Dans le monde de la conformité, il existe différentes catégories de contrôles permettant de parvenir à son but. Face à un besoin spécifique, tous les moyens peuvent être bons pour répondre aux exigences, notamment :
- Contrôles techniques (application automatique d’étiquettes de confidentialité en fonction du contenu ou de l’emplacement, par exemple)
- Contrôles opérationnels/de processus (vérifier régulièrement les accès des invités, par exemple)
- Contrôles manuels (utilisateurs finaux acceptant manuellement d’adhérer aux orientations données, par exemple)
En savoir plus :
Vous êtes débutant de Microsoft Teams ? Découvrez comment renforcer la gestion et la sécurité de Teams à l’aide de notre ebook « Utilisez et adaptez Microsoft Teams aux besoins de votre entreprise » !
Si vous êtes administrateur informatique en charge de Microsoft Teams, il est probable que vous vous concentrez au quotidien sur les aspects techniques que vous maîtrisez, à savoir la configuration de fond qui régit le fonctionnement du service pour les utilisateurs finaux.
Mais aussi performante que puisse être la technologie, il faut souvent tenir compte du facteur humain. Il s’avère parfois nécessaire d’associer un contrôle technique à un contrôle manuel de l’utilisateur final. Cet article présente un exemple pratique de ce type de situation et suggère une solution que vous pourriez envisager pour Microsoft Teams, notamment pour ceux d’entre vous qui travaillent dans une organisation réglementée.
Conditions d’utilisation de Microsoft Teams
Un cas d’utilisation pratique des conditions d’utilisation concerne la conformité et les audits. Toute entreprise souhaitant réglementer les sujets abordés et partagés dans Microsoft Teams doit mettre en place des contrôles techniques pour surveiller ces sujets (outils Microsoft Purview tels que : conformité des communications, DLP Teams, niveau de confidentialité des fichiers/courriers et du conteneur), mais également des conditions d’utilisation à lire et à accepter de manière récurrente par tous les utilisateurs, y compris le personnel et les invités, qui utilisent Teams dans leur organisation.
À titre d’anecdote, de nombreux gestionnaires de dossiers me disent souvent : « Nous ne sommes pas censés prendre des décisions d’affaires dans une conversation Teams » ou « Nous ne devrions normalement pas partager des documents confidentiels dans des conversations Teams ». Les contrôles techniques que j’ai mentionnés ci-dessus peuvent certes être mis en place pour atténuer le risque que cela se produise ; toutefois, il faut veiller à ce que les utilisateurs de Microsoft Teams soient également sensibilisés à vos orientations. Faute de quoi, les utilisateurs Teams seront le talon d’Achille de votre stratégie de conformité.
Une chaîne n’a que la force de son maillon le plus faible.
-Thomas Reid
Un excellent moyen de renforcer ce maillon est de créer des conditions d’utilisation spécialement conçues pour Microsoft Teams.
Clause de non-responsabilité : je ne suis pas juriste. Bien que je ne pense pas que des conditions d’utilisation soient nécessairement juridiquement contraignantes, il est possible de faire référence à la validation des conditions d’utilisation par un utilisateur final dans le cadre d’un procès, d’une enquête interne ou d’un audit réglementaire à titre de preuve.
J’ai rencontré de nombreuses méthodes utilisées pour communiquer ce type d’« Orientations Teams », y compris :
- Dans un courrier envoyé à l’échelle de l’organisation (toutefois, il peut se perdre dans le flot de courriers présents dans la boîte de réception de l’utilisateur final).
- En tant qu’élément d’information sur votre intranet (toutefois, les personnes qui n’accordent aucune attention à ce canal de communication risquent de passer à côté).
- Un formulaire d’attestation élaboré à l’aide de Microsoft Forms et envoyé avec suivi aux utilisateurs finaux (cependant, c’est à vous d’élaborer le formulaire et d’assurer le suivi des personnes qui ont ou n’ont pas répondu).
- Une solution personnalisée utilisant la Power Platform (néanmoins, c’est à vous qu’il incombe de créer et de supporter la solution personnalisée, ce qui engendrera une certaine dette technique).
Voyons comment fournir des orientations à vos utilisateurs Teams en utilisant les conditions d’utilisation de la fonction Azure Active Directory intégrée au service Microsoft 365.
Prérequis
Les utilisateurs finaux qui acceptent les conditions d’utilisation doivent disposer de licences comprenant Azure AD Premium P1, P2, EMS E3, EMS E5. Pour configurer une stratégie de conditions d’utilisation, vous devez avoir le statut d’administrateur général, d’administrateur de la sécurité, ou d’administrateur de l’accès conditionnel.
La fonction Conditions d’utilisation comporte plusieurs options utiles :
- Elle peut s’appliquer aux employés et/ou aux invités
- Elle permet de décider du rythme auquel un utilisateur doit renouveler son acceptation des conditions d’utilisation
- Elle peut s’appliquer à une application spécifique (par exemple, Teams, SharePoint, OneDrive) ou à toutes les applications
- Elle permet de répertorier les personnes qui ont ou n’ont pas accepté les conditions d’utilisation
- Elle prend en charge des utilisateurs parlant différentes langues
Creusons un peu !
