Messages électroniques mis en quarantaine dans EOP et Defender pour Office 365
Conseil
Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender XDR pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai sur Try Microsoft Defender pour Office 365.
Dans les organisations Microsoft 365 avec des boîtes aux lettres dans Exchange Online ou des organisations Exchange Online Protection autonomes (EOP) sans boîtes aux lettres Exchange Online, la mise en quarantaine est disponible pour contenir des messages potentiellement dangereux ou indésirables.
Remarque
Dans Microsoft 365 géré par 21Vianet, la mise en quarantaine n’est actuellement pas disponible dans le portail Microsoft Defender. La mise en quarantaine est disponible uniquement dans le Centre d’administration Exchange classique (EAC classique).
Le fait qu’un message détecté soit mis en quarantaine par défaut dépend des facteurs suivants :
- Fonctionnalité de protection qui a détecté le message. Par exemple, les détections suivantes sont toujours mises en quarantaine :
- Détections de programmes malveillants par des stratégies anti-programme malveillant et des stratégies de pièces jointes sécurisées, y compris la protection intégrée pour les pièces jointes* fiables.
- Détections d’hameçonnage à haut niveau de confiance par les stratégies anti-courrier indésirable.
- Que vous utilisiez les stratégies de sécurité prédéfinies Standard et/ou Strict. Le profil Strict met en quarantaine plus de types de détections que le profil Standard.
* Le filtrage des programmes malveillants est ignoré sur les boîtes aux lettres SecOps identifiées dans la stratégie de remise avancée. Pour plus d’informations, consultez Configurer la stratégie de remise avancée pour les simulations d’hameçonnage tierces et la remise d’e-mails aux boîtes aux lettres SecOps.
Les actions par défaut pour les fonctionnalités de protection dans EOP et Defender for Office 365, y compris les stratégies de sécurité prédéfinies, sont décrites dans les tableaux des fonctionnalités dans Paramètres recommandés pour la sécurité EOP et Microsoft Defender pour Office 365.
Pour la protection anti-courrier indésirable et anti-hameçonnage, les administrateurs peuvent également modifier la stratégie par défaut ou créer des stratégies personnalisées pour mettre les messages en quarantaine au lieu de les remettre au dossier Email indésirables. Pour obtenir des instructions, consultez les articles suivants :
- Configuration de stratégies de blocage du courrier indésirable dans Exchange Online Protection
- Configurer des stratégies anti-hameçonnage dans EOP
- Configurer des stratégies anti-hameçonnage dans Microsoft Defender pour Office 365
Une ou plusieurs stratégies de mise en quarantaine sont affectées aux stratégies de protection des fonctionnalités prises en charge (chaque action de la stratégie de protection est associée à une attribution de stratégie de mise en quarantaine).
Conseil
Toutes les actions effectuées par les administrateurs ou les utilisateurs sur les messages mis en quarantaine sont auditées. Pour plus d’informations sur les événements de quarantaine audités, consultez Schéma de mise en quarantaine dans l’API de gestion Office 365.
Stratégies de mise en quarantaine
Les stratégies de mise en quarantaine définissent ce que les utilisateurs peuvent faire ou non pour les messages mis en quarantaine, et si les utilisateurs reçoivent des notifications de mise en quarantaine pour ces messages. Pour plus d’informations, consultez Anatomie d’une stratégie de mise en quarantaine.
Conseil
Vous pouvez créer des notifications de mise en quarantaine personnalisées pour différentes langues. Vous pouvez également utiliser un logo personnalisé dans les notifications de mise en quarantaine.
Les stratégies de mise en quarantaine par défaut affectées aux verdicts des fonctionnalités de protection appliquent les fonctionnalités historiques que les utilisateurs obtiennent pour leurs messages mis en quarantaine (messages dont ils sont destinataires). Pour plus d’informations, consultez le tableau dans Rechercher et libérer des messages mis en quarantaine en tant qu’utilisateur dans EOP. Par exemple, seuls les administrateurs peuvent travailler avec des messages mis en quarantaine en tant que programmes malveillants ou hameçonnage à haut niveau de confiance. Par défaut, les utilisateurs peuvent utiliser leurs messages mis en quarantaine en tant que courrier indésirable, en bloc, hameçonnage, usurpation d’identité d’utilisateur, emprunt d’identité de domaine ou intelligence de boîte aux lettres.
Les administrateurs peuvent créer et appliquer des stratégies de mise en quarantaine personnalisées qui définissent des fonctionnalités moins restrictives ou plus restrictives pour les utilisateurs, et activent également les notifications de mise en quarantaine. Pour plus d’informations, consultez Créer des stratégies de mise en quarantaine.
Remarque
Les utilisateurs ne peuvent pas publier leurs propres messages qui ont été mis en quarantaine en tant que programmes malveillants par des stratégies anti-programme malveillant ou pièces jointes fiables, ou en tant que hameçonnage à haut niveau de confiance par des stratégies anti-courrier indésirable, quelle que soit la façon dont la stratégie de quarantaine est configurée. Si la stratégie permet aux utilisateurs de publier leurs propres messages mis en quarantaine, les utilisateurs sont autorisés à demander la libération de leurs programmes malveillants en quarantaine ou de messages d’hameçonnage à haut niveau de confiance.
