Configurer des stratégies anti-hameçonnage dans Microsoft Defender pour Office 365

Conseil

Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender XDR pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai sur Try Microsoft Defender pour Office 365.

Dans les organisations avec Microsoft Defender pour Office 365, les stratégies anti-hameçonnage fournissent les types de protection suivants :

La stratégie anti-hameçonnage par défaut s’applique automatiquement à tous les destinataires. Pour plus de granularité, vous pouvez également créer des stratégies anti-hameçonnage personnalisées qui s’appliquent à des utilisateurs, des groupes ou des domaines spécifiques dans votre organization.

Vous configurez des stratégies anti-hameçonnage dans le portail Microsoft Defender ou dans Exchange Online PowerShell.

Pour connaître les procédures de stratégie anti-hameçonnage dans les organisations sans Defender for Office 365, consultez Configurer des stratégies anti-hameçonnage dans EOP.

Ce qu'il faut savoir avant de commencer

  • Vous ouvrez le portail Microsoft Defender à l’adresse https://security.microsoft.com. Pour accéder directement à la page Anti-hameçonnage , utilisez https://security.microsoft.com/antiphishing.

  • Pour vous connecter à Exchange Online PowerShell, voir Connexion à Exchange Online PowerShell.

  • Vous devez disposer d’autorisations pour pouvoir effectuer les procédures décrites dans cet article. Vous avez le choix parmi les options suivantes :

    • Microsoft Defender XDR le contrôle d’accès en fonction du rôle unifié (RBAC) (si Email & collaboration>Defender for Office 365 autorisations est Active. Affecte uniquement le portail Defender, et non PowerShell) : Autorisation et paramètres/Paramètres de sécurité/Paramètres de sécurité principaux (gérer) ou Autorisation et paramètres/Paramètres de sécurité/Paramètres de sécurité principaux (lecture) .

    • Exchange Online autorisations :

      • Ajouter, modifier et supprimer des stratégies : appartenance aux groupes de rôles Gestion de l’organisation ou Administrateur de la sécurité .
      • Accès en lecture seule aux stratégies : appartenance aux groupes de rôles Lecteur général, Lecteur de sécurité ou Gestion de l’organisation en affichage seul .
    • autorisations Microsoft Entra : l’appartenance aux rôles Administrateur* général, Administrateur de la sécurité, Lecteur général ou Lecteur de sécurité donne aux utilisateurs les autorisations et autorisations requises pour d’autres fonctionnalités dans Microsoft 365.

      Importante

      * Microsoft vous recommande d’utiliser des rôles avec le moins d’autorisations. L’utilisation de comptes avec autorisation inférieure permet d’améliorer la sécurité de vos organization. Le rôle d’administrateur général dispose de privilèges élevés. Il doit être limité aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.

  • Pour connaître nos paramètres recommandés pour les stratégies anti-hameçonnage dans Defender for Office 365, consultez Stratégie anti-hameçonnage dans les paramètres de Defender for Office 365.

    Conseil

    Les paramètres des stratégies anti-hameçonnage par défaut ou personnalisées sont ignorés si un destinataire est également inclus dans les stratégies de sécurité prédéfinies Standard ou Strict. Pour plus d’informations, consultez Ordre et priorité de la protection des e-mails.

  • Prévoyez jusqu’à 30 minutes pour qu’une stratégie nouvelle ou mise à jour soit appliquée.

Utiliser le portail Microsoft Defender pour créer des stratégies anti-hameçonnage

  1. Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Email & Stratégies de collaboration>& Règles>Stratégies> de menaceAnti-hameçonnage dans la section Stratégies. Pour accéder directement à la page Anti-hameçonnage , utilisez https://security.microsoft.com/antiphishing.

  2. Dans la page Anti-hameçonnage , sélectionnez Créer pour ouvrir l’Assistant Nouvelle stratégie anti-hameçonnage.

  3. Dans la page Nom de la stratégie, configurez ces paramètres :

    • Nom Entrez un nom unique et descriptif pour la stratégie.
    • Description Entrez une description facultative pour la stratégie.

    Lorsque vous avez terminé sur la page Nom de la stratégie, sélectionnez Suivant.

  4. Dans la page Utilisateurs, groupes et domaines, identifiez les destinataires internes auxquels la stratégie s’applique (conditions de destinataire) :

    • Utilisateurs : boîtes aux lettres, utilisateurs de messagerie ou contacts de messagerie spécifiés.
    • Groupes :
      • Membres des groupes de distribution spécifiés ou des groupes de sécurité à extension messagerie (les groupes de distribution dynamiques ne sont pas pris en charge).
      • Groupes Microsoft 365 spécifiée
    • Domaines : tous les destinataires du organization avec un adresse e-mail principale dans le domaine accepté spécifié.

    Cliquez dans la zone appropriée, commencez à taper une valeur et sélectionnez la valeur souhaitée dans les résultats. Répétez cette opération autant de fois que nécessaire. Pour supprimer une valeur existante, sélectionnez en regard de la valeur.

    Pour les utilisateurs ou les groupes, vous pouvez utiliser la plupart des identificateurs (nom, nom d’affichage, alias, adresse e-mail, nom de compte, etc.), mais le nom d'affichage correspondant apparaît dans les résultats. Pour les utilisateurs ou les groupes, entrez un astérisque (*) pour afficher toutes les valeurs disponibles.

    Vous ne pouvez utiliser une condition qu’une seule fois, mais la condition peut contenir plusieurs valeurs :

    • Plusieurs valeurs de la même condition utilisent la logique OR (par exemple, <recipient1> ou <recipient2>). Si le destinataire correspond à l’une des valeurs spécifiées, la stratégie leur est appliquée.

    • Différents types de conditions utilisent la logique AND. Le destinataire doit correspondre à toutes les conditions spécifiées pour que la stratégie s’applique à lui. Par exemple, vous configurez une condition avec les valeurs suivantes :

      • Utilisateurs: romain@contoso.com
      • Groupes : Cadres supérieurs

      La stratégie s’applique uniquement s’il romain@contoso.com est également membre du groupe Cadres. Sinon, la politique ne lui est pas appliquée.

    • Exclure ces utilisateurs, groupes et domaines : pour ajouter des exceptions pour les destinataires internes auxquels la stratégie s’applique (exceptions pour les destinataires), sélectionnez cette option et configurez les exceptions.

      Vous ne pouvez utiliser une exception qu’une seule fois, mais l’exception peut contenir plusieurs valeurs :

      • Plusieurs valeurs de la même exception utilisent la logique OR (par exemple, <recipient1> ou <recipient2>). Si le destinataire correspond à l’une des valeurs spécifiées, la stratégie ne leur est pas appliquée.
      • Différents types d’exceptions utilisent la logique OR (par exemple, <recipient1> ou <membre de group1> ou <membre de domaine1>). Si le destinataire correspond à l’une des valeurs d’exception spécifiées, la stratégie ne leur est pas appliquée.

    Lorsque vous avez terminé sur la page Utilisateurs, groupes et domaines, sélectionnez Suivant.

