Configurar políticas anti-phishing em EOP

• Aplica-se a:

  ✅ Exchange Online Protection

Dica

Você sabia que pode experimentar os recursos no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Use a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever e testar termos aqui.

No Microsoft 365 organizações com caixas de correio em organizações Exchange Online ou EOP (Proteção do Exchange Online autônomo) sem caixas de correio Exchange Online, as políticas anti-phishing fornecem proteção anti-falsificação. Para saber mais, confira Configurações de inteligência contra falsificação nas políticas anti phishing.

A política anti-phishing padrão se aplica automaticamente a todos os destinatários. Para maior granularidade, você também pode criar políticas anti-phishing personalizadas que se aplicam a usuários, grupos ou domínios específicos em sua organização.

Você configura políticas anti-phishing no portal do Microsoft Defender ou no PowerShell (Exchange Online PowerShell para organizações do Microsoft 365 com caixas de correio em Exchange Online; EOP PowerShell autônomo para organizações sem caixas de correio Exchange Online).

Para procedimentos de política anti-phishing em organizações com Microsoft Defender para Office 365, consulte Configurar políticas anti-phishing no Microsoft Defender para Office 365.

Do que você precisa saber para começar?

• Abra o portal Microsoft Defender em https://security.microsoft.com. Para ir diretamente para a página Anti-phishing , use https://security.microsoft.com/antiphishing.

• Para se conectar ao PowerShell do Exchange Online, confira Conectar ao PowerShell do Exchange Online. Para se conectar ao EOP PowerShell autônomo, consulte Conectar-se ao PowerShell do Exchange Online Protection..

• Você precisa receber permissões para fazer os procedimentos neste artigo. Você tem as seguintes opções:

  • Microsoft Defender XDR RBAC (controle de acesso baseado em função unificada) (afeta apenas o portal do Defender, não o PowerShell): configurações e configurações de segurança/Configurações de segurança principal/configurações de segurança principal (gerenciar) ou Configurações e configurações/Configurações de segurança/Configurações de Segurança Principal (leitura).
  • Exchange Online permissões:
    • Adicionar, modificar e excluir políticas: Associação nos grupos de funções gerenciamento de organização ou administrador de segurança .
    • Acesso somente leitura a políticas: associação aos grupos de funções Leitor Global, Leitor de Segurança ou Gerenciamento de Organização Somente Exibição .
  • Microsoft Entra permissões: a associação nas funções Administrador Global, Administrador de Segurança, Leitor Global ou Leitor de Segurança fornece aos usuários as permissões e permissões necessárias para outros recursos no Microsoft 365.

• Para obter nossas configurações recomendadas para políticas anti-phishing no Defender para Office 365, consulte Política anti-phishing em configurações de Defender para Office 365.

  Dica

  As configurações nas políticas anti-phishing padrão ou personalizadas são ignoradas se um destinatário também estiver incluído nas políticas de segurança predefinidas Standard ou Strict. Para obter mais informações, consulte Ordem e precedência da proteção por email.

• Permitir até 30 minutos para que uma política nova ou atualizada seja aplicada.

Usar o portal Microsoft Defender para criar políticas anti-phishing

1. No portal Microsoft Defender no https://security.microsoft.com, acesse Email & Políticas de Colaboração>& Regras>Políticas>de Ameaças Anti-phishing na seção Políticas. Para ir diretamente para a página Anti-phishing , use https://security.microsoft.com/antiphishing.

2. Na página Anti-phishing , selecione Criar para abrir o novo assistente de política anti-phishing.

3. Na página Nome da política , configure estas configurações:

   • Nome: insira um nome exclusivo e descritivo para a política.
   • Descrição: insira uma descrição opcional para a política.

   Quando terminar na página Nome da política , selecione Avançar.

