Essayer Microsoft Defender pour Office 365

En tant que client Microsoft 365 existant, les pages Essais et évaluation du portail https://security.microsoft.com Microsoft 365 Defender vous permettent d’essayer les fonctionnalités de Microsoft Defender pour Office 365 Plan 2 avant d’acheter.

Avant d’essayer Defender pour Office 365 Plan 2, vous devez vous poser quelques questions clés :

• Dois-je observer passivement ce que Defender pour Office 365 Plan 2 peut faire pour moi (audit) ou dois-je Defender pour Office 365 Plan 2 prendre des mesures directes sur les problèmes qu’il détecte (bloquer) ?
• Quoi qu’il en soit, comment puis-je savoir ce que Defender pour Office 365 Plan 2 fait pour moi?
• Combien de temps ai-je avant de prendre la décision de conserver Defender pour Office 365 Plan 2?

Cet article vous aidera à répondre à ces questions afin que vous puissiez essayer Defender pour Office 365 Plan 2 de la manière qui répond le mieux aux besoins de votre organisation.

Pour obtenir un guide complémentaire sur l’utilisation de votre version d’évaluation, consultez Guide de l’utilisateur d’essai : Microsoft Defender pour Office 365.

Vue d’ensemble de Defender pour Office 365

Defender pour Office 365 aide les organisations à sécuriser leur entreprise en offrant une gamme complète de fonctionnalités. Pour plus d’informations, consultez Microsoft Defender pour Office 365.

Vous pouvez également en savoir plus sur Defender pour Office 365 dans ce guide interactif.

Regardez cette courte vidéo pour en savoir plus sur la façon d’en faire plus en moins de temps avec Microsoft Defender pour Office 365.

Fonctionnement des essais et des évaluations pour Defender pour Office 365

Politiques

Defender pour Office 365 inclut les fonctionnalités de Exchange Online Protection (EOP), qui sont présentes dans toutes les organisations Microsoft 365 avec des boîtes aux lettres Exchange Online, et des fonctionnalités exclusives à Defender pour Office 365.

Les fonctionnalités de protection d’EOP et de Defender pour Office 365 sont implémentées à l’aide de stratégies. Les stratégies qui sont exclusives à Defender pour Office 365 sont créées pour vous en fonction des besoins :

• Protection contre l’emprunt d’identité dans les stratégies anti-hameçonnage
• Pièces jointes sécurisées pour les messages électroniques
• Liens fiables pour les messages électroniques et Microsoft Teams
  • Les liens fiables explosent les URL pendant le flux de messagerie. Pour empêcher l’explosation d’URL spécifiques, utilisez les entrées d’autorisation pour les URL dans la liste verte/bloquée du locataire. Pour plus d’informations, consultez Gérer la liste verte/bloquée des locataires.
  • Les liens fiables n’encapsulent pas les liens URL dans les corps des messages électroniques.

Votre éligibilité à une évaluation ou à un essai signifie que vous disposez déjà d’EOP. Aucune stratégie EOP nouvelle ou spéciale n’est créée pour votre évaluation ou essai de Defender pour Office 365 Plan 2. Les stratégies EOP existantes dans votre organisation Microsoft 365 peuvent agir sur les messages (par exemple, envoyer des messages au dossier Email indésirable ou mettre en quarantaine) :

• Stratégies anti-programme malveillant
• Protection anti-courrier indésirable entrant
• Protection contre l’usurpation d’identité dans les stratégies anti-hameçonnage

Les stratégies par défaut pour ces fonctionnalités EOP sont toujours activées, s’appliquent à tous les destinataires et sont toujours appliquées en dernier après les stratégies personnalisées.

Mode audit et mode de blocage pour Defender pour Office 365

Voulez-vous que votre expérience Defender pour Office 365 soit active ou passive ? Voici les deux modes parmi lesquels vous pouvez sélectionner :

• Mode d’audit : des stratégies d’évaluation spéciales sont créées pour l’anti-hameçonnage (qui inclut la protection contre l’emprunt d’identité), les pièces jointes fiables et les liens fiables. Ces stratégies d’évaluation sont configurées pour détecter les menaces uniquement. Defender pour Office 365 détecte les messages dangereux pour la création de rapports, mais les messages ne sont pas suivis (par exemple, les messages détectés ne sont pas mis en quarantaine). Les paramètres de ces stratégies d’évaluation sont décrits dans la section Stratégies en mode audit plus loin dans cet article.

  Le mode Audit permet d’accéder à des rapports personnalisés pour les menaces détectées par Defender pour Office 365 sur la page Mode d’évaluation à l’adresse https://security.microsoft.com/atpEvaluation.

• Mode blocage : le modèle Standard pour les stratégies de sécurité prédéfinies est activé et utilisé pour la version d’évaluation, et les utilisateurs que vous spécifiez d’inclure dans la version d’évaluation sont ajoutés à la stratégie de sécurité prédéfinie Standard. Defender pour Office 365 détecte et prend des mesures sur les messages nuisibles (par exemple, les messages détectés sont mis en quarantaine).