  5. Dans la page Protection du seuil d’hameçonnage & , configurez les paramètres suivants :

    • Seuil de courrier d’hameçonnage : utilisez le curseur pour sélectionner l’une des valeurs suivantes :

      • 1 - Standard (il s’agit de la valeur par défaut.)
      • 2 - Agressif
      • 3 - Plus agressif
      • 4 - Le plus agressif

      Pour plus d’informations sur ce paramètre, consultez Seuils avancés de hameçonnage dans les stratégies anti-hameçonnage dans Microsoft Defender pour Office 365.

    • Emprunt d’identité : ces paramètres sont des conditions pour la stratégie qui identifient des expéditeurs spécifiques à rechercher (individuellement ou par domaine) dans l’adresse De des messages entrants. Pour plus d’informations, consultez Paramètres d’emprunt d’identité dans les stratégies anti-hameçonnage dans Microsoft Defender pour Office 365.

      • Autoriser les utilisateurs à protéger : ce paramètre n’est pas sélectionné par défaut. Pour activer la protection contre l’emprunt d’identité utilisateur, sélectionnez la zone case activée, puis sélectionnez le lien Gérer (nn) expéditeur(s). Vous identifiez l’action pour les détections d’emprunt d’identité d’utilisateur sur la page suivante.

        Vous identifiez les expéditeurs internes et externes à protéger par la combinaison de leur nom d’affichage et de leur adresse e-mail.

        Sélectionnez Ajouter un utilisateur. Dans le menu volant Ajouter un utilisateur qui s’ouvre, procédez comme suit :

        • Utilisateurs internes : cliquez dans la zone Ajouter un e-mail valide ou commencez à taper l’adresse e-mail de l’utilisateur. Sélectionnez l’adresse e-mail dans la liste déroulante Contacts suggérés qui s’affiche. Le nom d’affichage de l’utilisateur est ajouté à la zone Ajouter un nom (que vous pouvez modifier). Lorsque vous avez terminé de sélectionner l’utilisateur, sélectionnez Ajouter.

        • Utilisateurs externes : tapez l’adresse e-mail complète de l’utilisateur externe dans la zone Ajouter un e-mail valide , puis sélectionnez l’adresse e-mail dans la liste déroulante Contacts suggérés qui s’affiche. L’adresse e-mail est également ajoutée dans la zone Ajouter un nom (que vous pouvez remplacer par un nom d’affichage).

        Les utilisateurs que vous avez ajoutés sont répertoriés dans le menu volant Ajouter un utilisateur par nom et adresse Email. Pour supprimer un utilisateur, sélectionnez en regard de l’entrée.

        Lorsque vous avez terminé sur le menu volant Ajouter un utilisateur , sélectionnez Ajouter.

        De retour dans le menu volant Gérer les expéditeurs pour la protection contre l’emprunt d’identité , les utilisateurs que vous avez sélectionnés sont répertoriés par Nom d’affichage et Adresse e-mail de l’expéditeur.

        Pour modifier la liste des entrées d’un espacement normal à un espacement compact, sélectionnez Modifier l’espacement de liste en compact ou normal, puis sélectionnez Liste compacte.

        Utilisez la zone De recherche pour rechercher des entrées dans le menu volant.

        Pour ajouter des entrées, sélectionnez Ajouter un utilisateur et répétez les étapes précédentes.

        Pour supprimer des entrées, effectuez l’une des étapes suivantes :

        • Sélectionnez une ou plusieurs entrées en sélectionnant la zone de case activée arrondie qui s’affiche dans la zone vide en regard de la valeur du nom d’affichage.
        • Sélectionnez toutes les entrées en même temps en sélectionnant la zone de case activée arrondie qui s’affiche dans la zone vide en regard de l’en-tête de colonne Nom d’affichage.

        Lorsque vous avez terminé dans le menu volant Gérer les expéditeurs pour la protection contre l’emprunt d’identité , sélectionnez Terminé pour revenir à la page Seuil de hameçonnage & protection .

        Remarque

        Vous pouvez spécifier un maximum de 350 utilisateurs pour la protection contre l’emprunt d’identité des utilisateurs dans chaque stratégie anti-hameçonnage.

        La protection contre l’emprunt d’identité de l’utilisateur ne fonctionne pas si l’expéditeur et le destinataire ont déjà communiqué par e-mail. Si l’expéditeur et le destinataire n’ont jamais communiqué par e-mail, le message peut être identifié comme une tentative d’emprunt d’identité.

        Vous pouvez obtenir l’erreur « L’adresse e-mail existe déjà » si vous essayez d’ajouter un utilisateur à la protection contre l’emprunt d’identité d’utilisateur lorsque cette adresse e-mail est déjà spécifiée pour la protection contre l’emprunt d’identité de l’utilisateur dans une autre stratégie anti-hameçonnage. Cette erreur se produit uniquement dans le portail Defender. Vous ne recevez pas l’erreur si vous utilisez le paramètre TargetedUsersToProtect correspondant dans les applets de commande New-AntiPhishPolicy ou Set-AntiPhishPolicy dans Exchange Online PowerShell.

      • Activer les domaines à protéger : ce paramètre n’est pas sélectionné par défaut. Pour activer la protection contre l’emprunt d’identité de domaine, cochez la case case activée, puis configurez l’un ou les deux paramètres suivants qui s’affichent. Vous identifiez l’action pour les détections d’emprunt d’identité de domaine dans la page suivante.

        • Incluez les domaines que je possède : pour activer ce paramètre, cochez la case case activée. Pour afficher les domaines dont vous êtes propriétaire, sélectionnez Afficher mes domaines.

        • Inclure des domaines personnalisés : pour activer ce paramètre, sélectionnez la zone case activée, puis sélectionnez le lien Gérer (nn) domaine(s) personnalisé(s). Dans le menu volant Gérer les domaines personnalisés pour la protection contre l’emprunt d’identité qui s’ouvre, procédez comme suit :

        Sélectionnez Ajouter des domaines.

        Dans le menu volant Ajouter des domaines personnalisés qui s’affiche, cliquez dans la zone Domaine , entrez une valeur de domaine, puis sélectionnez la valeur affichée sous la zone. Répétez cette étape autant de fois que nécessaire.

        Les domaines que vous avez ajoutés sont répertoriés dans le menu volant Ajouter des domaines personnalisés . Pour supprimer le domaine, sélectionnez en regard de la valeur.

        Lorsque vous avez terminé sur le menu volant Ajouter des domaines personnalisés , sélectionnez Ajouter des domaines

        De retour dans le menu volant Gérer les domaines personnalisés pour la protection contre l’emprunt d’identité , les domaines que vous avez entrés sont répertoriés.

        Pour modifier la liste des entrées d’un espacement normal à un espacement compact, sélectionnez Modifier l’espacement de liste en compact ou normal, puis sélectionnez Liste compacte.

        Utilisez la zone De recherche pour rechercher des entrées dans le menu volant.

        Pour ajouter des entrées, sélectionnez Ajouter des domaines et répétez les étapes précédentes.

        Pour supprimer des entrées, effectuez l’une des étapes suivantes :

        • Sélectionnez une ou plusieurs entrées en sélectionnant la zone de case activée arrondie qui s’affiche dans la zone vide en regard de la valeur de domaine.
        • Sélectionnez toutes les entrées à la fois en sélectionnant la zone de case activée arrondie qui s’affiche dans la zone vide en regard de l’en-tête de colonne Domaines.

