Stratégies de sécurité prédéfini dans EOP et Microsoft Defender pour Office 365

Conseil

Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender XDR pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai ici.

Les stratégies de sécurité prédéfinies vous permettent d’appliquer des fonctionnalités de protection aux utilisateurs en fonction de nos paramètres recommandés. Contrairement aux stratégies personnalisées qui sont configurables à l’infini, pratiquement tous les paramètres des stratégies de sécurité prédéfinies ne sont pas configurables et sont basés sur nos observations dans les centres de données. Les paramètres des stratégies de sécurité prédéfinies fournissent un équilibre entre maintenir le contenu dangereux à l’écart des utilisateurs et éviter les interruptions inutiles.

Selon vos organization, les stratégies de sécurité prédéfinies fournissent de nombreuses fonctionnalités de protection disponibles dans Exchange Online Protection (EOP) et Microsoft Defender pour Office 365.

Les stratégies de sécurité prédéfinies suivantes sont disponibles :

  • Stratégie de sécurité prédéfinie standard
  • Stratégie de sécurité prédéfinie stricte
  • Stratégie de sécurité prédéfinie de protection intégrée (stratégies par défaut pour les pièces jointes fiables et la protection des liens fiables dans Defender for Office 365)

Pour plus d’informations sur ces stratégies de sécurité prédéfinies, consultez la section Annexe à la fin de cet article.

Le reste de cet article explique comment configurer des stratégies de sécurité prédéfinies.

Ce qu'il faut savoir avant de commencer

  • Vous ouvrez le portail Microsoft Defender à l’adresse https://security.microsoft.com. Pour accéder directement à la page Stratégies de sécurité prédéfinies , utilisez https://security.microsoft.com/presetSecurityPolicies.

  • Pour vous connecter à Exchange Online PowerShell, voir Connexion à Exchange Online PowerShell.

  • Vous devez disposer d’autorisations pour pouvoir effectuer les procédures décrites dans cet article. Vous avez le choix parmi les options suivantes :

    • Microsoft Defender XDR contrôle d’accès unifié en fonction du rôle (RBAC) (affecte uniquement le portail Defender, et non PowerShell) : Autorisation et paramètres/Paramètres de sécurité/Paramètres de sécurité principaux (gérer) ou Autorisation et paramètres/Paramètres de sécurité/Paramètres de sécurité principaux (lecture).
    • Exchange Online autorisations :
      • Configurer des stratégies de sécurité prédéfinies : appartenance aux groupes de rôles Gestion de l’organisation ou Administrateur de la sécurité .
      • Accès en lecture seule aux stratégies de sécurité prédéfinies : appartenance au groupe de rôles Lecteur global .
    • autorisations Microsoft Entra : l’appartenance aux rôles Administrateur général, Administrateur de la sécurité ou Lecteur général donne aux utilisateurs les autorisations requises pour d’autres fonctionnalités dans Microsoft 365.

Utiliser le portail Microsoft Defender pour attribuer des stratégies de sécurité prédéfinies Standard et Strict aux utilisateurs

  1. Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Email & Stratégies de collaboration>& Règles>Stratégies> demenace prédéfinies Stratégies de sécurité prédéfinies dans la section Stratégies de modèle. Ou, pour accéder directement à la page Stratégies de sécurité prédéfinies , utilisez https://security.microsoft.com/presetSecurityPolicies.

  2. Si c’est la première fois que vous accédez à la page Stratégies de sécurité prédéfinies , il est probable que Protection Standard et Protection stricte soient désactivés .

    Faites glisser le bouton bascule de celui que vous souhaitez configurer sur , puis sélectionnez Gérer les paramètres de protection pour démarrer l’Assistant Configuration.

  3. Dans la page Appliquer Exchange Online Protection, identifiez les destinataires internes auxquels les protections EOP s’appliquent (conditions de destinataire) :

    • Tous les destinataires

    • Destinataires spécifiques : configurez l’une des conditions de destinataire suivantes qui s’affichent :

      • Utilisateurs : boîtes aux lettres, utilisateurs de messagerie ou contacts de messagerie spécifiés.
      • Groupes :
        • Membres des groupes de distribution spécifiés ou des groupes de sécurité à extension messagerie (les groupes de distribution dynamiques ne sont pas pris en charge).
        • Groupes Microsoft 365 spécifiée
      • Domaines : tous les destinataires du organization avec un adresse e-mail principale dans le domaine accepté spécifié.

    Cliquez dans la zone appropriée, commencez à taper une valeur et sélectionnez la valeur souhaitée dans les résultats. Répétez cette opération autant de fois que nécessaire. Pour supprimer une valeur existante, sélectionnez en regard de la valeur.

    Pour les utilisateurs ou les groupes, vous pouvez utiliser la plupart des identificateurs (nom, nom d’affichage, alias, adresse e-mail, nom de compte, etc.), mais le nom d'affichage correspondant apparaît dans les résultats. Pour les utilisateurs ou les groupes, entrez un astérisque (*) pour afficher toutes les valeurs disponibles.