  La sélection par défaut et recommandée consiste à étendre ces stratégies Defender pour Office 365 à tous les utilisateurs de l’organisation. Toutefois, pendant ou après la configuration de votre version d’évaluation, vous pouvez modifier l’attribution de stratégie à des utilisateurs, des groupes ou des domaines de messagerie spécifiques dans le portail Microsoft 365 Defender ou dans Exchange Online PowerShell.

  Le mode de blocage ne fournit pas de rapports personnalisés pour les menaces détectées par Defender pour Office 365. Au lieu de cela, les informations sont disponibles dans les rapports réguliers et les fonctionnalités d’investigation de Defender pour Office 365 Plan 2.

Un facteur clé dans le mode audit et le mode de blocage est la façon dont les e-mails sont remis à votre organisation Microsoft 365 :

• Les messages provenant d’Internet sont envoyés directement à Microsoft 365, mais votre abonnement actuel n’a que Exchange Online Protection (EOP) ou Defender pour Office 365 Plan 1.

  

  Dans ces environnements, vous pouvez sélectionner le mode audit ou le mode de blocage.

• Vous utilisez actuellement un service ou un appareil tiers pour la protection de vos boîtes aux lettres Microsoft 365. Les messages provenant d’Internet transitent par le service de protection avant de les remettre à votre organisation Microsoft 365. La protection Microsoft 365 est aussi faible que possible (elle n’est jamais complètement désactivée; par exemple, la protection contre les programmes malveillants est toujours appliquée).

  

  Dans ces environnements, vous pouvez sélectionner le mode audit uniquement. Vous n’avez pas besoin de modifier votre flux de messagerie (enregistrements MX).

Évaluation et essai pour Defender pour Office 365

Quelle est la différence entre l’évaluation et l’essai de Defender pour Office 365 Plan 2 ? N’est-ce pas la même chose ? Eh bien, oui et non. Voici ce que vous devez savoir :

• Si vous n’avez pas encore Defender pour Office 365 licences Plan 2 (par exemple, EOP autonome, Microsoft 365 E3, Microsoft 365 Business Premium ou Defender pour Office 365 Plan 1), vous pouvez commencer votre version d’évaluation à partir de la Page d’évaluation de Microsoft 365 à l’adresse https://security.microsoft.com/trialHorizontalHub ou page https://security.microsoft.com/atpEvaluationMode d’évaluation dans le portail Microsoft 365 Defender. À l’un ou l’autre emplacement, vous pouvez sélectionner le mode d’autorisation (stratégie de sécurité prédéfinie standard) ou le mode de blocage (stratégies d’évaluation) comme décrit précédemment.

  Quel que soit l’emplacement que vous utilisez, nous provisionnons automatiquement les licences d’évaluation Defender pour Office 365 Plan 2 requises lors de l’inscription. Les étapes manuelles ou externes pour obtenir et attribuer des licences Plan 2 dans le Centre d'administration Microsoft 365 ne sont plus nécessaires. Les licences d’essai sont valables pendant 90 jours :

  • Pour les organisations sans Defender pour Office 365 (par exemple, EOP autonome ou Microsoft 365 E3), les fonctionnalités (en particulier les stratégies) de Defender pour Office 365 sont disponibles pendant la période d’évaluation.

  • Les organisations avec Defender pour Office 365 Plan 1 (par exemple, des abonnements Microsoft 365 Business Premium ou des extensions) ont exactement les mêmes stratégies que les organisations avec Defender pour Office 365 Plan 2 (protection contre l’emprunt d’identité dans les stratégies anti-hameçonnage, les stratégies de pièces jointes fiables et les stratégies de liens fiables). Les stratégies de sécurité du mode d’autorisation (stratégie de sécurité prédéfinie standard) ou de blocage (stratégies d’évaluation) n’expirent pas ou cessent de fonctionner après 90 jours. Les fonctionnalités d’automatisation, d’investigation, de correction et d’éducation du Plan 2 qui ne sont pas présentes dans le plan 1 sont terminées après 90 jours.

• Si vous avez déjà Defender pour Office 365 Plan 2 (par exemple, dans le cadre d’un abonnement Microsoft 365 E5), vous ne verrez jamais Defender pour Office 365 sur la page d’évaluation de Microsoft 365 à l’adresse https://security.microsoft.com/trialHorizontalHub. Au lieu de cela, vous commencez l’évaluation de Defender pour Office 365 Plan sur sur la page Mode d’évaluation à l’emplacement https://security.microsoft.com/atpEvaluation en mode d’autorisation (stratégie de sécurité prédéfinie standard) ou en mode bloquant (stratégies d’évaluation).

  Par définition, ces organisations n’ont pas besoin de licences d’essai de Defender pour Office 365 Plan 2, de sorte que leurs évaluations sont illimitées.

