EOP 和適用於 Office 365 的 Microsoft Defender 中的預設安全性原則
提示
您知道您可以免費試用 適用於 Office 365 的 Microsoft Defender 方案 2 中的功能嗎? 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 瞭解誰可以在 Try 適用於 Office 365 的 Microsoft Defender 上註冊和試用條款。
默認安全策略 可讓您根據我們建議的設定,將保護功能套用至使用者。 不同於可無限設定的自定義原則,預設安全策略中幾乎所有設定都無法設定,且是以我們在數據中心的觀察為基礎。 默認安全策略中的設定可在讓有害內容遠離使用者,同時避免不必要的中斷之間取得平衡。
根據您的組織,預設安全策略提供許多可在 Exchange Online Protection (EOP) 和 適用於 Office 365 的 Microsoft Defender 中使用的保護功能。
以下是可用的預設安全策略:
- Standard 預設安全策略
- 嚴格 預設安全策略
- 內建保護預設安全策略 (適用於 Office 365 的 Defender 中安全附件和安全鏈接保護的默認原則)
如需這些預設安全策略的詳細資訊,請參閱本文結尾的 附錄 一節。
本文的其餘部分將說明如何設定預設的安全策略。
開始之前有哪些須知?
您會在 開啟 Microsoft Defender 入口網站https://security.microsoft.com。 若要直接移至 [預設安全策略 ] 頁面,請使用 https://security.microsoft.com/presetSecurityPolicies。
若要連線至 Exchange Online PowerShell,請參閱連線至 Exchange Online PowerShell。
您必須獲得指派許可權,才能執行本文中的程式。 您有下列選項:
Microsoft Defender 全面偵測回應 整合角色型訪問控制 (RBAC) ( 如果 Email & 共同作業>適用於 Office 365 的 Defender 許可權為作用中。只會影響 Defender 入口網站,而不會影響 PowerShell) : (管理) 的授權和設定/安全性設定/核心安全性設定或 (讀取) 的授權和設定/安全性設定/核心安全性設定。
-
- 設定預設安全策略: 組織管理 或 安全性系統管理員 角色群組中的成員資格。
- 默認安全策略的唯讀存取權:全域 讀取者 角色群組中的成員資格。
Microsoft Entra 權限:全域管理員、安全性系統管理員*或全域讀取者角色的成員資格,會為使用者提供Microsoft 365 中其他功能的必要許可權和許可權。
重要事項
* Microsoft建議您使用許可權最少的角色。 使用較低許可權的帳戶有助於改善組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。
使用 Microsoft Defender 入口網站將 Standard 和嚴格預設安全策略指派給使用者
在 Microsoft Defender 入口網站https://security.microsoft.com中,移至 [範本化原則]區段中的 Email & > 共同作業原則 & 規則>威脅原則>預設安全策略]。 或者,若要直接移至 [預設安全 策略] 頁面,請使用 https://security.microsoft.com/presetSecurityPolicies。
如果這是您第一次在 [預設安全策略] 頁面上進行,則 Standard 保護和嚴格保護可能會關閉。
將您要 設定的切換開關投影片到 ,然後選取 [ 管理保護設定 ] 以啟動組態精靈。
在 [套用 Exchange Online Protection] 頁面上,識別 EOP 保護套用至 (收件者條件的內部收件者) :
所有收件者
特定收件者:設定出現的下列其中一個收件者條件:
- 使用者:指定的信箱、郵件使用者或郵件連絡人。
-
群組:
- ) 不支援指定通訊群組的成員或啟用郵件功能的安全組 (動態通訊群組。
- 指定的 Microsoft 365 群組。
- 網域:組織中在指定的 已接受網域中具有主要電子郵件位址的所有收件者。
按一下適當的方塊,開始輸入值,然後從結果中選取您想要的值。 視需要重複此程序多次。 若要移除現有的值,請選擇 值旁邊的 。
針對使用者或群組,您可以使用大部分識別碼 (名稱、顯示名稱、別名、電子郵件地址、帳戶名稱等),但會在結果中顯示對應的顯示名稱。 針對使用者或群組,請自行輸入星號 (*) ,以查看所有可用的值。
您只能使用條件一次,但條件可以包含多個值:
相同條件的多個值使用 OR 邏輯 (例如 recipient1<> 或 <recipient2>) 。 如果收件者符合 任何 指定的值,則會將原則套用至這些值。
不同 類型的條件 會使用 AND 邏輯。 收件者必須符合 所有 指定的條件,原則才能套用到這些條件。 例如,您可以使用下列值來設定條件:
- 使用者:
romain@contoso.com
- 群組:主管
只有在他也是主管群組的成員時,原則才會套用至
romain@contoso.com
。 否則,原則不會套用到他。- 使用者:
無
排除這些收件者:如果您選取 [ 所有收件者] 或 [ 特定收件者],請選取此選項以設定收件者例外狀況。
您只能使用例外狀況一次,但例外狀況可以包含多個值:
- 相同例外狀況的多個值使用 OR 邏輯 (例如 recipient1<> 或 <recipient2>) 。 如果收件者符合 任何 指定的值,就不會套用原則。
- 不同類型的例外狀況會使用 OR 邏輯 (例如,<recipient1 或 group1>>的成員或 domain1) 的成員。<>< 如果收件者符合 任何 指定的例外狀況值,就不會套用原則。
當您在 [套用 Exchange Online Protection] 頁面上完成時,請選取 [下一步]。
注意事項
在沒有 適用於 Office 365 的 Defender 的組織中,選取 [下一步] 會帶您前往步驟 9) ([檢閱] 頁面。
在 [套用 適用於 Office 365 的 Defender 保護] 頁面上,識別 適用於 Office 365 的 Defender 保護套用至 (收件者條件) 的內部收件者。
設定和行為與上一個步驟中的 [套用 Exchange Online Protection] 頁面完全相同。
您也可以選 取 [先前選取的收件者 ],以使用您在上一頁選取的 EOP 保護收件者。
當您在 [套用 適用於 Office 365 的 Defender 保護] 頁面上完成時,請選取 [下一步]。
在 [ 模擬保護 ] 頁面上,選取 [ 下一步]。
在 [ 新增電子郵件位址以在攻擊者模擬時加上旗標 ] 頁面上,新增受到 用戶模擬保護的內部和外部寄件者。
注意事項
所有收件者都會自動收到預設安全策略中 信箱情報 的模擬保護。
您可以在 Standard 或 Strict 預設安全策略中指定最多 350 個使用者的使用者模擬保護。
如果寄件人和收件者先前已透過電子郵件進行通訊,則用戶模擬保護無法運作。 如果寄件人和收件者從未透過電子郵件進行通訊,則可以將郵件識別為模擬嘗試。
每個專案都包含一個顯示名稱和一個電子郵件位址:
內部使用者:按兩下[ 新增有效的電子郵件 ] 方塊,或開始輸入使用者的電子郵件位址。 在出現的 [ 建議的聯繫人 ] 下拉式清單中選取電子郵件位址。 使用者的顯示名稱會新增至 [ 新增名稱 ] 方塊 (您可以變更) 。 當您完成選取使用者時,請選取 [ 新增]。
外部使用者:在 [ 新增有效的電子郵件 ] 方塊中輸入外部使用者的完整電子郵件地址,然後在出現的 [ 建議的聯繫人 ] 下拉式清單中選取電子郵件位址。 電子郵件位址也會新增至 [ 新增名稱 ] 方塊 (您可以將其變更為顯示名稱) 。
視需要重複這些步驟。
您新增的使用者會依 [顯示名稱 ] 和 [ 寄件者電子郵件位址] 列在頁面上。 若要移除使用者,請選擇 項目旁邊的 。
使用 [ 搜尋] 方 塊來尋找頁面上的專案。
當您在 [套用 適用於 Office 365 的 Defender 保護] 頁面上完成時,請選取 [下一步]。
在 [ 新增網域以在攻擊者模擬時加上旗標 ] 頁面上,新增受 網域模擬保護的內部和外部網域。
按兩下 [ 新增網域 ] 方塊,輸入定義域值,按 ENTER 鍵,或選取方塊下方顯示的值。 若要從方塊中移除網域並重新開始,請選擇 網域旁邊的 。 當您準備好新增網域時,請選取 [ 新增]。 視需要重複此步驟多次。
您新增的網域會列在頁面上。 若要移除網域,請選擇 值旁邊的 。
您新增的網域會列在頁面上。 若要移除網域,請選擇 項目旁邊的 。
若要從清單中移除現有的專案,請選擇 項目旁邊的 。
當您完成 [新增網 域以在攻擊者模擬時加上旗標] 時,請選取 [ 下一步]。
在 [ 新增受信任的電子郵件地址和網域不要標示為模擬 ] 頁面上,輸入您要從模擬保護中排除的發件者電子郵件地址和網域。 來自這些寄件者的訊息永遠不會標示為模擬攻擊,但寄件者仍受限於由 EOP 和 適用於 Office 365 的 Defender 中的其他篩選進行掃描。
注意事項
受信任的網域專案不包含指定網域的子域。 您需要為每個子域新增一個專案。
在方塊中輸入電子郵件位址或網域,然後按 ENTER 鍵或選取方塊下方顯示的值。 若要從方塊中移除值並重新開始,請選擇 值旁邊的 。 當您準備好要新增使用者或網域時,請選取 [ 新增]。 視需要重複此步驟多次。
您新增的使用者和網域會依 [ 名稱 ] 和 [ 類型] 列在頁面上。 若要移除專案,請選擇 項目旁邊的 。
當您在 [ 新增受信任的電子郵件地址和網域不要標示為模擬 ] 頁面上完成時,請選取 [ 下一步]。
在 [ 檢閱並確認您的變更 ] 頁面上,檢閱您的設定。 您可以選 取 [上一頁 ] 或精靈中的特定頁面來修改設定。
當您在 [ 檢閱並確認變更 ] 頁面上完成時,請選取 [ 確認]。
在 [Standard 保護已更新或嚴格保護更新] 頁面上,選取 [完成]。
使用 Microsoft Defender 入口網站來修改 Standard 和嚴格預設安全策略的指派
修改 Standard 保護或嚴格保護預設安全策略指派的步驟,與您一開始將預設安全策略指派給使用者時的步驟相同。
若要停用 Standard 保護或嚴格保護預設安全策略,同時仍保留現有的條件和例外狀況,請將切換開關滑至 。 若要啟用原則,請將切換開關滑至 。
使用 Microsoft Defender 入口網站將排除專案新增至內建保護預設安全策略
提示
內建保護預設安全策略會套用至組織中具有適用於 Microsoft 365 的 Defender 任何授權數量的所有使用者。 在系統管理員特別設定 適用於 Office 365 的 Defender 保護之前,此應用程式是保護最廣泛使用者集合的信念。 由於預設會啟用 內建保護 ,因此客戶不需要擔心違反產品授權條款。 不過,建議您購買足夠的 適用於 Office 365 的 Defender 授權,以確保所有使用者都能夠繼續使用內建保護。
內建保護預設安全策略不會影響 Standard 或嚴格預設安全策略或自定義安全連結或安全附件原則中定義的收件者。 因此,我們通常不建議 使用內建保護 預設安全策略的例外狀況。
在 Microsoft Defender 入口網站https://security.microsoft.com中,移至 [範本化原則] 區段中的 Email &> 共同作業原則 & 規則>威脅原則>預設安全策略]。 或者,若要直接移至 [預設安全 策略] 頁面,請使用 https://security.microsoft.com/presetSecurityPolicies。
在 [預設安全策略] 頁面上,選取 [內建保護] 區段中的 [ (不建議 ) 新增排除專案]。
在開啟的 [ 從內建保護 排除] 飛出視窗中,識別從內建安全連結和安全附件保護中排除的內部收件者:
- 使用者
-
群組:
- ) 不支援指定通訊群組的成員或啟用郵件功能的安全組 (動態通訊群組。
- 指定的 Microsoft 365 群組。
- 網域
按兩下適當的方塊,開始輸入值,然後選取方塊下方顯示的值。 視需要重複此程序多次。 若要移除現有的值,請選擇 值旁邊的 。
針對使用者或群組,您可以使用大部分識別碼 (名稱、顯示名稱、別名、電子郵件地址、帳戶名稱等),但會在結果中顯示對應的顯示名稱。 針對使用者,輸入星號 (*) 來查看所有可用的值。
您只能使用例外狀況一次,但例外狀況可以包含多個值:
- 相同例外狀況的多個值使用 OR 邏輯 (例如 recipient1<> 或 <recipient2>) 。 如果收件者符合 任何 指定的值,就不會套用原則。
- 不同類型的例外狀況會使用 OR 邏輯 (例如,<recipient1 或 group1>>的成員或 domain1) 的成員。<>< 如果收件者符合 任何 指定的例外狀況值,就不會套用原則。
當您在 [ 從內建保護排除 ] 飛出視窗中完成時,請選取 [ 儲存]。
如何知道這些程序是否正常運作?
若要確認您已成功將 Standard 保護或嚴格保護安全策略指派給使用者,請使用預設值與 Standard 保護設定不同的保護設定,這與 Strict 保護設定不同。
例如,針對偵測到為垃圾郵件的電子郵件, (信賴度不高的垃圾郵件) 確認郵件已傳遞至 Standard 保護使用者的垃圾郵件 Email 資料夾,並隔離為嚴格保護使用者。
或者,針對大量郵件,請確認 BCL 值 6 或更高版本會將郵件傳遞至垃圾郵件 Email 資料夾,以供 Standard 保護使用者使用,而 BCL 值 5 或更高值則會隔離嚴格保護使用者的郵件。
Exchange Online PowerShell 中的預設安全策略
在 PowerShell 中,預設的安全策略包含下列元素:
個別安全策略:例如,反惡意代碼原則、反垃圾郵件原則、反網路釣魚原則、安全鏈接原則和安全附件原則。 您可以在 PowerShell 中使用標準原則管理 Cmdlet 來顯示這些原則 Exchange Online:
- EOP 原則:
- 適用於 Office 365 的 Defender 原則:
警告
請勿嘗試建立、修改或移除與預設安全策略相關聯的個別安全策略。 為 Standard 或嚴格預設安全策略建立個別安全策略的唯一支援方法,是第一次在 Microsoft Defender 入口網站中開啟預設的安全策略。
規則:Standard 預設安全策略、嚴格預設安全策略和內建保護預設安全策略會使用個別規則。 這些規則會定義原則套用至) (原則的收件者條件和例外狀況。 您可以在 Exchange Online PowerShell 中使用下列 Cmdlet 來管理這些規則:
- Exchange Online Protection (EOP) 保護的規則:
- 適用於 Office 365 的 Defender 保護的規則:
- 內建保護預設安全策略的規則:
針對 Standard 和嚴格預設安全策略,這些規則會在您第一次在入口網站中開啟預設安全策略時建立 Microsoft Defender。 如果您從未開啟預設的安全策略,則相關聯的規則不存在。 關閉預設安全策略並不會刪除相關聯的規則。
下列各節說明如何在 支援的案例中使用這些 Cmdlet。
若要連線至 Exchange Online PowerShell,請參閱連線至 Exchange Online PowerShell。
使用 PowerShell 檢視預設安全策略的個別安全策略
請記住,如果您從未在 Microsoft Defender 入口網站中開啟 Standard 預設安全策略或 Strict 預設安全策略,預設安全策略的相關聯安全策略就不存在。
內建保護預設安全策略:相關聯的原則會命名 Built-In 保護原則。 這些原則的IsBuiltInProtection 屬性值為True。
若要檢視內建保護預設安全策略的個別安全策略,請執行下列命令:
Write-Output -InputObject ("`r`n"*3),"Built-in protection Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy -Identity "Built-In Protection Policy" | Format-List; Write-Output -InputObject ("`r`n"*3),"Built-in protection Safe Links policy",("-"*79);Get-SafeLinksPolicy -Identity "Built-In Protection Policy" | Format-List
Standard 預設安全策略:相關聯的原則命名為
Standard Preset Security Policy<13-digit number>
。 例如,Standard Preset Security Policy1622650008019
。 原則的 RecommendPolicyType 屬性值 Standard。若要在只有 EOP 的組織中檢視 Standard 預設安全策略的個別安全策略,請執行下列命令:
Write-Output -InputObject ("`r`n"*3),"Standard anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"
若要在具有 適用於 Office 365 的 Defender 的組織中檢視 Standard 預設安全策略的個別安全策略,請執行下列命令:
Write-Output -InputObject ("`r`n"*3),"Standard anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"
嚴格預設安全策略:相關聯的原則命名為
Strict Preset Security Policy<13-digit number>
。 例如,Strict Preset Security Policy1642034872546
。 原則的 RecommendPolicyType 屬性值為 Strict。若要 在只有 EOP 的組織中檢視嚴格預設安全策略的個別安全策略,請執行下列命令:
Write-Output -InputObject ("`r`n"*3),"Strict anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"
若要在具有 適用於 Office 365 的 Defender 的組織中檢視嚴格預設安全策略的個別安全策略,請執行下列命令:
Write-Output -InputObject ("`r`n"*3),"Strict anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"
使用 PowerShell 檢視預設安全策略的規則
請記住,如果您從未在 Microsoft Defender 入口網站中開啟 Standard 預設安全策略或 Strict 預設安全策略,則這些原則的相關規則不存在。
內建保護預設安全策略:只有一個名為 ATP 的規則 Built-In 保護規則。
若要檢視與內建保護預設安全策略相關聯的規則,請執行下列命令:
Get-ATPBuiltInProtectionRule
Standard 預設安全策略:相關聯的規則會命名 Standard 預設安全策略。
使用下列命令來檢視與 Standard 預設安全策略相關聯的規則:
若要檢視與 Standard 預設安全策略中 EOP 保護相關聯的規則,請執行下列命令:
Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"
若要檢視與 Standard 預設安全策略中 適用於 Office 365 的 Defender 保護相關聯的規則,請執行下列命令:
Get-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"
若要同時檢視 這兩個規則 ,請執行下列命令:
Write-Output -InputObject ("`r`n"*3),"EOP rule - Standard preset security policy",("-"*79);Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"; Write-Output -InputObject ("`r`n"*3),"Defender for Office 365 rule - Standard preset security policy",("-"*79);Get-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"
嚴格預設安全策略:相關聯的規則命名為 Strict Preset Security Policy。
使用下列命令來檢視與 Strict 預設安全策略相關聯的規則:
若要在 Strict 預設安全策略中檢視與 EOP 保護 相關聯的規則,請執行下列命令:
Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"
若要檢視與 Strict 預設安全策略中 適用於 Office 365 的 Defender 保護相關聯的規則,請執行下列命令:
Get-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"
若要同時檢視 這兩個規則 ,請執行下列命令:
Write-Output -InputObject ("`r`n"*3),"EOP rule - Strict preset security policy",("-"*79);Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"; Write-Output -InputObject ("`r`n"*3),"Defender for Office 365 rule - Strict preset security policy",("-"*79);Get-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"
使用 PowerShell 開啟或關閉預設安全策略
若要在 PowerShell 中開啟或關閉 Standard 或嚴格預設安全策略,請啟用或停用與原則相關聯的規則。 規則的 State 屬性值會顯示規則為 Enabled 或 Disabled。
如果您的組織只有 EOP,您可以停用或啟用 EOP 保護的規則。
如果您的組織已 適用於 Office 365 的 Defender,您可以啟用或停用 EOP 保護的規則,以及 適用於 Office 365 的 Defender 保護的規則 (啟用或停用這兩個規則) 。
只有 EOP 的組織:
執行下列命令,以判斷目前啟用或停用 Standard 和嚴格預設安全策略的規則:
Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50); Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50); Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy" | Format-Table Name,State
執行下列命令,以關閉已開啟 Standard 預設安全策略:
Disable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"
如果已開啟 Strict 預設安全策略,請執行下列命令來關閉該原則:
Disable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"
如果 Standard 預設安全策略已關閉,請執行下列命令來開啟該原則:
Enable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"
執行下列命令,以在關閉時開啟 Strict 預設安全策略:
Enable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"
具有 適用於 Office 365 的 Defender 的組織:
執行下列命令,以判斷目前啟用或停用 Standard 和嚴格預設安全策略的規則:
Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50);Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject `r`n,"Defender for Office 365 protection rule",("-"*50);Get-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50);Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject `r`n,"Defender for Office 365 protection rule",("-"*50);Get-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy" | Format-Table Name,State
執行下列命令,以關閉已開啟 Standard 預設安全策略:
Disable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"; Disable-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"
如果已開啟 Strict 預設安全策略,請執行下列命令來關閉該原則:
Disable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"; Disable-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"
如果 Standard 預設安全策略已關閉,請執行下列命令來開啟該原則:
Enable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"; Enable-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"
執行下列命令,以在關閉時開啟 Strict 預設安全策略:
Enable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"; Enable-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"
使用 PowerShell 指定預設安全策略的收件者條件和例外狀況
您只能使用收件者條件或例外狀況一次,但條件或例外狀況可以包含多個值:
相同條件或例外狀況的多個值使用 OR 邏輯 (例如 recipient1<> 或 <recipient2>) :
- 條件:如果收件者符合 任何 指定的值,則會將原則套用至這些值。
- 例外狀況:如果收件者符合 任何 指定的值,則不會套用原則。
不同類型的例外狀況會使用 OR 邏輯 (例如,<recipient1 或 group1>>的成員或 domain1) 的成員。<>< 如果收件者符合 任何 指定的例外狀況值,就不會套用原則。
不同 類型的條件 會使用 AND 邏輯。 收件者必須符合 所有 指定的條件,原則才能套用到這些條件。 例如,您可以使用下列值來設定條件:
- 使用者:
romain@contoso.com
- 群組:主管
只有在他也是主管群組的成員時,原則才會套用至
romain@contoso.com
。 否則,原則不會套用到他。- 使用者:
針對內建保護預設安全策略,您只能指定收件者例外狀況。 如果所有例外狀況參數值都是空 ($null
) ,則原則不會有任何例外狀況。
針對 Standard 和嚴格預設安全策略,您可以指定 EOP 保護和 適用於 Office 365 的 Defender 保護的收件者條件和例外狀況。 如果所有條件和例外狀況參數值都是空白 ($null
) ,則 Standard 或嚴格預設安全策略沒有收件者條件或例外狀況。
內建保護預設安全策略:
使用下列語法:
Set-ATPBuiltInProtectionRule -Identity "ATP Built-In Protection Rule" -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null>
此範例會從內建保護預設安全策略中移除所有收件者例外狀況。
Set-ATPBuiltInProtectionRule -Identity "ATP Built-In Protection Rule" -ExceptIfRecipientDomainIs $null -ExceptIfSentTo $null -ExceptIfSentToMemberOf $null
如需詳細的語法和參數資訊,請參閱 Set-ATPBuiltInProtectionRule。
Standard 或嚴格預設安全策略
使用下列語法:
<Set-EOPProtectionPolicyRule | SetAtpProtectionPolicyRule> -Identity "<Standard Preset Security Policy | Strict Preset Security Policy>" -SentTo <"user1","user2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -SentToMemberOf <"group1","group2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null> -RecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null>
本範例會針對名為 Executive 的通訊群組成員,設定 Standard 預設安全策略中 EOP 保護的例外狀況。
Set-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy" -ExceptIfSentToMemberOf Executives
本範例會針對 SecOps) 信箱中指定的安全性作業,設定 Strict 預設安全策略中 (適用於 Office 365 的 Defender 保護的例外狀況。
Set-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy" -ExceptIfSentTo "SecOps1","SecOps2"
如需詳細的語法和參數資訊,請參閱 Set-EOPProtectionPolicyRule 和 Set-ATPProtectionPolicyRule。
附錄
預設安全原則包含下列元素:
下列各節將說明這些元素。
此外,請務必了解預設安全策略如何符合其他原則 的優先順序 。
預設安全策略中的配置檔
設定檔可決定保護層級。 下列設定檔適用於預設的安全策略:
- Standard 保護:適用於大部分使用者的基準配置檔。
- 嚴格保護:針對選取的使用者, (高價值目標或優先順序使用者) 的更積極配置檔。
- 內建保護 (僅 適用於 Office 365 的 Microsoft Defender) :有效僅提供安全連結和安全附件的默認原則。
一般而言,嚴格保護配置檔通常會隔離較不有害的電子郵件 (例如,大量和垃圾郵件) 比 Standard 保護配置檔還要少,但兩個配置檔中的許多設定都相同 (,特別是惡意代碼或網路釣魚) 等有害電子郵件。 如需設定差異的比較,請參閱下一節中的數據表。
在您開啟配置檔並將使用者指派給他們之前,Standard 和嚴格預設安全策略都會指派給任何使用者。 相反地,內建保護預設安全策略預設會指派給所有收件者,但您可以設定例外狀況。
重要事項
除非您設定內建保護預設安全策略的例外狀況,否則組織中的所有收件者都會收到安全連結和安全附件保護。
預設安全策略中的原則
預設安全策略會使用 EOP 和 適用於 Office 365 的 Microsoft Defender 中可用之個別保護原則的特殊版本。 這些原則會在您將 Standard 保護或嚴格保護預設安全策略指派給用戶之後建立。
EOP 原則:這些原則位於所有Microsoft 365 個組織中,其中包含 Exchange Online 信箱和獨立 EOP 組織,而不需要 Exchange Online 信箱:
- 名為 Standard 預設安全策略和嚴格預設安全策略的反垃圾郵件原則。
- 名為 Standard 預設安全策略和嚴格預設安全策略的反惡意代碼原則。
- (名為 Standard 預設安全策略和嚴格預設安全策略 (詐騙設定) 的詐騙保護) 防網路釣魚原則。
注意事項
輸出垃圾郵件原則不是預設安全策略的一部分。 默認的輸出垃圾郵件原則會自動保護預設安全策略的成員。 或者,您可以建立自定義的輸出垃圾郵件原則,以自定義預設安全策略成員的保護。 如需詳細資訊, 請參閱在 EOP 中設定輸出垃圾郵件篩選。
適用於 Office 365 的 Microsoft Defender 原則:這些原則位於具有 Microsoft 365 E5 或 適用於 Office 365 的 Defender 附加元件訂用帳戶的組織中:
如先前所述,您可以將 EOP 保護套用至與 適用於 Office 365 的 Defender 保護不同的使用者,也可以將 EOP 和 適用於 Office 365 的 Defender 保護套用至相同的收件者。
預設安全策略中的原則設定
基本上,您無法修改保護配置檔中的個別原則設定。 自定義對應的默認原則或建立新的自定義原則不會有任何作用,因為在多個原則中定義相同的使用者 (收件者) 時,優先順序的順序 (Standard 和嚴格預設安全策略一律會先套用) 。
- Standard、Strict 和內建保護原則設定值,包括相關聯的隔離原則,都會列在 EOP 和 適用於 Office 365 的 Microsoft Defender 安全性的建議設定中的功能數據表中。
- 您也可以使用 Exchange Online PowerShell 快速查看所有原則設定值,如本文稍早所述。
