Готовые политики безопасности в EOP и Microsoft Defender для Office 365

Совет

Знаете ли вы, что вы можете попробовать функции в Microsoft 365 Defender для Office 365 план 2 бесплатно? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft 365 Defender. Сведения о том, кто может зарегистрироваться и условия пробной версии , см. здесь.

Область применения

• Exchange Online Protection
• Microsoft Defender для Office 365 (план 1 и план 2)
• Microsoft 365 Defender

Предустановленные политики безопасности предоставляют централизованное расположение для одновременного применения всех рекомендуемых политик спама, вредоносных программ и фишинга к пользователям. Параметры политики не настраиваются. Вместо этого они задаются нами и основаны на наших наблюдениях и опыте в центрах обработки данных, чтобы обеспечить баланс между сохранением вредоносного содержимого от пользователей и предотвращением ненужных сбоев.

В оставшейся части этой статьи описаны предустановленные политики безопасности и способы их настройки.

Из каких предустановленных политик безопасности состоят

Предустановленные политики безопасности состоят из следующих элементов:

• Профили
• Политики
• Параметры политик

Кроме того, порядок приоритета важен, если к одному и тому же лицу применяются несколько предустановленных политик безопасности и другие политики.

Профили в предустановленных политиках безопасности

Профиль определяет уровень защиты. Доступны следующие профили:

• Стандартная защита — базовый профиль защиты, который подходит большинству пользователей.

• Строгая защита: более агрессивный профиль защиты для отдельных пользователей (целевых объектов с высоким значением или приоритетных пользователей).

  Для стандартной защиты и строгой защиты используются правила с условиями и исключениями для определения внутренних получателей, к которым применяется политика (условия получателя).

  Доступные условия и исключения:

  • Пользователи. Указывает один или несколько почтовых ящиков, пользователей почты или почтовых контактов.
  • Группы.
    • Члены указанных групп рассылки или групп безопасности с поддержкой почты (динамические группы рассылки не поддерживаются).
    • Указанные Группы Microsoft 365.
  • Домены: все получатели в указанных обслуживаемых доменах в вашей организации.

  Условие или исключение можно использовать только один раз, но можно указать для них несколько значений. Указать несколько значений в одном условии или исключении можно с помощью оператора OR (например, <получатель1> or <получатель2>). Между разными условиями и исключениями используется оператор AND (например, <получатель1> and <участник группы 1>).

  Важно!

  Несколько различных типов условий или исключений не являются аддитивными; они являются инклюзивными. Предустановленная политика безопасности применяется только к тем получателям, которые соответствуют всем указанным фильтрам получателей. Например, вы настраиваете условие фильтра получателя в политике со следующими значениями:

  • Пользователей: romain@contoso.com
  • Группы: руководители

  Политика применяется только в romain@contoso.com том случае, если он также является членом группы руководителей. Если он не является членом группы, политика к нему не применяется.

  Аналогичным образом, если вы используете тот же фильтр получателей в качестве исключения для политики, политика не применяется только в romain@contoso.com том случае, если он также является членом группы руководителей. Если он не является членом группы, политика все-таки применяется к нему.

• Встроенная защита (только Defender для Office 365). Профиль, который включает только защиту безопасных ссылок и безопасных вложений. Этот профиль фактически предоставляет политики по умолчанию для безопасных ссылок и безопасных вложений, в которых никогда не было политик по умолчанию.

  Для встроенной защиты предустановленная политика безопасности включена по умолчанию для всех клиентов Defender для Office 365. Вы также можете настроить исключения на основе пользователей, групп и доменов , чтобы защита не применялись к определенным пользователям.

  Важно!

  Если вы не настроите исключения для встроенной защиты, все получатели в организации получат защиту безопасных ссылок и безопасных вложений.

Пока вы не назначите политики пользователям, стандартные и строгие предустановленные политики безопасности никому не назначаются. В отличие от этого, встроенная предустановленная политика безопасности защиты назначается всем получателям по умолчанию, но вы можете настроить исключения.

