Politiques de gouvernance pour les collaborateurs externes

Qu’est-ce qu’un collaborateur externe ?

Utilisateur invité à collaborer sur une feuille ou un espace de travail, mais qui n’est pas membre de l’organisation ou du domaine propriétaire de la feuille ou de l’espace de travail.

Ces politiques garantissent que vos collaborateurs externes emploient une méthode sécurisée pour se connecter. Par la même occasion, cette méthode confirme passivement que lesdits utilisateurs sont toujours employés par l’organisation avec laquelle vous souhaitez collaborer.

Lorsqu’un collaborateur externe qui ne s’est pas connecté à l’aide d’une authentification unique ou multifacteur tente d’accéder à une ressource qui nécessite une SSO/MFA, il est invité à se connecter avec une SSO pour accéder à la ressource.

Si la politique Require Corporate Account (Exiger un compte d’entreprise) est configurée au niveau du forfait, Require MFA (Exiger une MFA) peut elle être appliquée à l’ensemble du compte ou à des espaces de travail spécifiques. Les administrateurs système peuvent autoriser les administrateurs d’espace de travail à décider s’ils souhaitent appliquer une couche de sécurité supplémentaire à leurs espaces de travail.

Les politiques régissent les feuilles, les rapports et les tableaux de bord, c’est-à-dire tous les éléments qui peuvent être associés à un espace de travail.

Require Corporate Account (Exiger un compte d’entreprise)

La politique Require Corporate Account (Exiger un compte d’entreprise), qui s’applique au niveau du forfait, restreint l’accès à Smartsheet aux utilisateurs disposant d’identifiants authentifiés par l’entreprise (SSO), réduisant ainsi le risque d’accès non autorisé.

Méthodes prises en charge

• Compte professionnel Azure
• Compte professionnel Google
• SSO SAML

Require MFA (Exiger une MFA)

Cette politique exige que les collaborateurs externes s’authentifient avec une authentification multifactorielle (MFA), ce qui renforce leur sécurité grâce à une couche supplémentaire de vérification. Même si un mot de passe est compromis, la fonctionnalité MFA permet de parer toute tentative d’accès non autorisé.

• Pour activer cette politique, vous devez d’abord activer la politique Require Corporate Account (Exiger un compte d’entreprise).

• Si le fournisseur d’identité (IdP) d’un collaborateur externe ne prend pas en charge l’authentification multifacteur ou ne confirme pas la réussite de celle-ci à Smartsheet, notre authentification multifacteur propriétaire par e-mail fait office de sauvegarde.

   

Méthodes prises en charge

• SAML (Okta, Azure, AD FS)
• Compte professionnel Microsoft

• Mot de passe à usage unique par e-mail

   

Authentification multifacteur (MFA) par e-mail

Il s’agit d’un mécanisme de mot de passe à usage unique et limité dans le temps, envoyé par e-mail. Ce dispositif est conçu pour parer aux situations où l’authentification multifacteur standard par l’IdP du collaborateur n’est pas possible.

Imaginons que le système n’est pas en mesure de déterminer si le collaborateur externe s’est connecté par MFA à une ressource à laquelle la politique s’applique. Dans ce cas, dès que le collaborateur clique sur la ressource, le système lui envoie un e-mail.

Si l’utilisateur saisit un code de vérification incorrect trois fois de suite, il doit attendre 30 minutes avant de réessayer.

À propos de l’application mobile

• Actuellement, l’application mobile restreint automatiquement l’accès des collaborateurs externes aux ressources lorsque les administrateurs système appliquent l’une des politiques (ou les deux) à la ressource.
• Les collaborateurs externes qui respectent la politique d’authentification unique ont accès aux ressources sécurisées sur l’application mobile.

Administrateurs système

Pour activer la politique Require Corporate Account (Exiger un compte d’entreprise) :

1. Rendez-vous sur le centre d’administration.
2. Sélectionnez l’icône menu et naviguez jusqu’à Settings > Secure External Access (Paramètres > Sécurisation de l’accès externe).

3. Faites glisser le curseur Require corporate accounts (Exiger des comptes d’entreprise) pour activer la politique.

   Si l’option de connexion interne n’a pas activé l’authentification unique, la politique Require Corporate Account (Exiger un compte d’entreprise) sera automatiquement désactivée.

Pour activer la politique Require MFA (Exiger une MFA) :

1. Rendez-vous sur le centre d’administration.
2. Sélectionnez l’icône menu et naviguez jusqu’à Settings > Secure External Access (Paramètres > Sécurisation de l’accès externe).
3. Faites glisser le curseur Require MFA (Exiger une MFA) pour activer la politique.
   • Pour permettre aux administrateurs d’espace de travail d’appliquer la politique à des espaces de travail précis, sélectionnez la touche Workspace opt-in (Adhésion à l’espace de travail).
   • Pour appliquer la politique à toutes les ressources du forfait, sélectionnez Enforce on all plan assets (Appliquer à toutes les ressources du forfait).

