Les macros provenant d’Internet seront bloquées par défaut dans Office

Les macros VBA sont un moyen courant pour les acteurs malveillants d’accéder au déploiement de programmes malveillants et de rançongiciels. Par conséquent, pour améliorer la sécurité dans Office, nous modifions le comportement par défaut des applications Office pour bloquer les macros dans les fichiers à partir d’Internet.

Avec cette modification, lorsque les utilisateurs ouvrent un fichier provenant d’Internet, tel qu’une pièce jointe, et que ce fichier contient des macros, le message suivant s’affiche :

Bannière de risque de sécurité sur les macros bloquées avec un bouton En savoir plus

Le bouton En savoir plus est destiné à un article destiné aux utilisateurs finaux et aux travailleurs de l’information qui contient des informations sur le risque de sécurité des acteurs malveillants utilisant des macros, des pratiques sûres pour empêcher le hameçonnage et les programmes malveillants, ainsi que des instructions sur la façon d’activer ces macros (si nécessaire).

Dans certains cas, les utilisateurs voient également le message si le fichier vient d’un emplacement de votre intranet qui n’est pas identifié comme approuvé. Par exemple, si les utilisateurs accèdent à des fichiers sur un partage réseau à l’aide de l’adresse IP du partage. Pour plus d’informations, consultez Fichiers situés de manière centralisée sur un partage réseau ou un site web approuvé.

Important

Même avant la modification que nous introduisons, les organisations pouvaient utiliser la stratégie Bloquer l'exécution des macros dans les fichiers Office provenant d’Internet pour empêcher les utilisateurs d’ouvrir par inadvertance des fichiers provenant d’Internet et contenant des macros. Nous vous recommandons d’activer cette stratégie dans le cadre de la base de référence de sécurité pour Applications Microsoft 365 pour Entreprise. Si vous configurez la stratégie, votre organisation ne sera pas affectée par cette modification par défaut.

Pour plus d’informations, consultez Utiliser des stratégies pour gérer la façon dont Office gère les macros.

Préparer cette modification

Pour préparer cette modification, nous vous recommandons de travailler avec les unités commerciales de votre organisation qui utilisent des macros dans les fichiers Office qui sont ouverts à partir d’emplacements tels que des partages réseau intranet ou des sites web intranet. Vous devez identifier ces macros et déterminer les étapes à suivre pour continuer à utiliser ces macros. Vous souhaiterez également travailler avec des éditeurs de logiciels indépendants (ISV) qui fournissent des macros dans les fichiers Office à partir de ces emplacements. Par exemple, pour voir s’ils peuvent signer numériquement leur code et si vous pouvez les traiter comme un éditeur approuvé.

Passez également en revue les informations suivantes :

Action de préparation More information
Comprendre quelles versions et quels canaux de mise à jour ont cette modification (au fur et à mesure du déploiement de cette modification) Versions d’Office affectées par cette modification
Consultez un organigramme du processus qu’Office prend pour déterminer s’il faut exécuter des macros dans un fichier Comment Office détermine s’il faut exécuter des macros dans des fichiers à partir d’Internet
Identifier les fichiers avec des macros VBA qui peuvent être bloqués à l’aide du Readiness Toolkit Utiliser Readiness Toolkit pour identifier les fichiers avec des macros VBA susceptibles d’être bloquées
En savoir plus sur les stratégies que vous pouvez utiliser pour contrôler l’exécution des macros VBA Utiliser des stratégies pour gérer la façon dont Office gère les macros

Étapes à suivre pour permettre aux macros VBA de s’exécuter dans des fichiers de confiance

La façon dont vous autorisez les macros VBA à s’exécuter dans des fichiers approuvés dépend de l’emplacement de ces fichiers ou du type de fichier.

Le tableau suivant répertorie les différents scénarios courants et les approches possibles à adopter pour débloquer les macros VBA et les autoriser à s’exécuter. Vous n’êtes pas obligé d’effectuer toutes les approches possibles pour un scénario donné. Dans les cas où nous avons répertorié plusieurs approches, choisissez celle qui convient le mieux à votre organisation.

Scénario Approches possibles à adopter
Fichiers individuels
• Cochez la case Débloquer sous l’onglet Général de la boîte de dialogue Propriétés du fichier
• Utiliser l’applet de commande Unblock-File dans PowerShell

Pour plus d’informations, consultez Supprimer la marque du web d’un fichier.
Fichiers situés de manière centralisée sur un partage réseau ou un site web approuvé Débloquer le fichier à l’aide d’une approche répertoriée sous « Fichiers individuels ».

