Exchange Online Protection (EOP) es el núcleo de seguridad de las suscripciones de Microsoft 365 y ayuda a evitar que los correos electrónicos malintencionados lleguen a las bandejas de entrada de los empleados. Pero con nuevos ataques más sofisticados que aparecen cada día, a menudo se requieren protecciones mejoradas.
Microsoft Defender para Office 365 Plan 1 o Plan 2 contienen características adicionales que proporcionan más niveles de seguridad, control e investigación.
Aunque capacitamos a los administradores de seguridad para personalizar su configuración de seguridad, hay dos niveles de seguridad en EOP y Microsoft Defender para Office 365 que se recomiendan: Standard y Strict. Aunque los entornos y las necesidades de los clientes son diferentes, estos niveles de filtrado ayudan a evitar que el correo no deseado llegue a la Bandeja de entrada de los empleados en la mayoría de las situaciones.
En este artículo se describen la configuración predeterminada y también los Standard recomendados y la configuración estricta para ayudar a proteger a los usuarios. Las tablas contienen la configuración en el portal de Microsoft Defender y PowerShell (Exchange Online PowerShell o PowerShell Exchange Online Protection independiente para organizaciones sin buzones de Exchange Online).
Nota
El módulo Office 365 Advanced Threat Protection Recommended Configuration Analyzer (ORCA) para PowerShell puede ayudar a los administradores a encontrar los valores actuales de esta configuración. En concreto, el cmdlet Get-ORCAReport genera una evaluación de la configuración de protección contra el correo no deseado, la suplantación de identidad (phishing) y otras configuraciones de higiene de mensajes. Puede descargar el módulo ORCA en https://www.powershellgallery.com/packages/ORCA/.
En las organizaciones de Microsoft 365, se recomienda dejar el filtro de Email no deseado en Outlook establecido en Sin filtrado automático para evitar conflictos innecesarios (positivos y negativos) con los veredictos de filtrado de correo no deseado de EOP. Para más información, consulte los siguientes artículos:
Protección contra correo no deseado, antimalware y contra suplantación de identidad (phishing) en EOP
El antispam, el antimalware y la suplantación de identidad son características de EOP que pueden configurar los administradores. Se recomiendan las siguientes configuraciones Standard o Strict.
Las directivas de cuarentena definen lo que los usuarios pueden hacer para los mensajes en cuarentena y si los usuarios reciben notificaciones de cuarentena. Para obtener más información, consulte Anatomía de una directiva de cuarentena.
La directiva denominada AdminOnlyAccessPolicy aplica las funcionalidades históricas para los mensajes que se pusieron en cuarentena como malware, como se describe en la tabla aquí.
Los usuarios no pueden liberar sus propios mensajes que se pusieron en cuarentena como malware, independientemente de cómo se configure la directiva de cuarentena. Si la directiva permite a los usuarios liberar sus propios mensajes en cuarentena, se permite a los usuarios solicitar la liberación de sus mensajes de malware en cuarentena.
Nombre de la característica de seguridad
Predeterminado
Estándar
Estricto
Comentario
Configuración de protección
Habilitar el filtro de datos adjuntos comunes (EnableFileFilter)
* El filtro de datos adjuntos comunes está activado de forma predeterminada en las nuevas directivas antimalware que se crean en el portal de Defender o en PowerShell, y en la directiva antimalware predeterminada en las organizaciones creadas después del 1 de diciembre de 2023.
Notificaciones de filtro de datos adjuntos comunes: cuando se encuentran estos tipos de archivo (FileTypeAction)
Rechazar el mensaje con un informe de no entrega (NDR) (Reject)
Rechazar el mensaje con un informe de no entrega (NDR) (Reject)
Rechazar el mensaje con un informe de no entrega (NDR) (Reject)
Habilitación de la purga automática de cero horas para malware (ZapEnabled)
Seleccionado ($true)
Seleccionado ($true)
Seleccionado ($true)
Directiva de cuarentena (QuarantineTag)
AdminOnlyAccessPolicy
AdminOnlyAccessPolicy
AdminOnlyAccessPolicy
notificaciones de Administración
Notificar a un administrador sobre los mensajes no entregados de remitentes internos (EnableInternalSenderAdminNotifications e InternalSenderAdminAddress)
No seleccionado ($false)
No seleccionado ($false)
No seleccionado ($false)
No tenemos ninguna recomendación específica para esta configuración.
Notificar a un administrador sobre los mensajes no entregados de remitentes externos (EnableExternalSenderAdminNotifications y ExternalSenderAdminAddress)
No seleccionado ($false)
No seleccionado ($false)
No seleccionado ($false)
No tenemos ninguna recomendación específica para esta configuración.
Personalización de notificaciones
No tenemos recomendaciones específicas para esta configuración.
Usar texto de notificación personalizado (CustomNotifications)
No seleccionado ($false)
No seleccionado ($false)
No seleccionado ($false)
From name (CustomFromName)
En blanco
En blanco
En blanco
Desde la dirección (CustomFromAddress)
En blanco
En blanco
En blanco
Personalización de notificaciones para mensajes de remitentes internos
Esta configuración solo se usa si se selecciona Notificar a un administrador sobre mensajes no entregados de remitentes internos .
Subject (CustomInternalSubject)
En blanco
En blanco
En blanco
Mensaje (CustomInternalBody)
En blanco
En blanco
En blanco
Personalización de notificaciones para mensajes de remitentes externos
Esta configuración solo se usa si se selecciona Notificar a un administrador acerca de los mensajes no entregados de remitentes externos .
Subject (CustomExternalSubject)
En blanco
En blanco
En blanco
Mensaje (CustomExternalBody)
En blanco
En blanco
En blanco
Configuración de directivas contra correo no deseado de EOP
Dondequiera que seleccione Mensaje de cuarentena como acción para un veredicto de filtro de correo no deseado, está disponible un cuadro Seleccionar directiva de cuarentena . Las directivas de cuarentena definen lo que los usuarios pueden hacer para los mensajes en cuarentena y si los usuarios reciben notificaciones de cuarentena. Para obtener más información, consulte Anatomía de una directiva de cuarentena.
Si cambia la acción de un veredicto de filtrado de correo no deseado a Mensaje de cuarentena al crear directivas contra correo no deseado en el portal de Defender, el cuadro Seleccionar directiva de cuarentena está en blanco de forma predeterminada. Un valor en blanco significa que se usa la directiva de cuarentena predeterminada para ese veredicto de filtrado de correo no deseado. Estas directivas de cuarentena predeterminadas aplican las funcionalidades históricas para el veredicto de filtro de correo no deseado que pone en cuarentena el mensaje como se describe en la tabla aquí. Cuando más adelante vea o edite la configuración de la directiva contra correo no deseado, se mostrará el nombre de la directiva de cuarentena.
Contiene idiomas específicos (EnableLanguageBlockList y LanguageBlockList)
Desactivado ($false y En blanco)
Desactivado ($false y En blanco)
Desactivado ($false y En blanco)
No tenemos ninguna recomendación específica para esta configuración. Puede bloquear mensajes en lenguajes específicos en función de sus necesidades empresariales.
De estos países (EnableRegionBlockList y RegionBlockList)
Desactivado ($false y En blanco)
Desactivado ($false y En blanco)
Desactivado ($false y En blanco)
No tenemos ninguna recomendación específica para esta configuración. Puede bloquear mensajes de países o regiones específicos en función de sus necesidades empresariales.
Acción de detección de correo no deseado (SpamAction)
Mover el mensaje a la carpeta de Email no deseado (MoveToJmf)
Mover el mensaje a la carpeta de Email no deseado (MoveToJmf)
Mensaje de cuarentena (Quarantine)
Directiva de cuarentena para correo no deseado (SpamQuarantineTag)
DefaultFullAccessPolicy¹
DefaultFullAccessPolicy
DefaultFullAccessWithNotificationPolicy
La directiva de cuarentena solo es significativa si las detecciones de correo no deseado están en cuarentena.
Acción de detección de spam de alta confianza (HighConfidenceSpamAction)
Mover el mensaje a la carpeta de Email no deseado (MoveToJmf)
Mensaje de cuarentena (Quarantine)
Mensaje de cuarentena (Quarantine)
Directiva de cuarentena para spam de alta confianza (HighConfidenceSpamQuarantineTag)
DefaultFullAccessPolicy¹
DefaultFullAccessWithNotificationPolicy
DefaultFullAccessWithNotificationPolicy
La directiva de cuarentena solo es significativa si las detecciones de correo no deseado de alta confianza están en cuarentena.
Acción de detección de suplantación de identidad (PhishSpamAction)
Mover el mensaje a la carpeta de Email no deseado (MoveToJmf)*
Mensaje de cuarentena (Quarantine)
Mensaje de cuarentena (Quarantine)
*El valor predeterminado es Mover mensaje a la carpeta de Email no deseado en la directiva de correo no deseado predeterminada y en las nuevas directivas contra correo no deseado que cree en PowerShell. El valor predeterminado es Mensaje de cuarentena en las nuevas directivas de antispam que se crean en el portal de Defender.
Directiva de cuarentena para phishing (PhishQuarantineTag)
DefaultFullAccessPolicy¹
DefaultFullAccessWithNotificationPolicy
DefaultFullAccessWithNotificationPolicy
La directiva de cuarentena solo es significativa si las detecciones de phishing están en cuarentena.
Acción de detección de phishing de alta confianza (HighConfidencePhishAction)
Mensaje de cuarentena (Quarantine)
Mensaje de cuarentena (Quarantine)
Mensaje de cuarentena (Quarantine)
Los usuarios no pueden liberar sus propios mensajes que se pusieron en cuarentena como suplantación de identidad de alta confianza, independientemente de cómo se configure la directiva de cuarentena. Si la directiva permite a los usuarios liberar sus propios mensajes en cuarentena, se permite a los usuarios solicitar la liberación de sus mensajes de suplantación de identidad de alta confianza en cuarentena.
Directiva de cuarentena para phishing de alta confianza (HighConfidencePhishQuarantineTag)
AdminOnlyAccessPolicy
AdminOnlyAccessPolicy
AdminOnlyAccessPolicy
Nivel de cumplimiento masivo (BCL) cumplido o superado (BulkSpamAction)
Mover el mensaje a la carpeta de Email no deseado (MoveToJmf)
Mover el mensaje a la carpeta de Email no deseado (MoveToJmf)
Mensaje de cuarentena (Quarantine)
Directiva de cuarentena para el nivel de cumplimiento masivo (BCL) cumplido o superado (BulkQuarantineTag)
DefaultFullAccessPolicy¹
DefaultFullAccessPolicy
DefaultFullAccessWithNotificationPolicy
La directiva de cuarentena solo es significativa si las detecciones masivas están en cuarentena.
Mensajes dentro de la organización en los que realizar acciones (IntraOrgFilterState)
Valor predeterminado (predeterminado)
Valor predeterminado (predeterminado)
Valor predeterminado (predeterminado)
El valor Predeterminado es el mismo que al seleccionar Mensajes de suplantación de identidad de alta confianza. Actualmente, en las organizaciones gubernamentales de Ee. UU. (Microsoft 365 GCC, GCC High y DoD), el valor Predeterminado es el mismo que al seleccionar Ninguno.
Conservar el correo no deseado en cuarentena durante estos días (QuarantineRetentionPeriod)
15 días
30 días
30 días
Este valor también afecta a los mensajes que están en cuarentena mediante directivas anti phishing. Para obtener más información, consulte Retención de cuarentena.
Habilitar sugerencias de seguridad contra correo no deseado (InlineSafetyTipsEnabled)
Seleccionado ($true)
Seleccionado ($true)
Seleccionado ($true)
Habilitación de la purga automática de cero horas (ZAP) para mensajes de suplantación de identidad (PhishZapEnabled)
Seleccionado ($true)
Seleccionado ($true)
Seleccionado ($true)
Habilitar ZAP para mensajes de correo no deseado (SpamZapEnabled)
Seleccionado ($true)
Seleccionado ($true)
Seleccionado ($true)
Permitir & lista de bloques
Remitentes permitidos (AllowedSenders)
Ninguno
Ninguno
Ninguno
Dominios de remitente permitidos (AllowedSenderDomains)
Ninguno
Ninguno
Ninguno
Agregar dominios a la lista de dominios permitidos es una mala idea. Los atacantes podrían enviarle un correo electrónico que, de lo contrario, se filtraría.
Use la información de inteligencia de suplantación de identidad y la lista de permitidos o bloqueados de inquilinos para revisar todos los remitentes que suplantan las direcciones de correo electrónico del remitente en los dominios de correo electrónico de la organización o suplantan las direcciones de correo electrónico del remitente en dominios externos.
Remitentes bloqueados (BloqueadoSenders)
Ninguno
Ninguno
Ninguno
Dominios de remitente bloqueados (BlockedSenderDomains)
Ninguno
Ninguno
Ninguno
¹ Como se describe en Permisos de acceso completo y notificaciones de cuarentena, su organización podría usar NotificationEnabledPolicy en lugar de DefaultFullAccessPolicy en la directiva de seguridad predeterminada o en las nuevas directivas de seguridad personalizadas que cree. La única diferencia entre estas dos directivas de cuarentena es que las notificaciones de cuarentena están activadas en NotificationEnabledPolicy y desactivadas en DefaultFullAccessPolicy.
Configuración de ASF en directivas contra correo no deseado
Registro SPF: error duro (MarkAsSpamSpfRecordHardFail)
Desactivado
Desactivado
Desactivado
Error de filtrado de identificador de remitente (MarkAsSpamFromAddressAuthFail)
Desactivado
Desactivado
Desactivado
Backscatter (MarkAsSpamNdrBackscatter)
Desactivado
Desactivado
Desactivado
Modo de prueba (TestModeAction)
Ninguno
Ninguno
Ninguno
En el caso de las opciones de ASF que admiten Probar como una acción, puede configurar la acción del modo de prueba en Ninguno, Agregar texto de encabezado X predeterminado o Enviar mensaje cco (None, AddXHeadero BccMessage). Para obtener más información, vea Habilitar, deshabilitar o probar la configuración de ASF.
Nota
ASF agrega X-CustomSpam: campos de encabezado X a los mensajes después de que las reglas de flujo de correo de Exchange hayan procesado los mensajes (también conocidas como reglas de transporte), por lo que no puede usar reglas de flujo de correo para identificar y actuar en los mensajes filtrados por ASF.
Configuración de la directiva de correo no deseado saliente de EOP
Para obtener más información sobre los límites de envío predeterminados en el servicio, consulte Límites de envío.
Nota
Las directivas de correo no deseado saliente no forman parte de Standard ni de directivas de seguridad preestablecidas estrictas. Los valores Standard y Strict indican nuestros valores recomendados en la directiva de correo no deseado saliente predeterminada o en las directivas de correo no deseado de salida personalizadas que cree.
Nombre de la característica de seguridad
Predeterminado
Recomendado Estándar
Recomendado Estricto
Comentario
Establecer un límite de mensajes externos (RecipientLimitExternalPerHour)
0
500
400
El valor predeterminado 0 significa usar los valores predeterminados del servicio.
Establecer un límite de mensajes interno (RecipientLimitInternalPerHour)
0
1000
800
El valor predeterminado 0 significa usar los valores predeterminados del servicio.
Establecer un límite de mensajes diario (RecipientLimitPerDay)
0
1000
800
El valor predeterminado 0 significa usar los valores predeterminados del servicio.
Restricción impuesta a los usuarios que alcanzan el límite de mensajes (ActionWhenThresholdReached)
Restringir al usuario el envío de correo hasta el día siguiente (BlockUserForToday)
Enviar una copia de mensajes salientes que superen estos límites a estos usuarios y grupos (BccSuspiciousOutboundMail y BccSuspiciousOutboundAdditionalRecipients)
No seleccionado ($false y En blanco)
No seleccionado ($false y En blanco)
No seleccionado ($false y En blanco)
Esta configuración solo funciona en la directiva de correo no deseado saliente predeterminada. No funciona en las directivas de correo no deseado de salida personalizadas creadas por usted.
La recomendación De Microsoft SecureScore Asegúrese de que Exchange Online directivas de correo no deseado estén establecidas para notificar a los administradores que sugiere que configure este valor.
Notificar a estos usuarios y grupos si un remitente está bloqueado debido al envío de correo no deseado saliente (NotifyOutboundSpam y NotifyOutboundSpamRecipients)
No seleccionado ($false y En blanco)
No seleccionado ($false y En blanco)
No seleccionado ($false y En blanco)
La directiva de alerta predeterminada denominada User restricted from sending email already send email notifications to members of the TenantAdmins group (Global Administrator members) when users are blocked due to exceeding the limits in the policy. Para obtener instrucciones, consulte Comprobación de la configuración de alertas para usuarios restringidos.
Aunque se recomienda usar la directiva de alertas en lugar de esta configuración en la directiva de correo no deseado saliente para notificar a los administradores y a otros usuarios, la recomendación de Microsoft SecureScore Asegúrese de que Exchange Online directivas de correo no deseado estén establecidas para notificar a los administradores que configure este valor.
Configuración de la directiva contra suplantación de identidad (EOP)
La configuración de suplantación de identidad está relacionada entre sí, pero la opción Mostrar la sugerencia de seguridad de primer contacto no depende de la configuración de suplantación.
Las directivas de cuarentena definen lo que los usuarios pueden hacer para los mensajes en cuarentena y si los usuarios reciben notificaciones de cuarentena. Para obtener más información, consulte Anatomía de una directiva de cuarentena.
Aunque el valor aplicar directiva de cuarentena aparece sin seleccionar al crear una directiva anti-phishing en el portal de Defender, la directiva de cuarentena denominada DefaultFullAccessPolicy¹ se usa si no selecciona una directiva de cuarentena. Esta directiva aplica las funcionalidades históricas para los mensajes que se pusieron en cuarentena como suplantación de identidad, como se describe en la tabla aquí. Cuando más adelante vea o edite la configuración de la directiva de cuarentena, se muestra el nombre de la directiva de cuarentena.
Habilitar la inteligencia de suplantación de identidad (EnableSpoofIntelligence)
Seleccionado ($true)
Seleccionado ($true)
Seleccionado ($true)
Acciones
Respetar la directiva de registros DMARC cuando el mensaje se detecta como suplantación de identidad (HonorDmarcPolicy)
Seleccionado ($true)
Seleccionado ($true)
Seleccionado ($true)
Cuando esta configuración está activada, se controla lo que sucede con los mensajes en los que el remitente produce un error en las comprobaciones de DMARC explícitas cuando la acción de directiva en el registro TXT de DMARC está establecida p=quarantine en o p=reject. Para obtener más información, consulte Protección contra suplantación de identidad y directivas DMARC de remitente.
Si el mensaje se detecta como suplantación de identidad y la directiva DMARC se establece como p=quarantine (DmarcQuarantineAction)
Poner en cuarentena el mensaje (Quarantine)
Poner en cuarentena el mensaje (Quarantine)
Poner en cuarentena el mensaje (Quarantine)
Esta acción solo es significativa cuando se activa la directiva de registro de Honor DMARC cuando se detecta el mensaje como suplantación de identidad .
Si el mensaje se detecta como suplantación de identidad y la directiva DMARC se establece como p=reject (DmarcRejectAction)
Rechazar el mensaje (Reject)
Rechazar el mensaje (Reject)
Rechazar el mensaje (Reject)
Esta acción solo es significativa cuando se activa la directiva de registro de Honor DMARC cuando se detecta el mensaje como suplantación de identidad .
Si el mensaje se detecta como suplantación por inteligencia de suplantación de identidad (AuthenticationFailAction)
Mover el mensaje a las carpetas de Email no deseado de los destinatarios (MoveToJmf)
Mover el mensaje a las carpetas de Email no deseado de los destinatarios (MoveToJmf)
Si selecciona Poner en cuarentena el mensaje como acción para el veredicto de suplantación de identidad, está disponible un cuadro Aplicar directiva de cuarentena .
Directiva de cuarentena para la suplantación de identidad (SpoofQuarantineTag)
DefaultFullAccessPolicy¹
DefaultFullAccessPolicy
DefaultFullAccessWithNotificationPolicy
La directiva de cuarentena solo es significativa si las detecciones de suplantación de identidad están en cuarentena.
Mostrar la primera sugerencia de seguridad de contactos (EnableFirstContactSafetyTips)
Mostrar (?) para remitentes no autenticados para suplantación de identidad (EnableUnauthenticatedSender)
Seleccionado ($true)
Seleccionado ($true)
Seleccionado ($true)
Agrega un signo de interrogación (?) a la foto del remitente en Outlook para remitentes suplantados no identificados. Para obtener más información, consulte Indicadores de remitente no autenticados.
Mostrar etiqueta "via" (EnableViaTag)
Seleccionado ($true)
Seleccionado ($true)
Seleccionado ($true)
Agrega una etiqueta via (chris@contoso.com via fabrikam.com) a la dirección From si es diferente del dominio de la firma DKIM o de la dirección MAIL FROM .
¹ Como se describe en Permisos de acceso completo y notificaciones de cuarentena, su organización podría usar NotificationEnabledPolicy en lugar de DefaultFullAccessPolicy en la directiva de seguridad predeterminada o en las nuevas directivas de seguridad personalizadas que cree. La única diferencia entre estas dos directivas de cuarentena es que las notificaciones de cuarentena están activadas en NotificationEnabledPolicy y desactivadas en DefaultFullAccessPolicy.
seguridad de Microsoft Defender para Office 365
Las ventajas de seguridad adicionales incluyen una suscripción Microsoft Defender para Office 365. Para obtener las últimas noticias e información, puede ver las novedades de Defender para Office 365.
Importante
La directiva predeterminada contra suplantación de identidad (phishing) de Microsoft Defender para Office 365 proporciona protección contra suplantación de identidad e inteligencia de buzones para todos los destinatarios. Sin embargo, las otras características de protección de suplantación disponibles y la configuración avanzada no están configuradas ni habilitadas en la directiva predeterminada. Para habilitar todas las características de protección, use uno de los métodos siguientes:
Active y use las directivas de seguridad preestablecidas de Standard o Strict y configure allí la protección contra suplantación.
Modifique la directiva de anti-phishing predeterminada.
Cree directivas de anti-phishing adicionales.
Aunque no hay ninguna directiva de datos adjuntos seguros predeterminada ni directiva de vínculos seguros, la directiva de seguridad preestablecida de protección integrada proporciona protección de datos adjuntos seguros y protección de vínculos seguros a todos los destinatarios que no están definidos en la directiva de seguridad preestablecida de Standard, la directiva de seguridad preestablecida Strict o en las directivas personalizadas de datos adjuntos seguros o vínculos seguros). Para obtener más información, vea Directivas de seguridad preestablecidas en EOP y Microsoft Defender para Office 365.
Si la suscripción incluye Microsoft Defender para Office 365 o si ha comprado Defender para Office 365 como complemento, establezca las siguientes configuraciones de Standard o estrictas.
Configuración de directivas contra suplantación de identidad (phishing) en Microsoft Defender para Office 365
Dondequiera que seleccione Poner en cuarentena el mensaje como acción para un veredicto de suplantación, está disponible un cuadro Aplicar directiva de cuarentena . Las directivas de cuarentena definen lo que los usuarios pueden hacer para los mensajes en cuarentena y si los usuarios reciben notificaciones de cuarentena. Para obtener más información, consulte Anatomía de una directiva de cuarentena.
Aunque el valor aplicar directiva de cuarentena aparece sin seleccionar al crear una directiva anti-phishing en el portal de Defender, la directiva de cuarentena denominada DefaultFullAccessPolicy se usa si no selecciona una directiva de cuarentena. Esta directiva aplica las funcionalidades históricas para los mensajes que se pusieron en cuarentena como suplantación, como se describe en la tabla aquí. Cuando más adelante vea o edite la configuración de la directiva de cuarentena, se muestra el nombre de la directiva de cuarentena.
Protección de suplantación de usuario: permitir que los usuarios protejan (EnableTargetedUserProtection y TargetedUsersToProtect)
No seleccionado ($false y ninguno)
Seleccionado ($true y <lista de usuarios>)
Seleccionado ($true y <lista de usuarios>)
Se recomienda agregar usuarios (remitentes de mensajes) en roles clave. Internamente, los remitentes protegidos pueden ser su director general, director financiero y otros líderes sénior. Externamente, los remitentes protegidos podrían incluir miembros del consejo o su consejo de administración.
Protección de suplantación de dominio: habilitación de dominios para proteger
Incluir dominios personalizados (EnableTargetedDomainsProtection y TargetedDomainsToProtect)
Desactivado ($false y ninguno)
Seleccionado ($true y <lista de dominios>)
Seleccionado ($true y <lista de dominios>)
Se recomienda agregar dominios (dominios de remitente) que no posea, pero que interactúe con frecuencia.
Agregar remitentes y dominios de confianza (ExcludedSenders y ExcludedDomains)
Ninguno
Ninguno
Ninguno
En función de su organización, se recomienda agregar remitentes o dominios que se identifiquen incorrectamente como intentos de suplantación.
Habilitar la inteligencia de buzones (EnableMailboxIntelligence)
Seleccionado ($true)
Seleccionado ($true)
Seleccionado ($true)
Habilitar la inteligencia para la protección contra suplantación (EnableMailboxIntelligenceProtection)
Desactivado ($false)
Seleccionado ($true)
Seleccionado ($true)
Esta configuración permite la acción especificada para las detecciones de suplantación por parte de la inteligencia del buzón de correo.
Acciones
Si se detecta un mensaje como suplantación de usuario (TargetedUserProtectionAction)
No aplique ninguna acción (NoAction)
Poner en cuarentena el mensaje (Quarantine)
Poner en cuarentena el mensaje (Quarantine)
Directiva de cuarentena para la suplantación de usuario (TargetedUserQuarantineTag)
DefaultFullAccessPolicy¹
DefaultFullAccessWithNotificationPolicy
DefaultFullAccessWithNotificationPolicy
La directiva de cuarentena solo es significativa si las detecciones de suplantación de usuario están en cuarentena.
Si se detecta un mensaje como suplantación de dominio (TargetedDomainProtectionAction)
No aplique ninguna acción (NoAction)
Poner en cuarentena el mensaje (Quarantine)
Poner en cuarentena el mensaje (Quarantine)
Directiva de cuarentena para la suplantación de dominio (TargetedDomainQuarantineTag)
DefaultFullAccessPolicy¹
DefaultFullAccessWithNotificationPolicy
DefaultFullAccessWithNotificationPolicy
La directiva de cuarentena solo es significativa si las detecciones de suplantación de dominio están en cuarentena.
Si la inteligencia de buzones detecta un usuario suplantado (MailboxIntelligenceProtectionAction)
No aplique ninguna acción (NoAction)
Mover el mensaje a las carpetas de Email no deseado de los destinatarios (MoveToJmf)
Poner en cuarentena el mensaje (Quarantine)
Directiva de cuarentena para la suplantación de inteligencia de buzón (MailboxIntelligenceQuarantineTag)
DefaultFullAccessPolicy¹
DefaultFullAccessPolicy
DefaultFullAccessWithNotificationPolicy
La directiva de cuarentena solo es significativa si las detecciones de inteligencia del buzón están en cuarentena.
Mostrar sugerencia de seguridad de suplantación de usuario (EnableSimilarUsersSafetyTips)
Desactivado ($false)
Seleccionado ($true)
Seleccionado ($true)
Mostrar sugerencia de seguridad de suplantación de dominio (EnableSimilarDomainsSafetyTips)
Desactivado ($false)
Seleccionado ($true)
Seleccionado ($true)
Mostrar sugerencia de seguridad de caracteres inusuales de suplantación de usuario (EnableUnusualCharactersSafetyTips)
Desactivado ($false)
Seleccionado ($true)
Seleccionado ($true)
¹ Como se describe en Permisos de acceso completo y notificaciones de cuarentena, su organización podría usar NotificationEnabledPolicy en lugar de DefaultFullAccessPolicy en la directiva de seguridad predeterminada o en las nuevas directivas de seguridad personalizadas que cree. La única diferencia entre estas dos directivas de cuarentena es que las notificaciones de cuarentena están activadas en NotificationEnabledPolicy y desactivadas en DefaultFullAccessPolicy.
Configuración de directivas contra phishing de EOP en Microsoft Defender para Office 365
Datos adjuntos seguros en Microsoft Defender para Office 365 incluye la configuración global que no tiene ninguna relación con las directivas de datos adjuntos seguros y la configuración específica de cada directiva de vínculos seguros. Para obtener más información, vea Datos adjuntos seguros en Defender para Office 365.
Aunque no hay ninguna directiva de datos adjuntos seguros predeterminada, la directiva de seguridad preestablecida de protección integrada proporciona protección de datos adjuntos seguros a todos los destinatarios que no están definidos en las directivas de seguridad preestablecidas Standard o estrictas o en directivas de datos adjuntos seguros personalizadas. Para obtener más información, vea Directivas de seguridad preestablecidas en EOP y Microsoft Defender para Office 365.
Configuración global de datos adjuntos seguros
Nota
La configuración global de Datos adjuntos seguros se establece mediante la directiva de seguridad preestablecida de protección integrada, pero no por las directivas de seguridad preestablecidas Standard o Strict. En cualquier caso, los administradores pueden modificar esta configuración global de datos adjuntos seguros en cualquier momento.
La columna Predeterminado muestra los valores antes de la existencia de la directiva de seguridad preestablecida de protección integrada . La columna Protección integrada muestra los valores establecidos por la directiva de seguridad preestablecida de protección integrada , que también son nuestros valores recomendados.
Activar documentos seguros para clientes de Office (EnableSafeDocs)
Desactivado ($false)
Activado ($true)
Esta característica solo está disponible y es significativa con licencias que no se incluyen en Defender para Office 365 (por ejemplo, Microsoft 365 A5 o Seguridad de Microsoft 365 E5). Para obtener más información, consulte Documentos seguros en Microsoft 365 A5 o E5 Security.
Permitir a los usuarios hacer clic en la vista protegida incluso si documentos seguros identificaron el archivo como malintencionado (AllowSafeDocsOpen)
Desactivado ($false)
Desactivado ($false)
Esta configuración está relacionada con documentos seguros.
Configuración de directiva de datos adjuntos seguros
Como se describió anteriormente, aunque no hay ninguna directiva de datos adjuntos seguros predeterminada, la directiva de seguridad preestablecida de protección integrada proporciona protección de datos adjuntos seguros a todos los destinatarios que no están definidos en la directiva de seguridad preestablecida de Standard, la directiva de seguridad preestablecida Strict o en directivas de datos adjuntos seguros personalizadas.
La columna Predeterminado en personalizado hace referencia a los valores predeterminados de las nuevas directivas de datos adjuntos seguros que se crean. Las columnas restantes indican (a menos que se indique lo contrario) los valores configurados en las directivas de seguridad preestablecidas correspondientes.
Las directivas de cuarentena definen lo que los usuarios pueden hacer para los mensajes en cuarentena y si los usuarios reciben notificaciones de cuarentena. Para obtener más información, consulte Anatomía de una directiva de cuarentena.
La directiva denominada AdminOnlyAccessPolicy aplica las funcionalidades históricas para los mensajes que se pusieron en cuarentena como malware, como se describe en la tabla aquí.
Los usuarios no pueden liberar sus propios mensajes que se pusieron en cuarentena como malware mediante datos adjuntos seguros, independientemente de cómo se configure la directiva de cuarentena. Si la directiva permite a los usuarios liberar sus propios mensajes en cuarentena, se permite a los usuarios solicitar la liberación de sus mensajes de malware en cuarentena.
Nombre de la característica de seguridad
Valor predeterminado en personalizado
Protección integrada
Estándar
Estricto
Comentario
Respuesta de malware desconocida de Datos adjuntos seguros (Habilitar y Acción)
Desactivado (-Enable $false y -Action Block)
Bloquear (-Enable $true y -Action Block)
Bloquear (-Enable $true y -Action Block)
Bloquear (-Enable $true y -Action Block)
Cuando se $false el parámetro Enable , el valor del parámetro Action no importa.
Directiva de cuarentena (QuarantineTag)
AdminOnlyAccessPolicy
AdminOnlyAccessPolicy
AdminOnlyAccessPolicy
AdminOnlyAccessPolicy
Datos adjuntos de redireccionamiento con datos adjuntos detectados : Habilitar redirección (Redirect y RedirectAddress)
No seleccionado y no se ha especificado ninguna dirección de correo electrónico. (-Redirect $false y RedirectAddress está en blanco)
No seleccionado y no se ha especificado ninguna dirección de correo electrónico. (-Redirect $false y RedirectAddress está en blanco)
No seleccionado y no se ha especificado ninguna dirección de correo electrónico. (-Redirect $false y RedirectAddress está en blanco)
No seleccionado y no se ha especificado ninguna dirección de correo electrónico. (-Redirect $false y RedirectAddress está en blanco)
El redireccionamiento de mensajes solo está disponible cuando el valor de respuesta de malware desconocido datos adjuntos seguros es Monitor (-Enable $true y -Action Allow).
Aunque no hay ninguna directiva de vínculos seguros predeterminada, la directiva de seguridad preestablecida de protección integrada proporciona protección de vínculos seguros a todos los destinatarios que no están definidos en la directiva de seguridad preestablecida de Standard, la directiva de seguridad preestablecida estricta o en directivas de vínculos seguros personalizadas. Para obtener más información, vea Directivas de seguridad preestablecidas en EOP y Microsoft Defender para Office 365.
La columna Valor predeterminado en personalizado hace referencia a los valores predeterminados de las nuevas directivas de vínculos seguros que se crean. Las columnas restantes indican (a menos que se indique lo contrario) los valores configurados en las directivas de seguridad preestablecidas correspondientes.
Nombre de la característica de seguridad
Valor predeterminado en personalizado
Protección integrada
Estándar
Estricto
Comentario
Configuración de la protección & hacer clic en la dirección URL
Correo electrónico
La configuración de esta sección afecta a la reescritura de direcciones URL y a la hora de la protección de clics en los mensajes de correo electrónico.
Activado: Vínculos seguros comprueba una lista de vínculos conocidos y malintencionados cuando los usuarios hacen clic en vínculos de correo electrónico. Las direcciones URL se vuelven a escribir de forma predeterminada. (EnableSafeLinksForEmail)
Seleccionado ($true)
Seleccionado ($true)
Seleccionado ($true)
Seleccionado ($true)
Aplicar vínculos seguros a los mensajes de correo electrónico enviados dentro de la organización (EnableForInternalSenders)
Seleccionado ($true)
No seleccionado ($false)
Seleccionado ($true)
Seleccionado ($true)
Aplicar el examen de direcciones URL en tiempo real en busca de vínculos sospechosos y vínculos que apunten a archivos (ScanUrls)
Seleccionado ($true)
Seleccionado ($true)
Seleccionado ($true)
Seleccionado ($true)
Espere a que se complete el examen de direcciones URL antes de entregar el mensaje (DeliverMessageAfterScan)
Seleccionado ($true)
Seleccionado ($true)
Seleccionado ($true)
Seleccionado ($true)
No reescribir direcciones URL, realizar comprobaciones solo a través de la API de vínculos seguros (DisableURLRewrite)
Seleccionado ($false)*
Seleccionado ($true)
No seleccionado ($false)
No seleccionado ($false)
* En las nuevas directivas de vínculos seguros que cree en el portal de Defender, esta configuración se selecciona de forma predeterminada. En las nuevas directivas de vínculos seguros que se crean en PowerShell, el valor predeterminado del parámetro DisableURLRewrite es $false.
No vuelva a escribir las siguientes direcciones URL en el correo electrónico (DoNotRewriteUrls)
En blanco
En blanco
En blanco
En blanco
No tenemos ninguna recomendación específica para esta configuración.
Nota: Las entradas de la lista "No volver a escribir las siguientes direcciones URL" no se examinan ni encapsulan mediante vínculos seguros durante el flujo de correo. Informe de la dirección URL como he confirmado que está limpia y, a continuación, seleccione Permitir esta dirección URL para agregar una entrada de permiso a la lista de permitidos o bloqueados de inquilinos para que la dirección URL no se examine ni ajuste mediante vínculos seguros durante el flujo de correo y en el momento de hacer clic. Para obtener instrucciones, consulte Notificar direcciones URL correctas a Microsoft.
Teams
La configuración de esta sección afecta al tiempo de protección de clics en Microsoft Teams.
Activado: Vínculos seguros comprueba una lista de vínculos conocidos y malintencionados cuando los usuarios hacen clic en vínculos en Microsoft Teams. Las direcciones URL no se reescriben. (EnableSafeLinksForTeams)
Seleccionado ($true)
Seleccionado ($true)
Seleccionado ($true)
Seleccionado ($true)
aplicaciones de Office 365
La configuración de esta sección afecta al tiempo de protección de clics en las aplicaciones de Office.
Activado: Vínculos seguros comprueba una lista de vínculos malintencionados conocidos cuando los usuarios hacen clic en vínculos en aplicaciones de Microsoft Office. Las direcciones URL no se reescriben. (EnableSafeLinksForOffice)
Permitir a los usuarios hacer clic en la dirección URL original (AllowClickThrough)
Seleccionado ($false)*
Seleccionado ($true)
No seleccionado ($false)
No seleccionado ($false)
* En las nuevas directivas de vínculos seguros que cree en el portal de Defender, esta configuración se selecciona de forma predeterminada. En las nuevas directivas de vínculos seguros que se crean en PowerShell, el valor predeterminado del parámetro AllowClickThrough es $false.
Mostrar la personalización de marca de la organización en las páginas de notificación y advertencia (EnableOrganizationBranding)
No seleccionado ($false)
No seleccionado ($false)
No seleccionado ($false)
No seleccionado ($false)
No tenemos ninguna recomendación específica para esta configuración.
¿Cómo desea notificar a los usuarios? (CustomNotificationText y UseTranslatedNotificationText)
Use el texto de notificación predeterminado (En blanco y $false)
Use el texto de notificación predeterminado (En blanco y $false)
Use el texto de notificación predeterminado (En blanco y $false)
Use el texto de notificación predeterminado (En blanco y $false)
No tenemos ninguna recomendación específica para esta configuración.
Puede seleccionar Usar texto de notificación personalizado (-CustomNotificationText "<Custom text>") para escribir y usar texto de notificación personalizado. Si especifica texto personalizado, también puede seleccionar Usar Microsoft Translator para la localización automática (-UseTranslatedNotificationText $true) para traducir automáticamente el texto al idioma del usuario.
Los administradores y los usuarios pueden enviar falsos positivos (un buen correo electrónico marcado como incorrecto) y falsos negativos (se permite el correo electrónico incorrecto) a Microsoft para su análisis. Para obtener más información, consulte Notificar mensajes y archivos a Microsoft.
This module examines how Microsoft Defender for Office 365 extends EOP protection through various tools, including Safe Attachments, Safe Links, spoofed intelligence, spam filtering policies, and the Tenant Allow/Block List.
Demuestre los aspectos básicos de la seguridad de los datos, la administración del ciclo de vida, la seguridad de la información y el cumplimiento para proteger una implementación de Microsoft 365.
Los administradores pueden aprender a aplicar Standard y la configuración de directivas estrictas en las características de protección de Exchange Online Protection (EOP) y Microsoft Defender para Office 365
Los administradores pueden obtener información sobre las directivas contra suplantación de identidad que están disponibles en Exchange Online Protection (EOP) y Microsoft Defender para Office 365.
Los administradores pueden aprender a usar el analizador de configuración para buscar y corregir directivas de seguridad menos seguras que Standard protección y protección estricta en directivas de seguridad preestablecidas.
Los administradores pueden aprender cómo el orden de la configuración de protección y el orden de prioridad de las directivas de seguridad afectan a la aplicación de directivas de seguridad en Microsoft 365.
Paso a paso para configurar directivas de seguridad preestablecidas en Microsoft Defender para Office 365 para que tenga la seguridad recomendada por el producto. Las directivas preestablecidas establecen un perfil de seguridad de *Estándar* o *Estricto*. Establézcalos y Microsoft Defender para Office 365 administrará y mantendrá estos controles de seguridad automáticamente.
Los administradores pueden obtener información sobre la configuración del filtro de correo no deseado avanzado (ASF) que están disponibles en las directivas contra correo no deseado en Exchange Online Protection (EOP).
Los administradores pueden aprender a crear, modificar y eliminar las directivas anti phishing avanzadas que están disponibles en organizaciones con Microsoft Defender para Office 365.