试用 Microsoft Defender for Office 365
作为现有 Microsoft 365 客户,Microsoft Defender 门户中https://security.microsoft.com的“试用和评估”页允许你在购买之前试用 Microsoft Defender for Office 365 计划 2 的功能。
在试用 Defender for Office 365 计划 2 之前,你需要问自己一些关键问题:
- 我想要被动观察 Defender for Office 365 计划 2 (审核) 可为我做什么,还是希望 Defender for Office 365 计划 2 对发现 (阻止) 的问题采取直接操作?
- 无论哪种方式,如何判断 Defender for Office 365 计划 2 正在为我做什么?
- 我需要多长时间才能做出保留 Defender for Office 365 计划 2 的决定?
本文可帮助你回答这些问题,以便你可以以最符合组织需求的方式试用 Defender for Office 365 计划 2。
有关如何使用试用版的配套指南,请参阅 试用用户指南:Microsoft Defender for Office 365。
注意
(Microsoft 365 GCC、GCC High 和 DoD) 或 Microsoft 365 教育组织的美国政府组织不提供 Defender for Office 365 的试用和评估。
Defender for Office 365 概述
Defender for Office 365 通过提供全面的功能来帮助组织保护其企业。 有关详细信息,请参阅 Microsoft Defender for Office 365。
还可以在此 交互式指南中了解有关 Defender for Office 365 的详细信息。
观看此简短视频,详细了解如何使用 Microsoft Defender for Office 365 在更短的时间内完成更多工作。
有关定价信息,请参阅 Microsoft Defender for Office 365。
试用和评估如何适用于 Defender for Office 365
策略
Defender for Office 365 包括 Exchange Online Protection (EOP) 的功能,这些功能存在于具有 Exchange Online 邮箱的所有 Microsoft 365 组织中,以及 Defender for Office 365 独有的功能。
EOP 和 Defender for Office 365 的保护功能是使用策略实现的。 将根据需要为你创建 Defender for Office 365 专属策略:
- 反钓鱼策略中的模拟保护
- 电子邮件的安全附件
-
电子邮件和Microsoft Teams 的安全链接
- 安全链接在邮件流期间引爆 URL。 若要防止引爆特定 URL,请将 URL 提交到Microsoft作为良好 URL。 有关说明,请参阅 向Microsoft报告正确的 URL。
- 安全链接不会将 URL 链接包装在电子邮件正文中。
你有资格参加评估或试用意味着你已经拥有 EOP。 不会为评估或试用 Defender for Office 365 计划 2 创建新的或特殊的 EOP 策略。 Microsoft 365 组织中的现有 EOP 策略仍能够处理邮件 (例如将邮件发送到“垃圾邮件”文件夹或隔离) :
这些 EOP 功能的默认策略始终处于打开状态,适用于所有收件人,并且始终在任何自定义策略之后最后应用。
Defender for Office 365 的审核模式与阻止模式
你希望 Defender for Office 365 体验是主动体验还是被动体验? 以下模式可用:
审核模式:为防钓鱼 (创建特殊 评估策略 ,其中包括模拟保护) 、安全附件和安全链接。 这些评估策略配置为仅 检测 威胁。 Defender for Office 365 检测有害邮件进行报告,但邮件不会 (例如,检测到的邮件不会) 隔离。 本文后面的 审核模式下策略 部分介绍了这些评估策略的设置。 我们还会自动在审核模式下为非电子邮件工作负载启用 SafeLinks 单击保护时间, (例如,Microsoft Teams、SharePoint 和 OneDrive for Business)
还可以有选择地打开或关闭防钓鱼保护 (欺骗和模拟) 、安全链接防护和安全附件保护。 有关说明,请参阅 管理评估设置。
审核模式为评估https://security.microsoft.com/atpEvaluation策略在 Microsoft Defender for Office 365 评估页上检测到的威胁提供专用报告。 本文后面的 审核模式报告 部分介绍了这些报告。
阻止模式: 预设安全策略 的标准模板已打开并用于试用版,并且你指定包含在试用版中的用户将添加到标准预设安全策略中。 Defender for Office 365 检测有害邮件并采取操作 (例如,检测到的邮件) 隔离。
