EOP および Microsoft Defender for Office 365 セキュリティの推奨設定
ヒント
Microsoft Defender XDR for Office 365 プラン 2 の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 「Microsoft Defender for Office 365を試す」で、誰がサインアップして試用版の条件を利用できるかについて説明します。
Exchange Online Protection (EOP) は、Microsoft 365 サブスクリプションのセキュリティの中核であり、悪意のあるメールが従業員の受信トレイに届かないようにするのに役立ちます。 しかし、新しい、より高度な攻撃が毎日出現する中で、多くの場合、保護の強化が必要になります。 Microsoft Defender for Office 365プラン 1 またはプラン 2 には、セキュリティ、制御、調査のレイヤーを増やす追加の機能が含まれています。
セキュリティ管理者はセキュリティ設定をカスタマイズできますが、EOP には 2 つのセキュリティ レベルがあり、推奨されるMicrosoft Defender for Office 365は Standard と Strict です。 顧客の環境とニーズは異なりますが、これらのレベルのフィルター処理は、ほとんどの状況で不要なメールが従業員の受信トレイに到達するのを防ぐのに役立ちます。
標準または厳格な設定をユーザーに自動的に適用するには、「EOP とMicrosoft Defender for Office 365のセキュリティ ポリシーを事前設定する」を参照してください。
この記事では、既定の設定と、ユーザーを保護するために推奨される標準設定と厳密な設定について説明します。 テーブルには、Microsoft Defender ポータルと PowerShell (Exchange Online PowerShell またはスタンドアロン Exchange Online Protection PowerShell for organization for Exchange Online メールボックス) の設定が含まれています。
注:
PowerShell Office 365 Advanced Threat Protection Recommended Configuration Analyzer (ORCA) モジュールは、管理者がこれらの設定の現在の値を見つけるのに役立ちます。 具体的には、 Get-ORCAReport コマンドレットは、スパム対策、フィッシング対策、およびその他のメッセージの検疫設定の評価を生成します。 ORCA モジュールは、 https://www.powershellgallery.com/packages/ORCA/でダウンロードできます。
Microsoft 365 組織では、EOP からのスパム フィルター判定で不要な競合 (正と負の両方) を防ぐために、[Outlook の迷惑メール Emailフィルター] を [自動フィルター処理なし] に設定したままにすることをお勧めします。 詳細については、次の資料を参照してください。
EOP でのスパム対策、マルウェア対策、フィッシング対策の保護
スパム対策、マルウェア対策、フィッシング対策は、管理者が構成できる EOP 機能です。 次の標準または厳密な構成をお勧めします。
EOP マルウェア対策ポリシー設定
マルウェア対策ポリシーを作成して構成するには、「 EOP でマルウェア対策ポリシーを構成する」を参照してください。
検疫ポリシーは、検疫されたメッセージに対してユーザーが実行できる操作と、ユーザーが検疫通知を受け取るかどうかを定義します。 詳細については、「 検疫ポリシーの構造」を参照してください。
AdminOnlyAccessPolicy という名前のポリシーでは、 次の表に示すように、マルウェアとして検疫されたメッセージの履歴機能が適用されます。
検疫ポリシーの構成方法に関係なく、ユーザーはマルウェアとして検疫された独自のメッセージを解放できません。 ポリシーでユーザーが独自の検疫済みメッセージを解放できる場合、ユーザーは代わりに検疫されたマルウェア メッセージのリリースを 要求 できます。
セキュリティ機能名 | 既定値 | Standard | Strict | コメント |
---|---|---|---|---|
保護の設定 | ||||
一般的な添付ファイル フィルターを有効にする (EnableFileFilter) | 選択済み ($true )* |
選択済み ($true ) |
選択済み ($true ) |
一般的な添付ファイル フィルターのファイルの種類の一覧については、「 マルウェア対策ポリシーの一般的な添付ファイル フィルター」を参照してください。 * 一般的な添付ファイル フィルターは、Defender ポータルまたは PowerShell で作成する新しいマルウェア対策ポリシーと、2023 年 12 月 1 日以降に作成された組織の既定のマルウェア対策ポリシーで既定で オン になっています。 |
一般的な添付ファイル フィルター通知: これらのファイルの種類が見つかった場合 (FileTypeAction) |
配信不能レポート (NDR) を使用してメッセージを拒否する (Reject ) |
配信不能レポート (NDR) を使用してメッセージを拒否する (Reject ) |
配信不能レポート (NDR) を使用してメッセージを拒否する (Reject ) |
|
マルウェアの 0 時間自動消去を有効にする (ZapEnabled) | 選択済み ($true ) |
選択済み ($true ) |
選択済み ($true ) |
|
検疫ポリシー (QuarantineTag) | AdminOnlyAccessPolicy | AdminOnlyAccessPolicy | AdminOnlyAccessPolicy | |
管理通知 | ||||
内部送信者からの配信不能メッセージについて管理者に通知する (EnableInternalSenderAdminNotifications と InternalSenderAdminAddress) | [未選択] ($false ) |
[未選択] ($false ) |
[未選択] ($false ) |
この設定に関する具体的な推奨事項はありません。 |
外部送信者からの配信不能メッセージについて管理者に通知する (EnableExternalSenderAdminNotifications と ExternalSenderAdminAddress) | [未選択] ($false ) |
[未選択] ($false ) |
[未選択] ($false ) |
この設定に関する具体的な推奨事項はありません。 |
通知をカスタマイズする | これらの設定に関する具体的な推奨事項はありません。 | |||
カスタマイズされた通知テキストを使用 する (CustomNotifications) | [未選択] ($false ) |
[未選択] ($false ) |
[未選択] ($false ) |
|
From name (CustomFromName) | 空白 | 空白 | 空白 | |
From address (CustomFromAddress) | 空白 | 空白 | 空白 | |
内部送信者からのメッセージの通知をカスタマイズする | これらの設定は、 内部送信者からの配信不能メッセージについて管理者に通知 する] が選択されている場合にのみ使用されます。 | |||
Subject (CustomInternalSubject) | 空白 | 空白 | 空白 | |
Message (CustomInternalBody) | 空白 | 空白 | 空白 | |
外部送信者からのメッセージの通知をカスタマイズする | これらの設定は、 外部送信者からの配信不能メッセージについて管理者に通知 する] が選択されている場合にのみ使用されます。 | |||
Subject (CustomExternalSubject) | 空白 | 空白 | 空白 | |
Message (CustomExternalBody) | 空白 | 空白 | 空白 |
「EOP のスパム対策ポリシーの設定」
スパム対策ポリシーを作成して構成するには、「 EOP でスパム対策ポリシーを構成する」を参照してください。
スパム フィルター判定のアクションとして [検疫メッセージ ] を選択した場合は、[ 検疫ポリシーの選択 ] ボックスを使用できます。 検疫ポリシーは、検疫されたメッセージに対してユーザーが実行できる操作と、ユーザーが検疫通知を受け取るかどうかを定義します。 詳細については、「 検疫ポリシーの構造」を参照してください。
Defender ポータルでスパム対策ポリシーを作成するときにスパム フィルター判定のアクションを検疫メッセージに変更した場合、既定では [検疫ポリシーの選択] ボックスは空白になります。 空白の値は、そのスパム フィルター判定の既定の検疫ポリシーが使用されることを意味します。 これらの既定の検疫ポリシーでは、 次の表に示すように、メッセージを検疫したスパム フィルター判定の履歴機能が適用されます。 後でスパム対策ポリシー設定を表示または編集すると、検疫ポリシー名が表示されます。
管理者は、制限の厳しい機能または制限の少ない機能を持つ検疫ポリシーを作成または使用できます。 手順については、「Microsoft Defender ポータルで検疫ポリシーを作成する」を参照してください。
セキュリティ機能名 | 既定値 | Standard | Strict | コメント |
---|---|---|---|---|
スパム プロパティ & 一括メールしきい値 | ||||
一括メールのしきい値 (BulkThreshold) | 7 | 6 | 5 | 詳細については、 EOP の「一括苦情レベル (BCL)」を参照してください。 |
一括メール スパム (MarkAsSpamBulkMail) | (On ) |
(On ) |
(On ) |
この設定は PowerShell でのみ使用できます。 |
スパム スコアの設定を増やす | これらの設定はすべて、高度なスパム フィルター (ASF) の一部です。 詳細については、この記事の「 スパム対策ポリシーの ASF 設定 」セクションを参照してください。 | |||
スパム設定としてマーク する | これらの設定のほとんどは ASF の一部です。 詳細については、この記事の「 スパム対策ポリシーの ASF 設定 」セクションを参照してください。 | |||
特定の言語が含まれています (EnableLanguageBlockList と LanguageBlockList) |
オフ ($false と空白) |
オフ ($false と空白) |
オフ ($false と空白) |
この設定に関する具体的な推奨事項はありません。 ビジネス ニーズに基づいて、特定の言語でメッセージをブロックできます。 |
これらの国から (EnableRegionBlockList と RegionBlockList) |
オフ ($false と空白) |
オフ ($false と空白) |
オフ ($false と空白) |
この設定に関する具体的な推奨事項はありません。 ビジネス ニーズに基づいて、特定の国/地域からのメッセージをブロックできます。 |
テスト モード (TestModeAction) | なし | なし | なし | この設定は ASF の一部です。 詳細については、この記事の「 スパム対策ポリシーの ASF 設定 」セクションを参照してください。 |
アクション | ||||
スパム 検出アクション (SpamAction) |
迷惑メール Email フォルダーにメッセージを移動する (MoveToJmf ) |
迷惑メール Email フォルダーにメッセージを移動する (MoveToJmf ) |
検疫メッセージ (Quarantine ) |
|
スパムの検疫ポリシー (SpamQuarantineTag) | DefaultFullAccessPolicy¹ | DefaultFullAccessPolicy | DefaultFullAccessWithNotificationPolicy | 検疫ポリシーは、スパム検出が検疫されている場合にのみ意味があります。 |
信頼度の高いスパム 検出アクション (HighConfidenceSpamAction) |
迷惑メール Email フォルダーにメッセージを移動する (MoveToJmf ) |
検疫メッセージ (Quarantine ) |
検疫メッセージ (Quarantine ) |
|
高信頼スパムの検疫ポリシー (HighConfidenceSpamQuarantineTag) | DefaultFullAccessPolicy¹ | DefaultFullAccessWithNotificationPolicy | DefaultFullAccessWithNotificationPolicy | 検疫ポリシーは、信頼度の高いスパム検出が検疫されている場合にのみ意味があります。 |
フィッシング 検出アクション (PhishSpamAction) |
迷惑メール Email フォルダーにメッセージを移動する (MoveToJmf )* |
検疫メッセージ (Quarantine ) |
検疫メッセージ (Quarantine ) |
*既定値は、既定のスパム対策ポリシーと PowerShell で作成した新しいスパム対策ポリシーの [迷惑メール Email フォルダーにメッセージを移動する] です。 既定値は、Defender ポータルで作成した新しいスパム対策ポリシーの 検疫メッセージ です。 |
フィッシングの検疫ポリシー (PhishQuarantineTag) | DefaultFullAccessPolicy¹ | DefaultFullAccessWithNotificationPolicy | DefaultFullAccessWithNotificationPolicy | 検疫ポリシーは、フィッシング検出が検疫されている場合にのみ意味があります。 |
高信頼フィッシング 検出アクション (HighConfidencePhishAction) |
検疫メッセージ (Quarantine ) |
検疫メッセージ (Quarantine ) |
検疫メッセージ (Quarantine ) |
検疫ポリシーの構成方法に関係なく、高信頼フィッシングとして検疫された独自のメッセージをユーザーが解放することはできません。 ポリシーでユーザーが独自の検疫済みメッセージを解放できる場合、ユーザーは代わりに検疫された信頼度の高いフィッシング メッセージのリリースを 要求 できます。 |
高信頼フィッシングの検疫ポリシー (HighConfidencePhishQuarantineTag) | AdminOnlyAccessPolicy | AdminOnlyAccessPolicy | AdminOnlyAccessPolicy | |
