Grâce à la fonction Direct Message Injection (DMI), il n’est plus nécessaire d’établir une liste blanche des courriels d’hameçonnage simulé. DMI contourne les règles de filtrage des courriels et place les courriels dans les boîtes de réception de vos utilisateurs. Cette fonction permet de créer un lien sécurisé entre votre console KSAT et votre compte Microsoft 365 ou Google Workspace. La DMI peut être utilisée pour inscrire nos courriels de test d’hameçonnage sur liste blanche, mais, si vous utilisez cette méthode, les courriels de formation nécessiteront une inscription supplémentaire sur liste blanche. Pour plus d’informations, consultez notre Guide de l’inscription sur liste blanche.
Configurer la DMI dans Microsoft 365
Si vous utilisez Microsoft 365, la connexion sécurisée entre KSAT et Microsoft 365 est créée en autorisant l’application DMI dans Azure. DMI sera connectée à votre compte Microsoft 365 en tant qu’application d’entreprise. Une fois autorisée, DMI utilise l’API Microsoft Exchange Web Services (EWS) pour mettre des courriels d’hameçonnage simulé directement dans les boîtes de réception de vos utilisateurs.
Rôles d’administrateur requis pour Microsoft 365
Pour configurer la DMI pour Microsoft 365, vous aurez besoin de rôles d’administration spécifiques.
Avant de configurer DMI pour un compte Microsoft 365, nous vous recommandons de créer un compte d’administrateur Microsoft 365 spécifiquement pour l’autorisation DMI. Les rôles suivants doivent être attribués à votre compte d’autorisation DMI :
- Emprunt d’identité d’application du Centre d’administration Exchange de Microsoft 365
- Administrateur de l’application du portail Microsoft Azure
Nous vous recommandons d’utiliser un compte de service pour lequel l’authentification à facteurs multiples (AFM) n’est pas activée. L’AFM peut faire échouer DMI et générer une erreur d’usurpation d’identité sous l’onglet Retourné de vos campagnes d’hameçonnage.
Sélectionnez un onglet ci-dessous pour apprendre comment activer ces autorisations dans chaque application Microsoft 365.
Pour ajouter et activer le rôle Emprunt d’identité d’application, suivez les étapes ci-dessous :
- Connectez-vous à votre Centre d’administration Exchange de Microsoft 365.
- Dans le menu de gauche, cliquez sur Rôles et sélectionnez Rôles d’administration.
- Cliquez sur le bouton Ajouter un groupe de rôles.
- Saisissez un nom et une description pour le nouveau groupe de rôles. Cliquez sur Suivant.
- Sur la page Ajouter des autorisations, sélectionnez Emprunt d’identité d’application et cliquez sur Suivant.
Conseil :Si cette option n’apparaît pas, essayez de modifier votre affichage. Par exemple, si vous utilisez le nouveau Centre d’administration Exchange, essayez de repasser au Centre d’administration Exchange classique.
- Sélectionnez le compte utilisateur qui sera responsable de l’autorisation DMI, puis cliquez sur Suivant.
- Vérifiez vos sélections et cliquez sur Ajouter un groupe de rôles.
Pour ajouter et activer le rôle Administrateur d’application, suivez les étapes ci-dessous :
- Connectez-vous à votre portail Azure.
- Sous l’en-tête Services Azure, sélectionnez Utilisateurs.
- Sélectionnez le compte utilisateur qui sera responsable de l’autorisation DMI.
- Dans le menu de gauche, cliquez sur Rôles attribués.
- Dans l’onglet Attributions éligibles, trouvez l’administrateur d’application et activez son rôle. Si le rôle Administrateur d’application ne figure pas dans la liste, suivez les étapes ci-dessous :
- Cliquez sur le bouton Ajouter des attributions situé en haut de la page.
- Dans le menu déroulant, sélectionnez l’administrateur d’application.
- Pour le type de portée, sélectionnez Annuaire et cliquez ensuite sur Suivant.
- Pour le type d’attribution, sélectionnez Actif.
- Cliquez sur Attribuer pour attribuer ce rôle à l’utilisateur sélectionné.
Vous verrez la demande d’autorisations suivante :
Pour garantir une connexion sûre et sécurisée, DMI doit utiliser EWS pour se connecter aux boîtes de réception de vos utilisateurs. Les autorisations pour une connexion EWS comprennent la possibilité de lire, d’envoyer et de supprimer des courriels. La connexion EWS permet également de configurer les paramètres de la boîte aux lettres. DMI n’utilisera ces autorisations que pour placer les courriels dans les boîtes de réception de vos utilisateurs.
Connecter DMI à Microsoft 365
Pour utiliser DMI, vous devrez connecter votre client de messagerie à votre console KSAT. Suivez les étapes ci-dessous pour connecter en toute sécurité votre console KSAT à votre compte Microsoft 365 :
- Connectez-vous à votre console KSAT.
- Cliquez sur l’adresse courriel indiquée dans le coin supérieur droit de la page et sélectionnez Paramètres du compte.
- Accédez à la section Direct Message Injection (DMI).
- Cliquez sur le menu déroulant Ajouter une connexion DMI.
- Sélectionnez Microsoft 365 dans le menu déroulant. Vous serez redirigé vers la page de connexion de Microsoft.
- Cliquez sur le compte Microsoft qui sera responsable de l’autorisation DMI. Assurez-vous d’utiliser le compte Microsoft qui s’est vu attribuer nos Rôles d’administrateur requis pour Microsoft 365.
- Passez en revue les autorisations demandées afin de permettre à KnowBe4 d’accéder à vos informations Microsoft 365.
- Si vous acceptez ces autorisations, cliquez sur Accepter.
- Une fois la fenêtre fermée, consultez la section Activer DMI pour Microsoft 365 ci-dessous pour continuer.
Activer DMI pour Microsoft 365
Lorsque votre console KSAT est connectée à votre compte de client de messagerie, vous devez activer la DMI dans KSAT. Pour activer DMI pour Microsoft 365, suivez les étapes ci-dessous :
- Connectez-vous à votre console KSAT.
- Cliquez sur l’adresse courriel indiquée dans le coin supérieur droit de la page et sélectionnez Paramètres du compte.
- Accédez à la section Direct Message Injection (DMI).
- Cliquez sur le bouton Afficher les paramètres DMI.
- Nom de la connexion : Dans ce champ, entrez un nom pour la connexion.
-
Activer cette connexion pour les domaines sélectionnés : Sélectionnez un ou plusieurs domaines en saisissant le nom du domaine ou en sélectionnant des domaines dans le menu déroulant.
Remarque :DMI ne sera activée que pour les utilisateurs dont l’adresse courriel principale correspond aux domaines sélectionnés.
- Si la connexion DMI échoue, envoyer une notification à : Dans ce champ, entrez les adresses courriel de toutes les personnes qui doivent être averties lorsque la connexion échoue. Remplissez les champs dans la fenêtre contextuelle de configuration Pour plus d’informations, consultez la capture d’écran et la liste ci-dessous :
- Cliquez sur le bouton Enregistrer les paramètres de connexion.
Comment résoudre un problème de connexion dans Microsoft 365
Si le jeton Exchange Web Service connectant votre console KSAT et votre compte Microsoft 365 devient invalide, la connexion DMI échouera.
Tous les courriels de campagne d’hameçonnage dont l’envoi était prévu par DMI ne seront pas envoyés.
Reconnectez votre compte Microsoft 365 en suivant les instructions décrites dans la section Connecter DMI à Microsoft 365 ci-dessus. Si vous avez des difficultés à vous reconnecter, veuillez contacter l’équipe de soutien.
Comment empêcher les courriels DMI de s’afficher dans la boîte aux de courrier Autres de Microsoft 365?
Si vos utilisateurs voient les courriels avec DMI dans leur boîte de courrier Autres au lieu de leur boîte de réception Prioritaire, suivez les étapes ci-dessous pour résoudre ce problème :
- Connectez-vous à votre console KSAT.
- Cliquez sur votre courriel qui s’affiche dans le coin supérieur droit de la page et sélectionnez Paramètres du compte.
- Allez dans le sous-onglet Paramètres d’hameçonnage.
- Activez Ajouter un en-tête personnalisé.
- Dans le champ Nom de l’en-tête (case de gauche), saisissez le texte suivant : MS-Exchange-Organization-BypassFocusedInbox.
- Dans le champ Valeur de l’en-tête (case de droite), saisissez le texte suivant : « true ».
- Cliquez sur Enregistrer les paramètres.
Configurer la DMI dans Google.
Si vous utilisez Google Workspace, cette connexion sécurisée est créée en autorisant l’application DMI dans Google Workspace. Une fois autorisée, DMI utilise les API de Google Workspace pour placer des courriels d’hameçonnage simulé dans les boîtes de réception de vos utilisateurs.
Rôles d’administration requis pour Google
Si vous paramétrez DMI pour Google Workspace, vous aurez besoin d’un rôle de super administrateur. Pour plus d’informations, consultez l’article de Google Contrôler l’accès à l’API à l’aide de la délégation au niveau du domaine.
Connecter DMI à Google
Pour connecter DMI à Google Workspace, vous devrez ajouter un identifiant client et des habilitations à votre console d’administrateur Google Workspace. Pour vérifier votre identifiant client et vos habilitations, suivez les indications ci-dessous :
- Rendez-vous sur admin.google.com.
- Dans la console d’administrateur Google Workspace, sélectionnez la section Sécurité.
Remarque :Si vous ne voyez pas Sécurité, cliquez sur Plus de contrôles au bas de la page.
- Cliquez sur Aperçu.
- Sélectionnez la section Contrôles API.
- Dans la section Délégation au niveau du domaine, cliquez sur le bouton Gérer la délégation au niveau du domaine.
- Cliquez sur le bouton Ajouter nouvelle.
- Dans le champ Identifiant du client, entrez « 117081416267426756182 ».
- Dans le champ Étendues OAuth, entrez « https://www.googleapis.com/auth/gmail.insert ».
- Cliquez sur le bouton Autoriser.
Activer DMI pour Google
Après avoir connecté DMI à Google, vous devrez activer la DMI dans votre console KSAT. Vous devrez également activer le réglage Remplacer l’adresse fixe du chemin de retour par l’adresse de l’expéditeur. Pour activer DMI pour Google Workspace, suivez les étapes ci-dessous :
- Connectez-vous à votre console KSAT.
- Cliquez sur l’adresse courriel indiquée dans le coin supérieur droit de la page et sélectionnez Paramètres du compte.
- Accédez à la section Direct Message Injection (DMI).
- Cliquez sur le menu déroulant Ajouter une connexion DMI et sélectionnez Google Workspace.
- Remplissez les champs dans la fenêtre contextuelle de configuration. Pour plus d’informations, consultez la capture d’écran et la liste ci-dessous.
- Nom de la connexion : Entrez un nom pour la connexion DMI.
-
Activer cette connexion pour le domaine sélectionné : Sélectionnez un ou plusieurs domaines en saisissant le nom du domaine ou en sélectionnant des domaines dans le menu déroulant.
Remarque :DMI ne sera activée que pour les utilisateurs dont l’adresse courriel principale correspond aux domaines sélectionnés.
-
Si la connexion DMI échoue, envoyer une notification à : Dans ce champ, entrez les adresses courriel de toutes les personnes qui doivent être averties lorsque la connexion DMI échoue.
Remarque :Les adresses courriel inscrites dans ce champ ne doivent pas nécessairement correspondre aux domaines énumérés dans le champ Activer cette connexion pour le domaine sélectionné.
- Saisir une adresse courriel à partir de votre domaine Google Workspace : Saisissez l’adresse courriel à laquelle vous souhaitez recevoir le message de test.
- Cliquez sur le bouton Enregistrer les paramètres de connexion.
Vous devrez également remplacer le chemin de retour de l’en-tête pour vos courriels d’hameçonnage. Le paramètre permettant de remplacer l’adresse fixe du chemin de retour par l’adresse de l’expéditeur se trouve dans vos Paramètres du compte. Pour en savoir plus sur l’activation de ce paramètre, consultez notre article Comment modifier le chemin de retour de l’en-tête dans les paramètres de votre compte.
Comment résoudre une erreur de connexion dans Google Workspace
Lors de la connexion de DMI avec Google Workspace, si vous recevez un message d’erreur après avoir cliqué sur Autoriser, c’est peut-être que l’identifiant du client et les habilitations sont incorrects
Pour vérifier votre identifiant client et vos habilitations, suivez les indications ci-dessous :
- Localisez les nouvelles autorisations de délégation au niveau du domaine que vous avez créées.
- Cliquez sur Voir les détails.
- Assurez-vous que chaque habilitation est énumérée, qu’il n’y a pas de doublons et que l’identifiant du client est correct.
- Si une habilitation manque ou contient une erreur, cliquez sur Modifier, entrez l’habilitation manquante, puis cliquez sur Autoriser pour appliquer les modifications.
Remarque :L’identifiant du client ne peut pas être modifié.
Comment ajouter des bannières, des préfixes et des signatures à des courriels d’hameçonnage
Quand DMI est activée, nos courriels d’hameçonnage sont en mesure de contourner toutes les règles de flux de messagerie, dont certaines peuvent inclure les bannières, les préfixes et les signatures qui s’affichent dans les courriels entrants.
Suivez les étapes ci-dessous pour utiliser nos espaces réservés afin de remettre des bannières, des préfixes et des signatures dans vos courriels d’hameçonnage :
- Connectez-vous à votre console KSAT.
- Cliquez sur votre courriel qui s’affiche dans le coin supérieur droit de la page et sélectionnez Paramètres du compte.
- Naviguez jusqu’à la section Espaces réservés.
- Cliquez sur + Espaces réservés.
- Dans le menu déroulant, sélectionnez l’espace réservé que vous souhaitez rajouter au courriel d’hameçonnage.
- Saisissez les données liées à l’espace réservé dans le champ prévu à cet effet. Vous pouvez inscrire n’importe quel texte dans le champ, y compris le code source d’une bannière de courriel, d’un préfixe ou d’une signature qui existe déjà.
- Pour la Bannière de courriel et le Préfixe du sujet, sélectionnez dans le menu déroulant les courriels d’hameçonnage sur lesquels vous souhaitez que l’espace réservé apparaisse.
- Cliquez sur Enregistrer les espaces réservés.
Déconnecter une connexion DMI
Lorsque vous désactivez DMI, nous vous recommandons de supprimer la connexion entre votre console KSAT et votre compte de client de messagerie.
Pour déconnecter DMI, suivez les étapes ci-dessous :
- Connectez-vous à votre console KSAT.
- Cliquez sur votre courriel qui s’affiche dans le coin supérieur droit de la page et sélectionnez Paramètres du compte.
- Accédez à la section Direct Message Injection (DMI) sous Hameçonnage.
- Repérez la connexion DMI que vous souhaitez supprimer, puis cliquez sur le bouton Afficher les paramètres.
Remarque :Le nom de ce bouton change en fonction du nom de votre connexion. Par exemple, si le nom de votre connexion est « DMI 1 », le nom du bouton sera celui-ci : « Afficher les paramètres de DMI 1 ».
- Cliquez sur le bouton Retirer la connexion DMI.
- Lorsque le message de confirmation apparaît, cliquez sur le bouton Confirmer.
Si vous réactivez la DMI plus tard, vous devrez accorder à nouveau l’accès à KnowBe4. Pour réactiver la DMI, suivez les instructions des sections précédentes pour votre serveur de messagerie.