在 Microsoft Defender for Office 365 中设置安全附件策略

提示

你知道可以免费试用Microsoft Defender for Office 365计划 2 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。

重要

本文适用于拥有 Microsoft Defender for Office 365的企业客户。 如果你是家庭用户,在 Outlook 中查找有关附件扫描的信息,请参阅 高级 Outlook.com 安全性

在具有Microsoft Defender for Office 365的组织中,安全附件是针对邮件中恶意软件的额外保护层。 在 Exchange Online Protection (EOP) 中的反恶意软件保护扫描邮件附件后,安全附件会在虚拟环境中打开文件,以查看在邮件传递到收件人之前 (称为引爆) 的过程会发生什么情况。 有关详细信息,请参阅 Microsoft Defender for Office 365 中的安全附件

虽然没有默认的安全附件策略, 但内置保护 预设安全策略默认为所有收件人提供安全附件保护。 在Standard或严格预设安全策略或自定义安全附件策略中指定的收件人不受影响。 有关详细信息,请参阅 EOP 中的预设安全策略和Microsoft Defender for Office 365

为了提高粒度,还可以使用本文中的过程创建适用于特定用户、组或域的安全附件策略。

可以在 Microsoft Defender 门户或 PowerShell Exchange Online 配置安全附件策略。

注意

在“安全附件”设置的全局设置中,配置不依赖于安全附件策略的功能。 有关说明,请参阅在 Microsoft 365 E5 中启用 SharePoint、OneDrive 和 Microsoft Teams 的安全附件和安全文档

开始前,有必要了解什么?

使用 Microsoft Defender 门户创建安全附件策略

  1. 在 Microsoft Defender 门户中https://security.microsoft.com,转到“策略”部分中Email &协作>策略 & 规则>威胁策略>安全附件或者,若要直接转到“安全附件”页,请使用 https://security.microsoft.com/safeattachmentv2

  2. 在“安全附件”页上,选择“创建以启动新的“安全附件”策略向导。

  3. 在“命名策略”页面上,配置以下设置:

    • 名称:输入策略的唯一描述性名称。
    • 说明:输入策略的可选说明。

    完成“ 为策略命名 ”页后,选择“ 下一步”。

  4. 在“ 用户和域 ”页上,确定策略应用于 (收件人条件的内部收件人) :

    • 用户:指定的邮箱、邮件用户或邮件联系人。
      • ) 不支持指定通讯组或启用邮件的安全组的成员 (动态通讯组。
      • 指定的 Microsoft 365 组。
    • :组织中具有指定接受域主电子邮件地址的所有收件人。

    单击相应的框,开始键入值,然后从结果中选择所需的值。 根据需要多次重复此过程。 若要删除现有值,请选择 值旁边的值。

    对于用户或组,可以使用大多数标识符(姓名、显示名称、别名、电子邮件地址、帐户名称等),但是相应的显示名称会显示在结果中。 对于用户,请单独输入星号 (*) 以查看所有可用值。

    只能使用一次条件,但条件可以包含多个值:

    • 同一条件的多个使用 OR 逻辑 (例如 recipient1<><recipient2>) 。 如果收件人与 任何 指定值匹配,则会对其应用策略。

    • 不同类型的条件使用 AND 逻辑。 收件人必须匹配 所有 指定的条件,策略才能应用于他们。 例如,使用以下值配置条件:

      • 用户: romain@contoso.com
      • 组:高管

      当他也是高管组的成员时,才会应用romain@contoso.com该策略。 否则,该策略不适用于他。

    • 排除这些用户、组和域: 若要为策略应用于的内部收件人添加例外 (收件人例外),请选择此选项并配置例外。

      只能使用一次异常,但该异常可以包含多个值:

      • 同一异常的多个使用 OR 逻辑 (例如 recipient1<><recipient2>) 。 如果收件人与 任何 指定值匹配,则不会对其应用策略。
      • 不同类型的异常使用 OR 逻辑 (例如,<recipient1><group1> 的成员<domain1>) 的成员。 如果收件人与 任何 指定的异常值匹配,则不会对其应用策略。

