Configurer des stratégies de pièces jointes fiables dans Microsoft Defender pour Office 365

Conseil

Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai sur Try Microsoft Defender pour Office 365.

Importante

Cet article est destiné aux entreprises qui ont Microsoft Defender pour Office 365. Si vous êtes un utilisateur à domicile à la recherche d’informations sur l’analyse des pièces jointes dans Outlook, voir Advanced Outlook.com security.

Dans les organisations avec Microsoft Defender pour Office 365, les pièces jointes sécurisées constituent une couche supplémentaire de protection contre les programmes malveillants dans les messages. Une fois les pièces jointes de message analysées par la protection anti-programme malveillant dans Exchange Online Protection (EOP), les pièces jointes sécurisées ouvrent les fichiers dans un environnement virtuel pour voir ce qui se passe (un processus appelé détonation) avant que les messages ne soient remis aux destinataires. Pour plus d’informations, consultez Pièces jointes fiables dans Microsoft Defender pour Office 365.

Bien qu’il n’existe aucune stratégie de pièces jointes fiables par défaut, la stratégie de sécurité prédéfinie de protection intégrée fournit par défaut une protection des pièces jointes fiables à tous les destinataires. Les destinataires spécifiés dans les stratégies de sécurité prédéfinies Standard ou Strict ou dans les stratégies de pièces jointes fiables personnalisées ne sont pas affectés. Pour plus d’informations, consultez Stratégies de sécurité prédéfinies dans EOP et Microsoft Defender pour Office 365.

Pour plus de précision, vous pouvez également utiliser les procédures décrites dans cet article pour créer des stratégies de pièces jointes fiables qui s’appliquent à des utilisateurs, des groupes ou des domaines spécifiques.

Vous configurez des stratégies de pièces jointes fiables dans le portail Microsoft Defender ou dans Exchange Online PowerShell.

Remarque

Dans les paramètres globaux des paramètres pièces jointes fiables, vous configurez les fonctionnalités qui ne dépendent pas des stratégies de pièces jointes fiables. Pour obtenir des instructions, voir Activer les pièces jointes fiables pour SharePoint, OneDrive et Microsoft Teams et documents sécurisés dans Microsoft 365 E5.

Ce qu'il faut savoir avant de commencer

  • Vous ouvrez le portail Microsoft Defender à l’adresse https://security.microsoft.com. Pour accéder directement à la page Pièces jointes fiables , utilisez https://security.microsoft.com/safeattachmentv2.

  • Pour vous connecter à Exchange Online PowerShell, voir Connexion à Exchange Online PowerShell.

  • Vous devez disposer d’autorisations pour pouvoir effectuer les procédures décrites dans cet article. Vous avez le choix parmi les options suivantes :

    • Microsoft Defender XDR le contrôle d’accès en fonction du rôle unifié (RBAC) (si Email & collaboration>Defender for Office 365 autorisations est Active. Affecte uniquement le portail Defender, et non PowerShell) : Autorisation et paramètres/Paramètres de sécurité/Paramètres de sécurité principaux (gérer) ou Autorisation et paramètres/Paramètres de sécurité/Paramètres de sécurité principaux (lecture) .

    • Email & les autorisations de collaboration dans le portail Microsoft Defender et les autorisations Exchange Online :

      • Créer, modifier et supprimer des stratégies : l’appartenance aux groupes de rôles Gestion de l’organisation ou Administrateur de la sécurité dans Email & les autorisations de collaboration et l’appartenance au groupe de rôles Gestion de l’organisation dans Exchange Online autorisations.
      • Accès en lecture seule aux stratégies : appartenance à l’un des groupes de rôles suivants :
        • Lecteur global ou Lecteur de sécurité dans Email & autorisations de collaboration.
        • Afficher uniquement la gestion de l’organisation dans Exchange Online autorisations.
    • autorisations Microsoft Entra : l’appartenance aux rôles Administrateur* général, Administrateur de la sécurité, Lecteur général ou Lecteur de sécurité donne aux utilisateurs les autorisations et autorisations requises pour d’autres fonctionnalités dans Microsoft 365.

      Importante

      * Microsoft vous recommande d’utiliser des rôles avec le moins d’autorisations. L’utilisation de comptes avec autorisation inférieure permet d’améliorer la sécurité de vos organization. Le rôle d’administrateur général dispose de privilèges élevés. Il doit être limité aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.

  • Pour connaître les paramètres recommandés pour les stratégies de pièces jointes fiables, consultez Paramètres des pièces jointes fiables.

