Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Conseil
Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender pour Office 365 Plan 2 ? Utilisez la version d’évaluation de 90 jours de Defender pour Office 365 dans le hub d’évaluation du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai sur Essayer Microsoft Defender pour Office 365.
Dans toutes les organisations disposant de boîtes aux lettres cloud, le vidage automatique zéro heure (ZAP) détecte et neutralise rétroactivement les messages malveillants d’hameçonnage, de courrier indésirable ou de programme malveillant qui ont été remis aux boîtes aux lettres cloud. ZAP ne fonctionne pas dans les boîtes aux lettres locales protégées par Microsoft 365.
Remarque
ZAP est également en mesure de détecter rétroactivement les messages de conversation malveillants existants dans Microsoft Teams.
Les signatures de courrier indésirable et de programme malveillant dans le service sont mises à jour en temps réel sur une base quotidienne. Toutefois, les utilisateurs peuvent toujours recevoir des messages malveillants. Par exemple :
- Programme malveillant zero-day indétectable pendant le flux de messagerie.
- Contenu armé après la remise aux utilisateurs.
ZAP résout ces problèmes en surveillant en permanence les mises à jour des signatures de courrier indésirable et de programmes malveillants dans le service, et est transparent pour les utilisateurs. ZAP recherche et effectue une action automatisée sur les messages qui se trouvent déjà dans la boîte aux lettres d’un utilisateur. La recherche de ZAP est limitée aux 48 dernières heures de courrier électronique remis. Les utilisateurs ne sont pas avertis si ZAP détecte et déplace un message.
Regardez cette courte vidéo pour découvrir comment ZAP dans Microsoft Defender pour Office 365 détecte et neutralise automatiquement les menaces dans les e-mails.
Vidage automatique de zéro heure (ZAP) pour les messages électroniques
Vidage automatique de zéro heure (ZAP) pour les programmes malveillants
Pour les messages lus ou non lus qui contiennent des programmes malveillants après la remise, ZAP met en quarantaine le message qui contient la pièce jointe du programme malveillant. Par défaut, seuls les administrateurs peuvent afficher et gérer les messages malveillants mis en quarantaine. Toutefois, les administrateurs peuvent créer et utiliser des stratégies de mise en quarantaine pour définir ce que les utilisateurs peuvent faire pour les messages mis en quarantaine, et si les utilisateurs reçoivent des notifications de mise en quarantaine. Pour plus d’informations, consultez Anatomie d’une stratégie de mise en quarantaine.
Remarque
Les utilisateurs ne peuvent pas publier leurs propres messages mis en quarantaine en tant que programmes malveillants, quelle que soit la façon dont la stratégie de quarantaine est configurée. Si la stratégie est configurée pour que les utilisateurs libèrent ces messages mis en quarantaine, les utilisateurs sont autorisés à demander la publication de ces messages mis en quarantaine.
ZAP pour les programmes malveillants est activé par défaut dans les stratégies anti-programme malveillant. Pour plus d’informations, consultez Configurer des stratégies anti-programme malveillant.
Vidage automatique zéro heure (ZAP) pour le hameçonnage
Pour les messages lus ou non identifiés comme hameçonnage après remise ( hameçonnage à niveau de confiance non élevé), le résultat ZAP dépend de l’action configurée pour un verdict de hameçonnage dans la stratégie anti-courrier indésirable applicable. Les actions disponibles et les résultats POSSIBLES DE ZAP sont décrits dans la liste suivante :
Ajouter X-Header, Ajouter une ligne d’objet avec du texte, Rediriger le message vers l’adresse e-mail, Supprimer le message : ZAP n’effectue aucune action sur le message.
Déplacer le message vers Email de courrier indésirable : ZAP déplace le message vers le dossier Email indésirable.
Cette action est la valeur par défaut pour un verdict de hameçonnage dans la stratégie anti-courrier indésirable par défaut et les stratégies anti-courrier indésirable personnalisées que vous créez dans PowerShell.
Message de mise en quarantaine : ZAP met le message en quarantaine.
Cette action est la valeur par défaut pour un verdict de hameçonnage dans les stratégies de sécurité prédéfinies Standard et Strict, et dans les stratégies anti-courrier indésirable personnalisées que vous créez dans le portail Defender.
Par défaut, ZAP pour le hameçonnage est activé dans les stratégies anti-courrier indésirable.
Pour plus d’informations sur la configuration des verdicts de filtrage du courrier indésirable, consultez Configurer des stratégies anti-courrier indésirable.