Политики в предустановленных политиках безопасности

Предустановленные политики безопасности используют соответствующие политики из различных функций защиты в EOP и Microsoft Defender для Office 365. Эти политики создаются после назначения пользователям предустановленных политик безопасности "Стандартная" или "Строгая защита ". Вы не можете изменить параметры в этих политиках.

• политики Exchange Online Protection (EOP): эти политики доступны во всех организациях Microsoft 365 с Exchange Online почтовыми ящиками и автономными организациями EOP без Exchange Online почтовых ящиков:

  • Политики защиты от нежелательной почты с именами Стандартная предустановленная политика безопасности и Строгая предустановленная политика безопасности.
  • Политики защиты от вредоносных программ с именами Стандартная предустановленная политика безопасности и Строгая предустановленная политика безопасности.
  • Политики защиты от фишинга (защита от спуфингов) с именами Стандартная предустановленная политика безопасности и Строгая предустановленная политика безопасности (параметры подделки).

  Примечание.

  Политики исходящей нежелательной почты не являются частью предустановленных политик безопасности. Политика исходящей нежелательной почты по умолчанию автоматически защищает члены предустановленных политик безопасности. Вы также можете создать настраиваемые политики исходящей нежелательной почты, чтобы настроить защиту для членов предустановленных политик безопасности. Дополнительные сведения см. в разделе Настройка фильтрации исходящего спама в EOP.

• политики Microsoft Defender для Office 365. Эти политики применяются в организациях с подписками на Microsoft 365 E5 или Defender для Office 365 надстройки:

  • Политики защиты от фишинга в Defender для Office 365 под названием Стандартная предустановленная политика безопасности и Строгая предустановленная политика безопасности, которые включают:
    • Те же подделывание параметров , которые доступны в политиках защиты от фишинга EOP.
    • Параметры олицетворения
    • Расширенные пороговые значения фишинга
  • Политики безопасных ссылок под названием Стандартная предустановленная политика безопасности, Строгая предустановленная политика безопасности и Встроенная политика защиты.
  • Политики безопасных вложений с именем Стандартная предустановленная политика безопасности, Строгая предустановленная политика безопасности и Встроенная политика защиты.

Вы можете применить защиту EOP к пользователям, отличным от Defender для Office 365, или применить EOP и Defender для Office 365 к тем же получателям.

Параметры политики в предустановленных политиках безопасности

Параметры политики в профилях защиты изменить нельзя. Значения параметров политики "Стандартный", "Строгий" и "Встроенный", включая используемые политики карантина по умолчанию, перечислены в разделе Рекомендуемые параметры для EOP и Microsoft Defender для Office 365 безопасности.

Примечание.

В Defender для Office 365 защиты необходимо определить отправителей для защиты олицетворения пользователя и внутренние или внешние домены для защиты олицетворения домена.

Все домены, которыми вы владеете (обслуживаемые домены), автоматически получают защиту олицетворения домена в предустановленных политиках безопасности.

Все получатели автоматически получают защиту олицетворения от аналитики почтовых ящиков в предустановленных политиках безопасности.

Порядок приоритета предустановленных политик безопасности и других политик

Если к пользователю применяется несколько политик, применяется следующий порядок: с наивысшим приоритетом до самого низкого:

1. Строгая предустановленная политика безопасности.
2. Стандартная предустановленная политика безопасности.
3. Пользовательские политики. Пользовательские политики применяются на основе значения приоритета политики.
4. Встроенная предустановленная политика безопасности защиты для безопасных ссылок и безопасных вложений; политики по умолчанию для защиты от вредоносных программ, нежелательной почты и фишинга.

Другими словами, параметры предустановленной политики безопасности Strict переопределяют параметры стандартной предустановленной политики безопасности, которая переопределяет параметры из любых пользовательских политик, которые переопределяют параметры встроенной предустановленной политики безопасности защиты для безопасных ссылок и безопасных вложений, а также политики по умолчанию для защиты от нежелательной почты, защиты от вредоносных программ и фишинга.

Например, параметр безопасности существует в стандартной защите , и администратор указывает пользователя для стандартной защиты. Параметр стандартной защиты применяется к пользователю вместо того, что настроено для этого параметра в пользовательской политике или в политике по умолчанию для того же пользователя.