        Lorsque vous avez terminé dans le menu volant Gérer les domaines personnalisés pour la protection contre l’emprunt d’identité , sélectionnez Terminé pour revenir à la page Seuil de hameçonnage & protection .

      • Ajouter des expéditeurs et des domaines approuvés : spécifiez des exceptions de protection contre l’emprunt d’identité pour la stratégie en sélectionnant Gérer (nn) expéditeur(s) approuvé(s) et domaine(s) . Dans le menu volant Gérer les domaines personnalisés pour la protection contre l’emprunt d’identité qui s’ouvre, vous entrez expéditeurs sous l’onglet Expéditeur et domaines sous l’onglet Domaine .

        Remarque

        Le nombre maximal d’entrées d’expéditeur et de domaine approuvés est de 1024.

        • Onglet Expéditeur : sélectionnez Ajouter des expéditeurs.

          Dans le menu volant Ajouter des expéditeurs approuvés qui s’ouvre, entrez une adresse e-mail dans la zone Ajouter un e-mail valide , puis sélectionnez Ajouter. Répétez cette étape autant de fois que nécessaire. Pour supprimer une entrée existante, sélectionnez l’entrée.

          Lorsque vous avez terminé sur le menu volant Ajouter des expéditeurs approuvés , sélectionnez Ajouter.

          De retour sous l’onglet Expéditeur , les expéditeurs que vous avez entrés sont répertoriés.

          Pour modifier la liste des entrées d’un espacement normal à un espacement compact, sélectionnez Modifier l’espacement de liste en compact ou normal, puis sélectionnez Liste compacte.

          Utilisez la zone De recherche pour rechercher des entrées dans le menu volant.

          Pour ajouter des entrées, sélectionnez Ajouter des expéditeurs et répétez les étapes précédentes.

          Pour supprimer des entrées, effectuez l’une des étapes suivantes :

          • Sélectionnez une ou plusieurs entrées en sélectionnant la zone de case activée arrondie qui apparaît dans la zone vide en regard de la valeur de l’expéditeur.
          • Sélectionnez toutes les entrées en même temps en sélectionnant la zone de case activée arrondie qui s’affiche dans la zone vide en regard de l’en-tête de colonne Expéditeur.

          Lorsque vous avez terminé d’accéder à l’onglet Expéditeur du menu volant Gérer les domaines personnalisés pour la protection contre l’emprunt d’identité , sélectionnez l’onglet Domaine pour ajouter des domaines, ou sélectionnez Terminé pour revenir à la page Seuil de hameçonnage & protection .

          Conseil

          Si les messages système Microsoft 365 des expéditeurs suivants sont identifiés comme des tentatives d’emprunt d’identité, vous pouvez ajouter les expéditeurs à la liste des expéditeurs approuvés :

          • noreply@email.teams.microsoft.com
          • noreply@emeaemail.teams.microsoft.com
          • no-reply@sharepointonline.com
          • noreply@planner.office365.com
        • Onglet Domaine : sélectionnez Ajouter des domaines. Dans le menu volant Ajouter des domaines approuvés qui s’ouvre, entrez domaine dans la zone Domaine , puis sélectionnez le domaine dans la liste déroulante qui s’affiche. Répétez cette étape autant de fois que nécessaire. Pour supprimer une entrée existante, sélectionnez l’entrée.

          Lorsque vous avez terminé sur le menu volant Ajouter des domaines approuvés , sélectionnez Ajouter des domaines.

          De retour sous l’onglet Domaine , les domaines que vous avez ajoutés sont désormais répertoriés.

          Pour modifier la liste des entrées d’un espacement normal à un espacement compact, sélectionnez Modifier l’espacement de liste en compact ou normal, puis sélectionnez Liste compacte.

          Utilisez la zone De recherche pour rechercher les entrées de l’onglet.

          Pour ajouter des entrées, sélectionnez Ajouter des domaines et répétez les étapes précédentes.

          Pour supprimer des entrées, effectuez l’une des étapes suivantes :

          • Sélectionnez une ou plusieurs entrées en sélectionnant la zone de case activée arrondie qui s’affiche dans la zone vide en regard de la valeur de domaine.
          • Sélectionnez toutes les entrées en même temps en sélectionnant la zone de case activée arrondie qui s’affiche dans la zone vide en regard de l’en-tête de colonne Domaine.

          Lorsque vous avez terminé d’accéder à l’onglet Domaine du menu volant Gérer les domaines personnalisés pour la protection contre l’emprunt d’identité , sélectionnez l’onglet Expéditeur pour ajouter des expéditeurs, ou sélectionnez Terminé pour revenir à la page Seuil de hameçonnage & protection .

          Remarque

          Les entrées de domaine approuvé n’incluent pas les sous-domaines du domaine spécifié. Vous devez ajouter une entrée pour chaque sous-domaine.

        Lorsque vous avez terminé dans le menu volant Gérer les domaines personnalisés pour la protection contre l’emprunt d’identité , sélectionnez Terminépour revenir à la page Seuil de hameçonnage & protection .

      • Activer l’intelligence des boîtes aux lettres : ce paramètre est sélectionné par défaut et nous vous recommandons de le laisser sélectionné. Pour désactiver l’intelligence des boîtes aux lettres, décochez la case case activée.

      • Activer l’intelligence pour la protection contre l’emprunt d’identité : ce paramètre n’est disponible que si l’option Activer l’intelligence des boîtes aux lettres est sélectionnée. Ce paramètre permet à l’intelligence des boîtes aux lettres d’agir sur les messages identifiés comme des tentatives d’emprunt d’identité. Vous spécifiez l’action à entreprendre pour les détections d’intelligence des boîtes aux lettres sur la page suivante.

        Remarque

        La protection de l’intelligence des boîtes aux lettres ne fonctionne pas si l’expéditeur et le destinataire ont déjà communiqué par e-mail. Si l’expéditeur et le destinataire n’ont jamais communiqué par e-mail, le message peut être identifié comme une tentative d’emprunt d’identité par l’intelligence de boîte aux lettres.

        Pour activer la protection de l’intelligence des boîtes aux lettres, cochez la case case activée. Vous spécifiez l’action pour les détections d’intelligence de boîte aux lettres sur la page suivante.

    • Section Usurpation d’identité : utilisez la zone Activer l’intelligence contre l’usurpation d’identité case activée pour activer ou désactiver l’intelligence d’usurpation d’identité. Ce paramètre est sélectionné par défaut et nous vous recommandons de le laisser sélectionné. Vous spécifiez l’action à entreprendre sur les messages provenant d’expéditeurs usurpés bloqués sur la page suivante.

      Pour désactiver l’intelligence contre l’usurpation d’identité, décochez la case case activée.

      Remarque

      Vous n’avez pas besoin de désactiver l’intelligence contre l’usurpation d’identité si votre enregistrement MX ne pointe pas vers Microsoft 365 ; vous activez le filtrage amélioré pour les connecteurs à la place. Pour obtenir des instructions, consultez filtrage amélioré pour les connecteurs dans Exchange Online.

