Zones de stockage restreintes

Les zones de stockage restreintes sont utilisées pour protéger les données sensibles. Seuls les employés peuvent accéder au stockage restreint.

L’authentification des utilisateurs tiers n’est pas prise en charge dans la zone restreinte.

Remarque :

Les zones de stockage restreintes sont Fin de maintenance. Cette stratégie de cycle de vie est décrite plus en détail dans la section Définition des jalons du cycle de vie. La création de nouvelles zones de stockage restreintes n’est pas prise en charge. Les clients existants qui utilisent des zones de stockage restreintes recevront d’autres informations sur les prochaines étapes du produit.

Fonctionnalités de zone restreinte

Authentification de zone : En plus de se connecter à ShareFile, les utilisateurs doivent s’authentifier séparément auprès du StorageZones Controller pour accéder aux documents stockés dans une zone restreinte. La recherche d’annuaire garantit que l’utilisateur qui se connecte à ShareFile est identique à celui qui s’authentifie dans la zone. Cette exigence d’authentification supplémentaire limite le partage. Les documents peuvent être partagés uniquement avec d’autres personnes qui ont accès au StorageZones Controller et qui peuvent s’authentifier à l’aide des informations d’identification de l’entreprise. Dans une zone restreinte, les fichiers ne peuvent pas être partagés de manière anonyme. Les utilisateurs doivent être autorisés à afficher un fichier et doivent toujours ouvrir une session pour recevoir un fichier partagé.

Cryptage des métadonnées : toutes les informations relatives aux fichiers et dossiers dans la zone sont cryptées avec votre clé avant d’être envoyées à ShareFile. Par conséquent, personne en dehors de votre organisation ne peut voir les noms de dossiers ou de fichiers dans des zones restreintes. L’accès aux clés de chiffrement, fichiers déchiffrés et métadonnées est disponible uniquement via l’authentification d’entreprise au StorageZones Controller.

Adresse interne pour le StorageZones Controller : Pour une zone restreinte, l’autorisation se produit entre le StorageZones Controller et les clients ShareFile au lieu d’entre le StorageZones Controller et le cloud ShareFile. Par conséquent, un StorageZones Controller qui héberge des zones restreintes ne nécessite pas d’adresse externe ou de certificat SSL externe. Lorsque le StorageZones Controller est configuré avec une adresse interne uniquement, les utilisateurs doivent se connecter au réseau de l’entreprise ou au VPN pour accéder aux documents dans la zone restreinte.

Notifications par e-mail à partir de votre serveur de messagerie : lorsque les utilisateurs reçoivent des notifications par e-mail concernant les fichiers et dossiers partagés dans une zone restreinte, l’e-mail est envoyé à partir de votre serveur de messagerie interne au lieu d’un serveur ShareFile.

Différences entre les zones standard et les zones réglementées

Propriétés Zones standard Zones restreintes
Les serveurs de zone de stockage peuvent être gérés par… Citrix ou vous vous
L’authentification de l’utilisateur est gérée par… ShareFile.com ou ShareFile.eu une combinaison ShareFile.com ou ShareFile.eu plus de votre StorageZones Controller sur site
Les fichiers peuvent être partagés avec… des employés et des utilisateurs tiers (c’est-à-dire toute personne ayant une adresse e-mail) employés ou d’autres utilisateurs disposant d’un compte de domaine
Les métadonnées de fichier et de dossier stockées dans le plan de contrôle ShareFile sont… stocké en texte clair, visible par certains employés de Citrix chiffré avec vos clés privées, qui ne sont pas disponibles pour Citrix
Les notifications par e-mail sont envoyées en utilisant… Serveurs de messagerie ShareFile ou vos serveurs SMTP vos serveurs SMTP
Une adresse externe pour la zone est… requis non requis

Zones de stockage standard et restreintes

Vous pouvez désigner une zone de stockage comme standard ou restreinte.

  • Une zone de stockage standard est destinée aux données non sensibles et permet aux employés de partager des données avec des non-employés.
  • Une zone de stockage restreinte protège les données sensibles : seuls les employés peuvent accéder aux données stockées dans la zone.

