次の方法で共有


Microsoft Defender for Office 365 を試す

既存の Microsoft 365 のお客様である Microsoft Defender ポータルの 試用版評価 ページ https://security.microsoft.com 、購入前に Microsoft Defender for Office 365 Plan 2 の機能を試すことができます。

Defender for Office 365 プラン 2 を試す前に、自分で質問する必要がある重要な質問がいくつかあります。

  • Defender for Office 365 プラン 2 で実行できる操作 (監査) を受動的に観察しますか、または Defender for Office 365 プラン 2 で検出された問題 (ブロック) に対して直接アクションを実行しますか?
  • どちらの方法でも、Defender for Office 365 プラン 2 で何が行っているのかを確認するにはどうすればよいですか?
  • Defender for Office 365 プラン 2 を維持する決定を下す必要があるまでの期間はどれくらいですか?

この記事は、組織のニーズに最適な方法で Defender for Office 365 プラン 2 を試すことができるように、これらの質問に回答するのに役立ちます。

試用版を使用する方法のコンパニオン ガイドについては、「 試用版ユーザー ガイド: Microsoft Defender for Office 365」を参照してください。

注:

Defender for Office 365 の試用版と評価は、米国政府機関 (Microsoft 365 GCC、GCC High、DoD) または Microsoft 365 Education 組織では利用できません。

Defender for Office 365 の概要

Defender for Office 365 は、包括的な機能を提供することで、組織が企業をセキュリティで保護するのに役立ちます。 詳細については、「 Microsoft Defender for Office 365」を参照してください。

Defender for Office 365 の詳細については、この 対話型ガイドを参照してください。

Microsoft Defender for Office 365 の概念図。

この短いビデオを見て、Microsoft Defender for Office 365 で短時間でより多くのことを行う方法の詳細を確認してください。

価格情報については、「 Microsoft Defender for Office 365」を参照してください。

Defender for Office 365 の試用版と評価のしくみ

ポリシー

Defender for Office 365 には、Exchange Online メールボックスを持つすべての Microsoft 365 組織に存在する Exchange Online Protection (EOP) の機能と、Defender for Office 365 専用の機能が含まれています。

EOP と Defender for Office 365 の保護機能は、ポリシーを使用して実装されます。 Defender for Office 365 専用のポリシーは、必要に応じて自動的に作成されます

評価または試用版の資格は、既に EOP を持っていることを意味します。 Defender for Office 365 プラン 2 の評価または試用版に新しい EOP ポリシーや特別な EOP ポリシーは作成されません。 Microsoft 365 組織の既存の EOP ポリシーは、メッセージに対して引き続き対応できます (たとえば、迷惑メール フォルダーにメッセージを送信したり、検疫したりします)。

これらの EOP 機能の既定のポリシーは常にオンになり、すべての受信者に適用され、カスタム ポリシーの後に常に最後に適用されます。

Defender for Office 365 の監査モードとブロック モード

Defender for Office 365 エクスペリエンスをアクティブまたはパッシブにしますか? 次のモードを使用できます。

  • 監査モード: フィッシング対策 (偽装保護を含む)、安全な添付ファイル、および安全なリンクに対して特別な 評価ポリシー が作成されます。 これらの評価ポリシーは、脅威のみを 検出 するように構成されています。 Defender for Office 365 は、レポートに有害なメッセージを検出しますが、メッセージは処理されません (たとえば、検出されたメッセージは検疫されません)。 これらの評価ポリシーの設定については、この記事の後半の 「監査モードのポリシー」 セクションで説明します。 また、電子メール以外のワークロード (Microsoft Teams、SharePoint、OneDrive for Business など) の監査モードで、SafeLinks のクリック保護時間も自動的にオンになります。

    また、フィッシング対策保護 (なりすましと偽装)、安全なリンク保護、安全な添付ファイル保護を選択的にオンまたはオフにすることもできます。 手順については、「 評価設定の管理」を参照してください。

    監査モードでは、https://security.microsoft.com/atpEvaluationの Microsoft Defender for Office 365 評価ページの評価ポリシーによって検出された脅威に関する特殊なレポートが提供されます。 これらのレポートについては、この記事の後半の 「監査モードのレポート 」セクションで説明します。

