Configurer votre client Microsoft 365 pour une sécurité accrueConfigure your Microsoft 365 tenant for increased security

Important

Le Centre de sécurité Microsoft 365 est à présent disponible.The improved Microsoft 365 security center is now available. Cette nouvelle expérience introduit Defender pour point de terminaison, Defender pour Office 365, Microsoft 365 Defender et bien plus encore dans le Centre de sécurité Microsoft 365.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Découvrir les nouveautés.Learn what's new.

S’applique àApplies to

Cette rubrique vous dirige vers la configuration recommandée pour les paramètres à l’échelle du client qui affectent la sécurité de Microsoft 365 environnement.This topic walks you through recommended configuration for tenant-wide settings that affect the security of your Microsoft 365 environment. Vos besoins en matière de sécurité peuvent nécessiter plus ou moins de sécurité.Your security needs might require more or less security. Utilisez ces recommandations comme point de départ.Use these recommendations as a starting point.

Vérifier Office 365 secure scoreCheck Office 365 Secure Score

Office 365 Le score de sécurité analyse la sécurité de votre organisation en fonction de vos activités régulières et de vos paramètres de sécurité et affecte un score.Office 365 Secure Score analyzes your organization's security based on your regular activities and security settings and assigns a score. Commencez par prendre note de votre score actuel.Begin by taking note of your current score. L’ajustement de certains paramètres à l’échelle du client augmente votre score.Adjusting some tenant-wide settings will increase your score. L’objectif n’est pas d’atteindre le score maximum, mais de prendre en compte les opportunités de protection de votre environnement qui n’affectent pas la productivité de vos utilisateurs.The goal is not to achieve the max score, but to be aware of opportunities to protect your environment that do not negatively affect productivity for your users. Voir Microsoft Secure Score.See Microsoft Secure Score.

Régler les stratégies de gestion des menaces dans le portail Microsoft 365 DefenderTune threat management policies in the Microsoft 365 Defender portal

Le portail Microsoft 365 Defender inclut des fonctionnalités qui protègent votre environnement.The Microsoft 365 Defender portal includes capabilities that protect your environment. Il inclut également des rapports et des tableaux de bord que vous pouvez utiliser pour surveiller et prendre des mesures.It also includes reports and dashboards you can use to monitor and take action. Certains domaines sont des configurations de stratégie par défaut.Some areas come with default policy configurations. Certains domaines n’incluent pas de stratégies ou de règles par défaut.Some areas do not include default policies or rules. Consultez ces stratégies sous gestion des menaces pour régler les paramètres de gestion des menaces pour un environnement plus sécurisé.Visit these policies under threat management to tune threat management settings for a more secure environment.



DomaineArea Inclut une stratégie par défautIncludes a default policy RecommandationRecommendation
Anti-hameçonnageAnti-phishing OuiYes
Moteur anti-programme malveillantAnti-Malware Engine OuiYes Modifiez la stratégie par défaut :Edit the default policy:
  • Select Enable the common attachments filterSelect Enable the common attachments filter

Vous pouvez également créer des stratégies de filtrage des programmes malveillants personnalisées et les appliquer à des utilisateurs, des groupes ou des domaines spécifiques de votre organisation.You can also create custom malware filter policies and apply them to specified users, groups, or domains in your organization.

Plus d’informations :More information:

Pièces jointes sécurisées dans Microsoft Defender pour Office 365Safe Attachments in Microsoft Defender for Office 365 NonNo Dans la page principale des pièces jointes sécurisées, cliquez sur Paramètres globaux et activer ce paramètre :On the main page for Safe Attachments, click Global settings and turn on this setting:
  • Activer Defender pour Office 365 pour SharePoint, OneDrive et Microsoft TeamsTurn on Defender for Office 365 for SharePoint, OneDrive, and Microsoft Teams

Créez une stratégie de pièces jointes sécurisées avec les paramètres ci-après :Create a Safe Attachments policy with these settings:

  • Bloquer : sélectionnez Bloquer en tant que réponse anti-programme malveillant inconnue.Block: Select Block as the unknown malware response.
  • Activer la redirection: cochez cette case et entrez une adresse de messagerie, telle qu’un compte d’administrateur ou de mise en quarantaine.Enable redirect: Check this box and enter an email address, such as an admin or quarantine account.
  • Appliquez la sélection ci-dessus si l’analyse des programmes malveillants pour les pièces jointes arrive à arriver à son arrivée ou si une erreur se produit : cochez cette case.Apply the above selection if malware scanning for attachments times out or error occurs: Check this box.
  • *Appliqué à: le domaine du destinataire est votre > domaine.*Applied to: The recipient domain is > select your domain.

