Gérer les messages et les fichiers mis en quarantaine en tant qu’utilisateur

Dans les organisations Microsoft 365 avec des boîtes aux lettres dans Exchange Online ou des organisations Exchange Online Protection (EOP) autonomes sans boîtes aux lettres Exchange Online, la quarantaine contient des messages potentiellement dangereux ou indésirables. Si vous souhaitez en savoir plus, consultez l’article La quarantaine dans EOP.

En tant qu’utilisateur ordinaire (et non administrateur), les fonctionnalités par défaut à votre disposition en tant que destinataire d’un message mis en quarantaine sont décrites dans le tableau suivant :

Dans les fonctionnalités de protection prises en charge, les stratégies de mise en quarantaine définissent ce que les utilisateurs sont autorisés à faire pour les messages mis en quarantaine en fonction de la raison pour laquelle le message a été mis en quarantaine. Les stratégies de mise en quarantaine par défaut appliquent les fonctionnalités d’historique des messages, comme décrit dans le tableau précédent. Les administrateurs peuvent créer et appliquer des stratégies de mise en quarantaine personnalisées qui définissent des fonctionnalités moins restrictives ou plus restrictives pour les utilisateurs. Pour plus d’informations, consultez Anatomie d’une stratégie de mise en quarantaine.

Vous affichez et gérez vos messages mis en quarantaine dans le portail Microsoft Defender ou (si un administrateur l’a configuré) les notifications de mise en quarantaine à partir de stratégies de mise en quarantaine.

Ce qu'il faut savoir avant de commencer

• Pour ouvrir le portail Microsoft Defender, accédez à https://security.microsoft.com. Pour accéder directement à la page de mise en quarantaine, utilisez https://security.microsoft.com/quarantine.

• Les administrateurs peuvent configurer la durée pendant laquelle les messages sont conservés dans la quarantaine avant d’être définitivement supprimés dans les stratégies anti-courrier indésirable. Les messages dont la mise en quarantaine est arrivée à expiration ne peuvent pas être récupérés. Si vous souhaitez en savoir plus, consultez l’article Configurer les stratégies anti-courrier indésirable dans EOP.

• Par défaut, les messages mis en quarantaine car considérés comme de l’hameçonnage à haute fiabilité, des programmes malveillants ou par règles de flux de messagerie ne sont disponibles que pour les administrateurs. Ils sont en revanche invisibles pour les utilisateurs. Si vous souhaitez en savoir plus, voir Gérer les messages et les fichiers mis en quarantaine en tant qu'administrateur dans EOP.

• Toutes les actions effectuées par les administrateurs ou les utilisateurs sur les messages mis en quarantaine sont auditées. Pour plus d’informations sur les événements de quarantaine audités, consultez Schéma de mise en quarantaine dans l’API de gestion Office 365.

Gérer les messages mis en quarantaine dans EOP

Afficher les messages mis en quarantaine

Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Email & collaboration>Vérifier la>mise en quarantaine>Email onglet. Ou, pour accéder directement à l’onglet Email de la page Quarantaine, utilisez https://security.microsoft.com/quarantine?viewid=Email.

Sous l’onglet Email, vous pouvez réduire l’espacement vertical dans la liste en cliquant sur Modifier l’espacement de liste en compact ou normal, puis en sélectionnant Liste compacte.

Vous pouvez trier les entrées en cliquant sur un en-tête de colonne disponible. Sélectionnez Personnaliser les colonnes pour modifier les colonnes affichées. Les valeurs par défaut sont marquées d'un astérisque (^*) :

• Heure de réception^*
• Objet^*
• Expéditeur^*
• Raison de la quarantaine^* (consultez les valeurs possibles dans le Description du filtre .)
• Release status^* (consultez les valeurs possibles dans la description du filtre).)
• Type de stratégie^* (consultez les valeurs possibles dans le Description du filtre .)
• Expire^*
• Destinataire^*
• ID de message
• Nom de la stratégie
• Taille du message
• Direction du courrier
• Balise de destinataire

Pour filtrer les entrées, sélectionnez Filtrer. Les filtres suivants sont disponibles dans le menu volant Filtres qui s’ouvre :

• ID du message : l’identificateur global unique du message.

