Zones de stockage restreintes
Les zones de stockage restreintes sont utilisées pour protéger les données sensibles. Seuls les employés peuvent accéder au stockage restreint.
L’authentification des utilisateurs tiers n’est pas prise en charge dans la zone restreinte.
Remarque :
Les zones de stockage restreintes sont en fin de maintenance. Cette politique de cycle de vie est décrite plus en détail dans la section Définition des jalons du cyclede vie. La création de nouvelles zones de stockage restreintes n’est pas prise en charge. Les clients existants qui utilisent des zones de stockage restreintes recevront des informations supplémentaires concernant les étapes futures du produit.
Caractéristiques des zones restreintes
Authentification de zone : en plus de se connecter à ShareFile, les utilisateurs doivent s’authentifier séparément auprès du Storage Zones Controller pour accéder aux documents stockés dans une zone restreinte. La recherche dans l’annuaire garantit que l’utilisateur qui se connecte à ShareFile est le même que celui qui s’authentifie auprès de la zone. Cette exigence d’authentification supplémentaire limite le partage. Les documents peuvent être partagés uniquement avec d’autres personnes ayant accès au StorageZones Controller et pouvant s’authentifier à l’aide d’informations d’identification d’entreprise. Dans une zone restreinte, les fichiers ne peuvent pas être partagés de manière anonyme. Les utilisateurs doivent être autorisés à afficher un fichier et doivent toujours se connecter pour recevoir un fichier partagé.
Cryptage des métadonnées : toutes les informations relatives aux fichiers et dossiers de la zone sont cryptées avec votre clé avant d’être envoyées à ShareFile. Par conséquent, personne en dehors de votre organisation ne peut voir les noms de dossiers ou de fichiers dans les zones réglementées. L’accès aux clés de chiffrement, aux fichiers déchiffrés et aux métadonnées n’est disponible que par le biais de l’authentification d’entreprise auprès de Storage Zones Controller.
Adresse interne pour le StorageZones Controller : pour une zone restreinte, l’autorisation se produit entre le StorageZones Controller et les clients ShareFile au lieu d’entre le StorageZones Controller et le cloud ShareFile. Par conséquent, un StorageZones Controller qui héberge des zones restreintes n’a pas besoin d’adresse externe ou de certificat SSL externe. Lorsque le Storage Zones Controller est configuré avec une adresse interne uniquement, les utilisateurs doivent se connecter au réseau de l’entreprise ou au VPN pour accéder aux documents de la zone restreinte.
Notifications par e-mail de votre serveur de messagerie : lorsque les utilisateurs reçoivent des notifications par e-mail concernant des fichiers et des dossiers partagés dans une zone restreinte, l’e-mail est envoyé depuis votre serveur de messagerie interne au lieu d’un serveur ShareFile.
Différences entre les zones standard et restreintes
| Propriétés | Zones standard | Zones restreintes |
|---|---|---|
| Les serveurs de zone de stockage peuvent être gérés par… | Citrix ou administrateur de compte | administrateur de compte |
| L’authentification de l’utilisateur est gérée par… |
ShareFile.com ou ShareFile.eu
|
une combinaison de ShareFile.com ou ShareFile.eu plus votre StorageZones Controller sur site |
| Les fichiers peuvent être partagés avec… | employés et utilisateurs tiers (c’est-à-dire toute personne disposant d’une adresse e-mail) | employés ou autres utilisateurs disposant d’un compte de domaine |
| Les métadonnées de fichier et de dossier stockées dans le plan de contrôle ShareFile sont… | stockées en texte clair, visibles par certains employés Citrix | chiffrées avec vos clés privées, qui ne sont pas disponibles pour Citrix |
| Les notifications par e-mail sont envoyées en utilisant… | Serveurs de messagerie ShareFile ou vos serveurs SMTP | vos serveurs SMTP |
| L’adresse externe de la zone est… | requis | non requis |
Zones de stockage standard et restreintes
Vous pouvez désigner une zone de stockage comme zone de stockage standard ou restreinte.
- Une zone de stockage standard est conçue pour stocker les données non sensibles et permet aux employés de partager des données avec des personnes autres que des employés.
