Pièces jointes sécurisées dans Defender pour Office 365
Conseil
Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender XDR pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai sur Try Microsoft Defender pour Office 365.
Pièces jointes sécurisées dans Microsoft Defender pour Office 365 fournit une couche supplémentaire de protection pour les pièces jointes de courrier électronique qui ont déjà été analysées par la protection anti-programme malveillant dans Exchange Online Protection (EOP). Plus précisément, les pièces jointes sécurisées utilisent un environnement virtuel pour case activée les pièces jointes dans les e-mails avant qu’elles ne soient remises aux destinataires (processus appelé détonation).
La protection des pièces jointes fiables pour les messages électroniques est contrôlée par des stratégies de pièces jointes fiables. Bien qu’il n’existe aucune stratégie de pièces jointes fiables par défaut, la stratégie de sécurité prédéfinie de protection intégrée fournit une protection des pièces jointes fiables à tous les destinataires (utilisateurs qui ne sont pas définis dans les stratégies de sécurité prédéfinies Standard ou Strict ou dans les stratégies de pièces jointes fiables personnalisées). Pour plus d’informations, consultez Stratégies de sécurité prédéfinies dans EOP et Microsoft Defender pour Office 365. Vous pouvez également créer des stratégies de pièces jointes fiables qui s’appliquent à des utilisateurs, groupes ou domaines spécifiques. Pour obtenir des instructions, consultez Configurer des stratégies de pièces jointes fiables dans Microsoft Defender pour Office 365.
Le tableau suivant décrit des scénarios pour les pièces jointes fiables dans Microsoft 365 et les organisations Office 365 qui incluent des Microsoft Defender pour Office 365 (en d’autres termes, l’absence de licence n’est jamais un problème dans les exemples).
Scénario | Résultat |
---|---|
Aucune stratégie de pièces jointes fiables n’est configurée pour l’organisation Microsoft 365 E5 de Pat. | Pat est protégé par des pièces jointes fiables en raison de la stratégie de sécurité prédéfinie de protection intégrée qui s’applique à tous les destinataires qui ne sont pas autrement définis dans les stratégies pièces jointes fiables. |
L’organisation de Lee a une stratégie de pièces jointes fiables qui s’applique uniquement aux employés financiers. Lee est membre du service commercial. | Lee et le reste du service commercial sont protégés par des pièces jointes sécurisées en raison de la stratégie de sécurité prédéfinie de protection intégrée qui s’applique à tous les destinataires qui ne sont pas autrement définis dans les stratégies pièces jointes sécurisées. |
Hier, un administrateur de l’organisation de Jean a créé une stratégie de pièces jointes fiables qui s’applique à tous les employés. Plus tôt aujourd’hui, Jean a reçu un e-mail contenant une pièce jointe. | Jean est protégé par des pièces jointes fiables en raison de cette stratégie de pièces jointes fiables personnalisée. En règle générale, l’application d’une nouvelle stratégie prend environ 30 minutes. |
L’organisation de Chris a des stratégies de pièces jointes fiables de longue date pour tous les membres de l’organisation. Chris reçoit un e-mail contenant une pièce jointe, puis transfère le message aux destinataires externes. | Chris est protégé par des pièces jointes sécurisées. Si les destinataires externes sont dans une organisation Microsoft 365, les messages transférés sont également protégés par des pièces jointes fiables. |
L’analyse des pièces jointes fiables a lieu dans la même région que l’emplacement de vos données Microsoft 365. Pour plus d’informations sur la géographie du centre de données, consultez Où se trouvent vos données ?
Remarque
Les fonctionnalités suivantes se trouvent dans les paramètres globaux des stratégies de pièces jointes fiables dans le portail Microsoft Defender. Toutefois, ces paramètres sont activés ou désactivés globalement et ne nécessitent pas de stratégies de pièces jointes fiables :
Conseil
En complément de cet article, consultez notre guide de configuration Microsoft Defender pour Office 365 pour passer en revue les meilleures pratiques et vous protéger contre les menaces de messagerie, de lien et de collaboration. Les fonctionnalités incluent les liens fiables, les pièces jointes fiables, etc. Pour une expérience personnalisée basée sur votre environnement, vous pouvez accéder au guide de configuration automatisée Microsoft Defender pour Office 365 dans le Centre d’administration Microsoft 365.
Paramètres de stratégie pièces jointes fiables
Cette section décrit les paramètres des stratégies de pièces jointes fiables :
Filtres de destinataires : conditions et exceptions pour identifier les destinataires internes auxquels la stratégie s’applique. Au moins une condition est requise. Vous pouvez utiliser les filtres de destinataires suivants pour les conditions et les exceptions :
- Utilisateurs : une ou plusieurs boîtes aux lettres, utilisateurs de messagerie ou contacts de messagerie dans le organization.
