Partage via


Messages électroniques mis en quarantaine dans EOP et Defender pour Office 365

Conseil

Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender XDR pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai sur Try Microsoft Defender pour Office 365.

Dans les organisations Microsoft 365 avec des boîtes aux lettres dans Exchange Online ou des organisations Exchange Online Protection autonomes (EOP) sans boîtes aux lettres Exchange Online, la mise en quarantaine est disponible pour contenir des messages potentiellement dangereux ou indésirables.

Remarque

Dans Microsoft 365 géré par 21Vianet, la mise en quarantaine n’est actuellement pas disponible dans le portail Microsoft Defender. La mise en quarantaine est disponible uniquement dans le Centre d’administration Exchange classique (EAC classique).

Le fait qu’un message détecté soit mis en quarantaine par défaut dépend des facteurs suivants :

* Le filtrage des programmes malveillants est ignoré sur les boîtes aux lettres SecOps identifiées dans la stratégie de remise avancée. Pour plus d’informations, consultez Configurer la stratégie de remise avancée pour les simulations d’hameçonnage tierces et la remise d’e-mails aux boîtes aux lettres SecOps.

Les actions par défaut pour les fonctionnalités de protection dans EOP et Defender for Office 365, y compris les stratégies de sécurité prédéfinies, sont décrites dans les tableaux des fonctionnalités dans Paramètres recommandés pour la sécurité EOP et Microsoft Defender pour Office 365.

Pour la protection anti-courrier indésirable et anti-hameçonnage, les administrateurs peuvent également modifier la stratégie par défaut ou créer des stratégies personnalisées pour mettre les messages en quarantaine au lieu de les remettre au dossier Email indésirables. Pour obtenir des instructions, consultez les articles suivants :

Une ou plusieurs stratégies de mise en quarantaine sont affectées aux stratégies de protection des fonctionnalités prises en charge (chaque action de la stratégie de protection est associée à une attribution de stratégie de mise en quarantaine).

Conseil

Toutes les actions effectuées par les administrateurs ou les utilisateurs sur les messages mis en quarantaine sont auditées. Pour plus d’informations sur les événements de quarantaine audités, consultez Schéma de mise en quarantaine dans l’API de gestion Office 365.

Stratégies de mise en quarantaine

Les stratégies de mise en quarantaine définissent ce que les utilisateurs peuvent faire ou non pour les messages mis en quarantaine, et si les utilisateurs reçoivent des notifications de mise en quarantaine pour ces messages. Pour plus d’informations, consultez Anatomie d’une stratégie de mise en quarantaine.

Les stratégies de mise en quarantaine par défaut affectées aux verdicts des fonctionnalités de protection appliquent les fonctionnalités historiques que les utilisateurs obtiennent pour leurs messages mis en quarantaine (messages dont ils sont destinataires). Pour plus d’informations, consultez le tableau dans Rechercher et libérer des messages mis en quarantaine en tant qu’utilisateur dans EOP. Par exemple, seuls les administrateurs peuvent travailler avec des messages mis en quarantaine en tant que programmes malveillants ou hameçonnage à haut niveau de confiance. Par défaut, les utilisateurs peuvent utiliser leurs messages mis en quarantaine en tant que courrier indésirable, en bloc, hameçonnage, usurpation d’identité d’utilisateur, emprunt d’identité de domaine ou intelligence de boîte aux lettres.

Les administrateurs peuvent créer et appliquer des stratégies de mise en quarantaine personnalisées qui définissent des fonctionnalités moins restrictives ou plus restrictives pour les utilisateurs, et activent également les notifications de mise en quarantaine. Pour plus d’informations, consultez Créer des stratégies de mise en quarantaine.

Remarque

Les utilisateurs ne peuvent pas publier leurs propres messages qui ont été mis en quarantaine en tant que programmes malveillants par des stratégies anti-programme malveillant ou pièces jointes fiables, ou en tant que hameçonnage à haut niveau de confiance par des stratégies anti-courrier indésirable, quelle que soit la façon dont la stratégie de quarantaine est configurée. Si la stratégie permet aux utilisateurs de publier leurs propres messages mis en quarantaine, les utilisateurs sont autorisés à demander la libération de leurs programmes malveillants en quarantaine ou de messages d’hameçonnage à haut niveau de confiance.