4. Na página Usuários, grupos e domínios , identifique os destinatários internos aos quais a política se aplica (condições do destinatário):

   • Usuários: As caixas de correio, usuários de email ou contatos de email especificados.
   • Grupos:
     • Membros dos grupos de distribuição especificados ou grupos de segurança habilitados para email (grupos de distribuição dinâmica não têm suporte).
     • Os Grupos do Microsoft 365 especificados.
   • Domínios: todos os destinatários da organização com um endereço de email principal no domínio aceito especificado.

   Clique na caixa apropriada, comece a digitar um valor e selecione o valor desejado dos resultados. Repita esse processo quantas vezes for necessário. Para remover um valor existente, selecione ao lado do valor.

   Para usuários ou grupos, você pode usar a maioria dos identificadores (nome, nome de exibição, alias, endereço de email, nome da conta etc.), mas o nome de exibição correspondente será mostrado nos resultados. Para usuários ou grupos, insira um asterisco (*) por si só para ver todos os valores disponíveis.

   Você pode usar uma condição apenas uma vez, mas a condição pode conter vários valores:

   • Vários valores da mesma condição usam a lógica OR (por exemplo, <destinatário1> ou <destinatário2>). Se o destinatário corresponder a qualquer um dos valores especificados, a política será aplicada a eles.

   • Diferentes tipos de condições usam a lógica AND. O destinatário deve corresponder a todas as condições especificadas para que a política se aplique a elas. Por exemplo, você configura uma condição com os seguintes valores:

     • Usuários: romain@contoso.com
     • Grupos: Executivos

     A política só será aplicada romain@contoso.com se ele também for membro do grupo Executivos. Caso contrário, a política não é aplicada a ele.

   • Exclua esses usuários, grupos e domínios: Para adicionar exceções para os destinatários internos aos quais a política se aplica (exceções de destinatário), selecione esta opção e configure as exceções.

     Você pode usar uma exceção apenas uma vez, mas a exceção pode conter vários valores:

     • Vários valores da mesma exceção usam a lógica OR (por exemplo, <destinatário1> ou <destinatário2>). Se o destinatário corresponder a qualquer um dos valores especificados, a política não será aplicada a eles.
     • Diferentes tipos de exceções usam a lógica OR (por exemplo, <destinatário1> ou <membro do grupo1> ou <membro do domain1>). Se o destinatário corresponder a qualquer um dos valores de exceção especificados, a política não será aplicada a eles.

   Quando terminar na página Usuários, grupos e domínios , selecione Avançar.

5. Na página proteção & limite de phishing, use a caixa Habilitar inteligência falsa marcar para ativar ou desativar a inteligência falsa. Essa configuração é selecionada por padrão e é recomendável deixá-la selecionada. Especifique a ação para receber mensagens de remetentes falsificados bloqueados na próxima página.

   Para desativar a inteligência falsa, desmarque a caixa marcar.

   Observação

   Você não precisará desativar a inteligência falsa se o registro MX não apontar para o Microsoft 365; em vez disso, você habilita a Filtragem Aprimorada para Conectores. Para obter instruções, consulte Filtragem Avançada para Conectores no Exchange Online.

   Quando terminar o limite de phishing & página de proteção , selecione Avançar.

6. Na página Ações , configure as seguintes configurações:

   • Honor DMARC record policy when the message is detect as spoof: This setting is selected by default, and allows you to control what happens to messages where the sender fail explicit DMARC checks and the DMARC policy is set to p=quarantine or p=reject:

     • Se a mensagem for detectada como falsificação e a Política DMARC for definida como p=quarentena: selecione uma das seguintes ações:

       • Colocar em quarentena a mensagem: esse é o valor padrão.
       • Mover mensagem para as pastas Email lixo eletrônico dos destinatários

     • Se a mensagem for detectada como falsificação e a Política DMARC for definida como p=reject: selecione uma das seguintes ações:

       • Colocar em quarentena a mensagem
       • Rejeitar a mensagem: esse é o valor padrão.

     Para obter mais informações, consulte Proteção falsificada e políticas DMARC do remetente.

   • Se a mensagem for detectada como falsificação por inteligência falsa: essa configuração estará disponível somente se você selecionou Habilitar inteligência falsa na página anterior. Selecione uma das seguintes ações na lista suspensa para mensagens de remetentes falsificados bloqueados:

     • Mover a mensagem para as pastas junk Email dos destinatários (padrão)

     • Colocar em quarentena a mensagem: se você selecionar essa ação, uma caixa Aplicar política de quarentena será exibida em que você seleciona a política de quarentena que se aplica às mensagens que são colocadas em quarentena pela proteção de inteligência falsa.

       Se você não selecionar uma política de quarentena, a política de quarentena padrão para detecções de inteligência falsificada será usada (DefaultFullAccessPolicy). Quando você visualiza ou edita as configurações da política anti-phishing, o nome da política de quarentena é mostrado.

   • Dicas de segurança & seção indicadores : Configure as seguintes configurações:

     • Mostrar a primeira dica de segurança de contato: para obter mais informações, confira Dica de segurança de primeiro contato.
     • Mostrar (?) para remetentes não autenticados para falsificação: essa configuração só estará disponível se você selecionou Habilitar inteligência falsa na página anterior. Adiciona um ponto de interrogação (?) à foto do remetente na caixa De no Outlook se a mensagem não passar verificações de SPF ou DKIM e a mensagem não passar DMARC ou autenticação composta. Essa configuração está selecionada por padrão.
     • Mostrar a marca "via": essa configuração só estará disponível se você selecionou Habilitar inteligência falsa na página anterior. Adiciona a marca nomeada via (chris@contoso.com via fabrikam.com) ao endereço De se for diferente do domínio na assinatura DKIM ou no endereço MAIL FROM . Essa configuração está selecionada por padrão.

     Para ativar uma configuração, selecione a caixa marcar. Para desativar, desmarque a caixa marcar.

   Quando terminar na página Ações , selecione Avançar.

7. Na página Revisar , examine suas configurações. Você pode selecionar Editar em cada seção para modificar as configurações da seção. Ou você pode selecionar Voltar ou a página específica no assistente.

   Quando terminar na página Examinar , selecione Enviar.

8. Na página Nova política anti-phishing criada , você pode selecionar os links para exibir a política, exibir políticas anti-phishing e saber mais sobre políticas anti-phishing.

   Quando terminar a página Nova política anti-phishing criada , selecione Concluído.

   De volta à página Anti-phishing , a nova política está listada.

Use o portal Microsoft Defender para exibir detalhes da política anti-phishing

No portal Microsoft Defender, vá para Email & Políticas de Colaboração>& Regras>Políticas>contra ameaças Anti-phishing na seção Políticas. Ou, para ir diretamente para a página Anti-phishing , use https://security.microsoft.com/antiphishing.

Na página Anti-phishing , as seguintes propriedades são exibidas na lista de políticas anti-phishing:

• Nome
• Status: os valores são:
  • Sempre ativado para a política anti-phishing padrão.
  • Ativado ou Desativado para outras políticas anti-spam.
• Prioridade: para obter mais informações, consulte a seção Definir a prioridade das políticas anti-spam personalizadas .

Para alterar a lista de políticas de espaçamento normal para compacto, selecione Alterar espaçamento de lista para compacto ou normal e selecione Lista compacta.

Use Filter para filtrar as políticas por intervalo de tempo (data de criação) ou Status.

Use a caixa Pesquisa e um valor correspondente para encontrar políticas anti-phishing específicas.

Use Exportar para exportar a lista de políticas para um arquivo CSV.

Selecione uma política clicando em qualquer lugar da linha diferente da caixa marcar ao lado do nome para abrir o flyout de detalhes da política.

Dica

Para ver detalhes sobre outras políticas anti-phishing sem sair do flyout de detalhes, use Item Anterior e Próximo item na parte superior do flyout.

Use o portal Microsoft Defender para agir sobre políticas anti-phishing

1. No portal Microsoft Defender, vá para Email & Políticas de Colaboração>& Regras>Políticas>contra ameaças Anti-phishing na seção Políticas. Ou, para ir diretamente para a página Anti-phishing , use https://security.microsoft.com/antiphishing.

2. Na página Anti-phishing , selecione a política anti-phishing usando um dos seguintes métodos:

   • Selecione a política na lista selecionando a caixa marcar ao lado do nome. As seguintes ações estão disponíveis na lista suspensa Mais ações que aparece:

     • Habilitar políticas selecionadas.
     • Desabilitar políticas selecionadas.
     • Excluir políticas selecionadas.

     

   • Selecione a política na lista clicando em qualquer lugar da linha que não seja a caixa marcar ao lado do nome. Algumas ou todas as ações a seguir estão disponíveis no flyout de detalhes que é aberto:

     • Modificar configurações de política clicando em Editar em cada seção (políticas personalizadas ou a política padrão)
     • Ativar ou Desativar (somente políticas personalizadas)
     • Aumentar a prioridade ou diminuir a prioridade (somente políticas personalizadas)
     • Excluir política (somente políticas personalizadas)

     

As ações são descritas nas subseções a seguir.

Usar o portal Microsoft Defender para modificar políticas anti-phishing

Depois de selecionar a política anti-phishing padrão ou uma política personalizada clicando em qualquer lugar da linha diferente da caixa marcar ao lado do nome, as configurações de política são mostradas no flyout de detalhes que é aberto. Selecione Editar em cada seção para modificar as configurações na seção. Para obter mais informações sobre as configurações, consulte a seção criar políticas anti-phishing anteriormente neste artigo.

Para a política padrão, você não pode modificar o nome da política e não há filtros de destinatário para configurar (a política se aplica a todos os destinatários). Mas, você pode modificar todas as outras configurações na política.

Para as políticas anti-phishing chamadas Política de Segurança Predefinida Padrão e Política de Segurança Predefinida Estrita que estão associadas a políticas de segurança predefinidas, você não pode modificar as configurações de política no flyout de detalhes. Em vez disso, selecione Exibir políticas de segurança predefinidas no flyout de detalhes para acessar a página https://security.microsoft.com/presetSecurityPoliciesPolíticas de segurança predefinidas para modificar as políticas de segurança predefinidas.

Use o portal Microsoft Defender para habilitar ou desabilitar políticas anti-phishing personalizadas

Você não pode desabilitar a política anti-phishing padrão (ela está sempre habilitada).

Você não pode habilitar ou desabilitar as políticas anti-phishing associadas às políticas de segurança predefinidas Standard e Strict. Você habilita ou desabilitar as políticas de segurança predefinidas Standard ou Strict na página Políticas de segurança predefinidas em https://security.microsoft.com/presetSecurityPolicies.

Depois de selecionar uma política anti-phishing personalizada habilitada (o valor status está ativado), use qualquer um dos seguintes métodos para desabilitá-la:

• Na página Anti-phishing: selecione Mais ações>Desabilitar políticas selecionadas.
• No flyout de detalhes da política: selecione Desativar na parte superior do flyout.

Depois de selecionar uma política anti-phishing personalizada desabilitada (o valor status está desativado), use qualquer um dos seguintes métodos para habilitá-la:

• Na página Anti-phishing: selecione Mais ações>Habilitar políticas selecionadas.
• No flyout de detalhes da política: selecione Ativar na parte superior do flyout.

Na página Anti-phishing , o valor status da política agora está ativado ou desativado.

