Partage via


Paramètres recommandés pour EOP et pour la sécurité Microsoft Defender pour Office 365

Conseil

Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender XDR pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai sur Try Microsoft Defender pour Office 365.

Exchange Online Protection (EOP) est au cœur de la sécurité des abonnements Microsoft 365 et permet d’empêcher les e-mails malveillants d’atteindre les boîtes de réception de vos employés. Mais avec de nouvelles attaques plus sophistiquées qui émergent chaque jour, des protections améliorées sont souvent nécessaires. Microsoft Defender pour Office 365 Plan 1 ou Plan 2 contiennent des fonctionnalités supplémentaires qui offrent davantage de couches de sécurité, de contrôle et d’investigation.

Bien que nous permetions aux administrateurs de sécurité de personnaliser leurs paramètres de sécurité, il existe deux niveaux de sécurité dans EOP et Microsoft Defender pour Office 365 que nous recommandons : Standard et Strict. Bien que les environnements et les besoins des clients soient différents, ces niveaux de filtrage permettent d’empêcher les messages indésirables d’atteindre la boîte de réception de vos employés dans la plupart des situations.

Pour appliquer automatiquement les paramètres Standard ou Strict aux utilisateurs, consultez Stratégies de sécurité prédéfinies dans EOP et Microsoft Defender pour Office 365.

Cet article décrit les paramètres par défaut, ainsi que les paramètres Standard et Strict recommandés pour protéger vos utilisateurs. Les tableaux contiennent les paramètres dans le portail Microsoft Defender et PowerShell (Exchange Online PowerShell ou autonome Exchange Online Protection PowerShell pour les organisations sans boîtes aux lettres Exchange Online).

Remarque

Le module Office 365 Advanced Threat Protection Recommended Configuration Analyzer (ORCA) pour PowerShell peut aider les administrateurs à trouver les valeurs actuelles de ces paramètres. Plus précisément, l’applet de commande Get-ORCAReport génère une évaluation des paramètres anti-courrier indésirable, anti-hameçonnage et autres paramètres d’hygiène des messages. Vous pouvez télécharger le module ORCA à l’adresse https://www.powershellgallery.com/packages/ORCA/.

Dans les organisations Microsoft 365, nous vous recommandons de laisser le filtre de Email indésirable dans Outlook défini sur Aucun filtrage automatique pour éviter les conflits inutiles (positifs et négatifs) avec les verdicts de filtrage du courrier indésirable d’EOP. Si vous souhaitez en savoir plus, consultez les articles suivants :

Protection anti-courrier indésirable, anti-programme malveillant et anti-hameçonnage dans EOP

Les fonctionnalités anti-courrier indésirable, anti-programme malveillant et anti-hameçonnage sont des fonctionnalités EOP qui peuvent être configurées par les administrateurs. Nous vous recommandons les configurations Standard ou Strict suivantes.

Paramètres de stratégie anti-programme malveillant EOP

Pour créer et configurer des stratégies anti-programme malveillant, consultez Configurer des stratégies anti-programme malveillant dans EOP.

Les stratégies de quarantaine définissent ce que les utilisateurs sont en mesure de faire pour les messages mis en quarantaine et si les utilisateurs reçoivent des notifications de quarantaine. Pour plus d’informations, consultez Anatomie d’une stratégie de mise en quarantaine.

La stratégie nommée AdminOnlyAccessPolicy applique les fonctionnalités d’historique pour les messages qui ont été mis en quarantaine en tant que programmes malveillants, comme décrit dans le tableau ici.

Les utilisateurs ne peuvent pas publier leurs propres messages qui ont été mis en quarantaine en tant que programmes malveillants, quelle que soit la façon dont la stratégie de quarantaine est configurée. Si la stratégie permet aux utilisateurs de publier leurs propres messages mis en quarantaine, les utilisateurs sont autorisés à demander la publication de leurs messages de programmes malveillants mis en quarantaine.

Nom de la fonctionnalité de sécurité Par défaut Standard Strict Commentaire
Paramètres de protection
Activer le filtre de pièces jointes courantes (EnableFileFilter) Sélectionné ($true)* Sélectionné ($true) Sélectionné ($true) Pour obtenir la liste des types de fichiers dans le filtre de pièces jointes courantes, consultez Filtre de pièces jointes courantes dans les stratégies anti-programme malveillant.

* Le filtre des pièces jointes courantes est activé par défaut dans les nouvelles stratégies anti-programme malveillant que vous créez dans le portail Defender ou dans PowerShell, et dans la stratégie anti-programme malveillant par défaut dans les organisations créées après le 1er décembre 2023.
Notifications de filtre de pièces jointes courantes : lorsque ces types de fichiers sont trouvés (FileTypeAction) Rejeter le message avec un rapport de non-remise (NDR) (Reject) Rejeter le message avec un rapport de non-remise (NDR) (Reject) Rejeter le message avec un rapport de non-remise (NDR) (Reject)
Activer le vidage automatique zéro heure pour les programmes malveillants (ZapEnabled) Sélectionné ($true) Sélectionné ($true) Sélectionné ($true)
Stratégie de mise en quarantaine (QuarantineTag) AdminOnlyAccessPolicy AdminOnlyAccessPolicy AdminOnlyAccessPolicy
notifications Administration
Avertir un administrateur des messages non remis d’expéditeurs internes (EnableInternalSenderAdminNotifications et InternalSenderAdminAddress) Non sélectionné ($false) Non sélectionné ($false) Non sélectionné ($false) Nous n’avons aucune recommandation spécifique pour ce paramètre.
Informer un administrateur des messages non remis provenant d’expéditeurs externes (EnableExternalSenderAdminNotifications et ExternalSenderAdminAddress) Non sélectionné ($false) Non sélectionné ($false) Non sélectionné ($false) Nous n’avons aucune recommandation spécifique pour ce paramètre.
Personnaliser les notifications Nous n’avons aucune recommandation spécifique pour ces paramètres.
Utiliser un texte de notification personnalisé (CustomNotifications) Non sélectionné ($false) Non sélectionné ($false) Non sélectionné ($false)
From name (CustomFromName) Vide Vide Vide
Adresse de départ (CustomFromAddress) Vide Vide Vide
Personnaliser les notifications pour les messages provenant d’expéditeurs internes Ces paramètres sont utilisés uniquement si l’option Notifier un administrateur en cas de messages non remis provenant d’expéditeurs internes est sélectionnée.
Subject (CustomInternalSubject) Vide Vide Vide
Message (CustomInternalBody) Vide Vide Vide
Personnaliser les notifications pour les messages provenant d’expéditeurs externes Ces paramètres sont utilisés uniquement si l’option Notifier un administrateur en cas de messages non remis provenant d’expéditeurs externes est sélectionnée.
Subject (CustomExternalSubject) Vide Vide Vide
Message (CustomExternalBody) Vide Vide Vide

Paramètres de stratégie anti-courrier indésirable EOP

Pour créer et configurer des stratégies anti-courrier indésirable, consultez Configurer des stratégies anti-courrier indésirable dans EOP.