• Adresse de l’expéditeur

• Adresse du destinataire

• Sujet

• Heure de réception :

  • Dernières 24 heures
  • 7 derniers jours
  • 14 derniers jours
  • 30 derniers jours (par défaut)
  • Heure reçue : Saisissez une heure de début et une heure de fin (date).

• Expire : filtrez les messages en fonction de leur date d’expiration de quarantaine :

  • Aujourd’hui
  • Dans les 2 prochains jours
  • Dans les 7 prochains jours
  • Heure reçue : Saisissez une heure de début et une heure de fin (date).

• Balise de destinataire

• Raison de la mise en quarantaine :

  • Règle de transport (règle de flux de courrier)
  • E-mail de masse
  • Courrier indésirable
  • Protection contre la perte de données
  • Programmes malveillants : stratégies anti-programme malveillant dans les stratégies EOP ou pièces jointes sécurisées dans Defender for Office 365. La valeur Type de stratégie indique quelle fonctionnalité a été utilisée.
  • Hameçonnage : Le verdict du filtre anti-spam était hameçonnant ou la protection anti-phishing a mis le message en quarantaine (paramètres d'usurpation ou protection contre l'usurpation d'identité).
  • Hameçonnage à haute fiabilité
  • action Administration - Bloc de type de fichier : messages bloqués en tant que programmes malveillants par le filtre des pièces jointes courantes dans les stratégies anti-programme malveillant. Pour plus d’informations, consultez Stratégies anti-programme malveillant.

• Destinataire : Tous les utilisateurs ou Moi uniquement. Les utilisateurs finaux peuvent uniquement gérer les messages mis en quarantaine qui leur sont envoyés.

• Statut de la version : Une des valeurs suivantes :

  • Révision requise.
  • Approuvé
  • Refusé
  • Publication demandée
  • Date de publication

• Type de stratégie : filtrer les messages par type de stratégie :

  • Stratégie anti-programme malveillant
  • Stratégie de pièces jointes fiables
  • Politique de lutte contre l'hameçonnage
  • Stratégie anti-courrier indésirable
  • Règle de transport (règle de flux de courrier)

  Les valeurs Type de stratégie et Raison de quarantaine sont liées. Par exemple, le bloc est toujours associé à une stratégie anti-courrier indésirable, jamais à une stratégie anti-programme malveillant.

Lorsque vous avez terminé dans le menu volant Filtres , sélectionnez Appliquer. Pour effacer les filtres, sélectionnez Effacer les filtres.

Utilisez la zone Recherche et une valeur correspondante pour rechercher des messages spécifiques. Les caractères génériques ne sont pas pris en charge. Vous pouvez effectuer une recherche sur les valeurs suivantes :

• Adresse de messagerie de l’expéditeur
• Objet. Utiliser l'intégralité du sujet du message La recherche ne respecte pas la casse.

Une fois que vous avez entré les critères de recherche, appuyez sur la touche Entrée pour filtrer les résultats.

Une fois que vous avez trouvé un message en quarantaine spécifique, sélectionnez le message pour afficher les détails le concernant et prendre des mesures sur celui-ci (par exemple, afficher, publier, télécharger ou supprimer le message).

Afficher les détails des messages mis en quarantaine

1. Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Email & collaboration>Vérifier la>mise en quarantaine>Email onglet. Ou, pour accéder directement à l’onglet Email de la page Quarantaine, utilisez https://security.microsoft.com/quarantine?viewid=Email.

2. Sous l’onglet Email, sélectionnez le message mis en quarantaine en cliquant n’importe où dans la ligne autre que la zone case activée.