S’il n’existe pas de case à cocher Débloquer et que vous souhaitez approuver tous les fichiers de cet emplacement réseau :
• Désigner l’emplacement en tant que site approuvé
•Ajouter l’emplacement à la zone Intranet local

Pour plus d’informations, consultez Fichiers situés de manière centralisée sur un partage réseau ou un site web approuvé.
Fichiers stockés sur OneDrive ou SharePoint, y compris un site utilisé par un canal Teams •Faire ouvrir directement le fichier par les utilisateurs à l’aide de l’option Ouvrir dans l’application de bureau
• Si les utilisateurs téléchargent le fichier localement avant de l’ouvrir, supprimez la marque du web de la copie locale du fichier (voir les approches sous « Fichiers individuels »)
• Désigner l’emplacement en tant que site approuvé

Pour plus d’informations, consultez Fichiers sur OneDrive ou SharePoint.
Fichiers de modèle prenant en charge les macros pour Word, PowerPoint et Excel Si le fichier modèle est stocké sur l’appareil de l’utilisateur :
• Supprimer la marque du web du fichier modèle (voir les approches sous « Fichiers individuels »)
• Enregistrer le fichier modèle dans un emplacement approuvé

Si le fichier modèle est stocké sur un emplacement réseau :
• Utiliser une signature numérique et faire confiance à l’éditeur
• Approuvez le fichier de modèle (voir les approches sous « Fichiers situés de manière centralisée sur un partage réseau ou un site web approuvé »)

Pour plus d’informations, consultez fichiers de modèle prenant en charge les macros pour Word, PowerPoint et Excel.
Fichiers de complément prenant en charge les macros pour PowerPoint • Supprimer la marque du web du fichier de complément
• Utiliser une signature numérique et faire confiance à l’éditeur
• Enregistrer le fichier de complément dans un emplacement approuvé

Pour plus d’informations, consultez Fichiers de complément prenant en charge les macros pour PowerPoint et Excel.
Fichiers de complément prenant en charge les macros pour Excel • Supprimer la marque du web du fichier de complément
• Enregistrer le fichier de complément dans un emplacement approuvé

Pour plus d’informations, consultez Fichiers de complément prenant en charge les macros pour PowerPoint et Excel.
Macros signées par un éditeur approuvé [recommandé] Déployez le certificat de signature de code public pour l’éditeur approuvé sur vos utilisateurs et empêchez vos utilisateurs d’ajouter eux-mêmes des éditeurs approuvés.
• Supprimez Mark of the Web du fichier et faites en sorte que l’utilisateur ajoute l’éditeur de la macro en tant qu’éditeur approuvé.

Pour plus d’informations, consultez Macros signées par un éditeur approuvé
.
Groupes de fichiers enregistrés dans des dossiers sur l’appareil de l’utilisateur Désigner le dossier comme emplacement approuvé

Pour plus d’informations, consultez Emplacements approuvés.

Versions d’Office affectées par cette modification

Cette modification affecte uniquement Office sur les appareils exécutant Windows et affecte uniquement les applications suivantes : Access, Excel, PowerPoint, Visio et Word.

La modification a commencé à être déployée dans la version 2203, à partir du canal actuel (préversion) début avril 2022. Par la suite, la modification sera disponible dans les autres canaux de mise à jour, tels que le canal d’entreprise mensuel et le canal d’entreprise semi-annuel.

Le tableau suivant indique la planification prévue du moment où cette modification sera disponible dans chaque canal de mise à jour. Les informations en italique sont susceptibles d’être modifiées.

Canal de mise à jour Version Date
Canal actuel (aperçu) Version 2203 Le déploiement a commencé le 12 avril 2022
Canal actuel Version 2206 Le déploiement a commencé le 27 juillet 2022
Canal d’entreprise mensuel Version 2208 11 octobre 2022
Canal d’entreprise semestriel (version d’évaluation) Version 2208 11 octobre 2022
Canal d’entreprise semi-annuel Version 2208 10 janvier 2023

Notes

À mesure que nous déploierons cette modification dans le canal actuel au cours des prochaines semaines, tous les clients ne verront pas la modification immédiatement.

La modification n’affecte pas Office sur un Mac, Office sur des appareils Android ou iOS ou Office sur le Web.

Comment Office détermine s’il faut exécuter des macros dans des fichiers à partir d’Internet

Le graphique d’organigramme suivant montre comment Office détermine s’il faut exécuter des macros dans un fichier à partir d’Internet.

Organigramme qui montre comment Office détermine s’il faut exécuter des macros dans des fichiers à partir d’Internet

Les étapes suivantes expliquent les informations contenues dans le graphique d’organigramme, à l’exception des fichiers de complément Excel. Pour plus d’informations sur ces fichiers, consultez Fichiers de complément prenant en charge les macros pour PowerPoint et Excel. En outre, si un fichier se trouve sur un partage réseau qui n’est pas dans la zone Intranet local ou n’est pas un site approuvé, les macros sont bloquées dans ce fichier.

  1. Un utilisateur ouvre un fichier Office contenant des macros obtenues à partir d’Internet. Par exemple, une pièce jointe à un e-mail. Le fichier contient la Marque du web (MOTW).

Notes

  • La marque du web est ajoutée par Windows aux fichiers à partir d’un emplacement non approuvé, tel qu’Internet ou zone restreinte. Par exemple, les téléchargements de navigateur ou les pièces jointes. Pour plus d’informations, consultez Marque du web et zones.
  • La marque du web s’applique uniquement aux fichiers enregistrés sur un système de fichiers NTFS, et non aux fichiers enregistrés sur les appareils au format FAT32.
  1. Si le fichier est issu d’un emplacement approuvé, le fichier est ouvert avec les macros activées. Si le fichier ne vient pas d’un emplacement approuvé, l’évaluation continue.