Brandfolder Image

Administrateurs d’espace de travail

• Les administrateurs des espaces de travail ne peuvent pas configurer la politique Require Corporate Account (Exiger un compte d’entreprise) au niveau du forfait. C’est un administrateur système qui doit réaliser cette configuration.
• Si un administrateur système active Workspace opt-in (Adhésion à l’espace de travail), les administrateurs des espaces de travail peuvent appliquer la politique Require MFA (Exiger une MFA) à des espaces de travail précis.

Activer la MFA afin d’accéder à l’espace de travail :

1. Accédez à l’espace de travail et sélectionnez Share (Partager) en haut à droite. 
2. Sélectionnez Set up (Configuration) en haut de la fenêtre de partage. 
3. Faites glisser le curseur Require MFA (Exiger une MFA) pour activer la fonctionnalité. Les paramètres s’appliquent à tous les éléments de l’espace de travail, et non à des éléments individuels.

Brandfolder Image

Liste d’exemption

La liste d’exemption (ou liste des domaines de confiance) permet aux administrateurs système de préciser les domaines et les adresses e-mail individuelles auxquels les politiques ne s’appliquent pas.

L’activation d’une liste d’exemption génère la création d’une feuille avec des colonnes spécifiques. Tous les administrateurs système ont accès à cette feuille.

Pour créer une liste d’exemption :

1. Rendez-vous sur le centre d’administration.
2. Sélectionnez l’icône menu et naviguez jusqu’à Settings > Secure External Access (Paramètres > Sécurisation de l’accès externe). 
3. Sous Advanced Settings (Paramètres avancés), sélectionnez Create sheet (Créer une feuille) sur l’un des éléments suivants :
   • Domaines exemptés
   • Adresses e-mail exemptées
4. Pour ajouter de nouveaux domaines ou de nouvelles adresses e-mail à la liste d’exemption, saisissez-les dans le champ Domains/Emails allowed to share (Domaines/e-mails disposant de la fonction de partage) et utilisez les colonnes de cases à cocher pour indiquer si les politiques ne s’appliquent pas à l’entité.

Feuille de liste d’exemption

Les administrateurs système peuvent uniquement ajouter, modifier et supprimer des lignes sur la feuille. La feuille contient les colonnes suivantes :

• Domains/Emails allowed to share (Domaines/e-mails disposant de la fonction de partage) : répertorie les domaines/adresses e-mail avec lesquels le partage de contenu est autorisé.
• Exempt from Corporate Account Requirement (Compte d’entreprise non requis) : case qui, lorsqu’elle est cochée, dispense le domaine/l’adresse e-mail de s’identifier avec un compte d’entreprise pour accéder au contenu partagé.
• Exempt from MFA Requirement (Authentification multifacteur non requise) : case qui, lorsqu’elle est cochée, dispense le domaine/l’adresse e-mail de s’identifier par authentification multifacteur pour accéder au contenu partagé.
• Modified By (Modifiée par) : identifie le dernier utilisateur qui a apporté des modifications à la ligne.
• Modified On (Modifiée le) : indique la date et l’heure de la dernière modification apportée à la ligne.
• Created By (Créée par) : identifie l’utilisateur qui a créé l’entrée dans la feuille.
• Created (Créée) : indique la date et l’heure de création de l’entrée.
• Notes (Remarques) : un champ ouvert pour toute information ou tout commentaire supplémentaire concernant le statut du domaine/de l’adresse e-mail.

Brandfolder Image

Appels d’API

Lorsque des collaborateurs externes soumettent des requêtes d’API publiques pour accéder aux ressources Smartsheet partagées protégées par les politiques Require Corporate Account (Exiger un compte d’entreprise) ou Require MFA (Exiger une MFA), l’API Smartsheet n’autorise cet accès que si leur domaine ou leur adresse e-mail figure sur la liste d’exemption, ou s’il s’agit d’un domaine validé du forfait.

Si vos collaborateurs externes rencontrent des problèmes pour accéder à leurs ressources partagées, ils doivent contacter l’administrateur système du forfait auquel ces ressources appartiennent.

Autres informations à connaître

• Ces politiques s’appliquent aux utilisateurs qui ne font pas partie d’un domaine validé du forfait qui a activé la politique, et dont le domaine ou l’adresse e-mail ne figure pas dans la liste d’exemption.
• Les mots de passe à usage unique sont valides pendant dix minutes. Après expiration, les utilisateurs doivent en générer un nouveau.
• Si un administrateur système désactive la politique Require Corporate Account (Exiger un compte d’entreprise) alors que la politique Require MFA (Exiger une MFA) est activée, un message d’alerte l’informe que la désactivation de la politique Require Corporate Account désactive automatiquement la politique Require MFA.
• Il incombe aux administrateurs système existants d’accorder l’accès à la feuille de liste d’exemption aux nouveaux ou futurs administrateurs système.
• Toute mise à jour (nouvelles entrées exemptées) de la liste d’exemption peut prendre jusqu’à trois minutes pour s’appliquer.