    Vous ne pouvez utiliser une condition qu’une seule fois, mais la condition peut contenir plusieurs valeurs :

    • Plusieurs valeurs de la même condition utilisent la logique OR (par exemple, <recipient1> ou <recipient2>). Si le destinataire correspond à l’une des valeurs spécifiées, la stratégie leur est appliquée.

    • Différents types de conditions utilisent la logique AND. Le destinataire doit correspondre à toutes les conditions spécifiées pour que la stratégie s’applique à lui. Par exemple, vous configurez une condition avec les valeurs suivantes :

      • Utilisateurs: romain@contoso.com
      • Groupes : Cadres

      La stratégie s’applique uniquement s’il romain@contoso.com est également membre du groupe Cadres. Sinon, la politique ne lui est pas appliquée.

    • Aucune

    • Exclure ces destinataires : si vous avez sélectionné Tous les destinataires ou Destinataires spécifiques, sélectionnez cette option pour configurer les exceptions de destinataire.

      Vous ne pouvez utiliser une exception qu’une seule fois, mais l’exception peut contenir plusieurs valeurs :

      • Plusieurs valeurs de la même exception utilisent la logique OR (par exemple, <recipient1> ou <recipient2>). Si le destinataire correspond à l’une des valeurs spécifiées, la stratégie ne leur est pas appliquée.
      • Différents types d’exceptions utilisent la logique OR (par exemple, <recipient1> ou <membre de group1> ou <membre de domaine1>). Si le destinataire correspond à l’une des valeurs d’exception spécifiées, la stratégie ne leur est pas appliquée.

    Lorsque vous avez terminé d’accéder à la page Appliquer Exchange Online Protection, sélectionnez Suivant.

    Remarque

    Dans les organisations sans Defender for Office 365, sélectionnez Suivant pour accéder à la page Révision (étape 9).

  4. Dans la page Appliquer la protection Defender for Office 365, identifiez les destinataires internes auxquels les protections Defender for Office 365 s’appliquent (conditions de destinataire).

    Les paramètres et le comportement sont exactement comme la page Appliquer Exchange Online Protection à l’étape précédente.

    Vous pouvez également sélectionner Destinataires précédemment sélectionnés pour utiliser les mêmes destinataires que ceux que vous avez sélectionnés pour la protection EOP sur la page précédente.

    Lorsque vous avez terminé sur la page Appliquer la protection Defender for Office 365, sélectionnez Suivant.

  5. Dans la page Protection contre l’emprunt d’identité , sélectionnez Suivant.

  6. Dans la page Ajouter des adresses e-mail à signaler en cas d’emprunt d’identité par des attaquants , ajoutez les expéditeurs internes et externes qui sont protégés par la protection contre l’emprunt d’identité des utilisateurs.

    Remarque

    Tous les destinataires reçoivent automatiquement une protection contre l’emprunt d’identité de l’intelligence des boîtes aux lettres dans les stratégies de sécurité prédéfinies.

    Vous pouvez spécifier un maximum de 350 utilisateurs pour la protection contre l’emprunt d’identité des utilisateurs dans la stratégie de sécurité prédéfinie Standard ou Strict.

    La protection contre l’emprunt d’identité de l’utilisateur ne fonctionne pas si l’expéditeur et le destinataire ont déjà communiqué par e-mail. Si l’expéditeur et le destinataire n’ont jamais communiqué par e-mail, le message peut être identifié comme une tentative d’emprunt d’identité.

    Chaque entrée se compose d’un nom complet et d’une adresse e-mail :

    • Utilisateurs internes : cliquez dans la zone Ajouter un e-mail valide ou commencez à taper l’adresse e-mail de l’utilisateur. Sélectionnez l’adresse e-mail dans la liste déroulante Contacts suggérés qui s’affiche. Le nom d’affichage de l’utilisateur est ajouté à la zone Ajouter un nom (que vous pouvez modifier). Lorsque vous avez terminé de sélectionner l’utilisateur, sélectionnez Ajouter.

    • Utilisateurs externes : tapez l’adresse e-mail complète de l’utilisateur externe dans la zone Ajouter un e-mail valide , puis sélectionnez l’adresse e-mail dans la liste déroulante Contacts suggérés qui s’affiche. L’adresse e-mail est également ajoutée dans la zone Ajouter un nom (que vous pouvez remplacer par un nom d’affichage).

    Répétez ces étapes autant de fois que nécessaire.

    Les utilisateurs que vous avez ajoutés sont répertoriés sur la page par Nom d’affichage et Adresse e-mail de l’expéditeur. Pour supprimer un utilisateur, sélectionnez en regard de l’entrée.

    Utilisez la zone Recherche pour rechercher les entrées sur la page.

    Lorsque vous avez terminé sur la page Appliquer la protection Defender for Office 365, sélectionnez Suivant.

  7. Dans la page Ajouter des domaines à marquer en cas d’emprunt d’identité par des attaquants , ajoutez des domaines internes et externes protégés par la protection contre l’emprunt d’identité de domaine.