Les utilisateurs et les administrateurs peuvent travailler avec des messages mis en quarantaine :
Les administrateurs peuvent travailler avec tous les types de messages mis en quarantaine pour tous les utilisateurs, y compris les messages mis en quarantaine en tant que programmes malveillants, hameçonnage à haut niveau de confiance ou à la suite de règles de flux de courrier (également appelées règles de transport). Si vous souhaitez en savoir plus, voir Gérer les messages et les fichiers mis en quarantaine en tant qu'administrateur dans EOP.
Conseil
Pour connaître les autorisations requises pour télécharger et libérer les messages de la quarantaine, consultez l’entrée autorisations ici.
Les utilisateurs peuvent utiliser leurs messages mis en quarantaine en fonction de la fonctionnalité de protection qui a mis le message en quarantaine et du paramètre dans la stratégie de mise en quarantaine correspondante. Pour plus d’informations, consultez Rechercher et libérer des messages mis en quarantaine en tant qu’utilisateur dans EOP.
Les administrateurs peuvent signaler les faux positifs à Microsoft de la mise en quarantaine. Pour plus d’informations, consultez Prendre des mesures sur les e-mails mis en quarantaine et Agir sur les fichiers mis en quarantaine.
Les utilisateurs peuvent également signaler des faux positifs à Microsoft à partir de la mise en quarantaine, en fonction de la valeur du paramètre Signaler à partir de la quarantaine dans les paramètres signalés par l’utilisateur.
Rétention de la mise en quarantaine
La durée pendant laquelle les messages ou les fichiers mis en quarantaine sont placés en quarantaine avant leur expiration dépend de la raison pour laquelle le message ou le fichier a été mis en quarantaine. Les fonctionnalités et leurs périodes de rétention correspondantes sont décrites dans le tableau suivant :
| Raison de la mise en quarantaine : | Période de rétention par défaut | Personnalisable? | Commentaires |
|---|---|---|---|
| Messages mis en quarantaine par les stratégies anti-courrier indésirable en tant que courrier indésirable, courrier indésirable à haut niveau de confiance, hameçonnage, hameçonnage à haut niveau de confiance ou bloc. | 15 jours
30 jours
|
Oui* | Vous pouvez configurer la valeur de 1 à 30 jours dans la stratégie anti-courrier indésirable par défaut et dans les stratégies anti-courrier indésirable personnalisées. Pour plus d’informations, consultez le paramètre Conserver le courrier indésirable en quarantaine pendant ce nombre de jours (QuarantineRetentionPeriod) dans Configurer des stratégies anti-courrier indésirable. *Vous ne pouvez pas modifier la valeur dans les stratégies de sécurité prédéfinies Standard ou Strict. |
Messages mis en quarantaine par des stratégies anti-hameçonnage :
|
15 jours ou 30 jours | Oui* | Cette période de rétention est également contrôlée par le paramètre Conserver le courrier indésirable en quarantaine pendant ce nombre de jours (QuarantineRetentionPeriod) dans les stratégies anti-courrier indésirable . La période de rétention utilisée est la valeur de la première stratégie anti-courrier indésirable correspondante dans laquelle le destinataire est défini. |
| Messages mis en quarantaine par des stratégies anti-programme malveillant (messages malveillants). | 30 jours | Non | Si vous activez le filtre de pièces jointes courantes dans les stratégies anti-programme malveillant (dans la stratégie par défaut ou dans les stratégies personnalisées), les pièces jointes de fichiers dans les messages électroniques adressés aux destinataires concernés sont traitées comme des programmes malveillants basés uniquement sur l’extension de fichier à l’aide de la correspondance de type vrai. Une liste prédéfinie de types de fichiers principalement exécutables est utilisée par défaut, mais vous pouvez personnaliser la liste. Pour plus d’informations, consultez Filtre de pièces jointes courantes dans les stratégies anti-programme malveillant. |
| Messages mis en quarantaine par les règles de flux de courrier où l’action est Remettre le message à la mise en quarantaine hébergée (quarantaine). | 30 jours | Non | |
| Messages mis en quarantaine par des stratégies de pièces jointes fiables dans Defender for Office 365 (messages malveillants). | 30 jours | Non | |
| Fichiers mis en quarantaine par pièces jointes sécurisées pour SharePoint, OneDrive et Microsoft Teams (fichiers de logiciels malveillants). | 30 jours | Non | Les fichiers mis en quarantaine dans SharePoint ou OneDrive sont supprimés de la quarantaine après 30 jours, mais les fichiers bloqués restent dans SharePoint ou OneDrive dans l’état bloqué. |
| Messages dans les conversations et les canaux mis en quarantaine par la protection automatique zéro heure (ZAP) pour Microsoft Teams dans Defender for Office 365 | 30 jours | Non |
Lorsqu’un message expire de la quarantaine, vous ne pouvez pas le récupérer.
Pour plus d’informations sur la mise en quarantaine, consultez FAQ sur la quarantaine.