Zones de stockage restreintes

Les zones de stockage restreintes sont utilisées pour protéger les données sensibles. Seuls les employés peuvent accéder au stockage restreint.

L’authentification d’un utilisateur tiers n’est pas prise en charge dans la zone restreinte.

Remarque :

Les zones de stockage restreintes sont la fin de la maintenance. Cette stratégie de cycle de vie est décrite plus en détail dans la section Définitions des jalons du cycle de vie. La création de nouvelles zones de stockage restreint n’est pas prise en charge. Les clients existants qui utilisent des zones de stockage restreint recevront des informations supplémentaires sur les étapes futures du produit.

Fonctionnalités de zone restreinte

Authentification de zone : En plus de se connecter à ShareFile, les utilisateurs doivent s’authentifier séparément auprès du StorageZones Controller pour accéder aux documents stockés dans une zone restreinte. La recherche d’annuaire garantit que l’utilisateur qui se connecte à ShareFile est le même qui s’authentifie dans la zone. Cette exigence d’authentification supplémentaire limite le partage. Les documents peuvent être partagés uniquement avec d’autres personnes qui ont accès au StorageZones Controller et qui peuvent s’authentifier à l’aide des informations d’identification de l’entreprise. Dans une zone restreinte, les fichiers ne peuvent pas être partagés de manière anonyme. Les utilisateurs doivent avoir l’autorisation d’afficher un fichier et doivent toujours ouvrir une session pour recevoir un fichier partagé.

Chiffrement des métadonnées : toutes les informations sur les fichiers et dossiers de la zone sont chiffrées avec votre clé avant d’être envoyées à ShareFile. Par conséquent, personne en dehors de votre organisation ne peut voir les noms de dossiers ou de fichiers dans des zones restreintes. L’accès aux clés de chiffrement, fichiers déchiffrés et métadonnées est disponible uniquement via l’authentification d’entreprise au StorageZones Controller.

Adresse interne pour le StorageZones Controller : Pour une zone restreinte, l’autorisation se produit entre le StorageZones Controller et les clients ShareFile au lieu d’entre le StorageZones Controller et le cloud ShareFile. Par conséquent, un StorageZones Controller qui héberge des zones restreintes ne nécessite pas d’adresse externe ou de certificat SSL externe. Lorsque le StorageZones Controller est configuré avec une adresse interne uniquement, les utilisateurs doivent se connecter au réseau de l’entreprise ou au VPN pour accéder aux documents dans la zone restreinte.

Notifications par e-mail de votre serveur de messagerie : lorsque les utilisateurs reçoivent des notifications par e-mail sur des fichiers et dossiers partagés dans une zone restreinte, l’e-mail est envoyé à partir de votre serveur de messagerie interne au lieu d’un serveur ShareFile.

Différences entre zones standard et zones réglementées

Propriétés Zones standard Zones restreintes
Les serveurs de zone de stockage peuvent être gérés par… Citrix ou vous vous
L’authentification de l’utilisateur est gérée par… ShareFile.com ou ShareFile.eu une combinaison de ShareFile.com ou ShareFile.eu plus votre StorageZones Controller local
Les fichiers peuvent être partagés avec… des employés et des utilisateurs tiers (c’est-à-dire toute personne ayant une adresse e-mail) employés ou autres utilisateurs disposant d’un compte de domaine
Les métadonnées de fichier et de dossier stockées dans le plan de contrôle ShareFile sont… stockées en texte clair, visibles par certains employés Citrix chiffrées avec vos clés privées, qui ne sont pas disponibles pour Citrix
Les notifications par e-mail sont envoyées en utilisant… Serveurs de messagerie ShareFile ou vos serveurs SMTP vos serveurs SMTP
Une adresse externe pour la zone est… requis non requis

Zones de stockage standard et restreintes

Vous pouvez désigner une zone de stockage comme standard ou restreint.

  • Une zone de stockage standard est conçue pour stocker les données non sensibles et permet aux employés de partager des données avec des personnes autres que des employés.
  • Une zone de stockage restreint protège les données sensibles : seuls les employés peuvent accéder aux données stockées dans la zone.