一括準拠レベル (BCL) が満たされたか超えている (BulkSpamAction) |
迷惑メール Email フォルダーにメッセージを移動する (MoveToJmf ) |
迷惑メール Email フォルダーにメッセージを移動する (MoveToJmf ) |
検疫メッセージ (Quarantine ) |
|
一括準拠レベル (BCL) の検疫ポリシーが満たされたか超えました (BulkQuarantineTag) | DefaultFullAccessPolicy¹ | DefaultFullAccessPolicy | DefaultFullAccessWithNotificationPolicy | 検疫ポリシーは、一括検出が検疫されている場合にのみ意味があります。 |
アクションを実行する組織内メッセージ (IntraOrgFilterState) | 既定値 (既定値) | 既定値 (既定値) | 既定値 (既定値) | 既定値は、信頼度の高いフィッシング メッセージを選択する場合と同じです。 現在、米国政府機関 (Microsoft 365 GCC、GCC High、DoD) では、 既定値 は [なし] を選択した場合と同じです。 |
この数日間スパムを検疫に保持 する (QuarantineRetentionPeriod) | 15 日 | 30 日間 | 30 日間 | この値は、フィッシング対策ポリシーによって検疫されるメッセージにも影響します。 詳細については、「 検疫の保持」を参照してください。 |
スパムの安全性に関するヒントを有効にする (InlineSafetyTipsEnabled) | 選択済み ($true ) |
選択済み ($true ) |
選択済み ($true ) |
|
フィッシング メッセージに対して 0 時間の自動消去 (ZAP) を有効にする (PhishZapEnabled) | 選択済み ($true ) |
選択済み ($true ) |
選択済み ($true ) |
|
スパム メッセージに対して ZAP を有効にする (SpamZapEnabled) | 選択済み ($true ) |
選択済み ($true ) |
選択済み ($true ) |
|
ブロック リスト & 許可する | ||||
許可される送信者 (AllowedSenders) | なし | なし | なし | |
許可される送信者ドメイン (AllowedSenderDomains) | なし | なし | なし | 許可されたドメインの一覧にドメインを追加することは非常に悪い考えです。 攻撃者は、除外される電子メールを送信できます。 スプーフィング インテリジェンスの分析情報とテナント許可/ブロック リストを使用して、organizationのメール ドメイン内の送信者の電子メール アドレスをスプーフィングしているすべての送信者を確認したり、外部ドメインの送信者のメール アドレスをスプーフィングしたりします。 |
ブロックされた送信者 (BlockedSenders) | なし | なし | なし | |
ブロックされた送信者ドメイン (BlockedSenderDomains) | なし | なし | なし |
¹ フル アクセス許可と検疫通知で説明されているように、organizationでは、既定のセキュリティ ポリシーまたは作成した新しいカスタム セキュリティ ポリシーで DefaultFullAccessPolicy ではなく NotificationEnabledPolicy を使用する場合があります。 これら 2 つの検疫ポリシーの唯一の違いは、検疫通知が、NotificationEnabledPolicy ではオンになり、DefaultFullAccessPolicy ではオフになっている点です。
スパム対策ポリシーの ASF 設定
スパム対策ポリシーの高度なスパム フィルター (ASF) 設定の詳細については、「 EOP の高度なスパム フィルター (ASF) 設定」を参照してください。
セキュリティ機能名 | 既定値 | 推奨 標準 |
推奨 Strict |
コメント |
---|---|---|---|---|
リモート サイトへのイメージ リンク (IncreaseScoreWithImageLinks) | Off | Off | Off | |
URL の数値 IP アドレス (IncreaseScoreWithNumericIps) | Off | Off | Off | |
他のポートへの URL リダイレクト (IncreaseScoreWithRedirectToOtherPort) | Off | Off | Off | |
.biz または .info Web サイトへのリンク (IncreaseScoreWithBizOrInfoUrls) | Off | Off | Off | |
空のメッセージ (MarkAsSpamEmptyMessages) | Off | Off | Off | |
HTML にタグを埋め込む (MarkAsSpamEmbedTagsInHtml) | Off | Off | Off | |
HTML の JavaScript または VBScript (MarkAsSpamJavaScriptInHtml) | Off | Off | Off | |
HTML のフォーム タグ (MarkAsSpamFormTagsInHtml) | Off | Off | Off | |
HTML のフレームタグまたは iframe タグ (MarkAsSpamFramesInHtml) | Off | Off | Off | |
HTML の Web バグ (MarkAsSpamWebBugsInHtml) | Off | Off | Off | |
HTML のオブジェクト タグ (MarkAsSpamObjectTagsInHtml) | Off | Off | Off | |
機密性の高い単語 (MarkAsSpamSensitiveWordList) | Off | Off | Off | |
SPF レコード: ハード 失敗 (MarkAsSpamSpfRecordHardFail) | Off | Off | Off | |
送信者 ID フィルター処理のハード失敗 (MarkAsSpamFromAddressAuthFail) | Off | Off | Off | |
Backscatter (MarkAsSpamNdrBackscatter) | Off | Off | Off | |
テスト モード (TestModeAction) | なし | なし | なし | アクションとして テスト をサポートする ASF 設定の場合、テスト モード アクションを [なし]、[ 既定の X ヘッダー テキストの追加]、または [ Send Bcc message (None 、 AddXHeader 、または BccMessage )] に構成できます。 詳細については、「 ASF 設定を有効、無効、またはテストする」を参照してください。 |
注:
ASF は、メッセージが Exchange メール フロー ルール (トランスポート ルールとも呼ばれます) によって処理された後、X-CustomSpam:
X ヘッダー フィールドをメッセージに追加します。そのため、メール フロー ルールを使用して、ASF によってフィルター処理されたメッセージを識別して処理することはできません。
EOP 送信スパム ポリシー設定
送信スパム ポリシーを作成して構成するには、「 EOP で送信スパム フィルター処理を構成する」を参照してください。
サービスの既定の送信制限の詳細については、「 送信制限」を参照してください。
注:
送信スパム ポリシーは、Standard または Strict の事前設定されたセキュリティ ポリシーの一部ではありません。 [標準] と [厳密] の値は、作成した既定の送信スパム ポリシーまたはカスタム送信スパム ポリシーで推奨される値を示します。
セキュリティ機能名 | 既定値 | 推奨 標準 |
推奨 Strict |
コメント |
---|---|---|---|---|
外部メッセージ制限を設定する (RecipientLimitExternalPerHour) | 0 | 500 | 400 | 既定値 0 は、サービスの既定値を使用します。 |
内部メッセージ制限を設定する (RecipientLimitInternalPerHour) | 0 | 1000 | 800 | 既定値 0 は、サービスの既定値を使用します。 |
毎日のメッセージ制限を設定 する (RecipientLimitPerDay) | 0 | 1000 | 800 | 既定値 0 は、サービスの既定値を使用します。 |
メッセージ制限に達したユーザーに対する制限 (ActionWhenThresholdReached) |
ユーザーが次の日までメールを送信できないように制限する (BlockUserForToday ) |
ユーザーがメールを送信できないように制限 する (BlockUser ) |
ユーザーがメールを送信できないように制限 する (BlockUser ) |
|
自動転送規則 (AutoForwardingMode) |
自動 - システム制御 (Automatic ) |
自動 - システム制御 (Automatic ) |
自動 - システム制御 (Automatic ) |
|
これらの制限を超える送信メッセージのコピーをこれらのユーザーとグループに送信 する (BccSuspiciousOutboundMail と BccSuspiciousOutboundAdditionalRecipients) | [未選択] ($false と空白) |
[未選択] ($false と空白) |
[未選択] ($false と空白) |
この設定に関する具体的な推奨事項はありません。 この設定は、既定の送信スパム ポリシーでのみ機能します。 作成したカスタムの送信スパム ポリシーでは機能しません。 |
送信スパムの送信が原因で送信者がブロックされている場合は、これらのユーザーとグループに通知 します (NotifyOutboundSpam と NotifyOutboundSpamRecipients) | [未選択] ($false と空白) |
[未選択] ($false と空白) |
[未選択] ($false と空白) |
[メールの送信を制限されたユーザー] という名前の既定のアラート ポリシーは、ポリシーの制限を超えたためにユーザーがブロックされたときに、TenantAdmins グループ (グローバル管理者メンバー) のメンバーに既に電子メール通知を送信します。 管理者やその他のユーザーに通知するには、送信スパム ポリシーのこの設定ではなく、アラート ポリシーを使用することを強くお勧めします。 手順については、「 制限付きユーザーのアラート設定を確認する」を参照してください。 |
EOP フィッシング対策ポリシー設定
これらの設定の詳細については、「 スプーフィング設定」を参照してください。 これらの設定を構成するには、「 EOP でフィッシング対策ポリシーを構成する」を参照してください。
スプーフィング設定は相互に関連していますが、[ 最初の連絡先の安全ヒントを表示 する] 設定には、スプーフィング設定に依存しません。
検疫ポリシーは、検疫されたメッセージに対してユーザーが実行できる操作と、ユーザーが検疫通知を受け取るかどうかを定義します。 詳細については、「 検疫ポリシーの構造」を参照してください。
Defender ポータルでフィッシング対策ポリシーを作成すると、[ 検疫ポリシーの適用 ] の値は選択されていませんが、検疫ポリシーを選択しない場合は DefaultFullAccessPolicy¹ という名前の検疫ポリシーが使用されます。 このポリシーでは、 次の表に示すように、スプーフィングとして検疫されたメッセージの履歴機能が適用されます。 検疫ポリシー設定を後で表示または編集すると、検疫ポリシー名が表示されます。
管理者は、制限の厳しい機能または制限の少ない機能を持つ検疫ポリシーを作成または使用できます。 手順については、「Microsoft Defender ポータルで検疫ポリシーを作成する」を参照してください。
セキュリティ機能名 | 既定値 | Standard | Strict | コメント |
---|---|---|---|---|
フィッシングのしきい値 & 保護 | ||||
スプーフィング インテリジェンスを有効にする (EnableSpoofIntelligence) | 選択済み ($true ) |
選択済み ($true ) |
選択済み ($true ) |
|
アクション | ||||
メッセージがスプーフィングとして検出されたときに DMARC レコード ポリシー を適用する (HonorDmarcPolicy) | 選択済み ($true ) |
選択済み ($true ) |
選択済み ($true ) |
この設定をオンにすると、DMARC TXT レコードのポリシー アクションが p=quarantine または p=reject に設定されている場合に、送信者が明示的な DMARC チェックに失敗するメッセージの動作を制御します。 詳細については、「 なりすまし保護と送信者 DMARC ポリシー」を参照してください。 |
メッセージがなりすましとして検出され、DMARC ポリシーが p=quarantine (DmarcQuarantineAction) として設定されている場合 |
メッセージを検疫する (Quarantine ) |
メッセージを検疫する (Quarantine ) |
メッセージを検疫する (Quarantine ) |
このアクションは、 スプーフィングがオンになっているときにメッセージが検出されたときに DMARC レコード ポリシーを 受け入れる場合にのみ意味があります。 |
メッセージがスプーフィングとして検出され、DMARC ポリシーが p=reject (DmarcRejectAction) として設定されている場合 |
メッセージを拒否する (Reject ) |
メッセージを拒否する (Reject ) |
メッセージを拒否する (Reject ) |
このアクションは、 スプーフィングがオンになっているときにメッセージが検出されたときに DMARC レコード ポリシーを 受け入れる場合にのみ意味があります。 |
スプーフィング インテリジェンスによってメッセージがスプーフィングとして検出された場合 (AuthenticationFailAction) |
受信者の迷惑メール Email フォルダーにメッセージを移動する (MoveToJmf ) |
受信者の迷惑メール Email フォルダーにメッセージを移動する (MoveToJmf ) |
メッセージを検疫する (Quarantine ) |
この設定は、 スプーフィング インテリジェンスの分析情報 に示すように自動的にブロックされた、または テナント許可/ブロック リストで手動でブロックされたスプーフィングされた送信者に適用されます。 スプーフィング判定のアクションとして [メッセージの検疫 ] を選択した場合は、[ 検疫ポリシーの適用 ] ボックスを使用できます。 |
スプーフィングの検疫ポリシー (SpoofQuarantineTag) | DefaultFullAccessPolicy¹ | DefaultFullAccessPolicy | DefaultFullAccessWithNotificationPolicy | 検疫ポリシーは、なりすまし検出が検疫されている場合にのみ意味があります。 |
最初の接触安全ヒントを表示 する (EnableFirstContactSafetyTips) | [未選択] ($false ) |
選択済み ($true ) |
選択済み ($true ) |
詳細については、「最初の連絡先安全性のヒント」を参照してください。 |
認証されていない送信者のスプーフィングの表示 (?) (EnableUnauthenticatedSender) | 選択済み ($true ) |
選択済み ($true ) |
選択済み ($true ) |
未確認のなりすまし送信者に対して、Outlook の送信者の写真に疑問符 (?) を追加します。 詳細については、「 認証されていない送信者インジケーター」を参照してください。 |
"via" タグを表示 する (EnableViaTag) | 選択済み ($true ) |
選択済み ($true ) |
選択済み ($true ) |
DKIM 署名または MAIL FROM アドレスのドメインと異なる場合は、Via タグ (fabrikam.com 経由でchris@contoso.com) を From アドレスに追加します。 詳細については、「 認証されていない送信者インジケーター」を参照してください。 |
¹ フル アクセス許可と検疫通知で説明されているように、organizationでは、既定のセキュリティ ポリシーまたは作成した新しいカスタム セキュリティ ポリシーで DefaultFullAccessPolicy ではなく NotificationEnabledPolicy を使用する場合があります。 これら 2 つの検疫ポリシーの唯一の違いは、検疫通知が、NotificationEnabledPolicy ではオンになり、DefaultFullAccessPolicy ではオフになっている点です。
セキュリティMicrosoft Defender for Office 365
追加のセキュリティ上の利点には、Microsoft Defender for Office 365 サブスクリプションが付属しています。 最新のニュースと情報については、Defender for Office 365の新機能に関するページを参照してください。
重要
Microsoft Defender for Office 365の既定のフィッシング対策ポリシーは、すべての受信者に対してスプーフィング保護とメールボックス インテリジェンスを提供します。 ただし、他の使用可能な 偽装保護機能 と 詳細設定 は、既定のポリシーでは構成または有効になっていません。 すべての保護機能を有効にするには、次のいずれかの方法を使用します。
- Standard または Strict の事前設定されたセキュリティ ポリシー を有効にして使用し、権限借用保護を構成します。
- 既定のフィッシング対策ポリシーを変更します。
- 追加のフィッシング対策ポリシーを作成します。
既定の安全な添付ファイル ポリシーまたは安全なリンク ポリシーはありませんが、 組み込みの保護 プリセット セキュリティ ポリシーは、標準の事前設定されたセキュリティ ポリシー、厳密な事前設定されたセキュリティ ポリシー、またはカスタムの安全な添付ファイルまたは安全なリンク ポリシーで定義されていないすべての受信者に安全な添付ファイル保護と安全なリンク保護を提供します。 詳しくは、「EOP と Microsoft Defender for Office 365 の事前設定されたセキュリティ ポリシー」を参照してください。
SharePoint、OneDrive、およびMicrosoft Teams保護と安全なドキュメント保護の安全な添付ファイルは、安全なリンク ポリシーに依存しません。
サブスクリプションにMicrosoft Defender for Office 365が含まれている場合、またはアドオンとしてDefender for Office 365を購入した場合は、次の Standard または Strict 構成を設定します。
Microsoft Defender for Office 365のフィッシング対策ポリシー設定
EOP のお客様は、前述のように基本的なフィッシング対策を行いますが、Defender for Office 365には、攻撃の防止、検出、修復に役立つより多くの機能と制御が含まれています。 これらのポリシーを作成して構成するには、「Defender for Office 365でフィッシング対策ポリシーを構成する」を参照してください。
Microsoft Defender for Office 365のフィッシング対策ポリシーの詳細設定
この設定の詳細については、「Microsoft Defender for Office 365のフィッシング対策ポリシーの高度なフィッシングしきい値」を参照してください。 この設定を構成するには、「Defender for Office 365でフィッシング対策ポリシーを構成する」を参照してください。
セキュリティ機能名 | 既定値 | Standard | Strict | コメント |
---|---|---|---|---|
フィッシングメールのしきい値 (PhishThresholdLevel) |
1 - 標準 (1 ) |
3 - より積極的な (3 ) |
4 - 最も積極的 (4 ) |
Microsoft Defender for Office 365のフィッシング対策ポリシーの偽装設定
これらの設定の詳細については、「Microsoft Defender for Office 365のフィッシング対策ポリシーの偽装設定」を参照してください。 これらの設定を構成するには、「Defender for Office 365でフィッシング対策ポリシーを構成する」を参照してください。
偽装判定のアクションとして [メッセージの検疫 ] を選択した場合は、[ 検疫ポリシーの適用 ] ボックスを使用できます。 検疫ポリシーは、検疫されたメッセージに対してユーザーが実行できる操作と、ユーザーが検疫通知を受け取るかどうかを定義します。 詳細については、「 検疫ポリシーの構造」を参照してください。
Defender ポータルでフィッシング対策ポリシーを作成すると、[ 検疫ポリシーの適用 ] の値は選択されていませんが、検疫ポリシーを選択しない場合は DefaultFullAccessPolicy という名前の検疫ポリシーが使用されます。 このポリシーでは、 次の表に示すように、偽装として検疫されたメッセージの履歴機能が適用されます。 検疫ポリシー設定を後で表示または編集すると、検疫ポリシー名が表示されます。
管理者は、制限の厳しい機能または制限の少ない機能を持つ検疫ポリシーを作成または使用できます。 手順については、「Microsoft Defender ポータルで検疫ポリシーを作成する」を参照してください。
セキュリティ機能名 | 既定値 | Standard | Strict | コメント |
---|---|---|---|---|
フィッシングのしきい値 & 保護 | ||||
ユーザー偽装保護: ユーザーの保護を有効にする (EnableTargetedUserProtection と TargetedUsersToProtect) | [未選択] ($false なし) |