  2. Si les macros sont signées numériquement et que le certificat d’éditeur approuvé correspondant est installé sur l’appareil, le fichier est ouvert avec les macros activées. Si ce n’est pas le cas, l’évaluation continue.

  3. Les stratégies sont vérifiées pour voir si les macros sont autorisées ou bloquées. Si les stratégies sont définies sur Non configuré, l’évaluation passe à l’étape 6.

  4. (a) Si les macros sont bloquées par la stratégie, les macros sont bloquées.
    (b) Si les macros sont activées par la stratégie, les macros sont activées.

  5. Si l’utilisateur avait précédemment ouvert le fichier, avant ce changement de comportement par défaut et que l’utilisateur avait sélectionné Activer le contenu dans la barre de confiance, les macros sont activées, car le fichier est considéré comme approuvé.

Notes

  1. C’est à cette étape que la modification du comportement par défaut d’Office prend effet. Avec cette modification, les macros des fichiers provenant d’Internet sont bloquées et les utilisateurs voient la bannière Risque de sécurité lorsqu’ils ouvrent le fichier.

Notes

Auparavant, avant cette modification du comportement par défaut, l’application vérifiait si la stratégie Paramètres de notification de macro VBA était activée et comment elle était configurée.

Si la stratégie a la valeur Désactivé ou Non configurée, l’application vérifie les paramètres sous Fichier > Options > Centre de gestion de la confidentialité > Paramètres du Centre de gestion de la confidentialité... > Paramètres de macro. La valeur par défaut est « Désactiver toutes les macros avec notification », ce qui permet aux utilisateurs d’activer le contenu dans la barre d’approbation.

Conseils sur l’autorisation des macros VBA à s’exécuter dans les fichiers de confiance

Supprimer la marque du web d’un fichier

Pour un fichier individuel, tel qu’un fichier téléchargé à partir d’un emplacement Internet ou d’une pièce jointe de courrier que l’utilisateur a enregistrée sur son appareil local, le moyen le plus simple de débloquer les macros consiste à supprimer la marque du web. Pour supprimer, cliquez avec le bouton droit sur le fichier, choisissez Propriétés, puis activez la case à cocher Débloquer sous l’onglet Général .

Boîte de dialogue Propriétés du fichier montrant le choix de débloquer

Notes

  • Dans certains cas, généralement pour les fichiers sur un partage réseau, les utilisateurs peuvent ne pas voir la case à cocher Débloquer pour un fichier où les macros sont bloquées. Pour ces cas, consultez Fichiers situés de manière centralisée sur un partage réseau ou un site web approuvé.
  • Même si la case à cocher Débloquer est disponible pour un fichier sur un partage réseau, la sélection de la case à cocher n’aura aucun effet si le partage est considéré comme étant dans la zone Internet . Pour plus d’informations, consultez Marque du web et zones.

Vous pouvez également utiliser l’applet de commande Unblock-File dans PowerShell pour supprimer la valeur ZoneId du fichier. La suppression de la valeur ZoneId permet aux macros VBA de s’exécuter par défaut. L’utilisation de l’applet de commande fait la même chose que la case à cocher Débloquer sous l’onglet Général de la boîte de dialogue Propriétés du fichier. Pour plus d’informations sur la valeur ZoneId, consultez Marque du web et zones.

Fichiers situés de manière centralisée sur un partage réseau ou un site web approuvé

Si vos utilisateurs accèdent aux fichiers à partir d’un site web approuvé ou d’un serveur de fichiers interne, vous pouvez effectuer l’une des étapes suivantes afin que les macros de ces emplacements ne soient pas bloquées.

  • Désigner l’emplacement en tant que site approuvé
  • Si l’emplacement réseau se trouve sur l’intranet, ajoutez l’emplacement à la zone Intranet local

Notes

  • Si vous ajoutez un élément en tant que site approuvé, vous accordez également à l’ensemble du site des autorisations élevées pour les scénarios qui ne sont pas liés à Office.
  • Pour l’approche de zone Intranet local , nous vous recommandons d’enregistrer les fichiers dans un emplacement déjà considéré comme faisant partie de la zone Intranet local, au lieu d’ajouter de nouveaux emplacements à cette zone.
  • En général, nous vous recommandons d’utiliser des sites approuvés, car ils ont une sécurité supplémentaire par rapport à la zone Intranet local .

Par exemple, si les utilisateurs accèdent à un partage réseau à l’aide de son adresse IP, les macros de ces fichiers sont bloquées, sauf si le partage de fichiers se trouve dans les Sites approuvés ou la zone Intranet local .

Conseil

  • Pour afficher la liste des sites approuvés ou ce qui se trouve dans la zone Intranet local , accédez à Panneau de configuration > Options Internet > Modifier les paramètres de sécurité sur un appareil Windows.
  • Pour vérifier si un fichier individuel est issu d’un site approuvé ou d’un emplacement intranet local, consultez Marque du web et zones.

Par exemple, vous pouvez ajouter un serveur de fichiers ou un partage réseau en tant que site approuvé, en ajoutant son nom de domaine complet ou son adresse IP à la liste des sites approuvés.