默认和建议的选择是将这些 Defender for Office 365 策略的范围限定为组织中的所有用户。 但在设置试用版期间或之后,可以在 Microsoft Defender 门户或 Exchange Online PowerShell 中将策略分配更改为特定用户、组或电子邮件域。
有关 Defender for Office 365 检测到的威胁的信息,请参阅 Defender for Office 365 计划 2 的常规报告和调查功能,本文后面的 阻止模式报告 部分对此进行了介绍。
确定哪些模式可供使用的关键因素包括:
无论你当前是否具有 Defender for Office 365 (计划 1 或计划 2) ,如下一部分所述。
如何将电子邮件传递到 Microsoft 365 组织,如以下方案所述:
来自 Internet 的邮件直接Microsoft 365 流动,但当前订阅只有 Exchange Online Protection (EOP) 或 Defender for Office 365 计划 1。
在这些环境中, 审核模式 或 阻止模式 可用,具体取决于你的许可,如下一部分所述
你当前正在使用第三方服务或设备对 Microsoft 365 邮箱进行电子邮件保护。 来自 Internet 的邮件在传递到 Microsoft 365 组织之前流经保护服务。 Microsoft 365 保护尽可能低, (它永远不会完全关闭;例如,始终) 强制实施恶意软件保护。
在这些环境中,只有 审核模式 可用。 无需更改邮件流 (MX 记录) 评估 Defender for Office 365 计划 2。
Defender for Office 365 的评估与试用
Defender for Office 365 计划 2 的评估和试用有何区别? 不是一样吗? 嗯,是的,没有。 Microsoft 365 组织中的许可使所有不同:
无 Defender for Office 365 计划 2:例如,如果还没有 Defender for Office 365 计划 2 (, 你有独立 EOP、Microsoft 365 E3、Microsoft 365 商业高级版或 Defender for Office 365 计划 1 加载项订阅) ,可以从 Microsoft Defender 门户中的以下位置启动 Defender for Office 365 计划 2 体验:
- Microsoft 365 试用版页面位于 https://security.microsoft.com/trialHorizontalHub。
- 位于 的 Microsoft Defender for Office 365 评估页https://security.microsoft.com/atpEvaluation。
在设置评估或试用期间,可以选择 审核模式 (评估策略) 或 阻止模式 (标准预设安全策略) 。
无论你使用哪个位置,我们都会在注册时自动预配任何所需的 Defender for Office 365 计划 2 许可证。 不需要在 Microsoft 365 管理中心手动获取和分配计划 2 许可证。
自动预配的许可证的运行时间为 90 天。 这 90 天期限的含义取决于组织中的现有许可:
无 Defender for Office 365 计划 1:例如,对于没有 Defender for Office 365 计划 1 (的组织,独立 EOP 或 Microsoft 365 E3) 所有 Defender for Office 365 计划 2 功能,特别是 (,安全策略) 仅在 90 天内可用。
Defender for Office 365 计划 1:使用 Defender for Office 365 计划 1 的组织 (例如,Microsoft 365 商业高级版或附加订阅) 已具有与 Defender for Office 365 计划 2 中提供的相同安全策略:防钓鱼策略中的模拟保护、安全附件策略和安全链接策略。
审核 模式 (评估策略) 或 阻止模式 (Standard 预设安全策略) 90 天后不会过期或停止工作。 90 天后,Defender for Office 365 计划 2 的 自动化、调查、修正和教育功能 在计划 1 中不可用。
如果在审核模式下设置评估或试用 (评估策略) ,则可以稍后 (标准预设安全策略) 转换为阻止模式。 有关说明,请参阅本文后面的 转换为标准保护 部分。
Defender for Office 365 计划 2:例如,如果你已有 Defender for Office 365 计划 2 (,则作为 Microsoft 365 E5 订阅) 的一部分,则无法在 Microsoft 365 试用版页上https://security.microsoft.com/trialHorizontalHub选择 Defender for Office 365。