    Lorsque vous avez terminé d’accéder à la page Seuil de hameçonnage & protection , sélectionnez Suivant.

  6. Dans la page Actions , configurez les paramètres suivants :

    • Section Actions de message : Configurez les actions suivantes :

      • Si un message est détecté comme emprunt d’identité d’utilisateur : ce paramètre est disponible uniquement si vous avez sélectionné Autoriser les utilisateurs à protéger dans la page précédente. Sélectionnez l’une des actions suivantes dans la liste déroulante :

        • N’appliquez aucune action (par défaut)

        • Rediriger le message vers d’autres adresses e-mail

        • Déplacer le message vers les dossiers Email indésirables des destinataires

        • Mettre en quarantaine le message : si vous sélectionnez cette action, une zone Appliquer la stratégie de mise en quarantaine s’affiche dans laquelle vous sélectionnez la stratégie de mise en quarantaine qui s’applique aux messages mis en quarantaine par la protection contre l’emprunt d’identité de l’utilisateur. Les stratégies de quarantaine définissent ce que les utilisateurs sont en mesure de faire pour les messages mis en quarantaine et si les utilisateurs reçoivent des notifications de quarantaine. Pour plus d’informations sur les stratégies de mise en quarantaine, consultez Anatomie d’une stratégie de mise en quarantaine.

          Si vous ne sélectionnez pas de stratégie de mise en quarantaine, la stratégie de mise en quarantaine par défaut pour les détections d’emprunt d’identité d’utilisateur est utilisée (DefaultFullAccessPolicy). Lorsque vous affichez ou modifiez ultérieurement les paramètres de stratégie anti-hameçonnage, le nom de la stratégie de quarantaine s’affiche.

        • Remettre le message et ajouter d’autres adresses à la ligne Cci

        • Supprimer le message avant sa remise

      • Si le message est détecté comme un domaine emprunté : ce paramètre n’est disponible que si vous avez sélectionné Activer les domaines à protéger dans la page précédente. Sélectionnez l’une des actions suivantes dans la liste déroulante :

        • N’appliquez aucune action (par défaut)

        • Rediriger le message vers d’autres adresses e-mail

        • Déplacer le message vers les dossiers Email indésirables des destinataires

        • Mettre en quarantaine le message : si vous sélectionnez cette action, une zone Appliquer la stratégie de mise en quarantaine s’affiche dans laquelle vous sélectionnez la stratégie de mise en quarantaine qui s’applique aux messages mis en quarantaine par la protection contre l’emprunt d’identité de domaine.

          Si vous ne sélectionnez pas de stratégie de mise en quarantaine, la stratégie de mise en quarantaine par défaut pour les détections d’emprunt d’identité de domaine est utilisée (DefaultFullAccessPolicy). Lorsque vous affichez ou modifiez ultérieurement les paramètres de stratégie anti-hameçonnage, le nom de la stratégie de quarantaine s’affiche.

        • Remettre le message et ajouter d’autres adresses à la ligne Cci

        • Supprimer le message avant sa remise

      • Si l’intelligence de boîte aux lettres détecte un utilisateur usurpé l’identité : ce paramètre n’est disponible que si vous avez sélectionné Activer l’intelligence pour la protection contre l’emprunt d’identité dans la page précédente. Sélectionnez l’une des actions suivantes dans la liste déroulante :

        • N’appliquez aucune action (par défaut)

        • Rediriger le message vers d’autres adresses e-mail

        • Déplacer le message vers les dossiers Email indésirables des destinataires

        • Mettre en quarantaine le message : si vous sélectionnez cette action, une zone Appliquer la stratégie de mise en quarantaine s’affiche dans laquelle vous sélectionnez la stratégie de mise en quarantaine qui s’applique aux messages mis en quarantaine par la protection de l’intelligence des boîtes aux lettres.

          Si vous ne sélectionnez pas de stratégie de mise en quarantaine, la stratégie de mise en quarantaine par défaut pour les détections d’intelligence des boîtes aux lettres est utilisée (DefaultFullAccessPolicy). Lorsque vous affichez ou modifiez ultérieurement les paramètres de stratégie anti-hameçonnage, le nom de la stratégie de quarantaine s’affiche.

        • Remettre le message et ajouter d’autres adresses à la ligne Cci

        • Supprimer le message avant sa remise

      • Respecter la stratégie d’enregistrement DMARC lorsque le message est détecté comme usurpation : ce paramètre est sélectionné par défaut et vous permet de contrôler ce qui arrive aux messages où l’expéditeur échoue à des vérifications DMARC explicites et la stratégie DMARC est définie sur p=quarantine ou p=reject:

        • Si le message est détecté comme usurpation et que la stratégie DMARC est définie sur p=quarantaine : sélectionnez l’une des actions suivantes :

          • Mettre en quarantaine le message : il s’agit de la valeur par défaut.
          • Déplacer le message vers les dossiers Email indésirables des destinataires
        • Si le message est détecté comme usurpation et que la stratégie DMARC est définie sur p=reject : sélectionnez l’une des actions suivantes :

          • Mettre en quarantaine le message
          • Rejeter le message : il s’agit de la valeur par défaut.

        Pour plus d’informations, consultez Protection contre l’usurpation d’identité et stratégies DMARC de l’expéditeur.

      • Si le message est détecté comme usurpation par l’intelligence d’usurpation d’identité : ce paramètre n’est disponible que si vous avez sélectionné Activer l’intelligence de l’usurpation d’identité dans la page précédente. Sélectionnez l’une des actions suivantes dans la liste déroulante pour les messages provenant d’expéditeurs usurpés bloqués :

        • Déplacer le message vers les dossiers Email indésirables des destinataires (par défaut)

        • Mettre en quarantaine le message : si vous sélectionnez cette action, une zone Appliquer la stratégie de mise en quarantaine s’affiche dans laquelle vous sélectionnez la stratégie de mise en quarantaine qui s’applique aux messages mis en quarantaine par la protection contre l’usurpation d’intelligence.

          Si vous ne sélectionnez pas de stratégie de mise en quarantaine, la stratégie de mise en quarantaine par défaut pour les détections d’usurpation d’identité est utilisée (DefaultFullAccessPolicy). Lorsque vous affichez ou modifiez ultérieurement les paramètres de stratégie anti-hameçonnage, le nom de la stratégie de quarantaine s’affiche.