Le tableau suivant résume les différences entre les zones standard et les zones réglementées.

Propriétés Zones standard Zones restreintes
Les serveurs de zone de stockage peuvent être gérés par… Citrix ou vous vous
L’authentification de l’utilisateur est gérée par… ShareFile.com ou ShareFile.eu une combinaison de ShareFile.com ou ShareFile.eu plus votre StorageZones Controller local
Les fichiers peuvent être partagés avec… des employés et des utilisateurs tiers (c’est-à-dire toute personne ayant une adresse e-mail) employés ou autres utilisateurs disposant d’un compte de domaine
Les métadonnées de fichier et de dossier stockées dans le plan de contrôle ShareFile sont… stockées en texte clair, visibles par certains employés Citrix chiffrées avec vos clés privées, qui ne sont pas disponibles pour Citrix
Les notifications par e-mail sont envoyées en utilisant… Serveurs de messagerie ShareFile ou vos serveurs SMTP vos serveurs SMTP
Une adresse externe pour la zone est… requis non requis

Dans une zone gérée par Citrix, le cloud ShareFile effectue toutes les opérations sauf pour l’authentification des employés, qui est géré par le StorageZones Controller.

Dans la zone standard, la maintenance et les mises à jour du site Web, les mises à jour des clients et des applications, les métadonnées des fichiers, l’autorisation de chargement et de téléchargement, les notifications par e-mail (SMTP), l’authentification des utilisateurs tiers et les autorisations de dossier sont gérées dans le cloud. L’authentification des employés, le stockage et le chiffrement des fichiers sont gérés par le Controller.

Dans la zone restreinte, la maintenance et les mises à jour du site Web, les mises à jour des clients et des applications, ainsi que les autorisations de dossier sont gérées dans le cloud. L’authentification des employés, le stockage et le chiffrement des fichiers, les métadonnées des fichiers, l’autorisation de téléchargement et de téléchargement et les notifications par e-mail (SMTP) sont gérés par le Controller. L’authentification d’un utilisateur tiers n’est pas prise en charge dans la zone restreinte.

ShareFile prend en charge un mélange de zones standard et de zones restreintes au sein d’un compte. Vous pouvez créer plusieurs zones restreintes, chacune avec ses propres exigences d’authentification uniques. Par exemple, si les utilisateurs du domaine A ne doivent pas être autorisés à partager des fichiers avec des utilisateurs du domaine B, installez une zone restreinte distincte pour chaque domaine.

Le reste de cette section décrit le flux de travail dans les zones gérées par ShareFile, standard et restreintes.

Déploiement de validation de concept pour les zones de stockage restreint

Un StorageZones Controller configuré pour les zones restreintes n’a pas besoin d’accepter les connexions entrantes à partir du cloud ShareFile : vous pouvez le configurer avec une adresse interne. La figure suivante indique le flux de trafic entre les machines utilisateur, le cloud ShareFile et le StorageZones Controller.

Déploiement de la preuve de concept pour les zones restreintes

Dans ce scénario, un pare-feu se trouve entre Internet et le réseau sécurisé. StorageZones Controller réside à l’intérieur du pare-feu pour contrôler l’accès. Les connexions utilisateur à ShareFile doivent traverser le pare-feu et utiliser le protocole SSL sur le port 443 pour établir cette connexion. Pour prendre en charge cette connectivité, vous devez ouvrir le port 443 sur le pare-feu et installer un certificat SSL, qui peut être privé, sur le service IIS du StorageZones Controller.

Pour les zones restreintes, le StorageZones Controller envoie des notifications par e-mail à partir de votre serveur SMTP local au lieu de ShareFile.

Déploiement haute disponibilité pour les zones restreintes

Les StorageZones Controller configurés pour les zones restreintes n’ont pas besoin d’accepter les connexions entrantes à partir du cloud ShareFile : vous pouvez configurer chacun avec une adresse interne. La figure suivante montre un déploiement haute disponibilité pour les zones restreintes.