- Une zone de stockage restreint protège les données sensibles : seuls les employés peuvent accéder aux données stockées dans la zone.
Le tableau suivant résume les différences entre les zones standard et restreintes.
| Propriétés | Zones standard | Zones restreintes |
|---|---|---|
| Les serveurs de zone de stockage peuvent être gérés par… | Citrix ou administrateur de compte | administrateur de compte |
| L’authentification de l’utilisateur est gérée par… |
ShareFile.com ou ShareFile.eu
|
une combinaison de ShareFile.com ou ShareFile.eu plus votre StorageZones Controller sur site |
| Les fichiers peuvent être partagés avec… | employés et utilisateurs tiers (c’est-à-dire toute personne disposant d’une adresse e-mail) | employés ou autres utilisateurs disposant d’un compte de domaine |
| Les métadonnées de fichier et de dossier stockées dans le plan de contrôle ShareFile sont… | stockées en texte clair, visibles par certains employés Citrix | chiffrées avec vos clés privées, qui ne sont pas disponibles pour Citrix |
| Les notifications par e-mail sont envoyées en utilisant… | Serveurs de messagerie ShareFile ou vos serveurs SMTP | vos serveurs SMTP |
| L’adresse externe de la zone est… | requis | non requis |
Dans une zone gérée par Citrix, le cloud ShareFile effectue toutes les opérations à l’exception de l’authentification des employés, qui est gérée par le contrôleur des zones de stockage.
Dans la zone standard, la maintenance et les mises à jour du site Web, les mises à jour des clients et des applications, les métadonnées de fichier, l’autorisation de chargement et de téléchargement, les notifications par e-mail (SMTP), l’authentification des utilisateurs tiers et les autorisations de dossier sont gérées dans le cloud. L’authentification des employés, le stockage et le chiffrement des fichiers sont gérés par le Controller.
Dans la zone restreinte, la maintenance et les mises à jour du site Web, les mises à jour des clients et des applications et les autorisations de dossier sont gérées dans le cloud L’authentification des employés, le stockage et le cryptage des fichiers, les métadonnées des fichiers, l’autorisation de chargement et de téléchargement et les notifications par e-mail (SMTP) sont gérés par le contrôleur. L’authentification des utilisateurs tiers n’est pas prise en charge dans la zone restreinte.
ShareFile prend en charge un mélange de zones standard et restreintes au sein d’un compte. Vous pouvez créer plusieurs zones restreintes, chacune ayant ses propres exigences d’authentification uniques. Par exemple, si les utilisateurs du domaine A ne doivent pas être autorisés à partager des fichiers avec des utilisateurs du domaine B, installez une zone restreinte distincte pour chaque domaine.
Le reste de cette section décrit le flux de travail dans les zones gérées par ShareFile, standard et restreintes.
Déploiement de preuve de concept pour les zones de stockage restreintes
Un StorageZones Controller configuré pour les zones restreintes n’a pas besoin d’accepter les connexions entrantes depuis le cloud ShareFile : vous pouvez le configurer avec une adresse interne. La figure suivante indique le flux de trafic entre les appareils utilisateur, le cloud ShareFile et le StorageZones Controller.
Dans ce scénario, un pare-feu se trouve entre Internet et le réseau sécurisé. Le StorageZones Controller se trouve à l’intérieur du pare-feu pour contrôler l’accès. Les connexions utilisateur à ShareFile doivent traverser le pare-feu et utiliser le protocole SSL sur le port 443 pour établir cette connexion. Pour prendre en charge cette connectivité, vous devez ouvrir le port 443 sur le pare-feu et installer un certificat SSL, qui peut être privé, sur le service IIS du StorageZones Controller.
Pour les zones restreintes, le StorageZones Controller envoie des notifications par e-mail à partir de votre serveur SMTP local au lieu de ShareFile.
Déploiement haute disponibilité pour les zones restreintes
Les StorageZones Controller configurés pour les zones restreintes n’ont pas besoin d’accepter les connexions entrantes depuis le cloud ShareFile : vous pouvez configurer chacune d’entre elles avec une adresse interne. La figure suivante illustre un déploiement à haute disponibilité pour les zones restreintes.
