Depuis la page de détails d'événement de sécurité accessible depuis la rubrique Report en cliquant sur un événement, ou via le lien "View event in Office Protect" des notifications d'événements (courriel ou ticket), vous pouvez maintenant effectuer des actions de remédiation pour agir rapidement et éviter les dommages potentiels en cas de compromission de votre organisation.
Si vous avez des suggestions pour de nouvelles actions de remédiation, n'hésitez pas à nous contacter à l'adresse [email protected].
ACTIONS DE REMÉDIATION
Autorisations
Si l'application Office Protect est en santé sur votre locataire : pour effectuer des actions de blocage d'utilisateur, de nouvelles autorisations d'application déléguées ont automatiquement été ajoutées à votre application Office Protect, notamment offline_access et Directory.AccessAsUser.
Pour pouvoir supprimer des applications, de nouvelles autorisations d'application ont été automatiquement ajoutées : AppCatalog.ReadWrite.All, TeamsAppInstallation.ReadWriteForUser.All, TeamsAppInstallation.ReadWriteForTeam.All, TeamsAppInstallation.ReadWriteForChat.All, TeamSettings.ReadWrite.All and Chat.ReadWrite.All.
Vous pouvez réviser la liste d'autorisations octroyées à votre application Office Protect depuis votre portail d'administration Entra ID.
Si l'application Office Protect n'est pas en santé sur votre locataire : vous devez en premier lieu remédier à la situation depuis la rubrique Health Status.
Afin d'appliquer des actions de désactivation d'utilisateurs administrateurs, Office Protect nécessite qu'un administrateur général accorde des autorisations déléguées à Office Protect, notamment offline_access et Directory.AccessAsUser.
Si les autorisations n'ont pas été octroyées, une page de consentement sera affichée au clic sur "Block user" d'un utilisateur administrateur.
Ce consentement ne peut pas être octroyé par un utilisateur partenaire : seul un administrateur général du locataire peut accorder ces autorisations. Une fois que les autorisations déléguées ont été accordées au nom de l'organisation, les utilisateurs partenaires ayant les rôles appropriés pourront désactiver les utilisateurs administrateurs en plus des utilisateurs standards.
Bloquer un utilisateur
Sur quels événements de sécurité?
Tout événement déclenché par et/ou sur un utilisateur. Chaque utilisateur pour lequel une action de remédiation est disponible disposera d'une section dédiée.
Actions - vous pouvez sélectionner les actions suivantes lors du blocage d'un utilisateur :
- Disable user : l'utilisateur ne pourra plus se connecter jusqu'à réactivation.
Comment réactiver un utilisateur : depuis le portail d'administration Microsoft 365 (clic sur l'utilisateur - Débloquer la connexion), ou via de portail d'administration Entra ID (clic sur l'utilisateur - Modifier des propriétés - Paramètres - case à cocher "Compte activé").
Remarque importante : si une solution de synchronisation Entra ID est configurée sur votre locataire, elle pourrait annuler l'action de désactivation après quelques minutes. Cependant, l'action de révocation de session est irréversible.
- Revoke sessions : révoque les sessions actives de l'utilisateur pour interrompre l'accès à l'utilisateur potentiellement compromis. L'utilisateur devra se reconnecter. Cette action n'empêche pas à elle seule un utilisateur malveillant de se connecter à nouveau. Elle doit être combinée à d'autres actions telles que la réinitialisation du mot de passe et/ou la désactivation de l'utilisateur.
Cette action est irréversible. - Remove mail forwarding : disponible uniquement si l'utilisateur a une boîte aux lettres sur le locataire - supprime le paramètre de transfert de courrier configuré sur la boîte aux lettres dans le portail d'administration Exchange.
Cette action est irréversible. - Disable inbox rules : disponible uniquement si l'utilisateur a une boîte aux lettres sur le locataire - les pirates peuvent créer des règles de boîte de réception malveillantes à des fins d'extraction de données, pour dissimuler des attaques d'hameçonnage ou pour empêcher l'utilisateur d'être contacté. Les règles de boîtes de réception peuvent être révisées uniquement dans la boîte aux lettres Exchange directement. Les règles ne sont pas supprimées de façon permanente. Après avoir examiné les règles, vous ou l'utilisateur concerné pouvez réactiver les règles légitimes et supprimer les règles malveillantes.
Office Protect recommande au minimum de désactiver l'utilisateur, de révoquer les sessions actives et de réinitialiser le mot de passe. Il est également important de surveiller de près l'utilisateur suspect après l'avoir réactivé, au cas où il serait à nouveau compromis.
Qui pouvez-vous bloquer?
- Utilisateurs standards & utilisateurs invités sans rôle d'administrateur : vous pouvez immédiatement désactiver ces utilisateurs d'Office Protect sans autre manipulation nécessaire.
- Administrateurs privilégiés, administrateurs : pour désactiver ces utilisateurs, vous serez invité à vous connecter avec un utilisateur ayant un rôle d'administrateur d'authentification privilégié ou d'administrateur général dans le locataire. Vous ne pouvez pas bloquer l'utilisateur avec lequel vous vous êtes connecté.
