Utilisez la page Soumissions pour envoyer des courriers indésirables suspects, des hameçonnages, des URL, des e-mails légitimes bloqués et des pièces jointes à Microsoft

Conseil

Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender XDR pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai ici.

Dans les organisations Microsoft 365 disposant de boîtes aux lettres Exchange Online, les administrateurs peuvent utiliser la page Soumissions du portail Microsoft Defender pour envoyer des messages, des URL et des pièces jointes à Microsoft à des fins d’analyse. Il existe deux types de soumissions d’administrateur de base :

  • Envois d’origine Administration : les administrateurs identifient et signalent les messages, les pièces jointes ou les URL (entités) en sélectionnant Envoyer à Microsoft pour analyse dans les onglets de la page Soumissions, comme décrit dans la section Soumissions d’origine Administration.

    Une fois que l’administrateur a signalé l’entité, une entrée s’affiche sous l’onglet correspondant de la page Soumissions (à l’exception de l’onglet Utilisateur signalé ).

  • Administration envoi des messages signalés par l’utilisateur : l’expérience de création de rapports utilisateur intégrée est activée et configurée. Les messages signalés par l’utilisateur apparaissent sous l’onglet Utilisateur signalé sur la page Soumissions , et les administrateurs envoient ou soumettent à nouveau les messages à Microsoft à partir de l’onglet Utilisateur signalé .

    Une fois qu’un administrateur a envoyé le message à partir de l’onglet Utilisateur signalé , une entrée est également créée dans l’onglet correspondant de la page Soumissions (par exemple, l’onglet E-mails ). Ces types de soumissions d’administrateur sont décrits dans la section options Administration pour les messages signalés par l’utilisateur.

Lorsque les administrateurs envoient des messages à Microsoft à des fins d’analyse, nous effectuons les vérifications suivantes :

  • Email case activée d’authentification (messages électroniques uniquement) : indique si l’authentification par e-mail a réussi ou échoué lors de sa remise.
  • Accès à la stratégie : informations sur les stratégies ou les remplacements qui ont pu autoriser ou bloquer le courrier entrant dans le organization, ce qui a remplacé nos verdicts de filtrage.
  • Réputation/détonation de charge utile : examen à jour des URL et pièces jointes du message.
  • Analyse de l’indicateur de notation : examen effectué par les vérificateurs humains pour vérifier si les messages sont malveillants ou non.

Importante

Dans les organisations gouvernementales américaines (Microsoft 365 GCC, GCC High et DoD), les administrateurs peuvent envoyer des messages électroniques à Microsoft à des fins d’analyse, mais les messages sont analysés uniquement pour l’authentification par e-mail et les accès à la stratégie. La réputation de la charge utile, la détonation et l’analyse du niveleur ne sont pas effectuées pour des raisons de conformité (les données ne sont pas autorisées à quitter la limite organization).

Regardez cette courte vidéo pour découvrir comment utiliser les soumissions d’administrateur dans Microsoft Defender pour Office 365 pour envoyer des messages à Microsoft à des fins d’évaluation.

Pour plus d’informations sur la façon dont les utilisateurs peuvent envoyer des messages et des fichiers à Microsoft, consultez Signaler des messages et des fichiers à Microsoft.

Pour connaître d’autres façons dont les administrateurs peuvent signaler des messages à Microsoft dans le portail Defender, consultez Paramètres de création de rapports associés pour les administrateurs.

Ce qu'il faut savoir avant de commencer

  • Vous ouvrez le portail Microsoft Defender à l’adresse https://security.microsoft.com/. Pour accéder directement à la page Soumissions , utilisez https://security.microsoft.com/reportsubmission.

  • Vous devez disposer d’autorisations pour pouvoir effectuer les procédures décrites dans cet article. Vous avez le choix parmi les options suivantes :

  • Les administrateurs peuvent envoyer des messages électroniques de 30 jours s’ils sont toujours disponibles dans la boîte aux lettres et n’ont pas été vidés par l’utilisateur ou un administrateur.

  • Administration soumissions sont limitées aux taux suivants :

    • Nombre maximal de soumissions sur une période de 15 minutes : 150 soumissions
    • Mêmes soumissions dans une période de 24 heures : Trois soumissions
    • Mêmes soumissions dans une période de 15 minutes : Une soumission
  • Si l’utilisateur a signalé les paramètres dans le organization envoyer des messages signalés par l’utilisateur (e-mail et Microsoft Teams) à Microsoft (exclusivement ou en plus de la boîte aux lettres de création de rapports), nous effectuons les mêmes vérifications que lorsque les administrateurs envoient des messages à Microsoft à des fins d’analyse à partir de la page Soumissions. Par conséquent, l’envoi ou la soumission de messages à Microsoft est utile aux administrateurs uniquement pour les messages qui n’ont jamais été envoyés à Microsoft, ou lorsque vous n’êtes pas d’accord avec le verdict d’origine.

  • Un onglet Fichiers est disponible dans la page Soumissions uniquement dans les organisations avec Microsoft Defender XDR ou Microsoft Defender pour point de terminaison Plan 2. Pour obtenir des informations et des instructions sur l’envoi de fichiers à partir de l’onglet Fichiers, consultez Envoyer des fichiers dans Microsoft Defender pour point de terminaison.

Administration soumissions

Conseil

L’onglet dans lequel vous sélectionnez Envoyer à Microsoft pour analyse n’a pas particulièrement d’importance, tant que vous définissez Sélectionner le type de soumission sur la valeur correcte.

Signaler un e-mail douteux à Microsoft

  1. Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Actions & soumissions>. Ou, pour accéder directement à la page Soumissions , utilisez https://security.microsoft.com/reportsubmission.

  2. Dans la page Soumissions , vérifiez que l’onglet E-mails est sélectionné.

  3. Sous l’onglet E-mails , sélectionnez Envoyer à Microsoft à des fins d’analyse.

  4. Dans la première page du menu volant Envoyer à Microsoft pour analyse qui s’ouvre, entrez les informations suivantes :

    • Sélectionnez le type de soumission : vérifiez que la valeur Email est sélectionnée.

    • Ajoutez l’ID de message réseau ou chargez le fichier e-mail : sélectionnez l’une des options suivantes :

      • Ajouter l’ID de message réseau de messagerie : la valeur GUID est disponible dans l’en-tête X-MS-Exchange-Organization-Network-Message-Id dans le message ou dans l’en-tête X-MS-Office365-Filtering-Correlation-Id dans les messages mis en quarantaine.
      • Charger le fichier e-mail (.msg ou .eml) : sélectionnez Parcourir les fichiers. Dans la boîte de dialogue qui s’ouvre, recherchez et sélectionnez le fichier .eml ou .msg, puis sélectionnez Ouvrir.
    • Choisissez au moins un destinataire qui a rencontré un problème : spécifiez les destinataires sur lesquels exécuter une stratégie case activée. La stratégie case activée détermine si l’e-mail a contourné l’analyse en raison de stratégies d’utilisateur ou de organization ou d’un remplacement.