  • ブロック モード: 事前設定されたセキュリティ ポリシー の標準テンプレートがオンになり、試用版に使用され、試用版に含めるために指定したユーザーが Standard プリセット セキュリティ ポリシーに追加されます。 Defender for Office 365 では、有害なメッセージ (検出されたメッセージが検疫など) を 検出してアクションを実行 します。

    既定で推奨される選択は、組織内のすべてのユーザーに対して、これらの Defender for Office 365 ポリシーのスコープを設定することです。 ただし、試用版のセットアップ中またはセットアップ後に、Microsoft Defender ポータルまたは Exchange Online PowerShell で、特定のユーザー、グループ、または電子メール ドメインにポリシーの割り当てを変更できます。

    Defender for Office 365 によって検出された脅威に関する情報は、Defender for Office 365 Plan 2 の通常のレポートと調査機能で入手できます。この記事の後半の「 ブロック モードのレポート」 セクションで説明されています。

使用可能なモードを決定する主な要因は次のとおりです。

  • 次のセクションで説明するように、現在 Defender for Office 365 (プラン 1 またはプラン 2) があるかどうか。

  • 次のシナリオで説明されているように、メールを Microsoft 365 組織に配信する方法:

    • インターネットからのメールは Microsoft 365 に直接送信されますが、現在のサブスクリプションには Exchange Online Protection (EOP) または Defender for Office 365 プラン 1 のみが含まれています。

      メールは、EOP や Defender for Office 365 プラン 1 からの保護を使用して、インターネットから Microsoft 365 に送信されます。

      これらの環境では、次のセクションで説明するように、ライセンスに応じて 監査モード または ブロック モード を使用できます。

    • 現在、Microsoft 365 メールボックスのメール保護にサード パーティのサービスまたはデバイスを使用しています。 インターネットからのメールは、Microsoft 365 組織に配信される前に、保護サービスを介して送信されます。 Microsoft 365 の保護は可能な限り低くなっています (完全に無効になることはありません。たとえば、マルウェアの保護は常に適用されます)。

      メールは、Microsoft 365 に配信される前に、サード パーティの保護サービスまたはデバイスを介してインターネットから送信されます。

      これらの環境では、 監査モード のみを使用できます。 Defender for Office 365 プラン 2 を評価するためにメール フロー (MX レコード) を変更する必要はありません。

Defender for Office 365 の評価と試用版

Defender for Office 365 プラン 2 の評価と試用版の違いは何ですか? 彼らは同じではありませんか? ええ、はい、いいえ。 Microsoft 365 組織のライセンスによって、すべての違いが生じます。

  • Defender for Office 365 プラン 2 なし: Defender for Office 365 プラン 2 がまだない場合 (たとえば、スタンドアロン EOP、Microsoft 365 E3、Microsoft 365 Business Premium、Defender for Office 365 Plan 1 アドオン サブスクリプションなど) は、Microsoft Defender ポータルの次の場所から開始できます。

    評価または試用版の設定中に 、監査モード (評価ポリシー) または ブロック モード (標準プリセット セキュリティ ポリシー) を選択できます。

    使用する場所に関係なく、登録時に必要な Defender for Office 365 プラン 2 ライセンスが自動的にプロビジョニングされます。 Microsoft 365 管理センターでプラン 2 ライセンスを手動で取得して割り当てる必要はありません。

    自動的にプロビジョニングされたライセンスは、90 日間有効です。 この 90 日間の意味は、組織の既存のライセンスによって異なります。

    • Defender for Office 365 プラン 1 なし: Defender for Office 365 プラン 1 (スタンドアロン EOP や Microsoft 365 E3 など) のない組織の場合、すべての Defender for Office 365 Plan 2 機能 (特にセキュリティ ポリシー) は、90 日間のみ使用できます。

    • Defender for Office 365 プラン 1: Defender for Office 365 プラン 1 (Microsoft 365 Business Premium やアドオン サブスクリプションなど) を持つ組織には、Defender for Office 365 Plan 2 で使用できるセキュリティ ポリシーと同じセキュリティ ポリシーが既に用意されています。フィッシング対策ポリシーでの偽装保護、安全な添付ファイル ポリシー、および安全なリンク ポリシー。

