Les 20 meilleures techniques pour améliorer la protection Exchange Online

L'objectif principal de cet article est d'améliorer la protection en ligne d'échange pour une perte de données ou un compte compromis en suivant les meilleures pratiques de sécurité Microsoft et en passant par la configuration réelle. Microsoft propose deux niveaux de sécurité de messagerie Microsoft 365 : Exchange Online Protection (EOP) et Microsoft Defender Advanced Threat Protection. Ces solutions peuvent améliorer la sécurité de la plate-forme Microsoft et atténuer les problèmes de sécurité de la messagerie Microsoft 365.

1 Activer le chiffrement des e-mails

2 Activer les blocs de transfert des règles client

3 Powershell

4 Ne pas autoriser la délégation de boîte aux lettres

5 Filtrage des connexions

6 Spams et logiciels malveillants

7 Logiciels malveillants

8 Politique anti-hameçonnage

9 Configurer le filtrage amélioré

10 Configurer les liens fiables ATP et la stratégie de pièces jointes fiables

11 Ajouter SPF, DKIM et DMARC

12 Ne pas autoriser le partage des détails du calendrier

13 Activer la recherche dans le journal d'audit

14 Activer l'audit de la boîte aux lettres pour tous les utilisateurs

15 Commandes powershell d'audit de boîte aux lettres

16 Examiner les changements de rôle chaque semaine

17 Réviser les règles de transfert de boîte aux lettres chaque semaine

18 Consultez le rapport Accès à la boîte aux lettres par les non-propriétaires toutes les deux semaines

19 Consultez le rapport sur les détections de logiciels malveillants chaque semaine

20 Passez en revue votre rapport d'activité de provisionnement de compte chaque semaine

Activer le chiffrement des e-mails

Des règles de chiffrement des e-mails peuvent être ajoutées pour chiffrer un message avec un mot-clé particulier dans la ligne d'objet ou le corps. Le plus courant consiste à ajouter "Secure" comme mot-clé dans le sujet pour chiffrer le message. M365/O365 Message Encryption fonctionne avec Outlook.com, Yahoo!, Gmail et d'autres services de messagerie. Le chiffrement des e-mails permet de garantir que seuls les destinataires prévus peuvent afficher le contenu des messages.

• Dans le Centre d'administration Microsoft 365, cliquez sur Exchange sous Centres d'administration

• Dans la section Flux de messagerie, cliquez sur Règles

• Cliquez sur le signe plus et cliquez sur Appliquer le chiffrement des messages Microsoft 365 (vous permet de définir plusieurs conditions)

• Nommez votre politique et dans la section Appliquer cette règle si, dites « le sujet ou le corps comprend… », puis ajoutez votre mot-clé. Ici, nous mettons dans "Crypter"

• Dans la section Faire ce qui suit, cliquez sur le modèle de sélection RMS et choisissez Chiffrer

• Après avoir cliqué sur Enregistrer, vous pouvez tester votre stratégie. Dans ce cas, nous affichons un message envoyé à un utilisateur Gmail

• Boîte de réception de l'utilisateur Gmail :

• Lorsque l'utilisateur de Gmail enregistre et ouvre la pièce jointe (message.html), il peut choisir de se connecter avec ses informations d'identification Google ou de recevoir un code d'accès unique envoyé à son adresse e-mail.

• Dans ce cas, nous avons choisi un mot de passe à usage unique.

• Vérifiez la boîte de réception Gmail pour le mot de passe

• Copiez le mot de passe et collez-le

• Nous pouvons afficher le message crypté dans le portail et envoyer une réponse cryptée

Pour vérifier que votre locataire est configuré pour le chiffrement, utilisez la commande suivante, en vous assurant que la valeur de l'expéditeur est un compte valide au sein de votre locataire :

Test-IRMConfiguration -Sender [email protected]

Si vous voyez "RÉSULTAT GLOBAL : RÉUSSI", vous êtes prêt à commencer

Lire aussi : Comment chiffrer les e-mails Microsoft 365 avec ATP ?

Activer les blocs de transfert des règles client

Il s'agit d'une règle de transport pour aider à arrêter l'exfiltration de données avec des règles créées par le client qui transfèrent automatiquement les e-mails des boîtes aux lettres des utilisateurs vers des adresses e-mail externes. Il s'agit d'une méthode de fuite de données de plus en plus courante dans les organisations.

