Partilhar via


Definições recomendadas para segurança de EOP e Microsoft Defender para Office 365

Sugestão

Sabia que pode experimentar as funcionalidades no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação em Experimentar Microsoft Defender para Office 365.

Proteção do Exchange Online (EOP) é o núcleo de segurança das subscrições do Microsoft 365 e ajuda a impedir que e-mails maliciosos cheguem às caixas de entrada dos seus funcionários. Mas com novos ataques mais sofisticados a emergir todos os dias, são muitas vezes necessárias proteções melhoradas. Microsoft Defender para Office 365 Plano 1 ou Plano 2 contêm funcionalidades adicionais que proporcionam mais camadas de segurança, controlo e investigação.

Apesar de permitirmos que os administradores de segurança personalizem as respetivas definições de segurança, existem dois níveis de segurança na EOP e Microsoft Defender para Office 365 que recomendamos: Standard e Strict. Embora os ambientes e as necessidades dos clientes sejam diferentes, estes níveis de filtragem ajudam a impedir que o correio indesejado chegue à Caixa de Entrada dos seus funcionários na maioria das situações.

Para aplicar automaticamente as definições Padrão ou Estrita aos utilizadores, veja Predefinições de políticas de segurança na EOP e Microsoft Defender para Office 365.

Este artigo descreve as predefinições e também as definições Padrão e Estrita recomendadas para ajudar a proteger os seus utilizadores. As tabelas contêm as definições no portal do Microsoft Defender e no PowerShell (Exchange Online PowerShell ou Proteção do Exchange Online autónomo do PowerShell para organizações sem Exchange Online caixas de correio).

Nota

O módulo Office 365 Advanced Threat Protection Recommended Configuration Analyzer (ORCA) para o PowerShell pode ajudar os administradores a encontrar os valores atuais destas definições. Especificamente, o cmdlet Get-ORCAReport gera uma avaliação de antisspam, anti-phishing e outras definições de higiene de mensagens. Pode transferir o módulo ORCA em https://www.powershellgallery.com/packages/ORCA/.

Nas organizações do Microsoft 365, recomendamos que deixe o Filtro de Email de Lixo no Outlook definido como Sem filtragem automática para evitar conflitos desnecessários (positivos e negativos) com os veredictos de filtragem de spam da EOP. Para mais informações, consulte os seguintes artigos:

Antiss spam, antimalware e proteção anti phishing na EOP

Antiss spam, antimalware e anti-phishing são funcionalidades da EOP que podem ser configuradas pelos administradores. Recomendamos as seguintes configurações Padrão ou Estrita.

Definições de política antimalware da EOP

Para criar e configurar políticas antimalware, veja Configurar políticas antimalware na EOP.

As políticas de quarentena definem o que os utilizadores são capazes de fazer às mensagens em quarentena e se os utilizadores recebem notificações de quarentena. Para obter mais informações, veja Anatomia de uma política de quarentena.

A política denominada AdminOnlyAccessPolicy impõe as capacidades históricas para mensagens que foram colocadas em quarentena como software maligno, conforme descrito na tabela aqui.

Os utilizadores não podem divulgar as suas próprias mensagens que foram colocadas em quarentena como software maligno, independentemente da forma como a política de quarentena está configurada. Se a política permitir que os utilizadores divulguem as suas próprias mensagens em quarentena, os utilizadores podem, em vez disso, pedir a libertação das mensagens de software maligno em quarentena.

Nome da funcionalidade de segurança Predefinição Standard Estrito Comentar
Definições de proteção
Ativar o filtro de anexos comuns (EnableFileFilter) Selecionado ($true)* Selecionado ($true) Selecionado ($true) Para obter a lista de tipos de ficheiro no filtro de anexos comuns, veja Filtro de anexos comuns em políticas antimalware.

* O filtro de anexos comuns está ativado por predefinição nas novas políticas antimalware que cria no portal do Defender ou no PowerShell e na política antimalware predefinida nas organizações criadas após 1 de dezembro de 2023.
Notificações comuns do filtro de anexo: quando estes tipos de ficheiro são encontrados (FileTypeAction) Rejeitar a mensagem com um relatório de entrega sem êxito (NDR) (Reject) Rejeitar a mensagem com um relatório de entrega sem êxito (NDR) (Reject) Rejeitar a mensagem com um relatório de entrega sem êxito (NDR) (Reject)
Ativar a remoção automática de zero horas para software maligno (ZapEnabled) Selecionado ($true) Selecionado ($true) Selecionado ($true)
Política de quarentena (QuarantineTag) AdminOnlyAccessPolicy AdminOnlyAccessPolicy AdminOnlyAccessPolicy
notificações de Administração
Notificar um administrador sobre mensagens não entregues de remetentes internos (EnableInternalSenderAdminNotifications e InternalSenderAdminAddress) Não selecionado ($false) Não selecionado ($false) Não selecionado ($false) Não temos nenhuma recomendação específica para esta definição.
Notificar um administrador sobre mensagens não entregues de remetentes externos (EnableExternalSenderAdminNotifications e ExternalSenderAdminAddress) Não selecionado ($false) Não selecionado ($false) Não selecionado ($false) Não temos nenhuma recomendação específica para esta definição.
Personalizar notificações Não temos recomendações específicas para estas definições.
Utilizar texto de notificação personalizado (CustomNotifications) Não selecionado ($false) Não selecionado ($false) Não selecionado ($false)
Do nome (CustomFromName) Em branco Em branco Em branco
Do endereço (CustomFromAddress) Em branco Em branco Em branco
Personalizar notificações para mensagens de remetentes internos Estas definições são utilizadas apenas se selecionar Notificar um administrador sobre mensagens não entregues de remetentes internos .
Assunto (CustomInternalSubject) Em branco Em branco Em branco
Mensagem (CustomInternalBody) Em branco Em branco Em branco
Personalizar notificações para mensagens de remetentes externos Estas definições são utilizadas apenas se selecionar Notificar um administrador sobre mensagens não entregues de remetentes externos .
Assunto (CustomExternalSubject) Em branco Em branco Em branco
Mensagem (CustomExternalBody) Em branco Em branco Em branco

Definições de política anti-spam da EOP

Para criar e configurar políticas antisspam, veja Configurar políticas antisspam na EOP.

Onde quer que selecione Mensagem de quarentena como a ação para um veredicto de filtro de spam, está disponível uma caixa Selecionar política de quarentena . As políticas de quarentena definem o que os utilizadores são capazes de fazer às mensagens em quarentena e se os utilizadores recebem notificações de quarentena. Para obter mais informações, veja Anatomia de uma política de quarentena.

Se alterar a ação de um veredicto de filtragem de spam para Mensagem de quarentena quando cria políticas antisspam no portal do Defender, a caixa Selecionar política de quarentena está em branco por predefinição. Um valor em branco significa que é utilizada a política de quarentena predefinida para esse veredicto de filtragem de spam. Estas políticas de quarentena predefinidas impõem as capacidades históricas do veredicto do filtro de spam que colocou a mensagem em quarentena, conforme descrito na tabela aqui. Quando mais tarde vir ou editar as definições de política antisspessoal, o nome da política de quarentena é apresentado.

Os administradores podem criar ou utilizar políticas de quarentena com capacidades mais restritivas ou menos restritivas. Para obter instruções, veja Criar políticas de quarentena no portal do Microsoft Defender.

Nome da funcionalidade de segurança Predefinição Standard Estrito Comentar
Limiar de e-mail em massa & propriedades de spam
Limiar de e-mail emmassa (BulkThreshold) 7 6 5 Para obter detalhes, veja Nível de reclamação em massa (BCL) na EOP.
Spam de e-mail em massa (MarkAsSpamBulkMail) (On) (On) (On) Esta definição só está disponível no PowerShell.
Aumentar as definições de pontuação de spam Todas estas definições fazem parte do Filtro de Spam Avançado (ASF). Para obter mais informações, veja a secção Definições do ASF em políticas antisspam neste artigo.
Marcar como definições de spam A maioria destas definições faz parte do ASF. Para obter mais informações, veja a secção Definições do ASF em políticas antisspam neste artigo.
Contém idiomas específicos (EnableLanguageBlockList e LanguageBlockList) Desativado ($false e em branco) Desativado ($false e em branco) Desativado ($false e em branco) Não temos nenhuma recomendação específica para esta definição. Pode bloquear mensagens em idiomas específicos com base nas suas necessidades empresariais.
A partir destes países (EnableRegionBlockList e RegionBlockList) Desativado ($false e em branco) Desativado ($false e em branco) Desativado ($false e em branco) Não temos nenhuma recomendação específica para esta definição. Pode bloquear mensagens de países/regiões específicos com base nas suas necessidades empresariais.
Modo de teste (TestModeAction) Nenhum Nenhum Nenhum Esta definição faz parte do ASF. Para obter mais informações, veja a secção Definições do ASF em políticas antisspam neste artigo.
Ações
Ação de deteção de spam (SpamAction) Mover mensagem para a pasta Email de Lixo (MoveToJmf) Mover mensagem para a pasta Email de Lixo (MoveToJmf) Mensagem de quarentena (Quarantine)
Política de quarentena para Spam (SpamQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessPolicy DefaultFullAccessWithNotificationPolicy A política de quarentena só é significativa se as deteções de spam forem colocadas em quarentena.
Ação de deteção de spam de alta confiança (HighConfidenceSpamAction) Mover mensagem para a pasta Email de Lixo (MoveToJmf) Mensagem de quarentena (Quarantine) Mensagem de quarentena (Quarantine)
Política de quarentena para spam de alta confiança (HighConfidenceSpamQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessWithNotificationPolicy DefaultFullAccessWithNotificationPolicy A política de quarentena só é significativa se forem colocadas em quarentena deteções de spam de elevada confiança.
Ação de deteção de phishing (PhishSpamAction) Mover mensagem para a pasta Email de Lixo (MoveToJmf)* Mensagem de quarentena (Quarantine) Mensagem de quarentena (Quarantine) *O valor predefinido é Mover mensagem para a pasta Email de lixo na política antisspam predefinida e em novas políticas antisspam que criar no PowerShell. O valor predefinido é Mensagem de quarentena em novas políticas antisspam que cria no portal do Defender.
Política de quarentena para Phishing (PhishQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessWithNotificationPolicy DefaultFullAccessWithNotificationPolicy A política de quarentena só é relevante se as deteções de phishing forem colocadas em quarentena.
Ação de deteção de phishing de alta confiança (HighConfidencePhishAction) Mensagem de quarentena (Quarantine) Mensagem de quarentena (Quarantine) Mensagem de quarentena (Quarantine) Os utilizadores não podem divulgar as suas próprias mensagens que foram colocadas em quarentena como phishing de alta confiança, independentemente da forma como a política de quarentena está configurada. Se a política permitir que os utilizadores divulguem as suas próprias mensagens em quarentena, os utilizadores podem, em vez disso, pedir a libertação das mensagens de phishing de alta confiança em quarentena.
Política de quarentena para phishing de alta confiança (HighConfidencePhishQuarantineTag) AdminOnlyAccessPolicy AdminOnlyAccessPolicy AdminOnlyAccessPolicy
Nível de conformidade em massa (BCL) cumprido ou excedido (BulkSpamAction) Mover mensagem para a pasta Email de Lixo (MoveToJmf) Mover mensagem para a pasta Email de Lixo (MoveToJmf) Mensagem de quarentena (Quarantine)
Política de quarentena para nível de conformidade em massa (BCL) cumprida ou excedida (BulkQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessPolicy DefaultFullAccessWithNotificationPolicy A política de quarentena só é significativa se as deteções em massa forem colocadas em quarentena.
Mensagens intra-organizacionais a tomar medidas em (IntraOrgFilterState) Predefinição (Predefinição) Predefinição (Predefinição) Predefinição (Predefinição) O valor Predefinido é o mesmo que selecionar mensagens de phishing de alta confiança. Atualmente, em organizações do Governo dos E.U.A. (Microsoft 365 GCC, GCC High e DoD), o valor Predefinido é o mesmo que selecionar Nenhum.
Manter o spam em quarentena durante estes dias (QuarantineRetentionPeriod) 15 dias 30 dias 30 dias Este valor também afeta as mensagens que são colocadas em quarentena por políticas anti-phishing. Para obter mais informações, veja Retenção de quarentena.
Ativar sugestões de segurança de spam (InlineSafetyTipsEnabled) Selecionado ($true) Selecionado ($true) Selecionado ($true)
Ativar a remoção automática de zero horas (ZAP) para mensagens de phishing (PhishZapEnabled) Selecionado ($true) Selecionado ($true) Selecionado ($true)
Ativar o ZAP para mensagens de spam (SpamZapEnabled) Selecionado ($true) Selecionado ($true) Selecionado ($true)
Permitir & lista de blocos
Remetentes permitidos (AllowedSenders) Nenhum Nenhum Nenhum
Domínios de remetente permitidos (AllowedSenderDomains) Nenhum Nenhum Nenhum Adicionar domínios à lista de domínios permitidos é uma má ideia. Os atacantes poderiam enviar-lhe e-mails que, de outra forma, seriam filtrados.

Utilize as informações de informações de spoof intelligence e a Lista de Permissões/Bloqueios do Inquilino para rever todos os remetentes que estão a falsificar endereços de e-mail do remetente nos domínios de e-mail da sua organização ou a falsificar endereços de e-mail do remetente em domínios externos.
Remetentes bloqueados (BlockedSenders) Nenhum Nenhum Nenhum
Domínios do remetente bloqueados (BlockedSenderDomains) Nenhum Nenhum Nenhum

¹ Conforme descrito em Permissões de acesso total e notificações de quarentena, a sua organização pode utilizar NotificationEnabledPolicy em vez de DefaultFullAccessPolicy na política de segurança predefinida ou em novas políticas de segurança personalizadas que criar. A única diferença entre estas duas políticas de quarentena é que as notificações de quarentena são ativadas em NotificationEnabledPolicy e desativadas em DefaultFullAccessPolicy.

Definições do ASF em políticas antisspam

Para obter mais informações sobre as definições do Filtro de Spam Avançado (ASF) em políticas antisspam, veja Definições avançadas do Filtro de Spam (ASF) na EOP.

Nome da funcionalidade de segurança Predefinição Recomendado
Standard
Recomendado
Estrito
Comentar
Ligações de imagens para sites remotos (IncreaseScoreWithImageLinks) Desativado Desativado Desativado
Endereço IP numérico no URL (IncreaseScoreWithNumericIps) Desativado Desativado Desativado
Redirecionamento do URL para outra porta (IncreaseScoreWithRedirectToOtherPort) Desativado Desativado Desativado
Ligações para sites .biz ou .info (IncreaseScoreWithBizOrInfoUrls) Desativado Desativado Desativado
Mensagens vazias (MarkAsSpamEmptyMessages) Desativado Desativado Desativado
Incorporar etiquetas em HTML (MarkAsSpamEmbedTagsInHtml) Desativado Desativado Desativado
JavaScript ou VBScript em HTML (MarkAsSpamJavaScriptInHtml) Desativado Desativado Desativado
Etiquetas de formulário em HTML (MarkAsSpamFormTagsInHtml) Desativado Desativado Desativado
Etiquetas frame ou iframe em HTML (MarkAsSpamFramesInHtml) Desativado Desativado Desativado
Erros na Web em HTML (MarkAsSpamWebBugsInHtml) Desativado Desativado Desativado
Etiquetas de objeto em HTML (MarkAsSpamObjectTagsInHtml) Desativado Desativado Desativado
Palavras confidenciais (MarkAsSpamSensitiveWordList) Desativado Desativado Desativado
Registo SPF: falha grave (MarkAsSpamSpfRecordHardFail) Desativado Desativado Desativado
Falha na filtragem do ID do remetente (MarkAsSpamFromAddressAuthFail) Desativado Desativado Desativado
Backscatter (MarkAsSpamNdrBackscatter) Desativado Desativado Desativado
Modo de teste (TestModeAction) Nenhum Nenhum Nenhum Para definições do ASF que suportam Testar como uma ação, pode configurar a ação do modo de teste para Nenhum, Adicionar texto de Cabeçalho X predefinido ou Enviar mensagem Bcc (None, AddXHeaderou BccMessage). Para obter mais informações, consulte Ativar, desativar ou testar as definições do ASF.

Nota

O ASF adiciona X-CustomSpam: campos de cabeçalho X a mensagens depois de as mensagens terem sido processadas pelas regras de fluxo de correio do Exchange (também conhecidas como regras de transporte), pelo que não pode utilizar regras de fluxo de correio para identificar e agir sobre mensagens que foram filtradas pelo ASF.

Definições de política de spam de saída da EOP

Para criar e configurar políticas de spam de saída, veja Configurar a filtragem de spam de saída na EOP.

Para obter mais informações sobre os limites de envio predefinidos no serviço, veja Enviar limites.

Nota

As políticas de spam de saída não fazem parte das políticas de segurança predefinidas Padrão ou Estritas. Os valores Standard e Strict indicam os nossos valores recomendados na política de spam de saída predefinida ou nas políticas de spam de saída personalizadas que criar.

Nome da funcionalidade de segurança Predefinição Recomendado
Standard
Recomendado
Estrito
Comentar
Definir um limite de mensagens externas (RecipientLimitExternalPerHour) 0 500 400 O valor predefinido 0 significa utilizar as predefinições do serviço.
Definir um limite de mensagens interno (RecipientLimitInternalPerHour) 0 1000 800 O valor predefinido 0 significa utilizar as predefinições do serviço.
Definir um limite diário de mensagens (RecipientLimitPerDay) 0 1000 800 O valor predefinido 0 significa utilizar as predefinições do serviço.
Restrição colocada aos utilizadores que atingem o limite de mensagens (ActionWhenThresholdReached) Restringir o envio de correio por parte do utilizador até ao dia seguinte (BlockUserForToday) Impedir o utilizador de enviar correio (BlockUser) Impedir o utilizador de enviar correio (BlockUser)
Regras de reencaminhamento automático (AutoForwardingMode) Automático - Controlado pelo sistema (Automatic) Automático - Controlado pelo sistema (Automatic) Automático - Controlado pelo sistema (Automatic)
Enviar uma cópia das mensagens de saída que excedem estes limites para estes utilizadores e grupos (BccSuspiciousOutboundMail e BccSuspiciousOutboundAdditionalRecipients) Não selecionado ($false e Em Branco) Não selecionado ($false e Em Branco) Não selecionado ($false e Em Branco) Não temos nenhuma recomendação específica para esta definição.

Esta definição só funciona na política de spam de saída predefinida. Não funciona em políticas de spam de saída personalizadas que criar.
Notifique estes utilizadores e grupos se um remetente estiver bloqueado devido ao envio de spam de saída (NotifyOutboundSpam e NotifyOutboundSpamRecipients) Não selecionado ($false e Em Branco) Não selecionado ($false e Em Branco) Não selecionado ($false e Em Branco) A política de alerta predefinida denominada Utilizador impedido de enviar e-mails já envia notificações por e-mail aos membros do grupo TenantAdmins (membros do Administrador Global ) quando os utilizadores são bloqueados devido a excederem os limites na política. Recomendamos vivamente que utilize a política de alertas em vez desta definição na política de spam de saída para notificar os administradores e outros utilizadores. Para obter instruções, veja Verificar as definições de alerta para utilizadores restritos.

Definições de política anti-phishing da EOP

Para obter mais informações sobre estas definições, consulte Definições de spoof. Para configurar estas definições, veja Configurar políticas anti-phishing na EOP.

As definições de spoof estão relacionadas, mas a definição Mostrar primeiro contacto de segurança não tem dependência nas definições de spoof.

As políticas de quarentena definem o que os utilizadores são capazes de fazer às mensagens em quarentena e se os utilizadores recebem notificações de quarentena. Para obter mais informações, veja Anatomia de uma política de quarentena.

Embora o valor aplicar política de quarentena pareça não selecionado quando cria uma política anti-phishing no portal do Defender, a política de quarentena denominada DefaultFullAccessPolicy¹ é utilizada se não selecionar uma política de quarentena. Esta política impõe as capacidades históricas das mensagens que foram colocadas em quarentena como spoof, conforme descrito na tabela aqui. Quando mais tarde vir ou editar as definições da política de quarentena, o nome da política de quarentena é apresentado.

Os administradores podem criar ou utilizar políticas de quarentena com capacidades mais restritivas ou menos restritivas. Para obter instruções, veja Criar políticas de quarentena no portal do Microsoft Defender.

Nome da funcionalidade de segurança Predefinição Standard Estrito Comentar
Limiar de phishing & proteção
Ativar inteligência spoof (EnableSpoofIntelligence) Selecionado ($true) Selecionado ($true) Selecionado ($true)
Ações
Respeitar a política de registos DMARC quando a mensagem é detetada como spoof (HonorDmarcPolicy) Selecionado ($true) Selecionado ($true) Selecionado ($true) Quando esta definição está ativada, controla o que acontece às mensagens em que o remetente falha verificações DMARC explícitas quando a ação de política no registo TXT DMARC está definida como p=quarantine ou p=reject. Para obter mais informações, veja Spoof protection and sender DMARC policies (Proteção de spoof e políticas DMARC do remetente).
Se a mensagem for detetada como spoof e a Política DMARC estiver definida como p=quarentena (DmarcQuarantineAction) Colocar a mensagem em quarentena (Quarantine) Colocar a mensagem em quarentena (Quarantine) Colocar a mensagem em quarentena (Quarantine) Esta ação só é significativa quando a política de registos Honor DMARC quando a mensagem é detetada como spoof está ativada.
Se a mensagem for detetada como spoof e a Política DMARC estiver definida como p=reject (DmarcRejectAction) Rejeitar a mensagem (Reject) Rejeitar a mensagem (Reject) Rejeitar a mensagem (Reject) Esta ação só é significativa quando a política de registos Honor DMARC quando a mensagem é detetada como spoof está ativada.
Se a mensagem for detetada como spoof por spoof intelligence (AuthenticationFailAction) Mover a mensagem para as pastas de Email de Lixo dos destinatários (MoveToJmf) Mover a mensagem para as pastas de Email de Lixo dos destinatários (MoveToJmf) Colocar a mensagem em quarentena (Quarantine) Esta definição aplica-se a remetentes falsificados que foram automaticamente bloqueados, conforme mostrado nas informações de informações de spoof intelligence ou bloqueados manualmente na Lista de Permissões/Bloqueios do Inquilino.

Se selecionar Colocar a mensagem em quarentena como a ação para o veredicto de spoof, está disponível uma caixa Aplicar política de quarentena .
Política de quarentena para Spoof (SpoofQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessPolicy DefaultFullAccessWithNotificationPolicy A política de quarentena só é relevante se as deteções de spoof forem colocadas em quarentena.
Mostrar a sugestão de segurança do primeiro contacto (EnableFirstContactSafetyTips) Não selecionado ($false) Selecionado ($true) Selecionado ($true) Para obter mais informações, consulte Sugestão de segurança do primeiro contacto.
Mostrar (?) para remetentes não autenticados para spoof (EnableUnauthenticatedSender) Selecionado ($true) Selecionado ($true) Selecionado ($true) Adiciona um ponto de interrogação (?) à fotografia do remetente no Outlook para remetentes falsificados não identificados. Para obter mais informações, veja Indicadores de remetente não autenticados.
Mostrar etiqueta "via" (EnableViaTag) Selecionado ($true) Selecionado ($true) Selecionado ($true) Adiciona uma etiqueta via (chris@contoso.com através de fabrikam.com) ao endereço De se for diferente do domínio na assinatura DKIM ou no endereço MAIL FROM .

Para obter mais informações, veja Indicadores de remetente não autenticados.

¹ Conforme descrito em Permissões de acesso total e notificações de quarentena, a sua organização pode utilizar NotificationEnabledPolicy em vez de DefaultFullAccessPolicy na política de segurança predefinida ou em novas políticas de segurança personalizadas que criar. A única diferença entre estas duas políticas de quarentena é que as notificações de quarentena são ativadas em NotificationEnabledPolicy e desativadas em DefaultFullAccessPolicy.

segurança Microsoft Defender para Office 365

Os benefícios de segurança adicionais são fornecidos com uma subscrição Microsoft Defender para Office 365. Para obter as notícias e informações mais recentes, pode ver Novidades no Defender para Office 365.

Importante

Se a sua subscrição incluir Microsoft Defender para Office 365 ou se tiver comprado Defender para Office 365 como um suplemento, defina as seguintes configurações Padrão ou Estrita.

Definições de política anti-phishing no Microsoft Defender para Office 365

Os clientes da EOP obtêm anti-phishing básico, conforme descrito anteriormente, mas Defender para Office 365 inclui mais funcionalidades e controlo para ajudar a prevenir, detetar e remediar ataques. Para criar e configurar estas políticas, veja Configurar políticas anti-phishing no Defender para Office 365.

Definições avançadas em políticas anti-phishing no Microsoft Defender para Office 365

Para obter mais informações sobre esta definição, veja Limiares de phishing avançados em políticas anti-phishing no Microsoft Defender para Office 365. Para configurar esta definição, veja Configurar políticas anti-phishing no Defender para Office 365.

Nome da funcionalidade de segurança Predefinição Standard Estrito Comentar
Limiar de e-mail de phishing (PhishThresholdLevel) 1 - Standard (1) 3 - Mais agressivo (3) 4 - Mais agressivo (4)

Definições de representação em políticas anti-phishing no Microsoft Defender para Office 365

Para obter mais informações sobre estas definições, consulte Definições de representação em políticas anti-phishing no Microsoft Defender para Office 365. Para configurar estas definições, veja Configurar políticas anti-phishing no Defender para Office 365.

Onde quer que selecione Colocar a mensagem em quarentena como a ação para um veredicto de representação, está disponível uma caixa Aplicar política de quarentena . As políticas de quarentena definem o que os utilizadores são capazes de fazer às mensagens em quarentena e se os utilizadores recebem notificações de quarentena. Para obter mais informações, veja Anatomia de uma política de quarentena.

Embora o valor aplicar política de quarentena pareça não selecionado quando cria uma política anti-phishing no portal do Defender, a política de quarentena denominada DefaultFullAccessPolicy é utilizada se não selecionar uma política de quarentena. Esta política impõe as capacidades históricas das mensagens que foram colocadas em quarentena como representação, conforme descrito na tabela aqui. Quando mais tarde vir ou editar as definições da política de quarentena, o nome da política de quarentena é apresentado.

Os administradores podem criar ou utilizar políticas de quarentena com capacidades mais restritivas ou menos restritivas. Para obter instruções, veja Criar políticas de quarentena no portal do Microsoft Defender.

Nome da funcionalidade de segurança Predefinição Standard Estrito Comentar
Limiar de phishing & proteção
Proteção de representação do utilizador: permitir que os utilizadores protejam (EnableTargetedUserProtection e TargetedUsersToProtect) Não selecionado ($false e nenhum) Selecionado ($true e <lista de utilizadores>) Selecionado ($true e <lista de utilizadores>) Recomendamos que adicione utilizadores (remetentes de mensagens) em funções-chave. Internamente, os remetentes protegidos podem ser o seu CEO, CFO e outros líderes seniores. Externamente, os remetentes protegidos podem incluir membros do conselho ou o seu conselho de administração.
Proteção de representação de domínio: Ativar domínios a proteger Não selecionado Selecionado Selecionado
Incluir domínios que possuo (EnableOrganizationDomainsProtection) Desativado ($false) Selecionado ($true) Selecionado ($true)
Incluir domínios personalizados (EnableTargetedDomainsProtection e TargetedDomainsToProtect) Desativado ($false e nenhum) Selecionado ($true e <lista de domínios>) Selecionado ($true e <lista de domínios>) Recomendamos que adicione domínios (domínios do remetente) que não possui, mas com os quais interage frequentemente.
Adicionar domínios e remetentes fidedignos (ExcludedSenders e ExcludedDomains) Nenhum Nenhum Nenhum Consoante a sua organização, recomendamos que adicione remetentes ou domínios identificados incorretamente como tentativas de representação.
Ativar a inteligência da caixa de correio (EnableMailboxIntelligence) Selecionado ($true) Selecionado ($true) Selecionado ($true)
Ativar a inteligência para a proteção contra representação (EnableMailboxIntelligenceProtection) Desativado ($false) Selecionado ($true) Selecionado ($true) Esta definição permite a ação especificada para deteções de representação por informações da caixa de correio.
Ações
Se for detetada uma mensagem como representação do utilizador (TargetedUserProtectionAction) Não aplique nenhuma ação (NoAction) Colocar a mensagem em quarentena (Quarantine) Colocar a mensagem em quarentena (Quarantine)
Política de quarentena para representação do utilizador (TargetedUserQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessWithNotificationPolicy DefaultFullAccessWithNotificationPolicy A política de quarentena só é significativa se as deteções de representação do utilizador forem colocadas em quarentena.
Se for detetada uma mensagem como representação de domínio (TargetedDomainProtectionAction) Não aplique nenhuma ação (NoAction) Colocar a mensagem em quarentena (Quarantine) Colocar a mensagem em quarentena (Quarantine)
Política de quarentena para representação de domínio (TargetedDomainQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessWithNotificationPolicy DefaultFullAccessWithNotificationPolicy A política de quarentena só é significativa se as deteções de representação de domínio forem colocadas em quarentena.
Se as informações da caixa de correio detetarem um utilizador representado (MailboxIntelligenceProtectionAction) Não aplique nenhuma ação (NoAction) Mover a mensagem para as pastas de Email de Lixo dos destinatários (MoveToJmf) Colocar a mensagem em quarentena (Quarantine)
Política de quarentena para representação de informações de caixa de correio (MailboxIntelligenceQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessPolicy DefaultFullAccessWithNotificationPolicy A política de quarentena só é relevante se as deteções de inteligência da caixa de correio forem colocadas em quarentena.
Mostrar sugestão de segurança de representação do utilizador (EnableSimilarUsersSafetyTips) Desativado ($false) Selecionado ($true) Selecionado ($true)
Mostrar sugestão de segurança de representação de domínio (EnableSimilarDomainsSafetyTips) Desativado ($false) Selecionado ($true) Selecionado ($true)
Sugestão de segurança mostrar carateres invulgares de representação do utilizador (EnableUnusualCharactersSafetyTips) Desativado ($false) Selecionado ($true) Selecionado ($true)

¹ Conforme descrito em Permissões de acesso total e notificações de quarentena, a sua organização pode utilizar NotificationEnabledPolicy em vez de DefaultFullAccessPolicy na política de segurança predefinida ou em novas políticas de segurança personalizadas que criar. A única diferença entre estas duas políticas de quarentena é que as notificações de quarentena são ativadas em NotificationEnabledPolicy e desativadas em DefaultFullAccessPolicy.

Definições de política anti-phishing da EOP no Microsoft Defender para Office 365

Estas são as mesmas definições que estão disponíveis nas definições de política antiss spam na EOP.

Definições de Anexos Seguros

Os Anexos Seguros no Microsoft Defender para Office 365 incluem definições globais que não têm qualquer relação com políticas de Anexos Seguros e definições específicas de cada política de Ligações Seguras. Para obter mais informações, consulte Anexos Seguros no Defender para Office 365.

Embora não exista uma política de Anexos Seguros predefinida, a política de segurança predefinida de proteção incorporada fornece proteção de Anexos Seguros a todos os destinatários que não estão definidos nas políticas de segurança predefinidas Padrão ou Estritas ou em políticas de Anexos Seguros personalizadas. Para obter mais informações, veja Preset security policies in EOP and Microsoft Defender para Office 365 (Políticas de segurança predefinidas na EOP e Microsoft Defender para Office 365).

Definições globais para Anexos Seguros

Nota

As definições globais dos Anexos Seguros são definidas pela política de segurança predefinida de proteção incorporada, mas não pelas políticas de segurança predefinidas Padrão ou Estritas . De qualquer forma, os administradores podem modificar estas definições globais de Anexos Seguros em qualquer altura.

A coluna Predefinição mostra os valores antes da existência da política de segurança predefinida de proteção incorporada. A coluna Proteção incorporada mostra os valores que são definidos pela política de segurança predefinida de proteção incorporada, que também são os nossos valores recomendados.

Para configurar estas definições, consulte Ativar Anexos Seguros para o SharePoint, OneDrive e Microsoft Teams e Documentos Seguros no Microsoft 365 E5.

No PowerShell, utilize o cmdlet Set-AtpPolicyForO365 para estas definições.

Nome da funcionalidade de segurança Predefinição Proteção incorporada Comentar
Ative Defender para Office 365 para o SharePoint, OneDrive e Microsoft Teams (EnableATPForSPOTeamsODB) Desativado ($false) Ativado ($true) Para impedir que os utilizadores transfiram ficheiros maliciosos, veja Utilizar o PowerShell do SharePoint Online para impedir que os utilizadores transfiram ficheiros maliciosos.
Ativar Documentos Seguros para clientes do Office (EnableSafeDocs) Desativado ($false) Ativado ($true) Esta funcionalidade só está disponível e tem significado com licenças que não estão incluídas no Defender para Office 365 (por exemplo, Microsoft 365 A5 ou Microsoft 365 E5 Segurança). Para obter mais informações, consulte Documentos Seguros no Microsoft 365 A5 ou Segurança E5.
Permitir que as pessoas cliquem na Vista Protegida mesmo que Documentos Seguros identifiquem o ficheiro como malicioso (AllowSafeDocsOpen) Desativado ($false) Desativado ($false) Esta definição está relacionada com Documentos Seguros.

Definições de política de Anexos Seguros

Para configurar estas definições, consulte Configurar políticas de Anexos Seguros no Defender para Office 365.

No PowerShell, utilize os cmdlets New-SafeAttachmentPolicy e Set-SafeAttachmentPolicy para estas definições.

Nota

Conforme descrito anteriormente, embora não exista uma política predefinida de Anexos Seguros, a política de segurança predefinida de proteção incorporada fornece proteção de Anexos Seguros a todos os destinatários que não estejam definidos na política de segurança predefinida Padrão, na política de segurança estritamente predefinida ou em políticas personalizadas de Anexos Seguros.

A coluna Predefinida na coluna personalizada refere-se aos valores predefinidos nas novas políticas de Anexos Seguros que criar. As restantes colunas indicam (salvo indicação em contrário) os valores configurados nas políticas de segurança predefinidas correspondentes.

As políticas de quarentena definem o que os utilizadores são capazes de fazer às mensagens em quarentena e se os utilizadores recebem notificações de quarentena. Para obter mais informações, veja Anatomia de uma política de quarentena.

A política denominada AdminOnlyAccessPolicy impõe as capacidades históricas para mensagens que foram colocadas em quarentena como software maligno, conforme descrito na tabela aqui.

Os utilizadores não podem divulgar as suas próprias mensagens que foram colocadas em quarentena como software maligno por Anexos Seguros, independentemente da forma como a política de quarentena está configurada. Se a política permitir que os utilizadores divulguem as suas próprias mensagens em quarentena, os utilizadores podem, em vez disso, pedir a libertação das mensagens de software maligno em quarentena.

Nome da funcionalidade de segurança Predefinição em personalizado Proteção incorporada Standard Estrito Comentar
Resposta de software maligno desconhecido dos Anexos Seguros (Ativar e Ação) Desativado (-Enable $false e -Action Block) Bloquear (-Enable $true e -Action Block) Bloquear (-Enable $true e -Action Block) Bloquear (-Enable $true e -Action Block) Quando o parâmetro Enable é $false, o valor do parâmetro Action não importa.
Política de quarentena (QuarantineTag) AdminOnlyAccessPolicy AdminOnlyAccessPolicy AdminOnlyAccessPolicy AdminOnlyAccessPolicy
Redirecionar anexo com anexos detetados : ativar o redirecionamento (Redirecionamento e RedirectAddress) Não selecionado e nenhum endereço de e-mail especificado. (-Redirect $false e RedirectAddress está em branco) Não selecionado e nenhum endereço de e-mail especificado. (-Redirect $false e RedirectAddress está em branco) Não selecionado e nenhum endereço de e-mail especificado. (-Redirect $false e RedirectAddress está em branco) Não selecionado e nenhum endereço de e-mail especificado. (-Redirect $false e RedirectAddress está em branco) O redirecionamento de mensagens só está disponível quando o valor de resposta de software maligno Desconhecido dos Anexos Seguros for Monitor (-Enable $true e -Action Allow).

Para obter mais informações sobre a proteção de Ligações Seguras, consulte Ligações Seguras no Defender para Office 365.

Embora não exista uma política de Ligações Seguras predefinida, a política de segurança predefinida de proteção incorporada fornece proteção de Ligações Seguras a todos os destinatários que não estão definidos na política de segurança predefinida Padrão, na política de segurança predefinida estrita ou em políticas de Ligações Seguras personalizadas. Para obter mais informações, veja Preset security policies in EOP and Microsoft Defender para Office 365 (Políticas de segurança predefinidas na EOP e Microsoft Defender para Office 365).

Para configurar as definições de política de Ligações Seguras, consulte Configurar políticas de Ligações Seguras no Microsoft Defender para Office 365.