      監査モード (評価ポリシー) またはブロック モード (Standard プリセット セキュリティ ポリシー) のセキュリティ ポリシーは、90 日後に期限切れまたは停止しません。 90 日後に終了する機能は、計画 1 では使用できない Defender for Office 365 プラン 2 の 自動化、調査、修復、および教育機能 です。

    評価または評価版を監査モード (評価ポリシー) で設定した場合は、後でブロック モード (標準の事前設定されたセキュリティ ポリシー) に変換できます。 手順については、この記事の後半の「 標準保護に変換する 」セクションを参照してください。

  • Defender for Office 365 プラン 2: 既に Defender for Office 365 Plan 2 (Microsoft 365 E5 サブスクリプションの一部など) がある場合、Defender for Office 365 は、https://security.microsoft.com/trialHorizontalHubMicrosoft 365 試用版ページで選択できません。

    唯一のオプションは、https://security.microsoft.com/atpEvaluationの Microsoft Defender for Office 365 評価ページで Defender for Office 365 の評価を設定することです。 さらに、評価は 監査モード (評価ポリシー) で自動的に設定されます。

    後で、Microsoft Defender for Office 365 評価ページの [標準に変換] アクションを使用するか、Microsoft Defender for Office 365 の評価ページで評価をオフしてから、標準プリセット セキュリティ ポリシーを構成することで、ブロック モード (標準プリセット セキュリティ ポリシー) に変換できます。

    定義上、Defender for Office 365 プラン 2 を持つ組織では、Defender for Office 365 プラン 2 を評価するために追加のライセンスは必要ないため、これらの組織の評価期間は無制限です。

前の一覧の情報を次の表にまとめます。

組織 から登録する
[試用版] ページ
から登録する
[評価] ページ
使用可能なモード 評価
period
スタンドアロン EOP (Exchange Online メールボックスなし)

Microsoft 365 E3
はい 必要 監査モード

ブロッキング モード¹
90 日間
Microsoft Defender for Office 365 プラン 1

Microsoft 365 Business Premium
はい 必要 監査モード

ブロッキング モード¹
90 日²
Microsoft 365 E5 いいえ はい 監査モード

ブロッキング モード¹ ²
無制限

¹ 前述のとおり、インターネット メールが Microsoft 365 に配信される前にサード パーティの保護サービスまたはデバイスを経由する場合、 ブロック モード (標準の事前設定されたセキュリティ ポリシー) は使用できません。

² 監査モード (評価ポリシー) または ブロック モード (標準の事前設定されたセキュリティ ポリシー) からのセキュリティ ポリシーは、90 日後に期限切れまたは停止しません。 Defender for Office 365 Plan 2 専用の 自動化、調査、修復、および教育機能 は、90 日後に機能を停止します。

² 評価は 監査モード (評価ポリシー) で設定されます。 セットアップが完了した後の任意の時点で、「標準保護に 変換 する」の説明に従って 、ブロッキング モード (Standard プリセット セキュリティ ポリシー) に変換できます。

評価、試用版、監査モード、ブロック モードの違いを理解したら、次のセクションで説明するように評価または評価版を設定する準備ができました。

監査モードで評価または試用版を設定する

Defender for Office 365 を監査モードで評価または試すときは、Defender for Office 365 が脅威を検出できるように特別な評価ポリシーが作成されます。 これらの評価ポリシーの設定については、この記事の後半の 「監査モードのポリシー」 セクションで説明します。

  1. https://security.microsoft.comの Microsoft Defender ポータルで使用可能な任意の場所で評価を開始します。 例:

  2. [ 保護を有効にする ] ダイアログは、Defender for Office 365 プラン 1 またはプラン 2 を持つ組織では使用できません。

    [ 保護を有効にする ] ダイアログで、[ いいえ、レポートのみを表示する] を選択し、[続行] を選択 します

  3. [ 含めるユーザーの選択 ] ダイアログで、次の設定を構成します。

    • すべてのユーザー: これは既定で推奨されるオプションです。

    • 特定のユーザー: このオプションを選択する場合は、評価が適用される内部受信者を選択する必要があります。

      • ユーザー: 指定されたメールボックス、メール ユーザー、またはメール連絡先。
      • グループ:
        • 指定した配布グループまたはメールが有効なセキュリティ グループのメンバー (動的配布グループはサポートされていません)。
        • 指定した Microsoft 365 グループ。
      • ドメイン: 指定された 承認済みドメインにプライマリ 電子メール アドレスを持つ組織内のすべての受信者。