Chaque fois que vous sélectionnez Message de quarantaine comme action pour un verdict de filtre anti-courrier indésirable, une zone Sélectionner une stratégie de mise en quarantaine est disponible. Les stratégies de quarantaine définissent ce que les utilisateurs sont en mesure de faire pour les messages mis en quarantaine et si les utilisateurs reçoivent des notifications de quarantaine. Pour plus d’informations, consultez Anatomie d’une stratégie de mise en quarantaine.

Si vous remplacez l’action d’un verdict de filtrage du courrier indésirable par Message de mise en quarantaine lorsque vous créez des stratégies anti-courrier indésirable dans le portail Defender, la zone Sélectionner une stratégie de mise en quarantaine est vide par défaut. Une valeur vide signifie que la stratégie de mise en quarantaine par défaut pour ce verdict de filtrage du courrier indésirable est utilisée. Ces stratégies de mise en quarantaine par défaut appliquent les fonctionnalités d’historique pour le verdict du filtre anti-courrier indésirable qui a mis en quarantaine le message, comme décrit dans le tableau ici. Lorsque vous affichez ou modifiez ultérieurement les paramètres de stratégie anti-courrier indésirable, le nom de la stratégie de mise en quarantaine s’affiche.

Les administrateurs peuvent créer ou utiliser des stratégies de mise en quarantaine avec des fonctionnalités plus restrictives ou moins restrictives. Pour obtenir des instructions, consultez Créer des stratégies de mise en quarantaine dans le portail Microsoft Defender.

Nom de la fonctionnalité de sécurité Par défaut Standard Strict Commentaire
Seuil de courrier électronique en bloc & propriétés de courrier indésirable
Seuil d’e-mails en bloc (BulkThreshold) 7 6 5 Pour plus d’informations, consultez Niveau de plainte en bloc (BCL) dans EOP.
Courrier indésirable en bloc (MarkAsSpamBulkMail) (On) (On) (On) Ce paramètre est disponible uniquement dans PowerShell.
Augmenter les paramètres de score de courrier indésirable Tous ces paramètres font partie du filtre anti-courrier indésirable avancé (ASF). Pour plus d’informations, consultez la section Paramètres ASF dans les stratégies anti-courrier indésirable de cet article.
Marquer comme paramètres de courrier indésirable La plupart de ces paramètres font partie d’ASF. Pour plus d’informations, consultez la section Paramètres ASF dans les stratégies anti-courrier indésirable de cet article.
Contient des langages spécifiques (EnableLanguageBlockList et LanguageBlockList) Désactivé ($false et Vide) Désactivé ($false et Vide) Désactivé ($false et Vide) Nous n’avons aucune recommandation spécifique pour ce paramètre. Vous pouvez bloquer les messages dans des langues spécifiques en fonction des besoins de votre entreprise.
À partir de ces pays (EnableRegionBlockList et RegionBlockList) Désactivé ($false et Vide) Désactivé ($false et Vide) Désactivé ($false et Vide) Nous n’avons aucune recommandation spécifique pour ce paramètre. Vous pouvez bloquer les messages en provenance de pays/régions spécifiques en fonction des besoins de votre entreprise.
Mode test (TestModeAction) Aucune Aucune Aucune Ce paramètre fait partie d’ASF. Pour plus d’informations, consultez la section Paramètres ASF dans les stratégies anti-courrier indésirable de cet article.
Actions
Action de détection du courrier indésirable (SpamAction) Déplacer le message vers le dossier Email indésirable (MoveToJmf) Déplacer le message vers le dossier Email indésirable (MoveToJmf) Message de mise en quarantaine (Quarantine)
Stratégie de mise en quarantaine pour le courrier indésirable (SpamQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessPolicy DefaultFullAccessWithNotificationPolicy La stratégie de mise en quarantaine n’a de sens que si les détections de courrier indésirable sont mises en quarantaine.
Action de détection de courrier indésirable à haute confiance (HighConfidenceSpamAction) Déplacer le message vers le dossier Email indésirable (MoveToJmf) Message de mise en quarantaine (Quarantine) Message de mise en quarantaine (Quarantine)
Stratégie de mise en quarantaine pour le courrier indésirable à haut niveau de confiance (HighConfidenceSpamQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessWithNotificationPolicy DefaultFullAccessWithNotificationPolicy La stratégie de mise en quarantaine n’est significative que si les détections de courrier indésirable à haut niveau de confiance sont mises en quarantaine.
Action de détection d’hameçonnage (PhishSpamAction) Déplacer le message vers le dossier Email indésirable (MoveToJmf)* Message de mise en quarantaine (Quarantine) Message de mise en quarantaine (Quarantine) *La valeur par défaut est Déplacer le message vers le dossier Email indésirable dans la stratégie anti-courrier indésirable par défaut et dans les nouvelles stratégies anti-courrier indésirable que vous créez dans PowerShell. La valeur par défaut est Message de mise en quarantaine dans les nouvelles stratégies anti-courrier indésirable que vous créez dans le portail Defender.
Stratégie de mise en quarantaine pour le hameçonnage (PhishQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessWithNotificationPolicy DefaultFullAccessWithNotificationPolicy La stratégie de mise en quarantaine n’a de sens que si les détections d’hameçonnage sont mises en quarantaine.
Action de détection d’hameçonnage à haute confiance (HighConfidencePhishAction) Message de mise en quarantaine (Quarantine) Message de mise en quarantaine (Quarantine) Message de mise en quarantaine (Quarantine) Les utilisateurs ne peuvent pas publier leurs propres messages mis en quarantaine en tant qu’hameçonnage à haut niveau de confiance, quelle que soit la façon dont la stratégie de quarantaine est configurée. Si la stratégie permet aux utilisateurs de publier leurs propres messages mis en quarantaine, les utilisateurs sont autorisés à demander la publication de leurs messages d’hameçonnage à haut niveau de confiance mis en quarantaine.
Stratégie de mise en quarantaine pour le hameçonnage à haute confiance (HighConfidencePhishQuarantineTag) AdminOnlyAccessPolicy AdminOnlyAccessPolicy AdminOnlyAccessPolicy
Niveau de conformité en bloc (BCL) atteint ou dépassé (BulkSpamAction) Déplacer le message vers le dossier Email indésirable (MoveToJmf) Déplacer le message vers le dossier Email indésirable (MoveToJmf) Message de mise en quarantaine (Quarantine)
Stratégie de mise en quarantaine pour le niveau conforme en bloc (BCL) atteint ou dépassé (BulkQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessPolicy DefaultFullAccessWithNotificationPolicy La stratégie de mise en quarantaine n’est significative que si les détections en bloc sont mises en quarantaine.
Messages intra-organisationnels sur 2012 (IntraOrgFilterState) Par défaut (par défaut) Par défaut (par défaut) Par défaut (par défaut) La valeur Default est identique à la sélection des messages d’hameçonnage à haute confiance. Actuellement, dans les organisations gouvernementales américaines (Microsoft 365 GCC, GCC High et DoD), la valeur Par défaut est identique à la sélection de Aucun.
Conserver le courrier indésirable en quarantaine pendant ce nombre de jours (QuarantineRetentionPeriod) 15 jours 30 jours 30 jours Cette valeur affecte également les messages mis en quarantaine par des stratégies anti-hameçonnage. Pour plus d’informations, consultez Rétention en quarantaine.
Activer les conseils de sécurité pour les courriers indésirables (InlineSafetyTipsEnabled) Sélectionné ($true) Sélectionné ($true) Sélectionné ($true)
Activer le vidage automatique zéro heure (ZAP) pour les messages d’hameçonnage (PhishZapEnabled) Sélectionné ($true) Sélectionné ($true) Sélectionné ($true)
Activer ZAP pour les messages indésirables (SpamZapEnabled) Sélectionné ($true) Sélectionné ($true) Sélectionné ($true)
Autoriser & liste bloquée
Expéditeurs autorisés (AllowedSenders) Aucun Aucun Aucun
Domaines d’expéditeur autorisés (AllowedSenderDomains) Aucun Aucun Aucun L’ajout de domaines à la liste des domaines autorisés est une très mauvaise idée. Les attaquants pourraient vous envoyer des e-mails qui seraient autrement filtrés.

