Utilisez la page Soumissions pour envoyer des courriers indésirables suspects, des hameçonnages, des URL, des e-mails légitimes bloqués et des pièces jointes à Microsoft

Pour plus d’informations sur la façon dont Microsoft stocke et gère vos soumissions, case activée ceci.

Dans les organisations Microsoft 365 disposant de boîtes aux lettres Exchange Online, les administrateurs peuvent utiliser la page Soumissions du portail Microsoft Defender pour envoyer des messages, des URL et des pièces jointes à Microsoft à des fins d’analyse. Il existe deux types de soumissions d’administrateur de base :

• Envois d’origine Administration : les administrateurs identifient et signalent les messages, les pièces jointes ou les URL (entités) en sélectionnant Envoyer à Microsoft pour analyse dans les onglets de la page Soumissions, comme décrit dans la section Soumissions d’origine Administration.

  Une fois que l’administrateur a signalé l’entité, une entrée s’affiche sous l’onglet correspondant de la page Soumissions (à l’exception de l’onglet Utilisateur signalé ).

• Administration envoi des messages signalés par l’utilisateur : l’expérience de création de rapports utilisateur intégrée est activée et configurée. Les messages signalés par l’utilisateur apparaissent sous l’onglet Utilisateur signalé sur la page Soumissions , et les administrateurs envoient ou soumettent à nouveau les messages à Microsoft à partir de l’onglet Utilisateur signalé .

  Une fois qu’un administrateur a envoyé le message à partir de l’onglet Utilisateur signalé , une entrée est également créée dans l’onglet correspondant de la page Soumissions (par exemple, l’onglet E-mails ). Ces types de soumissions d’administrateur sont décrits dans la section options Administration pour les messages signalés par l’utilisateur.

Lorsque des administrateurs ou des utilisateurs envoient des messages à Microsoft à des fins d’analyse, nous effectuons les vérifications suivantes :

• Email case activée d’authentification (messages électroniques uniquement) : indique si l’authentification par e-mail a réussi ou échoué lors de sa remise.
• Accès à la stratégie : informations sur les stratégies ou les remplacements qui ont pu autoriser ou bloquer le courrier entrant dans le organization, ce qui a remplacé nos verdicts de filtrage.
• Réputation/détonation de charge utile : examen à jour des URL et pièces jointes du message.
• Analyse de l’indicateur de notation : examen effectué par les vérificateurs humains pour vérifier si les messages sont malveillants ou non.

Regardez cette courte vidéo pour découvrir comment utiliser les soumissions d’administrateur dans Microsoft Defender pour Office 365 envoyer des messages à Microsoft à des fins d’évaluation.

Pour plus d’informations sur la façon dont les utilisateurs peuvent envoyer des messages et des fichiers à Microsoft, consultez Signaler des messages et des fichiers à Microsoft.

Pour connaître d’autres façons dont les administrateurs peuvent signaler des messages à Microsoft dans le portail Defender, consultez Paramètres de création de rapports associés pour les administrateurs.

Ce qu'il faut savoir avant de commencer

• Vous ouvrez le portail Microsoft Defender à l’adresse https://security.microsoft.com/. Pour accéder directement à la page Soumissions , utilisez https://security.microsoft.com/reportsubmission.

• Vous devez disposer d’autorisations pour pouvoir effectuer les procédures décrites dans cet article. Vous avez le choix parmi les options suivantes :

  • Microsoft Defender XDR le contrôle d’accès en fonction du rôle (RBAC) unifié (si Email & collaboration> les autorisationsDefender pour Office 365 est Actif. Affecte uniquement le portail Defender, et non PowerShell) : Opérations de sécurité/Données de sécurité/Réponse (gérer) ou Opérations de sécurité/Données de sécurité/Bases des données de sécurité (lecture).
  • Email & les autorisations de collaboration dans le portail Microsoft Defender : appartenance aux groupes de rôles Administrateur de la sécurité ou Lecteur de la sécurité.
  • autorisations Microsoft Entra : l’appartenance aux rôles Administrateur de la sécurité ou Lecteur de sécurité donne aux utilisateurs les autorisations et autorisations requises pour d’autres fonctionnalités dans Microsoft 365.

• Les administrateurs peuvent envoyer des messages électroniques de 30 jours s’ils sont toujours disponibles dans la boîte aux lettres et n’ont pas été vidés par l’utilisateur ou un administrateur.

• Administration soumissions sont limitées aux taux suivants :

  • Nombre maximal de soumissions sur une période de 15 minutes : 150 soumissions
  • Mêmes soumissions dans une période de 24 heures : Trois soumissions
  • Mêmes soumissions dans une période de 15 minutes : Une soumission

• Si l’utilisateur a signalé les paramètres dans le organization envoyer des messages signalés par l’utilisateur (e-mail et Microsoft Teams) à Microsoft (exclusivement ou en plus de la boîte aux lettres de création de rapports), nous effectuons les mêmes vérifications que lorsque les administrateurs envoient des messages à Microsoft à des fins d’analyse à partir de la page Soumissions. Par conséquent, l’envoi ou la soumission de messages à Microsoft est utile aux administrateurs uniquement pour les messages qui n’ont jamais été envoyés à Microsoft, ou lorsque vous n’êtes pas d’accord avec le verdict d’origine.

• Un onglet Fichiers est disponible dans la page Soumissions uniquement dans les organisations avec Microsoft Defender XDR ou Microsoft Defender pour point de terminaison Plan 2. Pour obtenir des informations et des instructions sur l’envoi de fichiers à partir de l’onglet Fichiers, consultez Envoyer des fichiers dans Microsoft Defender pour point de terminaison.

Administration soumissions

Signaler un e-mail douteux à Microsoft

1. Dans le portail Defender, https://security.microsoft.comaccédez à Actions & soumissions>. Ou, pour accéder directement à la page Soumissions , utilisez https://security.microsoft.com/reportsubmission.

2. Dans la page Soumissions , vérifiez que l’onglet E-mails est sélectionné.

3. Sous l’onglet E-mails , sélectionnez Envoyer à Microsoft à des fins d’analyse.

4. Dans la première page du menu volant Envoyer à Microsoft pour analyse qui s’ouvre, entrez les informations suivantes :

   • Sélectionnez le type de soumission : vérifiez que la valeur Email est sélectionnée.

   • Ajoutez l’ID de message réseau ou chargez le fichier e-mail : sélectionnez l’une des options suivantes :

     • Ajouter l’ID de message réseau de messagerie : la valeur GUID est disponible dans l’en-tête X-MS-Exchange-Organization-Network-Message-Id ou dans l’en-tête X-MS-Office365-Filtering-Correlation-Id dans les messages.
     • Charger le fichier e-mail (.msg ou .eml) : sélectionnez Parcourir les fichiers. Dans la boîte de dialogue qui s’ouvre, recherchez et sélectionnez le fichier .eml ou .msg, puis sélectionnez Ouvrir.

   • Choisissez au moins un destinataire qui a rencontré un problème : spécifiez les destinataires sur lesquels exécuter une stratégie case activée. La stratégie case activée détermine si l’e-mail a contourné l’analyse en raison de stratégies d’utilisateur ou de organization ou d’un remplacement.

   • Pourquoi envoyez-vous ce message à Microsoft ? : Sélectionnez l’une des valeurs suivantes :

     • Cela semble suspect : sélectionnez cette valeur uniquement lorsque vous ne savez pas ou si vous n’êtes pas sûr du verdict du message et que vous souhaitez obtenir un verdict de Microsoft. Sélectionnez Envoyer, puis passez à l’étape 6.

     ou

     • J’ai confirmé qu’il s’agit d’une menace : Dans tous les autres cas, sélectionnez cette valeur une fois que vous avez déjà déterminé que le verdict du message est malveillant. Sélectionnez l’une des valeurs suivantes dans la section Choisir une catégorie qui s’affiche :

       • Hameçonnage
       • Programme malveillant
       • Courrier indésirable

       Sélectionnez Suivant.

       

5. Dans la deuxième page du menu volant Envoyer à Microsoft pour analyse qui s’ouvre, effectuez l’une des étapes suivantes :

   • Sélectionnez Envoyer.

   ou

   • Sélectionnez Bloquer tous les e-mails de cet expéditeur ou domaine : cette option crée une entrée de bloc pour le domaine ou l’adresse e-mail de l’expéditeur dans la liste verte/bloquée du locataire. Pour plus d’informations sur la liste verte/bloquée des locataires, consultez Gérer les autorisations et les blocs dans la liste verte/bloquée des locataires.

     Une fois cette option sélectionnée, les paramètres suivants sont disponibles :

     • Par défaut, Expéditeur est sélectionné, mais vous pouvez sélectionner Domaine à la place.
     • Supprimer l’entrée de bloc après : La valeur par défaut est 30 jours, mais vous pouvez sélectionner parmi les valeurs suivantes :
       • 1 jour
       • 7 jours
       • 30 jours
       • N’expirez jamais
       • Date spécifique : la valeur maximale est de 30 jours à partir d’aujourd’hui.
     • Note d’entrée de blocage (facultatif) : entrez des informations facultatives sur la raison pour laquelle vous bloquez cet élément.