Accédez au Centre d'administration Exchange> Flux de messagerie> Règles

Cliquez sur le signe plus et sélectionnez Appliquer le chiffrement des messages Microsoft 365 et la protection des droits aux messages…

Ajoutez les propriétés suivantes à la règle :

• SI l'expéditeur est situé "à l'intérieur de l'organisation"
• ET SI Le Bénéficiaire est situé 'En dehors de l'organisation'
• AND IF Le type de message est 'Auto-Forward'
• PUIS Rejetez le message avec l'explication "Le transfert d'e-mails externes via les règles du client n'est pas autorisé".

Astuce 1 : Pour la 3ème condition, vous devez sélectionner Propriétés du message > Inclure ce type de message pour que l'option de transfert automatique soit remplie

Astuce 2 : Pour la 4ème condition, vous devez sélectionner Bloquer le message …> rejeter le message et inclure une explication à remplir

• Cliquez sur Enregistrer lorsque vous avez terminé. Cette règle sera appliquée immédiatement. Les clients recevront un message d'accusé de réception de non-livraison (NDR) personnalisé qui est utile pour mettre en évidence les règles de transfert externes dont ils ignoraient peut-être l'existence ou qui ont été créées par un acteur malveillant sur une boîte aux lettres compromise. Vous pouvez créer des exceptions pour certains utilisateurs ou groupes spécifiés dans la règle de transport créée.

Powershell

• Script Powershell pour bloquer le transfert automatique pour un client.
• Script Powershell pour bloquer le transfert automatique pour tous vos clients via les informations d'identification du centre des partenaires.

Ne pas autoriser la délégation de boîte aux lettres

• Si vos utilisateurs ne délèguent pas les boîtes aux lettres, il est plus difficile pour un attaquant de passer d'un compte à un autre et de voler des données. La délégation de boîte aux lettres consiste à autoriser quelqu'un d'autre à gérer votre courrier et votre calendrier, ce qui peut accélérer la propagation d'une attaque.
• Pour déterminer s'il existe des autorisations de délégation de boîte aux lettres existantes, exécutez le script PowerShell à partir de Github. Lorsque vous y êtes invité, entrez les informations d'identification d'administrateur global pour le locataire.
• S'il existe des autorisations de délégation, vous les verrez répertoriées. S'il n'y en a pas, vous obtiendrez simplement une nouvelle ligne de commande. L'identité est la boîte aux lettres à laquelle des autorisations d'administration déléguées ont été attribuées et l'utilisateur est la personne qui dispose de ces autorisations.
• Vous pouvez exécuter la commande suivante pour supprimer les droits d'accès des utilisateurs :

Remove-MailboxPermission -Identity Test1 -User Test2 -AccessRights FullAccess -InheritanceType Tous

Filtrage des connexions

Vous utilisez le filtrage des connexions dans EOP pour identifier les serveurs de messagerie source bons ou mauvais par leurs adresses IP. Les composants clés de la stratégie de filtrage de connexion par défaut sont :

Liste d'adresses IP autorisées : Ignorez le filtrage anti-spam pour tous les messages entrants provenant des serveurs de messagerie source que vous spécifiez par adresse IP ou plage d'adresses IP. Pour plus d'informations sur la façon dont la liste verte d'adresses IP doit s'intégrer à votre stratégie globale d'expéditeurs fiables, consultez  Créer des listes d'expéditeurs fiables dans EOP .

Liste de blocage IP : bloquez tous les messages entrants provenant des serveurs de messagerie source que vous spécifiez par adresse IP ou plage d'adresses IP. Les messages entrants sont rejetés, ne sont pas marqués comme spam et aucun filtrage supplémentaire n'est effectué. Pour plus d'informations sur la manière dont la liste rouge d'adresses IP doit s'intégrer dans votre stratégie globale d'expéditeurs bloqués, consultez  Créer des listes d'expéditeurs bloqués dans EOP .

• Dans le Centre d'administration Exchange > Protection > Filtre de connexion > Cliquez sur l'icône en forme de crayon pour modifier la politique par défaut.

• Cliquez sur Filtrage des connexions

• Ici, vous pouvez autoriser\bloquer l'adresse IP.

Spam et logiciels malveillants

Questions a poser:

1. Quelles actions voulons-nous entreprendre lorsqu'un message est identifié comme spam ?
   un. Déplacer le message vers le dossier indésirable (par défaut)
   b. Ajouter un en-tête X (Envoie le message aux destinataires spécifiés, mais ajoute le texte d'en-tête X à l'en-tête du message pour l'identifier comme spam)
   c. Préfixer la ligne d'objet avec le texte (Envoie le message aux destinataires prévus mais ajoute à la ligne d'objet le texte que vous spécifiez dans la zone de saisie Préfixer la ligne d'objet avec ce texte. En utilisant ce texte comme identifiant, vous pouvez éventuellement créer des règles pour filtrer ou acheminer les messages si nécessaire.)
   d. Rediriger le message vers l'adresse e-mail (Envoie le message à une adresse e-mail désignée plutôt qu'aux destinataires prévus.)
2. Avons-nous besoin d'ajouter des expéditeurs/domaines autorisés ou de bloquer des expéditeurs/domaines ?
3. Avons-nous besoin de filtrer les messages rédigés dans une langue spécifique ?
4. Avons-nous besoin de filtrer les messages provenant de pays/régions spécifiques ?
5. Souhaitons-nous configurer les notifications de spam de l'utilisateur final pour informer les utilisateurs lorsque les messages qui leur sont destinés ont été envoyés en quarantaine à la place ? (À partir de ces notifications, les utilisateurs finaux peuvent publier des faux positifs et les signaler à Microsoft pour analyse.)

• Accédez au centre d'administration Microsoft 365 > sélectionnez Sécurité dans les centres d'administration > Gestion des menaces > Stratégie > Anti-spam

• Modifier la stratégie par défaut

• Naviguez dans les onglets pour configurer l'une des questions posées précédemment

• Développez la  section Listes  autorisées pour configurer les expéditeurs de messages par adresse e-mail ou domaine de messagerie autorisés à ignorer le filtrage anti-spam.
• Développez la  section Listes  bloquées pour configurer les expéditeurs de messages par adresse e-mail ou domaine de messagerie qui seront toujours marqués comme spam à haut niveau de confiance.

• L'onglet Spam properties vous permet d'être plus précis avec votre politique et de resserrer les paramètres du filtre anti-spam

Logiciels malveillants

Ceci est déjà configuré à l'échelle de l'entreprise via la politique anti-malware par défaut. Avez-vous besoin de créer des politiques plus granulaires pour un certain groupe d'utilisateurs, telles que des notifications supplémentaires par SMS ou un filtrage renforcé basé sur les extensions de fichiers ?

• Allez sur le portail de sécurité > Gestion des menaces > Politique > Anti-malware

• Sélectionnez la politique par défaut à modifier
• Sélectionnez Non pour la réponse de détection de logiciels malveillants

• Désactivez la fonctionnalité pour bloquer les types de pièces jointes susceptibles d'endommager votre ordinateur

• Activer la purge automatique des logiciels malveillants en une heure zéro

• Modifier les notifications en conséquence

• Spécifiez les utilisateurs, groupes ou domaines pour lesquels cette politique s'applique en créant des règles basées sur le destinataire

• Vérifiez vos paramètres et enregistrez.

Politique anti-hameçonnage

Les abonnements Microsoft 365 sont livrés avec une stratégie par défaut pour l'anti-hameçonnage préconfigurée, mais si vous disposez de la licence appropriée pour ATP, vous pouvez configurer un paramètre supplémentaire pour les tentatives d'emprunt d'identité au sein du locataire. Nous allons configurer ces paramètres supplémentaires ici.

• Accédez au portail de sécurité > Gestion des menaces > Politique > Anti-hameçonnage ATP

• Cliquez sur la politique par défaut > Cliquez sur Modifier dans la section Usurpation d'identité
• Dans la première section, activez le commutateur et ajoutez les cadres supérieurs ou les utilisateurs au sein de l'organisation qui sont les plus susceptibles d'être usurpés

• Dans la section Ajouter des domaines à protéger, basculez le commutateur pour inclure automatiquement les domaines que je possède

• Dans la section Actions, choisissez l'action que vous souhaitez entreprendre si un utilisateur ou un domaine est usurpé. Nous vous recommandons de mettre en quarantaine ou de déplacer vers le dossier Junk.

• Dans la section Mailbox Intelligence, activez la protection et choisissez l'action à entreprendre, comme à l'étape précédente

• La dernière section vous permet d'ajouter des expéditeurs et des domaines à la liste blanche. Abstenez-vous d'ajouter des domaines génériques ici comme gmail.com.

• Après avoir examiné vos paramètres, vous pouvez choisir d'enregistrer

A lire également : Microsoft Cloud App Security : Le guide définitif

Configurer le filtrage amélioré

• Enhanced email filtering can be set up if you have a connector in 365 (3rd party email filtering service or hybrid configuration) and your MX record does not point to Microsoft 365 or Office 365. This new feature allows you to filter email based on the actual source of messages that arrive over the connector.
• This is also known as skip listing and this feature will allow you to overlook, or skip, any IP addresses that are considered internal to you in order to get the last known external IP address, which should be the actual source IP address.
• If you are using Microsoft Defender ATP, this will enhance its machine learning capabilities and security around safe links/safe attachments/anti-spoofing from Microsoft’s known malicious list based off IP.
• In a way, you are getting a secondary layer of protection by allowing Microsoft to view the IPs of the original email and check against their database.

For enhanced filtering configuration steps: click here

Configure ATP Safe Links and Safe Attachments Policy

Microsoft Defender Advanced Threat Protection (Microsoft Defender ATP) allows you to create policies for safe links and safe attachments across Exchange, Teams, OneDrive, and SharePoint. Real-time detonation occurs when a user clicks on any link and the content is contained in a sandbox environment. Attachments are opened inside a sandbox environment as well before they are fully delivered over email. This allows zero-day malicious attachments and links to be detected.

• Go to the security portal > Threat management > Policy > ATP safe attachments

• Click Global settings

• Turn on ATP for SharePoint, OneDrive and Microsoft Teams

• Create a new policy

• Add Name, Description, and choose Dynamic Delivery. For more on delivery methods, click here.

• Select the action as Dynamic Delivery

• Add the recipient domain and chose the main domain in the tenant.

• Click Next to review your settings and click Finish

• For Safe Links, go back to Threat management > Policy > ATP Safe Links

• Use the default policy or create a new policy and turn on the necessary settings displayed below.

• You can choose to whitelist certain URLs

• Like the safe attachments policy, apply to all users in the tenant by the domain name.

• Click Next to review your settings and click Finish

Add SPF, DKIM and DMARC

• Do you have SPF records/DKIM records/DMARC in place?
• SPF validates the origin of email messages by verifying the IP address of the sender against the alleged owner of the sending domain which helps prevent spoofing.
• DKIM lets you attach a digital signature to email messages in the message header of emails you send. Email systems that receive email from your domain use this digital signature to determine if incoming email that they receive is legitimate.
• DMARC helps receiving mail systems determine what to do with messages that fail SPF or DKIM checks and provides another level of trust for your email partners.

To add records:

• Go to Domains in the Microsoft 365 Admin center and click on the domain you want to add records to.

• Click “DNS records” and Take note of the MX and TXT record listed under the Exchange Online

• Add the TXT record of v=spf1 include:spf.protection.outlook.com -all to your DNS settings for our SPF record
• For our DKIM records we need to publish two CNAME records in DNS

Use the following format for the CNAME Record:

Where:
= our primary domain = The prefix of our MX record (ex. domain-com.mail.protection.outlook.com)
= domain.onmicrosoft.com
Example: DOMAIN = techieberry.com

CNAME Record #1:
Host Name: selector1._domainkey.techiebery.com
Points to address or value: selector1-techiebery-com._domainkey.techiebery.onmicrosoft.com
TTL: 3600

CNAME Record #2:
Host Name: selector2._domainkey.techiebery.com
Points to address or value: selector2-techiebery-com._domainkey.techiebery.onmicrosoft.com
TTL: 3600

• After publishing the records, go to the security portal > Threat management > Policy > DKIM

• Select the Domain for which you want to enable DKIM and click Enable.
• With the SPF and DKIM records in place, we can now set up DMARC. The format for the TXT record we want to add is as follows:

_dmarc.domain TTL IN TXT “v=DMARC1; pct=100; p=policy

Où :
= domaine que nous voulons protéger
= 3600
= indique que cette règle doit être utilisée pour 100 % des e-mails
= spécifie la politique que vous souhaitez que le serveur de réception suive si DMARC échoue.
REMARQUE : Vous pouvez définir sur aucun, mettre en quarantaine ou rejeter

Exemple :

• _dmarc.pax8.com 3600 EN TXT "v=DMARC1 ; p=aucun"
• _dmarc.pax8.com 3600 EN TXT "v=DMARC1 ; p=quarantaine"
• _dmarc.pax8.com 3600 EN TXT "v=DMARC1 ; p=rejeter"

Ne pas autoriser le partage des détails du calendrier

Vous ne devez pas autoriser vos utilisateurs à partager les détails du calendrier avec des utilisateurs externes. Cette fonctionnalité permet à vos utilisateurs de partager tous les détails de leurs calendriers avec des utilisateurs externes. Les attaquants passeront très souvent du temps à se renseigner sur votre organisation (effectuer une reconnaissance) avant de lancer une attaque. Les calendriers accessibles au public peuvent aider les attaquants à comprendre les relations organisationnelles et à déterminer quand des utilisateurs spécifiques peuvent être plus vulnérables à une attaque, par exemple lorsqu'ils sont en déplacement.

• Dans le centre d'administration Microsoft 365 > Paramètres - Paramètres de l'organisation

• Cliquez sur les services et sélectionnez le calendrier

• Modifiez les paramètres sur " Informations de disponibilité du calendrier avec l'heure uniquement "

• Activer ce paramètre sur un locataire via PowerShell
• Activez ce paramètre dans tous les locataires via les informations d'identification de l'Espace partenaires à l'aide de PowerShell

Activer la recherche dans le journal d'audit

Vous devez activer l'enregistrement des données d'audit pour votre service Microsoft 365 ou Office 365 afin de vous assurer que vous disposez d'un enregistrement de chaque interaction d'utilisateur et d'administrateur avec le service, y compris Azure AD, Exchange Online, Microsoft Teams et SharePoint Online/OneDrive Entreprise. Ces données permettront d'enquêter et d'évaluer une faille de sécurité, si jamais elle se produisait. Vous (ou un autre administrateur) devez activer la journalisation d'audit avant de pouvoir lancer la recherche dans le journal d'audit .

• Comment activer le journal d'audit ?
• Comment rechercher le journal d'audit ?

• Accédez au portail de sécurité>Rechercher>Rechercher dans le journal d'audit
• Assurez-vous de ne pas obtenir les éléments suivants :

• Après avoir activé l'audit, vous verrez ce qui suit :

• Vous pouvez créer une recherche personnalisée basée sur l'activité, la plage de dates, les utilisateurs et le fichier\dossier\site
• Créer une nouvelle politique d'alerte basée sur un certain événement

• Si vous souhaitez rechercher le journal d'audit via PowerShell, vous utiliserez les commandes ci-dessous :

$auditlog = Search-UnifiedAuditLog -StartDate 01/01/2021 -EndDate 01/31/2021 -RecordType SharePointFileOperation

• Vous pouvez utiliser la commande suivante pour exporter certaines propriétés dans un fichier CSV :

$journalaudit | Select-Object -Property CreationDate, UserIds, RecordType, AuditData | Export-Csv -Append -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation

Activer l'audit de la boîte aux lettres pour tous les utilisateurs

Par défaut, tous les accès non propriétaires sont audités, mais vous devez activer l'audit sur la boîte aux lettres pour que l'accès propriétaire soit également audité. Cela vous permettra de découvrir l'accès illicite à l'activité Exchange Online si le compte d'un utilisateur a été piraté. Nous devrons exécuter un script PowerShell pour activer l'audit pour tous les utilisateurs.

REMARQUE : utilisez le journal d'audit pour rechercher l'activité de la boîte aux lettres qui a été consignée. Vous pouvez rechercher l'activité d'une boîte aux lettres d'utilisateur spécifique.

• Accédez au portail de sécurité>Rechercher>Rechercher dans le journal d'audit

Liste des actions d'audit de boîte aux lettres

Commandes powershell d'audit de boîte aux lettres

Pour vérifier l'état d'audit d'une boîte aux lettres :

Get-Mailbox [email protected] | fl *audit*

Pour rechercher un audit de boîte aux lettres :

Search-MailboxAuditLog [email protected] -ShowDetails -StartDate 01/01/2021 -EndDate 01/31/2021

Pour exporter les résultats dans un fichier CSV :

Search-MailboxAuditLog [email protected] -ShowDetails -StartDate 01/01/2021 -EndDate 01/31/2021 | Export-Csv C:\users\AuditLogs.csv -NoTypeInformation

Pour afficher et exporter les journaux en fonction des opérations :

Search-MailboxAuditLog -Identity [email protected] -ResultSize 250000 -Operations HardDelete, Move, MoveToDeletedItems, SoftDelete -LogonTypes Admin, Delegate, Owner -StartDate 01/01/2021 -EndDate 01/31/2021 -ShowDetails | Export-Csv C:\AuditLogs.csv -NoTypeInformation

Pour afficher et exporter les journaux en fonction des types de connexion :

Search-MailboxAuditLog [email protected] -ResultSize 250000 -StartDate 01/01/2021 -EndDate 01/31/2021 -LogonTypes Owner,Delegate,Admin -ShowDetails | Export-Csv C:\AuditLogs.csv -NoTypeInformation

Examiner les changements de rôle chaque semaine

Vous devez le faire car vous devez surveiller les changements de groupe de rôles illicites, qui pourraient donner à un attaquant des privilèges élevés pour effectuer des choses plus dangereuses et plus percutantes dans votre location.

• Accédez à Portail de sécurité>Rechercher>Rechercher dans le journal d'audit
• Tapez « Rôle » dans la recherche et sélectionnez « Membre ajouté au rôle » et « Suppression d'un utilisateur d'un rôle d'annuaire »

Surveiller les changements de rôle dans tous les locataires du client

Examiner les règles de transfert de boîte aux lettres chaque semaine

Vous devez revoir les règles de transfert des boîtes aux lettres vers des domaines externes au moins une fois par semaine. Vous pouvez le faire de plusieurs manières, notamment en examinant simplement la liste des règles de transfert de courrier vers des domaines externes sur toutes vos boîtes aux lettres à l'aide d'un script PowerShell, ou en examinant l'activité de création de règles de transfert de courrier au cours de la semaine dernière à partir de la recherche dans le journal d'audit. Bien qu'il existe de nombreuses utilisations légitimes des règles de transfert de courrier vers d'autres emplacements, il s'agit également d'une tactique d'exfiltration de données très populaire pour les attaquants. Vous devez les consulter régulièrement pour vous assurer que les e-mails de vos utilisateurs ne sont pas exfiltrés. L'exécution du script PowerShell lié ci-dessous générera deux fichiers csv, "MailboxDelegatePermissions" et "MailForwardingRulesToExternalDomains", dans votre dossier System32.

• Surveiller sur un seul tenant
• Surveiller les transferts de boîtes aux lettres externes dans tous les locataires Microsoft 365/Office 365 Customer

Examinez le rapport d'accès à la boîte aux lettres par les non-propriétaires toutes les deux semaines

Ce rapport indique les boîtes aux lettres auxquelles une personne autre que le propriétaire de la boîte aux lettres a accédé. Bien qu'il existe de nombreuses utilisations légitimes des autorisations déléguées, l'examen régulier de cet accès peut aider à empêcher un attaquant externe de conserver l'accès pendant une longue période et peut aider à découvrir plus tôt une activité interne malveillante.

• Dans le centre d'administration Exchange, accédez à Gestion de la conformité> Audit
• Cliquez sur « Exécuter un rapport d'accès aux boîtes aux lettres non propriétaire… »

• Spécifiez une plage de données et lancez une recherche

Consultez le rapport sur les détections de logiciels malveillants chaque semaine

Ce rapport montre des cas spécifiques où Microsoft empêche une pièce jointe malveillante d'atteindre vos utilisateurs. Bien que ce rapport ne soit pas strictement exploitable, son examen vous donnera une idée du volume global de logiciels malveillants ciblés sur vos utilisateurs, ce qui peut vous inciter à adopter des mesures d'atténuation des logiciels malveillants plus agressives.

• Accédez au portail de sécurité>Rapports>Tableau de bord

• Faites défiler vers le bas et cliquez sur Malware détecté dans l'e-mail

• Affichez le rapport de détection et cliquez sur + Créer un calendrier

• Créez un calendrier de rapport hebdomadaire et envoyez-le à l'adresse e-mail appropriée

Passez en revue votre rapport d'activité de provisionnement de compte chaque semaine

Ce rapport inclut un historique des tentatives de provisionnement des comptes vers des applications externes. Si vous n'utilisez pas habituellement un fournisseur tiers pour gérer les comptes, toute entrée sur la liste est probablement illicite. Mais, si vous le faites, c'est un excellent moyen de surveiller les volumes de transactions et de rechercher des applications tierces nouvelles ou inhabituelles qui gèrent les utilisateurs.

• Dans le centre d'administration Microsoft 365> Azure Active Directory depuis les centres d'administration> Azure Active Directory> Journaux d'audit

• Dans la section Activité, recherchez "externe" et sélectionnez Inviter un utilisateur externe

C'est ainsi que vous améliorez la protection en ligne d'échange pour une meilleure sécurité.

Maintenant, j'aimerais avoir de vos nouvelles :

Quelle conclusion du rapport d'aujourd'hui avez-vous trouvé la plus intéressante ? Ou peut-être avez-vous une question sur quelque chose que j'ai couvert.

Quoi qu'il en soit, j'aimerais vous entendre. Alors allez-y et laissez un commentaire ci-dessous.