Créer et gérer des règles de confiance pour le partage Drive

Supposons que l'équipe Marketing de votre organisation doive partager ses fichiers avec des membres spécifiques d'une organisation partenaire. Afin de protéger la confidentialité des informations de votre organisation, vous pouvez créer des règles établissant les limites suivantes pour la collaboration externe :

• Autoriser le partage des fichiers appartenant à votre équipe Marketing avec des membres spécifiques de l'organisation partenaire
• Empêcher le partage de fichiers appartenant à d'autres équipes de votre organisation avec l'organisation partenaire
• Empêcher les autres équipes de l'organisation partenaire de partager leurs fichiers avec les membres de votre organisation

Supposons que l'équipe Finance de votre organisation partage ses fichiers uniquement avec la direction. Afin d'éviter que d'autres équipes reçoivent des informations financières confidentielles, vous pouvez créer des règles établissant les limites suivantes pour la collaboration interne :

• Autoriser le partage des fichiers appartenant à l'équipe Finance au sein de l'équipe et avec la direction
• Empêcher le partage des fichiers appartenant à l'équipe Finance avec les autres équipes de votre organisation

Drive tente d'empêcher les utilisateurs externes de partager des spams ou des tentatives d'hameçonnage avec vos utilisateurs. Toutefois, si vous souhaitez prendre des mesures supplémentaires pour réduire les risques, vous pouvez créer une règle qui n'autorise que les utilisateurs externes de domaines de confiance à partager des fichiers avec des utilisateurs internes. Pour que les utilisateurs puissent continuer à collaborer, vous pouvez appliquer cette règle uniquement aux unités organisationnelles dont les utilisateurs ne reçoivent généralement pas de fichiers de la part d'utilisateurs externes.

Les paramètres de partage Drive sont automatiquement convertis en règles de confiance

Les règles de confiance remplacent vos paramètres Drive sous Options de partagePartage en dehors de votre organisation.

Vous pouvez prévisualiser les règles converties à partir des paramètres Drive

Pour prévisualiser des règles créées automatiquement à partir de vos paramètres Drive :

Sur la page d'accueil de la console d'administration, accédez à Règles. Pour filtrer les règles par type, cliquez sur Ajouter un filtreType de règleConfiance.

Cette liste comprend les éléments suivants :

• Deux règles par défaut pour le partage en dehors de votre organisation

  Une fois appliquées, ces règles seront actives ou inactives, selon l'état des paramètres de partage Drive équivalents.

• Toutes les autres règles nécessaires pour appliquer les limites de partage de vos paramètres Drive actuels

Important : Ces règles ne s'appliquent qu'une fois que vous activez les règles de confiance.

Vos paramètres de partage Drive équivalents seront désactivés

Une fois que vous avez activé les règles de confiance, vous ne pouvez plus utiliser les paramètres Drive pour le partage externe à votre organisation. Pour en savoir plus sur les paramètres de partage Drive, consultez Définir les autorisations de partage des utilisateurs Drive.

Vous pouvez désactiver les règles de confiance

Vous pouvez à tout moment désactiver les règles de confiance et revenir aux paramètres de partage Drive. Pour en savoir plus, consultez Activer ou désactiver les règles de confiance ci-dessous.

Grâce aux conditions et au champ d'application des règles de confiance, vous contrôlez le partage de fichiers avec plus de précision qu'avec les paramètres de partage de Drive. Pour en savoir plus sur les composants des règles, consultez Composants des règles de confiance plus loin sur cette page.

Les tableaux suivants comparent les commandes des paramètres de partage Drive et des règles de confiance.

Commandes du champ d'application

Commandes de condition

Pour créer une règle de confiance, vous devez définir son champ d'application, son déclencheur, ses conditions et son action. À l'aide de ces composants, vous pouvez créer une règle qui indique que si l'action x se produit, y s'applique.

Par exemple, si vous créez une règle pour autoriser le service commercial de votre organisation à partager les fichiers qui lui appartiennent avec l'ensemble de l'organisation de votre client (autre-entreprise.com), les composants de la règle sont les suivants :

• Le champ d'application est l'unité organisationnelle de votre service commercial.
• Le déclencheur est la tentative d'un utilisateur de partager un fichier qui appartient à un compte inclus dans le champ d'application.
• La condition est autre-entreprise.com.
• L'action est d'autoriser le partage du fichier.