     Lorsque vous avez terminé sur la deuxième page du menu volant Envoyer à Microsoft pour analyse , sélectionnez Envoyer.

     

6. Sélectionnez Terminé.

Après quelques instants, l’entrée de bloc est disponible sous l’onglet Domaines & adresses de la page Listes de blocs/d’autorisation des locataires à l’adresse https://security.microsoft.com/tenantAllowBlockList?viewid=Sender.

Signaler des pièces jointes d’e-mail douteuses à Microsoft

1. Dans le portail Defender, https://security.microsoft.comaccédez à Actions & soumissions>. Ou, pour accéder directement à la page Soumissions , utilisez https://security.microsoft.com/reportsubmission.

2. Dans la page Soumissions, sélectionnez l’onglet Email pièces jointes.

3. Sous l’onglet Email pièces jointes, sélectionnez Envoyer à Microsoft pour analyse.

4. Dans la première page du menu volant Envoyer à Microsoft pour analyse qui s’ouvre, entrez les informations suivantes :

   • Sélectionnez le type de soumission : vérifiez que la valeur Email pièce jointe est sélectionnée.

   • Fichier : sélectionnez Parcourir les fichiers pour rechercher et sélectionner le fichier à envoyer.

   • Pourquoi envoyez-vous cette pièce jointe à Microsoft ? : sélectionnez l’une des valeurs suivantes :

     • Cela semble suspect : sélectionnez cette valeur si vous n’êtes pas sûr et que vous souhaitez obtenir un verdict de Microsoft, sélectionnez Envoyer, puis passez à l’étape 6.

     ou

     • J’ai confirmé qu’il s’agit d’une menace : sélectionnez cette valeur si vous êtes sûr que l’élément est malveillant, puis sélectionnez l’une des valeurs suivantes dans la section Choisir une catégorie qui s’affiche :

       • Hameçonnage
       • Programme malveillant

       Sélectionnez Suivant.

       

5. Dans la deuxième page du menu volant Envoyer à Microsoft pour analyse qui s’ouvre, effectuez l’une des étapes suivantes :

   • Sélectionnez Envoyer.

   ou

   • Sélectionnez Bloquer ce fichier : cette option crée une entrée de bloc pour le fichier dans la liste verte/bloquée du locataire. Pour plus d’informations sur la liste verte/bloquée des locataires, consultez Gérer les autorisations et les blocs dans la liste verte/bloquée des locataires.

     Une fois cette option sélectionnée, les paramètres suivants sont disponibles :

     • Supprimer l’entrée de bloc après : La valeur par défaut est 30 jours, mais vous pouvez sélectionner parmi les valeurs suivantes :
       • 1 jour
       • 7 jours
       • 30 jours
       • N’expirez jamais
       • Date spécifique : la valeur maximale est de 30 jours à partir d’aujourd’hui.
     • Note d’entrée de blocage (facultatif) : entrez des informations facultatives sur la raison pour laquelle vous bloquez cet élément.

     Lorsque vous avez terminé dans le menu volant Envoyer à Microsoft pour analyse , sélectionnez Envoyer.

   

6. Sélectionnez Terminé.

Après quelques instants, l’entrée de bloc est disponible sous l’onglet Fichiers de la page Listes de blocage/d’autorisation des locataires à l’adresse https://security.microsoft.com/tenantAllowBlockList?viewid=FileHash.

Signaler des URL douteuses à Microsoft

1. Dans le portail Defender, https://security.microsoft.comaccédez à Actions & soumissions>. Ou, pour accéder directement à la page Soumissions , utilisez https://security.microsoft.com/reportsubmission.

2. Dans la page Soumissions , sélectionnez l’onglet URL .

3. Sous l’onglet URL , sélectionnez Envoyer à Microsoft pour analyse.

4. Dans le menu volant Envoyer à Microsoft pour analyse qui s’ouvre, entrez les informations suivantes :

   • Sélectionnez le type de soumission : vérifiez que l’URL de la valeur est sélectionnée.

   • URL : entrez l’URL complète (par exemple, https://www.fabrikam.com/marketing.html), puis sélectionnez-la dans la zone qui s’affiche. Vous pouvez entrer jusqu’à 50 URL à la fois.

   • Pourquoi envoyez-vous cette URL à Microsoft ? : sélectionnez l’une des valeurs suivantes :

     • Cela semble suspect : sélectionnez cette valeur si vous n’êtes pas sûr et que vous souhaitez obtenir un verdict de Microsoft, sélectionnez Envoyer, puis passez à l’étape 6.

     ou

     • J’ai confirmé qu’il s’agit d’une menace : sélectionnez cette valeur si vous êtes sûr que l’élément est malveillant, puis sélectionnez l’une des valeurs suivantes dans la section Choisir une catégorie qui s’affiche :

       • Hameçonnage
       • Programme malveillant

       Sélectionnez Suivant.

       

5. Dans la deuxième page du menu volant Envoyer à Microsoft pour analyse qui s’ouvre, effectuez l’une des étapes suivantes :

   • Sélectionnez Envoyer.

   ou

   • Sélectionnez Bloquer cette URL : cette option crée une entrée de bloc pour l’URL dans la liste verte/bloquée du locataire. Pour plus d’informations sur la liste verte/bloquée des locataires, consultez Gérer les autorisations et les blocs dans la liste verte/bloquée des locataires.

     Une fois cette option sélectionnée, les paramètres suivants sont disponibles :

     • Supprimer l’entrée de bloc après : La valeur par défaut est 30 jours, mais vous pouvez sélectionner parmi les valeurs suivantes :
       • 1 jour
       • 7 jours
       • 30 jours
       • N’expirez jamais
       • Date spécifique : la valeur maximale est de 30 jours à partir d’aujourd’hui.
     • Note d’entrée de blocage (facultatif) : entrez des informations facultatives sur la raison pour laquelle vous bloquez cet élément.

     Lorsque vous avez terminé dans le menu volant Envoyer à Microsoft pour analyse , sélectionnez Envoyer.

   

6. Sélectionnez Terminé.

Après quelques instants, l’entrée de bloc est disponible sous l’onglet URL de la page Listes de blocs/d’autorisation des locataires à l’adresse https://security.microsoft.com/tenantAllowBlockList?viewid=Url.

Signaler un bon e-mail à Microsoft

1. Dans le portail Defender, https://security.microsoft.comaccédez à Actions & soumissions>. Ou, pour accéder directement à la page Soumissions , utilisez https://security.microsoft.com/reportsubmission.

2. Dans la page Soumissions , vérifiez que l’onglet E-mails est sélectionné.

3. Sous l’onglet E-mails , sélectionnez Envoyer à Microsoft à des fins d’analyse.

4. Dans la première page du menu volant Envoyer à Microsoft pour analyse qui s’ouvre, entrez les informations suivantes :

   • Sélectionnez le type de soumission : vérifiez que la valeur Email est sélectionnée.

   • Ajoutez l’ID de message réseau ou chargez le fichier e-mail : sélectionnez l’une des options suivantes :

     • Ajouter l’ID de message réseau de messagerie : la valeur GUID est disponible dans l’en-tête X-MS-Exchange-Organization-Network-Message-Id dans le message ou dans l’en-tête X-MS-Office365-Filtering-Correlation-Id dans les messages mis en quarantaine.
     • Charger le fichier e-mail (.msg ou .eml) : sélectionnez Parcourir les fichiers. Dans la boîte de dialogue qui s’ouvre, recherchez et sélectionnez le fichier .eml ou .msg, puis sélectionnez Ouvrir.

   • Choisissez au moins un destinataire qui a rencontré un problème : spécifiez les destinataires sur lesquels exécuter une stratégie case activée. La stratégie case activée détermine si l’e-mail a été bloqué en raison de stratégies ou de remplacements d’utilisateur ou de organization.

   • Pourquoi envoyez-vous ce message à Microsoft ? : Sélectionnez l’une des valeurs suivantes :

     • Il apparaît propre : sélectionnez cette valeur uniquement lorsque vous ne savez pas ou si vous n’êtes pas sûr du verdict du message et que vous souhaitez obtenir un verdict de Microsoft. Sélectionnez Envoyer, puis passez à l’étape 6.

     ou

     • J’ai confirmé qu’il est propre : Dans tous les autres cas, sélectionnez cette valeur une fois que vous avez déjà déterminé le verdict du message comme propre. Sélectionnez Suivant.

