Partager via


Gérer les fichiers et les messages mis en quarantaine en tant qu’administrateur

Conseil

Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai sur Try Microsoft Defender pour Office 365.

Dans les organisations Microsoft 365 avec des boîtes aux lettres dans Exchange Online ou Microsoft Teams, ou dans des organisations Exchange Online Protection autonomes (EOP) sans boîtes aux lettres Exchange Online ou Teams, la mise en quarantaine contient les messages potentiellement dangereux ou indésirables détectés par EOP et Defender for Office 365.

Les administrateurs peuvent afficher, publier et supprimer tous les types de messages et de fichiers mis en quarantaine pour tous les utilisateurs.

Les administrateurs des organisations disposant de Microsoft Defender pour Office 365 peuvent également gérer les fichiers qui ont été mis en quarantaine par des pièces jointes sécurisées pour SharePoint, OneDrive, microsoft Teams et les messages Microsoft Teams qui ont été mis en quarantaine par vidage automatique zéro heure (ZAP).

Les utilisateurs peuvent gérer la plupart des e-mails mis en quarantaine en fonction de la stratégie de mise en quarantaine pour les fonctionnalités de protection des e-mails prises en charge. Pour plus d’informations sur les stratégies de mise en quarantaine, consultez Anatomie d’une stratégie de mise en quarantaine.

Les administrateurs et également les utilisateurs (en fonction des paramètres signalés par l’utilisateur pour le organization) peuvent signaler des faux positifs à Microsoft à partir de la mise en quarantaine.

Vous affichez et gérez les messages mis en quarantaine dans le portail Microsoft Defender ou dans PowerShell (Exchange Online PowerShell pour les organisations Microsoft 365 avec des boîtes aux lettres dans Exchange Online ; autonome EOP PowerShell pour les organisations sans boîtes aux lettres Exchange Online).

Regardez cette courte vidéo pour découvrir comment gérer les messages mis en quarantaine en tant qu’administrateur.

Conseil

En complément de cet article, consultez notre guide de configuration Microsoft Defender pour Office 365 pour passer en revue les meilleures pratiques et vous protéger contre les menaces de messagerie, de lien et de collaboration. Les fonctionnalités incluent les liens fiables, les pièces jointes fiables, etc. Pour une expérience personnalisée basée sur votre environnement, vous pouvez accéder au guide de configuration automatisée Microsoft Defender pour Office 365 dans le Centre d’administration Microsoft 365.

Ce qu'il faut savoir avant de commencer

  • Pour ouvrir le portail Microsoft Defender, accédez à https://security.microsoft.com. Pour accéder directement à la page de mise en quarantaine, utilisez https://security.microsoft.com/quarantine.

  • Pour vous connecter à Exchange Online PowerShell, voir Connexion à Exchange Online PowerShell. Pour vous connecter à un service Exchange Online Protection PowerShell autonome, voir Se connecter à Exchange Online Protection PowerShell.

  • Vous devez disposer d’autorisations pour pouvoir effectuer les procédures décrites dans cet article. Vous avez le choix parmi les options suivantes :

    • Microsoft Defender XDR le contrôle d’accès en fonction du rôle unifié (RBAC) (si Email & collaboration>Defender for Office 365 autorisations est Active. Affecte uniquement le portail Defender, et non PowerShell) :
      • Agir sur les messages mis en quarantaine pour tous les utilisateurs : Opérations de sécurité / Données de sécurité / Email & mise en quarantaine de collaboration (gérer).
      • Accès en lecture seule aux messages mis en quarantaine pour tous les utilisateurs : Opérations de sécurité / Données de sécurité / Notions de base des données de sécurité (lecture) .
    • Email & les autorisations de collaboration dans le portail Microsoft Defender :
      • Agir sur les messages mis en quarantaine pour tous les utilisateurs : appartenance aux groupes de rôles Administrateur de la mise en quarantaine, Administrateur de la sécurité ou Gestion de l’organisation .
        • Envoyer des messages de mise en quarantaine à Microsoft : appartenance aux groupes de rôles Administrateur de la sécurité .
        • Utilisez Bloquer l’expéditeur pour ajouter des expéditeurs à votre propre liste d’expéditeurs bloqués : les administrateurs voient Bloquer l’expéditeur uniquement s’ils filtrent les résultats de la mise en quarantaine par Destinataire>seul moi au lieu de la valeur par défaut Tous les utilisateurs. L’attribution d’une autorisation qui donne à l’administrateur l’accès à la mise en quarantaine (par exemple, Lecteur sécurité ou Lecteur global) donne accès à Bloquer l’expéditeur en quarantaine si l’utilisateur filtre les résultats de la quarantaine par Destinataire>uniquement moi.
      • Accès en lecture seule aux messages mis en quarantaine pour tous les utilisateurs : appartenance aux groupes de rôles Lecteur de sécurité ou Lecteur global .
    • Microsoft Entra autorisations : l’appartenance à ces rôles donne aux utilisateurs les autorisations et autorisations requises pour d’autres fonctionnalités dans Microsoft 365 :
      • Agir sur les messages mis en quarantaine pour tous les utilisateurs : appartenance aux rôles Administrateur de la sécurité ou Administrateur* général.

        Importante

        * Microsoft vous recommande d’utiliser des rôles avec le moins d’autorisations. L’utilisation de comptes avec autorisation inférieure permet d’améliorer la sécurité de vos organization. Le rôle d’administrateur général dispose de privilèges élevés. Il doit être limité aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.

        • Envoyer des messages de mise en quarantaine à Microsoft : appartenance au rôle Administrateur de la sécurité .
        • Utilisez Bloquer l’expéditeur pour ajouter des expéditeurs à votre propre liste d’expéditeurs bloqués : les administrateurs voient Bloquer l’expéditeur uniquement s’ils filtrent les résultats de la mise en quarantaine par Destinataire>seul moi au lieu de la valeur par défaut Tous les utilisateurs. L’attribution d’une autorisation qui donne à l’administrateur l’accès à la mise en quarantaine (par exemple, Lecteur sécurité ou Lecteur global) donne accès à Bloquer l’expéditeur en quarantaine si l’utilisateur filtre les résultats de la quarantaine par Destinataire>uniquement moi.
      • Accès en lecture seule aux messages mis en quarantaine pour tous les utilisateurs : appartenance aux rôles Lecteur général ou Lecteur de sécurité .

    Conseil

    La possibilité de gérer les messages mis en quarantaine à l’aide des autorisations Exchange Online a pris fin en février 2023 par MC447339.

    Les administrateurs invités d’autres organisations ne peuvent pas gérer les messages mis en quarantaine. L’administrateur doit être dans la même organization que les destinataires.

  • Les messages et fichiers mis en quarantaine sont conservés pendant une période par défaut en fonction de la raison pour laquelle ils ont été mis en quarantaine. Une fois la période de rétention expirée, les messages sont automatiquement supprimés et ne peuvent pas être récupérés. Pour plus d’informations, consultez Rétention en quarantaine.

  • Pour plus d’informations sur l’ordre de priorité pour les autorisations et les blocs utilisateur et organization autorise et les blocs, consultez Conflit des paramètres utilisateur et locataire.

  • Toutes les actions effectuées par les administrateurs ou les utilisateurs sur les messages mis en quarantaine sont auditées. Pour plus d’informations sur les événements de quarantaine audités, consultez Schéma de mise en quarantaine dans l’API de gestion Office 365.

Utiliser le portail Microsoft Defender pour gérer les e-mails mis en quarantaine

Afficher les e-mails mis en quarantaine

Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Email & collaboration>Vérifier la>mise en quarantaine>Email onglet. Ou, pour accéder directement à l’onglet Email de la page Quarantaine, utilisez https://security.microsoft.com/quarantine?viewid=Email.

Par défaut, seules les 100 premières entrées sont affichées jusqu’à ce que vous faites défiler vers le bas de la liste, ce qui charge davantage de résultats.

Sous l’onglet Email, vous pouvez réduire l’espacement vertical dans la liste en cliquant sur Modifier l’espacement de liste en compact ou normal, puis en sélectionnant Liste compacte.

Vous pouvez trier les entrées en cliquant sur un en-tête de colonne disponible. Sélectionnez Personnaliser les colonnes pour modifier les colonnes affichées. Les valeurs par défaut sont marquées d'un astérisque (*) :

  • Heure de réception*

  • Objet*

  • Expéditeur*

  • Raison de la quarantaine* (consultez les valeurs possibles dans le Description du filtre .)

  • Release status* (consultez les valeurs possibles dans la description du filtre).)

  • Type de stratégie* (consultez les valeurs possibles dans le Description du filtre .)

  • Expire*

  • Destinataire : l’adresse e-mail du destinataire est toujours résolue en adresse e-mail principale, même si le message a été envoyé à une adresse proxy.

  • Raison* du remplacement de l’adresse de l’expéditeur : une des valeurs suivantes :

    • Aucune
    • L’expéditeur du message est bloqué par les paramètres du destinataire
    • L’expéditeur du message est bloqué par les paramètres de l’administrateur

    Conseil

    Si un expéditeur est bloqué et que l’option Ne pas afficher les expéditeurs bloqués est sélectionnée (par défaut), les messages de ces expéditeurs sont affichés sur la page Quarantaine et sont inclus dans les notifications de mise en quarantaine lorsque la valeur de raison de remplacement de l’adresse de l’expéditeur est None. Ce comportement se produit parce que les messages ont été bloqués pour des raisons autres que les remplacements d’adresse de l’expéditeur.

  • Publié par*

  • ID de message

  • Nom de la stratégie

  • Taille du message

  • Direction du courrier

  • Balise de destinataire

Pour filtrer les entrées, sélectionnez Filtrer. Les filtres suivants sont disponibles dans le menu volant Filtres qui s’ouvre :

  • ID du message : l’identificateur global unique du message.

    Par exemple, vous avez utilisé le suivi des messages pour rechercher un message et vous déterminez que le message a été mis en quarantaine au lieu d’être remis. Veillez à inclure la valeur d’ID de message complète, qui peut inclure des crochets angulaires (<>). Par exemple : <79239079-d95a-483a-aacf-e954f592a0f6@XYZPR00BM0200.contoso.com>.

  • Adresse de l’expéditeur

  • Adresse du destinataire

  • Sujet

  • Heure de réception : sélectionnez l’une des valeurs suivantes :

    • Dernières 24 heures
    • 7 derniers jours (par défaut)
    • 14 derniers jours
    • 30 derniers jours
    • Heure reçue : Saisissez une heure de début et une heure de fin (date).
  • Expire : filtrez les messages en fonction de leur date d’expiration de mise en quarantaine. Sélectionnez l'une des valeurs suivantes :

    • Aujourd’hui
    • Dans les 2 prochains jours
    • Dans les 7 prochains jours
    • Heure reçue : Saisissez une heure de début et une heure de fin (date).
  • Balise de destinataire : actuellement, la seule balise utilisateur sélectionnable est Compte prioritaire.

  • Raison de la quarantaine : sélectionnez une ou plusieurs des valeurs suivantes :

    • Règle de transport (règle de flux de courrier)
    • E-mail de masse
    • Courrier indésirable
    • Protection contre la perte de données
    • Programmes malveillants : stratégies anti-programme malveillant dans les stratégies EOP ou pièces jointes sécurisées dans Defender for Office 365. La valeur Type de stratégie indique quelle fonctionnalité a été utilisée.
    • action Administration - Bloc de type de fichier : messages bloqués en tant que programmes malveillants par le filtre des pièces jointes courantes dans les stratégies anti-programme malveillant. Pour plus d’informations, consultez Stratégies anti-programme malveillant.
    • Hameçonnage : Le verdict du filtre anti-spam était hameçonnant ou la protection anti-phishing a mis le message en quarantaine (paramètres d'usurpation ou protection contre l'usurpation d'identité).
    • Hameçonnage à haute fiabilité
  • Destinataire : sélectionnez l’une des valeurs suivantes :

    • Tous les utilisateurs (il s’agit de la valeur par défaut, même si elle n’apparaît pas sélectionnée)
    • Moi seul : afficher uniquement les messages dont la personne connectée est un destinataire. Cette valeur est requise pour que les administrateurs voient les actions Autoriser l’expéditeur et Bloquer l’expéditeur .
  • Expéditeur bloqué : une des valeurs suivantes :

    • Ne pas afficher les expéditeurs bloqués (par défaut)
    • Afficher tous les expéditeurs

    Conseil

    Si un expéditeur est bloqué et que l’option Ne pas afficher les expéditeurs bloqués est sélectionnée, les messages de ces expéditeurs sont affichés sur la page Quarantaine et sont inclus dans les notifications de mise en quarantaine lorsque la valeur de raison de remplacement de l’adresse de l’expéditeur est None. Ce comportement se produit parce que les messages ont été bloqués pour des raisons autres que les remplacements d’adresse de l’expéditeur.

  • Release status : sélectionnez une ou plusieurs des valeurs suivantes

    • Révision requise.
    • Approuvé
    • Refusé
    • Publication demandée
    • Date de publication
  • Type de stratégie : filtrez les messages en fonction du type de stratégie de protection qui a mis le message en quarantaine. Sélectionnez un ou plusieurs des types de destinataires suivants :

    • Stratégie anti-programme malveillant
    • Stratégie de pièces jointes fiables
    • Politique de lutte contre l'hameçonnage
    • Stratégie anti-courrier indésirable
    • Règle de transport (règle de flux de courrier)
    • Règle de protection contre la perte de données

    Les valeurs Type de stratégie et Raison de quarantaine sont liées. Par exemple, le bloc est toujours associé à une stratégie anti-courrier indésirable, jamais à une stratégie anti-programme malveillant.

Lorsque vous avez terminé dans le menu volant Filtres , sélectionnez Appliquer. Pour effacer les filtres, sélectionnez Effacer les filtres.

Conseil

Les filtres sont mis en cache. Les filtres des dernières sessions sont sélectionnés par défaut lors de la prochaine ouverture de la page Quarantaine . Ce comportement facilite les opérations de triage.

Utilisez la zone De recherche et une valeur correspondante pour rechercher des messages spécifiques. Les caractères génériques ne sont pas pris en charge. Vous pouvez effectuer une recherche sur les valeurs suivantes :

  • Adresse de messagerie de l’expéditeur
  • Objet. Utiliser l'intégralité du sujet du message La recherche ne respecte pas la casse.

Une fois que vous avez entré les critères de recherche, appuyez sur Entrée pour filtrer les résultats.

Remarque

La zone De recherche recherche les éléments en quarantaine dans l’affichage actuel (qui est limité à 100 éléments), et pas tous les éléments mis en quarantaine. Pour rechercher tous les éléments mis en quarantaine, utilisez Filtre et le menu volant Filtres résultant.

Une fois que vous avez trouvé un message en quarantaine spécifique, sélectionnez le message pour afficher les détails le concernant et prendre des mesures sur celui-ci (par exemple, afficher, publier, télécharger ou supprimer le message).

Conseil

Sur les appareils mobiles, les contrôles décrits précédemment sont disponibles sous Plus.

Capture d’écran de la sélection d’un message mis en quarantaine, puis de la sélection de Plus sur un appareil mobile.

Afficher les détails des e-mails mis en quarantaine

  1. Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Email & collaboration>Vérifier la>mise en quarantaine>Email onglet. Ou, pour accéder directement à l’onglet Email de la page Quarantaine, utilisez https://security.microsoft.com/quarantine?viewid=Email.

  2. Sous l’onglet Email, sélectionnez le message mis en quarantaine en cliquant n’importe où dans la ligne autre que la zone case activée.

Dans le menu volant de détails qui s’ouvre, les informations suivantes sont disponibles :

Conseil

Les actions disponibles en haut du menu volant sont décrites dans Effectuer une action sur les e-mails mis en quarantaine.