Les informations de la liste précédente sont résumées dans le tableau suivant :

Organisation	Modes disponibles	Inscrivez-vous à partir du Page d’évaluation ?	Inscrivez-vous à partir du Page d’essai ?	Évaluation point
EOP autonome (aucune boîte aux lettres Exchange Online) Microsoft 365 E3	Mode Audit Mode blocage	Oui	Oui	90 jours
Microsoft Defender pour Office 365 Plan 1 Microsoft 365 Business Premium	Mode Audit Mode blocage	Oui	Oui	Illimité*
Microsoft 365 E5	Mode Audit Mode blocage	Oui	Non	Illimité

^* Les stratégies de sécurité du mode d’autorisation (stratégie de sécurité prédéfinie standard) ou de blocage (stratégies d’évaluation) n’expirent pas ou cessent de fonctionner après 90 jours. Seules les fonctionnalités d’automatisation, d’investigation, de correction et d’éducation qui sont exclusives à Defender pour Office 365 Plan 2 cessent de fonctionner après 90 jours.

Configurer une évaluation ou un essai en mode audit

N’oubliez pas que lorsque vous évaluez Defender pour Office 365 en mode audit, des stratégies d’évaluation spéciales sont créées afin que Defender pour Office 365 puissiez détecter les menaces. Les paramètres de ces stratégies d’évaluation sont décrits dans la section Stratégies en mode audit plus loin dans cet article.

1. Démarrez l’évaluation dans l’un des emplacements disponibles dans le portail Microsoft 365 Defender à l’adresse https://security.microsoft.com. Par exemple :

   • Dans la bannière en haut de la page de fonctionnalités Defender pour Office 365, cliquez sur Démarrer l’essai gratuit.
   • Dans la page d’évaluation de Microsoft 365 à l’adresse https://security.microsoft.com/trialHorizontalHub, recherchez et sélectionnez Defender pour Office 365.
   • Dans la page Mode d’évaluation à l’emplacement https://security.microsoft.com/atpEvaluation, cliquez sur Démarrer l’évaluation.

2. Dans la boîte de dialogue Activer la protection , sélectionnez Non, je veux uniquement créer des rapports, puis cliquez sur Continuer.

3. Dans la boîte de dialogue Sélectionner les utilisateurs que vous souhaitez inclure , configurez les paramètres suivants :

   • Tous les utilisateurs : il s’agit de l’option par défaut et recommandée.

   • Sélectionner des utilisateurs : si vous sélectionnez cette option, vous devez sélectionner les destinataires internes auxquels l’évaluation s’applique :

     • Utilisateurs : boîtes aux lettres, utilisateurs de messagerie ou contacts de messagerie spécifiés.
     • Groupes :
       • Membres des groupes de distribution spécifiés ou des groupes de sécurité à extension messagerie (les groupes de distribution dynamiques ne sont pas pris en charge).
       • Groupes Microsoft 365 spécifiée
       • Domaines : tous les destinataires des domaines acceptés spécifiés dans votre organisation.

     Cliquez dans la zone appropriée, commencez à taper une valeur et sélectionnez la valeur souhaitée dans les résultats. Répétez cette opération autant de fois que nécessaire. Pour supprimer une valeur existante, cliquez sur En regard de la valeur.

     Pour les utilisateurs ou les groupes, vous pouvez utiliser la plupart des identificateurs (nom, nom d’affichage, alias, adresse e-mail, nom de compte, etc.), mais le nom d'affichage correspondant apparaît dans les résultats. Pour les utilisateurs, entrez un astérisque (*) seul pour afficher toutes les valeurs disponibles.

   Remarque

   Vous pouvez modifier ces sélections une fois que vous avez terminé la configuration de la version d’évaluation, comme décrit dans la section Gérer votre version d’évaluation .

   Plusieurs types de conditions ou exceptions différentes ne sont pas cumulatives ; elles sont inclusives. L’évaluation ou la version d’évaluation est appliquée uniquement aux destinataires qui correspondent à tous les filtres de destinataires spécifiés. Par exemple, vous configurez une condition avec les valeurs suivantes :

   • Utilisateurs : romain@contoso.com
   • Groupes : Cadres

   L’évaluation ou l’essai ne s’applique qu’àromain@contoso.com s’il est également membre du groupe Cadres. S’il n’est pas membre du groupe, l’évaluation ou le procès ne lui est pas appliqué.

   De même, si vous utilisez le même filtre de destinataires comme exception, l’évaluation ou la version d’évaluation n’est pas appliquée uniquement s’il romain@contoso.com est également membre du groupe Cadres. S’il n’est pas membre du groupe, l’évaluation ou le procès s’applique toujours à lui.

   Lorsque vous avez terminé, cliquez sur Continuer.