   

5. Dans la deuxième page du menu volant Envoyer à Microsoft pour analyse qui s’ouvre, effectuez l’une des étapes suivantes :

   • Sélectionnez Envoyer.

   ou

   • Sélectionnez Autoriser ce message : cette option crée une entrée d’autorisation pour les éléments du message dans la liste verte/bloquée du locataire. Pour plus d’informations sur la liste verte/bloquée des locataires, consultez Gérer les autorisations et les blocs dans la liste verte/bloquée des locataires.

     Une fois cette option sélectionnée, les paramètres suivants sont disponibles :

     • Supprimer l’entrée autorisée après : la valeur par défaut est 45 jours après la date de dernière utilisation, mais vous pouvez sélectionner parmi les valeurs suivantes :

       • 1 jour
       • 7 jours
       • 30 jours
       • Date spécifique : la valeur maximale est de 30 jours à partir d’aujourd’hui.

       Pour les expéditeurs usurpés, cette valeur n’a aucune signification, car les entrées pour les expéditeurs usurpés n’expirent jamais.

       Lorsque 45 jours après la date de dernière utilisation est sélectionnée, la date de dernière utilisation de l’entrée d’autorisation est mise à jour lorsque le message électronique malveillant est rencontré pendant le flux de messagerie. L’entrée d’autorisation est conservée pendant 45 jours après que le système de filtrage a déterminé que le message électronique est propre. Pour toutes les autres valeurs, l’entrée autoriser expire à la date définie (1 jour, 7 jours, 30 jours ou date spécifique).

     • Autoriser la note d’entrée (facultatif) : entrez des informations facultatives sur la raison pour laquelle vous autorisez cet élément. Pour les expéditeurs usurpés, toute valeur que vous entrez ici n’est pas affichée dans l’entrée d’autorisation sous l’onglet Expéditeurs usurpés de la page Listes d’autorisation/de blocage des locataires .

     Lorsque vous avez terminé sur la deuxième page du menu volant Envoyer à Microsoft pour analyse , sélectionnez Envoyer.

     

6. Sélectionnez Terminé.

Après quelques instants, les entrées d’autorisation associées s’affichent sous les onglets Domaines & adresses, Expéditeurs usurpés, URL ou Fichiers de la page Listes autorisées/bloquées du locataire à l’adresse https://security.microsoft.com/tenantAllowBlockList.

Signaler des pièces jointes correctes à Microsoft

1. Dans le portail Defender, https://security.microsoft.comaccédez à Actions & soumissions>. Ou, pour accéder directement à la page Soumissions , utilisez https://security.microsoft.com/reportsubmission.

2. Dans la page Soumissions, sélectionnez l’onglet Email pièces jointes.

3. Sous l’onglet Email pièces jointes, sélectionnez Envoyer à Microsoft pour analyse.

4. Dans le menu volant Envoyer à Microsoft pour analyse qui s’ouvre, entrez les informations suivantes :

   • Sélectionnez le type de soumission : vérifiez que la valeur Email pièce jointe est sélectionnée.

   • Fichier : sélectionnez Parcourir les fichiers pour rechercher et sélectionner le fichier à envoyer.

   • Pourquoi envoyez-vous le message à Microsoft ? : Sélectionnez l’une des valeurs suivantes :

     • Il apparaît propre : sélectionnez cette valeur si vous n’êtes pas sûr et que vous souhaitez obtenir un verdict de Microsoft, sélectionnez Envoyer, puis passez à l’étape 6.

     ou

     • J’ai confirmé qu’il est propre : sélectionnez cette valeur si vous êtes sûr que l’élément est propre, puis sélectionnez Suivant.

   

5. Dans la deuxième page du menu volant Envoyer à Microsoft pour analyse qui s’ouvre, effectuez l’une des étapes suivantes :

   • Sélectionnez Envoyer.

   ou

   • Sélectionnez Autoriser ce fichier : cette option crée une entrée d’autorisation pour le fichier dans la liste verte/bloquée du locataire. Pour plus d’informations sur la liste verte/bloquée des locataires, consultez Gérer les autorisations et les blocs dans la liste verte/bloquée des locataires.

     Une fois cette option sélectionnée, les paramètres suivants sont disponibles :

     • Supprimer l’entrée autorisée après : la valeur par défaut est 45 jours après la date de dernière utilisation, mais vous pouvez sélectionner parmi les valeurs suivantes :

       • 1 jour
       • 7 jours
       • 30 jours
       • Date spécifique : la valeur maximale est de 30 jours à partir d’aujourd’hui.

       Lorsque 45 jours après la date de dernière utilisation est sélectionnée, la dernière date utilisée de l’entrée d’autorisation est mise à jour lorsque la pièce jointe malveillante est rencontrée pendant le flux de messagerie. L’entrée d’autorisation est conservée pendant 45 jours après que le système de filtrage a déterminé que la pièce jointe de l’e-mail est propre. Pour toutes les autres valeurs telles que 1 jour, 7 jours, 30 jours, date spécifique, l’entrée d’autorisation expire à la date définie.

     • Autoriser la note d’entrée (facultatif) : entrez des informations facultatives sur la raison pour laquelle vous autorisez cet élément.

     Lorsque vous avez terminé sur la deuxième page du menu volant Envoyer à Microsoft pour analyse , sélectionnez Envoyer.

   

6. Sélectionnez Terminé.

Après quelques instants, l’entrée d’autorisation est disponible sous l’onglet Fichiers de la page Liste verte/bloquée du locataire . Pour plus d’informations sur la liste verte/bloquée des locataires, consultez Gérer les autorisations et les blocs dans la liste verte/bloquée des locataires.

Signaler de bonnes URL à Microsoft

Pour les URL signalées comme faux positifs, nous autorisons les messages suivants qui contiennent des variantes de l’URL d’origine. Par exemple, vous utilisez la page Soumissions pour signaler l’URL www.contoso.com/abcincorrectement bloquée. Si votre organization reçoit ultérieurement un message contenant l’URL (par exemple, mais sans s’y limiter : www.contoso.com/abc, www.contoso.com/abc?id=1, www.contoso.com/abc/def/gty/uyt?id=5ou www.contoso.com/abc/whatever), le message ne sera pas bloqué en fonction de l’URL. En d’autres termes, vous n’avez pas besoin de signaler plusieurs variantes de la même URL à Microsoft.

1. Dans le portail Defender, https://security.microsoft.comaccédez à Actions & soumissions>. Ou, pour accéder directement à la page Soumissions , utilisez https://security.microsoft.com/reportsubmission.

2. Dans la page Soumissions, sélectionnez l’onglet URL

3. Sous l’onglet URL , sélectionnez Envoyer à Microsoft pour analyse.

4. Dans le menu volant Envoyer à Microsoft pour analyse qui s’ouvre, entrez les informations suivantes :

   • Sélectionnez le type de soumission : vérifiez que l’URL de la valeur est sélectionnée.

   • URL : entrez l’URL complète (par exemple, https://www.fabrikam.com/marketing.html), puis sélectionnez-la dans la zone qui s’affiche. Vous pouvez également fournir un domaine de niveau supérieur (par exemple, https://www.fabrikam.com/*), puis le sélectionner dans la zone qui s’affiche. Vous pouvez entrer jusqu’à 50 URL à la fois.

   • Pourquoi envoyez-vous cette URL à Microsoft ? : sélectionnez l’une des valeurs suivantes :

     • Il apparaît propre : sélectionnez cette valeur si vous n’êtes pas sûr et que vous souhaitez obtenir un verdict de Microsoft, sélectionnez Envoyer, puis passez à l’étape 6.

     ou

     • J’ai confirmé qu’il est propre : sélectionnez cette valeur si vous êtes sûr que l’élément est propre, puis sélectionnez Suivant.

       

5. Dans la deuxième page du menu volant Envoyer à Microsoft pour analyse qui s’ouvre, effectuez l’une des étapes suivantes :

   • Sélectionnez Envoyer.

   ou

   • Sélectionnez Autoriser cette URL : cette option crée une entrée d’autorisation pour l’URL dans la liste verte/bloquée du locataire. Pour plus d’informations sur la liste verte/bloquée des locataires, consultez Gérer les autorisations et les blocs dans la liste verte/bloquée des locataires.

     Une fois cette option sélectionnée, les paramètres suivants sont disponibles :

     • Supprimer l’entrée autorisée après : la valeur par défaut est 45 jours après la date de dernière utilisation, mais vous pouvez sélectionner parmi les valeurs suivantes :

       • 1 jour
       • 7 jours
       • 30 jours
       • Date spécifique : la valeur maximale est de 30 jours à partir d’aujourd’hui.

       Lorsque 45 jours après la date de dernière utilisation est sélectionnée, la dernière date utilisée de l’entrée d’autorisation est mise à jour lorsque l’URL malveillante est rencontrée pendant le flux de messagerie. L’entrée d’autorisation est conservée pendant 45 jours après que le système de filtrage a déterminé que l’URL est propre. Pour toutes les autres valeurs telles que 1 jour, 7 jours, 30 jours, date spécifique, l’entrée d’autorisation expire à la date définie.