Plus d’informations : Pièces jointes sécurisées pour SharePoint, OneDrive et Microsoft Teams stratégies de pièces jointes sécurisées et configurer des stratégies de pièces jointes sécuriséesMore information: Safe Attachments for SharePoint, OneDrive, and Microsoft Teams and Set up Safe Attachments policies

Liens sécurisés dans Microsoft Defender pour Office 365Safe Links in Microsoft Defender for Office 365 OuiYes Dans la page principale de liens sécurisés, cliquez sur Paramètres globaux:On the main page for Safe Links, click Global settings:
  • Utilisez la fonction Liens sécurisés dans : Office 365 applications : vérifiez que ce paramètre est allumé.Use Safe Links in: Office 365 applications: Verify this setting is turned on.
  • Ne pas savoir quand les utilisateurs cliquent sur Liens sécurisés : désactiver ce paramètre pour suivre les clics des utilisateurs.Do not track when users click Safe Links: Turn this setting off to track user clicks.

Créez une stratégie de liens sécurisés avec les paramètres suivants :Create a Safe Links policy with these settings:

  • Sélectionnez l’action pour les URL potentiellement malveillantes inconnues dans les messages : Vérifiez que ce paramètre est sur.Select the action for unknown potentially malicious URLs in messages: Verify this setting is On.
  • Sélectionnez l’action pour les URL inconnues ou potentiellement malveillantes dans Microsoft Teams : vérifiez que ce paramètre est sur.Select the action for unknown or potentially malicious URLs within Microsoft Teams: Verify this setting is On.
  • Appliquez l’analyse des URL en temps réel pour les liens suspects et les liens pointant vers des fichiers : cochez cette case.Apply real-time URL scanning for suspicious links and links that point to files: Check this box.
  • Attendez que l’analyse de l’URL se termine avant de remettre le message: cochez cette case.Wait for URL scanning to complete before delivering the message: Check this box.
  • Appliquer des liens sûrs aux messages électroniques envoyés au sein de l’organisation : cochez cette caseApply Safe Links to email messages sent within the organization: Check this box
  • N’autorisez pas les utilisateurs à cliquer sur l’URL d’origine: cochez cette case.Do not allow users to click through to original URL: Check this box.
  • Appliqué à: le domaine du destinataire est votre > domaine.Applied To: The recipient domain is > select your domain.

Plus d’informations : Configurer des stratégies de liens sécurisés.More information: Set up Safe Links policies.

Anti-courrier indésirable (filtrage du courrier)Anti-Spam (Mail filtering) OuiYes Ce qu’il faut surveiller : trop de courrier indésirable — Choisissez les paramètres personnalisés et modifiez la stratégie de filtrage du courrier indésirable par défaut.What to watch for: Too much spam — Choose the Custom settings and edit the Default spam filter policy. Plus d’informations : Microsoft 365 protection contre le courrier indésirable.More information: Microsoft 365 Email Anti-Spam Protection.
Authentification de messagerieEmail Authentication OuiYes L’authentification de messagerie utilise un DNS (Domain Name System) pour ajouter des informations vérifiables aux messages électroniques concernant l’expéditeur d’un e-mail.Email authentication uses a Domain Name System (DNS) to add verifiable information to email messages about the sender of an email. Microsoft 365 l’authentification de messagerie électronique pour son domaine par défaut (onmicrosoft.com), mais les administrateurs Microsoft 365 peuvent également utiliser l’authentification de messagerie pour les domaines personnalisés.Microsoft 365 sets up email authentication for its default domain (onmicrosoft.com), but Microsoft 365 admins can also use email authentication for custom domains. Trois méthodes d’authentification sont utilisées :Three authentication methods are used:

Notes

Pour les déploiements non standard de SPF, les déploiements hybrides et la résolution des problèmes : comment Microsoft 365 utilise SPF (Sender Policy Framework)pour empêcher l’usurpation.For non-standard deployments of SPF, hybrid deployments, and troubleshooting: How Microsoft 365 uses Sender Policy Framework (SPF) to prevent spoofing.