Dans le menu volant de détails qui s’ouvre, les informations suivantes sont disponibles :

• Section Détails de la mise en quarantaine :
  • Reçu : Date et heure de réception du message.
  • Expire : date/heure à laquelle le message est automatiquement et définitivement supprimé de la quarantaine.
  • Sujet
  • Raison de la quarantaine : indique si un message a été identifié comme courrier indésirable, en bloc, hameçonnage, correspond à une règle de flux de courrier (règle de transport) ou a été identifié comme contenant un programme malveillant.
  • Type de stratégie
  • Nom de la stratégie
  • Nombre de destinataires
  • Destinataires : si le message contient plusieurs destinataires, vous devrez peut-être sélectionner >Aperçu du message ou >Afficher l’en-tête du message pour afficher la liste complète des destinataires.
• Email section détails :
  • Adresse de l’expéditeur
  • Heure de réception
  • ID de message réseau
  • Destinataires

Pour donner suite au message, consultez la section suivante.

Effectuer une action sur les messages mis en quarantaine

1. Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Email & collaboration>Vérifier la>mise en quarantaine>Email onglet. Ou, pour accéder directement à l’onglet Email de la page Quarantaine, utilisez https://security.microsoft.com/quarantine?viewid=Email.

2. Sous l’onglet Email, sélectionnez l’e-mail mis en quarantaine à l’aide de l’une des méthodes suivantes :

   • Sélectionnez le message dans la liste en sélectionnant la zone case activée en regard de la première colonne. Les actions disponibles ne sont plus grisées.

     

   • Sélectionnez le message dans la liste en cliquant n’importe où dans la ligne autre que la zone case activée. Les actions disponibles se trouvent dans le menu volant de détails qui s’ouvre.

     

   À l’aide de l’une ou l’autre méthode pour sélectionner le message, certaines actions sont disponibles sous Plus ou Plus d’options.

Une fois que vous avez sélectionné le message mis en quarantaine, les actions disponibles sont décrites dans les sous-sections suivantes.

Publier l’e-mail mis en quarantaine

Cette action n’est pas disponible pour les messages électroniques qui ont déjà été publiés (la valeur release status est Release).

Si vous ne publiez pas ou ne supprimez pas de message, il est automatiquement supprimé de la quarantaine après la date indiquée dans la colonne Expire .

Après avoir sélectionné le message, utilisez l’une des méthodes suivantes pour le libérer (le remettre à votre boîte aux lettres) :

• Sous l’onglet Email : sélectionnez Mise en production.
• Dans le menu volant de détails du message sélectionné : Sélectionnez Publier l’e-mail.

Dans le menu volant Publier le message dans votre boîte de réception qui s’ouvre, sélectionnez Signaler le message comme n’ayant aucune menace , comme il convient, puis sélectionnez Publier le message.

Lorsque vous avez terminé d’afficher le message De mise en production dans votre boîte de réception , sélectionnez Publier le message.

Dans le menu volant Messages publiés dans votre boîte de réception qui s’ouvre, sélectionnez Terminé.

De retour sous l’onglet Email, la valeur release status du message est Release.

Le message est remis à votre boîte de réception (ou à un autre dossier, en fonction des règles de boîte de réception dans votre boîte aux lettres).

Demander la libération de l’e-mail mis en quarantaine

Cette action n’est pas disponible pour les e-mails où vous avez déjà demandé la publication (la valeur release status est Release requested).

Si vous ne publiez pas ou ne supprimez pas de message, il est automatiquement supprimé de la quarantaine après la date indiquée dans la colonne Expire .

Après avoir sélectionné le message, utilisez l’une des méthodes suivantes pour demander sa publication :

• Sous l’onglet Email : sélectionnez Demander une mise en production.
• Dans le menu volant de détails du message sélectionné : Sélectionnez Plus d’options>Demander la publication.

Dans le menu volant Demander une mise en production qui s’ouvre, passez en revue les informations, sélectionnez Demander la mise en production. Dans le menu volant Libérer la demande qui s’ouvre, sélectionnez Terminé.

De retour dans la page Quarantaine, la valeur Release status du message est Release requested. Un administrateur examinera votre demande et l’approuvera ou la refusera.

Supprimer les e-mails de la mise en quarantaine

Lorsque vous supprimez un e-mail de la mise en quarantaine, le message est supprimé et n’est pas envoyé aux destinataires d’origine.

Si vous ne publiez pas ou ne supprimez pas de message, il est automatiquement supprimé de la quarantaine après la date indiquée dans la colonne Expire .