4. Dans la boîte de dialogue Aidez-nous à comprendre votre flux de messagerie , configurez les options suivantes :

   • L’une des options suivantes est automatiquement sélectionnée en fonction de notre détection de l’enregistrement MX pour votre domaine :

     • J’utilise un fournisseur de services tiers et/ou local : l’enregistrement MX de votre domaine pointe ailleurs que Microsoft 365. Cette sélection nécessite les paramètres supplémentaires suivants après avoir cliqué sur Suivant :

       1. Dans la boîte de dialogue Paramètres tiers ou locaux , configurez les paramètres suivants :

          • Sélectionnez un fournisseur de services tiers : sélectionnez l’une des valeurs suivantes :

            • Barracuda
            • Ironport
            • Mimecast
            • Proofpoint
            • Sophos
            • Symantec
            • Trend Micro
            • Other

          • Connecteur auquel appliquer cette évaluation : sélectionnez le connecteur utilisé pour le flux de messagerie dans Microsoft 365.

            Le filtrage amélioré pour les connecteurs (également appelé skip listing) est automatiquement configuré sur le connecteur que vous spécifiez.

            Lorsqu’un service ou un appareil tiers se trouve devant le courrier électronique entrant dans Microsoft 365, le filtrage amélioré pour les connecteurs identifie correctement la source des messages Internet et améliore considérablement la précision de la pile de filtrage Microsoft (en particulier le renseignement sur l’usurpation d’identité, ainsi que les fonctionnalités post-violation dans l’Explorateur de menaces et la réponse d’investigation & automatisée (AIR).

          • Répertoriez chaque adresse IP de passerelle par laquelle vos messages passent : ce paramètre n’est disponible que si vous avez sélectionné Autre pour Sélectionner un fournisseur de services tiers. Entrez une liste séparée par des virgules des adresses IP utilisées par le service de protection ou l’appareil tiers pour envoyer des messages dans Microsoft 365.

          Lorsque vous avez terminé, cliquez sur Suivant.

       2. Dans la boîte de dialogue Règles de flux de messagerie Exchange, déterminez si vous avez besoin d’une règle de flux de courrier Exchange Online (également appelée règle de transport) qui ignore le filtrage du courrier indésirable pour les messages entrants provenant du service ou de l’appareil de protection tiers.

          Il est probable que vous ayez déjà une règle de flux de courrier SCL=-1 dans Exchange Online qui permet à tous les messages entrants du service de protection de contourner (la plupart) le filtrage Microsoft 365. De nombreux services de protection encouragent cette méthode de règle de flux de courrier indésirable (SCL) pour les clients Microsoft 365 qui utilisent leurs services.

          Comme expliqué à l’étape précédente, le filtrage amélioré pour les connecteurs est automatiquement configuré sur le connecteur que vous spécifiez comme source de courrier provenant du service de protection.

          L’activation du filtrage amélioré pour les connecteurs sans règle SCL=-1 pour les messages entrants provenant du service de protection améliore considérablement les fonctionnalités de détection des fonctionnalités de protection EOP, telles que l’intelligence contre l’usurpation d’identité, et peut avoir un impact sur la remise des messages nouvellement détectés (par exemple, passer au dossier Email indésirable ou à la mise en quarantaine). Cet impact est limité aux stratégies EOP; Comme expliqué précédemment, les stratégies Defender pour Office 365 sont créées en mode audit.

          Pour créer une règle de flux de courrier SCL=-1 ou passer en revue vos règles existantes, cliquez sur le bouton Accéder au Centre d’administration Exchange dans la page. Pour plus d’informations, consultez Utiliser des règles de flux de messagerie pour définir le niveau de confiance du courrier indésirable (SCL) dans les messages dans Exchange Online.

          Lorsque vous avez terminé, cliquez sur Terminer.

     • J’utilise uniquement Microsoft Exchange Online : les enregistrements MX de votre domaine pointent vers Microsoft 365. Il ne reste plus rien à configurer. Cliquez donc sur Terminer.

   • Partager des données avec Microsoft : cette option n’est pas sélectionnée par défaut, mais vous pouvez activer la case à cocher si vous le souhaitez.

5. Une boîte de dialogue de progression s’affiche au fur et à mesure que votre évaluation est configurée. Une fois la configuration terminée, cliquez sur Terminé.

Configurer une évaluation ou une version d’évaluation en mode bloquant

N’oubliez pas que lorsque vous essayez d’Defender pour Office 365 en mode bloquant, la sécurité prédéfinie Standard est activée et les utilisateurs spécifiés (certains ou tout le monde) sont inclus dans la stratégie de sécurité prédéfinie Standard. Pour plus d’informations sur la stratégie de sécurité prédéfinie Standard, consultez Stratégies de sécurité prédéfinies.

1. Démarrez la version d’évaluation dans l’un des emplacements disponibles dans le portail Microsoft 365 Defender à l’adresse https://security.microsoft.com. Par exemple :

   • Dans la bannière en haut de la page de fonctionnalités Defender pour Office 365, cliquez sur Démarrer l’essai gratuit.
   • Dans la page d’évaluation de Microsoft 365 à l’adresse https://security.microsoft.com/trialHorizontalHub, recherchez et sélectionnez Defender pour Office 365.
   • Dans la page Mode d’évaluation à l’emplacement https://security.microsoft.com/atpEvaluation, cliquez sur Démarrer l’évaluation.