Utilisez l’insight d’usurpation d’identité et la liste d’autorisation/de blocage des locataires pour passer en revue tous les expéditeurs qui usurpent les adresses e-mail de l’expéditeur dans les domaines de messagerie de votre organization ou qui usurpent les adresses e-mail des expéditeurs dans des domaines externes.
Expéditeurs bloqués (BlockedSenders) Aucun Aucun Aucun
Domaines de l’expéditeur bloqué (BlockedSenderDomains) Aucun Aucun Aucun

¹ Comme décrit dans Autorisations d’accès complet et notifications de mise en quarantaine, votre organization peut utiliser NotificationEnabledPolicy au lieu de DefaultFullAccessPolicy dans la stratégie de sécurité par défaut ou dans les nouvelles stratégies de sécurité personnalisées que vous créez. La seule différence entre ces deux stratégies de mise en quarantaine est que les notifications de mise en quarantaine sont activées dans NotificationEnabledPolicy et désactivées dans DefaultFullAccessPolicy.

Paramètres ASF dans les stratégies anti-courrier indésirable

Pour plus d’informations sur les paramètres du filtre anti-courrier indésirable avancé (ASF) dans les stratégies anti-courrier indésirable, consultez Paramètres du filtre anti-courrier indésirable avancé (ASF) dans EOP.

Nom de la fonctionnalité de sécurité Par défaut Recommandé
Standard
Recommandé
Strict
Commentaire
Liens d’image vers des sites distants (IncreaseScoreWithImageLinks) Désactivé Désactivé Désactivé
Adresse IP numérique dans l’URL (IncreaseScoreWithNumericIps) Désactivé Désactivé Désactivé
Redirection d’URL vers un autre port (IncreaseScoreWithRedirectToOtherPort) Désactivé Désactivé Désactivé
Liens vers des sites web .biz ou .info (IncreaseScoreWithBizOrInfoUrls) Désactivé Désactivé Désactivé
Messages vides (MarkAsSpamEmptyMessages) Désactivé Désactivé Désactivé
Incorporer des balises au format HTML (MarkAsSpamEmbedTagsInHtml) Désactivé Désactivé Désactivé
JavaScript ou VBScript en HTML (MarkAsSpamJavaScriptInHtml) Désactivé Désactivé Désactivé
Balises de formulaire en HTML (MarkAsSpamFormTagsInHtml) Désactivé Désactivé Désactivé
Balises frame ou iframe en HTML (MarkAsSpamFramesInHtml) Désactivé Désactivé Désactivé
Bogues web en HTML (MarkAsSpamWebBugsInHtml) Désactivé Désactivé Désactivé
Balises d’objet en HTML (MarkAsSpamObjectTagsInHtml) Désactivé Désactivé Désactivé
Mots sensibles (MarkAsSpamSensitiveWordList) Désactivé Désactivé Désactivé
Enregistrement SPF : échec physique (MarkAsSpamSpfRecordHardFail) Désactivé Désactivé Désactivé
Échec du filtrage de l’ID de l’expéditeur (MarkAsSpamFromAddressAuthFail) Désactivé Désactivé Désactivé
Rétrodiffusion (MarkAsSpamNdrBackscatter) Désactivé Désactivé Désactivé
Mode test (TestModeAction) Aucun Aucun Aucun Pour les paramètres ASF qui prennent en charge test en tant qu’action, vous pouvez configurer l’action du mode test sur Aucun, Ajouter un texte X-Header par défaut ou Envoyer un message Cci (None, AddXHeaderou BccMessage). Pour plus d’informations, consultez Activer, désactiver ou tester les paramètres ASF.