Déploiement haute disponibilité pour les zones restreintes

Dans ce scénario, un pare-feu se trouve entre Internet et le réseau sécurisé. Les StorageZones Controller résident à l’intérieur du pare-feu pour contrôler l’accès. Les connexions utilisateur à ShareFile doivent traverser le pare-feu et utiliser le protocole SSL sur le port 443 pour établir cette connexion. Pour prendre en charge cette connectivité, vous devez ouvrir le port 443 sur le pare-feu et installer un certificat SSL, qui peut être privé, sur le service IIS du StorageZones Controller.

Pour les zones restreintes, le StorageZones Controller envoie des notifications par e-mail à partir de votre serveur SMTP local au lieu de ShareFile.

Zones restreintes

Le tableau suivant décrit les connexions réseau qui se produisent lorsqu’un utilisateur ouvre une session sur ShareFile, puis télécharge un document à partir d’une zone restreinte. Toutes les connexions utilisent HTTPS.

Étape Source Destination
1. Demande d’ouverture de session utilisateur Client company.sharefile.com
2. Si vous utilisez ADFS, redirigez vers l’ouverture de session SAML IdP Client URL du fournisseur d’identité SAML
3. Énumération de fichiers/dossiers et demande de téléchargement Client szc.company.com
4. Autorisation de téléchargement de fichier et obtention de métadonnées chiffrées szc.company.com company.sharefile.com
5. Téléchargement de fichier Client szc.company.com

Déploiement pour les zones de stockage restreint

La figure suivante montre un déploiement haute disponibilité pour les zones restreintes.

StorageZones Controller avec zones restreintes

Pour les zones restreintes, le StorageZones Controller envoie des notifications par e-mail à partir de votre serveur SMTP local au lieu de ShareFile.

Connexions réseau pour les zones restreintes

Le diagramme et le tableau suivants décrivent les connexions réseau qui se produisent lorsqu’un utilisateur se connecte à ShareFile, puis télécharge un document vers une zone restreinte. Dans ce cas, le compte utilise Active Directory Federation Services (ADFS) pour l’ouverture de session SAML. Le trafic d’authentification est géré par un serveur proxy ADFS qui communique avec un serveur ADFS sur le réseau approuvé.

Connexions réseau pour les zones restreintes

Étape Source Destination Protocole
1. Le client ShareFile ou le navigateur ouvre la connexion Client company.sharefile.com ou company.sharefile.eu HTTPS
2. (Facultatif) Rediriger vers l’ouverture de session SAML IdP Client URL du fournisseur d’identité SAML HTTPS
3. ShareFile redirige l’utilisateur vers le StorageZones Controller Client company.sharefile.com ou company.sharefile.eu HTTPS
4. Le client envoie des informations d’identification Windows au StorageZones Controller Client StorageZones Controller HTTPS
5. StorageZones Controller vérifie les informations d’identification et accorde l’accès au client StorageZones Controller Controller de domaine Kerberos
6. Le client télécharge un fichier vers le StorageZones Controller Client StorageZones Controller HTTPS
7. Le fichier est écrit dans le référentiel de stockage de la zone restreinte StorageZones Controller Stockage local CIFS
8. StorageZones Controller crypte les métadonnées de fichier et l’envoie à ShareFile StorageZones Controller company.sharefile.com ou company.sharefile.eu HTTPS

Pour les zones de stockage restreint :

  • Utilisez un nom d’hôte interne ou externe.

  • Activez SSL pour les communications avec ShareFile.

    Si vous utilisez un nom d’hôte interne, vous pouvez utiliser un certificat privé. Le certificat doit être approuvé par les machines utilisateur.

    Si vous utilisez un nom d’hôte externe, le certificat SSL sur le StorageZones Controller doit être approuvé par les machines utilisateur et les serveurs Web ShareFile.

  • Fournir un accès HTTP sortant à partir du StorageZones Controller à l’un des URI de bus de service suivants :

    • Comptes Sharefile.com : sf-zk-email-use.servicebus.windows.net
    • Comptes ShareFile.eu : sf-zk-email-euw.servicebus.windows.net

    Assurez-vous d’organiser les dépendances réseau avec votre équipe réseau.

