Office Protect combine l’adresse IP et l’agent utilisateur pour vérifier si un utilisateur est « reconnu » par le système. L’agent utilisateur est le moyen utilisé pour se connecter à son compte Microsoft 365 et correspond soit à un appareil (cellulaire ou ordinateur), soit à une combinaison de navigateur Web et d’adresse IP.
Remédiation
Même s’il est vrai qu’une adresse IP change à l’occasion d’un déménagement et qu’un nouvel agent utilisateur est détecté à l’acquisition d’un nouvel appareil, il est rare que ces deux changements surviennent au même moment. L’événement sera alors traité comme une brèche de sécurité potentielle.
Exemple : Un utilisateur en voyage se connecte à Microsoft 365 à partir d’un ordinateur public. Office Protect détectera ce nouvel appareil et créera deux événements : User Accessed with Previously Unknown Device and IP et Sign-In from Unauthorized Country.
Il est recommandé alors d’examiner le journal d’audit à la recherche de l’utilisateur en question, et, au besoin, de le désactiver.