設定第三方網路釣魚模擬和電子郵件傳遞至 SecOps 信箱的進階傳遞原則
提示
您知道您可以免費試用 適用於 Office 365 的 Microsoft Defender 方案 2 中的功能嗎? 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 瞭解誰可以在 Try 適用於 Office 365 的 Microsoft Defender 上註冊和試用版條款。
為了默認保護貴組織的安全,Exchange Online Protection (EOP) 不允許安全清單或篩選略過識別為惡意代碼或高信賴度網路釣魚的郵件。 但是,有一些特定案例需要傳遞未篩選的訊息。 例如:
- 第三方網路釣魚模擬:模擬攻擊可協助您找出易受攻擊的使用者,並在實際攻擊影響您的組織之前訓練他們。
- 安全性作業 (SecOps) 信箱:安全性小組用來收集和分析未篩選郵件的專用信箱, (良好和不良) 。
使用 EOP 中的 進階傳遞原則 ,防止 篩選這些特定案例中的 輸入訊息¹。 進階傳遞原則可確保這些案例中的訊息達到下列結果:
- EOP 和 適用於 Office 365 的 Defender 中的篩選不會對這些訊息採取任何動作。 只有 SecOps 信箱會略過惡意代碼篩選。
- 垃圾郵件和網路釣魚的零時差清除 (ZAP) 不會對這些郵件採取任何動作。 只有 SecOps 信箱會略過適用於惡意代碼的 ZAP。
- 適用於 Office 365 的 Defender 中的安全連結不會在單擊時封鎖或封鎖這些訊息中指定的URL。 URL 仍會被包裝,但不會被封鎖。
- 適用於 Office 365 的 Defender 中的安全附件不會在這些訊息中防彈附件。
- 這些案例不會觸發預設系統警示。
- #D94F0E9ED62514F6CAFEB94BDED7AC9EB 中的 AIR 和叢集會忽略這些訊息。
- 特別針對第三方網路釣魚模擬:
- 管理員 提交會產生自動回應,指出訊息是網路釣魚模擬活動的一部分,而且不是真正的威脅。 不會觸發警示和 AIR。 系統管理員提交體驗會將這些訊息顯示為模擬威脅。
- 當使用者使用 Outlook 中的內建 [報告] 按鈕 或 [Microsoft報表訊息] 或 [報告網络釣魚] 載入巨集報告網络釣魚模擬訊息時,系統不會產生警示、調查或事件。 鏈接或檔案不會遭到損毀,但訊息會出現在 [提交] 頁面的 [ 用戶報告 ] 索引 卷標上。
進階傳遞原則所識別的訊息不是安全性威脅,因此訊息會標示系統覆寫。 管理員 體驗會將這些訊息顯示為網路釣魚模擬或 SecOps 信箱系統覆寫。 系統管理員可以在下列體驗中使用這些值來篩選和分析訊息:
- 威脅總管 (總管) 或 適用於 Office 365 的 Defender 中的即時偵測:系統管理員可以篩選系統覆寫來源,然後選取 [網络釣魚模擬] 或 [SecOps 信箱]。
- Email 實體頁面:系統管理員可以在 [覆寫 (] 的 [) ] 區段的 [租使用者覆寫] 底下,檢視 SecOps 信箱或網络釣魚模擬所允許的郵件。
- 威脅防護狀態報告:管理員 可以在下拉功能表中依 [系統覆寫] 檢視數據來篩選,然後選取以查看因網路釣魚模擬系統覆寫而允許的訊息。 若要查看 SecOps 信箱覆寫所允許的訊息,您可以在圖表明細依原因下拉式清單中選取依傳遞位置排序的圖表明細。
- 適用於端點的 Microsoft Defender 中的進階搜捕:網路釣魚模擬和 SecOps 信箱系統覆寫是 EmailEvents 中 OrgLevelPolicy 內的選項。
- 營銷活動檢視:管理員 可以篩選系統覆寫來源,然後選取 [網络釣魚模擬] 或 [SecOps 信箱]。
開始之前有哪些須知?
您會在 開啟 Microsoft Defender 入口網站https://security.microsoft.com。 若要直接移至 [ 進階傳遞] 頁面,請使用 https://security.microsoft.com/advanceddelivery。
若要連線至 Exchange Online PowerShell,請參閱連線至 Exchange Online PowerShell。
您必須獲得指派許可權,才能執行本文中的程式。 您有下列選項:
Microsoft Defender 全面偵測回應 整合角色型訪問控制 (RBAC) ( 如果 Email & 共同作業>適用於 Office 365 的 Defender 許可權為作用中。只會影響 Defender 入口網站,而不會影響 PowerShell) : (管理) 的授權和設定/安全性設定/核心安全性設定或 (讀取) 的授權和設定/安全性設定/核心安全性設定。
Email & Microsoft Defender 入口網站中的共同作業許可權和 Exchange Online 許可權:
- 在進階傳遞原則中建立、修改或移除已設定的設定:Email 中安全性系統管理員角色群組的成員資格 & 共同作業 RBAC,以及 Exchange Online RBAC 中組織管理角色群組的成員資格。
-
進階傳遞原則的唯讀存取權:Email 中全域讀取者或安全性讀取者角色群組的成員資格 & 共同作業 RBAC。
- Exchange Online RBAC 中的僅限檢視組織管理。
Microsoft Entra 權限:全域管理員、安全性系統管理員*、全域讀取者或安全性讀取者角色的成員資格,可為使用者提供Microsoft 365 中其他功能的必要許可權和許可權。
重要事項
* Microsoft建議您使用許可權最少的角色。 使用較低許可權的帳戶有助於改善組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。
使用 Microsoft Defender 入口網站在進階傳遞原則中設定 SecOps 信箱
在 Microsoft Defender 入口網站https://security.microsoft.com的 中,移至 Email &> 共同作業原則 & 規則>威脅原則>[規則] 區段中的[進階傳遞]。 或者,若要直接移至 [ 進階傳遞] 頁面,請使用 https://security.microsoft.com/advanceddelivery。
在 [ 進階傳遞] 頁面上,確認已選取 [SecOps 信箱 ] 索引標籤。
在 [SecOps 信箱] 索引標籤上,選取頁面 [無 SecOps] 信箱設定區域中的 [新增] 按鈕。
如果 SecOps 信箱索引標籤上已有專案,請選取 [編輯 ([新增] 按鈕無法) 。
在開啟的 [新增 SecOps 信箱] 飛出視窗中,執行下列其中一個步驟,輸入您想要指定為 SecOps 信箱的現有 Exchange Online 信箱:
按兩下方塊,讓信箱清單解析,然後選取信箱。
按兩下方塊開始輸入信箱的標識碼, (名稱、顯示名稱、別名、電子郵件地址、帳戶名稱等 ) ,然後從結果中選取信箱 (顯示名稱) 。
視需要重複此步驟多次。 不允許通訊群組。
若要移除現有的值,請選取值旁邊的 [移除 ]。
當您在 [ 新增 SecOps 信箱 ] 飛出視窗中完成時,請選取 [ 新增]。
檢閱 [ SecOps 的變更] 信箱覆寫儲存 的飛出視窗中的資訊,然後選取 [ 關閉]。
回到 [SecOps 信箱 ] 索引標籤,現在會列出您設定的 SecOps 信箱專案:
- [顯示名稱] 資料列包含信箱的顯示名稱。
- Email欄包含每個項目的電子郵件位址。
- 若要將專案清單從一般變更為精簡間距,請選取 [將列表間距變更為精簡或正常],然後選取 [壓縮清單]。
使用 Microsoft Defender 入口網站來修改或移除進階傳遞原則中的 SecOps 信箱
在 Microsoft Defender 入口網站https://security.microsoft.com的 中,移至 Email &> 共同作業原則 & 規則>威脅原則>[規則] 區段中的[進階傳遞]。 或者,若要直接移至 [ 進階傳遞] 頁面,請使用 https://security.microsoft.com/advanceddelivery。
在 [ 進階傳遞] 頁面上,確認已選取 [SecOps 信箱 ] 索引標籤。
在 [SecOps 信箱] 索引 標籤上,選取 [ 編輯]。
在 [編輯 SecOps 信箱] 飛出視窗中開啟、新增或移除信箱,如使用 Microsoft Defender 入口網站在進階傳遞原則一節中設定 SecOps 信箱一節中的步驟 3 所述。
若要移除所有信箱,請選取每個值旁邊的 [移除 ],直到沒有選取其他信箱為止。
當您在 [編輯 SecOps 信箱 ] 飛出視窗中完成時,請選取 [ 儲存]。
檢閱 [ SecOps 的變更] 信箱覆寫儲存 的飛出視窗中的資訊,然後選取 [ 關閉]。
回到 [SecOps 信箱 ] 索引標籤上,會顯示您設定的 SecOps 信箱專案。 如果您移除所有項目,清單會是空的。
