Aller au contenu

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=sophos-email-monitoring-system-m365-configuration

Configurer la journalisation pour M365

Découvrez comment configurer la journalisation dans Microsoft 365 pour envoyer des copies d'emails à Sophos EMS (Email Monitoring System).

La journalisation envoie une copie de tous les emails entrants et sortants à Sophos EMS pour contrôle. Dans Microsoft 365, vous pouvez activer la journalisation en créant une règle de journal dans Microsoft Purview.

Retrouvez plus de renseignements sur la journalisation sur Journalisation dans Exchange Online.

Si vous utilisez déjà une autre solution de sécurité de la messagerie et que vous souhaitez la connecter à Sophos EMS, vous devez créer un connecteur sécurisé ou des règles de transport qui les relient.

Important

Si votre locataire Microsoft 365 utilise une passerelle de sécurité de la messagerie tierce (par exemple, Barracuda), les messages du journal doivent être envoyés directement depuis Microsoft 365 vers Sophos EMS.

Ne relayez pas les messages du journal via la passerelle. S’ils l’étaient, Sophos EMS les recevrait depuis les adresses IP de la passerelle plutôt que depuis Microsoft 365. Ceci pourrait entraîner des échecs de livraison des journaux, l’absence de données dans l’historique des messages ou des problèmes avec la détection basée sur les en-têtes.

Avant de commencer

Assurez-vous d’avoir les comptes suivants :

  • Compte administrateur Microsoft Purview
  • Compte administrateur Microsoft 365

Les étapes clés pour configurer Sophos EMS avec Microsoft 365 sont les suivantes :

Créer des règles de journalisation dans Microsoft Purview

Vous devez créer une règle de journal dans Microsoft Purview pour acheminer les emails entrants vers Sophos EMS.

Pour créer une règle de journal, procédez comme suit :

  1. Connectez-vous à Sophos Central.
  2. Allez dans Mes produits > Email Protection > Paramètres > Paramètres / État du domaine EMS.
  3. Sélectionnez votre domaine et cliquez sur Configurer les dépendances externes.

  4. Dans l'onglet M365, à l’Étape 1, copiez les adresses email fournies et enregistrez-les pour une utilisation ultérieure.

    Ces adresses email sont utilisées pour envoyer des rapports de journal à Sophos EMS. L’une des adresses est pour les rapports de journal non livrables, et l'autre pour les rapports de journal réguliers. Chaque adresse a un but différent et doit être configurée séparément pour assurer la livraison complète du journal.

  5. Connectez-vous à Microsoft Purview.

  6. Allez dans Paramètres > Gestion du cycle de vie des données > Exchange (hérité).

  7. Sous Envoyer les rapports de journal non livrables à, cliquez sur Remplacer, saisissez l'adresse email des rapports de journal non distribuables que vous avez copiés à partir de Sophos Central, puis cliquez sur Enregistrer.

    Note

    Définissez l’option Envoyer les rapports de journal non livrables à uniquement si elle est vide. Ne modifiez pas une adresse existante. Passez à l’étape suivante.

    Lorsque les emails journalisés ne peuvent pas être remis au destinataire prévu, la boîte de réception reçoit un rapport de non-livraison (NDR).

  8. Allez dans Solutions > Gestion du cycle de vie des données > Exchange (hérité) > Règles de journal, puis cliquez sur Nouvelle règle pour créer une nouvelle règle de journal.

  9. Dans Envoyer les rapports de journal à, saisissez l'adresse email des rapports de journal standard que vous avez copiés à partir de Sophos Central.

  10. Dans Nom de la règle de journal, saisissez le nom de la règle.

    Par exemple : Contrôle EMS pour emails externes.

  11. Dans Messages du journal envoyés ou reçus de, sélectionnez l'une des options suivantes :

    • Tout le monde : Si tous les domaines M365 sont intégrés dans Sophos EMS.
    • Un utilisateur ou un groupe spécifique : Si vous souhaitez que Sophos EMS contrôle uniquement les utilisateurs et domaines sélectionnés.

    Note

    Si vous sélectionnez Un utilisateur ou un groupe spécifique, assurez-vous que l'utilisateur ou le groupe existe dans Microsoft 365.

  12. Dans Type de message à journaliser, sélectionnez Messages externes uniquement.

  13. Cliquez sur Suivant, vérifiez les paramètres, puis cliquez sur Soumettre.

Vous avez créé la règle de journal pour Microsoft 365.

Après avoir configuré la journalisation dans Microsoft Purview, revenez à Sophos Central pour terminer votre processus d'intégration. Voir Ajouter un domaine.

Après la configuration, vérifiez les conditions suivantes :

  • Les messages du journal sont transmis directement depuis Microsoft 365 vers Sophos EMS.
  • L'adresse IP source indiquée dans l'historique des messages appartient à Microsoft 365, et non à une passerelle tierce.
  • Les valeurs d’en-tête SMTP From (expéditeur de l'enveloppe) et From ne sont pas modifiées.

Intégrer Sophos EMS à une solution de sécurité de messagerie tierce

Cette section s’applique uniquement au flux régulier de courrier entrant et sortant.

Vous pouvez intégrer Sophos Email Security à une solution de sécurité de la messagerie tierce, qu'elle soit basée sur une passerelle ou sur le flux de messagerie. Configurez cette section uniquement si vous utilisez l'une de ces méthodes. Sinon, Sophos EMS pourrait ne pas se comporter comme vous l'attendez.

Choisissez la méthode qui correspond le mieux à votre configuration :

Les messages du journal Microsoft 365 suivent un chemin de livraison distinct et doivent être acheminés directement depuis Microsoft 365 vers Sophos EMS. La livraison des journaux ne doit pas dépendre de connecteurs basés sur des passerelles ou de règles de transport.

Si vous utilisez une passerelle tierce et que la journalisation Microsoft 365 est activée, créez un connecteur dédié pour la livraison des journaux. Voir Créer un connecteur sécurisé pour une passerelle personnalisée.

Note

Lors de l’intégration de Sophos EMS avec une solution de sécurité des messageries tierce, créez toujours un nouveau connecteur ou une nouvelle règle. Ne modifiez ni ne réutilisez un connecteur ou une règle existante, car cela peut perturber le flux de messagerie.

Créer un connecteur sécurisé pour une passerelle personnalisée

Cette procédure configure le paramètre de passerelle personnalisée dans Sophos EMS à l'aide des adresses IP configurées dans l'enregistrement MX du domaine de messagerie du client.

Cette configuration existe pour prendre en charge la livraison des messages du journal lorsqu'une passerelle tierce est présente dans le flux de messagerie. Elle ne configure ni ne modifie la solution de sécurité de la messagerie tierce elle-même.

Si une passerelle tierce existe dans votre environnement, vous devez créer un connecteur Microsoft 365 distinct pour la journalisation afin de garantir que les messages de journal contournent la passerelle.

Créez le connecteur dans le centre d'administration Microsoft Exchange sous Flux de messagerie > Connecteurs.

Pour la livraison des journaux, configurez les paramètres suivants du connecteur :

  • Connexion depuis : Office 365
  • Connexion à : Société Partenaire

  • Utilisation du connecteur : Configurez le connecteur pour qu'il ne s'applique que lorsque des emails sont envoyés au domaine du journal Sophos EMS.

    Exemple de domaine de journal Sophos EMS

    use2.external.sophosems.com

  • Routage : Recherchez les enregistrements MX pour le domaine de messagerie du client et notez les valeurs. Vous utiliserez ces enregistrements MX ultérieurement lors de la configuration de la passerelle personnalisée dans Sophos Central.

Warning

Nous vous déconseillons d'ajouter des adresses IP de passerelles tierces sous Passerelle personnalisée dans Paramètres/État du domaine EMS.

Bien que cette configuration permette la livraison des journaux, elle peut provoquer des problèmes de détection liés aux en‑têtes, tels que des échecs causés par des anomalies d’en‑têtes, car les messages de journalisation n’arrivent plus comme prévu depuis Microsoft 365.

Créer un connecteur sécurisé pour une solution basée sur une passerelle

!!! info "Cette procédure s’applique uniquement si votre solution de sécurité de la messagerie tierce est basée sur passerelle.

Vous devez créer un connecteur sécurisé entre Sophos EMS et Microsoft 365 comme suit :

  1. Connectez-vous à Sophos Central et configurez votre solution de sécurité de messagerie tierce de la manière suivante :

    1. Allez dans Mes produits > Email Protection > Paramètres > Paramètres / État du domaine EMS.
    2. Sélectionnez votre domaine et cliquez sur Configurer les dépendances externes.
    3. Assurez-vous d’être dans l'onglet M365.
    4. Sous La sécurité de ma messagerie est Passerelle, préparez les adresses IP ou les plages d'adresses IP à partir de votre solution de sécurité de la messagerie.

  2. Connectez-vous à votre Centre d’administration Microsoft Exchange et créez le connecteur sécurisé comme suit :

    Note

    Utilisez cette procédure si vous souhaitez configurer des connecteurs pour le flux de messagerie entrant classique via une passerelle de sécurité de messagerie tierce.

    Si vous souhaitez que les messages de journalisation Microsoft 365 contournent la passerelle tierce et soient remis directement à Sophos EMS, configurez un connecteur dédié utilisant le paramètre de passerelle personnalisée. Voir Créer un connecteur sécurisé pour une passerelle personnalisée.

    1. Allez dans Flux de messagerie > Connecteurs, puis cliquez sur Ajouter un connecteur.
    2. Dans Connexion de, sélectionnez Organisation partenaire, puis cliquez sur Suivant.

    3. Saisissez le nom du connecteur.

      Par exemple : Accepter les emails provenant d’une solution de filtrage de messagerie tierce.

    4. Sélectionnez Activer et cliquez sur Suivant.

    5. Sélectionnez En vérifiant que l'adresse IP du serveur expéditeur correspond à l'une des adresses IP suivantes, qui appartiennent à votre organisation partenaire, ajoutez les adresses IP de livraison entrante, puis cliquez sur Suivant.
    6. (Facultatif) Sélectionnez Refuser les emails s'ils ne sont pas via TLS, uniquement si votre solution de sécurité de messagerie envoie tous les emails à M365 via TLS.
    7. Cliquez sur Suivant, vérifiez les paramètres du connecteur et cliquez sur Créer un connecteur.
    8. Cliquez sur Terminé.

  3. Connectez-vous à Microsoft Defender et implémentez l'option d’ignorer la liste de la manière suivante :

    1. Sélectionnez le connecteur que vous avez créé.
    2. Sélectionnez Ignorer ces adresses IP associées au connecteur.
    3. Ajoutez les adresses IP de livraison entrantes.

    4. Appuyez sur ++Entrée++ après chaque adresse IP pour vous assurer qu’elle est ajoutée à la liste.

      Note

      Si vous n’appuyez pas sur ++Entrée++, l’adresse IP ne sera pas enregistrée, même si vous cliquez sur Enregistrer.

    5. Dans Appliquer à ces utilisateurs, sélectionnez Appliquer à l'ensemble de l'organisation.

    6. Cliquez sur Save.

Le filtrage amélioré du connecteur est désormais activé.

Créer des règles de transport pour une solution basée sur le flux de messagerie

Cette procédure s'applique uniquement si votre solution de sécurité de la messagerie tierce est basée sur le flux de courrier.

Cliquez sur l'onglet pour obtenir des instructions détaillées sur la création de règles de transport entrant et sortant.

Pour créer une règle de transport entrant, procédez de la manière suivante :

  1. Connectez-vous à Sophos Central et configurez votre solution de sécurité de messagerie tierce de la manière suivante :

    1. Allez dans Mes produits > Email Protection > Paramètres > Paramètres / État du domaine EMS.
    2. Sélectionnez votre domaine et cliquez sur Configurer les dépendances externes.
    3. Assurez-vous d’être dans l’onglet M365.
    4. Sous Ma sécurité de la messagerie est basée sur le flux de messagerie M365, préparez les adresses IP ou plages IP à partir de votre solution de sécurité de la messagerie.
    5. Activez Activer la configuration du flux de courrier M365 et copiez les valeurs Nom d’en-tête et Valeur d’en-tête pour une utilisation ultérieure.
    6. Cliquez sur Enregistrer.

  2. Connectez-vous à votre centre d’administration Microsoft Exchange et créez la règle de transport du courrier entrant comme suit :

    1. Allez dans Flux de messagerie > Règles, cliquez sur Ajouter une règle, puis sélectionnez Créer une nouvelle règle.

    2. Saisissez le nom de la règle de transport entrant.

      Par exemple : Add header for EMS scan for inbound emails.

    3. Sous Appliquer cette règle si, sélectionnez Le destinataire et est externe/interne, assurez-vous que l’option À l’intérieur de l’entreprise est sélectionnée, puis cliquez sur Enregistrer.

    4. Cliquez sur l'icône plus pour ajouter une deuxième condition.
    5. Sélectionnez Le destinataire et le domaine est, ajoutez le domaine utilisé par votre solution de sécurité de la messagerie, puis cliquez sur Enregistrer.
    6. Cliquez sur l'icône Plus pour ajouter une troisième condition.
    7. Sélectionnez L'expéditeur et L’adresse IP se trouve dans l’une de ces plages ou correspondent exactement, ajoutez les adresses IP de livraison entrante utilisées par votre solution de sécurité de la messagerie, puis cliquez sur Enregistrer.
    8. Sous Effectuer les opérations suivantes, sélectionnez Modifier les propriétés du message et Définir un en-tête de message.
    9. Cliquez sur le premier lien Saisir du texte, saisissez la valeur du Nom de l'en-tête à partir de la page Configurer des dépendances externes, puis cliquez sur Enregistrer.
    10. Cliquez sur le deuxième lien Saisir du texte, saisissez la valeur de la Valeur d'en-tête à partir de la page Configurer les dépendances externes, puis cliquez sur Enregistrer.
    11. Cliquez sur Suivant.
    12. Dans Définir les paramètres de règle, assurez-vous que le Mode règle est défini sur Appliquer et que Correspondre à l’adresse de l'expéditeur dans le message est défini sur En-tête.
    13. Cliquez sur Suivant, vérifiez les paramètres de règle de transport entrant, puis cliquez sur Terminer.

  3. Activez la règle de transport entrant de la manière suivante :

    1. Sélectionnez la règle de transport entrant et activez-la.
    2. Cliquez sur Modifier les paramètres de règle, définissez Priorité sur 0, puis cliquez sur Enregistrer.
    3. Cliquez sur Terminé.

Votre règle de transport entrant est maintenant appliquée.

Pour créer une règle de transport sortant, procédez de la manière suivante :

  1. Connectez-vous à Sophos Central et configurez votre solution de sécurité de messagerie tierce de la manière suivante :

    1. Allez dans Mes produits > Email Protection > Paramètres > Paramètres / État du domaine EMS.
    2. Sélectionnez votre domaine et cliquez sur Configurer les dépendances externes.
    3. Assurez-vous d’être dans l’onglet M365.
    4. Sous Ma sécurité de la messagerie est basée sur le flux de messagerie M365, préparez les adresses IP ou plages IP à partir de votre solution de sécurité de la messagerie.
    5. Activez Activer la configuration du flux de courrier M365 et copiez les valeurs Nom d’en-tête et Valeur d’en-tête pour une utilisation ultérieure.
    6. Cliquez sur Enregistrer.

  2. Connectez-vous à votre centre d’administration Microsoft Exchange et créez la règle de transport du courrier sortant comme suit :

    1. Allez dans Flux de messagerie > Règles, cliquez sur Ajouter une règle, puis sélectionnez Créer une nouvelle règle.

    2. Saisissez le nom de la règle de transport sortant.

      Par exemple : Add header for EMS scan for outbound emails.

    3. Sous Appliquer cette règle si, sélectionnez Le destinataire et est externe/interne, sélectionnez En dehors de l’organisation, puis cliquez sur Enregistrer.

    4. Cliquez sur l'icône plus pour ajouter une deuxième condition.
    5. Sélectionnez L'expéditeur et Le domaine est, ajoutez le domaine utilisé par votre solution de sécurité de la messagerie, puis cliquez sur Enregistrer.
    6. Cliquez sur l'icône Plus pour ajouter une troisième condition.
    7. Sélectionnez L'expéditeur et L'adresse IP se trouve dans l'une de ces plages ou correspondent exactement, ajoutez les adresses IP de distribution sortantes utilisées par votre solution de sécurité de la messagerie, puis cliquez sur Enregistrer.
    8. Sous Effectuer les opérations suivantes, sélectionnez Modifier les propriétés du message et Définir un en-tête de message.
    9. Cliquez sur le premier lien Saisir du texte, saisissez la valeur du Nom de l'en-tête à partir de la page Configurer des dépendances externes, puis cliquez sur Enregistrer.
    10. Cliquez sur le deuxième lien Saisir du texte, saisissez la valeur de la Valeur d'en-tête à partir de la page Configurer les dépendances externes, puis cliquez sur Enregistrer.
    11. Cliquez sur Suivant.
    12. Dans Définir les paramètres de règle, assurez-vous que le Mode règle est défini sur Appliquer et que Correspondre à l’adresse de l'expéditeur dans le message est défini sur En-tête.
    13. Cliquez sur Suivant, vérifiez les paramètres de règle de transport sortant, puis cliquez sur Terminer.

  3. Activez la règle de transport sortant de la manière suivante :

    1. Sélectionnez la règle de transport sortant et activez-la.
    2. Cliquez sur Modifier les paramètres de règle, définissez Priorité sur 1, puis cliquez sur Enregistrer.
    3. Cliquez sur Terminé.

Votre règle de transport sortant est maintenant appliquée.