Boîte de dialogue Sites approuvés

Si vous souhaitez ajouter des URL qui commencent par des http:// ou des partages réseau, désactivez l’option Exiger la vérification du serveur (https:) pour tous les sites dans cette case à cocher de zone.

Important

Étant donné que les macros ne sont pas bloquées dans les fichiers de ces emplacements, vous devez gérer ces emplacements avec soin. Veillez à contrôler qui est autorisé à enregistrer des fichiers à ces emplacements.

Vous pouvez utiliser Stratégie de groupe et la stratégie « Liste des affectations de site à zone » pour ajouter des emplacements en tant que sites approuvés ou à la zone Intranet local pour les appareils Windows de votre organisation. Cette stratégie se trouve sous Composants Windows\Internet Explorer\Internet Panneau de configuration\Page Sécurité dans le Console de gestion des stratégies de groupe. Il est disponible sous Configuration ordinateur\Stratégies\Modèles d'administration et Configuration utilisateur\Stratégies\Modèles d'administration.

Fichiers sur OneDrive ou SharePoint

  • Si un utilisateur télécharge un fichier sur OneDrive ou SharePoint à l’aide d’un navigateur web, la configuration de la zone de sécurité Internet Windows (Panneau de configuration > Options Internet > Sécurité) détermine si le navigateur définit la marque du web. Par exemple, Microsoft Edge définit la marque du web sur un fichier s’il est déterminé comme provenant de la zone Internet.

  • Si un utilisateur sélectionne Ouvrir dans l’application de bureau dans un fichier ouvert à partir du site web OneDrive ou d’un site SharePoint (y compris un site utilisé par un canal Teams), le fichier n’aura pas de marque du web.

  • Si un utilisateur a le client de synchronisation OneDrive en cours d’exécution et que le client de synchronisation télécharge un fichier, le fichier n’aura pas de marque du web.

  • Les fichiers qui se trouvent dans des dossiers connus Windows (Bureau, Documents, Images, Captures d’écran et Pellicule) et qui sont synchronisés avec OneDrive n’ont pas de marque du web.

  • Si vous avez un groupe d’utilisateurs, tels que le service financier, qui doivent utiliser des fichiers à partir de OneDrive ou SharePoint sans que les macros soient bloquées, voici quelques options possibles :

    • Faites-les ouvrir le fichier à l’aide de l’option Ouvrir dans l’application de bureau

    • Faites-les télécharger le fichier dans un emplacement approuvé.

    • Définissez l’attribution de zone de sécurité Windows Internet pour les domaines OneDrive ou SharePoint sur Sites approuvés. Les administrateurs peuvent utiliser la stratégie « Liste des affectations de site à zone » et configurer la stratégie pour placer https://{your-domain-name}.sharepoint.com (pour SharePoint) ou https://{your-domain-name}-my.sharepoint.com (pour OneDrive) dans la zone Sites de confiance.

      • Cette stratégie se trouve sous Composants Windows\Internet Explorer\Internet Panneau de configuration\Page Sécurité dans le Console de gestion des stratégies de groupe. Il est disponible sous Configuration ordinateur\Stratégies\Modèles d'administration et Configuration utilisateur\Stratégies\Modèles d'administration.

      • Les autorisations SharePoint et le partage OneDrive ne sont pas modifiés en ajoutant ces emplacements aux sites de confiance. Il est important de maintenir le contrôle d’accès. Toute personne autorisée à ajouter des fichiers à SharePoint peut ajouter des fichiers avec du contenu actif, comme des macros. Les utilisateurs qui téléchargent des fichiers à partir de domaines dans la zone Sites approuvés contournent la valeur par défaut pour bloquer les macros.

Fichiers de modèle prenant en charge les macros pour Word, PowerPoint et Excel

Les fichiers de modèle prenant en charge les macros pour Word, PowerPoint et Excel qui sont téléchargés à partir d’Internet auront la marque du web. Par exemple, les fichiers de modèle avec les extensions suivantes :

  • .dot
  • .dotm
  • .pot
  • .potm
  • .xlt
  • .xltm

Lorsque l’utilisateur ouvre le fichier de modèle prenant en charge les macros, il ne peut pas exécuter les macros dans le fichier de modèle. Si l’utilisateur approuve la source du fichier modèle, il peut supprimer la marque du web du fichier modèle, puis rouvrir le fichier modèle dans l’application Office.

Si vous avez un groupe d’utilisateurs qui doivent utiliser des modèles prenant en charge les macros sans bloquer les macros, vous pouvez effectuer l’une des actions suivantes :

  • Utilisez une signature numérique et faites confiance à l’éditeur.
  • Si vous n’utilisez pas de signatures numériques, vous pouvez enregistrer le fichier de modèle dans un emplacement approuvé et faire en part aux utilisateurs l’obtention du fichier modèle à partir de cet emplacement.

