Recevoir chaque jour une avalanche d’appels automatiques sur un numéro Teams peut rapidement gripper la productivité ; heureusement, Microsoft 365 fournit désormais tous les leviers pour filtrer drastiquement ces appels non vérifiés tout en préservant la collaboration interne.
Vue d’ensemble de la problématique
Le passage à la téléphonie intégrée dans Microsoft Teams a déplacé les anciens fléaux de la téléphonie classique : robots, numéros usurpés, télécopies fantômes, voire attaques de type « wangiri ». L’utilisateur final passe davantage de temps à refuser qu’à collaborer, malgré le blocage manuel de centaines de numéros. La clé consiste à combiner :
- Les nouvelles protections natives de Teams Phone (filtrage de spam, signalements, IA).
- Une politique d’appel resserrée pour les comptes exposés.
- Le filtrage en périphérie réseau (opérateur, Session Border Controller).
- Un routage intelligent (standard automatique, files d’attente).
Pré‑requis : mettre à jour l’environnement Teams
La parade commence par un tenant à jour : la fonction Filtrer les appels suspects (généralisation avril 2025) est automatiquement activée sur les nouvelles organisations, mais les environnements plus anciens nécessitent :
- Mise à jour des clients : version de bureau, mobile et web.
- Mise à jour des politiques vocales et du module Teams PowerShell (
Install-Module -Name MicrosoftTeams> v6.2.0 pour exposer les nouveaux paramètres). - Audit des licences : Teams Phone Standard ou E5 assure l’accès complet aux API de filtrage.
Paramètres utilisateur pour filtrer les appels entrants
Activer le filtrage intégré contre le spam
Dans Paramètres ► Confidentialité, cochez Filtrer les appels suspects. Toute communication marquée comme probable spam arrive alors sous un bandeau orange ; l’utilisateur peut l’ignorer ou la signaler.
Bloquer les appels anonymes
Toujours dans Confidentialité, activez Bloquer les appels sans ID d’appelant. Les correspondants qui masquent volontairement leur identifiant reçoivent un rejet automatique avec un invitant à rappeler depuis un numéro vérifié.
Liste de contacts bloqués
Les appels non filtrés peuvent être rejetés depuis l’historique (••• ► Bloquer). Cette liste locale reste néanmoins un appoint : si l’usurpation de numéro change continuellement, misez plutôt sur des règles administratives globales.
Politiques d’appel dédiées côté administrateur
Le centre d’administration Teams (« TAC ») permet d’appliquer des règles cohérentes à grande échelle, sans dépendre de chaque utilisateur. Créez une politique d’appel dédiée aux comptes à protéger, puis attribuez‑la à un groupe ou directement aux utilisateurs.
| Paramètre | Valeur recommandée | Effet pratique |
|---|---|---|
| Autoriser les appels entrants anonymes | Non | Rejette les numéros sans présentation du CLI. |
| Autoriser les utilisateurs externes | Désactivé ou Limité | Bloque tout appel direct venant d’un domaine hors liste. |
| Filtrage des appels suspects | Activé | Applique la notation anti‑spam Microsoft aux numéros entrants. |
| Liste d’autorisation | Numéros/Domains critiques | Maintient les exceptions (hôpitaux, partenaires SIP). |
Création express en PowerShell
New-CsTeamsCallingPolicy -Identity "Blocage_Externe" `
-AllowAnonymousInboundCall $false `
-AllowPrivateCalling $false `
-SpamFilteringType strict
Grant-CsTeamsCallingPolicy -PolicyName "Blocage\_Externe" -Group "FrontOffice" Astuce : via -Group, la politique se mettra à jour dès qu’un nouvel utilisateur rejoint le groupe Azure AD ; aucune action manuelle supplémentaire n’est requise.
Listes d’autorisation et d’exclusion
Pour ne pas couper un prestataire légitime qui masque son numéro, ajoutez‑le dans la section « Allow list » de la même politique. Les règles sont évaluées dans l’ordre : un numéro figurant à la fois dans la deny list globale et dans la allow list spécifique sera autorisé.
Exploiter l’infrastructure téléphonique et le réseau
STIR/SHAKEN et notation de confiance
Depuis 2024, la plupart des opérateurs SIP européens et nord‑américains signent les appels sortants au format STIR/SHAKEN. Teams lit désormais cette signature et attribue un score ; tout appel sans signature ou avec une signature de niveau C peut être rétrogradé au niveau du client ou bloqué directement au SBC. Demandez à votre opérateur d’activer :
- Le Verstat Tag pour matérialiser la vérification dans l’INVITE SIP.
- L’en‑tête Identity complet afin que Teams puisse valider la chaîne d’autorité.
Filtrage sur le Session Border Controller (SBC)
Si vous utilisez Direct Routing ou Operator Connect Accelerator, votre SBC constitue le premier pare‑feu vocal. Configurez :
- Blocage des appels sans signature STIR/SHAKEN.
- Quota d’appels vers le même numéro en un laps de temps (mitigation des rafales).
- Rétroaction automatique vers un service d’API de réputation pour affiner le score (crowd‑sourcing).
Routage conditionnel et expérience utilisateur
Standard automatique et file d’attente
Faire transiter le numéro direct dans un Standard automatique constitue un filtre naturel : 90 % des robots restent bloqués au premier menu DTMF. Les appels authentiques, eux, composeront l’extension ou choisiront une option. Pour fluidifier l’expérience interne, créez une option « Diapasonner l’extension XYZ » réservée aux utilisateurs authentifiés.
Diffusion des numéros et hygiène numérique
Limiter l’exposition du numéro personnel baisse drastiquement les collectes automatisées :
- Supprimez le numéro direct des signatures mail visibles sur le Web.
- Publiez plutôt le numéro du standard ou un formulaire de rappel.
- Désactivez la publication automatique du numéro dans l’annuaire global externe.
Automatiser la détection et l’apprentissage
Chaque clic sur Signaler un spam nourrit les modèles IA de Microsoft. Pour accélérer l’apprentissage :
- Formez les utilisateurs : un appel suspect doit être signalé, pas seulement ignoré.
- Centralisez les tickets : coupler un webhook Teams à un canal #Spam‑Voice pour analyser les tendances.
- Exportez les journaux (
Get-CsOnlineUserCallInfo) afin de croiser le nombre d’appels bloqués vs signalés.
Étude de cas : d’un flux de spam à moins d’un appel par semaine
Une PME de 250 postes subissait 18 appels parasites quotidiens sur le standard. La recette appliquée :
- Mise à jour tenant + activation du filtrage strict.
- Création d’une politique d’appel « FrontDesk » appliquée aux hôtesses.
- Mise en place d’un SBC AudioCodes avec rejet des appels non signés.
- Standard automatique avec message vocal dynamique.
Résultat après quatre semaines : 96 % d’appels malveillants rejetés avant le poste utilisateur ; seuls deux faux positifs, résolus via la allow list.
FAQ courantes
- Le blocage empêche‑t‑il les visioconférences externes ? Non. Les réunions Teams reposent sur un flux SIP différent ; le filtrage cible les appels PSTN.
- Que faire si un numéro critique est faussement bloqué ? Ajoutez‑le à la allow list et ouvrez un ticket support pour affiner la règle.
- Peut‑on filtrer par pays ? Oui : via le SBC ou une politique de routage, rejetez toute origine hors plage E.164 autorisée.
- Les numéros courts (15xx) des hôpitaux sont‑ils impactés ? S’ils masquent l’ID, placez‑les dans la liste d’autorisation.
Conclusion
Le double enjeu de la téléphonie moderne est d’offrir une disponibilité maximale aux correspondants légitimes tout en coupant le flux croissant d’appels indésirables. En combinant le filtrage natif de Teams, une politique d’appel rigoureuse, les signatures STIR/SHAKEN et un routage intelligent vers des standards automatiques, il est aujourd’hui possible d’abaisser la nuisance vocale à un niveau quasi nul, sans sacrifier la réactivité interne. Les services IT disposent, enfin, d’une boîte à outils complète pour endiguer durablement le spam téléphonique.