Вам может потребоваться применить стандартные или строгие предустановленные политики безопасности к подмножествам пользователей, а пользовательские политики — к другим пользователям в организации в соответствии с конкретными потребностями. Чтобы выполнить это требование, выполните следующие действия.

• Настройте пользователей, которые должны получать параметры стандартной предустановленной политики безопасности и пользовательских политик в виде исключений в предустановленной политике безопасности Strict .
• Настройте пользователей, которые должны получать параметры пользовательских политик в виде исключений в стандартной предустановленной политике безопасности.

Встроенная защита не влияет на получателей в существующих политиках безопасных ссылок или безопасных вложений. Если вы уже настроили стандартную защиту, строгую защиту или настраиваемые политики безопасных ссылок или безопасных вложений, эти политики всегда применяются довстроенной защиты, поэтому они не влияют на получателей, которые уже определены в существующих предустановленных или настраиваемых политиках.

Назначение готовых политик безопасности пользователям

Что нужно знать перед началом работы

• Чтобы открыть портал Microsoft 365 Defender, перейдите на сайт https://security.microsoft.com. Чтобы перейти непосредственно на страницу Предустановленных политик безопасности , используйте https://security.microsoft.com/presetSecurityPolicies.

• Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell.

• Перед выполнением процедур, описанных в этой статье, вам необходимо назначить разрешения. Возможны следующие варианты:

  • Microsoft 365 Defender управление доступом на основе ролей (RBAC):конфигурация или безопасность (управление) или конфигурация и безопасность (чтение). В настоящее время для этого параметра требуется членство в программе предварительной версии Microsoft 365 Defender.
  • Exchange Online RBAC:
    • Настройка предустановленных политик безопасности: членство в группах ролей "Управление организацией" или "Администратор безопасности ".
    • Доступ только для чтения к предустановленным политикам безопасности: членство в группе ролей Global Reader .
  • Azure AD RBAC: членство в ролях глобального администратора, администратора безопасности или глобального читателя предоставляет пользователям необходимые разрешения и разрешения для других функций Microsoft 365.

Использование портала Microsoft 365 Defender для назначения стандартных и строгих предустановленных политик безопасности пользователям

1. На портале Microsoft 365 Defender по адресу https://security.microsoft.comперейдите к разделу Email &Политики &совместной работы > Политики >Политики угроз>Предустановленные политики безопасности в разделе Шаблонные политики. Чтобы перейти непосредственно на страницу Предустановленных политик безопасности , используйте https://security.microsoft.com/presetSecurityPolicies.

2. На странице Предустановленные политики безопасности щелкните Управление в разделах Стандартная защита или Строгая защита .

3. Во всплывающем окне запустится мастер применения стандартной защиты или применения строгой защиты.

   На странице Применить Exchange Online Protection определите внутренних получателей, к которым применяются средства защиты EOP (условия получателя):

   • Все получатели

   • Конкретные получатели:

     • пользователи;
     • Группы.
       • Члены указанных групп рассылки или групп безопасности с поддержкой почты (динамические группы рассылки не поддерживаются).
       • Указанные Группы Microsoft 365.

   • Домены

     Щелкните соответствующее поле, начните вводить значение и выберите нужное значение в результатах. Повторите эти действия необходимое количество раз. Чтобы удалить существующее значение, щелкните Рядом со значением.

     Для пользователей и групп можно использовать большинство идентификаторов (имя, отображаемое имя, псевдоним, адрес электронной почты, имя учетной записи и т. д.), но в результатах будет выведено отображаемое имя. Если вы являетесь пользователем, введите звездочку (*) без добавлений, чтобы увидеть все доступные значения.

   • Нет

   • Исключите этих получателей. Чтобы добавить исключения для внутренних получателей, к которым применяется политика (исключения получателей), выберите этот параметр и настройте исключения. Настройки и поведение такие же, как в разделе условий.

   По завершении нажмите кнопку Далее.

   Примечание.

   В организациях без Defender для Office 365 при нажатии кнопки Далее вы перейдете на страницу Рецензирование. Оставшиеся шаги или страницы перед страницей Проверки доступны только в организациях с Defender для Office 365.

4. На странице Применение защиты Defender для Office 365 определите внутренних получателей, к которым применяется защита Defender для Office 365 (условия получателя).

   Параметры и поведение точно так же, как и средства защиты EOP, применяемые к странице на предыдущем шаге.

   Вы также можете выбрать выбранные ранее получатели , чтобы использовать те же получатели, которые были выбраны для защиты EOP на предыдущей странице.

   По завершении нажмите кнопку Далее.

5. На странице Защита олицетворения нажмите кнопку Далее.

6. На странице Добавление адресов электронной почты для флага при олицетворении злоумышленниками добавьте внутренних и внешних отправителей, защищенных защитой олицетворения пользователя.

   Примечание.

   Все получатели автоматически получают защиту олицетворения от аналитики почтовых ящиков в предустановленных политиках безопасности.

   Вы можете указать не более 350 пользователей для защиты олицетворения пользователей в стандартной или строгой предустановленной политике безопасности.

   Защита олицетворения пользователя не работает, если отправитель и получатель ранее сообщили по электронной почте. Если отправитель и получатель никогда не связывался по электронной почте, сообщение можно определить как попытку олицетворения.

   Каждая запись состоит из отображаемого имени и адреса электронной почты. Введите каждое значение в полях и нажмите кнопку Добавить. Повторите этот шаг нужное количество раз.

   Чтобы удалить существующую запись из списка, щелкните

   По завершении нажмите кнопку Далее.

7. На странице Добавление доменов для флага при олицетворении злоумышленниками добавьте внутренний и внешний домены, защищенные защитой олицетворения домена.

   Примечание.

   Все домены, которыми вы владеете (обслуживаемые домены), автоматически получают защиту олицетворения домена в предустановленных политиках безопасности.

   Вы можете указать не более 50 личных доменов для защиты олицетворения домена в стандартной или строгой предустановленной политике безопасности.

   Все отправители в указанных доменах защищены защитой олицетворения домена.

   Введите домен в поле и нажмите кнопку Добавить. Повторите этот шаг нужное количество раз.

   Чтобы удалить существующую запись из списка, выберите ее и нажмите кнопку

   По завершении нажмите кнопку Далее.

8. На странице Добавление доверенных адресов электронной почты и доменов, которые не следует помечать как олицетворение , введите адреса электронной почты отправителя и домены, которые необходимо исключить из защиты олицетворения. Сообщения от этих отправителей никогда не будут помечены как атака олицетворения, но отправители по-прежнему подлежат проверке другими фильтрами в EOP и Defender для Office 365.

   Примечание.

   Записи доверенного домена не включают поддомены указанного домена. Необходимо добавить запись для каждого поддомена.

   Введите адрес электронной почты или домен в поле и нажмите кнопку Добавить. Повторите этот шаг нужное количество раз.

   Чтобы удалить существующую запись из списка, выберите ее и нажмите кнопку

   По завершении нажмите кнопку Далее.

9. На странице Проверка и подтверждение этой политики проверьте выбранные параметры и нажмите кнопку Подтвердить.

Используйте портал Microsoft 365 Defender для изменения назначений стандартных и строгих предустановленных политик безопасности.

Действия по изменению назначения предустановленной политики безопасности "Стандартная" или "Строгая защита " выполняются так же, как при первоначальном назначении предустановленных политик безопасности пользователям.

Чтобы отключить стандартные или строгие предустановленные политики безопасности, сохраняя при этом существующие условия и исключения, переместите переключатель в положение Отключить. Чтобы включить политики, переместите переключатель в положение Включено

Использование портала Microsoft 365 Defender для изменения назначений предустановленной политики безопасности встроенной защиты

Помните, что предустановленная политика безопасности встроенной защиты назначается всем получателям и не влияет на получателей, которые определены в стандартных илистрогих предустановленных политиках безопасности, настраиваемых политиках безопасности безопасных ссылок или безопасных вложений.

Поэтому обычно не рекомендуется использовать исключения для предустановленной политики безопасности встроенной защиты .