Remarque

ASF ajoute X-CustomSpam: des champs d’en-tête X aux messages une fois que les messages ont été traités par les règles de flux de messagerie Exchange (également appelées règles de transport). Vous ne pouvez donc pas utiliser de règles de flux de messagerie pour identifier et agir sur les messages qui ont été filtrés par ASF.

Paramètres de stratégie de courrier indésirable sortant EOP

Pour créer et configurer des stratégies de courrier indésirable sortant, consultez Configurer le filtrage du courrier indésirable sortant dans EOP.

Pour plus d’informations sur les limites d’envoi par défaut dans le service, consultez Limites d’envoi.

Remarque

Les stratégies de courrier indésirable sortant ne font pas partie des stratégies de sécurité prédéfinies Standard ou Strict. Les valeurs Standard et Strict indiquent nos valeurs recommandées dans la stratégie de courrier indésirable sortant par défaut ou les stratégies de courrier indésirable sortant personnalisées que vous créez.

Nom de la fonctionnalité de sécurité Par défaut Recommandé
Standard
Recommandé
Strict
Commentaire
Définir une limite de messages externes (RecipientLimitExternalPerHour) 0 500 400 La valeur par défaut 0 signifie utiliser les valeurs par défaut du service.
Définir une limite de messages interne (RecipientLimitInternalPerHour) 0 1000 800 La valeur par défaut 0 signifie utiliser les valeurs par défaut du service.
Définir une limite de message quotidienne (RecipientLimitPerDay) 0 1000 800 La valeur par défaut 0 signifie utiliser les valeurs par défaut du service.
Restriction appliquée aux utilisateurs qui atteignent la limite de messages (ActionWhenThresholdReached) Empêcher l’utilisateur d’envoyer des messages jusqu’au jour suivant (BlockUserForToday) Empêcher l’utilisateur d’envoyer des messages (BlockUser) Empêcher l’utilisateur d’envoyer des messages (BlockUser)
Règles de transfert automatique (AutoForwardingMode) Automatique - Contrôlé par le système (Automatic) Automatique - Contrôlé par le système (Automatic) Automatique - Contrôlé par le système (Automatic)
Envoyer une copie des messages sortants qui dépassent ces limites à ces utilisateurs et groupes (BccSuspiciousOutboundMail et BccSuspiciousOutboundAdditionalRecipients) Non sélectionné ($false et Vide) Non sélectionné ($false et Vide) Non sélectionné ($false et Vide) Nous n’avons aucune recommandation spécifique pour ce paramètre.

Ce paramètre fonctionne uniquement dans la stratégie de courrier indésirable sortant par défaut. Cela ne fonctionne pas dans les stratégies de courrier indésirable sortant personnalisées que vous créez.
Avertir ces utilisateurs et groupes si un expéditeur est bloqué en raison de l’envoi de courrier indésirable sortant (NotifyOutboundSpam et NotifyOutboundSpamRecipients) Non sélectionné ($false et Vide) Non sélectionné ($false et Vide) Non sélectionné ($false et Vide) La stratégie d’alerte par défaut nommée Utilisateur restreint à l’envoi d’e-mails envoie déjà Notifications par e-mail aux membres du groupe TenantAdmins (membres Administrateur général) lorsque les utilisateurs sont bloqués en raison du dépassement des limites de la stratégie. Nous vous recommandons vivement d’utiliser la stratégie d’alerte plutôt que ce paramètre dans la stratégie de courrier indésirable sortant pour avertir les administrateurs et les autres utilisateurs. Pour obtenir des instructions, consultez Vérifier les paramètres d’alerte pour les utilisateurs restreints.

Paramètres de stratégie anti-hameçonnage EOP

Pour plus d’informations sur ces paramètres, consultez Paramètres d’usurpation d’identité. Pour configurer ces paramètres, consultez Configurer des stratégies anti-hameçonnage dans EOP.

Les paramètres d’usurpation d’identité sont liés entre elles, mais le paramètre Afficher le conseil de sécurité du premier contact n’a aucune dépendance sur les paramètres d’usurpation d’identité.

Les stratégies de quarantaine définissent ce que les utilisateurs sont en mesure de faire pour les messages mis en quarantaine et si les utilisateurs reçoivent des notifications de quarantaine. Pour plus d’informations, consultez Anatomie d’une stratégie de mise en quarantaine.

Bien que la valeur Appliquer la stratégie de mise en quarantaine apparaisse non sélectionnée lorsque vous créez une stratégie anti-hameçonnage dans le portail Defender, la stratégie de quarantaine nommée DefaultFullAccessPolicy¹ est utilisée si vous ne sélectionnez pas de stratégie de mise en quarantaine. Cette stratégie applique les fonctionnalités d’historique pour les messages mis en quarantaine en tant qu’usurpation, comme décrit dans le tableau ici. Lorsque vous affichez ou modifiez ultérieurement les paramètres de stratégie de mise en quarantaine, le nom de la stratégie de quarantaine s’affiche.

Les administrateurs peuvent créer ou utiliser des stratégies de mise en quarantaine avec des fonctionnalités plus restrictives ou moins restrictives. Pour obtenir des instructions, consultez Créer des stratégies de mise en quarantaine dans le portail Microsoft Defender.

