Zalecane ustawienia zabezpieczeń EOP i Ochrona usługi Office 365 w usłudze Microsoft Defender
Porada
Czy wiesz, że możesz bezpłatnie wypróbować funkcje w planie Ochrona usługi Office 365 w usłudze Microsoft Defender 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami wersji próbnej w witrynie Try Ochrona usługi Office 365 w usłudze Microsoft Defender.
Exchange Online Protection (EOP) jest podstawą zabezpieczeń subskrypcji platformy Microsoft 365 i pomaga zapobiegać docieraniu złośliwych wiadomości e-mail do skrzynek odbiorczych pracownika. Jednak w przypadku nowych, bardziej zaawansowanych ataków pojawiających się każdego dnia często wymagane są ulepszone zabezpieczenia. Ochrona usługi Office 365 w usłudze Microsoft Defender plan 1 lub plan 2 zawierają dodatkowe funkcje, które zapewniają więcej warstw zabezpieczeń, kontroli i badania.
Mimo że umożliwiamy administratorom zabezpieczeń dostosowywanie ich ustawień zabezpieczeń, zalecamy stosowanie dwóch poziomów zabezpieczeń w ramach EOP i Ochrona usługi Office 365 w usłudze Microsoft Defender: Standardowa i Ścisła. Mimo że środowiska i potrzeby klientów są różne, te poziomy filtrowania pomagają zapobiegać docieraniu niechcianej poczty do skrzynki odbiorczej pracowników w większości sytuacji.
Aby automatycznie zastosować ustawienia standardowe lub ścisłe do użytkowników, zobacz Wstępnie ustawione zasady zabezpieczeń w usłudze EOP i Ochrona usługi Office 365 w usłudze Microsoft Defender.
W tym artykule opisano ustawienia domyślne, a także zalecane ustawienia standardowe i ścisłe, które ułatwiają ochronę użytkowników. Tabele zawierają ustawienia w portalu Microsoft Defender i programie PowerShell (Exchange Online programu PowerShell lub autonomicznej Exchange Online Protection programu PowerShell dla organizacji bez Exchange Online skrzynek pocztowych).
Uwaga
Moduł Office 365 Advanced Threat Protection Recommended Configuration Analyzer (ORCA) dla programu PowerShell może pomóc administratorom w znalezieniu bieżących wartości tych ustawień. W szczególności polecenie cmdlet Get-ORCAReport generuje ocenę ochrony przed spamem, ochrony przed wyłudzaniem informacji i innych ustawień higieny wiadomości. Moduł ORCA można pobrać pod adresem https://www.powershellgallery.com/packages/ORCA/.
W organizacjach platformy Microsoft 365 zalecamy pozostawienie filtru junk Email w programie Outlook na wartość Brak automatycznego filtrowania, aby zapobiec niepotrzebnym konfliktom (zarówno pozytywnym, jak i negatywnym) z werdyktami filtrowania spamu z EOP. Aby uzyskać więcej informacji, zapoznaj się z następującymi artykułami:
Ochrona przed spamem, ochroną przed złośliwym oprogramowaniem i ochroną przed wyłudzaniem informacji w ramach EOP
Ochrona przed spamem, ochrona przed złośliwym oprogramowaniem i ochrona przed wyłudzaniem informacji to funkcje EOP, które mogą być konfigurowane przez administratorów. Zalecamy następujące konfiguracje standardowe lub ścisłe.
Ustawienia zasad ochrony przed złośliwym oprogramowaniem EOP
Aby utworzyć i skonfigurować zasady ochrony przed złośliwym oprogramowaniem, zobacz Konfigurowanie zasad ochrony przed złośliwym oprogramowaniem w ramach EOP.
Zasady kwarantanny określają, co użytkownicy mogą zrobić w przypadku komunikatów poddanych kwarantannie oraz czy użytkownicy otrzymują powiadomienia o kwarantannie. Aby uzyskać więcej informacji, zobacz Anatomia zasad kwarantanny.
Zasady o nazwie AdminOnlyAccessPolicy wymuszają historyczne możliwości komunikatów, które zostały poddane kwarantannie jako złośliwe oprogramowanie, zgodnie z opisem w tabeli tutaj.
Użytkownicy nie mogą wydawać własnych komunikatów, które zostały poddane kwarantannie jako złośliwe oprogramowanie, niezależnie od sposobu konfigurowania zasad kwarantanny. Jeśli zasady zezwalają użytkownikom na wydawanie własnych komunikatów objętych kwarantanną, zamiast tego użytkownicy mogą zażądać wydania komunikatów o złośliwym oprogramowaniu poddanych kwarantannie.
| Nazwa funkcji zabezpieczeń | Domyślne | Standardowy | Surowy | Komentowanie |
|---|---|---|---|---|
| Ustawienia ochrony | ||||
| Włącz wspólny filtr załączników (EnableFileFilter) | Wybrane ($true)* |
Wybrane ($true) |
Wybrane ($true) |
Aby uzyskać listę typów plików w typowym filtrze załączników, zobacz Common attachments filter in anti-malware policies (Filtr typowych załączników w zasadach ochrony przed złośliwym oprogramowaniem). * Typowy filtr załączników jest domyślnie włączony w nowych zasadach ochrony przed złośliwym oprogramowaniem tworzonych w portalu usługi Defender lub w programie PowerShell oraz w domyślnych zasadach ochrony przed złośliwym oprogramowaniem w organizacjach utworzonych po 1 grudnia 2023 r. |
| Typowe powiadomienia filtru załączników: po znalezieniu tych typów plików (FileTypeAction) |
Odrzuć komunikat z raportem o braku dostarczenia (NDR) (Reject) |
Odrzuć komunikat z raportem o braku dostarczenia (NDR) (Reject) |
Odrzuć komunikat z raportem o braku dostarczenia (NDR) (Reject) |
|
| Włączanie automatycznego przeczyszczania o wartości zero godzin dla złośliwego oprogramowania (ZapEnabled) | Wybrane ($true) |
Wybrane ($true) |
Wybrane ($true) |
|
| Zasady kwarantanny (QuarantineTag) | AdminOnlyAccessPolicy | AdminOnlyAccessPolicy | AdminOnlyAccessPolicy | |
| powiadomienia Administracja | ||||
| Powiadamianie administratora o niedostarczonych komunikatach od nadawców wewnętrznych (EnableInternalSenderAdminNotifications i InternalSenderAdminAddress) | Nie zaznaczono ($false) |
Nie zaznaczono ($false) |
Nie zaznaczono ($false) |
Nie mamy żadnych konkretnych zaleceń dotyczących tego ustawienia. |
| Powiadamianie administratora o niedostarczonych komunikatach od nadawców zewnętrznych (EnableExternalSenderAdminNotifications i ExternalSenderAdminAddress) | Nie zaznaczono ($false) |
Nie zaznaczono ($false) |
Nie zaznaczono ($false) |
Nie mamy żadnych konkretnych zaleceń dotyczących tego ustawienia. |
| Dostosowywanie powiadomień | Nie mamy żadnych konkretnych zaleceń dotyczących tych ustawień. | |||
| Używanie dostosowanego tekstu powiadomień (CustomNotifications) | Nie zaznaczono ($false) |
Nie zaznaczono ($false) |
Nie zaznaczono ($false) |
|
| Od nazwy (CustomFromName) | Pusty | Pusty | Pusty | |
| Z adresu (CustomFromAddress) | Pusty | Pusty | Pusty | |
| Dostosowywanie powiadomień dotyczących komunikatów od nadawców wewnętrznych | Te ustawienia są używane tylko wtedy, gdy zostanie wybrana opcja Powiadom administratora o niedostarczonych komunikatach od nadawców wewnętrznych . | |||
| Temat (CustomInternalSubject) | Pusty | Pusty | Pusty | |
| Komunikat (CustomInternalBody) | Pusty | Pusty | Pusty | |
| Dostosowywanie powiadomień dotyczących komunikatów od nadawców zewnętrznych | Te ustawienia są używane tylko wtedy, gdy zostanie wybrana opcja Powiadom administratora o niedostarczonych komunikatach od nadawców zewnętrznych . | |||
| Temat (CustomExternalSubject) | Pusty | Pusty | Pusty | |
| Message (CustomExternalBody) | Pusty | Pusty | Pusty |
Ustawienia zasad ochrony przed spamem w usłudze EOP
Aby utworzyć i skonfigurować zasady ochrony przed spamem, zobacz Konfigurowanie zasad ochrony przed spamem w usłudze EOP.