Fichiers de complément prenant en charge les macros pour PowerPoint et Excel

Les fichiers de complément prenant en charge les macros pour PowerPoint et Excel qui sont téléchargés à partir d’Internet auront la marque du web. Par exemple, les fichiers de complément avec les extensions suivantes :

  • .ppa
  • .ppam
  • .xla
  • .xlam

Lorsque l'utilisateur tente d'installer le module complémentaire activé par macro, en utilisant Fichier > Options > modules complémentaires ou en utilisant le ruban du Développeur, le module complémentaire sera chargé dans un état désactivé et l'utilisateur ne pourra pas utiliser le module complémentaire. Si l’utilisateur approuve la source du fichier de complément, il peut supprimer la marque du web du fichier de complément, puis rouvrir PowerPoint ou Excel pour utiliser le complément.

Si vous avez un groupe d’utilisateurs qui doivent utiliser des fichiers de complément prenant en charge les macros sans bloquer les macros, vous pouvez effectuer les actions suivantes.

Pour les fichiers de complément PowerPoint :

  • Supprimez la marque du web du fichier .ppa ou .ppam.
  • Utilisez une signature numérique et faites confiance à l’éditeur.
  • Enregistrez le fichier de complément dans un emplacement approuvé que les utilisateurs peuvent récupérer.

Pour les fichiers de complément Excel :

  • Supprimez la marque du web du fichier .xla ou .xlam.
  • Enregistrez le fichier de complément dans un emplacement approuvé que les utilisateurs peuvent récupérer.

Notes

L’utilisation d’une signature numérique et l’approbation de l’éditeur ne fonctionnent pas pour les fichiers de complément Excel qui ont la marque du web. Ce comportement n’est pas nouveau pour les fichiers de complément Excel qui ont la marque du web. Il fonctionne ainsi depuis 2016, à la suite d’un précédent effort de renforcement de la sécurité (lié au Bulletin de sécurité Microsoft MS16-088).

Macros signées par un éditeur approuvé

Si la macro est signée et que vous avez validé le certificat et approuvé la source, vous pouvez faire de cette source un éditeur approuvé. Nous vous recommandons, si possible, de gérer des éditeurs approuvés pour vos utilisateurs. Pour plus d’informations, consultez Éditeurs approuvés pour les fichiers Office.

Si vous n’avez que quelques utilisateurs, vous pouvez leur faire supprimer Mark of the Web du fichier , puis ajouter la source de la macro en tant qu’éditeur approuvé sur leurs appareils.

Avertissement

  • Toutes les macros signées de manière valide avec le même certificat sont reconnues comme provenant d’un éditeur approuvé et sont exécutées.
  • L’ajout d’un éditeur approuvé peut affecter des scénarios au-delà de ceux liés à Office, car un éditeur approuvé est un paramètre à l’échelle de Windows, et pas seulement un paramètre spécifique à Office.

Emplacements approuvés

L’enregistrement de fichiers à partir d’Internet vers un emplacement approuvé sur l’appareil d’un utilisateur ignore la vérification de la marque du web et s’ouvre avec les macros VBA activées. Par exemple, une ligne d’application métier peut envoyer régulièrement des rapports avec des macros. Si les fichiers contenant des macros sont enregistrés dans un emplacement approuvé, les utilisateurs n’ont pas besoin d’accéder aux Propriétés du fichier, puis de sélectionner Débloquer pour permettre l’exécution des macros.

Étant donné que les macros ne sont pas bloquées dans les fichiers enregistrés dans un emplacement approuvé, vous devez gérer les emplacements approuvés avec soin et les utiliser avec parcimonie. Les emplacements réseau peuvent également être définis comme emplacement approuvé, mais ce n’est pas recommandé. Pour plus d’informations, consultez Emplacements approuvés pour les fichiers Office.

Informations supplémentaires sur Marque du Web

Marque du web et documents approuvés

Lorsqu’un fichier est téléchargé sur un appareil exécutant Windows, la marque du web est ajoutée au fichier, en identifiant sa source comme provenant d’Internet. Actuellement, lorsqu’un utilisateur ouvre un fichier avec Marque du web, une bannière AVERTISSEMENT DE SÉCURITÉ s’affiche, avec un bouton Activer le contenu . Si l’utilisateur sélectionne Activer le contenu, le fichier est considéré comme un document approuvé et les macros sont autorisées à s’exécuter. Les macros continueront à s’exécuter même après l’implémentation du changement de comportement par défaut pour bloquer les macros dans les fichiers à partir d’Internet, car le fichier est toujours considéré comme un document approuvé.

Après la modification du comportement par défaut pour bloquer les macros dans les fichiers à partir d’Internet, les utilisateurs voient une autre bannière la première fois qu’ils ouvrent un fichier avec des macros à partir d’Internet. Cette bannière AVERTISSEMENT DE SÉCURITÉ n’a pas l’option Activer le contenu. Toutefois, les utilisateurs pourront accéder à la boîte de dialogue Propriétés du fichier, puis sélectionner Débloquer, ce qui supprimera la marque du web du fichier et autorisera l’exécution des macros, tant qu’aucune stratégie ou paramètre du Centre de gestion de la confidentialité ne bloque.

Marque du web et zones

Par défaut, Marque du web est ajoutée aux fichiers uniquement à partir des zones Internet ou Sites restreints .

Conseil

Pour afficher ces zones sur un appareil Windows, accédez à Panneau de configuration > Options Internet > Modifier les paramètres de sécurité.