     • Autoriser la note d’entrée (facultatif) : entrez des informations facultatives sur la raison pour laquelle vous autorisez cet élément.

     Lorsque vous avez terminé sur la deuxième page du menu volant Envoyer à Microsoft pour analyse , sélectionnez Envoyer.

   

6. Sélectionnez Terminé.

Après quelques instants, l’entrée d’autorisation est disponible sous l’onglet URL de la page Listes autorisées/bloquées des locataires à l’adresse https://security.microsoft.com/tenantAllowBlockList?viewid=Url.

Signaler des messages Teams à Microsoft dans Defender pour Office 365 Plan 2

Dans les organisations Microsoft 365 qui ont Microsoft Defender pour Office 365 Plan 2 (licences d’extension ou incluses dans des abonnements comme Microsoft 365 E5), vous ne pouvez pas envoyer de messages Teams à partir de l’onglet Messages Teams de la page Soumissions. La seule façon de soumettre un message Teams à Microsoft à des fins d’analyse consiste à envoyer un message Teams signalé par un utilisateur à partir de l’onglet Utilisateur signalé , comme décrit dans la section Envoyer des messages signalés par l’utilisateur à Microsoft à des fins d’analyse plus loin dans cet article.

Les entrées de l’onglet Messages Teams sont le résultat de l’envoi d’un message Teams signalé par l’utilisateur à Microsoft. Pour plus d’informations, consultez la section Afficher les soumissions d’administrateur converties plus loin dans cet article.

Afficher les envois par e-mail de l’administrateur à Microsoft

Dans le portail Defender, https://security.microsoft.comaccédez à Actions & soumissions>. Ou, pour accéder directement à la page Soumissions , utilisez https://security.microsoft.com/reportsubmission.

Dans la page Soumissions , vérifiez que l’onglet E-mails est sélectionné.

Sous l’onglet E-mails , vous pouvez filtrer rapidement l’affichage en sélectionnant l’un des filtres rapides disponibles :

• Pending
• Terminée

Vous pouvez trier les entrées en cliquant sur un en-tête de colonne disponible. Sélectionnez Personnaliser les colonnes pour modifier les colonnes affichées. Les valeurs par défaut sont marquées d'un astérisque (^*) :

• Nom de la soumission^*
• Expéditeur^*
• Destinataire
• Soumis par^*
• Date de soumission^*
• Motif de l’envoi^*
• Statut^*
• Résultat^*
• Raison de la remise/du blocage
• ID de soumission
• ID de message réseau
• Direction
• IP de l’expéditeur
• Niveau conforme en bloc (BCL)
• Destination
• Action de stratégie
• Simulation de hameçonnage
• Is dispute : Pour plus d’informations, consultez Contester le résultat des soumissions à Microsoft.
• Balises^* : pour plus d’informations sur les balises utilisateur, consultez Balises utilisateur.
• Action

Pour regrouper les entrées, sélectionnez Grouper , puis sélectionnez l’une des valeurs suivantes :

• Raison
• État
• Résultat
• Status de litige
• Tags

Pour dissocier les entrées, sélectionnez Aucune.

Pour filtrer les entrées, sélectionnez Filtrer. Les filtres suivants sont disponibles dans le menu volant Filtrer qui s’ouvre :

• Date d’envoi : valeurs date de début et date de fin .
• ID de soumission : valeur GUID affectée à chaque soumission.
• ID de message réseau
• Sender
• Destinataire
• Nom de la soumission
• Soumis par
• Motif de l’envoi : l’une des valeurs suivantes :
  • Pas de courrier indésirable
  • Apparaît propre
  • Semble suspect
  • Hameçonnage
  • Programme malveillant
  • Courrier indésirable.
• État : En attente et Terminé.
• Balises : toutes ou sélectionnez les balises utilisateur dans la liste déroulante.

Lorsque vous avez terminé le menu volant Filtrer , sélectionnez Appliquer. Pour effacer les filtres, sélectionnez Effacer les filtres.

Utilisez Exporter pour exporter la liste des entrées dans un fichier CSV.

Afficher les détails de l’envoi d’un e-mail par l’administrateur

Si vous sélectionnez une entrée sous l’onglet E-mails de la page Envois en cliquant n’importe où dans la ligne autre que la zone case activée en regard de la première colonne, un menu volant de détails s’ouvre.

En haut du menu volant des détails, les informations de message suivantes sont disponibles :

• Le titre du menu volant est la valeur Objet du message.
• Toutes les balises utilisateur affectées aux destinataires du message (y compris la balise compte prioritaire). Pour plus d’informations, consultez Balises utilisateur dans Microsoft Defender pour Office 365
• Dans Defender pour Office 365, les actions disponibles en haut du menu volant sont décrites dans la section Actions pour les soumissions d’administrateur dans Defender pour Office 365.

Les sections suivantes du menu volant détails sont liées aux envois de messages électroniques :

• Section Détails des résultats :

  • Result : contient la valeur Result pour la soumission. Par exemple :

    • N’aurait pas dû être bloqué
    • Autorisé en raison de substitutions d’utilisateur
    • Autorisé en raison d’une règle

  • Étapes recommandées pour les envois par e-mail : contient des liens vers des actions associées. Par exemple :

    • Afficher les règles de flux de messagerie Exchange (règles de transport)
    • Afficher ce message dans Explorer (détections de menaces Explorer ou en temps réel dans Defender pour Office 365 uniquement)
    • Rechercher des messages similaires dans Explorer (détections de Explorer de menaces ou en temps réel dans Defender pour Office 365 uniquement)

  • Si vous avez contesté le verdict sur le message, une zone affiche des informations sur les résultats du litige :

    • Date et adresse e-mail de l’administrateur qui a contesté le message.
    • Afficher les détails du litige : copie en lecture seule du menu volant détails du litige que l’administrateur a rempli lorsqu’il a contesté le message.
    • Afficher la soumission d’origine : menu volant des détails d’origine de l’envoi du message électronique.

    

• Section Détails de la soumission :

  • Date de soumission
  • Nom de la soumission
  • Type de soumission : la valeur est Email.
  • Motif de l’envoi
  • ID de soumission
  • Soumis par
  • Status de soumission

• Section Autoriser les détails : Disponible uniquement pour les envois par e-mail pour lesquels la valeur Résultat est Autorisé en raison de remplacements d’utilisateur ou Autorisé à une règle : contient les valeurs Nom (adresse e-mail) et Type (Expéditeur).

Le reste du menu volant de détails contient les sections Détails de la remise, Email détails, URL et Pièces jointes qui font partie du panneau récapitulatif Email. Pour plus d’informations, consultez Panneau récapitulatif Email.

Lorsque vous avez terminé dans le menu volant des détails, sélectionnez Fermer.

Afficher les soumissions d’administrateur Teams à Microsoft dans Defender pour Office 365 Plan 2

Dans le portail Defender à l’adresse https://security.microsoft.com, accédez à la page Soumissions à l’adresse Actions & soumissions>. Ou, pour accéder directement à la page Soumissions , utilisez https://security.microsoft.com/reportsubmission.

Dans la page Soumissions , sélectionnez l’onglet Messages Teams .

Vous pouvez trier les entrées en cliquant sur un en-tête de colonne disponible. Sélectionnez Personnaliser les colonnes pour modifier les colonnes affichées. Les valeurs par défaut sont marquées d'un astérisque (^*) :

• Nom de la soumission^*
• Expéditeur^*
• Date de soumission^*
• Motif de l’envoi^*
• Soumis par
• Statut^*
• Résultat^*
• Destinataire
• ID de soumission
• Teams message ID
• Destination
• Simulation de hameçonnage
• Balises^* : pour plus d’informations sur les balises utilisateur, consultez Balises utilisateur.

Pour regrouper les entrées, sélectionnez Grouper , puis sélectionnez l’une des valeurs suivantes :

• Raison
• État
• Résultat
• Tags

Pour dissocier les entrées, sélectionnez Aucune.

Pour filtrer les entrées, sélectionnez Filtrer. Les filtres suivants sont disponibles dans le menu volant Filtrer qui s’ouvre :

• Date d’envoi : date de début et date de fin.
• ID de soumission : valeur GUID affectée à chaque soumission.
• Teams message ID
• Sender
• Destinataire
• Message Teams
• Soumis par
• Motif de l’envoi : l’une des valeurs suivantes :
  • Pas de courrier indésirable
  • Apparaît propre
  • Semble suspect
  • Hameçonnage
  • Programme malveillant
• État : En attente et Terminé.
• Balises : toutes ou sélectionnez les balises utilisateur dans la liste déroulante.

Lorsque vous avez terminé le menu volant Filtrer , sélectionnez Appliquer. Pour effacer les filtres, sélectionnez Effacer les filtres.

Utilisez Exporter pour exporter la liste des entrées dans un fichier CSV.