    Remarque

    Tous les domaines que vous possédez (domaines acceptés) reçoivent automatiquement la protection contre l’emprunt d’identité de domaine dans les stratégies de sécurité prédéfinies.

    Vous pouvez spécifier un maximum de 50 domaines personnalisés pour la protection contre l’emprunt d’identité de domaine dans la stratégie de sécurité prédéfinie Standard ou Strict.

    Cliquez dans la zone Ajouter des domaines , entrez une valeur de domaine, appuyez sur la touche Entrée ou sélectionnez la valeur affichée sous la zone. Pour supprimer un domaine de la zone et recommencer, sélectionnez en regard du domaine. Lorsque vous êtes prêt à ajouter le domaine, sélectionnez Ajouter. Répétez cette étape autant de fois que nécessaire.

    Les domaines que vous avez ajoutés sont répertoriés sur la page. Pour supprimer le domaine, sélectionnez en regard de la valeur.

    Les domaines que vous avez ajoutés sont répertoriés sur la page. Pour supprimer un domaine, sélectionnez en regard de l’entrée.

    Pour supprimer une entrée existante de la liste, sélectionnez en regard de l’entrée.

    Lorsque vous avez terminé l’option Ajouter des domaines à marquer en cas d’emprunt d’identité par des attaquants, sélectionnez Suivant.

  8. Dans la page Ajouter des adresses e-mail et des domaines approuvés à ne pas marquer comme emprunt d’identité , entrez les adresses e-mail et les domaines de l’expéditeur que vous devez exclure de la protection contre l’emprunt d’identité. Les messages de ces expéditeurs ne sont jamais marqués comme une attaque d’emprunt d’identité, mais les expéditeurs sont toujours soumis à l’analyse par d’autres filtres dans EOP et Defender for Office 365.

    Remarque

    Les entrées de domaine approuvé n’incluent pas les sous-domaines du domaine spécifié. Vous devez ajouter une entrée pour chaque sous-domaine.

    Entrez l’adresse e-mail ou le domaine dans la zone, puis appuyez sur la touche Entrée ou sélectionnez la valeur affichée sous la zone. Pour supprimer une valeur de la zone et recommencer, sélectionnez en regard de la valeur. Lorsque vous êtes prêt à ajouter l’utilisateur ou le domaine, sélectionnez Ajouter. Répétez cette étape autant de fois que nécessaire.

    Les utilisateurs et les domaines que vous avez ajoutés sont répertoriés sur la page par Nom et Type. Pour supprimer une entrée, sélectionnez en regard de l’entrée.

    Lorsque vous avez terminé d’accéder à la page Ajouter des adresses e-mail et des domaines approuvés à ne pas marquer comme emprunt d’identité , sélectionnez Suivant.

  9. Dans la page Vérifier et confirmer vos modifications , passez en revue vos paramètres. Vous pouvez sélectionner Précédent ou la page spécifique dans l’Assistant pour modifier les paramètres.

    Lorsque vous avez terminé sur la page Vérifier et confirmer vos modifications , sélectionnez Confirmer.

  10. Dans la page Protection standard mise à jour ou Protection stricte mise à jour , sélectionnez Terminé.

Utiliser le portail Microsoft Defender pour modifier les affectations des stratégies de sécurité prédéfinies Standard et Strict

Les étapes pour modifier l’attribution de la stratégie de sécurité prédéfinie protection standard ou protection stricte sont les mêmes que lorsque vous avez initialement affecté les stratégies de sécurité prédéfinies aux utilisateurs.

Pour désactiver les stratégies de sécurité prédéfinies Protection standard ou Protection stricte tout en conservant les conditions et exceptions existantes, faites glisser le bouton bascule sur . Pour activer les stratégies, faites glisser le bouton bascule sur .

Utiliser le portail Microsoft Defender pour ajouter des exclusions à la stratégie de sécurité prédéfinie de protection intégrée

Conseil

La stratégie de sécurité prédéfinie de protection intégrée est appliquée à tous les utilisateurs des organisations disposant de n’importe quel nombre de licences pour Defender pour Microsoft 365. Cette application est dans l’esprit de sécuriser le plus large ensemble d’utilisateurs jusqu’à ce que les administrateurs configurent spécifiquement Defender for Office 365 protections. Étant donné que la protection intégrée est activée par défaut, les clients n’ont pas à s’inquiéter de la violation des termes de licence de produit. Toutefois, nous vous recommandons d’acheter suffisamment de licences Defender for Office 365 pour garantir la poursuite de la protection intégrée pour tous les utilisateurs.

La stratégie de sécurité prédéfinie de protection intégrée n’affecte pas les destinataires définis dans les stratégies de sécurité prédéfinies Standard ou Strict , ni dans les stratégies de liens fiables ou de pièces jointes fiables personnalisées. Par conséquent, nous ne recommandons généralement pas d’exceptions à la stratégie de sécurité prédéfinie de protection intégrée .

  1. Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Email & Stratégies de collaboration>& Règles>Stratégies> demenace prédéfinies Stratégies de sécurité prédéfinies dans la section Stratégies de modèle. Ou, pour accéder directement à la page Stratégies de sécurité prédéfinies , utilisez https://security.microsoft.com/presetSecurityPolicies.

