S’applique à

Smartsheet
  • Enterprise

Fonctionnalités

Qui peut utiliser cette fonctionnalité ?

Vous devez être un administrateur système sous licence pour activer les politiques de gouvernance Require Corporate Account (Exiger un compte d’entreprise) et Require MFA (Exiger une MFA) pour le partage externe.

Politiques de gouvernance pour les collaborateurs externes

Les politiques Require Corporate Account (Exiger un compte d’entreprise) et Require MFA (Exiger une MFA) renforcent la sécurité du partage externe en imposant à vos collaborateurs externes de se connecter à l’aide d’une authentification unique (SSO) et d’une couche supplémentaire d’authentification (Require MFA) pour accéder à tout contenu que vous partagez avec eux.

PLANS

  • Enterprise

Droits

Vous devez être un administrateur système sous licence pour activer les politiques de gouvernance Require Corporate Account (Exiger un compte d’entreprise) et Require MFA (Exiger une MFA) pour le partage externe.

Qu’est-ce qu’un collaborateur externe ?

Utilisateur invité à collaborer sur une feuille ou un espace de travail, mais qui n’est pas membre de l’organisation ou du domaine propriétaire de la feuille ou de l’espace de travail.

Ces politiques garantissent que vos collaborateurs externes emploient une méthode sécurisée pour se connecter. Par la même occasion, cette méthode confirme passivement que lesdits utilisateurs sont toujours employés par l’organisation avec laquelle vous souhaitez collaborer.

Lorsqu’un collaborateur externe qui ne s’est pas connecté à l’aide d’une authentification unique ou multifacteur tente d’accéder à une ressource qui nécessite une SSO/MFA, il est invité à se connecter avec une SSO pour accéder à la ressource.

Si la politique Require Corporate Account (Exiger un compte d’entreprise) est configurée au niveau du forfait, Require MFA (Exiger une MFA) peut être appliquée à l’ensemble du compte ou à des espaces de travail spécifiques. Les administrateurs système peuvent autoriser les administrateurs d’espace de travail à décider s’ils souhaitent appliquer une couche de sécurité supplémentaire à leurs espaces de travail.

Les politiques régissent les feuilles, les rapports et les tableaux de bord, c’est-à-dire tous les éléments qui peuvent être associés à un espace de travail.

Une fois activées, les politiques Require Corporate Account (Exiger un compte d’entreprise) et Require MFA (Exiger une MFA) s’appliquent exclusivement aux éléments principaux (feuilles, rapports et tableaux de bord) de l’application Smartsheet principale, à l’exclusion des éléments des applications Smartsheet Premium.


Require Corporate Account (Exiger un compte d’entreprise)

La politique Require Corporate Account (Exiger un compte d’entreprise), qui s’applique au niveau du forfait, restreint l’accès à Smartsheet aux utilisateurs disposant d’identifiants authentifiés par l’entreprise (SSO), réduisant ainsi le risque d’accès non autorisé.

Méthodes prises en charge

  • Compte professionnel Azure
  • Compte professionnel Google
  • SSO SAML

Require MFA (Exiger une MFA)

Cette politique exige que les collaborateurs externes s’authentifient avec une authentification multifactorielle (MFA), ce qui renforce leur sécurité grâce à une couche supplémentaire de vérification. Même si un mot de passe est compromis, la fonctionnalité MFA permet de parer toute tentative d’accès non autorisé.

  • Pour activer cette politique, vous devez d’abord activer la politique Require Corporate Account (Exiger un compte d’entreprise).
  • Si le fournisseur d’identité (IdP) d’un collaborateur externe ne prend pas en charge l’authentification multifacteur ou ne confirme pas la réussite de celle-ci à Smartsheet, notre authentification multifacteur propriétaire par e-mail fait office de sauvegarde.

     

Méthodes prises en charge

  • SAML (Okta, Azure, AD FS)
  • Compte professionnel Microsoft
  • Mot de passe à usage unique par e-mail

     

Authentification multifacteur (MFA) par e-mail

Il s’agit d’un mécanisme de mot de passe à usage unique et limité dans le temps, envoyé par e-mail. Ce dispositif est conçu pour parer aux situations où l’authentification multifacteur standard par l’IdP du collaborateur n’est pas possible.

Imaginons que le système n’est pas en mesure de déterminer si le collaborateur externe s’est connecté par MFA à une ressource à laquelle la politique s’applique. Dans ce cas, dès que le collaborateur clique sur la ressource, le système lui envoie un e-mail.

Si l’utilisateur saisit un code de vérification incorrect trois fois de suite, il doit attendre 30 minutes avant de réessayer.