    • Pourquoi envoyez-vous ce message à Microsoft ? : Sélectionnez l’une des valeurs suivantes :

      • Cela semble suspect : sélectionnez cette valeur si vous n’êtes pas sûr et que vous souhaitez obtenir un verdict de Microsoft, sélectionnez Envoyer, puis passez à l’étape 6.

      ou

      • J’ai confirmé qu’il s’agit d’une menace : sélectionnez cette valeur si vous êtes sûr que l’élément est malveillant, puis sélectionnez l’une des valeurs suivantes dans la section Choisir une catégorie qui s’affiche :

        • Hameçonnage
        • Programme malveillant
        • Courrier indésirable

        Sélectionnez Suivant.

        Envoyez un e-mail faux négatif (incorrect) à Microsoft à des fins d’analyse sur la page Soumissions du portail Defender.

  5. Dans la deuxième page du menu volant Envoyer à Microsoft pour analyse qui s’ouvre, effectuez l’une des étapes suivantes :

    • Sélectionnez Envoyer.

    ou

    • Sélectionnez Bloquer tous les e-mails de cet expéditeur ou domaine : cette option crée une entrée de bloc pour le domaine ou l’adresse e-mail de l’expéditeur dans la liste verte/bloquée du locataire. Pour plus d’informations sur la liste verte/bloquée des locataires, consultez Gérer les autorisations et les blocs dans la liste verte/bloquée des locataires.

      Une fois cette option sélectionnée, les paramètres suivants sont disponibles :

      • Par défaut, Expéditeur est sélectionné, mais vous pouvez sélectionner Domaine à la place.
      • Supprimer l’entrée de bloc après : La valeur par défaut est 30 jours, mais vous pouvez sélectionner parmi les valeurs suivantes :
        • 1 jour
        • 7 jours
        • 30 jours
        • N’expirez jamais
        • Date spécifique : la valeur maximale est de 30 jours à partir d’aujourd’hui.
      • Note d’entrée de blocage (facultatif) : entrez des informations facultatives sur la raison pour laquelle vous bloquez cet élément.

      Lorsque vous avez terminé sur la deuxième page du menu volant Envoyer à Microsoft pour analyse , sélectionnez Envoyer.

      Indiquez s’il faut créer une entrée de bloc correspondante pour le domaine ou l’adresse e-mail de l’expéditeur dans la liste verte/bloquée du locataire.

  6. Sélectionnez Terminé.

Après quelques instants, l’entrée de bloc est disponible sous l’onglet Domaines & adresses de la page Autoriser/Bloquer le locataire Listes à l’adresse https://security.microsoft.com/tenantAllowBlockList?viewid=Sender.

Signaler des pièces jointes d’e-mail douteuses à Microsoft

  1. Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Actions & soumissions>. Ou, pour accéder directement à la page Soumissions , utilisez https://security.microsoft.com/reportsubmission.

  2. Dans la page Soumissions, sélectionnez l’onglet Email pièces jointes.

  3. Sous l’onglet Email pièces jointes, sélectionnez Envoyer à Microsoft pour analyse.

  4. Dans la première page du menu volant Envoyer à Microsoft pour analyse qui s’ouvre, entrez les informations suivantes :

    • Sélectionnez le type de soumission : vérifiez que la valeur Email pièce jointe est sélectionnée.

    • Fichier : sélectionnez Parcourir les fichiers pour rechercher et sélectionner le fichier à envoyer.

    • Pourquoi envoyez-vous cette pièce jointe à Microsoft ? : sélectionnez l’une des valeurs suivantes :

      • Cela semble suspect : sélectionnez cette valeur si vous n’êtes pas sûr et que vous souhaitez obtenir un verdict de Microsoft, sélectionnez Envoyer, puis passez à l’étape 6.

      ou

      • J’ai confirmé qu’il s’agit d’une menace : sélectionnez cette valeur si vous êtes sûr que l’élément est malveillant, puis sélectionnez l’une des valeurs suivantes dans la section Choisir une catégorie qui s’affiche :

        • Hameçonnage
        • Programme malveillant

        Sélectionnez Suivant.

        Envoyez une pièce jointe d’e-mail faux négatif (incorrect) à Microsoft à des fins d’analyse sur la page Soumissions du portail Defender.

  5. Dans la deuxième page du menu volant Envoyer à Microsoft pour analyse qui s’ouvre, effectuez l’une des étapes suivantes :

    • Sélectionnez Envoyer.

    ou

    • Sélectionnez Bloquer ce fichier : cette option crée une entrée de bloc pour le fichier dans la liste verte/bloquée du locataire. Pour plus d’informations sur la liste verte/bloquée des locataires, consultez Gérer les autorisations et les blocs dans la liste verte/bloquée des locataires.

      Une fois cette option sélectionnée, les paramètres suivants sont disponibles :

      • Supprimer l’entrée de bloc après : La valeur par défaut est 30 jours, mais vous pouvez sélectionner parmi les valeurs suivantes :
        • 1 jour
        • 7 jours
        • 30 jours
        • N’expirez jamais
        • Date spécifique : la valeur maximale est de 30 jours à partir d’aujourd’hui.
      • Note d’entrée de blocage (facultatif) : entrez des informations facultatives sur la raison pour laquelle vous bloquez cet élément.

      Lorsque vous avez terminé dans le menu volant Envoyer à Microsoft pour analyse , sélectionnez Envoyer.

    Indiquez s’il faut créer une entrée de bloc correspondante pour le fichier dans la liste verte/bloquée du locataire.

  6. Sélectionnez Terminé.

Après quelques instants, l’entrée de bloc est disponible sous l’onglet Fichiers de la page Autoriser/Bloquer du locataire Listes à l’adresse https://security.microsoft.com/tenantAllowBlockList?viewid=FileHash.

Signaler des URL douteuses à Microsoft

  1. Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Actions & soumissions>. Ou, pour accéder directement à la page Soumissions , utilisez https://security.microsoft.com/reportsubmission.

  2. Dans la page Soumissions , sélectionnez l’onglet URL .

  3. Sous l’onglet URL , sélectionnez Envoyer à Microsoft pour analyse.

  4. Dans le menu volant Envoyer à Microsoft pour analyse qui s’ouvre, entrez les informations suivantes :

    • Sélectionnez le type de soumission : vérifiez que l’URL de la valeur est sélectionnée.

    • URL : entrez l’URL complète (par exemple, https://www.fabrikam.com/marketing.html), puis sélectionnez-la dans la zone qui s’affiche. Vous pouvez entrer jusqu’à 50 URL à la fois.

    • Pourquoi envoyez-vous cette URL à Microsoft ? : sélectionnez l’une des valeurs suivantes :

      • Cela semble suspect : sélectionnez cette valeur si vous n’êtes pas sûr et que vous souhaitez obtenir un verdict de Microsoft, sélectionnez Envoyer, puis passez à l’étape 6.

      ou

      • J’ai confirmé qu’il s’agit d’une menace : sélectionnez cette valeur si vous êtes sûr que l’élément est malveillant, puis sélectionnez l’une des valeurs suivantes dans la section Choisir une catégorie qui s’affiche :

        • Hameçonnage
        • Programme malveillant

        Sélectionnez Suivant.

