次の方法で共有

サード パーティ製フィッシング シミュレーションと SecOps メールボックスへの電子メール配信の高度な配信ポリシーを構成する

ヒント

Microsoft Defender XDR for Office 365 プラン 2 の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用しますこちらからサインアップできるユーザーと試用版の使用条件の詳細について参照してください。

組織を既定でセキュリティで保護するために、Exchange Online Protection (EOP) では、マルウェアまたは高信頼フィッシングとして識別されるメッセージのセーフ リストやフィルター バイパスは許可されません。 ただし、フィルター処理されていないメッセージの配信を必要とする特定のシナリオがあります。 例:

  • サード パーティ製のフィッシング シミュレーション: シミュレートされた攻撃は、実際の攻撃が組織に影響を与える前に、脆弱なユーザーを特定してトレーニングするのに役立ちます。
  • セキュリティ操作 (SecOps) メールボックス: セキュリティ チームがフィルター処理されていないメッセージを収集および分析するために使用する専用メールボックス (良好と悪の両方)。

EOP の 高度な配信ポリシー を使用して、 これらの特定のシナリオの 受信メッセージがフィルター処理されるのを防ぎます¹。 高度な配信ポリシーにより、これらのシナリオのメッセージで次の結果が確実に得られます。

  • EOP と Defender for Office 365 のフィルターは、これらのメッセージに対してアクションを実行しません。 マルウェア のフィルター処理は、SecOps メールボックスに対してのみバイパスされます。
  • スパムとフィッシングに対する 0 時間消去 (ZAP) は、これらのメッセージに対してアクションを実行しません。 マルウェアの ZAP は、SecOps メールボックスでのみバイパスされます。
  • Defender for Office 365 の安全なリンク は、クリック時にこれらのメッセージ内の指定された URL をブロックまたは爆発させるわけではありません。 URL は引き続きラップされますが、ブロックされません。
  • Defender for Office 365 の安全な添付ファイル は、これらのメッセージの添付ファイルを爆発させるわけではありません。
  • これらのシナリオでは、既定のシステム アラート はトリガーされません。
  • Defender for Office 365 の AIR とクラスタリング では、これらのメッセージは無視されます。
  • 具体的には、サード パーティ製のフィッシング シミュレーションの場合:
    • 管理者の申請 では、メッセージがフィッシング シミュレーション キャンペーンの一部であり、実際の脅威ではないという自動応答が生成されます。 アラートと AIR はトリガーされません。 管理者の申請エクスペリエンスでは、これらのメッセージがシミュレートされた脅威として表示されます。
    • Outlook on the web または Microsoft Report Message または Report フィッシング アドインの組み込みレポート ボタンを使用してユーザーがフィッシング シミュレーション メッセージを報告する場合、システムはアラート、調査、またはインシデントを生成しません。 リンクまたはファイルは爆発しませんが、[申請] ページの [ユーザーレポート] タブにメッセージが表示されます。

高度な配信ポリシーによって識別されるメッセージはセキュリティ上の脅威ではありません。そのため、メッセージはシステムオーバーライドでマークされます。 管理者エクスペリエンスでは、これらのメッセージが フィッシング シミュレーション または SecOps メールボックス システムのオーバーライドとして表示されます。 管理者は、これらの値を使用して、次のエクスペリエンスでメッセージをフィルター処理および分析できます。

  • Defender for Office 365 の脅威エクスプローラー (エクスプローラー) またはリアルタイム検出: 管理者は 、システムオーバーライド ソース でフィルター処理し、[ フィッシング シミュレーション ] または [SecOps メールボックス] を選択できます。
  • [電子メール エンティティ] ページ: 管理者は、[上書き] セクションの [テナントのオーバーライド] で、SecOps メールボックスまたはフィッシング シミュレーションによって組織ポリシーによって許可されたメッセージを表示できます。
  • 脅威保護の状態レポート: 管理者は、ドロップダウン メニューの [システムのオーバーライド] でデータを表示してフィルター処理し、フィッシング シミュレーション システムのオーバーライドによって許可されたメッセージを表示する場合に選択できます。 SecOps メールボックスの上書きによって許可されるメッセージを表示するには、[ 理由別のグラフの内訳 ] ドロップダウン リストで配信場所 別のグラフの内訳を 選択できます。
  • Microsoft Defender for Endpoint での高度なハンティング: フィッシング シミュレーションと SecOps メールボックス システムのオーバーライドは、EmailEvents の OrgLevelPolicy 内のオプションです。
  • キャンペーン ビュー: 管理者は 、システム オーバーライド ソース でフィルター処理し、 フィッシング シミュレーション または SecOps メールボックスを選択できます。

はじめに把握しておくべき情報

  • https://security.microsoft.com」で Microsoft Defender ポータルを開きます。 [詳細な配信] ページに直接移動するには、https://security.microsoft.com/advanceddeliveryを使用します。

  • Exchange Online PowerShell へ接続するには、「Exchange Online PowerShell に接続する」を参照してください。

  • この記事の手順を実行する前に、アクセス許可を割り当てる必要があります。 以下のオプションがあります。

    • Microsoft Defender XDR 統合ロールベースのアクセス制御 (RBAC) (電子メール & コラボレーションの場合>Office 365 の既定のアクセス許可はアクティブです。Defender ポータルにのみ影響します。PowerShell ではなく、承認と設定/セキュリティ設定/コア セキュリティ設定 (管理) または承認と設定/セキュリティ設定/コア セキュリティ設定 (読み取り))。

    • Microsoft Defender ポータルの電子メール & コラボレーションのアクセス許可Exchange Online のアクセス許可:

      • 高度な配信ポリシーで構成された設定を作成、変更、または削除する: 電子メール & コラボレーション RBAC の セキュリティ管理者 ロール グループのメンバーシップ 、Exchange Online RBAC の Organization Management 役割グループのメンバーシップ。
      • 高度な配信ポリシーへの読み取り専用アクセス: 電子メール & コラボレーション RBAC の グローバル閲覧者 または セキュリティ閲覧者 ロール グループのメンバーシップ。
        • Exchange Online RBAC の表示専用組織管理

    • Microsoft Entra のアクセス許可: グローバル管理者*、セキュリティ管理者グローバル 閲覧者、またはセキュリティ閲覧者ロールのメンバーシップは、ユーザーに Microsoft 365 の他の機能に必要なアクセス許可アクセス許可をユーザーに付与します。

      重要

      * Microsoft では、アクセス許可が最も少ないロールを使用することをお勧めします。 アクセス許可の低いアカウントを使用すると、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急シナリオに限定する必要があります。

Microsoft Defender ポータルを使用して、高度な配信ポリシーで SecOps メールボックスを構成する

  1. https://security.microsoft.comの Microsoft Defender ポータルで、[Email & Collaboration>Policies & Rules>Threat policies>[ルール] セクションの [Advanced delivery] に移動します。 または、[ 詳細な配信 ] ページに直接移動するには、 https://security.microsoft.com/advanceddeliveryを使用します。

    [ 詳細な配信 ] ページで、[ SecOps メールボックス ] タブが選択されていることを確認します。

  2. [SecOps メールボックス] タブで、ページの [SecOps メールボックスが構成されていない] 領域の [追加] ボタンを選択します。

    [SecOps メールボックス] タブに既存のエントリが既にある場合は、[編集] を選択します ([追加] ボタンは使用できません)。

  3. 開いた [SecOps メールボックスの追加] ポップアップで、次のいずれかの手順を実行して、SecOps メールボックスとして指定する既存の Exchange Online メールボックスを入力します。

    • ボックス内をクリックし、メールボックスの一覧を解決して、メールボックスを選択します。

    • ボックス内をクリックして、メールボックスの識別子 (名前、表示名、エイリアス、電子メール アドレス、アカウント名など) の入力を開始し、結果からメールボックス (表示名) を選択します。

      必要な回数だけこの手順を繰り返します。 配布グループは許可されません。

      既存の値を削除するには、値の横にある [ の削除] を選択します。

  4. [SecOps メールボックスの追加] ポップアップが完了したら、[追加]を選択します。

  5. [SecOps への変更] メールボックスの [保存されたポップアップを上書きする] の情報を確認し、[閉じる] を選択します。

[SecOps メールボックス] タブに戻ると、構成した SecOps メールボックス エントリが一覧表示されます。

  • [ 表示名 ] 列には、メールボックスの表示名が含まれます。
  • [ 電子メール ] 列には、各エントリの電子メール アドレスが含まれています。
  • エントリの一覧を標準間隔からコンパクト間隔に変更するには、[ リストの間隔をコンパクトまたは標準に変更する] を選択し、[ Compact list] を選択します。

Microsoft Defender ポータルを使用して、高度な配信ポリシーで SecOps メールボックスを変更または削除する

  1. https://security.microsoft.comの Microsoft Defender ポータルで、[Email & Collaboration>Policies & Rules>Threat policies>[ルール] セクションの [Advanced delivery] に移動します。 または、[ 詳細な配信 ] ページに直接移動するには、 https://security.microsoft.com/advanceddeliveryを使用します。

    [ 詳細な配信 ] ページで、[ SecOps メールボックス ] タブが選択されていることを確認します。

  2. [ SecOps メールボックス ] タブで、[ ][編集] の順に選択します。

  3. Microsoft Defender ポータルを使用して高度な配信ポリシー」セクションの SecOps メールボックスを構成する手順 3 の説明に従って、開いた SecOps メールボックスの編集ポップアップでメールボックスを追加または削除します。

    すべてのメールボックスを削除するには、メールボックスが選択されなくなるまで、各値の横にある [削除] 選択します。

  4. SecOps メールボックスの編集ポップアップが完了したら、[保存] を選択します

  5. [SecOps への変更] メールボックスの [保存されたポップアップを上書きする] の情報を確認し、[閉じる] を選択します。

[ SecOps メールボックス ] タブに戻ると、構成した SecOps メールボックス エントリが表示されます。 すべてのエントリを削除した場合、一覧は空です。

Microsoft Defender ポータルを使用して、高度な配信ポリシーでサード パーティ製のフィッシング シミュレーションを構成する

サード パーティ製のフィッシング シミュレーションを構成するには、次の情報を提供する必要があります。

  • 少なくとも 1 つのドメイン: フィッシング シミュレーション ベンダーによって指定されたメッセージまたは DKIM ドメインの SMTP 送信で使用される MAIL FROM アドレス (5321.MailFrom アドレス、P1 送信者、エンベロープ送信者とも呼ばれます) からのドメイン。
  • 少なくとも 1 つの 送信 IP
  • 電子メール以外のフィッシング シミュレーション (メッセージ、Word ドキュメント、Excel スプレッドシートなど) の場合は Microsoft Teams、必要に応じて、クリック時に実際の脅威として扱われてはならないシミュレーション URL を特定できます。URL はブロックまたは爆発されず、URL クリック アラートや結果のインシデントは生成されません。 URL はクリック時にラップされますが、ブロックされません。

少なくとも 1 つの ドメイン と 1 つの 送信 IP で一致する必要がありますが、値間の関連付けは維持されません。

MX レコードが Microsoft 365 を指していない場合、 Authentication-results ヘッダーの IP アドレスは、高度な配信ポリシーの IP アドレスと一致する必要があります。 IP アドレスが一致しない場合は、正しい IP アドレスが検出されるように コネクタの拡張フィルター処理 を構成する必要がある場合があります。

注:

コネクタの強化されたフィルター処理は、複雑な電子メール ルーティング シナリオでのサード パーティ製のフィッシング シミュレーションでは機能しません (たとえば、インターネットからの電子メールは Microsoft 365 にルーティングされ、その後、オンプレミス環境またはサード パーティのセキュリティ サービスにルーティングされ、Microsoft 365 に戻ります)。 EOP は、メッセージ ソースの真の IP アドレスを識別できません。 オンプレミスまたはサード パーティの送信インフラストラクチャの IP アドレスをサード パーティのフィッシング シミュレーションに追加して、この制限を回避しないでください。 これにより、サード パーティ製フィッシング シミュレーションで指定されたドメインを偽装するすべてのインターネット送信者のスパム フィルター処理が効果的にバイパスされます。

現時点では、サード パーティ製フィッシング シミュレーションの高度な配信ポリシーでは、同じ組織内 (DIR:INT) 内のシミュレーションはサポートされていません。特に、ハイブリッド メール フローで Microsoft 365 の前に Exchange Server ゲートウェイ経由で電子メールがルーティングされる場合です。 この問題を回避するには、次のオプションがあります。

  • フィッシング シミュレーション メッセージを内部として認証しない専用 送信コネクタ を作成します。
  • Exchange Server インフラストラクチャをバイパスし、メールを Microsoft 365 MX レコードに直接ルーティングするようにフィッシング シミュレーションを構成します (たとえば、contoso-com.mail.protection.outlook.com)。
  • スパム対策ポリシーでは、組織内のメッセージ スキャンを [なし] に設定できますが、他のメール メッセージに影響するため、このオプションはお勧めしません。

組み込みの保護プリセットのセキュリティ ポリシーまたはカスタムの安全なリンク ポリシーを使用している場合は、[URL を書き換えない]、SafeLinks API のみを使用してチェックを有効にしている場合、クリック時の保護ではメール内のフィッシング シミュレーション リンクは Outlook on the web、Outlook for iOS、Android、Outlook for Windows v16.0.15317.10000 以降の脅威として扱われません。 および Outlook for Mac v16.74.23061100 以降。 以前のバージョンの Outlook を使用している場合は、カスタムの安全なリンク ポリシー の [URL を書き換えないでください]、[SafeLinks API 経由でのみチェックを行う ] 設定を無効にすることを検討してください。

安全なリンク ポリシーの [ 電子メールで次の URL を書き換えない] セクションにフィッシング シミュレーション URL を追加すると、URL のクリックに対して不要なアラートが発生する可能性があります。 メール メッセージ内のフィッシング シミュレーション URL は、メール フロー中とクリック時の両方で自動的に許可されます。

現時点では、SecOps メールボックスの高度な配信ポリシーでは、組織内のメッセージ (DIR:INT) はサポートされていないため、これらのメッセージは検疫されます。 回避策として、組織内メッセージを検疫しない SecOps メールボックスに対して個別のスパム対策ポリシーを使用できます。 すべてのメールボックスに対して組織内保護を無効にすることはお勧めしません。

  1. https://security.microsoft.comの Microsoft Defender ポータルで、[Email & Collaboration>Policies & Rules>Threat policies>[ルール] セクションの [Advanced delivery] に移動します。 または、[ 詳細な配信 ] ページに直接移動するには、 https://security.microsoft.com/advanceddeliveryを使用します。

    [ 高度な配信 ] ページで、[ フィッシング シミュレーション ] タブを選択します。

  2. [フィッシング シミュレーション] タブで、ページの [サード パーティ製フィッシング シミュレーションが構成されていない] 領域の [追加] ボタンを選択します。

    [フィッシング シミュレーション] タブに既存のエントリが既にある場合は、[][編集] を選択します ([追加] ボタンは使用できません)。

  3. 開いた [サード パーティ製フィッシング シミュレーションの追加] ポップアップで、次の設定を構成します。

    • ドメイン: この設定を展開し、ボックス内をクリックし、値 (contoso.com など) を入力し、Enter キーを押すか、ボックスの下に表示される値を選択して、少なくとも 1 つのメール アドレス ドメインを入力します。 必要な回数だけこの手順を繰り返します。 最大 50 個のエントリを追加できます。 次のいずれかの値を使用します。

      • メッセージの SMTP 送信で使用される 5321.MailFrom アドレス ( MAIL FROM アドレス、P1 送信者、エンベロープ送信者とも呼ばれます) 内のドメイン。
      • フィッシング シミュレーション ベンダーによって指定された DKIM ドメイン。

    • [IP の送信]: この設定を展開し、ボックス内をクリックして値を入力し、Enter キーを押すか、ボックスの下に表示される値を選択して、少なくとも 1 つの有効な IPv4 アドレスを入力します。 必要な回数だけこの手順を繰り返します。 最大 10 個のエントリを追加できます。 有効な値は次のとおりです。

      • 単一 IP: 192.168.1.1 など。
      • IP 範囲: たとえば、192.168.0.1-192.168.0.254 などです。
      • CIDR IP: たとえば、192.168.0.1/25。

    • 許可するシミュレーション URL: この設定は、電子メール フィッシング シミュレーションのリンクには必要ありません。 この設定を使用して、必要に応じて、 電子メール以外の フィッシング シミュレーション (Teams メッセージ内または Office ドキュメント内のリンク) で、クリック時に実際の脅威として扱う必要のないリンクを特定します。

      この設定を展開し、ボックス内をクリックして値を入力し、Enter キーを押すか、ボックスの下に表示される値を選択して、URL エントリを追加します。 最大 30 個のエントリを追加できます。 URL 構文については、「 テナント許可/ブロック リストの URL 構文」を参照してください

    既存のドメイン、IP、または URL の値を削除するには、値の横にある [ の削除] を選択します。

    次の例について考えます。

    Authentication-Results: spf=pass (sender IP is 172.17.17.7)
smtp.mailfrom=contoso.com; dkim=pass (signature was verified)
header.d=contoso-simulation.com; dmarc=pass action=none header.from=contoso-simulation.com;

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=contoso-simulation.com;
s=selector1;
h=From:Date:Subject:Message-ID:Content-Type:MIME-Version:X-MS-Exchange-SenderADCheck;
bh=UErATeHehIIPIXPeUAfZWiKo0w2cSsOhb9XM9ulqTX0=;
    • 接続 IP アドレスは 172.17.17.7 です
    • MAIL FROM アドレス (smtp.mailfrom) 内のドメインが contoso.com
    • DKIM ドメイン (header.d) が contoso-simulation.com

    この例では、次のいずれかの組み合わせを使用して、サードパーティ製のフィッシング シミュレーションを構成できます。

    ドメイン: contoso.com
    送信 IP: 172.17.17.7

    ドメイン: contoso-simulation.com
    送信 IP: 172.17.17.7

  4. [サード パーティ製フィッシング シミュレーションの追加] ポップアップが完了したら、[追加] を選択します

  5. フィッシング シミュレーションの変更に関するページの情報を確認して、保存したポップアップを上書きし、[閉じる] を選択します。

[ フィッシング シミュレーション ] タブに戻ると、構成したサード パーティ製のフィッシング シミュレーション エントリが一覧表示されます。

  • [値] 列には、ドメイン、IP アドレス、または URL エントリが含まれています。
  • [種類] 列には、各エントリの [送信 IP]、[ドメイン]、または [許可されたシミュレーション URL] の値が含まれています。
  • [日付] 列には、エントリが作成された日時が表示されます。
  • エントリの一覧を標準間隔からコンパクト間隔に変更するには、[ リストの間隔をコンパクトまたは標準に変更する] を選択し、[ Compact list] を選択します。

Microsoft Defender ポータルを使用して、高度な配信ポリシーでサード パーティ製のフィッシング シミュレーションを変更または削除する

  1. https://security.microsoft.comの Microsoft Defender ポータルで、[Email & Collaboration>Policies & Rules>Threat policies>[ルール] セクションの [Advanced delivery] に移動します。 または、[ 詳細な配信 ] ページに直接移動するには、 https://security.microsoft.com/advanceddeliveryを使用します。

    [ 高度な配信 ] ページで、[ フィッシング シミュレーション ] タブを選択します。

  2. [ フィッシング シミュレーション ] タブで、[ ][編集] の順に選択します。

  3. [高度な配信ポリシー] セクションの「Microsoft Defender ポータルを使用して SecOps メールボックスを構成する」の手順 3 で説明されているように、[ドメイン]、[送信 IP]、[シミュレーション URL] のエントリを開き、追加または削除するサードパーティ製フィッシング シミュレーションのポップアップを編集します。

    すべてのエントリを削除するには、ドメイン、IP、または URL が選択されなくなるまで、各値の横にある [ の削除] を選択します。

  4. [サードパーティ製フィッシング シミュレーションの編集] ポップアップが完了したら、[保存] を選択します

  5. フィッシング シミュレーションの変更に関するページの情報を確認して、保存したポップアップを上書きし、[閉じる] を選択します。

[ フィッシング シミュレーション ] タブに戻ると、構成したサード パーティ製のフィッシング シミュレーション エントリが表示されます。 すべてのエントリを削除した場合、一覧は空です。

フィルター処理のバイパスを必要とするその他のシナリオ

高度な配信ポリシーで役立つ 2 つのシナリオに加えて、メッセージのフィルター処理をバイパスする必要がある場合があります。

  • サード パーティ製フィルター: ドメインの MX レコードが Office 365 を指 していない 場合 (メッセージは最初に他の場所にルーティングされます)、 既定ではセキュリティで保護されません。 保護を追加する場合は、コネクタの拡張フィルター処理 ( リストのスキップとも呼ばれます) を有効にする必要があります。 詳細については、「 Exchange Online でサード パーティのクラウド サービスを使用してメール フローを管理する」を参照してください。 コネクタの拡張フィルター処理が不要な場合は、メール フロー ルール (トランスポート ルールとも呼ばれます) を使用して、サード パーティ製のフィルター処理によって既に評価されているメッセージの Microsoft フィルター処理をバイパスします。 詳細については、「 メール フロー ルールを使用してメッセージ内の SCL を設定する」を参照してください。

  • レビュー中の誤検知: 管理者の申請を通じて報告した不適切な (誤検知) と誤って識別された良好なメッセージを一時的に許可したい場合がありますが、メッセージは Microsoft によって分析されています。 すべてのオーバーライドと同様に、これらの手当は一時的なものであることを 強くお勧めします

高度な配信ポリシーでの SecOps メールボックスの PowerShell 手順

PowerShell では、高度な配信ポリシーの SecOps メールボックスの基本的な要素は次のとおりです。

  • SecOps オーバーライド ポリシー: *-SecOpsOverridePolicy コマンドレットによって制御されます。
  • SecOps オーバーライド 規則: *-ExoSecOpsOverrideRule コマンドレットによって制御されます。

この動作の結果は次のとおりです。

  • 最初にポリシーを作成してから、ルールが適用されるポリシーを識別するルールを作成します。
  • PowerShell からポリシーを削除すると、対応するルールも削除されます。
  • PowerShell からルールを削除しても、対応するポリシーは削除されません。 対応するポリシーを手動で削除する必要があります。

PowerShell を使用して SecOps メールボックスを構成する

PowerShell の高度な配信ポリシーでの SecOps メールボックスの構成は、次の 2 つの手順で行います。

  1. SecOps オーバーライド ポリシーを作成します。
  2. 規則が適用されるポリシーを指定する SecOps オーバーライド 規則を作成します。

手順 1: PowerShell を使用して SecOps オーバーライド ポリシーを作成する

Exchange Online PowerShell で、次の構文を使用します。

New-SecOpsOverridePolicy -Name SecOpsOverridePolicy -SentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>

指定した Name 値に関係なく、ポリシー名は SecOpsOverridePolicy であるため、その値を使用することもできます。

この例では、SecOps メールボックス ポリシーを作成します。

New-SecOpsOverridePolicy -Name SecOpsOverridePolicy -SentTo secops@contoso.com

構文とパラメーターの詳細については、「 New-SecOpsOverridePolicy」を参照してください。

手順 2: PowerShell を使用して SecOps オーバーライド 規則を作成する

Exchange Online PowerShell で、次のコマンドを実行します。

New-ExoSecOpsOverrideRule -Name SecOpsOverrideRule -Policy SecOpsOverridePolicy

指定した Name 値に関係なく、ルール名は [sic] に _Exe:SecOpsOverrid:<GUID\> されます。ここで、 <GUID> は一意の GUID 値です (たとえば、312c23cf-0377-4162-b93d-6548a9977efb9)。

構文とパラメーターの詳細については、「 New-ExoSecOpsOverrideRule」を参照してください。

PowerShell を使用して SecOps オーバーライド ポリシーを表示する

Exchange Online PowerShell では、この例では、1 つだけの SecOps メールボックス ポリシーに関する詳細情報を返します。

Get-SecOpsOverridePolicy

構文とパラメーターの詳細については、「 Get-SecOpsOverridePolicy」を参照してください。

PowerShell を使用して SecOps オーバーライド ルールを表示する

Exchange Online PowerShell では、この例では SecOps オーバーライド 規則に関する詳細情報を返します。

Get-ExoSecOpsOverrideRule

前のコマンドは 1 つのルールのみを返す必要がありますが、削除が保留中のルールも結果に含まれる可能性があります。

この例では、有効なルール (1 つ) と無効なルールを識別します。

Get-ExoSecOpsOverrideRule | Format-Table Name,Mode

無効な規則を特定したら、この記事の後半で説明するように Remove-ExoSecOpsOverrideRule コマンドレットを使用して削除できます。

構文とパラメーターの詳細については、「 Get-ExoSecOpsOverrideRule」を参照してください。

PowerShell を使用して SecOps オーバーライド ポリシーを変更する

Exchange Online PowerShell で、次の構文を使用します。

Set-SecOpsOverridePolicy -Identity SecOpsOverridePolicy [-AddSentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>] [-RemoveSentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>]

この例では、SecOps オーバーライド ポリシーに secops2@contoso.com を追加します。

Set-SecOpsOverridePolicy -Identity SecOpsOverridePolicy -AddSentTo secops2@contoso.com

注:

関連付けられている有効な SecOps オーバーライド ルールが存在する場合は、ルール内のメール アドレスも更新されます。

構文とパラメーターの詳細については、「 Set-SecOpsOverridePolicy」を参照してください。

PowerShell を使用して SecOps オーバーライド 規則を変更する

Set-ExoSecOpsOverrideRule コマンドレットでは、SecOps オーバーライド 規則のメール アドレスは変更されません。 SecOps オーバーライド 規則のメール アドレスを変更するには、 Set-SecOpsOverridePolicy コマンドレットを 使用します。

構文とパラメーターの詳細については、「 Set-ExoSecOpsOverrideRule」を参照してください。

PowerShell を使用して SecOps オーバーライド ポリシーを削除する

Exchange Online PowerShell では、この例では SecOps メールボックス ポリシーと対応するルールを削除します。

Remove-SecOpsOverridePolicy -Identity SecOpsOverridePolicy

構文とパラメーターの詳細については、「 Remove-SecOpsOverridePolicy」を参照してください。

PowerShell を使用して SecOps オーバーライド 規則を削除する

Exchange Online PowerShell で、次のコマンドを使用します。

  • SecOps オーバーライド ルールを削除します。

    Get-ExoSecOpsOverrideRule | Remove-ExoSecOpsOverrideRule

  • 指定した SecOps オーバーライド 規則を削除します。

    Remove-ExoSecOpsOverrideRule -Identity "_Exe:SecOpsOverrid:312c23cf-0377-4162-b93d-6548a9977efb"

構文とパラメーターの詳細については、「 Remove-ExoSecOpsOverrideRule」を参照してください。

高度な配信ポリシーでのサードパーティ製フィッシング シミュレーションの PowerShell 手順

PowerShell では、高度な配信ポリシーのサードパーティ製フィッシング シミュレーションの基本的な要素は次のとおりです。

  • フィッシング シミュレーションのオーバーライド ポリシー: *-PhishSimOverridePolicy コマンドレットによって制御されます。
  • フィッシング シミュレーションのオーバーライド ルール: *-ExoPhishSimOverrideRule コマンドレットによって制御されます。
  • 許可された (ブロック解除された) フィッシング シミュレーション URL: *-TenantAllowBlockListItems コマンドレットによって制御されます。

注:

前に説明したように、電子メール ベースのフィッシング シミュレーションのリンクに URL を識別する必要はありません。 必要に応じて、電子 メール以外の フィッシング シミュレーション (Teams メッセージまたは Office ドキュメント内のリンク) で、クリック時に実際の脅威として扱う必要のないリンクを特定できます。

この動作の結果は次のとおりです。

  • 最初にポリシーを作成してから、ルールが適用されるポリシーを識別するルールを作成します。
  • ポリシーとルールの設定は個別に変更します。
  • PowerShell からポリシーを削除すると、対応するルールも削除されます。
  • PowerShell からルールを削除しても、対応するポリシーは削除されません。 対応するポリシーを手動で削除する必要があります。

PowerShell を使用してサードパーティ製のフィッシング シミュレーションを構成する

PowerShell でサード パーティ製のフィッシング シミュレーションを構成することは、複数ステップのプロセスです。

  1. フィッシング シミュレーションのオーバーライド ポリシーを作成します。
  2. 次を指定するフィッシング シミュレーションのオーバーライド ルールを作成します。
    • ルールが適用されるポリシー。
    • フィッシング シミュレーション メッセージのソース IP アドレス。
  3. 必要に応じて、電子 メール以外 のフィッシング シミュレーション (Teams メッセージ内または Office ドキュメント内のリンク) で、クリック時に実際の脅威として扱うべきではないフィッシング シミュレーション URL を識別します。

手順 1: PowerShell を使用してフィッシング シミュレーションのオーバーライド ポリシーを作成する

Exchange Online PowerShell では、この例ではフィッシング シミュレーションのオーバーライド ポリシーを作成します。

New-PhishSimOverridePolicy -Name PhishSimOverridePolicy

指定した [名前] の値に関係なく、ポリシー名は PhishSimOverridePolicy であるため、その値を使用することもできます。

構文とパラメーターの詳細については、「 New-PhishSimOverridePolicy」を参照してください。

手順 2: PowerShell を使用してフィッシング シミュレーションのオーバーライド ルールを作成する

Exchange Online PowerShell で、次の構文を使用します。

New-ExoPhishSimOverrideRule -Name <ArbitraryTextValue> -Policy PhishSimOverridePolicy -Domains <Domain1>,<Domain2>,...<Domain10> -SenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntry10>

指定した Name 値に関係なく、ルール名は [sic] に _Exe:PhishSimOverr:<GUID\> されます。ここで、 <GUID> は一意の GUID 値です (たとえば、6fed4b63-3563-495d-a481-b24a3111f8329)。

有効な IP アドレス エントリは、次のいずれかの値です。

  • 単一 IP: 192.168.1.1 など。
  • IP 範囲: たとえば、192.168.0.1-192.168.0.254 などです。
  • CIDR IP: たとえば、192.168.0.1/25。

この例では、指定した設定でフィッシング シミュレーションのオーバーライド ルールを作成します。

New-ExoPhishSimOverrideRule -Policy PhishSimOverridePolicy -Domains fabrikam.com,wingtiptoys.com -SenderIpRanges 192.168.1.55

構文とパラメーターの詳細については、「 New-ExoPhishSimOverrideRule」を参照してください。

手順 3: (省略可能) PowerShell を使用して、許可するフィッシング シミュレーション URL を特定する

Exchange Online PowerShell で、次の構文を使用します。

New-TenantAllowBlockListItems -Allow -ListType Url -ListSubType AdvancedDelivery -Entries "<URL1>","<URL2>",..."<URL10>" <[-NoExpiration] | [-ExpirationDate <DateTime>]>

URL 構文の詳細については、「テナント許可/ブロック リストの URL 構文」を参照してください。

次の使用例は、指定したサード パーティ製フィッシング シミュレーション URL の URL 許可エントリを、有効期限なしで追加します。

New-TenantAllowBlockListItems -Allow -ListType Url -ListSubType AdvancedDelivery -Entries *.fabrikam.com -NoExpiration

構文とパラメーターの詳細については、「 New-TenantAllowBlockListItems」を参照してください。

PowerShell を使用してフィッシング シミュレーションのオーバーライド ポリシーを表示する

Exchange Online PowerShell では、この例では、1 つだけのフィッシング シミュレーションオーバーライド ポリシーに関する詳細情報を返します。

Get-PhishSimOverridePolicy

構文とパラメーターの詳細については、「 Get-PhishSimOverridePolicy」を参照してください。

PowerShell を使用してフィッシング シミュレーションのオーバーライド ルールを表示する

Exchange Online PowerShell) では、この例ではフィッシング シミュレーションのオーバーライド ルールに関する詳細情報を返します。

Get-ExoPhishSimOverrideRule

前のコマンドは 1 つのルールのみを返す必要がありますが、削除が保留中のルールも結果に含まれる可能性があります。

この例では、有効なルール (1 つ) と無効なルールを識別します。

Get-ExoPhishSimOverrideRule | Format-Table Name,Mode

無効なルールを特定したら、この記事の後半で説明するように Remove-ExoPhishSimOverrideRule コマンドレットを使用して削除できます。

構文とパラメーターの詳細については、「 Get-ExoPhishSimOverrideRule」を参照してください。

PowerShell を使用して、許可されているフィッシング シミュレーション URL エントリを表示する

Exchange Online PowerShell で、次のコマンドを実行します。

Get-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery

構文とパラメーターの詳細については、「 Get-TenantAllowBlockListItems」を参照してください。

PowerShell を使用してフィッシング シミュレーションのオーバーライド ポリシーを変更する

Exchange Online PowerShell で、次の構文を使用します。

Set-PhishSimOverridePolicy -Identity PhishSimOverridePolicy [-Comment "<DescriptiveText>"] [-Enabled <$true | $false>]

この例では、フィッシング シミュレーションのオーバーライド ポリシーを無効にします。

Set-PhishSimOverridePolicy -Identity PhishSimOverridePolicy -Enabled $false

構文とパラメーターの詳細については、「 Set-PhishSimOverridePolicy」を参照してください。

PowerShell を使用してフィッシング シミュレーションのオーバーライド ルールを変更する

Exchange Online PowerShell で、次の構文を使用します。

Get-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule [-Comment "<DescriptiveText>"] [-AddSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-RemoveSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-AddSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>] [-RemoveSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>]

または

Set-ExoPhishSimOverrideRule -Identity <PhishSimOverrideRuleIdentity> [-Comment "<DescriptiveText>"] [-AddSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-RemoveSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-AddSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>] [-RemoveSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>]

Get-ExoPhishSimOverrideRule コマンドレットを使用して、<PhishSimOverrideRuleIdentity> 値を検索します。 規則の名前は、 _Exe:PhishSimOverr:<GUID\> [sic] を使用します。ここで、 <GUID> は一意の GUID 値です (たとえば、6fed4b63-3563-495d-a481-b24a311f8329)。

この例では、(おそらくのみ) フィッシング シミュレーションのオーバーライド ルールを次の設定で変更します。

  • ドメイン エントリを blueyonderairlines.com 追加します。
  • IP アドレス エントリ 192.168.1.55 を削除します。

これらの変更は、ルール内の既存のエントリには影響しません。

Get-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule -AddSenderDomainIs blueyonderairlines.com -RemoveSenderIpRanges 192.168.1.55

構文とパラメーターの詳細については、「 Set-ExoPhishSimOverrideRule」を参照してください。

PowerShell を使用して、許可されるフィッシング シミュレーション URL エントリを変更する

URL 値を直接変更することはできません。 この記事の説明に従って、 既存の URL エントリを削除 し、 新しい URL エントリを追加 できます。

Exchange Online PowerShell で、許可されているフィッシング シミュレーション URL エントリの他のプロパティ (有効期限やコメントなど) を変更するには、次の構文を使用します。

Set-TenantAllowBlockListItems <-Entries "<URL1>","<URL2>",..."<URLN>" | -Ids <Identity> -ListType URL -ListSubType AdvancedDelivery <[-NoExpiration] | [-ExpirationDate <DateTime>]> [-Notes <String>]

変更するエントリは、その URL 値 ( Entries パラメーター) または Get-TenantAllowBlockListItems コマンドレット ( Ids パラメーター) の出力からの ID 値によって識別します。

次の使用例は、指定したエントリの有効期限を変更しました。

Set-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery -Entries "*.fabrikam.com" -ExpirationDate 9/11/2021

構文とパラメーターの詳細については、「 Set-TenantAllowBlockListItems」を参照してください。

PowerShell を使用してフィッシング シミュレーションのオーバーライド ポリシーを削除する

Exchange Online PowerShell では、この例ではフィッシング シミュレーションのオーバーライド ポリシーと対応するルールを削除します。

Remove-PhishSimOverridePolicy -Identity PhishSimOverridePolicy

構文とパラメーターの詳細については、「 Remove-PhishSimOverridePolicy」を参照してください。

PowerShell を使用してフィッシング シミュレーションのオーバーライド ルールを削除する

Exchange Online PowerShell で、次のコマンドを使用します。

  • フィッシング シミュレーションのオーバーライド ルールを削除します。

    Get-ExoPhishSimOverrideRule | Remove-ExoPhishSimOverrideRule

  • 指定したフィッシング シミュレーションのオーバーライド ルールを削除します。

    Remove-ExoSPhishSimOverrideRule -Identity "_Exe:PhishSimOverr:6fed4b63-3563-495d-a481-b24a311f8329"

構文とパラメーターの詳細については、「 Remove-ExoPhishSimOverrideRule」を参照してください。

PowerShell を使用して、許可されているフィッシング シミュレーション URL エントリを削除する

Exchange Online PowerShell で、次の構文を使用します。

Remove-TenantAllowBlockListItems <-Entries "<URL1>","<URL2>",..."<URLN>" | -Ids <Identity> -ListType URL -ListSubType AdvancedDelivery

変更するエントリは、その URL 値 ( Entries パラメーター) または Get-TenantAllowBlockListItems コマンドレット ( Ids パラメーター) の出力からの ID 値によって識別します。

次の使用例は、指定したエントリの有効期限を変更しました。

Remove-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery -Entries "*.fabrikam.com" -ExpirationDate 9/11/2021

構文とパラメーターの詳細については、「 Remove-TenantAllowBlockListItems」を参照してください。