    Conseil

    Les exceptions à la protection intégrée des pièces jointes fiables ou des paramètres dans les stratégies de pièces jointes fiables personnalisées sont ignorées si un destinataire est également inclus dans les stratégies de sécurité prédéfinies Standard ou Strict. Pour plus d’informations, consultez Ordre et priorité de la protection des e-mails.

  • Prévoyez jusqu’à 30 minutes pour qu’une stratégie nouvelle ou mise à jour soit appliquée.

  • Pour plus d’informations sur les conditions de licence, consultez Termes du contrat de licence.

Utiliser le portail Microsoft Defender pour créer des stratégies de pièces jointes fiables

  1. Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Email & Stratégies de collaboration>& Règles>Stratégies de menace>Pièces jointes sécurisées dans la section Stratégies. Ou, pour accéder directement à la page Pièces jointes fiables, utilisez https://security.microsoft.com/safeattachmentv2.

  2. Dans la page Pièces jointes fiables , sélectionnez Créer pour démarrer l’Assistant Nouvelle stratégie de pièces jointes fiables.

  3. Sur la page Nommer votre stratégie, configurez les paramètres suivants :

    • Nom Entrez un nom unique et descriptif pour la stratégie.
    • Description Entrez une description facultative pour la stratégie.

    Lorsque vous avez terminé dans la page Nommer votre stratégie , sélectionnez Suivant.

  4. Dans la page Utilisateurs et domaines , identifiez les destinataires internes auxquels la stratégie s’applique (conditions de destinataire) :

    • Utilisateurs : boîtes aux lettres, utilisateurs de messagerie ou contacts de messagerie spécifiés.
    • Groupes :
      • Membres des groupes de distribution spécifiés ou des groupes de sécurité à extension messagerie (les groupes de distribution dynamiques ne sont pas pris en charge).
      • Groupes Microsoft 365 spécifiée
    • Domaines : tous les destinataires du organization avec un adresse e-mail principale dans le domaine accepté spécifié.

    Cliquez dans la zone appropriée, commencez à taper une valeur et sélectionnez la valeur souhaitée dans les résultats. Répétez cette opération autant de fois que nécessaire. Pour supprimer une valeur existante, sélectionnez en regard de la valeur.

    Pour les utilisateurs ou les groupes, vous pouvez utiliser la plupart des identificateurs (nom, nom d’affichage, alias, adresse e-mail, nom de compte, etc.), mais le nom d'affichage correspondant apparaît dans les résultats. Pour les utilisateurs, entrez un astérisque (*) seul pour afficher toutes les valeurs disponibles.

    Vous ne pouvez utiliser une condition qu’une seule fois, mais la condition peut contenir plusieurs valeurs :

    • Plusieurs valeurs de la même condition utilisent la logique OR (par exemple, <recipient1> ou <recipient2>). Si le destinataire correspond à l’une des valeurs spécifiées, la stratégie leur est appliquée.

    • Différents types de conditions utilisent la logique AND. Le destinataire doit correspondre à toutes les conditions spécifiées pour que la stratégie s’applique à lui. Par exemple, vous configurez une condition avec les valeurs suivantes :

      • Utilisateurs: romain@contoso.com
      • Groupes : Cadres supérieurs

      La stratégie s’applique uniquement s’il romain@contoso.com est également membre du groupe Cadres. Sinon, la politique ne lui est pas appliquée.

    • Exclure ces utilisateurs, groupes et domaines : pour ajouter des exceptions pour les destinataires internes auxquels la stratégie s’applique (exceptions pour les destinataires), sélectionnez cette option et configurez les exceptions.

      Vous ne pouvez utiliser une exception qu’une seule fois, mais l’exception peut contenir plusieurs valeurs :

      • Plusieurs valeurs de la même exception utilisent la logique OR (par exemple, <recipient1> ou <recipient2>). Si le destinataire correspond à l’une des valeurs spécifiées, la stratégie ne leur est pas appliquée.
      • Différents types d’exceptions utilisent la logique OR (par exemple, <recipient1> ou <membre de group1> ou <membre de domaine1>). Si le destinataire correspond à l’une des valeurs d’exception spécifiées, la stratégie ne leur est pas appliquée.

    Lorsque vous avez terminé sur la page Utilisateurs et domaines , sélectionnez Suivant.

  5. Dans la page Paramètres , configurez les paramètres suivants :

    • Réponse aux programmes malveillants inconnus des pièces jointes fiables : sélectionnez l’une des valeurs suivantes :

      • Désactivé
      • Moniteur
      • Bloquer : il s’agit de la valeur par défaut et de la valeur recommandée dans les stratégies de sécurité prédéfinies Standard et Strict.
      • Livraison dynamique (messages en préversion)

      Ces valeurs sont expliquées dans les paramètres de stratégie Pièces jointes fiables.