Afficher les tableaux de bord et les rapports dans le portail Microsoft 365 DefenderView dashboards and reports in the Microsoft 365 Defender portal

Consultez ces rapports et tableaux de bord pour en savoir plus sur l’état de votre environnement.Visit these reports and dashboards to learn more about the health of your environment. Les données de ces rapports s’enrichiront à mesure que votre organisation utilisera Office 365 services.The data in these reports will become richer as your organization uses Office 365 services. Pour l’instant, familiarisez-vous avec ce que vous pouvez surveiller et prendre des mesures.For now, be familiar with what you can monitor and take action on. Pour plus d’informations, voir Rapports dans le portail Microsoft 365 Defender.For more information, see Reports in the Microsoft 365 Defender portal.



Tableau de bordDashboard DescriptionDescription
Tableau de bord de gestion des menacesThreat management dashboard Dans la section Gestion des menaces du portail Microsoft 365 Defender, utilisez ce tableau de bord pour voir les menaces qui ont déjà été gérées et comme un outil pratique pour signaler aux décideurs d’entreprise les fonctionnalités d’examen et de réponse aux menaces qui ont déjà été réalisées pour sécuriser votre entreprise.In the Threat management section of the Microsoft 365 Defender portal, use this dashboard to see threats that have already been handled, and as a handy tool for reporting out to business decision makers on what threat investigation and response capabilities have already done to secure your business.
Threat Explorer (et détections en temps réel)Threat Explorer (or real-time detections) Il se trouve également dans la section Gestion des menaces du portail Microsoft 365 Defender.This is also in the Threat management section of the Microsoft 365 Defender portal. Si vous examinez ou rencontrez une attaque contre votre client, utilisez l’Explorateur (ou les détections en temps réel) pour analyser les menaces.If you are investigating or experiencing an attack against your tenant, use Explorer (or real-time detections) to analyze threats. L’Explorateur (et le rapport de détections en temps réel) vous indique le volume d’attaques au fil du temps, et vous pouvez analyser ces données par familles de menaces, infrastructure de l’attaquant, etc.Explorer (and the real-time detections report) shows you the volume of attacks over time, and you can analyze this data by threat families, attacker infrastructure, and more. Vous pouvez également marquer tout message suspect pour la liste Incidents.You can also mark any suspicious email for the Incidents list.
Rapports — Tableau de bordReports — Dashboard Dans la section Rapports du portail Microsoft 365 Defender, affichez les rapports d’audit pour SharePoint Online et Exchange Online organisations.In the Reports section of Microsoft 365 Defender portal, view audit reports for your SharePoint Online and Exchange Online organizations. Vous pouvez également accéder Azure Active Directory de connexion utilisateur (Azure AD), aux rapports d’activité des utilisateurs et au journal d’audit Azure AD à partir de la page Afficher les rapports.You can also access Azure Active Directory (Azure AD) user sign-in reports, user activity reports, and the Azure AD audit log from the View reports page.

Microsoft 365 Tableau de bord du portail Defender

Configurer des paramètres Exchange Online à l’échelle du clientConfigure additional Exchange Online tenant-wide settings

Voici quelques paramètres supplémentaires qui sont recommandés.Here are a couple of additional settings that are recommended.



