Groupe M365 public

Les groupes Microsoft 365 sous-tendent diverses applications Office 365, en particulier Microsoft Teams, où chaque équipe correspond à un groupe M365 associé. Vous pouvez créer ces groupes et les configurer ultérieurement avec les paramètres de confidentialité privée ou publique, comme suit :

Lors de la création d'un groupe, vous devez décider si vous souhaitez qu'il s'agisse d'un groupe privé ou d'un groupe public. Le contenu d'un groupe public peut être vu par n'importe quel membre de votre organisation, et n'importe quel membre de votre organisation peut rejoindre le groupe. Le contenu d'un groupe privé doit être vu par les membres du groupe, et les personnes qui souhaitent rejoindre un groupe privé doivent être approuvées par le propriétaire du groupe.

Les groupes publics sont pratiques mais présentent également des risques, car tout utilisateur membre du tenant de l'organisation, y compris les utilisateurs invités, peut librement rejoindre ces groupes et accéder aux données qu'ils contiennent. Par exemple :

• Teams : conversations et fichiers partagés (en fait stockés dans un site SharePoint)
• OneDrive : bibliothèques partagées
• Exchange Online : boîte aux lettres de groupe Outlook
• OneNote : notes partagées
• Tâches Microsoft Planner et Microsoft To Do
• Ressources cloud Azure (car les groupes M365 peuvent se voir attribuer des rôles Azure)
• Etc.

Les utilisateurs malveillants ou curieux peuvent facilement découvrir des groupes publics sans avoir besoin d'outils de piratage. Par exemple, ils peuvent les trouver via la fonctionnalité « Créer et rejoindre des équipes et des canaux » dans Teams, dans Outlook, ou via le « Volet d'accès Mes groupes d'applications », etc.

Dans Microsoft 365, les utilisateurs finaux créent eux-mêmes des groupes et choisissent s'ils sont publics ou privés, généralement à partir d'applications comme Teams (la plus courante), Outlook ou SharePoint, sans avoir à faire intervenir un administrateur informatique pour les créer, comme c'est le cas des groupes de sécurité. Par conséquent, les utilisateurs finaux sélectionnent souvent l'option de confidentialité publique sans bien comprendre que cela permet à n'importe quel membre du tenant Entra de l'organisation de rejoindre le groupe sans demander l'approbation du propriétaire du groupe, donnant ainsi accès à tout le contenu du groupe.

Les groupes Microsoft 365, également appelés « groupes unifiés » et anciennement appelés « groupes Office 365 » font partie des types de groupes stockés dans Entra ID. Cet indicateur d'exposition se concentre spécifiquement sur ces groupes Microsoft 365, plutôt que sur les groupes de sécurité Microsoft Entra plus connus, qui ne disposent pas des mêmes options de confidentialité publique/privée.

Limitation : cet indicateur d'exposition (IoE) ne peut pas déterminer automatiquement si un groupe M365 public est légitime.

Remarque : les groupes privés peuvent également exposer des informations sensibles par inadvertance. En effet, leur nom, leur description et la liste de leurs membres sont, par défaut, visibles pour tous les membres du tenant de l'organisation. Ces métadonnées à elles seules peuvent suffire à déduire des détails confidentiels, comme la cible d'une fusion potentielle si elle est incluse dans le nom du groupe. Pour atténuer ce risque, Microsoft a proposé des options permettant de masquer les groupes privés dans les listes AD et de dissimuler leurs listes de membres. Cependant, ces paramètres sont désactivés par défaut, ce qui signifie que les organisations doivent les activer de manière proactive afin de garantir la confidentialité des métadonnées des groupes privés.