Les utilisateurs et les administrateurs peuvent travailler avec des messages mis en quarantaine :

Rétention de la mise en quarantaine

La durée pendant laquelle les messages ou les fichiers mis en quarantaine sont placés en quarantaine avant leur expiration dépend de la raison pour laquelle le message ou le fichier a été mis en quarantaine. Les fonctionnalités et leurs périodes de rétention correspondantes sont décrites dans le tableau suivant :

Raison de la mise en quarantaine : Période de rétention par défaut Personnalisable? Commentaires
Messages mis en quarantaine par les stratégies anti-courrier indésirable en tant que courrier indésirable, courrier indésirable à haut niveau de confiance, hameçonnage, hameçonnage à haut niveau de confiance ou bloc. 15 jours
  • Dans la stratégie anti-courrier indésirable par défaut.
  • Dans les stratégies anti-courrier indésirable que vous créez dans PowerShell.

30 jours
  • Dans les stratégies anti-courrier indésirable que vous créez dans le portail Microsoft Defender.
  • Dans les stratégies de sécurité prédéfinies Standard et Strict
Oui* Vous pouvez configurer la valeur de 1 à 30 jours dans la stratégie anti-courrier indésirable par défaut et dans les stratégies anti-courrier indésirable personnalisées. Pour plus d’informations, consultez le paramètre Conserver le courrier indésirable en quarantaine pendant ce nombre de jours (QuarantineRetentionPeriod) dans Configurer des stratégies anti-courrier indésirable.

*Vous ne pouvez pas modifier la valeur dans les stratégies de sécurité prédéfinies Standard ou Strict.
Messages mis en quarantaine par des stratégies anti-hameçonnage :
  • EOP : Intelligence usurpation d’identité.
  • Defender for Office 365 : protection contre l’emprunt d’identité de l’utilisateur, protection contre l’emprunt d’identité de domaine et protection de l’intelligence des boîtes aux lettres.
15 jours ou 30 jours Oui* Cette période de rétention est également contrôlée par le paramètre Conserver le courrier indésirable en quarantaine pendant ce nombre de jours (QuarantineRetentionPeriod) dans les stratégies anti-courrier indésirable . La période de rétention utilisée est la valeur de la première stratégie anti-courrier indésirable correspondante dans laquelle le destinataire est défini.
Messages mis en quarantaine par des stratégies anti-programme malveillant (messages malveillants). 30 jours Non Si vous activez le filtre de pièces jointes courantes dans les stratégies anti-programme malveillant (dans la stratégie par défaut ou dans les stratégies personnalisées), les pièces jointes de fichiers dans les messages électroniques adressés aux destinataires concernés sont traitées comme des programmes malveillants basés uniquement sur l’extension de fichier à l’aide de la correspondance de type vrai. Une liste prédéfinie de types de fichiers principalement exécutables est utilisée par défaut, mais vous pouvez personnaliser la liste. Pour plus d’informations, consultez Filtre de pièces jointes courantes dans les stratégies anti-programme malveillant.
Messages mis en quarantaine par les règles de flux de courrier où l’action est Remettre le message à la mise en quarantaine hébergée (quarantaine). 30 jours Non
Messages mis en quarantaine par des stratégies de pièces jointes fiables dans Defender for Office 365 (messages malveillants). 30 jours Non
Fichiers mis en quarantaine par pièces jointes sécurisées pour SharePoint, OneDrive et Microsoft Teams (fichiers de logiciels malveillants). 30 jours Non Les fichiers mis en quarantaine dans SharePoint ou OneDrive sont supprimés de la quarantaine après 30 jours, mais les fichiers bloqués restent dans SharePoint ou OneDrive dans l’état bloqué.
Messages dans les conversations et les canaux mis en quarantaine par la protection automatique zéro heure (ZAP) pour Microsoft Teams dans Defender for Office 365 30 jours Non

Lorsqu’un message expire de la quarantaine, vous ne pouvez pas le récupérer.

Pour plus d’informations sur la mise en quarantaine, consultez FAQ sur la quarantaine.