  2. Dans la page Stratégies de sécurité prédéfinies , sélectionnez Ajouter des exclusions (non recommandé) dans la section Protection intégrée .

  3. Dans le menu volant Exclure de la protection intégrée qui s’ouvre, identifiez les destinataires internes exclus de la protection intégrée liens fiables et pièces jointes fiables :

    • Utilisateurs
    • Groupes :
      • Membres des groupes de distribution spécifiés ou des groupes de sécurité à extension messagerie (les groupes de distribution dynamiques ne sont pas pris en charge).
      • Groupes Microsoft 365 spécifiée
    • Domaines

    Cliquez dans la zone appropriée, commencez à taper une valeur, puis sélectionnez la valeur affichée sous la zone. Répétez cette opération autant de fois que nécessaire. Pour supprimer une valeur existante, sélectionnez en regard de la valeur.

    Pour les utilisateurs ou les groupes, vous pouvez utiliser la plupart des identificateurs (nom, nom d’affichage, alias, adresse e-mail, nom de compte, etc.), mais le nom d'affichage correspondant apparaît dans les résultats. Pour les utilisateurs, entrez un astérisque (*) seul pour afficher toutes les valeurs disponibles.

    Vous ne pouvez utiliser une exception qu’une seule fois, mais l’exception peut contenir plusieurs valeurs :

    • Plusieurs valeurs de la même exception utilisent la logique OR (par exemple, <recipient1> ou <recipient2>). Si le destinataire correspond à l’une des valeurs spécifiées, la stratégie ne leur est pas appliquée.
    • Différents types d’exceptions utilisent la logique OR (par exemple, <recipient1> ou <membre de group1> ou <membre de domaine1>). Si le destinataire correspond à l’une des valeurs d’exception spécifiées, la stratégie ne leur est pas appliquée.

  4. Lorsque vous avez terminé dans le menu volant Exclure de la protection intégrée , sélectionnez Enregistrer.

Comment savoir si ces procédures ont fonctionné ?

Pour vérifier que vous avez correctement affecté la stratégie de sécurité Protection standard ou Protection stricte à un utilisateur, utilisez un paramètre de protection où la valeur par défaut est différente du paramètre de protection Standard , qui est différent de celui du paramètre Protection stricte .

Par exemple, pour les e-mails détectés comme courrier indésirable (courrier indésirable non à haut niveau de confiance), vérifiez que le message est remis dans le dossier Email indésirable pour les utilisateurs de la protection Standard et mis en quarantaine pour les utilisateurs de protection stricte.

Ou, pour le courrier en bloc, vérifiez que la valeur BCL 6 ou supérieure remet le message dans le dossier Email de courrier indésirable pour les utilisateurs de protection standard, et que la valeur BCL 5 ou supérieure met le message en quarantaine pour les utilisateurs de protection stricte.

Stratégies de sécurité prédéfinies dans Exchange Online PowerShell

Dans PowerShell, les stratégies de sécurité prédéfinies se composent des éléments suivants :

Les sections suivantes décrivent comment utiliser ces applets de commande dans les scénarios pris en charge.

Pour vous connecter à Exchange Online PowerShell, voir Connexion à Exchange Online PowerShell.

Utiliser PowerShell pour afficher des stratégies de sécurité individuelles pour les stratégies de sécurité prédéfinies

N’oubliez pas que si vous n’avez jamais activé la stratégie de sécurité prédéfinie Standard ou la stratégie de sécurité prédéfinie Strict dans le portail Microsoft Defender, les stratégies de sécurité associées pour la stratégie de sécurité prédéfinie n’existent pas.

  • Stratégie de sécurité prédéfinie de protection intégrée : les stratégies associées sont nommées Built-In Stratégie de protection. La valeur de la propriété IsBuiltInProtection a la valeur True pour ces stratégies.

    Pour afficher les stratégies de sécurité individuelles pour la stratégie de sécurité prédéfinie de protection intégrée, exécutez la commande suivante :

    Write-Output -InputObject ("`r`n"*3),"Built-in protection Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy -Identity "Built-In Protection Policy" | Format-List; Write-Output -InputObject ("`r`n"*3),"Built-in protection Safe Links policy",("-"*79);Get-SafeLinksPolicy -Identity "Built-In Protection Policy" | Format-List

  • Stratégie de sécurité prédéfinie standard : les stratégies associées sont nommées Standard Preset Security Policy<13-digit number>. Par exemple : Standard Preset Security Policy1622650008019. La valeur de la propriété RecommendPolicyType pour les stratégies est Standard.

    • Pour afficher les stratégies de sécurité individuelles pour la stratégie de sécurité prédéfinie Standard dans les organisations avec EOP uniquement, exécutez la commande suivante :

      Write-Output -InputObject ("`r`n"*3),"Standard anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"

    • Pour afficher les stratégies de sécurité individuelles pour la stratégie de sécurité prédéfinie Standard dans les organisations avec Defender for Office 365, exécutez la commande suivante :

      Write-Output -InputObject ("`r`n"*3),"Standard anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"

  • Stratégie de sécurité prédéfinie stricte : les stratégies associées sont nommées Strict Preset Security Policy<13-digit number>. Par exemple : Strict Preset Security Policy1642034872546. La valeur de la propriété RecommendPolicyType pour les stratégies est Strict.