        Envoyez une URL faussement négative (incorrecte) à Microsoft à des fins d’analyse sur la page Soumissions du portail Defender.

  5. Dans la deuxième page du menu volant Envoyer à Microsoft pour analyse qui s’ouvre, effectuez l’une des étapes suivantes :

    • Sélectionnez Envoyer.

    ou

    • Sélectionnez Bloquer cette URL : cette option crée une entrée de bloc pour l’URL dans la liste verte/bloquée du locataire. Pour plus d’informations sur la liste verte/bloquée des locataires, consultez Gérer les autorisations et les blocs dans la liste verte/bloquée des locataires.

      Une fois cette option sélectionnée, les paramètres suivants sont disponibles :

      • Supprimer l’entrée de bloc après : La valeur par défaut est 30 jours, mais vous pouvez sélectionner parmi les valeurs suivantes :
        • 1 jour
        • 7 jours
        • 30 jours
        • N’expirez jamais
        • Date spécifique : la valeur maximale est de 30 jours à partir d’aujourd’hui.
      • Note d’entrée de blocage (facultatif) : entrez des informations facultatives sur la raison pour laquelle vous bloquez cette itme.

      Lorsque vous avez terminé dans le menu volant Envoyer à Microsoft pour analyse , sélectionnez Envoyer.

    Indiquez s’il faut créer une entrée de bloc correspondante pour l’URL dans la liste verte/bloquée du locataire.

  6. Sélectionnez Terminé.

Après quelques instants, l’entrée de bloc est disponible sous l’onglet URL de la page Autoriser/Bloquer du locataire Listes à l’adresse https://security.microsoft.com/tenantAllowBlockList?viewid=Url.

Signaler un bon e-mail à Microsoft

  1. Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Actions & soumissions>. Ou, pour accéder directement à la page Soumissions , utilisez https://security.microsoft.com/reportsubmission.

  2. Dans la page Soumissions , vérifiez que l’onglet E-mails est sélectionné.

  3. Sous l’onglet E-mails , sélectionnez Envoyer à Microsoft à des fins d’analyse.

  4. Dans la première page du menu volant Envoyer à Microsoft pour analyse qui s’ouvre, entrez les informations suivantes :

    • Sélectionnez le type de soumission : vérifiez que la valeur Email est sélectionnée.

    • Ajoutez l’ID de message réseau ou chargez le fichier e-mail : sélectionnez l’une des options suivantes :

      • Ajouter l’ID de message réseau de messagerie : la valeur GUID est disponible dans l’en-tête X-MS-Exchange-Organization-Network-Message-Id dans le message ou dans l’en-tête X-MS-Office365-Filtering-Correlation-Id dans les messages mis en quarantaine.
      • Charger le fichier e-mail (.msg ou .eml) : sélectionnez Parcourir les fichiers. Dans la boîte de dialogue qui s’ouvre, recherchez et sélectionnez le fichier .eml ou .msg, puis sélectionnez Ouvrir.
    • Choisissez au moins un destinataire qui a rencontré un problème : spécifiez les destinataires sur lesquels exécuter une stratégie case activée. La stratégie case activée détermine si l’e-mail a été bloqué en raison de stratégies ou de remplacements d’utilisateur ou de organization.

    • Pourquoi envoyez-vous ce message à Microsoft ? : Sélectionnez l’une des valeurs suivantes :

      • Il apparaît propre : sélectionnez cette valeur si vous n’êtes pas sûr et que vous souhaitez obtenir un verdict de Microsoft, sélectionnez Envoyer, puis passez à l’étape 6.

      ou

      • J’ai confirmé qu’il est propre : sélectionnez cette valeur si vous êtes sûr que l’élément est propre, puis sélectionnez Suivant

    Envoyez un e-mail (bon) faux positif à Microsoft à des fins d’analyse sur la page Soumissions du portail Defender.

  5. Dans la deuxième page du menu volant Envoyer à Microsoft pour analyse qui s’ouvre, effectuez l’une des étapes suivantes :

    • Sélectionnez Envoyer.

    ou

    • Sélectionnez Autoriser ce message : cette option crée une entrée d’autorisation pour les éléments du message dans la liste verte/bloquée du locataire. Pour plus d’informations sur la liste verte/bloquée des locataires, consultez Gérer les autorisations et les blocs dans la liste verte/bloquée des locataires.

      Une fois cette option sélectionnée, les paramètres suivants sont disponibles :

      • Supprimer l’entrée autorisée après : La valeur par défaut est 30 jours, mais vous pouvez sélectionner parmi les valeurs suivantes :

        • 1 jour
        • 7 jours
        • 30 jours
        • Date spécifique : la valeur maximale est de 30 jours à partir d’aujourd’hui.

        Pour les expéditeurs usurpés, cette valeur n’a aucune signification, car les entrées pour les expéditeurs usurpés n’expirent jamais.

      • Autoriser la note d’entrée (facultatif) : entrez des informations facultatives sur la raison pour laquelle vous autorisez cet élément. Pour les expéditeurs usurpés, les valeurs que vous entrez ici ne sont pas affichées dans l’entrée d’autorisation sous l’onglet Expéditeurs usurpés de la page Autoriser/Bloquer le locataire Listes.

      Lorsque vous avez terminé sur la deuxième page du menu volant Envoyer à Microsoft pour analyse , sélectionnez Envoyer.

      Indiquez s’il faut créer une entrée d’autorisation correspondante pour les éléments du message dans la liste verte/bloquée du locataire.

  6. Sélectionnez Terminé.

Après quelques instants, les entrées d’autorisation associées s’affichent dans les onglets Domaines & adresses, Expéditeurs usurpés, URL ou Fichiers de la page Autoriser/Bloquer du locataire Listes à l’adresse https://security.microsoft.com/tenantAllowBlockList.

Importante

  • Les entrées d’autorisation sont ajoutées pendant le flux de messagerie en fonction des filtres qui ont déterminé que le message était malveillant. Par exemple, si l’adresse e-mail de l’expéditeur et une URL dans le message ont été jugées incorrectes, une entrée d’autorisation est créée pour l’expéditeur (adresse e-mail ou domaine) et l’URL.
  • Si notre système de filtrage ne trouve pas que l’adresse e-mail de l’expéditeur est malveillante, l’envoi de l’e-mail à Microsoft ne crée pas d’entrée d’autorisation dans la liste verte/bloquée du locataire.
  • Lorsqu’un domaine ou une adresse e-mail autorisé, un expéditeur usurpé, une URL ou un fichier (entité) est à nouveau rencontré, tous les filtres associés à l’entité sont ignorés. Pour les messages électroniques, toutes les autres entités sont toujours évaluées par le système de filtrage avant de prendre une décision.
  • Pendant le flux de messagerie, si les messages du domaine ou de l’adresse e-mail autorisés passent d’autres vérifications dans la pile de filtrage, les messages sont remis. Par exemple, si un message réussit les vérifications d’authentification par e-mail, un message provenant d’une adresse e-mail de l’expéditeur autorisé est remis.
  • Par défaut, les entrées d’autorisation pour les domaines et les adresses de messagerie existent pendant 30 jours. Pendant ces 30 jours, Microsoft apprend des entrées d’autorisation et les supprime ou les étend automatiquement. Une fois que Microsoft a appris des entrées d’autorisation supprimées, les messages de ces domaines ou adresses e-mail sont remis, sauf si un autre élément du message est détecté comme malveillant. Par défaut, les entrées autorisées pour les expéditeurs usurpés n’expirent jamais.
  • Pour les messages qui ont été bloqués de manière incorrecte par la protection contre l’emprunt d’identité de domaine ou d’utilisateur, l’entrée d’autorisation pour le domaine ou l’expéditeur n’est pas créée dans la liste verte/bloquée du locataire. Au lieu de cela, le domaine ou l’expéditeur est ajouté à la section Expéditeurs et domaines approuvés dans la stratégie anti-hameçonnage qui a détecté le message.
  • Lorsque vous remplacez le verdict dans l’insight d’intelligence de l’usurpation d’identité, l’expéditeur usurpé devient une entrée d’autorisation ou de blocage manuelle qui apparaît uniquement sur les expéditeurs usurpés sur la page Autoriser/Bloquer du locataire Listes à l’adressehttps://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem.