唯一的选择是在 的 Microsoft Defender for Office 365 评估页上https://security.microsoft.com/atpEvaluation设置 Defender for Office 365 评估。 此外,评估会在 审核模式下 自动设置, (评估策略) 。
稍后,可以使用 MicrosoftDefender for Office 365 评估页上的“转换为标准”操作,) 或者关闭 Microsoft Defender for Office 365 评估页上的评估,然后配置标准预设安全策略,将 (标准预设安全策略转换为阻止模式。
根据定义,具有 Defender for Office 365 计划 2 的组织不需要额外的许可证即可评估 Defender for Office 365 计划 2,因此这些组织中的评估持续时间不受限制。
下表汇总了上一个列表中的信息:
组织 | 注册自 “试用”页? |
注册自 评估页? |
可用模式 | 评估 period |
---|---|---|---|---|
独立 EOP (无 Exchange Online 邮箱) Microsoft 365 E3 |
是 | 是 | 审核模式 阻止模式¹ |
90 天 |
Defender for Office 365 计划 1 Microsoft 365 商业高级版 |
是 | 是 | 审核模式 阻止模式¹ |
90 天² |
Microsoft 365 E5 | 否 | 是 | 审核模式 阻止模式¹ ² |
无限制 |
¹ 如前所述,如果 Internet 邮件在传递到 Microsoft 365 之前流经第三方保护服务或设备,则标准预设安全策略 (阻止模式) 不可用。
² 审核 模式 (评估策略) 或 阻止模式 的安全策略 (标准预设安全策略) 90 天后不会过期或停止工作。 Defender for Office 365 计划 2 独有的 自动化、调查、修正和教育功能 在 90 天后停止工作。
ー 评估是在 审核模式下 设置的, (评估策略) 。 在设置完成后的任何时候,都可以 (标准预设安全策略) 转换为阻止模式,如转换为标准保护中所述。
现在,你已了解评估、试用、审核模式和阻止模式之间的差异,接下来可以按后续部分所述设置评估或试用。
在审核模式下设置评估或试用
请记住,在审核模式下评估或试用 Defender for Office 365 时,会创建特殊评估策略,以便 Defender for Office 365 可以检测威胁。 本文后面的 审核模式下策略 部分介绍了这些评估策略的设置。
在 Microsoft Defender 门户中 https://security.microsoft.com的任何可用位置开始评估。 例如:
- 在任何 Defender for Office 365 功能页顶部的横幅上,选择“ 开始免费试用”。
- 在 Microsoft 365 试用版 页上 https://security.microsoft.com/trialHorizontalHub,找到并选择 Defender for Office 365。
- 在 Microsoft Defender for Office 365 评估 页上 https://security.microsoft.com/atpEvaluation,选择 “开始评估”。
“ 打开保护 ”对话框在具有 Defender for Office 365 计划 1 或计划 2 的组织中不可用。
在 “启用保护 ”对话框中,选择“ 否,我只想报告”,然后选择“ 继续”。
在 “选择要包含的用户 ”对话框中,配置以下设置:
所有用户:这是默认的推荐选项。
特定用户:如果选择此选项,则需要选择评估应用于的内部收件人:
- 用户:指定的邮箱、邮件用户或邮件联系人。
-
组:
- ) 不支持指定通讯组或启用邮件的安全组的成员 (动态通讯组。
- 指定的 Microsoft 365 组。
- 域:组织中主电子邮件地址位于指定 接受域中的所有收件人。
单击框中,开始键入值,并从框下方的结果中选择值。 根据需要多次重复此过程。 若要删除现有值,请选择 框中的值旁边的值。
对于用户或组,可以使用大多数标识符(姓名、显示名称、别名、电子邮件地址、帐户名称等),但是相应的显示名称会显示在结果中。 对于用户,请单独输入星号 (*) 以查看所有可用值。
只能使用一次收件人条件,但条件可以包含多个值:
同一条件的多个值使用 OR 逻辑 (例如 recipient1<> 或 <recipient2>) 。 如果收件人与 任何 指定值匹配,则会对其应用策略。
不同类型的条件使用 AND 逻辑。 收件人必须匹配 所有 指定的条件,策略才能应用于他们。 例如,使用以下值配置条件:
- 用户:
romain@contoso.com
- 组:高管
仅当他也是高管组的成员时,才会应用
romain@contoso.com
该策略。 否则,该策略不适用于他。- 用户:
完成“ 选择要包含的用户 ”对话框后,选择“ 继续”。