Dans ce scénario, un pare-feu se trouve entre Internet et le réseau sécurisé. Les StorageZones Controller se trouvent à l’intérieur du pare-feu pour contrôler l’accès. Les connexions utilisateur à ShareFile doivent traverser le pare-feu et utiliser le protocole SSL sur le port 443 pour établir cette connexion. Pour prendre en charge cette connectivité, vous devez ouvrir le port 443 sur le pare-feu et installer un certificat SSL, qui peut être privé, sur le service IIS du StorageZones Controller.
Pour les zones restreintes, le StorageZones Controller envoie des notifications par e-mail à partir de votre serveur SMTP local au lieu de ShareFile.
Zones restreintes
Le tableau suivant décrit les connexions réseau qui se produisent lorsqu’un utilisateur ouvre une session sur ShareFile, puis télécharge un document à partir d’une zone restreinte. Toutes les connexions utilisent HTTPS.
| Étape | Source | Destination |
|---|---|---|
|
Client | company.sharefile.com |
|
Client | URL du fournisseur d’identité SAML |
|
Client | szc.company.com |
|
szc.company.com |
company.sharefile.com |
|
Client | szc.company.com |
Déploiement pour zones de stockage restreintes
La figure suivante illustre un déploiement à haute disponibilité pour les zones restreintes.
Pour les zones restreintes, le StorageZones Controller envoie des notifications par e-mail à partir de votre serveur SMTP local au lieu de ShareFile.
Connexions réseau pour les zones réglementées
Le schéma et le tableau suivants décrivent les connexions réseau qui se produisent lorsqu’un utilisateur ouvre une session sur ShareFile, puis télécharge un document vers une zone restreinte. Dans ce cas, le compte utilise les services ADFS (Active Directory Federation Services) pour l’ouverture de session SAML. Le trafic d’authentification est géré par un serveur proxy ADFS qui communique avec un serveur ADFS sur le réseau approuvé.
| Étape | Source | Destination | Protocole |
|---|---|---|---|
|
Client |
company.sharefile.com ou company.sharefile.eu
|
HTTPS |
|
Client | URL du fournisseur d’identité SAML | HTTPS |
|
Client |
company.sharefile.com ou company.sharefile.eu
|
HTTPS |
|
Client | StorageZones Controller | HTTPS |
|
StorageZones Controller | Contrôleur de domaine | Kerberos |
|
Client | StorageZones Controller | HTTPS |
|
StorageZones Controller | Stockage local | CIFS |
|
StorageZones Controller |
company.sharefile.com ou company.sharefile.eu
|
HTTPS |
Pour les zones de stockage restreintes :
-
Utilisez un nom d’hôte interne ou externe.
-
Activez SSL pour les communications avec ShareFile.
Si vous utilisez un nom d’hôte interne, vous pouvez utiliser un certificat privé. Le certificat doit être approuvé par les appareils des utilisateurs.
Si vous utilisez un nom d’hôte externe, le certificat SSL sur le StorageZones Controller doit être approuvé par les machines utilisateur et les serveurs Web ShareFile.
-
Fournissez un accès HTTP sortant à partir du StorageZones Controller vers l’un des URI de bus de service suivants :
- Comptes Sharefile.com :
sf-zk-email-use.servicebus.windows.net - Comptes Sharefile.eu :
sf-zk-email-euw.servicebus.windows.net
Veillez à organiser les dépendances réseau avec votre équipe réseau.
- Comptes Sharefile.com :
Exigences du client pour les zones de stockage restreintes
L’application Web ShareFile prend en charge les zones de stockage restreintes à partir des navigateurs Web suivants :
-
Internet Explorer 11
Pour activer l’accès à partir de l’application Web ShareFile aux dossiers et aux connecteurs situés dans des zones restreintes :
- Ouvrez Internet Explorer, accédez à Options Internet, cliquez sur l’onglet Sécurité, puis sur Sites de confiance.
- Cliquez sur Sites, puis ajoutez votre sous-domaine et l’adresse du StorageZones Controller externe.
- Cliquez sur Fermer, puis sur Niveau personnalisé.
