Compte Microsoft professionnel

[Romaindu83]

Bonjour,

Dans le grand groupe dans lequel je travaille, tous les employés ont un compte professionnel. Il s'agit d'un compte Microsoft Exchange, si je ne dis pas de bêtise. Etant totalement ignorant du fonctionnement d'un Intranet, je souhaitais savoir qui créent ces comptes Exchange pour les employés ? Ces comptes ne finissent pas par @outlook.com mais par @nomdelentreprise.com. En cas de problème avec des comptes Exchange, est-ce Microsoft qui les gère ? Quel est la part d'accès que dispose Microsoft sur des comptes Exchange ?

Il faut savoir que ce grand groupe dispose de sa plate-forme qui gère des problèmes informatiques. Elle peut prendre le contrôle d'un ordinateur à distance pour réparer un bug. En revanche, cette plate-forme ne gère pas les problèmes avec les comptes Exchange. Elle transmet ces problèmes à une autre plate-forme, qui, si j'ai bien compris, appartient aussi à ce grand groupe. Mais un compte Exchange, c'est pourtant bien Microsoft. D'où mon incompréhension.

Par ailleurs, petite parenthèse, et c'est un léger coup de gueule : les techniciens de maintenance en informatique, si c'est bien le métier dont il s'agit, ont une tendance à avoir la main lourde sur le verrouillage des options Windows sur un compte professionnel : impossible de changer un arrière plan de bureau, de modifier un profil, certains paramètres sont inaccessible, ect... Je trouve que c'est exagéré et j'assimile cela à un manque de confiance envers les employés. Je ferme la parenthèse

Pourriez-vous éclairer ma lanterne sans utiliser un langage technique, s'il vous plaît ?

[ecatomb]

Le compte exchange est géré par un service de Microsoft. Par contre c’est ton entreprise qui a demandé à ce service de le créer, rien ne passe directement via l’employé.

Quand aux droits limités sur ton poste, c’est une question de sécurité (un peu lourde par moment).

[Edit] Je confond Exchange et office365 ... désolé

[refuznik]

Exchange est un logiciel de messagerie. Soit tu l'achètes et tu gères les comptes en interne, soit tu déportes la gestion chez microsoft mais c'est l'entreprise qui à la main dessus.

@nomdelentreprise.com c'est un nom de domaine que tu achètes à part chez un registrar et que tu vas lier soit au domaine de l'entreprise, soit au site web soit au nom de domaine ou les trois à la fois.

il y a une heure, Romaindu83 a écrit :

Quel est la part d'accès que dispose Microsoft sur des comptes Exchange ? 

Normalement aucun. Au pire, ils peuvent dépanner ou proposer une solution mais en aucun cas, ils doivent avoir accès aux comptes.

Pour les services au sein des DSI comme dit @ecatomb c'est tout simplement pour la sécurité. Dans certaines boites c'est fait finement voir même suivant les départements (comme par exemple les ports usb, l'installation de nouveau logiciel, etc...) dans d'autres, on bloque tout.   C'est pas un manque de confiance mais il faut savoir que dans 98% des cas, les problèmes proviennent des gens (quel qu’ils soient patron, employés voir même du service info) donc on bloque.

Normalement lorsque tu intégre une entreprise, tu dois signer une charte informatique qui dit en gros ce que tu as droit de faire avec ton matos et ce que fais la DSI.

 

[Aloyse57]

Chez nous, je bloque effectivement aussi les fonds d'écran. Parce qu'il y aura toujours un petit malin qui va mettre une photo de cul, politique, à connotation religieuse, etc... qui peut faire énormément de tord à l'entreprise. Donc, c'est non. Faire confiance à un employé, c'est tresser la corde pour se pendre. 75% sont inoffensifs, 15% à surveiller, 8% dangereux, 2% nocifs selon ma propre XP.

Je te classe dans les dangereux 😏: malgré que tu sois dans une grande entreprise, tu veux toucher à ton profil , modifier des paramètres,  volontairement. Qui sait si en plus tu ne veux pas installer un logiciel en plus...

 

Petit Bémol : Microsoft n'a pas accès aux emails Exchange sauf dans le cas d'une installation hybride Exchange/Outlook365. Si on veut rester opaque à Microsoft, il faut chiffrer les emails, mais ça c'est du ressort de la compagnie.
Si les accès possible à votre compte Exchange vous troublent, autant être direct : les admins (domaine, exchange, backups,... ) y ont plein accès en tout temps. Je le fais moi-même au hasard ou par mots-clés. Certains mots (plusieurs langues) déclenchent une alerte, idem quand les gens vont sur le web du PC ou de cell (sauf s'ils utilisent leur forfait et pas le Wifi)..

[Romaindu83]

Il y a 18 heures, Aloyse57 a écrit :

Chez nous, je bloque effectivement aussi les fonds d'écran. Parce qu'il y aura toujours un petit malin qui va mettre une photo de cul, politique, à connotation religieuse, etc... qui peut faire énormément de tord à l'entreprise. Donc, c'est non. Faire confiance à un employé, c'est tresser la corde pour se pendre. 75% sont inoffensifs, 15% à surveiller, 8% dangereux, 2% nocifs selon ma propre XP.

Je te classe dans les dangereux 😏: malgré que tu sois dans une grande entreprise, tu veux toucher à ton profil , modifier des paramètres,  volontairement. Qui sait si en plus tu ne veux pas installer un logiciel en plus...