Nom de la fonctionnalité de sécurité Par défaut Standard Strict Commentaire
Protection du seuil d’hameçonnage &
Activer l’intelligence contre l’usurpation d’identité (EnableSpoofIntelligence) Sélectionné ($true) Sélectionné ($true) Sélectionné ($true)
Actions
Respecter la stratégie d’enregistrement DMARC lorsque le message est détecté comme usurpation (HonorDmarcPolicy) Sélectionné ($true) Sélectionné ($true) Sélectionné ($true) Lorsque ce paramètre est activé, vous contrôlez ce qui arrive aux messages où l’expéditeur échoue à des vérifications DMARC explicites lorsque l’action de stratégie dans l’enregistrement TXT DMARC est définie sur p=quarantine ou p=reject. Pour plus d’informations, consultez Protection contre l’usurpation d’identité et stratégies DMARC de l’expéditeur.
Si le message est détecté comme usurpation et si la stratégie DMARC est définie sur p=quarantine (DmarcQuarantineAction) Mettre en quarantaine le message (Quarantine) Mettre en quarantaine le message (Quarantine) Mettre en quarantaine le message (Quarantine) Cette action est significative uniquement lorsque la stratégie d’enregistrement Honor DMARC lorsque le message est détecté comme usurpation est activé.
Si le message est détecté comme usurpation et que la stratégie DMARC est définie sur p=reject (DmarcRejectAction) Rejeter le message (Reject) Rejeter le message (Reject) Rejeter le message (Reject) Cette action est significative uniquement lorsque la stratégie d’enregistrement Honor DMARC lorsque le message est détecté comme usurpation est activé.
Si le message est détecté comme usurpation par l’intelligence de l’usurpation d’identité (AuthenticationFailAction) Déplacer le message vers les dossiers Email indésirables des destinataires (MoveToJmf) Déplacer le message vers les dossiers Email indésirables des destinataires (MoveToJmf) Mettre en quarantaine le message (Quarantine) Ce paramètre s’applique aux expéditeurs usurpés qui ont été automatiquement bloqués comme indiqué dans l’insight d’intelligence contre l’usurpation d’identité ou bloqués manuellement dans la liste verte/bloquée du locataire.

Si vous sélectionnez Mettre en quarantaine le message comme action pour le verdict d’usurpation d’identité, une zone Appliquer la stratégie de mise en quarantaine est disponible.
Stratégie de mise en quarantaine pour l’usurpation d’identité (SpoofQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessPolicy DefaultFullAccessWithNotificationPolicy La stratégie de quarantaine n’est significative que si les détections d’usurpation d’identité sont mises en quarantaine.
Afficher le conseil de sécurité du premier contact (EnableFirstContactSafetyTips) Non sélectionné ($false) Sélectionné ($true) Sélectionné ($true) Pour plus d’informations, consultez Premier conseil de sécurité de contact.
Afficher ( ?) pour les expéditeurs non authentifiés pour l’usurpation d’identité (EnableUnauthenticatedSender) Sélectionné ($true) Sélectionné ($true) Sélectionné ($true) Ajoute un point d’interrogation ( ?) à la photo de l’expéditeur dans Outlook pour les expéditeurs usurpés non identifiés. Pour plus d’informations, consultez Indicateurs d’expéditeur non authentifiés.
Afficher la balise « via » (EnableViaTag) Sélectionné ($true) Sélectionné ($true) Sélectionné ($true) Ajoute une balise via (chris@contoso.com via fabrikam.com) à l’adresse De si elle est différente du domaine dans la signature DKIM ou l’adresse MAIL FROM .

Pour plus d’informations, consultez Indicateurs d’expéditeur non authentifiés.

¹ Comme décrit dans Autorisations d’accès complet et notifications de mise en quarantaine, votre organization peut utiliser NotificationEnabledPolicy au lieu de DefaultFullAccessPolicy dans la stratégie de sécurité par défaut ou dans les nouvelles stratégies de sécurité personnalisées que vous créez. La seule différence entre ces deux stratégies de mise en quarantaine est que les notifications de mise en quarantaine sont activées dans NotificationEnabledPolicy et désactivées dans DefaultFullAccessPolicy.

Microsoft Defender pour Office 365 sécurité

Des avantages supplémentaires en matière de sécurité sont fournis avec un abonnement Microsoft Defender pour Office 365. Pour plus d’informations, consultez Nouveautés de Defender for Office 365.

Importante

Si votre abonnement inclut Microsoft Defender pour Office 365 ou si vous avez acheté Defender for Office 365 en tant que module complémentaire, définissez les configurations Standard ou Strict suivantes.

Paramètres de stratégie anti-hameçonnage dans Microsoft Defender pour Office 365

Les clients EOP bénéficient d’un anti-hameçonnage de base comme décrit précédemment, mais Defender for Office 365 inclut davantage de fonctionnalités et de contrôle pour prévenir, détecter et corriger les attaques. Pour créer et configurer ces stratégies, consultez Configurer des stratégies anti-hameçonnage dans Defender for Office 365.

Paramètres avancés dans les stratégies anti-hameçonnage dans Microsoft Defender pour Office 365

Pour plus d’informations sur ce paramètre, consultez Seuils avancés de hameçonnage dans les stratégies anti-hameçonnage dans Microsoft Defender pour Office 365. Pour configurer ce paramètre, consultez Configurer des stratégies anti-hameçonnage dans Defender for Office 365.

Nom de la fonctionnalité de sécurité Par défaut Standard Strict Commentaire
Seuil d’e-mail de hameçonnage (PhishThresholdLevel) 1 - Standard (1) 3 - Plus agressif (3) 4 - Le plus agressif (4)

Paramètres d’emprunt d’identité dans les stratégies anti-hameçonnage dans Microsoft Defender pour Office 365

Pour plus d’informations sur ces paramètres, consultez Paramètres d’emprunt d’identité dans les stratégies anti-hameçonnage dans Microsoft Defender pour Office 365. Pour configurer ces paramètres, consultez Configurer des stratégies anti-hameçonnage dans Defender for Office 365.

Chaque fois que vous sélectionnez Mettre en quarantaine le message comme action pour un verdict d’emprunt d’identité, une zone Appliquer la stratégie de mise en quarantaine est disponible. Les stratégies de quarantaine définissent ce que les utilisateurs sont en mesure de faire pour les messages mis en quarantaine et si les utilisateurs reçoivent des notifications de quarantaine. Pour plus d’informations, consultez Anatomie d’une stratégie de mise en quarantaine.

Bien que la valeur Appliquer la stratégie de mise en quarantaine apparaisse désélectionnée lorsque vous créez une stratégie anti-hameçonnage dans le portail Defender, la stratégie de quarantaine nommée DefaultFullAccessPolicy est utilisée si vous ne sélectionnez pas de stratégie de mise en quarantaine. Cette stratégie applique les fonctionnalités d’historique pour les messages qui ont été mis en quarantaine en tant qu’emprunt d’identité, comme décrit dans le tableau ici. Lorsque vous affichez ou modifiez ultérieurement les paramètres de stratégie de mise en quarantaine, le nom de la stratégie de quarantaine s’affiche.

