共用方式為


移轉至 適用於 Office 365 的 Microsoft Defender - 階段 2:安裝程式


階段 1:準備。
階段 1:準備
階段 2:設定。
階段 2:設定
階段 3:上線。
階段 3:上線
您在這裡!

歡迎使用階段 2:將移轉設定為 適用於 Office 365 的 Microsoft Defender! 此移轉階段包含下列步驟:

  1. 建立試驗用戶的通訊群組
  2. 設定用戶回報的訊息設定
  3. 維護或建立 SCL=-1 郵件流程規則
  4. 設定連接器的增強篩選
  5. 建立試驗保護原則

步驟 1:建立試驗用戶的通訊群組

在移轉的下列層面,Microsoft 365 中需要通訊群組:

  • SCL=-1 郵件流程規則的例外狀況:您希望試驗使用者取得 適用於 Office 365 的 Defender 保護的完整效果,因此您需要 適用於 Office 365 的 Defender 來掃描其傳入的郵件。 您可以在 Microsoft 365 的適當通訊群組中定義試驗使用者,並將這些群組設定為 SCL=-1 郵件流程規則的例外狀況,以取得此結果。

    如同我們在 上線步驟 2: (選擇性) 豁免試驗使用者由現有的保護服務篩選中所述,您應該考慮豁免這些相同的試驗使用者,使其不受現有保護服務的掃描。 排除現有保護服務篩選並獨佔依賴 適用於 Office 365 的 Defender 的可能性,是移轉完成後將發生情況的最佳和最接近表示法。

  • 測試特定的 適用於 Office 365 的 Defender 保護功能:即使是試驗使用者,您也不想要一次開啟所有專案。 針對試驗使用者生效的保護功能使用分段方法,可讓您更輕鬆地進行疑難解答和調整。 考慮到此方法,建議您使用下列通訊群組:

    • 安全附件試驗群組:例如, MDOPilot_SafeAttachments
    • 安全鏈接試驗群組:例如, MDOPilot_SafeLinks
    • Standard 反垃圾郵件和防網路釣魚原則設定的試驗群組:例如,MDOPilot_SpamPhish_Standard
    • 嚴格反垃圾郵件和防網路釣魚原則設定的試驗群組:例如, MDOPilot_SpamPhish_Strict

為了清楚起見,我們會在本文中使用這些特定組名,但您可以自由使用自己的命名慣例。

當您準備好開始測試時,請將這些群組新增為 SCL=-1 郵件流程規則的例外狀況。 當您在 適用於 Office 365 的 Defender 中建立各種保護功能的原則時,請使用這些群組作為條件,以定義原則適用者。

附註

  • Standard 和 Strict 一詞來自我們建議的安全性設定,這些設定也用於預設的安全策略。 在理想情況下,我們會告訴您在 Standard和嚴格預設安全策略中定義試驗使用者,但無法這麼做。 為什麼? 因為您無法特別自定義預設安全策略 (中的設定,所以對訊息所採取的動作) 。 在移轉測試期間,您想要查看 適用於 Office 365 的 Defender 會對訊息執行哪些動作、確認這是您想要的結果,以及可能調整原則設定以允許或防止這些結果。

    因此,您不會使用預設的安全策略,而是要手動建立具有類似設定的自定義原則,但在某些情況下與 Standard 和 Strict 預設安全策略的設定不同。

  • 如果您想要試驗與我們 Standard 或嚴格建議值有顯著差異的設定,您應該考慮在這些案例中為試驗使用者建立和使用其他和特定的通訊群組。 您可以使用組態分析器來查看設定的安全性。 如需指示,請參閱 EOP 和 適用於 Office 365 的 Microsoft Defender 中保護原則的設定分析器

    對於大部分的組織而言,最佳方法是從與建議 Standard 設定緊密一致的原則開始。 在您能夠在可用的時間範圍中進行許多觀察和意見反應之後,您稍後就可以移至更積極的設定。 模擬保護和傳遞至垃圾郵件 Email 資料夾與傳遞至隔離可能需要自定義。

    如果您使用自定義原則,只要確定它們已在包含移轉建議設定 的原則之前 套用。 如果在多個相同類型的原則中識別使用者, (例如,防網路釣魚) ,則只會根據原則) 的優先順序值,將該類型的一個原則套用至使用者 (。 如需詳細資訊,請參閱 電子郵件保護的順序和優先順序

步驟 2:設定使用者回報的訊息設定

使用者從 適用於 Office 365 的 Defender 回報誤判或誤判為真的能力是移轉中很重要的一部分。

您可以指定 Exchange Online 信箱來接收使用者回報為惡意或非惡意的郵件。 如需指示,請參閱 使用者報告設定。 此信箱可以接收您的使用者提交至Microsoft的郵件複本,或信箱可以攔截訊息,而不需要向Microsoft回報 (您的安全性小組可以手動分析並提交郵件本身) 。 不過,攔截方法不允許服務自動微調和學習。