 

Petit Bémol : Microsoft n'a pas accès aux emails Exchange sauf dans le cas d'une installation hybride Exchange/Outlook365. Si on veut rester opaque à Microsoft, il faut chiffrer les emails, mais ça c'est du ressort de la compagnie.
Si les accès possible à votre compte Exchange vous troublent, autant être direct : les admins (domaine, exchange, backups,... ) y ont plein accès en tout temps. Je le fais moi-même au hasard ou par mots-clés. Certains mots (plusieurs langues) déclenchent une alerte, idem quand les gens vont sur le web du PC ou de cell (sauf s'ils utilisent leur forfait et pas le Wifi)..

Je ne le prends pas mal que tu me considères comme dangereux. Sur NextINPact, je fais assez souvent la remarque qu'un PC professionnel ne doit pas servir à des fins personnels. Les loisirs, pour moi, se passent sur un PC personnel. Je suis par exemple consterné que des employés, autre qu'un animateur de communauté, se promènent sur les réseaux sociaux sur leurs lieux de travail, sur des PC professionnels, même pendant leurs pauses ! Egalement, sur les PC professionnels ne doivent se trouver que les logiciels professionnels. Quoi de plus normal !

Bref, j'applique tout cela à moi-même. Ceci étant dit, il y a des paramètres qui ne me semblent pas sensibles et qui sont bloqués. A première vue, je ne les trouve pas dangereux. M'interdire de modifier un profil, afin de le compléter ou de le corriger, je ne trouve pas cela dangereux. Pour ce faire, il faut que j'aille voir la maintenance informatique pour leur faire cette demande, qu'elle fera elle-même. Or, je sais qu'elle ne le fera pas. Elle a d'autres chats à fouetter. Ces petites choses comme ça qui, au cumul, deviennent un verrouillage énorme. Or, il n'est pas question pour moi de nuire à mon employeur !

 

Pour le reste, je vais être aussi direct. Qu'un administrateur puisse avoir un total accès à un compte professionnel, y compris l'accès aux courriels, cela peut me poser un petit problème. Je ne suis pas un adorateurs des syndicats français mais je conçois qu'ils se plaignent de ces possibilités d'accès. Même en entreprise, des conversions peuvent avoir un caractère privée.

 

Il y a 19 heures, refuznik a écrit :

Exchange est un logiciel de messagerie. Soit tu l'achètes et tu gères les comptes en interne, soit tu déportes la gestion chez microsoft mais c'est l'entreprise qui à la main dessus.

@nomdelentreprise.com c'est un nom de domaine que tu achètes à part chez un registrar et que tu vas lier soit au domaine de l'entreprise, soit au site web soit au nom de domaine ou les trois à la fois.

Normalement aucun. Au pire, ils peuvent dépanner ou proposer une solution mais en aucun cas, ils doivent avoir accès aux comptes.

Pour les services au sein des DSI comme dit @ecatomb c'est tout simplement pour la sécurité. Dans certaines boites c'est fait finement voir même suivant les départements (comme par exemple les ports usb, l'installation de nouveau logiciel, etc...) dans d'autres, on bloque tout.   C'est pas un manque de confiance mais il faut savoir que dans 98% des cas, les problèmes proviennent des gens (quel qu’ils soient patron, employés voir même du service info) donc on bloque.

Normalement lorsque tu intégre une entreprise, tu dois signer une charte informatique qui dit en gros ce que tu as droit de faire avec ton matos et ce que fais la DSI.

 

Je confirme avoir signé une charte informatique. Dans les grandes lignes, c'était pour nous expliquer ce que nous avons droit de faire avec les PC professionnels. Il était surtout question de les utiliser comme outil de loisir. C'est toléré mais il ne faut pas exagéré. A aucun moment sur cette charte informatique, il est mentionné que les administrateurs ont l'accès aux courriels professionnels des divers employés... ou alors j'ai mal lu.

-----------------------------

Pour le reste, ce compte Microsoft professionnel est aussi un compte Office puisque nous utilisons cette suite bureautique. C'est bien Office 365. Nous utilisons Windows 10, qui est assez récent chez nous.

[Aloyse57]

J'ai de la chance, j'ai toujours travaillé dans des entreprises où j'avais les droits admin, même quand j'étais simple dev.
Rien de plus frustrant d'être bloqué quand ton prog ne fonctionne pas comme il devrait et que tu suspectes un prob de droits, mais que tu dois attendre le bon vouloir d'un admin pour le prouver. Le truc qui (me) rend fou 🤬.

Pas tellement le choix pour les accès. Si personne n'a accès alors le programme de backup/restauration des emails est impossible.
Ensuite un admin qui n'aurait pas accès à ton exchange, pourrait de toute façon installer un keylogger et chopper ton password pour ensuite ouvrir ta boîte. Autant qu'il ait accès sans bidouillage.

Au moins les règles sont claires en Amérique du Nord : ce qui est dans l'entreprise appartient à l'entreprise. Il n'y a aucune zone "personnelle" privée/réservée sur les machines pro.

Quand je dois échanger des infos qui ne doivent pas tomber sous les yeux de mes propres admins, je parle directement avec les personnes, sans jamais passer par les voies électroniques, à cause justement des analyseurs de trafic (sniffers), captures d'écran, etc...