Udostępnij za pośrednictwem

Wstępnie ustawione zasady zabezpieczeń w organizacjach w chmurze

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w Microsoft Defender Office 365 Plan 2? Użyj 90-dniowej wersji próbnej usługi Defender for Office 365 w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami wersji próbnej w witrynie Try Microsoft Defender for Office 365.

Wstępnie skonfigurowane zasady zabezpieczeń umożliwiają stosowanie wielu funkcji ochrony poczty e-mail do użytkowników na podstawie naszych zalecanych ustawień. W przeciwieństwie do niestandardowych zasad zagrożeń, które są nieskończenie konfigurowalne, praktycznie wszystkie ustawienia w wstępnie ustawionych zasadach zabezpieczeń nie są konfigurowalne i są oparte na naszych obserwacjach w centrach danych. Ustawienia zasad zagrożeń w wstępnie ustawionych zasadach zabezpieczeń zapewniają równowagę między utrzymywaniem szkodliwej zawartości z dala od użytkowników przy jednoczesnym unikaniu niepotrzebnych zakłóceń.

W zależności od organizacji wstępnie ustawione zasady zabezpieczeń udostępniają wiele funkcji ochrony dostępnych w domyślnych zabezpieczeniach poczty e-mail dla skrzynek pocztowych w chmurze i Microsoft Defender dla Office 365.

Dostępne są następujące wstępnie ustawione zasady zabezpieczeń:

  • Standardowe wstępnie ustawione zasady zabezpieczeń.
  • Ścisłe wstępnie ustawione zasady zabezpieczeń.
  • Wbudowane wstępnie ustawione zasady zabezpieczeń ochrony. Zapewnia podstawową ochronę bezpiecznych załączników i bezpiecznych linków w usłudze Defender dla Office 365 wszystkim użytkownikom, którzy:
    • Nie są wykluczone z wbudowanej ochrony.
    • Nie są uwzględniane w standardowych ani rygorystycznych zasadach zabezpieczeń wstępnie ustawionych.
    • Nie są uwzględniane w niestandardowych zasadach bezpiecznych załączników ani bezpiecznych łączy.

Aby uzyskać szczegółowe informacje na temat tych wstępnie ustawionych zasad zabezpieczeń, zobacz sekcję Dodatek na końcu tego artykułu.

W dalszej części tego artykułu opisano sposób konfigurowania wstępnie ustawionych zasad zabezpieczeń.

Co należy wiedzieć przed rozpoczęciem?

  • Otwórz portal Microsoft Defender pod adresem https://security.microsoft.com. Aby przejść bezpośrednio do strony Wstępnie ustawione zasady zabezpieczeń , użyj polecenia https://security.microsoft.com/presetSecurityPolicies.

  • Aby nawiązać połączenie z programem Exchange Online programu PowerShell, zobacz Łączenie z programem PowerShell Exchange Online.

  • Aby można było wykonać procedury opisane w tym artykule, musisz mieć przypisane uprawnienia. Masz następujące możliwości:

    • Microsoft Defender XDR Ujednolicona kontrola dostępu oparta na rolach (RBAC) (Jeśli Email & do współpracy>w usłudze Defender w celu uzyskania uprawnień Office 365 jest aktywna. Dotyczy tylko portalu usługi Defender, a nie programu PowerShell): autoryzacja i ustawienia/Ustawienia zabezpieczeń/Podstawowe ustawienia zabezpieczeń (zarządzanie) lub Autoryzacja i ustawienia/Ustawienia zabezpieczeń/Podstawowe ustawienia zabezpieczeń (odczyt).

    • uprawnienia Exchange Online:

      • Konfigurowanie wstępnie ustawionych zasad zabezpieczeń: członkostwo w grupach ról Zarządzanie organizacją lub Administrator zabezpieczeń .
      • Dostęp tylko do odczytu do wstępnie ustawionych zasad zabezpieczeń: członkostwo w grupie ról Czytelnik globalny .

    • uprawnienia Microsoft Entra: członkostwo w rolach administratora* globalnego, administratora zabezpieczeń lub czytelnika globalnego daje użytkownikom wymagane uprawnienia i uprawnienia do innych funkcji w usłudze Microsoft 365.

      Ważna

      * Firma Microsoft zdecydowanie opowiada się za zasadą najniższych uprawnień. Przypisanie kont tylko minimalnych uprawnień niezbędnych do wykonywania ich zadań pomaga zmniejszyć zagrożenia bezpieczeństwa i wzmocnić ogólną ochronę organizacji. Administrator globalny to rola o wysokim poziomie uprawnień, którą należy ograniczyć do scenariuszy awaryjnych lub gdy nie możesz użyć innej roli.

Używanie portalu Microsoft Defender do przypisywania użytkownikom standardowych i rygorystycznych wstępnie ustawionych zasad zabezpieczeń

  1. W portalu Microsoft Defender pod adresem https://security.microsoft.comprzejdź do sekcji Zasady współpracy> Email && Reguły>zasad zagrożeń>Wstępnie ustawione zasady zabezpieczeń w sekcji Szablony zasad. Aby przejść bezpośrednio do strony Wstępnie ustawione zasady zabezpieczeń , użyj polecenia https://security.microsoft.com/presetSecurityPolicies.

  2. Podczas pierwszej wizyty na stronie Wstępnie ustawione zasady zabezpieczeń jest prawdopodobne, że ochrona standardowa i ścisła ochrona są wyłączone .

    Przesuń przełącznik tego, który chcesz skonfigurować, do pozycji Włączone, a następnie wybierz pozycję Zarządzaj ustawieniami ochrony, aby uruchomić kreatora konfiguracji.