    • Pour afficher les stratégies de sécurité individuelles pour la stratégie de sécurité prédéfinie Strict dans les organisations avec EOP uniquement, exécutez la commande suivante :

      Write-Output -InputObject ("`r`n"*3),"Strict anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"

    • Pour afficher les stratégies de sécurité individuelles pour la stratégie de sécurité prédéfinie Strict dans les organisations avec Defender for Office 365, exécutez la commande suivante :

      Write-Output -InputObject ("`r`n"*3),"Strict anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"

Utiliser PowerShell pour afficher les règles des stratégies de sécurité prédéfinies

N’oubliez pas que si vous n’avez jamais activé la stratégie de sécurité prédéfinie Standard ou la stratégie de sécurité prédéfinie Strict dans le portail Microsoft Defender, les règles associées à ces stratégies n’existent pas.

  • Stratégie de sécurité prédéfinie de protection intégrée : il n’existe qu’une seule règle nommée RÈGLE de protection ATP Built-In.

    Pour afficher la règle associée à la stratégie de sécurité prédéfinie de protection intégrée, exécutez la commande suivante :

    Get-ATPBuiltInProtectionRule

  • Stratégie de sécurité prédéfinie standard : les règles associées sont nommées Stratégie de sécurité prédéfinie standard.

    Utilisez les commandes suivantes pour afficher les règles associées à la stratégie de sécurité prédéfinie Standard :

    • Pour afficher la règle associée aux protections EOP dans la stratégie de sécurité prédéfinie Standard, exécutez la commande suivante :

      Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"

    • Pour afficher la règle associée aux protections Defender for Office 365 dans la stratégie de sécurité prédéfinie Standard, exécutez la commande suivante :

      Get-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"

    • Pour afficher les deux règles en même temps, exécutez la commande suivante :

      Write-Output -InputObject ("`r`n"*3),"EOP rule - Standard preset security policy",("-"*79);Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"; Write-Output -InputObject ("`r`n"*3),"Defender for Office 365 rule - Standard preset security policy",("-"*79);Get-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"

  • Stratégie de sécurité prédéfinie stricte : les règles associées sont nommées Stratégie de sécurité prédéfinie stricte.

    Utilisez les commandes suivantes pour afficher les règles associées à la stratégie de sécurité prédéfinie Strict :

    • Pour afficher la règle associée aux protections EOP dans la stratégie de sécurité prédéfinie Strict, exécutez la commande suivante :

      Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"

    • Pour afficher la règle associée aux protections Defender for Office 365 dans la stratégie de sécurité prédéfinie Strict, exécutez la commande suivante :

      Get-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"

    • Pour afficher les deux règles en même temps, exécutez la commande suivante :

      Write-Output -InputObject ("`r`n"*3),"EOP rule - Strict preset security policy",("-"*79);Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"; Write-Output -InputObject ("`r`n"*3),"Defender for Office 365 rule - Strict preset security policy",("-"*79);Get-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"

Utiliser PowerShell pour activer ou désactiver des stratégies de sécurité prédéfinies

Pour activer ou désactiver les stratégies de sécurité prédéfinies Standard ou Strict dans PowerShell, activez ou désactivez les règles associées à la stratégie. La valeur de la propriété State de la règle indique si la règle est Activée ou Désactivée.

Si votre organization a EOP uniquement, vous désactivez ou activez la règle pour les protections EOP.

Si votre organization a Defender for Office 365, vous activez ou désactivez la règle pour les protections EOP et la règle pour les protections Defender for Office 365 (activer ou désactiver les deux règles).

  • Organisations avec EOP uniquement :

    • Exécutez la commande suivante pour déterminer si les règles des stratégies de sécurité prédéfinies Standard et Strict sont actuellement activées ou désactivées :

      Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50); Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50); Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy" | Format-Table Name,State

    • Exécutez la commande suivante pour désactiver la stratégie de sécurité prédéfinie Standard si elle est activée :

      Disable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"

    • Exécutez la commande suivante pour désactiver la stratégie de sécurité prédéfinie Strict si elle est activée :

      Disable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"

    • Exécutez la commande suivante pour activer la stratégie de sécurité prédéfinie Standard si elle est désactivée :

      Enable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"

    • Exécutez la commande suivante pour activer la stratégie de sécurité prédéfinie Strict si elle est désactivée :

      Enable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"

  • Organisations avec Defender for Office 365 :

    • Exécutez la commande suivante pour déterminer si les règles des stratégies de sécurité prédéfinies Standard et Strict sont actuellement activées ou désactivées :

      Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50);Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject `r`n,"Defender for Office 365 protection rule",("-"*50);Get-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50);Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject `r`n,"Defender for Office 365 protection rule",("-"*50);Get-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy" | Format-Table Name,State