使用 Microsoft Defender 入口網站在進階傳遞原則中設定第三方網路釣魚模擬
若要設定第三方網路釣魚模擬,您需要提供下列資訊:
- 至少一個 網域:來自郵件寄件者位址的網域 (也稱為
5321.MailFrom
位址、P1 發件者或信封發件者) ,用於郵件的 SMTP 傳輸 或 網路釣魚模擬廠商所指定的 DKIM 網域。 - 至少一個 傳送IP。
- 例如,針對非電子郵件網路釣魚模擬 (例如,Microsoft Teams 訊息、Word 檔或 Excel 電子表格) ,您可以選擇性地識別模擬 URL,以允許在單擊時不應視為實際威脅:URL 不會遭到封鎖或遭到攻擊,而且不會產生任何 URL 點選警示或產生事件。 URL 會在按兩下時包裝,但不會被封鎖。
至少一個 網域 和一個 傳送IP上必須有相符專案,但不會維護值之間的關聯。
如果您的 MX 記錄未指向 Microsoft 365,標頭中的 Authentication-results
IP 位址必須符合進階傳遞原則中的 IP 位址。 如果IP位址不相符,您可能需要 設定連接器的增強式篩選 ,才能偵測到正確的IP位址。
注意事項
在電子郵件路由案例中,連接器的增強式篩選不適用於第三方網路釣魚模擬,這些案例涉及兩次傳送至 Exchange Online 的郵件 (例如,因特網電子郵件路由傳送至 Microsoft 365,然後傳送至內部部署環境或第三方安全性服務,然後回到 Microsoft 365) 。 EOP 無法識別訊息來源的實際IP位址。 請勿嘗試藉由將內部部署或第三方傳送基礎結構的IP位址新增至第三方網路釣魚模擬,來解決這項限制。 這麼做會有效地略過模擬第三方網路釣魚模擬中所指定網域的任何因特網發件者垃圾郵件篩選。 如果已設定連接器的增強篩選,則支援 MX 記錄指向第三方服務,然後將郵件路由傳送至 Exchange Online 的路由案例。
目前,第三方網路釣魚仿真的進階傳遞原則不支援相同組織內的模擬 (DIR:INT
) ,特別是在混合式郵件流程中Microsoft 365 之前,透過 Exchange Server 網關路由傳送電子郵件時。 若要解決此問題,您有下列選項:
- 建立專用的 傳送連接器,此連接器 不會將網路釣魚模擬訊息驗證為內部。
- 設定網路釣魚模擬以略過 Exchange Server 基礎結構,並將郵件直接路由傳送至您的Microsoft 365 MX 記錄 (例如,contoso-com.mail.protection.outlook.com) 。
- 雖然您可以在 反垃圾郵件 原則中將組織內郵件掃描設定為 [無],但我們不建議使用此選項,因為它會影響其他電子郵件訊息。
如果您使用內建保護預設安全策略,或自定義安全鏈接原則具有 [不要重寫 URL] 設定,請只透過 SafeLinks API 進行檢查,單擊保護的時間不會將電子郵件中的網路釣魚模擬連結視為 Outlook 網頁版 中的威脅、iOS 版 Outlook 和 Android 版、Windows 版 Outlook v16.0.15317.10000 或更新版本,以及 Mac 版 Outlookv16.74 (23061100) 或更新版本。 如果您使用舊版 Outlook,請考慮停用 [不要重寫 URL],只透過自定義安全鏈接原則中的 SafeLinks API 設定進行檢查 。
將網路釣魚模擬 URL 新增至 [安全鏈接原則] 中的 [不要在電子郵件中重寫下列 URL ] 區段,可能會導致 URL 點選的不必要警示。 電子郵件訊息中的網路釣魚模擬 URL 會在郵件流程期間和按兩下時自動允許。
目前,SecOps 信箱的進階傳遞原則不支援組織內部郵件 (DIR:INT
) ,而且這些郵件將會遭到隔離。 因應措施是,您可以針對不會隔離組織內部郵件的 SecOps 信箱使用個別的反垃圾郵件原則。 我們不建議停用所有信箱的組織內部保護。
在 Microsoft Defender 入口網站https://security.microsoft.com的 中,移至 Email &> 共同作業原則 & 規則>威脅原則> 規則的 [規則] 區段中的[進階傳遞]。 或者,若要直接移至 [ 進階傳遞] 頁面,請使用 https://security.microsoft.com/advanceddelivery。
在 [ 進階傳遞] 頁面上,選取 [網络釣魚模擬] 索引 標籤。
在 [網络釣魚模擬] 索引卷標上,選取頁面 [未設定第三方網络釣魚模擬] 區域中的 [新增] 按鈕。
如果 [網络釣魚模擬] 索引標籤上已有專案,請選取 [編輯 ([新增] 按鈕無法) 。
在開啟的 [ 新增第三方網络釣魚模擬 ] 飛出視窗中,設定下列設定:
網域:展開此設定並輸入至少一個電子郵件位址網域,方法是按兩下方塊,輸入值 (例如 contoso.com) ,然後按 ENTER 鍵或選取方塊下方顯示的值。 視需要重複此步驟多次。 您最多可以新增 50 個專案。 請使用下列其中一個值:
- 位址中的
5321.MailFrom
網域 (也稱為郵件 SMTP 傳輸中使用的 郵件發 件者位址、P1 發件者或信封發件者) 。 - 網路釣魚模擬廠商所指定的 DKIM 網域。
- 位址中的
傳送IP:展開此設定並輸入至少一個有效的IPv4位址,方法是按兩下方塊中輸入值,然後按 ENTER 鍵或選取方塊下方顯示的值。 視需要重複此步驟多次。 您最多可以新增10個專案。 有效值為:
- 單一IP:例如,192.168.1.1。
- IP 範圍:例如,192.168.0.1-192.168.0.254。
- CIDR IP:例如 192.168.0.1/25。
允許的模擬 URL:電子郵件網路釣魚模擬中的連結不需要此設定。 使用此設定可選擇性地識別 非電子郵件 網路釣魚模擬中的連結, (Teams 訊息或 Office 檔中的連結,) 在單擊時不應視為真正的威脅。
展開此設定、按兩下方塊、輸入值,然後按 ENTER 鍵或選取方塊下方顯示的值,以新增 URL 專案。 您最多可以新增 30 個專案。 如需 URL 語法,請參閱 租使用者允許/封鎖清單的 URL 語法。
若要移除現有的網域、IP 或 URL 值,請選取值旁邊的 [移除 ]。
請考慮下列範例:
Authentication-Results: spf=pass (sender IP is 172.17.17.7) smtp.mailfrom=contoso.com; dkim=pass (signature was verified) header.d=contoso-simulation.com; dmarc=pass action=none header.from=contoso-simulation.com; DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=contoso-simulation.com; s=selector1; h=From:Date:Subject:Message-ID:Content-Type:MIME-Version:X-MS-Exchange-SenderADCheck; bh=UErATeHehIIPIXPeUAfZWiKo0w2cSsOhb9XM9ulqTX0=;
- 連線 IP 位址為 172.17.17.7。
- 郵件寄件者位址 ()
smtp.mailfrom
中的網域 contoso.com。 - DKIM 網域 ()
header.d
contoso-simulation.com。
在此範例中,您可以使用下列其中一個組合來設定第三方網路釣魚模擬:
網域:contoso.com
傳送IP:172.17.17.7網域:contoso-simulation.com
傳送IP:172.17.17.7當您完成 [ 新增第三方網络釣魚模擬 ] 飛出視窗時,請選取 [ 新增]。
檢閱變更 網路釣魚模擬覆寫儲存 的飛出視窗中的資訊,然後選取 [ 關閉]。
回到 [ 網络釣魚模擬 ] 索引卷標,現在會列出您設定的第三方網络釣魚模擬專案:
- [值] 資料行包含網域、IP 位址或 URL 專案。
- [類型] 數據行包含每個專案的 [傳送 IP]、[網域] 或 [允許的模擬 URL] 值。
- [ 日期] 資料 行會顯示專案建立的時間。
- 若要將專案清單從一般變更為精簡間距,請選取 [將列表間距變更為精簡或正常],然後選取 [壓縮清單]。
使用 Microsoft Defender 入口網站來修改或移除進階傳遞原則中的第三方網路釣魚模擬
在 Microsoft Defender 入口網站https://security.microsoft.com的 中,移至 Email &> 共同作業原則 & 規則>威脅原則> 規則的 [規則] 區段中的[進階傳遞]。 或者,若要直接移至 [ 進階傳遞] 頁面,請使用 https://security.microsoft.com/advanceddelivery。
在 [ 進階傳遞] 頁面上,選取 [網络釣魚模擬] 索引 標籤。
在 [ 網络釣魚模擬] 索引 標籤上,選取 [ 編輯]。
在 [編輯第三方網络釣魚模擬] 飛出視窗中開啟、新增或移除 [網域]、[傳送IP] 和 [模擬URL] 的專案,如使用 Microsoft Defender 入口網站在進階傳遞原則一節中設定 SecOps 信箱一節中的步驟 3 所述。
若要移除所有專案,請選取每個值旁邊的 [移除 ],直到不再選取網域、IP 或 URL 為止。
當您在 [編輯第三方網络釣魚模擬 ] 飛出視窗中完成時,請選取 [ 儲存]。
檢閱變更 網路釣魚模擬覆寫儲存 的飛出視窗中的資訊,然後選取 [ 關閉]。
回到 [ 網络釣魚模擬 ] 索引卷標上,會顯示您設定的第三方網路釣魚模擬專案。 如果您移除所有項目,清單會是空的。
需要略過篩選的其他案例
除了進階傳遞原則可協助您使用的兩個案例之外,還有其他您可能需要略過郵件篩選的案例:
第三方篩選:如果您網域的 MX 記錄未指向 Office 365 (訊息會先路由傳送至其他位置) ,預設無法使用安全。 如果您想要新增保護,您必須啟用連接器的增強篩選 (也稱為 略過清單) 。 如需詳細資訊,請參閱使用第三方雲端服務搭配 Exchange Online 來管理郵件流程。 如果您不想要增強連接器篩選,請使用郵件流程規則 (也稱為傳輸規則,) 略過已由第三方篩選評估之郵件的Microsoft篩選。 如需詳細資訊,請 參閱使用郵件流程規則在郵件中設定 SCL。
正在檢閱的誤判:您可能想要 暫時 允許錯誤識別為不正確 (誤判的正確訊息,) 您透過 系統管理員提交回報,但Microsoft仍在分析這些訊息。 如同所有覆寫,強烈 建議 您暫時使用這些額度。
進階傳遞原則中 SecOps 信箱的 PowerShell 程式
在 PowerShell 中,進階傳遞原則中 SecOps 信箱的基本元素如下:
- SecOps 覆寫原則:由 *-SecOpsOverridePolicy Cmdlet 控制。
- SecOps 覆寫規則:由 *-ExoSecOpsOverrideRule Cmdlet 控制。
此行為會產生下列結果:
- 您會先建立原則,然後建立規則來識別套用規則的原則。
- 當您從 PowerShell 移除原則時,也會移除對應的規則。
- 當您從 PowerShell 移除規則時,不會移除對應的原則。 您必須手動移除對應的原則。
使用 PowerShell 設定 SecOps 信箱
在 PowerShell 中的進階傳遞原則中設定 SecOps 信箱是兩個步驟的程式:
- 建立 SecOps 覆寫原則。
- 建立 SecOps 覆寫規則,指定套用規則的原則。
步驟 1:使用 PowerShell 建立 SecOps 覆寫原則
在 Exchange Online PowerShell 中,使用下列語法:
New-SecOpsOverridePolicy -Name SecOpsOverridePolicy -SentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>
不論您指定的 Name 值為何,原則名稱都是 SecOpsOverridePolicy,因此您也可以使用該值。
此範例會建立 SecOps 信箱原則。
New-SecOpsOverridePolicy -Name SecOpsOverridePolicy -SentTo secops@contoso.com
如需詳細的語法和參數資訊,請參閱 New-SecOpsOverridePolicy。
步驟 2:使用 PowerShell 建立 SecOps 覆寫規則
在 Exchange Online PowerShell 中,執行下列命令:
New-ExoSecOpsOverrideRule -Name SecOpsOverrideRule -Policy SecOpsOverridePolicy
不論您指定的 Name 值為何,規則名稱都會是 _Exe:SecOpsOverrid:<GUID\>
[sic],其中 <GUID> 是唯一的 GUID 值 (例如,312c23cf-0377-4162-b93d-6548a9977efb9) 。
如需詳細的語法和參數資訊,請參閱 New-ExoSecOpsOverrideRule。
使用 PowerShell 檢視 SecOps 覆寫原則
在 Exchange Online PowerShell 中,此範例會傳回唯一一個 SecOps 信箱原則的詳細資訊。
Get-SecOpsOverridePolicy
如需詳細的語法和參數資訊,請參閱 Get-SecOpsOverridePolicy。
使用 PowerShell 檢視 SecOps 覆寫規則
在 Exchange Online PowerShell 中,此範例會傳回 SecOps 覆寫規則的詳細資訊。
Get-ExoSecOpsOverrideRule
雖然上一個命令應該只會傳回一個規則,但擱置中刪除的規則也可能包含在結果中。
此範例會識別有效的規則 (一個) 和任何無效的規則。
Get-ExoSecOpsOverrideRule | Format-Table Name,Mode
識別無效的規則之後,您可以使用 Remove-ExoSecOpsOverrideRule Cmdlet 來移除它們,如 本文稍後所述。
如需詳細的語法和參數資訊,請參閱 Get-ExoSecOpsOverrideRule。
使用 PowerShell 修改 SecOps 覆寫原則
在 Exchange Online PowerShell 中,使用下列語法:
Set-SecOpsOverridePolicy -Identity SecOpsOverridePolicy [-AddSentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>] [-RemoveSentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>]
此範例會將 新 secops2@contoso.com
增至 SecOps 覆寫原則。
Set-SecOpsOverridePolicy -Identity SecOpsOverridePolicy -AddSentTo secops2@contoso.com
注意事項
如果存在相關聯的有效 SecOps 覆寫規則,則也會更新規則中的電子郵件位址。
如需詳細的語法和參數資訊,請參閱 Set-SecOpsOverridePolicy。
使用 PowerShell 修改 SecOps 覆寫規則
Set-ExoSecOpsOverrideRule Cmdlet 不會修改 SecOps 覆寫規則中的電子郵件位址。 若要修改 SecOps 覆寫規則中的電子郵件位址,請使用 Set-SecOpsOverridePolicy Cmdlet。
如需詳細的語法和參數資訊,請參閱 Set-ExoSecOpsOverrideRule。
使用 PowerShell 移除 SecOps 覆寫原則
在 Exchange Online PowerShell 中,此範例會移除 SecOps 信箱原則和對應的規則。
Remove-SecOpsOverridePolicy -Identity SecOpsOverridePolicy
如需詳細的語法和參數資訊,請參閱 Remove-SecOpsOverridePolicy。
使用 PowerShell 移除 SecOps 覆寫規則
在 Exchange Online PowerShell 中,使用下列命令:
移除任何 SecOps 覆寫規則:
Get-ExoSecOpsOverrideRule | Remove-ExoSecOpsOverrideRule
移除指定的 SecOps 覆寫規則:
Remove-ExoSecOpsOverrideRule -Identity "_Exe:SecOpsOverrid:312c23cf-0377-4162-b93d-6548a9977efb"
如需詳細的語法和參數資訊,請參閱 Remove-ExoSecOpsOverrideRule。
進階傳遞原則中第三方網路釣魚仿真的 PowerShell 程式
在 PowerShell 中,進階傳遞原則中第三方網路釣魚仿真的基本元素如下:
- 網路釣魚模擬覆寫原則:由 *-PhishSimOverridePolicy Cmdlet 控制。
- 網路釣魚模擬覆寫規則:由 *-ExoPhishSimOverrideRule Cmdlet 控制。
- 允許的 (解除封鎖) 網路釣魚模擬 URL:由 *-TenantAllowBlockListItems Cmdlet 控制。
注意事項
如先前所述,電子郵件式網路釣魚模擬中的連結不需要識別 URL。 您可以選擇性地識別 非電子郵件 網路釣魚模擬中的連結, (Teams 訊息或 Office 檔中的連結,) 在單擊時不應視為真正的威脅。
此行為會產生下列結果:
- 您會先建立原則,然後建立規則來識別套用規則的原則。
- 您可以個別修改原則和規則中的設定。
- 當您從 PowerShell 移除原則時,也會移除對應的規則。
- 當您從 PowerShell 移除規則時,不會移除對應的原則。 您必須手動移除對應的原則。
使用 PowerShell 設定第三方網路釣魚模擬
在 PowerShell 中設定第三方網路釣魚仿真是一個多步驟程式:
- 建立網路釣魚模擬覆寫原則。
- 建立網路釣魚模擬覆寫規則,指定:
- 套用規則的原則。
- 網路釣魚模擬訊息的來源IP位址。
- 選擇性地識別 非電子郵件 網路釣魚模擬中的網路釣魚模擬 URL, (Teams 訊息或 Office 檔中的連結,) 在單擊時不應視為真正的威脅。
步驟 1:使用 PowerShell 建立網路釣魚模擬覆寫原則
在 Exchange Online PowerShell 中,此範例會建立網路釣魚模擬覆寫原則。
New-PhishSimOverridePolicy -Name PhishSimOverridePolicy
不論您指定的 Name 值為何,原則名稱都是 PhishSimOverridePolicy,因此您也可以使用該值。
如需詳細的語法和參數資訊,請參閱 New-PhishSimOverridePolicy。
步驟 2:使用 PowerShell 建立網路釣魚模擬覆寫規則
在 Exchange Online PowerShell 中,使用下列語法:
New-ExoPhishSimOverrideRule -Name <ArbitraryTextValue> -Policy PhishSimOverridePolicy -Domains <Domain1>,<Domain2>,...<Domain10> -SenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntry10>
不論您指定的 Name 值為何,規則名稱都會是 _Exe:PhishSimOverr:<GUID\>
[sic],其中 <GUID> 是唯一的 GUID 值 (例如,6fed4b63-3563-495d-a481-b24a311f8329) 。
有效的 IP 位址專案是下列其中一個值:
- 單一IP:例如,192.168.1.1。
- IP 範圍:例如,192.168.0.1-192.168.0.254。
- CIDR IP:例如 192.168.0.1/25。
此範例會使用指定的設定建立網路釣魚模擬覆寫規則。
New-ExoPhishSimOverrideRule -Policy PhishSimOverridePolicy -Domains fabrikam.com,wingtiptoys.com -SenderIpRanges 192.168.1.55
如需詳細的語法和參數資訊,請參閱 New-ExoPhishSimOverrideRule。
步驟 3: (選擇性) 使用 PowerShell 識別要允許的網路釣魚模擬 URL
在 Exchange Online PowerShell 中,使用下列語法:
New-TenantAllowBlockListItems -Allow -ListType Url -ListSubType AdvancedDelivery -Entries "<URL1>","<URL2>",..."<URL10>" <[-NoExpiration] | [-ExpirationDate <DateTime>]>
如需 URL 語法的詳細資訊,請參閱 租用戶允許/封鎖清單的 URL 語法
本範例會為指定的第三方網路釣魚模擬 URL 新增 URL 允許專案,但不需到期。
New-TenantAllowBlockListItems -Allow -ListType Url -ListSubType AdvancedDelivery -Entries *.fabrikam.com -NoExpiration
如需詳細的語法和參數資訊,請參閱 New-TenantAllowBlockListItems。
使用PowerShell檢視網路釣魚模擬覆寫原則
在 Exchange Online PowerShell 中,此範例會傳回一個和唯一網路釣魚模擬覆寫原則的詳細資訊。
Get-PhishSimOverridePolicy
如需詳細的語法和參數資訊,請參閱 Get-PhishSimOverridePolicy。
使用 PowerShell 檢視網路釣魚模擬覆寫規則
在 Exchange Online PowerShell) 中,此範例會傳回網路釣魚模擬覆寫規則的詳細資訊。
Get-ExoPhishSimOverrideRule
雖然上一個命令應該只會傳回一個規則,但任何擱置刪除的規則也可能包含在結果中。
此範例會識別有效的規則 (一個) 和任何無效的規則。
Get-ExoPhishSimOverrideRule | Format-Table Name,Mode
識別無效的規則之後,您可以使用 Remove-ExoPhishSimOverrideRule Cmdlet 來移除它們,如 本文稍後所述。
如需詳細的語法和參數資訊,請參閱 Get-ExoPhishSimOverrideRule。
使用 PowerShell 檢視允許的網路釣魚模擬 URL 專案
在 Exchange Online PowerShell 中,執行下列命令:
Get-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery
如需詳細的語法和參數資訊,請參閱 Get-TenantAllowBlockListItems。
使用PowerShell修改網路釣魚模擬覆寫原則
在 Exchange Online PowerShell 中,使用下列語法:
Set-PhishSimOverridePolicy -Identity PhishSimOverridePolicy [-Comment "<DescriptiveText>"] [-Enabled <$true | $false>]
此範例會停用網路釣魚模擬覆寫原則。
Set-PhishSimOverridePolicy -Identity PhishSimOverridePolicy -Enabled $false
如需詳細的語法和參數資訊,請參閱 Set-PhishSimOverridePolicy。
使用 PowerShell 修改網路釣魚模擬覆寫規則
在 Exchange Online PowerShell 中,使用下列語法:
Get-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule [-Comment "<DescriptiveText>"] [-AddSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-RemoveSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-AddSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>] [-RemoveSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>]
或
Set-ExoPhishSimOverrideRule -Identity <PhishSimOverrideRuleIdentity> [-Comment "<DescriptiveText>"] [-AddSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-RemoveSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-AddSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>] [-RemoveSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>]
使用 Get-ExoPhishSimOverrideRule Cmdlet 來尋找 <PhishSimOverrideRuleIdentity> 值。 規則的名稱會使用下列語法:[sic], _Exe:PhishSimOverr:<GUID\>
其中 <GUID> 是唯一的 GUID 值 (例如,6fed4b63-3563-495d-a481-b24a311f8329) 。
此範例會使用下列設定修改 () 網路釣魚模擬覆寫規則:
- 新增網域專案 blueyonderairlines.com。
- 拿掉IP位址專案192.168.1.55。
這些變更不會影響規則中的現有專案。
Get-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule -AddSenderDomainIs blueyonderairlines.com -RemoveSenderIpRanges 192.168.1.55
如需詳細的語法和參數資訊,請參閱 Set-ExoPhishSimOverrideRule。
使用 PowerShell 修改允許的網路釣魚模擬 URL 專案
您無法直接修改 URL 值。 您可以 移除現有的 URL 專案 ,並 新增新的 URL 專案 ,如本文所述。
在 Exchange Online PowerShell 中,若要修改允許網路釣魚模擬 URL 專案的其他屬性 (例如到期日或批注) ,請使用下列語法:
Set-TenantAllowBlockListItems <-Entries "<URL1>","<URL2>",..."<URLN>" | -Ids <Identity> -ListType URL -ListSubType AdvancedDelivery <[-NoExpiration] | [-ExpirationDate <DateTime>]> [-Notes <String>]
您可以 (Get-TenantAllowBlockListItems Cmdlet 的輸出中的 Entries 參數) 或 Identity 值,識別要修改的專案, (Ids 參數) 。
本範例修改了指定專案的到期日。
Set-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery -Entries "*.fabrikam.com" -ExpirationDate 9/11/2021
如需詳細的語法和參數資訊,請參閱 Set-TenantAllowBlockListItems。
使用 PowerShell 移除網路釣魚模擬覆寫原則
在 Exchange Online PowerShell 中,此範例會移除網路釣魚模擬覆寫原則和對應的規則。
Remove-PhishSimOverridePolicy -Identity PhishSimOverridePolicy
如需詳細的語法和參數資訊,請參閱 Remove-PhishSimOverridePolicy。
使用 PowerShell 移除網路釣魚模擬覆寫規則
在 Exchange Online PowerShell 中,使用下列命令:
拿掉任何網路釣魚模擬覆寫規則:
Get-ExoPhishSimOverrideRule | Remove-ExoPhishSimOverrideRule
拿掉指定的網路釣魚模擬覆寫規則:
Remove-ExoSPhishSimOverrideRule -Identity "_Exe:PhishSimOverr:6fed4b63-3563-495d-a481-b24a311f8329"
如需詳細的語法和參數資訊,請參閱 Remove-ExoPhishSimOverrideRule。
使用 PowerShell 移除允許的網路釣魚模擬 URL 專案
在 Exchange Online PowerShell 中,使用下列語法:
Remove-TenantAllowBlockListItems <-Entries "<URL1>","<URL2>",..."<URLN>" | -Ids <Identity> -ListType URL -ListSubType AdvancedDelivery
您可以 (Get-TenantAllowBlockListItems Cmdlet 的輸出中的 Entries 參數) 或 Identity 值,識別要修改的專案, (Ids 參數) 。
本範例修改了指定專案的到期日。
Remove-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery -Entries "*.fabrikam.com" -ExpirationDate 9/11/2021
如需詳細的語法和參數資訊,請參閱 Remove-TenantAllowBlockListItems。