Partager via


Microsoft Defender pour Office 365 Prise en charge du plan 2 pour Microsoft Teams

Importante

Certaines informations contenues dans cet article concernent le produit en préversion, qui peut être considérablement modifié avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.

Conseil

Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender XDR pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai sur Try Microsoft Defender pour Office 365.

Avec l’utilisation accrue d’outils de collaboration tels que Microsoft Teams, le risque d’attaques malveillantes à l’aide de messages de conversation a également augmenté. Microsoft Defender pour Office 365 fournit déjà une protection contre le temps de clic pour les URL et les fichiers dans les messages Teams via des liens fiables pour Microsoft Teams et des pièces jointes sécurisées pour SharePoint, OneDrive et Microsoft Teams.

Dans Microsoft 365 E5 et Defender for Office 365 Plan 2, nous avons étendu la protection teams avec un ensemble de fonctionnalités conçues pour perturber la chaîne d’attaque :

  • Signaler les messages Teams suspects : les utilisateurs peuvent signaler des messages Teams malveillants. Selon les paramètres de message signalés dans le organization, les messages signalés sont envoyés à la boîte aux lettres de création de rapports spécifiée, à Microsoft ou aux deux. Pour plus d’informations, consultez Paramètres signalés par l’utilisateur dans Teams.

  • Protection automatique zero-hour (ZAP) pour Teams : ZAP est une fonctionnalité de protection de courrier électronique existante qui détecte et neutralise les messages indésirables, d’hameçonnage et de programmes malveillants après la remise en déplaçant les messages vers le dossier Email indésirable ou la mise en quarantaine.

    ZAP pour Teams met en quarantaine les messages dans les conversations ou les canaux Teams qui sont considérés comme des programmes malveillants ou des hameçonnages à haut niveau de confiance. Pour plus d’informations, consultez Purge automatique zero-hour (ZAP) dans Microsoft Teams.

    Vous trouverez des instructions pour configurer ZAP pour la protection Teams dans la section suivante.

  • Messages Teams en quarantaine : comme pour les messages électroniques identifiés comme des programmes malveillants ou des hameçonnages à haut niveau de confiance, seuls les administrateurs peuvent gérer les messages Teams qui sont mis en quarantaine par ZAP pour Teams par défaut. Pour plus d’informations, consultez Gérer les messages Teams mis en quarantaine.

  • Le panneau d’entité de message Teams est un emplacement unique pour stocker toutes les métadonnées de message Teams pour une révision immédiate de SecOps. Toutes les menaces provenant des conversations Teams, des conversations de groupe, des conversations de réunion et d’autres canaux peuvent être trouvées au même endroit dès qu’elles sont évaluées. Pour plus d’informations, consultez Le panneau d’entité de message Teams dans Microsoft Defender pour Office 365 Plan 2.

  • Exercice de simulation d’attaque l’utilisation des messages Teams : pour garantir que les utilisateurs sont résilients aux attaques par hameçonnage dans Microsoft Teams, les administrateurs peuvent configurer des simulations de hameçonnage à l’aide de messages Teams au lieu de messages électroniques. Pour plus d’informations, consultez Microsoft Teams dans Exercice de simulation d’attaque.

Configurer la protection ZAP pour Teams dans Defender for Office 365 Plan 2

  1. Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Paramètres>Email & collaboration>Protection Microsoft Teams. Ou, pour accéder directement à la page de protection de Microsoft Teams , utilisez https://security.microsoft.com/securitysettings/teamsProtectionPolicy.

  2. Dans la page de protection Microsoft Teams , vérifiez le bouton bascule dans la section Vide automatique zero-hour (ZAP) :

    • Activer ZAP pour Teams : vérifiez que le bouton bascule est Activé .
    • Désactiver ZAP pour Teams : faites glisser le bouton bascule sur Désactivé .
  3. Lorsque le bouton bascule est Activé , utilisez les paramètres restants de la page pour personnaliser ZAP pour la protection Teams :

    • Section Stratégies de mise en quarantaine : vous pouvez sélectionner la stratégie de mise en quarantaine existante à utiliser pour les messages mis en quarantaine par ZAP pour la protection Teams en tant que programmes malveillants ou hameçonnage à haute confiance. Les stratégies de quarantaine définissent ce que les utilisateurs sont en mesure de faire pour les messages mis en quarantaine et si les utilisateurs reçoivent des notifications de quarantaine. Pour plus d’informations, consultez Anatomie d’une stratégie de mise en quarantaine.