    • Exécutez la commande suivante pour désactiver la stratégie de sécurité prédéfinie Standard si elle est activée :

      Disable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"; Disable-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"

    • Exécutez la commande suivante pour désactiver la stratégie de sécurité prédéfinie Strict si elle est activée :

      Disable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"; Disable-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"

    • Exécutez la commande suivante pour activer la stratégie de sécurité prédéfinie Standard si elle est désactivée :

      Enable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"; Enable-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"

    • Exécutez la commande suivante pour activer la stratégie de sécurité prédéfinie Strict si elle est désactivée :

      Enable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"; Enable-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"

Utiliser PowerShell pour spécifier des conditions de destinataire et des exceptions pour les stratégies de sécurité prédéfinies

Vous ne pouvez utiliser une condition ou une exception de destinataire qu’une seule fois, mais la condition ou l’exception peut contenir plusieurs valeurs :

  • Plusieurs valeurs de la même condition ou exception utilisent la logique OR (par exemple, <recipient1> ou <recipient2>) :

    • Conditions : si le destinataire correspond à l’une des valeurs spécifiées, la stratégie leur est appliquée.
    • Exceptions : si le destinataire correspond à l’une des valeurs spécifiées, la stratégie ne leur est pas appliquée.

  • Différents types d’exceptions utilisent la logique OR (par exemple, <recipient1> ou <membre de group1> ou <membre de domaine1>). Si le destinataire correspond à l’une des valeurs d’exception spécifiées, la stratégie ne leur est pas appliquée.

  • Différents types de conditions utilisent la logique AND. Le destinataire doit correspondre à toutes les conditions spécifiées pour que la stratégie s’applique à lui. Par exemple, vous configurez une condition avec les valeurs suivantes :

    • Utilisateurs: romain@contoso.com
    • Groupes : Cadres

    La stratégie s’applique uniquement s’il romain@contoso.com est également membre du groupe Cadres. Sinon, la politique ne lui est pas appliquée.

Pour la stratégie de sécurité prédéfinie de protection intégrée, vous pouvez spécifier uniquement des exceptions de destinataire. Si toutes les valeurs de paramètre d’exception sont vides ($null), il n’existe aucune exception à la stratégie.

Pour les stratégies de sécurité prédéfinies Standard et Strict, vous pouvez spécifier des conditions de destinataire et des exceptions pour les protections EOP et les protections Defender for Office 365. Si toutes les conditions et valeurs de paramètre d’exception sont vides ($null), il n’existe aucune condition de destinataire ni aucune exception aux stratégies de sécurité prédéfinies Standard ou Strict.

  • Stratégie de sécurité prédéfinie de protection intégrée :

    Utilisez la syntaxe suivante :

    Set-ATPBuiltInProtectionRule -Identity "ATP Built-In Protection Rule" -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null>

    Cet exemple supprime toutes les exceptions de destinataire de la stratégie de sécurité prédéfinie de protection intégrée.

    Set-ATPBuiltInProtectionRule -Identity "ATP Built-In Protection Rule" -ExceptIfRecipientDomainIs $null -ExceptIfSentTo $null -ExceptIfSentToMemberOf $null

    Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Set-ATPBuiltInProtectionRule.

  • Stratégies de sécurité prédéfinies Standard ou Strict

    Utilisez la syntaxe suivante :

    <Set-EOPProtectionPolicyRule | SetAtpProtectionPolicyRule> -Identity "<Standard Preset Security Policy | Strict Preset Security Policy>" -SentTo <"user1","user2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -SentToMemberOf <"group1","group2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null> -RecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null>

    Cet exemple configure des exceptions à partir des protections EOP dans la stratégie de sécurité prédéfinie Standard pour les membres du groupe de distribution nommé Cadres.

    Set-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy" -ExceptIfSentToMemberOf Executives

    Cet exemple configure des exceptions des protections Defender for Office 365 dans la stratégie de sécurité prédéfinie Strict pour les boîtes aux lettres d’opérations de sécurité (SecOps) spécifiées.

    Set-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy" -ExceptIfSentTo "SecOps1","SecOps2"

    Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Set-EOPProtectionPolicyRule et Set-ATPProtectionPolicyRule.

Annexe

Les stratégies de sécurité prédéfinies se composent des éléments suivants :

Ces éléments sont décrits dans les sections suivantes.

En outre, il est important de comprendre comment les stratégies de sécurité prédéfinies s’intègrent dans l’ordre de priorité avec les autres stratégies.

Profils dans les stratégies de sécurité prédéfinies

Un profil détermine le niveau de protection. Les profils suivants sont disponibles pour les stratégies de sécurité prédéfinies :

  • Protection standard : profil de base adapté à la plupart des utilisateurs.
  • Protection stricte : profil plus agressif pour les utilisateurs sélectionnés (cibles à valeur élevée ou utilisateurs prioritaires).
  • Protection intégrée (Microsoft Defender pour Office 365 uniquement) : fournit efficacement des stratégies par défaut pour les liens fiables et les pièces jointes fiables uniquement.