    • Stratégie de mise en quarantaine : sélectionnez la stratégie de mise en quarantaine qui s’applique aux messages mis en quarantaine par les pièces jointes sécurisées (bloc ou remise dynamique). Les stratégies de quarantaine définissent ce que les utilisateurs sont en mesure de faire pour les messages mis en quarantaine et si les utilisateurs reçoivent des notifications de quarantaine. Pour plus d’informations, consultez Anatomie d’une stratégie de mise en quarantaine.

      Par défaut, la stratégie de mise en quarantaine nommée AdminOnlyAccessPolicy est utilisée pour les détections de programmes malveillants par les stratégies de pièces jointes fiables. Pour plus d’informations sur cette stratégie de mise en quarantaine, consultez Anatomie d’une stratégie de mise en quarantaine.

      Remarque

      Les notifications de mise en quarantaine sont désactivées dans la stratégie nommée AdminOnlyAccessPolicy. Pour avertir les destinataires dont les messages sont mis en quarantaine en tant que programmes malveillants par des pièces jointes fiables, créez ou utilisez une stratégie de mise en quarantaine existante dans laquelle les notifications de mise en quarantaine sont activées. Pour obtenir des instructions, consultez Créer des stratégies de mise en quarantaine dans le portail Microsoft Defender.

      Les utilisateurs ne peuvent pas publier leurs propres messages qui ont été mis en quarantaine en tant que programmes malveillants par des stratégies de pièces jointes fiables, quelle que soit la façon dont la stratégie de quarantaine est configurée. Si la stratégie permet aux utilisateurs de publier leurs propres messages mis en quarantaine, les utilisateurs sont autorisés à demander la publication de leurs messages de programmes malveillants mis en quarantaine.

    • Rediriger les messages avec des pièces jointes détectées : si vous sélectionnez Activer la redirection, vous pouvez spécifier une adresse e-mail dans la zone Envoyer des messages contenant des pièces jointes analysées à l’adresse e-mail spécifiée pour envoyer des messages contenant des pièces jointes de programmes malveillants à des fins d’analyse et d’investigation.

      Remarque

      La redirection est disponible uniquement pour l’action Surveiller . Pour plus d’informations, consultez MC424899.

    Lorsque vous avez terminé dans la page Paramètres , sélectionnez Suivant.

  6. Dans la page Révision , passez en revue vos paramètres. Vous pouvez sélectionner Modifier dans chaque section pour modifier les paramètres de la section. Vous pouvez également sélectionner Précédent ou la page spécifique dans l’Assistant.

    Lorsque vous avez terminé d’accéder à la page Révision, sélectionnez Envoyer.

  7. Dans la page Nouvelle stratégie de pièces jointes sécurisées créée , vous pouvez sélectionner les liens pour afficher la stratégie, afficher les stratégies de pièces jointes fiables et en savoir plus sur les stratégies de pièces jointes fiables.

    Lorsque vous avez terminé dans la page Nouvelle stratégie de pièces jointes fiables créée , sélectionnez Terminé.

    De retour dans la page Pièces jointes fiables , la nouvelle stratégie est répertoriée.

Utiliser le portail Microsoft Defender pour afficher les détails de la stratégie pièces jointes fiables

Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Email & Stratégies de collaboration>& Règles>Stratégies de menace>Pièces jointes sécurisées dans la section Stratégies. Pour accéder directement à la page Pièces jointes fiables , utilisez https://security.microsoft.com/safeattachmentv2.

Dans la page Pièces jointes fiables , les propriétés suivantes s’affichent dans la liste des stratégies :

Pour modifier la liste des stratégies de l’espacement normal à l’espacement compact, sélectionnez Modifier l’espacement de liste en compact ou normal, puis sélectionnez Liste compacte.

Utilisez la zone De recherche et une valeur correspondante pour rechercher des stratégies de pièces jointes fiables spécifiques.

Utilisez Exporter pour exporter la liste des stratégies vers un fichier CSV.

Utilisez Afficher les rapports pour ouvrir le rapport de status protection contre les menaces.

Sélectionnez une stratégie en cliquant n’importe où dans la ligne autre que la zone case activée en regard du nom pour ouvrir le menu volant des détails de la stratégie.

Conseil

Pour afficher des détails sur les autres stratégies de pièces jointes fiables sans quitter le menu volant de détails, utilisez l’élément Précédent et l’élément suivant en haut du menu volant.