Pour afficher les détails des autres messages mis en quarantaine sans quitter le menu volant des détails, utilisez l’élément Précédent et l’élément suivant en haut du menu volant.

  • Section Détails de la mise en quarantaine :
    • Reçu : Date et heure de réception du message.

    • Expire : date/heure à laquelle le message est automatiquement et définitivement supprimé de la quarantaine.

    • Subject

    • Raison de la quarantaine : indique si un message a été identifié comme courrier indésirable, en bloc, hameçonnage, correspond à une règle de flux de courrier (règle de transport) ou a été identifié comme contenant un programme malveillant.

    • Type de stratégie

    • Nom de la stratégie

    • Nombre de destinataires

    • Destinataires : si le message contient de nombreux destinataires, vous pouvez utiliser l’aperçu du message ou Afficher l’en-tête du message pour afficher la liste complète des destinataires.

      Les adresses e-mail des destinataires sont toujours résolues en adresse e-mail principale, même si le message a été envoyé à une adresse proxy.

    • Non encore publié dans, Publié sur et/ou Libéré par : Selon l’état du message, une ou plusieurs des valeurs suivantes peuvent être disponibles :

      • Non encore publié dans : Email adresses des destinataires vers qui le message n’a pas été publié.
      • Publication vers : Email adresses des destinataires vers qui le message a été publié.
      • Publié par : l’administrateur qui a publié le message au format : <email address of admin who released the message> released for <recipient>. Par exemple : admin@contoso.onmicrosoft.com released to laura@contoso.onmicrosoft.com. Si l’utilisateur final libère le message, l’adresse SMTP de l’utilisateur final s’affiche. Si la mise en production est effectuée par le système, la mention « Système libéré » est indiqué. Si la mise en production n’est pas effectuée par un administrateur, un utilisateur final ou le système, la valeur par défaut est « Administration ».

Le reste du menu volant de détails contient les sections Détails de la remise, Email détails, URL et Pièces jointes qui font partie du panneau récapitulatif Email. Pour plus d’informations, consultez Panneau récapitulatif Email.

Capture d’écran du menu volant de détails qui s’ouvre une fois que vous avez sélectionné un e-mail en quarantaine sous l’onglet Email de la page Quarantaine.

Pour donner suite au message, consultez la section suivante.

Conseil

Pour afficher les détails des autres messages mis en quarantaine sans quitter le menu volant des détails, utilisez l’élément Précédent et l’élément suivant en haut du menu volant.

Effectuer une action sur les messages mis en quarantaine

  1. Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Email & collaboration>Vérifier la>mise en quarantaine>Email onglet. Ou, pour accéder directement à l’onglet Email de la page Quarantaine, utilisez https://security.microsoft.com/quarantine?viewid=Email.

  2. Sous l’onglet Email, sélectionnez l’e-mail mis en quarantaine à l’aide de l’une des méthodes suivantes :

    • Sélectionnez le message dans la liste en sélectionnant la zone case activée en regard de la première colonne. Les actions disponibles ne sont plus grisées.

      Capture d’écran des actions disponibles après avoir sélectionné la zone case activée d’un message mis en quarantaine sous l’onglet Email de la page Quarantaine.

    • Sélectionnez le message dans la liste en cliquant n’importe où dans la ligne autre que la zone case activée. Les actions disponibles se trouvent dans le menu volant de détails qui s’ouvre.

      Capture d’écran des actions disponibles dans le menu volant de détails qui s’ouvre après avoir sélectionné un message mis en quarantaine sous l’onglet Email de la page Quarantaine.

    À l’aide de l’une ou l’autre méthode pour sélectionner le message, de nombreuses actions sont disponibles sous Plus ou Plus d’options.

Une fois que vous avez sélectionné le message mis en quarantaine, les actions disponibles sont décrites dans les sous-sections suivantes.

Conseil

Sur les appareils mobiles, l’expérience d’action est légèrement différente :

  • Lorsque vous sélectionnez le message en sélectionnant la zone case activée, toutes les actions se trouvent sous Plus :

    Capture d’écran de la sélection d’un message en quarantaine et de la sélection de Plus sur un appareil mobile.

  • Lorsque vous sélectionnez le message en cliquant n’importe où dans la ligne autre que la zone case activée, le texte de description n’est pas disponible sur certaines icônes d’action dans le menu volant de détails. Toutefois, les actions et leur ordre sont les mêmes que sur un PC :

    Capture d’écran des détails d’un message mis en quarantaine avec les actions disponibles mises en surbrillance.

Publier l’e-mail mis en quarantaine

Cette action n’est pas disponible pour les messages électroniques qui ont déjà été publiés (la valeur release status est Release).

Si vous ne publiez pas ou ne supprimez pas de message, il est automatiquement supprimé de la quarantaine après la date indiquée dans la colonne Expire .

  • Vous ne pouvez pas publier un message au même destinataire plusieurs fois.
  • Lorsque vous sélectionnez des destinataires d’origine individuels pour recevoir le message publié, vous pouvez sélectionner uniquement les destinataires qui n’ont pas encore reçu le message publié.
  • Les membres du groupe de rôles Administrateurs de la sécurité peuvent voir et utiliser les options Envoyer le message à Microsoft pour améliorer la détection et Autoriser les e-mails avec des attributs similaires .
  • Les utilisateurs peuvent signaler des faux positifs à Microsoft à partir de la mise en quarantaine, en fonction de la valeur du paramètre Signaler à partir de la quarantaine dans les paramètres signalés par l’utilisateur.

Conseil

  • Les solutions antivirus tierces, les services de sécurité et les connecteurs sortants peuvent provoquer les problèmes suivants pour les messages qui sont libérés de la quarantaine :

    • Le message est mis en quarantaine après sa libération.
    • Le contenu est supprimé du message publié avant qu’il n’atteigne la boîte de réception du destinataire.
    • Le message libéré n’arrive jamais dans la boîte de réception du destinataire.
    • Les actions dans les notifications de mise en quarantaine peuvent être sélectionnées de manière aléatoire.

    Vérifiez que vous n’utilisez pas le filtrage tiers avant d’ouvrir un ticket de support concernant ces problèmes.

  • Les règles de boîte de réception (créées par des utilisateurs dans Outlook ou par des administrateurs à l’aide des applets de commande *-InboxRule dans Exchange Online PowerShell) peuvent déplacer ou supprimer des messages de la boîte de réception.

  • Les administrateurs peuvent utiliser le suivi des messages pour déterminer si un message libéré a été remis à la boîte de réception du destinataire.

  • La sélection de Déplacer ou supprimer> laboîte de réception sur les messages mis en quarantaine dans Agir à partir d’autres fonctionnalités de Defender for Office 365 (par exemple, Explorer (Explorer de menaces) ou la page d’entité Email) vous permet également de libérer les messages de la mise en quarantaine. Pour plus d’informations, consultez Repérage des menaces : Assistant Action.

Après avoir sélectionné le message, utilisez l’une des méthodes suivantes pour le libérer :

  • Sous l’onglet Email : sélectionnez Mise en production.
  • Dans le menu volant de détails du message sélectionné : Sélectionnez Publier l’e-mail.

Dans le menu volant Publier l’e-mail aux boîtes de réception des destinataires qui s’ouvre, configurez les options suivantes :

  • Sélectionnez l'une des valeurs suivantes :

    • Mise en production pour tous les destinataires
    • Libérer sur un ou plusieurs des destinataires d’origine de l’e-mail : entrez les destinataires dans la zone Destinataires qui s’affiche.
  • Envoyer une copie de ce message à un autre destinataire : si vous sélectionnez cette option, sélectionnez un ou plusieurs destinataires en cliquant dans la zone Destinataires qui s’affiche.

  • Envoyer le message à Microsoft pour améliorer la détection : si vous sélectionnez cette option, le message mis en quarantaine par erreur est signalé à Microsoft en tant que faux positif. En fonction des résultats de leur analyse, les règles de filtrage du courrier indésirable à l’échelle du service peuvent être ajustées pour permettre au message de passer.

