Microsoft Defender for Office 365 を試す
[アーティクル] 2024/06/01
14 人の共同作成者
フィードバック
この記事の内容
Defender for Office 365 の概要
Defender for Office 365 の試用版と評価のしくみ
監査モードで評価または試用版を設定する
ブロック モードで評価または試用版を設定する
Defender for Office 365 の評価または試用版を管理する
Defender for Office 365 の評価または試用版のレポート
必要なアクセス許可
よく寄せられる質問
Defender for Office 365 の評価と試用版に関連付けられているポリシー設定
さらに 5 個を表示
既存の Microsoft 365 のお客様である Microsoft Defender ポータルの 試用版 と 評価 ページ https://security.microsoft.com 、購入前に Microsoft Defender for Office 365 Plan 2 の機能を試すことができます。
Defender for Office 365 プラン 2 を試す前に、自分で質問する必要がある重要な質問がいくつかあります。
Defender for Office 365 プラン 2 で実行できる操作 (監査 ) を受動的に観察しますか、または Defender for Office 365 プラン 2 で検出された問題 (ブロック ) に対して直接アクションを実行しますか?
どちらの方法でも、Defender for Office 365 プラン 2 で何が行っているのかを確認するにはどうすればよいですか?
Defender for Office 365 プラン 2 を維持する決定を下す必要があるまでの期間はどれくらいですか?
この記事は、組織のニーズに最適な方法で Defender for Office 365 プラン 2 を試すことができるように、これらの質問に回答するのに役立ちます。
試用版を使用する方法のコンパニオン ガイドについては、「 試用版ユーザー ガイド: Microsoft Defender for Office 365 」を参照してください。
注意
Defender for Office 365 の試用版と評価は、米国政府機関 (Microsoft 365 GCC、GCC High、DoD) または Microsoft 365 Education 組織では利用できません。
Defender for Office 365 の概要
Defender for Office 365 は、包括的な機能を提供することで、組織が企業をセキュリティで保護するのに役立ちます。 詳細については、「 Microsoft Defender for Office 365 」を参照してください。
Defender for Office 365 の詳細については、この 対話型ガイド を参照してください。
この短いビデオを見て、Microsoft Defender for Office 365 で短時間でより多くのことを行う方法の詳細を確認してください。
価格情報については、「 Microsoft Defender for Office 365 」を参照してください。
Defender for Office 365 の試用版と評価のしくみ
Defender for Office 365 には、Exchange Online メールボックスを持つすべての Microsoft 365 組織に存在する Exchange Online Protection (EOP) の機能と、Defender for Office 365 専用の機能が含まれています。
EOP と Defender for Office 365 の保護機能は、ポリシーを使用して実装されます。
Defender for Office 365 専用のポリシーは、必要に応じて自動的に作成されます 。
評価または試用版の資格は、既に EOP を持っていることを意味します。
Defender for Office 365 プラン 2 の評価または試用版に新しい EOP ポリシーや特別な EOP ポリシーは作成されません 。 Microsoft 365 組織の既存の EOP ポリシーは、メッセージに対して引き続き対応できます (たとえば、迷惑メール フォルダーにメッセージを送信したり、検疫したりします)。
これらの EOP 機能の既定のポリシーは常にオンになり、すべての受信者に適用され、カスタム ポリシーの後に常に最後に適用されます。
Defender for Office 365 の監査モードとブロック モード
Defender for Office 365 エクスペリエンスをアクティブまたはパッシブにしますか? 次のモードを使用できます。