Les administrateurs peuvent créer ou utiliser des stratégies de mise en quarantaine avec des fonctionnalités plus restrictives ou moins restrictives. Pour obtenir des instructions, consultez Créer des stratégies de mise en quarantaine dans le portail Microsoft Defender.

Nom de la fonctionnalité de sécurité Par défaut Standard Strict Commentaire
Protection du seuil d’hameçonnage &
Protection contre l’emprunt d’identité utilisateur : permettre aux utilisateurs de protéger (EnableTargetedUserProtection et TargetedUsersToProtect) Non sélectionné ($false et aucun) Sélectionné ($true et <liste des utilisateurs>) Sélectionné ($true et <liste des utilisateurs>) Nous vous recommandons d’ajouter des utilisateurs (expéditeurs de messages) dans des rôles clés. En interne, les expéditeurs protégés peuvent être votre PDG, votre directeur financier et d’autres dirigeants supérieurs. En externe, les expéditeurs protégés peuvent inclure des membres du conseil ou votre conseil d’administration.
Protection contre l’emprunt d’identité de domaine : activer les domaines à protéger Non sélectionnée Sélectionné Sélectionné
Include domains I own (EnableOrganizationDomainsProtection) Désactivé ($false) Sélectionné ($true) Sélectionné ($true)
Inclure des domaines personnalisés (EnableTargetedDomainsProtection et TargetedDomainsToProtect) Désactivé ($false et aucun) Sélectionné ($true et <liste des domaines>) Sélectionné ($true et <liste des domaines>) Nous vous recommandons d’ajouter des domaines (domaines de l’expéditeur) que vous ne possédez pas, mais avec lesquels vous interagissez fréquemment.
Ajouter des expéditeurs et des domaines approuvés (ExcludedSenders et ExcludedDomains) Aucun Aucun Aucun En fonction de votre organization, nous vous recommandons d’ajouter des expéditeurs ou des domaines qui sont identifiés de manière incorrecte en tant que tentatives d’emprunt d’identité.
Activer l’intelligence des boîtes aux lettres (EnableMailboxIntelligence) Sélectionné ($true) Sélectionné ($true) Sélectionné ($true)
Activer l’intelligence pour la protection contre l’emprunt d’identité (EnableMailboxIntelligenceProtection) Désactivé ($false) Sélectionné ($true) Sélectionné ($true) Ce paramètre autorise l’action spécifiée pour les détections d’emprunt d’identité par l’intelligence des boîtes aux lettres.
Actions
Si un message est détecté comme emprunt d’identité d’utilisateur (TargetedUserProtectionAction) N’appliquez aucune action (NoAction) Mettre en quarantaine le message (Quarantine) Mettre en quarantaine le message (Quarantine)
Stratégie de mise en quarantaine pour l’emprunt d’identité utilisateur (TargetedUserQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessWithNotificationPolicy DefaultFullAccessWithNotificationPolicy La stratégie de mise en quarantaine n’est significative que si les détections d’emprunt d’identité d’utilisateur sont mises en quarantaine.
Si un message est détecté comme emprunt d’identité de domaine (TargetedDomainProtectionAction) N’appliquez aucune action (NoAction) Mettre en quarantaine le message (Quarantine) Mettre en quarantaine le message (Quarantine)
Stratégie de mise en quarantaine pour l’emprunt d’identité de domaine (TargetedDomainQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessWithNotificationPolicy DefaultFullAccessWithNotificationPolicy La stratégie de mise en quarantaine n’est significative que si les détections d’emprunt d’identité de domaine sont mises en quarantaine.
Si l’intelligence des boîtes aux lettres détecte un utilisateur usurpé d’identité (MailboxIntelligenceProtectionAction) N’appliquez aucune action (NoAction) Déplacer le message vers les dossiers Email indésirables des destinataires (MoveToJmf) Mettre en quarantaine le message (Quarantine)
Stratégie de mise en quarantaine pour l’emprunt d’identité de l’intelligence des boîtes aux lettres (MailboxIntelligenceQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessPolicy DefaultFullAccessWithNotificationPolicy La stratégie de mise en quarantaine n’a de sens que si les détections d’intelligence de boîte aux lettres sont mises en quarantaine.
Afficher le conseil de sécurité de l’emprunt d’identité utilisateur (EnableSimilarUsersSafetyTips) Désactivé ($false) Sélectionné ($true) Sélectionné ($true)
Afficher l’info-bulle de sécurité d’emprunt d’identité de domaine (EnableSimilarDomainsSafetyTips) Désactivé ($false) Sélectionné ($true) Sélectionné ($true)
Afficher les caractères inhabituels de l’utilisateur - Conseil de sécurité (EnableUnusualCharactersSafetyTips) Désactivé ($false) Sélectionné ($true) Sélectionné ($true)

¹ Comme décrit dans Autorisations d’accès complet et notifications de mise en quarantaine, votre organization peut utiliser NotificationEnabledPolicy au lieu de DefaultFullAccessPolicy dans la stratégie de sécurité par défaut ou dans les nouvelles stratégies de sécurité personnalisées que vous créez. La seule différence entre ces deux stratégies de mise en quarantaine est que les notifications de mise en quarantaine sont activées dans NotificationEnabledPolicy et désactivées dans DefaultFullAccessPolicy.

Paramètres de stratégie anti-hameçonnage EOP dans Microsoft Defender pour Office 365

Il s’agit des mêmes paramètres que ceux disponibles dans les paramètres de stratégie anti-courrier indésirable dans EOP.

Paramètres des pièces jointes sécurisées

Les pièces jointes sécurisées dans Microsoft Defender pour Office 365 incluent des paramètres globaux qui n’ont aucun rapport avec les stratégies de pièces jointes fiables, ainsi que des paramètres spécifiques à chaque stratégie de liens fiables. Pour plus d’informations, consultez Pièces jointes fiables dans Defender for Office 365.

