Microsoft Defender for Office 365中的用户标记
提示
你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。
用户标记是Microsoft Defender for Office 365中特定用户组的标识符。 有两种类型的用户标记:
- 系统标记:目前, 优先级帐户 是系统标记的唯一类型。
- 自定义标记:创建这些类型的标记。
如果组织Defender for Office 365计划 2 (包含在订阅中或作为附加) ,则除了使用 Priority 帐户标记外,还可以创建自定义用户标记。
注意
目前,只能将用户标记应用于邮箱用户。
你的组织可以使用优先级帐户系统标记来标记最多 250 个用户。
每个自定义标记每个标记最多有 999 个用户,组织最多可以创建 500 个自定义标记。
本文介绍如何在 Microsoft Defender 门户中配置用户标记。 还可以在 PowerShell 中使用 Set-User cmdlet 上的 VIP 参数应用或删除 Priority 帐户标记,Exchange Online。 没有 PowerShell cmdlet 可用于管理自定义用户标记。
若要了解用户标记如何作为策略的一部分来帮助保护影响较高的用户帐户,请参阅 Microsoft 365 中优先级帐户的安全建议。
开始前,有必要了解什么?
在 中打开Microsoft Defender门户https://security.microsoft.com。 若要直接转到 “用户标记 ”页,请使用 https://security.microsoft.com/securitysettings/userTags。
需要先分配权限,然后才能执行本文中的过程。 可以选择下列选项:
Microsoft Defender XDR基于角色的统一访问控制 (RBAC) (如果Email &协作>Defender for Office 365权限为
活动。仅影响 Defender 门户,而不影响 PowerShell) :授权和设置/系统设置/管理或授权和设置/系统设置/只读。Email & Microsoft Defender门户中的协作权限:
- 创建、修改和删除自定义用户标记: 组织管理 或 安全管理员 角色组中的成员身份。
- 从用户应用和删除 Priority 帐户标记:安全管理员和 Exchange 管理员角色组中的成员身份。
- 应用和删除用户中的现有自定义用户标记: 组织管理 或 安全管理员 角色组中的成员身份。
提示
用户标记管理由Email &协作权限中的标记读取者和标记管理器角色控制。
Microsoft Entra权限:全局管理员*和安全管理员角色的成员身份为用户提供Microsoft 365 中其他功能所需的权限和权限。
重要
* Microsoft建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。
还可以管理和监视Microsoft 365 管理中心中的 Priority 帐户标记。 有关说明,请参阅 管理和监视优先级帐户。
有关保护 特权帐户 (管理员帐户) 的信息,请参阅 此文。
使用 Microsoft Defender 门户创建用户标记
在 Microsoft Defender 门户中https://security.microsoft.com,转到“设置Email &>协作>用户标记”。 或者,若要直接转到 “用户标记 ”页,请使用 https://security.microsoft.com/securitysettings/userTags。
在“用户标记”页上,选择“创建”
以启动新标记向导。在 “定义标记 ”页上,配置以下设置:
- 名称:输入标记的唯一描述性名称。 创建标记后,无法重命名它。
- 说明:输入标记的可选说明。
完成“ 用户标记 ”页后,选择“ 下一步”。
在 “分配成员 ”页上,执行以下步骤之一:
选择“
添加成员”。 在打开的 “添加成员” 浮出控件中,执行以下步骤,在“ 搜索要添加的用户和组 ”框中添加单个用户或组:- 单击该框并滚动浏览列表以选择用户或组。