2. Dans la boîte de dialogue Activer la protection , sélectionnez Oui, protéger mon organisation en bloquant les menaces, puis cliquez sur Continuer.

3. Dans la boîte de dialogue Sélectionner les utilisateurs que vous souhaitez inclure , configurez les paramètres suivants :

   • Tous les utilisateurs : il s’agit de l’option par défaut et recommandée.

   • Sélectionner des utilisateurs : si vous sélectionnez cette option, vous devez sélectionner les destinataires internes auxquels s’applique la version d’évaluation :

     • Utilisateurs : boîtes aux lettres, utilisateurs de messagerie ou contacts de messagerie spécifiés.
     • Groupes :
       • Membres des groupes de distribution spécifiés ou des groupes de sécurité à extension messagerie (les groupes de distribution dynamiques ne sont pas pris en charge).
       • Groupes Microsoft 365 spécifiée
     • Domaines : tous les destinataires des domaines acceptés spécifiés dans votre organisation.

     Cliquez dans la zone appropriée, commencez à taper une valeur et sélectionnez la valeur souhaitée dans les résultats. Répétez cette opération autant de fois que nécessaire. Pour supprimer une valeur existante, cliquez sur En regard de la valeur.

     Pour les utilisateurs ou les groupes, vous pouvez utiliser la plupart des identificateurs (nom, nom d’affichage, alias, adresse e-mail, nom de compte, etc.), mais le nom d'affichage correspondant apparaît dans les résultats. Pour les utilisateurs, entrez un astérisque (*) seul pour afficher toutes les valeurs disponibles.

   Remarque

   Vous pouvez modifier ces sélections une fois que vous avez terminé la configuration de la version d’évaluation, comme décrit dans la section Gérer votre version d’évaluation .

   Plusieurs types de conditions ou exceptions différentes ne sont pas cumulatives ; elles sont inclusives. L’évaluation ou la version d’évaluation est appliquée uniquement aux destinataires qui correspondent à tous les filtres de destinataires spécifiés. Par exemple, vous configurez une condition avec les valeurs suivantes :

   • Utilisateurs : romain@contoso.com
   • Groupes : Cadres

   L’évaluation ou l’essai ne s’applique qu’àromain@contoso.com s’il est également membre du groupe Cadres. S’il n’est pas membre du groupe, l’évaluation ou le procès ne lui est pas appliqué.

   De même, si vous utilisez le même filtre de destinataires comme exception, l’évaluation ou la version d’évaluation n’est pas appliquée uniquement s’il romain@contoso.com est également membre du groupe Cadres. S’il n’est pas membre du groupe, l’évaluation ou le procès s’applique toujours à lui.

   Lorsque vous avez terminé, cliquez sur Continuer.

4. Une boîte de dialogue de progression s’affiche au fur et à mesure que votre évaluation est configurée. Une fois l’installation terminée, cliquez sur Terminé.

Gérer votre évaluation ou version d’évaluation de Defender pour Office 365

Une fois que vous avez configuré votre évaluation ou version d’évaluation en mode audit ou blocage, la page Mode d’évaluation sur https://security.microsoft.com/atpEvaluation est votre emplacement central pour plus d’informations sur l’essai Defender pour Office 365 Plan 2.

1. Dans le portail Microsoft 365 Defender à l’adresse https://security.microsoft.com, accédez à Email &règles stratégies &> de collaborationStratégies de> menace>, sélectionnez Mode d’évaluation dans la section Autres. Ou, pour accéder directement à la page d’évaluation Microsoft Defender pour Office 365, utilisez https://security.microsoft.com/atpEvaluation.

2. Dans la page d’évaluation Microsoft Defender pour Office 365, vous pouvez effectuer les tâches suivantes :

   • Cliquez sur Acheter un abonnement payant pour acheter Defender pour Office 365 Plan 2.

   • Cliquez sur Gérer. Dans le menu volant d’évaluation Microsoft Defender pour Office 365 qui s’affiche, vous pouvez effectuer les tâches suivantes :

     • Modifiez les personnes à qui s’applique l’évaluation ou la version d’évaluation comme décrit précédemment dans configurer une évaluation ou un essai en mode audit et Configurer une évaluation ou un essai en mode blocage.

     • Pour passer du mode audit (stratégies d’évaluation) au mode de blocage (stratégie de sécurité prédéfinie standard), cliquez sur Convertir en protection standard, puis cliquez sur Continuer dans la boîte de dialogue qui semble être redirigée vers l’Assistant Appliquer la protection standard de la page Stratégies de sécurité prédéfinies . Les destinataires inclus et exclus existants sont copiés. Pour plus d’informations, consultez Utiliser le portail Microsoft 365 Defender pour affecter des stratégies de sécurité prédéfinies Standard et Strict aux utilisateurs.