監査モード : フィッシング対策 (偽装保護を含む)、安全な添付ファイル、および安全なリンクに対して特別な 評価ポリシー が作成されます。 これらの評価ポリシーは、脅威のみを 検出 するように構成されています。 Defender for Office 365 は、レポートに有害なメッセージを検出しますが、メッセージは処理されません (たとえば、検出されたメッセージは検疫されません)。 これらの評価ポリシーの設定については、この記事の後半の 「監査モードのポリシー」 セクションで説明します。 また、電子メール以外のワークロード (Microsoft Teams、SharePoint、OneDrive for Business など) の監査モードで、SafeLinks のクリック保護時間も自動的にオンになります。
また、フィッシング対策保護 (なりすましと偽装)、安全なリンク保護、安全な添付ファイル保護を選択的にオンまたはオフにすることもできます。 手順については、「 評価設定の管理 」を参照してください。
監査モードでは、https://security.microsoft.com/atpEvaluation の Microsoft Defender for Office 365 評価 ページの評価ポリシーによって検出された脅威に関する特殊なレポートが提供されます。 これらのレポートについては、この記事の後半の 「監査モードのレポート 」セクションで説明します。
ブロック モード : 事前設定されたセキュリティ ポリシー の標準テンプレートがオンになり、試用版に使用され、試用版に含めるために指定したユーザーが Standard プリセット セキュリティ ポリシーに追加されます。 Defender for Office 365 では、有害なメッセージ (検出されたメッセージが検疫など) を 検出してアクションを実行 します。
既定で推奨される選択は、組織内のすべてのユーザーに対して、これらの Defender for Office 365 ポリシーのスコープを設定することです。 ただし、試用版のセットアップ中またはセットアップ後に、Microsoft Defender ポータルまたは Exchange Online PowerShell で、特定のユーザー、グループ、または電子メール ドメインにポリシーの割り当てを変更できます。
Defender for Office 365 によって検出された脅威に関する情報は、Defender for Office 365 Plan 2 の通常のレポートと調査機能で入手できます。この記事の後半の「 ブロック モードのレポート」 セクションで説明されています。
使用可能なモードを決定する主な要因は次のとおりです。
Defender for Office 365 の評価と試用版
Defender for Office 365 プラン 2 の評価と試用版の違いは何ですか? 彼らは同じではありませんか? ええ、はい、いいえ。 Microsoft 365 組織のライセンスによって、すべての違いが生じます。
Defender for Office 365 プラン 2 なし : Defender for Office 365 プラン 2 がまだない場合 (たとえば、スタンドアロン EOP、Microsoft 365 E3、Microsoft 365 Business Premium、Defender for Office 365 Plan 1 アドオン サブスクリプションなど) は、Microsoft Defender ポータルの次の場所から開始できます。
評価または試用版の設定中に 、監査モード (評価ポリシー) または ブロック モード (標準プリセット セキュリティ ポリシー) を選択できます。
使用する場所に関係なく、登録時に必要な Defender for Office 365 プラン 2 ライセンスが自動的にプロビジョニングされます。 Microsoft 365 管理センターでプラン 2 ライセンスを手動で取得して割り当てる必要はありません。
自動的にプロビジョニングされたライセンスは、90 日間有効です。 この 90 日間の意味は、組織の既存のライセンスによって異なります。
Defender for Office 365 プラン 1 なし : Defender for Office 365 プラン 1 (スタンドアロン EOP や Microsoft 365 E3 など) のない組織の場合、すべての Defender for Office 365 Plan 2 機能 (特にセキュリティ ポリシー) は、90 日間のみ使用できます。
Defender for Office 365 プラン 1 : Defender for Office 365 プラン 1 (Microsoft 365 Business Premium やアドオン サブスクリプションなど) を持つ組織には、Defender for Office 365 Plan 2 で使用できるセキュリティ ポリシーと同じセキュリティ ポリシーが既に用意されています。フィッシング対策ポリシーでの偽装保護、安全な添付ファイル ポリシー、および安全なリンク ポリシー。
監査モード (評価ポリシー) またはブロック モード (Standard プリセット セキュリティ ポリシー) のセキュリティ ポリシーは、90 日後に期限切れまたは停止しません。 90 日後に終了する機能は、計画 1 では使用できない Defender for Office 365 プラン 2 の 自動化、調査、修復、および教育機能 です。
評価または評価版を監査モード (評価ポリシー) で設定した場合は、後でブロック モード (標準の事前設定されたセキュリティ ポリシー) に変換 できます。 手順については、この記事の後半の「 標準保護に変換する 」セクションを参照してください。
Defender for Office 365 プラン 2 : 既に Defender for Office 365 Plan 2 (Microsoft 365 E5 サブスクリプションの一部など) がある場合、Defender for Office 365 は、https://security.microsoft.com/trialHorizontalHub の Microsoft 365 試用版 ページで選択できません。
唯一のオプションは、https://security.microsoft.com/atpEvaluation の Microsoft Defender for Office 365 評価ページで Defender for Office 365 の評価を 設定することです。 さらに、評価は 監査モード (評価ポリシー) で自動的に設定されます。
後で、Microsoft Defender for Office 365 評価ページの [標準に変換 ] アクションを使用するか、Microsoft Defender for Office 365 の評価 ページで 評価をオフ に してから、標準プリセット セキュリティ ポリシーを構成することで、ブロック モード (標準プリセット セキュリティ ポリシー ) に変換 できます。
定義上、Defender for Office 365 プラン 2 を持つ組織では、Defender for Office 365 プラン 2 を評価するために追加のライセンスは必要ないため、これらの組織の評価期間は無制限です。
前の一覧の情報を次の表にまとめます。
テーブルを展開する
組織
から登録する [試用版] ページ
から登録する [評価] ページ
使用可能なモード
評価 period
スタンドアロン EOP (Exchange Online メールボックスなし) Microsoft 365 E3
はい
必要
監査モード ブロッキング モード¹
90 日間
Microsoft Defender for Office 365 プラン 1 Microsoft 365 Business Premium
はい
必要
監査モード ブロッキング モード¹
90 日²
Microsoft 365 E5
いいえ
はい
監査モード ブロッキング モード¹ ²
無制限
¹ 前述 のとおり、インターネット メールが Microsoft 365 に配信される前にサード パーティの保護サービスまたはデバイスを経由する場合、 ブロック モード (標準の事前設定されたセキュリティ ポリシー) は使用できません。
² 監査モード (評価ポリシー) または ブロック モード (標準の事前設定されたセキュリティ ポリシー) からのセキュリティ ポリシーは、90 日後に期限切れまたは停止しません。 Defender for Office 365 Plan 2 専用の 自動化、調査、修復、および教育機能 は、90 日後に機能を停止します。
² 評価は 監査モード (評価ポリシー) で設定されます。 セットアップが完了した後の任意の時点で、「標準保護に 変換 する」の説明に従って 、ブロッキング モード (Standard プリセット セキュリティ ポリシー) に変換 できます。
評価、試用版、監査モード、ブロック モードの違いを理解したら、次のセクションで説明するように評価または評価版を設定する準備ができました。
Defender for Office 365 を監査モードで評価または試すときは、Defender for Office 365 が脅威を検出できるように特別な評価ポリシーが作成されます。 これらの評価ポリシーの設定については、この記事の後半の 「監査モードのポリシー」 セクションで説明します。
https://security.microsoft.com の Microsoft Defender ポータルで使用可能な任意の場所で評価を開始します。 例:
[ 保護を有効にする ] ダイアログは、Defender for Office 365 プラン 1 またはプラン 2 を持つ組織では使用できません。
[ 保護を有効にする ] ダイアログで、[ いいえ、レポートのみを表示する ] を選択し、[続行] を選択 します 。
[ 含めるユーザーの選択 ] ダイアログで、次の設定を構成します。
すべてのユーザー : これは既定で推奨されるオプションです。
特定のユーザー : このオプションを選択する場合は、評価が適用される内部受信者を選択する必要があります。
ユーザー : 指定されたメールボックス、メール ユーザー、またはメール連絡先。
グループ :
指定した配布グループまたはメールが有効なセキュリティ グループのメンバー (動的配布グループはサポートされていません)。
指定した Microsoft 365 グループ。
ドメイン : 指定された 承認済みドメイン にプライマリ 電子メール アドレスを持つ組織内のすべての受信者。
ボックス内をクリックし、値の入力を開始し、ボックスの下の結果から値を選択します。 必要な回数だけこの処理を繰り返します。 既存の値を削除するには、ボックスの値の横にある [ ] を選択します。
ユーザーやグループには、ほとんどの識別子 (名前、表示名、エイリアス、メールアドレス、アカウント名など) を使用できますが、対応する表示名が結果に表示されます。 ユーザーの場合、アスタリスク (*) を単独で入力すると、使用可能なすべての値が表示されます。
受信者条件は 1 回だけ使用できますが、条件には複数の値を含めることができます。
同じ条件 の複数の値 が OR ロジック (たとえば、<recipient1> または <recipient2> ) を使用します。 受信者が指定した値 のいずれかに 一致する場合、ポリシーが適用されます。
さまざまな 種類の条件で AND ロジックが使用されます。 受信者は、ポリシーを適用するために、指定 されたすべての 条件に一致する必要があります。 たとえば、次の値を使用して条件を構成します。
ユーザー: romain@contoso.com
グループ: エグゼクティブ
ポリシーは、romain@contoso.com
エグゼクティブ グループのメンバーでもある場合に適用されます 。 それ以外の場合、ポリシーは適用されません。
[ 含めるユーザーの選択 ] ダイアログが完了したら、[続行] を選択 します 。
[ メール フローの理解に役立つ ] ダイアログで、次のオプションを構成します。
[ メール フローの理解に役立つ ] ダイアログが完了したら、[完了] を選択 します 。
設定が完了すると、[ Let us show you around ] ダイアログが表示されます。 [ ツアーの開始] または [ 閉じる] を選択します 。
Defender for Office 365 を ブロッキング モード で試すと、Standard プリセット セキュリティが有効になり、指定されたユーザー (一部またはすべてのユーザー) が Standard プリセット セキュリティ ポリシーに含まれることに注意してください。 標準の事前設定されたセキュリティ ポリシーの詳細については、「 セキュリティ ポリシーの事前設定 」を参照してください。
https://security.microsoft.com の Microsoft Defender ポータルで使用可能な任意の場所で試用版を開始します。 例:
[ 保護を有効にする ] ダイアログは、Defender for Office 365 プラン 1 またはプラン 2 を持つ組織では使用できません。
[ 保護を有効にする ] ダイアログで、[ はい]、[脅威をブロックして組織を保護 する] の順に選択し、[続行] を選択 します 。
[ 含めるユーザーの選択 ] ダイアログで、次の設定を構成します。
すべてのユーザー : これは既定で推奨されるオプションです。
ユーザーの選択 : このオプションを選択する場合は、試用版が適用される内部受信者を選択する必要があります。
ユーザー : 指定されたメールボックス、メール ユーザー、またはメール連絡先。
グループ :
指定した配布グループまたはメールが有効なセキュリティ グループのメンバー (動的配布グループはサポートされていません)。
指定した Microsoft 365 グループ。
ドメイン : 指定された 承認済みドメイン にプライマリ 電子メール アドレスを持つ組織内のすべての受信者。
ボックス内をクリックし、値の入力を開始し、ボックスの下の結果から値を選択します。 必要な回数だけこの処理を繰り返します。 既存の値を削除するには、ボックスの値の横にある [ ] を選択します。
ユーザーやグループには、ほとんどの識別子 (名前、表示名、エイリアス、メールアドレス、アカウント名など) を使用できますが、対応する表示名が結果に表示されます。 ユーザーの場合、アスタリスク (*) を単独で入力すると、使用可能なすべての値が表示されます。
受信者条件は 1 回だけ使用できますが、条件には複数の値を含めることができます。
同じ条件 の複数の値 が OR ロジック (たとえば、<recipient1> または <recipient2> ) を使用します。 受信者が指定した値 のいずれかに 一致する場合、ポリシーが適用されます。
さまざまな 種類の条件で AND ロジックが使用されます。 受信者は、ポリシーを適用するために、指定 されたすべての 条件に一致する必要があります。 たとえば、次の値を使用して条件を構成します。
ユーザー: romain@contoso.com
グループ: エグゼクティブ
ポリシーは、romain@contoso.com
エグゼクティブ グループのメンバーでもある場合に適用されます 。 それ以外の場合、ポリシーは適用されません。
[ 含めるユーザーの選択 ] ダイアログが完了したら、[続行] を選択 します 。
評価が設定されると、進行状況ダイアログが表示されます。 セットアップが完了したら、[完了] を選択 します 。
Defender for Office 365 の評価または試用版を管理する
監査モード で評価または試用版を設定した後、https://security.microsoft.com/atpEvaluation の Microsoft Defender for Office 365 評価 ページは、Defender for Office 365 Plan 2 を試した結果の中心的な場所です。
https://security.microsoft.com の Microsoft Defender ポータルで、[Email & collaboration >Policies & rules >Threat ポリシー ] に移動し>[その他 ] セクションで [評価モード ] を選択します。 または、 Microsoft Defender for Office 365 評価 ページに直接移動するには、 https://security.microsoft.com/atpEvaluation を使用します。
Microsoft Defender for Office 365 評価 ページで使用できるアクションについては、次のサブセクションで説明します。
https://security.microsoft.com/atpEvaluation の Microsoft Defender for Office 365 評価 ページで、[評価設定の管理 ] を選択します。
開いた [MDO 評価設定の管理 ] ポップアップで、次の情報と設定を使用できます。
評価がオンかどうかは、ポップアップの上部に表示されます (評価のオン または 評価オフ )。 この情報は、 Microsoft Defender for Office 365 評価 ページでも入手できます。
[無効にする] または [オンにする] アクションを使用すると、評価ポリシーをオフまたはオンにすることができます。
評価に残っている日数は、ポップアップの上部 (残りの nn 日 ) に表示されます。
[検出機能 ] セクション: トグルを使用して、次の Defender for Office 365 保護を有効または無効にします。
リンク保護
添付ファイル保護
フィッシング詐欺対策
[ユーザー、グループ、およびドメイン ] セクション: [ ユーザー、グループ、およびドメインの編集] を選択して、評価または評価版を適用するユーザーを変更します (前の「 監査モードでの評価または評価版の設定 」を参照)。
偽装設定 セクション:
偽装保護がフィッシング対策評価ポリシーで構成されていない場合は、[偽装 保護の適用 ] を選択して偽装保護を構成します。
ユーザー偽装保護のための内部ユーザーと外部ユーザー (送信者)。
ドメイン偽装保護用のカスタム ドメイン。
偽装保護から除外する信頼された送信者とドメイン。
この手順は、基本的には、「Microsoft Defender ポータルを使用してフィッシング対策ポリシーを作成 する」の手順 5 の「偽装 」セクションで説明した手順と同じです。
偽装保護がフィッシング対策評価ポリシーで構成されている場合、このセクションでは、次の偽装保護の設定を示します。
ユーザー偽装保護
ドメイン偽装保護
偽装された信頼された送信者とドメイン
設定を変更するには、[ 偽装設定の編集] を選択します。
[MDO 評価設定の管理 ] ポップアップが完了したら、[ Close] を選択します 。
評価または試用版では、次のいずれかの方法を使用して 、監査モード (評価ポリシー) から ブロック モード (Standard プリセット セキュリティ ポリシー) に切り替えることができます。
Microsoft Defender for Office 365 の評価 ページ で、[標準保護に変換] を選択します
[ MDO 評価設定の管理 ] ポップアップ : Microsoft Defender for Office 365 評価 ページで、[ 評価設定の管理 ] を選択します。 開いた詳細ポップアップで、[ 標準保護に変換する ] を選択します。
[ 標準保護に変換 ] を選択した後、開いたダイアログで情報を読み取り、[続行] を選択 します 。
[事前設定されたセキュリティ ポリシー ] ページの [標準保護の適用 ] ウィザードに移動します。 評価または試用版から含まれ、除外される受信者の一覧は、Standard の事前設定されたセキュリティ ポリシーにコピーされます。 詳細については、「 Microsoft Defender ポータルを使用して Standard および Strict の事前設定されたセキュリティ ポリシーをユーザーに割り当てる 」を参照してください。
Standard プリセット セキュリティ ポリシーのセキュリティ ポリシーは、評価ポリシーよりも優先度が高くなります。つまり、Standard プリセット セキュリティのポリシーは、両方が存在し、オンになっている場合でも、評価ポリシー の前 に常に適用されます。
ブロック モード から監査 モードに自動的に移動する方法はありません。 手動の手順は次のとおりです。
https://security.microsoft.com/presetSecurityPolicies の [事前設定されたセキュリティ ポリシー] ページで、標準の事前設定されたセキュリティ ポリシーを オフにします。
https://security.microsoft.com/atpEvaluation の Microsoft Defender for Office 365 評価 ページで、[評価] の 値が表示されていることを確認します。
[評価オフ ] が表示されている場合は、[評価設定の管理 ] を選択します。 開いた [MDO 評価設定の管理 ] ポップアップで、[ [オン] を選択します。
[評価設定の管理 ] を選択して、開いた [MDO 評価設定の詳細の管理 ] ポップアップの [ユーザー、グループ、ドメイン ] セクションで評価が適用されるユーザーを確認します。
Defender for Office 365 の評価または試用版のレポート
このセクションでは、 監査モード とブロック モードで使用できるレポートについて説明 します 。
ブロック モード 用の特別なレポートは作成されないため、Defender for Office 365 で使用できる標準レポートを使用します。 具体的には、Defender for Office 365 機能 (安全なリンクや安全な添付ファイルなど) にのみ適用されるレポート、または次の一覧で説明するように Defender for Office 365 検出によってフィルター処理できるレポートを探しています。
[メールフローの状態] レポートの [メールフロー] ビュー :
フィッシング対策ポリシーによってユーザー偽装またはドメイン偽装として検出されたメッセージは、 偽装ブロック に表示されます。
安全な添付ファイル ポリシーまたは安全なリンク ポリシーによってファイルまたは URL の爆発中に検出されたメッセージは、 Detonation ブロック に表示されます。
脅威保護の状態レポート :
脅威保護状態レポートの多くのビューを値 MDO で保護 してフィルター処理して、Defender for Office 365 の効果を確認できます。
上位の送信者と受信者のレポート
上位マルウェア受信者 (MDO) のデータを表示 し、 上位のフィッシング受信者 (MDO) のデータを表示します 。
URL 保護レポート
監査モード では、次の一覧で説明されているように、評価ポリシーによる検出を示すレポートを探しています。
[電子メール エンティティ] ページ には、Defender for Office 365 評価によって検出された無効な添付ファイル 、スパム URL + マルウェア 、フィッシング URL 、偽装 メッセージの [分析 ] タブのメッセージ検出の詳細に次のバナーが表示されます。
https://security.microsoft.com/atpEvaluation の Microsoft Defender for Office 365 評価 ページでは、Defender for Office 365 で使用できる標準レポートからの検出が統合されています。 このページのレポートは、主に [評価: はい ] でフィルター処理され、評価ポリシーによる検出のみを表示しますが、ほとんどのレポートでは追加の明確化フィルターも使用されます。
既定では、ページのレポートの概要には過去 30 日間のデータが表示されますが、日付範囲をフィルター処理する場合は、 30 日を選択し、30 日 未満の次の追加値から選択します。
日付範囲フィルターは、ページのレポートの概要と、カードの [詳細の表示 ] を選択したときにメイン レポートに表示されるデータに影響します。
[ ダウンロード ] を選択して、グラフ データを .csv ファイルにダウンロードします。
Defender for Microsoft 365 の評価または試用版を設定するには、 Microsoft Entra ID で次のアクセス許可が必要です。
評価または評価版の作成、変更、または削除 : セキュリティ管理者 またはグローバル管理者 ロールのメンバーシップ* 。
評価ポリシーとレポートを監査モードで表示 する: セキュリティ管理者 ロールまたは セキュリティ閲覧者 ロールのメンバーシップ。
Microsoft Defender ポータルでの Microsoft Entra アクセス許可の詳細については、Microsoft Defender ポータルの Microsoft Entra ロールに関するページを 参照してください。
重要
* Microsoft では、アクセス許可が最も少ないロールを使用することをお勧めします。 アクセス許可の低いアカウントを使用すると、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急時に限定する必要があります。
Q: 試用版ライセンスを手動で取得またはアクティブ化する必要がありますか?