1. На портале Microsoft 365 Defender по адресу https://security.microsoft.comперейдите к разделу Email &Политики &совместной работы > Политики >Политики угроз>Предустановленные политики безопасности в разделе Шаблонные политики. Чтобы перейти непосредственно на страницу Предустановленных политик безопасности , используйте https://security.microsoft.com/presetSecurityPolicies.

2. На странице Предустановленные политики безопасности выберите Добавить исключения (не рекомендуется) в разделе Встроенная защита .

3. Во всплывающем окне Исключить из встроенной защиты определите внутренних получателей, которые исключены из встроенной защиты безопасных связей и безопасных вложений:

   • пользователи;
   • Группы.
     • Члены указанных групп рассылки или групп безопасности с поддержкой почты (динамические группы рассылки не поддерживаются).
     • Указанные Группы Microsoft 365.
   • Домены

   Щелкните соответствующее поле, начните вводить значение и выберите нужное значение в результатах. Повторите эти действия необходимое количество раз. Чтобы удалить существующее значение, щелкните Рядом со значением.

   Для пользователей и групп можно использовать большинство идентификаторов (имя, отображаемое имя, псевдоним, адрес электронной почты, имя учетной записи и т. д.), но в результатах будет выведено отображаемое имя. Если вы являетесь пользователем, введите звездочку (*) без добавлений, чтобы увидеть все доступные значения.

   По завершении нажмите кнопку Сохранить.

Как проверить, что эти процедуры выполнены?

Чтобы убедиться, что вы успешно назначили пользователю стандартную или строгую политику защиты , используйте параметр защиты, в котором значение по умолчанию отличается от параметра стандартной защиты , которое отличается от параметра Строгой защиты .

Например, для сообщений электронной почты, обнаруженных как спам (не с высокой достоверностью), убедитесь, что сообщение доставлено в папку "Нежелательная Email" для пользователей стандартной защиты и помещено в карантин для пользователей строгой защиты.

Или для массовой почты убедитесь, что значение BCL 6 или выше доставляет сообщение в папку "Нежелательная Email" для пользователей стандартной защиты, а значение BCL 4 или выше помещает сообщение в карантин для пользователей строгой защиты.

Предустановленные политики безопасности в Exchange Online PowerShell

В PowerShell предустановленные политики безопасности состоят из следующих элементов:

• Отдельные политики безопасности: например, политики защиты от вредоносных программ, политики защиты от нежелательной почты, политики защиты от фишинга, политики безопасных ссылок и политики безопасных вложений.

  Предупреждение

  Не пытайтесь создать, изменить или удалить отдельные политики безопасности, связанные с предустановленными политиками безопасности. Единственным поддерживаемым способом создания отдельных политик безопасности для стандартных или строгих предустановленных политик безопасности является первое включение предустановленной политики безопасности на портале Microsoft 365 Defender.

• Правила. Отдельные правила для стандартной предустановленной политики безопасности, строгой предустановленной политики безопасности и встроенной предустановленной политики безопасности защиты определяют условия и исключения получателей для политик (идентифицируйте получателей, к которым применяется защита политики).

  Для стандартных и строгих предустановленных политик безопасности эти правила создаются при первом включении предустановленной политики безопасности на портале Microsoft 365 Defender. Если вы никогда не включили предустановленную политику безопасности, связанные правила не существуют. Впоследствии при отключении предустановленной политики безопасности связанные правила не удаляются.

  Встроенная предустановленная политика безопасности защиты имеет одно правило, которое управляет исключениями из защиты безопасных ссылок и безопасных вложений политики по умолчанию.

  Стандартные и строгие предустановленные политики безопасности имеют следующие правила:

  • Правила для защиты Exchange Online Protection (EOP). Правило для стандартной предустановленной политики безопасности и правило для предустановленной политики безопасности строгого уровня определяет, к кому применяются средства защиты EOP в этой политике (защита от вредоносных программ, защита от нежелательной почты и фишинг) (условия и исключения получателей для защиты EOP).
  • Правила для защиты Defender для Office 365. Правило для стандартной предустановленной политики безопасности и правило для предустановленной политики безопасности строгой настройки определяет, к кому применяются Defender для Office 365 защиты в политике (безопасные ссылки и безопасные вложения) (условия и исключения получателей для Defender для Office 365 защиты).

  Правила для стандартных и строгих предустановленных политик безопасности также позволяют включить или включить предустановленную политику безопасности, включив или отключив правила, связанные с политиками.

  Правила для предустановленных политик безопасности недоступны для обычных командлетов правил, которые работают с отдельными политиками безопасности (например, Get-AntiPhishRule). Вместо этого требуются следующие командлеты:

  • Встроенная предустановленная политика безопасности защиты: командлеты *-ATPBuiltInProtectionRule .
  • Стандартные и строгие предустановленные политики безопасности: командлеты *-EOPProtectionPolicyRule и *-ATPProtectionPolicyRule .

В следующих разделах описывается использование этих командлетов в поддерживаемых сценариях.

Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell.

Использование PowerShell для просмотра отдельных политик безопасности для предустановленных политик безопасности

Помните, что если вы никогда не включили стандартную предустановленную политику безопасности или строгую предустановленную политику безопасности на портале Microsoft 365 Defender, связанные политики безопасности для предустановленной политики безопасности не существуют.

Предупреждение

Не пытайтесь создать, изменить или удалить отдельные политики безопасности, связанные с предустановленными политиками безопасности. Единственным поддерживаемым способом создания отдельных политик безопасности для стандартных или строгих предустановленных политик безопасности является первое включение предустановленной политики безопасности на портале Microsoft 365 Defender.

• Встроенная предустановленная политика безопасности защиты. Связанные политики называются Built-In Политика защиты. Свойство IsBuiltInProtection имеет значение True для этих политик.

  Чтобы просмотреть отдельные политики безопасности для предустановленной политики безопасности встроенной защиты, выполните следующую команду:

  Write-Output -InputObject ("`r`n"*3),"Built-in protection Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy -Identity "Built-In Protection Policy" | Format-List; Write-Output -InputObject ("`r`n"*3),"Built-in protection Safe Links policy",("-"*79);Get-SafeLinksPolicy -Identity "Built-In Protection Policy" | Format-List
  

• Стандартная предустановленная политика безопасности: связанные политики имеют имя Standard Preset Security Policy<13-digit number>. Например, Standard Preset Security Policy1622650008019. Свойство RecommendPolicyType имеет значение Standard.

  • Организации без Defender для Microsoft 365:

    Чтобы просмотреть отдельные политики безопасности для стандартной предустановленной политики безопасности в организациях без Defender для Microsoft 365, выполните следующую команду:

    Write-Output -InputObject ("`r`n"*3),"Standard anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"
    

  • Организации с Defender для Microsoft 365:

    Чтобы просмотреть отдельные политики безопасности для стандартной предустановленной политики безопасности в организациях с Defender для Microsoft 365, выполните следующую команду:

    Write-Output -InputObject ("`r`n"*3),"Standard anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"
    

• Строгая предустановленная политика безопасности: связанные политики называются Strict Preset Security Policy<13-digit number>. Например, Strict Preset Security Policy1642034872546. Свойство RecommendPolicyType имеет значение Strict.

  • Организации без Defender для Microsoft 365:

    • Чтобы просмотреть отдельные политики безопасности для предустановленной политики строгой безопасности в организациях без Defender для Microsoft 365, выполните следующую команду:

      Write-Output -InputObject ("`r`n"*3),"Strict anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"
      

  • Организации с Defender для Microsoft 365:

    • Чтобы просмотреть отдельные политики безопасности для предустановленной политики безопасности в организациях с Defender для Microsoft 365, выполните следующую команду:

    Write-Output -InputObject ("`r`n"*3),"Strict anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"
    

Использование PowerShell для просмотра правил для предустановленных политик безопасности

Помните, что если вы никогда не включили стандартную предустановленную политику безопасности или строгую предустановленную политику безопасности на портале Microsoft 365 Defender, связанные правила для этих политик не существуют.

• Встроенная предустановленная политика безопасности защиты. Связанное правило называется ATP Built-In правилом защиты.