Vous pouvez afficher la valeur ZoneId d’un fichier en exécutant la commande suivante à une invite de commandes et en remplaçant {name of file} par votre nom de fichier.

notepad {name of file}:Zone.Identifier

Lorsque vous exécutez cette commande, le Bloc-notes s’ouvre et affiche le ZoneId sous la section [ZoneTransfer].

Voici une liste des valeurs ZoneId et de la zone à laquelle elles sont mappées.

  • 0 = Mon ordinateur
  • 1 = Intranet local
  • 2 = Sites approuvés
  • 3 = Internet
  • 4 = Sites restreints

Par exemple, si le ZoneId est 2, les macros VBA dans ce fichier ne sont pas bloquées par défaut. Toutefois, si l’ID de zone est 3, les macros de ce fichier sont bloquées par défaut.

Vous pouvez utiliser l’applet de commande Unblock-File dans PowerShell pour supprimer la valeur ZoneId du fichier. La suppression de la valeur ZoneId permet aux macros VBA de s’exécuter par défaut. L’utilisation de l’applet de commande fait la même chose que la case à cocher Débloquer sous l’onglet Général de la boîte de dialogue Propriétés du fichier.

Utiliser Readiness Toolkit pour identifier les fichiers avec des macros VBA susceptibles d’être bloquées

Pour identifier les fichiers qui ont des macros VBA susceptibles d’être bloquées, vous pouvez utiliser le Kit de ressources de préparation pour les compléments Office et VBA, qui est un téléchargement gratuit de Microsoft.

Readiness Toolkit inclut un exécutable autonome qui peut être exécuté à partir d’une ligne de commande ou d’un script. Vous pouvez exécuter Readiness Toolkit sur l’appareil d’un utilisateur pour examiner les fichiers sur l’appareil de l’utilisateur. Vous pouvez également l’exécuter à partir de votre appareil pour examiner les fichiers sur un partage réseau.

Lorsque vous exécutez la version exécutable autonome du Readiness Toolkit, un fichier JSON est créé avec les informations collectées. Nous vous conseillons d’enregistrer les fichiers JSON dans un emplacement central, tel qu’un partage réseau. Ensuite, vous allez exécuter le Créateur du rapport de disponibilité, qui est une version de l’Assistant Interface utilisateur de Readiness Toolkit. Cet Assistant consolide les informations contenues dans les fichiers JSON distincts dans un rapport unique sous la forme d’un fichier Excel.

Pour identifier les fichiers susceptibles d’être affectés à l’aide du Readiness Toolkit, procédez comme suit :

  1. Téléchargez la version la plus récente de Readiness Toolkit à partir du Centre de téléchargement Microsoft. Vérifiez que vous utilisez au moins la version 1.2.22161, publiée le 14 juin 2022.

  2. Installez Readiness Toolkit.

  3. À partir d’une invite de commandes, accédez au dossier dans lequel vous avez installé Readiness Toolkit et exécutez la commande ReadinessReportCreator.exe avec l’option blockinternetscan.

    Par exemple, si vous souhaitez analyser les fichiers dans le dossier c:\officefiles (et tous ses sous-dossiers) sur un appareil et enregistrer le fichier JSON avec les résultats dans le partage Finance sur Server01, vous pouvez exécuter la commande suivante.

ReadinessReportCreator.exe -blockinternetscan -p c:\officefiles\ -r -output \\server01\finance -silent
  1. Une fois que vous avez effectué toutes vos analyses, exécutez le Créateur du rapport de disponibilité.
  2. Dans la page Créer un rapport de préparation, sélectionnez Résultats de préparation précédents enregistrés ensemble dans un dossier local ou un partage réseau, puis spécifiez l’emplacement où vous avez enregistré tous les fichiers pour les analyses.
  3. Dans la page Paramètres du rapport, sélectionnez Rapport Excel, puis spécifiez un emplacement pour enregistrer le rapport.
  4. Lorsque vous ouvrez le rapport dans Excel, accédez à la feuille de calcul Résultats VBA .
  5. Dans la colonne Instructions, recherchez le fichier VBA bloqué à partir d’Internet.

Pour plus d’informations sur l’utilisation de Readiness Toolkit, consultez Utiliser le Kit de ressources de préparation pour évaluer la compatibilité des applications pour les applications Microsoft 365.

Utiliser des stratégies pour gérer la façon dont Office gère les macros

Vous pouvez utiliser des stratégies pour gérer la façon dont Office gère les macros. Nous vous recommandons d’utiliser la stratégie Bloquer l’exécution des macros dans les fichiers Office à partir d’Internet . Toutefois, si cette stratégie n’est pas appropriée pour votre organisation, l’autre option est la stratégie Paramètres de notification de macro VBA .

Pour plus d’informations sur le déploiement de ces stratégies, consultez Outils disponibles pour gérer les stratégies.

Important

Vous ne pouvez utiliser des stratégies que si vous utilisez Applications Microsoft 365 pour Entreprise. Les stratégies ne sont pas disponibles pour les Applications Microsoft 365 pour Entreprise.