DomaineArea Inclut une stratégie par défautIncludes a default policy RecommandationRecommendation
Mail Flow (règles de flux de messagerie, également appelées règles de transport)Mail Flow (mail flow rules, also known as transport rules) NonNo Ajoutez une règle de flux de messagerie pour vous protéger contre les ransomware en bloquant les types de fichiers exécutables Office types de fichiers contenant des macros.Add a mail flow rule to help protect against ransomware by blocking executable file types and Office file types that contain macros. Pour plus d’informations, voir Utiliser des règles de flux de messagerie pour inspecter les pièces jointesdes messages Exchange Online .For more information, see Use mail flow rules to inspect message attachments in Exchange Online.

Consultez les rubriques supplémentaires ci-après :See these additional topics:

Créez une règle de flux de messagerie pour empêcher le forwarding automatique du courrier électronique vers des domaines externes.Create a mail flow rule to prevent auto-forwarding of email to external domains. Pour plus d’informations, voir Atténuation des règles de forwarding externe client avec le score de sécurisation.For more information, see Mitigating Client External Forwarding Rules with Secure Score.

Plus d’informations : Règles de flux de messagerie (règles de transport) Exchange OnlineMore information: Mail flow rules (transport rules) in Exchange Online

Activer l’authentification moderneEnable modern authentication NonNo L’authentification moderne est une condition préalable à l’utilisation de l’authentification multifacteur (MFA).Modern authentication is a prerequisite for using multi-factor authentication (MFA). L’mf est recommandée pour sécuriser l’accès aux ressources cloud, y compris la messagerie.MFA is recommended for securing access to cloud resources, including email.

Consultez les rubriques ci-après :See these topics:

L’authentification moderne est activée par défaut pour Office clients 2016, SharePoint Online et OneDrive Entreprise.Modern authentication is enabled by default for Office 2016 clients, SharePoint Online, and OneDrive for Business.

Plus d’informations : Fonctionnement de l’authentification moderne Office 2013 et Office applications clientes 2016More information: How modern authentication works for Office 2013 and Office 2016 client apps

Configurer des stratégies de partage à l’échelle du client dans SharePoint’administration centraleConfigure tenant-wide sharing policies in SharePoint admin center

Recommandations de Microsoft pour la configuration SharePoint sites d’équipe à des niveaux de protection croissants, en commençant par la protection de référence.Microsoft recommendations for configuring SharePoint team sites at increasing levels of protection, starting with baseline protection. Pour plus d’informations, voir recommandations de stratégie pour la sécurisation SharePoint sites et fichiers.For more information, see Policy recommendations for securing SharePoint sites and files.

SharePoint sites d’équipe configurés au niveau de référence autorisent le partage de fichiers avec des utilisateurs externes à l’aide de liens d’accès anonyme.SharePoint team sites configured at the baseline level allow sharing files with external users by using anonymous access links. Cette approche est recommandée au lieu d’envoyer des fichiers par courrier électronique.This approach is recommended instead of sending files in email.

Pour prendre en charge les objectifs de protection de référence, configurez les stratégies de partage à l’échelle du client comme recommandé ici.To support the goals for baseline protection, configure tenant-wide sharing policies as recommended here. Les paramètres de partage pour des sites individuels peuvent être plus restrictifs que cette stratégie à l’échelle du client, mais pas plus permissifs.Sharing settings for individual sites can be more restrictive than this tenant-wide policy, but not more permissive.



DomaineArea Inclut une stratégie par défautIncludes a default policy RecommandationRecommendation
Partage (SharePoint Online et OneDrive Entreprise)Sharing (SharePoint Online and OneDrive for Business) OuiYes Le partage externe est activé par défaut.External sharing is enabled by default. Ces paramètres sont recommandés :These settings are recommended:
  • Autoriser le partage à des utilisateurs externes authentifiés et l’utilisation de liens d’accès anonyme (paramètre par défaut).Allow sharing to authenticated external users and using anonymous access links (default setting).
  • Les liens d’accès anonyme expirent dans ce nombre de jours.Anonymous access links expire in this many days. Entrez un nombre, si vous le souhaitez, par exemple 30 jours.Enter a number, if desired, such as 30 days.
  • Type de lien par défaut : sélectionnez Interne (personnes de l’organisation uniquement).Default link type — select Internal (people in the organization only). Les utilisateurs qui souhaitent partager à l’aide de liens anonymes doivent choisir cette option dans le menu de partage.Users who wish to share using anonymous links must choose this option from the sharing menu.