  3. Na stronie Zastosuj Exchange Online Protection zidentyfikuj wewnętrznych adresatów, którzy otrzymują domyślną ochronę poczty e-mail dla skrzynek pocztowych w chmurze (warunki adresatów):

    • Wszyscy adresaci

    • Konkretni adresaci: skonfiguruj jeden z następujących warunków adresatów, które się pojawią:

      • Użytkownicy: określone skrzynki pocztowe, użytkownicy poczty lub kontakty poczty e-mail.
      • Grupy:
        • Członkowie określonych grup dystrybucyjnych lub grup zabezpieczeń z obsługą poczty (dynamiczne grupy dystrybucyjne nie są obsługiwane).
        • Określone Grupy Microsoft 365 (grupy członkostwa dynamicznego w Tożsamość Microsoft Entra nie są obsługiwane).
      • Domeny: Wszyscy adresaci w organizacji z podstawowym adresem e-mail w określonej akceptowanej domenie.

      Porada

      Poddomeny są automatycznie dołączane, chyba że zostaną one specjalnie wykluczone. Na przykład zasady, które obejmują contoso.com, obejmują również marketing.contoso.com, chyba że marketing.contoso.com zostanie wykluczone.

    Kliknij odpowiednie pole, zacznij wpisywać wartość i wybierz żądaną wartość z wyników. Powtórz ten proces tyle razy, ile jest to konieczne. Aby usunąć istniejącą wartość, wybierz obok wartości.

    W przypadku użytkowników lub grup można użyć większości identyfikatorów (nazwa, nazwa wyświetlana, alias, adres e-mail, nazwa konta itp.), ale w wynikach jest wyświetlana odpowiednia nazwa wyświetlana. W przypadku użytkowników lub grup wprowadź gwiazdkę (*), aby wyświetlić wszystkie dostępne wartości.

    Warunek można użyć tylko raz, ale warunek może zawierać wiele wartości:

    • Wiele wartościtego samego warunku używa logiki OR (na przykład <adresat1> lub <adresat2>). Jeśli adresat pasuje do dowolnej z określonych wartości, zostaną do nich zastosowane zasady.

    • Różne typy warunków używają logiki AND. Adresat musi spełniać wszystkie określone warunki, aby zasady były do nich stosowane. Na przykład należy skonfigurować warunek z następującymi wartościami:

      • Użytkowników: romain@contoso.com
      • Grupy: Kadra kierownicza

      Zasady są stosowane romain@contoso.comtylko wtedy, gdy jest on również członkiem grupy Kierownictwo. W przeciwnym razie zasady nie są do niego stosowane.

    • Brak

    • Wyklucz tych adresatów: jeśli wybrano pozycję Wszyscy adresaci lub Konkretni adresaci, wybierz tę opcję, aby skonfigurować wyjątki adresatów.

      Wyjątku można użyć tylko raz, ale wyjątek może zawierać wiele wartości:

      • Wiele wartościtego samego wyjątku używa logiki OR (na przykład <adresat1> lub <adresat2>). Jeśli adresat pasuje do dowolnej z określonych wartości, zasady nie są do nich stosowane.
      • Różne typy wyjątków używają logiki OR (na przykład <adresat1> lub <członek grupy1> lub <członek domeny domain1>). Jeśli adresat pasuje do żadnej z określonych wartości wyjątku, zasady nie są do nich stosowane.

    Po zakończeniu na stronie Zastosuj Exchange Online Protection wybierz pozycję Dalej.

    Uwaga

    W organizacjach bez usługi Defender for Office 365 wybranie pozycji Dalej spowoduje przejście do strony Przegląd (Krok 9).

  4. Na stronie Apply Defender for Office 365 protection (Zastosuj usługę Defender do ochrony Office 365) zidentyfikuj wewnętrznych adresatów, którzy otrzymują (warunki odbiorcy) lub nie otrzymują (wyjątków adresatów) usługi Defender do ochrony Office 365.

    Ustawienia i zachowanie są dokładnie takie same jak na stronie Zastosuj Exchange Online Protection w poprzednim kroku.

    Możesz również wybrać wcześniej wybranych adresatów , aby używać tych samych adresatów wybranych na poprzedniej stronie.

    Po zakończeniu na stronie Zastosuj usługę Defender do ochrony Office 365 wybierz pozycję Dalej.

    Porada

    Jeśli nie wszyscy użytkownicy w organizacji mają licencje usługi Defender for Office 365, możesz użyć następujących metod, aby zastosować usługę Defender do ochrony Office 365 tylko uprawnionym użytkownikom:

    • Użyj określonych adresatów, aby zidentyfikować użytkowników lub grupy kwalifikujące się do ochrony Office 365 w usłudze Defender.
    • Użyj opcji Wyklucz tych adresatów>Określonych adresatów, aby zidentyfikować użytkowników lub grupy, którzy nie kwalifikują się do ochrony Office 365 w usłudze Defender.

  5. Na stronie Ochrona przed personifikacją wybierz pozycję Dalej.

  6. Na stronie Dodawanie adresów e-mail do flagi podczas personifikacji przez osoby atakujące dodaj wewnętrznych nadawców i nadawców zewnętrznych, którzy są chronieni przez ochronę przed personifikacją użytkowników.

    Uwaga

    Wszyscy adresaci automatycznie otrzymują ochronę przed personifikacją z analizy skrzynki pocztowej w wstępnie ustawionych zasadach zabezpieczeń.

    Możesz określić maksymalnie 350 użytkowników na potrzeby ochrony przed personifikacją użytkowników w standardowych lub ścisłych zasadach zabezpieczeń wstępnie ustawionych.

    Ochrona przed personifikacją użytkownika nie działa, jeśli nadawca i adresat wcześniej komunikowali się za pośrednictwem poczty e-mail. Jeśli nadawca i adresat nigdy nie komunikowali się za pośrednictwem poczty e-mail, wiadomość może zostać zidentyfikowana jako próba personifikacji.