Use o portal Microsoft Defender para definir a prioridade das políticas anti-phishing personalizadas

As políticas anti-phishing são processadas na ordem em que são exibidas na página Anti-phishing :

• A política anti-phishing chamada Strict Preset Security Policy associada à política de segurança predefinida estrita é sempre aplicada primeiro (se a política de segurança predefinida estrita estiver habilitada).
• A política anti-phishing chamada Standard Preset Security Policy associada à política de segurança predefinida Standard sempre será aplicada em seguida (se a política de segurança predefinida Standard estiver habilitada).
• As políticas anti-phishing personalizadas são aplicadas em ordem de prioridade (se estiverem habilitadas):
  • Um valor de prioridade menor indica uma prioridade maior (0 é a mais alta).
  • Por padrão, uma nova política é criada com uma prioridade inferior à política personalizada mais baixa existente (a primeira é 0, a próxima é 1, etc.).
  • Nenhuma política pode ter o mesmo valor de prioridade.
• A política anti-phishing padrão sempre tem o valor de prioridade mais baixo e você não pode alterá-la.

A proteção contra phishing para um destinatário após a primeira política ser aplicada (a política de maior prioridade para esse destinatário). Para obter mais informações, consulte Ordem e precedência da proteção por email.

Depois de selecionar a política anti-phishing personalizada clicando em qualquer lugar da linha diferente da caixa marcar ao lado do nome, você pode aumentar ou diminuir a prioridade da política no flyout de detalhes que abre:

• A política personalizada com o valor de prioridade0 na página Anti-Phishing tem a ação Diminuir prioridade na parte superior do flyout de detalhes.
• A política personalizada com a prioridade mais baixa (valor de prioridade mais alta; por exemplo, 3) tem a ação Aumentar prioridade na parte superior do flyout de detalhes.
• Se você tiver três ou mais políticas, as políticas entre a Prioridade 0 e a menor prioridade terão a prioridade Aumentar e diminuir ações prioritárias na parte superior do flyout de detalhes.

Quando terminar o sobrevoo de detalhes da política, selecione Fechar.

De volta à página Anti-phishing , a ordem da política na lista corresponde ao valor de prioridade atualizado.

Use o portal Microsoft Defender para remover políticas anti-phishing personalizadas

Você não pode remover a política anti-phishing padrão ou as políticas anti-phishing chamadas Standard Preset Security Policy e Strict Preset Security Policy que estão associadas a políticas de segurança predefinidas.

Depois de selecionar a política anti-phishing personalizada, use qualquer um dos seguintes métodos para removê-la:

• Na página Anti-phishing: selecione Mais ações>Excluir políticas selecionadas.
• No flyout de detalhes da política: selecione Excluir política na parte superior do flyout.

Selecione Sim na caixa de diálogo de aviso que é aberta.

Na página Anti-phishing , a política excluída não está mais listada.

Use Exchange Online PowerShell para configurar políticas anti-phishing

No PowerShell, os elementos básicos de uma política anti-phishing são:

• A política anti-phish: especifica as proteções de phishing para habilitar ou desabilitar, as ações a serem aplicadas a essas proteções e outras opções.
• A regra anti-phish: especifica a prioridade e os filtros de destinatário (a quem a política se aplica) para a política anti-phish associada.

A diferença entre esses dois elementos não é óbvia quando você gerencia políticas anti-phishing no portal Microsoft Defender:

• Quando você cria uma política no portal do Defender, você está realmente criando uma regra anti-phish e a política anti-phish associada ao mesmo tempo usando o mesmo nome para ambos.
• Quando você modifica uma política no portal do Defender, configurações relacionadas ao nome, prioridade, habilitado ou desabilitado e filtros de destinatário modificam a regra anti-phish. Todas as outras configurações modificam a política anti-phish associada.
• Quando você remove uma política no portal do Defender, a regra anti-phish e a política anti-phish associada são removidas ao mesmo tempo.

Em Exchange Online PowerShell, a diferença entre políticas anti-phish e regras anti-phish é aparente. Você gerencia políticas anti-phish usando os cmdlets *-AntiPhishPolicy e gerencia regras anti-phish usando os cmdlets *-AntiPhishRule .

• No PowerShell, primeiro você cria a política anti-phish e, em seguida, cria a regra anti-phish, que identifica a política associada à qual a regra se aplica.
• No PowerShell, você modifica as configurações na política anti-phish e na regra anti-phish separadamente.
• Quando você remove uma política anti-phish do PowerShell, a regra anti-phish correspondente não é removida automaticamente e vice-versa.

Usar o PowerShell para criar políticas anti-phishing

Criar uma política anti-phishing no PowerShell é um processo de duas etapas:

1. Crie a política anti-phish.
2. Crie a regra anti-phish que especifica a política anti-phish à qual a regra se aplica.

Observações:

• Você pode criar uma nova regra anti-phish e atribuir uma política anti-phish existente e não associada a ela. Uma regra anti-phish não pode ser associada a mais de uma política anti-phish.

• Você pode configurar as seguintes configurações em novas políticas anti-phish no PowerShell que não estão disponíveis no portal Microsoft Defender até depois de criar a política:

  • Crie a nova política como desabilitada (habilitada$false no cmdlet New-AntiPhishRule ).
  • Defina a prioridade da política durante a criação (Número> de Prioridade<) no cmdlet New-AntiPhishRule.

• Uma nova política anti-phish que você cria no PowerShell não está visível no portal Microsoft Defender até atribuir a política a uma regra anti-phish.

Etapa 1: usar o PowerShell para criar uma política anti-phish

Para criar uma política anti-phish, use esta sintaxe:

New-AntiPhishPolicy -Name "<PolicyName>" [-AdminDisplayName "<Comments>"] [-EnableSpoofIntelligence <$true | $false>] [-AuthenticationFailAction <MoveToJmf | Quarantine>] [-HonorDmarcPolicy <$true | $false>] [-DmarcQuarantineAction <MoveToJmf | Quarantine>] [-DmarcRejectAction <Quarantine | Reject>] [-EnableUnauthenticatedSender <$true | $false>] [-EnableViaTag <$true | $false>] [-SpoofQuarantineTag <QuarantineTagName>]

Este exemplo cria uma política anti-phish chamada Quarentena de Pesquisa com as seguintes configurações:

• A descrição é: política do departamento de pesquisa.
• Altera a ação padrão para detecções de falsificação para Quarentena e usa a política de quarentena padrão para as mensagens em quarentena (não estamos usando o parâmetro SpoofQuarantineTag ).
• p=quarantine A honra e p=reject as políticas DMARC do remetente estão ativadas por padrão (não estamos usando o parâmetro HonorDmarcPolicy e o valor padrão é $true).
  • As mensagens que falham no DMARC em que a política DMARC do remetente está p=quarantine em quarentena (não estamos usando o parâmetro DmarcQuarantineAction e o valor padrão é Quarentena).
  • As mensagens que falham no DMARC em que a política DMARC do remetente é p=reject rejeitada (não estamos usando o parâmetro DmarcRejectAction e o valor padrão é Rejeitar).

New-AntiPhishPolicy -Name "Monitor Policy" -AdminDisplayName "Research department policy" -AuthenticationFailAction Quarantine

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte New-AntiPhishPolicy.

Dica

Para obter instruções detalhadas para especificar as políticas de quarentena a serem usadas em uma política anti-phish, consulte Usar o PowerShell para especificar a política de quarentena em políticas anti-phishing.

Etapa 2: usar o PowerShell para criar uma regra anti-phish

Para criar uma regra anti-phish, use esta sintaxe:

New-AntiPhishRule -Name "<RuleName>" -AntiPhishPolicy "<PolicyName>" <Recipient filters> [<Recipient filter exceptions>] [-Comments "<OptionalComments>"]

Este exemplo cria uma regra anti-phish chamada Departamento de Pesquisa com as seguintes condições:

• A regra está associada à política anti-phish chamada Quarentena de Pesquisa.
• A regra se aplica aos membros do grupo chamado Departamento de pesquisa.
• Como não estamos usando o parâmetro Priority , a prioridade padrão é usada.

New-AntiPhishRule -Name "Research Department" -AntiPhishPolicy "Research Quarantine" -SentToMemberOf "Research Department"

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte New-AntiPhishRule.

Usar o PowerShell para exibir políticas anti-phish

Para exibir políticas anti-phish existentes, use a seguinte sintaxe:

Get-AntiPhishPolicy [-Identity "<PolicyIdentity>"] [| <Format-Table | Format-List> <Property1,Property2,...>]

Este exemplo retorna uma lista de resumo de todas as políticas anti-phish junto com as propriedades especificadas.

Get-AntiPhishPolicy | Format-Table Name,IsDefault

Este exemplo retorna todos os valores de propriedade para a política anti-phish chamada Executives.

Get-AntiPhishPolicy -Identity "Executives"

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Get-AntiPhishPolicy.

Usar o PowerShell para exibir regras anti-phish

Para exibir as regras anti-phish existentes, use a seguinte sintaxe:

Get-AntiPhishRule [-Identity "<RuleIdentity>"] [-State <Enabled | Disabled] [| <Format-Table | Format-List> <Property1,Property2,...>]

Este exemplo retorna uma lista de resumo de todas as regras anti-phish junto com as propriedades especificadas.

Get-AntiPhishRule | Format-Table Name,Priority,State

Para filtrar a lista por regras habilitadas ou desabilitadas, execute os seguintes comandos:

Get-AntiPhishRule -State Disabled | Format-Table Name,Priority

Get-AntiPhishRule -State Enabled | Format-Table Name,Priority

Este exemplo retorna todos os valores de propriedade para a regra anti-phish chamada Contoso Executives.

Get-AntiPhishRule -Identity "Contoso Executives"

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Get-AntiPhishRule.

Usar o PowerShell para modificar políticas anti-phish

Além dos seguintes itens, as mesmas configurações estão disponíveis quando você modifica uma política anti-phish no PowerShell como quando você cria uma política conforme descrito na Etapa 1: use o PowerShell para criar uma política anti-phish no início deste artigo.

• A opção MakeDefault que transforma a política especificada na política padrão (aplicada a todos, sempre menor prioridade e você não pode excluí-la) só está disponível quando você modifica uma política anti-phish no PowerShell.
• Você não pode renomear uma política anti-phish (o cmdlet Set-AntiPhishPolicy não tem parâmetro Name ). Quando você renomeia uma política anti-phishing no portal Microsoft Defender, você só está renomeando a regra anti-phish.

Para modificar uma política anti-phish, use esta sintaxe:

Set-AntiPhishPolicy -Identity "<PolicyName>" <Settings>

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Set-AntiPhishPolicy.

Dica

Para obter instruções detalhadas para especificar a política de quarentena a ser usada em uma política anti-phish, consulte Usar o PowerShell para especificar a política de quarentena em políticas anti-phishing.

Usar o PowerShell para modificar regras anti-phish

A única configuração que não está disponível quando você modifica uma regra anti-phish no PowerShell é o parâmetro Habilitado que permite criar uma regra desabilitada. Para habilitar ou desabilitar as regras anti-phish existentes, confira a próxima seção.

Caso contrário, as mesmas configurações estão disponíveis quando você cria uma regra conforme descrito na Etapa 2: use o PowerShell para criar uma seção de regra anti-phish anterior neste artigo.

Para modificar uma regra anti-phish, use esta sintaxe:

Set-AntiPhishRule -Identity "<RuleName>" <Settings>

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Set-AntiPhishRule.

