Teams : la confidentialité de vos réunions !

Dans cet article, nous allons passer en revue tout ce que vous devriez savoir pour sécuriser vos réunions et autres webinaires.

L’accès externe

Par définition, une réunion Teams dans la plupart des cas, permet d’inviter n’importe quelle personne, qu’elle appartienne à l’entreprise ou pas. Dans ce scénario, on distinguera trois types de population :

• les personnes externes,
• les personnes invitées
• les anonymes.

La première population est constituée de personnes d’une autre organisation qui utilisent Microsoft Teams depuis leurs tenants. Dans ce cas , vous êtes à peu près certains que la personne externe que vous avez invitée, est bien celle qui va participer à la réunion. Sauf usurpation de son compte bien sûr.

La seconde population est constituée de comptes appartenant à votre organisation mais qui vont être utilisés par des personnes extérieures à celle-ci et qui n’ont pas l’usage de Teams. Avec l’accès invité, votre organisation fournit un compte d’accès à ces personnes auprès de votre Azure Active Directory leur permettant de s’authentifier et, in fine, participer à la réunion. Là aussi, vous êtes à peu près sûr que c’est la bonne personne qui va se joindre à votre réunion.

La troisième population est composée de personnes anonymes qui vont pouvoir accéder à votre réunion sans pour cela s’authentifier. Autrement dit, toute personne qui possède le lien de la réunion va de facto pouvoir rentrer dans la réunion. Certes, vous pouvez, avec les stratégies bloquer ces dernières, mais force est de constater que cette fonctionnalité est très utilisée dans les entreprises, justement pour inviter des personnes totalement externes à l’entreprise. Il est donc difficile de totalement bannir cette possibilité.

Les stratégie de réunion et leurs options

La capture d’écran suivante illustre par conséquent une stratégie relativement permissive qui permet à n’importe qui de rejoindre une réunion mais qui limite malgré tout certaines fonctionnalités.

Une des premières choses à faire est de ne pas laisser la possibilité aux personnes non authentifiées de démarrer la réunion. Sans quoi, n’importe qui peut utiliser votre service de réunion. Le paramètre « Let anonymous people join a meeting » doit être positionné sur « On » mais le suivant,  « Let anonymous people start a meeting » sur « Off » impérativement

Concernant l’accès au rôle présentateur je vous conseille plutôt de laisser la valeur suivante « Organizers, but user can override » ce qui signifie que par défaut, seul l’organisateur possède le rôle présentateur mais que les utilisateurs peuvent éventuellement changer cette option lorsqu’ils organisent des réunions. Comment le font-ils ? Par le biais du bouton ci-dessous présent dans leur Outlook

ou par le biais du lien Hypertexte de la réunion qui vous amènera à cette page de configuration

Attention, si vous changez certaines options , ces changements ne vont s’appliquer que sur votre réunion et non sur vos futures réunions. Par défaut, pour chaque nouvelle réunion, le client Teams appliquera la stratégie de réunion décidée par l’administrateur.

Les 2 erreurs classiques

Erreur 1 : Si vous planifiez une réunion dont vous être l’organisateur et par conséquent l’unique présentateur et que vous décidez d’inviter des personnes extérieures qui devront patienter dans la salle d’attente, et qu’au dernier moment vous décidez de rejoindre cette réunion par le pont de conférence audio téléphonique sans authentification, alors…  vous serez vous aussi placé dans la salle d’attente. Sauf, si bien avant, vous avez pris le soin de prendre connaissance de votre code d’accès personnel en cliquant sur le lien suivant « Réinitialiser le code confidentiel ». ce que peu de personnes font.

Erreur 2 : Si vous planifiez une réunion dont vous être l’organisateur et par conséquent l’unique présentateur et si vous ne pouvez pas y participer, seule les personnes de votre organisation pourront accéder à la réunion mais ne pourront rien partager. Quant aux personnes anonymes elles resteront cantonnées dans la salle d’attente.

Choisissez qui vous désirez faire rentrer

Le paramètre « Automatically admit people » est dans notre cas positionné sur « Invited Users Only » ce qui signifie que seules les personnes ayant la possibilité de s’authentifier vont être automatiquement admises à rentrer dans la réunion.

Personnellement je ne suis pas un grand adepte de ce mode de fonctionnement et je recommande souvent de positionner cette valeur sur « People in my Organization » pour des questions de confidentialité. Dans ce mode, les personnes extérieures à l’organisation patienteront dans une salle d’attente le temps que les personnes internes coordonnent leurs messages par exemple.

Il en va de même pour les personnes qui rejoignent la réunion avec leur téléphone portable via le pont de conférence téléphonique, et qui par définition ne sont pas authentifiées. Même traitement que les personnes extérieures, direction la salle d’attente.