Définir le champ d'application

Le champ d'application est celui de l'utilisateur de votre organisation auquel s'applique le déclencheur d'une règle :

• Si le déclencheur d'une règle est Partager des fichiers, le champ d'application concerne l'utilisateur propriétaire du fichier dont vous souhaitez contrôler le partage.

  Important : Une règle de partage contrôle également le partage par des utilisateurs disposant de droits de modification sur un fichier appartenant à un utilisateur inclus dans le champ d'application.

• Si le déclencheur d'une règle est Recevoir des fichiers, le champ d'application concerne le destinataire du fichier.

Pour le champ d'application, vous pouvez :

• inclure l'ensemble de votre organisation ;
• inclure ou exclure les unités organisationnelles (qui peuvent contenir des utilisateurs et des Drive partagés) ;
• inclure ou exclure des groupes dans le service Google Groupes de votre organisation.

Définir le déclencheur

Le déclencheur correspond à l'activité que la règle va autoriser ou bloquer. Vous pouvez sélectionner l'un des déclencheurs suivants :

• Partager des fichiers
• Recevoir des fichiers

Définir les conditions

Les conditions indiquent avec quels utilisateurs un fichier peut être partagé ou desquels il est possible d'en recevoir :

• Si le déclencheur d'une règle est Partager des fichiers, la condition est le destinataire du fichier.
• Si le déclencheur d'une règle est Recevoir des fichiers, la condition est l'utilisateur propriétaire du fichier.

Vous pouvez spécifier plusieurs conditions pour une règle, internes et externes à votre organisation, y compris les suivantes :

• Unités organisationnelles
• Groupes dans le service Google Groupes de votre organisation (peut inclure des utilisateurs externes)
• Domaines ajoutés à la liste d'autorisation (tous les utilisateurs des domaines externes qui figurent sur votre liste d'autorisation)
• Domaines externes ne figurant pas sur votre liste d'autorisation (ils doivent utiliser Google Workspace et avoir été validés)
• Utilisateurs spécifiques de votre organisation
• Tout utilisateur possédant un compte Google

Remarque : Il suffit d'une condition remplie pour que la règle s'applique.

Définir l'action

L'action est le résultat que vous souhaitez appliquer lorsqu'une règle est déclenchée. Vous pouvez :

• Autoriser le partage
• Autoriser le partage avec un avertissement

  Remarque : Si vous sélectionnez cette option, les utilisateurs voient un avertissement lorsqu'ils partagent des fichiers, mais pas lorsqu'ils en reçoivent.

• Bloquer le partage

Vous avez défini deux règles par défaut pour spécifier le partage en dehors de votre organisation :

Vous ne pouvez pas modifier les règles par défaut, mais vous pouvez les désactiver et les réactiver (sauf si vous utilisez Cloud Identity).

* Si vous avez déjà configuré les paramètres Drive pour le partage externe, l'état des règles par défaut dépend des paramètres de partage Drive équivalents qui ont été convertis en règles de confiance.

Autoriser ou bloquer le partage par équipe ou par groupe

Veillez à créer les unités organisationnelles et les groupes pour lesquels vous souhaitez créer des règles de confiance :

• Pour savoir comment créer des unités organisationnelles, consultez Ajouter une unité organisationnelle.
• Pour savoir comment créer des groupes, consultez Créer un groupe dans votre organisation.

Pour limiter le partage aux domaines de confiance uniquement

Assurez-vous que les domaines de confiance figurent sur votre liste d'autorisation. Les domaines de confiance doivent utiliser Google Workspace et avoir été validés. Pour en savoir plus, consultez Autoriser le partage externe uniquement avec des domaines approuvés.

Clients Cloud Identity : si votre organisation dispose d'une combinaison de licences Cloud Identity et Google Workspace, les domaines figurant sur une liste d'autorisation pour Google Workspace s'appliquent également aux utilisateurs disposant de licences Cloud Identity.

Avant de créer des règles de confiance, déterminez le type de partage que vous voulez autoriser ou bloquer dans votre structure organisationnelle. Vérifiez que vos règles empêchent vos utilisateurs de partager du contenu involontairement avec des personnes non désirées, mais leur permettent bien d'effectuer les partages souhaités.