Signaler des pièces jointes correctes à Microsoft

  1. Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Actions & soumissions>. Ou, pour accéder directement à la page Soumissions , utilisez https://security.microsoft.com/reportsubmission.

  2. Dans la page Soumissions, sélectionnez l’onglet Email pièces jointes.

  3. Sous l’onglet Email pièces jointes, sélectionnez Envoyer à Microsoft pour analyse.

  4. Dans le menu volant Envoyer à Microsoft pour analyse qui s’ouvre, entrez les informations suivantes :

    • Sélectionnez le type de soumission : vérifiez que la valeur Email pièce jointe est sélectionnée.

    • Fichier : sélectionnez Parcourir les fichiers pour rechercher et sélectionner le fichier à envoyer.

    • Pourquoi envoyez-vous le message à Microsoft ? : Sélectionnez l’une des valeurs suivantes :

      • Il apparaît propre : sélectionnez cette valeur si vous n’êtes pas sûr et que vous souhaitez obtenir un verdict de Microsoft, sélectionnez Envoyer, puis passez à l’étape 6.

      ou

      • J’ai confirmé qu’il est propre : sélectionnez cette valeur si vous êtes sûr que l’élément est propre, puis sélectionnez Suivant.

    Envoyez une pièce jointe de faux positifs (bon) e-mail à Microsoft à des fins d’analyse sur la page Soumissions du portail Defender.

  5. Dans la deuxième page du menu volant Envoyer à Microsoft pour analyse qui s’ouvre, effectuez l’une des étapes suivantes :

    • Sélectionnez Envoyer.

    ou

    • Sélectionnez Autoriser ce fichier : cette option crée une entrée d’autorisation pour le fichier dans la liste verte/bloquée du locataire. Pour plus d’informations sur la liste verte/bloquée des locataires, consultez Gérer les autorisations et les blocs dans la liste verte/bloquée des locataires.

      Une fois cette option sélectionnée, les paramètres suivants sont disponibles :

      • Supprimer l’entrée autorisée après : La valeur par défaut est 30 jours, mais vous pouvez sélectionner parmi les valeurs suivantes :
        • 1 jour
        • 7 jours
        • 30 jours
        • Date spécifique : la valeur maximale est de 30 jours à partir d’aujourd’hui.
      • Note d’entrée de blocage (facultatif) : entrez des informations facultatives sur la raison pour laquelle vous bloquez cet élément.

      Lorsque vous avez terminé sur la deuxième page du menu volant Envoyer à Microsoft pour analyse , sélectionnez Envoyer.

    Indiquez s’il faut créer une entrée d’autorisation correspondante pour le fichier dans la liste verte/bloquée du locataire.

  6. Sélectionnez Terminé.

Après quelques instants, l’entrée d’autorisation est disponible sous l’onglet Fichiers de la page Liste verte/bloquée du locataire . Pour plus d’informations sur la liste verte/bloquée des locataires, consultez Gérer les autorisations et les blocs dans la liste verte/bloquée des locataires.

Importante

  • Par défaut, les entrées autorisées pour les fichiers existent pendant 30 jours. Pendant ces 30 jours, Microsoft apprend des entrées d’autorisation et les supprime ou les étend automatiquement. Une fois que Microsoft a appris des entrées d’autorisation supprimées, les messages qui contiennent ces fichiers sont remis, sauf si un autre élément du message est détecté comme malveillant.
  • Lorsque le fichier est à nouveau rencontré pendant le flux de messagerie, la détonation des pièces jointes fiables ou les vérifications de réputation des fichiers et tous les autres filtres basés sur les fichiers sont remplacés. Si le système de filtrage détermine que toutes les autres entités du message électronique sont propre, le message est remis.
  • Lors de la sélection, tous les filtres basés sur les fichiers, y compris la détonation des pièces jointes fiables ou les vérifications de réputation des fichiers sont remplacés, ce qui permet à l’utilisateur d’accéder au fichier.

Signaler de bonnes URL à Microsoft

Pour les URL signalées comme faux positifs, nous autorisons les messages suivants qui contiennent des variantes de l’URL d’origine. Par exemple, vous utilisez la page Soumissions pour signaler l’URL www.contoso.com/abcincorrectement bloquée. Si votre organization reçoit ultérieurement un message contenant l’URL (par exemple, mais sans s’y limiter : www.contoso.com/abc, www.contoso.com/abc?id=1, www.contoso.com/abc/def/gty/uyt?id=5ou www.contoso.com/abc/whatever), le message ne sera pas bloqué en fonction de l’URL. En d’autres termes, vous n’avez pas besoin de signaler plusieurs variantes de la même URL à Microsoft.

  1. Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Actions & soumissions>. Ou, pour accéder directement à la page Soumissions , utilisez https://security.microsoft.com/reportsubmission.

  2. Dans la page Soumissions, sélectionnez l’onglet URL

  3. Sous l’onglet URL , sélectionnez Envoyer à Microsoft pour analyse.

  4. Dans le menu volant Envoyer à Microsoft pour analyse qui s’ouvre, entrez les informations suivantes :

    • Sélectionnez le type de soumission : vérifiez que l’URL de la valeur est sélectionnée.

    • URL : entrez l’URL complète (par exemple, https://www.fabrikam.com/marketing.html), puis sélectionnez-la dans la zone qui s’affiche. Vous pouvez également fournir un domaine de niveau supérieur (par exemple, https://www.fabrikam.com/*), puis le sélectionner dans la zone qui s’affiche. Vous pouvez entrer jusqu’à 50 URL à la fois.

    • Pourquoi envoyez-vous cette URL à Microsoft ? : sélectionnez l’une des valeurs suivantes :

      • Il apparaît propre : sélectionnez cette valeur si vous n’êtes pas sûr et que vous souhaitez obtenir un verdict de Microsoft, sélectionnez Envoyer, puis passez à l’étape 6.

      ou

      • J’ai confirmé qu’il est propre : sélectionnez cette valeur si vous êtes sûr que l’élément est propre, puis sélectionnez Suivant.