    完成“ 用户和域 ”页后,选择“ 下一步”。

  5. 在“设置”页上,配置下列设置:

    • 安全附件未知恶意软件响应:选择以下值之一:

      • 关闭
      • 监视器
      • 阻止:这是默认值,也是Standard和严格预设安全策略中的建议值。
      • 动态传递 (预览邮件)

      安全附件策略设置中介绍了这些值。

    • 隔离策略:选择适用于安全附件 (阻止动态传递) 隔离的邮件的隔离策略。 隔离策略定义用户可以对隔离邮件执行哪些操作,以及用户是否会收到隔离通知。 有关详细信息,请参阅 隔离策略剖析

      默认情况下,名为 AdminOnlyAccessPolicy 的隔离策略用于安全附件策略的恶意软件检测。 有关此隔离策略的详细信息,请参阅 隔离策略剖析

      注意

      隔离通知在名为 AdminOnlyAccessPolicy 的策略中被禁用。 若要通知邮件被安全附件隔离为恶意软件的收件人,请创建或使用已启用隔离通知的现有隔离策略。 有关说明,请参阅在 Microsoft Defender 门户中创建隔离策略

      无论如何配置隔离策略,用户都无法释放自己被安全附件策略隔离为恶意软件的邮件。 如果策略允许用户发布自己的隔离邮件,则用户可以 请求 释放其隔离的恶意软件邮件。

    • 使用检测到的附件重定向邮件:如果选择“ 启用重定向”,则可以在“ 将包含受监视附件的邮件发送到指定电子邮件地址 ”框中指定一个电子邮件地址,以发送包含恶意软件附件的邮件,以便进行分析和调查。

      注意

      重定向仅适用于 Monitor 操作。 有关详细信息,请参阅 MC424899

    完成 “设置” 页后,选择“ 下一步”。

  6. 在“ 审阅 ”页上,查看设置。 可以在每个部分中选择“编辑”来修改该部分中的设置。 或者,可以在向导中选择“ 后退 ”或特定页面。

    完成“ 审阅 ”页面后,选择“ 提交”。

  7. “新建安全附件策略” 页上,可以选择链接来查看策略、查看安全附件策略以及了解有关安全附件策略的详细信息。

    “新建安全附件策略创建 ”页上完成操作后,选择“ 完成”。

    返回“ 安全附件 ”页,将列出新策略。

使用Microsoft Defender门户查看安全附件策略详细信息

在 Microsoft Defender 门户中https://security.microsoft.com,转到“策略”部分中Email &协作>策略 & 规则>威胁策略>安全附件 若要直接转到“ 安全附件 ”页,请使用 https://security.microsoft.com/safeattachmentv2

在“ 安全附件 ”页上,策略列表中显示了以下属性:

若要将策略列表从普通间距更改为精简间距,请选择“ 将列表间距更改为精简或正常”,然后选择“ 压缩列表”。

使用“ 搜索 ”框和相应的值查找特定的安全附件策略。

使用 “导出” 将策略列表导出到 CSV 文件。

使用 “查看报告 ”打开 威胁防护状态报告

单击名称旁边的“检查”框以外的任何位置,以打开策略的详细信息浮出控件,从而选择策略。

提示

若要查看有关其他安全附件策略的详细信息,而不离开详细信息浮出控件,请使用浮出控件顶部的“上一项”和“下一项”。

使用Microsoft Defender门户对安全附件策略执行操作

在 Microsoft Defender 门户中https://security.microsoft.com,转到“策略”部分中Email &协作>策略 & 规则>威胁策略>安全附件 若要直接转到“ 安全附件 ”页,请使用 https://security.microsoft.com/safeattachmentv2

  1. 在“ 安全附件 ”页上,使用以下方法之一选择“安全附件”策略:

    • 通过选择名称旁边的检查框,从列表中选择策略。 以下操作在显示的“更多操作”下拉列表中可用:

      • 启用所选策略
      • 禁用所选策略
      • 删除所选策略

      “安全附件”页,其中选择了策略并展开了“更多操作”控件。

    • 单击名称旁边的检查框以外的任何位置,从列表中选择策略。 打开的详细信息浮出控件中提供了以下部分或所有操作:

      • 在自定义策略或默认策略) 的每个部分中单击“ 编辑 ”,以修改策略设置 (
      • 仅) 打开或关闭 (自定义策略
      • 仅) (自定义策略增加优先级或降低优先级
      • 仅) 删除 (自定义策略

      自定义安全附件策略的详细信息浮出控件。

以下小节介绍了这些操作。

使用 Microsoft Defender 门户修改自定义安全附件策略

通过单击名称旁边的“检查”框以外的任何位置选择自定义安全附件策略后,策略设置将显示在打开的详细信息浮出控件中。 选择“每个部分中的 编辑 ”以修改该部分中的设置。 有关设置的详细信息,请参阅本文前面的 创建安全附件策略 部分。

不能修改名为“预设安全策略”、“严格预设安全策略”“内置保护” Standard安全附件策略, (Microsoft与策略详细信息浮出控件中的预设安全策略关联的) 。 相反,在详细信息浮出控件中选择“ 查看预设安全策略 ”,转到 “ 预设安全策略 ” 页, https://security.microsoft.com/presetSecurityPolicies 以修改预设的安全策略。

使用Microsoft Defender门户启用或禁用自定义安全附件策略

无法在此处启用或禁用名为Standard预设安全策略严格预设安全策略内置保护 (Microsoft) 的安全附件策略。 在 的“预设安全策略”页上https://security.microsoft.com/presetSecurityPolicies启用或禁用预设安全策略

选择启用的自定义安全附件策略 (“状态” 值为 “开) ”后,请使用以下方法之一禁用它:

  • 在“安全附件”页上:选择“ 更多操作>”“禁用所选策略”。
  • 在策略的详细信息浮出控件中:选择浮出控件顶部的“ 关闭 ”。

选择禁用的自定义安全附件策略 (“状态” 值为 “关闭 ”) 后,请使用以下任一方法启用它:

  • 在“安全附件”页上:选择“ 更多操作>”“启用所选策略”。
  • 在策略的详细信息浮出控件中:选择浮出控件顶部的“ 打开 ”。

在“ 安全附件 ”页上,策略的 “状态” 值现在为 “打开 ”或“ 关闭”。

使用Microsoft Defender门户设置自定义安全附件策略的优先级

安全附件策略按在“ 安全附件 ”页上显示的顺序进行处理:

  • 如果) 启用了严格预设安全策略,则始终首先应用与严格预设安全策略关联的名为“严格预设安全策略”的安全附件策略 (。
  • 如果 ) 启用了Standard预设安全策略,则始终在 (下一 (应用与Standard预设安全策略关联的安全附件策略Standard预设安全策略。
  • 如果启用了自定义安全附件策略,则会按优先级顺序 (下一个应用) :
    • 优先级值越低表示优先级越高, (0 表示) 最高。
    • 默认情况下,创建一个新策略的优先级低于最低现有自定义策略 (第一个为 0,第二个为 1,等等 ) 。
    • 没有两个策略可以具有相同的优先级值。
  • 内置保护关联的名为“内置保护 (Microsoft) 的安全附件策略始终具有优先级值 ”最低“,无法更改它。

应用第一个策略后,安全附件保护将停止, (该收件人) 的最高优先级策略。 有关详细信息,请参阅 电子邮件保护的顺序和优先级

通过单击名称旁边的“检查”框以外的任何位置选择自定义安全附件策略后,可以在打开的详细信息浮出控件中增加或降低策略的优先级:

  • 安全附件”页上优先级值为 0 的自定义策略在详细信息浮出控件顶部具有“降低优先级”操作。
  • 优先级最低 (优先级值 最高的自定义策略;例如, 3) 详细信息浮出控件顶部有 “增加优先级 ”操作。
  • 如果有三个或更多策略,则优先级 0 和最低优先级之间的策略在详细信息浮出控件顶部同时具有“增加优先级”和“减少优先级操作”。

完成策略详细信息浮出控件后,选择“ 关闭”。

返回“ 安全附件 ”页,列表中的策略顺序与更新的 “优先级 ”值匹配。

使用 Microsoft Defender 门户删除自定义安全附件策略

不能删除名为“Standard预设安全策略”、“严格预设安全策略”或“内置保护”的安全附件策略, (Microsoft与预设安全策略关联的) 。

选择自定义安全附件策略后,请使用以下方法之一将其删除:

  • 在“安全附件”页上:选择“ 更多操作>”“删除所选策略”。
  • 在策略的详细信息浮出控件中:选择浮出控件顶部的“ 删除策略 ”。

在打开的警告对话框中选择 “是 ”。

返回“ 安全附件 ”页,不再列出已删除的策略。

使用 Exchange Online PowerShell 配置安全附件策略

在 PowerShell 中,安全附件策略的基本元素包括:

  • 安全附件策略:指定未知恶意软件检测的操作、是否将带有恶意软件附件的邮件发送到指定电子邮件地址,以及是否在安全附件扫描无法完成时传递邮件。
  • 安全附件规则:指定策略应用于) (优先级和收件人筛选器。

在 Microsoft Defender 门户中管理安全附件策略时,这两个元素之间的差异并不明显:

  • 在 Defender 门户中创建安全附件策略时,实际上是同时为两者使用相同的名称创建安全附件规则和关联的安全附件策略。
  • 在 Defender 门户中修改安全附件策略时,与名称、优先级、启用或禁用以及收件人筛选器相关的设置将修改安全附件规则。 所有其他设置都会修改关联的安全附件策略。
  • 从 Defender 门户删除安全附件策略时,将删除安全附件规则和关联的安全附件策略。

在 PowerShell 中,安全附件策略和安全附件规则之间的差异很明显。 可以使用 *-SafeAttachmentPolicy cmdlet 管理安全附件策略,也可以使用 *-SafeAttachmentRule cmdlet 管理安全附件规则。

  • 在 PowerShell 中,首先创建安全附件策略,然后创建安全附件规则,该规则标识该规则适用的关联策略。
  • 在 PowerShell 中,可以分别修改安全附件策略和安全附件规则中的设置。
  • 从 PowerShell 中移除安全附件策略时,不会自动移除相应的安全附件规则,反之亦然。

使用 PowerShell 创建安全附件策略

在 PowerShell 中创建安全附件策略需要两个步骤:

  1. 创建安全附件策略。
  2. 创建安全附件规则,该规则指定应用该规则的安全附件策略。

注意

  • 可以创建新的安全附件规则,并为其分配现有、未关联的安全附件策略。 安全附件规则不能与多个安全附件策略关联。

  • 可以在 PowerShell 中为新的安全附件策略配置以下设置,这些设置在Microsoft Defender门户中在创建策略后才可用:

    • New-SafeAttachmentRule cmdlet) 上将新策略创建为禁用 (已启用$false
    • New-SafeAttachmentRule cmdlet) 上设置策略的优先级 (优先级<编号>) 。
  • 在 PowerShell 中创建的新安全附件策略在Microsoft Defender门户中不可见,直到将策略分配给安全附件规则。

步骤 1:使用 PowerShell 创建安全附件策略

若要创建安全附件策略,请使用以下语法:

New-SafeAttachmentPolicy -Name "<PolicyName>" -Enable $true [-AdminDisplayName "<Comments>"] [-Action <Allow | Block | DynamicDelivery>] [-Redirect <$true | $false>] [-RedirectAddress <SMTPEmailAddress>] [-QuarantineTag <QuarantinePolicyName>]

此示例使用以下值创建名为 Contoso All 的安全附件策略:

  • 阻止通过安全文档扫描发现包含恶意软件的邮件, (不使用 Action 参数,默认值为 Block) 。
  • 默认隔离策略 (AdminOnlyAccessPolicy) 使用,因为我们未使用 QuarantineTag 参数。
New-SafeAttachmentPolicy -Name "Contoso All" -Enable $true

有关详细语法和参数信息,请参阅 New-SafeAttachmentPolicy

提示

有关指定要在安全附件策略中使用的隔离策略的详细说明,请参阅 使用 PowerShell 在安全附件策略中指定隔离策略

步骤 2:使用 PowerShell 创建安全附件规则

若要创建安全的附件规则,请使用以下语法:

New-SafeAttachmentRule -Name "<RuleName>" -SafeAttachmentPolicy "<PolicyName>" <Recipient filters> [<Recipient filter exceptions>] [-Comments "<OptionalComments>"] [-Enabled <$true | $false>]

此示例创建一个名为 Contoso All 的安全附件规则,条件如下:

  • 规则与名为 Contoso All 的安全附件策略相关联。
  • 该规则适用于 contoso.com 域中的所有收件人。
  • 由于未使用 Priority 参数,因此使用默认优先级。
  • (不使用 Enabled 参数启用规则,默认值为 $true) 。
New-SafeAttachmentRule -Name "Contoso All" -SafeAttachmentPolicy "Contoso All" -RecipientDomainIs contoso.com

有关详细语法和参数信息,请参阅 New-SafeAttachmentRule

使用 PowerShell 查看安全附件策略

若要查看现有的安全附件策略,请使用以下语法:

Get-SafeAttachmentPolicy [-Identity "<PolicyIdentity>"] [| <Format-Table | Format-List> <Property1,Property2,...>]

此示例返回所有安全附件策略的摘要列表。

Get-SafeAttachmentPolicy

此示例返回名为 Contoso Executives 的安全附件策略的详细信息。

Get-SafeAttachmentPolicy -Identity "Contoso Executives" | Format-List

有关详细语法和参数信息,请参阅 Get-SafeAttachmentPolicy

使用 PowerShell 查看安全附件规则

若要查看现有的安全附件规则,请使用以下语法:

Get-SafeAttachmentRule [-Identity "<RuleIdentity>"] [-State <Enabled | Disabled>] [| <Format-Table | Format-List> <Property1,Property2,...>]

此示例返回所有安全附件规则的摘要列表。

Get-SafeAttachmentRule

若要按已启用或已禁用规则筛选列表,请运行以下命令:

Get-SafeAttachmentRule -State Disabled
Get-SafeAttachmentRule -State Enabled

此示例返回名为 Contoso Executives 的安全附件规则的详细信息。

Get-SafeAttachmentRule -Identity "Contoso Executives" | Format-List

有关详细语法和参数信息,请参阅 Get-SafeAttachmentRule

使用 PowerShell 修改安全附件策略

无法在 PowerShell 中重命名安全附件策略, (Set-SafeAttachmentPolicy cmdlet 没有 Name 参数) 。 在 Microsoft Defender 门户中重命名安全附件策略时,只会重命名安全附件规则

否则,创建安全附件策略时,相同的设置可用,如本文前面的 步骤 1:使用 PowerShell 创建安全附件策略 部分中所述。

若要修改安全附件策略,请使用以下语法:

Set-SafeAttachmentPolicy -Identity "<PolicyName>" <Settings>

有关详细语法和参数信息,请参阅 Set-SafeAttachmentPolicy

提示

有关指定要在安全附件策略中使用的隔离策略的详细说明,请参阅 使用 PowerShell 在安全附件策略中指定隔离策略

使用 PowerShell 修改安全附件规则

在 PowerShell 中修改安全附件规则时,唯一不可用的设置是允许创建禁用规则的 Enabled 参数。 若要启用或禁用现有的安全附件规则,请参阅下一部分。

否则,创建规则时,相同的设置可用,如本文前面的 步骤 2:使用 PowerShell 创建安全附件规则 部分中所述。

若要修改安全附件规则,请使用以下语法:

