Sdílet prostřednictvím


Doporučená nastavení zabezpečení EOP a Microsoft Defenderu pro Office 365

Tip

Věděli jste, že si můžete zdarma vyzkoušet funkce v Microsoft Defenderu XDR pro Office 365 Plan 2? Použijte 90denní zkušební verzi Defenderu pro Office 365 v centru zkušebních verzí portálu Microsoft Defender. Zde zjistíte více o tom, kdo se může zaregistrovat a o podmínkách zkušební verze.

Exchange Online Protection (EOP) je základem zabezpečení předplatných Microsoft 365 a pomáhá zabránit tomu, aby se škodlivé e-maily dostaly do doručené pošty zaměstnanců. Ale s novými, sofistikovanějšími útoky, které se objevují každý den, je často potřeba vylepšená ochrana. Microsoft Defender pro Office 365 Plán 1 nebo Plán 2 obsahují další funkce, které poskytují více vrstev zabezpečení, kontroly a šetření.

I když správcům zabezpečení umožňujeme přizpůsobit si nastavení zabezpečení, v EOP a Microsoft Defenderu pro Office 365 doporučujeme dvě úrovně zabezpečení: Standardní a Striktní. I když se prostředí a potřeby zákazníků liší, tyto úrovně filtrování ve většině situací pomáhají zabránit tomu, aby se nevyžádaná pošta ve složce Doručená pošta vašich zaměstnanců dostala.

Pokud chcete automaticky použít standardní nebo striktní nastavení pro uživatele, přečtěte si téma Přednastavené zásady zabezpečení v EOP a Microsoft Defenderu pro Office 365.

Tento článek popisuje výchozí nastavení a také doporučená standardní a striktní nastavení, která pomáhají chránit uživatele. Tabulky obsahují nastavení na portálu Microsoft Defender a v PowerShellu (Exchange Online PowerShell nebo samostatný PowerShell exchange Online Protection pro organizace bez poštovních schránek Exchange Online).

Poznámka

Modul Office 365 Advanced Threat Protection Recommended Configuration Analyzer (ORCA) pro PowerShell může správcům pomoct najít aktuální hodnoty těchto nastavení. Konkrétně rutina Get-ORCAReport vygeneruje posouzení nastavení ochrany proti spamu, útokům phishing a dalších nastavení hygieny zpráv. Modul ORCA si můžete stáhnout na adrese https://www.powershellgallery.com/packages/ORCA/.

V organizacích Microsoft 365 doporučujeme nechat filtr nevyžádané pošty v Outlooku nastavený na Možnost Žádné automatické filtrování , abyste zabránili zbytečným konfliktům (pozitivním i negativním) s verdikty filtrování spamu z EOP. Další informace najdete v následujících článcích:

Ochrana před spamem, malwarem a útoky phishing v EOP

Antispam, malware a phishing jsou funkce EOP, které můžou konfigurovat správci. Doporučujeme následující standardní nebo striktní konfigurace.

Nastavení antimalwarových zásad EOP

Informace o vytváření a konfiguraci antimalwarových zásad najdete v tématu Konfigurace antimalwarových zásad v EOP.

Zásady karantény definují, co mohou uživatelé dělat se zprávami v karanténě a jestli uživatelé dostanou oznámení o karanténě. Další informace najdete v tématu Anatomie zásad karantény.

Zásada s názvem AdminOnlyAccessPolicy vynucuje historické možnosti pro zprávy, které byly v karanténě jako malware, jak je popsáno v této tabulce.

Uživatelé nemůžou vydávat vlastní zprávy, které byly v karanténě jako malware, bez ohledu na to, jak jsou zásady karantény nakonfigurované. Pokud zásady umožňují uživatelům vydávat vlastní zprávy v karanténě, uživatelé si místo toho můžou vyžádat vydání zpráv o malwaru v karanténě.

Název funkce zabezpečení Výchozí Standard Striktní Komentování
Nastavení ochrany
Povolení filtru společných příloh (EnableFileFilter) Vybráno ($true)* Vybráno ($true) Vybráno ($true) Seznam typů souborů ve filtru společných příloh najdete v tématu Filtr běžných příloh v antimalwarových zásadách.

* Filtr společných příloh je ve výchozím nastavení zapnutý v nových antimalwarových zásadách, které vytvoříte na portálu Defender nebo v PowerShellu, a ve výchozích antimalwarových zásadách v organizacích vytvořených po 1. prosinci 2023.
Běžná oznámení filtru příloh: Při nalezení těchto typů souborů (FileTypeAction) Odmítnutí zprávy s oznámením o nedoručení (NDR) (Reject) Odmítnutí zprávy s oznámením o nedoručení (NDR) (Reject) Odmítnutí zprávy s oznámením o nedoručení (NDR) (Reject)
Povolení automatického vyprázdnění malwaru nulou (ZapEnabled) Vybráno ($true) Vybráno ($true) Vybráno ($true)
Zásady karantény (QuarantineTag) AdminOnlyAccessPolicy AdminOnlyAccessPolicy AdminOnlyAccessPolicy
Oznámení správce
Upozornit správce na nedoručené zprávy od interních odesílatelů (EnableInternalSenderAdminNotifications a InternalSenderAdminAddress) Nevybíral($false) Nevybíral($false) Nevybíral($false) Pro toto nastavení nemáme žádné konkrétní doporučení.
Upozornit správce na nedoručené zprávy od externích odesílatelů (EnableExternalSenderAdminNotifications a ExternalSenderAdminAddress) Nevybíral($false) Nevybíral($false) Nevybíral($false) Pro toto nastavení nemáme žádné konkrétní doporučení.
Přizpůsobení oznámení Pro tato nastavení nemáme žádná konkrétní doporučení.
Použití přizpůsobeného textu oznámení (CustomNotifications) Nevybíral($false) Nevybíral($false) Nevybíral($false)
From name (CustomFromName) Bianko Bianko Bianko
Adresa odesílatele (CustomFromAddress) Bianko Bianko Bianko
Přizpůsobení oznámení pro zprávy od interních odesílatelů Tato nastavení se použijí jenom v případě, že je vybraná možnost Upozornit správce na nedoručené zprávy od interních odesílatelů .
Předmět (CustomInternalSubject) Bianko Bianko Bianko
Zpráva (CustomInternalBody) Bianko Bianko Bianko
Přizpůsobení oznámení pro zprávy od externích odesílatelů Tato nastavení se použijí jenom v případě, že je vybraná možnost Upozornit správce na nedoručené zprávy od externích odesílatelů .
Předmět (CustomExternalSubject) Bianko Bianko Bianko
Zpráva (CustomExternalBody) Bianko Bianko Bianko

Nastavení zásad ochrany proti spamu EOP

Informace o vytváření a konfiguraci zásad ochrany proti spamu najdete v tématu Konfigurace zásad ochrany proti spamu v EOP.

Pokud jako akci pro verdikt filtru spamu vyberete Možnost Umístit zprávu do karantény , bude k dispozici pole Vybrat zásadu karantény . Zásady karantény definují, co mohou uživatelé dělat se zprávami v karanténě a jestli uživatelé dostanou oznámení o karanténě. Další informace najdete v tématu Anatomie zásad karantény.

Pokud při vytváření zásad ochrany proti spamu na portálu Defender změníte akci verdiktu filtrování spamu na Zprávu o karanténě, pole Vybrat zásady karantény bude ve výchozím nastavení prázdné. Prázdná hodnota znamená, že se pro tento verdikt filtrování spamu použijí výchozí zásady karantény. Tyto výchozí zásady karantény vynucují historické možnosti pro verdikt filtru spamu, který zprávu umístí do karantény, jak je popsáno v této tabulce. Když později zobrazíte nebo upravíte nastavení zásad ochrany proti spamu, zobrazí se název zásad karantény.

Správci můžou vytvářet nebo používat zásady karantény s více omezujícími nebo méně omezujícími funkcemi. Pokyny najdete v tématu Vytvoření zásad karantény na portálu Microsoft Defender.

Název funkce zabezpečení Výchozí Standard Striktní Komentování
Hromadná prahová hodnota e-mailu & vlastnosti spamu
Prahová hodnota hromadného e-mailu (BulkThreshold) 7 6 5 Podrobnosti najdete v tématu Úroveň hromadné stížnosti (BCL) v EOP.
Hromadný spam e-mailů (MarkAsSpamBulkMail) (On) (On) (On) Toto nastavení je dostupné jenom v PowerShellu.
Zvýšení nastavení skóre spamu Všechna tato nastavení jsou součástí rozšířeného filtru spamu (ASF). Další informace najdete v části Nastavení ASF v zásadách ochrany proti spamu v tomto článku.
Označit jako nastavení spamu Většina těchto nastavení je součástí ASF. Další informace najdete v části Nastavení ASF v zásadách ochrany proti spamu v tomto článku.
Obsahuje konkrétní jazyky (EnableLanguageBlockList a LanguageBlockList). Vypnuto ($false a Prázdné) Vypnuto ($false a Prázdné) Vypnuto ($false a Prázdné) Pro toto nastavení nemáme žádné konkrétní doporučení. Zprávy můžete blokovat v konkrétních jazycích na základě vašich obchodních potřeb.
Z těchto zemí (EnableRegionBlockList a RegionBlockList) Vypnuto ($false a Prázdné) Vypnuto ($false a Prázdné) Vypnuto ($false a Prázdné) Pro toto nastavení nemáme žádné konkrétní doporučení. Zprávy z konkrétních zemí nebo oblastí můžete blokovat na základě potřeb vaší firmy.
Testovací režim (TestModeAction) Žádné Žádné Žádné Toto nastavení je součástí ASF. Další informace najdete v části Nastavení ASF v zásadách ochrany proti spamu v tomto článku.
Akce
Akce detekce spamu (SpamAction) Přesunout zprávu do složky Nevyžádaná pošta (MoveToJmf) Přesunout zprávu do složky Nevyžádaná pošta (MoveToJmf) Zpráva o karanténě (Quarantine)
Zásady karantény pro spam (SpamQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessPolicy DefaultFullAccessWithNotificationPolicy Zásady karantény jsou smysluplné pouze v případě, že jsou detekce spamu v karanténě.
Akce detekce nevyžádané pošty s vysokou spolehlivostí (HighConfidenceSpamAction) Přesunout zprávu do složky Nevyžádaná pošta (MoveToJmf) Zpráva o karanténě (Quarantine) Zpráva o karanténě (Quarantine)
Zásady karantény pro nevyžádanou poštu s vysokou spolehlivostí (HighConfidenceSpamQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessWithNotificationPolicy DefaultFullAccessWithNotificationPolicy Zásady karantény jsou smysluplné pouze v případě, že jsou vysoce důvěryhodné detekce spamu v karanténě.
Akce detekce útoků phishing (PhishSpamAction) Přesunout zprávu do složky Nevyžádaná pošta (MoveToJmf)* Zpráva o karanténě (Quarantine) Zpráva o karanténě (Quarantine) * Výchozí hodnota je Přesunout zprávu do složky Nevyžádaná pošta ve výchozích zásadách ochrany proti spamu a v nových zásadách ochrany proti spamu, které vytvoříte v PowerShellu. Výchozí hodnota je Zpráva o karanténě v nových zásadách ochrany proti spamu, které vytvoříte na portálu Defender.
Zásady karantény pro phishing (PhishQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessWithNotificationPolicy DefaultFullAccessWithNotificationPolicy Zásady karantény jsou smysluplné pouze v případě, že jsou detekce útoků phishing v karanténě.
Akce detekce útoků phishing s vysokou spolehlivostí (HighConfidencePhishAction) Zpráva o karanténě (Quarantine) Zpráva o karanténě (Quarantine) Zpráva o karanténě (Quarantine) Uživatelé nemůžou vydat své vlastní zprávy, které byly v karanténě jako vysoce důvěryhodný útok phishing, bez ohledu na to, jak jsou zásady karantény nakonfigurované. Pokud zásady umožňují uživatelům vydávat vlastní zprávy v karanténě, můžou místo toho požádat o vydání svých vysoce důvěryhodných phishingových zpráv v karanténě.
Zásady karantény pro vysoce důvěryhodný phishing (HighConfidencePhishQuarantineTag) AdminOnlyAccessPolicy AdminOnlyAccessPolicy AdminOnlyAccessPolicy
Úroveň BCL (Bulk Compliant Level) byla splněna nebo překročena (BulkSpamAction) Přesunout zprávu do složky Nevyžádaná pošta (MoveToJmf) Přesunout zprávu do složky Nevyžádaná pošta (MoveToJmf) Zpráva o karanténě (Quarantine)
Zásady karantény pro úroveň dodržování hromadného dodržování předpisů (BCL) byla splněna nebo překročena (BulkQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessPolicy DefaultFullAccessWithNotificationPolicy Zásady karantény jsou smysluplné pouze v případě, že jsou hromadné detekce v karanténě.
Zprávy v rámci organizace, které se mají provést (IntraOrgFilterState) Výchozí (výchozí) Výchozí (výchozí) Výchozí (výchozí) Hodnota Výchozí je stejná jako při výběru vysoce důvěryhodných phishingových zpráv. V organizacích státní správy USA (Microsoft 365 GCC, GCC High a DoD) je v současné době hodnota Výchozí stejná jako při výběru možnosti Žádné.
Zachování spamu v karanténě po tento počet dní (QuarantineRetentionPeriod) 15 dní 30 dní 30 dní Tato hodnota má také vliv na zprávy, které jsou v karanténě zásadami ochrany proti útokům phishing. Další informace najdete v tématu Karanténní uchovávání.
Povolení tipů pro zabezpečení spamu (InlineSafetyTipsEnabled) Vybráno ($true) Vybráno ($true) Vybráno ($true)
Povolení automatického vyprázdnění (ZAP) pro phishingové zprávy (PhishZapEnabled) Vybráno ($true) Vybráno ($true) Vybráno ($true)
Povolení zap pro spamové zprávy (SpamZapEnabled) Vybráno ($true) Vybráno ($true) Vybráno ($true)
Seznam povolených & blokování
Oprávnění odesílatelé (AllowedSenders) Žádné Žádné Žádné
Povolené domény odesílatele (AllowedSenderDomains) Žádné Žádné Žádné Přidání domén do seznamu povolených domén je velmi špatný nápad. Útočníci by vám mohli poslat e-maily, které by jinak byly odfiltrované.

Pomocí přehledu informací o falšování identity a seznamu povolených/blokovaných tenantů můžete zkontrolovat všechny odesílatele, kteří falšují e-mailové adresy odesílatele v e-mailových doménách vaší organizace nebo falšují e-mailové adresy odesílatele v externích doménách.
Blokovaní odesílatelé (BlockedSenders) Žádné Žádné Žádné
Blokované domény odesílatele (BlockedSenderDomains) Žádné Žádné Žádné

¹ Jak je popsáno v tématu Úplná přístupová oprávnění a oznámení o karanténě, vaše organizace může ve výchozích zásadách zabezpečení nebo v nových vlastních zásadách zabezpečení, které vytvoříte, používat NotificationEnabledPolicy místo DefaultFullAccessPolicy. Jediným rozdílem mezi těmito dvěma zásadami karantény je, že oznámení o karanténě jsou zapnutá v NotificationEnabledPolicy a vypnutá v DefaultFullAccessPolicy.

Nastavení ASF v zásadách ochrany proti spamu

Další informace o nastavení rozšířeného filtru spamu (ASF) v zásadách ochrany proti spamu najdete v tématu Nastavení rozšířeného filtru spamu (ASF) v EOP.

Název funkce zabezpečení Výchozí Doporučený
Standard
Doporučený
Striktní
Komentování
Odkazy na obrázky na vzdálené weby (IncreaseScoreWithImageLinks) Pryč Pryč Pryč
Číselná IP adresa v adrese URL (IncreaseScoreWithNumericIps) Pryč Pryč Pryč
Přesměrování adresy URL na jiný port (IncreaseScoreWithRedirectToOtherPort) Pryč Pryč Pryč
Odkazy na weby .biz nebo .info (IncreaseScoreWithBizOrInfoUrls) Pryč Pryč Pryč
Prázdné zprávy (MarkAsSpamEmptyMessages) Pryč Pryč Pryč
Vložení značek do HTML (MarkAsSpamEmbedTagsInHtml) Pryč Pryč Pryč
JavaScript nebo VBScript v HTML (MarkAsSpamJavaScriptInHtml) Pryč Pryč Pryč
Značky formulářů v HTML (MarkAsSpamFormTagsInHtml) Pryč Pryč Pryč
Značky rámců nebo iframe v HTML (MarkAsSpamFramesInHtml) Pryč Pryč Pryč
Webové chyby v HTML (MarkAsSpamWebBugsInHtml) Pryč Pryč Pryč
Značky objektů v HTML (MarkAsSpamObjectTagsInHtml) Pryč Pryč Pryč
Citlivá slova (MarkAsSpamSensitiveWordList) Pryč Pryč Pryč
Záznam SPF: hard fail (MarkAsSpamSpfRecordHardFail) Pryč Pryč Pryč
Pevné selhání filtrování ID odesílatele (MarkAsSpamFromAddressAuthFail) Pryč Pryč Pryč
Backscatter (MarkAsSpamNdrBackscatter) Pryč Pryč Pryč
Testovací režim (TestModeAction) Žádné Žádné Žádné U nastavení ASF, která podporují test jako akci, můžete akci testovacího režimu nakonfigurovat na Žádné, Přidat výchozí text záhlaví X nebo Odeslat skrytá zprávu (None, AddXHeadernebo BccMessage). Další informace najdete v tématu Povolení, zakázání nebo testování nastavení ASF.

Poznámka

ASF přidá X-CustomSpam: do zpráv pole záhlaví X poté , co byly zprávy zpracovány pravidly toku pošty Exchange (označované také jako pravidla přenosu), takže pomocí pravidel toku pošty nemůžete identifikovat zprávy filtrované službou ASF a pracovat s tím.

Nastavení zásad odchozího spamu EOP

Pokud chcete vytvořit a nakonfigurovat zásady odchozího spamu, přečtěte si téma Konfigurace filtrování odchozích spamů v EOP.

Další informace o výchozích limitech odesílání ve službě najdete v tématu Limity odesílání.

Poznámka

Odchozí zásady spamu nejsou součástí standardních ani striktních přednastavených zásad zabezpečení. Hodnoty Standardní a Striktní označují naše doporučené hodnoty ve výchozích zásadách odchozích spamů nebo vlastních zásadách odchozích spamů, které vytvoříte.

Název funkce zabezpečení Výchozí Doporučený
Standard
Doporučený
Striktní
Komentování
Nastavení limitu externích zpráv (RecipientLimitExternalPerHour) 0 500 400 Výchozí hodnota 0 znamená použití výchozích hodnot služby.
Nastavení limitu interních zpráv (RecipientLimitInternalPerHour) 0 1000 800 Výchozí hodnota 0 znamená použití výchozích hodnot služby.
Nastavení denního limitu zpráv (RecipientLimitPerDay) 0 1000 800 Výchozí hodnota 0 znamená použití výchozích hodnot služby.
Omezení pro uživatele, kteří dosáhnou limitu zpráv (ActionWhenThresholdReached) Omezení odesílání e-mailů uživateli do následujícího dne (BlockUserForToday) Omezení odesílání e-mailů uživateli (BlockUser) Omezení odesílání e-mailů uživateli (BlockUser)
Pravidla automatického předávání (AutoForwardingMode) Automatické – systémově řízené (Automatic) Automatické – systémově řízené (Automatic) Automatické – systémově řízené (Automatic)
Odeslat kopii odchozích zpráv, které překračují tyto limity, těmto uživatelům a skupinám (BccSuspiciousOutboundMail a BccSuspiciousOutboundAdditionalRecipients) Nevybíral($false a Prázdné) Nevybíral($false a Prázdné) Nevybíral($false a Prázdné) Pro toto nastavení nemáme žádné konkrétní doporučení.

Toto nastavení funguje jenom u výchozích odchozích zásad spamu. Ve vlastních zásadách odchozího spamu, které vytvoříte, to nefunguje.
Upozornit tyto uživatele a skupiny, pokud je odesílatel zablokovaný kvůli odesílání odchozích spamů (NotifyOutboundSpam a NotifyOutboundSpamRecipients) Nevybíral($false a Prázdné) Nevybíral($false a Prázdné) Nevybíral($false a Prázdné) Výchozí zásady upozornění s názvem Uživatel s omezeným odesíláním e-mailů už odesílají e-mailová oznámení členům skupiny TenantAdmins (členové globálního správce ), když jsou uživatelé zablokovaní kvůli překročení limitů v zásadách. Důrazně doporučujeme, abyste k upozornění správcům a dalším uživatelům místo tohoto nastavení v zásadách odchozích spamů použili zásady upozornění. Pokyny najdete v tématu Ověření nastavení upozornění pro uživatele s omezeným přístupem.

Nastavení zásad ochrany proti útokům phishing EOP

Další informace o těchto nastaveních najdete v tématu Nastavení falšování identity. Informace o konfiguraci těchto nastavení najdete v tématu Konfigurace zásad ochrany proti útokům phishing v EOP.

Nastavení falšování spolu souvisí, ale nastavení Zobrazit bezpečnostní tip pro první kontakt není závislé na nastavení falšování.

Zásady karantény definují, co mohou uživatelé dělat se zprávami v karanténě a jestli uživatelé dostanou oznámení o karanténě. Další informace najdete v tématu Anatomie zásad karantény.

I když se hodnota Použít zásadu karantény při vytváření zásad ochrany proti útokům phishing na portálu Defenderu zobrazuje jako nevybraná, použije se zásada karantény s názvem DefaultFullAccessPolicy¹, pokud nevyberete zásady karantény. Tato zásada vynucuje historické možnosti pro zprávy, které byly v karanténě jako falšované, jak je popsáno v této tabulce. Když později zobrazíte nebo upravíte nastavení zásad karantény, zobrazí se název zásady karantény.

Správci můžou vytvářet nebo používat zásady karantény s více omezujícími nebo méně omezujícími funkcemi. Pokyny najdete v tématu Vytvoření zásad karantény na portálu Microsoft Defender.

Název funkce zabezpečení Výchozí Standard Striktní Komentování
Prahová hodnota útoku phishing & ochrana
Povolení inteligentních funkcí falšování (EnableSpoofIntelligence) Vybráno ($true) Vybráno ($true) Vybráno ($true)
Akce
Dodržování zásad záznamu DMARC při zjištění zprávy jako falšování (HonorDmarcPolicy) Vybráno ($true) Vybráno ($true) Vybráno ($true) Když je toto nastavení zapnuté, řídíte, co se stane se zprávami, kdy odesílatel selže, explicitní kontrola DMARC , když je akce zásad v záznamu TXT DMARC nastavená na p=quarantine nebo p=reject. Další informace najdete v tématu Ochrana před falšováním a zásady DMARC odesílatele.
Pokud se zpráva zjistí jako falšování a zásada DMARC je nastavená na p=quarantine (DmarcQuarantineAction) Umístit zprávu do karantény (Quarantine) Umístit zprávu do karantény (Quarantine) Umístit zprávu do karantény (Quarantine) Tato akce má smysl jenom v případě, že je zapnutá zásada záznamu DMARC, když je zpráva zjištěna jako falšování .
Pokud se zpráva zjistí jako falšování a zásada DMARC je nastavená na p=reject (DmarcRejectAction) Odmítnout zprávu (Reject) Odmítnout zprávu (Reject) Odmítnout zprávu (Reject) Tato akce má smysl jenom v případě, že je zapnutá zásada záznamu DMARC, když je zpráva zjištěna jako falšování .
Pokud je zpráva zjištěna jako falšování pomocí funkce spoof intelligence (AuthenticationFailAction) Přesunutí zprávy do složek Nevyžádaná pošta příjemců (MoveToJmf) Přesunutí zprávy do složek Nevyžádaná pošta příjemců (MoveToJmf) Umístit zprávu do karantény (Quarantine) Toto nastavení platí pro zfalšované odesílatele, kteří byli automaticky zablokovaní, jak je znázorněno v přehledu informací o falšování identity, nebo ručně blokovaní v seznamu povolených/blokovaných klientů.

Pokud jako akci pro zfalšovaný verdikt vyberete Umístit zprávu do karantény , bude k dispozici pole Použít zásadu karantény .
Zásady karantény pro falšování identity (SpoofQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessPolicy DefaultFullAccessWithNotificationPolicy Zásady karantény jsou smysluplné pouze v případě, že jsou detekce falšování identity v karanténě.
Zobrazit bezpečnostní tip pro první kontakt (EnableFirstContactSafetyTips) Nevybíral($false) Vybráno ($true) Vybráno ($true) Další informace najdete v tématu Bezpečnostní tip pro první kontakt.
Show (?) for unauthenticated senders for spoof (EnableUnauthenticatedSender) Vybráno ($true) Vybráno ($true) Vybráno ($true) Přidá k fotce odesílatele v Outlooku otazník (?) pro neidentifikované zfalšované odesílatele. Další informace najdete v tématu Indikátory neověřeného odesílatele.
Zobrazit značku "via" (EnableViaTag) Vybráno ($true) Vybráno ($true) Vybráno ($true) Pokud se liší od domény v podpisu DKIM nebo v adrese MAIL FROM, přidá značku via (chris@contoso.com via fabrikam.com).

Další informace najdete v tématu Indikátory neověřeného odesílatele.

¹ Jak je popsáno v tématu Úplná přístupová oprávnění a oznámení o karanténě, vaše organizace může ve výchozích zásadách zabezpečení nebo v nových vlastních zásadách zabezpečení, které vytvoříte, používat NotificationEnabledPolicy místo DefaultFullAccessPolicy. Jediným rozdílem mezi těmito dvěma zásadami karantény je, že oznámení o karanténě jsou zapnutá v NotificationEnabledPolicy a vypnutá v DefaultFullAccessPolicy.

Zabezpečení Microsoft Defenderu pro Office 365

Další výhody zabezpečení přináší předplatné Microsoft Defenderu pro Office 365. Nejnovější zprávy a informace najdete v článku Co je nového v Defenderu pro Office 365.

Důležité

Pokud vaše předplatné zahrnuje Microsoft Defender pro Office 365 nebo pokud jste defender pro Office 365 zakoupili jako doplněk, nastavte následující standardní nebo striktní konfigurace.

Nastavení zásad ochrany proti útokům phishing v Microsoft Defenderu pro Office 365

Zákazníci EOP získají základní ochranu proti útokům phishing, jak jsme popsali dříve, ale Defender pro Office 365 obsahuje další funkce a kontrolu, které pomáhají předcházet útokům, zjišťovat je a opravovat je. Pokud chcete tyto zásady vytvořit a nakonfigurovat, přečtěte si téma Konfigurace zásad ochrany proti útokům phishing v Defenderu pro Office 365.

Pokročilá nastavení v zásadách ochrany proti útokům phishing v Microsoft Defenderu pro Office 365

Další informace o tomto nastavení najdete v tématu Pokročilé prahové hodnoty útoků phishing v zásadách ochrany proti útokům phishing v Microsoft Defenderu pro Office 365. Informace o konfiguraci tohoto nastavení najdete v tématu Konfigurace zásad ochrany proti útokům phishing v Defenderu pro Office 365.

Název funkce zabezpečení Výchozí Standard Striktní Komentování
Prahová hodnota phishingových e-mailů (PhishThresholdLevel) 1 – Standardní (1) 3 - Agresivnější (3) 4 – Nejagresivnější (4)

Nastavení zosobnění v zásadách ochrany proti útokům phishing v Microsoft Defenderu pro Office 365

Další informace o těchto nastaveních najdete v tématu Nastavení zosobnění v zásadách ochrany proti útokům phishing v Microsoft Defenderu pro Office 365. Informace o konfiguraci těchto nastavení najdete v tématu Konfigurace zásad ochrany proti útokům phishing v Defenderu pro Office 365.

Kdykoli vyberete umístit zprávu do karantény jako akci pro verdikt zosobnění, bude k dispozici pole Použít zásadu karantény . Zásady karantény definují, co mohou uživatelé dělat se zprávami v karanténě a jestli uživatelé dostanou oznámení o karanténě. Další informace najdete v tématu Anatomie zásad karantény.

I když se hodnota Použít zásadu karantény při vytváření zásad ochrany phishing na portálu Defender zobrazuje jako nevybraná, použije se zásada karantény s názvem DefaultFullAccessPolicy, pokud nevyberete zásadu karantény. Tato zásada vynucuje historické možnosti pro zprávy, které byly v karanténě zosobněny, jak je popsáno v této tabulce. Když později zobrazíte nebo upravíte nastavení zásad karantény, zobrazí se název zásady karantény.

Správci můžou vytvářet nebo používat zásady karantény s více omezujícími nebo méně omezujícími funkcemi. Pokyny najdete v tématu Vytvoření zásad karantény na portálu Microsoft Defender.

Název funkce zabezpečení Výchozí Standard Striktní Komentování
Prahová hodnota útoku phishing & ochrana
Ochrana před zosobněním uživatele: Povolení ochrany uživatelů (EnableTargetedUserProtection a TargetedUsersToProtect) Nevybráno ($false a žádné) Vybráno ($true a <seznam uživatelů>) Vybráno ($true a <seznam uživatelů>) Doporučujeme přidat uživatele (odesílatele zpráv) do klíčových rolí. Chránění odesílatelé můžou být interně vaším generálním ředitelem, finančním ředitelem a dalšími vedoucími pracovníky. Externě mohou chránění odesílatelé zahrnovat členy rady nebo vaše představenstvo.
Ochrana před zosobněním domény: Povolení ochrany domén Nevybíralo se Vybraný Vybraný
Zahrnout domény, které vlastním (EnableOrganizationDomainsProtection) Vypnuto ($false) Vybráno ($true) Vybráno ($true)
Zahrnout vlastní domény (EnableTargetedDomainsProtection a TargetedDomainsToProtect) Vypnuto ($false a žádné) Vybráno ($true a <seznam domén>) Vybráno ($true a <seznam domén>) Doporučujeme přidat domény (domény odesílatele), které nevlastníte, ale které často používáte.
Přidání důvěryhodných odesílatelů a domén (ExcludedSenders a ExcludedDomains) Žádné Žádné Žádné V závislosti na vaší organizaci doporučujeme přidat odesílatele nebo domény, které jsou nesprávně identifikovány jako pokusy o zosobnění.
Povolení inteligentních funkcí poštovní schránky (EnableMailboxIntelligence) Vybráno ($true) Vybráno ($true) Vybráno ($true)
Povolení inteligentních funkcí pro ochranu před zosobněním (EnableMailboxIntelligenceProtection) Vypnuto ($false) Vybráno ($true) Vybráno ($true) Toto nastavení umožňuje zadanou akci pro detekci zosobnění pomocí inteligentních funkcí poštovní schránky.
Akce
Pokud se zpráva zjistí jako zosobnění uživatele (TargetedUserProtectionAction) Nepoužívejte žádnou akci (NoAction) Umístit zprávu do karantény (Quarantine) Umístit zprávu do karantény (Quarantine)
Zásady karantény pro zosobnění uživatele (TargetedUserQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessWithNotificationPolicy DefaultFullAccessWithNotificationPolicy Zásady karantény mají smysl pouze v případě, že jsou detekce zosobnění uživatelů v karanténě.
Pokud se zpráva zjistí jako zosobnění domény (TargetedDomainProtectionAction) Nepoužívejte žádnou akci (NoAction) Umístit zprávu do karantény (Quarantine) Umístit zprávu do karantény (Quarantine)
Zásady karantény pro zosobnění domény (TargetedDomainQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessWithNotificationPolicy DefaultFullAccessWithNotificationPolicy Zásady karantény jsou smysluplné pouze v případě, že jsou detekce zosobnění domény v karanténě.
Pokud inteligentní funkce poštovní schránky zjistí zosobněného uživatele (MailboxIntelligenceProtectionAction) Nepoužívejte žádnou akci (NoAction) Přesunutí zprávy do složek Nevyžádaná pošta příjemců (MoveToJmf) Umístit zprávu do karantény (Quarantine)
Zásady karantény pro zosobnění inteligentních funkcí poštovní schránky (MailboxIntelligenceQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessPolicy DefaultFullAccessWithNotificationPolicy Zásady karantény jsou smysluplné pouze v případě, že jsou detekce inteligentních funkcí poštovní schránky v karanténě.
Zobrazit bezpečnostní tip pro zosobnění uživatele (EnableSimilarUsersSafetyTips) Vypnuto ($false) Vybráno ($true) Vybráno ($true)
Zobrazit bezpečnostní tip pro zosobnění domény (EnableSimilarDomainsSafetyTips) Vypnuto ($false) Vybráno ($true) Vybráno ($true)
Zobrazit bezpečnostní tip pro zosobnění neobvyklých znaků uživatele (EnableUnusualCharactersSafetyTips) Vypnuto ($false) Vybráno ($true) Vybráno ($true)

¹ Jak je popsáno v tématu Úplná přístupová oprávnění a oznámení o karanténě, vaše organizace může ve výchozích zásadách zabezpečení nebo v nových vlastních zásadách zabezpečení, které vytvoříte, používat NotificationEnabledPolicy místo DefaultFullAccessPolicy. Jediným rozdílem mezi těmito dvěma zásadami karantény je, že oznámení o karanténě jsou zapnutá v NotificationEnabledPolicy a vypnutá v DefaultFullAccessPolicy.

Nastavení zásad ochrany proti útokům phishing v Microsoft Defenderu pro Office 365

Jedná se o stejná nastavení, která jsou k dispozici v nastavení zásad ochrany proti spamu v EOP.

Nastavení bezpečných příloh

Bezpečné přílohy v programu Microsoft Defender pro Office 365 zahrnují globální nastavení, která nemají žádný vztah k zásadám bezpečných příloh, a nastavení, která jsou specifická pro jednotlivé zásady bezpečných odkazů. Další informace najdete v článku Bezpečné přílohy v Defenderu pro Office 365.

Přestože neexistují žádné výchozí zásady zabezpečení bezpečných příloh, předdefinovaná zásada zabezpečení ochrany poskytuje ochranu bezpečných příloh všem příjemcům, kteří nejsou definováni v přednastavených standardních nebo striktních zásadách zabezpečení nebo ve vlastních zásadách Bezpečných příloh. Další informace najdete v tématu Přednastavené zásady zabezpečení v EOP a Microsoft Defenderu pro Office 365.

Globální nastavení bezpečných příloh

Poznámka

Globální nastavení bezpečných příloh se nastavuje pomocí předdefinovaných zásad zabezpečení ochrany, ale ne standardních nebo striktních přednastavených zásad zabezpečení. V každém případě můžou správci tato globální nastavení bezpečných příloh kdykoli změnit.

Sloupec Výchozí zobrazuje hodnoty před existencí předdefinované zásady zabezpečení ochrany. Sloupec Integrovaná ochrana zobrazuje hodnoty nastavené předdefinovanou zásadou zabezpečení předdefinované ochrany , což jsou také doporučené hodnoty.

Pokud chcete tato nastavení nakonfigurovat, přečtěte si článek Zapnutí bezpečných příloh pro SharePoint, OneDrive a Microsoft Teams aBezpečné dokumenty v Microsoftu 365 E5.

V PowerShellu pro tato nastavení použijete rutinu Set-AtpPolicyForO365 .

Název funkce zabezpečení Výchozí Integrovaná ochrana Komentování
Zapnutí Defenderu pro Office 365 pro SharePoint, OneDrive a Microsoft Teams (EnableATPForSPOTeamsODB) Vypnuto ($false) Zapnuto ($true) Pokud chcete uživatelům zabránit ve stahování škodlivých souborů, přečtěte si článek Použití SharePointu Online PowerShellu k zabránění uživatelům ve stahování škodlivých souborů.
Zapnutí bezpečných dokumentů pro klienty Office (EnableSafeDocs) Vypnuto ($false) Zapnuto ($true) Tato funkce je dostupná a smysluplná jenom u licencí, které nejsou součástí Defenderu pro Office 365 (například Microsoft 365 A5 nebo Microsoft 365 E5 Security). Další informace najdete v tématu Bezpečné dokumenty v Microsoft 365 A5 nebo E5 Security.
Povolit uživatelům kliknout na chráněné zobrazení, i když bezpečné dokumenty identifikovaly soubor jako škodlivý (AllowSafeDocsOpen) Vypnuto ($false) Vypnuto ($false) Toto nastavení souvisí s bezpečnými dokumenty.

Nastavení zásad bezpečných příloh

Informace o konfiguraci těchto nastavení najdete v tématu Nastavení zásad bezpečných příloh v Defenderu pro Office 365.

V PowerShellu pro tato nastavení použijete rutiny New-SafeAttachmentPolicy a Set-SafeAttachmentPolicy .

Poznámka

Jak je popsáno výše, přestože neexistují žádné výchozí zásady zabezpečení Bezpečných příloh, předdefinovaná zásada zabezpečení ochrany poskytuje ochranu bezpečných příloh všem příjemcům, kteří nejsou definováni ve standardních přednastavených zásadách zabezpečení, přísných přednastavených zásadách zabezpečení nebo ve vlastních zásadách bezpečných příloh.

Sloupec Výchozí ve vlastním sloupci odkazuje na výchozí hodnoty v nových zásadách bezpečných příloh, které vytvoříte. Zbývající sloupce označují (pokud není uvedeno jinak) hodnoty, které jsou nakonfigurované v odpovídajících přednastavených zásadách zabezpečení.

Zásady karantény definují, co mohou uživatelé dělat se zprávami v karanténě a jestli uživatelé dostanou oznámení o karanténě. Další informace najdete v tématu Anatomie zásad karantény.

Zásada s názvem AdminOnlyAccessPolicy vynucuje historické možnosti pro zprávy, které byly v karanténě jako malware, jak je popsáno v této tabulce.

Uživatelé nemůžou vydávat vlastní zprávy, které byly bezpečnými přílohami v karanténě jako malware, bez ohledu na to, jak jsou zásady karantény nakonfigurované. Pokud zásady umožňují uživatelům vydávat vlastní zprávy v karanténě, uživatelé si místo toho můžou vyžádat vydání zpráv o malwaru v karanténě.

Název funkce zabezpečení Výchozí ve vlastním nastavení Integrovaná ochrana Standard Striktní Komentování
Bezpečné přílohy – neznámá odpověď na malware (povolení a akce) Vypnuto (-Enable $false a -Action Block) Blok (-Enable $true a -Action Block) Blok (-Enable $true a -Action Block) Blok (-Enable $true a -Action Block) Pokud je parametr Enable $false, na hodnotě parametru Action nezáleží.
Zásady karantény (QuarantineTag) AdminOnlyAccessPolicy AdminOnlyAccessPolicy AdminOnlyAccessPolicy AdminOnlyAccessPolicy
Příloha přesměrování se zjištěnými přílohami : Povolit přesměrování (Redirect a RedirectAddress) Není vybráno a není zadána žádná e-mailová adresa. (-Redirect $false a RedirectAddress jsou prázdné) Není vybráno a není zadána žádná e-mailová adresa. (-Redirect $false a RedirectAddress jsou prázdné) Není vybráno a není zadána žádná e-mailová adresa. (-Redirect $false a RedirectAddress jsou prázdné) Není vybráno a není zadána žádná e-mailová adresa. (-Redirect $false a RedirectAddress jsou prázdné) Přesměrování zpráv je k dispozici pouze v případech, kdy hodnota neznámé odpovědi na malware bezpečných příloh je Monitor (-Enable $true a -Action Allow).

Další informace o ochraně bezpečných odkazů najdete v tématu Bezpečné odkazy v Defenderu pro Office 365.

I když nejsou k dispozici žádné výchozí zásady bezpečného propojení, předdefinovaná zásada zabezpečení ochrany poskytuje ochranu bezpečných odkazů všem příjemcům, kteří nejsou definováni v přednastavených standardních zásadách zabezpečení, striktních přednastavených zásadách zabezpečení nebo ve vlastních zásadách bezpečných odkazů. Další informace najdete v tématu Přednastavené zásady zabezpečení v EOP a Microsoft Defenderu pro Office 365.

Informace o konfiguraci nastavení zásad bezpečných odkazů najdete v tématu Nastavení zásad bezpečných odkazů v programu Microsoft Defender pro Office 365.

V PowerShellu použijete pro nastavení zásad Bezpečné odkazy rutiny New-SafeLinksPolicy a Set-SafeLinksPolicy .

Poznámka

Sloupec Výchozí ve vlastním sloupci odkazuje na výchozí hodnoty v nových zásadách bezpečných propojení, které vytvoříte. Zbývající sloupce označují (pokud není uvedeno jinak) hodnoty, které jsou nakonfigurované v odpovídajících přednastavených zásadách zabezpečení.

Název funkce zabezpečení Výchozí ve vlastním nastavení Integrovaná ochrana Standard Striktní Komentování
Nastavení ochrany & kliknutím na adresu URL
E-mail Nastavení v této části ovlivňují přepis adresy URL a čas ochrany před kliknutím v e-mailových zprávách.
Zapnuto: Bezpečné odkazy kontroluje seznam známých škodlivých odkazů, když uživatelé kliknou na odkazy v e-mailu. Adresy URL se ve výchozím nastavení přepisují. (EnableSafeLinksForEmail) Vybráno ($true) Vybráno ($true) Vybráno ($true) Vybráno ($true)
Použití bezpečných odkazů na e-mailové zprávy odeslané v rámci organizace (EnableForInternalSenders) Vybráno ($true) Nevybíral($false) Vybráno ($true) Vybráno ($true)
Použití kontroly adres URL v reálném čase pro podezřelé odkazy a odkazy, které ukazují na soubory (ScanUrls) Vybráno ($true) Vybráno ($true) Vybráno ($true) Vybráno ($true)
Před doručením zprávy počkejte na dokončení kontroly adresy URL (DeliverMessageAfterScan). Vybráno ($true) Vybráno ($true) Vybráno ($true) Vybráno ($true)
Nepřepisujte adresy URL, proveďte kontroly pouze prostřednictvím rozhraní API bezpečných odkazů (DisableURLRewrite) Vybráno ($false)* Vybráno ($true) Nevybíral($false) Nevybíral($false) * V nových zásadách bezpečných odkazů, které vytvoříte na portálu Defender, je toto nastavení ve výchozím nastavení vybrané. V nových zásadách bezpečných propojení, které vytvoříte v PowerShellu, je $falsevýchozí hodnota parametru DisableURLRewrite .
Nepřepisujte následující adresy URL v e-mailu (DoNotRewriteUrls) Bianko Bianko Bianko Bianko Pro toto nastavení nemáme žádné konkrétní doporučení.

Poznámka: Položky v seznamu Nepřepisovat následující adresy URL nejsou během toku pošty kontrolovány ani zabaleny bezpečnými odkazy. Ohlaste adresu URL, protože jsem potvrdil, že je čistá , a pak vyberte Povolit tuto adresu URL , aby se přidala položka povolení do seznamu povolených/blokovaných klientů, aby se adresa URL během toku pošty a při kliknutí neskenovala ani nesbalila bezpečnými odkazy. Pokyny najdete v tématu Hlášení správných adres URL společnosti Microsoft.
Teams Nastavení v této části má vliv na dobu ochrany před kliknutím v Microsoft Teams.
Zapnuto: Bezpečné odkazy kontroluje seznam známých škodlivých odkazů, když uživatelé kliknou na odkazy v Microsoft Teams. Adresy URL se nepřepíšou. (EnableSafeLinksForTeams) Vybráno ($true) Vybráno ($true) Vybráno ($true) Vybráno ($true)
Aplikace Office 365 Nastavení v této části má vliv na dobu ochrany před kliknutím v aplikacích Office.
Zapnuto: Bezpečné odkazy kontroluje seznam známých škodlivých odkazů, když uživatelé kliknou na odkazy v aplikacích Microsoft Office. Adresy URL se nepřepíšou. (EnableSafeLinksForOffice) Vybráno ($true) Vybráno ($true) Vybráno ($true) Vybráno ($true) Používejte bezpečné odkazy v podporovaných desktopových a mobilních aplikacích Office 365 (iOS a Android). Další informace najdete v tématu Nastavení bezpečných odkazů pro aplikace Office.
Klikněte na nastavení ochrany.
Sledování kliknutí uživatelů (TrackClicks) Vybráno ($true) Vybráno ($true) Vybráno ($true) Vybráno ($true)
Umožnit uživatelům proklikat se na původní adresu URL (AllowClickThrough) Vybráno ($false)* Vybráno ($true) Nevybíral($false) Nevybíral($false) * V nových zásadách bezpečných odkazů, které vytvoříte na portálu Defender, je toto nastavení ve výchozím nastavení vybrané. V nových zásadách bezpečných odkazů, které vytvoříte v PowerShellu, je $falsevýchozí hodnota parametru AllowClickThrough .
Zobrazení brandingu organizace na stránkách oznámení a upozornění (EnableOrganizationBranding) Nevybíral($false) Nevybíral($false) Nevybíral($false) Nevybíral($false) Pro toto nastavení nemáme žádné konkrétní doporučení.

Než toto nastavení zapnete, musíte postupovat podle pokynů v tématu Přizpůsobení motivu Microsoftu 365 pro vaši organizaci a nahrát firemní logo.
Oznámení
Jak chcete upozornit uživatele? (CustomNotificationText a UseTranslatedNotificationText) Použijte výchozí text oznámení (Prázdné a $false) Použijte výchozí text oznámení (Prázdné a $false) Použijte výchozí text oznámení (Prázdné a $false) Použijte výchozí text oznámení (Prázdné a $false) Pro toto nastavení nemáme žádné konkrétní doporučení.

Pokud chcete zadat a používat přizpůsobený text oznámení, můžete vybrat Použít vlastní text oznámení (-CustomNotificationText "<Custom text>"). Pokud zadáte vlastní text, můžete také vybrat možnost Použít Microsoft Translator pro automatickou lokalizaci (-UseTranslatedNotificationText $true) a automaticky přeložit text do jazyka uživatele.