    Każdy wpis składa się z nazwy wyświetlanej i adresu e-mail:

    • Użytkownicy wewnętrzni: kliknij pole Dodaj prawidłową wiadomość e-mail lub zacznij wpisywać adres e-mail użytkownika. Wybierz adres e-mail z wyświetlonej listy rozwijanej Sugerowane kontakty . Nazwa wyświetlana użytkownika jest dodawana do pola Dodaj nazwę (które można zmienić). Po zakończeniu wybierania użytkownika wybierz pozycję Dodaj.

    • Użytkownicy zewnętrzni: wpisz pełny adres e-mail w polu Dodaj prawidłową wiadomość e-mail , a następnie wybierz adres e-mail z wyświetlonej listy rozwijanej Sugerowane kontakty . Adres e-mail jest również dodawany w polu Dodaj nazwę (którą można zmienić na nazwę wyświetlaną).

    Powtórz te kroki tyle razy, ile jest to konieczne.

    Dodaeni użytkownicy są widoczni na stronie według nazwy wyświetlanej i adresu e-mail nadawcy. Aby usunąć użytkownika, wybierz obok wpisu.

    Użyj pola Wyszukaj, aby znaleźć wpisy na stronie.

    Po zakończeniu na stronie Zastosuj usługę Defender do ochrony Office 365 wybierz pozycję Dalej.

  7. Na stronie Dodawanie domen do flagi podczas personifikacji przez osoby atakujące dodaj domeny wewnętrzne i zewnętrzne chronione przez ochronę przed personifikacją domeny.

    Uwaga

    Wszystkie domeny, których jesteś właścicielem (akceptowane domeny), automatycznie otrzymują ochronę przed personifikacją domeny w wstępnie ustawionych zasadach zabezpieczeń.

    Możesz określić maksymalnie 50 domen niestandardowych dla ochrony przed personifikacją domeny w standardowych lub ścisłych zasadach zabezpieczeń wstępnie ustawionych.

    Kliknij pole Dodaj domeny , wprowadź wartość domeny, a następnie naciśnij ENTER lub wybierz wartość wyświetlaną poniżej pola. Aby usunąć domenę z pola i zacząć od nowa, wybierz obok domeny. Gdy wszystko będzie gotowe do dodania domeny, wybierz pozycję Dodaj. Powtórz ten krok tyle razy, ile jest to konieczne.

    Dodane domeny są wyświetlane na stronie. Aby usunąć domenę, wybierz obok wartości.

    Dodane domeny są wyświetlane na stronie. Aby usunąć domenę, wybierz obok wpisu.

    Aby usunąć istniejący wpis z listy, wybierz pozycję obok wpisu.

    Po zakończeniu flagi Dodaj domeny do podszycia się przez osoby atakujące wybierz pozycję Dalej.

  8. Na stronie Dodawanie zaufanych adresów e-mail i domen, aby nie były oznaczane jako personifikacja , wprowadź adresy e-mail i domeny nadawcy, które mają zostać wykluczone z ochrony przed personifikacją. Wiadomości od tych nadawców nigdy nie są oflagowane jako atak personifikacji, ale nadawcy nadal podlegają skanowaniu za pomocą innych filtrów w usługach Microsoft 365 i Defender for Office 365.

    Uwaga

    Wpisy zaufanej domeny nie obejmują poddomen określonej domeny. Musisz dodać wpis dla każdej poddomeny.

    Wprowadź adres e-mail lub domenę w polu, a następnie naciśnij ENTER lub wybierz wartość wyświetlaną poniżej pola. Aby usunąć wartość z pola i zacząć od nowa, wybierz obok wartości. Gdy wszystko będzie gotowe do dodania użytkownika lub domeny, wybierz pozycję Dodaj. Powtórz ten krok tyle razy, ile jest to konieczne.

    Dodanych użytkowników i domen są wyświetlane na stronie według nazwy i typu. Aby usunąć wpis, wybierz pozycję obok wpisu.

    Po zakończeniu na stronie Dodawanie zaufanych adresów e-mail i domen, aby nie oznaczać jako personifikacji , wybierz przycisk Dalej.

  9. Na stronie Przeglądanie i potwierdzanie zmian przejrzyj ustawienia. Możesz wybrać pozycję Wstecz lub określoną stronę w kreatorze, aby zmodyfikować ustawienia.

    Po zakończeniu na stronie Przeglądanie i potwierdzanie zmian wybierz pozycję Potwierdź.

  10. Na stronie Standardowa ochrona zaktualizowana lub Ścisła ochrona wybierz pozycję Gotowe.

Użyj portalu Microsoft Defender, aby zmodyfikować przypisania standardowych i ścisłych wstępnie ustawionych zasad zabezpieczeń

Kroki modyfikowania przypisania wstępnie ustawionych zasad zabezpieczeń ochrony standardowej lub ścisłej ochrony są takie same, jak wtedy, gdy początkowo przypisano wstępnie ustawione zasady zabezpieczeń do użytkowników.

Aby wyłączyć wstępnie ustawione zasady zabezpieczeń ochrony standardowej lub ścisłej ochrony przy zachowaniu istniejących warunków i wyjątków, przesuń przełącznik do pozycji Wyłączone. Aby włączyć zasady, przesuń przełącznik do pozycji Włączone.

Użyj portalu Microsoft Defender, aby dodać wykluczenia do wbudowanych zasad zabezpieczeń wstępnie ustawionych zabezpieczeń

Porada

Wstępnie ustawione zasady zabezpieczeń wbudowanej ochrony są stosowane do wszystkich użytkowników w organizacji z dowolną liczbą licencji usługi Defender dla Office 365. Zastosowanie tej ochrony jest w duchu zabezpieczania najszerszego zestawu użytkowników, dopóki administratorzy nie skonfigurują usługi Defender pod kątem ochrony Office 365. Ponieważ wbudowana ochrona jest domyślnie włączona, klienci nie muszą martwić się o naruszenie warunków licencjonowania produktów. Zalecamy jednak zakup wystarczającej liczby licencji usługi Defender dla Office 365, aby zapewnić kontynuację wbudowanej ochrony dla wszystkich użytkowników.

Wbudowane zasady zabezpieczeń wstępnie zdefiniowane ochrony nie mają wpływu na adresatów zdefiniowanych w standardowych lub ścisłych zasadach zabezpieczeń wstępnie ustawionych ani w niestandardowych zasadach bezpiecznych linków lub bezpiecznych załączników. W związku z tym zazwyczaj nie zalecamy wyjątków od wstępnie ustawionych zasad zabezpieczeń wbudowanej ochrony, chyba że chcesz wykluczyć użytkowników, którzy nie kwalifikują się do ochrony bezpiecznych linków i bezpiecznych załączników (użytkownicy, którzy nie mają usługi Defender dla licencji Office 365).

  1. W portalu Microsoft Defender pod adresem https://security.microsoft.comprzejdź do sekcji Zasady współpracy> Email && Reguły>zasad zagrożeń>Wstępnie ustawione zasady zabezpieczeń w sekcji Szablony zasad. Aby przejść bezpośrednio do strony Wstępnie ustawione zasady zabezpieczeń , użyj polecenia https://security.microsoft.com/presetSecurityPolicies.

  2. Na stronie Ustawienia wstępne zasad zabezpieczeń wybierz pozycję Dodaj wykluczenia (niezalecane) w sekcji Wbudowana ochrona .

  3. W wyświetlonym wysuwu Wyklucz z wbudowanej ochrony zidentyfikuj wewnętrznych adresatów wykluczonych z wbudowanej ochrony bezpiecznych linków i bezpiecznych załączników:

    • Użytkownicy
    • Grupy:
      • Członkowie określonych grup dystrybucyjnych lub grup zabezpieczeń z obsługą poczty (dynamiczne grupy dystrybucyjne nie są obsługiwane).
      • Określone Grupy Microsoft 365 (grupy członkostwa dynamicznego w Tożsamość Microsoft Entra nie są obsługiwane).
    • Domeny

    Kliknij odpowiednie pole, zacznij wpisywać wartość, a następnie wybierz wartość wyświetlaną poniżej pola. Powtórz ten proces tyle razy, ile jest to konieczne. Aby usunąć istniejącą wartość, wybierz obok wartości.

    W przypadku użytkowników lub grup można użyć większości identyfikatorów (nazwa, nazwa wyświetlana, alias, adres e-mail, nazwa konta itp.), ale w wynikach jest wyświetlana odpowiednia nazwa wyświetlana. W przypadku użytkowników wprowadź gwiazdkę (*), aby wyświetlić wszystkie dostępne wartości.

    Wyjątku można użyć tylko raz, ale wyjątek może zawierać wiele wartości:

    • Wiele wartościtego samego wyjątku używa logiki OR (na przykład <adresat1> lub <adresat2>). Jeśli adresat pasuje do dowolnej z określonych wartości, zasady nie są do nich stosowane.
    • Różne typy wyjątków używają logiki OR (na przykład <adresat1> lub <członek grupy1> lub <członek domeny domain1>). Jeśli adresat pasuje do żadnej z określonych wartości wyjątku, zasady nie są do nich stosowane.

  4. Po zakończeniu pracy z wysuwem Wyklucz z wbudowanej ochrony wybierz pozycję Zapisz.

Skąd wiesz, że te procedury zadziałają?

Aby sprawdzić, czy użytkownikowi pomyślnie przypisano zasady ochrony standardowej lub zabezpieczeń ścisłej ochrony , użyj ustawienia ochrony, w którym wartość domyślna jest inna niż ustawienie ochrony standardowej , które różni się od ustawienia Ścisła ochrona .

Na przykład w przypadku wiadomości e-mail zidentyfikowanych jako spam (nie spam o wysokim poziomie zaufania) sprawdź, czy wiadomość została dostarczona do folderu Junk Email dla użytkowników ochrony w warstwie Standardowa i poddana kwarantannie dla użytkowników o ścisłej ochronie.

W przypadku poczty zbiorczej sprawdź, czy wartość BCL 6 lub nowsza dostarcza wiadomość do folderu Junk Email dla użytkowników ochrony w warstwie Standardowa, a wartość BCL 5 lub nowsza kwarantannie wiadomości dla użytkowników ścisłej ochrony.

Wstępnie ustawione zasady zabezpieczeń w programie Exchange Online PowerShell

W programie PowerShell wstępnie ustawione zasady zabezpieczeń składają się z następujących elementów:

W poniższych sekcjach opisano sposób używania tych poleceń cmdlet w obsługiwanych scenariuszach.

Aby nawiązać połączenie z programem Exchange Online programu PowerShell, zobacz Łączenie z programem PowerShell Exchange Online.

Używanie programu PowerShell do wyświetlania poszczególnych zasad zagrożeń w wstępnie ustawionych zasadach zabezpieczeń

Pamiętaj, że jeśli nigdy nie włączono wstępnie ustawionych zasad zabezpieczeń w warstwie Standardowa lub ścisłych zasad zabezpieczeń wstępnie ustawionych w portalu Microsoft Defender, skojarzone zasady zagrożeń dla wstępnie ustawionych zasad zabezpieczeń nie istnieją.

  • Wbudowane zasady zabezpieczeń wstępnie ustawione ochrony: skojarzone zasady mają nazwę Built-In Protection Policy. Wartość właściwości IsBuiltInProtection ma wartość True dla tych zasad.

    Aby wyświetlić zasady poszczególnych zagrożeń dla wbudowanych zasad zabezpieczeń wstępnie ustawionych ochrony, uruchom następujące polecenie:

    Write-Output -InputObject ("`r`n"*3),"Built-in protection Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy -Identity "Built-In Protection Policy" | Format-List; Write-Output -InputObject ("`r`n"*3),"Built-in protection Safe Links policy",("-"*79);Get-SafeLinksPolicy -Identity "Built-In Protection Policy" | Format-List

  • Standardowe wstępnie ustawione zasady zabezpieczeń: skojarzone zasady zagrożeń mają nazwę Standard Preset Security Policy<13-digit number>. Na przykład Standard Preset Security Policy1622650008019. Wartość właściwości RecommendPolicyType dla zasad to Standardowa.

    • Aby wyświetlić zasady poszczególnych zagrożeń dla wstępnie ustawionych zasad zabezpieczeń w warstwie Standardowa w organizacjach z domyślną ochroną poczty e-mail tylko dla skrzynek pocztowych w chmurze, uruchom następujące polecenie:

      Write-Output -InputObject ("`r`n"*3),"Standard anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"

    • Aby wyświetlić zasady poszczególnych zagrożeń dla wstępnie ustawionych zasad zabezpieczeń w warstwie Standardowa w organizacjach z usługą Defender for Office 365, uruchom następujące polecenie:

      Write-Output -InputObject ("`r`n"*3),"Standard anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"

  • Ścisłe wstępnie ustawione zasady zabezpieczeń: skojarzone zasady zagrożeń mają nazwę Strict Preset Security Policy<13-digit number>. Na przykład Strict Preset Security Policy1642034872546. Wartość właściwości RecommendPolicyType dla zasad jest ścisła.

    • Aby wyświetlić zasady poszczególnych zagrożeń dla rygorystycznych wstępnie ustawionych zasad zabezpieczeń w organizacjach z domyślną ochroną poczty e-mail tylko dla skrzynek pocztowych w chmurze, uruchom następujące polecenie:

      Write-Output -InputObject ("`r`n"*3),"Strict anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"

    • Aby wyświetlić zasady poszczególnych zagrożeń dla rygorystycznych zasad zabezpieczeń wstępnie ustawionych w organizacjach z usługą Defender for Office 365, uruchom następujące polecenie:

      Write-Output -InputObject ("`r`n"*3),"Strict anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"

Wyświetlanie reguł wstępnie ustawionych zasad zabezpieczeń przy użyciu programu PowerShell

Pamiętaj, że jeśli w portalu Microsoft Defender nigdy nie włączono wstępnie ustawionych zasad zabezpieczeń w warstwie Standardowa lub ścisłych zasad zabezpieczeń wstępnie ustawionych, skojarzone reguły dla tych zasad nie istnieją.

  • Wbudowane zasady zabezpieczeń wstępnie ustawionej ochrony: istnieje tylko jedna reguła o nazwie ATP Built-In Protection Rule.

    Aby wyświetlić regułę skojarzoną z wstępnie ustawionymi zasadami zabezpieczeń wbudowanej ochrony, uruchom następujące polecenie:

    Get-ATPBuiltInProtectionRule

  • Standardowe wstępnie ustawione zasady zabezpieczeń: skojarzone reguły mają nazwę Standardowe wstępnie ustawione zasady zabezpieczeń.

    Użyj następujących poleceń, aby wyświetlić reguły skojarzone z wstępnie ustawionymi zasadami zabezpieczeń w warstwie Standardowa:

    • Aby wyświetlić regułę skojarzoną z domyślnymi zabezpieczeniami poczty e-mail dla skrzynek pocztowych w chmurze w standardowych zasadach zabezpieczeń wstępnie ustawionych, uruchom następujące polecenie:

      Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"

    • Aby wyświetlić regułę skojarzoną z usługą Defender dla ochrony Office 365 w wstępnie ustawionych zasadach zabezpieczeń w warstwie Standardowa, uruchom następujące polecenie:

      Get-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"

    • Aby wyświetlić obie reguły w tym samym czasie, uruchom następujące polecenie:

      Write-Output -InputObject ("`r`n"*3),"EOP rule - Standard preset security policy",("-"*79);Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"; Write-Output -InputObject ("`r`n"*3),"Defender for Office 365 rule - Standard preset security policy",("-"*79);Get-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"

  • Ścisłe wstępnie ustawione zasady zabezpieczeń: skojarzone reguły mają nazwę Strict Preset Security Policy.Strict Preset Security Policy (Ścisłe wstępnie ustawione zasady zabezpieczeń).

    Użyj następujących poleceń, aby wyświetlić reguły skojarzone z rygorystycznymi wstępnie ustawionymi zasadami zabezpieczeń:

    • Aby wyświetlić regułę skojarzoną z domyślną ochroną poczty e-mail dla skrzynek pocztowych w chmurze , uruchom następujące polecenie:

      Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"

    • Aby wyświetlić regułę skojarzoną z usługą Defender dla ochrony Office 365 w zasadach ścisłych zabezpieczeń wstępnie ustawionych, uruchom następujące polecenie:

      Get-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"

    • Aby wyświetlić obie reguły w tym samym czasie, uruchom następujące polecenie:

      Write-Output -InputObject ("`r`n"*3),"EOP rule - Strict preset security policy",("-"*79);Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"; Write-Output -InputObject ("`r`n"*3),"Defender for Office 365 rule - Strict preset security policy",("-"*79);Get-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"

Włączanie lub wyłączanie wstępnie ustawionych zasad zabezpieczeń za pomocą programu PowerShell

Aby włączyć lub wyłączyć wstępnie ustawione zasady zabezpieczeń w warstwie Standardowa lub Ścisła w programie PowerShell, włącz lub wyłącz reguły skojarzone z zasadami. Wartość właściwości State reguły pokazuje, czy reguła jest włączona, czy wyłączona.

Jeśli twoja organizacja ma domyślną ochronę poczty e-mail tylko dla skrzynek pocztowych w chmurze, należy wyłączyć lub włączyć regułę domyślnej ochrony poczty e-mail.