Supposons par exemple que vous disposiez de quatre unités organisationnelles (Ventes, Juridique, Recherche et Autres équipes) et que vous souhaitiez limiter les types de partage suivants :

• Les fichiers appartenant à l'équipe Ventes ne peuvent pas être partagés en interne avec l'équipe Recherche.
• Les fichiers appartenant à l'équipe Juridique ne peuvent pas être partagés en externe, sauf avec votre conseiller juridique externe.
• Les fichiers appartenant à l'équipe Recherche ne peuvent être partagés qu'en interne entre l'équipe Recherche et l'équipe Juridique.
• Les fichiers appartenant à toutes les autres équipes ne peuvent pas être partagés en externe.

Voici la procédure à suivre pour implémenter votre modèle de partage.

Étape 1 : Mappez les limites de collaboration

À l'aide d'une matrice, vous pouvez mapper les autorisations de partage pour différents utilisateurs. Par exemple :

Étape 2 : Créez les règles suivantes :

Étape 3 : Désactivez les deux règles par défaut

Les règles par défaut permettent un partage étendu à l'intérieur et à l'extérieur de votre organisation. Dans cet exemple, elles sont en conflit avec le modèle de partage plus spécifique que vous souhaitez utiliser.

Si vous avez besoin de droits supplémentaires pour gérer les règles de confiance, contactez votre administrateur.

Astuce : Si vous êtes un super-administrateur, vous pouvez créer un rôle d'administrateur personnalisé pour gérer les règles de confiance, puis l'attribuer à un administrateur délégué. Pour en savoir plus, consultez Créer, modifier et supprimer des rôles d'administrateur personnalisés.

Si vous activez les règles de confiance :

• Les règles existantes de votre liste de règles s'appliquent, et vos paramètres de partage Drive en dehors de votre organisation sont désactivés. Pour en savoir plus, consultez Les règles de confiance remplacent les paramètres Drive plus haut.
• Si vous modifiez un paramètre de partage Drive juste avant d'activer les règles de confiance, celles-ci peuvent appliquer temporairement l'état précédent des paramètres Drive. Un délai de 48 heures peut être nécessaire pour que les règles de confiance se synchronisent avec les modifications récentes apportées aux paramètres de partage Drive.

Pour activer les règles de confiance :

1. Accédez à Menu  Règles.

   Vous devez disposer du droit d'administrateur Afficher les règles de confiance.

2. Dans la fiche Collaborez en toute sécurité en haut de la page, cliquez sur Activer pour Drive. Vous devez disposer des droits d'administrateur Gérer les règles de confiance et Drive et DocsParamètres.

   La liste de tâches s'ouvre automatiquement et affiche la progression de l'activation des règles de confiance.

Si vous désactivez les règles de confiance :

• les paramètres de partage Drive de votre organisation sont réactivés et l'état qu'ils avaient au moment de l'activation des règles peut être rétabli ;
• Toutes les règles de confiance que vous avez créées sont définitivement supprimées.

Pour désactiver les règles de confiance :

1. Dans la console d'administration Google, accédez à Menu ApplicationsGoogle WorkspaceDrive et Docs.

   Accéder à Drive et Docs

   Vous devez disposer du droit d'administrateur "Paramètres du service".

2. Cliquez sur Paramètres de partage.
3. Sous Partage en dehors de votre organisation, cliquez sur Désactiver les règles de confiance. Vous devez disposer des droits d'administrateur Gérer les règles de confiance et Drive et DocsParamètres.

   La liste de tâches s'ouvre et affiche la progression de la désactivation des règles de confiance.

Une fois que vous avez créé une règle de confiance, vous pouvez :

• la modifier à tout moment pour en changer des composants, comme les conditions et les actions, ou pour la désactiver ou la réactiver ;
• la supprimer à tout moment.

1. Accédez à Menu  Règles.

   Vous devez disposer du droit d'administrateur Afficher les règles de confiance.

2. Cliquez sur Créer une règleConfiance. Vous devez disposer des droits d'administrateur Afficher les règles de confiance, Gérer les règles de confiance, Drive et DocsParamètres, GroupesLire et Unités organisationnellesLire.
3. Sous Nom, saisissez un nom et éventuellement une description pour votre règle.
4. Sous Champ d'application, sélectionnez l'un des comportements suivants :

   Par défaut, la règle s'applique à tous les membres de votre organisation.