Vidage automatique de zéro heure (ZAP) pour le hameçonnage à haute confiance
Pour les messages lus ou non lus identifiés comme hameçonnage à haut niveau de confiance après la remise, ZAP met le message en quarantaine. Par défaut, seuls les administrateurs peuvent afficher et gérer les messages d’hameçonnage à haut niveau de confiance mis en quarantaine. Toutefois, les administrateurs peuvent créer et utiliser des stratégies de mise en quarantaine pour définir ce que les utilisateurs peuvent faire pour les messages mis en quarantaine, et si les utilisateurs reçoivent des notifications de mise en quarantaine. Pour plus d’informations, consultez Anatomie d’une stratégie de mise en quarantaine.
Remarque
Les utilisateurs ne peuvent pas publier leurs propres messages mis en quarantaine en tant qu’hameçonnage à haut niveau de confiance, quelle que soit la façon dont la stratégie de quarantaine est configurée. Si la stratégie est configurée pour que les utilisateurs libèrent ces messages mis en quarantaine, les utilisateurs sont autorisés à demander la publication de ces messages mis en quarantaine.
ZAP pour l’hameçonnage à haut niveau de confiance est activé par défaut. Pour plus d’informations, consultez Sécuriser par défaut dans Office 365.
Vidage automatique de zéro heure (ZAP) pour le courrier indésirable
Pour les messages non lus identifiés comme courrier indésirable ou courrier indésirable à haut niveau de confiance après la remise, le résultat zap dépend de l’action configurée pour un verdict de courrier indésirable ou de courrier indésirable à haut niveau de confiance dans la stratégie anti-courrier indésirable applicable. Les actions disponibles et les résultats POSSIBLES DE ZAP sont décrits dans la liste suivante :
Ajouter X-Header, Ajouter une ligne d’objet avec du texte, Rediriger le message vers l’adresse e-mail, Supprimer le message : ZAP n’effectue aucune action sur le message.
Déplacer le message vers Email de courrier indésirable : ZAP déplace le message vers le dossier Email indésirable.
Pour le verdict du courrier indésirable, cette action est la valeur par défaut dans la stratégie anti-courrier indésirable par défaut, les nouvelles stratégies anti-courrier indésirable personnalisées et la Standard stratégie de sécurité prédéfinie.
Pour le verdict de courrier indésirable à haute confiance , cette action est la valeur par défaut dans la stratégie anti-courrier indésirable par défaut et les nouvelles stratégies anti-courrier indésirable personnalisées.
Message de mise en quarantaine : ZAP met le message en quarantaine.
Pour le verdict du courrier indésirable , cette action est la valeur par défaut dans la stratégie de sécurité prédéfinie Strict.
Pour le verdict de courrier indésirable à haute confiance, cette action est la valeur par défaut dans les stratégies de sécurité prédéfinies Standard et Strict.
Par défaut, les utilisateurs peuvent afficher et gérer les messages qui ont été mis en quarantaine en tant que courrier indésirable ou courrier indésirable à haut niveau de confiance lorsqu’ils sont destinataires. Toutefois, les administrateurs peuvent créer et utiliser des stratégies de mise en quarantaine pour définir ce que les utilisateurs peuvent faire pour les messages mis en quarantaine, et si les utilisateurs reçoivent des notifications de mise en quarantaine. Pour plus d’informations, consultez Anatomie d’une stratégie de mise en quarantaine.
Par défaut, zap pour le courrier indésirable est activé dans les stratégies anti-courrier indésirable.
Pour plus d’informations sur la configuration des verdicts de filtrage du courrier indésirable, consultez Configurer des stratégies anti-courrier indésirable.
Comment voir si ZAP a déplacé votre message
Pour déterminer si ZAP a déplacé votre message, vous disposez des options suivantes :
- Nombre de messages : utilisez l’affichage Flux de courrier dans le rapport de status de flux de courrier pour afficher le nombre de messages affectés par ZAP pour la plage de dates spécifiée.
- Détails du message : utilisez threat Explorer pour filtrer les événements de l’onglet Tous les e-mails en fonction de la valeur ZAP de la colonne Action supplémentaire.
Remarque
ZAP n’est pas enregistré dans les journaux d’audit de boîte aux lettres Exchange en tant qu’action système.
Considérations relatives au vidage automatique de zéro heure (ZAP) pour les pièces jointes sécurisées dans Microsoft Defender pour Office 365
ZAP ne met pas en quarantaine les messages qui sont en cours d’analyse de stratégie de remise dynamique dans les pièces jointes sécurisées. ZAP revient à l’action Déplacer vers le courrier indésirable si les deux affirmations suivantes sont vraies :
- Un signal d’hameçonnage ou de courrier indésirable est reçu pendant le processus de livraison dynamique.