    • Conseils de sécurité & section Indicateurs : Configurez les paramètres suivants :

      • Afficher le conseil de sécurité du premier contact : pour plus d’informations, consultez Conseil de sécurité premier contact.
      • Afficher le conseil de sécurité sur l’emprunt d’identité des utilisateurs : ce paramètre est disponible uniquement si vous avez sélectionné Autoriser les utilisateurs à protéger dans la page précédente.
      • Afficher le conseil de sécurité d’emprunt d’identité de domaine : ce paramètre est disponible uniquement si vous avez sélectionné Activer les domaines à protéger dans la page précédente.
      • Afficher l’emprunt d’identité utilisateur caractères inhabituels conseil de sécurité Ce paramètre est disponible uniquement si vous avez sélectionné Autoriser les utilisateurs à protéger ou Activer les domaines à protéger dans la page précédente.
      • Afficher ( ?) pour les expéditeurs non authentifiés pour l’usurpation d’identité : ce paramètre n’est disponible que si vous avez sélectionné Activer l’intelligence de l’usurpation d’identité dans la page précédente. Ajoute un point d’interrogation ( ?) à la photo de l’expéditeur dans la zone De d’Outlook si le message ne passe pas les vérifications SPF ou DKIM et que le message ne passe pas d’authentification DMARC ou composite. Ce paramètre est sélectionné par défaut.
      • Afficher la balise « via » : ce paramètre est disponible uniquement si vous avez sélectionné Activer l’intelligence contre l’usurpation d’identité dans la page précédente. Ajoute une balise nommée via (chris@contoso.com via fabrikam.com) à l’adresse De si elle est différente du domaine dans la signature DKIM ou l’adresse MAIL FROM . Ce paramètre est sélectionné par défaut.

      Pour activer un paramètre, sélectionnez la zone case activée. Pour la désactiver, désactivez la case case activée.

    Lorsque vous avez terminé dans la page Actions , sélectionnez Suivant.

  7. Dans la page Révision , passez en revue vos paramètres. Vous pouvez sélectionner Modifier dans chaque section pour modifier les paramètres de la section. Vous pouvez également sélectionner Précédent ou la page spécifique dans l’Assistant.

    Lorsque vous avez terminé d’accéder à la page Révision, sélectionnez Envoyer.

  8. Dans la page Nouvelle stratégie anti-hameçonnage créée , vous pouvez sélectionner les liens pour afficher la stratégie, afficher les stratégies anti-hameçonnage et en savoir plus sur les stratégies anti-hameçonnage.

    Lorsque vous avez terminé sur la page Nouvelle stratégie anti-hameçonnage créée , sélectionnez Terminé.

    De retour sur la page Anti-hameçonnage , la nouvelle stratégie est répertoriée.

Utiliser le portail Microsoft Defender pour afficher les détails de la stratégie anti-hameçonnage

Dans le portail Microsoft Defender, accédez à Email & Stratégies de collaboration>& Règles Stratégies>> de menaceAnti-hameçonnage dans la section Stratégies. Ou, pour accéder directement à la page Anti-hameçonnage , utilisez https://security.microsoft.com/antiphishing.

Dans la page Anti-hameçonnage , les propriétés suivantes s’affichent dans la liste des stratégies anti-hameçonnage :

  • Name
  • État : Les valeurs sont les suivantes :
    • Toujours activé pour la stratégie anti-hameçonnage par défaut.
    • Activé ou Désactivé pour les autres stratégies anti-courrier indésirable.
  • Priorité : pour plus d’informations, consultez la section Définir la priorité des stratégies anti-courrier indésirable personnalisées . Pour modifier la liste des stratégies de l’espacement normal à l’espacement compact, sélectionnez Modifier l’espacement de liste en compact ou normal, puis sélectionnez Liste compacte.

Sélectionnez Filtrer pour filtrer les stratégies par intervalle de temps (date de création) ou état.

Utilisez la zone De recherche et une valeur correspondante pour rechercher des stratégies anti-hameçonnage spécifiques.

Utilisez Exporter pour exporter la liste des stratégies vers un fichier CSV.

Sélectionnez une stratégie en cliquant n’importe où dans la ligne autre que la zone case activée en regard du nom pour ouvrir le menu volant des détails de la stratégie.

Conseil

Pour afficher des détails sur les autres stratégies anti-hameçonnage sans quitter le menu volant des détails, utilisez l’élément Précédent et l’élément suivant en haut du menu volant.

Utiliser le portail Microsoft Defender pour prendre des mesures sur les stratégies anti-hameçonnage

  1. Dans le portail Microsoft Defender, accédez à Email & Stratégies de collaboration>& Règles Stratégies>> de menaceAnti-hameçonnage dans la section Stratégies. Ou, pour accéder directement à la page Anti-hameçonnage , utilisez https://security.microsoft.com/antiphishing.

  2. Dans la page Anti-hameçonnage , sélectionnez la stratégie anti-hameçonnage à l’aide de l’une des méthodes suivantes :

    • Sélectionnez la stratégie dans la liste en sélectionnant la zone case activée en regard du nom. Les actions suivantes sont disponibles dans la liste déroulante Autres actions qui s’affiche :

      • Activez les stratégies sélectionnées.
      • Désactivez les stratégies sélectionnées.
      • Supprimer les stratégies sélectionnées.

      Page Anti-hameçonnage avec une stratégie sélectionnée et le contrôle Plus d’actions développé.

    • Sélectionnez la stratégie dans la liste en cliquant n’importe où dans la ligne autre que la zone case activée en regard du nom. Certaines ou toutes les actions suivantes sont disponibles dans le menu volant de détails qui s’ouvre :

      • Modifiez les paramètres de stratégie en sélectionnant Modifier dans chaque section (stratégies personnalisées ou stratégie par défaut)
      • Activer ou désactiver (stratégies personnalisées uniquement)
      • Augmenter la priorité ou Diminuer la priorité (stratégies personnalisées uniquement)
      • Supprimer la stratégie (stratégies personnalisées uniquement)

      Menu volant des détails d’une stratégie anti-hameçonnage personnalisée.

Les actions sont décrites dans les sous-sections suivantes.

Utiliser le portail Microsoft Defender pour modifier les stratégies anti-hameçonnage

Après avoir sélectionné la stratégie anti-hameçonnage par défaut ou une stratégie personnalisée en cliquant n’importe où dans la ligne autre que la zone case activée en regard du nom, les paramètres de stratégie sont affichés dans le menu volant de détails qui s’ouvre. Sélectionnez Modifier dans chaque section pour modifier les paramètres de la section. Pour plus d’informations sur les paramètres, consultez la section Créer des stratégies anti-hameçonnage plus haut dans cet article.

Pour la stratégie par défaut, vous ne pouvez pas modifier le nom de la stratégie et il n’existe aucun filtre de destinataire à configurer (la stratégie s’applique à tous les destinataires). Toutefois, vous pouvez modifier tous les autres paramètres de la stratégie.

Pour les stratégies anti-hameçonnage nommées Stratégie de sécurité prédéfinie standard et Stratégie de sécurité prédéfinie stricte associées aux stratégies de sécurité prédéfinies, vous ne pouvez pas modifier les paramètres de stratégie dans le menu volant des détails. Au lieu de cela, vous sélectionnez Afficher les stratégies de sécurité prédéfinies dans le menu volant de détails pour accéder à la page Stratégies de sécurité prédéfinies à l’adresse https://security.microsoft.com/presetSecurityPolicies afin de modifier les stratégies de sécurité prédéfinies.

Utiliser le portail Microsoft Defender pour activer ou désactiver des stratégies anti-hameçonnage personnalisées

Vous ne pouvez pas désactiver la stratégie anti-hameçonnage par défaut (elle est toujours activée).