Wszędzie tam, gdzie wybrano komunikat kwarantanny jako akcję werdyktu filtru spamu, dostępne jest pole Wyboru zasad kwarantanny . Zasady kwarantanny określają, co użytkownicy mogą zrobić w przypadku komunikatów poddanych kwarantannie oraz czy użytkownicy otrzymują powiadomienia o kwarantannie. Aby uzyskać więcej informacji, zobacz Anatomia zasad kwarantanny.
Jeśli podczas tworzenia zasad ochrony przed spamem w portalu usługi Defender zmienisz akcję werdyktu filtrowania spamu na wiadomość kwarantanny , pole Wybierz zasady kwarantanny będzie domyślnie puste. Pusta wartość oznacza, że są używane domyślne zasady kwarantanny dla tego werdyktu filtrowania spamu. Te domyślne zasady kwarantanny wymuszają historyczne możliwości werdyktu filtru spamu, który poddał wiadomość kwarantannie zgodnie z opisem w tabeli tutaj. Podczas późniejszego wyświetlania lub edytowania ustawień zasad ochrony przed spamem wyświetlana jest nazwa zasad kwarantanny.
Administratorzy mogą tworzyć lub używać zasad kwarantanny z bardziej restrykcyjnymi lub mniej restrykcyjnymi możliwościami. Aby uzyskać instrukcje, zobacz Tworzenie zasad kwarantanny w portalu Microsoft Defender.
| Nazwa funkcji zabezpieczeń | Domyślne | Standardowy | Surowy | Komentowanie |
|---|---|---|---|---|
| Próg zbiorczej poczty e-mail & właściwości spamu | ||||
| Próg zbiorczej poczty e-mail (BulkThreshold) | 7 | 6 | 5 | Aby uzyskać szczegółowe informacje, zobacz Poziom skarg zbiorczych (BCL) w EOP. |
| Zbiorcze spamowanie wiadomości e-mail (MarkAsSpamBulkMail) | (On) |
(On) |
(On) |
To ustawienie jest dostępne tylko w programie PowerShell. |
| Zwiększanie ustawień oceny spamu | Wszystkie te ustawienia są częścią zaawansowanego filtru spamu (ASF). Aby uzyskać więcej informacji, zobacz sekcję Ustawienia asf w zasadach ochrony przed spamem w tym artykule. | |||
| Oznacz jako ustawienia spamu | Większość z tych ustawień jest częścią usługi ASF. Aby uzyskać więcej informacji, zobacz sekcję Ustawienia asf w zasadach ochrony przed spamem w tym artykule. | |||
| Zawiera określone języki (EnableLanguageBlockList i LanguageBlockList) |
Wyłączone ($false i puste) |
Wyłączone ($false i puste) |
Wyłączone ($false i puste) |
Nie mamy żadnych konkretnych zaleceń dotyczących tego ustawienia. Komunikaty można blokować w określonych językach w zależności od potrzeb biznesowych. |
| Z tych krajów (EnableRegionBlockList i RegionBlockList) |
Wyłączone ($false i puste) |
Wyłączone ($false i puste) |
Wyłączone ($false i puste) |
Nie mamy żadnych konkretnych zaleceń dotyczących tego ustawienia. Komunikaty z określonych krajów/regionów można blokować w zależności od potrzeb biznesowych. |
| Tryb testu (TestModeAction) | Brak | Brak | Brak | To ustawienie jest częścią usługi ASF. Aby uzyskać więcej informacji, zobacz sekcję Ustawienia asf w zasadach ochrony przed spamem w tym artykule. |
| Akcje | ||||
| Akcja wykrywania spamu (SpamAction) |
Przenoszenie wiadomości do folderu Email-śmieci (MoveToJmf) |
Przenoszenie wiadomości do folderu Email-śmieci (MoveToJmf) |
Komunikat kwarantanny (Quarantine) |
|
| Zasady kwarantanny dla spamu (SpamQuarantineTag) | DefaultFullAccessPolicy¹ | DefaultFullAccessPolicy | DefaultFullAccessWithNotificationPolicy | Zasady kwarantanny mają znaczenie tylko wtedy, gdy wykrywanie spamu jest poddawane kwarantannie. |
| Akcja wykrywania spamu o wysokim poziomie ufności (HighConfidenceSpamAction) |
Przenoszenie wiadomości do folderu Email-śmieci (MoveToJmf) |
Komunikat kwarantanny (Quarantine) |
Komunikat kwarantanny (Quarantine) |
|
| Zasady kwarantanny dla spamu o wysokim poziomie zaufania (HighConfidenceSpamQuarantineTag) | DefaultFullAccessPolicy¹ | DefaultFullAccessWithNotificationPolicy | DefaultFullAccessWithNotificationPolicy | Zasady kwarantanny mają znaczenie tylko wtedy, gdy wykrywanie spamu o wysokim poziomie ufności jest poddawane kwarantannie. |
| Akcja wykrywania wyłudzania informacji (PhishSpamAction) |
Przenoszenie wiadomości do folderu Email-śmieci (MoveToJmf)* |
Komunikat kwarantanny (Quarantine) |
Komunikat kwarantanny (Quarantine) |
*Wartość domyślna to Przenieś wiadomość do folderu Email wiadomości-śmieci w domyślnych zasadach ochrony przed spamem oraz w nowych zasadach ochrony przed spamem utworzonych w programie PowerShell. Wartość domyślna to Komunikat kwarantanny w nowych zasadach ochrony przed spamem tworzonych w portalu usługi Defender. |
| Zasady kwarantanny dotyczące wyłudzania informacji (PhishQuarantineTag) | DefaultFullAccessPolicy¹ | DefaultFullAccessWithNotificationPolicy | DefaultFullAccessWithNotificationPolicy | Zasady kwarantanny mają znaczenie tylko wtedy, gdy wykrywanie wyłudzania informacji jest poddawane kwarantannie. |
| Akcja wykrywania wyłudzania informacji o wysokim poziomie zaufania (HighConfidencePhishAction) |
Komunikat kwarantanny (Quarantine) |
Komunikat kwarantanny (Quarantine) |
Komunikat kwarantanny (Quarantine) |
Użytkownicy nie mogą wydawać własnych komunikatów, które zostały poddane kwarantannie jako wyłudzanie informacji o wysokim poziomie zaufania, niezależnie od sposobu konfigurowania zasad kwarantanny. Jeśli zasady zezwalają użytkownikom na wydawanie własnych komunikatów objętych kwarantanną, użytkownicy mogą zamiast tego zażądać wydania wiadomości wyłudzających informacje o wysokim poziomie zaufania w kwarantannie. |
| Zasady kwarantanny dotyczące wyłudzania informacji o wysokim poziomie zaufania (HighConfidencePhishQuarantineTag) | AdminOnlyAccessPolicy | AdminOnlyAccessPolicy | AdminOnlyAccessPolicy | |
| Osiągnięto lub przekroczono poziom zgodności zbiorczej (BCL) (BulkSpamAction) |
Przenoszenie wiadomości do folderu Email-śmieci (MoveToJmf) |
Przenoszenie wiadomości do folderu Email-śmieci (MoveToJmf) |
Komunikat kwarantanny (Quarantine) |
|
| Zasady kwarantanny dla poziomu zgodności zbiorczej (BCL) zostały spełnione lub przekroczone (BulkQuarantineTag) | DefaultFullAccessPolicy¹ | DefaultFullAccessPolicy | DefaultFullAccessWithNotificationPolicy | Zasady kwarantanny mają znaczenie tylko wtedy, gdy wykrywanie zbiorcze jest poddawane kwarantannie. |
| Komunikaty wewnątrz organizacji do podjęcia akcji na (IntraOrgFilterState) | Domyślne (domyślne) | Domyślne (domyślne) | Domyślne (domyślne) | Wartość Domyślna jest taka sama jak w przypadku wybierania komunikatów wyłudzających informacje o wysokim poziomie ufności. Obecnie w organizacjach rządowych STANÓW Zjednoczonych (Microsoft 365 GCC, GCC High i DoD) wartość Domyślna jest taka sama jak w przypadku wybrania pozycji Brak. |
| Zachowaj spam w kwarantannie przez tyle dni (QuarantineRetentionPeriod) | 15 dni | 30 dni | 30 dni | Ta wartość ma również wpływ na komunikaty poddane kwarantannie przez zasady ochrony przed wyłudzaniem informacji. Aby uzyskać więcej informacji, zobacz Przechowywanie kwarantanny. |
| Włącz wskazówki dotyczące bezpieczeństwa spamu (InlineSafetyTipsEnabled) | Wybrane ($true) |
Wybrane ($true) |
Wybrane ($true) |
|
| Włączanie automatycznego przeczyszczania o zerowej godzinie (ZAP) dla wiadomości wyłudzających informacje (PhishZapEnabled) | Wybrane ($true) |
Wybrane ($true) |
Wybrane ($true) |
|
| Włączanie zap dla wiadomości spamu (SpamZapEnabled) | Wybrane ($true) |
Wybrane ($true) |
Wybrane ($true) |
|
| Zezwalaj na listę zablokowanych & | ||||
| Dozwoloni nadawcy (AllowedSenders) | Brak | Brak | Brak | |
| Dozwolone domeny nadawców (AllowedSenderDomains) | Brak | Brak | Brak | Dodawanie domen do listy dozwolonych domen jest bardzo złym pomysłem. Osoby atakujące będą mogły wysłać Ci wiadomość e-mail, która w przeciwnym razie zostałaby odfiltrowana. Skorzystaj ze szczegółowych informacji wywiadowczych na temat fałszowania i listy dozwolonych/zablokowanych dzierżaw , aby przejrzeć wszystkich nadawców, którzy podszywają się pod adresy e-mail nadawcy w domenach poczty e-mail organizacji lub podszywają się pod adresy e-mail nadawcy w domenach zewnętrznych. |
| Zablokowani nadawcy (BlockedSenders) | Brak | Brak | Brak | |
| Zablokowane domeny nadawcy (BlockedSenderDomains) | Brak | Brak | Brak |
¹ Zgodnie z opisem w temacie Pełne uprawnienia dostępu i powiadomienia o kwarantannie organizacja może używać funkcji NotificationEnabledPolicy zamiast DefaultFullAccessPolicy w domyślnych zasadach zabezpieczeń lub w nowych niestandardowych zasadach zabezpieczeń, które tworzysz. Jedyną różnicą między tymi dwoma zasadami kwarantanny jest włączenie powiadomień kwarantanny w obszarze NotificationEnabledPolicy i wyłączenie w obszarze DefaultFullAccessPolicy.
Ustawienia usługi ASF w zasadach ochrony przed spamem
Aby uzyskać więcej informacji na temat ustawień zaawansowanego filtru spamu (ASF) w zasadach ochrony przed spamem, zobacz Ustawienia zaawansowanego filtru spamu (ASF) w usłudze EOP.
| Nazwa funkcji zabezpieczeń | Domyślne | Zalecane Standardowy |
Zalecane Surowy |
Komentowanie |
|---|---|---|---|---|
| Linki obrazów do lokacji zdalnych (IncreaseScoreWithImageLinks) | Wyłączony | Wyłączony | Wyłączony | |
| Numeryczny adres IP w adresie URL (IncreaseScoreWithNumericIps) | Wyłączony | Wyłączony | Wyłączony | |
| Przekierowanie adresu URL do innego portu (IncreaseScoreWithRedirectToOtherPort) | Wyłączony | Wyłączony | Wyłączony | |
| Linki do witryn .biz lub .info (IncreaseScoreWithBizOrInfoUrls) | Wyłączony | Wyłączony | Wyłączony | |
| Puste komunikaty (MarkAsSpamEmptyMessages) | Wyłączony | Wyłączony | Wyłączony | |
| Osadzanie tagów w języku HTML (MarkAsSpamEmbedTagsInHtml) | Wyłączony | Wyłączony | Wyłączony | |
| JavaScript lub VBScript w języku HTML (MarkAsSpamJavaScriptInHtml) | Wyłączony | Wyłączony | Wyłączony | |
| Tagi formularzy w języku HTML (MarkAsSpamFormTagsInHtml) | Wyłączony | Wyłączony | Wyłączony | |
| Tagi ramki lub ramki w języku HTML (MarkAsSpamFramesInHtml) | Wyłączony | Wyłączony | Wyłączony | |
| Usterki internetowe w języku HTML (MarkAsSpamWebBugsInHtml) | Wyłączony | Wyłączony | Wyłączony | |
| Tagi obiektów w języku HTML (MarkAsSpamObjectTagsInHtml) | Wyłączony | Wyłączony | Wyłączony | |
| Wyrazy poufne (MarkAsSpamSensitiveWordList) | Wyłączony | Wyłączony | Wyłączony | |
| Rekord SPF: twardy błąd (MarkAsSpamSpfRecordHardFail) | Wyłączony | Wyłączony | Wyłączony | |
| Filtrowanie identyfikatora nadawcy nie powiodło się (MarkAsSpamFromAddressAuthFail) | Wyłączony | Wyłączony | Wyłączony | |
| Backscatter (MarkAsSpamNdrBackscatter) | Wyłączony | Wyłączony | Wyłączony | |
| Tryb testu (TestModeAction) | Brak | Brak | Brak | W przypadku ustawień asf, które obsługują akcję Testuj jako akcję, możesz skonfigurować akcję trybu testowego na wartość Brak, Dodaj domyślny tekst X-Header lub Wyślij komunikat Bcc (None, AddXHeaderlub BccMessage). Aby uzyskać więcej informacji, zobacz Włączanie, wyłączanie lub testowanie ustawień asf. |
Uwaga
Usługa ASF dodaje X-CustomSpam: pola nagłówka X do komunikatów po przetworzeniu wiadomości przez reguły przepływu poczty programu Exchange (nazywane również regułami transportu), dzięki czemu nie można używać reguł przepływu poczty do identyfikowania i działania na komunikatach, które zostały przefiltrowane przez usługę ASF.
Ustawienia zasad wychodzących zasad dotyczących spamu w usłudze EOP
Aby utworzyć i skonfigurować zasady wychodzącego spamu, zobacz Konfigurowanie filtrowania spamu wychodzącego w ramach EOP.
Aby uzyskać więcej informacji na temat domyślnych limitów wysyłania w usłudze, zobacz Wysyłanie limitów.