Ces rôles peuvent être attribués aux comptes d'utilisateurs du locataire (invités / réguliers) ou par le biais de la relation DAP/GDAP partenaire et des groupes de sécurité associés. - Système : vous ne pouvez pas agir sur les utilisateurs système tels que "app@sharepoint".
- Utilisateurs anonymes : vous ne pouvez pas agir sur les utilisateurs anonymes. Les utilisateurs anonymes sont des utilisateurs à accès temporaire générés lorsqu'un fichier qui a été partagé de manière anonyme à l'aide de Sharepoint, Onedrive ou teams, est consulté depuis l'extérieur de l'organisation.
Supprimer une application
Sur quels événements de sécurité?
- Consentement utilisateur à une application
- Nouvelle app Teams installée
- Modification de permission d'application
Actions :
- Remove app : supprime l'application et/ou le principal de service de votre locataire (Entra ID / Teams).
Comment restaurer une application : vous pouvez restaurer une application depuis la rubrique Inscriptions des applications - Applications supprimées dans votre portail d'administration Entra ID.
Vous pouvez bloquer une application Teams d'être installée au sein de votre organisation depuis le portail d'administration Teams - rubrique Applications.
Quelles applications pouvez-vous supprimer?
- Applications Entra ID actives
- Applications Teams actives
Réinitialiser un mot de passe
Sur quels événements de sécurité?
Tout événement déclenché par/sur un utilisateur.
Actions :
- Reset password : réinitialise le mot de passe de l'utilisateur et invalide le précédent. Lorsque le mot de passe est réinitialisé, un mot de passe temporaire ne sera affiché qu'une seule fois à l'écran. L'utilisateur devra le changer à sa prochaine connexion.
Vous pouvez également choisir de recevoir le mot de passe temporaire par courriel ou de l'envoyer par courriel à tout utilisateur d'Office Protect ayant accès à l'organisation.
Pour réinitialiser un mot de passe, vous serez invité à vous connecter avec un utilisateur ayant un rôle d'administrateur d'authentification privilégié ou d'administrateur général dans le locataire.
Cette action est irréversible.
Quels mots de passe pouvez-vous réinitialiser?
Tout utilisateur hébergé dans votre Entra ID.
Supprimer une règle
Sur quels événements de sécurité?
- Règle de boîte de réception suspicieuse détectée
- Règle(s) de transfert de courrier vers une destination externe créée(s)
Actions :
- Remove Inbox Rule : supprime la boîte de réception de la boîte aux lettres
- Remove Mailbox Forwarding : supprime le paramètre de transfert de courrier de la boîte aux lettres
- Remove mail flow rule : supprime la règle de flux de courrier du locataire
Cette action est irréversible.
Supprimer l'accès à la boîte aux lettres
Sur quels événements de sécurité?
Lorsque des droits FullAccess ont été octroyés à un utilisateur sur une boîte aux lettres :
- Accès à une boîte aux lettres par un non-propriétaire
- Accès à la boîte aux lettres accordé à un non-propriétaire
Actions :
- Remove Mailbox Access : supprime les droits FullAccess de l'utilisateur sur la boîte aux lettres
Cette action est irréversible.
Supprimer un lien anonyme
Sur quels événements de sécurité?
- Fichier partagé publiquement (anonyme)
Actions :
- Remove sharing link : supprime les liens anonymes redirigeant vers le fichier/dossier
Cette action est irréversible.
FAQ
Pourquoi aucune action de remédiation n'est affichée sur mon événement de sécurité?
Si aucune mesure corrective n'est disponible à ce moment-là, ou si aucune action ne peut être effectuée sur l'utilisateur/l'application, la bannière suivante s'affiche :
Si vous avez des suggestions pour de nouvelles actions de remédiation, n'hésitez pas à nous contacter à l'adresse [email protected].
Pourquoi certaines actions sont-elles grisées?
Si certaines actions de la remédiation de blocage utilisateur sont grisées, cela signifie qu'elles ne peuvent pas s'appliquer à l'utilisateur concerné.
Exemples : l'utilisateur n'a pas de boîte aux lettres sur le locataire, aucun paramètre de transfert de courrier n'est paramétré sur la boîte aux lettres de l'utilisateur,...
Mon action de remédiation a échoué, que faire?
Si l'action de désactivation utilisateur a échoué sur un administrateur, assurez-vous que l'utilisateur avec lequel vous vous êtes connecté dispose des bonnes autorisations, et que vous ne tentez pas de désactiver l'utilisateur avec lequel vous vous êtes connecté ou le dernier administrateur général du locataire.
Vous pouvez essayer d'actualiser la page et d'appliquer à nouveau la remédiation. Si le problème persiste, contactez nous à [email protected] afin d'obtenir une assistance.
Veuillez noter que l'équipe Office Protect travaille actuellement à l'ajout de plus de détails sur les échecs des actions.
J'ai une idée de remédiation. Comment la partager avec vous?
L'équipe Office Protect sera heureuse de recevoir vos commentaires et suggestions. Vous pouvez nous contacter à [email protected].