Exigences du client pour les zones de stockage restreint

L’application Web ShareFile prend en charge les zones de stockage restreintes à partir des navigateurs Web suivants :

  • Internet Explorer 11

    Pour activer l’accès à partir de l’application Web ShareFile aux dossiers et connecteurs dans des zones restreintes :

    1. Ouvrez Internet Explorer, accédez à Options Internet, cliquez sur l’onglet Sécurité, puis cliquez sur Sites de confiance.
    2. Cliquez sur Sites, puis ajoutez votre sous-domaine et l’adresse du StorageZones Controller externes.
    3. Cliquez sur Fermer, puis sur Niveau personnalisé.
    4. Dans Divers > Accéder aux sources de données entre les domaines, sélectionnez Activer.
    5. Pour Authentification utilisateur > Ouverture de session, sélectionnez Demander le nom d’utilisateur et le mot de passe.
  • Chrome

  • Firefox

  • Safari

  • Secure Web

Pour prendre en charge les zones de stockage restreintes, les clients ShareFile doivent être mis à niveau vers les versions suivantes ou ultérieures :

  • ShareFile Sync pour Windows 3.1
  • ShareFile Outlook Plug-in 3.2.2
  • ShareFile pour iOS 3.3
  • ShareFile pour Android 3.4
  • ShareFile pour Windows Phone 2.3.10

Ces clients et outils ShareFile ne sont pas pris en charge pour une utilisation avec des zones de stockage restreintes à la date de publication de cet article :

Remarque : Pour obtenir les dernières informations sur les fonctionnalités du client ShareFile, consultez le Prise en charge de ShareFile site ou contactez votre représentant du support ShareFile.

  • Utilisation hors domaine de ShareFile Desktop Sync pour Windows 3.1 et le plug-in ShareFile Outlook

    Les clients doivent se trouver sur un poste de travail Windows joint à un domaine qui se trouve dans la même forêt Active Directory que le serveur de StorageZones Controller. Les clients peuvent utiliser NTLM ou Kerberos pour l’authentification silencieuse à une zone restreinte.

  • On-Demand Sync pour Windows

  • Sync pour Mac

  • ShareFile Enterprise Sync Manager

  • Secure Mail pour iOS

  • ShareFile Desktop Widget

  • ShareFile pour BlackBerry

  • Site Web mobile ShareFile

Les méthodes d’accès au compte alternatives suivantes ne sont pas prises en charge pour une utilisation avec des zones de stockage restreintes :

  • FTP
  • PowerShell
  • Interface de ligne de commande ShareFile (SFCLI)
  • HTTPS API (V1)
  • WebDAV
  • SMTP

Important

ShareFile ne prend pas officiellement en charge et ne recommande pas d’utiliser la réplication DFS. Il a été connu pour provoquer des échecs de verrouillage pour les fichiers plus volumineux. Si la réplication DFS doit être utilisée, utilisez des solutions de sauvegarde distinctes pendant les heures creuses lorsque la zone n’est pas utilisée activement.

Mettre à niveau la zone de stockage restreint

Lorsque vous mettez à niveau un StorageZones Controller vers la dernière version, ce Controller continue d’utiliser des zones standard. Vous ne pouvez pas mettre à niveau une zone standard vers une zone restreinte.

Pour remplacer une zone standard par une zone restreinte, vous devez installer un nouveau StorageZones Controller et configurer une zone restreinte.

Pour prendre en charge les zones restreintes ou l’accès Web aux connecteurs, vous devez effectuer une configuration Citrix ADC supplémentaire après avoir terminé l’Assistant. La configuration garantit que les clients ShareFile envoient des informations d’identification uniquement lorsqu’ils sont connectés à un domaine ShareFile approuvé. Pour prendre en charge l’accès Web aux connecteurs, vous ajoutez également un chemin (/proxyService) à la stratégie de commutation de contenu utilisée pour le trafic vers /cifs et /sp.

Informations supplémentaires sur les zones restreintes

La prise en charge des zones de stockage restreintes affecte tous les aspects du service ShareFile. En raison des modifications de protocole requises pour prendre en charge le chiffrement des métadonnées et l’authentification de zone, certains clients et fonctionnalités ShareFile ne sont pas pris en charge lorsque vous travaillez avec des documents dans une zone de stockage restreinte.

Contenu

  • Clients et outils
  • Navigateurs
  • Fonctionnalités
  • Sync pour Windows
  • Applications mobiles
  • Plug-in Outlook

Clients et outils

   
Sync pour Windows 3.1 et plus
Plug-in pour Microsoft Outlook 3.2.2 et plus
On-Demand Sync pour Windows Non pris en charge
Drive Mapper 3.01.171.0 et plus
ShareFile pour iOS 3.3 — MDX uniquement
ShareFile pour Android 3.4 et plus
ShareFile pour Windows Phone 8 2.3.10 et plus
Sync pour Mac Non pris en charge
ShareFile Desktop Non pris en charge
XenMobile WorxMail pour iOS Non pris en charge
XenMobile WorxMail pour Android Pris en charge
Imprimer sur ShareFile Non pris en charge
Site Web mobile Non pris en charge
Autres méthodes d’accès au compte  
PowerShell Non pris en charge
SFCLI Non pris en charge
REST API(V3) Pris en charge
HTTPS APT (V1) Non pris en charge
RSZ Test Coverage Non pris en charge
FTP Non pris en charge
Envoyer des fichiers à un dossier Non pris en charge
.Net SDK Pris en charge
   
Windows Internet Explorer 11, Firefox (dernière version), Chrome (dernière version)
macOS Safari (dernière version), Firefox (dernière version), Chrome (dernière version)
iOS Safari, Secure Web
Android Secure Web

Fonctionnalités

Actions de l’utilisateur final : Utilisation des fichiers :

   
Parcourir et télécharger des fichiers Pris en charge
Télécharger des fichiers (type de téléchargeur) HTML5 : pris en charge ; Flash : non pris en charge ; Java : non pris en charge ; Formulaire HTML standard : non pris en charge
Corbeille Pris en charge
Téléchargement et suppression en bloc Pris en charge
Zone de fichier Affichage : pris en charge ; Supprimer : pris en charge ; Téléchargement : pris en charge ; Téléchargement : non pris en charge ; Envoyer à partir de la boîte de fichiers : non pris en charge
Aperçu du fichier (vignettes) Non pris en charge
Afficher des documents dans le navigateur Web Non pris en charge
Rechargement de fichier Non pris en charge
Plusieurs versions par fichier Non pris en charge
Rechercher Éléments de zone restreinte non inclus dans les résultats de recherche
Marquer un dossier comme un favori Non pris en charge
Copier ou déplacer des fichiers Non pris en charge
Modifier les options du dossier : date d’expiration du dossier, stratégie de rétention des fichiers Pris en charge
Bubbling du dossier partagé Non pris en charge

Actions de l’utilisateur final : Partage et collaboration :

   
Envoyer un fichier : nécessite le téléchargement, envoyer un e-mail à l’aide de ShareFile, me donner un lien que je peux copier, demander à l’utilisateur de se connecter, limiter le nombre de téléchargements Pris en charge
Recevoir et télécharger un fichier partagé Pris en charge
Créer un dossier partagé dans une zone de stockage restreint Pris en charge
Ajouter des utilisateurs à un dossier : contrôle des autorisations pour le téléchargement et le téléchargement Pris en charge
Demander un fichier Pris en charge
Demander un fichier avec « Exiger une connexion à ShareFile » activé Non pris en charge
Notifications Pris en charge
Boîte de réception : Fichiers qui m’ont été envoyés Pris en charge
Boîte de réception : Messages envoyés Afficher, expirer, renvoyer, modifier : pris en charge
Afficher le journal d’activité Pris en charge
Obtenir la signature (via RightSignature) Non pris en charge

Actions administratives :