        Envoyez une (bonne) URL de faux positif à Microsoft pour analyse sur la page Soumissions du portail Defender.

  5. Dans la deuxième page du menu volant Envoyer à Microsoft pour analyse qui s’ouvre, effectuez l’une des étapes suivantes :

    • Sélectionnez Envoyer.

    ou

    • Sélectionnez Autoriser cette URL : cette option crée une entrée d’autorisation pour l’URL dans la liste verte/bloquée du locataire. Pour plus d’informations sur la liste verte/bloquée des locataires, consultez Gérer les autorisations et les blocs dans la liste verte/bloquée des locataires.

      Une fois cette option sélectionnée, les paramètres suivants sont disponibles :

      • Supprimer l’entrée de bloc après : La valeur par défaut est 30 jours, mais vous pouvez sélectionner parmi les valeurs suivantes :
        • 1 jour
        • 7 jours
        • 30 jours
        • Date spécifique : la valeur maximale est de 30 jours à partir d’aujourd’hui.
      • Autoriser la note d’entrée (facultatif) : entrez des informations facultatives sur la raison pour laquelle vous autorisez cet élément.

      Lorsque vous avez terminé sur la deuxième page du menu volant Envoyer à Microsoft pour analyse , sélectionnez Envoyer.

    Indiquez s’il faut créer une entrée d’autorisation correspondante pour l’URL dans la liste verte/bloquée du locataire.

  6. Sélectionnez Terminé.

Après quelques instants, l’entrée d’autorisation est disponible sous l’onglet URL de la page Autoriser/Bloquer du locataire Listes à l’adressehttps://security.microsoft.com/tenantAllowBlockList?viewid=Url.

Remarque

  • Par défaut, les entrées d’autorisation pour les URL existent pendant 30 jours. Pendant ces 30 jours, Microsoft apprend des entrées d’autorisation et les supprime ou les étend automatiquement. Une fois que Microsoft a appris des entrées d’autorisation supprimées, les messages qui contiennent ces URL sont remis, sauf si un autre élément du message est détecté comme malveillant.
  • Lorsque l’URL est à nouveau rencontrée pendant le flux de messagerie, la détonation des liens fiables ou les vérifications de réputation d’URL et tous les autres filtres basés sur l’URL sont remplacés. Si le système de filtrage détermine que toutes les autres entités du message électronique sont propre, le message est remis.
  • Lors de la sélection, tous les filtres basés sur une URL, y compris la détonation des liens fiables ou les vérifications de réputation d’URL sont remplacés, ce qui permet à l’utilisateur d’accéder au contenu au niveau de l’URL.

Signaler des messages Teams à Microsoft

Vous ne pouvez pas envoyer de messages Teams à partir de l’onglet Messages Teams de la page Soumissions . La seule façon de soumettre un message Teams à Microsoft à des fins d’analyse consiste à envoyer un message Teams signalé par un utilisateur à partir de l’onglet Utilisateur signalé , comme décrit dans la section Envoyer des messages signalés par l’utilisateur à Microsoft à des fins d’analyse plus loin dans cet article.

Les entrées de l’onglet Messages Teams sont le résultat de l’envoi d’un message Teams signalé par l’utilisateur à Microsoft. Pour plus d’informations, consultez la section Afficher les soumissions d’administrateur converties plus loin dans cet article.

Afficher les envois par e-mail de l’administrateur à Microsoft

Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Actions & soumissions>. Ou, pour accéder directement à la page Soumissions , utilisez https://security.microsoft.com/reportsubmission.

Dans la page Soumissions , vérifiez que l’onglet E-mails est sélectionné.

Sous l’onglet E-mails , vous pouvez filtrer rapidement l’affichage en sélectionnant l’un des filtres rapides disponibles :

  • Pending
  • Terminée

Filtres rapides disponibles pour les soumissions d’administrateur sous l’onglet E-mails de la page Soumissions.

Vous pouvez trier les entrées en cliquant sur un en-tête de colonne disponible. Sélectionnez Personnaliser les colonnes pour modifier les colonnes affichées. Les valeurs par défaut sont marquées d'un astérisque (*) :

  • Nom de la soumission*
  • Expéditeur*
  • Destinataire
  • Soumis par*
  • Date de soumission*
  • Motif de l’envoi*
  • Statut*
  • Résultat*
  • Raison de la remise/du blocage
  • ID de soumission
  • ID de message réseau
  • Direction
  • IP de l’expéditeur
  • Niveau conforme en bloc (BCL)
  • Destination
  • Action de stratégie
  • Simulation de hameçonnage
  • Balises* : pour plus d’informations sur les balises utilisateur, consultez Balises utilisateur.
  • Action

Pour regrouper les entrées, sélectionnez Grouper , puis sélectionnez l’une des valeurs suivantes :

  • Raison
  • État
  • Résultat
  • Tags

Pour dissocier les entrées, sélectionnez Aucune.

Pour filtrer les entrées, sélectionnez Filtrer. Les filtres suivants sont disponibles dans le menu volant Filtrer qui s’ouvre :

  • Date d’envoi : valeurs date de début et date de fin .
  • ID de soumission : valeur GUID affectée à chaque soumission.
  • ID de message réseau
  • Sender
  • Destinataire
  • Nom de la soumission
  • Soumis par
  • Motif de l’envoi : l’une des valeurs suivantes :
    • Pas de courrier indésirable
    • Apparaît propre
    • Semble suspect
    • Hameçonnage
    • Programme malveillant
    • Courrier indésirable.
  • État : En attente et Terminé.
  • Balises : toutes ou sélectionnez les balises utilisateur dans la liste déroulante.

Lorsque vous avez terminé le menu volant Filtrer , sélectionnez Appliquer. Pour effacer les filtres, sélectionnez Effacer les filtres.

Utilisez Exporter pour exporter la liste des entrées dans un fichier CSV.

Afficher les soumissions d’administrateur Teams à Microsoft

Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à la page Soumissions à l’emplacement Actions & soumissions>. Pour accéder directement à la page Soumissions , utilisez https://security.microsoft.com/reportsubmission.

Dans la page Soumissions , sélectionnez l’onglet Messages Teams .

Vous pouvez trier les entrées en cliquant sur un en-tête de colonne disponible. Sélectionnez Personnaliser les colonnes pour modifier les colonnes affichées. Les valeurs par défaut sont marquées d'un astérisque (*) :

  • Nom de la soumission*
  • Sup* de l’expéditeur>
  • Date de soumission*
  • Motif de l’envoi*
  • Soumis par
  • Statut*
  • Résultat*
  • Destinataire
  • ID de soumission
  • Teams message ID
  • Destination
  • Simulation de hameçonnage
  • Balises* : pour plus d’informations sur les balises utilisateur, consultez Balises utilisateur.

Pour regrouper les entrées, sélectionnez Grouper , puis sélectionnez l’une des valeurs suivantes :

  • Raison
  • État
  • Résultat
  • Tags

Pour dissocier les entrées, sélectionnez Aucune.