Utiliser le portail Microsoft Defender pour prendre des mesures sur les stratégies de pièces jointes fiables

Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Email & Stratégies de collaboration>& Règles>Stratégies de menace>Pièces jointes sécurisées dans la section Stratégies. Pour accéder directement à la page Pièces jointes fiables , utilisez https://security.microsoft.com/safeattachmentv2.

  1. Dans la page Pièces jointes fiables, sélectionnez la stratégie Pièces jointes fiables à l’aide de l’une des méthodes suivantes :

    • Sélectionnez la stratégie dans la liste en sélectionnant la zone case activée en regard du nom. Les actions suivantes sont disponibles dans la liste déroulante Autres actions qui s’affiche :

      • Activez les stratégies sélectionnées.
      • Désactivez les stratégies sélectionnées.
      • Supprimer les stratégies sélectionnées.

      Page Pièces jointes fiables avec une stratégie sélectionnée et le contrôle Plus d’actions développé.

    • Sélectionnez la stratégie dans la liste en cliquant n’importe où dans la ligne autre que la zone case activée en regard du nom. Certaines ou toutes les actions suivantes sont disponibles dans le menu volant de détails qui s’ouvre :

      • Modifiez les paramètres de stratégie en cliquant sur Modifier dans chaque section (stratégies personnalisées ou stratégie par défaut)
      • Activer ou désactiver (stratégies personnalisées uniquement)
      • Augmenter la priorité ou Diminuer la priorité (stratégies personnalisées uniquement)
      • Supprimer la stratégie (stratégies personnalisées uniquement)

      Menu volant de détails d’une stratégie de pièces jointes sécurisées personnalisée.

Les actions sont décrites dans les sous-sections suivantes.

Utiliser le portail Microsoft Defender pour modifier les stratégies de pièces jointes fiables personnalisées

Après avoir sélectionné une stratégie de pièces jointes approuvées personnalisée en cliquant n’importe où dans la ligne autre que la zone case activée en regard du nom, les paramètres de stratégie sont affichés dans le menu volant de détails qui s’ouvre. Sélectionnez Modifier dans chaque section pour modifier les paramètres de la section. Pour plus d’informations sur les paramètres, consultez la section Créer des stratégies de pièces jointes fiables plus haut dans cet article.

Vous ne pouvez pas modifier les stratégies de pièces jointes fiables nommées Standard Stratégie de sécurité prédéfinie, Stratégie de sécurité prédéfinie stricte ou Protection intégrée (Microsoft) associées aux stratégies de sécurité prédéfinies dans le menu volant détails de la stratégie. Au lieu de cela, vous sélectionnez Afficher les stratégies de sécurité prédéfinies dans le menu volant de détails pour accéder à la page Stratégies de sécurité prédéfinies à l’adresse https://security.microsoft.com/presetSecurityPolicies afin de modifier les stratégies de sécurité prédéfinies.

Utiliser le portail Microsoft Defender pour activer ou désactiver les stratégies de pièces jointes fiables personnalisées

Vous ne pouvez pas activer ou désactiver les stratégies de pièces jointes fiables nommées Standard Stratégie de sécurité prédéfinie, Stratégie de sécurité prédéfinie stricte ou Protection intégrée (Microsoft) associées aux stratégies de sécurité prédéfinies ici. Vous activez ou désactivez les stratégies de sécurité prédéfinies dans la page Stratégies de sécurité prédéfinies à l’adresse https://security.microsoft.com/presetSecurityPolicies.

Après avoir sélectionné une stratégie de pièces jointes sécurisées activée (la valeur État est Activé), utilisez l’une des méthodes suivantes pour la désactiver :

  • Dans la page Pièces jointes fiables : sélectionnez Autres actions>Désactiver les stratégies sélectionnées.
  • Dans le menu volant de détails de la stratégie : sélectionnez Désactiver en haut du menu volant.

Après avoir sélectionné une stratégie de pièces jointes sécurisées désactivée (la valeur État est Désactivée), utilisez l’une des méthodes suivantes pour l’activer :

  • Dans la page Pièces jointes fiables : sélectionnez Autres actionsActiver les stratégies> sélectionnées.
  • Dans le menu volant de détails de la stratégie : sélectionnez Activer en haut du menu volant.

Dans la page Pièces jointes fiables , la valeur État de la stratégie est maintenant Activée ou Désactivée.