Le tableau suivant résume les différences entre les zones standard et les zones réglementées.

Propriétés Zones standard Zones restreintes
Les serveurs de zone de stockage peuvent être gérés par… Citrix ou vous vous
L’authentification de l’utilisateur est gérée par… ShareFile.com ou ShareFile.eu une combinaisonShareFile.com ouShareFile.eu plus de votre StorageZones Controller sur site
Les fichiers peuvent être partagés avec… des employés et des utilisateurs tiers (c’est-à-dire toute personne ayant une adresse e-mail) employés ou d’autres utilisateurs disposant d’un compte de domaine
Les métadonnées de fichier et de dossier stockées dans le plan de contrôle ShareFile sont… stocké en texte clair, visible par certains employés de Citrix chiffré avec vos clés privées, qui ne sont pas disponibles pour Citrix
Les notifications par e-mail sont envoyées en utilisant… Serveurs de messagerie ShareFile ou vos serveurs SMTP vos serveurs SMTP
Une adresse externe pour la zone est… requis non requis

Dans une zone gérée par Citrix, le cloud ShareFile effectue toutes les opérations sauf pour l’authentification des employés, qui est géré par le StorageZones Controller.

Dans la zone standard, la maintenance et les mises à jour du site Web, les mises à jour du client et de l’application, les métadonnées de fichier, l’autorisation de téléchargement et de téléchargement, les notifications par e-mail (SMTP), l’authentification d’utilisateur tiers et les autorisations de dossier sont gérées dans le cloud. L’authentification des employés, le stockage et le chiffrement des fichiers sont gérés par le Controller.

Dans la zone restreinte, la maintenance et les mises à jour du site Web, les mises à jour du client et de l’application et les autorisations de dossier sont gérées dans le cloud. L’authentification des employés, le stockage et le chiffrement des fichiers, les métadonnées de fichiers, l’autorisation de téléchargement et de téléchargement et les notifications par e-mail (SMTP) sont gérés par le Controller. L’authentification des utilisateurs tiers n’est pas prise en charge dans la zone restreinte.

ShareFile prend en charge un mélange de zones standard et de zones restreintes au sein d’un compte. Vous pouvez créer plusieurs zones restreintes, chacune ayant ses propres exigences d’authentification. Par exemple, si les utilisateurs du domaine A ne doivent pas être autorisés à partager des fichiers avec des utilisateurs du domaine B, installez une zone restreinte distincte pour chaque domaine.

Le reste de cette section décrit le flux de travail dans les zones gérées par ShareFile, standard et restreintes.

Déploiement de validation de principe pour les zones de stockage restreintes

Un StorageZones Controller configuré pour les zones restreintes n’a pas besoin d’accepter les connexions entrantes à partir du cloud ShareFile : vous pouvez le configurer avec une adresse interne. La figure suivante indique le flux de trafic entre les machines utilisateur, le cloud ShareFile et le StorageZones Controller.

Déploiement de validation de principe pour les zones réglementées

Dans ce scénario, un pare-feu se trouve entre Internet et le réseau sécurisé. StorageZones Controller réside à l’intérieur du pare-feu pour contrôler l’accès. Les connexions utilisateur à ShareFile doivent traverser le pare-feu et utiliser le protocole SSL sur le port 443 pour établir cette connexion. Pour prendre en charge cette connectivité, vous devez ouvrir le port 443 sur le pare-feu et installer un certificat SSL, qui peut être privé, sur le service IIS du StorageZones Controller.

Pour les zones restreintes, le StorageZones Controller envoie des notifications par e-mail à partir de votre serveur SMTP local au lieu de ShareFile.

Déploiement haute disponibilité pour les zones restreintes

Les StorageZones Controller configurés pour les zones restreintes n’ont pas besoin d’accepter les connexions entrantes à partir du cloud ShareFile : vous pouvez configurer chacun avec une adresse interne. La figure suivante illustre un déploiement de haute disponibilité pour les zones restreintes.

Déploiement haute disponibilité pour les zones restreintes

Dans ce scénario, un pare-feu se trouve entre Internet et le réseau sécurisé. Les contrôleurs des zones de stockage résident à l’intérieur du pare-feu pour contrôler l’accès. Les connexions utilisateur à ShareFile doivent traverser le pare-feu et utiliser le protocole SSL sur le port 443 pour établir cette connexion. Pour prendre en charge cette connectivité, vous devez ouvrir le port 443 sur le pare-feu et installer un certificat SSL, qui peut être privé, sur le service IIS du StorageZones Controller.

Pour les zones restreintes, le StorageZones Controller envoie des notifications par e-mail à partir de votre serveur SMTP local au lieu de ShareFile.

Zones restreintes

Le tableau suivant décrit les connexions réseau qui se produisent lorsqu’un utilisateur ouvre une session sur ShareFile, puis télécharge un document à partir d’une zone restreinte. Toutes les connexions utilisent HTTPS.

Étape Source Destination
1. Demande d’ouverture de session utilisateur Client company.sharefile.com
2. Si vous utilisez ADFS, rediriger vers l’ouverture de session IdP SAML Client URL du fournisseur d’identité SAML
3. Énumération de fichiers/dossiers et demande de téléchargement Client szc.company.com
4. Autorisation de téléchargement de fichiers et obtention de métadonnées cryptées szc.company.com company.sharefile.com
5. Téléchargement de fichier Client szc.company.com

Déploiement pour les zones de stockage restreintes

La figure suivante illustre un déploiement de haute disponibilité pour les zones restreintes.

StorageZones Controller avec zones restreintes

Pour les zones restreintes, le StorageZones Controller envoie des notifications par e-mail à partir de votre serveur SMTP local au lieu de ShareFile.

Connexions réseau pour les zones restreintes

Le diagramme et le tableau suivants décrivent les connexions réseau qui se produisent lorsqu’un utilisateur se connecte à ShareFile, puis télécharge un document dans une zone restreinte. Dans ce cas, le compte utilise Active Directory Federation Services (ADFS) pour l’ouverture de session SAML. Le trafic d’authentification est géré par un serveur proxy ADFS qui communique avec un serveur ADFS sur le réseau approuvé.

Connexions réseau pour les zones restreintes

Étape Source Destination Protocole
1. Le client ShareFile ou le navigateur ouvre la connexion Client company.sharefile.com ou company.sharefile.eu HTTPS
2. (Facultatif) Rediriger vers l’ouverture de session IdP SAML Client URL du fournisseur d’identité SAML HTTPS
3. ShareFile redirige l’utilisateur vers le StorageZones Controller Client company.sharefile.com ou company.sharefile.eu HTTPS
4. Le client envoie des informations d’identification Windows au StorageZones Controller Client StorageZones Controller HTTPS
5. StorageZones Controller vérifie les informations d’identification et accorde l’accès au client StorageZones Controller Controller de domaine Kerberos
6. Le client télécharge un fichier vers le StorageZones Controller Client StorageZones Controller HTTPS
7 Le fichier est écrit dans le référentiel de stockage pour la zone restreinte StorageZones Controller Stockage local CIFS
8 StorageZones Controller crypte les métadonnées de fichier et l’envoie à ShareFile StorageZones Controller company.sharefile.com ou company.sharefile.eu HTTPS

Pour les zones de stockage restreintes :

  • Utilisez un nom d’hôte interne ou externe.

  • Activez SSL pour les communications avec ShareFile.

    Si vous utilisez un nom d’hôte interne, vous pouvez utiliser un certificat privé. Le certificat doit être approuvé par les machines utilisateur.

    Si vous utilisez un nom d’hôte externe, le certificat SSL sur le StorageZones Controller doit être approuvé par les machines utilisateur et les serveurs Web ShareFile.

  • Fournir un accès HTTP sortant à partir du StorageZones Controller à l’un des URI de bus de service suivants :

    • Comptes ShareFile.com :sf-zk-email-use.servicebus.windows.net
    • Comptes Sharefile.eu :sf-zk-email-euw.servicebus.windows.net

    Assurez-vous d’organiser les dépendances réseau avec votre équipe réseau.

Exigences client pour les zones de stockage restreintes

L’application Web ShareFile prend en charge les zones de stockage restreintes à partir des navigateurs Web suivants :

  • Internet Explorer 11

    Pour activer l’accès à partir de l’application Web ShareFile aux dossiers et aux connecteurs dans les zones restreintes :

    1. Ouvrez Internet Explorer, accédez à Options Internet, cliquez sur l’onglet Sécurité , puis cliquez sur Sites de confiance .
    2. Cliquez sur Sites , puis ajoutez votre sous-domaine et l’adresse du StorageZones Controller externes.
    3. Cliquez sur Fermer , puis sur Niveau personnalisé .
    4. Dans Divers > Accéder aux sources de données entre les domaines, sélectionnez Activer .
    5. Dans Authentification de l’utilisateur > Ouverture de session, sélectionnez Demanderle nom d’utilisateur et le mot de passe.
  • Chrome

  • Firefox

  • Safari

  • Secure Web

Pour prendre en charge les zones de stockage restreintes, les clients ShareFile doivent être mis à niveau vers les versions suivantes ou ultérieures :

  • ShareFile Sync pour Windows 3.1
  • ShareFile Outlook Plug-in 3.2.2
  • ShareFile pour iOS 3.3
  • ShareFile pour Android 3.4
  • ShareFile pour Windows Phone 2.3.10

Ces clients et outils ShareFile ne sont pas pris en charge pour une utilisation avec des zones de stockage restreintes à la date de publication de cet article :

Remarque : Pour obtenir les dernières informations sur les fonctionnalités du client ShareFile, consultez le Prise en charge de ShareFilesite ou contactez votre représentant du support ShareFile.

  • Utilisation hors domaine de ShareFile Desktop Sync pour Windows 3.1 et ShareFile Outlook plug-in

    Les clients doivent se trouver sur un poste de travail Windows joint à un domaine qui se trouve dans la même forêt Active Directory que le serveur de StorageZones Controller. Les clients peuvent utiliser NTLM ou Kerberos pour l’authentification silencieuse vers une zone restreinte.

  • On-Demand Sync pour Windows

  • Sync pour Mac

  • ShareFile Enterprise Sync Manager

  • Secure Mail pour iOS

  • ShareFile Desktop Widget

  • ShareFile pour BlackBerry

  • Site Web mobile ShareFile

Les méthodes d’accès aux comptes alternatives suivantes ne sont pas prises en charge pour une utilisation avec des zones de stockage restreintes :

  • FTP
  • PowerShell
  • Interface de ligne de commande ShareFile (SFCLI)
  • API HTTPS (V1)
  • WebDAV
  • SMTP

Important

ShareFile ne prend pas officiellement en charge et ne recommande pas d’utiliser la réplication DFS. Il est connu pour provoquer des échecs de verrouillage pour les fichiers plus volumineux. Si la réplication DFS doit être utilisée, utilisez des solutions de sauvegarde distinctes pendant les heures creuses lorsque la zone n’est pas activement utilisée.

Mise à niveau de la zone de stockage restreinte

Lorsque vous mettez à niveau un StorageZones Controller vers la dernière version, ce Controller continue d’utiliser des zones standard. Vous ne pouvez pas mettre à niveau une zone standard vers une zone restreinte.

Pour remplacer une zone standard par une zone restreinte, vous devez installer un nouveau StorageZones Controller et configurer une zone restreinte.

Pour prendre en charge les zones restreintes ou l’accès Web aux connecteurs, vous devez effectuer une configuration supplémentaire de Citrix ADC après avoir terminé l’Assistant. La configuration garantit que les clients ShareFile envoient des informations d’identification uniquement lorsqu’ils sont connectés à un domaine ShareFile approuvé. Pour prendre en charge l’accès Web aux connecteurs, vous ajoutez également un chemin (/proxyService) à la stratégie de commutation de contenu utilisée pour le trafic vers /cifs et /sp.

Informations supplémentaires sur les zones réglementées

La prise en charge des zones de stockage restreintes affecte tous les aspects du service ShareFile. En raison des modifications de protocole requises pour prendre en charge le chiffrement des métadonnées et l’authentification de zone, certains clients et fonctionnalités ShareFile ne sont pas pris en charge lorsque vous travaillez avec des documents dans une zone de stockage restreinte.

Contenu

  • Clients et outils
  • Navigateurs
  • Fonctionnalités
  • Sync pour Windows
  • Applications mobiles
  • Plug-in Outlook

Clients et outils

   
Sync pour Windows 3.1 et plus
Plug-in pour Microsoft Outlook 3.2.2 et plus
On-Demand Sync pour Windows Non pris en charge
Drive Mapper 3.01.171.0 et plus
ShareFile pour iOS 3.3 — MDX uniquement
ShareFile pour Android 3.4 et plus
ShareFile pour Windows Phone 8 2.3.10 et plus
Sync pour Mac Non pris en charge
ShareFile Desktop Non pris en charge
XenMobile WorxMail pour iOS Non pris en charge
XenMobile WorxMail pour Android Pris en charge
Imprimer dans ShareFile Non pris en charge
Site Web mobile Non pris en charge
Autres méthodes d’accès au compte  
PowerShell Non pris en charge
SFCLI Non pris en charge
REST API(V3) Pris en charge
HTTPS APT (V1) Non pris en charge
RSZ Test Coverage Non pris en charge
FTP Non pris en charge
Envoyer des fichiers à un dossier Non pris en charge
.Net SDK Pris en charge
   
Windows Internet Explorer 11, Firefox (dernière version), Chrome (dernière version)
macOS Safari (dernière version), Firefox (dernière version), Chrome (dernière version)
iOS Safari, Secure Web
Android Secure Web

Fonctionnalités

Actions de l’utilisateur final : Utilisation des fichiers :

   
Parcourir et télécharger des fichiers Pris en charge
Charger des fichiers (type d’uploader) HTML5 : pris en charge ; Flash : Non pris en charge ; Java : Non pris en charge ; Formulaire HTML standard : Non pris en charge
Corbeille Pris en charge
Téléchargement et suppression en bloc Pris en charge
Boîte de fichiers Affichage : pris en charge ; Supprimer : pris en charge ; Téléchargement : pris en charge ; Téléchargement : non pris en charge ; Envoyer depuis la boîte de fichiers : Non pris en charge
Aperçu du fichier (miniatures) Non pris en charge
Afficher les documents dans le navigateur Web Non pris en charge
Rechargement du fichier Non pris en charge
Plusieurs versions par fichier Non pris en charge
Chercher Éléments de zone restreinte non inclus dans les résultats de recherche
Marquer un dossier comme favori Non pris en charge
Copier ou déplacer des fichiers Non pris en charge
Modifier les options de dossier : date d’expiration des dossiers, stratégie de rétention des fichiers Pris en charge
Bubbling de dossier partagé Non pris en charge

Actions de l’utilisateur final : Partage et collaboration :

   
Envoyer un fichier : exiger le téléchargement, envoyer un e-mail poursuivant ShareFile, me donner un lien que je peux copier, demander à l’utilisateur de se connecter, limiter le nombre de téléchargements Pris en charge
Recevoir et télécharger un fichier partagé Pris en charge
Créer un dossier partagé dans une zone de stockage restreinte Pris en charge
Ajouter des utilisateurs à un dossier : contrôler les autorisations de téléchargement et de téléchargement Pris en charge
Demander un fichier Pris en charge
Demander un fichier avec « Exiger une connexion ShareFile » activé Non pris en charge
Notifications par e-mail Pris en charge
Boîte de réception : fichiers qui m’ont été envoyés Pris en charge
Boîte de réception : Messages envoyés Afficher, expirer, renvoyer, modifier : pris en charge
Afficher le journal d’activité Pris en charge
Obtenir la signature (via RightSignature) Non pris en charge

Mesures administratives :

   
Créer un utilisateur dans une zone restreinte Pris en charge
Migrer l’utilisateur vers une autre zone Non pris en charge
Rapports : audit d’accès, rapport d’utilisation, rapport de messagerie, rapport de bande passante, rapport de stockage Afficheur HTML : supporté ; visionneuses Excel/CSV/PDF : les métadonnées chiffrées sont affichées
Administration des zones  
Surveiller l’utilisation du stockage Pris en charge
Surveiller l’utilisation de la bande passante Pris en charge
Surveiller l’activité des fichiers Pris en charge
Récupérer des fichiers Non pris en charge
Réconcilier les fichiers Non pris en charge
Supprimer la zone Pris en charge
Haute disponibilité Pris en charge

Sync pour Windows

Version minimale - 3.1

   
Authentifier à partir d’un client joint à un domaine - NTLM ou Kerberos Pris en charge
Authentifier à partir d’un client non domaine - Utilisateur invité à entrer un mot de passe Pris en charge
Synchroniser « Mes fichiers et dossiers » dans une zone restreinte Pris en charge
Synchroniser les dossiers partagés à partir d’une zone restreinte Pris en charge
Télécharger, télécharger, synchroniser Pris en charge
Synchronisation à la demande pour les environnements XenApp et XenDesktop Non pris en charge
Afficher les dossiers favoris Non disponible pour les dossiers de zone de stockage restreints
Cliquez avec le bouton droit > Copier le lien Pris en charge
Cliquez avec le bouton droit > Fichier de messagerie Pris en charge

Applications mobiles

Voir les tableaux spécifiques à l’application ci-dessous :

iOS - Version minimale 3.3

   
Parcourir et télécharger des fichiers Pris en charge
Afficher le contenu hors connexion Pris en charge
Créer un dossier Pris en charge
Créer ou modifier un fichier Pris en charge
Télécharger une photo ou une vidéo Pris en charge
Authentification avec nom d’utilisateur/mot de passe Pris en charge
Connexion unique avec Worx micro VPN Pris en charge
Partager : Copier un lien Pris en charge
Partager : Partager par email Non pris en charge
Ajouter ou modifier des notes de dossier Non pris en charge
Créer une note ou modifier des notes existantes Non pris en charge
Ajouter des personnes au dossier ou modifier des autorisations de dossier existantes Non pris en charge
Marquer/démarquer un dossier comme favori Non pris en charge
Demander un fichier Non pris en charge
Prévisualisations miniatures Non pris en charge
Suppression de plusieurs éléments Non pris en charge
Rendre le dossier disponible hors connexion Pris en charge sauf pour les dossiers « Partagé avec moi » de niveau racine
Partager un dossier Pris en charge sauf pour les dossiers « Partagé avec moi » de niveau racine
Création d’un connecteur dans une zone de stockage restreinte Non pris en charge

Android - Version minimale 3.4

   
Parcourir et télécharger des fichiers Pris en charge
Afficher le contenu hors connexion Pris en charge
Envoyer un fichier Pris en charge
Créer un dossier Pris en charge
Créer ou modifier un fichier Pris en charge
Télécharger des fichiers Pris en charge
Authentification avec nom d’utilisateur/mot de passe Pris en charge
Connexion unique avec Worx micro VPN Pris en charge
Demander un fichier Non pris en charge
Créer une note Non pris en charge
Remplacer le fichier existant après le téléchargement Non pris en charge

Plug-in Outlook

   
Authentifier à partir d’un client joint à un domaine - NTLM ou Kerberos Pris en charge
Authentifier à partir d’un client non domaine - Utilisateur invité à entrer un mot de passe Pris en charge
Parcourir et sélectionner des fichiers à partir de ShareFile Pris en charge
Parcourir et sélectionner des fichiers à partir de ShareFile avec « Exiger que les destinataires se connectent » activé Non pris en charge
Convertir la pièce jointe en lien ShareFile Pris en charge
Convertir la pièce jointe en lien ShareFile avec « Exiger les destinataires à se connecter » activé Non pris en charge
Demander un fichier Pris en charge
Demander un fichier avec « Exiger aux destinataires de se connecter » activé Non pris en charge