Afficher les détails de la soumission de l’administrateur Teams

Si vous sélectionnez une entrée sous l’onglet Messages Teams de la page Soumissions en cliquant n’importe où dans la ligne autre que la zone case activée en regard de la première colonne, un menu volant de détails s’ouvre.

En haut du menu volant des détails, les informations de message suivantes sont disponibles :

• Le titre du menu volant est l’objet ou les 100 premiers caractères du message Teams.
• Verdict du message actuel.
• Nombre de liens dans le message.
• Afficher l’alerte. Une alerte est déclenchée lorsqu’une soumission d’administrateur est créée ou mise à jour. La sélection de cette action vous permet d’accéder aux détails de l’alerte.

Les sections suivantes du menu volant détails sont liées aux soumissions Teams :

• Section des résultats de la soumission :

  • Result : contient la valeur Result pour la soumission. Par exemple :
    • Aurait dû être bloqué
    • Nous n’avons pas reçu la soumission, veuillez résoudre le problème et soumettre à nouveau
  • Étapes recommandées pour les envois par e-mail : contient des liens vers des actions associées. Par exemple :
    • Afficher les règles de flux de messagerie Exchange (règles de transport)

• Section Détails de la soumission :

  • Date de soumission
  • Nom de la soumission
  • Type de soumission : la valeur est Teams
  • Motif de l’envoi
  • ID de soumission
  • Soumis par
  • Status de soumission

Le reste du menu volant de détails contient les sections Détails du message, Expéditeur, Participants, Détails du canal et URL qui font partie du panneau d’entité de message Teams. Pour plus d’informations, consultez Le panneau d’entité de message Teams dans Microsoft Defender pour Office 365 Plan 2.

Lorsque vous avez terminé dans le menu volant des détails, sélectionnez Fermer.

Afficher les envois d’administration de pièces jointes à Microsoft

Dans le portail Defender à l’adresse https://security.microsoft.com, accédez à la page Soumissions à l’adresse Actions & soumissions>. Ou, pour accéder directement à la page Soumissions , utilisez https://security.microsoft.com/reportsubmission.

Dans la page Soumissions, sélectionnez l’onglet Email pièces jointes.

Sous l’onglet Email pièces jointes, vous pouvez filtrer rapidement l’affichage en sélectionnant l’un des filtres rapides disponibles :

• Pending
• Terminée

Vous pouvez trier les entrées en cliquant sur un en-tête de colonne disponible. Sélectionnez Personnaliser les colonnes pour modifier les colonnes affichées. Les valeurs par défaut sont marquées d'un astérisque (^*) :

• Nom de fichier de la pièce jointe^*
• Date de soumission^*
• Motif de l’envoi^*
• Statut^*
• Résultat^*
• Verdict de filtre
• Raison de la remise/du blocage
• ID de soumission
• ID d’objet
• Action de stratégie
• Soumis par
• Balises^* : pour plus d’informations sur les balises utilisateur, consultez Balises utilisateur.
• Action

Pour regrouper les entrées, sélectionnez Grouper , puis sélectionnez l’une des valeurs suivantes :

• Raison
• État
• Résultat
• Tags

Pour dissocier les entrées, sélectionnez Aucune.

Pour filtrer les entrées, sélectionnez Filtrer. Les filtres suivants sont disponibles dans le menu volant Filtrer qui s’ouvre :

• Date d’envoi : date de début et date de fin.
• ID de soumission : valeur GUID affectée à chaque soumission.
• Nom de fichier des pièces jointes
• Soumis par
• Motif de l’envoi : l’une des valeurs suivantes :
  • Pas de courrier indésirable
  • Apparaît propre
  • Semble suspect
  • Hameçonnage
  • Programme malveillant
• État : En attente et Terminé.
• Balises : toutes ou sélectionnez les balises utilisateur dans la liste déroulante.

Lorsque vous avez terminé le menu volant Filtrer , sélectionnez Appliquer. Pour effacer les filtres, sélectionnez Effacer les filtres.

Utilisez Exporter pour exporter la liste des entrées dans un fichier CSV.

Afficher les détails de la soumission de l’administrateur des pièces jointes par e-mail

Si vous sélectionnez une entrée sous l’onglet Email pièces jointes de la page Soumissions en cliquant n’importe où dans la ligne autre que la zone case activée en regard de la première colonne, un menu volant de détails s’ouvre.

En haut du menu volant des détails, les informations de message suivantes sont disponibles :

• Le titre du menu volant est le nom de fichier de la pièce jointe.
• Valeurs Status et Result de la soumission.
• Afficher l’alerte. Dans Defender pour Office 365, une alerte est déclenchée lorsqu’une soumission d’administrateur est créée ou mise à jour. La sélection de cette action vous permet d’accéder aux détails de l’alerte.

Les sections suivantes du menu volant détails sont liées aux envois de pièces jointes par e-mail :

• Section Détails des résultats :

  • Result : contient la valeur Result pour la soumission. Par exemple :
    • Aurait dû être bloqué
    • N’aurait pas dû être bloqué
  • Étapes recommandées pour les envois par e-mail : contient des liens vers des actions associées. Par exemple :
    • Bloquer l’URL/le fichier dans la liste verte/bloquée du locataire

• Section Détails de la soumission :

  • Date de soumission
  • Nom de la soumission
  • Type de soumission : la valeur est File.
  • Motif de l’envoi
  • ID de soumission
  • Soumis par
  • Status de soumission

Lorsque vous avez terminé dans le menu volant des détails, sélectionnez Fermer.

Afficher les soumissions d’administrateur d’URL à Microsoft

Dans le portail Defender à l’adresse https://security.microsoft.com, accédez à la page Soumissions à l’adresse Actions & soumissions>. Ou, pour accéder directement à la page Soumissions , utilisez https://security.microsoft.com/reportsubmission.

Dans la page Soumissions , sélectionnez l’onglet URL .

Sous l’onglet URL , vous pouvez filtrer rapidement l’affichage en sélectionnant l’un des filtres rapides disponibles :

• Pending
• Terminée

Vous pouvez trier les entrées en cliquant sur un en-tête de colonne disponible. Sélectionnez Personnaliser les colonnes pour modifier les colonnes affichées. Les valeurs par défaut sont marquées d'un astérisque (^*) :

• URL^*
• Date de soumission^*
• Motif de l’envoi^*
• Statut^*
• Résultat^*
• Verdict de filtre
• Raison de la remise/du blocage
• ID de soumission
• ID d’objet
• Action de stratégie
• Soumis par
• Is dispute : Pour plus d’informations, consultez Contester le résultat des soumissions à Microsoft.
• Balises^* : pour plus d’informations sur les balises utilisateur, consultez Balises utilisateur.
• Action

Pour regrouper les entrées, sélectionnez Grouper , puis sélectionnez l’une des valeurs suivantes :

• Raison
• État
• Résultat
• Status de litige
• Tags

Pour dissocier les entrées, sélectionnez Aucune.

Pour filtrer les entrées, sélectionnez Filtrer. Les filtres suivants sont disponibles dans le menu volant Filtrer qui s’ouvre :

• Date d’envoi : date de début et date de fin.
• ID de soumission : valeur GUID affectée à chaque soumission.
• URL
• Soumis par
• Motif de l’envoi : l’une des valeurs suivantes :
  • Pas de courrier indésirable
  • Apparaît propre
  • Semble suspect
  • Hameçonnage
  • Programme malveillant
• État : En attente et Terminé.
• Balises : toutes ou sélectionnez les balises utilisateur dans la liste déroulante.

Lorsque vous avez terminé le menu volant Filtrer , sélectionnez Appliquer. Pour effacer les filtres, sélectionnez Effacer les filtres.

Utilisez Exporter pour exporter la liste des entrées dans un fichier CSV.

Afficher les détails de la soumission de l’administrateur d’URL

Si vous sélectionnez une entrée sous l’onglet URL de la page Soumissions en cliquant n’importe où dans la ligne autre que la zone case activée en regard de la première colonne, un menu volant de détails s’ouvre.

En haut du menu volant des détails, les informations de message suivantes sont disponibles :

• Le titre du menu volant est le domaine de l’URL.
• Valeurs Status et Result de la soumission.
• Afficher l’alerte. Dans Defender pour Office 365, une alerte est déclenchée lorsqu’une soumission d’administrateur est créée ou mise à jour. La sélection de cette action vous permet d’accéder aux détails de l’alerte.

Les sections restantes du menu volant de détails sont liées aux envois d’URL :

• Section Détails des résultats :

  • Result : contient la valeur Result pour la soumission. Par exemple :

    • Aurait dû être bloqué
    • N’aurait pas dû être bloqué

  • Étapes recommandées pour les envois par e-mail : contient des liens vers des actions associées. Par exemple :

    • Bloquer l’URL/le fichier dans la liste verte/bloquée du locataire

  • Si vous avez contesté le verdict sur l’URL, une zone affiche des informations sur les résultats du litige :

    • Date et adresse e-mail de l’administrateur qui a contesté le message.
    • Afficher les détails du litige : copie en lecture seule du menu volant détails du litige que l’administrateur a rempli lorsqu’il a contesté le message.
    • Afficher la soumission d’origine : menu volant des détails d’origine de la soumission d’URL.