    La sélection de cette option révèle les options suivantes :

    • Autoriser ce message : si vous sélectionnez cette option, les entrées d’autorisation sont ajoutées à la liste verte/bloquée du locataire pour l’expéditeur et toutes les URL ou pièces jointes associées dans le message. Les options suivantes s’affichent également :
      • Supprimer l’entrée après : la valeur par défaut est 45 jours après la date de dernière utilisation, mais vous pouvez également sélectionner 1 jour, 7 jours, 30 jours ou une date spécifique inférieure à 30 jours.
      • Autoriser la note d’entrée : entrez une note facultative qui contient des informations supplémentaires.

Lorsque vous avez terminé le menu volant Publier l’e-mail aux boîtes de réception du destinataire , sélectionnez Message de publication.

De retour sous l’onglet Email, la valeur release status du message est Release.

Approuver ou refuser les demandes de mise en production des utilisateurs pour les e-mails mis en quarantaine

Les utilisateurs peuvent demander la libération des messages électroniques si la stratégie de mise en quarantaine utilisée Permet aux destinataires de demander la mise en quarantaine d’un message (PermissionToRequestRelease autorisation) au lieu d’Autoriser les destinataires à libérer un message de quarantaine (PermissionToRelease autorisation) lorsque le message a été mis en quarantaine. Pour plus d’informations, consultez Créer des stratégies de mise en quarantaine dans le portail Microsoft Defender.

Une fois qu’un destinataire a demandé la publication de l’e-mail, la valeur Release status change en Version demandée, et un administrateur peut approuver ou refuser la demande.

Conseil

Une alerte pour libérer le message peut être créée pour plusieurs demandes de mise en production pour ce message. Utilisez le lien de mise en quarantaine dans la section Détails du message d’alerte pour prendre des mesures sur la demande de mise en production des utilisateurs du organization au cours des 7 derniers jours.

Si vous ne publiez pas ou ne supprimez pas de message, il est automatiquement supprimé de la quarantaine après la date indiquée dans la colonne Expire .

Après avoir sélectionné le message, utilisez l’une des méthodes suivantes pour approuver ou refuser la demande de mise en production :

  • Sous l’onglet Email : sélectionnez Approuver la mise en production ou Refuser.
  • Dans le menu volant de détails du message sélectionné : Sélectionnez Plus , puis approuver la mise en production ou Refuser la mise en production.

Si vous sélectionnez Approuver la mise en production, un menu volant Approuver la mise en production s’ouvre, dans lequel vous pouvez consulter les informations relatives au message. Pour approuver la demande, sélectionnez Approuver la mise en production. Un menu volant Publier approuvé s’ouvre, où vous pouvez sélectionner le lien pour en savoir plus sur la publication des messages. Sélectionnez Terminé lorsque vous avez terminé dans le menu volant Publier approuvé . De retour sous l’onglet Email, la valeur release status du message passe à Approuvé.

Si vous sélectionnez Refuser, un menu volant Refuser la mise en production s’ouvre, dans lequel vous pouvez consulter des informations sur le message. Pour refuser la demande, sélectionnez Refuser la mise en production. Un menu volant Version refusée s’ouvre, dans lequel vous pouvez sélectionner le lien pour en savoir plus sur la publication des messages. Sélectionnez Terminé lorsque vous avez terminé dans le menu volant Libération refusée . De retour sous l’onglet Email, la valeur release status du message devient Refusé.

Conseil

Vous pouvez refuser la mise en production pour tous les destinataires uniquement. Vous ne pouvez pas refuser la mise en production pour des destinataires spécifiques.

Supprimer les e-mails de la mise en quarantaine

Lorsque vous supprimez un e-mail de la mise en quarantaine, le message est supprimé et n’est pas envoyé aux destinataires d’origine.

Si vous ne publiez pas ou ne supprimez pas de message, il est automatiquement supprimé de la quarantaine après la date indiquée dans la colonne Expire .

Après avoir sélectionné le message, utilisez l’une des méthodes suivantes pour le supprimer :

  • Sous l’onglet Email : Sélectionnez Supprimer de la quarantaine.
  • Dans le menu volant de détails du message sélectionné : Sélectionnez Plus d’options>Supprimer de la quarantaine.

Dans le menu volant Supprimer (n) les messages de la mise en quarantaine qui s’ouvre, utilisez l’une des méthodes suivantes pour supprimer le message :

  • Sélectionnez Supprimer définitivement le message de la quarantaine , puis sélectionnez Supprimer : le message est supprimé définitivement et n’est pas récupérable.
  • Sélectionnez Supprimer uniquement : le message est supprimé, mais il est potentiellement récupérable.

Après avoir sélectionné Supprimer dans le menu volant Supprimer (n) de la mise en quarantaine, vous revenez à l’onglet Email où le message n’est plus répertorié.

Aperçu de l’e-mail de la mise en quarantaine

Après avoir sélectionné le message, utilisez l’une des méthodes suivantes pour l’afficher en aperçu :

  • Sous l’onglet Email : sélectionnez Message d’aperçu.
  • Dans le menu volant de détails du message sélectionné : Sélectionnez Plus d’options>Message d’aperçu.

Dans le menu volant qui s’ouvre, choisissez l’un des onglets suivants :

  • Affichage Source : affiche la version HTML du corps du message, dans laquelle tous les liens sont désactivés.
  • Texte simple : affiche le corps du message au format texte brut.

Afficher les en-têtes de courrier électronique

Après avoir sélectionné le message, utilisez l’une des méthodes suivantes pour afficher les en-têtes de message :

  • Sous l’onglet Email : Sélectionnez Plus>d’en-têtes de message Afficher.
  • Dans le menu volant détails du message sélectionné : Sélectionnez Plus d’options>Afficher les en-têtes de message.

Dans le menu volant En-tête de message qui s’ouvre, l’en-tête de message (tous les champs d’en-tête) s’affiche.

Utilisez Copier l’en-tête de message pour copier l’en-tête du message dans le Presse-papiers.

Sélectionnez le lien Analyseur d’en-têtes de message Microsoft pour analyser les champs et les valeurs d’en-tête en profondeur. Collez l’en-tête du message dans la section Insérer l’en-tête de message que vous souhaitez analyser (Ctrl+V ou cliquez avec le bouton droit et choisissez Coller), puis sélectionnez Analyser les en-têtes.

Signaler un e-mail à Microsoft pour examen de la mise en quarantaine

Après avoir sélectionné le message, utilisez l’une des méthodes suivantes pour signaler le message à Microsoft à des fins d’analyse :

  • Sous l’onglet Email : sélectionnez Plus>d’envoi pour révision.
  • Dans le menu volant de détails du message sélectionné : Sélectionnez Plus d’options>Envoyer pour révision.

Dans le menu volant Envoyer à Microsoft pour analyse qui s’ouvre, configurez les options suivantes :

  • Ajoutez l’ID de message réseau ou chargez le fichier e-mail : sélectionnez l’une des options suivantes :

    • Ajouter l’ID de message réseau de messagerie : cette valeur est sélectionnée par défaut, avec la valeur correspondante dans la zone.
    • Charger le fichier e-mail (.msg ou eml) : après avoir sélectionné cette option, sélectionnez le bouton Parcourir les fichiers qui apparaît pour rechercher et sélectionner le fichier de message .msg ou .eml à envoyer.
  • Choisissez un destinataire qui a rencontré un problème : sélectionnez un ou plusieurs destinataires d’origine du message pour analyser les stratégies qui leur ont été appliquées.

