Microsoft Defender for Office 365で安全な添付ファイル ポリシーを設定する
ヒント
Microsoft Defender for Office 365プラン2の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 「Microsoft Defender for Office 365を試す」で、誰がサインアップして試用版の条件を利用できるかについて説明します。
重要
この記事は、Microsoft Defender for Office 365 をご利用の法人のお客様を対象としています。 Outlook で添付ファイルのスキャンに関する情報を探しているホーム ユーザーの場合は、「 高度な Outlook.com セキュリティ」を参照してください。
Microsoft Defender for Office 365を持つ組織では、安全な添付ファイルは、メッセージ内のマルウェアに対する保護の追加レイヤーです。 Exchange Online Protection (EOP) のマルウェア対策保護によってメッセージの添付ファイルがスキャンされた後、安全な添付ファイルは、メッセージが受信者に配信される前に何が起こるか (爆発と呼ばれるプロセス) を確認するために仮想環境でファイルを開きます。 詳細については、「Microsoft Defender for Office 365の安全な添付ファイル」を参照してください。
既定の安全な添付ファイル ポリシーはありませんが、 組み込みの保護 プリセット セキュリティ ポリシーでは、既定ですべての受信者に安全な添付ファイル保護が提供されます。 Standardまたは厳密な事前設定されたセキュリティ ポリシーまたはカスタムの安全な添付ファイル ポリシーで指定された受信者は影響を受けません。 詳しくは、「EOP と Microsoft Defender for Office 365 の事前設定されたセキュリティ ポリシー」を参照してください。
細分性を高めるために、この記事の手順を使用して、特定のユーザー、グループ、またはドメインに適用される安全な添付ファイル ポリシーを作成することもできます。
安全な添付ファイル ポリシーは、Microsoft Defender ポータルまたは powerShell Exchange Onlineで構成します。
注:
[安全な添付ファイルの設定] のグローバル設定では、安全な添付ファイル ポリシーに依存しない機能を構成します。 手順については、「Microsoft 365 E5で SharePoint、OneDrive、Microsoft Teamsおよび安全なドキュメントの安全な添付ファイルを有効にする」を参照してください。
はじめに把握しておくべき情報
「https://security.microsoft.com」で Microsoft Defender ポータルを開きます。 [安全な添付ファイル] ページに直接移動するには、https://security.microsoft.com/safeattachmentv2 を使用します。
Exchange Online PowerShell へ接続するには、「Exchange Online PowerShell に接続する」を参照してください。
この記事の手順を実行する前に、アクセス許可を割り当てる必要があります。 以下のオプションがあります。
Microsoft Defender XDR統合ロールベースのアクセス制御 (RBAC) (コラボレーションがEmail &場合>Defender for Office 365アクセス許可はアクティブです。Defender ポータルにのみ影響します。PowerShell ではなく、承認と設定/セキュリティ設定/コア セキュリティ設定 (管理) または承認と設定/セキュリティ設定/コア セキュリティ設定 (読み取り))。
Microsoft Defender ポータルでコラボレーションのアクセス許可とExchange Onlineアクセス許可をEmail &します。
- ポリシーの作成、変更、削除: Exchange Onlineアクセス許可の組織管理役割グループのEmail &コラボレーションのアクセス許可とメンバーシップの組織管理またはセキュリティ管理者の役割グループのメンバーシップ。
-
ポリシーへの読み取り専用アクセス: 次のいずれかのロール グループのメンバーシップ。
- Email &コラボレーションアクセス許可のグローバル閲覧者またはセキュリティ閲覧者。
- Exchange Onlineアクセス許可の表示専用組織管理。
Microsoft Entraアクセス許可: グローバル管理者*、セキュリティ管理者、グローバル 閲覧者、またはセキュリティ 閲覧者ロールのメンバーシップは、ユーザーに Microsoft 365 の他の機能に必要なアクセス許可とアクセス許可をユーザーに付与します。
重要