Bien qu’il n’existe aucune stratégie de pièces jointes fiables par défaut, la stratégie de sécurité prédéfinie de protection intégrée fournit une protection des pièces jointes fiables à tous les destinataires qui ne sont pas définis dans les stratégies de sécurité prédéfinies Standard ou Strict ou dans les stratégies de pièces jointes fiables personnalisées. Pour plus d’informations, consultez Stratégies de sécurité prédéfinies dans EOP et Microsoft Defender pour Office 365.

Paramètres globaux pour les pièces jointes fiables

Remarque

Les paramètres globaux des pièces jointes fiables sont définis par la stratégie de sécurité prédéfinie de protection intégrée , mais pas par les stratégies de sécurité prédéfinies Standard ou Strict . Dans les deux cas, les administrateurs peuvent modifier ces paramètres globaux de pièces jointes fiables à tout moment.

La colonne Par défaut affiche les valeurs antérieures à l’existence de la stratégie de sécurité prédéfinie de protection intégrée . La colonne Protection intégrée affiche les valeurs définies par la stratégie de sécurité prédéfinie de protection intégrée , qui sont également nos valeurs recommandées.

Pour configurer ces paramètres, voir Activer les pièces jointes fiables pour SharePoint, OneDrive et Microsoft Teams et documents sécurisés dans Microsoft 365 E5.

Dans PowerShell, vous utilisez l’applet de commande Set-AtpPolicyForO365 pour ces paramètres.

Nom de la fonctionnalité de sécurité Par défaut Protection intégrée Commentaire
Activer Defender for Office 365 pour SharePoint, OneDrive et Microsoft Teams (EnableATPForSPOTeamsODB) Désactivé ($false) Activé ($true) Pour empêcher les utilisateurs de télécharger des fichiers malveillants, voir Utiliser SharePoint Online PowerShell pour empêcher les utilisateurs de télécharger des fichiers malveillants.
Activer les documents sécurisés pour les clients Office (EnableSafeDocs) Désactivé ($false) Activé ($true) Cette fonctionnalité est disponible et significative uniquement avec les licences qui ne sont pas incluses dans Defender for Office 365 (par exemple, Microsoft 365 A5 ou Microsoft 365 E5 Sécurité). Pour plus d’informations, consultez Documents sécurisés dans Microsoft 365 A5 ou E5 Sécurité.
Autoriser les utilisateurs à cliquer sur le mode protégé même si les documents sécurisés ont identifié le fichier comme malveillant (AllowSafeDocsOpen) Désactivé ($false) Désactivé ($false) Ce paramètre est lié aux documents sécurisés.

Paramètres de stratégie pièces jointes fiables

Pour configurer ces paramètres, consultez Configurer des stratégies de pièces jointes fiables dans Defender for Office 365.

Dans PowerShell, vous utilisez les applets de commande New-SafeAttachmentPolicy et Set-SafeAttachmentPolicy pour ces paramètres.

Remarque

Comme décrit précédemment, bien qu’il n’existe aucune stratégie de pièces jointes fiables par défaut, la stratégie de sécurité prédéfinie de protection intégrée fournit une protection des pièces jointes fiables à tous les destinataires qui ne sont pas définis dans la stratégie de sécurité prédéfinie Standard, la stratégie de sécurité prédéfinie Strict ou dans les stratégies de pièces jointes fiables personnalisées.

La valeur Par défaut dans la colonne personnalisée fait référence aux valeurs par défaut dans les nouvelles stratégies de pièces jointes fiables que vous créez. Les colonnes restantes indiquent (sauf indication contraire) les valeurs configurées dans les stratégies de sécurité prédéfinies correspondantes.

Les stratégies de quarantaine définissent ce que les utilisateurs sont en mesure de faire pour les messages mis en quarantaine et si les utilisateurs reçoivent des notifications de quarantaine. Pour plus d’informations, consultez Anatomie d’une stratégie de mise en quarantaine.

La stratégie nommée AdminOnlyAccessPolicy applique les fonctionnalités d’historique pour les messages qui ont été mis en quarantaine en tant que programmes malveillants, comme décrit dans le tableau ici.

Les utilisateurs ne peuvent pas publier leurs propres messages qui ont été mis en quarantaine en tant que programmes malveillants par des pièces jointes fiables, quelle que soit la façon dont la stratégie de quarantaine est configurée. Si la stratégie permet aux utilisateurs de publier leurs propres messages mis en quarantaine, les utilisateurs sont autorisés à demander la publication de leurs messages de programmes malveillants mis en quarantaine.

Nom de la fonctionnalité de sécurité Valeur par défaut dans custom Protection intégrée Standard Strict Commentaire
Réponse aux programmes malveillants inconnus des pièces jointes sécurisées (Activer et action) Désactivé (-Enable $false et -Action Block) Block (-Enable $true et -Action Block) Block (-Enable $true et -Action Block) Block (-Enable $true et -Action Block) Lorsque le paramètre Enable est $false, la valeur du paramètre Action n’a pas d’importance.
Stratégie de mise en quarantaine (QuarantineTag) AdminOnlyAccessPolicy AdminOnlyAccessPolicy AdminOnlyAccessPolicy AdminOnlyAccessPolicy
Rediriger la pièce jointe avec les pièces jointes détectées : Activer la redirection (Redirect et RedirectAddress) Non sélectionné et aucune adresse e-mail spécifiée. (-Redirect $false et RedirectAddress est vide) Non sélectionné et aucune adresse e-mail spécifiée. (-Redirect $false et RedirectAddress est vide) Non sélectionné et aucune adresse e-mail spécifiée. (-Redirect $false et RedirectAddress est vide) Non sélectionné et aucune adresse e-mail spécifiée. (-Redirect $false et RedirectAddress est vide) La redirection des messages n’est disponible que lorsque la valeur de réponse aux programmes malveillants inconnus pièces jointes fiables est Monitor (-Enable $true et -Action Allow).

Pour plus d’informations sur la protection des liens fiables, consultez Liens fiables dans Defender for Office 365.

Bien qu’il n’existe aucune stratégie de liens fiables par défaut, la stratégie de sécurité prédéfinie de protection intégrée fournit une protection des liens fiables à tous les destinataires qui ne sont pas définis dans la stratégie de sécurité prédéfinie Standard, la stratégie de sécurité prédéfinie Strict ou dans les stratégies de liens fiables personnalisées. Pour plus d’informations, consultez Stratégies de sécurité prédéfinies dans EOP et Microsoft Defender pour Office 365.