Après avoir sélectionné le message, utilisez l’une des méthodes suivantes pour le supprimer :

• Sous l’onglet Email : sélectionnez Supprimer les messages.
• Dans le menu volant de détails du message sélectionné : Sélectionnez Plus d’options>Supprimer de la quarantaine.

Dans le menu volant Supprimer (n) les messages de la mise en quarantaine qui s’ouvre, utilisez l’une des méthodes suivantes pour supprimer le message :

• Sélectionnez Supprimer définitivement le message de la quarantaine , puis sélectionnez Supprimer : le message est supprimé définitivement et n’est pas récupérable.
• Sélectionnez Supprimer uniquement : le message est supprimé, mais il est potentiellement récupérable.

Après avoir sélectionné Supprimer dans le menu volant Supprimer (n) de la mise en quarantaine, vous revenez à l’onglet Email où le message n’est plus répertorié.

Aperçu de l’e-mail de la mise en quarantaine

Après avoir sélectionné le message, utilisez l’une des méthodes suivantes pour l’afficher en aperçu :

• Sous l’onglet Email : sélectionnez Message d’aperçu.
• Dans le menu volant de détails du message sélectionné : Sélectionnez Plus d’options>Message d’aperçu.

Dans le menu volant qui s’ouvre, choisissez l’un des onglets suivants :

• Affichage Source : affiche la version HTML du corps du message, dans laquelle tous les liens sont désactivés.
• Texte simple : affiche le corps du message au format texte brut.

Afficher les en-têtes de courrier électronique

Après avoir sélectionné le message, utilisez l’une des méthodes suivantes pour afficher les en-têtes de message :

• Sous l’onglet Email : Sélectionnez Plus>d’en-têtes de message Afficher.
• Dans le menu volant détails du message sélectionné : Sélectionnez Plus d’options>Afficher les en-têtes de message.

Dans le menu volant En-tête de message qui s’ouvre, l’en-tête de message (tous les champs d’en-tête) s’affiche.

Utilisez Copier l’en-tête de message pour copier l’en-tête du message dans le Presse-papiers.

Sélectionnez le lien Analyseur d’en-têtes de message Microsoft pour analyser les champs et les valeurs d’en-tête en profondeur. Collez l’en-tête du message dans la section Insérer l’en-tête de message que vous souhaitez analyser (Ctrl+V ou cliquez avec le bouton droit et choisissez Coller), puis sélectionnez Analyser les en-têtes.

Bloquer la mise en quarantaine des expéditeurs d’e-mails

L’action Bloquer les expéditeurs ajoute l’expéditeur du message à la liste Expéditeurs bloqués dans votre boîte aux lettres. Pour plus d’informations sur le blocage des expéditeurs, consultez Bloquer un expéditeur de courrier.

Après avoir sélectionné le message, utilisez l’une des méthodes suivantes pour ajouter l’expéditeur du message à la liste Expéditeurs bloqués dans votre boîte aux lettres :

• Sous l’onglet Email : Sélectionnez Plus>d’expéditeurs de blocage.
• Dans le menu volant détails du message sélectionné : Sélectionnez Plus d’options>Bloquer l’expéditeur.

Dans le menu volant Bloquer l’expéditeur qui s’ouvre, passez en revue les informations sur l’expéditeur, puis sélectionnez Bloquer.

Effectuer une action sur plusieurs courriers électroniques mis en quarantaine

Lorsque vous sélectionnez plusieurs messages mis en quarantaine sous l’onglet Email en sélectionnant les zones case activée en regard de la première colonne, les actions en bloc suivantes sont disponibles sous l’onglet Email (selon les valeurs release status des messages que vous avez sélectionnés) :

• Publier l’e-mail mis en quarantaine
• Demander la libération de l’e-mail mis en quarantaine
• Supprimer les e-mails de la mise en quarantaine

Gérer les messages mis en quarantaine dans Microsoft Teams

Lorsqu’un message de conversation potentiellement malveillant est détecté dans Microsoft Teams, le vidage automatique zéro heure (ZAP) supprime le message et le met en quarantaine. Les utilisateurs peuvent désormais afficher et gérer ces messages Teams mis en quarantaine dans le portail Microsoft Defender. Les notifications de mise en quarantaine ne sont pas prises en charge pour les messages Teams mis en quarantaine.