在 “帮助我们了解邮件流 ”对话框中,配置以下选项:
根据我们对域的 MX 记录的检测自动选择以下选项之一:
我使用的是第三方和/或本地服务提供商:域的 MX 记录指向 Microsoft 365 以外的某个位置。 验证或配置以下设置:
组织使用的第三方服务:验证或选择以下值之一:
其他:此值还需要在 “如果电子邮件通过多个网关时,请列出每个网关 IP 地址”中的信息,该地址仅适用于值 “其他”。 如果使用本地服务提供商,请使用此值。
输入第三方保护服务或设备用来将邮件发送到 Microsoft 365 的 IP 地址的逗号分隔列表。
梭鱼
IronPort
Mimecast
Proofpoint
Sophos
Symantec
Trend Micro
要应用此评估的连接器:选择用于邮件流到 Microsoft 365 的连接器。
连接器的增强筛选 (也称为 跳过列表) 会在指定的连接器上自动配置。
当第三方服务或设备位于流入 Microsoft 365 的电子邮件前面时,连接器的增强筛选可以正确识别 Internet 消息的来源,并大大提高Microsoft筛选堆栈的准确性, (尤其是 欺骗情报,以及 威胁资源管理器 和 自动调查 & 响应 (AIR) 中的入侵后功能。
我仅使用 Microsoft Exchange Online:域的 MX 记录指向 Microsoft 365。 无需配置任何内容,因此请选择“ 完成”。
与Microsoft共享数据:默认情况下未选中此选项,但可以根据需要选中该复选框。
完成“ 帮助我们了解邮件流 ”对话框后,选择“ 完成”。
设置完成后,你将看到“ 让我们介绍你周围 ”对话框。 选择 “开始浏览” 或 “消除”。
在阻止模式下设置评估或试用
请记住,当你在 阻止模式下试用 Defender for Office 365 时,标准预设安全性处于打开状态,指定的用户 () 部分或所有人包含在标准预设安全策略中。 有关标准预设安全策略的详细信息,请参阅 预设安全策略。
在 Microsoft Defender 门户中 https://security.microsoft.com的任何可用位置启动试用版。 例如:
- 在任何 Defender for Office 365 功能页顶部的横幅上,选择“ 开始免费试用”。
- 在 Microsoft 365 试用版 页上 https://security.microsoft.com/trialHorizontalHub,找到并选择 Defender for Office 365。
- 在 Microsoft Defender for Office 365 评估 页上 https://security.microsoft.com/atpEvaluation,选择 “开始评估”。
“ 打开保护 ”对话框在具有 Defender for Office 365 计划 1 或计划 2 的组织中不可用。
在 “启用保护 ”对话框中,选择“ 是,通过阻止威胁保护我的组织”,然后选择“ 继续”。
在 “选择要包含的用户 ”对话框中,配置以下设置:
所有用户:这是默认的推荐选项。
选择用户:如果选择此选项,则需要选择试用适用于的内部收件人:
- 用户:指定的邮箱、邮件用户或邮件联系人。
-
组:
- ) 不支持指定通讯组或启用邮件的安全组的成员 (动态通讯组。
- 指定的 Microsoft 365 组。
- 域:组织中主电子邮件地址位于指定 接受域中的所有收件人。
单击框中,开始键入值,并从框下方的结果中选择值。 根据需要多次重复此过程。 若要删除现有值,请选择 框中的值旁边的值。
对于用户或组,可以使用大多数标识符(姓名、显示名称、别名、电子邮件地址、帐户名称等),但是相应的显示名称会显示在结果中。 对于用户,请单独输入星号 (*) 以查看所有可用值。
只能使用一次收件人条件,但条件可以包含多个值:
同一条件的多个值使用 OR 逻辑 (例如 recipient1<> 或 <recipient2>) 。 如果收件人与 任何 指定值匹配,则会对其应用策略。
不同类型的条件使用 AND 逻辑。 收件人必须匹配 所有 指定的条件,策略才能应用于他们。 例如,使用以下值配置条件:
- 用户:
romain@contoso.com
- 组:高管
仅当他也是高管组的成员时,才会应用
romain@contoso.com
该策略。 否则,该策略不适用于他。- 用户:
完成“ 选择要包含的用户 ”对话框后,选择“ 继续”。
设置评估时会显示进度对话框。 安装完成后,选择“ 完成”。
管理 Defender for Office 365 的评估或试用版
在 审核模式下设置评估或试用后, Microsoft Defender for Office 365 评估 页 https://security.microsoft.com/atpEvaluation 是试用 Defender for Office 365 计划 2 的结果的中心位置。