    

• Section Détails de la soumission :

  • Date de soumission
  • URL
  • Type de soumission : la valeur est URL.
  • Motif de l’envoi
  • ID de soumission
  • Soumis par
  • Status de soumission

• Autoriser les détails ou Bloquer les sections : disponible uniquement pour les envois d’URL où l’URL a été bloquée ou autorisée : contient les valeurs Nom (domaine d’URL) et Type (URL).

Lorsque vous avez terminé dans le menu volant des détails, sélectionnez Fermer.

Résultats de Microsoft

Les résultats de l’analyse de l’élément signalé sont affichés dans le menu volant de détails qui s’ouvre lorsque vous sélectionnez une entrée sous l’onglet E-mails, messages Teams, Email pièces jointes ou URL de la page Soumissions :

• En cas d’échec de l’authentification des e-mails de l’expéditeur au moment de la livraison.
• Informations sur les stratégies ou les remplacements qui auraient pu affecter ou remplacer le verdict du message du système de filtrage.
• Résultats actuels de la détonation pour voir si les URL ou les fichiers du message étaient malveillants ou non.
• Commentaires des élèves.

Pour plus d’informations sur la façon dont Microsoft traite les soumissions, consultez En savoir plus sur le traitement des soumissions en arrière-plan pour générer le résultat.

Si une configuration de remplacement ou de stratégie a été trouvée, le résultat doit être disponible en quelques minutes. S’il n’y a pas eu de problème d’authentification par e-mail ou si la remise n’a pas été affectée par une substitution ou une stratégie, la détonation et les commentaires des nuanceurs peuvent prendre jusqu’à un jour.

Contester le résultat des soumissions à Microsoft

Lorsque vous n’êtes pas d’accord avec le verdict d’un e-mail ou d’une URL que vous avez envoyé à Microsoft, vous pouvez contester le verdict pour les éléments éligibles. La contestation de l’élément est différente de la soumission de l’élément :

• Litige : sélectionnez Résultat de la soumission du litige pour contester les éléments éligibles.
  • Le verdict et l’historique d’origine sont conservés.
  • Vous ne pouvez contester un élément qu’une seule fois.
• Soumettre à nouveau : sélectionnez Envoyer à Microsoft pour analyse afin de soumettre à nouveau les éléments éligibles.
  • L’analyse commence sans verdict ou historique précédent.
  • Vous pouvez soumettre à nouveau un élément plusieurs fois.

Vous pouvez utiliser les procédures de cette section pour contester les éléments soumis par l’administrateur qui répondent à tous les critères suivants :

• L’élément a été envoyé à partir des ongletsE-mails ou URL de la page Soumissions.

• La valeur de la propriété Status est Completed.

• La propriété Result est l’une des valeurs suivantes :

  • Menaces détectées
  • Aucune menace détectée
  • Courrier indésirable
  • E-mail de masse

• L’élément n’a pas été précédemment contesté (filtrez par Est le non du litige>).

  Conseil

  Pour contester des éléments sous l’onglet Utilisateur envoyé , vous devez d’abord convertir la soumission de l’utilisateur en soumission d’administrateur.

1. Dans la page Soumissions du portail Defender, accédez aux ongletsE-mails ou URL :

   • Onglet E-mails : https://security.microsoft.com/reportsubmission?viewid=email
   • Onglet URL : https://security.microsoft.com/reportsubmission?viewid=url

2. Sous l’onglet , effectuez l’une des étapes suivantes :

   • Sélectionnez un ou plusieurs éléments éligibles en sélectionnant la zone case activée en regard de la première colonne, puis sélectionnez l’action Résultat de la soumission de litige qui s’affiche.

     

   • Sélectionnez un élément éligible en cliquant n’importe où dans la ligne autre que la zone case activée en regard de la première colonne. Dans le menu volant de détails qui s’ouvre, sélectionnez Résultat de la soumission du litige.

     

3. Dans le menu volant Détails du litige qui s’ouvre, configurez les paramètres suivants :

   • Dites-nous ce qui ne s’est pas bien passé : sélectionnez une ou plusieurs des valeurs suivantes :
     • Résultat
     • Raison
     • Étapes recommandées
   • Informations supplémentaires (facultatives) : entrez une explication qui peut vous être utile.
   • Charger en tant que capture d’écran : sélectionnez cette option pour charger une image JPG ou PNG inférieure à un Mo.

   Importante

   Si vous ne sélectionnez pas Résultat, l’élément n’est pas envoyé à Microsoft pour réévaluation. Au lieu de cela, une entrée est créée sous l’onglet E-mails ou URL sans soumettre à nouveau l’élément. Les valeurs autres que Result sont prises en tant que commentaires.

   Lorsque vous avez terminé dans le menu volant Détails du litige , sélectionnez Envoyer le litige.

   

4. Dans le menu volant Litige envoyé , sélectionnez Terminé.

   

Afficher les éléments contestés

Sous les ongletsE-mails ou URL de la page Soumissions, les contrôles suivants sont disponibles pour les éléments contestés :

• Groupe>Dispute status regroupe les entrées de la page dans les catégories suivantes :

  • Non contesté
  • Soumission d’un litige
  • Contesté

• Personnaliser les colonnes>Is dispute ajoute la colonne Is dispute aux entrées de la page.

• Filtre>Est un litige>Les filtres Oui ou Non filtrent les entrées de la page selon que l’élément a été contesté.

Le menu volant de détails pour le message électronique ou l’envoi d’URL contient des informations et des liens sur l’élément contesté.

Actions pour les soumissions d’administrateur dans Defender pour Office 365

Dans les organisations avec des Microsoft Defender pour Office 365 (licences d’extension ou incluses dans des abonnements tels que Microsoft 365 E5 ou Microsoft 365 Business Premium), les actions suivantes sont disponibles pour les soumissions d’administrateur dans le menu volant de détails qui s’ouvre une fois que vous avez sélectionné une entrée dans la liste en cliquant n’importe où dans la ligne autre que la zone case activée :

• Entité ouvrir l’e-mail : disponible dans le menu volant des détails des entrées sous l’onglet E-mails uniquement. Pour plus d’informations, consultez Contenu de la page d’entité Email.

• Effectuer des actions : disponible dans le menu volant des détails des entrées sous l’onglet E-mails uniquement. Cette action démarre l’Assistant Action disponible dans la page d’entité Email. Pour plus d’informations, consultez Actions dans la page d’entité Email.

• Afficher l’alerte. Une alerte est déclenchée lorsqu’une soumission d’administrateur est créée ou mise à jour. La sélection de cette action vous permet d’accéder aux détails de l’alerte.

• Dans la section Détails des résultats, les liens suivants pour Threat Explorer peuvent également être disponibles, en fonction de la status et du résultat de l’élément signalé :

  • Affichez ce message dans Explorer onglet E-mails uniquement.
  • Recherchez des messages similaires dans Explorer : onglet E-mails uniquement.
  • Rechercher une URL ou un fichier : Email des pièces jointes ou des onglets d’URL uniquement.

Administration options pour les messages signalés par l’utilisateur

Pour les messages électroniques, les administrateurs peuvent voir ce que les utilisateurs signalent sous l’onglet Utilisateur signalé sur la page Soumissions si les instructions suivantes sont vraies :

• Les paramètres signalés par l’utilisateur sont activés.
• Email messages : vous utilisez des méthodes prises en charge pour les utilisateurs pour signaler les messages :
  • Bouton intégré Rapport dans Outlook.
  • Outils de création de rapports non-Microsoft pris en charge
• Messages Teams : les paramètres de création de rapports utilisateur pour les messages Teams sont activés.

Remarques :

• Les messages signalés par l’utilisateur qui sont envoyés à Microsoft uniquement ou à Microsoft, et la boîte aux lettres de création de rapports s’affiche sous l’onglet Utilisateur signalé .
• Les messages signalés par l’utilisateur qui sont envoyés uniquement à la boîte aux lettres de rapports s’affichent sous l’onglet Utilisateur signalé avec la valeur RésultatNon envoyé à Microsoft. Les administrateurs doivent signaler ces messages à Microsoft à des fins d’analyse.

Dans les organisations disposant de Microsoft Defender pour Office 365 Plan 2 (licences d’extension ou incluses dans des abonnements comme Microsoft 365 E5), les administrateurs peuvent également voir les messages signalés par les utilisateurs dans Microsoft Teams dans Defender pour Office 365 Plan 2.

Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Actions & soumissions>. Ou, pour accéder directement à la page Soumissions , utilisez https://security.microsoft.com/reportsubmission.

Dans la page Soumissions , sélectionnez l’onglet Utilisateur signalé .