-
Groupes :
- Membres des groupes de distribution spécifiés ou des groupes de sécurité à extension messagerie (les groupes de distribution dynamiques ne sont pas pris en charge).
- Groupes Microsoft 365 spécifiée
- Domaines : un ou plusieurs des domaines acceptés configurés dans Microsoft 365. Le adresse e-mail principale du destinataire se trouve dans le domaine spécifié.
Vous ne pouvez utiliser une condition ou une exception qu’une seule fois, mais la condition ou l’exception peut contenir plusieurs valeurs :
Plusieurs valeurs de la même condition ou exception utilisent la logique OR (par exemple, <recipient1> ou <recipient2>) :
- Conditions : si le destinataire correspond à l’une des valeurs spécifiées, la stratégie leur est appliquée.
- Exceptions : si le destinataire correspond à l’une des valeurs spécifiées, la stratégie ne leur est pas appliquée.
Différents types d’exceptions utilisent la logique OR (par exemple, <recipient1> ou <membre de group1> ou <membre de domaine1>). Si le destinataire correspond à l’une des valeurs d’exception spécifiées, la stratégie ne leur est pas appliquée.
Différents types de conditions utilisent la logique AND. Le destinataire doit correspondre à toutes les conditions spécifiées pour que la stratégie s’applique à lui. Par exemple, vous configurez une condition avec les valeurs suivantes :
Utilisateurs:
romain@contoso.com
Groupes : Cadres supérieurs
La stratégie s’applique uniquement s’il
romain@contoso.com
est également membre du groupe Cadres. Sinon, la politique ne lui est pas appliquée.
Réponse aux programmes malveillants inconnus des pièces jointes fiables : ce paramètre contrôle l’action pour l’analyse des programmes malveillants des pièces jointes fiables dans les messages électroniques. Les options disponibles sont décrites dans le tableau suivant :
Option Effet Utilisez-la lorsque vous voulez Désactivé Les pièces jointes ne sont pas analysées pour détecter les programmes malveillants par les pièces jointes fiables. Les messages sont toujours analysés pour rechercher des programmes malveillants par protection anti-programme malveillant dans EOP. Désactivez l’analyse des destinataires sélectionnés.
Évitez les retards inutiles dans le routage du courrier interne.
Cette option n’est pas recommandée pour la plupart des utilisateurs. Vous devez utiliser cette option uniquement pour désactiver l’analyse des pièces jointes fiables pour les destinataires qui reçoivent uniquement des messages d’expéditeurs approuvés. ZAP ne met pas en quarantaine les messages si les pièces jointes fiables sont désactivées et qu’un signal de programme malveillant n’est pas reçu. Pour plus d’informations, consultez Vidage automatique de zéro heureMoniteur Remet des messages avec des pièces jointes, puis effectue le suivi de ce qui se passe avec les programmes malveillants détectés.
La remise des messages sécurisés peut être retardée en raison de l’analyse des pièces jointes fiables.Découvrez où les programmes malveillants détectés sont placés dans votre organisation. Bloquer Empêche la remise des messages avec des pièces jointes de programmes malveillants détectées.
Les messages sont mis en quarantaine. Par défaut, seuls les administrateurs (pas les utilisateurs) peuvent examiner, publier ou supprimer les messages.¹
Bloque automatiquement les instances futures des messages et pièces jointes.
La remise des messages sécurisés peut être retardée en raison de l’analyse des pièces jointes fiables.Protège votre organisation contre les attaques répétées à l’aide des mêmes pièces jointes de programmes malveillants.
Il s’agit de la valeur par défaut et de la valeur recommandée dans les stratégies de sécurité prédéfinies Standard et Strict.Remise dynamique Remet les messages immédiatement, mais remplace les pièces jointes par des espaces réservés jusqu’à ce que l’analyse des pièces jointes fiables soit terminée.
Les messages contenant des pièces jointes malveillantes sont mis en quarantaine. Par défaut, seuls les administrateurs (pas les utilisateurs) peuvent examiner, publier ou supprimer les messages.¹
Pour plus d’informations, consultez la section Dynamic Delivery in Safe Attachments policies plus loin dans cet article.Évitez les retards de message tout en protégeant les destinataires contre les fichiers malveillants. ¹ Les stratégies de mise en quarantaine définissent ce que les utilisateurs peuvent faire pour les messages mis en quarantaine et indiquent si les utilisateurs reçoivent des notifications de mise en quarantaine. Pour plus d’informations, consultez Anatomie d’une stratégie de mise en quarantaine. Les utilisateurs ne peuvent pas publier leurs propres messages qui ont été mis en quarantaine en tant que programmes malveillants par des pièces jointes fiables, quelle que soit la façon dont la stratégie de quarantaine est configurée. Si la stratégie permet aux utilisateurs de publier leurs propres messages mis en quarantaine, les utilisateurs sont autorisés à demander la publication de leurs messages de programmes malveillants mis en quarantaine.