Blocage des macros pour les empêcher de s’exécuter dans les fichiers Office provenant d’Internet

Cette stratégie empêche les utilisateurs d’ouvrir par inadvertance des fichiers contenant des macros à partir d’Internet. Lorsqu’un fichier est téléchargé sur un appareil exécutant Windows ou ouvert à partir d’un emplacement de partage réseau, Marque du Web est ajoutée au fichier identifiant qu’il provient d’Internet.

Nous vous recommandons d’activer cette stratégie dans le cadre de la base de référence de sécurité pour Applications Microsoft 365 pour Entreprise. Vous devez activer cette stratégie pour la plupart des utilisateurs et ne faire des exceptions que pour certains utilisateurs en fonction des besoins.

Il existe une stratégie distincte pour chacune des cinq applications. Le tableau suivant indique où chaque stratégie se trouve dans le Console de gestion des stratégies de groupe sous Configuration utilisateur\Stratégies\Modèles d'administration :

Application Emplacement de la stratégie
Access Microsoft Access 2016\Application Settings\Security\Trust Center
Excel Microsoft Excel 2016\Excel Options\Security\Trust Center
PowerPoint Microsoft PowerPoint 2016\PowerPoint Options\Security\Trust Center
Visio Microsoft Visio 2016\Visio Options\Security\Trust Center
Word Microsoft Word 2016\Word Options\Security\Trust Center

L’état que vous choisissez pour la stratégie détermine le niveau de protection que vous fournissez. Le tableau suivant indique le niveau de protection actuel que vous obtenez avec chaque état, avant que la modification du comportement par défaut ne soit implémentée.

Icône Niveau de protection État de la stratégie Description
Cercle vert avec coche blanche Protégé [recommandé] Activé Les utilisateurs ne pourront pas exécuter de macros dans les fichiers obtenus à partir d’Internet.

Partie de la base de référence de sécurité recommandée par Microsoft.
Cercle rouge avec X blanc Non protégé Désactivé Respectera les paramètres configurés sous Fichier > Options > Centre de gestion de la confidentialité > Paramètres du Centre de gestion de la confidentialité... > Paramètres de macro.
Cercle rouge avec X blanc Non protégé Non configuré Respectera les paramètres configurés sous Fichier > Options > Centre de gestion de la confidentialité > Paramètres du Centre de gestion de la confidentialité... > Paramètres de macro.

Notes

  • Si vous définissez cette stratégie sur Désactivé, les utilisateurs voient, par défaut, un avertissement de sécurité lorsqu’ils ouvrent un fichier avec une macro. Cet avertissement informera les utilisateurs que les macros ont été désactivées, mais leur permettra d’exécuter les macros en choisissant le bouton Activer le contenu .
  • Cet avertissement est le même que celui affiché précédemment par les utilisateurs, avant cette modification récente que nous implémentons pour bloquer les macros.
  • Nous vous déconseillons de définir cette stratégie sur Désactivé définitivement. Mais dans certains cas, il peut être pratique de le faire temporairement lorsque vous testez la façon dont le nouveau comportement de blocage des macros affecte votre organisation et que vous développez une solution pour permettre une utilisation sécurisée des macros.

Après avoir implémenté la modification du comportement par défaut, le niveau de protection change lorsque la stratégie est définie sur Non configuré.

Icône Niveau de protection État de la stratégie Description
Cercle vert avec coche blanche Protégé Non configuré Les utilisateurs ne pourront pas exécuter de macros dans les fichiers obtenus à partir d’Internet.

Les utilisateurs verront la bannière Risque de sécurité avec un bouton En savoir plus

Paramètres de notification de macro VBA

Si vous n’utilisez pas la stratégie « Empêcher l’exécution des macros dans les fichiers Office à partir d’Internet », vous pouvez utiliser la stratégie « Paramètres de notification de macro VBA » pour gérer la façon dont les macros sont gérées par Office.

Cette stratégie empêche les utilisateurs de se faire leurrer pour activer des macros malveillantes. Par défaut, Office est configuré pour bloquer les fichiers qui contiennent des macros VBA et afficher une barre d’approbation avec un avertissement indiquant que les macros sont présentes et ont été désactivées. Les utilisateurs peuvent inspecter et modifier les fichiers le cas échéant, mais ne peuvent utiliser aucune fonctionnalité désactivée tant qu’ils n’ont pas sélectionné Activer le contenu dans la barre d’approbation. Si l’utilisateur sélectionne Activer le contenu, le fichier est ajouté en tant que document approuvé et les macros sont autorisées à s’exécuter.

Il existe une stratégie distincte pour chacune des cinq applications. Le tableau suivant indique où chaque stratégie se trouve dans le Console de gestion des stratégies de groupe sous Configuration utilisateur\Stratégies\Modèles d'administration :

Application Emplacement de la stratégie
Access Microsoft Access 2016\Application Settings\Security\Trust Center
Excel [1] Microsoft Excel 2016\Excel Options\Security\Trust Center
PowerPoint Microsoft PowerPoint 2016\PowerPoint Options\Security\Trust Center
Visio Microsoft Visio 2016\Visio Options\Security\Trust Center
Word Microsoft Word 2016\Word Options\Security\Trust Center

Notes

  • [1] Pour Excel, la stratégie est nommée Paramètres de notification de macro.
  • La stratégie « Paramètres de notification de macro VBA » est également disponible pour Project et Publisher.