* Microsoft では、アクセス許可が最も少ないロールを使用することをお勧めします。 アクセス許可の低いアカウントを使用すると、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急時に限定する必要があります。
安全な添付ファイル ポリシーの推奨設定については、「 安全な添付ファイルの設定」を参照してください。
ヒント
カスタムの安全な添付ファイルポリシーの組み込み保護または設定の例外は、受信者がStandardまたは厳密な事前設定されたセキュリティ ポリシーにも含まれている場合は無視されます。 詳細については、「メール保護の順序と優先順位」を参照してください。
新しいポリシーまたは更新されたポリシーを適用するには、最大 30 分かかります。
ライセンス要件の詳細については、「 ライセンス条項」を参照してください。
Microsoft Defender ポータルを使用して安全な添付ファイル ポリシーを作成する
https://security.microsoft.comのMicrosoft Defender ポータルで、[ポリシー] セクションの Email & [コラボレーション>ポリシー & ルール>安全な添付ファイル>] に移動します。または、[安全な添付ファイル] ページに直接移動するには、https://security.microsoft.com/safeattachmentv2を使用します。
[ 安全な添付ファイル] ページで、[ 作成 ] を選択して、新しい添付ファイルの安全なポリシー ウィザードを開始します。
[ポリシーの名前を設定する] ページで、以下の設定を構成します。
- [名前]: わかりやすい一意のポリシー名を入力します。
- [説明]: ポリシーについての説明を入力します (オプション)。
[ ポリシーに名前 を付けます] ページが完了したら、[ 次へ] を選択します。
[ ユーザーとドメイン ] ページで、ポリシーが適用される内部受信者 (受信者の条件) を特定します。
- ユーザー: 指定されたメールボックス、メール ユーザー、またはメール連絡先。
-
グループ:
- 指定した配布グループまたはメールが有効なセキュリティ グループのメンバー (動的配布グループはサポートされていません)。
- 指定した Microsoft 365 グループ。
- ドメイン: 指定された承認済みドメイン内のプライマリ メール アドレスを持つorganization内のすべての受信者。
適正なボックスをクリックし、値の入力を開始し、結果で希望する値を選択します。 必要な回数だけこの処理を繰り返します。 既存の値を削除するには、値の横にある [ ] を選択します。
ユーザーやグループには、ほとんどの識別子 (名前、表示名、エイリアス、メールアドレス、アカウント名など) を使用できますが、対応する表示名が結果に表示されます。 ユーザーの場合、アスタリスク (*) を単独で入力すると、使用可能なすべての値が表示されます。
条件は 1 回だけ使用できますが、条件には複数の値を含めることができます。
同じ条件の複数の値が OR ロジック (たとえば、<recipient1> または <recipient2>) を使用します。 受信者が指定した値 のいずれかに 一致する場合、ポリシーが適用されます。
さまざまな 種類の条件で AND ロジックが使用されます。 受信者は、ポリシーを適用するために、指定 されたすべての 条件に一致する必要があります。 たとえば、次の値を使用して条件を構成します。
- ユーザー:
romain@contoso.com
- グループ: エグゼクティブ
ポリシーは、
romain@contoso.com
エグゼクティブ グループのメンバーでもある場合に適用されます。 それ以外の場合、ポリシーは適用されません。- ユーザー:
これらのユーザー、グループ、およびドメインを除外する: ポリシーが適用される内部の受信者に関する例外 (受信者の例外) を追加するには、このオプションを選択して例外を構成します。
例外は 1 回だけ使用できますが、例外には複数の値を含めることができます。
- 同じ例外の複数の値は、OR ロジック (たとえば、<recipient1> または <recipient2>) を使用します。 受信者が指定した値 のいずれかに 一致する場合、ポリシーは適用されません。
- 異なる種類の例外では、OR ロジック (たとえば、<recipient1>または group1 の<メンバー> domain1 の<メンバー) が使用されます>。 受信者が指定した例外値 のいずれかに 一致する場合、ポリシーは適用されません。
[ ユーザーとドメイン ] ページが完了したら、[ 次へ] を選択します。
[ 設定] ページで、次の設定を構成します。
安全な添付ファイルの不明なマルウェアの応答: 次のいずれかの値を選択します。
- オフ
- モニター
- ブロック: これは既定値であり、Standardおよび厳密な事前設定されたセキュリティ ポリシーで推奨される値です。
- 動的配信 (プレビュー メッセージ)