Jeśli twoja organizacja ma usługę Defender for Office 365, należy włączyć lub wyłączyć regułę domyślnej ochrony poczty e-mail dla skrzynek pocztowych w chmurze oraz regułę ochrony Office 365 w usłudze Defender (włącz lub wyłącz obie reguły).

  • Organizacje z domyślną ochroną poczty e-mail tylko dla skrzynek pocztowych w chmurze:

    • Uruchom następujące polecenie, aby określić, czy reguły standardowych i ścisłych wstępnie ustawionych zasad zabezpieczeń są obecnie włączone lub wyłączone:

      Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50); Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50); Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy" | Format-Table Name,State

    • Uruchom następujące polecenie, aby wyłączyć wstępnie ustawione zasady zabezpieczeń w warstwie Standardowa:

      Disable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"

    • Uruchom następujące polecenie, aby wyłączyć ścisłe wstępnie ustawione zasady zabezpieczeń:

      Disable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"

    • Uruchom następujące polecenie, aby włączyć wstępnie ustawione zasady zabezpieczeń w warstwie Standardowa:

      Enable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"

    • Uruchom następujące polecenie, aby włączyć ścisłe wstępnie ustawione zasady zabezpieczeń:

      Enable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"

  • Organizacje z usługą Defender for Office 365:

    • Uruchom następujące polecenie, aby określić, czy reguły standardowych i ścisłych wstępnie ustawionych zasad zabezpieczeń są obecnie włączone lub wyłączone:

      Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50);Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject `r`n,"Defender for Office 365 protection rule",("-"*50);Get-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50);Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject `r`n,"Defender for Office 365 protection rule",("-"*50);Get-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy" | Format-Table Name,State

    • Uruchom następujące polecenie, aby wyłączyć wstępnie ustawione zasady zabezpieczeń w warstwie Standardowa:

      Disable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"; Disable-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"

    • Uruchom następujące polecenie, aby wyłączyć ścisłe wstępnie ustawione zasady zabezpieczeń:

      Disable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"; Disable-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"

    • Uruchom następujące polecenie, aby włączyć wstępnie ustawione zasady zabezpieczeń w warstwie Standardowa:

      Enable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"; Enable-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"

    • Uruchom następujące polecenie, aby włączyć ścisłe wstępnie ustawione zasady zabezpieczeń:

      Enable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"; Enable-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"

Używanie programu PowerShell do określania warunków adresatów i wyjątków dla wstępnie ustawionych zasad zabezpieczeń

Warunek adresata lub wyjątek można użyć tylko raz, ale warunek lub wyjątek może zawierać wiele wartości:

  • Wiele wartościtego samego warunku lub wyjątku używa logiki OR (na przykład <adresat1> lub <adresat2>):

    • Warunki: jeśli adresat pasuje do dowolnej z określonych wartości, zasady są do nich stosowane.
    • Wyjątki: jeśli adresat pasuje do dowolnej z określonych wartości, zasady nie są do nich stosowane.

  • Różne typy wyjątków używają logiki OR (na przykład <adresat1> lub <członek grupy1> lub <członek domeny domain1>). Jeśli adresat pasuje do żadnej z określonych wartości wyjątku, zasady nie są do nich stosowane.

  • Różne typy warunków używają logiki AND. Adresat musi spełniać wszystkie określone warunki, aby zasady były do nich stosowane. Na przykład należy skonfigurować warunek z następującymi wartościami:

    • Użytkowników: romain@contoso.com
    • Grupy: Kadra kierownicza

    Zasady są stosowane romain@contoso.comtylko wtedy, gdy jest on również członkiem grupy Kierownictwo. W przeciwnym razie zasady nie są do niego stosowane.

W przypadku wbudowanych zasad zabezpieczeń wstępnie ustawionych ochrony można określić tylko wyjątki adresatów. Jeśli wszystkie wartości parametrów wyjątku są puste ($null), nie ma wyjątków od zasad.

W przypadku standardowych i ścisłych wstępnie ustawionych zasad zabezpieczeń można określić warunki i wyjątki adresatów dla domyślnych zabezpieczeń poczty e-mail dla skrzynek pocztowych w chmurze i usługi Defender na potrzeby ochrony Office 365. Jeśli wszystkie warunki i wartości parametrów wyjątków są puste ($null), nie ma żadnych warunków adresatów ani wyjątków od standardowych lub ścisłych zasad zabezpieczeń wstępnie ustawionych.

  • Wbudowane wstępnie ustawione zasady zabezpieczeń ochrony:

    Należy stosować następującą składnię:

    Set-ATPBuiltInProtectionRule -Identity "ATP Built-In Protection Rule" -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null>

    W tym przykładzie usunięto wszystkie wyjątki adresatów z zasad zabezpieczeń wstępnie ustawionych wbudowanej ochrony.

    Set-ATPBuiltInProtectionRule -Identity "ATP Built-In Protection Rule" -ExceptIfRecipientDomainIs $null -ExceptIfSentTo $null -ExceptIfSentToMemberOf $null

    Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz Set-ATPBuiltInProtectionRule.

  • Standardowe lub ścisłe wstępnie ustawione zasady zabezpieczeń

    Należy stosować następującą składnię:

    <Set-EOPProtectionPolicyRule | SetAtpProtectionPolicyRule> -Identity "<Standard Preset Security Policy | Strict Preset Security Policy>" -SentTo <"user1","user2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -SentToMemberOf <"group1","group2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null> -RecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null>

    W tym przykładzie konfiguruje członków grupy dystrybucyjnej Kierownictwo jako wyjątki od domyślnej ochrony poczty e-mail dla skrzynek pocztowych w chmurze w standardowych zasadach zabezpieczeń wstępnie ustawionych.

    Set-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy" -ExceptIfSentToMemberOf Executives

    W tym przykładzie określone skrzynki pocztowe operacji zabezpieczeń (SecOps) są konfigurowane jako wyjątki od usługi Defender w celu Office 365 ochrony w zasadach zabezpieczeń wstępnie ustawionych w warstwie Standardowa.

    Set-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy" -ExceptIfSentTo "SecOps1","SecOps2"

    Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz Set-EOPProtectionPolicyRule i Set-ATPProtectionPolicyRule.

Dodatek

Wstępnie ustawione zasady zabezpieczeń składają się z następujących elementów:

Te elementy zostały opisane w poniższych sekcjach.

Ponadto ważne jest, aby zrozumieć, jak wstępnie ustawione zasady zabezpieczeń pasują do kolejności pierwszeństwa względem innych zasad.

Profile w wstępnie ustawionych zasadach zabezpieczeń

Profil określa poziom ochrony. Następujące profile są dostępne dla wstępnie ustawionych zasad zabezpieczeń:

  • Standardowa ochrona: profil punktu odniesienia odpowiedni dla większości użytkowników.
  • Ścisła ochrona: bardziej agresywny profil dla wybranych użytkowników (użytkownicy o wysokiej wartości lub użytkownicy o wysokim priorytecie).
  • Wbudowana ochrona (Microsoft Defender tylko dla Office 365): skutecznie zapewnia domyślne zasady zagrożeń tylko dla bezpiecznych linków i bezpiecznych załączników.

Ogólnie rzecz biorąc, profil ścisłej ochrony ma tendencję do kwarantanny mniej szkodliwych wiadomości e-mail (na przykład zbiorczych i spamowych) niż profil ochrony standardowej , ale wiele ustawień w obu profilach jest takich samych (w szczególności w przypadku niewątpliwie szkodliwych wiadomości e-mail, takich jak złośliwe oprogramowanie lub wyłudzanie informacji). Aby zapoznać się z porównaniem różnic ustawień, zobacz tabele w następnej sekcji.

Dopóki nie włączysz profilów i nie przypiszesz do nich użytkowników, wstępnie ustawione zasady zabezpieczeń Standardowa i Ścisła nie zostaną przypisane do nikojego. Z kolei zasady zabezpieczeń wbudowanej ochrony są domyślnie przypisane do wszystkich adresatów, ale można skonfigurować wyjątki.

Ważna

Jeśli nie skonfigurujesz wyjątków od wstępnie ustawionych zasad zabezpieczeń wbudowanej ochrony, wszyscy adresaci w organizacji otrzymają ochronę bezpiecznych linków i bezpiecznych załączników.

Zasady w wstępnie ustawionych zasadach zabezpieczeń

Wstępnie ustawione zasady zabezpieczeń używają specjalnych wersji poszczególnych zasad zagrożeń dla domyślnych zabezpieczeń poczty e-mail dla skrzynek pocztowych w chmurze i dla Microsoft Defender dla Office 365. Te zasady są tworzone po przypisaniu wstępnie ustawionych zasad zabezpieczeń ochrony standardowej lub ścisłej ochrony do użytkowników.

  • Zasady zagrożeń w domyślnych zabezpieczeniach poczty e-mail dla skrzynek pocztowych w chmurze: te zasady znajdują się we wszystkich organizacjach ze skrzynkami pocztowymi w chmurze:

    Uwaga

    Zasady wychodzącego spamu nie są częścią wstępnie ustawionych zasad zabezpieczeń. Domyślne zasady spamu wychodzącego automatycznie chronią elementy członkowskie wstępnie ustawionych zasad zabezpieczeń. Możesz też utworzyć niestandardowe zasady spamu wychodzącego, aby dostosować ochronę dla członków wstępnie ustawionych zasad zabezpieczeń. Aby uzyskać więcej informacji, zobacz Konfigurowanie filtrowania spamu wychodzącego.

  • Zasady zagrożeń w Microsoft Defender dla Office 365: te zasady znajdują się w organizacjach z subskrypcjami dodatków Microsoft 365 E5 lub Defender dla Office 365:

Zgodnie z wcześniejszym opisem można zastosować domyślne zabezpieczenia poczty e-mail do innych użytkowników niż usługa Defender w celu ochrony Office 365 lub wszystkie zabezpieczenia dla tych samych adresatów.

Ustawienia zasad w wstępnie ustawionych zasadach zabezpieczeń

Nie można modyfikować poszczególnych zasad zagrożeń w wstępnie ustawionych profilach ochrony zabezpieczeń. Zasady zagrożeń skojarzone ze standardowymi lub ścisłymi wstępnie ustawionymi zasadami zabezpieczeń są zawsze stosowane przed domyślnymi lub niestandardowymi zasadami zagrożeń, a zasady ścisłe są zawsze stosowane przed zasadami standardowymi zgodnie z opisem w sekcji Kolejność pierwszeństwa w tym artykule

Należy jednak skonfigurować poszczególnych użytkowników (nadawców) i domeny, aby otrzymywali ochronę przed personifikacją w usłudze Defender dla Office 365. W przeciwnym razie wstępnie ustawione zasady zabezpieczeń automatycznie konfiguruje następujące typy ochrony przed personifikacją:

Różnice w istotnych ustawieniach zasad w wstępnie ustawionych zasadach zabezpieczeń w warstwie Standardowa i wstępnie ustawionych zasadach zabezpieczeń są podsumowane w poniższej tabeli:

  Standardowy Surowy
Zasady ochrony przed złośliwym oprogramowaniem Brak różnicy Brak różnicy
Zasady ochrony przed spamem
  Akcja wykrywania na poziomie zgodności zbiorczej (BCL) została osiągnięta lub przekroczona (BulkSpamAction) Przenoszenie wiadomości do folderu Email-śmieci (MoveToJmf) Komunikat kwarantanny (Quarantine)
   Próg zbiorczej poczty e-mail (BulkThreshold) 6 5
  Akcja wykrywania spamu (SpamAction) Przenoszenie wiadomości do folderu Email-śmieci (MoveToJmf) Komunikat kwarantanny (Quarantine)
Zasady ochrony przed wyłudzaniem informacji
   Jeśli komunikat zostanie wykryty jako sfałszowany przez analizę fałszowania (AuthenticationFailAction) Przenoszenie wiadomości do folderu Email-śmieci (MoveToJmf) Komunikat kwarantanny (Quarantine)
Pokaż pierwszą poradę bezpieczeństwa kontaktu (EnableFirstContactSafetyTips) Wybrane ($true) Wybrane ($true)
   Jeśli analiza skrzynki pocztowej wykryje personifikowanego użytkownika (MailboxIntelligenceProtectionAction) Przenoszenie wiadomości do folderu Email-śmieci (MoveToJmf) Komunikat kwarantanny (Quarantine)
   Próg wiadomości e-mail wyłudzającej informacje (PhishThresholdLevel) 3 — Bardziej agresywne (3) 4 — Najbardziej agresywne (4)
Zasady bezpiecznych załączników Brak różnicy Brak różnicy
Zasady bezpiecznych linków Brak różnicy Brak różnicy

Różnice w ustawieniach bezpiecznych załączników i bezpiecznych łączy w zasadach zabezpieczeń Wbudowana ochrona, Standardowa i Ścisłe wstępnie ustawione są podsumowane w poniższej tabeli:

  Wbudowana ochrona Standardowe i ścisłe
Zasady bezpiecznych załączników Brak różnicy Brak różnicy
Zasady bezpiecznych linków
   Zezwalaj użytkownikom na klikanie oryginalnego adresu URL (AllowClickThrough) Wybrane ($true) Nie zaznaczono ($false)
   Nie należy ponownie pisać adresów URL, sprawdzaj tylko za pośrednictwem interfejsu API bezpiecznych łączy (DisableURLRewrite) Wybrane ($true) Nie zaznaczono ($false)
   Stosowanie bezpiecznych linków do wiadomości e-mail wysyłanych w organizacji (EnableForInternalSenders) Nie zaznaczono ($false) Wybrane ($true)

Aby uzyskać szczegółowe informacje na temat tych ustawień, zobacz tabele funkcji w temacie Zalecane ustawienia zasad zabezpieczeń poczty e-mail i współpracy dla organizacji w chmurze.

Kolejność pierwszeństwa dla wstępnie ustawionych zasad zabezpieczeń i innych zasad zagrożeń

Gdy adresat jest zdefiniowany w wielu zasadach, zasady są stosowane w następującej kolejności:

  1. Ścisłe wstępnie ustawione zasady zabezpieczeń.
  2. Standardowe wstępnie ustawione zasady zabezpieczeń.
  3. Zasady oceny usługi Defender dla Office 365
  4. Niestandardowe zasady zagrożeń oparte na priorytecie zasad (niższa liczba wskazuje wyższy priorytet).
  5. Wbudowane zasady zabezpieczeń wstępnie ustawione dla bezpiecznych linków i bezpiecznych załączników; domyślne zasady zagrożeń dla ochrony przed złośliwym oprogramowaniem, ochrony przed spamem i ochrony przed wyłudzaniem informacji.

Ta kolejność jest wyświetlana na stronach zasad poszczególnych zagrożeń w portalu usługi Defender (zasady są stosowane w kolejności wyświetlanej na stronie).

Na przykład administrator konfiguruje wstępnie ustawione zasady zabezpieczeń w warstwie Standardowa i niestandardowe zasady ochrony przed spamem z tymi samymi adresatami. Ustawienia zasad ochrony przed spamem ze standardowych wstępnie ustawionych zasad zabezpieczeń są stosowane do użytkowników zamiast do ustawień niestandardowych zasad ochrony przed spamem lub domyślnych zasad ochrony przed spamem.

Rozważ zastosowanie standardowych lub ścisłych wstępnie ustawionych zasad zabezpieczeń do podzestawu użytkowników i zastosuj niestandardowe zasady zagrożeń do innych użytkowników w organizacji. Aby spełnić to wymaganie, rozważ następujące metody:

  • Użyj jednoznacznych grup lub list adresatów w standardowych wstępnie ustawionych zasad zabezpieczeń, ścisłych wstępnie ustawionych zabezpieczeń i niestandardowych zasad zagrożeń, aby wyjątki nie były wymagane. Przy użyciu tej metody nie trzeba uwzględniać wielu zasad mających zastosowanie do tych samych użytkowników i skutków kolejności pierwszeństwa.
  • Jeśli nie możesz uniknąć stosowania wielu zasad do tych samych użytkowników, użyj następujących strategii:
    • Skonfiguruj adresatów, którzy powinni pobrać ustawienia wstępnie ustawionych zasad zabezpieczeń w warstwie Standardowa i niestandardowych zasad zagrożeń jako wyjątki w ścisłych zasadach zabezpieczeń wstępnie ustawionych.
    • Skonfiguruj adresatów, którzy powinni pobierać ustawienia niestandardowych zasad zagrożeń jako wyjątki w wstępnie ustawionych zasadach zabezpieczeń w warstwie Standardowa .
    • Skonfiguruj adresatów, którzy powinni pobrać ustawienia wstępnie ustawionych zasad zabezpieczeń wbudowanej ochrony lub domyślnych zasad zagrożeń jako wyjątki od niestandardowych zasad zagrożeń.

Wbudowane zasady zabezpieczeń wstępnie ustawione ochrony nie mają wpływu na adresatów w istniejących zasadach bezpiecznych linków ani bezpiecznych załączników. Jeśli skonfigurowano już ochronę standardową, ścisłą ochronę, niestandardowe zasady bezpiecznych łączy lub niestandardowe zasady bezpiecznych załączników, te zasady są zawsze stosowane przedwbudowaną ochroną.

Aby uzyskać więcej informacji, zobacz Kolejność i pierwszeństwo ochrony poczty e-mail.

  • Last updated on