  • Sélectionnez le motif de l’envoi à Microsoft : choisissez l’une des options suivantes :

    • J’ai confirmé qu’il est propre (par défaut) : sélectionnez cette option si vous êtes sûr que le message est propre, puis sélectionnez Suivant. Les paramètres suivants sont ensuite disponibles :

      • Autoriser cet e-mail : si vous sélectionnez cette option, les entrées d’autorisation sont ajoutées à la liste verte/bloquée du locataire pour l’expéditeur et toutes les URL ou pièces jointes associées dans le message. Les options suivantes s’affichent également :
      • Supprimer l’entrée après : la valeur par défaut est 45 jours après la date de dernière utilisation, mais vous pouvez également sélectionner 1 jour, 7 jours, 30 jours ou une date spécifique inférieure à 30 jours.
      • Autoriser la note d’entrée : entrez une note facultative qui contient des informations supplémentaires.
    • Il apparaît propre : sélectionnez cette option si vous n’êtes pas sûr et que vous souhaitez obtenir un verdict de La part de Microsoft.

Lorsque vous avez terminé le menu volant Envoyer à Microsoft pour analyse , sélectionnez Envoyer.

Conseil

Les utilisateurs peuvent signaler des faux positifs à Microsoft à partir de la mise en quarantaine, en fonction de la valeur du paramètre Signaler à partir de la quarantaine dans les paramètres signalés par l’utilisateur.

Autoriser les expéditeurs de courrier à partir de la quarantaine

Conseil

L’action Autoriser l’expéditeur n’est disponible pour les administrateurs que s’ils filtrent les résultats de la mise en quarantaine par Destinataire>uniquement moi au lieu de la valeur par défaut Tous les utilisateurs.

Si l’expéditeur figure déjà dans la collection de la liste de sécurité du destinataire, l’option Autoriser l’expéditeur n’est pas disponible.

L’action Autoriser l’expéditeur ajoute l’expéditeur du message électronique sélectionné à la liste des expéditeurs approuvés dans la boîte aux lettres de la personne connectée. En règle générale, cette action est destinée aux utilisateurs finaux si elle est disponible pour eux par les stratégies de mise en quarantaine. Pour plus d’informations sur les utilisateurs autorisant les expéditeurs, consultez Ajouter des destinataires de mes messages électroniques à la liste des expéditeurs approuvés.

Après avoir sélectionné le message, utilisez l’une des méthodes suivantes pour ajouter l’expéditeur du message à la liste des expéditeurs approuvés dans votre propre boîte aux lettres :

  • Sous l’onglet Email : sélectionnez Plus>d’expéditeurs autorisés.
  • Dans le menu volant de détails du message sélectionné : Sélectionnez Plus d’options>Autoriser l’expéditeur.

Le menu volant qui s’ouvre indique quand l’expéditeur a été correctement ajouté à votre liste d’expéditeurs approuvés. Sélectionnez Terminé.

Bloquer la mise en quarantaine des expéditeurs d’e-mails

Conseil

L’action Bloquer l’expéditeur n’est disponible pour les administrateurs que s’ils filtrent les résultats de la mise en quarantaine par Destinataire>seul moi au lieu de la valeur par défaut Tous les utilisateurs.

Si l’expéditeur figure déjà dans la collection de la liste de sécurité du destinataire, l’option Bloquer l’expéditeur n’est pas disponible. Supprimer l’expéditeur de la liste bloquée de l’utilisateur est disponible à la place.

L’action Bloquer l’expéditeur ajoute l’expéditeur du message électronique sélectionné à la liste Expéditeurs bloqués dans la boîte aux lettres de la personne connectée. En règle générale, cette action est destinée aux utilisateurs finaux si elle est disponible pour eux par les stratégies de mise en quarantaine. Pour plus d’informations sur les utilisateurs qui bloquent les expéditeurs, consultez Bloquer un expéditeur de courrier

Après avoir sélectionné le message, utilisez l’une des méthodes suivantes pour ajouter l’expéditeur du message à la liste Expéditeurs bloqués dans votre propre boîte aux lettres :

  • Sous l’onglet Email : Sélectionnez Plus>d’expéditeurs de blocage.
  • Dans le menu volant détails du message sélectionné : Sélectionnez Plus d’options>Bloquer l’expéditeur.

Dans le menu volant Bloquer l’expéditeur qui s’ouvre, passez en revue les informations sur l’expéditeur, puis sélectionnez Bloquer.

Conseil

Le organization peut toujours recevoir des messages de l’expéditeur bloqué. Les messages de l’expéditeur sont remis aux dossiers de Email indésirables de l’utilisateur ou mis en quarantaine en fonction de la priorité de la stratégie, comme décrit dans L’utilisateur autorise et bloque. Pour supprimer des messages de l’expéditeur à l’arrivée, utilisez des règles de flux de courrier (également appelées règles de transport) pour bloquer le message.

Supprimer les expéditeurs des listes d’expéditeurs bloqués de l’utilisateur de la mise en quarantaine

La liste de blocage Supprimer l’expéditeur de l’utilisateur est disponible uniquement si l’expéditeur du message mis en quarantaine figure déjà dans la liste Des expéditeurs bloqués du destinataire.

Les administrateurs peuvent supprimer des expéditeurs de la liste Bloquer les expéditeurs de leurs propres boîtes aux lettres (si la mise en quarantaine est filtrée par destinataire>uniquement) ou des boîtes aux lettres d’autres utilisateurs (si la mise en quarantaine est filtrée par destinataire>tous les utilisateurs).

Après avoir sélectionné le message, utilisez l’une des méthodes suivantes pour supprimer l’expéditeur de la liste Des expéditeurs bloqués de l’utilisateur :

  • Sous l’onglet Email : Sélectionnez Plus>Supprimer l’expéditeur de la liste bloquée de l’utilisateur.
  • Dans le menu volant de détails du message sélectionné : Sélectionnez Plus d’options>Supprimer l’expéditeur de la liste bloquée de l’utilisateur.

Le menu volant qui s’ouvre indique quand l’expéditeur a été supprimé de la liste Des expéditeurs bloqués du destinataire. Sélectionnez Terminé.

Partager des e-mails à partir de la quarantaine

Vous pouvez envoyer une copie du message électronique mis en quarantaine, y compris du contenu potentiellement dangereux, aux destinataires spécifiés.

Après avoir sélectionné le message, utilisez l’une des méthodes suivantes pour en envoyer une copie à d’autres personnes :

  • Sous l’onglet Email : Sélectionnez Plus>partager l’e-mail.
  • Dans le menu volant de détails du message sélectionné : Sélectionnez Plus d’options>Partager le courrier électronique.

Dans le menu volant Partager un e-mail avec d’autres utilisateurs qui s’ouvre, sélectionnez un ou plusieurs destinataires pour recevoir une copie du message. Lorsque vous avez terminé, sélectionnez Partager.

Télécharger un e-mail à partir de la mise en quarantaine

Après avoir sélectionné le message électronique, utilisez l’une des méthodes suivantes pour le télécharger :

  • Sous l’onglet Email : sélectionnez Autres>Messages de téléchargement.
  • Dans le menu volant de détails du message sélectionné : Sélectionnez Plus d’options>Télécharger le message.

Dans le menu volant Télécharger le fichier qui s’ouvre, entrez les informations suivantes :

  • Motif du téléchargement du fichier : entrez un texte descriptif.
  • Créer un mot de passe et Confirmer le mot de passe : entrez un mot de passe requis pour ouvrir le fichier de message téléchargé.

Lorsque vous avez terminé le menu volant Télécharger le fichier , sélectionnez Télécharger.

Lorsque le téléchargement est prêt, une boîte de dialogue Enregistrer sous s’ouvre pour vous permettre d’afficher ou de modifier le nom de fichier et l’emplacement téléchargés. Par défaut, le fichier de message .eml est enregistré dans un fichier compressé nommé Mise en quarantaine Messages.zip dans votre dossier Téléchargements . Si le fichier .zip existe déjà, un numéro est ajouté au nom de fichier (par exemple, Messages mis en quarantaine(1).zip).

Acceptez ou modifiez les détails du fichier téléchargé, puis sélectionnez Enregistrer.

De retour dans le menu volant Télécharger le fichier , sélectionnez Terminé.

Actions pour les messages électroniques mis en quarantaine dans Defender for Office 365

Dans les organisations disposant de Microsoft Defender pour Office 365 (licences d’extension ou incluses dans des abonnements comme Microsoft 365 E5 ou Microsoft 365 Business Premium), les actions suivantes sont également disponibles dans le menu volant des détails d’un message sélectionné :

Effectuer une action sur plusieurs courriers électroniques mis en quarantaine

Lorsque vous sélectionnez jusqu’à 100 messages mis en quarantaine sous l’onglet Email en sélectionnant les zones de case activée en regard de la première colonne, les actions en bloc suivantes sont disponibles sous l’onglet Email (en fonction des valeurs release status des messages que vous avez sélectionnés) :

Capture d’écran des actions disponibles sous l’onglet Email de la page Quarantaine après avoir sélectionné la zone case activée de plusieurs messages mis en quarantaine.

Rechercher les personnes qui ont supprimé un message mis en quarantaine

Par défaut, de nombreux verdicts de stratégie de sécurité permettent aux utilisateurs de supprimer leurs messages mis en quarantaine (messages dont ils sont destinataires). Pour plus d’informations, consultez le tableau sur Gérer les messages et les fichiers mis en quarantaine en tant qu’utilisateur.

Les administrateurs peuvent effectuer une recherche dans le journal d’audit pour rechercher des événements pour les messages qui ont été supprimés de la quarantaine à l’aide des procédures suivantes :

  1. Dans le portail Defender à l’adresse https://security.microsoft.com, accédez à Audit. Ou, pour accéder directement à la page Audit, utilisez https://security.microsoft.com/auditlogsearch.

    Conseil

    Vous pouvez également accéder à la page Audit dans le portail de conformité Microsoft Purview à l’adressehttps://compliance.microsoft.com/auditlogsearch

  2. Dans la page Audit , vérifiez que l’onglet Nouvelle recherche est sélectionné, puis configurez les paramètres suivants :

    • Plage de dates et d’heures (UTC)
    • Activités - noms conviviaux : cliquez dans la zone, commencez à taper « quarantaine » dans la zone de recherche qui s’affiche, puis sélectionnez Message de mise en quarantaine supprimé dans les résultats.
    • Utilisateurs : si vous savez qui a supprimé le message de la mise en quarantaine, vous pouvez filtrer davantage les résultats par utilisateur.
  3. Lorsque vous avez terminé d’entrer les critères de recherche, sélectionnez Rechercher pour générer la recherche.

Pour obtenir des instructions complètes sur les recherches dans les journaux d’audit, consultez Auditer une nouvelle recherche.

Utiliser le portail Microsoft Defender pour gérer les fichiers mis en quarantaine dans Defender for Office 365

Remarque

Les procédures pour les fichiers mis en quarantaine dans cette section sont disponibles uniquement pour les abonnés Microsoft Defender for Office 365 Plan 1 ou plan 2.

Les fichiers mis en quarantaine dans SharePoint ou OneDrive sont supprimés de la quarantaine après 30 jours, mais les fichiers bloqués restent dans SharePoint ou OneDrive dans l’état bloqué.

Dans les organisations disposant de Defender for Office 365, les administrateurs peuvent gérer les fichiers mis en quarantaine par des pièces jointes sécurisées pour SharePoint, OneDrive et Microsoft Teams. Pour activer la protection de ces fichiers, voir Activer les pièces jointes fiables pour SharePoint, OneDrive et Microsoft Teams.

Afficher les fichiers mis en quarantaine

Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Email &'onglet>Collaboration Examiner les>fichiersde quarantaine>. Ou, pour accéder directement à l’onglet Fichiers de la page Quarantaine, utilisez https://security.microsoft.com/quarantine?viewid=Files.

Sous l’onglet Fichiers, vous pouvez réduire l’espacement vertical dans la liste en cliquant sur Modifier l’espacement de la liste en compact ou normal, puis en sélectionnant Liste compacte.

Vous pouvez trier les entrées en cliquant sur un en-tête de colonne disponible. Sélectionnez Personnaliser les colonnes pour modifier les colonnes affichées. Les valeurs par défaut sont marquées d'un astérisque (*) :

  • Utilisateur*
  • Emplacement* : la valeur est SharePoint ou OneDrive.
  • Nom de fichier de la pièce jointe*
  • URL du fichier*
  • Taille du fichier
  • Libérer le statut*
  • Expire*
  • Détecté par
  • Modifié par heure

Pour filtrer les entrées, sélectionnez Filtrer. Les filtres suivants sont disponibles dans le menu volant Filtres qui s’ouvre :

  • Heure de réception :
    • Dernières 24 heures
    • 7 derniers jours
    • 14 derniers jours
    • 30 derniers jours (par défaut)
    • Heure reçue : Saisissez une heure de début et une heure de fin (date).
  • Expire :
    • Personnalisé (par défaut) : entrez une heure de début et une heure de fin (date).
    • Aujourd’hui
    • Dans les 2 prochains jours
    • Dans les 7 prochains jours
  • Raison de la quarantaine : la seule valeur disponible est Programme malveillant.
  • Type de stratégie : la seule valeur disponible est Unknown.

Lorsque vous avez terminé dans le menu volant Filtres , sélectionnez Appliquer. Pour effacer les filtres, sélectionnez Effacer les filtres.

Utilisez la zone Rechercher et une valeur correspondante pour rechercher des fichiers spécifiques par nom de fichier. Les caractères génériques ne sont pas pris en charge.

Une fois que vous avez entré les critères de recherche, appuyez sur Entrée pour filtrer les résultats.

Une fois que vous avez trouvé un fichier en quarantaine spécifique, sélectionnez le fichier pour afficher les détails le concernant et prendre des mesures (par exemple, afficher, publier, télécharger ou supprimer le fichier).

Afficher les détails du fichier mis en quarantaine

  1. Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Email &'onglet>Collaboration Examiner les>fichiersde quarantaine>. Ou, pour accéder directement à l’onglet Fichiers de la page Quarantaine, utilisez https://security.microsoft.com/quarantine?viewid=Files.

  2. Sous l’onglet Fichiers, sélectionnez le fichier mis en quarantaine en cliquant n’importe où dans la ligne autre que la zone case activée.

Dans le menu volant de détails qui s’ouvre, les informations suivantes sont disponibles :

Capture d’écran du menu volant de détails qui s’ouvre une fois que vous avez sélectionné un fichier mis en quarantaine sous l’onglet Fichiers de la page Quarantaine.

  • Section Détails du fichier :
    • Nom de fichier
    • URL du fichier : URL qui définit l’emplacement du fichier (par exemple, dans SharePoint Online).
    • Contenu malveillant détecté le Date/heure à laquelle le fichier a été mis en quarantaine.
    • Expire : date à laquelle le fichier sera supprimé de la quarantaine.
    • Détecté par
    • Libéré?
    • Nom du programme malveillant
    • ID du document : identificateur unique du document.
    • Taille du fichier
    • Organisation ID unique de votre organization.
    • Dernière modification
    • Dernière modification par : utilisateur qui a modifié le fichier pour la dernière fois.
    • Valeur SHA-256 bits (Secure Hash Algorithm 256) : vous pouvez utiliser cette valeur de hachage pour identifier le fichier dans d’autres magasins de réputation ou dans d’autres emplacements de votre environnement.

Pour effectuer des actions sur le fichier, consultez la section suivante.

Conseil

Pour afficher des détails sur les autres fichiers mis en quarantaine sans quitter le menu volant de détails, utilisez l’élément Précédent et l’élément suivant en haut du menu volant.

Agir sur les fichiers mis en quarantaine

  1. Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Email &'onglet>Collaboration Examiner les>fichiersde quarantaine>. Ou, pour accéder directement à l’onglet Fichiers de la page Quarantaine, utilisez https://security.microsoft.com/quarantine?viewid=Files.

  2. Sous l’onglet Fichiers, sélectionnez le fichier mis en quarantaine en cliquant n’importe où dans la ligne autre que la zone case activée.

Une fois que vous avez sélectionné le fichier mis en quarantaine, les actions disponibles dans le menu volant détails du fichier qui s’ouvre sont décrites dans les sous-sections suivantes.

Capture d’écran des actions disponibles dans le menu volant de détails qui s’ouvre une fois que vous avez sélectionné un fichier mis en quarantaine sous l’onglet Fichiers de la page Quarantaine.

Libérer les fichiers mis en quarantaine de la mise en quarantaine

Cette action n’est pas disponible pour les fichiers qui ont déjà été publiés (la valeur de l’status libéré est Publiée).

Si vous ne libérez pas ou ne supprimez pas le fichier de la mise en quarantaine, le fichier est supprimé de la quarantaine après l’expiration de la période de rétention de quarantaine par défaut (comme indiqué dans la colonne Expire), mais le fichier bloqué reste dans SharePoint ou OneDrive dans l’état bloqué.

Après avoir sélectionné le fichier, sélectionnez Libérer le fichier dans le menu volant détails du fichier qui s’ouvre.

Dans le menu volant Publier les fichiers et les signaler à Microsoft qui s’ouvre, affichez les détails du fichier dans la section Publier les fichiers suivants , puis sélectionnez Publier.

Conseil

Actuellement, vous ne pouvez pas signaler les fichiers mis en quarantaine à Microsoft lorsque vous les publiez.

Dans le menu volant Fichiers ont été libérés qui s’ouvre, sélectionnez Terminé.

Revenez au menu volant détails du fichier, sélectionnez Fermer.

Sous l’onglet Fichiers, la valeur Release status du fichier est Release.

Télécharger les fichiers mis en quarantaine à partir de la mise en quarantaine

Après avoir sélectionné le fichier, sélectionnez Télécharger le fichier dans le menu volant de détails qui s’ouvre.

Dans le menu volant Télécharger le fichier qui s’ouvre, entrez les informations suivantes :

  • Motif du téléchargement du fichier : entrez un texte descriptif.
  • Créer un mot de passe et Confirmer le mot de passe : entrez un mot de passe requis pour ouvrir le fichier téléchargé.

Lorsque vous avez terminé le menu volant Télécharger le fichier , sélectionnez Télécharger.

Lorsque le téléchargement est prêt, une boîte de dialogue Enregistrer sous s’ouvre pour vous permettre d’afficher ou de modifier le nom de fichier et l’emplacement téléchargés. Par défaut, le fichier est enregistré dans un fichier compressé nommé Quarantined Messages.zip dans votre dossier Téléchargements . Si le fichier .zip existe déjà, un numéro est ajouté au nom de fichier (par exemple, Messages mis en quarantaine(1).zip).

Acceptez ou modifiez les détails du fichier téléchargé, puis sélectionnez Enregistrer.

De retour dans le menu volant Télécharger le fichier , sélectionnez Terminé.

Supprimer les fichiers mis en quarantaine de la mise en quarantaine

Si vous ne libérez pas ou ne supprimez pas le fichier de la mise en quarantaine, le fichier est supprimé de la quarantaine après l’expiration de la période de rétention de quarantaine par défaut (comme indiqué dans la colonne Expire), mais le fichier bloqué reste dans SharePoint ou OneDrive dans l’état bloqué.

Après avoir sélectionné le fichier, sélectionnez Plus>Supprimer de la quarantaine dans le menu volant de détails qui s’ouvre.

Sélectionnez Continuer dans la boîte de dialogue d’avertissement qui s’ouvre.

De retour sous l’onglet Fichiers , le fichier n’est plus répertorié.

Prendre des mesures sur plusieurs fichiers mis en quarantaine

Lorsque vous sélectionnez plusieurs fichiers mis en quarantaine sous l’onglet Fichiers en sélectionnant les zones case activée en regard de la première colonne (jusqu’à 100 fichiers), une liste déroulante Actions en bloc s’affiche dans laquelle vous pouvez effectuer les actions suivantes :

Capture d’écran des actions disponibles sous l’onglet Fichiers de la page Quarantaine après avoir sélectionné la zone case activée de plusieurs fichiers mis en quarantaine.

Utiliser le portail Microsoft Defender pour gérer les messages mis en quarantaine microsoft Teams

Conseil

Le vidage automatique (ZAP) zéro heure dans Microsoft Teams est actuellement en préversion, n’est pas disponible dans toutes les organisations et est susceptible d’être modifié.

La mise en quarantaine dans Microsoft Teams est disponible uniquement dans les organisations avec Microsoft Defender pour Office 365 Plan 2 (licences d’extension ou incluses dans des abonnements comme Microsoft 365 E5).

Lorsqu’un message de conversation potentiellement malveillant est détecté dans Microsoft Teams, le vidage automatique zéro heure (ZAP) supprime le message et le met en quarantaine. Les administrateurs peuvent afficher et gérer ces messages Teams mis en quarantaine. Le message est mis en quarantaine pendant 30 jours. Après cela, le message Teams est définitivement supprimé.

Cette fonctionnalité est activée par défaut.

Afficher les messages Teams mis en quarantaine

Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Email & collaboration>Examiner les>messages Teamsen quarantaine>. Ou, pour accéder directement à l’onglet Messages Teams de la page Quarantaine, utilisez https://security.microsoft.com/quarantine?viewid=Teams.

Sous l’onglet Messages Teams, vous pouvez réduire l’espacement vertical dans la liste en cliquant sur Modifier l’espacement de liste en compact ou normal, puis en sélectionnant Liste compacte.

Vous pouvez trier les entrées en cliquant sur un en-tête de colonne disponible. Sélectionnez Personnaliser les colonnes pour modifier les colonnes affichées. Les valeurs par défaut sont marquées d'un astérisque (*) :

  • Texte du message Teams : contient l’objet du message Teams.*
  • Heure de réception : heure à laquelle le message a été reçu par le destinataire.*
  • Mise en production status : indique si le message est déjà révisé et publié ou s’il doit être révisé. *
  • Participants : nombre total d’utilisateurs qui ont reçu le message.*
  • Expéditeur : personne qui a envoyé le message mis en quarantaine.*
  • Raison de la quarantaine : les options disponibles sont « Hameçonnage à haute confiance » et « Programme malveillant ».*
  • Type de stratégie : stratégie organization responsable du message mis en quarantaine.*
  • Expire : indique l’heure après laquelle le message est supprimé de la quarantaine. Par défaut, cette valeur est de 30 jours.*
  • Adresse du destinataire : Email adresse des destinataires.*
  • ID de message : inclut l’ID du message de conversation.

Pour filtrer les entrées, sélectionnez Filtrer. Les filtres suivants sont disponibles dans le menu volant Filtres qui s’ouvre :

  • ID de message
  • Adresse de l’expéditeur
  • Adresse du destinataire
  • Sujet
  • Heure de réception :
    • Dernières 24 heures
    • 7 derniers jours
    • 14 derniers jours
    • 30 derniers jours (par défaut)
    • Heure reçue : Saisissez une heure de début et une heure de fin (date).
  • Expire :
    • Personnalisé (par défaut) : entrez une heure de début et une heure de fin (date).
    • Aujourd’hui
    • Dans les 2 prochains jours
    • Dans les 7 prochains jours
  • Raison de la quarantaine : les valeurs disponibles sont Programme malveillant et Hameçonnage à haut niveau de confiance.
  • Destinataire : sélectionnez Tous les utilisateurs ou Uniquement moi.
  • Passer en revue status : sélectionnez Nécessite une révision et Publié.

Lorsque vous avez terminé dans le menu volant Filtres , sélectionnez Appliquer. Pour effacer les filtres, sélectionnez Effacer les filtres.

Utilisez la zone De recherche et une valeur correspondante pour rechercher des messages Teams spécifiques. Les caractères génériques ne sont pas pris en charge.

Une fois que vous avez trouvé un message Teams en quarantaine spécifique, sélectionnez le message pour afficher les détails le concernant et prendre des mesures (par exemple, afficher, publier, télécharger ou supprimer le message).

Afficher les détails des messages Teams mis en quarantaine

Sous l’onglet Messages Teams de la page Quarantaine, sélectionnez le message mis en quarantaine en cliquant n’importe où dans la ligne autre que la zone case activée en regard de la première colonne.

Les informations de message suivantes sont disponibles en haut du menu volant de détails :

  • Le titre du menu volant est l’objet ou les 100 premiers caractères du message Teams.
  • Valeur du motif de la quarantaine .
  • Nombre de liens dans le message.
  • Les actions disponibles sont décrites dans la section Agir sur les messages Teams mis en quarantaine .

Conseil

Pour afficher des détails sur les autres messages Teams mis en quarantaine sans quitter le menu volant des détails, utilisez l’élément Précédent et l’élément suivant en haut du menu volant.

La section suivante du menu volant détails est liée aux messages Teams mis en quarantaine :

  • Section Détails de la mise en quarantaine :
    • Date d’expiration
    • Heure de réception
    • Raison de la mise en quarantaine
    • Libérer le statut
    • Type de stratégie : la valeur est None.
    • Nom de la stratégie : la valeur est Stratégie de protection Teams.
    • Stratégie de mise en quarantaine

Le reste du menu volant de détails contient les sections Détails du message, Expéditeur, Participants, Détails du canal et URL qui font partie du panneau d’entité de message Teams. Pour plus d’informations, consultez Le panneau d’entité mMessage Teams dans Microsoft Defender pour Office 365 Plan 2.

Lorsque vous avez terminé dans le menu volant des détails, sélectionnez Fermer.

Capture d’écran du menu volant de détails qui s’ouvre après avoir sélectionné un message Teams en quarantaine sous l’onglet Messages Teams de la page Quarantaine.

Agir sur les messages Teams mis en quarantaine

Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Email & collaboration>Examiner les>messages Teamsen quarantaine>. Ou, pour accéder directement à l’onglet Messages Teams de la page Quarantaine, utilisez https://security.microsoft.com/quarantine?viewid=Teams.

Sous l’onglet Messages Teams , sélectionnez le message mis en quarantaine à l’aide de l’une des méthodes suivantes :

  • Sélectionnez le message dans la liste en sélectionnant la zone case activée en regard de la première colonne. Les actions disponibles ne sont plus grisées.

    Capture d’écran des actions disponibles après avoir sélectionné la zone case activée d’un message Teams mis en quarantaine sous l’onglet Message Teams de la page Quarantaine.

  • Sélectionnez le message dans la liste en cliquant n’importe où dans la ligne autre que la zone case activée. Les actions disponibles se trouvent dans le menu volant de détails qui s’ouvre.

    Capture d’écran des actions disponibles dans le menu volant de détails qui s’ouvre après avoir sélectionné un message Teams mis en quarantaine dans l’onglet Messages Teams de la page Quarantaine.

En utilisant l’une ou l’autre méthode pour sélectionner le message, certaines actions sont disponibles sous Plus.

Une fois que vous avez sélectionné le message mis en quarantaine, les actions disponibles sont décrites dans les sous-sections suivantes.

Publier les messages Teams mis en quarantaine

Cette action n’est pas disponible pour les messages Teams qui ont déjà été publiés (la valeur release status est Release).

Si vous ne publiez pas ou ne supprimez pas de message, il est automatiquement supprimé de la quarantaine après la date indiquée dans la colonne Expire .

Après avoir sélectionné le message, utilisez l’une des méthodes suivantes pour le libérer :

  • Sous l’onglet Messages Teams : sélectionnez Mise en production.
  • Dans le menu volant de détails du message sélectionné : Sélectionnez Mise en production.

Dans le menu volant Publier pour tous les participants à la conversation qui s’ouvre, décidez s’il faut sélectionner Envoyer le message à Microsoft pour améliorer la détection (faux positif), puis sélectionnez Publier.

Supprimer des messages Teams de la mise en quarantaine

Si vous ne publiez pas ou ne supprimez pas de message Teams, il est automatiquement supprimé de la mise en quarantaine après la date indiquée dans la colonne Expire .

Après avoir sélectionné le message Teams, utilisez l’une des méthodes suivantes pour le supprimer :

  • Sous l’onglet Messages Teams : Sélectionnez Supprimer les messages.
  • Dans le menu volant de détails du message sélectionné : Sélectionnez Plus d’options>Supprimer de la quarantaine.

Dans la boîte de dialogue d’avertissement qui s’ouvre, lisez les informations, puis sélectionnez Continuer.

De retour sous l’onglet Messages Teams , le message n’est plus répertorié.

Afficher un aperçu des messages Teams de la mise en quarantaine

Après avoir sélectionné le message Teams, utilisez l’une des méthodes suivantes pour l’afficher en aperçu :

  • Sous l’onglet Messages Teams : sélectionnez Message d’aperçu.
  • Dans le menu volant de détails du message sélectionné : Sélectionnez Message d’aperçu.

Dans le menu volant qui s’ouvre, choisissez l’un des onglets suivants :

  • Affichage Source : affiche la version HTML du corps du message, dans laquelle tous les liens sont désactivés.
  • Texte simple : affiche le corps du message au format texte brut.

Signaler des messages Teams à Microsoft à des fins de révision après la mise en quarantaine

Après avoir sélectionné le message, utilisez l’une des méthodes suivantes pour signaler le message à Microsoft à des fins d’analyse :

  • Sous l’onglet Messages Teams : sélectionnez Plus>d’envoi pour révision.
  • Dans le menu volant de détails du message sélectionné : Sélectionnez Plus d’options>Envoyer pour révision.

Lorsque vous sélectionnez Envoyer un message, le message est envoyé à Microsoft à des fins d’analyse. Vous recevez une boîte de dialogue Élément envoyé dans laquelle vous sélectionnez OK.

Télécharger les messages Teams à partir de la mise en quarantaine

Après avoir sélectionné le message Teams, utilisez l’une des méthodes suivantes pour le télécharger :

  • Sous l’onglet Messages Teams : sélectionnez Autres>Télécharger les messages.
  • Dans le menu volant de détails du message sélectionné : Sélectionnez Plus d’options>Télécharger le message.

Dans le menu volant Télécharger les messages qui s’ouvre, entrez les informations suivantes :

  • Motif du téléchargement du fichier : entrez un texte descriptif.
  • Créer un mot de passe et Confirmer le mot de passe : entrez un mot de passe requis pour ouvrir le fichier de message téléchargé.

Lorsque vous avez terminé le menu volant Télécharger le fichier , sélectionnez Télécharger.

Par défaut, le fichier de message .html est enregistré dans un fichier compressé nommé Mise en quarantaine Messages.zip dans votre dossier Téléchargements . Si le fichier .zip existe déjà, un numéro est ajouté au nom de fichier (par exemple, Messages mis en quarantaine(1).zip).

De retour dans le menu volant Télécharger les messages , sélectionnez Terminé.

Agir sur plusieurs messages Teams mis en quarantaine

Lorsque vous sélectionnez plusieurs messages mis en quarantaine sous l’onglet Messages Teams en sélectionnant les zones case activée en regard de la première colonne, les actions en bloc suivantes sont disponibles sous l’onglet Messages Teams :

Capture d’écran des actions disponibles sous l’onglet Messages Teams de la page Quarantaine après avoir sélectionné plusieurs messages Teams mis en quarantaine.

Approuver ou refuser les demandes de mise en production des utilisateurs pour les messages Teams mis en quarantaine

Lorsqu’un utilisateur demande la publication d’un message Teams mis en quarantaine, la valeur Release status change en Version demandée, et un administrateur peut approuver ou refuser la demande.

Pour plus d’informations, consultez Approuver ou refuser les demandes de mise en production des utilisateurs.

Utiliser Exchange Online PowerShell ou EOP PowerShell autonome pour gérer les messages mis en quarantaine

Les applets de commande que vous utilisez pour afficher et gérer les messages et les fichiers en quarantaine sont décrites dans cette section.

Pour plus d'informations

FAQ sur les messages mis en quarantaine