No PowerShell, utiliza os cmdlets New-SafeLinksPolicy e Set-SafeLinksPolicy para definições de política de Ligações Seguras.

Nota

A coluna Predefinida na coluna personalizada refere-se aos valores predefinidos nas novas políticas de Ligações Seguras que criar. As restantes colunas indicam (salvo indicação em contrário) os valores configurados nas políticas de segurança predefinidas correspondentes.

Nome da funcionalidade de segurança Predefinição em personalizado Proteção incorporada Standard Estrito Comentar
URL & clicar em definições de proteção
E-mail As definições nesta secção afetam a reescrita do URL e a hora da proteção do clique nas mensagens de e-mail.
Em: Ligações Seguras verifica uma lista de ligações conhecidas e maliciosas quando os utilizadores clicam em ligações no e-mail. Os URLs são reescritos por predefinição. (EnableSafeLinksForEmail) Selecionado ($true) Selecionado ($true) Selecionado ($true) Selecionado ($true)
Aplicar Ligações Seguras a mensagens de e-mail enviadas na organização (EnableForInternalSenders) Selecionado ($true) Não selecionado ($false) Selecionado ($true) Selecionado ($true)
Aplicar a análise de URLs em tempo real para ligações suspeitas e ligações que apontem para ficheiros (ScanUrls) Selecionado ($true) Selecionado ($true) Selecionado ($true) Selecionado ($true)
Aguarde pela conclusão da análise do URL antes de entregar a mensagem (DeliverMessageAfterScan) Selecionado ($true) Selecionado ($true) Selecionado ($true) Selecionado ($true)
Não reescreva URLs, faça verificações apenas através da API de Ligações Seguras (DisableURLRewrite) Selecionado ($false)* Selecionado ($true) Não selecionado ($false) Não selecionado ($false) * Nas novas políticas de Ligações Seguras que criar no portal do Defender, esta definição está selecionada por predefinição. Nas novas políticas de Ligações Seguras que cria no PowerShell, o valor predefinido do parâmetro DisableURLRewrite é $false.
Não reescreva os seguintes URLs no e-mail (DoNotRewriteUrls) Em branco Em branco Em branco Em branco Não temos nenhuma recomendação específica para esta definição.

Nota: as entradas na lista "Não reescrever os seguintes URLs" não são analisadas ou encapsuladas por Ligações Seguras durante o fluxo de correio. Comunique o URL como confirmei que está limpo e, em seguida, selecione Permitir que este URL adicione uma entrada de permissão à Lista de Permissões/Bloqueios do Inquilino para que o URL não seja analisado ou moldado por Ligações Seguras durante o fluxo de correio e no momento do clique. Para obter instruções, consulte Comunicar bons URLs à Microsoft.
Teams A definição nesta secção afeta a hora da proteção de cliques no Microsoft Teams.
Em: Ligações Seguras verifica uma lista de ligações conhecidas e maliciosas quando os utilizadores clicam em ligações no Microsoft Teams. Os URLs não são reescritos. (EnableSafeLinksForTeams) Selecionado ($true) Selecionado ($true) Selecionado ($true) Selecionado ($true)
aplicações Office 365 A definição nesta secção afeta a hora da proteção de cliques nas aplicações do Office.
Em: Ligações Seguras verifica uma lista de ligações maliciosas conhecidas quando os utilizadores clicam em ligações nas aplicações do Microsoft Office. Os URLs não são reescritos. (EnableSafeLinksForOffice) Selecionado ($true) Selecionado ($true) Selecionado ($true) Selecionado ($true) Utilize Ligações Seguras em aplicações de Office 365 ambiente de trabalho e dispositivos móveis (iOS e Android) suportadas. Para obter mais informações, consulte Definições de Ligações Seguras para aplicações do Office.
Clique em definições de proteção
Controlar cliques do utilizador (TrackClicks) Selecionado ($true) Selecionado ($true) Selecionado ($true) Selecionado ($true)
Permitir que os utilizadores cliquem no URL original (AllowClickThrough) Selecionado ($false)* Selecionado ($true) Não selecionado ($false) Não selecionado ($false) * Nas novas políticas de Ligações Seguras que criar no portal do Defender, esta definição está selecionada por predefinição. Nas novas políticas de Ligações Seguras que cria no PowerShell, o valor predefinido do parâmetro AllowClickThrough é $false.
Apresentar a imagem corporativa da organização nas páginas de notificação e aviso (EnableOrganizationBranding) Não selecionado ($false) Não selecionado ($false) Não selecionado ($false) Não selecionado ($false) Não temos nenhuma recomendação específica para esta definição.

Antes de ativar esta definição, tem de seguir as instruções em Personalizar o tema do Microsoft 365 para a sua organização carregar o logótipo da sua empresa.
Notificação
Como pretende notificar os seus utilizadores? (CustomNotificationText e UseTranslatedNotificationText) Utilizar o texto de notificação predefinido (Em branco e $false) Utilizar o texto de notificação predefinido (Em branco e $false) Utilizar o texto de notificação predefinido (Em branco e $false) Utilizar o texto de notificação predefinido (Em branco e $false) Não temos nenhuma recomendação específica para esta definição.

Pode selecionar Utilizar texto de notificação personalizado (-CustomNotificationText "<Custom text>") para introduzir e utilizar texto de notificação personalizado. Se especificar texto personalizado, também pode selecionar Utilizar o Microsoft Translator para a localização automática (-UseTranslatedNotificationText $true) para traduzir automaticamente o texto para o idioma do utilizador.