Utiliser le portail Microsoft Defender pour définir la priorité des stratégies de pièces jointes fiables personnalisées

Les stratégies de pièces jointes sécurisées sont traitées dans l’ordre dans lequel elles sont affichées sur la page Pièces jointes fiables :

  • La stratégie pièces jointes fiables nommée Stratégie de sécurité prédéfinie stricte associée à la stratégie de sécurité prédéfinie Strict est toujours appliquée en premier (si la stratégie de sécurité prédéfinie Strict est activée).
  • La stratégie pièces jointes fiables nommée Standard stratégie de sécurité prédéfinie associée à la stratégie de sécurité prédéfinie Standard est toujours appliquée ensuite (si la stratégie de sécurité prédéfinie Standard est activée).
  • Les stratégies de pièces jointes fiables personnalisées sont ensuite appliquées dans l’ordre de priorité (si elles sont activées) :
    • Une valeur de priorité inférieure indique une priorité plus élevée (0 est la plus élevée).
    • Par défaut, une nouvelle stratégie est créée avec une priorité inférieure à la stratégie personnalisée la plus basse existante (la première est 0, la suivante est 1, etc.).
    • Deux stratégies ne peuvent pas avoir la même valeur de priorité.
  • La stratégie pièces jointes sécurisées nommée Protection intégrée (Microsoft) associée à la protection intégrée a toujours la valeur de priorité Plus bas, et vous ne pouvez pas la modifier.

La protection des pièces jointes sécurisées s’arrête pour un destinataire après l’application de la première stratégie (stratégie de priorité la plus élevée pour ce destinataire). Pour plus d’informations, consultez Ordre et priorité de la protection des e-mails.

Après avoir sélectionné la stratégie de pièces jointes approuvées personnalisée en cliquant n’importe où dans la ligne autre que la zone case activée en regard du nom, vous pouvez augmenter ou diminuer la priorité de la stratégie dans le menu volant de détails qui s’ouvre :

  • La stratégie personnalisée avec la valeur Priorité0 dans la page Pièces jointes fiables a l’action Réduire la priorité en haut du menu volant de détails.
  • La stratégie personnalisée avec la priorité la plus basse (valeur de priorité la plus élevée, par exemple, 3) a l’action Augmenter la priorité en haut du menu volant détails.
  • Si vous avez trois stratégies ou plus, les stratégies entre la priorité 0 et la priorité la plus basse ont à la fois les actions Augmenter la priorité et Diminuer la priorité en haut du menu volant des détails.

Lorsque vous avez terminé dans le menu volant détails de la stratégie, sélectionnez Fermer.

De retour dans la page Pièces jointes fiables , l’ordre de la stratégie dans la liste correspond à la valeur De priorité mise à jour.

Utiliser le portail Microsoft Defender pour supprimer les stratégies de pièces jointes fiables personnalisées

Vous ne pouvez pas supprimer les stratégies de pièces jointes fiables nommées Standard Stratégie de sécurité prédéfinie, Stratégie de sécurité prédéfinie stricte ou Protection intégrée (Microsoft) associées à des stratégies de sécurité prédéfinies.

Après avoir sélectionné la stratégie de pièces jointes fiables personnalisée, utilisez l’une des méthodes suivantes pour la supprimer :

  • Dans la page Pièces jointes fiables : Sélectionnez Autres actions>Supprimer les stratégies sélectionnées.
  • Dans le menu volant de détails de la stratégie : sélectionnez Supprimer la stratégie en haut du menu volant.

Sélectionnez Oui dans la boîte de dialogue d’avertissement qui s’ouvre.

De retour dans la page Pièces jointes fiables , la stratégie supprimée n’est plus répertoriée.

Utiliser Exchange Online PowerShell pour configurer des stratégies de pièces jointes fiables

Dans PowerShell, les éléments de base d’une stratégie pièces jointes fiables sont les suivants :

  • Stratégie de pièce jointe sécurisée : spécifie les actions pour les détections de programmes malveillants inconnus, s’il faut envoyer des messages avec des pièces jointes de programmes malveillants à une adresse e-mail spécifiée et s’il faut remettre des messages si l’analyse des pièces jointes fiables ne peut pas se terminer.
  • Règle de pièce jointe sécurisée : spécifie les filtres de priorité et de destinataire (à qui la stratégie s’applique).

La différence entre ces deux éléments n’est pas évidente lorsque vous gérez des stratégies de pièces jointes fiables dans le portail Microsoft Defender :

  • Lorsque vous créez une stratégie de pièces jointes fiables dans le portail Defender, vous créez en même temps une règle de pièce jointe sécurisée et la stratégie de pièce jointe sécurisée associée en utilisant le même nom pour les deux.
  • Lorsque vous modifiez une stratégie pièces jointes fiables dans le portail Defender, les paramètres liés au nom, à la priorité, activés ou désactivés et aux filtres de destinataires modifient la règle de pièce jointe sécurisée. Tous les autres paramètres modifient la stratégie de pièces jointes approuvées associée.
  • Lorsque vous supprimez une stratégie de pièces jointes fiables du portail Defender, la règle de pièce jointe sécurisée et la stratégie de pièce jointe sécurisée associée sont supprimées.

Dans PowerShell, la différence entre les stratégies de pièces jointes sécurisées et les règles de pièce jointe sécurisée est évidente. Vous gérez les stratégies de pièces jointes sécurisées à l’aide des applets de commande *-SafeAttachmentPolicy , et vous gérez les règles de pièces jointes fiables à l’aide des applets de commande *-SafeAttachmentRule .

  • Dans PowerShell, vous créez d’abord la stratégie de pièce jointe sécurisée, puis vous créez la règle de pièce jointe sécurisée, qui identifie la stratégie associée à laquelle la règle s’applique.
  • Dans PowerShell, vous modifiez séparément les paramètres de la stratégie de pièces jointes fiables et de la règle de pièce jointe sécurisée.
  • Lorsque vous supprimez une stratégie de pièce jointe sécurisée de PowerShell, la règle de pièce jointe sécurisée correspondante n’est pas automatiquement supprimée, et inversement.

Utiliser PowerShell pour créer des stratégies de pièces jointes fiables

La création d’une stratégie de pièces jointes fiables dans PowerShell est un processus en deux étapes :

  1. Créez la stratégie de pièce jointe sécurisée.
  2. Créez la règle de pièce jointe sécurisée qui spécifie la stratégie de pièce jointe sécurisée à laquelle la règle s’applique.

Remarques :

  • Vous pouvez créer une règle de pièce jointe sécurisée et lui attribuer une stratégie de pièces jointes fiables non associée existante. Une règle de pièce jointe sécurisée ne peut pas être associée à plusieurs stratégies de pièces jointes fiables.

  • Vous pouvez configurer les paramètres suivants sur les nouvelles stratégies de pièces jointes sécurisées dans PowerShell qui ne sont pas disponibles dans le portail Microsoft Defender tant que vous n’avez pas créé la stratégie :

    • Créez la stratégie comme désactivée (Activée$false sur l’applet de commande New-SafeAttachmentRule ).
    • Définissez la priorité de la stratégie lors de la création (numéro de> priorité<) sur l’applet de commande New-SafeAttachmentRule).
  • Une nouvelle stratégie de pièce jointe sécurisée que vous créez dans PowerShell n’est pas visible dans le portail Microsoft Defender tant que vous n’affectez pas la stratégie à une règle de pièce jointe sécurisée.

Étape 1 : Utiliser PowerShell pour créer une stratégie de pièce jointe sécurisée

Pour créer une stratégie de pièce jointe sécurisée, utilisez la syntaxe suivante :

New-SafeAttachmentPolicy -Name "<PolicyName>" -Enable $true [-AdminDisplayName "<Comments>"] [-Action <Allow | Block | DynamicDelivery>] [-Redirect <$true | $false>] [-RedirectAddress <SMTPEmailAddress>] [-QuarantineTag <QuarantinePolicyName>]

Cet exemple crée une stratégie de pièce jointe sécurisée nommée Contoso All avec les valeurs suivantes :

  • Bloquer les messages qui contiennent des programmes malveillants par l’analyse des documents fiables (nous n’utilisons pas le paramètre Action et la valeur par défaut est Block).
  • La stratégie de mise en quarantaine par défaut est utilisée (AdminOnlyAccessPolicy), car nous n’utilisons pas le paramètre QuarantineTag .
New-SafeAttachmentPolicy -Name "Contoso All" -Enable $true

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez New-SafeAttachmentPolicy.

Conseil

Pour obtenir des instructions détaillées sur la spécification de la stratégie de mise en quarantaine à utiliser dans une stratégie de pièces jointes sécurisées, consultez Utiliser PowerShell pour spécifier la stratégie de quarantaine dans les stratégies de pièces jointes fiables.