- Le verdict dans la stratégie anti-courrier indésirable effectue une action sur le message (Déplacer vers le courrier indésirable, Rediriger, Supprimer ou Mettre en quarantaine).
Vidage automatique de zéro heure (ZAP) dans Microsoft Teams
Conseil
ZAP pour Microsoft Teams est disponible dans Defender pour Office 365 Plan 1 ou Plan 2 (inclus ou acheté en tant que module complémentaire). Pour configurer zap pour la protection Teams, consultez Microsoft Defender pour Office 365 prise en charge de Microsoft Teams.
Actuellement, ZAP pour Microsoft Teams n’est pas disponible dans Microsoft 365 GCC, GCC High ou DoD.
ZAP dans les conversations Teams
ZAP est disponible pour les messages internes dans les conversations Teams qui sont identifiés comme des programmes malveillants ou des hameçonnages à haut niveau de confiance. Actuellement, les messages externes ne sont pas pris en charge.
Teams est différent de l’e-mail, car tous les participants à une conversation Teams reçoivent la même copie du message en même temps (il n’y a pas de bifurcation de message). Lorsque la protection ZAP pour Teams bloque un message, le message est bloqué pour tous les participants à la conversation. Le bloc initial se produit juste après la remise, mais l’opération ZAP se produit jusqu’à 48 heures après la livraison.
Les exclusions pour la protection ZAP pour Teams dans les conversations Teams sont importantes pour les destinataires des messages, et non pour les expéditeurs de messages. Pour configurer des exceptions pour les conversations Teams, consultez Configurer ZAP pour la protection Teams dans Defender pour Office 365.
La protection ZAP pour Teams est en mesure d’agir sur les messages pour tous les destinataires d’une conversation si des destinataires de la conversation ne sont pas exclus de la protection ZAP pour Teams. Ce n’est que lorsque tous les destinataires d’une conversation sont exclus de la protection ZAP pour Teams que ZAP n’effectue aucune action sur un message. Ces scénarios sont illustrés dans le tableau suivant :
| Scénario | Résultat |
|---|---|
| Conversation de groupe avec les destinataires A, B, C et D. Les destinataires A, B, C et D sont exclus de la protection ZAP pour Teams. |
ZAP ne bloque pas les messages envoyés à la conversation de groupe. |
| Conversation de groupe avec les destinataires A, B, C et D. Seuls les destinataires A, B et C sont exclus de la protection ZAP pour Teams. |
ZAP est en mesure de bloquer les messages envoyés à la conversation de groupe pour tous les destinataires. |
| Conversation de groupe avec les destinataires A, B, C et D. Les destinataires A, B, C et D ne sont pas exclus de la protection ZAP pour Teams. L’expéditeur X est exclu de la protection ZAP pour Teams et envoie un message à la conversation de groupe. |
ZAP est en mesure de bloquer les messages envoyés à la conversation de groupe pour tous les destinataires. |
Affichage de l’expéditeur :
Vue du destinataire :
ZAP dans les canaux Teams
La protection ZAP pour Teams prend en charge les types de canaux Teams suivants :
- Standard canaux : ZAP est disponible pour les messages internes. Actuellement, les messages externes ne sont pas pris en charge.
- Canaux partagés : ZAP est disponible pour les messages internes et externes.
Actuellement, ZAP n’est pas disponible dans les canaux privés.
Pour configurer des exceptions pour la protection ZAP pour les canaux Teams, vous avez besoin de l’adresse e-mail du destinataire. Cette adresse est différente de l’adresse e-mail du canal dans le client Teams.
Pour obtenir l’adresse e-mail du destinataire à utiliser pour les exceptions pour la protection des canaux Teams, utilisez le nom et la valeur d’e-mail de la section Détails du canal du panneau d’entité de message Teams. Pour plus d’informations, consultez Le panneau d’entité de message Teams dans Microsoft Defender pour Office 365.
Pour configurer des exceptions pour les canaux Teams, consultez Configurer ZAP pour la protection Teams dans Defender pour Office 365.
Purge automatique de zéro heure (ZAP) pour les messages d’hameçonnage à haute confiance dans Teams
Pour les messages identifiés comme hameçonnage à haut niveau de confiance après la remise, la protection ZAP pour Teams bloque et met en quarantaine le message. Pour définir la stratégie de mise en quarantaine utilisée pour les détections d’hameçonnage à haut niveau de confiance dans ZAP pour Teams, consultez Microsoft Defender pour Office 365 prise en charge de Microsoft Teams.