En général, le profil de protection Strict a tendance à mettre en quarantaine les e-mails moins dangereux (par exemple, les courriers en bloc et les courriers indésirables) que le profil de protection Standard , mais la plupart des paramètres des deux profils sont les mêmes (en particulier, pour les e-mails indiscutablement dangereux comme les programmes malveillants ou le hameçonnage). Pour une comparaison des différences de paramètres, consultez les tableaux de la section suivante.

Tant que vous n’activez pas les profils et que vous ne leur affectez pas d’utilisateurs, les stratégies de sécurité prédéfinies Standard et Strict ne sont affectées à personne. En revanche, la stratégie de sécurité prédéfinie de protection intégrée est affectée à tous les destinataires par défaut, mais vous pouvez configurer des exceptions.

Importante

Sauf si vous configurez des exceptions à la stratégie de sécurité prédéfinie de protection intégrée, tous les destinataires du organization reçoivent des liens fiables et une protection des pièces jointes fiables.

Stratégies dans les stratégies de sécurité prédéfinies

Les stratégies de sécurité prédéfinies utilisent des versions spéciales des stratégies de protection individuelles disponibles dans EOP et Microsoft Defender pour Office 365. Ces stratégies sont créées après avoir affecté les stratégies de sécurité prédéfinies protection standard ou protection stricte aux utilisateurs.

  • Stratégies EOP : ces stratégies se trouvent dans toutes les organisations Microsoft 365 avec des boîtes aux lettres Exchange Online et des organisations EOP autonomes sans boîtes aux lettres Exchange Online :

    Remarque

    Les stratégies de courrier indésirable sortant ne font pas partie des stratégies de sécurité prédéfinies. La stratégie de courrier indésirable sortant par défaut protège automatiquement les membres des stratégies de sécurité prédéfinies. Vous pouvez également créer des stratégies de courrier indésirable sortant personnalisées pour personnaliser la protection des membres des stratégies de sécurité prédéfinies. Pour plus d’informations, consultez Configurer le filtrage du courrier indésirable sortant dans EOP.

  • stratégies Microsoft Defender pour Office 365 : ces stratégies se trouvent dans les organisations disposant d’abonnements Microsoft 365 E5 ou Defender for Office 365 modules complémentaires :

Comme décrit précédemment, vous pouvez appliquer des protections EOP à différents utilisateurs que les protections Defender for Office 365, ou vous pouvez appliquer des protections EOP et Defender for Office 365 aux mêmes destinataires.

Paramètres de stratégie dans les stratégies de sécurité prédéfinies

Fondamentalement, vous ne pouvez pas modifier les paramètres de stratégie individuels dans les profils de protection. La personnalisation de la stratégie par défaut correspondante ou la création d’une stratégie personnalisée n’a aucun effet en raison de l’ordre de priorité lorsque le même utilisateur (destinataire) est défini dans plusieurs stratégies (les stratégies de sécurité prédéfinies Standard et Strict sont toujours appliquées en premier).

Toutefois, vous devez configurer les utilisateurs individuels (expéditeurs) et les domaines pour recevoir la protection contre l’emprunt d’identité dans Defender for Office 365. Sinon, les stratégies de sécurité prédéfinies configurent automatiquement les types suivants de protection contre l’emprunt d’identité :

Les différences entre les paramètres de stratégie significatifs dans la stratégie de sécurité prédéfinie Standard et la stratégie de sécurité prédéfinie Strict sont résumées dans le tableau suivant :

  Standard Strict
Stratégie anti-programme malveillant Aucune différence Aucune différence
Stratégie anti-courrier indésirable
  Action de détection de niveau conforme en bloc (BCL) atteint ou dépassé (BulkSpamAction) Déplacer le message vers le dossier Email indésirable (MoveToJmf) Message de mise en quarantaine (Quarantine)
  Seuil d’e-mails en bloc (BulkThreshold) 6 5
  Action de détection du courrier indésirable (SpamAction) Déplacer le message vers le dossier Email indésirable (MoveToJmf) Message de mise en quarantaine (Quarantine)
Politique de lutte contre l'hameçonnage
  Si le message est détecté comme usurpation par l’intelligence de l’usurpation d’identité (AuthenticationFailAction) Déplacer le message vers le dossier Email indésirable (MoveToJmf) Message de mise en quarantaine (Quarantine)
Afficher le conseil de sécurité du premier contact (EnableFirstContactSafetyTips) Sélectionné ($true) Sélectionné ($true)
  Si l’intelligence des boîtes aux lettres détecte un utilisateur usurpé d’identité (MailboxIntelligenceProtectionAction) Déplacer le message vers le dossier Email indésirable (MoveToJmf) Message de mise en quarantaine (Quarantine)
  Seuil d’e-mail de hameçonnage (PhishThresholdLevel) 3 - Plus agressif (3) 4 - Le plus agressif (4)
Stratégie de pièces jointes fiables Aucune différence Aucune différence
Stratégie de liens fiables Aucune différence Aucune différence