Pour filtrer les entrées, sélectionnez Filtrer. Les filtres suivants sont disponibles dans le menu volant Filtrer qui s’ouvre :

  • Date d’envoi : date de début et date de fin.
  • ID de soumission : valeur GUID affectée à chaque soumission.
  • Teams message ID
  • Sender
  • Destinataire
  • Message Teams
  • Soumis par
  • Motif de l’envoi : l’une des valeurs suivantes :
    • Pas de courrier indésirable
    • Apparaît propre
    • Semble suspect
    • Hameçonnage
    • Programme malveillant
  • État : En attente et Terminé.
  • Balises : toutes ou sélectionnez les balises utilisateur dans la liste déroulante.

Lorsque vous avez terminé le menu volant Filtrer , sélectionnez Appliquer. Pour effacer les filtres, sélectionnez Effacer les filtres.

Utilisez Exporter pour exporter la liste des entrées dans un fichier CSV.

Afficher les envois d’administration de pièces jointes à Microsoft

Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à la page Soumissions à l’emplacement Actions & soumissions>. Pour accéder directement à la page Soumissions , utilisez https://security.microsoft.com/reportsubmission.

Dans la page Soumissions, sélectionnez l’onglet Email pièces jointes.

Sous l’onglet Email pièces jointes, vous pouvez filtrer rapidement l’affichage en sélectionnant l’un des filtres rapides disponibles :

  • Pending
  • Terminée

Filtres rapides disponibles pour les soumissions d’administrateur sous l’onglet Email pièces jointes de la page Soumissions.

Vous pouvez trier les entrées en cliquant sur un en-tête de colonne disponible. Sélectionnez Personnaliser les colonnes pour modifier les colonnes affichées. Les valeurs par défaut sont marquées d'un astérisque (*) :

  • Nom de fichier de la pièce jointe*
  • Date de soumission*
  • Motif de l’envoi*
  • Statut*
  • Résultat*
  • Verdict de filtre
  • Raison de la remise/du blocage
  • ID de soumission
  • ID d’objet
  • Action de stratégie
  • Soumis par
  • Balises* : pour plus d’informations sur les balises utilisateur, consultez Balises utilisateur.
  • Action

Pour regrouper les entrées, sélectionnez Grouper , puis sélectionnez l’une des valeurs suivantes :

  • Raison
  • État
  • Résultat
  • Tags

Pour dissocier les entrées, sélectionnez Aucune.

Pour filtrer les entrées, sélectionnez Filtrer. Les filtres suivants sont disponibles dans le menu volant Filtrer qui s’ouvre :

  • Date d’envoi : date de début et date de fin.
  • ID de soumission : valeur GUID affectée à chaque soumission.
  • Nom de fichier des pièces jointes
  • Soumis par
  • Motif de l’envoi : l’une des valeurs suivantes :
    • Pas de courrier indésirable
    • Apparaît propre
    • Semble suspect
    • Hameçonnage
    • Programme malveillant
  • État : En attente et Terminé.
  • Balises : toutes ou sélectionnez les balises utilisateur dans la liste déroulante.

Lorsque vous avez terminé le menu volant Filtrer , sélectionnez Appliquer. Pour effacer les filtres, sélectionnez Effacer les filtres.

Utilisez Exporter pour exporter la liste des entrées dans un fichier CSV.

Afficher les soumissions d’administrateur d’URL à Microsoft

Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à la page Soumissions à l’emplacement Actions & soumissions>. Pour accéder directement à la page Soumissions , utilisez https://security.microsoft.com/reportsubmission.

Dans la page Soumissions , sélectionnez l’onglet URL .

Sous l’onglet URL , vous pouvez filtrer rapidement l’affichage en sélectionnant l’un des filtres rapides disponibles :

  • Pending
  • Terminée

Filtres rapides disponibles pour les soumissions d’administrateur sous l’onglet URL de la page Soumissions.

Vous pouvez trier les entrées en cliquant sur un en-tête de colonne disponible. Sélectionnez Personnaliser les colonnes pour modifier les colonnes affichées. Les valeurs par défaut sont marquées d'un astérisque (*) :

  • URL*
  • Date de soumission*
  • Motif de l’envoi*
  • Statut*
  • Résultat*
  • Verdict de filtre
  • Raison de la remise/du blocage
  • ID de soumission
  • ID d’objet
  • Action de stratégie
  • Soumis par
  • Balises* : pour plus d’informations sur les balises utilisateur, consultez Balises utilisateur.
  • Action

Pour regrouper les entrées, sélectionnez Grouper , puis sélectionnez l’une des valeurs suivantes :

  • Raison
  • État
  • Résultat
  • Tags

Pour dissocier les entrées, sélectionnez Aucune.

Pour filtrer les entrées, sélectionnez Filtrer. Les filtres suivants sont disponibles dans le menu volant Filtrer qui s’ouvre :

  • Date d’envoi : date de début et date de fin.
  • ID de soumission : valeur GUID affectée à chaque soumission.
  • URL
  • Soumis par
  • Motif de l’envoi : l’une des valeurs suivantes :
    • Pas de courrier indésirable
    • Apparaît propre
    • Semble suspect
    • Hameçonnage
    • Programme malveillant
  • État : En attente et Terminé.
  • Balises : toutes ou sélectionnez les balises utilisateur dans la liste déroulante.

Lorsque vous avez terminé le menu volant Filtrer , sélectionnez Appliquer. Pour effacer les filtres, sélectionnez Effacer les filtres.

Utilisez Exporter pour exporter la liste des entrées dans un fichier CSV.

Administration détails du résultat de la soumission

Email messages, messages Teams, pièces jointes et URL que les administrateurs envoient à Microsoft pour analyse sont disponibles dans les onglets correspondants de la page Soumissions.

Lorsque vous sélectionnez une entrée dans l’onglet en cliquant n’importe où dans la ligne autre que la zone de case activée en regard de la première colonne, renseignez les informations sur l’élément signalé d’origine, la status de l’élément signalé et les résultats d’analyse de l’élément signalé sont affichés dans le menu volant de détails qui s’ouvre :

  • En cas d’échec de l’authentification des e-mails de l’expéditeur au moment de la livraison.
  • Informations sur les stratégies ou les remplacements qui auraient pu affecter ou remplacer le verdict du message du système de filtrage.
  • Résultats actuels de la détonation pour voir si les URL ou les fichiers du message étaient malveillants ou non.
  • Commentaires des élèves.

Si une configuration de remplacement ou de stratégie a été trouvée, le résultat doit être disponible en quelques minutes. S’il n’y a pas eu de problème d’authentification par e-mail ou si la remise n’a pas été affectée par une substitution ou une stratégie, la détonation et les commentaires des nuanceurs peuvent prendre jusqu’à un jour.