Vous ne pouvez pas activer ou désactiver les stratégies anti-hameçonnage associées aux stratégies de sécurité prédéfinies Standard et Strict. Vous activez ou désactivez les stratégies de sécurité prédéfinies Standard ou Strict dans la page Stratégies de sécurité prédéfinies à l’adresse https://security.microsoft.com/presetSecurityPolicies.

Après avoir sélectionné une stratégie anti-hameçonnage personnalisée activée (la valeur État est Activé), utilisez l’une des méthodes suivantes pour la désactiver :

  • Dans la page Anti-hameçonnage : sélectionnez Autres actions>Désactiver les stratégies sélectionnées.
  • Dans le menu volant de détails de la stratégie : sélectionnez Désactiver en haut du menu volant.

Après avoir sélectionné une stratégie anti-hameçonnage personnalisée désactivée (la valeur État est Désactivé), utilisez l’une des méthodes suivantes pour l’activer :

  • Dans la page Anti-hameçonnage : sélectionnez Autres actions>Activer les stratégies sélectionnées.
  • Dans le menu volant de détails de la stratégie : sélectionnez Activer en haut du menu volant.

Dans la page Anti-hameçonnage , la valeur État de la stratégie est désormais Activée ou Désactivée.

Utiliser le portail Microsoft Defender pour définir la priorité des stratégies anti-hameçonnage personnalisées

Les stratégies anti-hameçonnage sont traitées dans l’ordre dans lequel elles sont affichées sur la page Anti-hameçonnage :

  • La stratégie anti-hameçonnage nommée Stratégie de sécurité prédéfinie stricte associée à la stratégie de sécurité prédéfinie Strict est toujours appliquée en premier (si la stratégie de sécurité prédéfinie Strict est activée).
  • La stratégie anti-hameçonnage nommée Stratégie de sécurité prédéfinie standard associée à la stratégie de sécurité prédéfinie Standard est toujours appliquée ensuite (si la stratégie de sécurité prédéfinie Standard est activée).
  • Les stratégies anti-hameçonnage personnalisées sont ensuite appliquées dans l’ordre de priorité (si elles sont activées) :
    • Une valeur de priorité inférieure indique une priorité plus élevée (0 est la plus élevée).
    • Par défaut, une nouvelle stratégie est créée avec une priorité inférieure à la stratégie personnalisée la plus basse existante (la première est 0, la suivante est 1, etc.).
    • Deux stratégies ne peuvent pas avoir la même valeur de priorité.
  • La stratégie anti-hameçonnage par défaut a toujours la valeur de priorité Plus bas, et vous ne pouvez pas la modifier.

La protection anti-hameçonnage s’arrête pour un destinataire après l’application de la première stratégie (stratégie de priorité la plus élevée pour ce destinataire). Pour plus d’informations, consultez Ordre et priorité de la protection des e-mails.

Après avoir sélectionné la stratégie anti-hameçonnage personnalisée en cliquant n’importe où dans la ligne autre que la zone case activée en regard du nom, vous pouvez augmenter ou diminuer la priorité de la stratégie dans le menu volant de détails qui s’ouvre :

  • La stratégie personnalisée avec la valeur Priorité0 dans la page Anti-hameçonnage a l’action Réduire la priorité en haut du menu volant de détails.
  • La stratégie personnalisée avec la priorité la plus basse (valeur de priorité la plus élevée, par exemple, 3) a l’action Augmenter la priorité en haut du menu volant détails.
  • Si vous avez trois stratégies ou plus, les stratégies entre la priorité 0 et la priorité la plus basse ont à la fois les actions Augmenter la priorité et Diminuer la priorité en haut du menu volant des détails.

Lorsque vous avez terminé dans le menu volant détails de la stratégie, sélectionnez Fermer.

De retour sur la page Anti-hameçonnage , l’ordre de la stratégie dans la liste correspond à la valeur De priorité mise à jour.

Utiliser le portail Microsoft Defender pour supprimer des stratégies anti-hameçonnage personnalisées

Vous ne pouvez pas supprimer la stratégie anti-hameçonnage par défaut ou les stratégies anti-hameçonnage nommées Stratégie de sécurité prédéfinie standard et Stratégie de sécurité prédéfinie stricte associées à des stratégies de sécurité prédéfinies.

Après avoir sélectionné la stratégie anti-hameçonnage personnalisée, utilisez l’une des méthodes suivantes pour la supprimer :

  • Dans la page Anti-hameçonnage : sélectionnez Autres actions>Supprimer les stratégies sélectionnées.
  • Dans le menu volant de détails de la stratégie : sélectionnez Supprimer la stratégie en haut du menu volant.

Sélectionnez Oui dans la boîte de dialogue d’avertissement qui s’ouvre.

Dans la page Anti-hameçonnage , la stratégie supprimée n’est plus répertoriée.

Utiliser Exchange Online PowerShell pour configurer des stratégies anti-hameçonnage

Dans PowerShell, les éléments de base d’une stratégie anti-hameçonnage sont les suivants :

  • Stratégie anti-hameçonnage : spécifie les protections contre l’hameçonnage à activer ou désactiver, les actions à appliquer pour ces protections et d’autres options.
  • Règle anti-hameçonnage : spécifie les filtres de priorité et de destinataire (à qui la stratégie s’applique) pour la stratégie anti-hameçonnage associée.

La différence entre ces deux éléments n’est pas évidente lorsque vous gérez des stratégies anti-hameçonnage dans le portail Microsoft Defender :

  • Lorsque vous créez une stratégie dans le portail Defender, vous créez en fait une règle anti-hameçonnage et la stratégie anti-hameçonnage associée en même temps en utilisant le même nom pour les deux.
  • Lorsque vous modifiez une stratégie dans le portail Defender, les paramètres liés au nom, à la priorité, activés ou désactivés et aux filtres de destinataires modifient la règle anti-hameçonnage. Tous les autres paramètres modifient la stratégie anti-hameçonnage associée.
  • Lorsque vous supprimez une stratégie dans le portail Defender, la règle anti-hameçonnage et la stratégie anti-hameçonnage associée sont supprimées en même temps.

Dans Exchange Online PowerShell, la différence entre les stratégies anti-hameçonnage et les règles anti-hameçonnage est évidente. Vous gérez les stratégies anti-hameçonnage à l’aide des applets de commande *-AntiPhishPolicy , et vous gérez les règles anti-hameçonnage à l’aide des applets de commande *-AntiPhishRule .

  • Dans PowerShell, vous créez d’abord la stratégie anti-hameçonnage, puis vous créez la règle anti-hameçonnage, qui identifie la stratégie associée à laquelle la règle s’applique.
  • Dans PowerShell, vous modifiez les paramètres de la stratégie anti-hameçonnage et de la règle anti-hameçonnage séparément.
  • Lorsque vous supprimez une stratégie anti-hameçonnage de PowerShell, la règle anti-hameçonnage correspondante n’est pas automatiquement supprimée, et vice versa.

Utiliser PowerShell pour créer des stratégies anti-hameçonnage

La création d’une stratégie anti-hameçonnage dans PowerShell est un processus en deux étapes :

  1. Créez la stratégie anti-hameçonnage.
  2. Créez la règle anti-hameçonnage qui spécifie la stratégie anti-hameçonnage à laquelle la règle s’applique.

Remarques :

  • Vous pouvez créer une règle anti-hameçonnage et lui affecter une stratégie anti-hameçonnage existante et non associée. Une règle anti-hameçonnage ne peut pas être associée à plusieurs stratégies anti-hameçonnage.
  • Vous pouvez configurer les paramètres suivants sur les nouvelles stratégies anti-hameçonnage dans PowerShell qui ne sont pas disponibles dans le portail Microsoft Defender tant que vous n’avez pas créé la stratégie :
    • Créez la stratégie comme désactivée (Activée$false sur l’applet de commande New-AntiPhishRule ).
    • Définissez la priorité de la stratégie lors de la création (numéro de> priorité<) sur l’applet de commande New-AntiPhishRule).
  • Une nouvelle stratégie anti-hameçonnage que vous créez dans PowerShell n’est pas visible dans le portail Microsoft Defender tant que vous n’affectez pas la stratégie à une règle anti-hameçonnage.

Étape 1 : Utiliser PowerShell pour créer une stratégie anti-hameçonnage

Pour créer une stratégie anti-hameçonnage, utilisez la syntaxe suivante :

New-AntiPhishPolicy -Name "<PolicyName>" [-AdminDisplayName "<Comments>"] <Additional Settings>

Cet exemple crée une stratégie anti-hameçonnage nommée Mise en quarantaine de la recherche avec les paramètres suivants :

  • La stratégie est activée (nous n’utilisons pas le paramètre Enabled et la valeur par défaut est $true).
  • La description est la suivante : Politique du service recherche.
  • Active la protection des domaines organization pour tous les domaines acceptés et la protection des domaines ciblés pour fabrikam.com.
  • Spécifie Quarantaine comme action pour les détections d’emprunt d’identité de domaine et utilise la stratégie de mise en quarantaine par défaut pour les messages mis en quarantaine (nous n’utilisons pas le paramètre TargetedDomainQuarantineTag ).
  • Spécifie Mai Fujito (mfujito@fabrikam.com) comme utilisateur à protéger contre l’emprunt d’identité.
  • Spécifie Quarantaine comme action pour les détections d’emprunt d’identité d’utilisateur et utilise la stratégie de mise en quarantaine par défaut pour les messages mis en quarantaine (nous n’utilisons pas le paramètre TargetedUserQuarantineTag ).
  • Active l’intelligence des boîtes aux lettres (EnableMailboxIntelligence), permet à la protection de l’intelligence des boîtes aux lettres d’agir sur les messages (EnableMailboxIntelligenceProtection), spécifie Quarantaine comme action pour les messages détectés et utilise la stratégie de quarantaine par défaut pour les messages mis en quarantaine (nous n’utilisons pas le paramètre MailboxIntelligenceQuarantineTag ).
  • Remplace l’action par défaut pour les détections d’usurpation en Quarantaine et utilise la stratégie de mise en quarantaine par défaut pour les messages mis en quarantaine (nous n’utilisons pas le paramètre SpoofQuarantineTag ).
  • Le respect des p=quarantine stratégies DMARC et p=reject dans l’expéditeur est activé par défaut (nous n’utilisons pas le paramètre HonorDmarcPolicy et la valeur par défaut est $true).
    • Les messages qui échouent à DMARC où la stratégie DMARC de l’expéditeur est p=quarantine mise en quarantaine (nous n’utilisons pas le paramètre DmarcQuarantineAction et la valeur par défaut est Quarantaine).
    • Les messages qui échouent à DMARC où la stratégie DMARC de l’expéditeur est p=reject rejetée (nous n’utilisons pas le paramètre DmarcRejectAction et la valeur par défaut est Reject).
  • Active tous les conseils de sécurité.
New-AntiPhishPolicy -Name "Monitor Policy" -AdminDisplayName "Research department policy" -EnableOrganizationDomainsProtection $true -EnableTargetedDomainsProtection $true -TargetedDomainsToProtect fabrikam.com -TargetedDomainProtectionAction Quarantine -EnableTargetedUserProtection $true -TargetedUsersToProtect "Mai Fujito;mfujito@fabrikam.com" -TargetedUserProtectionAction Quarantine -EnableMailboxIntelligence $true -EnableMailboxIntelligenceProtection $true -MailboxIntelligenceProtectionAction -AuthenticationFailAction Quarantine -EnableSimilarUsersSafetyTips $true -EnableSimilarDomainsSafetyTips $true -EnableUnusualCharactersSafetyTips $true

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez New-AntiPhishPolicy.

Conseil

Pour obtenir des instructions détaillées sur la spécification des stratégies de quarantaine à utiliser dans une stratégie anti-hameçonnage, consultez Utiliser PowerShell pour spécifier la stratégie de quarantaine dans les stratégies anti-hameçonnage.

Étape 2 : Utiliser PowerShell pour créer une règle anti-hameçonnage

Pour créer une règle anti-hameçonnage, utilisez la syntaxe suivante :

New-AntiPhishRule -Name "<RuleName>" -AntiPhishPolicy "<PolicyName>" <Recipient filters> [<Recipient filter exceptions>] [-Comments "<OptionalComments>"]

Cet exemple crée une règle anti-hameçonnage nommée Research Department avec les conditions suivantes :

  • La règle est associée à la stratégie anti-hameçonnage nommée Mise en quarantaine de la recherche.
  • La règle s’applique aux membres du groupe nommé Research Department.
  • Étant donné que nous n’utilisons pas le paramètre Priority , la priorité par défaut est utilisée.
New-AntiPhishRule -Name "Research Department" -AntiPhishPolicy "Research Quarantine" -SentToMemberOf "Research Department"

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez New-AntiPhishRule.

Utiliser PowerShell pour afficher les stratégies anti-hameçonnage

Pour afficher les stratégies anti-hameçonnage existantes, utilisez la syntaxe suivante :

Get-AntiPhishPolicy [-Identity "<PolicyIdentity>"] [| <Format-Table | Format-List> <Property1,Property2,...>]

Cet exemple retourne une liste récapitulative de toutes les stratégies anti-hameçonnage avec les propriétés spécifiées.

Get-AntiPhishPolicy | Format-Table Name,IsDefault

Cet exemple retourne toutes les valeurs de propriété de la stratégie anti-hameçonnage nommée Executives.

Get-AntiPhishPolicy -Identity "Executives"

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Get-AntiPhishPolicy.

Utiliser PowerShell pour afficher les règles anti-hameçonnage

Pour afficher les règles anti-hameçonnage existantes, utilisez la syntaxe suivante :

Get-AntiPhishRule [-Identity "<RuleIdentity>"] [-State <Enabled | Disabled] [| <Format-Table | Format-List> <Property1,Property2,...>]

Cet exemple retourne une liste récapitulative de toutes les règles anti-hameçonnage avec les propriétés spécifiées.

Get-AntiPhishRule | Format-Table Name,Priority,State

Pour filtrer la liste par règles activées ou désactivées, exécutez les commandes suivantes :

Get-AntiPhishRule -State Disabled | Format-Table Name,Priority
Get-AntiPhishRule -State Enabled | Format-Table Name,Priority

Cet exemple retourne toutes les valeurs de propriété de la règle anti-hameçonnage nommée Contoso Executives.

