Configuración recomendada de seguridad para EOP y Microsoft Defender para Office 365

Propina

¿Sabía que puede probar las características de Microsoft 365 Defender para Office 365 Plan 2 de forma gratuita? Use la prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft 365 Defender. Obtenga información sobre quién puede registrarse y los términos de prueba aquí.

Se aplica a

Exchange Online Protection (EOP) es el núcleo de seguridad de las suscripciones de Microsoft 365 y ayuda a evitar que los correos electrónicos malintencionados lleguen a las bandejas de entrada de los empleados. Pero con nuevos ataques más sofisticados que aparecen cada día, a menudo se requieren protecciones mejoradas. Microsoft Defender para Office 365 Plan 1 o Plan 2 contienen características adicionales que proporcionan a los administradores más niveles de seguridad, control e investigación.

Aunque se permite a los administradores de seguridad personalizar su configuración de seguridad, hay dos niveles de seguridad en EOP y Microsoft Defender para Office 365 que se recomiendan: Estándar y Estricto. Aunque los entornos y las necesidades de los clientes son diferentes, estos niveles de filtrado ayudarán a evitar que el correo no deseado llegue a la Bandeja de entrada de los empleados en la mayoría de las situaciones.

Para aplicar automáticamente la configuración estándar o estricta a los usuarios, consulte Directivas de seguridad preestablecidas en EOP y Microsoft Defender para Office 365.

En este artículo se describen la configuración predeterminada y también la configuración estándar y estricta recomendada para ayudar a proteger a los usuarios. Las tablas contienen la configuración del portal de Microsoft 365 Defender y PowerShell (Exchange Online PowerShell o PowerShell Exchange Online Protection independiente para organizaciones sin buzones de Exchange Online).

Nota:

El módulo Office 365 Advanced Threat Protection Recommended Configuration Analyzer (ORCA) para PowerShell puede ayudarle (los administradores) a encontrar los valores actuales de esta configuración. En concreto, el cmdlet Get-ORCAReport genera una evaluación de la configuración de protección contra el correo no deseado, la suplantación de identidad (phishing) y otras configuraciones de higiene de mensajes. Puede descargar el módulo ORCA en https://www.powershellgallery.com/packages/ORCA/.

En las organizaciones de Microsoft 365, se recomienda dejar el filtro de Email no deseado en Outlook establecido en Sin filtrado automático para evitar conflictos innecesarios (positivos y negativos) con los veredictos de filtrado de correo no deseado de EOP. Para más información, consulte los siguientes artículos:

Protección contra correo no deseado, antimalware y contra suplantación de identidad (phishing) en EOP

El antispam, el antimalware y la suplantación de identidad son características de EOP que pueden configurar los administradores. Se recomiendan las siguientes configuraciones Estándar o Estricta.

Configuración de directivas contra correo no deseado de EOP

Para crear y configurar directivas contra correo no deseado, consulte Configuración de directivas contra correo no deseado en EOP.

Nombre de la característica de seguridad Predeterminado Estándar Estricto Comentario
Propiedades de correo no deseado de umbral & de correo electrónico masivo
Umbral de correo electrónico masivo

BulkThreshold
7 6 5 Para obtener más información, consulte Nivel de quejas masivas (BCL) en EOP.
MarkAsSpamBulkMail On On On Esta configuración solo está disponible en PowerShell.
Aumentar la configuración de puntuación de correo no deseado Desactivado Desactivado Desactivado Todas estas configuraciones forman parte del filtro de correo no deseado avanzado (ASF). Para obtener más información, consulte la sección Configuración de ASF en las directivas contra correo no deseado de este artículo.
Marcar como configuración de correo no deseado Desactivado Desactivado Desactivado La mayoría de estas configuraciones forman parte de ASF. Para obtener más información, consulte la sección Configuración de ASF en las directivas contra correo no deseado de este artículo.
Contiene idiomas específicos

EnableLanguageBlockList

LanguageBlockList
Desactivado

$false

En blanco
Desactivado

$false

En blanco
Desactivado

$false

En blanco
No tenemos ninguna recomendación específica para esta configuración. Puede bloquear mensajes en lenguajes específicos en función de sus necesidades empresariales.
De estos países

EnableRegionBlockList

RegionBlockList
Desactivado

$false

En blanco
Desactivado

$false

En blanco
Desactivado

$false

En blanco
No tenemos ninguna recomendación específica para esta configuración. Puede bloquear mensajes de países específicos en función de sus necesidades empresariales.
Modo de prueba (TestModeAction) Ninguna Ninguna Ninguna Esta configuración forma parte de ASF. Para obtener más información, consulte la sección Configuración de ASF en las directivas contra correo no deseado de este artículo.
Acciones Dondequiera que seleccione Mensaje de cuarentena, hay disponible un cuadro Seleccionar directiva de cuarentena . Las directivas de cuarentena definen lo que los usuarios pueden hacer en los mensajes en cuarentena.

Las directivas de seguridad preestablecidas estándar y estricta usan las directivas de cuarentena predeterminadas (AdminOnlyAccessPolicy o DefaultFullAccessPolicy sin notificaciones de cuarentena), como se describe en la tabla aquí.

Al crear una nueva directiva contra correo no deseado, un valor en blanco significa que la directiva de cuarentena predeterminada se usa para definir las capacidades históricas de los mensajes que se pusieron en cuarentena por ese veredicto determinado (AdminOnlyAccessPolicy sin notificaciones de cuarentena para suplantación de identidad de alta confianza; DefaultFullAccessPolicy sin notificaciones de cuarentena para todo lo demás).

Los administradores pueden crear y seleccionar directivas de cuarentena personalizadas que definan funcionalidades más restrictivas o menos restrictivas para los usuarios en las directivas predeterminadas o personalizadas contra correo no deseado. Para más información, vea Directivas de cuarentena.
Acción de detección de correo no deseado

SpamAction
Mover mensaje a la carpeta Correo no deseado

MoveToJmf
Mover mensaje a la carpeta Correo no deseado

MoveToJmf
Colocar el mensaje en cuarentena

Quarantine
Acción de detección de correo no deseado de alta confianza

HighConfidenceSpamAction
Mover mensaje a la carpeta Correo no deseado

MoveToJmf
Colocar el mensaje en cuarentena

Quarantine
Colocar el mensaje en cuarentena

Quarantine
Acción de detección de suplantación de identidad

PhishSpamAction
Mover el mensaje a la carpeta de Email no deseado*

MoveToJmf
Colocar el mensaje en cuarentena

Quarantine
Colocar el mensaje en cuarentena

Quarantine
*El valor predeterminado es Mover mensaje a la carpeta de Email no deseado en la directiva de antispam predeterminada y en las nuevas directivas de correo no deseado que cree en PowerShell. El valor predeterminado es Mensaje de cuarentena en las nuevas directivas de antispam que se crean en el portal de Microsoft 365 Defender.
Acción de detección de suplantación de identidad (phishing) de alta confianza

HighConfidencePhishAction
Colocar el mensaje en cuarentena

Quarantine
Colocar el mensaje en cuarentena

Quarantine
Colocar el mensaje en cuarentena

Quarantine
Acción de detección masiva

BulkSpamAction
Mover mensaje a la carpeta Correo no deseado

MoveToJmf
Mover mensaje a la carpeta Correo no deseado

MoveToJmf
Colocar el mensaje en cuarentena

Quarantine
Conservar el correo no deseado en cuarentena durante estos días

QuarantineRetentionPeriod
15 días 30 días 30 días

Este valor también afecta a los mensajes que están en cuarentena mediante directivas anti phishing. Para obtener más información, vea Mensajes de correo electrónico en cuarentena en EOP.
Habilitar sugerencias de seguridad de correo no deseado

InlineSafetyTipsEnabled
Seleccionado

$true
Seleccionado

$true
Seleccionado

$true
Habilitación de la purga automática de cero horas (ZAP) para mensajes de suplantación de identidad

PhishZapEnabled
Seleccionado

$true
Seleccionado

$true
Seleccionado

$true
Habilitación de ZAP para mensajes de correo no deseado

SpamZapEnabled
Seleccionado

$true
Seleccionado

$true
Seleccionado

$true
Permitir & lista de bloques
Remitentes permitidos

AllowedSenders
Ninguno Ninguno Ninguno
Dominios de remitente permitidos

AllowedSenderDomains
Ninguno Ninguno Ninguno Agregar dominios a la lista de remitentes permitidos es una muy mala idea. Los atacantes podrían enviarle un correo electrónico que, de lo contrario, se filtraría.

Use la información de inteligencia sobre suplantación de identidad y la lista de permitidos o bloqueados de inquilinos para revisar todos los remitentes que suplantan las direcciones de correo electrónico del remitente en los dominios de correo electrónico de la organización o suplantan las direcciones de correo electrónico del remitente en dominios externos.
Remitentes bloqueados

BlockedSenders
Ninguno Ninguno Ninguno
Dominios de remitente bloqueados

BlockedSenderDomains
Ninguno Ninguno Ninguno

Configuración de ASF en directivas contra correo no deseado

Para obtener más información sobre la configuración del filtro de correo no deseado avanzado (ASF) en las directivas contra correo no deseado, consulte Configuración avanzada del filtro de correo no deseado (ASF) en EOP.

Nombre de la característica de seguridad Predeterminado Recomendado
Estándar
Recomendado
Estricto
Comentario
Vínculos de imagen a sitios remotos

IncreaseScoreWithImageLinks
Desactivado Desactivada Desactivado
Dirección IP numérica en URL

IncreaseScoreWithNumericIps
Desactivado Desactivada Desactivado
Redireccionamiento de direcciones URL a otro puerto

IncreaseScoreWithRedirectToOtherPort
Desactivado Desactivada Desactivado
Vínculos a sitios web .biz o .info

IncreaseScoreWithBizOrInfoUrls
Desactivado Desactivada Desactivado
Mensajes vacíos

MarkAsSpamEmptyMessages
Desactivado Desactivado Desactivado
Etiquetas Embed en HTML

MarkAsSpamEmbedTagsInHtml
Desactivado Desactivado Desactivado
JavaScript o VBScript en HTML

MarkAsSpamJavaScriptInHtml
Desactivado Desactivado Desactivado
Etiquetas Form en HTML

MarkAsSpamFormTagsInHtml
Desactivado Desactivado Desactivado
Etiquetas de marco o iframe en HTML

MarkAsSpamFramesInHtml
Desactivado Desactivado Desactivado
Errores web en HTML

MarkAsSpamWebBugsInHtml
Desactivado Desactivado Desactivado
Etiquetas Object en HTML

MarkAsSpamObjectTagsInHtml
Desactivado Desactivada Desactivado
Palabras confidenciales

MarkAsSpamSensitiveWordList
Desactivado Desactivada Desactivado
Registro de SPF: error

MarkAsSpamSpfRecordHardFail
Desactivado Desactivada Desactivado
Error de filtrado de identificador de remitente

MarkAsSpamFromAddressAuthFail
Desactivado Desactivada Desactivado
Retrodispersión

MarkAsSpamNdrBackscatter
Desactivado Desactivada Desactivado
Modo de prueba

TestModeAction)
Ninguno Ninguno Ninguno En el caso de las opciones de ASF que admiten Probar como una acción, puede configurar la acción del modo de prueba en Ninguno, Agregar texto de encabezado X predeterminado o Enviar mensaje cco (None, AddXHeadero BccMessage). Para obtener más información, vea Habilitar, deshabilitar o probar la configuración de ASF.

Configuración de la directiva de correo no deseado saliente de EOP

Para crear y configurar directivas de correo no deseado saliente, consulte Configuración del filtrado de correo no deseado saliente en EOP.

Para obtener más información sobre los límites de envío predeterminados en el servicio, consulte Límites de envío.

Nota:

Las directivas de correo no deseado saliente no forman parte de las directivas de seguridad preestablecidas Estándar o Estricta. Los valores Estándar y Estricto indican nuestros valores recomendados en la directiva de correo no deseado saliente predeterminada o en las directivas de correo no deseado de salida personalizadas que cree.

Nombre de la característica de seguridad Predeterminado Recomendado
Estándar
Recomendado
Estricto
Comentario
Establecimiento de un límite de mensajes externos

RecipientLimitExternalPerHour
0 500 400 El valor predeterminado 0 significa usar los valores predeterminados del servicio.
Establecimiento de un límite de mensajes interno

RecipientLimitInternalPerHour
0 1000 800 El valor predeterminado 0 significa usar los valores predeterminados del servicio.
Establecer un límite de mensajes diario

RecipientLimitPerDay
0 1000 800 El valor predeterminado 0 significa usar los valores predeterminados del servicio.
Restricción impuesta a los usuarios que alcanzan el límite de mensajes

ActionWhenThresholdReached
Restringir al usuario el envío de correo hasta el día siguiente

BlockUserForToday
Restricción del envío de correo por parte del usuario

BlockUser
Restricción del envío de correo por parte del usuario

BlockUser
Reglas de reenvío automático

AutoForwardingMode
Automático: controlado por el sistema

Automatic
Automático: controlado por el sistema

Automatic
Automático: controlado por el sistema

Automatic
Enviar una copia de mensajes salientes que superen estos límites a estos usuarios y grupos

BccSuspiciousOutboundMail

BccSuspiciousOutboundAdditionalRecipients
No seleccionada

$false

En blanco
No seleccionada

$false

En blanco
No seleccionada

$false

En blanco
No tenemos ninguna recomendación específica para esta configuración.

Esta configuración solo funciona en la directiva de correo no deseado saliente predeterminada. No funciona en las directivas de correo no deseado saliente personalizadas que cree.
Notificar a estos usuarios y grupos si un remitente está bloqueado debido al envío de correo no deseado saliente

NotifyOutboundSpam

NotifyOutboundSpamRecipients
No seleccionada

$false

En blanco
No seleccionada

$false

En blanco
No seleccionada

$false

En blanco
La directiva de alerta predeterminada denominada User restricted from sending email already send email notifications to members of the TenantAdmins (Global admins) group when users are blocked due to exceeding the limits in policy. Se recomienda encarecidamente usar la directiva de alertas en lugar de esta configuración en la directiva de correo no deseado saliente para notificar a los administradores y a otros usuarios. Para obtener instrucciones, consulte Comprobación de la configuración de alertas para usuarios restringidos.

Configuración de directivas antimalware de EOP

Para crear y configurar directivas antimalware, consulte Configurar directivas antimalware en EOP.

Nombre de la característica de seguridad Predeterminado Estándar Estricto Comentario
Configuración de protección
Habilitación del filtro de datos adjuntos comunes

EnableFileFilter
Seleccionado

$true
Seleccionado

$true
Seleccionado

$true
Esta configuración pone en cuarentena los mensajes que contienen datos adjuntos en función del tipo de archivo, independientemente del contenido de los datos adjuntos. Para obtener la lista de tipos de archivo, consulte Directivas antimalware.
Notificaciones de filtro de datos adjuntos comunes (cuando se encuentran estos tipos de archivo)

FileTypeAction
Rechazar los mensajes con un recibo de no entrega (NDR)

Reject
Rechazar los mensajes con un recibo de no entrega (NDR)

Reject
Rechazar los mensajes con un recibo de no entrega (NDR)

Reject
Habilitación de la purga automática de cero horas para malware

ZapEnabled
Seleccionado

$true
Seleccionado

$true
Seleccionado

$true
Directiva de cuarentena AdminOnlyAccessPolicy AdminOnlyAccessPolicy AdminOnlyAccessPolicy Al crear una nueva directiva antimalware, un valor en blanco significa que la directiva de cuarentena predeterminada se usa para definir las funcionalidades históricas de los mensajes que se pusieron en cuarentena como malware (AdminOnlyAccessPolicy sin notificaciones de cuarentena).

Las directivas de seguridad preestablecidas estándar y estricta usan la directiva de cuarentena predeterminada (AdminOnlyAccessPolicy sin notificaciones de cuarentena), como se describe en la tabla aquí.

Los administradores pueden crear y seleccionar directivas de cuarentena personalizadas que definan más funcionalidades para los usuarios en las directivas antimalware predeterminadas o personalizadas. Para más información, vea Directivas de cuarentena.
notificaciones de Administración
Notificar a un administrador acerca de los mensajes no entregados de remitentes internos

EnableInternalSenderAdminNotifications

InternalSenderAdminAddress
No seleccionada

$false
No seleccionada

$false
No seleccionada

$false
No tenemos ninguna recomendación específica para esta configuración.
Notificar a un administrador acerca de los mensajes no entregados de remitentes externos

EnableExternalSenderAdminNotifications

ExternalSenderAdminAddress
No seleccionada

$false
No seleccionada

$false
No seleccionada

$false
No tenemos ninguna recomendación específica para esta configuración.
Personalización de notificaciones No tenemos recomendaciones específicas para esta configuración.
Usar texto de notificación personalizado

CustomNotifications
No seleccionada

$false
No seleccionada

$false
No seleccionada

$false
Nombre De

CustomFromName
En blanco

$null
En blanco

$null
En blanco

$null
Dirección de origen

CustomFromAddress
En blanco

$null
En blanco

$null
En blanco

$null
Personalización de notificaciones para mensajes de remitentes internos Esta configuración solo se usa si se selecciona Notificar a un administrador sobre mensajes no entregados de remitentes internos .
Asunto

CustomInternalSubject
En blanco

$null
En blanco

$null
En blanco

$null
Message

CustomInternalBody
En blanco

$null
En blanco

$null
En blanco

$null
Personalización de notificaciones para mensajes de remitentes externos Esta configuración solo se usa si se selecciona Notificar a un administrador acerca de los mensajes no entregados de remitentes externos .
Asunto

CustomExternalSubject
En blanco

$null
En blanco

$null
En blanco

$null
Message

CustomExternalBody
En blanco

$null
En blanco

$null
En blanco

$null

Configuración de la directiva contra suplantación de identidad (EOP)

Para obtener más información sobre esta configuración, consulte Configuración de suplantación de identidad. Para configurar estas opciones, consulte Configuración de directivas contra suplantación de identidad en EOP.

La configuración de suplantación de identidad está relacionada entre sí, pero la opción Mostrar la sugerencia de seguridad de primer contacto no depende de la configuración de suplantación.

Nombre de la característica de seguridad Predeterminado Estándar Estricto Comentario
Protección contra umbrales & de suplantación de identidad (phishing
Habilitación de la inteligencia de suplantación de identidad

EnableSpoofIntelligence
Seleccionado

$true
Seleccionado

$true
Seleccionado

$true
Acciones
Si el mensaje se detecta como suplantación de identidad

AuthenticationFailAction
Mover el mensaje a las carpetas de Email no deseado de los destinatarios

MoveToJmf
Mover el mensaje a las carpetas de Email no deseado de los destinatarios

MoveToJmf
Poner en cuarentena el mensaje

Quarantine
Esta configuración se aplica a los remitentes suplantados que se bloquearon automáticamente como se muestra en la información de inteligencia sobre suplantación de identidad o que se bloquearon manualmente en la lista de permitidos o bloqueados de inquilinos.

Si selecciona Poner en cuarentena el mensaje, hay disponible un cuadro Aplicar directiva de cuarentena para seleccionar la directiva de cuarentena que define lo que los usuarios pueden hacer en los mensajes que se ponen en cuarentena como suplantación de identidad. Al crear una nueva directiva de anti phishing, un valor en blanco significa que la directiva de cuarentena predeterminada se usa para definir las funcionalidades históricas de los mensajes que se pusieron en cuarentena como suplantación de identidad (DefaultFullAccessPolicy sin notificaciones de cuarentena).

Las directivas de seguridad preestablecidas estándar y estricta usan la directiva de cuarentena predeterminada (DefaultFullAccessPolicy sin notificaciones de cuarentena), como se describe en la tabla aquí.

Los administradores pueden crear y seleccionar directivas de cuarentena personalizadas que definan funcionalidades más restrictivas o menos restrictivas para los usuarios en las directivas predeterminadas o personalizadas contra phishing. Para más información, vea Directivas de cuarentena.
Mostrar la primera sugerencia de seguridad de contacto

EnableFirstContactSafetyTips
No seleccionada

$false
No seleccionada

$false
No seleccionada

$false
Para obtener más información, consulte Sugerencia de seguridad ante un primer contacto.
Mostrar (?) para remitentes no autenticados para suplantación de identidad

EnableUnauthenticatedSender
Seleccionado

$true
Seleccionado

$true
Seleccionado

$true
Agrega un signo de interrogación (?) a la foto del remitente en Outlook para remitentes suplantados no identificados. Para obtener más información, consulte Indicadores de remitente no autenticados.
Mostrar etiqueta "via"

EnableViaTag
Seleccionado

$true
Seleccionado

$true
Seleccionado

$true
Agrega una etiqueta via (chris@contoso.com a través de fabrikam.com) a la dirección From si es diferente del dominio de la firma DKIM o de la dirección MAIL FROM .

Para obtener más información, consulte Indicadores de remitente no autenticados.

seguridad de Microsoft Defender para Office 365

Las ventajas de seguridad adicionales incluyen una suscripción Microsoft Defender para Office 365. Para obtener las últimas noticias e información, puede ver las novedades de Defender para Office 365.

Importante

Si la suscripción incluye Microsoft Defender para Office 365 o si ha comprado Defender para Office 365 como complemento, establezca las siguientes configuraciones Estándar o Estricta.

Configuración de directivas contra suplantación de identidad (phishing) en Microsoft Defender para Office 365

Los clientes de EOP obtienen anti-phishing básico como se describió anteriormente, pero Defender para Office 365 incluye más características y control para ayudar a prevenir, detectar y corregir ataques. Para crear y configurar estas directivas, consulte Configuración de directivas contra suplantación de identidad en Defender para Office 365.

Configuración avanzada en las directivas contra suplantación de identidad en Microsoft Defender para Office 365

Para obtener más información sobre esta configuración, consulte Umbrales avanzados de suplantación de identidad en las directivas contra suplantación de identidad en Microsoft Defender para Office 365. Para configurar esta configuración, consulte Configuración de directivas contra suplantación de identidad en Defender para Office 365.

Nombre de la característica de seguridad Predeterminado Estándar Estricto Comentario
Umbral de correo electrónico de suplantación de identidad

PhishThresholdLevel
1- Estándar

1
3 - Más agresivo

3
4 - Más agresivo

4

Configuración de suplantación en directivas contra suplantación de identidad en Microsoft Defender para Office 365

Para obtener más información sobre esta configuración, consulte Configuración de suplantación en directivas contra suplantación de identidad en Microsoft Defender para Office 365. Para configurar estas opciones, consulte Configuración de directivas contra suplantación de identidad en Defender para Office 365.

Nombre de la característica de seguridad Predeterminado Estándar Estricto Comentario
Protección contra umbrales & de suplantación de identidad (phishing
Permitir que los usuarios protejan (protección de usuarios suplantados)

EnableTargetedUserProtection

TargetedUsersToProtect
No seleccionada

$false

ninguno
Seleccionado

$true

<lista de usuarios>
Seleccionado

$true

<lista de usuarios>
Se recomienda agregar usuarios (remitentes de mensajes) en roles clave. Internamente, los remitentes protegidos pueden ser su director general, director financiero y otros líderes sénior. Externamente, los remitentes protegidos podrían incluir miembros del consejo o su consejo de administración.
Habilitar dominios para proteger (protección de dominio suplantado) No seleccionada Seleccionado Seleccionado
Incluir dominios de mi propiedad

EnableOrganizationDomainsProtection
Desactivado

$false
Seleccionado

$true
Seleccionado

$true
Incluir dominios personalizados

EnableTargetedDomainsProtection

TargetedDomainsToProtect
Desactivado

$false

ninguno
Seleccionado

$true

<lista de dominios>
Seleccionado

$true

<lista de dominios>
Se recomienda agregar dominios (dominios de remitente) que no posea, pero que interactúe con frecuencia.
Agregar dominios y remitentes de confianza

ExcludedSenders

ExcludedDomains
Ninguno Ninguno Ninguno En función de su organización, se recomienda agregar remitentes o dominios que se identifiquen incorrectamente como intentos de suplantación.
Habilitar la inteligencia de buzones

EnableMailboxIntelligence
Seleccionado

$true
Seleccionado

$true
Seleccionado

$true
Habilitación de la inteligencia para la protección contra suplantación

EnableMailboxIntelligenceProtection
Desactivado

$false
Seleccionado

$true
Seleccionado

$true
Esta configuración permite la acción especificada para las detecciones de suplantación por parte de la inteligencia del buzón de correo.
Acciones Dondequiera que seleccione Poner en cuarentena el mensaje, hay disponible un cuadro Seleccionar directiva de cuarentena . Las directivas de cuarentena definen lo que los usuarios pueden hacer en los mensajes en cuarentena.

Las directivas de seguridad preestablecidas estándar y estricta usan la directiva de cuarentena predeterminada (DefaultFullAccessPolicy sin notificaciones de cuarentena), como se describe en la tabla aquí.

Cuando se crea una nueva directiva contra phishing, un valor en blanco significa que la directiva de cuarentena predeterminada se usa para definir las funcionalidades históricas de los mensajes que ese veredicto ha puesto en cuarentena (DefaultFullAccessPolicy para todos los tipos de detección de suplantación).

Los administradores pueden crear y seleccionar directivas de cuarentena personalizadas que definan funcionalidades menos restrictivas o más restrictivas para los usuarios en las directivas de anti-phishing predeterminadas o personalizadas. Para más información, vea Directivas de cuarentena.
Si el mensaje se detecta como un usuario suplantado

TargetedUserProtectionAction
No aplicar ninguna acción

NoAction
Poner en cuarentena el mensaje

Quarantine
Poner en cuarentena el mensaje

Quarantine
Si el mensaje se detecta como un dominio suplantado

TargetedDomainProtectionAction
No aplicar ninguna acción

NoAction
Poner en cuarentena el mensaje

Quarantine
Poner en cuarentena el mensaje

Quarantine
Si la inteligencia del buzón detecta un usuario suplantado

MailboxIntelligenceProtectionAction
No aplicar ninguna acción

NoAction
Mover el mensaje a las carpetas de Email no deseado de los destinatarios

MoveToJmf
Poner en cuarentena el mensaje

Quarantine
Mostrar sugerencia de seguridad de suplantación de usuario

EnableSimilarUsersSafetyTips
Desactivado

$false
Seleccionado

$true
Seleccionado

$true
Mostrar sugerencia de seguridad de suplantación de dominio

EnableSimilarDomainsSafetyTips
Desactivado

$false
Seleccionado

$true
Seleccionado

$true
Mostrar sugerencia de seguridad de caracteres inusuales de suplantación de usuario

EnableUnusualCharactersSafetyTips
Desactivado

$false
Seleccionado

$true
Seleccionado

$true

Configuración de directivas contra phishing de EOP en Microsoft Defender para Office 365

Estas son las mismas configuraciones que están disponibles en la configuración de directivas contra correo no deseado en EOP.

Configuración de datos adjuntos seguros

Datos adjuntos seguros en Microsoft Defender para Office 365 incluye la configuración global que no tiene ninguna relación con las directivas de datos adjuntos seguros y la configuración específica de cada directiva de vínculos seguros. Para obtener más información, vea Datos adjuntos seguros en Defender para Office 365.

Aunque no hay ninguna directiva de datos adjuntos seguros predeterminada, la directiva de seguridad preestablecida de protección integrada proporciona protección de datos adjuntos seguros a todos los destinatarios (usuarios que no están definidos en las directivas de seguridad preestablecidas estándar o estricta o en directivas de datos adjuntos seguros personalizadas). Para obtener más información, vea Directivas de seguridad preestablecidas en EOP y Microsoft Defender para Office 365.

Configuración global de datos adjuntos seguros

Nota:

La configuración global de Datos adjuntos seguros se establece mediante la directiva de seguridad preestablecida de protección integrada , pero no por las directivas de seguridad preestablecidas Estándar o Estricta . En cualquier caso, los administradores pueden modificar esta configuración global de datos adjuntos seguros en cualquier momento.

La columna Predeterminado muestra los valores anteriores a la existencia de la directiva de seguridad preestablecida de protección integrada . La columna Protección integrada muestra los valores establecidos por la directiva de seguridad preestablecida de protección integrada , que también son nuestros valores recomendados.

Para configurar estas opciones, vea Activar datos adjuntos seguros para SharePoint, OneDrive y Microsoft Teams y Documentos seguros en Microsoft 365 E5.

En PowerShell, se usa el cmdlet Set-AtpPolicyForO365 para esta configuración.

Nombre de la característica de seguridad Predeterminado Protección integrada Comentario
Activar Microsoft Defender para Office 365 para SharePoint, OneDrive y Microsoft Teams

EnableATPForSPOTeamsODB
Desactivada

$false
Activada

$true
Para evitar que los usuarios descarguen archivos malintencionados, consulte Uso de PowerShell de SharePoint Online para evitar que los usuarios descarguen archivos malintencionados.
Activar documentos seguros para clientes de Office

EnableSafeDocs
Desactivada

$false
Activada

$true
Esta característica solo está disponible y es significativa con licencias que no se incluyen en Defender para Office 365 (por ejemplo, Microsoft 365 A5 o Seguridad de Microsoft 365 E5). Para obtener más información, consulte Documentos seguros en Microsoft 365 A5 o E5 Security.
Permitir a las personas hacer clic en la vista protegida incluso si documentos seguros identificaron el archivo como malintencionado

AllowSafeDocsOpen
Desactivado

$false
Desactivado

$false
Esta configuración está relacionada con documentos seguros.

Configuración de directiva de datos adjuntos seguros

Para configurar estas opciones, consulte Configuración de directivas de datos adjuntos seguros en Defender para Office 365.

En PowerShell, se usan los cmdlets New-SafeAttachmentPolicy y Set-SafeAttachmentPolicy para esta configuración.

Nota:

Como se describió anteriormente, no hay ninguna directiva de datos adjuntos seguros predeterminada, pero la directiva de seguridad preestablecida protección integrada asigna la protección de datos adjuntos seguros a todos los destinatarios (usuarios que no están definidos en ninguna directiva de datos adjuntos seguros).

La columna Predeterminado en personalizado hace referencia a los valores predeterminados de las nuevas directivas de datos adjuntos seguros que se crean. Las columnas restantes indican (a menos que se indique lo contrario) los valores configurados en las directivas de seguridad preestablecidas correspondientes.

Nombre de la característica de seguridad Valor predeterminado en personalizado Protección integrada Estándar Estricto Comentario
Respuesta de malware desconocida de datos adjuntos seguros

Habilitar y actuar
Desactivado

-Enable $false y -Action Block
Bloquear

-Enable $true y -Action Block
Bloquear

-Enable $true y -Action Block
Bloquear

-Enable $true y -Action Block
Cuando se $false el parámetro Enable , el valor del parámetro Action no importa.
Directiva de cuarentena (QuarantineTag) AdminOnlyAccessPolicy AdminOnlyAccessPolicy AdminOnlyAccessPolicy AdminOnlyAccessPolicy

Las directivas de seguridad preestablecidas estándar y estricta usan la directiva de cuarentena predeterminada (AdminOnlyAccessPolicy sin notificaciones de cuarentena), como se describe en la tabla aquí.

Al crear una nueva directiva de datos adjuntos seguros, un valor en blanco significa que la directiva de cuarentena predeterminada se usa para definir las funcionalidades históricas de los mensajes que se pusieron en cuarentena por datos adjuntos seguros (AdminOnlyAccessPolicy sin notificaciones de cuarentena).

Los administradores pueden crear y seleccionar directivas de cuarentena personalizadas que definan más funcionalidades para los usuarios. Para más información, vea Directivas de cuarentena.
Redireccionamiento de datos adjuntos con datos adjuntos detectados : habilitación del redireccionamiento

Redirigir

RedirectAddress
No seleccionado y no se ha especificado ninguna dirección de correo electrónico.

-Redirect $false

RedirectAddress está en blanco ($null)
No seleccionado y no se ha especificado ninguna dirección de correo electrónico.

-Redirect $false

RedirectAddress está en blanco ($null)
Seleccionado y especifique una dirección de correo electrónico.

$true

una dirección de correo electrónico
Seleccionado y especifique una dirección de correo electrónico.

$true

una dirección de correo electrónico
Redirigir mensajes a un administrador de seguridad para su revisión.

Nota: Esta configuración no está configurada en las directivas de seguridad preestablecidas de protección estándar, estricta o integrada . Los valores Estándar y Estricto indican los valores recomendados en las nuevas directivas de datos adjuntos seguros que cree.
Aplicar la respuesta de detección de datos adjuntos seguros si el examen no se puede completar (tiempo de espera o errores)

ActionOnError
Seleccionado

$true
Seleccionado

$true
Seleccionado

$true
Seleccionado

$true

Vínculos seguros en Defender para Office 365 incluye la configuración global que se aplica a todos los usuarios que se incluyen en las directivas de vínculos seguros activas y la configuración específica de cada directiva de vínculos seguros. Para obtener más información, consulte Vínculos seguros en Defender para Office 365.

Aunque no hay ninguna directiva de vínculos seguros predeterminada, la directiva de seguridad preestablecida de protección integrada proporciona protección de vínculos seguros a todos los destinatarios (usuarios que no están definidos en las directivas de seguridad preestablecidas estándar o estricta o en directivas de vínculos seguros personalizadas). Para obtener más información, vea Directivas de seguridad preestablecidas en EOP y Microsoft Defender para Office 365.

Nota:

La configuración global de Vínculos seguros se establece mediante la directiva de seguridad preestablecida de protección integrada , pero no por las directivas de seguridad preestablecidas Estándar o Estricta . En cualquier caso, los administradores pueden modificar esta configuración global de vínculos seguros en cualquier momento.

La columna Predeterminado muestra los valores anteriores a la existencia de la directiva de seguridad preestablecida de protección integrada . La columna Protección integrada muestra los valores establecidos por la directiva de seguridad preestablecida de protección integrada , que también son nuestros valores recomendados.

Para configurar estas opciones, consulte Configuración global de vínculos seguros en Defender para Office 365.

En PowerShell, se usa el cmdlet Set-AtpPolicyForO365 para esta configuración.

Nombre de la característica de seguridad Predeterminado Protección integrada Comentario
Bloquear las siguientes direcciones URL

ExcludedUrls
En blanco

$null
En blanco

$null
No tenemos ninguna recomendación específica para esta configuración.

Para obtener más información, consulte la lista "Bloquear las siguientes direcciones URL" para vínculos seguros.

Nota: Ahora puede administrar las entradas de direcciones URL de bloque en la lista de permitidos o bloqueados de inquilinos. La lista "Bloquear las siguientes direcciones URL" está en desuso. Intentaremos migrar las entradas existentes de la lista "Bloquear las siguientes direcciones URL" para bloquear las entradas de dirección URL en la lista de permitidos o bloqueados de inquilinos. Los mensajes que contienen la dirección URL bloqueada se pondrán en cuarentena.

Para configurar estas opciones, consulte Configuración de directivas de vínculos seguros en Microsoft Defender para Office 365.

En PowerShell, se usan los cmdlets New-SafeLinksPolicy y Set-SafeLinksPolicy para esta configuración.

Nota:

Como se describió anteriormente, no hay ninguna directiva de vínculos seguros predeterminada, pero la directiva de seguridad preestablecida de protección integrada asigna la protección de vínculos seguros a todos los destinatarios (los usuarios que, de lo contrario, no están incluidos en ninguna directiva de vínculos seguros).

La columna Valor predeterminado en personalizado hace referencia a los valores predeterminados de las nuevas directivas de vínculos seguros que se crean. Las columnas restantes indican (a menos que se indique lo contrario) los valores configurados en las directivas de seguridad preestablecidas correspondientes.

Nombre de la característica de seguridad Valor predeterminado en personalizado Protección integrada Estándar Estricto Comentario
Configuración de protección de clics de dirección URL &
Acción en direcciones URL potencialmente malintencionadas en correos electrónicos
Activado: vínculos seguros comprobará una lista de vínculos conocidos y malintencionados cuando los usuarios hagan clic en vínculos de correo electrónico

EnableSafeLinksForEmail
No seleccionada

$false
Seleccionado

$true
Seleccionado

$true
Seleccionado

$true
Aplicar vínculos seguros a los mensajes de correo electrónico enviados dentro de la organización

EnableForInternalSenders
No seleccionada

$false
No seleccionada

$false
Seleccionado

$true
Seleccionado

$true
Aplicar un análisis de URL en tiempo real para vínculos sospechosos y vínculos que apunten a archivos

ScanUrls
No seleccionada

$false
Seleccionado

$true
Seleccionado

$true
Seleccionado

$true
Esperar a que se complete el examen de direcciones URL antes de entregar el mensaje

DeliverMessageAfterScan
No seleccionada

$false
Seleccionado

$true
Seleccionado

$true
Seleccionado

$true
No vuelva a escribir las direcciones URL. Realice las comprobaciones solo a través de la API de vínculos seguros

DisableURLRewrite
No seleccionada

$false
Seleccionado

$true
No seleccionada

$false
No seleccionada

$false
No vuelva a escribir las siguientes URL en el correo electrónico

DoNotRewriteUrls
En blanco

$null
En blanco

$null
En blanco

$null
En blanco

$null
No tenemos ninguna recomendación específica para esta configuración.

Nota: Las entradas de la lista "No volver a escribir las siguientes direcciones URL" no se examinan ni encapsulan mediante vínculos seguros durante el flujo de correo. Use entradas de dirección URL permitidas en la lista de permitidos o bloqueados de inquilinos para que las direcciones URL no se examinen ni ajusten mediante vínculos seguros durante el flujo de correo y en el momento de hacer clic.
Acción para direcciones URL potencialmente malintencionadas en Microsoft Teams
Activado: Vínculos seguros comprueba una lista de vínculos conocidos y malintencionados cuando los usuarios hacen clic en vínculos en Microsoft Teams

EnableSafeLinksForTeams
No seleccionada

$false
Seleccionado

$true
Seleccionado

$true
Seleccionado

$true
Acción para direcciones URL potencialmente malintencionadas en aplicaciones de Microsoft Office
Activado: vínculos seguros comprobará una lista de vínculos malintencionados conocidos cuando los usuarios hagan clic en vínculos de aplicaciones de Microsoft Office

EnableSafeLinksForOffice
Seleccionado

$true
Seleccionado

$true
Seleccionado

$true
Seleccionado

$true
Use Vínculos seguros en aplicaciones compatibles Office 365 de escritorio y móviles (iOS y Android). Para obtener más información, vea Configuración de vínculos seguros para aplicaciones de Office.
Configuración de protección de clics
Seguimiento de clics de usuario

TrackUserClicks
Seleccionado

$true
Seleccionado

$true
Seleccionado

$true
Seleccionado

$true
Permitir que los usuarios hagan clic en la dirección URL original

AllowClickThrough
Seleccionado

$true
Seleccionado

$true
No seleccionada

$false
No seleccionada

$false
Desactivar esta configuración (establecer AllowClickThrough$falseen ) impide hacer clic en la dirección URL original.
Mostrar la personalización de marca de la organización en las notificaciones y las páginas de advertencia

EnableOrganizationBranding
No seleccionada

$false
No seleccionada

$false
No seleccionada

$false
No seleccionada

$false
No tenemos ninguna recomendación específica para esta configuración.

Antes de activar esta configuración, debe seguir las instrucciones de Personalización del tema de Microsoft 365 para que su organización cargue el logotipo de la empresa.
Notificación
¿Cómo desea notificar a los usuarios?

CustomNotificationText

UseTranslatedNotificationText
Use el texto de notificación predeterminado

En blanco ($null)

$false
Use el texto de notificación predeterminado

En blanco ($null)

$false
Use el texto de notificación predeterminado

En blanco ($null)

$false
Use el texto de notificación predeterminado

En blanco ($null)

$false
No tenemos ninguna recomendación específica para esta configuración.

Puede seleccionar Usar texto de notificación personalizado (-CustomNotificationText "<Custom text>") para escribir y usar texto de notificación personalizado. Si especifica texto personalizado, también puede seleccionar Usar Microsoft Translator para la localización automática (-UseTranslatedNotificationText $true) para traducir automáticamente el texto al idioma del usuario.