Créer des groupes SharePoint Online réutilisables

Peut-être travaillez-vous dans une grande entreprise. Peut-être vous retrouvez-vous dans un environnement Office 365 avec des centaines de sites où vous devrez vous inclure dans de nombreux groupes pour accéder aux contenus. 

Voici un truc que vous pourrez suggérer à l'administrateur afin qu'il réduise le nombre de groupes auxquels vous appartenez, mais surtout qu'il favorise leur réutilisation afin d'en garder le nombre stable. Ce truc s'applique en 5 étapes, mais avant de les détailler précisons une assertion et 4 règles pour faciliter la réutilisation des groupes.

 

Assertion: Un groupe n'est lié à aucun site. En d'autres mots, un groupe peut recevoir n’importe quel niveau d'autorisation, de n’importe où dans sa collection de sites. Lors de sa création un groupe est créé dans un site ce qui donne l'impression qu'il est lié à ce site: Ce n'est NULLEMENT le cas.  Il y a bien longtemps déjà que j'ai fait cette découverte en regardant tout simplement l'URL de la page qui liste les membres d'un groupe: il n'y a AUCUNE mention du site. 

Cette réutilisation évitera la procréation des groupes au moment de briser l'héritage des autorisations lors de la création de sous-sites. 

Eh oui ! Avec la réutilisation des groupes, le bris d’héritage des autorisations est le bienvenu dans les sous-sites, les listes et les bibliothèques. Ça rendra le sourire à tout le personnel et en particulier à ceux des propriétaires de site. 

Autre effet positif, le nombre de sites fondera sûrement comme neige au soleil. En effet, j'ai trop souvent vu des sites frères pollués une collection de sites qu'en raison d'une politique de non-bris d'héritage. J'ai même en mémoire une collection de site frère avoir été créée et qui rendait agressif   le personnel. 

 

Quatre règles de gouvernance pour faciliter la réutilisation:

Les deux premières règles sont évidentes. Les deux autres sont plus subtiles. Elles sont décrites sur la page  Gérer les autorisations et elles s'appliquent à l'échelle d'une collection de sites. 

Ça vous semble nébuleux, voici un dessin pour vous aider !  Souvenez-vous qu'un groupe n'a d'utilité qu'une fois associé à des niveaux d'autorisations et à un site, une bibliothèque ou une liste. C'est ce que je nomme un droit d'accès. Quand vous êtes sur la page Autorisations du [site, liste, bibliothèque] telle que celle-ci, vous voyez tout simplement des droits d'accès.

 

Vous êtes maintenant prêt pour appliquer les 5 étapes afin de transiter vers des groupes réutilisables:

Étape 1a: Commençons par appliquer les 4 règles ci-dessus en créant une première liste de noms de nouveaux  groupes dans une feuille Excel et en identifiant tous les noms de leurs membres respectifs: Demandez au RH la liste des employés ainsi que l'organigramme de l'entreprise (l'annuaire AD peut aussi être utilisé).

Étape 1b: En parallèle, vous pouvez afficher la liste de tous les sites de la collection (Paramètres du site > Hiérarchie de site ) et identifier les principaux responsables. Transmettez-leur votre intention de les rendre heureux et demandez-leur de vous identifier les sites inutiles et ceux qui ne sont que des sites frères d'un autre site. Ils doivent aussi vous renseigner sur le nom du propriétaire de chaque site.

  • Avec la liste des sites inutiles entre vos mains, supprimez-les.

  • Avec la liste des propriétaires de site, créer les groupes de propriétaires de site [nomdusite]-proprios.

 

Étape 2: Avec la feuille Excel entre vos mains, faites maintenant le mapping avec les groupes existants. Naviguez sur la page Personnes et groupes des paramètres d'un site et cliquez sur Plus... dans le menu de gauche. Une liste de tous les groupes de la collection de site s'affichera.

Maintenant, affichez un à un les groupes pour en connaître leurs membres. S'il n'y a aucun membre, détruisez illico le groupe (c'est plus fréquent que vous ne le pensez). Pour tous les autres groupes, trouvez la combinaison de nouveaux groupes qui incluent tous les membres existants. Notez ce mapping dans une nouvelle feuille Excel.

  • Si un nom de membre n'est pas dans votre feuille Excel, c'est sûrement que ce membre a quitté l'entreprise. Si tel est le cas, retirez son nom du groupe existant, sinon l'ajouter à votre feuille Excel (voir étape 1a)

  • À l'occasion, vous devrez scinder un nouveau groupe pour s'adapter aux membres d'un groupe existant. Faites alors les ajustements nécessaire au  mapping antérieur.

 

Étape 3: Créez tous les nouveaux groupes à partir d'un seul site et ajoutez-y les membres. Aucun nouveau nom de groupe ne doit avoir le nom d'un ancien groupe.

 

Étape 4: Traversez chaque site avec son propriétaire et accordez les autorisations à tous les nouveaux groupes sur la base du mapping identifié à l'étape 2. Profitez-en pour améliorer le site avec le propriétaire, le rassurer et identifier les bris d'héritage potentiel. En d'autres mots, faites un peu de formation et de ménage. Prévoyez au maximum une heure par site, ajustez-vous au besoin. S'il y a 2000 sites, vous comprenez qu'il vous faudra planifier le tout et obtenir de l'aide. Parcourez les sites le long de leur branche. Ne détruisez pas  les anciens groupes à cette étape.

 

Étape 5: Bravo ! À cette étape vous aurez diminué l'entropie  de la collection de sites. Il est temps de détruire tous les anciens groupes, ce qui est très simple à faire avec un script PowerShell, sinon faites-le à la main. L'administrateur de la sécurité devrait être présent durant les heures suivantes pour recevoir toute demande d'ajustement aux nouveaux groupes.

Pour vous donner un exemple des plus concrets, il y a quelques années j'ai réduit à moins de 70 le nombre de groupes d'une collection qui affichait au départ plus de 500 groupes et où le bris d'héritage n'était presque pas toléré ce qui avait entrainé la création de nombreux sites inappropriés et beaucoup de dérapage  de la part des utilisateurs.

 

Juin 2017

S. Charron