Les sous-sections suivantes décrivent les informations et les actions disponibles sous l’onglet Utilisateur signalé sur la page Soumissions .

Afficher les messages signalés par l’utilisateur à Microsoft

Sous l’onglet Utilisateur signalé , vous pouvez filtrer rapidement l’affichage en sélectionnant l’un des filtres rapides disponibles :

• Menaces
• Courrier indésirable
• Aucune menace
• Simulations

Vous pouvez trier les entrées en cliquant sur un en-tête de colonne disponible. Sélectionnez Personnaliser les colonnes pour modifier les colonnes affichées. Les valeurs par défaut sont marquées d'un astérisque (^*) :

• Nom et type^*
• Signalé par^*
• Date de signalement^*
• Expéditeur^*
• Motif signalé^*
• Résultat^* : contient les informations suivantes pour les messages signalés en fonction des paramètres signalés par l’utilisateur :
  • Envoyer les messages signalés à>Microsoft et ma boîte aux lettres de création de rapports ou Microsoft uniquement : valeurs dérivées de l’analyse suivante :
    • Accès à la stratégie : informations sur les stratégies ou les remplacements qui ont pu autoriser ou bloquer les messages entrants, y compris les remplacements de nos verdicts de filtrage. Le résultat doit être disponible en quelques minutes. Sinon, la détonation et les commentaires des élèves pourraient prendre jusqu’à un jour.
    • Réputation/détonation de charge utile : examen à jour des URL et des fichiers dans le message.
    • Analyse de l’indicateur de notation : examen effectué par des vérificateurs humains afin de vérifier si les messages sont malveillants ou non.
  • Envoyer les messages signalés à>Ma boîte aux lettres de rapport uniquement : la valeur est toujours Non envoyée à Microsoft, car les messages n’ont pas été analysés par Microsoft.
• ID de message signalé
• ID de message réseau
• Teams message ID
• IP de l’expéditeur
• Signalé à partir de
• Simulation de hameçonnage
• Converti en soumission d’administrateur
• Marqué comme^*
• Marqué par^*
• Date marquée
• Balises^* : pour plus d’informations sur les balises utilisateur, consultez Balises utilisateur.

Pour regrouper les entrées, sélectionnez Grouper , puis sélectionnez l’une des valeurs suivantes :

• Sender
• Auteur du rapport
• Résultat
• Signalé à partir de
• Converti en soumission d’administrateur
• Tags

Pour dissocier les entrées, sélectionnez Aucune.

Pour filtrer les entrées, sélectionnez Filtrer. Les filtres suivants sont disponibles dans le menu volant Filtrer qui s’ouvre :

• Date signalée : date de début et date de fin.
• Auteur du rapport
• Name
• ID de message signalé
• ID de message réseau
• Teams message ID
• Sender
• Raison signalée : Les valeurs Aucune menace, Hameçonnage et Courrier indésirable.
• Signalé à partir de : Les valeurs Microsoft et Tiers.
• Simulation de hameçonnage : valeurs Oui et Non.
• Converti en soumission d’administrateur : les valeurs Oui et Non.
• Type de message : les valeurs disponibles sont les suivantes :
  • Courrier électronique
  • Message Teams (Defender pour Office 365 Plan 2 uniquement ; actuellement en préversion).
• Balises : toutes ou sélectionnez une ou plusieurs balises utilisateur (y compris le compte prioritaire) qui sont attribuées aux utilisateurs. Pour plus d’informations sur les balises utilisateur, consultez Balises utilisateur dans Microsoft Defender pour Office 365.

Lorsque vous avez terminé le menu volant Filtrer , sélectionnez Appliquer. Pour effacer les filtres, sélectionnez Effacer les filtres.

Utilisez Exporter pour exporter la liste des entrées dans un fichier CSV.

Pour plus d’informations sur les actions disponibles pour les messages sous l’onglet Utilisateur signalé , consultez la sous-section suivante.

Afficher les détails des messages électroniques signalés par l’utilisateur

Si vous sélectionnez une entrée liée à un e-mail sous l’onglet Utilisateur signalé de la page Soumissions en cliquant n’importe où dans la ligne autre que la zone case activée en regard de la première colonne, un menu volant de détails s’ouvre.

En haut du menu volant des détails, les informations de message suivantes sont disponibles :

• Le titre du menu volant est la valeur Objet du message.
• Toutes les balises utilisateur affectées aux destinataires du message (y compris la balise compte prioritaire). Pour plus d’informations, consultez Balises utilisateur dans Microsoft Defender pour Office 365
• Les actions disponibles en haut du menu volant sont décrites dans la section actions Administration pour les messages signalés par l’utilisateur.

Les sections suivantes du menu volant de détails sont liées aux soumissions signalées par l’utilisateur :

• Section Détails des résultats :

  • Result : contient la valeur Result pour la soumission. Par exemple :
    • N’aurait pas dû être bloqué
    • Autorisé en raison de substitutions d’utilisateur
    • Autorisé en raison d’une règle
  • Étapes recommandées pour les envois par e-mail : contient des liens vers des actions associées. Par exemple :
    • Afficher les règles de flux de messagerie Exchange (règles de transport)
    • Afficher ce message dans Explorer (détections de menaces Explorer ou en temps réel dans Defender pour Office 365 uniquement)
    • Rechercher des messages similaires dans Explorer (détections de Explorer de menaces ou en temps réel dans Defender pour Office 365 uniquement)

• Section Détails des messages signalés :

  • Date de soumission
  • Nom de la soumission
  • Raison signalée.
  • ID de message signalé
  • Auteur du rapport
  • Simulation de hameçonnage : la valeur est Oui ou Non.
  • Converti en envoi administrateur : la valeur est Oui ou Non. Pour plus d’informations, consultez Afficher les soumissions d’administrateur converties.

Le reste du menu volant de détails contient les sections Détails de la remise, Email détails, URL et Pièces jointes qui font partie du panneau récapitulatif Email. Pour plus d’informations, consultez Panneau récapitulatif Email.

Lorsque vous avez terminé dans le menu volant des détails, sélectionnez Fermer.

Afficher les détails des messages Teams signalés par l’utilisateur dans Defender pour Office 365 Plan 2

Dans les organisations Microsoft 365 qui ont Microsoft Defender pour Office 365 Plan 2 (licences d’extension ou incluses dans des abonnements comme Microsoft 365 E5), les messages Teams signalés par l’utilisateur sont disponibles sous l’onglet Utilisateur signalé de la page Soumissions. Il est facile de les trouver si vous filtrez les résultats en fonction de la valeur Type de message Message message Teams.

Si vous sélectionnez une entrée de message Teams sous l’onglet Utilisateur signalé en cliquant n’importe où dans la ligne autre que la zone case activée en regard de la première colonne, un menu volant de détails s’ouvre.

En haut du menu volant des détails, les informations de message suivantes sont disponibles :

• Le titre du menu volant est l’objet ou les 100 premiers caractères du message Teams.
• Verdict du message actuel.
• Nombre de liens dans le message.
• Les actions disponibles sont décrites dans la section actions Administration pour les messages signalés par l’utilisateur.

Les sections suivantes du menu volant de détails sont liées aux soumissions Teams signalées par l’utilisateur :

• Section des résultats de la soumission :

  • Result : contient la valeur Result pour la soumission. Par exemple :
    • N’aurait pas dû être bloqué
    • Non soumis à Microsoft
  • Étapes recommandées pour les envois par e-mail : contient des liens vers des actions associées. Par exemple :
    • Afficher les règles de flux de messagerie Exchange (règles de transport)

• Section Détails des messages signalés :

  • Date de signalement
  • Nom de la soumission
  • Raison signalée.
  • ID de message signalé
  • Auteur du rapport
  • Simulation de hameçonnage : la valeur est Oui ou Non.
  • Converti en envoi administrateur : la valeur est Oui ou Non. Pour plus d’informations, consultez Afficher les soumissions d’administrateur converties.

Le reste du menu volant de détails contient les sections Détails du message, Expéditeur, Participants, Détails du canal et URL qui font partie du panneau d’entité de message Teams. Pour plus d’informations, consultez Le panneau d’entité de message Teams dans Microsoft Defender pour Office 365 Plan 2.

Lorsque vous avez terminé dans le menu volant des détails, sélectionnez Fermer.