Set-SafeAttachmentRule -Identity "<RuleName>" <Settings>

有关详细语法和参数信息,请参阅 Set-SafeAttachmentRule

使用 PowerShell 启用或禁用安全附件规则

在 PowerShell 中启用或禁用安全附件规则可启用或禁用整个安全附件策略 (安全附件规则和分配的安全附件策略) 。

若要在 PowerShell 中启用或禁用安全附件规则,请使用以下语法:

<Enable-SafeAttachmentRule | Disable-SafeAttachmentRule> -Identity "<RuleName>"

此示例禁用名为 Marketing Department 的安全附件规则。

Disable-SafeAttachmentRule -Identity "Marketing Department"

下面的示例启用同一规则。

Enable-SafeAttachmentRule -Identity "Marketing Department"

有关详细语法和参数信息,请参阅 Enable-SafeAttachmentRuleDisable-SafeAttachmentRule

使用 PowerShell 设置安全附件规则的优先级

可以设置的规则最高优先级值是 0。 可以设置的最小优先级值取决于规则的数量。 例如,如果有五个规则,则可以使用的优先级值为 0 到 4。 更改现有规则的优先级可对其他规则产生级联效应。 例如,假设有五个自定义规则(优先级从 0 到 4)。如果你将某个规则的优先级更改为 2,那么优先级为 2 的现有规则会变成优先级 3,优先级为 3 的现有规则会变成优先级 4。

若要在 PowerShell 中设置安全附件规则的优先级,请使用以下语法:

Set-SafeAttachmentRule -Identity "<RuleName>" -Priority <Number>

下面的示例将名为“Marketing Department”的规则的优先级设置为 2。 优先级小于或等于 2 的所有现有规则的优先级都递减 1(即优先级数字都递增 1)。

Set-SafeAttachmentRule -Identity "Marketing Department" -Priority 2

注意:若要在创建新规则时设置该规则的优先级,请改用 New-SafeAttachmentRule cmdlet 上的 Priority 参数。

有关详细语法和参数信息,请参阅 Set-SafeAttachmentRule

使用 PowerShell 删除安全附件策略

使用 PowerShell 删除安全附件策略时,不会删除相应的安全附件规则。

若要在 PowerShell 中删除安全附件策略,请使用以下语法:

Remove-SafeAttachmentPolicy -Identity "<PolicyName>"

此示例删除名为“市场营销部”的安全附件策略。

Remove-SafeAttachmentPolicy -Identity "Marketing Department"

有关详细语法和参数信息,请参阅 Remove-SafeAttachmentPolicy

使用 PowerShell 删除安全附件规则

使用 PowerShell 删除安全附件规则时,不会删除相应的安全附件策略。

若要在 PowerShell 中删除安全附件规则,请使用以下语法:

Remove-SafeAttachmentRule -Identity "<PolicyName>"

此示例删除名为 Marketing Department 的安全附件规则。

Remove-SafeAttachmentRule -Identity "Marketing Department"

有关详细语法和参数信息,请参阅 Remove-SafeAttachmentRule

如何判断这些过程生效了?

若要验证是否已成功创建、修改或删除安全附件策略,请执行以下步骤:

  • 在 Microsoft Defender 门户https://security.microsoft.com/safeattachmentv2的“安全附件”页上,验证策略列表、状态值和优先级值。 若要查看更多详细信息,请通过单击名称从列表中选择策略,然后在浮出控件中查看详细信息。

  • 在 Exchange Online PowerShell 中,将 Name> 替换为<策略或规则的名称,运行以下命令,并验证设置:

    Get-SafeAttachmentPolicy -Identity "<Name>" | Format-List
    
    Get-SafeAttachmentRule -Identity "<Name>" | Format-List
    
  • 若要验证安全附件是否正在扫描邮件,检查可用的Defender for Office 365报告。 有关详细信息,请参阅在Microsoft Defender门户中查看Defender for Office 365的报表和使用资源管理器