回答: いいえ。 試用版では、前述のように Defender for Office 365 Plan 2 ライセンスが必要な場合に自動的にプロビジョニングされます。
A: 「 試用版を拡張する」を参照してください 。
Q: 試用版をキャンセルまたは延長するためのオプションが表示されないのはなぜですか?
A: サブスクリプションが新しいコマース エクスペリエンス (NCE) の一部である場合、試用版をキャンセルまたは延長するオプションは表示されません。 現時点では、従来のサブスクリプションのお客様のみが、試用版をキャンセルまたは延長する機能を持っています。
Q: 試用版の有効期限が切れた後のデータはどうなりますか?
A: 試用版の有効期限が切れた後、30 日間試用版データ (以前は使用していなかった Defender for Office 365 の機能からのデータ) にアクセスできます。 この 30 日間が経過すると、Defender for Office 365 試用版に関連付けられたすべてのポリシーとデータが削除されます。
Q: 組織内で Defender for Office 365 試用版を使用できる回数はいくつですか?
A: 最大 2 回。 最初の試用版の有効期限が切れた場合は、有効期限から少なくとも 30 日後に待ってから、Defender for Office 365 試用版に再び登録する必要があります。 2 回目の試用版の後、別の試用版に登録することはできません。
Q: 監査モードでは、Defender for Office 365 がメッセージに対して動作するシナリオはありますか?
A:はい、できます。 サービスを保護するために、どのプログラムまたは SKU のユーザーも、サービスによってマルウェアまたは高信頼フィッシングとして分類されたメッセージに対するアクションをオフにしたりバイパスしたりすることはできません。
A: 事前設定されたセキュリティ ポリシーとその他のポリシーについては、「優先順位」 を参照してください。
Defender for Office 365 の評価と試用版に関連付けられているポリシー設定
警告
Defender for Office 365 の評価に関連付けられている個々のセキュリティ ポリシーを作成、変更、または削除しないでください。 評価の個々のセキュリティ ポリシーを作成するためにサポートされる唯一の方法は、Microsoft Defender ポータルで初めて監査モードで評価または試用を開始することです。
前に説明したように 、評価または試用版の監査モードを選択すると、メッセージに対して監視するがアクションを実行しない必要な設定を持つ評価ポリシーが自動的に作成されます。
これらのポリシーとその設定を表示するには、 Exchange Online PowerShell で次のコマンドを実行します。
Write-Output -InputObject ("`r`n"*3),"Evaluation anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"; Write-Output -InputObject ("`r`n"*3),"Evaluation Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"; Write-Output -InputObject ("`r`n"*3),"Evaluation Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"
設定については、次の表でも説明します。
テーブルを展開する
設定
値
名前
評価ポリシー
AdminDisplayName
評価ポリシー
AuthenticationFailAction
MoveToJmf
DmarcQuarantineAction
検疫する
DmarcRejectAction
拒否する
Enabled
はい
EnableFirstContactSafetyTips
False
EnableMailboxIntelligence
はい
EnableMailboxIntelligenceProtection
はい
EnableOrganizationDomainsProtection
False
EnableSimilarDomainsSafetyTips
False
EnableSimilarUsersSafetyTips
False
EnableSpoofIntelligence
はい
EnableSuspiciousSafetyTip
False
EnableTargetedDomainsProtection
False
EnableTargetedUserProtection
False
EnableUnauthenticatedSender
はい
EnableUnusualCharactersSafetyTips
False
EnableViaTag
はい
ExcludedDomains
{}
ExcludedSenders
{}
HonorDmarcPolicy
はい
ImpersonationProtectionState
Manual
IsDefault
False
MailboxIntelligenceProtectionAction
NoAction
MailboxIntelligenceProtectionActionRecipients
{}
MailboxIntelligenceQuarantineTag
DefaultFullAccessPolicy
PhishThresholdLevel
1
PolicyTag
空砲