   Pour n'appliquer la règle qu'à des utilisateurs spécifiques :

   • Pour une règle de partage, sélectionnez les fichiers utilisateur auxquels la règle doit s'appliquer. Les règles de confiance ne s'appliquent qu'aux fichiers qui appartiennent à des utilisateurs ou à des Drive partagés se trouvant dans le champ d'application de la règle. En savoir plus
   • Pour une règle de réception, choisissez les utilisateurs destinataires d'un fichier partagé.
   1. Cliquez sur Indiquer les unités organisationnelles ou les groupes.
   2. Sélectionnez une option pour inclure ou exclure des unités organisationnelles ou des groupes.
   3. Sélectionnez l'unité organisationnelle ou le groupe à inclure ou à exclure.
   4. (Facultatif) Incluez ou excluez d'autres unités organisationnelles ou groupes.

      Par exemple, pour appliquer une règle à tous les membres de votre organisation à l'exception d'un groupe, incluez l'unité organisationnelle racine et excluez le groupe concerné.

      Pour supprimer une unité organisationnelle ou un groupe, cliquez sur Effacer  à côté.

5. Cliquez sur Continuer.
6. Sous Déclencheurs, sélectionnez au moins l'un des deux événements auxquels vous souhaitez appliquer la règle :
   • Partager des fichiers : la règle se déclenche lorsque des fichiers appartenant à des personnes incluses dans votre champ d'application sont partagés avec les utilisateurs que vous sélectionnez dans Conditions.
   • Recevoir des fichiers : la règle se déclenche lorsque des utilisateurs inclus dans votre champ d'application reçoivent des fichiers appartenant aux utilisateurs ou Drive partagés que vous sélectionnez dans Conditions, ou sont ajoutés en tant que membres de Drive partagés inclus dans Conditions.
7. Sous Conditions, cliquez sur Ajouter une condition, puis sélectionnez les personnes internes ou externes pour lesquelles vous souhaitez autoriser (ou bloquer) le partage avec les utilisateurs inclus dans votre champ d'application, ou la réception de contenu de ces même utilisateurs.

   Options internes :

   • Utilisateur : commencez à saisir le nom ou l'adresse e-mail de l'utilisateur.
   • Unité organisationnelle : cliquez sur Sélectionner une unité organisationnelle.
   • Groupe : commencez à saisir le nom ou l'adresse e-mail du groupe.
   • Mon organisation

   Options externes :

   (Facultatif) Pour autoriser les utilisateurs à partager du contenu avec des personnes ne possédant pas de compte Google, cochez l'option Visiteurs inclus. Cette option ne s'applique pas à certains types de conditions. En savoir plus sur le partage avec un visiteur

   • Organisation externe : saisissez le nom de domaine de l'organisation (par exemple, autre-entreprise.com). L'organisation doit disposer d'un compte Google Workspace avec validation du domaine, sauf si vous utilisez le partage avec un visiteur.
   • Domaines de la liste d'autorisation : vérifiez éventuellement quels domaines figurent sur votre liste d'autorisation en cliquant sur Afficher les domaines ajoutés à la liste d'autorisation.
   • Tout utilisateur possédant un compte Google (utilisateurs internes et externes inclus)
8. Cliquez sur Continuer.
9. Sous Action, sélectionnez ce qui se passe lorsque la règle est déclenchée : Autoriser, Autoriser avec message d'avertissement ou Bloquer.
10. Cliquez sur Terminer.
11. Indiquez si vous souhaitez activer ou désactiver la règle, puis cliquez sur Terminer.

La prise en compte des modifications peut prendre jusqu'à 48 heures. Pendant ce délai, les anciens et nouveaux paramètres peuvent s'appliquer par intermittence.

Vous pouvez modifier une règle de confiance à tout moment pour changer des paramètres tels que les conditions et l'action, ou pour la désactiver ou la réactiver.

1. Accédez à Menu  Règles.

   Vous devez disposer du droit d'administrateur Afficher les règles de confiance.

2. Recherchez la règle dans la liste Règles.

   Conseil : Vous pouvez trier la liste par type de règle en cliquant sur l'en-tête de colonne Type de règle. Vous pouvez également filtrer la liste en cliquant sur Ajouter un filtreType de règleConfiance.

3. (Facultatif) Pour afficher le champ d'application, les conditions, le déclencheur et l'action des règles, pointez sur la règle dans la liste, puis cliquez sur Aperçu rapide.
4. (Facultatif) Cliquez sur la règle pour ouvrir la page des détails et voir les paramètres.
5. (Facultatif) Pour modifier les paramètres :
   1. Sur la gauche de la page des détails, cliquez sur Modifier la règle. ou sur une section de paramètres. Vous devez disposer des droits d'administrateur Afficher les règles de confiance, Gérer les règles de confiance, Drive et DocsParamètres, GroupesLire et Unités organisationnellesLire.
   2. Modifiez les paramètres.