Cet IoE fournit des informations sur tous les groupes Microsoft 365 configurés avec le paramètre public. Étant donné que l'IoE ne peut pas déterminer automatiquement la légitimité du statut public d'un groupe, vous devez examiner chaque détection et effectuer l'une des actions suivantes :

• Si le groupe contient des informations privées, définissez son paramètre de confidentialité comme privé et assurez-vous que les membres du groupe sont uniquement des utilisateurs autorisés. Avec cette configuration, les propriétaires du groupe recevront des demandes d'accès chaque fois qu'un utilisateur demandera à rejoindre le groupe.
• Si le groupe est intentionnellement défini comme public, par exemple parce qu'il ne contient que des informations publiques, ajoutez-le à l'option d'exclusion de l'IoE pour confirmer que le paramètre public est approprié.

Les groupes Microsoft 365 ont des propriétaires désignés qui sont responsables de la gestion des paramètres et de l'appartenance du groupe. Si vous devez confirmer le paramètre de confidentialité approprié pour un groupe, vous pouvez contacter les propriétaires du groupe par e-mail ou par messagerie instantanée.

Vous pouvez modifier le paramètre de confidentialité (privé ou public) des groupes Microsoft 365 en utilisant diverses méthodes :

• Centre d'administration Microsoft 365 : dans le menu « Équipes et groupes » -> « Équipes et groupes actifs », cliquez sur le groupe et modifiez son paramètre « Confidentialité » dans l'onglet « Paramètres ».
• Centre d'administration Teams : dans le menu « Teams » -> « Gérer les équipes », cliquez sur le groupe et modifiez son paramètre « Confidentialité » dans l'onglet « Paramètres ».
• Microsoft Graph PowerShell : utilisez la cmdlet Update-MgGroup -Visibility Public|Private|HiddenMembership.
• API Microsoft Graph : utilisez l'API Mettre à jour le groupe et définissez la propriété visibilité.
• Exchange PowerShell : utilisez la cmdlet Set-UnifiedGroup -AccessType Public|Private.
• Outlook classique ou Web Access : suivez les procédures décrites dans l'article.

Par défaut, les groupes M365 créés dans les portails Outlook et Azure sont privés, mais vous pouvez modifier ce paramètre.

Pour empêcher la création de nouveaux groupes publics susceptibles d'enfreindre les politiques de sécurité et de confidentialité de votre organisation, plusieurs options s'offrent à vous :

• Utilisez des étiquettes de sensibilité (soumis à des exigences de licence). Liez les étiquettes de sensibilité aux paramètres de confidentialité autorisés ou non. Par exemple, limitez une équipe Teams marquée d'une étiquette de sensibilité « Confidentielle » au paramètre de confidentialité « privé » uniquement.
• Gérez les personnes autorisées à créer des groupes Microsoft 365 (soumis à des exigences de licence). Limitez la création de groupes à des administrateurs chevronnés, capables de sélectionner le niveau de confidentialité approprié. Mettez en œuvre un formulaire personnalisé pour la création de groupes, afin de garantir des paramètres de confidentialité appropriés. Attention : cette approche peut réduire l'autonomie des utilisateurs finaux, car ils souhaitent généralement pouvoir créer des équipes eux-mêmes.
• Formez les utilisateurs finaux à leurs responsabilités et à l'impact de chaque option de confidentialité. Consultez la documentation de Microsoft sur l'explication des groupes Microsoft 365 à vos utilisateurs. Sensibilisez les utilisateurs finaux à leurs responsabilités et donnez-leur les moyens de prendre des décisions éclairées concernant les paramètres de confidentialité du groupe.
• Utilisez un script ou cet IoE pour énumérer régulièrement les groupes Microsoft 365 publics. Envoyez des e-mails ou des messages Teams aux propriétaires de groupes pour leur rappeler les risques associés aux groupes publics. Autorisez les propriétaires à confirmer leur intention ou à modifier le paramètre de confidentialité du groupe.

Nom: Groupe M365 public

Nom de code: PUBLIC-M365-GROUP

Sévérité: Medium

Type: Microsoft Entra ID Indicator of Exposure