在 Microsoft Defender 门户中https://security.microsoft.com,转到电子邮件 & 协作>策略 & 规则>威胁策略>在“其他”部分中选择“评估模式”。 或者,若要直接转到 Microsoft Defender for Office 365 评估 页,请使用 https://security.microsoft.com/atpEvaluation。
以下小节介绍了 Microsoft Defender for Office 365 评估 页上可用的操作。
管理评估设置
在 Microsoft Defender for Office 365 评估 页上 https://security.microsoft.com/atpEvaluation,选择“ 管理评估设置”。
在打开的 “管理 MDO 评估设置” 浮出控件中,以下信息和设置可用:
评估是打开显示在浮出控件的顶部, (评估打开 还是 评估关闭) 。 Microsoft Defender for Office 365 评估 页上也提供了此信息。
“ 关闭 ”或“ 打开” 操作允许关闭或打开评估策略。
评估中还剩多少天显示在浮出控件顶部, () 剩余的 nn 天 。
“检测功能 ”部分:使用切换开关打开或关闭以下 Defender for Office 365 保护:
- 安全链接
- 安全附件
- 防网络钓鱼
用户、组和域 部分:选择 “编辑用户、组和域 ”,更改评估或试用适用于谁,如前面在 审核模式下设置评估或试用中所述。
“模拟设置” 部分:
如果未在防钓鱼评估策略中配置模拟保护,请选择“ 应用模拟保护 ”以配置模拟保护:
- 内部和外部用户 (发件人) 进行用户模拟保护。
- 用于域模拟保护的自定义域。
- 要从模拟保护中排除的受信任发件人和域。
这些步骤实质上与使用 Microsoft Defender 门户创建防钓鱼策略的步骤 5 中的模拟部分中所述相同。
如果在防钓鱼评估策略中配置了模拟保护,本部分显示以下项的模拟保护设置:
- 用户模拟保护
- 域模拟保护
- 受信任的模拟发件人和域
若要修改设置,请选择 “编辑模拟设置”。
完成“管理 MDO 评估设置”浮出控件后,选择“关闭”。
转换为标准保护
对于评估或试用,可以使用以下任一方法从 审核模式 (评估策略) 切换到 阻止模式 (标准预设安全策略) :
- 在 Microsoft Defender for Office 365 评估页上:选择“转换为标准保护”
- 在 “管理 MDO 评估设置” 浮出控件中:在 “Microsoft Defender for Office 365 评估 ”页上,选择“ 管理评估设置”。 在打开的详细信息浮出控件中,选择“ 转换为标准保护”。
选择“ 转换为标准保护”后,阅读打开的对话框中的信息,然后选择“ 继续”。
你将访问“预设安全策略”页上的“应用标准保护”向导。 评估或试用中包括和排除的收件人列表将复制到标准预设安全策略中。 有关详细信息,请参阅 使用 Microsoft Defender 门户向用户分配标准和严格预设安全策略。
- 标准预设安全策略中的安全策略的优先级高于评估策略,这意味着标准预设安全性中的策略始终在评估策略 之前 应用,即使两者都存在并处于打开状态。
- 无法自动从 阻止模式 转到 审核模式。 手动步骤包括:
在 的“预设安全策略”页上https://security.microsoft.com/presetSecurityPolicies关闭“标准预设安全策略”。
在 的 Microsoft Defender for Office 365 评估 页上 https://security.microsoft.com/atpEvaluation,验证“ 评估”值 是否显示。
如果显示 “关闭评估 ”,请选择“ 管理评估设置”。 在打开 的“管理 MDO 评估设置” 浮出控件中,选择“ 打开”。
选择“管理评估设置”,在打开的“管理 MDO 评估设置详细信息”浮出控件的“用户、组和域”部分中,验证评估应用于的用户。
用于评估或试用 Defender for Office 365 的报告
本部分介绍在 审核模式 和 阻止模式下可用的报表。
阻止模式的报告
不会为 阻止模式创建任何特殊报表,因此请使用 Defender for Office 365 中提供的标准报表。 具体而言,你要查找仅适用于 Defender for Office 365 功能的报表, (例如,安全链接或安全附件) 或可由 Defender for Office 365 检测筛选的报告,如以下列表所述:
-
- 检测到由反钓鱼策略作为用户模拟或域模拟的消息显示在 模拟块中。
- 安全附件策略或安全链接策略在文件或 URL 引爆过程中检测到的消息显示在 引爆块中。
-
可以通过 MDO 保护值MDO 筛选威胁防护状态报告中的许多视图,以查看 Defender for Office 365 的效果。
-
- 市场活动检测到的消息显示在“市场活动”中。
- 安全附件检测到的消息显示在 文件引爆 和 文件引爆信誉中。
- 在反钓鱼策略中由用户模拟保护检测到的邮件显示在 模拟域、 模拟用户和 邮箱智能模拟中。
- 安全链接检测到的消息显示在 URL 引爆 和 URL 引爆信誉中。
-
- 市场活动检测到的消息显示在“市场活动”中。
- 安全附件检测到的消息显示在 文件引爆 和 文件引爆信誉中。
- 安全链接检测到的消息显示在 URL 引爆 和 URL 引爆信誉中。
-
安全链接检测到的消息显示在 URL 恶意信誉中。
-
安全附件检测到的邮件显示在安全附件中
-
SharePoint、OneDrive 和 Microsoft Teams 的安全附件检测到的恶意文件显示在 MDO 引爆中。
-
显示 MDO) (顶级恶意软件收件人 的数据,并 显示 MDO) (顶级网络钓鱼收件人的数据 。
用于审核模式的报告
在 审核模式下,你将查找按评估策略显示检测的报告,如以下列表所述:
“电子邮件”实体页在“分析”选项卡上的“邮件检测详细信息”中显示以下横幅:“错误的附件、垃圾邮件 URL + 恶意软件、网络钓鱼 URL 和 Defender for Office 365 评估检测到的模拟邮件” :
的 Microsoft Defender for Office 365 评估 页 https://security.microsoft.com/atpEvaluation 合并了 Defender for Office 365 中提供的标准报告中的检测。 此页上的报告主要按 评估进行筛选:是 仅显示评估策略的检测,但大多数报表也使用其他澄清筛选器。
默认情况下,页面上的报告摘要显示过去 30 天的数据,但可以通过选择 30 天并从以下小于 30 天 的其他值中进行选择来筛选日期范围:
- 24 小时
- 7 天
- 14 天
- 自定义日期范围
选择“在卡片中 查看详细信息 ”时,日期范围筛选器会影响在页面和主报表的报表摘要中显示的数据。
选择“下载”,将图表数据下载到 .csv 文件。
Microsoft Defender for Office 365 评估页上的以下报告包含威胁防护状态报告中特定视图中的筛选信息:
-
电子邮件链接:
- 报表视图: 按电子邮件 > 网络钓鱼查看数据和按检测技术细分图表
- 检测 筛选器: URL 引爆信誉 和 URL 引爆。
-
电子邮件中的附件:
- 报表视图: 按电子邮件 > 网络钓鱼查看数据和按检测技术细分图表
- 检测 筛选器: 文件引爆 和 文件引爆信誉。
-
模仿
- 报表视图: 按电子邮件 > 网络钓鱼查看数据和按检测技术细分图表
- 检测 筛选器: 模拟用户、 模拟域和 邮箱智能模拟。
-
附件链接
- 报表视图: 按电子邮件 > 恶意软件查看数据和按检测技术细分图表
- 检测 筛选器: URL 引爆 和 URL 引爆信誉。
-
嵌入式恶意软件
- 报表视图: 按电子邮件 > 恶意软件查看数据和按检测技术细分图表
- 检测 筛选器: 文件引爆 和 文件引爆信誉。
-
欺骗发件人:
- 报表视图: 按电子邮件 > 网络钓鱼查看数据和按检测技术细分图表
- 检测 筛选器: 组织内部欺骗、 外部域欺骗和 Spoof DMARC。
-
电子邮件链接:
实时 URL 单击保护 使用 URL 保护报告中按 URL 查看数据单击保护操作 ,该操作按 评估:是筛选。
虽然 URL 保护报告中按应用程序按 URL 单击查看数据 未显示在 Microsoft Defender for Office 365 评估 页上,但它也可以按 评估筛选:是。
所需权限
Microsoft Entra ID 中需要以下权限才能为 Microsoft 365 设置 Defender 的评估或试用:
- 创建、修改或删除评估或试用版: 安全管理员 或 全局管理员* 角色的成员身份。
- 在审核模式下查看评估策略和报告: 安全管理员 或 安全读取者 角色的成员身份。
有关在 Microsoft Defender 门户中Microsoft Entra 权限的详细信息,请参阅 在 Microsoft Defender 门户中Microsoft Entra 角色
重要
* Microsoft建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一种高特权角色,在无法使用现有角色时,应仅限于紧急情况。
常见问题解答
问:是否需要手动获取或激活试用版许可证?
答:否。 如果需要,试用版会自动预配 Defender for Office 365 计划 2 许可证,如前所述。
问:如何延长试用期?
答:请参阅 延长试用期。
问:为什么看不到用于取消或延长试用期的选项?
答:如果你的订阅是新商务体验 (NCE) 的一部分,则看不到用于取消或延长试用期的选项。 目前,只有使用旧版订阅的客户才能取消或延长其试用期。
问:试用期满后,我的数据会发生什么情况?
答:试用期满后,可以访问试用数据 (来自 Defender for Office 365 中 30 天内未) 的功能的数据。 在此 30 天期限内,将删除与 Defender for Office 365 试用版关联的所有策略和数据。
问:可以在我的组织中使用 Defender for Office 365 试用版多少次?
答:最多两次。 如果第一个试用版过期,则需要在到期日期后至少等待 30 天,然后才能再次注册 Defender for Office 365 试用版。 第二次试用后,无法注册另一个试用版。
问:在审核模式下,是否存在 Defender for Office 365 对消息执行处理的情况?
答:可以。 为了保护服务,任何程序或 SKU 中的任何人都不能关闭或绕过对服务归类为恶意软件或高置信度钓鱼的邮件执行操作。
问:策略的评估顺序是什么?
答:请参阅 预设安全策略和其他策略的优先级顺序。
与 Defender for Office 365 评估和试用关联的策略设置
审核模式下的策略
警告
请勿尝试创建、修改或删除与 Defender for Office 365 评估关联的单个安全策略。 为评估创建单个安全策略的唯一受支持方法是首次在 Microsoft Defender 门户中以审核模式启动评估或试用。
如前所述,为评估或试用选择审核模式时,将自动创建具有所需设置的评估策略,这些策略具有要观察但未对消息执行操作的所需设置。
若要查看这些策略及其设置,请在 Exchange Online PowerShell 中运行以下命令:
Write-Output -InputObject ("`r`n"*3),"Evaluation anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"; Write-Output -InputObject ("`r`n"*3),"Evaluation Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"; Write-Output -InputObject ("`r`n"*3),"Evaluation Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"
下表中还介绍了这些设置。
防钓鱼评估策略设置
设置 | 值 |
---|---|
名称 | 评估策略 |
AdminDisplayName | 评估策略 |
AuthenticationFailAction | MoveToJmf |
DmarcQuarantineAction | Quarantine |
DmarcRejectAction | 拒绝 |
已启用 | True |
EnableFirstContactSafetyTips | False |
EnableMailboxIntelligence | True |
EnableMailboxIntelligenceProtection | True |
EnableOrganizationDomainsProtection | False |
EnableSimilarDomainsSafetyTips | False |
EnableSimilarUsersSafetyTips | False |
EnableSpoofIntelligence | True |
EnableSuspiciousSafetyTip | False |
EnableTargetedDomainsProtection | False |
EnableTargetedUserProtection | False |
EnableUnauthenticatedSender | True |
EnableUnusualCharactersSafetyTips | False |
EnableViaTag | True |
ExcludedDomains | {} |
ExcludedSenders | {} |
HonorDmarcPolicy | True |
ImpersonationProtectionState | 手动 |
IsDefault | False |
MailboxIntelligenceProtectionAction | NoAction |
MailboxIntelligenceProtectionActionRecipients | {} |
MailboxIntelligenceQuarantineTag | DefaultFullAccessPolicy |
PhishThresholdLevel | 1 |
PolicyTag | 空白 |
RecommendedPolicyType | 评估 |
SpoofQuarantineTag | DefaultFullAccessPolicy |
TargetedDomainActionRecipients | {} |
TargetedDomainProtectionAction | NoAction |
TargetedDomainQuarantineTag | DefaultFullAccessPolicy |
TargetedDomainsToProtect | {} |
TargetedUserActionRecipients | {} |