Actions pour les soumissions d’administrateur dans Defender for Office 365 Plan 2

Dans les organisations disposant de Microsoft Defender pour Office 365 Plan 2 (licences d’extension ou incluses dans des abonnements comme Microsoft 365 E5), les actions suivantes sont disponibles pour les soumissions d’administrateur dans le menu volant de détails qui s’ouvre une fois que vous avez sélectionné une entrée dans la liste en cliquant n’importe où dans la ligne autre que la zone case activée :

  • Entité ouvrir l’e-mail : disponible dans le menu volant des détails des entrées sous l’onglet E-mails uniquement. Pour plus d’informations, consultez Guide pratique pour lire la page d’entité de messagerie.

  • Effectuer des actions : disponible dans le menu volant des détails des entrées sous l’onglet E-mails uniquement. Cette action démarre l’Assistant Action disponible sur la page d’entité de messagerie. Pour plus d’informations, consultez Actions que vous pouvez effectuer sur la page d’entité Email.

  • Afficher l’alerte. Une alerte est déclenchée lorsqu’une soumission d’administrateur est créée ou mise à jour. La sélection de cette action vous permet d’accéder aux détails de l’alerte.

  • Dans la section Détails des résultats, les liens suivants pour Threat Explorer peuvent également être disponibles, en fonction de la status et du résultat de l’élément signalé :

    • Affichez ce message dans Explorer onglet E-mails uniquement.
    • Recherchez des messages similaires dans Explorer : onglet E-mails uniquement.
    • Rechercher une URL ou un fichier : Email des pièces jointes ou des onglets d’URL uniquement.

Administration options pour les messages signalés par l’utilisateur

Les administrateurs peuvent voir ce que les utilisateurs signalent sous l’onglet Utilisateur signalé sur la page Soumissions si les affirmations suivantes sont vraies :

Remarques :

  • Les messages signalés par l’utilisateur qui sont envoyés à Microsoft uniquement ou à Microsoft, et la boîte aux lettres de création de rapports s’affiche sous l’onglet Utilisateur signalé . Bien que ces messages aient déjà été signalés à Microsoft, les administrateurs peuvent soumettre à nouveau les messages signalés.
  • Les messages signalés par l’utilisateur qui sont envoyés uniquement à la boîte aux lettres de rapports s’affichent sous l’onglet Utilisateur signalé avec la valeur RésultatNon envoyé à Microsoft. Les administrateurs doivent signaler ces messages à Microsoft à des fins d’analyse.

Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Actions & soumissions>. Ou, pour accéder directement à la page Soumissions , utilisez https://security.microsoft.com/reportsubmission.

Dans la page Soumissions , sélectionnez l’onglet Utilisateur signalé .

Les sous-sections suivantes décrivent les informations et les actions disponibles sous l’onglet Utilisateur signalé sur la page Soumissions .

Afficher les messages signalés par l’utilisateur à Microsoft

Sous l’onglet Utilisateur signalé , vous pouvez filtrer rapidement l’affichage en sélectionnant l’un des filtres rapides disponibles :

  • Menaces
  • Courrier indésirable
  • Aucune menace
  • Simulations

Filtres rapides sous l’onglet Utilisateur signalé dans la page Soumissions.

Vous pouvez trier les entrées en cliquant sur un en-tête de colonne disponible. Sélectionnez Personnaliser les colonnes pour modifier les colonnes affichées. Les valeurs par défaut sont marquées d'un astérisque (*) :

  • Nom et type*
  • Signalé par*
  • Date de signalement*
  • Expéditeur*
  • Motif signalé*
  • Résultat* : contient les informations suivantes pour les messages signalés en fonction des paramètres signalés par l’utilisateur :
    • Envoyer les messages signalés à>Microsoft et ma boîte aux lettres de création de rapports ou Microsoft uniquement : valeurs dérivées de l’analyse suivante :
      • Accès à la stratégie : informations sur les stratégies ou les remplacements qui ont pu autoriser ou bloquer les messages entrants, y compris les remplacements de nos verdicts de filtrage. Le résultat doit être disponible en quelques minutes. Sinon, la détonation et les commentaires des élèves pourraient prendre jusqu’à un jour.
      • Réputation/détonation de charge utile : examen à jour des URL et des fichiers dans le message.
      • Analyse de l’indicateur de notation : examen effectué par des vérificateurs humains afin de vérifier si les messages sont malveillants ou non.
    • Envoyer les messages signalés à>Ma boîte aux lettres de rapport uniquement : la valeur est toujours Non envoyée à Microsoft, car les messages n’ont pas été analysés par Microsoft.
  • ID de message signalé
  • ID de message réseau
  • Teams message ID
  • IP de l’expéditeur
  • Signalé à partir de
  • Simulation de hameçonnage
  • Converti en soumission d’administrateur
  • Marqué comme*
  • Marqué par*
  • Date marquée
  • Balises* : pour plus d’informations sur les balises utilisateur, consultez Balises utilisateur.

Pour regrouper les entrées, sélectionnez Grouper , puis sélectionnez l’une des valeurs suivantes :

  • Sender
  • Auteur du rapport
  • Résultat
  • Signalé à partir de
  • Converti en soumission d’administrateur
  • Tags

Pour dissocier les entrées, sélectionnez Aucune.

Pour filtrer les entrées, sélectionnez Filtrer. Les filtres suivants sont disponibles dans le menu volant Filtrer qui s’ouvre :

  • Date signalée : date de début et date de fin.
  • Auteur du rapport
  • Name
  • ID de message signalé
  • ID de message réseau
  • Teams message ID
  • Sender
  • Raison signalée : Les valeurs Aucune menace, Hameçonnage et Courrier indésirable.
  • Signalé à partir de : Les valeurs Microsoft et Tiers.
  • Simulation de hameçonnage : valeurs Oui et Non.
  • Converti en soumission d’administrateur : les valeurs Oui et Non.
  • Type de message : les valeurs Email et Teams.
  • Balises : toutes ou sélectionnez les balises utilisateur dans la liste déroulante.

Lorsque vous avez terminé le menu volant Filtrer , sélectionnez Appliquer. Pour effacer les filtres, sélectionnez Effacer les filtres.

Utilisez Exporter pour exporter la liste des entrées dans un fichier CSV.

Pour plus d’informations sur les actions disponibles pour les messages sous l’onglet Utilisateur signalé , consultez la sous-section suivante.

Administration actions pour les messages signalés par l’utilisateur

Sous l’onglet Utilisateur signalé , les actions pour les messages signalés par l’utilisateur sont disponibles sous l’onglet lui-même ou dans le menu volant de détails d’une entrée sélectionnée :

*Selon la nature et la status du message, certaines actions peuvent ne pas être disponibles, sont disponibles directement en haut du menu volant ou sont disponibles sous Autres actions en haut du menu volant.

Ces actions sont décrites dans les sous-sections suivantes.

Remarque

Une fois qu’un utilisateur a signalé un message suspect, l’utilisateur ou les administrateurs ne peuvent pas annuler le signalement du message, quel que soit l’endroit où le message signalé est envoyé (à la boîte aux lettres de rapport, à Microsoft, ou les deux). L’utilisateur peut récupérer le message signalé à partir de ses dossiers Éléments supprimés ou Courrier indésirable Email.

Envoyer les messages signalés par l’utilisateur à Microsoft à des fins d’analyse

Après avoir sélectionné le message sous l’onglet Utilisateur signalé , utilisez l’une des méthodes suivantes pour envoyer le message à Microsoft :

  • Sous l’onglet Utilisateur signalé : sélectionnez Envoyer à Microsoft pour analyse*.

  • Dans le menu volant de détails du message sélectionné : Sélectionnez Envoyer à Microsoft pour analyse ou Autres options>Envoyer à Microsoft pour analyse en haut du menu volant.

Dans le menu volant Envoyer à Microsoft pour analyse qui s’ouvre, effectuez les étapes suivantes selon que le message est un message électronique ou un message Teams :

  • Email messages :

    • Pourquoi envoyez-vous ce message à Microsoft ? : Sélectionnez l’une des valeurs suivantes :
      • Il apparaît propre ou Il semble suspect : sélectionnez l’une de ces valeurs si vous n’êtes pas sûr et que vous souhaitez un verdict de La part de Microsoft.

        Sélectionnez Envoyer, puis Terminé.

      • J’ai confirmé qu’il est propre : sélectionnez cette valeur si vous êtes sûr que l’élément est propre, puis sélectionnez Suivant.

        Dans la page suivante du menu volant, effectuez l’une des étapes suivantes :

        • Sélectionnez Envoyer, puis Terminé.

        ou

        Une fois cette option sélectionnée, les paramètres suivants sont disponibles :

        • Supprimer l’entrée autorisée après : La valeur par défaut est 30 jours, mais vous pouvez sélectionner parmi les valeurs suivantes :

          • 1 jour
          • 7 jours
          • 30 jours
          • Date spécifique : la valeur maximale est de 30 jours à partir d’aujourd’hui.
        • Autoriser la note d’entrée (facultatif) : entrez des informations facultatives sur la raison pour laquelle vous autorisez cet élément. Pour les expéditeurs usurpés, les valeurs que vous entrez ici ne sont pas affichées dans l’entrée d’autorisation sous l’onglet Expéditeurs usurpés de la page Autoriser/Bloquer le locataire Listes.

        Lorsque vous avez terminé dans le menu volant, sélectionnez Envoyer, puis Terminé.

      • J’ai confirmé qu’il s’agit d’une menace : sélectionnez cette valeur si vous êtes sûr que l’élément est malveillant, puis sélectionnez l’une des valeurs suivantes dans la section Choisir une catégorie qui s’affiche :

        • Hameçonnage
        • Programme malveillant
        • Courrier indésirable

        Sélectionnez Suivant.

        Dans la page suivante du menu volant, effectuez l’une des étapes suivantes :

        • Sélectionnez Envoyer, puis Terminé.

        ou

        Une fois cette option sélectionnée, les paramètres suivants sont disponibles :

        • Par défaut, Expéditeur est sélectionné, mais vous pouvez sélectionner Domaine à la place.
        • Supprimer l’entrée de bloc après : La valeur par défaut est 30 jours, mais vous pouvez sélectionner parmi les valeurs suivantes :
          • 1 jour
          • 7 jours
          • 30 jours
          • N’expirez jamais
          • Date spécifique : la valeur maximale est de 30 jours à partir d’aujourd’hui.
        • Note d’entrée de blocage (facultatif) : entrez des informations facultatives sur la raison pour laquelle vous bloquez cet élément.

        Lorsque vous avez terminé dans le menu volant, sélectionnez Envoyer, puis Terminé.

    Actions disponibles dans la liste déroulante Envoyer à Microsoft pour analyse.

  • Messages Teams : sélectionnez l’une des valeurs suivantes :

    • J’ai confirmé son propre
    • Il apparaît propre
    • Il semble suspect

    Après avoir sélectionné l’une de ces valeurs, sélectionnez Envoyer, puis Terminé.

    • J’ai confirmé qu’il s’agit d’une menace : sélectionnez cette valeur si vous êtes sûr que l’élément est malveillant, puis sélectionnez l’une des valeurs suivantes dans la section Choisir une catégorie qui s’affiche :

    • Hameçonnage

    • Programme malveillant

      Sélectionnez Envoyer, puis Terminé.

Une fois que vous avez envoyé un message d’utilisateur signalé à Microsoft à partir de l’onglet Utilisateur signalé , la valeur de Conversion en soumission administrateur passe de Non à Oui, et une entrée de soumission d’administrateur correspondante est créée sous l’onglet approprié de la page Soumissions (par exemple, l’onglet E-mails ).

Déclencher une investigation dans Defender for Office 365 Plan 2

  • Sous l’onglet Utilisateur signalé, sélectionnez Déclencher l’investigation dans la liste déroulante Envoyer à Microsoft à des fins d’analyse*.

Action Déclencher l’investigation dans la liste déroulante Envoyer à Microsoft pour analyse.

Pour plus d’informations, consultez Déclencher une investigation.

Informer les utilisateurs des messages envoyés par l’administrateur à Microsoft

Une fois qu’un administrateur a envoyé un message signalé par un utilisateur à Microsoft à partir de l’onglet Utilisateur signalé , les administrateurs peuvent utiliser l’action Marquer comme et notifier pour marquer le message avec un verdict et envoyer un message de notification modèle à l’utilisateur qui a signalé le message.

  • Verdicts disponibles pour les messages électroniques :

    • Aucune menace détectée
    • Hameçonnage
    • Courrier indésirable
  • Verdicts disponibles pour les messages Teams :

    • Aucune menace détectée
    • Hameçonnage

Pour plus d’informations, consultez Notifier les utilisateurs à partir du portail.

Afficher les soumissions d’administrateur converties

Une fois qu’un administrateur a envoyé un message signalé par un utilisateur à Microsoft à partir de l’onglet Utilisateur signalé , la valeur de Conversion en envoi administrateur est Oui.

Si vous sélectionnez l’un de ces messages en cliquant n’importe où dans la ligne autre que la zone case activée en regard du nom, le menu volant détails contient Plus d’actions>Afficher la soumission d’administrateur convertie.

Cette action vous permet d’accéder à l’entrée de soumission d’administrateur correspondante sous l’onglet approprié (par exemple, l’onglet E-mails ).

Actions pour les messages signalés par l’utilisateur dans Defender for Office 365 Plan 2

Dans les organisations avec Microsoft Defender pour Office 365 Plan 2 (licences d’extension ou incluses dans des abonnements comme Microsoft 365 E5), les actions suivantes peuvent également être disponibles dans le menu volant des détails d’un message signalé par l’utilisateur sous l’onglet Utilisateur signalé :

  • Ouvrir l’entité e-mail (messages électroniques uniquement) : pour plus d’informations, consultez Comment lire la page d’entité de messagerie.

  • Effectuer des actions (messages électroniques uniquement) : cette action démarre l’Assistant Action disponible sur la page de l’entité de messagerie. Pour plus d’informations, consultez Actions que vous pouvez effectuer sur la page d’entité Email.

  • Afficher l’alerte. Une alerte est déclenchée lorsqu’une soumission d’administrateur est créée ou mise à jour. La sélection de cette action vous permet d’accéder aux détails de l’alerte.