Étape 2 : Utiliser PowerShell pour créer une règle de pièce jointe sécurisée

Pour créer une règle de pièce jointe sécurisée, utilisez la syntaxe suivante :

New-SafeAttachmentRule -Name "<RuleName>" -SafeAttachmentPolicy "<PolicyName>" <Recipient filters> [<Recipient filter exceptions>] [-Comments "<OptionalComments>"] [-Enabled <$true | $false>]

Cet exemple crée une règle de pièce jointe sécurisée nommée Contoso All avec les conditions suivantes :

  • La règle est associée à la stratégie de pièce jointe sécurisée nommée Contoso All.
  • La règle s'applique à tous les destinataires dans le domaine contoso.com.
  • Étant donné que nous n’utilisons pas le paramètre Priority , la priorité par défaut est utilisée.
  • La règle est activée (nous n’utilisons pas le paramètre Enabled , et la valeur par défaut est $true).
New-SafeAttachmentRule -Name "Contoso All" -SafeAttachmentPolicy "Contoso All" -RecipientDomainIs contoso.com

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez New-SafeAttachmentRule.

Utiliser PowerShell pour afficher les stratégies de pièces jointes sécurisées

Pour afficher les stratégies de pièces jointes sécurisées existantes, utilisez la syntaxe suivante :

Get-SafeAttachmentPolicy [-Identity "<PolicyIdentity>"] [| <Format-Table | Format-List> <Property1,Property2,...>]

Cet exemple retourne une liste récapitulative de toutes les stratégies de pièces jointes sécurisées.

Get-SafeAttachmentPolicy

Cet exemple retourne des informations détaillées sur la stratégie de pièce jointe sécurisée nommée Contoso Executives.

Get-SafeAttachmentPolicy -Identity "Contoso Executives" | Format-List

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Get-SafeAttachmentPolicy.

Utiliser PowerShell pour afficher les règles de pièces jointes sécurisées

Pour afficher les règles de pièces jointes sécurisées existantes, utilisez la syntaxe suivante :

Get-SafeAttachmentRule [-Identity "<RuleIdentity>"] [-State <Enabled | Disabled>] [| <Format-Table | Format-List> <Property1,Property2,...>]

Cet exemple retourne une liste récapitulative de toutes les règles de pièces jointes sécurisées.

Get-SafeAttachmentRule

Pour filtrer la liste par règles activées ou désactivées, exécutez les commandes suivantes :

Get-SafeAttachmentRule -State Disabled
Get-SafeAttachmentRule -State Enabled

Cet exemple retourne des informations détaillées pour la règle de pièce jointe sécurisée nommée Contoso Executives.

Get-SafeAttachmentRule -Identity "Contoso Executives" | Format-List

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Get-SafeAttachmentRule.

Utiliser PowerShell pour modifier les stratégies de pièces jointes sécurisées

Vous ne pouvez pas renommer une stratégie de pièce jointe sécurisée dans PowerShell (l’applet de commande Set-SafeAttachmentPolicy n’a aucun paramètre Name ). Lorsque vous renommez une stratégie pièces jointes fiables dans le portail Microsoft Defender, vous renommez uniquement la règle de pièce jointe sécurisée.

Sinon, les mêmes paramètres sont disponibles lorsque vous créez une stratégie de pièce jointe sécurisée, comme décrit dans la section Étape 1 : Utiliser PowerShell pour créer une stratégie de pièce jointe sécurisée plus haut dans cet article.

Pour modifier une stratégie de pièce jointe sécurisée, utilisez la syntaxe suivante :

Set-SafeAttachmentPolicy -Identity "<PolicyName>" <Settings>

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Set-SafeAttachmentPolicy.

Conseil

Pour obtenir des instructions détaillées sur la spécification de la stratégie de mise en quarantaine à utiliser dans une stratégie de pièces jointes sécurisées, consultez Utiliser PowerShell pour spécifier la stratégie de quarantaine dans les stratégies de pièces jointes fiables.

Utiliser PowerShell pour modifier les règles de pièces jointes sécurisées

Le seul paramètre qui n’est pas disponible lorsque vous modifiez une règle de pièce jointe sécurisée dans PowerShell est le paramètre Enabled qui vous permet de créer une règle désactivée. Pour activer ou désactiver les règles de pièces jointes sécurisées existantes, consultez la section suivante.

Sinon, les mêmes paramètres sont disponibles lorsque vous créez une règle, comme décrit dans la section Étape 2 : Utiliser PowerShell pour créer une règle de pièce jointe sécurisée plus haut dans cet article.

Pour modifier une règle de pièce jointe sécurisée, utilisez la syntaxe suivante :

Set-SafeAttachmentRule -Identity "<RuleName>" <Settings>

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Set-SafeAttachmentRule.

Utiliser PowerShell pour activer ou désactiver des règles de pièces jointes sécurisées

L’activation ou la désactivation d’une règle de pièce jointe sécurisée dans PowerShell active ou désactive l’ensemble de la stratégie pièces jointes fiables (la règle de pièce jointe sécurisée et la stratégie de pièce jointe sécurisée affectée).