但是,您必須設定個別使用者 (寄件者) 和網域,以在 適用於 Office 365 的 Defender 中接收模擬保護。 否則,預設安全策略會自動設定下列類型的模擬保護:
- 您擁有之所有網域的網域模擬保護 (接受的網域) 。
- 信箱智慧保護 (連絡圖形) 。
下表摘要說明 Standard 預設安全策略和 Strict 預設安全策略中有意義的原則設定差異:
標準版 | 嚴格 | |
---|---|---|
反惡意程式碼原則 | 沒有差異 | 沒有差異 |
反垃圾郵件原則 | ||
符合大量標準的層級 (BCL) 符合或超過BulkSpamAction (偵測動作) |
將訊息移至垃圾郵件 Email資料夾 (MoveToJmf ) |
隔離訊息 (Quarantine ) |
BulkThreshold (大量電子郵件閾值) | 6 | 5 |
垃圾郵件偵測動作 (垃圾郵件) |
將訊息移至垃圾郵件 Email資料夾 (MoveToJmf ) |
隔離訊息 (Quarantine ) |
防網路釣魚原則 | ||
如果詐騙情報偵測到訊息為詐騙 , (AuthenticationFailAction) |
將訊息移至垃圾郵件 Email資料夾 (MoveToJmf ) |
隔離訊息 (Quarantine ) |
在 EnableFirstContactSafetyTips (顯示第一個聯繫人安全提示) | 選取的 $true () |
選取的 $true () |
如果信箱智慧偵測到仿真的使用者 (MailboxIntelligenceProtectionAction) |
將訊息移至垃圾郵件 Email資料夾 (MoveToJmf ) |
隔離訊息 (Quarantine ) |
網路釣魚電子郵件閾值 (PhishThresholdLevel) |
3 - 更積極 (3 ) |
4 - 最積極 (4 ) |
安全附件原則 | 沒有差異 | 沒有差異 |
安全鏈接原則 | 沒有差異 | 沒有差異 |
下表摘要說明內建保護預設安全策略和 Standard 和 Strict 預設安全策略中安全附件和安全鏈接原則設定的差異:
內建保護 | Standard和嚴格 | |
---|---|---|
安全附件原則 | 沒有差異 | 沒有差異 |
安全鏈接原則 | ||
讓使用者按兩下至原始網址 (AllowClickThrough) | 選取的 $true () |
未選取 ($false ) |
請勿重寫 URL,請只透過安全連結 API 進行檢查 (DisableURLRewrite) | 選取的 $true () |
未選取 ($false ) |
將安全連結套用至組織內傳送的電子郵件訊息 (EnableForInternalSenders) | 未選取 ($false ) |
選取的 $true () |
如需這些設定的詳細資訊,請參閱 EOP 和 適用於 Office 365 的 Microsoft Defender 安全性的建議設定中的功能數據表。
預設安全策略和其他原則的優先順序
在多個原則中定義收件者時,會以下列順序套用原則:
- 嚴格預設安全策略。
- Standard 預設的安全策略。
- 適用於 Office 365 的 Defender 評估原則
- 以原則優先順序為基礎的自定義原則 (較低的數位表示較高的優先順序) 。
- 安全連結和安全附件的內建保護預設安全策略;反惡意代碼、反垃圾郵件和反網路釣魚的默認原則。
換句話說,嚴格預設安全策略的設定會覆寫 Standard 預設安全策略的設定,這會覆寫來自任何反網路釣魚、安全連結或安全附件評估原則的設定,這些原則會覆寫來自任何自定義原則的設定,以覆寫安全連結和安全附件的內建保護預設安全策略設定。 以及反垃圾郵件、反惡意代碼和反網路釣魚的默認原則。
此順序會顯示在 Defender 入口網站中個別安全策略的頁面上, (這些原則會以在頁面上顯示的順序套用) 。
例如,系統管理員會使用相同的收件者設定 Standard 預設安全策略和自定義反垃圾郵件原則。 來自 Standard 預設安全策略的反垃圾郵件原則設定會套用至使用者,而不是自定義反垃圾郵件原則或預設反垃圾郵件原則中所設定的設定。
請考慮將 Standard 或嚴格預設安全策略套用至使用者子集,並將自定義原則套用至組織中的其他使用者,以符合特定需求。 若要符合此需求,請考慮下列方法:
- 在 Standard 預設安全策略、嚴格預設安全性,以及自定義原則中使用明確的收件者群組或清單,因此不需要例外狀況。 使用此方法時,您不需要考慮套用至相同使用者的多個原則,以及優先順序順序的影響。
- 如果您無法避免將多個原則套用至相同的使用者,請使用下列策略:
- 設定收件者,這些收件者應取得 Standard 預設安全策略和自定義原則的設定,作為 Strict 預設安全策略中的例外狀況。
- 設定應取得自定義原則設定的收件者,作為 Standard 預設安全策略中的例外狀況。
- 設定收件者,這些收件者應取得內建保護預設安全策略或默認原則的設定,作為自定義原則的例外狀況。
內建保護預設安全策略不會影響現有安全連結或安全附件原則中的收件者。 如果您已設定 Standard 保護、嚴格保護或自定義安全連結或安全附件原則,這些原則一律會在內建保護之前套用,因此不會影響已在這些現有預設或自定義原則中定義的收件者。
如需詳細資訊,請參閱 電子郵件保護的順序和優先順序。