Les autorisations SharePoint peuvent faire l’objet de cauchemars. Chez Varonis, nous avons la chance de rencontrer de nombreux administrateurs SharePoint et il est rare qu’ils ne soient pas épuisés à essayer de gérer les autorisations des utilisateurs. SharePoint est une plate—forme de collaboration utile — et le produit de Microsoft qui se vend le plus rapidement jamais – mais aider à garantir des autorisations et un contrôle d’accès appropriés n’est probablement pas son meilleur atout.
Le premier défi avec les autorisations SharePoint est que, comme les serveurs de fichiers, SharePoint dispose de groupes » locaux » ou spécifiques à SharePoint pouvant contenir des groupes d’annonces et des utilisateurs. Contrairement aux partages de fichiers, cependant, où les groupes locaux de serveur sont rarement utilisés sur les dossiers partagés, les groupes locaux SharePoint sont beaucoup plus courants. Cela ajoute une couche de complexité, en particulier dans les grandes organisations où l’équipe administrative SharePoint peut être complètement séparée du groupe gérant Active Directory.
Ensuite, les autorisations réelles elles-mêmes sont plus compliquées. Les systèmes de fichiers NTFS sont généralement Complets, Modifient, Lisent & Exécutent, Listent, Lisent et Écrivent. Avec SharePoint, vous obtenez 12 types d’autorisations pour les listes, 3 pour les actions « personnelles » telles que les vues et 18 types différents pour les sites eux-mêmes. Ces types d’autorisation peuvent être regroupés en » niveaux d’autorisation. » Par exemple, le niveau d’autorisation de site » Contributeur » par défaut contient 8 des 12 types d’autorisation. En plus de la poignée de niveaux d’autorisation intégrés, les administrateurs peuvent créer des niveaux d’autorisation personnalisés. Pour couronner le tout, un utilisateur, un groupe ou un groupe SharePoint donné peut se voir accorder plusieurs niveaux d’autorisation sur une liste ou un site donné, de sorte qu’il peut rapidement devenir très difficile de comprendre ce qu’un utilisateur ou un groupe donné peut réellement faire avec les données auxquelles il a eu accès.
Même si les autorisations SharePoint peuvent être source de confusion, même pour les équipes technologiques, Microsoft est conçu pour permettre aux personnes non techniques de gérer directement les autorisations. Avant SharePoint 2010, il y avait même un bouton intégré pour accorder facilement l’accès à tous les utilisateurs authentifiés, ou à tous les membres de l’organisation connectés au domaine. Ce qui s’est finalement produit, c’est que les utilisateurs professionnels utiliseraient cela comme un raccourci pour obtenir l’accès des utilisateurs en cas de besoin, plutôt que de gérer les autorisations de manière plus sécurisée. Avec de plus en plus de données sensibles partagées sur des serveurs SharePoint, cela représente un risque important.
La bonne nouvelle est que Varonis DatAdvantage pour SharePoint aide les organisations à donner un sens aux autorisations SharePoint en fournissant des informations et une collecte discrète de métadonnées pour SharePoint, comme cela a été le cas pendant des années pour les systèmes de fichiers et (plus récemment) pour Exchange. Le cauchemar des autorisations SharePoint se termine alors que des questions critiques sur la gouvernance des données peuvent enfin être résolues : Qui a accès à un site SharePoint et quel niveau d’accès ont-ils ? À quoi ont-ils accédé? Quels sites SharePoint sont exposés et contiennent des données sensibles ? Plus important encore, comment les réparer sans perturber les affaires? SharePoint peut être un outil de collaboration puissant, mais il est important de comprendre les données qui s’y trouvent, qui les utilise, quelles autorisations sont en place et comment ces contrôles changent.