Links seguros no Microsoft Defender para Office 365

Dica

Você sabia que pode experimentar os recursos no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Use a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever e testar termos aqui.

Importante

Este artigo se destina a clientes empresariais que possuem o Microsoft Defender para Office 365. Se você estiver usando Outlook.com, Microsoft 365 Family ou Microsoft 365 Personal e estiver procurando informações sobre Safelinks no Outlook.com, consulte Segurança Outlook.com avançada para assinantes do Microsoft 365.

Em organizações com Microsoft Defender para Office 365, a verificação de Links Seguros protege sua organização contra links mal-intencionados usados em phishing e outros ataques. Especificamente, o Safe Links fornece verificação de URL e reescrita de mensagens de email de entrada durante o fluxo de email e verificação de tempo de clique de URLs e links em mensagens de email, Teams e aplicativos de Office 365 com suporte. A verificação de Links Seguros ocorre além da proteção anti-spam e anti-malware regular.

Assista a este pequeno vídeo sobre como proteger contra links mal-intencionados com Links Seguros no Microsoft Defender para Office 365.

Observação

Embora não haja nenhuma política padrão de Links Seguros, a política de segurança predefinida de proteção interna fornece proteção de Links Seguros em mensagens de email, Microsoft Teams e arquivos em aplicativos do Office com suporte para todos os destinatários para clientes que têm pelo menos uma licença de Defender para Office 365 (usuários que não estão definidos nas políticas de segurança predefinidas padrão ou estrita ou em políticas personalizadas de Links Seguros). Para obter mais informações, consulte Políticas de segurança predefinidas no EOP e Microsoft Defender para Office 365. Você também pode criar políticas de Links Seguros que se aplicam a usuários, grupos ou domínios específicos. Para obter instruções, consulte Configurar políticas de Links Seguros no Microsoft Defender para Office 365.

A proteção de Links Seguros por políticas de Links Seguros está disponível nos seguintes locais:

  • Email mensagens: proteção de links seguros para links em mensagens de email.

    Para obter mais informações sobre a proteção de Links Seguros para mensagens de email, consulte a seção Links Seguros para mensagens de email mais adiante neste artigo.

    Observação

    Links seguros não funcionam em pastas públicas habilitadas para email.

    Os Links Seguros não fornecem proteção para URLs em mensagens de email rtf (formato de texto avançado).

    Os Links Seguros dão suporte apenas a formatos HTTP(S) e FTP.

    Usar outro serviço para encapsular links antes de Defender para Office 365 pode impedir que links seguros processem links, incluindo encapsulamento, detonação ou validação da "mal-intencionada" do link.

  • Microsoft Teams: proteção de links seguros para links em conversas do Teams, chats em grupo ou de canais.

    Para obter mais informações sobre a proteção de Links Seguros no Teams, consulte a seção Links Seguros para o Microsoft Teams mais adiante neste artigo.

  • Aplicativos do Office: proteção de links seguros para aplicativos web, móveis e de área de trabalho do Office com suporte.

    Para obter mais informações sobre a proteção de Links Seguros em aplicativos do Office, consulte a seção Links Seguros para aplicativos do Office mais adiante neste artigo.

A tabela a seguir descreve cenários para links seguros no Microsoft 365 e Office 365 organizações que incluem Defender para Office 365 (observe que a falta de licenciamento nunca é um problema nos exemplos).

Cenário Resultado
Jean é membro do departamento de marketing. A proteção de Links Seguros para aplicativos do Office é ativada em uma política de Links Seguros que se aplica aos membros do departamento de marketing. Jean abre uma apresentação do PowerPoint em uma mensagem de email e, em seguida, clica em uma URL na apresentação. Jean está protegida por Links Seguros.

Jean está incluído em uma política de Links Seguros em que a proteção de Links Seguros para aplicativos do Office está ativada.

Para obter mais informações sobre os requisitos para proteção de Links Seguros em aplicativos do Office, consulte a seção Links Seguros para aplicativos do Office mais adiante neste artigo.
A organização Microsoft 365 E5 do Chris não tem políticas de Links Seguros configuradas. Chris recebe um email de um remetente externo que contém uma URL para um site mal-intencionado que ele finalmente clica. Chris é protegido por Links Seguros.

A política de segurança predefinida de proteção interna fornece proteção de Links Seguros para todos os destinatários (usuários que não estão definidos nas políticas de segurança predefinidas Standard ou Strict ou em políticas personalizadas de Links Seguros). Para obter mais informações, consulte Políticas de segurança predefinidas no EOP e Microsoft Defender para Office 365.
Na organização do Pat, os administradores criaram uma política de Links Seguros que aplica o Pat, mas a proteção de Links Seguros para aplicativos do Office está desativada. Pat abre um documento Word e clica em uma URL no arquivo. Pat não está protegido por Links Seguros.

Embora Pat esteja incluído em uma política ativa de Links Seguros, a proteção de Links Seguros para aplicativos do Office está desativada nessa política, portanto, a proteção não pode ser aplicada.
Jamie e Julia trabalham para contoso.com. Há muito tempo, os administradores configuraram políticas de Links Seguros que se aplicam a Jamie e Julia. Jamie envia um email para Julia, sem saber que o email contém uma URL mal-intencionada. Julia será protegida por Links Seguros se a política Links Seguros que se aplica a ela estiver configurada para se aplicar a mensagens entre destinatários internos. Para obter mais informações, consulte a seção Links Seguros para mensagens de email mais adiante neste artigo.

Os filtros de destinatário usam condições e exceções para identificar os destinatários internos aos quais a política se aplica. Pelo menos uma condição é necessária. Você pode usar os seguintes filtros de destinatário para condições e exceções:

  • Usuários: uma ou mais caixas de correio, usuários de email ou contatos de email na organização.
  • Grupos:
    • Membros dos grupos de distribuição especificados ou grupos de segurança habilitados para email (grupos de distribuição dinâmica não têm suporte).
    • Os Grupos do Microsoft 365 especificados.
  • Domínios: um ou mais dos domínios aceitos configurados no Microsoft 365. O endereço de email principal do destinatário está no domínio especificado.

Você pode usar uma condição ou exceção apenas uma vez, mas a condição ou exceção pode conter vários valores:

  • Vários valores da mesma condição ou exceção usam a lógica OR (por exemplo, <destinatário1> ou <destinatário2>):

    • Condições: se o destinatário corresponder a qualquer um dos valores especificados, a política será aplicada a eles.
    • Exceções: se o destinatário corresponder a qualquer um dos valores especificados, a política não será aplicada a eles.

  • Diferentes tipos de exceções usam a lógica OR (por exemplo, <destinatário1> ou <membro do grupo1> ou <membro do domain1>). Se o destinatário corresponder a qualquer um dos valores de exceção especificados, a política não será aplicada a eles.

  • Diferentes tipos de condições usam a lógica AND. O destinatário deve corresponder a todas as condições especificadas para que a política se aplique a elas. Por exemplo, você configura uma condição com os seguintes valores:

    • Usuários: romain@contoso.com
    • Grupos: Executivos

    A política será aplicada romain@contoso.com se ele também for membro do grupo Executivos. Caso contrário, a política não é aplicada a ele.

Os Links Seguros verificam os emails de entrada em busca de hiperlinks mal-intencionados conhecidos. As URLs digitalizadas são reescritas ou encapsuladas usando o prefixo de URL padrão da Microsoft: https://nam01.safelinks.protection..com. Depois que o link é reescrito, ele é analisado para conteúdo potencialmente mal-intencionado.

Depois que Links Seguros reescreve uma URL, a URL é reescrita mesmo que a mensagem seja encaminhada manualmente ou respondida. O encapsulamento é feito por destinatário de mensagem (destinatários internos e externos). Links adicionais que são adicionados à mensagem encaminhada ou respondida também são reescritos.

Para encaminhamento automático por regras de caixa de entrada ou encaminhamento SMTP, a URL não é reescrita na mensagem destinada ao destinatário final , a menos que uma das seguintes instruções seja verdadeira:

  • O destinatário também é protegido por Links Seguros.
  • A URL já foi reescrita em uma comunicação anterior.

Enquanto a proteção de Links Seguros estiver ativada, as URLs serão examinadas antes da entrega de mensagens, independentemente de as URLs serem reescritas ou não. Em versões com suporte do Outlook (Windows, Mac e Outlook na Web), AS URLs desembrulhadas são verificadas por uma chamada de API do lado do cliente para Links Seguros no momento do clique.

As configurações em políticas de Links Seguros que se aplicam a mensagens de email são descritas na seguinte lista:

  • Ativado: Links Seguros verifica uma lista de links conhecidos e mal-intencionados quando os usuários clicam em links no email. As URLs são reescritas por padrão.: ative ou desative a verificação de Links Seguros em mensagens de email. O valor recomendado é selecionado (ativado) e resulta nas seguintes ações:

    • A verificação de Links Seguros é ativada no Outlook (C2R) no Windows.
    • As URLs são reescritas e os usuários são roteados por meio da proteção de Links Seguros quando clicam em URLs em mensagens.
    • Quando clicadas, as URLs são verificadas em uma lista de URLs mal-intencionadas conhecidas.
    • As URLs que não têm uma reputação válida são detonadas de forma assíncrona em segundo plano.

    As seguintes configurações só estarão disponíveis se a verificação de Links Seguros nas mensagens de email estiver ativada:

    • Aplicar Links Seguros às mensagens de email enviadas dentro da organização: ative ou desative a verificação de Links Seguros em mensagens enviadas entre remetentes internos e destinatários internos na mesma organização Exchange Online. O valor recomendado está selecionado (ativado).

    • Aplique a verificação de URL em tempo real para links e links suspeitos que apontam para arquivos: ativa a verificação em tempo real de links, incluindo links em mensagens de email que apontam para conteúdo para download. O valor recomendado está selecionado (ativado).

      • Aguarde para que a verificação de URL seja concluída antes de entregar a mensagem:
        • Selecionado (em): as mensagens que contêm URLs são mantidas até que a verificação seja concluída. As mensagens são entregues somente depois que as URLs são confirmadas como seguras. Esse é o valor recomendado.
        • Não selecionado (desativado): se a verificação de URL não puder ser concluída, entregue a mensagem de qualquer maneira.

    • Não reescreva URLs, faça verificações apenas por meio da API safelinks: se essa configuração estiver selecionada (ativada), nenhum encapsulamento de URL ocorrerá, mas as URLs serão digitalizadas antes da entrega da mensagem. Em versões com suporte do Outlook (Windows, Mac e Outlook na Web), Links Seguros são chamados exclusivamente por meio de APIs no momento do clique em URL.

    Para obter mais informações sobre os valores recomendados para configurações de política Padrão e Estritas para políticas de Links Seguros, consulte Configurações de política de Links Seguros.

Em alto nível, veja como a proteção de Links Seguros funciona em URLs em mensagens de email:

  1. Todo o email passa pelo EOP, onde filtros de protocolo de Internet (IP) e envelope, proteção contra malware baseada em assinatura, filtros anti-spam e anti-malware antes que a mensagem seja entregue à caixa de correio do destinatário.

  2. O usuário abre a mensagem em sua caixa de correio e clica em uma URL na mensagem.

  3. Os Links Seguros verificam imediatamente a URL antes de abrir o site:

    • Se a URL apontar para um site que foi determinado como mal-intencionado, uma página de aviso de site mal-intencionada (ou uma página de aviso diferente) será aberta.

    • Se a URL apontar para um arquivo para download e a URL Aplicar em tempo real a verificação de links suspeitos e links que apontam para a configuração de arquivos forem ativados na política que se aplica ao usuário, o arquivo para download será verificado.

    • Se a URL for determinada como segura, o site será aberto.

Você ativa ou desativa a proteção de Links Seguros para o Microsoft Teams em políticas de Links Seguros. Especificamente, você usa o On: Safe Links verifica uma lista de links conhecidos e mal-intencionados quando os usuários clicam em links no Microsoft Teams. As URLs não são reescritas na seção Teams . O valor recomendado está ativado (selecionado).

Observação

Quando você ativa ou desativa a proteção de Links Seguros para o Teams, pode levar até 24 horas para que a alteração entre em vigor.

Há suporte para proteção de links seguros para o Teams em instâncias da área de trabalho e da Web do Teams.

As URLs no Teams são verificadas em uma lista de links mal-intencionados conhecidos quando o usuário protegido clica no link (proteção de hora de clique). As URLs não são reescritas. Se um link for considerado mal-intencionado, os usuários terão as seguintes experiências:

  • Se o link foi clicado em uma conversa do Teams, chat em grupo ou em canais, a página de aviso conforme mostrado na captura de tela será exibida no navegador da Web padrão.
  • Se o link foi clicado de uma guia fixada, a página de aviso será exibida na interface do Teams dentro dessa guia. A opção de abrir o link em um navegador da Web está desabilitada por motivos de segurança.
  • Dependendo de como os usuários permitirem que os usuários cliquem na configuração de URL original na política, o usuário tem ou não permissão para clicar na URL original (Continuar de qualquer maneira (não recomendado) na captura de tela). Recomendamos que você não selecione a configuração permitir que os usuários cliquem na configuração de URL original para que os usuários não possam clicar na URL original.

Se o usuário que enviou o link não estiver protegido por uma política de Links Seguros em que a proteção do Teams está ativada, o usuário será livre para clicar na URL original em seu computador ou dispositivo.

Uma página de Links Seguros do Teams relatando um link mal-intencionado

Clicar no botão Voltar na página de aviso retorna o usuário ao seu contexto original ou local de URL. No entanto, clicar no link original novamente faz com que links seguros recanem a URL, portanto, a página de aviso reaparece.

Em um alto nível, veja como funciona a proteção de Links Seguros para URLs no Microsoft Teams:

  1. Um usuário inicia o aplicativo Teams.

  2. O Microsoft 365 verifica se a organização do usuário inclui Microsoft Defender para Office 365 e que o usuário está incluído em uma política ativa de Links Seguros em que a proteção do Microsoft Teams está ativada.

  3. As URLs são validadas no momento do clique para o usuário em chats, chats em grupo, canais e guias.

A proteção de Links Seguros para aplicativos do Office verifica links em documentos do Office, não links em mensagens de email. Mas, ele pode marcar links em documentos anexados do Office em mensagens de email após a abertura do documento.

Você ativa ou desativa a proteção de Links Seguros para aplicativos do Office em políticas de Links Seguros. Especificamente, você usa a configuração On: Safe Links verifica uma lista de links conhecidos e mal-intencionados quando os usuários clicam em links em aplicativos do Microsoft Office. As URLs não são reescritas na seção aplicativos Office 365. O valor recomendado está ativado (selecionado).

A proteção de Links Seguros para aplicativos do Office tem os seguintes requisitos de cliente:

  • Microsoft 365 Apps ou Microsoft 365 Business Premium:

    • Versões atuais de Word, Excel e PowerPoint no Windows, Mac ou em um navegador da Web.
    • Aplicativos do Office em dispositivos iOS ou Android.
    • Visio no Windows.
    • OneNote em um navegador da Web.
    • Outlook para Windows ao abrir arquivos EML ou MSG salvos.

  • Aplicativos do Office com suporte e serviços do Microsoft 365 estão configurados para usar a autenticação moderna. Para obter mais informações, consulte Como a autenticação moderna funciona para aplicativos clientes do Office.

  • Os usuários são conectados usando suas contas de trabalho ou de estudante. Para obter mais informações, consulte Entrar no Office.

Para obter mais informações sobre os valores recomendados para configurações de política padrão e estrita, consulte Configurações de política de Links Seguros.

Em alto nível, veja como funciona a proteção de Links Seguros para URLs em aplicativos do Office. Os aplicativos do Office com suporte são descritos na seção anterior.

  1. Um usuário entra usando sua conta corporativa ou escolar em uma organização que inclui Microsoft 365 Apps ou Microsoft 365 Business Premium.

  2. O usuário abre e clica em um link de um documento do Office em um aplicativo do Office com suporte.

  3. Os Links Seguros verificam imediatamente a URL antes de abrir o site de destino:

    • Se a URL apontar para um site que foi determinado como mal-intencionado, uma página de aviso de site mal-intencionada (ou uma página de aviso diferente) será aberta.

    • Se a URL apontar para um arquivo para download e a política Links Seguros que se aplica ao usuário estiver configurada para verificar links para conteúdo para download (Aplicar url em tempo real verificando links suspeitos e links que apontam para arquivos), o arquivo para download será verificado.

    • Se a URL for considerada segura, o usuário será levado para o site.

    • Se a verificação de Links Seguros não puder ser concluída, a proteção de Links Seguros não será disparada. Nos clientes da área de trabalho do Office, o usuário é avisado antes de ir para o site de destino.

Observação

Pode levar vários segundos no início de cada sessão para verificar se links seguros para aplicativos do Office estão disponíveis para o usuário.

Essas configurações se aplicam a Links Seguros em aplicativos de email, Teams e Office:

  • Acompanhar cliques do usuário: ative ou desative o armazenamento de Links Seguros clique em dados para URLs clicadas. Recomendamos que você deixe essa configuração selecionada (ativada).

    Em Links Seguros para aplicativos do Office, essa configuração se aplica às versões da área de trabalho Word, Excel, PowerPoint e Visio.

    Se você selecionar essa configuração, as seguintes configurações estarão disponíveis:

    • Permitir que os usuários cliquem na URL original: controla se os usuários podem clicar na página de aviso na URL original. O valor recomendado não está selecionado (desativado).

      Em Links Seguros para aplicativos do Office, essa configuração se aplica à URL original nas versões da área de trabalho Word, Excel, PowerPoint e Visio.

    • Exibir a identidade visual da organização em páginas de notificação e aviso: essa opção mostra a identidade visual da sua organização em páginas de aviso. A identidade visual ajuda os usuários a identificar avisos legítimos, pois as páginas de aviso padrão da Microsoft geralmente são usadas por invasores. Para obter mais informações sobre identidade visual personalizada, consulte Personalizar o tema do Microsoft 365 para sua organização.

Depois de criar várias políticas, você pode especificar a ordem em que elas são aplicadas. Nenhuma política pode ter a mesma prioridade e o processamento de políticas é interrompido após a primeira política ser aplicada (a política de maior prioridade para esse destinatário). A política de proteção interna sempre é aplicada por último. As políticas de Links Seguros associadas às políticas de segurança predefinidas Standard e Strict são sempre aplicadas antes das políticas personalizadas de Links Seguros.

Para obter mais informações sobre a ordem de precedência e como várias políticas são avaliadas e aplicadas, consulte Ordem de precedência para políticas de segurança predefinidas e outras políticas e Ordem e precedência de proteção por email.

Observação

As entradas na lista "Não reescrever as URLs a seguir" não são digitalizadas ou encapsuladas por Links Seguros durante o fluxo de email, mas ainda podem ser bloqueadas no momento do clique. Denuncie a URL como Não deveria ter sido bloqueada (False positive) e selecione Alow essa URL para adicionar uma entrada de permissão à Lista de Permissões/Blocos de Locatário para que a URL não seja digitalizada ou encapsulada por Links Seguros durante o fluxo de email e no momento do clique. Para obter instruções, consulte Relatar boas URLs à Microsoft.

Cada política de Links Seguros contém uma lista Não reescrever as URLs a seguir que você pode usar para especificar URLs que não são reescritas pela verificação de Links Seguros. Você pode configurar listas diferentes em diferentes políticas de Links Seguros. O processamento de políticas é interrompido após a primeira política (provavelmente, a maior prioridade) ser aplicada ao usuário. Portanto, apenas uma Lista de URLs não reescrita a seguir é aplicada a um usuário que está incluído em várias políticas ativas de Links Seguros.

Para adicionar entradas à lista em políticas de Links Seguros novas ou existentes, consulte Criar políticas de Links Seguros ou Modificar políticas de Links Seguros.

Observações:

  • Os clientes a seguir não reconhecem as listas de URLs a seguir nas políticas de Links Seguros. Os usuários incluídos nas políticas podem ser impedidos de acessar as URLs com base nos resultados da verificação de Links Seguros nesses clientes:

    • Microsoft Teams
    • Aplicativos Web do Office

    Para obter uma lista verdadeiramente universal de URLs permitidas em todos os lugares, consulte Gerenciar a Lista de Permissões/Blocos do Locatário. No entanto, as entradas de URL permitem que as entradas na Lista de Permissões/Blocos de Locatários não sejam excluídas da reescrita de Links Seguros.

  • Considere adicionar URLs internas comumente usadas à lista para melhorar a experiência do usuário. Por exemplo, se você tiver serviços locais, como Skype for Business ou SharePoint, poderá adicionar essas URLs para excluí-las da verificação.

  • Se você já tiver Não reescreva as seguintes entradas de URLs em suas políticas de Links Seguros, examine as listas e adicione curingas conforme necessário. Por exemplo, sua lista tem uma entrada como https://contoso.com/a e você decide incluir subpastas como https://contoso.com/a/b. Em vez de adicionar uma nova entrada, adicione um curinga à entrada existente para que ela se torne https://contoso.com/a/*.

  • Você pode incluir até três curingas (*) por entrada de URL. Os curingas incluem explicitamente prefixos ou subdomínios. Por exemplo, a entrada contoso.com não é igual a *.contoso.com/*, porque *.contoso.com/* permite que as pessoas visitem subdomínios e caminhos no domínio especificado.

  • Se uma URL usar o redirecionamento automático para HTTP para HTTPS (por exemplo, 302 redirecionamento para http://www.contoso.com para https://www.contoso.com), e você tentar inserir entradas HTTP e HTTPS para a mesma URL na lista, você poderá notar que a segunda entrada de URL substitui a primeira entrada de URL. Esse comportamento não ocorrerá se as versões HTTP e HTTPS da URL estiverem completamente separadas.

  • Não especifique http:// ou https:// (ou seja, contoso.com) para excluir as versões HTTP e HTTPS.

  • *.contoso.comnão abrange contoso.com, portanto, você precisaria excluir ambos para cobrir o domínio especificado e quaisquer domínios filho.

  • contoso.com/* abrange apenas contoso.com, portanto, não há necessidade de excluir ambos contoso.com e contoso.com/*; bastaria contoso.com/* .

  • Para excluir todas as iterações de um domínio, duas entradas de exclusão são necessárias; contoso.com/* e *.contoso.com/*. Essas entradas combinam para excluir HTTP e HTTPS, o domínio main contoso.com e quaisquer domínios filho, bem como qualquer parte ou não final (por exemplo, contoso.com e contoso.com/vdir1 são cobertos).

Sintaxe de entrada para a lista "Não reescreva as URLs a seguir"

Exemplos dos valores que você pode inserir e seus resultados são descritos na tabela a seguir:

Valor Resultado
contoso.com Permite acesso a https://contoso.com , mas não a subdomínios ou caminhos.
*.contoso.com/* Permite acesso a um domínio, subdomínios e caminhos (por exemplo, https://www.contoso.com, https://www.contoso.com, https://maps.contoso.comou https://www.contoso.com/a).

Essa entrada é inerentemente melhor do que *contoso.com*, porque não permite sites potencialmente fraudulentos, como https://www.falsecontoso.com ou https://www.false.contoso.completelyfalse.com
https://contoso.com/a Permite acesso a https://contoso.com/a, mas não a subpastas como https://contoso.com/a/b
https://contoso.com/a/* Permite acesso a https://contoso.com/a subpastas e como https://contoso.com/a/b

Esta seção contém exemplos das várias páginas de aviso que são disparadas pela proteção de Links Seguros quando você clica em uma URL.

Examinar a notificação em andamento

A URL clicada está sendo digitalizada por Links Seguros. Talvez seja necessário esperar alguns momentos antes de tentar o link novamente.

A notificação de que o link está sendo verificado

Aviso de mensagem suspeita

A URL clicada estava em uma mensagem de email semelhante a outras mensagens suspeitas. Recomendamos que você marcar a mensagem de email antes de ir para o site.

Aviso de tentativa de phishing

A URL clicada estava em uma mensagem de email que foi identificada como um ataque de phishing. Como resultado, todas as URLs na mensagem de email são bloqueadas. Recomendamos que você não prossiga para o site.

Aviso de site mal-intencionado

A URL clicada aponta para um site que foi identificado como mal-intencionado. Recomendamos que você não prossiga para o site.

O aviso que afirma que o site é classificado como mal-intencionado

Aviso de erro

Ocorreu algum tipo de erro e a URL não pode ser aberta.

O aviso que afirma que a página que você está tentando acessar não pode ser carregado