'héritage des droits d'accès entre un site parent et ses sous-sites et à l'intérieur d'un site. Ça se résume en trois vérités.
Briser l'héritage entre sites est LA NORME ! C'est un mythe toujours tenace que les sous-sites doivent être créés en héritant des autorisations de leur parent. Au contraire, l’héritage est l’exception et le bris d’héritage entre sites est la norme. Par exemple, les sites départementaux d’un portail n’héritent PAS des droits d’accès du site parent. C’est aussi le cas pour tous les sites clients d’un extranet et les sous-sites de tests et d'autoformation des membres.
Briser l'héritage ou le remettre se fait en un seul clic tel qu'illustré ci-contre. L'époque où l'on gardait l’héritage est révolue, entre autres parce que les blogues et les sites de réunions de SharePoint ont été remplacés par Yammer et autres services de OneDrive, Outlook et Skype Entreprise.


Briser l’héritage entre un site et ses listes/bibliothèques est USUEL. Au fur et à mesure que l’on enrichi un site, à l'occasion, certaines données et documents ne devraient être visibles ou modifiables que par certains membres du site. Le mieux alors, est de créer une liste ou une bibliothèque avec des niveaux d’autorisation différents, tout en utilisant des groupes parmi ceux qui ont déjà des autorisations au site. L'erreur à ne pas faire serait de créer un autre site, ce que j'ai malheureusement vu trop souvent.
De la page des paramètres de la liste ou de la bibliothèque, choisissez l'option Autorisations pour le composant. Briser l'héritage ou le remettre se fait ensuite en un seul clic.
Le bris d’héritage s’avère cependant peu pratique quand un membre désire avoir l'accès qu’à l’une des bibliothèques d’un site et non aux autres. C’est loin d’être impossible, mais c’est plutôt fastidieux à gérer pour vous et source d'inconfort pour ce membre puisqu'il ne pourra naviguer naturellement vers la bibliothèque en passant par le site. Il devra accéder directement à la bibliothèque via son lien, ce qui donne l'affichage suivant qui n'offre aucun menu de gauche. Nous verrons ci-dessous des solutions alternatives.



Briser l’héritage à l’intérieur d’une bibliothèque n’est pas conseillé. Si vous permettez le partage individuel des documents, vos bibliothèques ressembleront vite à du gruyère. En effet, partager un document est identique à briser l'héritage au niveau des documents et ce n'est pas conseillé, même si c'est très facile et tentant. Pour les membres utilisateurs il existe toujours des usages plus faciles à gérer, soit de créer une bibliothèque, de déplacer des documents entre bibliothèques, d’activer les approbations pour mieux gérer les brouillons, de créer un extranet, d'ajouter ses documents dans Yammer ou de partager un répertoire OneDrive.
Sachez aussi que tout partage vers des membres extérieurs n'est possible que si la collection de sites permet ce partage, ce qui n'est le cas que pour les extranets.


Pour terminer ce volet sur le bris d'héritage, il est toujours de bonne pratique de tester un changement aux autorisations avec les comptes pertinents. Le plus simple, est de demander via Skype à vos collègues qui ont les comptes pertinents de vous donner le contrôle de leur poste quelques instants pour faire les tests.
Voici une vidéo de 3m12 qui présente les techniques du bris d'héritage dans un site.
Briser l’héritage n’est toutefois pas une panacée. Voici quelques exemples de solutions qui permettent de ne pas abuser des bris d'héritage et d'éviter la gestion d'autorisations complexes:
-
La création d’un centre de références pour tous, lieu où des informations variées sont publiées par divers groupes d’un portail, tout en gardant simple la sécurité dans chaque site départemental.
-
La création d’extranets pour y déposer des informations de différentes sources tout en sachant qu’elles seront accessibles par des membres externes à l’entreprise : clients et fournisseurs.
-
La création de sites dédiés pour y réaliser des tâches qui impliquent plusieurs départements. Par exemple, un site de suivi de vos subventions en R&D afin de les justifier lors d’un audit. Autres exemples, le processus d’embauche de nouveaux employés et la gestion des relations avec les clients.
-
L'utilisation de Yammer pour amorcer un projet, échanger des idées, publier des brouillons de documents....