選択済み (ユーザーの$true と <リスト>) |
選択済み (ユーザーの$true と <リスト>) |
キー ロールにユーザー (メッセージ送信者) を追加することをお勧めします。 内部的には、保護された送信者は、CEO、CFO、およびその他の上級リーダーである可能性があります。 外部的には、保護された送信者には、評議会メンバーまたは取締役会が含まれる可能性があります。 |
ドメイン偽装保護: ドメインの保護を有効にする | 未選択 | 選択済み | 選択済み | |
所有しているドメインを含める (EnableOrganizationDomainsProtection) | オフ ($false ) |
選択済み ($true ) |
選択済み ($true ) |
|
カスタム ドメインを含める (EnableTargetedDomainsProtection と TargetedDomainsToProtect) | オフ ($false なし) |
選択済み (ドメインの$true と <リスト>) |
選択済み (ドメインの$true と <リスト>) |
所有していないが、頻繁に操作するドメイン (送信者ドメイン) を追加することをお勧めします。 |
信頼できる送信者とドメインを追加する (ExcludedSenders と ExcludedDomains) | なし | なし | なし | organizationに応じて、偽装試行として誤って識別される送信者またはドメインを追加することをお勧めします。 |
メールボックス インテリジェンスを有効にする (EnableMailboxIntelligence) | 選択済み ($true ) |
選択済み ($true ) |
選択済み ($true ) |
|
偽装保護のインテリジェンスを有効にする (EnableMailboxIntelligenceProtection) | オフ ($false ) |
選択済み ($true ) |
選択済み ($true ) |
この設定では、メールボックス インテリジェンスによる偽装検出に対して指定されたアクションを許可します。 |
アクション | ||||
メッセージがユーザー偽装として検出された場合 (TargetedUserProtectionAction) |
アクションを適用しない (NoAction ) |
メッセージを検疫する (Quarantine ) |
メッセージを検疫する (Quarantine ) |
|
ユーザー偽装の検疫ポリシー (TargetedUserQuarantineTag) | DefaultFullAccessPolicy¹ | DefaultFullAccessWithNotificationPolicy | DefaultFullAccessWithNotificationPolicy | 検疫ポリシーは、ユーザー偽装の検出が検疫されている場合にのみ意味があります。 |
メッセージがドメイン偽装として検出された場合 (TargetedDomainProtectionAction) |
アクションを適用しない (NoAction ) |
メッセージを検疫する (Quarantine ) |
メッセージを検疫する (Quarantine ) |
|
ドメイン偽装の検疫ポリシー (TargetedDomainQuarantineTag) | DefaultFullAccessPolicy¹ | DefaultFullAccessWithNotificationPolicy | DefaultFullAccessWithNotificationPolicy | 検疫ポリシーは、ドメイン偽装検出が検疫されている場合にのみ意味があります。 |
メールボックス インテリジェンスが偽装ユーザーを検出した場合 (MailboxIntelligenceProtectionAction) |
アクションを適用しない (NoAction ) |
受信者の迷惑メール Email フォルダーにメッセージを移動する (MoveToJmf ) |
メッセージを検疫する (Quarantine ) |
|
メールボックス インテリジェンス偽装の検疫ポリシー (MailboxIntelligenceQuarantineTag) | DefaultFullAccessPolicy¹ | DefaultFullAccessPolicy | DefaultFullAccessWithNotificationPolicy | 検疫ポリシーは、メールボックス インテリジェンスの検出が検疫されている場合にのみ意味があります。 |
ユーザー偽装の安全ヒントを表示 する (EnableSimilarUsersSafetyTips) | オフ ($false ) |
選択済み ($true ) |
選択済み ($true ) |
|
ドメイン偽装の安全性ヒントを表示 する (EnableSimilarDomainsSafetyTips) | オフ ($false ) |
選択済み ($true ) |
選択済み ($true ) |
|
ユーザー偽装の異常な文字の安全ヒントを表示 する (EnableUnusualCharactersSafetyTips) | オフ ($false ) |
選択済み ($true ) |
選択済み ($true ) |
¹ フル アクセス許可と検疫通知で説明されているように、organizationでは、既定のセキュリティ ポリシーまたは作成した新しいカスタム セキュリティ ポリシーで DefaultFullAccessPolicy ではなく NotificationEnabledPolicy を使用する場合があります。 これら 2 つの検疫ポリシーの唯一の違いは、検疫通知が、NotificationEnabledPolicy ではオンになり、DefaultFullAccessPolicy ではオフになっている点です。
Microsoft Defender for Office 365の EOP フィッシング対策ポリシー設定
これらは、 EOP のスパム対策ポリシー設定で使用できる設定と同じです。
安全な添付ファイルの設定
Microsoft Defender for Office 365の安全な添付ファイルには、安全な添付ファイル ポリシーとは関係のないグローバル設定と、各安全なリンク ポリシーに固有の設定が含まれています。 詳細については、「Defender for Office 365の安全な添付ファイル」を参照してください。
既定の安全な添付ファイル ポリシーはありませんが、 組み込みの保護 プリセット セキュリティ ポリシーは、標準または厳密な事前設定されたセキュリティ ポリシーまたはカスタムの安全な添付ファイル ポリシーで定義されていないすべての受信者に安全な添付ファイル保護を提供します。 詳しくは、「EOP と Microsoft Defender for Office 365 の事前設定されたセキュリティ ポリシー」を参照してください。
安全な添付ファイルのグローバル設定
注:
安全な添付ファイルのグローバル設定は 、組み込みの保護 プリセット セキュリティ ポリシーによって設定されますが、 Standard または Strict の事前設定されたセキュリティ ポリシーでは設定されません。 いずれの方法でも、管理者は、これらのグローバルな安全な添付ファイル設定をいつでも変更できます。
[既定値] 列には、組み込みの保護プリセット セキュリティ ポリシーが存在する前の値が表示されます。 [組み込みの保護] 列には、組み込みの保護プリセット セキュリティ ポリシーによって設定された値が表示されます。これも推奨値です。
これらの設定を構成するには、「Microsoft 365 E5で SharePoint、OneDrive、Microsoft Teamsおよび安全なドキュメントの安全な添付ファイルを有効にする」を参照してください。
PowerShell では、これらの設定に Set-AtpPolicyForO365 コマンドレットを使用します。
セキュリティ機能名 | 既定値 | 組み込みの保護 | コメント |
---|---|---|---|
SharePoint、OneDrive、Microsoft TeamsのDefender for Office 365を有効にする (EnableATPForSPOTeamsODB) | オフ ($false ) |
オン ($true ) |
ユーザーが悪意のあるファイルをダウンロードできないようにするには、「 SharePoint Online PowerShell を使用してユーザーが悪意のあるファイルをダウンロードできないようにする」を参照してください。 |
Office クライアントの安全なドキュメントを有効にする (EnableSafeDocs) | オフ ($false ) |
オン ($true ) |
この機能は、Defender for Office 365に含まれていないライセンス (Microsoft 365 A5やMicrosoft 365 E5 Securityなど) でのみ使用でき、意味があります。 詳細については、「Microsoft 365 A5 または E5 セキュリティの安全なドキュメント」を参照してください。 |
安全なドキュメントがファイルを悪意のあるものとして識別した場合でも、保護されたビューをクリックできるようにします (AllowSafeDocsOpen) | オフ ($false ) |
オフ ($false ) |
この設定は、安全なドキュメントに関連しています。 |
安全な添付ファイル ポリシー設定
これらの設定を構成するには、「Defender for Office 365で安全な添付ファイル ポリシーを設定する」を参照してください。
PowerShell では、これらの設定に New-SafeAttachmentPolicy コマンドレットと Set-SafeAttachmentPolicy コマンドレットを使用します。
注:
前述のように、既定の安全な添付ファイルポリシーはありませんが、 組み込みの保護 プリセット セキュリティ ポリシーは、標準の事前設定されたセキュリティ ポリシー、厳密な事前設定されたセキュリティ ポリシー、またはカスタムの安全な添付ファイル ポリシーで定義されていないすべての受信者に安全な添付ファイル保護を提供します。
カスタム列の既定値は、作成した新しい安全な添付ファイル ポリシーの既定値を参照します。 残りの列は、対応する事前設定されたセキュリティ ポリシーで構成されている値 (特に記載がない限り) を示します。
検疫ポリシーは、検疫されたメッセージに対してユーザーが実行できる操作と、ユーザーが検疫通知を受け取るかどうかを定義します。 詳細については、「 検疫ポリシーの構造」を参照してください。
AdminOnlyAccessPolicy という名前のポリシーでは、 次の表に示すように、マルウェアとして検疫されたメッセージの履歴機能が適用されます。
検疫ポリシーの構成方法に関係なく、安全な添付ファイルによってマルウェアとして検疫された独自のメッセージをユーザーが解放することはできません。 ポリシーでユーザーが独自の検疫済みメッセージを解放できる場合、ユーザーは代わりに検疫されたマルウェア メッセージのリリースを 要求 できます。
セキュリティ機能名 | カスタムの既定値 | 組み込みの保護 | Standard | Strict | コメント |
---|---|---|---|---|---|
安全な添付ファイルの不明なマルウェアの応答 (有効化 と アクション) |
オフ (-Enable $false と -Action Block ) |
ブロック (-Enable $true と -Action Block ) |
ブロック (-Enable $true と -Action Block ) |
ブロック (-Enable $true と -Action Block ) |
Enable パラメーターが$falseされている場合、Action パラメーターの値は関係ありません。 |
検疫ポリシー (QuarantineTag) | AdminOnlyAccessPolicy | AdminOnlyAccessPolicy | AdminOnlyAccessPolicy | AdminOnlyAccessPolicy | |
検出された添付ファイルを含む添付ファイルをリダイレクトする : リダイレクトを有効にする (Redirect と RedirectAddress) | 選択されておらず、電子メール アドレスが指定されていません。 (-Redirect $false と RedirectAddress が空白) |
選択されておらず、電子メール アドレスが指定されていません。 (-Redirect $false と RedirectAddress が空白) |
選択されておらず、電子メール アドレスが指定されていません。 (-Redirect $false と RedirectAddress が空白) |
選択されておらず、電子メール アドレスが指定されていません。 (-Redirect $false と RedirectAddress が空白) |
メッセージのリダイレクトは、 安全な添付ファイルの不明なマルウェア応答 の値が Monitor (-Enable $true および -Action Allow ) である場合にのみ使用できます。 |
セーフ リンク ポリシーの設定
安全なリンク保護の詳細については、「Defender for Office 365の安全なリンク」を参照してください。
既定の安全なリンク ポリシーはありませんが、 組み込みの保護 プリセット セキュリティ ポリシーは、標準の事前設定されたセキュリティ ポリシー、厳密な事前設定されたセキュリティ ポリシー、またはカスタムの安全なリンク ポリシーで定義されていないすべての受信者に安全なリンク保護を提供します。 詳しくは、「EOP と Microsoft Defender for Office 365 の事前設定されたセキュリティ ポリシー」を参照してください。
安全なリンクポリシー設定を構成するには、「Microsoft Defender for Office 365で安全なリンク ポリシーを設定する」を参照してください。
PowerShell では、 安全なリンク ポリシー設定に New-SafeLinksPolicy コマンドレットと Set-SafeLinksPolicy コマンドレットを使用します。
注:
カスタム列の既定値は、作成する新しい安全なリンク ポリシーの既定値を参照します。 残りの列は、対応する事前設定されたセキュリティ ポリシーで構成されている値 (特に記載がない限り) を示します。
セキュリティ機能名 | カスタムの既定値 | 組み込みの保護 | Standard | Strict | コメント |
---|---|---|---|---|---|
URL & クリック保護設定 | |||||
電子メール | このセクションの設定は、URL の書き換えと電子メール メッセージのクリック保護の時間に影響します。 | ||||
オン: 安全なリンクは、ユーザーがメール内のリンクをクリックしたときに、既知の悪意のあるリンクのリストを確認します URL は既定で書き換えられます。 (EnableSafeLinksForEmail) | 選択済み ($true ) |
選択済み ($true ) |
選択済み ($true ) |
選択済み ($true ) |
|
organization内で送信された電子メール メッセージに安全なリンクを適用する (EnableForInternalSenders) | 選択済み ($true ) |
[未選択] ($false ) |
選択済み ($true ) |
選択済み ($true ) |
|
ファイルを指す疑わしいリンクとリンクのリアルタイム URL スキャンを適用する (ScanUrls) | 選択済み ($true ) |
選択済み ($true ) |
選択済み ($true ) |
選択済み ($true ) |
|
メッセージを配信する前に URL スキャンが完了するまで待機 します (DeliverMessageAfterScan) | 選択済み ($true ) |
選択済み ($true ) |
選択済み ($true ) |
選択済み ($true ) |
|
URL を書き換えない、安全なリンク API のみを使用してチェックを行う (DisableURLRewrite) | 選択済み ($false )* |
選択済み ($true ) |
[未選択] ($false ) |
[未選択] ($false ) |
* Defender ポータルで作成した新しい安全なリンク ポリシーでは、この設定が既定で選択されています。 PowerShell で作成する新しい安全なリンク ポリシーでは、 DisableURLRewrite パラメーターの既定値が $false 。 |
メールで次の URL を書き換えないでください (DoNotRewriteUrls) | 空白 | 空白 | 空白 | 空白 | この設定に関する具体的な推奨事項はありません。 注: [次の URL を書き換えない] リストのエントリは、メール フロー中に安全なリンクによってスキャンまたはラップされません。 URL がクリーンであることを確認したら、URL を報告し、[この URL を許可する] を選択して、許可エントリをテナント許可/ブロック リストに追加して、メール フロー中やクリック時に安全なリンクによって URL がスキャンまたはラップされないようにします。 手順については、「 Microsoft に適切な URL を報告する」を参照してください。 |
Teams | このセクションの設定は、Microsoft Teamsでのクリック保護の時間に影響します。 | ||||
オン: 安全なリンクは、ユーザーがMicrosoft Teams内のリンクをクリックしたときに、既知の悪意のあるリンクの一覧を確認します。 URL は書き換えされません。 (EnableSafeLinksForTeams) | 選択済み ($true ) |
選択済み ($true ) |
選択済み ($true ) |
選択済み ($true ) |
|
Office 365 アプリ | このセクションの設定は、Office アプリでのクリック保護の時間に影響します。 | ||||
オン: 安全なリンクは、ユーザーが Microsoft Office アプリのリンクをクリックしたときに、既知の悪意のあるリンクの一覧を確認します。 URL は書き換えされません。 (EnableSafeLinksForOffice) | 選択済み ($true ) |
選択済み ($true ) |
選択済み ($true ) |
選択済み ($true ) |
サポートされているOffice 365デスクトップおよびモバイル (iOS および Android) アプリで安全なリンクを使用します。 詳細については、「 Office アプリの安全なリンク設定」を参照してください。 |
クリック保護設定 | |||||
ユーザーのクリックを追跡する (TrackClicks) | 選択済み ($true ) |
選択済み ($true ) |
選択済み ($true ) |
選択済み ($true ) |
|
ユーザーが元の URL をクリックできるようにする (AllowClickThrough) | 選択済み ($false )* |
選択済み ($true ) |
[未選択] ($false ) |
[未選択] ($false ) |
* Defender ポータルで作成した新しい安全なリンク ポリシーでは、この設定が既定で選択されています。 PowerShell で作成した新しい安全なリンク ポリシーでは、 AllowClickThrough パラメーターの既定値が $false されます。 |
通知ページと警告ページにorganizationブランド化を表示する (EnableOrganizationBranding) | [未選択] ($false ) |
[未選択] ($false ) |
[未選択] ($false ) |
[未選択] ($false ) |
この設定に関する具体的な推奨事項はありません。 この設定を有効にする前に、「organizationの Microsoft 365 テーマをカスタマイズする」の手順に従って会社のロゴをアップロードする必要があります。 |
通知 | |||||
ユーザーに通知する方法 (CustomNotificationText と UseTranslatedNotificationText) |
既定の通知テキストを使用 する (空白と $false ) |
既定の通知テキストを使用 する (空白と $false ) |
既定の通知テキストを使用 する (空白と $false ) |
既定の通知テキストを使用 する (空白と $false ) |
この設定に関する具体的な推奨事項はありません。 [ カスタム通知テキストを使用する ( -CustomNotificationText "<Custom text>" )] を選択して、カスタマイズされた通知テキストを入力して使用できます。 カスタム テキストを指定する場合は、[ 自動ローカライズに Microsoft Translator を使用 する (-UseTranslatedNotificationText $true )] を選択して、テキストをユーザーの言語に自動的に翻訳することもできます。 |
関連記事
Exchange メール フロー ルール (トランスポート ルールとも呼ばれます) のベスト プラクティスをお探しですか? Exchange Onlineでメール フロー ルールを構成するためのベスト プラクティスに関するページを参照してください。
管理者とユーザーは、分析のために、誤検知 (不適切とマークされた良好なメール) と誤検知 (不適切なメール許可) を Microsoft に送信できます。 詳細については、「メッセージとファイルを Microsoft に報告する」を参照してください。
Windows のセキュリティ ベースラインについては、次のページを参照してください。GPO/オンプレミス オプションのセキュリティ ベースラインはどこで入手できますか。セキュリティ ベースラインを使用して、Intune ベースのセキュリティをIntuneで Windows デバイスを構成します。 最後に、Microsoft Defender for EndpointとMicrosoft Intuneのセキュリティ ベースラインの比較は、「Microsoft Defender for Endpointと Windows Intuneセキュリティ ベースラインの比較」で確認できます。