      Remarque

      Les notifications de mise en quarantaine sont désactivées dans la stratégie nommée AdminOnlyAccessPolicy. Pour avertir les destinataires dont les messages sont mis en quarantaine en tant que programmes malveillants ou hameçonnage à haut niveau de confiance, créez ou utilisez une stratégie de mise en quarantaine existante dans laquelle les notifications de quarantaine sont activées. Pour obtenir des instructions, consultez Créer des stratégies de mise en quarantaine dans le portail Microsoft Defender.

    • Section Exclure ces participants : spécifiez les utilisateurs, les Groupes ou les domaines à exclure de la protection ZAP pour Teams. Les exclusions sont importantes pour les destinataires des messages, et non pour les expéditeurs de messages. Pour plus d’informations, consultez Purge automatique zero-hour (ZAP) dans Microsoft Teams.

      Vous ne pouvez utiliser une exception qu’une seule fois, mais l’exception peut contenir plusieurs valeurs :

      • Plusieurs valeurs de la même exception utilisent la logique OR (par exemple, <recipient1> ou <recipient2>). Si le destinataire correspond à l’une des valeurs spécifiées, la protection ZAP pour Teams ne lui est pas appliquée.
      • Différents types d’exceptions utilisent la logique OR (par exemple, <recipient1> ou <membre de group1> ou <membre de domaine1>). Si le destinataire correspond à l’une des valeurs d’exception spécifiées, la protection ZAP pour Teams ne lui est pas appliquée.
  4. Lorsque vous avez terminé d’accéder à la page de protection de Microsoft Teams , sélectionnez Enregistrer.

Image montrant les paramètres de stratégie pour Microsoft Teams.

Utiliser Exchange Online PowerShell pour configurer ZAP pour la protection Teams

Si vous préférez utiliser Exchange Online PowerShell pour configurer ZAP pour Microsoft Teams, les applets de commande suivantes sont impliquées :

  • La stratégie de protection Teams (applets de commande *-TeamsProtectionPolicy ) active et désactive ZAP pour Teams et spécifie les stratégies de quarantaine à utiliser pour les détections de programmes malveillants et d’hameçonnage à haut niveau de confiance.
  • La règle de stratégie de protection Teams (applets de commande *-TeamsProtectionPolicyRule ) identifie la stratégie de protection Teams et spécifie les exceptions pour la protection ZAP pour Teams (utilisateurs, groupes ou domaines).

Remarques :

  • Il n’existe qu’une seule stratégie de protection Teams dans un organization. Par défaut, cette stratégie est nommée Stratégie de protection Teams.
  • L’utilisation de l’applet de commande New-TeamsProtectionPolicy n’est significative que s’il n’existe aucune stratégie de protection Teams dans le organization (l’applet de commande Get-TeamsProtectionPolicy ne retourne rien). Vous pouvez exécuter l’applet de commande sans erreur, mais aucune nouvelle stratégie de protection Teams n’est créée si elle existe déjà.
  • Vous ne pouvez pas supprimer une stratégie de protection Teams ou une règle de stratégie de protection Teams existante (il n’existe aucune applet de commande Remove-TeamsProtectionPolicy ou Remove-TeamsProtectionPolicyRule ).
  • Par défaut, il n’existe aucune règle de stratégie de protection Teams (l’applet de commande Get-TeamsProtectionPolicyRule ne retourne rien). La spécification de stratégies de mise en quarantaine ou d’exceptions pour ZAP pour Teams dans le portail Defender crée automatiquement la règle. Vous pouvez également utiliser l’applet de commande New-TeamsProtectionPolicyRule pour créer la règle dans PowerShell si elle n’existe pas déjà.

Utiliser PowerShell pour afficher la stratégie de protection Teams et la règle de stratégie de protection Teams

Pour afficher les valeurs importantes dans la stratégie de protection Teams et la règle de stratégie de protection Teams, exécutez les commandes suivantes :

Get-TeamsProtectionPolicy | Format-List Name,ZapEnabled,HighConfidencePhishQuarantineTag,MalwareQuarantineTag

Get-TeamsProtectionPolicyRule | Format-List Name,TeamsProtectionPolicy,ExceptIfSentTo,ExceptIfSentToMemberOf,ExceptIfRecipientDomainIs

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Get-TeamsProtectionPolicy et Get-TeamsProtectionPolicyRule.

Utiliser PowerShell pour modifier la stratégie de protection Teams

Pour modifier la stratégie de protection Teams, utilisez la syntaxe suivante :

Set-TeamsProtectionPolicy -Identity "Teams Protection Policy" [-ZapEnabled <$true | $false>] [-HighConfidencePhishQuarantineTag "<QuarantinePolicyName>"] [-MalwareQuarantineTag "<QuarantinePolicyName>"]

Cet exemple active ZAP pour Teams et modifie la stratégie de mise en quarantaine utilisée pour les détections d’hameçonnage à haut niveau de confiance :

Set-TeamsProtectionPolicy -Identity "Teams Protection Policy" -ZapEnabled $true -HighConfidencePhishQuarantineTag AdminOnlyWithNotifications

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Set-TeamsProtectionPolicy.

Utiliser PowerShell pour créer la règle de stratégie de protection Teams

Par défaut, il n’existe aucune règle de stratégie de protection Teams, car il n’existe aucune exception par défaut pour ZAP pour Teams.

Pour créer une règle de stratégie de protection Teams, utilisez la syntaxe suivante :

New-TeamsProtectionPolicyRule -Name "Teams Protection Policy Rule" -TeamsProtectionPolicy "Teams Protection Policy" [-ExceptIfSentTo <UserEmail1,UserEmail2,...UserEmailN>] [-ExceptIfSentToMemberOf <GroupEmail1,GroupEmail2,...GroupEmailN>] [-ExceptIfRecipientDomainIs <Domain1,Domain2,...DomainN>]

Importante

Comme expliqué précédemment dans cet article, plusieurs types d’exceptions (utilisateurs, groupes et domaines) utilisent la logique OR, et non AND.

Cet exemple crée la règle de stratégie de protection Teams avec des membres du groupe nommé Recherche exclus de la protection ZAP pour Teams.

New-TeamsProtectionPolicyRule -Name "Teams Protection Policy Rule" -TeamsProtectionPolicy "Teams Protection Policy" -ExceptIfSentToMemberOf research@contoso.onmicrosoft.com

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez New-TeamsProtectionPolicyRule.

Utiliser PowerShell pour modifier la règle de stratégie de protection Teams

Si la règle de stratégie de protection Teams existe déjà (l’applet de commande Get-TeamsProtectionPolicyRule retourne une sortie), utilisez la syntaxe suivante pour modifier la règle :

Set-TeamsProtectionPolicyRule -Identity "Teams Protection Policy Rule" [-ExceptIfSentTo <UserEmailAddresses | $null>] [-ExceptIfSentToMemberOf <GroupEmailAddresses | $null>] [-ExceptIfRecipientDomainIs <Domains | $null>]

Remarques :

  • Pour plus d’informations sur la syntaxe d’ajout, de suppression et de remplacement de toutes les valeurs des paramètres ExceptIfSentTo, ExceptIfSentToMemberOf et ExceptIfRecipientDomainIs , consultez les descriptions des paramètres dans Set-TeamsProtectionPolicyRule.
  • Pour vider les paramètres ExceptIfSentTo, ExceptIfSentToMemberOf ou ExceptIfRecipientDomainIs , utilisez la valeur $null.

Cet exemple modifie la règle de stratégie de protection Teams existante en excluant les destinataires dans les domaines research.contoso.com et research.contoso.net de ZAP pour la protection Teams.

Set-TeamsProtectionPolicyRule -Identity "Teams Protection Policy Rule" -ExceptIfRecipientDomainIs research.contoso.com,research.contoso.net

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Set-TeamsProtectionPolicyRule.

Voir aussi