Administration actions pour les messages signalés par l’utilisateur

Sous l’onglet Utilisateur signalé , les actions pour les messages signalés par l’utilisateur sont disponibles sous l’onglet lui-même ou dans le menu volant de détails d’une entrée sélectionnée :

• Sélectionnez le message dans la liste en sélectionnant la zone case activée en regard de la première colonne. Les actions suivantes sont disponibles sous l’onglet Utilisateur signalé :

  • Envoyer à Microsoft pour analyse
  • Marquer comme et notifier
  • Investigation du déclencheur (Defender pour Office 365 Plan 2 uniquement)

• Sélectionnez le message dans la liste en cliquant n’importe où dans la ligne autre que la zone case activée. Les actions suivantes sont disponibles dans le menu volant de détails qui s’ouvre^* :

  • Envoyer à Microsoft pour analyse
  • Marquer comme et notifier
  • Afficher la soumission d’administrateur convertie
  • Actions dans Microsoft Defender pour Office 365 uniquement :
    • Ouvrir l’entité de messagerie
    • Effectuer des actions
    • Afficher l’alerte

Actions pour les messages signalés par l’utilisateur dans Defender pour Office

^*Selon la nature et la status du message, certaines actions peuvent ne pas être disponibles, sont disponibles directement en haut du menu volant ou sont disponibles sous Autres actions en haut du menu volant.

Ces actions sont décrites dans les sous-sections suivantes.

Envoyer les messages signalés par l’utilisateur à Microsoft à des fins d’analyse

Après avoir sélectionné le message sous l’onglet Utilisateur signalé , utilisez l’une des méthodes suivantes pour envoyer le message à Microsoft :

• Sous l’onglet Utilisateur signalé : sélectionnez Envoyer à Microsoft pour analyse.

• Dans le menu volant de détails du message sélectionné : Sélectionnez Envoyer à Microsoft pour analyse ou Autres options>Envoyer à Microsoft pour analyse en haut du menu volant.

Dans le menu volant Envoyer à Microsoft pour analyse qui s’ouvre, effectuez les étapes suivantes selon que le message est un message électronique ou un message Teams :

• Email messages :

  • Pourquoi envoyez-vous ce message à Microsoft ? : Sélectionnez l’une des valeurs suivantes :

    • Il apparaît propre ou Il semble suspect : sélectionnez l’une de ces valeurs si vous n’êtes pas sûr et que vous souhaitez un verdict de La part de Microsoft.

      Sélectionnez Envoyer, puis Terminé.

    • J’ai confirmé qu’il est propre : sélectionnez cette valeur si vous êtes sûr que l’élément est propre, puis sélectionnez Suivant.

      Dans la page suivante du menu volant, effectuez l’une des étapes suivantes :

      • Sélectionnez Envoyer, puis Terminé.

      ou

      • Sélectionnez Autoriser ce message : cette option crée une entrée d’autorisation pour les éléments du message dans la liste verte/bloquée du locataire. Pour plus d’informations sur la liste verte/bloquée des locataires, consultez Gérer les autorisations et les blocs dans la liste verte/bloquée des locataires.

      Une fois cette option sélectionnée, les paramètres suivants sont disponibles :

      • Supprimer l’entrée autorisée après : la valeur par défaut est 45 jours après la date de dernière utilisation, mais vous pouvez sélectionner parmi les valeurs suivantes :
        • 1 jour
        • 7 jours
        • 30 jours
        • Date spécifique : la valeur maximale est de 30 jours à partir d’aujourd’hui.

      Lorsque 45 jours après la date de dernière utilisation est sélectionnée, la date de dernière utilisation de l’entrée d’autorisation est mise à jour lorsque le message électronique malveillant est rencontré pendant le flux de messagerie. L’entrée d’autorisation est conservée pendant 45 jours après que le système de filtrage a déterminé que le message électronique est propre. Pour toutes les autres valeurs telles que 1 jour, 7 jours, 30 jours, date spécifique, l’entrée d’autorisation expire à la date définie.

      • Autoriser la note d’entrée (facultatif) : entrez des informations facultatives sur la raison pour laquelle vous autorisez cet élément. Pour les expéditeurs usurpés, toute valeur que vous entrez ici n’est pas affichée dans l’entrée d’autorisation sous l’onglet Expéditeurs usurpés de la page Listes d’autorisation/de blocage des locataires .

      Lorsque vous avez terminé dans le menu volant, sélectionnez Envoyer, puis Terminé.

    • J’ai confirmé qu’il s’agit d’une menace : sélectionnez cette valeur si vous êtes sûr que l’élément est malveillant, puis sélectionnez l’une des valeurs suivantes dans la section Choisir une catégorie qui s’affiche :

      • Hameçonnage
      • Programme malveillant
      • Courrier indésirable

      Sélectionnez Suivant.

      Dans la page suivante du menu volant, effectuez l’une des étapes suivantes :

      • Sélectionnez Envoyer, puis Terminé.

      ou

      • Sélectionnez Bloquer tous les e-mails de cet expéditeur ou domaine : cette option crée une entrée de bloc pour le domaine ou l’adresse e-mail de l’expéditeur dans la liste verte/bloquée du locataire. Pour plus d’informations sur la liste verte/bloquée des locataires, consultez Gérer les autorisations et les blocs dans la liste verte/bloquée des locataires.

      Une fois cette option sélectionnée, les paramètres suivants sont disponibles :

      • Par défaut, Expéditeur est sélectionné, mais vous pouvez sélectionner Domaine à la place.
      • Supprimer l’entrée de bloc après : La valeur par défaut est 30 jours, mais vous pouvez sélectionner parmi les valeurs suivantes :
        • 1 jour
        • 7 jours
        • 30 jours
        • N’expirez jamais
        • Date spécifique : la valeur maximale est de 30 jours à partir d’aujourd’hui.
      • Note d’entrée de blocage (facultatif) : entrez des informations facultatives sur la raison pour laquelle vous bloquez cet élément.

      Lorsque vous avez terminé dans le menu volant, sélectionnez Envoyer, puis Terminé.

  

• Messages Teams : sélectionnez l’une des valeurs suivantes :

  • J’ai confirmé son propre
  • Il apparaît propre
  • Il semble suspect

  Après avoir sélectionné l’une de ces valeurs, sélectionnez Envoyer, puis Terminé.

  • J’ai confirmé qu’il s’agit d’une menace : sélectionnez cette valeur si vous êtes sûr que l’élément est malveillant, puis sélectionnez l’une des valeurs suivantes dans la section Choisir une catégorie qui s’affiche :

  • Hameçonnage

  • Programme malveillant

    Sélectionnez Envoyer, puis Terminé.

Une fois que vous avez envoyé un message d’utilisateur signalé à Microsoft à partir de l’onglet Utilisateur signalé , la valeur de Conversion en soumission administrateur passe de Non à Oui, et une entrée de soumission d’administrateur correspondante est créée sous l’onglet approprié de la page Soumissions (par exemple, l’onglet E-mails ).

Déclencher une investigation dans Defender pour Office 365 Plan 2

• Sous l’onglet Utilisateur signalé, sélectionnez Déclencher l’investigation dans la liste déroulante Envoyer à Microsoft pour analyse.

Pour plus d’informations, consultez Un administrateur de sécurité déclenche une investigation à partir de Threat Explorer.

Informer les utilisateurs des messages envoyés par l’administrateur à Microsoft

Une fois qu’un administrateur a envoyé un message signalé par un utilisateur à Microsoft à partir de l’onglet Utilisateur signalé , les administrateurs peuvent utiliser l’action Marquer comme et notifier pour marquer le message avec un verdict et envoyer un message de notification modèle à l’utilisateur qui a signalé le message.

• Verdicts disponibles pour les messages électroniques :

  • Aucune menace détectée
  • Hameçonnage
  • Courrier indésirable

• Verdicts disponibles pour les messages Teams :

  • Aucune menace détectée
  • Hameçonnage

Pour plus d’informations, consultez Notifier les utilisateurs à partir du portail.

Afficher les soumissions d’administrateur converties

Une fois qu’un administrateur a envoyé un message signalé par un utilisateur à Microsoft à partir de l’onglet Utilisateur signalé , la valeur de Conversion en envoi administrateur est Oui.

Si vous sélectionnez l’un de ces messages en cliquant n’importe où dans la ligne autre que la zone case activée en regard du nom, le menu volant détails contient Plus d’actions>Afficher la soumission d’administrateur convertie.

Cette action vous permet d’accéder à l’entrée de soumission d’administrateur correspondante sous l’onglet approprié (par exemple, l’onglet E-mails ).

Actions pour les messages signalés par l’utilisateur dans Defender pour Office 365

Dans les organisations disposant de Microsoft Defender pour Office 365 (licences d’extension ou incluses dans des abonnements tels que Microsoft 365 E5 ou Microsoft 365 Business Premium), les actions suivantes peuvent également être disponibles dans le menu volant des détails d’un message signalé par un utilisateur sur le Onglet Utilisateur signalé :

• Ouvrir l’entité de messagerie (messages électroniques uniquement) : pour plus d’informations, consultez Contenu de la page d’entité Email.

• Effectuer des actions (messages électroniques uniquement) : cette action démarre l’Assistant Action disponible dans la page d’entité Email. Pour plus d’informations, consultez Actions dans la page d’entité Email.

• Afficher l’alerte. Une alerte est déclenchée lorsqu’une soumission d’administrateur est créée ou mise à jour. La sélection de cette action vous permet d’accéder aux détails de l’alerte.