Avant toute chose, il vous faut créer vos conditions d’utilisation. Pour les besoins de cet article, je vais créer des conditions d’utilisation pour Microsoft Teams, mais vous pouvez en créer une seule version pour tous vos canaux de communication, plusieurs conditions d’utilisation pour cibler différents groupes d’utilisateurs (employés ou invités), ou des conditions d’utilisation différentes pour chaque application. Dans tous les cas, faites appel à vos équipes chargées des questions juridiques, des risques et de la conformité afin de formuler correctement vos conditions d’utilisation. Voici le modèle des conditions d’utilisation de Teams :
Étape 1 : créer vos conditions d’utilisation
Je souhaite que les employés et les invités acceptent les présentes conditions d’utilisation de Teams avant de pouvoir accéder à Teams. Je souhaite également qu’elles soient affichées aux utilisateurs suivant un calendrier récurrent – une fois tous les trois mois.
L’ajout des conditions d’utilisation ci-dessus dans une entité est réalisé dans le portail Azure. Accédez à Azure Active Directory -> Sécurité -> Accès conditionnel -> Conditions d’utilisation. Dans cet exemple, j’ai téléchargé le PDF ci-dessus et configuré ces paramètres :
- Langue : anglais
- Afficher le nom « Conditions d’utilisation de Teams NexNovus » pour que les utilisateurs finaux puissent le voir.
- Demander aux utilisateurs de développer les conditions d’utilisation afin de les encourager à lire celles-ci.
- Faire expirer le consentement aux conditions d’utilisation en débutant immédiatement et en faisant renouveler l’acceptation tous les trimestres (c’est-à-dire tous les 90 jours).
Étape 2 : créer une stratégie d’accès conditionnel
Pour faire respecter vos conditions d’utilisation, vous devez mettre en place une stratégie d’accès conditionnel. En ce qui concerne nos conditions d’utilisation, je souhaite qu’elles s’appliquent aux utilisateurs internes et aux invités lorsqu’ils accèdent à Microsoft Teams, je vais donc sélectionner l’option Stratégie personnalisée.
Cela vous amènera à l’écran Accès conditionnel illustré ci-dessous, qui vous permettra de créer une nouvelle stratégie d’accès conditionnel. Vous pouvez également utiliser l’un des modèles intégrés ; cependant, dans notre exemple, je souhaite cibler uniquement Microsoft Teams et vais donc créer un modèle personnalisé :
J’attribue un nom à la stratégie d’accès conditionnel, puis je procède aux affectations suivantes :
- Utilisateurs ou identités de charge de travail visés par la stratégie (utilisateurs internes, utilisateurs externes, invités).
- Applications ou actions dans le cloud auxquelles la stratégie s’applique (Teams)
- Contrôles d’accès (associer nos conditions d’utilisation de Teams ici)
Utilisateurs ou identités de charge de travail
Je souhaite que ces conditions d’utilisation s’appliquent aux invités, aux utilisateurs externes et aux deux utilisateurs de mon entité :
Applications ou actions dans le cloud
Je souhaite que ces conditions d’utilisation s’appliquent uniquement à Microsoft Teams ; vous pouvez toutefois prévoir des conditions d’utilisation différentes pour chaque type d’application dans le cloud si vous le souhaitez (Exchange, SharePoint, OneDrive) et rappeler ainsi au personnel les contrôles de conformité que vous souhaitez mettre en œuvre :
Accorder des contrôles d’accès
C’est ici que j’associe les conditions d’utilisation Microsoft Teams de NexNovus à la stratégie d’accès conditionnel. La possibilité d’accéder à Microsoft Teams ne sera accordée qu’après l’acceptation des conditions d’utilisation.
Enfin, dernier point important : activer la stratégie :
Que voit l’utilisateur final ?
La prochaine fois que je me connecterai à Teams, voilà ce que je verrai :
Lorsque vous développez les conditions d’utilisation, vous voyez le PDF que vous avez téléchargé :
Je peux à présent accéder à Microsoft Teams et je serai à nouveau invité à accepter les conditions d’utilisation au bout de 90 jours. Génial !
Surveillance de vos conditions d’utilisation Microsoft Teams
Les administrateurs et les responsables de la conformité au sein de votre organisation peuvent souhaiter vérifier quelles personnes ont ou n’ont pas accepté les conditions d’utilisation. Pour cela, il suffit de sélectionner les conditions d’utilisation dans la section Conditions d’utilisation de l’accès conditionnel. Vous trouverez ci-dessous un audit de la date d’acceptation des conditions d’utilisation et de leur date d’expiration. Vous pouvez également voir exactement la version des conditions d’utilisation qui a été acceptée, au cas où cela a été remis en question :
Conclusion
Les conditions d’utilisation sont un outil fantastique qui permet d’assurer le respect de la conformité, car elles sont intégrées dans le flux de travail et rappellent régulièrement aux utilisateurs finaux vos attentes quant à ce qui leur est permis de faire ou de ne pas faire dans l’application.
Vous recherchez des solutions de gestion de Microsoft Teams plus complètes ? Demandez une démonstration pour profiter des solutions d’administration et de gestion de Microsoft Teams d’AvePoint dès aujourd’hui !
Pour en savoir plus sur Microsoft Teams, n’oubliez pas de vous abonner à notre blog.