TargetedUserProtectionAction | NoAction |
TargetedUserQuarantineTag | DefaultFullAccessPolicy |
TargetedUsersToProtect | {} |
安全附件评估策略设置
设置 | 值 |
---|---|
名称 | 评估策略 |
操作 | 允许 |
ActionOnError | True* |
AdminDisplayName | 评估策略 |
ConfidenceLevelThreshold | 80 |
启用 | True |
EnableOrganizationBranding | False |
IsBuiltInProtection | False |
IsDefault | False |
OperationMode | Delay |
QuarantineTag | AdminOnlyAccessPolicy |
RecommendedPolicyType | 评估 |
Redirect | False |
RedirectAddress | 空白 |
ScanTimeout | 30 |
* 此参数已弃用,不再使用。
安全链接评估策略设置
设置 | 值 |
---|---|
名称 | 评估策略 |
AdminDisplayName | 评估策略 |
AllowClickThrough | True |
CustomNotificationText | 空白 |
DeliverMessageAfterScan | True |
DisableUrlRewrite | True |
DoNotRewriteUrls | {} |
EnableForInternalSenders | False |
EnableOrganizationBranding | False |
EnableSafeLinksForEmail | True |
EnableSafeLinksForOffice | True |
EnableSafeLinksForTeams | True |
IsBuiltInProtection | False |
LocalizedNotificationTextList | {} |
RecommendedPolicyType | 评估 |
ScanUrls | True |
TrackClicks | True |
使用 PowerShell 在审核模式下配置评估或试用的收件人条件和例外
与 Defender for Office 365 评估策略关联的规则控制评估的收件人条件和例外。
若要查看与评估关联的规则,请在 Exchange Online PowerShell 中运行以下命令:
Get-ATPEvaluationRule
若要使用 Exchange Online PowerShell 修改评估适用于的人员,请使用以下语法:
Set-ATPEvaluationRule -Identity "Evaluation Rule" -SentTo <"user1","user2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -SentToMemberOf <"group1","group2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null> -RecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null>
此示例为 secOps) 邮箱 (指定安全操作配置评估中的异常。
Set-ATPEvaluationRule -Identity "Evaluation Rule" -ExceptIfSentTo "SecOps1","SecOps2"
使用 PowerShell 在审核模式下打开或关闭评估或试用
若要在审核模式下打开或关闭评估,请启用或禁用与评估关联的规则。 评估规则的 State 属性值显示规则是“已启用”还是“已禁用”。
运行以下命令,以确定评估当前是启用或禁用的:
Get-ATPEvaluationRule -Identity "Evaluation Rule" | Format-Table Name,State
运行以下命令以关闭评估(如果已打开):
Disable-ATPEvaluationRule -Identity "Evaluation Rule"
运行以下命令,如果评估已关闭,请将其打开:
Enable-ATPEvaluationRule -Identity "Evaluation Rule"
处于阻止模式的策略
如前所述, 阻止模式 策略是使用 预设安全策略的标准模板创建的。
若要使用 Exchange Online PowerShell 查看与标准预设安全策略关联的各个安全策略,以及查看和配置预设安全策略的收件人条件和例外,请参阅 Exchange Online PowerShell 中的预设安全策略。