Pour configurer les paramètres de stratégie de liens fiables, consultez Configurer des stratégies de liens fiables dans Microsoft Defender pour Office 365.

Dans PowerShell, vous utilisez les paramètres de stratégie New-SafeLinksPolicy et Set-SafeLinksPolicy pour les liens fiables.

Remarque

La valeur par défaut dans la colonne personnalisée fait référence aux valeurs par défaut dans les nouvelles stratégies de liens fiables que vous créez. Les colonnes restantes indiquent (sauf indication contraire) les valeurs configurées dans les stratégies de sécurité prédéfinies correspondantes.

Nom de la fonctionnalité de sécurité Valeur par défaut dans custom Protection intégrée Standard Strict Commentaire
URL & cliquer sur paramètres de protection
Courrier électronique Les paramètres de cette section affectent la réécriture d’URL et le temps de protection des clics dans les messages électroniques.
Activé : Les liens fiables vérifient une liste de liens malveillants connus lorsque les utilisateurs cliquent sur des liens dans le courrier électronique. Les URL sont réécrites par défaut. (EnableSafeLinksForEmail) Sélectionné ($true) Sélectionné ($true) Sélectionné ($true) Sélectionné ($true)
Appliquer des liens fiables aux messages électroniques envoyés dans le organization (EnableForInternalSenders) Sélectionné ($true) Non sélectionné ($false) Sélectionné ($true) Sélectionné ($true)
Appliquer l’analyse d’URL en temps réel pour les liens suspects et les liens qui pointent vers des fichiers (ScanUrls) Sélectionné ($true) Sélectionné ($true) Sélectionné ($true) Sélectionné ($true)
Attendez la fin de l’analyse des URL avant de remettre le message (DeliverMessageAfterScan) Sélectionné ($true) Sélectionné ($true) Sélectionné ($true) Sélectionné ($true)
Ne réécritz pas d’URL, effectuez des vérifications via l’API Liens fiables uniquement (DisableURLRewrite) Sélectionné ($false)* Sélectionné ($true) Non sélectionné ($false) Non sélectionné ($false) * Dans les nouvelles stratégies de liens fiables que vous créez dans le portail Defender, ce paramètre est sélectionné par défaut. Dans les nouvelles stratégies de liens fiables que vous créez dans PowerShell, la valeur par défaut du paramètre DisableURLRewrite est $false.
Ne réécrire pas les URL suivantes dans l’e-mail (DoNotRewriteUrls) Vide Vide Vide Vide Nous n’avons aucune recommandation spécifique pour ce paramètre.

Remarque : les entrées de la liste « Ne pas réécrire les URL suivantes » ne sont pas analysées ou encapsulées par des liens fiables pendant le flux de messagerie. Signalez l’URL comme j’ai confirmé qu’elle est propre, puis sélectionnez Autoriser cette URL pour ajouter une entrée d’autorisation à la liste verte/bloquée du locataire afin que l’URL ne soit pas analysée ou encapsulée par des liens fiables pendant le flux de courrier et au moment du clic. Pour obtenir des instructions, consultez Signaler des URL correctes à Microsoft.
Teams Le paramètre de cette section affecte la durée de la protection des clics dans Microsoft Teams.
Activé : les liens fiables vérifient une liste de liens connus et malveillants lorsque les utilisateurs cliquent sur des liens dans Microsoft Teams. Les URL ne sont pas réécrites. (EnableSafeLinksForTeams) Sélectionné ($true) Sélectionné ($true) Sélectionné ($true) Sélectionné ($true)
Office 365 applications Le paramètre de cette section affecte la durée de la protection des clics dans les applications Office.
Activé : les liens fiables vérifient une liste de liens connus et malveillants lorsque les utilisateurs cliquent sur des liens dans les applications Microsoft Office. Les URL ne sont pas réécrites. (EnableSafeLinksForOffice) Sélectionné ($true) Sélectionné ($true) Sélectionné ($true) Sélectionné ($true) Utilisez des liens fiables dans les applications Office 365 de bureau et mobiles (iOS et Android) prises en charge. Pour plus d’informations, consultez Paramètres des liens fiables pour les applications Office.
Paramètres de protection au moment du clic
Suivre les clics utilisateur (TrackClicks) Sélectionné ($true) Sélectionné ($true) Sélectionné ($true) Sélectionné ($true)
Permettre aux utilisateurs de cliquer sur l’URL d’origine (AllowClickThrough) Sélectionné ($false)* Sélectionné ($true) Non sélectionné ($false) Non sélectionné ($false) * Dans les nouvelles stratégies de liens fiables que vous créez dans le portail Defender, ce paramètre est sélectionné par défaut. Dans les nouvelles stratégies de liens fiables que vous créez dans PowerShell, la valeur par défaut du paramètre AllowClickThrough est $false.
Afficher la personnalisation organization sur les pages de notification et d’avertissement (EnableOrganizationBranding) Non sélectionné ($false) Non sélectionné ($false) Non sélectionné ($false) Non sélectionné ($false) Nous n’avons aucune recommandation spécifique pour ce paramètre.

Avant d’activer ce paramètre, vous devez suivre les instructions fournies dans Personnaliser le thème Microsoft 365 pour votre organization charger le logo de votre entreprise.
Notification
Comment souhaitez-vous informer vos utilisateurs ? (CustomNotificationText et UseTranslatedNotificationText) Utiliser le texte de notification par défaut (vide et $false) Utiliser le texte de notification par défaut (vide et $false) Utiliser le texte de notification par défaut (vide et $false) Utiliser le texte de notification par défaut (vide et $false) Nous n’avons aucune recommandation spécifique pour ce paramètre.

Vous pouvez sélectionner Utiliser le texte de notification personnalisé (-CustomNotificationText "<Custom text>") pour entrer et utiliser le texte de notification personnalisé. Si vous spécifiez du texte personnalisé, vous pouvez également sélectionner Utiliser Microsoft Translator pour la localisation automatique (-UseTranslatedNotificationText $true) afin de traduire automatiquement le texte dans la langue de l’utilisateur.