Vide automatique zéro heure (ZAP) pour les programmes malveillants dans les messages Teams
Pour les messages identifiés comme des programmes malveillants, ZAP pour la protection Teams bloque et met en quarantaine le message. Pour définir la stratégie de mise en quarantaine utilisée pour les détections de programmes malveillants dans ZAP pour Teams, consultez Microsoft Defender pour Office 365 prise en charge de Microsoft Teams.
Comment voir si ZAP a bloqué un message Teams
Actuellement, seuls les administrateurs peuvent afficher et gérer les messages mis en quarantaine par ZAP pour la protection Teams. Pour plus d’informations, consultez Utiliser le portail Microsoft Defender pour gérer les messages mis en quarantaine Microsoft Teams.
QUESTIONS FRÉQUENTES (FAQ) sur le vidage automatique de zéro heure (ZAP)
Que se passe-t-il si ZAP déplace des messages légitimes vers le dossier Email indésirable ?
Suivez le processus normal pour signaler les faux positifs à Microsoft. ZAP déplace le message du dossier Boîte de réception vers le dossier Courrier indésirable Email uniquement si le service détermine qu’il s’agit d’un courrier indésirable ou malveillant.
Que se passe-t-il si j’utilise le dossier Quarantaine au lieu du dossier Courrier indésirable ?
ZAP prend des mesures sur un message en fonction de la configuration des stratégies anti-courrier indésirable, comme décrit plus haut dans cet article.
Comment ZAP est-il affecté par les exceptions aux protections de messagerie par défaut pour les boîtes aux lettres cloud et Defender pour Office 365 ?
Les fonctionnalités suivantes peuvent remplacer les actions ZAP :
- Listes d’autorisation
- Règles de flux de messagerie Exchange (règles de transport)
Pour les logiciels malveillants et les verdicts d’hameçonnage à haute confiance, il existe quelques scénarios où ZAP n’agit pas sur les messages :
- URL de simulation de hameçonnage non-Microsoft spécifiées dans la stratégie de remise avancée (hameçonnage à haut niveau de confiance).
- Boîtes aux lettres SecOps spécifiées dans la stratégie de remise avancée (programmes malveillants et hameçonnage à haut niveau de confiance).
- L’enregistrement MX de votre domaine Microsoft 365 pointe vers un autre service ou appareil, et vous utilisez une règle de flux de messagerie pour contourner le filtrage du courrier indésirable (hameçonnage à haute confiance).
- Administration envois de faux positifs à Microsoft. Par défaut, les entrées autorisées pour les domaines et les adresses de messagerie, les fichiers et les URL existent pendant 30 jours (programmes malveillants et hameçonnage à haut niveau de confiance).
Il est important que vous examiniez attentivement les implications du contournement du filtrage, car cela pourrait compromettre la posture de sécurité de votre organization.
Quelles sont les conditions de licence pour ZAP ?
Il n’existe aucune exigence de licence spéciale pour ZAP pour les logiciels malveillants, le courrier indésirable et le hameçonnage. ZAP fonctionne sur toutes les boîtes aux lettres hébergées dans Exchange Online. ZAP ne fonctionne pas dans les boîtes aux lettres locales protégées par Microsoft 365.
La protection ZAP pour Teams nécessite Microsoft 365 E5 ou Microsoft Defender pour Office 365 licences Plan 2.
Zap fonctionne-t-il sur les messages dans d’autres dossiers de la boîte aux lettres (par exemple, les messages déplacés par les règles de boîte de réception) ?
ZAP peut agir sur les messages dans d’autres dossiers dans les scénarios suivants :
- Le message n’a pas été supprimé.
- La même action ou plus forte n’était pas déjà appliquée. Par exemple, le message se trouve dans le dossier Email indésirable et l’action est mise en quarantaine. ZAP met le message en quarantaine.
Comment ZAP affecte-t-il les boîtes aux lettres en attente ?
ZAP met en quarantaine les messages des boîtes aux lettres en attente. ZAP peut déplacer des messages vers le dossier Email indésirable en fonction de l’action d’un verdict de courrier indésirable ou d’hameçonnage dans les stratégies anti-courrier indésirable.
Pour plus d’informations sur les conservations dans Exchange Online, consultez Conservation sur place et Conservation pour litige dans Exchange Online.