Uwaga
Zasady wychodzącego spamu nie są częścią standardowych ani rygorystycznych wstępnie ustawionych zasad zabezpieczeń. Wartości Standardowe i Ścisłe wskazują zalecane wartości w domyślnych zasadach spamu wychodzącego lub niestandardowych zasad spamu wychodzącego, które tworzysz.
| Nazwa funkcji zabezpieczeń | Domyślne | Zalecane Standardowy |
Zalecane Surowy |
Komentowanie |
|---|---|---|---|---|
| Ustawianie limitu komunikatów zewnętrznych (RecipientLimitExternalPerHour) | 0 | 500 | 400 | Wartość domyślna 0 oznacza użycie wartości domyślnych usługi. |
| Ustawianie limitu komunikatów wewnętrznych (RecipientLimitInternalPerHour) | 0 | 1000 | 800 | Wartość domyślna 0 oznacza użycie wartości domyślnych usługi. |
| Ustawianie dziennego limitu komunikatów (RecipientLimitPerDay) | 0 | 1000 | 800 | Wartość domyślna 0 oznacza użycie wartości domyślnych usługi. |
| Ograniczenie nałożone na użytkowników, którzy osiągną limit komunikatów (ActionWhenThresholdReached) |
Ogranicz użytkownikowi wysyłanie wiadomości e-mail do następnego dnia (BlockUserForToday) |
Ograniczanie użytkownikowi możliwości wysyłania wiadomości e-mail (BlockUser) |
Ograniczanie użytkownikowi możliwości wysyłania wiadomości e-mail (BlockUser) |
|
| Reguły automatycznego przekazywania (AutoForwardingMode) |
Automatyczne — sterowane przez system (Automatic) |
Automatyczne — sterowane przez system (Automatic) |
Automatyczne — sterowane przez system (Automatic) |
|
| Wyślij kopię komunikatów wychodzących, które przekraczają te limity dla tych użytkowników i grup (BccSuspiciousOutboundMail i BccSuspiciousOutboundAdditionalRecipients) | Nie zaznaczone ($false i puste) |
Nie zaznaczone ($false i puste) |
Nie zaznaczone ($false i puste) |
Nie mamy żadnych konkretnych zaleceń dotyczących tego ustawienia. To ustawienie działa tylko w domyślnych zasadach spamu wychodzącego. Nie działa to w ramach niestandardowych zasad spamu wychodzącego, które tworzysz. |
| Powiadom tych użytkowników i grupy, jeśli nadawca jest zablokowany z powodu wysyłania spamu wychodzącego (NotifyOutboundSpam i NotifyOutboundSpamRecipients) | Nie zaznaczone ($false i puste) |
Nie zaznaczone ($false i puste) |
Nie zaznaczone ($false i puste) |
Domyślne zasady alertów o nazwie Użytkownik z ograniczeniami wysyłania wiadomości e-mail wysyłają już powiadomienia e-mail do członków grupy TenantAdmins (członkowie administratora globalnego ), gdy użytkownicy są blokowani z powodu przekroczenia limitów w zasadach. Zdecydowanie zalecamy używanie zasad alertów zamiast tego ustawienia w zasadach spamu wychodzącego w celu powiadamiania administratorów i innych użytkowników. Aby uzyskać instrukcje, zobacz Weryfikowanie ustawień alertów dla użytkowników z ograniczeniami. |
Ustawienia zasad ochrony przed wyłudzaniem informacji w usłudze EOP
Aby uzyskać więcej informacji na temat tych ustawień, zobacz Spoof settings (Fałszowanie ustawień). Aby skonfigurować te ustawienia, zobacz Konfigurowanie zasad ochrony przed wyłudzaniem informacji w ramach EOP.
Ustawienia fałszowania są ze sobą powiązane, ale ustawienie Pokaż pierwszą poradę bezpieczeństwa kontaktu nie jest zależne od ustawień fałszowania.
Zasady kwarantanny określają, co użytkownicy mogą zrobić w przypadku komunikatów poddanych kwarantannie oraz czy użytkownicy otrzymują powiadomienia o kwarantannie. Aby uzyskać więcej informacji, zobacz Anatomia zasad kwarantanny.
Mimo że wartość Zastosuj zasady kwarantanny jest wyświetlana jako niezaznaczona podczas tworzenia zasad ochrony przed wyłudzaniem informacji w portalu usługi Defender, zasady kwarantanny o nazwie DefaultFullAccessPolicy¹ są używane, jeśli nie wybierzesz zasad kwarantanny. Te zasady wymuszają historyczne możliwości komunikatów, które zostały poddane kwarantannie jako fałszywe, zgodnie z opisem w tabeli tutaj. Podczas późniejszego wyświetlania lub edytowania ustawień zasad kwarantanny wyświetlana jest nazwa zasad kwarantanny.
Administratorzy mogą tworzyć lub używać zasad kwarantanny z bardziej restrykcyjnymi lub mniej restrykcyjnymi możliwościami. Aby uzyskać instrukcje, zobacz Tworzenie zasad kwarantanny w portalu Microsoft Defender.
| Nazwa funkcji zabezpieczeń | Domyślne | Standardowy | Surowy | Komentowanie |
|---|---|---|---|---|
| Ochrona & progu wyłudzania informacji | ||||
| Włączanie analizy fałszowania (EnableSpoofIntelligence) | Wybrane ($true) |
Wybrane ($true) |
Wybrane ($true) |
|
| Akcje | ||||
| Honor DMARC record policy when the message is detected as spoof (HonorDmarcPolicy) (HonorDmarcPolicy) | Wybrane ($true) |
Wybrane ($true) |
Wybrane ($true) |
Po włączeniu tego ustawienia można kontrolować, co dzieje się z komunikatami, w których nadawca nie sprawdza jawnie DMARC , gdy akcja zasad w rekordzie DMARC TXT jest ustawiona na p=quarantine wartość lub p=reject. Aby uzyskać więcej informacji, zobacz Ochrona przed fałszowaniem i zasady DMARC nadawcy. |
| Jeśli komunikat zostanie wykryty jako sfałszowany, a zasady DMARC są ustawione jako p=kwarantanna (DmarcQuarantineAction) |
Kwarantanna komunikatu (Quarantine) |
Kwarantanna komunikatu (Quarantine) |
Kwarantanna komunikatu (Quarantine) |
Ta akcja ma znaczenie tylko wtedy, gdy zasady rekordu Honor DMARC po wykryciu komunikatu jako podróbki są włączone. |
| Jeśli komunikat zostanie wykryty jako sfałszowany, a zasady DMARC są ustawione jako p=reject (DmarcRejectAction) |
Odrzuć komunikat (Reject) |
Odrzuć komunikat (Reject) |
Odrzuć komunikat (Reject) |
Ta akcja ma znaczenie tylko wtedy, gdy zasady rekordu Honor DMARC po wykryciu komunikatu jako podróbki są włączone. |
| Jeśli komunikat zostanie wykryty jako sfałszowany przez analizę fałszowania (AuthenticationFailAction) |
Przenieś wiadomość do folderów Email wiadomości-śmieci adresatów (MoveToJmf) |
Przenieś wiadomość do folderów Email wiadomości-śmieci adresatów (MoveToJmf) |
Kwarantanna komunikatu (Quarantine) |
To ustawienie dotyczy sfałszowanych nadawców, którzy zostali automatycznie zablokowani, jak pokazano w szczegółowych informacjach dotyczących fałszowania analizy lub ręcznie zablokowanych na liście dozwolonych/zablokowanych dzierżaw. Jeśli wybierzesz pozycję Kwarantanna komunikatu jako akcję dla werdyktu dotyczącego fałszowania, dostępne jest pole Zastosuj zasady kwarantanny . |
| Zasady kwarantanny dla spoof (SpoofQuarantineTag) | DefaultFullAccessPolicy¹ | DefaultFullAccessPolicy | DefaultFullAccessWithNotificationPolicy | Zasady kwarantanny mają znaczenie tylko wtedy, gdy wykrycia fałszowania są poddawane kwarantannie. |
| Pokaż pierwszą poradę bezpieczeństwa kontaktu (EnableFirstContactSafetyTips) | Nie zaznaczono ($false) |
Wybrane ($true) |
Wybrane ($true) |
Aby uzyskać więcej informacji, zobacz Porada dotycząca bezpieczeństwa pierwszego kontaktu. |
| Pokaż (?) dla nieuwierzytelnionych nadawców na potrzeby fałszowania (EnableUnauthenticatedSender) | Wybrane ($true) |
Wybrane ($true) |
Wybrane ($true) |
Dodaje znak zapytania (?) do zdjęcia nadawcy w programie Outlook dla niezidentyfikowanych sfałszowanych nadawców. Aby uzyskać więcej informacji, zobacz Nieuwierzytelnione wskaźniki nadawcy. |
| Pokaż tag "via" (EnableViaTag) | Wybrane ($true) |
Wybrane ($true) |
Wybrane ($true) |
Dodaje tag via (chris@contoso.com za pośrednictwem fabrikam.com) do adresu Od, jeśli różni się on od domeny w podpisie DKIM lub adresIE MAIL FROM . Aby uzyskać więcej informacji, zobacz Nieuwierzytelnione wskaźniki nadawcy. |
¹ Zgodnie z opisem w temacie Pełne uprawnienia dostępu i powiadomienia o kwarantannie organizacja może używać funkcji NotificationEnabledPolicy zamiast DefaultFullAccessPolicy w domyślnych zasadach zabezpieczeń lub w nowych niestandardowych zasadach zabezpieczeń, które tworzysz. Jedyną różnicą między tymi dwoma zasadami kwarantanny jest włączenie powiadomień kwarantanny w obszarze NotificationEnabledPolicy i wyłączenie w obszarze DefaultFullAccessPolicy.
zabezpieczenia Ochrona usługi Office 365 w usłudze Microsoft Defender
Dodatkowe korzyści związane z zabezpieczeniami są dostępne w ramach subskrypcji Ochrona usługi Office 365 w usłudze Microsoft Defender. Najnowsze wiadomości i informacje można znaleźć w temacie Co nowego w Ochrona usługi Office 365 w usłudze Defender.
Ważna
Domyślne zasady ochrony przed wyłudzaniem informacji w Ochrona usługi Office 365 w usłudze Microsoft Defender zapewniają ochronę przed fałszowaniem i analizę skrzynek pocztowych dla wszystkich adresatów. Jednak inne dostępne funkcje ochrony przed personifikacją i ustawienia zaawansowane nie są skonfigurowane ani włączone w zasadach domyślnych. Aby włączyć wszystkie funkcje ochrony, użyj jednej z następujących metod:
- Włącz i użyj standardowych i/lub ścisłych wstępnie ustawionych zasad zabezpieczeń i skonfiguruj tam ochronę przed personifikacją.
- Zmodyfikuj domyślne zasady ochrony przed wyłudzaniem informacji.
- Utwórz dodatkowe zasady ochrony przed wyłudzaniem informacji.
Mimo że nie ma domyślnych zasad bezpiecznych załączników ani zasad bezpiecznych łączy, wstępnie ustawione zasady zabezpieczeń wbudowanej ochrony zapewniają ochronę bezpiecznych załączników i bezpiecznych linków wszystkim adresatom, którzy nie są zdefiniowani w standardowych zasadach zabezpieczeń wstępnie ustawionych, zasadach zabezpieczeń ścisłych ustawień wstępnych lub w niestandardowych zasadach bezpiecznych załączników lub bezpiecznych łączy). Aby uzyskać więcej informacji, zobacz Preset security policies in EOP and Ochrona usługi Office 365 w usłudze Microsoft Defender (Ustawienia wstępne zasad zabezpieczeń w usłudze EOP i Ochrona usługi Office 365 w usłudze Microsoft Defender).
Bezpieczne załączniki do ochrony programu SharePoint, usługi OneDrive i usługi Microsoft Teams oraz ochrony bezpiecznych dokumentów nie są zależne od zasad bezpiecznych linków.
Jeśli Twoja subskrypcja obejmuje Ochrona usługi Office 365 w usłudze Microsoft Defender lub jeśli zakupiono Ochrona usługi Office 365 w usłudze Defender jako dodatek, ustaw następujące konfiguracje standardowe lub ścisłe.
Ustawienia zasad ochrony przed wyłudzaniem informacji w Ochrona usługi Office 365 w usłudze Microsoft Defender
Klienci EOP uzyskują podstawową ochronę przed wyłudzaniem informacji zgodnie z wcześniejszym opisem, ale Ochrona usługi Office 365 w usłudze Defender zawiera więcej funkcji i kontroli, aby pomóc w zapobieganiu atakom, wykrywaniu i korygowaniu ich. Aby utworzyć i skonfigurować te zasady, zobacz Konfigurowanie zasad ochrony przed wyłudzaniem informacji w Ochrona usługi Office 365 w usłudze Defender.
Zaawansowane ustawienia zasad ochrony przed wyłudzaniem informacji w Ochrona usługi Office 365 w usłudze Microsoft Defender
Aby uzyskać więcej informacji na temat tego ustawienia, zobacz Zaawansowane progi wyłudzania informacji w zasadach ochrony przed wyłudzaniem informacji w Ochrona usługi Office 365 w usłudze Microsoft Defender. Aby skonfigurować to ustawienie, zobacz Konfigurowanie zasad ochrony przed wyłudzaniem informacji w Ochrona usługi Office 365 w usłudze Defender.
| Nazwa funkcji zabezpieczeń | Domyślne | Standardowy | Surowy | Komentowanie |
|---|---|---|---|---|
| Próg wiadomości e-mail wyłudzającej informacje (PhishThresholdLevel) |
1 — Standardowa (1) |
3 — Bardziej agresywne (3) |
4 — Najbardziej agresywne (4) |
Ustawienia personifikacji w zasadach ochrony przed wyłudzaniem informacji w Ochrona usługi Office 365 w usłudze Microsoft Defender
Aby uzyskać więcej informacji na temat tych ustawień, zobacz Temat Impersonation settings in anti-phishing policies in Ochrona usługi Office 365 w usłudze Microsoft Defender (Ustawienia personifikacji w zasadach ochrony przed wyłudzaniem informacji w Ochrona usługi Office 365 w usłudze Microsoft Defender). Aby skonfigurować te ustawienia, zobacz Konfigurowanie zasad ochrony przed wyłudzaniem informacji w Ochrona usługi Office 365 w usłudze Defender.
Wszędzie tam, gdzie wybierzesz pozycję Kwarantanna komunikatu jako akcję werdyktu personifikacji, dostępne jest pole Zastosuj zasady kwarantanny . Zasady kwarantanny określają, co użytkownicy mogą zrobić w przypadku komunikatów poddanych kwarantannie oraz czy użytkownicy otrzymują powiadomienia o kwarantannie. Aby uzyskać więcej informacji, zobacz Anatomia zasad kwarantanny.
Mimo że wartość Zastosuj zasady kwarantanny jest wyświetlana jako niezaznaczona podczas tworzenia zasad ochrony przed wyłudzaniem informacji w portalu usługi Defender, zasady kwarantanny o nazwie DefaultFullAccessPolicy są używane, jeśli nie wybierzesz zasad kwarantanny. Te zasady wymuszają historyczne możliwości komunikatów, które zostały poddane kwarantannie jako personifikacja zgodnie z opisem w tabeli tutaj. Podczas późniejszego wyświetlania lub edytowania ustawień zasad kwarantanny wyświetlana jest nazwa zasad kwarantanny.