      Pour accéder à d'autres paramètres, cliquez sur Continuer. Pour fermer une section, cliquez sur AnnulerSupprimer et quitter.

   3. Lorsque vous avez terminé de modifier les paramètres, cliquez sur Terminer.

La prise en compte des modifications peut prendre jusqu'à 48 heures. Pendant ce délai, les anciens et nouveaux paramètres peuvent s'appliquer par intermittence.

Si vous supprimez une règle de confiance, elle est définitivement retirée de votre service Google. Vous pouvez également désactiver une règle si vous souhaitez la réactiver ultérieurement. Accédez à Afficher ou modifier les détails d'une règle de confiance.

1. Accédez à Menu  Règles.

   Vous devez disposer du droit d'administrateur Afficher les règles de confiance.

2. Sous Règles, cliquez sur Ajouter un filtreType de règleConfiance.
3. Dans la liste Règles, pointez sur la règle que vous souhaitez supprimer, puis cliquez sur Supprimer . Vous devez disposer des droits d'administrateur Afficher les règles de confiance, Gérer les règles de confiance et Drive et DocsParamètres.

   L'option Supprimer se trouve à gauche de la page des détails de la règle (cliquez sur la règle pour ouvrir sa page de détails).

4. Dans le message de confirmation, cliquez sur Supprimer.

La prise en compte des modifications peut prendre jusqu'à 48 heures. Pendant ce délai, les anciens et nouveaux paramètres peuvent s'appliquer par intermittence.

Vous pouvez consulter les journaux détaillés qui montrent l'activité des administrateurs concernant les règles de confiance. Trois types de journaux sont disponibles :

• Création de règles
• Suppression d'une règle
• Mettre à jour la règle

Vous pouvez consulter les journaux détaillés qui montrent l'activité des utilisateurs sur les règles de confiance des fichiers Drive partagés. Trois types de journaux sont disponibles :

• Destinataire bloqué
• Partage de fichiers bloqué
• Affichage de fichiers bloqué

Pour savoir comment afficher les types d'événements que vous êtes autorisé à voir, consultez Événements du journal d'administration et Événements du journal des règles.

Pour autoriser une équipe ou un utilisateur à partager ses fichiers avec une autre équipe ou un autre utilisateur internes, vous aurez besoin de deux règles : une pour le partage et une pour la réception.

Exemple : autoriser une équipe à partager ses fichiers avec une autre équipe

Supposons que vous souhaitiez autoriser les membres de votre équipe commerciale à partager les fichiers qui leur appartiennent avec votre équipe marketing. Dans ce cas, vous devrez créer une règle autorisant l'équipe Ventes à partager des fichiers avec l'équipe Marketing et une autre autorisant l'équipe Marketing à recevoir des fichiers de l'équipe Ventes :

Exemple : Autoriser le partage de fichiers entre deux équipes

Supposons que vous souhaitiez autoriser les équipes Ventes et Marketing à partager entre elles les fichiers qui leur appartiennent. Comme dans l'exemple précédent, vous aurez besoin de deux règles. Toutefois, dans ce cas, le déclencheur de chaque règle doit inclure le partage et la réception :

Si une règle spécifie ce qui se passe lorsqu'un fichier est partagé, elle s'applique uniquement aux fichiers qui appartiennent aux utilisateurs (et à tous les Drive partagés) inclus dans son champ d'application. La règle ne s'applique pas aux fichiers dont les utilisateurs du champ d'application disposent des droits de modification, mais qui ne leur appartiennent pas.

Par exemple, si vous créez une règle pour empêcher votre équipe Recherche de partager des fichiers lui appartenant avec votre équipe Ventes, l'équipe Recherche peut toujours partager avec l'équipe Ventes tout autre fichier pour lequel elle dispose des droits de modification. Pour empêcher l'équipe Ventes de recevoir les fichiers d'une autre équipe, vous pouvez créer des règles de blocage.

Remarque :

• Si le propriétaire d'un fichier change d'unité organisationnelle ou de groupe, les règles de partage qui s'appliquent au fichier sont celles de la nouvelle unité organisationnelle ou du nouveau groupe. C'est également le cas si la propriété d'un fichier est transférée à une personne d'un autre groupe ou unité organisationnelle.

• Pour partager des fichiers qui ne leur appartiennent pas, les utilisateurs sont soumis aux limites imposées aux propriétaires des fichiers. Cette restriction s'applique même si les utilisateurs font partie d'unités organisationnelles ou de groupes dont les règles de partage sont plus permissives.

Voici comment les règles de confiance fonctionnent avec les personnes qui n'ont pas de compte Google, ou dont le compte Google n'est pas géré par un administrateur.

Personnes sans compte Google (visiteurs)

Règles pour autoriser le partage

Si vous créez une règle qui autorise les utilisateurs à partager des fichiers en externe, le partage est autorisé par défaut uniquement avec les personnes disposant d'un compte Google géré. Cependant, vous pouvez également autoriser les utilisateurs à partager des fichiers avec les personnes qui ne disposent pas d'un compte Google. Dans ce cas, un type de compte spécial, appelé compte visiteur, est attribué au destinataire. En savoir plus sur le partage avec des comptes visiteur

Pour autoriser le partage avec des personnes qui ne possèdent pas de compte Google, dans les paramètres de conditions de la règle, sélectionnez l'option Visiteurs inclus. Cette option ne s'applique qu'aux règles qui autorisent les utilisateurs à partager du contenu en externe, avec un domaine externe ou avec tous les utilisateurs externes.

Remarque : Vous ne pouvez pas autoriser le partage avec un compte visiteur en l'ajoutant à un groupe pour lequel vous autorisez le partage externe.

Règles pour bloquer le partage

Les règles bloquant le partage de fichiers en dehors de l'organisation s'appliquent toujours aux visiteurs, même si l'option Visiteurs inclus n'est pas sélectionnée.

Toutefois, si une autre règle autorise le partage avec des comptes visiteur, aucune règle de blocage ne s'applique aux comptes visiteur dans les groupes. Par exemple, si vous disposez des règles suivantes :

• Règle 1 : autoriser le partage de fichiers avec Tout utilisateur possédant un compte Google, avec l'option Visiteurs inclus sélectionnée
• Règle 2 : bloquer le partage avec un groupe de liste de diffusion incluant des personnes avec des comptes visiteur

Les actions de blocage ne s'appliquent pas aux comptes visiteur du groupe. Les utilisateurs concernés par la règle 2 peuvent toujours accorder l'accès à leurs fichiers aux comptes visiteur.

Personnes avec un compte Google non géré

Règles pour autoriser le partage

Si vous créez une règle autorisant les utilisateurs à partager du contenu en externe avec un domaine ou une organisation spécifique, les utilisateurs ne peuvent pas partager de contenu avec les comptes Google non gérés de ce domaine ou de cette organisation. Il peut s'agir de comptes personnels ou de comptes Google Workspace validés par e-mail.

Vous pouvez toutefois autoriser les utilisateurs à partager du contenu avec des comptes non gérés spécifiques. Pour ce faire, ajoutez les comptes à un groupe, puis créez une règle autorisant le partage avec ce groupe.

Règles pour bloquer le partage

Les règles qui empêchent les utilisateurs de partager du contenu en dehors de votre organisation s'appliquent toujours aux comptes non gérés.

Si le champ d'application d'une règle de confiance inclut une unité organisationnelle, la règle s'applique à tous les Drive partagés de cette unité. Par exemple, si vous créez une règle qui permet à l'unité organisationnelle de l'équipe Fabrication de partager des fichiers avec l'équipe Juridique, les utilisateurs de l'équipe Juridique peuvent accéder aux Drive partagés de l'équipe Fabrication.

Pour créer des règles de confiance pour les Drive partagés, assurez-vous de les configurer dans les unités organisationnelles appropriées.

Si le champ d'application, le déclencheur et les conditions de plusieurs règles de confiance correspondent à un événement de partage, l'ordre de prévalence suivant s'applique pour le composant d'action des règles :

1. Bloquer le partage
2. Autoriser le partage
3. Autoriser le partage avec un avertissement

Voici quelques exemples de gestion des règles en conflit. Dans ces exemples :

• "votre-organisation.com" est l'unité organisationnelle racine ;
• "Service marketing" est une unité organisationnelle enfant de l'organisation racine.

Exemple 1

Résultat : Le service marketing étant un sous-ensemble de votre organisation, la règle 1 s'applique également pour ce service. Il peut donc partager des fichiers avec n'importe quel internaute, pas seulement dans les domaines de la liste d'autorisation. L'exemple 2 ci-dessous vous montre comment créer des règles pour restreindre les partages du service marketing à des domaines de la liste d'autorisation.

Exemple 2

Résultat : La règle 1 excluant le service marketing, seule la règle 2 s'applique à ce service. Par conséquent, il peut partager du contenu uniquement avec les domaines de la liste d'autorisation. Tous les autres utilisateurs peuvent partager des fichiers avec n'importe quel internaute.

Exemple 3

Résultat : La règle 2 étant plus permissive, le service marketing peut partager du contenu avec n'importe quel internaute. Les autres utilisateurs ne peuvent partager du contenu qu'avec les domaines de la liste d'autorisation.

Exemple 4

Résultat : La règle 2 bloquant le partage, elle est prioritaire sur le partage autorisé par la règle 1. Le service marketing peut donc partager avec n'importe quel internaute, sauf autre-entreprise.com.

Par défaut, l'état des règles que vous créez est défini sur Actif. Toutefois, vous pouvez définir n'importe quelle règle nouvelle ou existante sur Inactive. Par exemple, vous pouvez créer une règle et la désactiver jusqu'à ce que vous soyez prêt à l'utiliser.

Si le champ d'application ou les conditions d'une règle de confiance n'incluent aucune unité organisationnelle, comptez un délai maximal de 24 heures avant qu'elle ne s'applique au partage Drive. Toutefois, si une ou plusieurs unités organisationnelles sont concernées par le champ d'application ou les conditions d'une règle de confiance, sa mise en œuvre peut prendre jusqu'à 48 heures, en fonction de la taille des unités organisationnelles.

Vous êtes limité aux quantités suivantes :

• 200 règles de confiance actives
• 2 000 règles de confiance (actives et inactives)
• 150 conditions par règle de confiance
• 500 conditions des types suivants pour l'ensemble des règles de confiance de votre organisation :
  • unités organisationnelles
  • groupes
  • Domaines de la liste d'autorisation (de confiance)
  • domaines externes
  • Utilisateurs spécifiques : 1 à 200 utilisateurs comptent pour 1 condition, 201 à 400 utilisateurs comptent comme 2 conditions, etc.

  Remarque : Il n'existe aucune limite au nombre de conditions des types suivants que vous pouvez appliquer à l'ensemble de vos règles de confiance :

  • Organisation
  • Tout utilisateur possédant un compte Google
• 500 unités organisationnelles ou groupes inclus et exclus dans le champ d'application d'une même règle

Vous pouvez choisir des groupes créés par des administrateurs ou des utilisateurs dans votre liste de groupes de la console d'administration. Les adresses de groupe doivent se terminer par le domaine de votre organisation : vous ne pouvez pas choisir de groupes externes pour le champ d'application ou les conditions d'une règle.

Voici quelques types de groupes pouvant être utilisés pour les règles de confiance :

• Groupes dynamiques : gérez automatiquement les adhésions lorsque des utilisateurs rejoignent votre organisation, la quittent ou changent de service en interne. Disponibles dans la console d'administration ou avec l'API Cloud Identity Groups, les groupes dynamiques vous permettent de passer moins de temps à gérer manuellement les appartenances aux groupes. Pour utiliser un groupe dynamique dans une stratégie de règles de confiance, vérifiez qu'il s'agit également d'un groupe de sécurité (avec le libellé Sécurité). En savoir plus sur les groupes dynamiques

• Groupes de sécurité : convertissez un groupe standard ou dynamique en groupe de sécurité afin de vous aider à réguler, contrôler et surveiller les autorisations et les accès du groupe. Vous pouvez créer des groupes de sécurité dans la console d'administration ou à l'aide de l'API Cloud Identity Groups en leur attribuant le libellé Sécurité. En savoir plus sur les groupes de sécurité

• Groupes migrés : à l'aide de Google Cloud Directory Sync (GCDS), synchronisez les groupes que vous créez dans Microsoft Active Directory ou d'autres outils avec Google Workspace. Utilisez ensuite ces groupes synchronisés dans les règles de confiance. En savoir plus sur GCDS

Pour appliquer des règles de confiance aux utilisateurs externes, vous pouvez créer un groupe avec des adresses externes (de groupe ou individuelles). Par exemple, si l'équipe juridique de votre organisation doit partager ses fichiers avec des avocats spécifiques de votre cabinet de conseil externe, vous pouvez créer un groupe avec les adresses des avocats. Créez ensuite une règle. Par exemple :

• Champ d'application : unité organisationnelle de l'équipe juridique
• Déclencheur : partager des fichiers et recevoir des fichiers
• Condition : groupe incluant les adresses d'avocats spécifiques
• Action : autoriser

Si un utilisateur ne dispose plus du service Google Drive et Docs pour son compte (par exemple, si la licence Google Workspace a été supprimée de son compte), les fichiers dont il est propriétaire ne peuvent être partagés que dans votre organisation, même si les règles de confiance appliquées à ses fichiers autorisent le partage externe. Les règles de partage interne, telles que celles qui limitent le partage à des unités organisationnelles spécifiques, ne s'appliqueront plus aux fichiers utilisateur. Toutefois, les règles qui empêchent d'autres utilisateurs disposant d'une licence de recevoir des fichiers seront toujours appliquées.

Pour permettre le partage externe des fichiers de l'utilisateur, vous pouvez ajouter la licence Utilisateur archivé (UA) à son compte. Pour en savoir plus, consultez Ajouter des licences Utilisateur archivé.

Si vous avez créé une règle permettant à un groupe de partager des fichiers en externe, puis que vous supprimez un utilisateur du groupe, les fichiers que cet utilisateur a partagés en externe ne sont plus accessibles en dehors de votre organisation.

Si votre organisation comprend des utilisateurs disposant d'une licence Google Workspace qui n'inclut pas de règles de confiance, vous pouvez tout de même appliquer des règles de confiance à ces utilisateurs et à leurs fichiers. De plus, si un utilisateur possède une licence Google Workspace incluant les règles de confiance, puis que vous passez son compte à une licence ne les incluant pas, les règles de confiance continuent de s'appliquer à l'utilisateur et à ses fichiers.

Les règles de confiance s'appliquent aux utilisateurs, et non aux groupes, car un groupe peut inclure des membres qui ne sont pas bloqués par les règles de confiance. Vous pouvez donc partager des fichiers Drive avec des groupes externes, mais l'accès des membres du groupe est bloqué en fonction de vos règles de confiance.

Si votre organisation passe à une édition Google Workspace qui n'inclut pas de règles de confiance, les règles de confiance actives de votre organisation restent actives et continuent de s'appliquer. Vous pouvez consulter les règles de confiance, mais pas les modifier ni les supprimer. Si vous êtes un super-administrateur, vous pouvez désactiver les règles de confiance afin d'utiliser les paramètres de partage Drive.

Si vous désactivez les règles de confiance : les paramètres de partage Drive de votre organisation sont réactivés, dans l'état qu'ils avaient au moment où vous avez activé les règles de confiance. Toutes les règles de confiance que vous avez créées sont définitivement supprimées.

Si vous résiliez votre abonnement Google Workspace et que vous ne disposez que de licences Cloud Identity, vous ne pouvez pas utiliser les paramètres de partage Drive.

Lors du partage d'un fichier, les utilisateurs peuvent sélectionner l'option Tous les utilisateurs disposant du lien si toutes les conditions suivantes sont remplies :

• Les règles de confiance qui s'appliquent aux fichiers des utilisateurs leur permettent de partager du contenu avec tous les membres de votre organisation, tous les détenteurs d'un compte Google et les comptes visiteur.
• Aucune règle de confiance appliquée aux fichiers de l'utilisateur ne l'empêche de partager des fichiers.
• Le paramètre de partage Drive suivant est activé : Lorsque le partage en dehors de votre domaine est autorisé, les utilisateurs peuvent rendre des fichiers et du contenu Web publié disponibles pour toute personne disposant du lien. Pour en savoir plus sur ce paramètre, consultez Définir les autorisations de partage des utilisateurs Drive.

Oui, les comptes de service sont inclus dans la condition Tout utilisateur possédant un compte Google. Par exemple, si vous créez une règle de confiance pour empêcher les utilisateurs de votre organisation de collaborer avec Tout utilisateur possédant un compte Google,cette règle empêche également les comptes de service d'accéder aux fichiers protégés par la règle.

Les règles de confiance n'empêchent les personnes interrogées d'accéder à un formulaire que si celui-ci contient une question de type "Importer un fichier" et que la règle de confiance comporte une restriction de partage de fichiers. Les utilisateurs concernés par une règle de confiance peuvent répondre aux formulaires Forms qui n'invitent pas les personnes interrogées à importer des fichiers.