Pour activer ou désactiver une règle de pièce jointe sécurisée dans PowerShell, utilisez la syntaxe suivante :

<Enable-SafeAttachmentRule | Disable-SafeAttachmentRule> -Identity "<RuleName>"

Cet exemple montre comment désactiver la règle de pièce jointe sécurisée nommée Service marketing.

Disable-SafeAttachmentRule -Identity "Marketing Department"

Cet exemple montre comment activer la même règle.

Enable-SafeAttachmentRule -Identity "Marketing Department"

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Enable-SafeAttachmentRule et Disable-SafeAttachmentRule.

Utiliser PowerShell pour définir la priorité des règles de pièces jointes fiables

La valeur 0 est la priorité la plus élevée que vous pouvez définir sur une règle. La valeur la plus basse que vous pouvez définir dépend du nombre de règles. Par exemple, si vous avez cinq règles, vous pouvez utiliser les valeurs de priorité 0 à 4. Tout changement de priorité d’une règle existante peut avoir un effet en cascade sur les autres règles. Par exemple, si vous avez cinq règles personnalisées (priorités de 0 à 4) et que vous modifiez la priorité d'une règle sur 2, la règle existante de priorité 2 passe en priorité 3, et la règle de priorité 3 passe en priorité 4.

Pour définir la priorité d’une règle de pièce jointe sécurisée dans PowerShell, utilisez la syntaxe suivante :

Set-SafeAttachmentRule -Identity "<RuleName>" -Priority <Number>

Cet exemple définit la priorité de la règle nommée Marketing Department sur 2. Toutes les règles existantes dont la priorité est inférieure ou égale à 2 sont diminuées d'une unité (leurs numéros de priorité sont augmentés de 1).

Set-SafeAttachmentRule -Identity "Marketing Department" -Priority 2

Remarque : Pour définir la priorité d’une nouvelle règle lorsque vous la créez, utilisez plutôt le paramètre Priority sur l’applet de commande New-SafeAttachmentRule .

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Set-SafeAttachmentRule.

Utiliser PowerShell pour supprimer des stratégies de pièces jointes sécurisées

Lorsque vous utilisez PowerShell pour supprimer une stratégie de pièce jointe sécurisée, la règle de pièce jointe sécurisée correspondante n’est pas supprimée.

Pour supprimer une stratégie de pièce jointe sécurisée dans PowerShell, utilisez la syntaxe suivante :

Remove-SafeAttachmentPolicy -Identity "<PolicyName>"

Cet exemple supprime la stratégie de pièce jointe sécurisée nommée Service marketing.

Remove-SafeAttachmentPolicy -Identity "Marketing Department"

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Remove-SafeAttachmentPolicy.

Utiliser PowerShell pour supprimer des règles de pièce jointe sécurisées

Lorsque vous utilisez PowerShell pour supprimer une règle de pièce jointe sécurisée, la stratégie de pièce jointe sécurisée correspondante n’est pas supprimée.

Pour supprimer une règle de pièce jointe sécurisée dans PowerShell, utilisez la syntaxe suivante :

Remove-SafeAttachmentRule -Identity "<PolicyName>"

Cet exemple supprime la règle de pièce jointe sécurisée nommée Service marketing.

Remove-SafeAttachmentRule -Identity "Marketing Department"

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Remove-SafeAttachmentRule.

Comment savoir si ces procédures ont fonctionné ?

Pour vérifier que vous avez correctement créé, modifié ou supprimé des stratégies de pièces jointes fiables, effectuez l’une des étapes suivantes :

  • Dans la page Pièces jointes fiables du portail Microsoft Defender à l’adresse https://security.microsoft.com/safeattachmentv2, vérifiez la liste des stratégies, leurs valeurs Status et leurs valeurs Priority. Pour afficher plus de détails, sélectionnez la stratégie dans la liste en cliquant sur son nom, puis affichez les détails dans la fenêtre volante.

  • Dans Exchange Online PowerShell, remplacez Nom> par <le nom de la stratégie ou de la règle, exécutez la commande suivante et vérifiez les paramètres :

    Get-SafeAttachmentPolicy -Identity "<Name>" | Format-List
    
    Get-SafeAttachmentRule -Identity "<Name>" | Format-List
    
  • Pour vérifier que les pièces jointes fiables analysent les messages, case activée les rapports Defender for Office 365 disponibles. Pour plus d’informations, consultez Afficher des rapports pour Defender for Office 365 et Utiliser Explorer dans le portail Microsoft Defender.