Administratorzy mogą tworzyć lub używać zasad kwarantanny z bardziej restrykcyjnymi lub mniej restrykcyjnymi możliwościami. Aby uzyskać instrukcje, zobacz Tworzenie zasad kwarantanny w portalu Microsoft Defender.
| Nazwa funkcji zabezpieczeń | Domyślne | Standardowy | Surowy | Komentowanie |
|---|---|---|---|---|
| Ochrona & progu wyłudzania informacji | ||||
| Ochrona przed personifikacją użytkowników: umożliwia użytkownikom ochronę (EnableTargetedUserProtection i TargetedUsersToProtect) | Nie zaznaczono ($false i brak) |
Wybrane ($true i <lista użytkowników>) |
Wybrane ($true i <lista użytkowników>) |
Zalecamy dodanie użytkowników (nadawców komunikatów) do kluczowych ról. Wewnętrznie chronionymi nadawcami mogą być Dyrektor Generalny, Dyrektor Finansowy i inni starsi liderzy. Zewnętrznie chronieni nadawcy mogą obejmować członków rady lub zarząd. |
| Ochrona przed personifikacją domeny: włączanie ochrony domen | Nie zaznaczono | Wybrany | Wybrany | |
| Dołącz domeny, których jestem właścicielem (EnableOrganizationDomainsProtection) | Wyłączone ($false) |
Wybrane ($true) |
Wybrane ($true) |
|
| Uwzględnij domeny niestandardowe (EnableTargetedDomainsProtection i TargetedDomainsToProtect) | Wyłączone ($false i żadne) |
Wybrane ($true i <lista domen>) |
Wybrane ($true i <lista domen>) |
Zalecamy dodanie domen (domen nadawcy), których nie jesteś właścicielem, ale często wchodzisz w interakcje. |
| Dodawanie zaufanych nadawców i domen (ExcludedSenders i ExcludedDomains) | Brak | Brak | Brak | W zależności od organizacji zalecamy dodanie nadawców lub domen, które są niepoprawnie identyfikowane jako próby personifikacji. |
| Włączanie analizy skrzynki pocztowej (EnableMailboxIntelligence) | Wybrane ($true) |
Wybrane ($true) |
Wybrane ($true) |
|
| Włączanie analizy na potrzeby ochrony przed personifikacją (EnableMailboxIntelligenceProtection) | Wyłączone ($false) |
Wybrane ($true) |
Wybrane ($true) |
To ustawienie umożliwia określoną akcję wykrywania personifikacji za pomocą analizy skrzynki pocztowej. |
| Akcje | ||||
| Jeśli komunikat zostanie wykryty jako personifikacja użytkownika (TargetedUserProtectionAction) |
Nie stosuj żadnej akcji (NoAction) |
Kwarantanna komunikatu (Quarantine) |
Kwarantanna komunikatu (Quarantine) |
|
| Zasady kwarantanny dotyczące personifikacji użytkowników (TargetedUserQuarantineTag) | DefaultFullAccessPolicy¹ | DefaultFullAccessWithNotificationPolicy | DefaultFullAccessWithNotificationPolicy | Zasady kwarantanny mają znaczenie tylko wtedy, gdy wykrywanie personifikacji użytkowników jest poddawane kwarantannie. |
| Jeśli komunikat zostanie wykryty jako personifikacja domeny (TargetedDomainProtectionAction) |
Nie stosuj żadnej akcji (NoAction) |
Kwarantanna komunikatu (Quarantine) |
Kwarantanna komunikatu (Quarantine) |
|
| Zasady kwarantanny dotyczące personifikacji domeny (TargetedDomainQuarantineTag) | DefaultFullAccessPolicy¹ | DefaultFullAccessWithNotificationPolicy | DefaultFullAccessWithNotificationPolicy | Zasady kwarantanny mają znaczenie tylko wtedy, gdy wykrywanie personifikacji domeny jest poddawane kwarantannie. |
| Jeśli analiza skrzynki pocztowej wykryje personifikowanego użytkownika (MailboxIntelligenceProtectionAction) |
Nie stosuj żadnej akcji (NoAction) |
Przenieś wiadomość do folderów Email wiadomości-śmieci adresatów (MoveToJmf) |
Kwarantanna komunikatu (Quarantine) |
|
| Zasady kwarantanny dotyczące personifikacji analizy skrzynki pocztowej (MailboxIntelligenceQuarantineTag) | DefaultFullAccessPolicy¹ | DefaultFullAccessPolicy | DefaultFullAccessWithNotificationPolicy | Zasady kwarantanny mają znaczenie tylko wtedy, gdy wykrycia analizy skrzynki pocztowej są poddawane kwarantannie. |
| Pokaż poradę dotyczącą bezpieczeństwa personifikacji użytkownika (EnableSimilarUsersSafetyTips) | Wyłączone ($false) |
Wybrane ($true) |
Wybrane ($true) |
|
| Pokaż poradę dotyczącą bezpieczeństwa personifikacji domeny (EnableSimilarDomainsSafetyTips) | Wyłączone ($false) |
Wybrane ($true) |
Wybrane ($true) |
|
| Pokaż wskazówki dotyczące bezpieczeństwa personifikacji nietypowych znaków użytkownika (EnableUnusualCharactersSafetyTips) | Wyłączone ($false) |
Wybrane ($true) |
Wybrane ($true) |
¹ Zgodnie z opisem w temacie Pełne uprawnienia dostępu i powiadomienia o kwarantannie organizacja może używać funkcji NotificationEnabledPolicy zamiast DefaultFullAccessPolicy w domyślnych zasadach zabezpieczeń lub w nowych niestandardowych zasadach zabezpieczeń, które tworzysz. Jedyną różnicą między tymi dwoma zasadami kwarantanny jest włączenie powiadomień kwarantanny w obszarze NotificationEnabledPolicy i wyłączenie w obszarze DefaultFullAccessPolicy.
Ustawienia zasad ochrony przed wyłudzaniem informacji na platformie EOP w Ochrona usługi Office 365 w usłudze Microsoft Defender
Są to te same ustawienia, które są dostępne w ustawieniach zasad ochrony przed spamem w ramach EOP.
Ustawienia bezpiecznych załączników
Bezpieczne załączniki w Ochrona usługi Office 365 w usłudze Microsoft Defender obejmują ustawienia globalne, które nie mają relacji z zasadami bezpiecznych załączników, oraz ustawienia specyficzne dla poszczególnych zasad bezpiecznych łączy. Aby uzyskać więcej informacji, zobacz Bezpieczne załączniki w Ochrona usługi Office 365 w usłudze Defender.
Chociaż nie ma domyślnych zasad bezpiecznych załączników, wstępnie ustawione zasady zabezpieczeń wbudowanej ochrony zapewniają ochronę bezpiecznych załączników wszystkim adresatom, którzy nie są zdefiniowani w standardowych lub ścisłych zasadach zabezpieczeń wstępnie ustawionych lub w niestandardowych zasadach bezpiecznych załączników. Aby uzyskać więcej informacji, zobacz Preset security policies in EOP and Ochrona usługi Office 365 w usłudze Microsoft Defender (Ustawienia wstępne zasad zabezpieczeń w usłudze EOP i Ochrona usługi Office 365 w usłudze Microsoft Defender).
Ustawienia globalne bezpiecznych załączników
Uwaga
Ustawienia globalne bezpiecznych załączników są ustawiane przez wstępnie ustawione zasady zabezpieczeń wbudowanej ochrony , ale nie przez standardowe lubścisłe zasady zabezpieczeń. Tak czy inaczej, administratorzy mogą modyfikować te globalne ustawienia bezpiecznych załączników w dowolnym momencie.