Get-AntiPhishRule -Identity "Contoso Executives"

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Get-AntiPhishRule.

Utiliser PowerShell pour modifier les stratégies anti-hameçonnage

À l’exception des éléments suivants, les mêmes paramètres sont disponibles lorsque vous modifiez une stratégie anti-hameçonnage dans PowerShell que lorsque vous créez la stratégie comme décrit dans la section Étape 1 : Utiliser PowerShell pour créer une stratégie anti-hameçonnage plus haut dans cet article.

  • Le commutateur MakeDefault qui transforme la stratégie spécifiée en stratégie par défaut (appliquée à tout le monde, toujours priorité la plus basse , et vous ne pouvez pas la supprimer) n’est disponible que lorsque vous modifiez une stratégie anti-hameçonnage dans PowerShell.

  • Vous ne pouvez pas renommer une stratégie anti-hameçonnage (l’applet de commande Set-AntiPhishPolicy n’a aucun paramètre Name ). Lorsque vous renommez une stratégie anti-hameçonnage dans le portail Microsoft Defender, vous renommez uniquement la règle anti-hameçonnage.

Pour modifier une stratégie anti-hameçonnage, utilisez la syntaxe suivante :

Set-AntiPhishPolicy -Identity "<PolicyName>" <Settings>

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Set-AntiPhishPolicy.

Conseil

Pour obtenir des instructions détaillées sur la spécification des stratégies de quarantaine à utiliser dans une stratégie anti-hameçonnage, consultez Utiliser PowerShell pour spécifier la stratégie de quarantaine dans les stratégies anti-hameçonnage.

Utiliser PowerShell pour modifier les règles anti-hameçonnage

Le seul paramètre qui n’est pas disponible lorsque vous modifiez une règle anti-hameçonnage dans PowerShell est le paramètre Enabled qui vous permet de créer une règle désactivée. Pour activer ou désactiver les règles anti-hameçonnage existantes, consultez la section suivante.

Sinon, aucun paramètre supplémentaire n’est disponible lorsque vous modifiez une règle anti-hameçonnage dans PowerShell. Les mêmes paramètres sont disponibles lorsque vous créez une règle, comme décrit dans la section Étape 2 : Utiliser PowerShell pour créer une règle anti-hameçonnage plus haut dans cet article.

Pour modifier une règle anti-hameçonnage, utilisez la syntaxe suivante :

Set-AntiPhishRule -Identity "<RuleName>" <Settings>

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Set-AntiPhishRule.

Utiliser PowerShell pour activer ou désactiver les règles anti-hameçonnage

L’activation ou la désactivation d’une règle anti-hameçonnage dans PowerShell active ou désactive l’ensemble de la stratégie anti-hameçonnage (la règle anti-hameçonnage et la stratégie anti-hameçonnage attribuée). Vous ne pouvez pas activer ou désactiver la stratégie anti-hameçonnage par défaut (elle est toujours appliquée à tous les destinataires).

Pour activer ou désactiver une règle anti-hameçonnage dans PowerShell, utilisez la syntaxe suivante :

<Enable-AntiPhishRule | Disable-AntiPhishRule> -Identity "<RuleName>"

Cet exemple montre comment désactiver la règle anti-hameçonnage nommée Service marketing.

Disable-AntiPhishRule -Identity "Marketing Department"

Cet exemple montre comment activer la même règle.

Enable-AntiPhishRule -Identity "Marketing Department"

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Enable-AntiPhishRule et Disable-AntiPhishRule.

Utiliser PowerShell pour définir la priorité des règles anti-hameçonnage

La valeur 0 est la priorité la plus élevée que vous pouvez définir sur une règle. La valeur la plus basse que vous pouvez définir dépend du nombre de règles. Par exemple, si vous avez cinq règles, vous pouvez utiliser les valeurs de priorité 0 à 4. Tout changement de priorité d’une règle existante peut avoir un effet en cascade sur les autres règles. Par exemple, si vous avez cinq règles personnalisées (priorités de 0 à 4) et que vous modifiez la priorité d'une règle sur 2, la règle existante de priorité 2 passe en priorité 3, et la règle de priorité 3 passe en priorité 4.

Pour définir la priorité d’une règle anti-hameçonnage dans PowerShell, utilisez la syntaxe suivante :

Set-AntiPhishRule -Identity "<RuleName>" -Priority <Number>

Cet exemple définit la priorité de la règle nommée Marketing Department sur 2. Toutes les règles existantes dont la priorité est inférieure ou égale à 2 sont diminuées d'une unité (leurs numéros de priorité sont augmentés de 1).

Set-AntiPhishRule -Identity "Marketing Department" -Priority 2

Remarques :

  • Pour définir la priorité d’une nouvelle règle lorsque vous la créez, utilisez plutôt le paramètre Priority sur l’applet de commande New-AntiPhishRule .
  • La stratégie anti-hameçonnage par défaut n’a pas de règle anti-hameçonnage correspondante, et elle a toujours la valeur de priorité non modifiable Lowest.

Utiliser PowerShell pour supprimer les stratégies anti-hameçonnage

Lorsque vous utilisez PowerShell pour supprimer une stratégie anti-hameçonnage, la règle anti-hameçonnage correspondante n’est pas supprimée.

Pour supprimer une stratégie anti-hameçonnage dans PowerShell, utilisez la syntaxe suivante :

Remove-AntiPhishPolicy -Identity "<PolicyName>"

Cet exemple supprime la stratégie anti-hameçonnage nommée Service marketing.

Remove-AntiPhishPolicy -Identity "Marketing Department"

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Remove-AntiPhishPolicy.

Utiliser PowerShell pour supprimer les règles anti-hameçonnage

Lorsque vous utilisez PowerShell pour supprimer une règle anti-hameçonnage, la stratégie anti-hameçonnage correspondante n’est pas supprimée.

Pour supprimer une règle anti-hameçonnage dans PowerShell, utilisez la syntaxe suivante :

Remove-AntiPhishRule -Identity "<PolicyName>"

Cet exemple supprime la règle anti-hameçonnage nommée Service marketing.

Remove-AntiPhishRule -Identity "Marketing Department"

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Remove-AntiPhishRule.

Comment savoir si ces procédures ont fonctionné ?

Pour vérifier que vous avez correctement configuré les stratégies anti-hameçonnage dans Defender for Office 365, effectuez l’une des étapes suivantes :

  • Dans la page Anti-hameçonnage du portail Microsoft Defender à l’adresse https://security.microsoft.com/antiphishing, vérifiez la liste des stratégies, leurs valeurs d’état et leurs valeurs de priorité. Pour afficher plus de détails, sélectionnez la stratégie dans la liste en cliquant n’importe où dans la ligne autre que la zone case activée en regard du nom et en affichant les détails dans le menu volant qui s’affiche.

  • Dans Exchange Online PowerShell, remplacez Name> par <le nom de la stratégie ou de la règle, puis exécutez la commande suivante et vérifiez les paramètres :

    Get-AntiPhishPolicy -Identity "<Name>"
    
    Get-AntiPhishRule -Identity "<Name>"