  Чтобы просмотреть правило, связанное со встроенной предустановленной политикой безопасности защиты, выполните следующую команду:

  Get-ATPBuiltInProtectionRule
  

  Подробные сведения о синтаксисе и параметрах см. в разделе Get-ATPBuiltInProtectionRule.

• Стандартная предустановленная политика безопасности. Связанные правила называются Стандартной предустановленной политикой безопасности.

  Используйте следующие команды, чтобы просмотреть правила, связанные с предустановленной политикой безопасности standard:

  • Чтобы просмотреть правило, связанное с защитой EOP в стандартной предустановленной политике безопасности, выполните следующую команду:

    Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"
    

  • Чтобы просмотреть правило, связанное с защитой Defender для Office 365 в стандартной предустановленной политике безопасности, выполните следующую команду:

    Get-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"
    

  • Чтобы просмотреть оба правила одновременно, выполните следующую команду:

    Write-Output -InputObject ("`r`n"*3),"EOP rule - Standard preset security policy",("-"*79);Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"; Write-Output -InputObject ("`r`n"*3),"Defender for Office 365 rule - Standard preset security policy",("-"*79);Get-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"
    

• Строгая предустановленная политика безопасности. Связанные правила называются Строгой предустановленной политикой безопасности.

  Используйте следующие команды для просмотра правил, связанных с предустановленной политикой безопасности Strict:

  • Чтобы просмотреть правило, связанное с защитой EOP в предустановленной политике безопасности Strict, выполните следующую команду:

    Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"
    

  • Чтобы просмотреть правило, связанное с защитой Defender для Office 365 в предустановленной политике безопасности Strict, выполните следующую команду:

    Get-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"
    

  • Чтобы просмотреть оба правила одновременно, выполните следующую команду:

    Write-Output -InputObject ("`r`n"*3),"EOP rule - Strict preset security policy",("-"*79);Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"; Write-Output -InputObject ("`r`n"*3),"Defender for Office 365 rule - Strict preset security policy",("-"*79);Get-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"
    

Подробные сведения о синтаксисе и параметрах см. в разделах Get-EOPProtectionPolicyRule и Get-ATPProtectionPolicyRule.

Включение или отключение предустановленных политик безопасности с помощью PowerShell

Как упоминалось ранее, чтобы включить или отключить стандартные или строгие предустановленные политики безопасности, необходимо включить или отключить правила, связанные с политикой. Значение свойства State правила показывает, включено или отключено.

В зависимости от того, есть ли в вашей организации Defender для Office 365, может потребоваться включить или отключить одно правило (правило для защиты EOP) или два правила (одно правило для защиты EOP и одно правило для защиты Defender для Office 365), чтобы включить или отключить предустановленную политику безопасности.

• Стандартная предустановленная политика безопасности:

  • Организации без Defender для Office 365:

    • В организациях без Defender для Office 365 выполните следующую команду, чтобы определить, включено или отключено правило для стандартной предустановленной политики:

      Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy" | Format-Table Name,State
      

    • Выполните следующую команду, чтобы отключить стандартную предустановленную политику безопасности, если она включена:

      Disable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"
      

    • Выполните следующую команду, чтобы включить стандартную предустановленную политику безопасности, если она отключена:

      Enable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"
      

  • Организации с Defender для Office 365:

    • В организациях с Defender для Office 365 выполните следующую команду, чтобы определить, включены или отключены правила для стандартной предустановленной политики:

      Write-Output -InputObject ("`r`n"*3),"EOP rule - Standard preset security policy",("-"*63);Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject `r`n,"Defender for Office 365 rule - Standard preset security policy",("-"*63);Get-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy" | Format-Table Name,State
      

    • Выполните следующую команду, чтобы отключить стандартную предустановленную политику безопасности, если она включена:

      Disable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"; Disable-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"
      

    • Выполните следующую команду, чтобы включить стандартную предустановленную политику безопасности, если она отключена:

      Enable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"; Enable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"
      

• Строгая предустановленная политика безопасности:

  • Организации без Defender для Office 365:

    • В организациях с Defender для Office 365 выполните следующую команду, чтобы определить, включено или отключено правило для предустановленной политики:

      Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy" | Format-Table Name,State
      

    • Выполните следующую команду, чтобы отключить предустановленную политику безопасности Strict, если она включена:

      Disable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"
      

    • Выполните следующую команду, чтобы включить строгую предустановленную политику безопасности, если она отключена:

      Enable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"
      

  • Организации с Defender для Office 365:

    • В организациях с Defender для Office 365 выполните следующую команду, чтобы определить, включены или отключены правила для предустановленной политики Strict:

      Write-Output -InputObject ("`r`n"*3),"EOP rule - Strict preset security policy",("-"*63);Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject `r`n,"Defender for Office 365 rule - Strict preset security policy",("-"*63);Get-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy" | Format-Table Name,State
      

    • Выполните следующую команду, чтобы отключить предустановленную политику безопасности Strict, если она включена:

      Disable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"; Disable-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"
      

    • Выполните следующую команду, чтобы включить строгую предустановленную политику безопасности, если она отключена:

      Enable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"; Enable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"
      

Подробные сведения о синтаксисе и параметрах см. в разделах Enable-EOPProtectionPolicyRule, Enable-ATPProtectionPolicyRule, Disable-EOPProtectionPolicyRule и Disable-ATPProtectionPolicyRule.

Использование PowerShell для указания условий и исключений получателей для предустановленных политик безопасности

Важно!

Несколько различных типов условий или исключений не являются аддитивными; они являются инклюзивными. Предустановленная политика безопасности применяется только к тем получателям, которые соответствуют всем указанным фильтрам получателей. Например, вы настраиваете условие фильтра получателя в политике со следующими значениями:

• Пользователей: romain@contoso.com
• Группы: руководители

Политика применяется только в romain@contoso.com том случае, если он также является членом группы руководителей. Если он не является членом группы, политика к нему не применяется.

Аналогичным образом, если вы используете тот же фильтр получателей в качестве исключения для политики, политика не применяется только в romain@contoso.com том случае, если он также является членом группы руководителей. Если он не является членом группы, политика все-таки применяется к нему.

Для предустановленной политики безопасности встроенной защиты можно указать только исключения получателей. Если все значения параметров исключения пусты ($null), исключения из политики отсутствуют.

Для стандартных и строгих предустановленных политик безопасности можно указать условия и исключения получателей для защиты EOP и защиты Defender для Office 365. Если все условия и значения параметров исключения пусты ($null), условия или исключения получателей для стандартных или строгих предустановленных политик безопасности отсутствуют.

Даже если к предустановленной политике безопасности не применяются условия или исключения получателей, применение политики ко всем получателям зависит от порядка приоритета политик , как описано ранее в этой статье.

• Встроенная предустановленная политика безопасности защиты:

  Используйте следующий синтаксис.

  Set-ATPBuiltInProtectionRule -Identity "ATP Built-In Protection Rule" -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null>
  

  В этом примере удаляются все исключения получателей из предустановленной политики безопасности встроенной защиты.

  Set-ATPBuiltInProtectionRule -Identity "ATP Built-In Protection Rule" -ExceptIfRecipientDomainIs $null -ExceptIfSentTo $null -ExceptIfSentToMemberOf $null
  

  Подробные сведения о синтаксисе и параметрах см. в разделе Set-ATPBuiltInProtectionRule.

• Стандартные или строгие предустановленные политики безопасности

  Используйте следующий синтаксис.

  <Set-EOPProtectionPolicyRule | SetAtpProtectionPolicyRule> -Identity "<Standard Preset Security Policy | Strict Preset Security Policy>" -SentTo <"user1","user2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -SentToMemberOf <"group1","group2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null> -RecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null>
  

  В этом примере настраивается исключение из защиты EOP в стандартной предустановленной политике безопасности для членов группы рассылки с именем Executives.

  Set-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy" -ExceptIfSentToMemberOf Executives
  

  В этом примере настраиваются исключения из защиты Defender для Office 365 в предустановленной политике безопасности для указанных почтовых ящиков операций безопасности (SecOps).

  Set-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy" -ExceptIfSentTo "SecOps1","SecOps2"
  

  Подробные сведения о синтаксисе и параметрах см. в разделах Set-EOPProtectionPolicyRule и Set-ATPProtectionPolicyRule.