      ボックス内をクリックし、値の入力を開始し、ボックスの下の結果から値を選択します。 必要な回数だけこの処理を繰り返します。 既存の値を削除するには、ボックスの値の横にある [ ] を選択します。

      ユーザーやグループには、ほとんどの識別子 (名前、表示名、エイリアス、メールアドレス、アカウント名など) を使用できますが、対応する表示名が結果に表示されます。 ユーザーの場合、アスタリスク (*) を単独で入力すると、使用可能なすべての値が表示されます。

      受信者条件は 1 回だけ使用できますが、条件には複数の値を含めることができます。

      • 同じ条件の複数のが OR ロジック (たとえば、<recipient1> または <recipient2>) を使用します。 受信者が指定した値 のいずれかに 一致する場合、ポリシーが適用されます。

      • さまざまな 種類の条件で AND ロジックが使用されます。 受信者は、ポリシーを適用するために、指定 されたすべての 条件に一致する必要があります。 たとえば、次の値を使用して条件を構成します。

        • ユーザー: romain@contoso.com
        • グループ: エグゼクティブ

        ポリシーは、romain@contoso.comエグゼクティブ グループのメンバーでもある場合に適用されます。 それ以外の場合、ポリシーは適用されません。

    [ 含めるユーザーの選択 ] ダイアログが完了したら、[続行] を選択 します

  4. [ メール フローの理解に役立つ ] ダイアログで、次のオプションを構成します。

    • ドメインの MX レコードの検出に基づいて、次のいずれかのオプションが自動的に選択されます。

      • サード パーティやオンプレミスのサービス プロバイダーを使用しています。ドメインの MX レコードは、Microsoft 365 以外の場所を指しています。 次の設定を確認または構成します。

        • 組織が使用しているサード パーティ サービス: 次のいずれかの値を確認または選択します。

          • その他: この値には、「 電子メール メッセージが複数のゲートウェイを通過する場合」の情報も必要です。各ゲートウェイ IP アドレスを一覧表示します。このアドレスは値 Other に対してのみ使用できます。 オンプレミスのサービス プロバイダーを使用している場合は、この値を使用します。

            サード パーティの保護サービスまたはデバイスが Microsoft 365 にメールを送信するために使用する IP アドレスのコンマ区切りの一覧を入力します。

          • バラクーダ

          • IronPort

          • Mimecast

          • Proofpoint

          • Sophos

          • Symantec

          • Trend Micro

        • この評価を適用するコネクタ: Microsoft 365 へのメール フローに使用するコネクタを選択します。

          コネクタの拡張フィルター 処理 ( リストのスキップとも呼ばれます) は、指定したコネクタで自動的に構成されます。

          サード パーティのサービスまたはデバイスが Microsoft 365 に送信される電子メールの前に配置されている場合、コネクタの拡張フィルター処理によってインターネット メッセージのソースが正しく識別され、Microsoft フィルタリング スタック (特に スプーフィング インテリジェンス)の精度が大幅に向上し、 脅威エクスプローラー自動調査 & 応答 (AIR) の侵害後機能が大幅に向上します。

      • Microsoft Exchange Online のみを使用しています:ドメインの MX レコードは Microsoft 365 を指しています。 構成するものは何も残っていないので、[ 完了] を選択します。

    • Microsoft とデータを共有する: このオプションは既定では選択されていませんが、必要に応じてチェック ボックスをオンにできます。

    [ メール フローの理解に役立つ ] ダイアログが完了したら、[完了] を選択 します

  5. 設定が完了すると、[ Let us show you around ] ダイアログが表示されます。 [ ツアーの開始] または [ 閉じる] を選択します

ブロック モードで評価または試用版を設定する

Defender for Office 365 を ブロッキング モードで試すと、Standard プリセット セキュリティが有効になり、指定されたユーザー (一部またはすべてのユーザー) が Standard プリセット セキュリティ ポリシーに含まれることに注意してください。 標準の事前設定されたセキュリティ ポリシーの詳細については、「 セキュリティ ポリシーの事前設定」を参照してください。

  1. https://security.microsoft.comの Microsoft Defender ポータルで使用可能な任意の場所で試用版を開始します。 例:

  2. [ 保護を有効にする ] ダイアログは、Defender for Office 365 プラン 1 またはプラン 2 を持つ組織では使用できません。

    [ 保護を有効にする ] ダイアログで、[ はい]、[脅威をブロックして組織を保護する] の順に選択し、[続行] を選択 します

  3. [ 含めるユーザーの選択 ] ダイアログで、次の設定を構成します。

    • すべてのユーザー: これは既定で推奨されるオプションです。

    • ユーザーの選択: このオプションを選択する場合は、試用版が適用される内部受信者を選択する必要があります。

      • ユーザー: 指定されたメールボックス、メール ユーザー、またはメール連絡先。
      • グループ:
        • 指定した配布グループまたはメールが有効なセキュリティ グループのメンバー (動的配布グループはサポートされていません)。
        • 指定した Microsoft 365 グループ。
      • ドメイン: 指定された 承認済みドメインにプライマリ 電子メール アドレスを持つ組織内のすべての受信者。

      ボックス内をクリックし、値の入力を開始し、ボックスの下の結果から値を選択します。 必要な回数だけこの処理を繰り返します。 既存の値を削除するには、ボックスの値の横にある [ ] を選択します。

      ユーザーやグループには、ほとんどの識別子 (名前、表示名、エイリアス、メールアドレス、アカウント名など) を使用できますが、対応する表示名が結果に表示されます。 ユーザーの場合、アスタリスク (*) を単独で入力すると、使用可能なすべての値が表示されます。

      受信者条件は 1 回だけ使用できますが、条件には複数の値を含めることができます。

      • 同じ条件の複数のが OR ロジック (たとえば、<recipient1> または <recipient2>) を使用します。 受信者が指定した値 のいずれかに 一致する場合、ポリシーが適用されます。

      • さまざまな 種類の条件で AND ロジックが使用されます。 受信者は、ポリシーを適用するために、指定 されたすべての 条件に一致する必要があります。 たとえば、次の値を使用して条件を構成します。

        • ユーザー: romain@contoso.com
        • グループ: エグゼクティブ

        ポリシーは、romain@contoso.comエグゼクティブ グループのメンバーでもある場合に適用されます。 それ以外の場合、ポリシーは適用されません。

    [ 含めるユーザーの選択 ] ダイアログが完了したら、[続行] を選択 します

  4. 評価が設定されると、進行状況ダイアログが表示されます。 セットアップが完了したら、[完了] を選択 します

Defender for Office 365 の評価または試用版を管理する

監査モードで評価または試用版を設定した後、https://security.microsoft.com/atpEvaluationMicrosoft Defender for Office 365 評価ページは、Defender for Office 365 Plan 2 を試した結果の中心的な場所です。

https://security.microsoft.comの Microsoft Defender ポータルで、[Email & collaboration>Policies & rules>Threat ポリシー] に移動し>[その他] セクションで [評価モード] を選択します。 または、 Microsoft Defender for Office 365 評価 ページに直接移動するには、 https://security.microsoft.com/atpEvaluationを使用します。

Microsoft Defender for Office 365 評価ページで使用できるアクションについては、次のサブセクションで説明します。

評価設定を管理する

https://security.microsoft.com/atpEvaluationMicrosoft Defender for Office 365 評価ページで、[評価設定の管理] を選択します。

開いた [MDO 評価設定の管理 ] ポップアップで、次の情報と設定を使用できます。

  • 評価がオンかどうかは、ポップアップの上部に表示されます (評価のオン または 評価オフ)。 この情報は、 Microsoft Defender for Office 365 評価 ページでも入手できます。

    [無効にする] または [オンにする] アクションを使用すると、評価ポリシーをオフまたはオンにすることができます。

  • 評価に残っている日数は、ポップアップの上部 (残りの nn 日) に表示されます。

  • [検出機能 ] セクション: トグルを使用して、次の Defender for Office 365 保護を有効または無効にします。

    • リンク保護
    • 添付ファイル保護
    • フィッシング詐欺対策
  • [ユーザー、グループ、およびドメイン ] セクション: [ ユーザー、グループ、およびドメインの編集] を選択して、評価または評価版を適用するユーザーを変更します (前の「 監査モードでの評価または評価版の設定」を参照)。