これらの値については、「 添付ファイルの安全なポリシー設定」を参照してください。
検疫ポリシー: 安全な添付ファイル (ブロック または 動的配信) によって検疫されるメッセージに適用される検疫ポリシーを選択します。 検疫ポリシーは、検疫されたメッセージに対してユーザーが実行できる操作と、ユーザーが検疫通知を受け取るかどうかを定義します。 詳細については、「 検疫ポリシーの構造」を参照してください。
既定では、AdminOnlyAccessPolicy という名前の検疫ポリシーは、安全な添付ファイル ポリシーによるマルウェア検出に使用されます。 この検疫ポリシーの詳細については、「検疫ポリシー の構造」を参照してください。
注:
検疫通知は、AdminOnlyAccessPolicy という名前のポリシーで無効になります。 安全な添付ファイルによってマルウェアとして検疫されたメッセージがある受信者に通知するには、検疫通知が有効になっている既存の検疫ポリシーを作成または使用します。 手順については、「Microsoft Defender ポータルで検疫ポリシーを作成する」を参照してください。
検疫ポリシーの構成方法に関係なく、安全な添付ファイル ポリシーによってマルウェアとして検疫された独自のメッセージをユーザーが解放することはできません。 ポリシーでユーザーが独自の検疫済みメッセージを解放できる場合、ユーザーは代わりに検疫されたマルウェア メッセージのリリースを 要求 できます。
検出された添付ファイルを含むメッセージをリダイレクトする: [リダイレクトを有効にする] を選択した場合は、[ 監視対象の添付ファイルを含むメッセージを指定したメール アドレスに送信 する] ボックスにメール アドレスを指定して、分析と調査のためにマルウェアの添付ファイルを含むメッセージを送信できます。
注:
リダイレクトは、[ 監視 ] アクションでのみ使用できます。 詳細については、「 MC424899」を参照してください。
[設定] ページが終了したら、[次へ] を選択します。
[ レビュー ] ページで、設定を確認します。 各セクションで [編集] を選択して、そのセクション内の設定を変更することができます。 または、ウィザードで [ 戻る ] または特定のページを選択できます。
[レビュー] ページが完了したら、[送信] を選択します。
[ 新しい安全な添付ファイルポリシーの作成 ] ページで、リンクを選択してポリシーを表示したり、安全な添付ファイルポリシーを表示したり、安全な添付ファイルポリシーの詳細を確認したりできます。
[新しい安全な添付ファイルポリシーの作成] ページが完了したら、[完了] を選択します。
[ 安全な添付ファイル] ページに戻ると、新しいポリシーが一覧表示されます。
Microsoft Defender ポータルを使用して安全な添付ファイル ポリシーの詳細を表示する
https://security.microsoft.comのMicrosoft Defender ポータルで、[ポリシー] セクションの Email & [コラボレーション>ポリシー & ルール>安全な添付ファイル>] に移動します。 [安全な添付ファイル] ページに直接移動するには、https://security.microsoft.com/safeattachmentv2 を使用します。
[ 安全な添付ファイル] ページで、ポリシーの一覧に次のプロパティが表示されます。
- 名前
- 状態: 値は [オン] または [オフ] です。
- 優先度: 詳細については、「 添付ファイルの安全なポリシーの優先順位を設定する」セクションを 参照してください。
ポリシーの一覧を標準間隔からコンパクト間隔に変更するには、[ リストの間隔をコンパクトまたは標準に変更する] を選択し、[ Compact list] を選択します。
[ 検索 ] ボックスと対応する値を使用して、特定の添付ファイルの安全なポリシーを見つけます。
Export を使用して、ポリシーの一覧を CSV ファイルにエクスポートします。
レポートの表示を使用して、脅威保護の状態レポートを開きます。
名前の横にある [チェック] ボックス以外の行の任意の場所をクリックしてポリシーを選択し、ポリシーの詳細ポップアップを開きます。
ヒント
詳細ポップアップを残さずに他の安全な添付ファイル ポリシーの詳細を表示するには、ポップアップの上部にある Previous 項目 と 次の項目 を使用します。
Microsoft Defender ポータルを使用して、安全な添付ファイル ポリシーに対するアクションを実行する
https://security.microsoft.comのMicrosoft Defender ポータルで、[ポリシー] セクションの Email & [コラボレーション>ポリシー & ルール>安全な添付ファイル>] に移動します。 [安全な添付ファイル] ページに直接移動するには、https://security.microsoft.com/safeattachmentv2 を使用します。
[ 安全な添付ファイル] ページで、次のいずれかの方法を使用して [安全な添付ファイル] ポリシーを選択します。
名前の横にある [チェック] ボックスを選択して、一覧からポリシーを選択します。 表示される [ その他のアクション ] ドロップダウン リストでは、次のアクションを使用できます。
- 選択したポリシーを有効にします。
- 選択したポリシーを無効にします。
- 選択したポリシーを削除します。
名前の横にある [チェック] ボックス以外の行の任意の場所をクリックして、一覧からポリシーを選択します。 次の一部またはすべてのアクションは、開く詳細ポップアップで使用できます。
- 各セクションで [編集 ] をクリックしてポリシー設定を変更する (カスタム ポリシーまたは既定のポリシー)
- オン または 無効にする (カスタム ポリシーのみ)
- 優先度または Decrease の優先度を上げる (カスタム ポリシーのみ)
- ポリシーの削除 (カスタム ポリシーのみ)
アクションについては、次のサブセクションで説明します。
Microsoft Defender ポータルを使用してカスタムの安全な添付ファイル ポリシーを変更する
名前の横にある [チェック] ボックス以外の行の任意の場所をクリックして、カスタムの安全な添付ファイル ポリシーを選択すると、開いた詳細ポップアップにポリシー設定が表示されます。 セクション内の設定を変更するには、各セクションで [編集] を選択します。 設定の詳細については、この記事の「 安全な添付ファイルポリシーの作成 」セクションを参照してください。
ポリシーの詳細ポップアップで、事前設定されたセキュリティ ポリシーに関連付けられている Standardプリセット セキュリティ ポリシー、厳密な事前設定されたセキュリティ ポリシー、または組み込み保護 (Microsoft) という名前の安全な添付ファイル ポリシーを変更することはできません。 代わりに、詳細ポップアップで [事前設定されたセキュリティ ポリシーを表示する] を選択して、https://security.microsoft.com/presetSecurityPoliciesの [事前設定されたセキュリティ ポリシー] ページに移動して、事前設定されたセキュリティ ポリシーを変更します。
Microsoft Defender ポータルを使用して、カスタムの安全な添付ファイル ポリシーを有効または無効にする
事前設定されたセキュリティ ポリシー、厳密な事前設定されたセキュリティ ポリシー、または組み込み保護 (Microsoft) という名前 Standardの安全な添付ファイル ポリシーは、ここで有効または無効にすることはできません。 https://security.microsoft.com/presetSecurityPoliciesの [事前設定されたセキュリティ ポリシー] ページで、事前設定されたセキュリティ ポリシーを有効または無効にします。
有効なカスタムの添付ファイルの安全なポリシー ( [状態] の値が [オン]) を選択した後、次のいずれかの方法を使用して無効にします。
- [安全な添付ファイル] ページで、[ その他のアクション>選択したポリシーを無効にする] を選択します。
- ポリシーの詳細ポップアップで、[ポップアップの上部にある [無効にする] を選択します。
無効になっているカスタムの添付ファイルの安全なポリシー ( [状態] の値が [オフ]) を選択した後、次のいずれかの方法を使用して有効にします。
- [安全な添付ファイル] ページで、[ その他のアクション>選択したポリシーを有効にする] を選択します。
- ポリシーの詳細ポップアップで、[ポップアップの上部にある [オン] を選択します。
[安全な添付ファイル] ページで、ポリシーの [状態] の値が [オン] または [オフ] になりました。
Microsoft Defender ポータルを使用して、カスタムの安全な添付ファイル ポリシーの優先順位を設定する
安全な添付ファイル ポリシーは、[ 安全な添付ファイル] ページに表示される順序で処理されます。
- 厳密な事前設定されたセキュリティ ポリシーに関連付けられている Strict Preset セキュリティ ポリシーという名前の安全な添付ファイル ポリシーは、常に最初に適用されます (厳密な事前設定されたセキュリティ ポリシーが有効になっている場合)。
- Standardの事前設定されたセキュリティ ポリシーに関連付けられている Standard プリセット セキュリティ ポリシーという名前の安全な添付ファイル ポリシーは、常に次に適用されます (Standardの事前設定されたセキュリティ ポリシーが有効になっている場合)。
- カスタムの安全な添付ファイル ポリシーは、次に優先順位で適用されます (有効になっている場合)。
- 優先度が低い値は、優先度が高いことを示します (0 が最も高い)。
- 既定では、既存のカスタム ポリシーの中で最も低い優先度 (最初は 0、次は 1 など) よりも低い優先順位で新しいポリシーが作成されます。
- 同じ優先度の値を持つポリシーは 2 つありません。
- 組み込み保護に関連付けられている組み込み保護 (Microsoft) という名前の安全な添付ファイル ポリシーには、常に優先度の [最低] の値があり、変更することはできません。
安全な添付ファイル保護は、最初のポリシー (その受信者の優先度が最も高いポリシー) が適用された後、受信者に対して停止します。 詳細については、「メール保護の順序と優先順位」を参照してください。
名前の横にある [チェック] ボックス以外の行の任意の場所をクリックして、カスタムの添付ファイルの安全なポリシーを選択した後、表示される詳細ポップアップでポリシーの優先順位を増減できます。
- [安全な添付ファイル] ページの [優先度] 値が 0 のカスタム ポリシーには、詳細ポップアップの上部に Decrease 優先度アクションがあります。
- 優先度が最も低いカスタム ポリシー ( 優先度 が最も高い値 ( 3 など) には、詳細ポップアップの上部に Increase priority アクションがあります。
- 3 つ以上のポリシーがある場合、 優先度 0 と最も低い優先度の間のポリシーには、詳細ポップアップの上部にある Increase 優先度 と Decrease 優先度 アクションの両方があります。
ポリシーの詳細ポップアップが完了したら、[ 閉じる] を選択します。
[ 安全な添付ファイル] ページに戻ると、リスト内のポリシーの順序が更新された [優先度 ] の値と一致します。
Microsoft Defender ポータルを使用してカスタムの安全な添付ファイル ポリシーを削除する
事前設定されたセキュリティ ポリシー、厳密な事前設定されたセキュリティ ポリシー、または事前設定されたセキュリティ ポリシーに関連付けられている組み込み保護 (Microsoft) Standardという名前の安全な添付ファイル ポリシーを削除することはできません。
カスタムの安全な添付ファイル ポリシーを選択した後、次のいずれかの方法を使用して削除します。
- [安全な添付ファイル] ページで、[ その他のアクション>選択したポリシーを削除します。
- ポリシーの詳細ポップアップで:ポップアップの上部にある [ 削除ポリシー ] を選択します。
開いた警告ダイアログで [ はい ] を選択します。
[安全な添付ファイル] ページに戻ると、削除されたポリシーは一覧に表示されなくなります。
PowerShell Exchange Online使用して安全な添付ファイル ポリシーを構成する
PowerShell では、安全な添付ファイル ポリシーの基本的な要素は次のとおりです。
- 安全な添付ファイル ポリシー: 不明なマルウェア検出のアクション、指定したメール アドレスにマルウェアの添付ファイルを含むメッセージを送信するかどうか、および安全な添付ファイルのスキャンが完了できない場合にメッセージを配信するかどうかを指定します。
- 安全な添付ファイル規則: 優先度フィルターと受信者フィルター (ポリシーが適用されるユーザー) を指定します。
Microsoft Defender ポータルで安全な添付ファイル ポリシーを管理する場合、これら 2 つの要素の違いは明らかではありません。
- Defender ポータルで安全な添付ファイル ポリシーを作成する場合、実際には、両方に同じ名前を使用して、安全な添付ファイルルールと関連付けられている安全な添付ファイル ポリシーを同時に作成します。
- Defender ポータルで安全な添付ファイル ポリシーを変更すると、名前、優先度、有効または無効、および受信者フィルターに関連する設定によって、安全な添付ファイルルールが変更されます。 その他のすべての設定は、関連付けられている安全な添付ファイル ポリシーを変更します。
- Defender ポータルから安全な添付ファイル ポリシーを削除すると、安全な添付ファイルルールと関連付けられている安全な添付ファイル ポリシーが削除されます。
PowerShell では、安全な添付ファイル ポリシーと安全な添付ファイルルールの違いが明らかです。 安全な添付ファイル ポリシーの管理には *-SafeAttachmentPolicy コマンドレットを使用し、安全な添付ファイル ルールの管理には *-SafeAttachmentRule コマンドレットを使用します。
- PowerShell では、最初に安全な添付ファイル ポリシーを作成してから、安全な添付ファイル ルールを作成します。これにより、ルールが適用される関連付けられているポリシーが識別されます。
- PowerShell では、安全な添付ファイル ポリシーと安全な添付ファイル ルールの設定は別々に変更します。
- PowerShell から安全な添付ファイル ポリシーを削除しても、対応する安全な添付ファイル ルールは自動で削除されず、逆もまた同様です。
PowerShell を使用して安全な添付ファイル ポリシーを作成する
PowerShell で安全な添付ファイル ポリシーを作成する手順には、2 つのステップがあります。
- 安全な添付ファイル ポリシーを作成する。
- 規則が適用される安全な添付ファイル ポリシーを指定する安全な添付ファイルルールを作成します。
注:
新しい安全な添付ファイル ルールを作成し、関連付けられていない既存の安全な添付ファイル ポリシーをそれに割り当てることができます。 安全な添付ファイル ルールを複数の安全な添付ファイル ポリシーに関連付けることはできません。
ポリシーを作成するまで、Microsoft Defender ポータルで使用できない PowerShell の新しい安全な添付ファイル ポリシーに対して、次の設定を構成できます。
-
New-SafeAttachmentRule コマンドレットで、無効 (有効
$false
) として新しいポリシーを作成します。 - New-SafeAttachmentRule コマンドレットで、作成時のポリシーの優先度 (Priority<Number>) を設定します。
-
New-SafeAttachmentRule コマンドレットで、無効 (有効
PowerShell で作成した新しい安全な添付ファイル ポリシーは、安全な添付ファイルルールにポリシーを割り当てるまで、Microsoft Defender ポータルに表示されません。
手順 1: PowerShell を使用して安全な添付ファイル ポリシーを作成する
安全な添付ファイル ポリシーを作成するには、次の構文を使用します。
New-SafeAttachmentPolicy -Name "<PolicyName>" -Enable $true [-AdminDisplayName "<Comments>"] [-Action <Allow | Block | DynamicDelivery>] [-Redirect <$true | $false>] [-RedirectAddress <SMTPEmailAddress>] [-QuarantineTag <QuarantinePolicyName>]
この例では、Contoso All という名前の安全な添付ファイル ポリシーを次の値で作成します。
- セーフ ドキュメント スキャンによってマルウェアが含まれていることが検出されたメッセージをブロックします ( Action パラメーターは使用せず、既定値は
Block
)。 - 検疫タグ パラメーターを使用していないため、既定の検疫ポリシー (AdminOnlyAccessPolicy) が使用されます。
New-SafeAttachmentPolicy -Name "Contoso All" -Enable $true
構文とパラメーターの詳細については、「 New-SafeAttachmentPolicy」を参照してください。
ヒント
安全な添付ファイル ポリシーで使用する検疫ポリシーを指定する詳細な手順については、「 PowerShell を使用して安全な添付ファイル ポリシーで検疫ポリシーを指定する」を参照してください。
手順 2: PowerShell を使用して安全な添付ファイル規則を作成する
安全な添付ファイルルールを作成するには、次の構文を使用します。
New-SafeAttachmentRule -Name "<RuleName>" -SafeAttachmentPolicy "<PolicyName>" <Recipient filters> [<Recipient filter exceptions>] [-Comments "<OptionalComments>"] [-Enabled <$true | $false>]
この例では、Contoso All という名前の安全な添付ファイル 規則を次の条件で作成します。
- このルールは、Contoso All という名前の安全な添付ファイル ポリシーに関連付けられています。
- contoso.com ドメイン内の受信者にルールを適用する。
- Priority パラメーターを使用していないため、既定の優先度が使用されます。
- ルールが有効になっています ( Enabled パラメーターは使用せず、既定値は
$true
)。
New-SafeAttachmentRule -Name "Contoso All" -SafeAttachmentPolicy "Contoso All" -RecipientDomainIs contoso.com
構文とパラメーターの詳細については、「 New-SafeAttachmentRule」を参照してください。
PowerShell を使用して安全な添付ファイル ポリシーを表示する
既存の安全な添付ファイル ポリシーを表示するには、次の構文を使用します。
Get-SafeAttachmentPolicy [-Identity "<PolicyIdentity>"] [| <Format-Table | Format-List> <Property1,Property2,...>]
次の使用例は、すべての安全な添付ファイル ポリシーの概要リストを返します。
Get-SafeAttachmentPolicy
この例では、Contoso Executives という名前の安全な添付ファイル ポリシーの詳細情報を返します。
Get-SafeAttachmentPolicy -Identity "Contoso Executives" | Format-List
構文とパラメーターの詳細については、「 Get-SafeAttachmentPolicy」を参照してください。
PowerShell を使用して安全な添付ファイルルールを表示する
既存の安全な添付ファイルルールを表示するには、次の構文を使用します。
Get-SafeAttachmentRule [-Identity "<RuleIdentity>"] [-State <Enabled | Disabled>] [| <Format-Table | Format-List> <Property1,Property2,...>]
次の使用例は、すべての安全な添付ファイルルールの概要リストを返します。
Get-SafeAttachmentRule
ルールを有効または無効にしてリストをフィルター処理するには、次のコマンドを実行します。
Get-SafeAttachmentRule -State Disabled
Get-SafeAttachmentRule -State Enabled
次の使用例は、Contoso Executives という名前の安全な添付ファイル ルールの詳細情報を返します。
Get-SafeAttachmentRule -Identity "Contoso Executives" | Format-List
構文とパラメーターの詳細については、「 Get-SafeAttachmentRule」を参照してください。
PowerShell を使用して安全な添付ファイル ポリシーを変更する
PowerShell で安全な添付ファイル ポリシーの名前を変更することはできません ( Set-SafeAttachmentPolicy コマンドレットに Name パラメーターがありません)。 Microsoft Defender ポータルで安全な添付ファイル ポリシーの名前を変更する場合は、安全な添付ファイルルールの名前のみを変更します。
それ以外の場合は、この記事の「 手順 1: PowerShell を使用して安全な添付ファイル ポリシーを作成する」セクションで説明されているように、安全な添付ファイル ポリシーを作成 するときに同じ設定を使用できます。
安全な添付ファイル ポリシーを変更するには、次の構文を使用します。
Set-SafeAttachmentPolicy -Identity "<PolicyName>" <Settings>
構文とパラメーターの詳細については、「 Set-SafeAttachmentPolicy」を参照してください。
ヒント
安全な添付ファイル ポリシーで使用する検疫ポリシーを指定する詳細な手順については、「 PowerShell を使用して安全な添付ファイル ポリシーで検疫ポリシーを指定する」を参照してください。
PowerShell を使用して安全な添付ファイルルールを変更する
PowerShell で安全な添付ファイル規則を変更するときに使用できない唯一の設定は、無効なルールを作成できる Enabled パラメーターです。 既存の安全な添付ファイルルールを有効または無効にするには、次のセクションを参照してください。
それ以外の場合は、この記事の「 手順 2: PowerShell を使用して安全な添付ファイルルールを作成する 」セクションで説明されているように、ルールを作成するときに同じ設定を使用できます。
安全な添付ファイルルールを変更するには、次の構文を使用します。
Set-SafeAttachmentRule -Identity "<RuleName>" <Settings>
構文とパラメーターの詳細については、「 Set-SafeAttachmentRule」を参照してください。
PowerShell を使用して安全な添付ファイル規則を有効または無効にする
PowerShell で安全な添付ファイル規則を有効または無効にすると、安全な添付ファイル ポリシー (安全な添付ファイルルールと割り当てられた安全な添付ファイル ポリシー) 全体が有効または無効になります。
PowerShell で安全な添付ファイル規則を有効または無効にするには、次の構文を使用します。
<Enable-SafeAttachmentRule | Disable-SafeAttachmentRule> -Identity "<RuleName>"
次の使用例は、Marketing Department という名前の安全な添付ファイル規則を無効にします。
Disable-SafeAttachmentRule -Identity "Marketing Department"
この例では、同じルールを有効化します。
Enable-SafeAttachmentRule -Identity "Marketing Department"
構文とパラメーターの詳細については、「 Enable-SafeAttachmentRule 」および「 Disable-SafeAttachmentRule」を参照してください。
PowerShell を使用して安全な添付ファイル ルールの優先度を設定する
ルールに設定できる優先度の最高値値は 0 です。 設定できる最低値はルールの数に依存します。 たとえば、ルールが五つある場合、使用できる優先度の値は 0 から 4 です。 既存の一つのルールの優先度を変更すると、他のルールにも連鎖的な影響が起こりえます。 たとえば、カスタム ルールが 5 つあって (優先度 0 から 4)、1 つのルールの優先度を 2 に変更した場合には、既存の優先度 2 のルールは優先度 3 に変更され、優先度 3 は優先度 4 に変更されます。
PowerShell で安全な添付ファイル ルールの優先度を設定するには、次の構文を使用します。
Set-SafeAttachmentRule -Identity "<RuleName>" -Priority <Number>
この例では、Marketing Department というルールの優先度を 2 に設定しています。 2 と同等またはそれ以下の優先度を持つすべての既存のルールは、優先度が 1 低くなります (優先度番号は 1 ずつ上がります)。
Set-SafeAttachmentRule -Identity "Marketing Department" -Priority 2
注: 新しいルールを作成するときに優先順位を設定するには、代わりに New-SafeAttachmentRule コマンドレットの Priority パラメーターを使用します。
構文とパラメーターの詳細については、「 Set-SafeAttachmentRule」を参照してください。
PowerShell を使用して安全な添付ファイル ポリシーを削除する
PowerShell を使用して安全な添付ファイル ポリシーを削除する場合、対応する安全な添付ファイルルールは削除されません。
PowerShell で安全な添付ファイル ポリシーを削除するには、次の構文を使用します。
Remove-SafeAttachmentPolicy -Identity "<PolicyName>"
この例では、Marketing Department という名前の安全な添付ファイル ポリシーを削除します。
Remove-SafeAttachmentPolicy -Identity "Marketing Department"
構文とパラメーターの詳細については、「 Remove-SafeAttachmentPolicy」を参照してください。
PowerShell を使用して安全な添付ファイル規則を削除する
PowerShell を使用して安全な添付ファイル規則を削除する場合、対応する安全な添付ファイル ポリシーは削除されません。
PowerShell で安全な添付ファイル規則を削除するには、次の構文を使用します。
Remove-SafeAttachmentRule -Identity "<PolicyName>"
次の使用例は、Marketing Department という名前の安全な添付ファイル規則を削除します。
Remove-SafeAttachmentRule -Identity "Marketing Department"
構文とパラメーターの詳細については、「 Remove-SafeAttachmentRule」を参照してください。
正常な動作を確認する方法
安全な添付ファイル ポリシーが正常に作成、変更、または削除されたことを確認するには、次のいずれかの手順を実行します。
https://security.microsoft.com/safeattachmentv2のMicrosoft Defender ポータルの [安全な添付ファイル] ページで、ポリシーの一覧、状態の値、および優先度の値を確認します。 詳細を表示するには、名前をクリックして一覧からポリシーを選択し、ポップアップで詳細を表示します。
PowerShell Exchange Onlineで、<Name> をポリシーまたはルールの名前に置き換え、次のコマンドを実行して、設定を確認します。
Get-SafeAttachmentPolicy -Identity "<Name>" | Format-List
Get-SafeAttachmentRule -Identity "<Name>" | Format-List
安全な添付ファイルがメッセージをスキャンしていることを確認するには、使用可能なDefender for Office 365 レポートをチェックします。 詳細については、「Defender for Office 365のレポートを表示する」と「Microsoft Defender ポータルでエクスプローラーを使用する」を参照してください。