Kolumna Domyślne pokazuje wartości przed istnieniem zasad zabezpieczeń wstępnie ustawionych wbudowanej ochrony . Kolumna Wbudowana ochrona pokazuje wartości, które są ustawiane przez wbudowane zasady zabezpieczeń wstępnie ustawione, które są również naszymi zalecanymi wartościami.
Aby skonfigurować te ustawienia, zobacz Włączanie bezpiecznych załączników dla programów SharePoint, OneDrive i Microsoft Teams oraz Bezpieczne dokumenty w Microsoft 365 E5.
W programie PowerShell używasz polecenia cmdlet Set-AtpPolicyForO365 dla tych ustawień.
| Nazwa funkcji zabezpieczeń | Domyślne | Wbudowana ochrona | Komentowanie |
|---|---|---|---|
| Włącz Ochrona usługi Office 365 w usłudze Defender dla programów SharePoint, OneDrive i Microsoft Teams (EnableATPForSPOTeamsODB) | Wyłączone ($false) |
Włączone ($true) |
Aby uniemożliwić użytkownikom pobieranie złośliwych plików, zobacz Używanie programu PowerShell usługi SharePoint Online, aby uniemożliwić użytkownikom pobieranie złośliwych plików. |
| Włączanie bezpiecznych dokumentów dla klientów pakietu Office (EnableSafeDocs) | Wyłączone ($false) |
Włączone ($true) |
Ta funkcja jest dostępna i zrozumiała tylko w przypadku licencji, które nie są uwzględnione w Ochrona usługi Office 365 w usłudze Defender (na przykład Microsoft 365 A5 lub Zabezpieczenia platformy Microsoft 365 E5). Aby uzyskać więcej informacji, zobacz Safe Documents in Microsoft 365 A5 or E5 Security (Bezpieczne dokumenty w usłudze Microsoft 365 A5 lub E5 Security). |
| Zezwalaj użytkownikom na klikanie widoku chronionego, nawet jeśli usługa Safe Documents zidentyfikowała plik jako złośliwy (AllowSafeDocsOpen) | Wyłączone ($false) |
Wyłączone ($false) |
To ustawienie jest związane z bezpiecznymi dokumentami. |
Ustawienia zasad bezpiecznych załączników
Aby skonfigurować te ustawienia, zobacz Konfigurowanie zasad bezpiecznych załączników w Ochrona usługi Office 365 w usłudze Defender.
W programie PowerShell dla tych ustawień są używane polecenia cmdlet New-SafeAttachmentPolicy i Set-SafeAttachmentPolicy .
Uwaga
Zgodnie z wcześniejszym opisem, mimo że nie ma domyślnych zasad bezpiecznych załączników, wstępnie ustawione zasady zabezpieczeń wbudowanej ochrony zapewniają ochronę bezpiecznych załączników wszystkim adresatom, którzy nie są zdefiniowani w standardowych zasadach zabezpieczeń wstępnie ustawionych, zasadach zabezpieczeń Ścisłe ustawienia wstępne lub w niestandardowych zasadach bezpiecznych załączników.
Kolumna Domyślne w kolumnie niestandardowej odwołuje się do wartości domyślnych w nowych utworzonych zasadach bezpiecznych załączników. Pozostałe kolumny wskazują (o ile nie zaznaczono inaczej) wartości skonfigurowane w odpowiednich wstępnie ustawionych zasadach zabezpieczeń.
Zasady kwarantanny określają, co użytkownicy mogą zrobić w przypadku komunikatów poddanych kwarantannie oraz czy użytkownicy otrzymują powiadomienia o kwarantannie. Aby uzyskać więcej informacji, zobacz Anatomia zasad kwarantanny.
Zasady o nazwie AdminOnlyAccessPolicy wymuszają historyczne możliwości komunikatów, które zostały poddane kwarantannie jako złośliwe oprogramowanie, zgodnie z opisem w tabeli tutaj.
Użytkownicy nie mogą wydawać własnych komunikatów, które zostały poddane kwarantannie jako złośliwe oprogramowanie przez bezpieczne załączniki, niezależnie od sposobu konfigurowania zasad kwarantanny. Jeśli zasady zezwalają użytkownikom na wydawanie własnych komunikatów objętych kwarantanną, zamiast tego użytkownicy mogą zażądać wydania komunikatów o złośliwym oprogramowaniu poddanych kwarantannie.
| Nazwa funkcji zabezpieczeń | Wartość domyślna w obszarze niestandardowym | Wbudowana ochrona | Standardowy | Surowy | Komentowanie |
|---|---|---|---|---|---|
| Bezpieczna odpowiedź na nieznane złośliwe oprogramowanie (Włączanie i akcja) |
Wyłączone (-Enable $false i -Action Block) |
Blokuj (-Enable $true i -Action Block) |
Blokuj (-Enable $true i -Action Block) |
Blokuj (-Enable $true i -Action Block) |
Gdy parametr Enable jest $false, wartość parametru Action nie ma znaczenia. |
| Zasady kwarantanny (QuarantineTag) | AdminOnlyAccessPolicy | AdminOnlyAccessPolicy | AdminOnlyAccessPolicy | AdminOnlyAccessPolicy | |
| Załącznik przekierowania z wykrytymi załącznikami : Włącz przekierowanie (przekierowanie i przekierowanieAddress) | Nie wybrano i nie określono adresu e-mail. (-Redirect $false i RedirectAddress jest pusta) |
Nie wybrano i nie określono adresu e-mail. (-Redirect $false i RedirectAddress jest pusta) |
Nie wybrano i nie określono adresu e-mail. (-Redirect $false i RedirectAddress jest pusta) |
Nie wybrano i nie określono adresu e-mail. (-Redirect $false i RedirectAddress jest pusta) |
Przekierowywanie komunikatów jest dostępne tylko wtedy, gdy wartość odpowiedzi Nieznane złośliwe oprogramowanie w bezpiecznych załącznikach to Monitor (-Enable $true i -Action Allow). |
Ustawienia zasad bezpiecznych łączy
Aby uzyskać więcej informacji na temat ochrony bezpiecznych łączy, zobacz Bezpieczne linki w Ochrona usługi Office 365 w usłudze Defender.
Mimo że nie ma domyślnych zasad bezpiecznych łączy, wstępnie ustawione zasady zabezpieczeń wbudowanej ochrony zapewniają ochronę bezpiecznych łączy wszystkim adresatom, którzy nie są zdefiniowani w standardowych zasadach zabezpieczeń wstępnie ustawionych, zasadach ścisłych zabezpieczeń wstępnie ustawionych lub w niestandardowych zasadach bezpiecznych łączy. Aby uzyskać więcej informacji, zobacz Preset security policies in EOP and Ochrona usługi Office 365 w usłudze Microsoft Defender (Ustawienia wstępne zasad zabezpieczeń w usłudze EOP i Ochrona usługi Office 365 w usłudze Microsoft Defender).
Aby skonfigurować ustawienia zasad bezpiecznych łączy, zobacz Konfigurowanie zasad bezpiecznych łączy w Ochrona usługi Office 365 w usłudze Microsoft Defender.
W programie PowerShell używasz poleceń cmdlet New-SafeLinksPolicy i Set-SafeLinksPolicy dla ustawień zasad Bezpieczne linki.