- Pour Divers > Accéder aux sources de données entre les domaines, sélectionnez Activer.
- Pour Authentification utilisateur > Ouverture de session, sélectionnezDemanderle nom d’utilisateur et le mot de passe.
-
Chrome
-
Firefox
-
Safari
-
Secure Web
Pour prendre en charge les zones de stockage restreintes, les clients ShareFile doivent être mis à niveau vers les versions suivantes ou ultérieures :
- ShareFile Sync pour Windows 3.1
- Plug-in ShareFile Outlook 3.2.2
- ShareFile pour iOS 3.3
- ShareFile pour Android 3.4
- ShareFile pour Windows Phone 2.3.10
Ces clients et outils ShareFile ne sont pas pris en charge pour une utilisation avec des zones de stockage restreintes à la date de publication de cet article :
Remarque : Pour obtenir les dernières informations sur les fonctionnalités du client ShareFile, consultez le site de support ShareFile ou contactez votre représentant du support ShareFile.
-
Utilisation hors domaine de ShareFile Desktop Sync pour Windows 3.1 et du plug-in ShareFile Outlook
Les clients doivent se trouver sur un poste de travail Windows joint à un domaine qui se trouve dans la même forêt Active Directory que le serveur Storage Zones Controller. Les clients peuvent utiliser NTLM ou Kerberos pour une authentification silencieuse dans une zone restreinte.
-
On-Demand Sync pour Windows
-
Sync pour Mac
-
ShareFile Enterprise Sync Manager
-
Secure Mail pour iOS
-
Widget de ShareFile Desktop
-
ShareFile pour BlackBerry
-
Site Web mobile ShareFile
Les autres méthodes d’accès aux comptes suivantes ne sont pas prises en charge pour une utilisation avec des zones de stockage restreintes :
- FTP
- PowerShell
- Interface de ligne de commande ShareFile (SFCLI)
- API HTTPS (V1)
- WebDAV
- SMTP
Important
ShareFile ne prend pas officiellement en charge et ne recommande pas d’utiliser la réplication DFS. Il est connu pour provoquer des échecs de verrouillage pour les fichiers plus volumineux. Si la réplication DFS doit être utilisée, utilisez des solutions de sauvegarde distinctes pendant les heures creuses lorsque la zone n’est pas activement utilisée.
Mettre à niveau la zone de stockage
Lorsque vous mettez à niveau un StorageZones Controller vers la dernière version, ce contrôleur continue d’utiliser des zones standard. Vous ne pouvez pas mettre à niveau une zone standard vers une zone restreinte.
Pour remplacer une zone standard par une zone restreinte, vous devez installer un nouveau StorageZones Controller et configurer une zone restreinte.
Pour prendre en charge les zones restreintes ou l’accès Web aux connecteurs, vous devez effectuer une configuration Citrix ADC supplémentaire après avoir terminé l’assistant. La configuration garantit que les clients ShareFile envoient des informations d’identification uniquement lorsqu’ils sont connectés à un domaine ShareFile approuvé. Pour prendre en charge l’accès Web aux connecteurs, vous ajoutez également un chemin (/ProxyService) à la stratégie de commutation de contenu utilisée pour le trafic vers /cifs et /sp.
Informations supplémentaires sur les zones réglementées
La prise en charge des zones de stockage restreintes affecte tous les aspects du service ShareFile. En raison des modifications de protocole nécessaires pour prendre en charge le chiffrement des métadonnées et l’authentification de zone, certains clients et fonctionnalités ShareFile ne sont pas pris en charge lors de l’utilisation de documents dans une zone de stockage restreint.
Contenu
- Clients et outils
- Navigateurs
- Fonctionnalités
- Sync pour Windows
- Applications mobiles
- Plug-in Outlook
Clients et outils
| Sync pour Windows | 3,1 et plus | |
| Plug-in pour Microsoft Outlook | 3.2.2 et plus | |
| On-Demand Sync pour Windows | Non pris en charge | |
| Drive Mapper | 3.01.171.0 et plus | |
| ShareFile pour iOS | 3.3 — MDX uniquement | |
| ShareFile pour Android | 3,4 et plus | |
| ShareFile pour Windows Phone Phone8 | 2.3.10 et plus | |
| Sync pour Mac | Non pris en charge | |
| ShareFile Desktop | Non pris en charge | |
| XenMobile WorxMail pour iOS | Non pris en charge | |
| XenMobile WorxMail pour Android | Prise en charge | |
| Imprimer vers ShareFile | Non pris en charge | |
| Site Web mobile | Non pris en charge | |
| Autres méthodes d’accès au compte | ||
| PowerShell | Non pris en charge | |
| SFCLI | Non pris en charge | |
| API REST (V3) | Prise en charge | |
| APT (V1) | Non pris en charge | |
| Couverture du test RSZ | Non pris en charge | |
| FTP | Non pris en charge | |
| Envoyer des fichiers par e-mail à un dossier | Non pris en charge | |
| SDK .Net | Prise en charge | |
Navigateurs
| Windows | Internet Explorer 11, Firefox (dernière version), Chrome (dernière version) | |
| macOS | Safari (dernière version), Firefox (dernière version), Chrome (dernière version) | |
| iOS | Safari, Secure Web | |
| Android | Secure Web | |
Fonctionnalités
Actions de l’utilisateur final : Utilisation des fichiers :
| Parcourir et télécharger des fichiers | Prise en charge | |
| Charger des fichiers (type de chargeur) | HTML5 : pris en charge ; Flash : non pris en charge ; Java : non pris en charge ; formulaire HTML standard : non pris en charge | |
| Corbeille | Prise en charge | |
| Téléchargement et suppression en masse | Prise en charge | |
| Boîte de fichiers | Affichage : pris en charge ; Supprimer : pris en charge ; Téléchargement : pris en charge ; Téléchargement : non pris en charge ; Envoyer depuis la boîte de fichier : non pris en charge | |
| Aperçu du fichier (vignettes) | Non pris en charge | |
| Afficher les documents dans un navigateur Web | Non pris en charge | |
| Rechargement de fichiers | Non pris en charge | |
| Plusieurs versions par fichier | Non pris en charge | |
| Rechercher | Éléments de la zone restreinte non inclus dans les résultats de recherche | |
| Marquer un dossier comme favori | Non pris en charge | |
| Copie ou déplacement de fichiers | Non pris en charge | |
| Modifier les options du dossier : date d’expiration du dossier, stratégie de rétention des fichiers | Prise en charge | |
| Bulle de dossiers partagés | Non pris en charge | |
Actions de l’utilisateur final : partage et collaboration :
| Envoyer un fichier : téléchargement requis, envoi d’un e-mail à l’aide de ShareFile, donnez-moi un lien que je peux copier, demander à l’utilisateur de se connecter, limiter le nombre de téléchargements | Prise en charge | |
| Recevez et téléchargez un fichier partagé | Prise en charge | |
| Création d’un dossier partagé dans une zone de stockage restreint | Prise en charge | |
| Ajouter des utilisateurs à un dossier : contrôler les autorisations pour le chargement et le téléchargement | Prise en charge | |
| Demander un fichier | Prise en charge | |
| Demander un fichier avec l’option « Exiger une connexion ShareFile » activée | Non pris en charge | |
| Notification par e-mail | Prise en charge | |
| Boîte de réception : fichiers qui m’ont été envoyés | Prise en charge | |
| Boîte de réception : messages envoyés | Afficher, expirer, renvoyer, modifier : pris en charge | |
| Afficher le journal d’activité | Prise en charge | |
| Obtenir la signature (via RightSignature) | Non pris en charge | |
Mesures administratives :
| Création d’un utilisateur dans une zone restreinte | Prise en charge | |
| Migrer l’utilisateur vers une autre zone | Non pris en charge | |
| Création de rapports : audit d’accès, rapport d’utilisation, rapport de messagerie, rapport de bande passante, rapport de stockage | Visionneuse HTML : prise en charge ; visionneuses Excel/CSV/PDF : les métadonnées cryptées sont affichées | |
| Administration de zone | ||
| Surveiller l’utilisation du stockage | Prise en charge | |
| Surveiller l’utilisation de la bande passante | Prise en charge | |
| Surveiller l’activité des fichiers | Prise en charge | |
| Récupérer des fichiers | Non pris en charge | |
| Réconcilier les fichiers | Non pris en charge | |
| Supprimer la zone | Prise en charge | |
| Haute disponibilité | Prise en charge | |
Sync pour Windows
Version minimale - 3.1
| Authentification à partir d’un client joint au domaine - NTLM ou Kerberos | Prise en charge |
| Authentification à partir d’un client non lié au domaine : l’utilisateur est invité à entrer | Prise en charge |
| Synchroniser « Mes fichiers et dossiers » dans une zone restreinte | Prise en charge |
| Synchroniser les dossiers partagés depuis une zone restreinte | Prise en charge |
| Charger, télécharger, synchroniser | Prise en charge |
| Synchronisation à la demande pour les environnements XenApp et XenDesktop | Non pris en charge |
| Afficher les dossiers favoris | Non disponible pour les dossiers de zone de stockage restreinte |
| Cliquez droit > Copier le lien | Prise en charge |
| Clic droit > Fichier e-mail | Prise en charge |
Applications mobiles
Consultez les tableaux spécifiques à l’application ci-dessous :
iOS - Version minimale 3.3
| Parcourir et télécharger des fichiers | Prise en charge |
| Afficher le contenu hors connexion | Prise en charge |
| Créer un dossier | Prise en charge |
| Création ou modification d’un fichier | Prise en charge |
| Téléchargez une photo ou une vidéo | Prise en charge |
| S’authentifier avec un nom d’utilisateur/mot de passe | Prise en charge |
| Authentification unique avec Worx Micro VPN | Prise en charge |
| Partager : Copier un lien | Prise en charge |
| Partager : Partager par e-mail | Non pris en charge |
| Ajouter ou modifier des notes de dossier | Non pris en charge |
| Créer une note ou modifier des notes existantes | Non pris en charge |
| Ajouter des personnes à un dossier ou modifier les autorisations de dossier existantes | Non pris en charge |
| Marquer/désélectionner un dossier en tant que favori | Non pris en charge |
| Demander un fichier | Non pris en charge |
| Aperçus des miniatures | Non pris en charge |
| Suppression de plusieurs éléments | Non pris en charge |
| Rendre le dossier disponible hors connexion | Pris en charge sauf pour les dossiers « Partagé avec moi » au niveau racine |
| Partage d’un dossier | Pris en charge sauf pour les dossiers « Partagé avec moi » au niveau racine |
| Création d’un connecteur dans une zone de stockage restreinte | Non pris en charge |
Android - Version minimale 3.4
| Parcourir et télécharger des fichiers | Prise en charge |
| Afficher le contenu hors connexion | Prise en charge |
| Envoyer un fichier | Prise en charge |
| Créer un dossier | Prise en charge |
| Création ou modification d’un fichier | Prise en charge |
| Charger des fichiers | Prise en charge |
| S’authentifier avec un nom d’utilisateur/mot de passe | Prise en charge |
| Authentification unique avec Worx Micro VPN | Prise en charge |
| Demander un fichier | Non pris en charge |
| Création d’une note | Non pris en charge |
| Remplacer le fichier existant après le téléchargement | Non pris en charge |
Plug-in Outlook
| Authentification à partir d’un client joint au domaine - NTLM ou Kerberos | Prise en charge | |
| Authentification à partir d’un client non lié au domaine : l’utilisateur est invité à entrer | Prise en charge | |
| Parcourir et sélectionner des fichiers depuis ShareFile | Prise en charge | |
| Parcourez et sélectionnez des fichiers dans ShareFile avec l’option « Demander aux destinataires de se connecter » activée | Non pris en charge | |
| Convertir la pièce jointe en lien ShareFile | Prise en charge | |
| Convertir la pièce jointe en lien ShareFile avec l’option « Demander aux destinataires de se connecter » activée | Non pris en charge | |
| Demander un fichier | Prise en charge | |
| Demander un fichier avec l’option « Demander aux destinataires de se connecter » activée | Non pris en charge | |