Mailbox Auto Remediation comprend 13.0 AsyncOS et les versions plus récentes : Exchange sur site, Hybrid Multi-tenant et Chained Queries

Options de téléchargement

  • PDF     (637.0 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (556.0 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (345.5 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:17 février 2020
ID du document:214976

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Cet article couvre les nouvelles fonctionnalités de mise à jour automatique des boîtes aux lettres (MAR) introduites pour AsyncOS 13.0 pour la sécurité de la messagerie.

      

      

    Conditions préalables

    • AsyncOS 13.0 ou version ultérieure pour ESA
    • Clés de licence pour File Reputation et File Analysis
    • Mise en oeuvre sur site de MS Office365 ou MS Exchange

      

      

    Informations générales

    MAR a été introduit dans AsyncOS 10.0 et prend uniquement en charge Office 365 Online.

    Fonctionnalités AsyncOS 13.0 et ultérieures :

    • Microsoft Exchange Online - boîte aux lettres hébergée sur Microsoft Office 365
    • Microsoft Exchange sur site - un serveur Microsoft Exchange local
    • Configuration hybride/multilocataire : combinaison de boîtes aux lettres configurées sur les déploiements Microsoft Exchange Online et Microsoft Exchange sur site

    Les étapes de la configuration initiale se trouvent dans le guide de configuration MAR d'origine pour O365, ainsi qu'un addendum pour les modifications apportées à O365 pour la version 13.0 et les versions ultérieures.

    L'article d'origine est toujours valide et couvre une explication de la fonctionnalité ainsi que les étapes de génération de certificats pour l'implémentation d'O365 Azure, les paramètres ESA et le dépannage général.

    Configuration des paramètres de boîte aux lettres Azure AD et Office 365 pour ESA

    Nouvelles modifications apportées aux autorisations de l'API côté Azure pour 13.0

    Le Guide de l'utilisateur actuel fournit des informations plus détaillées sur la fonction de résolution automatique.

    Le chapitre : Résolution automatique des messages dans les boîtes aux lettres

    Configurez plusieurs « profils de compte ».

    ESA 13.0 et versions ultérieures prennent en charge plusieurs profils de compte créés avec Exchange Online, Exchange On-Premise OU les deux :

    • Si votre entreprise comprend une configuration complexe avec des domaines séparés et résidant sur un déploiement différent
    • Si votre société absorbe une nouvelle acquisition et souhaite inclure son domaine pour utiliser la fonctionnalité MAR
      • Ensuite, la création de plusieurs profils de compte permettrait une plus grande flexibilité que les fonctionnalités ESA précédentes

    Configuration du profil Exchange Online/O365

    • La création d'un profil de compte pour O365/Azure est incluse dans les 2 liens répertoriés ci-dessus dans la section Background.

    Office 365/Hybrid (API graphique) - sélectionnez cette option pour configurer une boîte aux lettres déployée sur Exchange online et entrez les détails suivants :

    • ID client et ID locataire de l'application que vous avez enregistrée sur le portail de gestion Azure.
    • Empreinte numérique du certificat (valeur de $base64Empreinte numérique ).
    • Téléchargez la clé privée du certificat. Cliquez sur Choisir un fichier et sélectionnez le fichier .pem.

    Exemple de profil connecté à O365

    Configurer le profil Exchange sur site

    • La création d'un profil de compte pour une instance Exchange sur site est beaucoup plus simple.
    • Cette méthode nécessite un compte d'utilisateur avec ApplicationImpersonation.
    • Accédez au Centre d'administration Exchange au format suivant, remplacé par vos valeurs. https://mail.yourdomain.com/ecp/
    • Une fois connecté, accédez à Autorisations > Rôles admin > + pour ajouter un nouveau profil. Si vous disposez déjà d'un rôle, vous pouvez ajouter le compte d'utilisateur désigné aux membres.
    • Créez le nom et la description. Faites défiler jusqu'à « Rôles: + » pour ajouter le rôle. Faites défiler la page vers le bas, mettez en surbrillance « ApplicationImpersonation », Ajouter, Ok
    • Pour revenir au profil nouvellement créé, sélectionnez "Membres: +", localisez et ajoutez le compte d'utilisateur que vous avez désigné pour une utilisation sur l'ESA.
    • Validez toutes les modifications.
    • Pour obtenir des instructions plus détaillées, il faudrait effectuer des recherches côté administrateur sur les pages MS Support.
    • Connectez-vous ensuite à l'interface utilisateur Web ESA et accédez à Paramètres du compte.
    • Créer un profil de compte, Nom, Description.
    • Sélectionnez l'option déroulante « Type de profil : Exchange sur site ».
    • Renseignez le nom d'utilisateur/mot de passe et la valeur Hôte :.
    • Les paramètres acceptables pour la valeur Host : sont inclus dans l'image.
    • Soumettre et valider les modifications.

    Exemple de profil Exchange sur site

    Exemples de profils de compte MAR

    Configurer le mappage de domaine

    Le mappage de domaine est l'affectation d'un ou de plusieurs domaines à un profil de compte.

    Chaque implémentation nécessite au moins un mappage de domaine :

    1. WebUI Accédez à Administration système > Paramètres du compte > Créer un mappage de domaine.
    2. Entrez les noms de domaine séparés par des virgules (la liste complète des formats de domaine acceptables est répertoriée dans l'image 1).
    3. S'il n'y a qu'un seul profil de compte dans toute la configuration, renseignez le champ Domain Name : ALL.
    4. Un domaine ne peut être utilisé qu'une seule fois.

    Exemple de mappage de domaineImage 1. Formats de domaine acceptables

    Exemple de mappage de domaine

      

      

    Configuration des profils enchaînés

    Cette action n'est nécessaire que si vous souhaitez corriger des messages dans une boîte aux lettres sur un déploiement hybride ou multilocataire.

    Les profils doivent d'abord être ajoutés selon la priorité la plus élevée. Le profil de domaine le plus utilisé en premier.

    1. WebUI > Accédez à > Administration système > Paramètres du compte > Créer des profils enchaînés.
    2. Ajoutez le nom du profil, la description.
    3. Sélectionnez un domaine dans la liste déroulante Mar Profile :.
    4. Sélectionnez « Ajouter un profil de compte » pour ajouter un autre profil de domaine jusqu'à ce que les choix soient terminés.
    5. Soumettre et valider les modifications.

    Création de profils en chaîne.

      

      

    Vérifier chaque profil de compte

    Confirmez chaque profil de compte en cliquant sur le bouton « Test Profile » lorsque vous êtes dans un profil individuel.

    1. WebUI > Naviguer > Administration système > Paramètres du compte > Choisir l'un des profils de compte
    2. Sélectionnez le bouton inférieur gauche « Test Connection ».
    3. Renseignez le champ « Adresse e-mail : » et sélectionnez « Tester la connexion ».

    Testez chaque profil pour vérifier la connectivité

    Dépannage

    Les journaux contiennent :

    • mail_logs : action corrective finale et résumé
    • mar_logs : séquence dans laquelle la résolution a été effectuée
    • Option Test Connection dans l'interface utilisateur : utilisée pour vérifier la connectivité et l'autorisation

    De nombreuses informations peuvent être déterminées par le test d'e-mail à partir des paramètres de compte :

    Dépannage à l'aide de Test Connection

    • Aucune boîte aux lettres n'est associée à l'adresse SMTP.
      • La boîte aux lettres utilisateur en cours d'utilisation n'existe pas.
    • Accès refusé. Vérifiez les informations d'identification et réessayez.
      • L'application configurée dans Microsoft Azure ne dispose pas de l'autorisation requise pour accéder à la boîte aux lettres Office 365.
    • L'application avec l'identificateur « <client_id> » est introuvable dans le répertoire <tenant_id>.
      • L'ID client de la page Paramètres du profil de compte n'est pas valide.
    • Aucun espace de noms de service nommé '<tenant_id>' n'a été trouvé dans le magasin de données.
      • L'ID de locataire de la page Paramètres du profil de compte est incorrect.
    • Erreur de validation des informations d'identification. La validation des informations d'identification a échoué.
      • L'empreinte numérique du certificat sur la page Profil de compte est incorrecte.
      • Le type de profil utilisé pour accéder à la boîte aux lettres est peut-être incorrect. Par exemple, l'accès à une boîte aux lettres locale à l'aide d'un profil Office 365.
      • Les autorisations requises pour accéder à la boîte aux lettres sont peut-être manquantes.
    • Nom d'utilisateur ou mot de passe non valide entré pour le serveur Exchange.
      • Le nom d'utilisateur et le mot de passe du compte Impersonator saisis dans le profil ne sont pas valides.
    • Le compte n'est pas autorisé à emprunter l'identité de l'utilisateur demandé.
      • Les privilèges de rôle d'imitateur ne sont pas attribués au compte d'utilisateur configuré dans le profil.
    • Vérifiez que l'hôte <hostname> est une adresse de serveur Exchange valide.
      • Le nom d'hôte du serveur Exchange local entré dans le profil n'est pas valide.
    • Impossible d'accéder à la boîte aux lettres à l'aide de ce profil ou les autorisations requises sont peut-être manquantes.
      • Un type de profil incorrect est utilisé pour accéder à une boîte aux lettres valide. Exemple d'accès à une boîte aux lettres locale à l'aide d'un profil o365.

    Exemple de correction réussie pour un profil unique :

    Fri Aug 30 11:57:30 2019 Info: Process ready for Mailbox Remediation
    Fri Aug 30 12:29:54 2019 Info: MID: 782107 Attempting to remediate using `azure-rtptac` profile for recipient testuser@rtprocks.com. Attempt number : 1
    Fri Aug 30 12:29:54 2019 Info: MID: 782107 Trying to perform the forward and delete action on Office 365 or Hybrid exchange for SHA256: 
    1e6f324 982d4eb71ad967e79261a6435aef928b57bc523dbb3e7de4ed65941ab recipient's (testuser@rtprocks.com) mailbox.
    Fri Aug 30 12:29:58 2019 Info: MID: 782107 Message forwarded successfully to admin_mar@rtprocks.com.
    Fri Aug 30 12:29:58 2019 Info: MID: 782107 Message deleted successfully from testuser@rtprocks.com mailbox.
    Fri Aug 30 12:29:58 2019 Info: MID: 782107 Remediation succeeded with `azure-rtptac` profile for recipient testuser@rtprocks.com.

    Exemple de correction réussie pour un profil enchaîné :

    Mon Oct 14 15:01:01 2019 Info: MID: 24 Attempting gto remediate using 'azurertptac' profile for recipient charella@rtptacsecondary.com . Attempt number : 1
    Mon Oct 14 15:01:01 2019 Info: MID: 24 Trying to perfrm the delete action on Office 365 or Hybrid exchange for SHA256: 1e6f324982d4eb71ad967e79261a6435aef928b57bc523dbb3e7de4ed65941ab
    recipients (charella@rtptacsecondary.com) mailbox
    Mon Oct 14 15:01:09 2019 Info: MID: 24 Unable to read message(s) from the recipient's (charella@rtptacsecondary.com ) mailbox. Error: The mailbox cannot be accessed using this profile or the required
    permissions may be missing
    Mon Oct 14 15:01:09 2019 Info: MID: 24 Attempting to remediate using 'exchange-mar-2' profile for recipient charella@rtptacsecondary.com . Attempt number : 1
    Mon Oct 14 15:01:09 2019 Info: MID: 24 Trying to perform the delete action on On Premise Exchange for SHA256: 1e6f324982d4eb71ad967e79261a6435aef928b57bc523dbb3e7de4ed65941ab 
    recipient's (charella@rtptacsecondary.com) mailbox.
    Mon Oct 14 15:01:16 2019 Info: MID: 24 Message deleted successfully from charella@rtptacsecondary.com mailbox.
    Mon Oct 14 15:01:16 2019 Info: MID: 24 Remediation succeeded with 'exchange-mar-2' profile for recipient charella@rtptacsecondary.com. Not trying further profile.

    Informations connexes

    Historique de révision

    Révision Date de publication Commentaires
    1.0
    17-Feb-2020
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Chris Arellano
      Assistance technique Cisco

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits