Microsoft Defender for Office 365 で安全なリンク ポリシーを設定する

ヒント

Microsoft Defender for Office 365プラン2の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 「Microsoft Defender for Office 365を試す」で、誰がサインアップして試用版の条件を利用できるかについて説明します。

重要

この記事は、Microsoft Defender for Office 365 をご利用の法人のお客様を対象としています。 Outlook で Safelinks に関する情報を探しているホーム ユーザーの場合は、「 高度な Outlook.com セキュリティ」を参照してください。

Microsoft Defender for Office 365を持つ組織では、安全なリンクは、メッセージ、Microsoft Teams、サポートされているOffice 365 アプリ内のリンクの URL スキャンを提供します。 詳細については、「Microsoft Defender for Office 365の安全なリンク」を参照してください。

既定の安全なリンク ポリシーはありませんが、 組み込みの保護 プリセットセキュリティ ポリシーでは、既定ですべての受信者に安全なリンク保護が提供されます。 Standardまたは厳密な事前設定されたセキュリティ ポリシーまたはカスタムの安全なリンク ポリシーで指定された受信者は影響を受けません。 詳しくは、「EOP と Microsoft Defender for Office 365 の事前設定されたセキュリティ ポリシー」を参照してください。

細分性を高めるために、この記事の手順を使用して、特定のユーザー、グループ、またはドメインに適用される安全なリンク ポリシーを作成することもできます。

ヒント

カスタムの安全なリンク ポリシーを作成および管理する代わりに、通常、すべてのユーザーをオンにして、Standardまたは厳密な事前設定されたセキュリティ ポリシーに追加することをお勧めします。 詳細については、「 保護ポリシーの構成」を参照してください。

Microsoft Defender for Office 365での脅威保護のしくみについては、「Microsoft Defender for Office 365での脅威保護のステップ バイ ステップ」を参照してください。

安全なリンク ポリシーは、Microsoft Defender ポータルまたは PowerShell Exchange Onlineで構成します。

はじめに把握しておくべき情報

• 「https://security.microsoft.com」で Microsoft Defender ポータルを開きます。 [安全なリンク] ページに直接移動するには、https://security.microsoft.com/safelinksv2を使用します。

• Exchange Online PowerShell へ接続するには、「Exchange Online PowerShell に接続する」を参照してください。

• この記事の手順を実行する前に、アクセス許可を割り当てる必要があります。 以下のオプションがあります。

  • Microsoft Defender XDR統合ロールベースのアクセス制御 (RBAC) (コラボレーションがEmail &場合>Defender for Office 365アクセス許可はアクティブです。Defender ポータルにのみ影響します。PowerShell ではなく、承認と設定/セキュリティ設定/コア セキュリティ設定 (管理) または承認と設定/セキュリティ設定/コア セキュリティ設定 (読み取り))。

  • Microsoft Defender ポータルでコラボレーションのアクセス許可とExchange Onlineアクセス許可をEmail &します。

    • ポリシーの作成、変更、削除: コラボレーション RBAC の組織の管理ロール グループまたはセキュリティ管理者ロール グループのメンバーシップと、Email & RBAC の Organization Management ロール グループのメンバーシップExchange Onlineします。
    • ポリシーへの読み取り専用アクセス: 次のいずれかのロール グループのメンバーシップ。
      • コラボレーション RBAC のグローバル リーダーまたはセキュリティ リーダー Email &。
      • EXCHANGE ONLINE RBAC の表示専用組織管理。

  • Microsoft Entraアクセス許可: グローバル管理者^*、セキュリティ管理者、グローバル 閲覧者、またはセキュリティ 閲覧者ロールのメンバーシップは、ユーザーに Microsoft 365 の他の機能に必要なアクセス許可とアクセス許可をユーザーに付与します。

    重要

    ^* Microsoft では、アクセス許可が最も少ないロールを使用することをお勧めします。 アクセス許可の低いアカウントを使用すると、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急時に限定する必要があります。

• 安全なリンク ポリシーの推奨設定については、「 安全なリンクのポリシー設定」を参照してください。

  ヒント

  受信者がStandardまたは厳密な事前設定されたセキュリティ ポリシーに含まれている場合、安全なリンクの組み込み保護の例外やカスタムの安全なリンク ポリシーの例外は、優先順位のために適用されません (事前設定されたセキュリティ ポリシーは常に最初に適用されます)。 詳細については、「メール保護の順序と優先順位」を参照してください。

• 新しいポリシーまたは更新されたポリシーを適用するには、最大 6 時間を許可します。

• ライセンス要件の詳細については、「 ライセンス条項」を参照してください。

Microsoft Defender ポータルを使用して安全なリンク ポリシーを作成する

1. https://security.microsoft.comのMicrosoft Defender ポータルで、[ポリシー] セクションの Email & [コラボレーション>ポリシー & ルール>>セーフ リンク] に移動します。 または、[ 安全なリンク ] ページに直接移動するには、 https://security.microsoft.com/safelinksv2を使用します。

2. [ 安全なリンク ] ページで、[ 作成 ] を選択して、新しい安全なリンク ポリシー ウィザードを開始します。

3. ［ポリシーの名前を設定する］ ページで、以下の設定を構成します。

   • [名前]: わかりやすい一意のポリシー名を入力します。
   • [説明]: ポリシーについての説明を入力します (オプション)。

   [ ポリシーに名前 を付けます] ページが完了したら、[ 次へ] を選択します。

4. [ ユーザーとドメイン ] ページで、ポリシーが適用される内部受信者 (受信者の条件) を特定します。

   • ユーザー: 指定されたメールボックス、メール ユーザー、またはメール連絡先。
   • グループ:
     • 指定した配布グループのメンバー (配布グループ内のメールが有効でないセキュリティ グループを含む) またはメールが有効なセキュリティ グループ (動的配布グループはサポートされていません)。
     • 指定した Microsoft 365 グループ。
   • ドメイン: 指定された承認済みドメイン内のプライマリ メール アドレスを持つorganization内のすべての受信者。

   ヒント

   [ ユーザー]、[ グループ]、[ ドメイン] を 空白のままにして、すべての受信者に適用されるポリシーを作成します。

   サブドメインは、特に除外しない限り、自動的に含まれます。 たとえば、contoso.com を含むポリシーには、marketing.contoso.com を除外しない限り、marketing.contoso.com も含まれます。

   適正なボックスをクリックし、値の入力を開始し、結果で希望する値を選択します。 必要な回数だけこの処理を繰り返します。 既存の値を削除するには、値の横にある [ ] を選択します。

   ユーザーやグループには、ほとんどの識別子 (名前、表示名、エイリアス、メールアドレス、アカウント名など) を使用できますが、対応する表示名が結果に表示されます。 ユーザーの場合、アスタリスク (*) を単独で入力すると、使用可能なすべての値が表示されます。

   条件は 1 回だけ使用できますが、条件には複数の値を含めることができます。

   • 同じ条件の複数の値が OR ロジック (たとえば、<recipient1> または <recipient2>) を使用します。 受信者が指定した値 のいずれかに 一致する場合、ポリシーが適用されます。

   • さまざまな 種類の条件で AND ロジックが使用されます。 受信者は、ポリシーを適用するために、指定 されたすべての 条件に一致する必要があります。 たとえば、次の値を使用して条件を構成します。

     • ユーザー： romain@contoso.com
     • グループ: エグゼクティブ

     ポリシーは、romain@contoso.comエグゼクティブ グループのメンバーでもある場合に適用されます。 それ以外の場合、ポリシーは適用されません。

   • これらのユーザー、グループ、およびドメインを除外する: ポリシーが適用される内部の受信者に関する例外 (受信者の例外) を追加するには、このオプションを選択して例外を構成します。 設定と動作は、条件とまったく同じです。

     例外は 1 回だけ使用できますが、例外には複数の値を含めることができます。

     • 同じ例外の複数の値は、OR ロジック (たとえば、<recipient1> または <recipient2>) を使用します。 受信者が指定した値 のいずれかに 一致する場合、ポリシーは適用されません。
     • 異なる種類の例外では、OR ロジック (たとえば、<recipient1>または group1 の<メンバー> domain1 の<メンバー) が使用されます>。 受信者が指定した例外値 のいずれかに 一致する場合、ポリシーは適用されません。

     ヒント

     organizationのすべてのユーザーにDefender for Office 365ライセンスがない場合は、ユーザーまたはグループの例外を使用して、安全なリンク保護の対象ではないユーザーを除外できます。

   [ ユーザーとドメイン ] ページが完了したら、[ 次へ] を選択します。

5. [ URL] & [保護設定] ページで、次の設定を構成します。

   • Emailセクション:

     • オン: 安全なリンクは、ユーザーがメール内のリンクをクリックしたときに、既知の悪意のあるリンクのリストを確認します URL は既定で書き換えられます: 電子メール メッセージ内のリンク (URL の書き換えとクリック保護の時間) に対して安全なリンク保護を有効にするには、このオプションを選択します。 このオプションを選択すると、次の設定を使用できます。

       • organization内で送信されたメール メッセージに安全なリンクを適用する: 内部送信者と内部受信者の間のメッセージに安全なリンク ポリシーを適用するには、このオプションを選択します。 この設定をオンにすると、organization内のすべてのメッセージのリンク ラッピングが有効になります。
       • 不審なリンクとファイルを指すリンクに対してリアルタイム URL スキャンを適用する: 外部送信者からの電子メール メッセージ内のリンクをリアルタイムでスキャンするには、このオプションを選択します。 このオプションを選択すると、次の設定を使用できます。
         • メッセージを配信する前に URL スキャンが完了するまで待機する: このオプションを選択すると、リアルタイムの URL スキャンが完了するまで待ってから、外部の送信者からメッセージが配信されます。 推奨される設定は [オン] です。
       • URL を書き換えないでください。SafeLinks API のみを使用してチェックを行う: URL の折り返しを防ぐが、メッセージ配信の前に URL のスキャンを続行するには、このオプションを選択します。 サポートされているバージョンの Outlook (Windows、Mac、Outlook on the web) では、安全なリンクは URL クリック時に API 経由でのみ呼び出されます。

     • [メール] セクションで次の URL を書き換えないでください 。 [ 管理 (nn) URL] リンクを選択して、安全なリンクによってブロックされる特定の URL へのアクセスを許可します。

       注:

       [次の URL を書き換えないでください] リストのエントリは、メール フロー中に安全なリンクによってスキャンまたはラップされませんが、クリックしてもブロックされる可能性があります。 URL がクリーンであることを確認したら、URL を報告し、[この URL を許可する] を選択して、許可エントリをテナント許可/ブロック リストに追加して、メール フロー中やクリック時に安全なリンクによって URL がスキャンまたはラップされないようにします。 手順については、「 Microsoft に適切な URL を報告する」を参照してください。

       1. 開いたポップアップを書き換えない URL の管理で、[URL の追加] を選択します。

       2. 開いた [ URL の追加] ポップアップで、[ URL ] ボックスをクリックし、値を入力して Enter キーを押すか、ボックスの下に表示される完全な値を選択します。 必要な回数だけこの手順を繰り返します。

          URL 構文については、「 次の URL を書き換えない」リストの「エントリ構文」を参照してください。

          エントリを削除するには、エントリの横にある [ ] を選択します。

          [ URL の追加] ポップアップが完了したら、[保存] を選択 します。

       3. ポップアップを 書き換えないように URL の管理に 戻ると、追加した URL エントリがポップアップに一覧表示されます。

          URL の一覧を標準間隔からコンパクト間隔に変更するには、[リストの間隔をコンパクトまたは標準に変更する] を選択し、[Compact list] を選択します。

          [ 検索 ] ボックスを使用して、ポップアップ上のエントリを検索します。

          エントリを追加するには、 [URL の追加] を選択し、前の手順を繰り返します。

          エントリを削除するには、次のいずれかの手順を実行します。

          • URL 値の横の空白領域に表示されるラウンド チェック ボックスを選択して、1 つ以上のエントリを選択します。
          • [URL] 列ヘッダーの横の空白領域に表示されるラウンド チェック ボックスを選択して、すべてのエントリを一度に選択します。

          1 つ以上のエントリを選択した状態で、表示される [ 削除 ] アクションを選択します。

          ポップアップを 書き換えないように URL の管理 が完了したら、[ 完了 ] を選択して [保護設定] ページをクリック & URL に戻ります。

   • Teams セクション:

     • オン: 安全なリンクは、ユーザーがMicrosoft Teams内のリンクをクリックしたときに、既知の悪意のあるリンクの一覧を確認します。 URL は書き換えされません。: Teams のリンクに対して安全なリンク保護を有効にするには、このオプションを選択します。 この設定が有効になるまでに最大 24 時間かかる場合があります。 この設定は、クリック保護の時間に影響します。

   • [Office 365 アプリ] セクション:

     • オン: 安全なリンクは、ユーザーが Microsoft Office アプリのリンクをクリックしたときに、既知の悪意のあるリンクの一覧を確認します。 URL は書き換えされません。: サポートされている Office デスクトップ、モバイル、Web アプリのファイル内のリンクに対して安全なリンク保護を有効にするには、このオプションを選択します。 この設定は、クリック保護の時間に影響します。

   • [保護設定] セクションをクリックします 。

     • ユーザーのクリックを追跡する: 追跡ユーザーが URL をクリックできるようにするには、このオプションをオンのままにします。 このオプションを選択すると、次のオプションを使用できます。
       • ユーザーが元の URL をクリックできるようにする: このオプションをオフにすると、 警告ページの元の URL へのユーザーのクリックがブロックされます。
       • 通知ページと警告ページにorganizationブランド化を表示する: カスタマイズされたブランド化の詳細については、「organizationの Microsoft 365 テーマをカスタマイズする」を参照してください。

   これらの設定の詳細については、次を参照してください。

   • メール メッセージの安全なリンク設定。
   • Microsoft Teamsの安全なリンク設定。
   • Office アプリの安全なリンク設定。
   • 安全なリンク ポリシーで保護の設定をクリックする

   Standardと厳密なポリシー設定の推奨値の詳細については、「安全なリンクポリシー設定」を参照してください。

   [URL] & [ 保護設定 ] ページが完了したら、[ 次へ] を選択します。

6. [ 通知 ] ページで、[ ユーザーに通知する方法] に次のいずれかの値を選択します。

   • 既定の通知テキストを使用する
   • カスタム通知テキストを使用する: この値を選択すると、次の設定が表示されます。
     • 自動ローカライズに Microsoft Translator を使用する
     • カスタム通知テキスト: このボックスにカスタム通知テキストを入力します (長さは 200 文字を超えることはできません)。

   [通知] ページが完了したら、[次へ] を選択します。

7. [ レビュー ] ページで、設定を確認します。 各セクションで [編集] を選択して、そのセクション内の設定を変更することができます。 または、ウィザードで [ 戻る ] または特定のページを選択できます。

   [レビュー] ページが完了したら、[送信] を選択します。

8. [ 新しい安全なリンク ポリシーが作成されました ] ページで、リンクを選択してポリシーを表示したり、安全なリンク ポリシーを表示したり、安全なリンク ポリシーの詳細を確認したりできます。

   [新しい安全なリンク ポリシーの作成] ページが完了したら、[完了] を選択します。

   [安全なリンク] ページに戻ると、新しいポリシーが一覧表示されます。

Microsoft Defender ポータルを使用して安全なリンク ポリシーの詳細を表示する

https://security.microsoft.comのMicrosoft Defender ポータルで、[ポリシー] セクションの Email & [コラボレーション>ポリシー & ルール>>セーフ リンク] に移動します。 [安全なリンク] ページに直接移動するには、https://security.microsoft.com/safelinksv2を使用します。

[ 安全なリンク ] ページで、ポリシーの一覧に次のプロパティが表示されます。

• 名前
• 状態: 値は [オン] または [オフ] です。
• 優先度: 詳細については、「 安全なリンク ポリシーの優先順位を設定する 」セクションを参照してください。

ポリシーの一覧を標準間隔からコンパクト間隔に変更するには、[ リストの間隔をコンパクトまたは標準に変更する] を選択し、[ Compact list] を選択します。

[ 検索 ] ボックスと対応する値を使用して、特定の安全なリンク ポリシーを見つけます。

Export を使用して、ポリシーの一覧を CSV ファイルにエクスポートします。

レポートの表示を使用して、脅威保護の状態レポートを開きます。

名前の横にある [チェック] ボックス以外の行の任意の場所をクリックしてポリシーを選択し、ポリシーの詳細ポップアップを開きます。

ヒント

詳細ポップアップを残さずに他の安全なリンク ポリシーの詳細を表示するには、ポップアップの上部にある Previous 項目 と 次の項目 を使用します。

Microsoft Defender ポータルを使用して、安全なリンク ポリシーに対するアクションを実行する

https://security.microsoft.comのMicrosoft Defender ポータルで、[ポリシー] セクションの Email & [コラボレーション>ポリシー & ルール>>セーフ リンク] に移動します。 [安全なリンク] ページに直接移動するには、https://security.microsoft.com/safealinksv2を使用します。

2. [ 安全なリンク ] ページで、次のいずれかの方法を使用して [安全なリンク] ポリシーを選択します。

   • 名前の横にある [チェック] ボックスを選択して、一覧からポリシーを選択します。 表示される [ その他のアクション ] ドロップダウン リストでは、次のアクションを使用できます。

     • 選択したポリシーを有効にします。
     • 選択したポリシーを無効にします。
     • 選択したポリシーを削除します。

     

   • 名前の横にある [チェック] ボックス以外の行の任意の場所をクリックして、一覧からポリシーを選択します。 次の一部またはすべてのアクションは、開く詳細ポップアップで使用できます。

     • 各セクションで [編集 ] をクリックしてポリシー設定を変更する (カスタム ポリシーまたは既定のポリシー)
     • オン または 無効にする (カスタム ポリシーのみ)
     • 優先度または Decrease の優先度を上げる (カスタム ポリシーのみ)
     • ポリシーの削除 (カスタム ポリシーのみ)

     

アクションについては、次のサブセクションで説明します。

Microsoft Defender ポータルを使用してカスタムの安全なリンク ポリシーを変更する

名前の横にある [チェック] ボックス以外の行の任意の場所をクリックして、カスタムの安全なリンク ポリシーを選択すると、開いた詳細ポップアップにポリシー設定が表示されます。 セクション内の設定を変更するには、各セクションで [編集] を選択します。 設定の詳細については、この記事の「 安全なリンク ポリシーの作成 」セクションを参照してください。

ポリシーの詳細ポップアップで、事前設定されたセキュリティ ポリシーに関連付けられている Standardプリセット セキュリティ ポリシー、厳格な事前設定されたセキュリティ ポリシー、または組み込み保護 (Microsoft) という名前の安全なリンク ポリシーを変更することはできません。 代わりに、詳細ポップアップで [事前設定されたセキュリティ ポリシーを表示する] を選択して、https://security.microsoft.com/presetSecurityPoliciesの [事前設定されたセキュリティ ポリシー] ページに移動して、事前設定されたセキュリティ ポリシーを変更します。

Microsoft Defender ポータルを使用して、カスタムの安全なリンク ポリシーを有効または無効にする

事前設定されたセキュリティ ポリシー、厳密な事前設定されたセキュリティ ポリシー、または組み込み保護 (Microsoft) という名前の安全なリンク ポリシー Standard有効または無効にすることはできません。 https://security.microsoft.com/presetSecurityPoliciesの [事前設定されたセキュリティ ポリシー] ページで、事前設定されたセキュリティ ポリシーを有効または無効にします。

有効なカスタム の安全なリンク ポリシー ( [状態] の値が [オン]) を選択した後、次のいずれかの方法を使用して無効にします。

• [安全なリンク] ページで、[ その他のアクション>選択したポリシーを無効にする] を選択します。
• ポリシーの詳細ポップアップで、[ポップアップの上部にある [無効にする] を選択します。

無効になっているカスタム の安全なリンク ポリシー ( [状態] の値が [オフ]) を選択した後、次のいずれかの方法を使用して有効にします。

• [安全なリンク] ページで、[ その他のアクション>選択したポリシーを有効にする] を選択します。
• ポリシーの詳細ポップアップで、[ポップアップの上部にある [オン] を選択します。

[ 安全なリンク ] ページで、ポリシーの [状態] の値が [オン] または [オフ] になりました。

Microsoft Defender ポータルを使用して、カスタムの安全なリンク ポリシーの優先順位を設定する

安全なリンク ポリシーは、[ 安全なリンク ] ページに表示される順序で処理されます。

• 厳密な事前設定されたセキュリティ ポリシーに関連付けられている Strict Preset セキュリティ ポリシーという名前の安全なリンク ポリシーは、常に最初に適用されます (厳密な事前設定されたセキュリティ ポリシーが有効になっている場合)。
• Standardプリセットセキュリティポリシーに関連付けられているStandardプリセットセキュリティポリシーという名前の安全なリンクポリシーは、常に次に適用されます(Standardプリセットセキュリティポリシーが有効になっている場合)。
• カスタム セーフ リンク ポリシーは、次に優先順位で適用されます (有効になっている場合)。
  • 優先度が低い値は、優先度が高いことを示します (0 が最も高い)。
  • 既定では、既存のカスタム ポリシーの中で最も低い優先度 (最初は 0、次は 1 など) よりも低い優先順位で新しいポリシーが作成されます。
  • 同じ優先度の値を持つポリシーは 2 つありません。
• 組み込み保護に関連付けられている組み込み保護 (Microsoft) という名前の安全なリンク ポリシーは常に優先度の [最低] の値を持ち、変更することはできません。

安全なリンク保護は、最初のポリシー (その受信者の優先度が最も高いポリシー) が適用された後、受信者に対して停止します。 詳細については、「メール保護の順序と優先順位」を参照してください。

名前の横にある [チェック] ボックス以外の行の任意の場所をクリックして、カスタムの安全なリンク ポリシーを選択した後、表示される詳細ポップアップでポリシーの優先順位を増減できます。

• [安全なリンク] ページの [優先度] 値が 0 のカスタム ポリシーには、詳細ポップアップの上部に Decrease 優先度アクションがあります。
• 優先度が最も低いカスタム ポリシー ( 優先度 が最も高い値 ( 3 など) には、詳細ポップアップの上部に Increase priority アクションがあります。
• 3 つ以上のポリシーがある場合、 優先度 0 と最も低い優先度の間のポリシーには、詳細ポップアップの上部にある Increase 優先度 と Decrease 優先度 アクションの両方があります。

ポリシーの詳細ポップアップが完了したら、[ 閉じる] を選択します。

[安全なリンク] ページに戻ると、一覧内のポリシーの順序が更新された [優先度] の値と一致します。

Microsoft Defender ポータルを使用してカスタムの安全なリンク ポリシーを削除する

事前設定されたセキュリティ ポリシー、厳密な事前設定されたセキュリティ ポリシー、または事前設定されたセキュリティ ポリシーに関連付けられている組み込み保護 (Microsoft) Standardという名前の安全なリンク ポリシーを削除することはできません。

カスタムの安全なリンク ポリシーを選択した後、次のいずれかの方法を使用して削除します。

• [安全なリンク] ページで、[ その他のアクション>選択したポリシーを削除します。
• ポリシーの詳細ポップアップで:ポップアップの上部にある [ 削除ポリシー ] を選択します。

開いた警告ダイアログで [ はい ] を選択します。

[安全なリンク] ページに戻ると、削除されたポリシーは一覧に表示されなくなります。

PowerShell Exchange Online使用して安全なリンク ポリシーを構成する

PowerShell では、安全なリンク ポリシーの基本的な要素は次のとおりです。

• 安全なリンク ポリシー: 安全なリンク保護を有効にし、リアルタイム URL スキャンを有効にし、メッセージを配信する前にリアルタイム スキャンが完了するのを待つかどうかを指定し、内部メッセージのスキャンをオンにし、URL のユーザークリックを追跡するかどうかを指定し、ユーザーが元の URL をクリックできるようにするかどうかを指定します。
• 安全なリンク規則: 優先度フィルターと受信者フィルター (ポリシーが適用されるユーザー) を指定します。

これらの 2 つの要素の違いは、Microsoft Defender ポータルで安全なリンク ポリシーを管理する場合には明らかではありません。

• Defender ポータルで安全なリンク ポリシーを作成すると、実際には、両方に同じ名前を使用して、安全なリンク ルールと関連付けられている安全なリンク ポリシーが同時に作成されます。
• Defender ポータルで安全なリンク ポリシーを変更すると、名前、優先度、有効または無効、および受信者フィルターに関連する設定によって、安全なリンクルールが変更されます。 他のすべての設定は、関連付けられている安全なリンク ポリシーを変更します。
• Defender ポータルで安全なリンク ポリシーを削除すると、安全なリンクルールと関連付けられている安全なリンク ポリシーが削除されます。

PowerShell では、安全なリンク ポリシーと安全なリンクルールの違いが明らかです。 *-SafeLinksPolicy コマンドレットを使用して安全なリンクに関するポリシーを管理し、*-SafeLinksRule コマンドレットを使用して安全なリンクに関するルールを管理します。

• PowerShell では、最初に安全なリンクに関するポリシーを作成し、それからルールが適用されるポリシーを特定する安全なリンクに関するルールを作成します。
• PowerShell では、安全なリンクに関するポリシーと安全なリンクに関するルールの設定は別々に変更します。
• PowerShell から安全なリンクに関するポリシーを削除しても、対応している安全なリンクに関するルールは自動で削除されず、逆もまた同様です。

PowerShell を使用して安全なリンク ポリシーを作成する

PowerShell では、以下の 2 段階の手順でマルウェア対策ポリシーを作成します。

1. 安全なリンクに関するポリシーを作成します。
2. ルールが適用される安全なリンク ポリシーを指定する安全なリンク ルールを作成します。

注:

• 新しい安全なリンクに関するルールを作成し、関連付けられていない既存の安全なリンクに関するポリシーをそれに割り当てることができます。 安全なリンクに関するルールを複数の安全なリンクに関するポリシーに関連付けることはできません。

• ポリシーを作成するまで、Microsoft Defender ポータルで使用できない PowerShell の新しい安全なリンク ポリシーに対して、次の設定を構成できます。

  • New-SafeLinksRule コマンドレットで、新しいポリシーを無効 (有効$false) として作成します。
  • New-SafeLinksRule コマンドレットで、作成時のポリシーの優先度 (Priority<Number>) を設定します。

• PowerShell で作成した新しい安全なリンク ポリシーは、ポリシーを安全なリンク ルールに割り当てるまで、Microsoft Defender ポータルには表示されません。

手順 1: PowerShell を使用して安全なリンク ポリシーを作成する

安全なリンク ポリシーを作成するには、次の構文を使用します。

New-SafeLinksPolicy -Name "<PolicyName>" [-AdminDisplayName "<Comments>"] [-EnableSafeLinksForEmail <$true | $false>] [-EnableSafeLinksForOffice <$true | $false>] [-EnableSafeLinksForTeams <$true | $false>] [-ScanUrls <$true | $false>] [-DeliverMessageAfterScan <$true | $false>] [-EnableForInternalSenders <$true | $false>] [-AllowClickThrough <$true | $false>] [-TrackUserClicks <$true | $false>] [-DoNotRewriteUrls "Entry1","Entry2",..."EntryN"]

注:

• DoNotRewriteUrls パラメーターに使用するエントリ構文の詳細については、「次の URL を書き換えない」リストのエントリ構文に関するページを参照してください。

• Set-SafeLinksPolicy コマンドレットを使用して既存の安全なリンク ポリシーを変更するときに DoNotRewriteUrls パラメーターに使用できる追加の構文については、この記事の後半の「PowerShell を使用して安全なリンク ポリシーを変更する」セクションを参照してください。

この例では、Contoso All という名前の安全なリンク ポリシーを次の値で作成します。

• メール メッセージで URL スキャンと URL 書き換えを有効にします。
  • 内部メッセージの URL スキャンと書き換えを有効にします。
  • クリックした URL (ファイルを指すクリックされたリンクなど) のリアルタイム スキャンを有効にします。
    • URL スキャンが完了するまで待ち、その後でメッセージを配信します。
• Teams で URL スキャンを有効にします。
• サポートされている Office アプリで URL スキャンを有効にします。
• 安全なリンク保護に関連するユーザークリックを追跡します ( TrackUserClicks パラメーターは使用せず、既定値は$true)。
• ユーザーが元の URL をクリックできないようにします。

New-SafeLinksPolicy -Name "Contoso All" -EnableSafeLinksForEmail $true -EnableSafeLinksForOffice $true -EnableSafeLinksForTeams $true -ScanUrls $true -DeliverMessageAfterScan $true -EnableForInternalSenders $true -AllowClickThrough $false

構文とパラメーターの詳細については、「 New-SafeLinksPolicy」を参照してください。

手順 2: PowerShell を使用して安全なリンクルールを作成する

安全なリンク規則を作成するには、次の構文を使用します。

New-SafeLinksRule -Name "<RuleName>" -SafeLinksPolicy "<PolicyName>" <Recipient filters> [<Recipient filter exceptions>] [-Comments "<OptionalComments>"] [-Enabled <$true | $false>]

この例では、次の条件で Contoso All という名前の安全なリンク ルールを作成します。

• ルールは、Contoso All という名前の安全なリンクに関するポリシーに関連付けられています。
• contoso.com ドメイン内の受信者にルールを適用する。
• Priority パラメーターを使用していないため、既定の優先度が使用されます。
• ルールが有効になっています ( Enabled パラメーターは使用せず、既定値は $true)。

New-SafeLinksRule -Name "Contoso All" -SafeLinksPolicy "Contoso All" -RecipientDomainIs contoso.com

この例では、前の例と同様の安全なリンクルールを作成しますが、この例では、organization内のすべての承認済みドメインの受信者にルールが適用されます。

New-SafeLinksRule -Name "Contoso All" -SafeLinksPolicy "Contoso All" -RecipientDomainIs (Get-AcceptedDomain).Name

この例では、前の例と同様の安全なリンク規則を作成しますが、この例では、.csv ファイルで指定されたドメイン内の受信者に適用されます。

$Data = Import-Csv -Path "C:\Data\SafeLinksDomains.csv"
$SLDomains = $Data.Domains
New-SafeLinksRule -Name "Contoso All" -SafeLinksPolicy "Contoso All" -RecipientDomainIs $SLDomains

構文とパラメーターの詳細については、「 New-SafeLinksRule」を参照してください。

PowerShell を使用して安全なリンク ポリシーを表示する

既存の安全なリンク ポリシーを表示するには、次の構文を使用します。

Get-SafeLinksPolicy [-Identity "<PolicyIdentity>"] [| <Format-Table | Format-List> <Property1,Property2,...>]

この例では、すべての安全なリンク ポリシーの概要リストを返します。

Get-SafeLinksPolicy | Format-Table Name

この例では、Contoso Executives という名前の安全なリンク ポリシーの詳細情報を返します。

Get-SafeLinksPolicy -Identity "Contoso Executives"

構文とパラメーターの詳細については、「 Get-SafeLinksPolicy」を参照してください。

PowerShell を使用して安全なリンクルールを表示する

既存の安全なリンクルールを表示するには、次の構文を使用します。

Get-SafeLinksRule [-Identity "<RuleIdentity>"] [-State <Enabled | Disabled] [| <Format-Table | Format-List> <Property1,Property2,...>]

次の使用例は、すべての安全なリンク 規則の概要リストを返します。

Get-SafeLinksRule | Format-Table Name,State

ルールを有効または無効にしてリストをフィルター処理するには、次のコマンドを実行します。

Get-SafeLinksRule -State Disabled

Get-SafeLinksRule -State Enabled

この例では、Contoso Executives という名前の安全なリンク ルールの詳細情報を返します。

Get-SafeLinksRule -Identity "Contoso Executives"

構文とパラメーターの詳細については、「 Get-SafeLinksRule」を参照してください。

PowerShell を使用して安全なリンク ポリシーを変更する

PowerShell で安全なリンク ポリシーの名前を変更することはできません ( Set-SafeLinksPolicy コマンドレットに Name パラメーターがありません)。 Microsoft Defender ポータルで安全なリンク ポリシーの名前を変更する場合は、安全なリンクルールの名前のみを変更します。

PowerShell で安全なリンク ポリシーを変更するための唯一の考慮事項は、 DoNotRewriteUrls パラメーター ( "次の URL を書き換えない" リスト) に使用できる構文です。

• 既存のエントリを置き換える値を追加するには、次の構文を使用します: "Entry1","Entry2,..."EntryN"。
• 他の既存のエントリに影響を与えずに値を追加または削除するには、次の構文を使用します。 @{Add="Entry1","Entry2"...; Remove="Entry3","Entry4"...}

それ以外の場合は、この記事の「 手順 1: PowerShell を使用して安全なリンク ポリシーを作成する」セクションで説明されているように、安全なリンク ポリシーを作成 するときに同じ設定を使用できます。

安全なリンク ポリシーを変更するには、次の構文を使用します。

Set-SafeLinksPolicy -Identity "<PolicyName>" <Settings>

構文とパラメーターの詳細については、「 Set-SafeLinksPolicy」を参照してください。

PowerShell を使用して安全なリンクルールを変更する

PowerShell で安全なリンク規則を変更するときに使用できない唯一の設定は、無効なルールを作成できる Enabled パラメーターです。 既存の安全なリンクルールを有効または無効にするには、次のセクションを参照してください。

それ以外の場合は、この記事の「 手順 2: PowerShell を使用して安全なリンク ルールを作成する 」セクションで説明されているように、ルールを作成するときに同じ設定を使用できます。

安全なリンク規則を変更するには、次の構文を使用します。

Set-SafeLinksRule -Identity "<RuleName>" <Settings>

次の使用例は、organization内のすべての承認済みドメインを、Contoso All という名前の安全なリンク 規則に条件として追加します。

Set-SafeLinksRule -Identity "Contoso All" -RecipientDomainIs (Get-AcceptedDomain).Name

次の使用例は、指定した .csv のドメインを条件として Contoso All という名前の安全なリンク 規則に追加します。

$Data = Import-Csv -Path "C:\Data\SafeLinksDomains.csv"
$SLDomains = $Data.Domains
Set-SafeLinksRule -Identity "Contoso All" -RecipientDomainIs $SLDomains

構文とパラメーターの詳細については、「 Set-SafeLinksRule」を参照してください。

PowerShell を使用して安全なリンクルールを有効または無効にする

PowerShell で安全なリンク規則を有効または無効にすると、セーフ リンク ポリシー全体 (安全なリンクルールと割り当てられた安全なリンク ポリシー) が有効または無効になります。

PowerShell で安全なリンク規則を有効または無効にするには、次の構文を使用します。

<Enable-SafeLinksRule | Disable-SafeLinksRule> -Identity "<RuleName>"

次の使用例は、Marketing Department という名前の安全なリンク 規則を無効にします。

Disable-SafeLinksRule -Identity "Marketing Department"

この例では、同じルールを有効化します。

Enable-SafeLinksRule -Identity "Marketing Department"

構文とパラメーターの詳細については、「 Enable-SafeLinksRule 」および「 Disable-SafeLinksRule」を参照してください。

PowerShell を使用して安全なリンクに関するルールの優先度を設定する

ルールに設定できる優先度の最高値値は 0 です。 設定できる最低値はルールの数に依存します。 たとえば、ルールが五つある場合、使用できる優先度の値は 0 から 4 です。 既存の一つのルールの優先度を変更すると、他のルールにも連鎖的な影響が起こりえます。 たとえば、カスタム ルールが 5 つあって (優先度 0 から 4)、1 つのルールの優先度を 2 に変更した場合には、既存の優先度 2 のルールは優先度 3 に変更され、優先度 3 は優先度 4 に変更されます。

PowerShell で安全なリンクに関するルールの優先度を設定するには、次の構文を使用します。

Set-SafeLinksRule -Identity "<RuleName>" -Priority <Number>

この例では、Marketing Department というルールの優先度を 2 に設定しています。 2 と同等またはそれ以下の優先度を持つすべての既存のルールは、優先度が 1 低くなります (優先度番号は 1 ずつ上がります)。

Set-SafeLinksRule -Identity "Marketing Department" -Priority 2

注:

新しく作成したルールの優先度を設定するには、代わりに New-MalwareFilterRule コマンドレットの Priority パラメーターを使用します。

構文とパラメーターの詳細については、「 Set-SafeLinksRule」を参照してください。

PowerShell を使用して安全なリンク ポリシーを削除する

PowerShell を使用して安全なリンク ポリシーを削除する場合、対応する安全なリンクルールは削除されません。

PowerShell で安全なリンク ポリシーを削除するには、次の構文を使用します。

Remove-SafeLinksPolicy -Identity "<PolicyName>"

次の使用例は、Marketing Department という名前の安全なリンク ポリシーを削除します。

Remove-SafeLinksPolicy -Identity "Marketing Department"

構文とパラメーターの詳細については、「 Remove-SafeLinksPolicy」を参照してください。

PowerShell を使用して安全なリンクルールを削除する

PowerShell を使用して安全なリンクルールを削除する場合、対応する安全なリンク ポリシーは削除されません。

PowerShell で安全なリンク規則を削除するには、次の構文を使用します。

Remove-SafeLinksRule -Identity "<PolicyName>"

次の使用例は、Marketing Department という名前の安全なリンク ルールを削除します。

Remove-SafeLinksRule -Identity "Marketing Department"

構文とパラメーターの詳細については、「 Remove-SafeLinksRule」を参照してください。

安全なリンクがメッセージをスキャンしていることを確認するには、使用可能なMicrosoft Defender for Office 365 レポートをチェックします。 詳細については、「Defender for Office 365のレポートを表示する」と「Microsoft Defender ポータルでエクスプローラーを使用する」を参照してください。

正常な動作を確認する方法

安全なリンク ポリシーが正常に作成、変更、または削除されたことを確認するには、次のいずれかの手順を実行します。

• https://security.microsoft.com/safelinksv2のMicrosoft Defender ポータルの [安全なリンク] ページで、ポリシーの一覧、状態の値、および優先度の値を確認します。 詳細を表示するには、一覧からポリシーを選択し、ポップアップで詳細を表示します。

• PowerShell または powerShell Exchange Online Protection Exchange Onlineで、<Name> をポリシーまたはルールの名前に置き換え、次のコマンドを実行して、設定を確認します。

  Get-SafeLinksPolicy -Identity "<Name>"; Get-SafeLinksRule -Identity "<Name>"
  

• URL http://spamlink.contoso.com を使用して、安全なリンク保護をテストします。 この URL は、スパム対策ソリューションをテストするための GTUBE テキスト文字列に似ています。 この URL は有害ではありませんが、安全なリンク保護応答をトリガーします。