Afficher vos messages mis en quarantaine dans Microsoft Teams

Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Email & collaboration>Examiner les>messages Teamsen quarantaine>. Ou, pour accéder directement à l’onglet Messages Teams de la page Quarantaine, utilisez https://security.microsoft.com/quarantine?viewid=Teams.

Vous pouvez trier les entrées en cliquant sur un en-tête de colonne disponible. Sélectionnez Personnaliser les colonnes pour modifier les colonnes affichées. Les colonnes par défaut sont les suivantes :

• Texte du message Teams : contient l’objet du message teams.
• Date mise en quarantaine : indique quand le message a été mis en quarantaine.
• État : indique si le message est déjà passé en revue et publié ou s’il doit être révisé.
• Expéditeur : personne qui a envoyé le message mis en quarantaine.
• Raison de la quarantaine : les options disponibles sont Hameçonnage à haute confiance et Programmes malveillants.
• Expire : indique l’heure après laquelle le message est supprimé de la quarantaine. Par défaut, cette valeur est de 30 jours.

Pour filtrer les entrées, sélectionnez Filtrer. Les filtres suivants sont disponibles dans le menu volant Filtres qui s’ouvre :

• Adresse de l’expéditeur
• Heure de réception :
  • Dernières 24 heures
  • 7 derniers jours
  • 14 derniers jours
  • 30 derniers jours (par défaut)
  • Heure reçue : Saisissez une heure de début et une heure de fin (date).
• Expire dans :
  • Personnalisé (par défaut) : entrez une heure de début et une heure de fin (date).
  • Aujourd’hui
  • Dans les 2 prochains jours
  • Dans les 7 prochains jours
• Raison de la quarantaine : les valeurs disponibles sont Programme malveillant et Hameçonnage à haut niveau de confiance.
• État : sélectionnez Révision nécessaire et Publication.

Lorsque vous avez terminé dans le menu volant Filtres , sélectionnez Appliquer. Pour effacer les filtres, sélectionnez Effacer les filtres.

Utilisez la zone Recherche et une valeur correspondante pour rechercher des messages Teams spécifiques. Les caractères génériques ne sont pas pris en charge.

Une fois que vous avez trouvé un message Teams en quarantaine spécifique, sélectionnez le message pour afficher les détails le concernant et prendre des mesures (par exemple, afficher, publier, télécharger ou supprimer le message).

Afficher les détails des messages mis en quarantaine dans Microsoft Teams

Sous l’onglet Messages Teams, sélectionnez le message mis en quarantaine en cliquant n’importe où dans la ligne autre que la zone case activée.

Dans le menu volant de détails qui s’ouvre, les informations suivantes sont disponibles :

• Section Détails de la quarantaine : inclut la raison de la quarantaine, la date d’expiration, le type de stratégie de mise en quarantaine et d’autres informations.
  • Date d’expiration
  • Heure de réception
  • Raison de la mise en quarantaine
  • Libérer le statut
  • Type de stratégie
• Section Détails du message : inclut la date et l’heure du message envoyé, l’adresse de l’expéditeur, l’ID de message Teams et la liste des destinataires.
  • Adresse de l’expéditeur
  • Heure de réception
  • Destinataires
  • Teams message ID

Pour donner suite au message, consultez la section suivante.

Agir sur les messages mis en quarantaine dans Microsoft Teams

Sous l’onglet Messages Teams, sélectionnez le message mis en quarantaine en sélectionnant la zone case activée en regard de la première colonne. Les options suivantes sont disponibles :

• Demande de mise en production : vous pouvez demander à libérer le message de la mise en quarantaine. L’administrateur de votre organization doit approuver la version.
• Supprimer : vous pouvez demander à supprimer le message de la liste des messages mis en quarantaine.
• Message d’aperçu : vous pouvez afficher les détails du message que vous avez sélectionné.

Si vous ne publiez pas ou ne supprimez pas de message, il est automatiquement supprimé de la quarantaine après la date indiquée dans la colonne Expire .