Uwaga
Kolumna Domyślne w kolumnie niestandardowej odwołuje się do wartości domyślnych w nowych zasadach bezpiecznych łączy, które tworzysz. Pozostałe kolumny wskazują (o ile nie zaznaczono inaczej) wartości skonfigurowane w odpowiednich wstępnie ustawionych zasadach zabezpieczeń.
| Nazwa funkcji zabezpieczeń | Wartość domyślna w obszarze niestandardowym | Wbudowana ochrona | Standardowy | Surowy | Komentowanie |
|---|---|---|---|---|---|
| Adres URL & kliknij ustawienia ochrony | |||||
| Poczta e-mail | Ustawienia w tej sekcji mają wpływ na ponowne zapisywanie adresów URL i czas ochrony przed kliknięciami w wiadomościach e-mail. | ||||
| Na: Bezpieczne linki sprawdza listę znanych, złośliwych linków, gdy użytkownicy klikają linki w wiadomości e-mail. Adresy URL są domyślnie ponownie zapisywane. (EnableSafeLinksForEmail) | Wybrane ($true) |
Wybrane ($true) |
Wybrane ($true) |
Wybrane ($true) |
|
| Stosowanie bezpiecznych linków do wiadomości e-mail wysyłanych w organizacji (EnableForInternalSenders) | Wybrane ($true) |
Nie zaznaczono ($false) |
Wybrane ($true) |
Wybrane ($true) |
|
| Stosowanie skanowania adresów URL w czasie rzeczywistym w poszukiwaniu podejrzanych linków i linków wskazujących pliki (ScanUrls) | Wybrane ($true) |
Wybrane ($true) |
Wybrane ($true) |
Wybrane ($true) |
|
| Poczekaj na ukończenie skanowania adresu URL przed dostarczeniem komunikatu (DeliverMessageAfterScan) | Wybrane ($true) |
Wybrane ($true) |
Wybrane ($true) |
Wybrane ($true) |
|
| Nie należy ponownie pisać adresów URL, sprawdzaj tylko za pośrednictwem interfejsu API bezpiecznych łączy (DisableURLRewrite) | Wybrane ($false)* |
Wybrane ($true) |
Nie zaznaczono ($false) |
Nie zaznaczono ($false) |
* W nowych zasadach bezpiecznych łączy tworzonych w portalu usługi Defender to ustawienie jest domyślnie zaznaczone. W nowych zasadach bezpiecznych łączy utworzonych w programie PowerShell wartość domyślna parametru DisableURLRewrite to $false. |
| Nie należy ponownie pisać następujących adresów URL w wiadomości e-mail (DoNotRewriteUrls) | Pusty | Pusty | Pusty | Pusty | Nie mamy żadnych konkretnych zaleceń dotyczących tego ustawienia. Uwaga: wpisy na liście "Nie przepisuj ponownie następujących adresów URL" nie są skanowane ani opakowane przez bezpieczne linki podczas przepływu poczty. Zgłoś adres URL, ponieważ potwierdziłem, że jest czysty , a następnie wybierz pozycję Zezwalaj na ten adres URL , aby dodać wpis zezwalania do listy dozwolonych/zablokowanych dzierżaw, aby adres URL nie był skanowany ani opakowane przez bezpieczne linki podczas przepływu poczty i w momencie kliknięcia. Aby uzyskać instrukcje, zobacz Raportuj dobre adresy URL do firmy Microsoft. |
| Teams | Ustawienie w tej sekcji wpływa na czas ochrony przed kliknięciami w usłudze Microsoft Teams. | ||||
| Na: Bezpieczne linki sprawdza listę znanych, złośliwych linków po kliknięciu linków przez użytkowników w usłudze Microsoft Teams. Adresy URL nie są ponownie zapisywane. (EnableSafeLinksForTeams) | Wybrane ($true) |
Wybrane ($true) |
Wybrane ($true) |
Wybrane ($true) |
|
| aplikacje Office 365 | Ustawienie w tej sekcji wpływa na czas ochrony przed kliknięciami w aplikacjach pakietu Office. | ||||
| On: Safe Links checks a list of known, malicious links when users click links in Microsoft Office apps (Bezpieczne linki sprawdza listę znanych, złośliwych linków po kliknięciu linków w aplikacjach pakietu Microsoft Office). Adresy URL nie są ponownie zapisywane. (EnableSafeLinksForOffice) | Wybrane ($true) |
Wybrane ($true) |
Wybrane ($true) |
Wybrane ($true) |
Używaj bezpiecznych linków w obsługiwanych aplikacjach Office 365 klasycznych i mobilnych (iOS i Android). Aby uzyskać więcej informacji, zobacz Ustawienia bezpiecznych linków dla aplikacji pakietu Office. |
| Kliknij ustawienia ochrony | |||||
| Śledzenie kliknięć użytkownika (TrackClicks) | Wybrane ($true) |
Wybrane ($true) |
Wybrane ($true) |
Wybrane ($true) |
|
| Zezwalaj użytkownikom na klikanie oryginalnego adresu URL (AllowClickThrough) | Wybrane ($false)* |
Wybrane ($true) |
Nie zaznaczono ($false) |
Nie zaznaczono ($false) |
* W nowych zasadach bezpiecznych łączy tworzonych w portalu usługi Defender to ustawienie jest domyślnie zaznaczone. W nowych zasadach bezpiecznych łączy utworzonych w programie PowerShell wartość domyślna parametru AllowClickThrough to $false. |
| Wyświetlanie znakowania organizacji na stronach powiadomień i ostrzeżeń (EnableOrganizationBranding) | Nie zaznaczono ($false) |
Nie zaznaczono ($false) |
Nie zaznaczono ($false) |
Nie zaznaczono ($false) |
Nie mamy żadnych konkretnych zaleceń dotyczących tego ustawienia. Przed włączeniem tego ustawienia należy postępować zgodnie z instrukcjami w temacie Dostosowywanie motywu platformy Microsoft 365 dla organizacji , aby przekazać logo firmy. |
| Powiadomienie | |||||
| Jak chcesz powiadomić użytkowników? (CustomNotificationText i UseTranslatedNotificationText) |
Użyj domyślnego tekstu powiadomienia (Puste i $false) |
Użyj domyślnego tekstu powiadomienia (Puste i $false) |
Użyj domyślnego tekstu powiadomienia (Puste i $false) |
Użyj domyślnego tekstu powiadomienia (Puste i $false) |
Nie mamy żadnych konkretnych zaleceń dotyczących tego ustawienia. Możesz wybrać pozycję Użyj niestandardowego tekstu powiadomienia ( -CustomNotificationText "<Custom text>"), aby wprowadzić niestandardowy tekst powiadomień i użyć go. Jeśli określisz tekst niestandardowy, możesz również wybrać opcję Użyj usługi Microsoft Translator do automatycznej lokalizacji (-UseTranslatedNotificationText $true), aby automatycznie przetłumaczyć tekst na język użytkownika. |
Artykuły pokrewne
Szukasz najlepszych rozwiązań dotyczących reguł przepływu poczty programu Exchange (nazywanych również regułami transportu)? Zobacz Najlepsze rozwiązania dotyczące konfigurowania reguł przepływu poczty w Exchange Online.
Administratorzy i użytkownicy mogą przesyłać do firmy Microsoft wyniki fałszywie dodatnie (dobra wiadomość e-mail oznaczona jako zła) i fałszywie ujemne (niedozwolona wiadomość e-mail). Aby uzyskać więcej informacji, zobacz Zgłaszanie komunikatów i plików do firmy Microsoft.
Punkty odniesienia zabezpieczeń dla systemu Windows można znaleźć tutaj: Gdzie można uzyskać punkty odniesienia zabezpieczeń? w przypadku opcji obiektu zasad grupy/lokalnego i Użyj punktów odniesienia zabezpieczeń, aby skonfigurować urządzenia z systemem Windows w Intune na potrzeby zabezpieczeń opartych na Intune. Na koniec porównanie punktów odniesienia zabezpieczeń Ochrona punktu końcowego w usłudze Microsoft Defender i Microsoft Intune jest dostępne w artykule Porównanie Ochrona punktu końcowego w usłudze Microsoft Defender i Intune punktów odniesienia zabezpieczeń systemu Windows.