       Remarques :

       • Les stratégies de la stratégie de sécurité prédéfinie Standard ont une priorité plus élevée que les stratégies d’évaluation, ce qui signifie que les stratégies de la sécurité prédéfinie Standard sont toujours appliquées avant les stratégies d’évaluation, même si les deux sont présentes et activées. Pour désactiver les stratégies d’évaluation, utilisez le bouton Désactiver .
       • Il n’existe aucun moyen automatique de passer du mode blocage au mode audit. Les étapes manuelles sont les suivantes :
         1. Désactivez la stratégie de sécurité prédéfinie Standard dans la page Stratégies de sécurité prédéfinies .
         2. Après avoir cliqué sur Gérer sur la page d’évaluation Microsoft Defender pour Office 365, vérifiez la présence du bouton Désactiver, qui indique que les stratégies d’évaluation sont activées. Si le bouton Activer s’affiche , cliquez dessus pour activer les stratégies d’évaluation.
         3. Vérifiez les utilisateurs auxquels l’évaluation s’applique.

     • Pour désactiver les stratégies d’évaluation, cliquez sur Désactiver. Pour les réactiver, cliquez sur Activer.

     Lorsque vous avez terminé dans le menu volant, cliquez sur Enregistrer.

Rapports d’évaluation ou d’essai de Defender pour Office 365

Cette section décrit les rapports disponibles en mode audit et en mode bloquant.

Rapports pour le mode de blocage

En mode bloquant, les rapports suivants affichent les détections par Defender pour Office 365 :

• Vue Flux de courrier pour le rapport d’état du flux de courrier :

  • Les messages détectés en tant qu’emprunt d’identité utilisateur ou emprunt d’identité de domaine par des stratégies anti-hameçonnage apparaissent dans le bloc d’emprunt d’identité.
  • Les messages détectés lors de la détonation de fichier ou d’URL par des stratégies de pièces jointes fiables ou de liens fiables apparaissent dans le bloc Détonation.

• Rapport d’état de la protection contre les menaces :

  • Afficher les données par vue d’ensemble :

    Vous pouvez filtrer la plupart des vues en fonction de la valeur MDO Protégé par pour voir les effets de Defender pour Office 365.

  • Afficher les données par Email > répartition des phishs et des graphiques par technologie de détection

    • Les messages détectés par les campagnes s’affichent dans Campagne.
    • Les messages détectés par les pièces jointes fiables apparaissent dans La détonation de fichier et la réputation de détonation de fichier.
    • Les messages détectés par la protection contre l’emprunt d’identité de l’utilisateur dans les stratégies anti-hameçonnage s’affichent dans Domaine d’emprunt d’identité, Utilisateur d’emprunt d’identité et Emprunt d’identité De veille aux boîtes aux lettres.
    • Les messages détectés par les liens fiables apparaissent dans la détonation d’URL et la réputation de détonation d’URL.

  • Afficher les données par Email > Répartition des programmes malveillants et des graphiques par technologie de détection

    • Les messages détectés par les campagnes s’affichent dans Campagne.
    • Les messages détectés par les pièces jointes fiables apparaissent dans La détonation de fichier et la réputation de détonation de fichier.
    • Les messages détectés par les liens fiables apparaissent dans la détonation d’URL et la réputation de détonation d’URL.

  • Afficher les données par Email > répartition du courrier indésirable et des graphiques par technologie de détection

    Les messages détectés par les liens fiables apparaissent dans la réputation malveillante de l’URL.

  • Répartition du graphique par type de stratégie

    Les messages détectés par les pièces jointes fiables s’affichent dans pièces jointes fiables

  • Afficher les données par programme malveillant de contenu >

    Les fichiers malveillants détectés par les pièces jointes sécurisées pour SharePoint, OneDrive et Microsoft Teams apparaissent dans la détonation MDO.

  • Rapport sur les principaux expéditeurs et destinataires

    Afficher les données pour les principaux destinataires de programmes malveillants (MDO) et Afficher les données pour les principaux destinataires de hameçonnage (MDO).

  • Rapport de protection des URL

Rapports pour le mode audit

En mode audit, les rapports suivants affichent les détections par Defender pour Office 365 :

• Le rapport d’état de la protection contre les menaces contient Évaluation : Oui/Non comme propriété filtrable dans les vues suivantes :

  • Afficher les données par Email > répartition des phishs et des graphiques par technologie de détection
  • Afficher les données par Email > Répartition des programmes malveillants et des graphiques par technologie de détection
  • Afficher les données par Email > répartition du courrier indésirable et des graphiques par technologie de détection

• L’Explorateur de menaces affiche la bannière suivante dans les détails de la détection des messages sous l’onglet Analyse des pièces jointes incorrectes, url de courrier indésirable + programme malveillant, URL hameçonnage et messages d’emprunt d’identité détectés par l’évaluation Defender pour Office 365 afficher la bannière suivante dans les détails de l’entrée :

  

La page d’évaluation Microsoft Defender pour Office 365 à l’adresse https://security.microsoft.com/atpEvaluation regroupe les rapports pour les stratégies de l’évaluation :

• Liens sûrs
• Pièces jointes fiables
• Protection contre l’emprunt d’identité dans les stratégies anti-hameçonnage

Par défaut, les graphiques affichent les données des 30 derniers jours, mais vous pouvez filtrer la plage de dates en cliquant sur 30 jours et sélection parmi les valeurs supplémentaires suivantes inférieures à 30 jours :

• 24 heures
• 7 jours
• 14 jours
• Plage de dates personnalisée

Vous pouvez cliquer sur Téléchargez pour télécharger les données du graphique dans un fichier .csv.

Autorisations requises

Les autorisations suivantes sont requises dans Azure AD pour configurer une évaluation ou une version d’évaluation de Defender pour Microsoft 365 :

• Créez, modifiez ou supprimez une évaluation ou une version d’évaluation : Administrateur de la sécurité ou Administrateur général.
• Affichez les stratégies et les rapports d’évaluation en mode audit : Administrateur de la sécurité ou Lecteur sécurité.

Pour plus d’informations sur les autorisations Azure AD dans le portail Microsoft 365 Defender, consultez Rôles Azure AD dans le portail Microsoft 365 Defender

Forum aux questions

Q : Dois-je obtenir ou activer manuellement des licences d’évaluation ?

R : Non. La version d’évaluation provisionne automatiquement Defender pour Office 365 licences Plan 2 si vous en avez besoin, comme décrit précédemment.

Q : Comment faire prolonger la version d’évaluation ?

R : Consultez Étendre votre version d’évaluation.

Q : Qu’advient-il de mes données après l’expiration de la version d’évaluation ?

R : Une fois votre version d’évaluation expirée, vous aurez accès à vos données d’évaluation (données provenant des fonctionnalités de Defender pour Office 365 que vous n’aviez pas auparavant) pendant 30 jours. Après cette période de 30 jours, toutes les stratégies et données associées à l’essai Defender pour Office 365 seront supprimées.

Q : Combien de fois puis-je utiliser l’essai Defender pour Office 365 dans mon organisation ?

R : Un maximum de 2 fois. Si votre première version d’évaluation expire, vous devez attendre au moins 30 jours après la date d’expiration avant de pouvoir vous inscrire à nouveau à la version d’évaluation Defender pour Office 365. Après votre deuxième version d’évaluation, vous ne pouvez pas vous inscrire à un autre essai.

Q : En mode audit, existe-t-il des scénarios où Defender pour Office 365 agiront sur les messages ?

R : Oui. Personne dans un programme ou une référence SKU ne peut désactiver ou contourner l’action sur les messages classés comme des programmes malveillants ou des hameçonnages à haut niveau de confiance par le service.

En mode audit, la protection contre l’usurpation d’identité dans EOP prend également des mesures sur les messages. Pour empêcher la protection contre l’usurpation d’agir sur les messages, créez une règle de flux de messagerie Exchange (également appelée règle de transport) dans laquelle le courrier entrant contourne tous les types de filtrage qui peuvent être contournés (y compris la protection contre l’usurpation d’identité). Pour obtenir des instructions, consultez Utiliser des règles de flux de messagerie pour définir le niveau de confiance du courrier indésirable (SCL) dans les messages dans Exchange Online.

Q : Dans quel ordre les stratégies sont-elles évaluées ?

R : Consultez Ordre de priorité pour connaître les stratégies de sécurité prédéfinies et d’autres stratégies.

Référence

Paramètres de stratégie associés aux essais Defender pour Office 365

Stratégies en mode audit

Avertissement

N’essayez pas de créer, de modifier ou de supprimer les stratégies de sécurité individuelles associées à l’évaluation de Defender pour Office 365. La seule méthode prise en charge pour créer les stratégies de sécurité individuelles pour l’évaluation consiste à démarrer l’évaluation ou la version d’évaluation en mode audit dans le portail Microsoft 365 Defender pour la première fois.

Comme décrit précédemment, lorsque vous choisissez le mode d’audit pour votre évaluation ou essai, les stratégies d’évaluation avec les paramètres requis pour observer les messages sans prendre d’action sont automatiquement créées.

Pour afficher ces stratégies et leurs paramètres, exécutez la commande suivante dans Exchange Online PowerShell :

Write-Output -InputObject ("`r`n"*3),"Evaluation anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"; Write-Output -InputObject ("`r`n"*3),"Evaluation Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"; Write-Output -InputObject ("`r`n"*3),"Evaluation Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"

Les paramètres sont également décrits dans les tableaux suivants.