L’état que vous choisissez pour la stratégie détermine le niveau de protection que vous fournissez. Le tableau suivant indique le niveau de protection que vous obtenez avec chaque état.

Icône Niveau de protection État de la stratégie Valeur de stratégie
Cercle vert avec coche blanche Protégé [recommandé] Activé Désactivez toutes les macros à l’exception des macros signées numériquement (et sélectionnez « Exiger que les macros soient signées par un éditeur approuvé »)
Cercle vert avec coche blanche Protégé Activé Désactiver tout sans notification
Cercle orange avec coche blanche Partiellement protégé Activé Désactiver tout avec notification
Cercle orange avec coche blanche Partiellement protégé Désactivé (Même comportement que « Désactiver tout avec notification »)
Cercle rouge avec X blanc Non protégé Activé Activer toutes les macros (non recommandé)

Important

La sécurisation des macros est importante. Pour les utilisateurs qui n’ont pas besoin de macros, désactivez toutes les macros en choisissant « Désactiver tout sans notification ».

Notre recommandation de base de référence de sécurité est que vous devez effectuer les opérations suivantes :

  • Activez la stratégie « Paramètres de notification de macro VBA ».
  • Pour les utilisateurs qui ont besoin de macros, choisissez « Désactiver toutes les macros à l’exception des macros signées numériquement », puis sélectionnez « Exiger que les macros soient signées par un éditeur approuvé ». Le certificat doit être installé en tant qu’éditeur approuvé sur les appareils des utilisateurs.

Si vous ne configurez pas la stratégie, les utilisateurs peuvent configurer les paramètres de protection des macros sous Fichier > Options > Centre de gestion de la confidentialité > Paramètres du Centre de gestion de la confidentialité... > Paramètres de macro.

Le tableau suivant présente les choix que les utilisateurs peuvent effectuer sous Paramètres de macro et le niveau de protection fourni par chaque paramètre.

Icône Niveau de protection Paramètre choisi
Cercle vert avec coche blanche Protégé Désactiver toutes les macros à l’exception des macros signées numériquement
Cercle vert avec coche blanche Protégé Désactiver toutes les macros sans notification
Cercle orange avec coche blanche Partiellement protégé Désactiver toutes les macros avec notification (par défaut)
Cercle rouge avec X blanc Non protégé Activer toutes les macros (non recommandé ; risque d’exécution de code potentiellement dangereux)

Notes

Dans les valeurs des paramètres de stratégie et l’interface utilisateur du produit pour Excel, le mot « all » est remplacé par « VBA ». Par exemple, « Désactiver les macros VBA sans notification ».

Outils disponibles pour gérer les stratégies

Plusieurs outils vous permettent de configurer et de déployer des paramètres de stratégie pour les utilisateurs de votre organisation.

Stratégie cloud

Vous pouvez utiliser la stratégie cloud pour configurer et déployer des paramètres de stratégie sur les appareils de votre organisation, même si l’appareil n’est pas joint à un domaine. La stratégie cloud est un outil web qui se trouve dans le centre d’administration Microsoft 365 Apps.

Dans Cloud Policy, vous créez une configuration de stratégie, vous l’affectez à un groupe, puis vous sélectionnez les stratégies à inclure dans la configuration de stratégie. Pour sélectionner une stratégie à inclure, vous pouvez effectuer une recherche en fonction du nom de la stratégie. La stratégie cloud indique également quelles stratégies font partie de la base de référence de sécurité recommandée par Microsoft. Les stratégies disponibles dans la stratégie cloud sont les mêmes stratégies de configuration utilisateur que dans la console de gestion stratégie de groupe.

Pour plus d’informations, consultez Vue d’ensemble du service Cloud Policy pour Microsoft 365.

Centre d’administration Microsoft Endpoint Manager

Dans le Centre d’administration Microsoft Endpoint Manager, vous pouvez utiliser le catalogue de paramètres (préversion) ou Modèles d'administration pour configurer et déployer des paramètres de stratégie pour vos utilisateurs pour les appareils exécutant Windows 10 ou version ultérieure.

Pour commencer, accédez à Appareils > Profils de configuration > Créer un profil. Pour Plateforme, choisissez Windows 10 et versions ultérieures, puis choisissez le type de profil.

Si vous souhaitez en savoir plus, consultez les articles suivants :

Console de gestion des stratégies de groupe

Si Windows Server et Services de domaine Active Directory (AD DS) sont déployés dans votre organisation, vous pouvez configurer des stratégies à l’aide de stratégie de groupe. Pour utiliser Stratégie de groupe, téléchargez les Fichiers de modèle d’administration les plus courants (ADMX/ADML) pour Office, qui incluent les paramètres de stratégie pour Applications Microsoft 365 pour Entreprise. Après avoir copié les fichiers du modèle d’administration dans AD DS, vous pouvez utiliser la console de gestion des stratégies de groupe pour créer des objets de stratégie de groupe (GPO) qui incluent des paramètres de stratégie pour vos utilisateurs et pour les périphériques joints au domaine.