- 单击该框,开始键入名称以筛选列表,然后选择该框下面的值。 选择用户或组。
若要添加更多成员,请单击框中的空白区域,然后重复上一步。
若要从框中删除单个条目,请选择
该条目旁边的项。完成“ 添加成员 ”浮出控件后,选择“ 添加”。
返回“ 分配成员 ”页,添加的用户和组按 “名称” 和 “类型”列出。 若要从列表中删除条目,请选择条目旁边的“删除”。
选择“导入”
,选择包含用户或组的电子邮件地址的文本文件, (每行) 一个条目。
完成“ 分配成员 ”页后,选择“ 下一步”。
在“ 审阅标记 ”页上,查看设置。 可以在每个部分中选择“编辑”来修改该部分中的设置。 或者,可以在向导中选择“ 后退 ”或特定页面。
完成“ 审阅标记 ”页后,选择“ 提交”。
在 “新建标记已创建 ”页上,可以选择用于添加新标记或管理标记成员的链接。
在“ 新建标记创建 ”页上完成操作后,选择“ 完成”。
注意
可能需要长达 8 小时才能完全应用标记。
如果将组分配给用户标记,则标记创建时组的成员是分配标记。 以后添加到组的用户不会自动分配用户标记。
使用 Microsoft Defender 门户查看用户标记
在 Microsoft Defender 门户中https://security.microsoft.com,转到“设置Email &>协作>用户标记”。 或者,若要直接转到 “用户标记 ”页,请使用 https://security.microsoft.com/securitysettings/userTags。
在 “用户标记 ”页上,可以通过单击可用的列标题对条目进行排序。 以下列可用:
- 标记:用户标记的名称。
- 应用于:成员数
- 上次修改时间
- 创建日期
使用 
“筛选器” 按 上次修改日期筛选用户标记。
使用“ 
搜索 ”框和相应的值查找特定用户标记。
单击名称旁边的“检查”框旁边的行以外的任意位置,以打开用户标记的详细信息浮出控件,从而选择用户标记。
根据标记的类型,用户标记的详细信息浮出控件包含以下信息:
-
系统标记:Priority 帐户标记的详细信息浮出控件包含以下信息:
- 上次更新
- 说明
- 指向 https://security.microsoft.com/securitysettings/priorityAccountProtection 的链接,用于打开或关闭 优先帐户保护
- 应用于
- 自定义标记:自定义标记的详细信息浮出控件包含与 “用户标记 ”页相同的信息,以及该标记应用到的用户和组列表。
使用Microsoft Defender门户修改用户标记
选择用户标记后,使用以下方法之一对其进行修改:
-
在“用户标记”页上:选择
出现的“编辑”操作。 -
在所选用户标记的详细信息浮出控件中:选择浮出控件顶部的“编辑”操作。
如本文前面的使用Microsoft Defender门户创建用户标记部分中所述,可以使用相同的向导和大多数相同的设置,但有以下例外:
- 无法重命名或更改优先级帐户标记的说明,因此“ 定义标记 ”页不适用于优先级帐户标记。
- “ 定义标记 ”页可用于自定义标记,但无法重命名标记;只能更改说明。
使用 Microsoft Defender 门户删除用户标记
无法删除内置的 Priority 帐户标记。
选择自定义标记后,使用以下方法之一将其删除:
-
在“用户标记”页上:选择显示的“删除”操作。
-
在所选用户标记的详细信息浮出控件中:选择浮出控件顶部的“删除”操作。
在打开的确认对话框中阅读警告,然后选择“ 是,删除”。
返回“ 用户标记 ”页,不再列出自定义标记。
报表和功能中的用户标记
向用户应用系统标记或自定义标记后,可以在 Defender for Office 365 中的以下功能中使用这些标记作为筛选器:
- 警告
- 事件
- 威胁资源管理器
- 电子邮件实体页面
- 检疫 目前,“隔离筛选器”页上的标记选择仅支持“优先级”标记。
- 管理员提交和用户报告的消息
- 电子邮件安全报告
- 活动
- 自定义警报策略
- 攻击模拟培训
- 在超过特定规模的组织中,Exchange 管理中心 (EAC) 中提供了优先级帐户Email问题报告。
有关优先级帐户保护效果可见的位置的信息,请参阅 查看区分优先级帐户保护的保护。