Usar o PowerShell para habilitar ou desabilitar regras anti-phish

Habilitar ou desabilitar uma regra anti-phish no PowerShell habilita ou desabilita toda a política anti-phishing (a regra anti-phish e a política anti-phish atribuída). Você não pode habilitar ou desabilitar a política anti-phishing padrão (ela sempre é aplicada a todos os destinatários).

Para habilitar ou desabilitar uma regra anti-phish no PowerShell, use esta sintaxe:

<Enable-AntiPhishRule | Disable-AntiPhishRule> -Identity "<RuleName>"

Este exemplo desabilita a regra anti-phish chamada Departamento de Marketing.

Disable-AntiPhishRule -Identity "Marketing Department"

Este exemplo habilita a mesma regra.

Enable-AntiPhishRule -Identity "Marketing Department"

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Enable-AntiPhishRule e Disable-AntiPhishRule.

Usar o PowerShell para definir a prioridade das regras anti-phish

O valor mais alto de prioridade que pode ser definido em uma regra é 0. O valor mais baixo que pode ser definido depende do número de regras. Por exemplo, se você tiver cinco regras, use os valores de prioridade de 0 a 4. Alterar a prioridade de uma regra existente pode ter um efeito cascata em outras regras. Por exemplo, se você tiver cinco regras personalizadas (prioridades de 0 a 4) e alterar a prioridade de uma regra para 2, a regra existente com prioridade 2 será alterada para a prioridade 3, e a regra com prioridade 3 será alterada para prioridade 4.

Para definir a prioridade de uma regra anti-phish no PowerShell, use a seguinte sintaxe:

Set-AntiPhishRule -Identity "<RuleName>" -Priority <Number>

Este exemplo define a prioridade da regra chamada Marketing Department como 2. Todas as regras existentes com prioridade inferior ou igual a 2 são reduzidas por 1 (seus números de prioridade são aumentados por 1).

Set-AntiPhishRule -Identity "Marketing Department" -Priority 2

Observações:

• Para definir a prioridade de uma nova regra ao criá-la, use o parâmetro Priority no cmdlet New-AntiPhishRule .
• A política anti-phish padrão não tem uma regra anti-phish correspondente e sempre tem o valor de prioridade inmodificável Menor.

Usar o PowerShell para remover políticas anti-phish

Quando você usa o PowerShell para remover uma política anti-phish, a regra anti-phish correspondente não é removida.

Para remover uma política anti-phish no PowerShell, use esta sintaxe:

Remove-AntiPhishPolicy -Identity "<PolicyName>"

Este exemplo remove a política anti-phish chamada Departamento de Marketing.

Remove-AntiPhishPolicy -Identity "Marketing Department"

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Remove-AntiPhishPolicy.

Usar o PowerShell para remover regras anti-phish

Quando você usa o PowerShell para remover uma regra anti-phish, a política anti-phish correspondente não é removida.

Para remover uma regra anti-phish no PowerShell, use esta sintaxe:

Remove-AntiPhishRule -Identity "<PolicyName>"

Este exemplo remove a regra anti-phish chamada Departamento de Marketing.

Remove-AntiPhishRule -Identity "Marketing Department"

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Remove-AntiPhishRule.

Como saber se esses procedimentos funcionaram?

Para verificar se você configurou com êxito políticas anti-phishing no EOP, faça qualquer uma das seguintes etapas:

• Na página Anti-phishing no portal do Microsoft Defender em https://security.microsoft.com/antiphishing, verifique a lista de políticas, seus valores de status e seus valores de prioridade. Para exibir mais detalhes, selecione a política na lista clicando no nome e exibindo os detalhes no flyout exibido.

• Em Exchange Online PowerShell, substitua <Name> pelo nome da política ou regra, execute o seguinte comando e verifique as configurações:

  Get-AntiPhishPolicy -Identity "<Name>"
  

  Get-AntiPhishRule -Identity "<Name>"