   
Créer un utilisateur dans une zone restreinte Pris en charge
Migrer l’utilisateur vers une autre zone Non pris en charge
Rapports : Audit d’accès, rapport d’utilisation, rapport de messagerie, rapport de bande passante, rapport de stockage Visionneuse HTML : prise en charge ; Visionneuses Excel/CSV/PDF : métadonnées chiffrées sont affichées
Administration de zone  
Surveiller l’utilisation du stockage Pris en charge
Surveiller l’utilisation de la bande passante Pris en charge
Surveiller l’activité des fichiers Pris en charge
Récupérer des fichiers Non pris en charge
Réconcilier les fichiers Non pris en charge
Supprimer la zone Pris en charge
Haute disponibilité Pris en charge

Sync pour Windows

Version minimale - 3.1

   
Authentification à partir d’un client joint à un domaine - NTLM ou Kerberos Pris en charge
Authentification à partir d’un client non domaine - Utilisateur invité à saisir un mot de passe Pris en charge
Synchroniser « Mes fichiers et dossiers » dans une zone restreinte Pris en charge
Synchroniser les dossiers partagés à partir d’une zone restreinte Pris en charge
Télécharger, télécharger, synchroniser Pris en charge
Synchronisation à la demande pour les environnements XenApp et XenDesktop Non pris en charge
Afficher les dossiers favoris Non disponible pour les dossiers de zone de stockage restreint
Cliquez avec le bouton droit de la souris > Copier le lien Pris en charge
Cliquez avec le bouton droit de la souris > Fichier de messagerie Pris en charge

Applications mobiles

Voir les tableaux spécifiques aux applications ci-dessous :

iOS - Version minimale 3.3

   
Parcourir et télécharger des fichiers Pris en charge
Afficher le contenu hors ligne Pris en charge
Créer un dossier Pris en charge
Créer ou modifier un fichier Pris en charge
Télécharger une photo ou une vidéo Pris en charge
Authentification avec le nom d’utilisateur/mot de passe Pris en charge
Connexion unique avec Worx micro VPN Pris en charge
Partager : Copier un lien Pris en charge
Partager : Partager par e-mail Non pris en charge
Ajouter ou modifier des notes de dossier Non pris en charge
Créer une note ou modifier des notes existantes Non pris en charge
Ajouter des personnes au dossier ou modifier des autorisations de dossier existantes Non pris en charge
Marquer/démarquer un dossier en tant que favori Non pris en charge
Demander un fichier Non pris en charge
Aperçus de vignettes Non pris en charge
Suppression de plusieurs éléments Non pris en charge
Rendre le dossier disponible hors connexion Pris en charge sauf pour les dossiers “Partagé avec moi” de niveau racine
Partager un dossier Pris en charge sauf pour les dossiers “Partagé avec moi” de niveau racine
Créer un connecteur dans une zone de stockage restreint Non pris en charge

Android - Version minimale 3.4

   
Parcourir et télécharger des fichiers Pris en charge
Afficher le contenu hors ligne Pris en charge
Envoyer un fichier Pris en charge
Créer un dossier Pris en charge
Créer ou modifier un fichier Pris en charge
Charger des fichiers Pris en charge
Authentification avec le nom d’utilisateur/mot de passe Pris en charge
Connexion unique avec Worx micro VPN Pris en charge
Demander un fichier Non pris en charge
Créer une note Non pris en charge
Remplacer le fichier existant après le téléchargement Non pris en charge

Plug-in Outlook

   
Authentification à partir d’un client joint à un domaine - NTLM ou Kerberos Pris en charge
Authentification à partir d’un client non domaine - Utilisateur invité à saisir un mot de passe Pris en charge
Parcourir et sélectionner des fichiers à partir de ShareFile Pris en charge
Parcourir et sélectionner des fichiers à partir de ShareFile avec « Exiger que les destinataires se connectent » activé Non pris en charge
Convertir une pièce jointe en lien ShareFile Pris en charge
Convertir la pièce jointe en lien ShareFile avec « Exiger que les destinataires se connectent » activé Non pris en charge
Demander un fichier Pris en charge
Demander un fichier avec « Exiger que les destinataires se connectent » activé Non pris en charge