RecommendedPolicyType
評価
SpoofQuarantineTag
DefaultFullAccessPolicy
TargetedDomainActionRecipients
{}
TargetedDomainProtectionAction
NoAction
TargetedDomainQuarantineTag
DefaultFullAccessPolicy
TargetedDomainsToProtect
{}
TargetedUserActionRecipients
{}
TargetedUserProtectionAction
NoAction
TargetedUserQuarantineTag
DefaultFullAccessPolicy
TargetedUsersToProtect
{}
テーブルを展開する
設定
値
名前
評価ポリシー
アクション
許可
ActionOnError
真*
AdminDisplayName
評価ポリシー
ConfidenceLevelThreshold
80
有効にする
はい
EnableOrganizationBranding
False
IsBuiltInProtection
False
IsDefault
False
OperationMode
Delay
QuarantineTag
AdminOnlyAccessPolicy
RecommendedPolicyType
評価
リダイレクトする
False
RedirectAddress
空砲
ScanTimeout
30
* このパラメーターは非推奨となり、使用されなくなりました。
テーブルを展開する
設定
値
名前
評価ポリシー
AdminDisplayName
評価ポリシー
AllowClickThrough
はい
CustomNotificationText
空砲
DeliverMessageAfterScan
はい
DisableUrlRewrite
はい
DoNotRewriteUrls
{}
EnableForInternalSenders
False
EnableOrganizationBranding
False
EnableSafeLinksForEmail
はい
EnableSafeLinksForOffice
はい
EnableSafeLinksForTeams
はい
IsBuiltInProtection
False
LocalizedNotificationTextList
{}
RecommendedPolicyType
評価
ScanUrls
はい
TrackClicks
はい
Defender for Office 365 評価ポリシーに関連付けられているルールは、評価の受信者の条件と例外を制御します。
評価に関連付けられているルールを表示するには、Exchange Online PowerShell で次のコマンドを実行します。
Get-ATPEvaluationRule
Exchange Online PowerShell を使用して評価対象を変更するには、次の構文を使用します。
Set-ATPEvaluationRule -Identity "Evaluation Rule" -SentTo <"user1","user2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -SentToMemberOf <"group1","group2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null> -RecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null>
次の使用例は、指定されたセキュリティ操作 (SecOps) メールボックスの評価からの例外を構成します。
Set-ATPEvaluationRule -Identity "Evaluation Rule" -ExceptIfSentTo "SecOps1","SecOps2"
PowerShell を使用して、監査モードで評価版または試用版を有効または無効にする
監査モードで評価を有効または無効にするには、評価に関連付けられているルールを有効または無効にします。 評価ルールの State プロパティ値は、ルールが [有効] または [無効] のどちらであるかを示します。
次のコマンドを実行して、評価が現在有効か無効かを判断します。
Get-ATPEvaluationRule -Identity "Evaluation Rule" | Format-Table Name,State
次のコマンドを実行して、評価がオンになっている場合はオフにします。
Disable-ATPEvaluationRule -Identity "Evaluation Rule"
次のコマンドを実行して、評価がオフになっている場合はオンにします。
Enable-ATPEvaluationRule -Identity "Evaluation Rule"
前に説明したように、 ブロック モード ポリシーは、 事前設定されたセキュリティ ポリシー の Standard テンプレートを使用して作成されます。
Exchange Online PowerShell を使用して、標準の事前設定されたセキュリティ ポリシーに関連付けられている個々のセキュリティ ポリシーを表示し、事前設定されたセキュリティ ポリシーの受信者の条件と例外を表示および構成するには、「 Exchange Online PowerShell のセキュリティ ポリシーを事前設定 する」を参照してください。