Paramètres de stratégie d’évaluation anti-hameçonnage

Paramètre	Valeur
Nom	Stratégie d’évaluation
AdminDisplayName	Stratégie d’évaluation
AuthenticationFailAction	MoveToJmf
Activé	Vrai
EnableFirstContactSafetyTips	Faux
EnableMailboxIntelligence	Vrai
EnableMailboxIntelligenceProtection	Vrai
EnableOrganizationDomainsProtection	Faux
EnableSimilarDomainsSafetyTips	Faux
EnableSimilarUsersSafetyTips	Faux
EnableSpoofIntelligence	Vrai
EnableSuspiciousSafetyTip	Faux
EnableTargetedDomainsProtection	Faux
EnableTargetedUserProtection	Faux
EnableUnauthenticatedSender	Vrai
EnableUnusualCharactersSafetyTips	Faux
EnableViaTag	Vrai
ExcludedDomains	{}
ExcludedSenders	{}
ImpersonationProtectionState	Manual
IsDefault	Faux
MailboxIntelligenceProtectionAction	NoAction
MailboxIntelligenceProtectionActionRecipients	{}
MailboxIntelligenceQuarantineTag	DefaultFullAccessPolicy
PhishThresholdLevel	1
PolicyTag	Blanc
RecommendedPolicyType	Évaluation
SpoofQuarantineTag	DefaultFullAccessPolicy
TargetedDomainActionRecipients	{}
TargetedDomainProtectionAction	NoAction
TargetedDomainQuarantineTag	DefaultFullAccessPolicy
TargetedDomainsToProtect	{}
TargetedUserActionRecipients	{}
TargetedUserProtectionAction	NoAction
TargetedUserQuarantineTag	DefaultFullAccessPolicy
TargetedUsersToProtect	{}

Paramètres de stratégie d’évaluation des pièces jointes sécurisées

Paramètre	Valeur
Nom	Stratégie d’évaluation
Action	Autoriser
ActionOnError	Vrai
AdminDisplayName	Stratégie d’évaluation
ConfidenceLevelThreshold	80
Activer	Vrai
EnableOrganizationBranding	Faux
IsBuiltInProtection	Faux
IsDefault	Faux
OperationMode	Delay
QuarantineTag	AdminOnlyAccessPolicy
RecommendedPolicyType	Évaluation
Rediriger	Faux
RedirectAddress	Blanc
ScanTimeout	30

Paramètres de stratégie d’évaluation des liens fiables

Paramètre	Valeur
Nom	Stratégie d’évaluation
AdminDisplayName	Stratégie d’évaluation
AllowClickThrough	Vrai
CustomNotificationText	Blanc
DeliverMessageAfterScan	Vrai
DisableUrlRewrite	Vrai
DoNotRewriteUrls	{}
EnableForInternalSenders	Faux
EnableOrganizationBranding	Faux
EnableSafeLinksForEmail	Vrai
EnableSafeLinksForOffice	Faux
EnableSafeLinksForTeams	Faux
IsBuiltInProtection	Faux
LocalizedNotificationTextList	{}
RecommendedPolicyType	Évaluation
ScanUrls	Vrai
TrackClicks	Vrai

Utiliser PowerShell pour configurer les conditions de destinataire et les exceptions à l’évaluation en mode audit

Une règle associée aux stratégies d’évaluation Defender pour Office 365 contrôle les conditions de destinataire et les exceptions à l’évaluation.

Pour afficher la règle associée à l’évaluation, exécutez la commande suivante dans Exchange Online PowerShell :

Get-ATPEvaluationRule

Pour utiliser Exchange Online PowerShell afin de modifier les personnes à qui l’évaluation s’applique, utilisez la syntaxe suivante :

Set-ATPEvaluationRule -Identity "Evaluation Rule" -SentTo <"user1","user2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -SentToMemberOf <"group1","group2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null> -RecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null>

Cet exemple configure des exceptions de l’évaluation pour les boîtes aux lettres d’opérations de sécurité (SecOps) spécifiées.

Set-ATPEvaluationRule -Identity "Evaluation Rule" -ExceptIfSentTo "SecOps1","SecOps2"

Utiliser PowerShell pour activer ou désactiver l’évaluation en mode audit

Pour activer ou désactiver l’évaluation en mode audit, vous activez ou désactivez la règle associée à l’évaluation. La valeur de la propriété State de la règle d’évaluation indique si la règle est Activée ou Désactivée.

Exécutez la commande suivante pour déterminer si l’évaluation est actuellement activée ou désactivée :

Get-ATPEvaluationRule -Identity "Evaluation Rule" | Format-Table Name,State

Exécutez la commande suivante pour désactiver l’évaluation si elle est activée :

Disable-ATPEvaluationRule -Identity "Evaluation Rule"

Exécutez la commande suivante pour activer l’évaluation si elle est désactivée :

Enable-ATPEvaluationRule -Identity "Evaluation Rule"

Stratégies et règles en mode bloc

Comme décrit précédemment, lorsque vous choisissez le mode de blocage pour votre version d’évaluation, les stratégies sont créées à l’aide du modèle Standard pour les stratégies de sécurité prédéfinies.

Pour utiliser Exchange Online PowerShell afin d’afficher les stratégies de sécurité individuelles associées à la stratégie de sécurité prédéfinie Standard, et pour utiliser Exchange Online PowerShell pour afficher et configurer les conditions de destinataire et les exceptions pour la stratégie de sécurité prédéfinie, consultez Stratégies de sécurité prédéfinies dans Exchange Online PowerShell.