Guest access dans M365 : donner accès à vos clients et partenaires en toute sécurité

Partager un canal Teams avec un partenaire, un site SharePoint pour un projet client — c'est ça le guest access. Voici comment le gérer sans vous retrouver avec 200 invités au bout d'un an.

Guest access = quelqu'un en dehors de votre tenant (compte Gmail, autre tenant d'entreprise) qui a accès à des ressources spécifiques. Puissant, mais vite incontrôlable si vous ne le gérez pas.

Comment ça fonctionne ?

Vous invitez une adresse e-mail externe dans une équipe Teams, un site SharePoint ou un partage de fichier direct. M365 crée un utilisateur invité dans votre tenant. Cet invité peut accéder uniquement à ce que vous partagez, rien d'autre.

Une gestion rigoureuse

• Tenez un inventaire. Portal.office.com → Utilisateurs → Utilisateurs invités. Voyez qui est présent, depuis quand et quand il a été actif pour la dernière fois.
• Passez en revue chaque trimestre — en même temps que votre revue d'accès habituelle.
• Fixez une date d'expiration à l'avance — via la fonctionnalité Access Review dans Entra Premium P2, ou déclenchée manuellement à la fin du projet.
• Aucun invité dans le rôle Global Admin. Jamais.

Paramètres au niveau du tenant

• Qui peut inviter ? Uniquement les admins, ou tous les utilisateurs ? Dans beaucoup de PME : autoriser tous les utilisateurs + revue des invités chaque trimestre.
• Quels invités peut-on accepter ? Bloquez les domaines problématiques.
• Les invités doivent-ils utiliser le MFA ? Oui.

À la fin d'un projet client

Supprimez l'utilisateur invité plutôt que de simplement le « retirer de l'équipe ». Sinon, il reste dans votre liste d'utilisateurs comme une potentielle porte dérobée.

Voir aussi : Invités externes dans Teams, accès pour les tiers et consultants externes.