您也應該確認試驗中的所有使用者都有一種支援的方式,可報告從 適用於 Office 365 的 Defender 收到不正確決策的訊息。 這些選項包括:

請勿略過此步驟的重要性。 來自使用者報告訊息的數據會提供意見反應迴圈,讓您在移轉前後確認良好的一致終端用戶體驗。 此意見反應可協助您做出明智的原則設定決策,並提供數據支援的報告給管理,讓移轉順利進行。

一個以上的移轉不是依賴以整個組織經驗為基礎的數據,而是根據單一負面的用戶體驗而導致情緒上的負面影響。 此外,如果您一直在執行網路釣魚模擬,您可以使用使用者的意見反應,在使用者看到可能需要調查的風險時通知您。

步驟 3:維護或建立 SCL=-1 郵件流程規則

因為輸入電子郵件是透過位於 Microsoft 365 前方的另一個保護服務來路由傳送,所以您可能已經有郵件流程規則 (也稱為傳輸規則) ,Exchange Online 會將所有內送郵件的垃圾郵件信賴等級 (SCL) 設定為值 -1, (略過垃圾郵件篩選) 。 大部分的第三方保護服務都會針對想要使用其服務的Microsoft 365 客戶,鼓勵使用此 SCL=-1 郵件流程規則。

例如,如果您使用一些其他機制來覆寫Microsoft篩選堆棧 (,則IP允許清單) 建議您切換為使用 SCL=-1 郵件流程規則, 只要 所有輸入因特網郵件到 Microsoft 365 都來自第三方保護服務, (沒有直接從因特網流向 Microsoft 365) 的郵件流程。

SCL=-1 郵件流程規則在移轉期間很重要,原因如下:

  • 您可以使用 威脅總管 (總管) 來查看Microsoft堆棧中的哪些功能 會對 訊息採取動作,而不會影響現有保護服務的結果。

  • 您可以設定 SCL=-1 郵件流程規則的例外狀況,以逐漸調整受Microsoft 365 篩選堆棧保護的人員。 例外狀況是我們稍後在本文中建議的試驗散發群組成員。

    在 MX 記錄完全移轉至 Microsoft 365 之前或期間,您會停用此規則,為組織中的所有收件者開啟Microsoft 365 保護堆棧的完整保護。

如需詳細資訊,請參閱使用郵件流程規則在 Exchange Online 中設定郵件中的垃圾郵件信賴等級 (SCL)

附註

  • 如果您打算允許因特網郵件同時流經現有的保護服務 ,並 直接流向 Microsoft 365,您需要將 SCL=-1 郵件流程規則限制 (郵件,以略過垃圾郵件篩選) 僅限通過現有保護服務的郵件。 您不希望未篩選的因特網郵件登陸Microsoft 365 中的使用者信箱。

    若要正確識別現有保護服務已掃描的郵件,您可以將條件新增至 SCL=-1 郵件流程規則。 例如:

    • 針對雲端式保護服務:您可以使用組織特有的標頭和標頭值。 Microsoft 365 不會掃描具有標頭的訊息。 Microsoft 365 掃描沒有標頭的訊息
    • 針對內部部署保護服務或裝置:您可以使用來源IP位址。 Microsoft 365 不會掃描來自來源 IP 位址的訊息。 不是來自來源IP位址的訊息會由 Microsoft 365 掃描。
  • 請勿獨佔依賴 MX 記錄來控制是否篩選郵件。 寄件者可以輕鬆地忽略 MX 記錄,並將電子郵件直接傳送至 Microsoft 365。

步驟 4:設定連接器的增強篩選

第一件事是設定 連接器的增強式篩選 (也稱為略過連接器上的 清單) ,該連接器用於從現有保護服務到 Microsoft 365 的郵件流程。 您可以使用輸入 訊息報告 來協助識別連接器。

適用於 Office 365 的 Defender 需要增強的連接器篩選,才能查看因特網訊息的實際來源。 增強的連接器篩選可大幅改善Microsoft篩選堆疊的精確度 (特別是 詐騙情報,以及 威脅 總管和 自動化調查 & 回應 (AIR) 中的入侵後功能。

若要正確啟用連接器的增強式篩選,您必須新增 **all** 第三方服務和/或內部部署電子郵件系統主機的用IP位址,以將輸入郵件路由傳送至 Microsoft 365。

若要確認連接器的增強式篩選正常運作,請確認傳入的訊息包含下列其中一個或兩個標頭:

  • X-MS-Exchange-SkipListedInternetSender
  • X-MS-Exchange-ExternalOriginalInternetSender

步驟 5:建立試驗保護原則

藉由建立生產原則,即使它們並未套用至所有使用者,您也可以測試威脅總管之類的入侵后功能,並測試將 適用於 Office 365 的 Defender 整合到安全性回應小組的程式中。

重要事項

原則的範圍可以是使用者、群組或網域。 我們不建議在一個原則中混合所有三個,因為只有符合這三個原則的使用者會落在原則的範圍內。 針對試驗原則,建議使用群組或使用者。 針對生產原則,建議您使用網域。 請務必瞭解 ,只有 使用者的主要電子郵件網域會判斷使用者是否落在原則範圍內。 因此,如果您切換使用者次要網域的 MX 記錄,請確定原則也會涵蓋其主域。

建立試驗安全附件原則

在切換 MX 記錄之前,安全附件是啟用和測試的最簡單 適用於 Office 365 的 Defender 功能。 安全附件具有下列優點:

  • 最小設定。
  • 誤判的機率極低。
  • 類似於反惡意代碼保護的行為,其一律開啟且不受 SCL=-1 郵件流程規則影響。

如需建議的設定,請 參閱建議的安全附件原則設定。 Standard 和 Strict 建議相同。 若要建立原則, 請參閱設定安全附件原則。 請務必使用群組 MDOPilot_SafeAttachments 作為原則 (套用至) 者的條件。

注意事項

內建保護預設安全策略可為未在任何安全附件原則中定義的所有收件者提供安全附件保護。 如需詳細資訊,請參閱 EOP 和 適用於 Office 365 的 Microsoft Defender 中的預設安全策略

注意事項

我們不支持包裝或重寫已包裝或重寫的連結。 如果您目前的保護服務已經包裝或重寫電子郵件訊息中的連結,您必須為試驗使用者關閉此功能。 確保不會發生這種情況的其中一種方式,就是在安全鏈接原則中排除另一個服務的URL網域。

安全鏈接中誤判的可能性也相當低,但您應該考慮在比安全附件較少的試驗用戶上測試此功能。 因為此功能會影響用戶體驗,所以您應該考慮教育用戶的計劃。

如需建議的設定,請參閱 安全鏈接原則設定。 Standard 和 Strict 建議相同。 若要建立原則, 請參閱設定安全鏈接原則。 請務必使用群組 MDOPilot_SafeLinks 作為原則 (套用至) 的條件。

注意事項

內建保護預設安全策略可為未在任何安全鏈接原則中定義的所有收件者提供安全鏈接保護。 如需詳細資訊,請參閱 EOP 和 適用於 Office 365 的 Microsoft Defender 中的預設安全策略

建立試驗反垃圾郵件原則

為試驗使用者建立兩個反垃圾郵件原則:

  • 使用 Standard 設定的原則。 使用群組 MDOPilot_SpamPhish_Standard 作為原則 (套用至) 者的條件。
  • 使用 Strict 設定的原則。 使用群組 MDOPilot_SpamPhish_Strict 作為原則 (套用至) 者的條件。 此原則的優先順序應該較高, (比具有 Standard 設定的原則低) 數目。

如需建議的 Standard 和嚴格設定,請參閱建議的反垃圾郵件原則設定。 若要建立原則, 請參閱設定反垃圾郵件原則

建立試驗防網路釣魚原則

為試驗使用者建立兩個防網路釣魚原則:

  • 使用 Standard 設定的原則,但模擬偵測動作除外,如下所述。 使用群組 MDOPilot_SpamPhish_Standard 作為原則 (套用至) 者的條件。
  • 使用 Strict 設定的原則,但模擬偵測動作除外,如下所述。 使用群組 MDOPilot_SpamPhish_Strict 作為原則 (套用至) 者的條件。 此原則的優先順序應該較高, (比具有 Standard 設定的原則低) 數目。

針對詐騙偵測,建議的 Standard 動作是將郵件移至收件者的垃圾 Email資料夾,而建議的 Strict 動作是隔離郵件。 使用詐騙情報深入解析來觀察結果。 下一節會說明覆寫。 如需詳細資訊,請參閱 EOP 中的詐騙情報見解

針對模擬偵測,請忽略試驗原則的建議 Standard 和嚴格動作。 請改用值[不要對下列設定 套用任何動作 ]:

  • 如果偵測到訊息為用戶模擬
  • 如果訊息偵測為模擬網域
  • 如果信箱智慧偵測到仿真的使用者

使用模擬深入解析來觀察結果。 如需詳細資訊,請參閱 適用於 Office 365 的 Defender 中的模擬深入解析

調整詐騙保護 (調整允許和封鎖) ,並開啟每個模擬保護動作,根據 Standard 或嚴格建議) 將訊息隔離或移至垃圾郵件 Email 資料夾 (。 觀察結果,並視需要調整其設定。

如需詳細資訊,請參閱下列文章:

下一個步驟

恭喜! 您已完成移轉至 適用於 Office 365 的 Microsoft Defender安裝階段!