Rediriger les messages avec des pièces jointes détectées : activez la redirection et Envoyez les messages contenant des pièces jointes analysées à l’adresse e-mail spécifiée : pour l’action Surveiller uniquement, envoyez les messages contenant des pièces jointes de programmes malveillants à l’adresse e-mail interne ou externe spécifiée à des fins d’analyse et d’investigation.
La recommandation pour les paramètres de stratégie Standard et Strict est d'activer la redirection.du serveur d’accès client. Pour plus d'informations, voir Paramètres des pièces jointes approuvées.
Priorité : si vous créez plusieurs stratégies, vous pouvez spécifier l’ordre dans lequel elles sont appliquées. Deux stratégies ne peuvent pas avoir la même priorité, et le traitement de la stratégie s’arrête après l’application de la première stratégie (la stratégie de priorité la plus élevée pour ce destinataire).
Pour plus d’informations sur l’ordre de priorité et l’évaluation et l’application de plusieurs stratégies, consultez Ordre et la priorité de la protection de la messagerie.
Livraison dynamique dans les stratégies de pièces jointes sécurisées
Remarque
La remise dynamique fonctionne uniquement pour les boîtes aux lettres Exchange Online.
L’action De remise dynamique dans les stratégies Pièces jointes sécurisées vise à éliminer les retards de remise des e-mails qui peuvent être causés par l’analyse des pièces jointes sécurisées. Le corps du message électronique est remis au destinataire avec un espace réservé pour chaque pièce jointe. L’espace réservé reste jusqu’à ce que la pièce jointe soit jugée sécurisée, puis que la pièce jointe soit disponible pour l’ouvrir ou la télécharger.
Si une pièce jointe est détectée comme malveillante, le message est mis en quarantaine.
La plupart des fichiers PDF et des documents Office peuvent être affichés en mode sans échec pendant que l’analyse des pièces jointes fiables est en cours. Si une pièce jointe n’est pas compatible avec l’aperçu de la remise dynamique, les destinataires voient un espace réservé pour la pièce jointe jusqu’à la fin de l’analyse des pièces jointes fiables.
Si vous utilisez un appareil mobile et que les fichiers PDF ne s’affichent pas dans l’aperçu De livraison dynamique sur votre appareil mobile, essayez d’ouvrir le message dans Outlook sur le web (anciennement Outlook Web App) à l’aide de votre navigateur mobile.
Voici quelques considérations relatives à la remise dynamique et aux messages transférés :
- Si le destinataire transféré est protégé par une stratégie pièces jointes fiables qui utilise l’option De remise dynamique, le destinataire voit l’espace réservé, avec la possibilité d’afficher un aperçu des fichiers compatibles.
- Si le destinataire transféré n’est pas protégé par une stratégie de pièces jointes sécurisées, le message et les pièces jointes sont remis sans analyse des pièces jointes fiables ni espaces réservés de pièce jointe.
Il existe des scénarios dans lesquels la remise dynamique ne peut pas remplacer les pièces jointes dans les messages. Ces différents cas de figure sont présentés ci-dessous :
- Messages dans des dossiers publics.
- Messages routés hors de, puis renvoyés dans la boîte aux lettres d’un utilisateur à l’aide de règles personnalisées.
- Messages déplacés (automatiquement ou manuellement) hors des boîtes aux lettres cloud vers d’autres emplacements, y compris les dossiers d’archivage.
- Les règles de boîte de réception déplacent le message hors de la boîte de réception vers un autre dossier.
- Messages supprimés.
- Le dossier de recherche de boîte aux lettres de l’utilisateur est dans un état d’erreur.
- Exchange Online organisations où Exclaimer est activé. Pour résoudre ce problème, consultez KB4014438.
- S/MIME) messages chiffrés.
- Vous avez configuré l’action Livraison dynamique dans une stratégie Pièces jointes fiables, mais le destinataire ne prend pas en charge la remise dynamique (par exemple, le destinataire est une boîte aux lettres dans une organization Exchange locale). Toutefois, les liens fiables dans Microsoft Defender pour Office 365 peuvent analyser les pièces jointes Office qui contiennent des URL (si l’analyse des liens fiables des applications Office de prise en charge est activée dans la stratégie de liens fiables applicable).
Envoi de fichiers pour l’analyse des programmes malveillants
- Si vous recevez un fichier que vous souhaitez envoyer à Microsoft à des fins d’analyse, consultez Envoyer des programmes malveillants et non malveillants à Microsoft à des fins d’analyse.
- Si vous recevez un e-mail (avec ou sans pièce jointe) que vous souhaitez envoyer à Microsoft pour analyse, voir Signaler des messages et des fichiers à Microsoft.