Les différences entre les paramètres de stratégie pièces jointes fiables et liens fiables dans la stratégie de sécurité prédéfinie de protection intégrée et dans les stratégies de sécurité prédéfinies Standard et Strict sont résumées dans le tableau suivant :

  Protection intégrée Standard et Strict
Stratégie de pièces jointes fiables Aucune différence Aucune différence
Stratégie de liens fiables
  Permettre aux utilisateurs de cliquer sur l’URL d’origine (AllowClickThrough) Sélectionné ($true) Non sélectionné ($false)
  Ne réécritz pas d’URL, effectuez des vérifications via l’API Liens fiables uniquement (DisableURLRewrite) Sélectionné ($true) Non sélectionné ($false)
  Appliquer des liens fiables aux messages électroniques envoyés dans le organization (EnableForInternalSenders) Non sélectionné ($false) Sélectionné ($true)

Pour plus d’informations sur ces paramètres, consultez les tables de fonctionnalités dans Paramètres recommandés pour EOP et Microsoft Defender pour Office 365 sécurité.

Ordre de priorité pour les stratégies de sécurité prédéfinies et d’autres stratégies

Lorsqu’un destinataire est défini dans plusieurs stratégies, les stratégies sont appliquées dans l’ordre suivant :

  1. Stratégie de sécurité prédéfinie Strict.
  2. Stratégie de sécurité prédéfinie Standard.
  3. Defender for Office 365 stratégies d’évaluation
  4. Stratégies personnalisées basées sur la priorité de la stratégie (un nombre inférieur indique une priorité plus élevée).
  5. La stratégie de sécurité prédéfinie de protection intégrée pour les liens fiables et les pièces jointes fiables ; les stratégies par défaut pour les programmes malveillants, anti-courrier indésirable et anti-hameçonnage.

En d’autres termes, les paramètres de la stratégie de sécurité prédéfinie Strict remplacent les paramètres de la stratégie de sécurité prédéfinie Standard, qui remplace les paramètres des stratégies d’évaluation anti-hameçonnage, liens fiables ou pièces jointes fiables, qui remplacent les paramètres de toutes les stratégies personnalisées, qui remplacent les paramètres de la stratégie de sécurité prédéfinie de protection intégrée pour les liens fiables et les pièces jointes fiables, et les stratégies par défaut pour l’anti-courrier indésirable, l’anti-programme malveillant et l’anti-hameçonnage.

Cet ordre est affiché sur les pages des stratégies de sécurité individuelles dans le portail Defender (les stratégies sont appliquées dans l’ordre dans lequel elles sont affichées sur la page).

Par exemple, un administrateur configure la stratégie de sécurité prédéfinie Standard et une stratégie anti-courrier indésirable personnalisée avec le même destinataire. Les paramètres de stratégie anti-courrier indésirable de la stratégie de sécurité prédéfinie Standard sont appliqués à l’utilisateur au lieu de ce qui est configuré dans la stratégie anti-courrier indésirable personnalisée ou dans la stratégie anti-courrier indésirable par défaut.

Envisagez d’appliquer les stratégies de sécurité prédéfinies Standard ou Strict à un sous-ensemble d’utilisateurs, et appliquez des stratégies personnalisées à d’autres utilisateurs de votre organization pour répondre à des besoins spécifiques. Pour répondre à cette exigence, envisagez les méthodes suivantes :

  • Utilisez des groupes ou des listes de destinataires non ambigus dans la stratégie de sécurité prédéfinie Standard, la sécurité prédéfinie Strict et dans les stratégies personnalisées afin que les exceptions ne soient pas requises. À l’aide de cette méthode, vous n’avez pas besoin de tenir compte de plusieurs stratégies s’appliquant aux mêmes utilisateurs et des effets de l’ordre de priorité.
  • Si vous ne pouvez pas éviter que plusieurs stratégies s’appliquent aux mêmes utilisateurs, utilisez les stratégies suivantes :
    • Configurez les destinataires qui doivent obtenir les paramètres de la stratégie de sécurité prédéfinie Standard et des stratégies personnalisées en tant qu’exceptions dans la stratégie de sécurité prédéfinie Strict .
    • Configurez les destinataires qui doivent obtenir les paramètres des stratégies personnalisées en tant qu’exceptions dans la stratégie de sécurité prédéfinie Standard .
    • Configurez les destinataires qui doivent obtenir les paramètres de la stratégie de sécurité prédéfinie de protection intégrée ou des stratégies par défaut en tant qu’exceptions aux stratégies personnalisées.

La stratégie de sécurité prédéfinie de protection intégrée n’affecte pas les destinataires dans les stratégies de liens fiables ou de pièces jointes fiables existantes. Si vous avez déjà configuré protection standard, protection stricte ou liens fiables personnalisés ou stratégies de pièces jointes fiables, ces stratégies sont toujours appliquées avant la protection intégrée, de sorte qu’il n’y a aucun effet sur les destinataires qui sont déjà définis dans ces stratégies prédéfinies ou personnalisées existantes.

Pour plus d’informations, consultez Ordre et priorité de la protection des e-mails.