Plus d’informations : Vue d’ensemble du partage externeMore information: External sharing overview

SharePoint centre d’administration et OneDrive Entreprise’administration centrale incluent les mêmes paramètres.SharePoint admin center and OneDrive for Business admin center include the same settings. Les paramètres de l’un ou l’autre centre d’administration s’appliquent aux deux.The settings in either admin center apply to both.

Configurer les paramètres dans Azure Active DirectoryConfigure settings in Azure Active Directory

N’oubliez pas de visiter ces deux zones dans Azure Active Directory pour terminer la configuration à l’échelle du client pour des environnements plus sécurisés.Be sure to visit these two areas in Azure Active Directory to complete tenant-wide setup for more secure environments.

Configurer des emplacements nommés (sous accès conditionnel)Configure named locations (under conditional access)

Si votre organisation inclut des bureaux avec un accès réseau sécurisé, ajoutez les plages d’adresses IP Azure Active Directory en tant qu’emplacements nommés.If your organization includes offices with secure network access, add the trusted IP address ranges to Azure Active Directory as named locations. Cette fonctionnalité permet de réduire le nombre de faux positifs signalés pour les événements de risque de sign-in.This feature helps reduce the number of reported false positives for sign-in risk events.

Voir : Emplacements nommés dans Azure Active DirectorySee: Named locations in Azure Active Directory

Bloquer les applications qui ne permettent pas l’authentification moderneBlock apps that don't support modern authentication

L’authentification multifacteur nécessite des applications qui la prise en charge de l’authentification moderne.Multi-factor authentication requires apps that support modern authentication. Les applications qui ne permettent pas l’authentification moderne ne peuvent pas être bloquées à l’aide de règles d’accès conditionnel.Apps that do not support modern authentication cannot be blocked by using conditional access rules.

Pour les environnements sécurisés, assurez-vous de désactiver l’authentification pour les applications qui ne la prisent pas en charge de l’authentification moderne.For secure environments, be sure to disable authentication for apps that do not support modern authentication. Vous pouvez le faire dans Azure Active Directory avec un contrôle qui sera bientôt disponible.You can do this in Azure Active Directory with a control that is coming soon.

En attendant, utilisez l’une des méthodes suivantes pour effectuer cette tâche pour SharePoint Online et OneDrive Entreprise :In the meantime, use one of the following methods to accomplish this for SharePoint Online and OneDrive for Business:

Prendre en Sécurité des applications cloud ou Sécurité des applications cloud Office 365Get started with Cloud App Security or Office 365 Cloud App Security

Utilisez Sécurité des applications cloud Office 365 pour évaluer les risques, pour alerter sur une activité suspecte et pour prendre automatiquement des mesures.Use Office 365 Cloud App Security to evaluate risk, to alert on suspicious activity, and to automatically take action. Nécessite Office 365 plan E5.Requires Office 365 E5 plan.

Vous pouvez également utiliser Microsoft Cloud App Security pour obtenir une visibilité plus approfondie même une fois l’accès accordé, des contrôles complets et une protection améliorée pour toutes vos applications cloud, y compris Office 365.Or, use Microsoft Cloud App Security to obtain deeper visibility even after access is granted, comprehensive controls, and improved protection for all your cloud applications, including Office 365.

Étant donné que cette solution recommande le plan EMS E5, nous vous recommandons de commencer par Sécurité des applications cloud afin de pouvoir l’utiliser avec d’autres applications SaaS dans votre environnement.Because this solution recommends the EMS E5 plan, we recommend you start with Cloud App Security so you can use this with other SaaS applications in your environment. Commencez par les stratégies et paramètres par défaut.Start with default policies and settings.

Plus d’informations :More information:

Tableau de bord Cloud App Security

Ressources supplémentairesAdditional resources

Ces articles et guides fournissent des informations normatives supplémentaires pour la sécurisation de Microsoft 365 environnement :These articles and guides provide additional prescriptive information for securing your Microsoft 365 environment: