Approuver les demandes de suppression d’e-mail pour l’intégration Microsoft Exchange Online

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 6 minutes de lecture

    • Si l’option d’approbation est activée dans votre Now Platform instance, les demandes de suppression d’e-mails sont envoyées par e-mail à chaque membre du groupe d’approbation. Vous sélectionnez le groupe d’approbation au cours de l’étape de configuration. Les approbations fournissent à votre organisation un niveau de contrôle supplémentaire sur la suppression des e-mails.

    Avant de commencer

    Vérifiez que l’option Approbations est sélectionnée dans l’onglet Paramètres supplémentaires du formulaire Paramètres de configuration de recherche et de suppression d’e-mails Exchange Online.

    Vérifiez que vous avez activé les options d’envoi d’e-mail etde réception d’e-mail activées dans votre Now Platform instance pour les demandes d’approbation. Pour plus d'informations, consultez Configurer votre Now Platform instance pour l’intégration Microsoft Exchange Online.

    Lorsque l’utilisateur disposant du rôle sn_si.analyst soumet des demandes de suppression d’e-mail, par défaut, ces demandes sont envoyées par e-mail à sn_si.admin. Si vous avez créé un groupe d’approbation, chaque membre du groupe reçoit une notification. Les approbateurs peuvent traiter les demandes de suppression d’e-mails directement à partir de la notification par e-mail. Les demandes peuvent également être traitées à partir des enregistrements de résultats de recherche d’e-mails dans Now Platform les instances. Cette rubrique affiche les deux méthodes d’approbation.

    Les informations suivantes décrivent la demande dans la notification par e-mail :

    Numéro d’enregistrement du résultat de recherche d’e-mail
    Numéro unique affecté à l’enregistrement de recherche par dans Now Platform le cadre de la piste d’audit.
    Nom de l’analyste ayant soumis la demande
    Nom de la personne qui a soumis la demande dans le cadre de la piste d’audit.
    Lien vers l’incident de sécurité
    Un lien vers l’incident de sécurité lié à l’événement de hameçonnage. Affichez l’incident de sécurité avec les notes de travail, les recherches par e-mail et les résultats de recherche d’e-mails directement à partir de l’e-mail.
    Approuver ou rejeter les liens
    Liens permettant d’approuver ou de rejeter la demande à partir de la notification par e-mail. Une fois que vous avez cliqué sur l’un des liens, le système lance automatiquement le workflow connexe et une note de travail est publiée dans l’enregistrement d’incident de sécurité.

    Rôle requis : sn_si.admin ou tous les membres d’un groupe d’approbation affecté.

    Procédure

    1. Pour traiter la demande de suppression de la notification par e-mail, procédez comme suit.
      1. En tant qu’approbateur, localisez l’e-mail de notification dans le compte de messagerie que vous avez configuré dans votre Now Platform compte d’utilisateur.

        Dans cet exemple, l’utilisateur disposant du rôle sn_si.analyst (Hans SecAnalyst) soumet une demande pour supprimer un e-mail. Johann SecAdmin est membre du groupe d’approbation.

        Notification par e-mail pour la demande d’approbation de suppression.
      2. Dans la notification par e-mail, choisissez une option pour continuer.
      OptionDescription
      Cliquez sur Cliquez ici pour approuver le lien Approuver Approuver la demande de suppression. Tous les éléments d’e-mail ayant un statut faux dans la colonne A été supprimé et qui sont associés à l’enregistrement de résultat de recherche sont automatiquement supprimés du Microsoft Exchange Online locataire.

      L’état de tous les éléments d’e-mail du jeu de résultats est mis à jour sur vrai dans la colonne A été supprimé de l’enregistrement du résultat de recherche d’e-mail.

      Une note de travail est publiée dans l’enregistrement d’incident de sécurité avec le nombre d’e-mails supprimés avec succès. Si le balisage est activé, la balise Suppression d’e-mail - Terminée remplace la balise Suppression d’e-mail - Initiée .
      Cliquez ici pour rejeter le lien Refusez la demande de suppression. Une note de travail est publiée avec le nom de la personne qui a rejeté la demande.

      Après le rejet d’une demande, en tant qu’utilisateur disposant du rôle sn_si.analyst, vous devez soumettre une nouvelle demande de suppression si vous déterminez que les e-mails doivent être supprimés.
      Cliquez sur le lien vers l’enregistrement de l’incident de sécurité (SIR0010002) Examinez l’incident de sécurité associé et toutes les données de recherche connexes avant de traiter la demande.

      L’image suivante montre un exemple de piste d’audit créée par les notes de travail sur l’enregistrement d’incident de sécurité connexe pour cet exemple. Lorsque la demande est rejetée à partir de la notification par e-mail par un approbateur, une note de travail est publiée avec la personne qui a rejeté la demande. Johann SecAdmin rejette cette demande.

      Notes de travail avec piste d’audit pour une demande rejetée.

      Dans le Now Platform cas de la personne qui a rejeté la demande (Johann SecAdmin), dans Libre-service > mes approbations, Rejeté s’affiche dans la colonne État.

      Après qu’une demande a été rejetée par un seul membre du groupe d’approbation, en tant qu’utilisateur disposant du rôle sn_si.analyst, vous devez soumettre une nouvelle demande de suppression de ces e-mails si vous déterminez qu’ils doivent être supprimés.

      Pour cet exemple, une fois la demande rejetée, l’utilisateur disposant du rôle sn_si.analyst soumet une nouvelle demande.

      Un autre membre du groupe d’approbation, John Approver, reçoit un e-mail similaire à celui illustré dans l’exemple précédent. John Approver peut également traiter cette demande.

    2. Les approbateurs peuvent également accéder à Libre-service > mes approbations dans leurs Now Platform instances pour afficher et traiter les demandes de suppression.
      Pour traiter une demande à partir de Mes approbations, procédez comme suit.
      1. Accédez à la Libre-service > mes approbations.
        Figure 1. Ma liste d’approbations
        Liste des approbations
      2. Dans la colonne État, cliquez sur l’élément demandé.

        L’enregistrement d’approbation qui s’affiche répertorie les données relatives à la recherche, à la demande de recherche et aux résultats de la recherche.

        Figure 2. Détails de l'approbation
        Enregistrement d’approbation de Mes approbations
      3. Sur cet enregistrement, cliquez sur Approuver pour approuver la demande.
        Une fois la demande approuvée, le système lance le workflow de suppression pour supprimer les e-mails. L’image suivante montre un exemple de piste d’audit créée par les notes de travail sur l’enregistrement d’incident de sécurité connexe pour cet exemple. Une fois que cette demande de suppression est soumise à nouveau, elle est approuvée. Quelle que soit la méthode utilisée pour approuver une demande, le nombre d’e-mails supprimés avec succès est publié dans une note de travail.
        Notes de travail journalisant la piste d’audit à partir de La recherche par e-mail est lancée via les e-mails sont supprimés avec succès.

        Une fois les e-mails supprimés, sur l’enregistrement d’incident de sécurité connexe, si le balisage est activé, la balise Suppression d’e-mail - Terminée remplace la balise Suppression d’e-mail - initiée .

        Entrante Libre-service > mes approbations pour l’approbateur (John Approver), l’état passe de Demandé à Approuvé.

        Entrante Libre-service > mes approbations pour les autres membres du groupe d’approbation, par exemple, Johann SecAdmin, l’état devient N’est plus nécessaire une fois la demande approuvée.

    3. Pour confirmer que les e-mails sont supprimés des résultats de recherche d’e-mails sur l’enregistrement d’incident de sécurité connexe, procédez comme suit.
      1. Accédez à la Incidents de sécurité > Afficher tous les incidents et localiser l’incident de sécurité lié au phishing.
        Les listes connexes s’affichent au bas de l’enregistrement.
      2. Cliquez sur la liste connexe Recherche d’e-mails .
      3. Cliquez sur le nom de la recherche dans la colonne Recherche d’e-mails (Phish « connectez-vous à votre compte »).
        L’enregistrement de recherche d’e-mail s’affiche. Si la liste connexe Recherche d’e-mails n’est pas visible, cliquez sur le lien Afficher toutes les listes connexes.
      4. Cliquez sur la liste connexe Résultats de recherche d’e-mail .
        Dans la colonne Date de recherche, les actions de recherche et de suppression d’e-mails sont affichées avec les dates correspondantes.
      5. Dans la colonne Date de recherche, cliquez sur l’élément qui correspond à l’action de suppression.
        Dans l’enregistrement des résultats de recherche d’e-mails qui s’affiche, l’état de la colonne A été supprimé indique que l’e-mail est supprimé (vrai).
        A été supprimé colonne en surbrillance dans l’enregistrement du résultat de recherche d’e-mail.

        Vous avez approuvé avec succès les demandes de suppression d’e-mails d’une notification par e-mail et d’un enregistrement d’approbation, et confirmé que les e-mails sont supprimés. Pour plus d’informations sur la localisation de l’enregistrement des résultats de recherche d’e-mails, reportez-vous à la section Définir des critères de recherche d’e-mails et demander une recherche dans le Microsoft Exchange Online service.