À propos de l’application mobile

  • Actuellement, l’application mobile restreint automatiquement l’accès des collaborateurs externes aux ressources lorsque les administrateurs système appliquent l’une des politiques (ou les deux) à la ressource.
  • Les collaborateurs externes qui respectent la politique d’authentification unique ont accès aux ressources sécurisées sur l’application mobile.

Administrateurs système

Pour activer la politique Require Corporate Account (Exiger un compte d’entreprise) :

  1. Rendez-vous dans le centre d’administration.
  2. Sélectionnez l’icône Menu et naviguez jusqu’à Settings > Secure External Access (Paramètres > Sécurisation de l’accès externe).
  3. Faites glisser le curseur Require corporate accounts (Exiger des comptes d’entreprise) pour activer la politique.

    Si l’option de connexion interne n’a pas activé l’authentification unique, la politique Require Corporate Account (Exiger un compte d’entreprise) sera automatiquement désactivée.

Pour activer la politique Require MFA (Exiger une MFA) :

  1. Rendez-vous dans le centre d’administration.
  2. Sélectionnez l’icône Menu et naviguez jusqu’à Settings > Secure External Access (Paramètres > Sécurisation de l’accès externe).
  3. Faites glisser le curseur Require MFA (Exiger une MFA) pour activer la politique.
    • Pour permettre aux administrateurs d’espace de travail d’appliquer la politique à des espaces de travail précis, sélectionnez la touche Workspace opt-in (Adhésion à l’espace de travail).
    • Pour appliquer la politique à toutes les ressources du forfait, sélectionnez Enforce on all plan assets (Appliquer à toutes les ressources du forfait).
Brandfolder Image
Secure External Access page

Administrateurs d’espace de travail

  • Les administrateurs des espaces de travail ne peuvent pas configurer la politique Require Corporate Account (Exiger un compte d’entreprise) au niveau du forfait. C’est un administrateur système qui doit réaliser cette configuration.
  • Si un administrateur système active Workspace opt-in (Adhésion à l’espace de travail), les administrateurs des espaces de travail peuvent appliquer la politique Require MFA (Exiger une MFA) à des espaces de travail précis.
  • Pour générer un rapport montrant tous les espaces de travail pour lesquels la politique Require MFA (Exiger une MFA) est appliquée, sélectionnez Generate opt-in report (Générer un rapport d’adhésion). La feuille de calcul du rapport d’espace de travail comprend le nom de l’espace de travail, indiquant si la politique Require MFA (Exiger une MFA) s’applique à chaque espace de travail, ainsi qu’un lien URL pour y accéder et une liste d’utilisateurs disposant des autorisations Administrateur pour l’espace de travail.

Pour activer la MFA afin d’accéder à l’espace de travail :

  1. Accédez à l’espace de travail et sélectionnez Share (Partager) en haut à droite. 
  2. Sélectionnez Set up (Configuration) en haut de la fenêtre de partage. 
  3. Faites glisser le curseur Require MFA (Exiger une MFA) pour activer la fonctionnalité. Les paramètres s’appliquent à tous les éléments de l’espace de travail, et non à des éléments individuels.
Brandfolder Image
Activate MFA for workspace access

Liste d’exemption

La liste d’exemption (ou liste des domaines de confiance) permet aux administrateurs système de préciser les domaines et les adresses e-mail individuelles auxquels les politiques ne s’appliquent pas.

L’activation d’une liste d’exemption génère la création d’une feuille avec des colonnes spécifiques. Tous les administrateurs système ont accès à cette feuille.

Pour créer une liste d’exemption :

  1. Rendez-vous dans le centre d’administration.
  2. Sélectionnez l’icône Menu et naviguez jusqu’à Settings > Secure External Access (Paramètres > Sécurisation de l’accès externe). 
  3. Sous Advanced Settings (Paramètres avancés), sélectionnez Create sheet (Créer une feuille) sur l’un des éléments suivants :
    • Domaines exemptés
    • Adresses e-mail exemptées
  4. Pour ajouter de nouveaux domaines ou de nouvelles adresses e-mail à la liste d’exemption, saisissez-les dans le champ Domains/Emails allowed to share (Domaines/e-mails disposant de la fonction de partage) et utilisez les colonnes de cases à cocher pour indiquer si les politiques ne s’appliquent pas à l’entité.

Feuille de liste d’exemption

Les administrateurs système peuvent uniquement ajouter, modifier et supprimer des lignes sur la feuille. La feuille contient les colonnes suivantes :

  • Domains/Emails allowed to share (Domaines/e-mails disposant de la fonction de partage) : répertorie les domaines/adresses e-mail avec lesquels le partage de contenu est autorisé.
  • Exempt from Corporate Account Requirement (Compte d’entreprise non requis) : case qui, lorsqu’elle est cochée, dispense le domaine/l’adresse e-mail de s’identifier avec un compte d’entreprise pour accéder au contenu partagé.
  • Exempt from MFA Requirement (Authentification multifacteur non requise) : case qui, lorsqu’elle est cochée, dispense le domaine/l’adresse e-mail de s’identifier par authentification multifacteur pour accéder au contenu partagé.
  • Modified By (Modifiée par) : identifie le dernier utilisateur qui a apporté des modifications à la ligne.
  • Modified On (Modifiée le) : indique la date et l’heure de la dernière modification apportée à la ligne.
  • Created By (Créée par) : identifie l’utilisateur qui a créé l’entrée dans la feuille.
  • Created (Créée) : indique la date et l’heure de création de l’entrée.
  • Notes (Remarques) : un champ ouvert pour toute information ou tout commentaire supplémentaire concernant le statut du domaine/de l’adresse e-mail.
Brandfolder Image
Exempt list sheet

Appels d’API

Lorsque des collaborateurs externes soumettent des requêtes d’API publiques pour accéder aux ressources Smartsheet partagées protégées par les politiques Require Corporate Account (Exiger un compte d’entreprise) ou Require MFA (Exiger une MFA), l’API Smartsheet n’autorise cet accès que si leur domaine ou leur adresse e-mail figure sur la liste d’exemption, ou s’il s’agit d’un domaine validé du forfait.

Si vos collaborateurs externes rencontrent des problèmes pour accéder à leurs ressources partagées, ils doivent contacter l’administrateur système du forfait auquel ces ressources appartiennent.


Autres informations à connaître

  • Ces politiques s’appliquent aux utilisateurs qui ne font pas partie d’un domaine validé du forfait qui a activé la politique, et dont le domaine ou l’adresse e-mail ne figure pas dans la liste d’exemption.
  • Les mots de passe à usage unique sont valides pendant dix minutes. Après expiration, les utilisateurs doivent en générer un nouveau.
  • Si un administrateur système désactive la politique Require Corporate Account (Exiger un compte d’entreprise) alors que la politique Require MFA (Exiger une MFA) est activée, un message d’alerte l’informe que la désactivation de la politique Require Corporate Account désactive automatiquement la politique Require MFA.
  • Il incombe aux administrateurs système existants d’accorder l’accès à la feuille de liste d’exemption aux nouveaux ou futurs administrateurs système.
  • Toute mise à jour (nouvelles entrées exemptées) de la liste d’exemption peut prendre jusqu’à trois minutes pour s’appliquer. 

Est-il possible de désactiver la fonctionnalité MFA par e-mail une fois la politique Require MFA (Exiger une MFA) activée ?

Non. Une fois que la politique Require MFA (Exiger une MFA) est active, les administrateurs système ne peuvent pas désactiver la fonctionnalité MFA par e-mail. Celle-ci tient lieu de sauvegarde pour assurer une sécurité continue, même si la méthode MFA principale n’est pas disponible.

Comment les collaborateurs externes qui ne font pas partie d’une organisation exemptée par les politiques Require Corporate Account (Exiger un compte d’entreprise)/Require MFA (Exiger une MFA) accèdent-ils au système ? En particulier ceux qui sont consultants indépendants ?

  • Ils peuvent s’authentifier à l’aide des réseaux sociaux, tels que Google SSO ou les options Microsoft (par exemple, gmail.com, live.com).
  • Ils peuvent recevoir un code par e-mail (MFA par e-mail) à des fins de vérification.
  • Les administrateurs système peuvent ajouter des utilisateurs à la liste d’exemption si nécessaire.
     

Comment traitons-nous les objections lorsque les collaborateurs externes n’utilisent pas Microsoft ou Google pour la politique Require Corporate Account (Exiger un compte d’entreprise) ?

Pour la politique Require Corporate Account, nous ne prenons actuellement en charge que les connexions Google/Microsoft SSO ou l’authentification professionnelle par SAML.

Tout administrateur de l’espace de travail sera-t-il en mesure de mettre en œuvre ces politiques ?

Les administrateurs des espaces de travail peuvent activer la politique Require MFA (Exiger une MFA) au niveau de l’espace de travail si un administrateur système a activé cette dernière. Les administrateurs des espaces de travail ne peuvent pas configurer la politique Require Corporate Account (Exiger un compte d’entreprise).

Certains domaines sont-ils ajoutés automatiquement à la liste d’exemption ?

Oui. Tous les domaines vérifiés du forfait sont automatiquement exemptés des politiques Require Corporate Account (Exiger un compte d’entreprise) et Require MFA (Exiger une MFA), car les utilisateurs de ces domaines sont traités comme des utilisateurs internes du forfait.

Cet article a-t-il été utile ?
OuiNon