  • 偽装設定 セクション:

    • 偽装保護がフィッシング対策評価ポリシーで構成されていない場合は、[偽装 保護の適用 ] を選択して偽装保護を構成します。

      • ユーザー偽装保護のための内部ユーザーと外部ユーザー (送信者)。
      • ドメイン偽装保護用のカスタム ドメイン。
      • 偽装保護から除外する信頼された送信者とドメイン。

      この手順は、基本的には、「Microsoft Defender ポータルを使用してフィッシング対策ポリシーを作成する」の手順 5 の「偽装」セクションで説明した手順と同じです。

    • 偽装保護がフィッシング対策評価ポリシーで構成されている場合、このセクションでは、次の偽装保護の設定を示します。

      • ユーザー偽装保護
      • ドメイン偽装保護
      • 偽装された信頼された送信者とドメイン

      設定を変更するには、[ 偽装設定の編集] を選択します。

[MDO 評価設定の管理] ポップアップが完了したら、[Close] を選択します

Standard 保護に変換する

評価または試用版では、次のいずれかの方法を使用して 、監査モード (評価ポリシー) から ブロック モード (Standard プリセット セキュリティ ポリシー) に切り替えることができます。

  • Microsoft Defender for Office 365 の評価ページで、[標準保護に変換] を選択します
  • [ MDO 評価設定の管理 ] ポップアップ: Microsoft Defender for Office 365 評価 ページで、[ 評価設定の管理] を選択します。 開いた詳細ポップアップで、[標準保護に変換する] を選択します。

[ 標準保護に変換] を選択した後、開いたダイアログで情報を読み取り、[続行] を選択 します

[事前設定されたセキュリティ ポリシー] ページの [標準保護の適用] ウィザードに移動します。 評価または試用版から含まれ、除外される受信者の一覧は、Standard の事前設定されたセキュリティ ポリシーにコピーされます。 詳細については、「 Microsoft Defender ポータルを使用して Standard および Strict の事前設定されたセキュリティ ポリシーをユーザーに割り当てる」を参照してください。

  • Standard プリセット セキュリティ ポリシーのセキュリティ ポリシーは、評価ポリシーよりも優先度が高くなります。つまり、Standard プリセット セキュリティのポリシーは、両方が存在し、オンになっている場合でも、評価ポリシー の前 に常に適用されます。
  • ブロック モードから監査モードに自動的に移動する方法はありません。 手動の手順は次のとおりです。
    1. https://security.microsoft.com/presetSecurityPoliciesの [事前設定されたセキュリティ ポリシー] ページで、標準の事前設定されたセキュリティ ポリシーをオフにします。

    2. https://security.microsoft.com/atpEvaluationMicrosoft Defender for Office 365 評価ページで、[評価] の値が表示されていることを確認します。

      [評価オフ] が表示されている場合は、[評価設定の管理] を選択します。 開いた [MDO 評価設定の管理 ] ポップアップで、[ [オン] を選択します。

    3. [評価設定の管理] を選択して、開いた [MDO 評価設定の詳細の管理] ポップアップの [ユーザー、グループ、ドメイン] セクションで評価が適用されるユーザーを確認します。

Defender for Office 365 の評価または試用版のレポート

このセクションでは、 監査モード とブロック モードで使用できるレポートについて説明 します

ブロック モードのレポート

ブロック モード用の特別なレポートは作成されないため、Defender for Office 365 で使用できる標準レポートを使用します。 具体的には、Defender for Office 365 機能 (安全なリンクや安全な添付ファイルなど) にのみ適用されるレポート、または次の一覧で説明するように Defender for Office 365 検出によってフィルター処理できるレポートを探しています。

監査モードのレポート

監査モードでは、次の一覧で説明されているように、評価ポリシーによる検出を示すレポートを探しています。

必要なアクセス許可

Defender for Microsoft 365 の評価または試用版を設定するには、 Microsoft Entra ID で次のアクセス許可が必要です。

  • 評価または評価版の作成、変更、または削除: セキュリティ管理者またはグローバル管理者ロールのメンバーシップ*
  • 評価ポリシーとレポートを監査モードで表示する: セキュリティ管理者 ロールまたは セキュリティ閲覧者 ロールのメンバーシップ。

Microsoft Defender ポータルでの Microsoft Entra アクセス許可の詳細については、Microsoft Defender ポータルの Microsoft Entra ロールに関するページを参照してください。

重要

* Microsoft では、アクセス許可が最も少ないロールを使用することをお勧めします。 アクセス許可の低いアカウントを使用すると、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急時に限定する必要があります。

よく寄せられる質問

Q: 試用版ライセンスを手動で取得またはアクティブ化する必要がありますか?

回答: いいえ。 試用版では、前述のように Defender for Office 365 Plan 2 ライセンスが必要な場合に自動的にプロビジョニングされます。

Q: 試用版を拡張するにはどうすればよいですか?

A: 「 試用版を拡張する」を参照してください

Q: 試用版をキャンセルまたは延長するためのオプションが表示されないのはなぜですか?

A: サブスクリプションが新しいコマース エクスペリエンス (NCE) の一部である場合、試用版をキャンセルまたは延長するオプションは表示されません。 現時点では、従来のサブスクリプションのお客様のみが、試用版をキャンセルまたは延長する機能を持っています。

Q: 試用版の有効期限が切れた後のデータはどうなりますか?

A: 試用版の有効期限が切れた後、30 日間試用版データ (以前は使用していなかった Defender for Office 365 の機能からのデータ) にアクセスできます。 この 30 日間が経過すると、Defender for Office 365 試用版に関連付けられたすべてのポリシーとデータが削除されます。

Q: 組織内で Defender for Office 365 試用版を使用できる回数はいくつですか?

A: 最大 2 回。 最初の試用版の有効期限が切れた場合は、有効期限から少なくとも 30 日後に待ってから、Defender for Office 365 試用版に再び登録する必要があります。 2 回目の試用版の後、別の試用版に登録することはできません。

Q: 監査モードでは、Defender for Office 365 がメッセージに対して動作するシナリオはありますか?

A:はい、できます。 サービスを保護するために、どのプログラムまたは SKU のユーザーも、サービスによってマルウェアまたは高信頼フィッシングとして分類されたメッセージに対するアクションをオフにしたりバイパスしたりすることはできません。

Q: ポリシーはどのような順序で評価されますか?

A: 事前設定されたセキュリティ ポリシーとその他のポリシーについては、「優先順位」を参照してください。

Defender for Office 365 の評価と試用版に関連付けられているポリシー設定

監査モードのポリシー

警告

Defender for Office 365 の評価に関連付けられている個々のセキュリティ ポリシーを作成、変更、または削除しないでください。 評価の個々のセキュリティ ポリシーを作成するためにサポートされる唯一の方法は、Microsoft Defender ポータルで初めて監査モードで評価または試用を開始することです。

前に説明したように、評価または試用版の監査モードを選択すると、メッセージに対して監視するがアクションを実行しない必要な設定を持つ評価ポリシーが自動的に作成されます。

これらのポリシーとその設定を表示するには、 Exchange Online PowerShell で次のコマンドを実行します。

Write-Output -InputObject ("`r`n"*3),"Evaluation anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"; Write-Output -InputObject ("`r`n"*3),"Evaluation Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"; Write-Output -InputObject ("`r`n"*3),"Evaluation Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"

設定については、次の表でも説明します。

フィッシング対策の評価ポリシー設定

設定
名前 評価ポリシー
AdminDisplayName 評価ポリシー
AuthenticationFailAction MoveToJmf
DmarcQuarantineAction 検疫する
DmarcRejectAction 拒否する
Enabled はい
EnableFirstContactSafetyTips False
EnableMailboxIntelligence はい
EnableMailboxIntelligenceProtection はい
EnableOrganizationDomainsProtection False
EnableSimilarDomainsSafetyTips False
EnableSimilarUsersSafetyTips False
EnableSpoofIntelligence はい
EnableSuspiciousSafetyTip False
EnableTargetedDomainsProtection False
EnableTargetedUserProtection False
EnableUnauthenticatedSender はい
EnableUnusualCharactersSafetyTips False
EnableViaTag はい
ExcludedDomains {}
ExcludedSenders {}
HonorDmarcPolicy はい
ImpersonationProtectionState Manual
IsDefault False
MailboxIntelligenceProtectionAction NoAction
MailboxIntelligenceProtectionActionRecipients {}
MailboxIntelligenceQuarantineTag DefaultFullAccessPolicy
PhishThresholdLevel 1
PolicyTag 空砲
RecommendedPolicyType 評価
SpoofQuarantineTag DefaultFullAccessPolicy
TargetedDomainActionRecipients {}
TargetedDomainProtectionAction NoAction
TargetedDomainQuarantineTag DefaultFullAccessPolicy
TargetedDomainsToProtect {}
TargetedUserActionRecipients {}
TargetedUserProtectionAction NoAction
TargetedUserQuarantineTag DefaultFullAccessPolicy
TargetedUsersToProtect {}

安全な添付ファイルの評価ポリシー設定

設定
名前 評価ポリシー
アクション 許可
ActionOnError *
AdminDisplayName 評価ポリシー
ConfidenceLevelThreshold 80
有効にする はい
EnableOrganizationBranding False
IsBuiltInProtection False
IsDefault False
OperationMode Delay
QuarantineTag AdminOnlyAccessPolicy
RecommendedPolicyType 評価
リダイレクトする False
RedirectAddress 空砲
ScanTimeout 30

* このパラメーターは非推奨となり、使用されなくなりました。

設定
名前 評価ポリシー
AdminDisplayName 評価ポリシー
AllowClickThrough はい
CustomNotificationText 空砲
DeliverMessageAfterScan はい
DisableUrlRewrite はい
DoNotRewriteUrls {}
EnableForInternalSenders False
EnableOrganizationBranding False
EnableSafeLinksForEmail はい
EnableSafeLinksForOffice はい
EnableSafeLinksForTeams はい
IsBuiltInProtection False
LocalizedNotificationTextList {}
RecommendedPolicyType 評価
ScanUrls はい
TrackClicks はい

PowerShell を使用して、監査モードで評価または試用版の受信者の条件と例外を構成する

Defender for Office 365 評価ポリシーに関連付けられているルールは、評価の受信者の条件と例外を制御します。

評価に関連付けられているルールを表示するには、Exchange Online PowerShell で次のコマンドを実行します。

Get-ATPEvaluationRule

Exchange Online PowerShell を使用して評価対象を変更するには、次の構文を使用します。

Set-ATPEvaluationRule -Identity "Evaluation Rule" -SentTo <"user1","user2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -SentToMemberOf <"group1","group2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null> -RecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null>

次の使用例は、指定されたセキュリティ操作 (SecOps) メールボックスの評価からの例外を構成します。

Set-ATPEvaluationRule -Identity "Evaluation Rule" -ExceptIfSentTo "SecOps1","SecOps2"

PowerShell を使用して、監査モードで評価版または試用版を有効または無効にする

監査モードで評価を有効または無効にするには、評価に関連付けられているルールを有効または無効にします。 評価ルールの State プロパティ値は、ルールが [有効] または [無効] のどちらであるかを示します。

次のコマンドを実行して、評価が現在有効か無効かを判断します。

Get-ATPEvaluationRule -Identity "Evaluation Rule" | Format-Table Name,State

次のコマンドを実行して、評価がオンになっている場合はオフにします。

Disable-ATPEvaluationRule -Identity "Evaluation Rule"

次のコマンドを実行して、評価がオフになっている場合はオンにします。

Enable-ATPEvaluationRule -Identity "Evaluation Rule"

ブロック モードのポリシー

前に説明したように、 ブロック モード ポリシーは、 事前設定されたセキュリティ ポリシーの Standard テンプレートを使用して作成されます。

Exchange Online PowerShell を使用して、標準の事前設定されたセキュリティ ポリシーに関連付けられている個々のセキュリティ ポリシーを表示し、事前設定されたセキュリティ ポリシーの受信者の条件と例外を表示および構成するには、「 Exchange Online PowerShell のセキュリティ ポリシーを事前設定する」を参照してください。