分享方式:


EOP 和適用於 Office 365 的 Microsoft Defender 中的預設安全性原則

提示

您知道您可以免費試用 Microsoft Defender 全面偵測回應 Office 365 方案 2 中的功能嗎? 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 瞭解誰可以在 Try 適用於 Office 365 的 Microsoft Defender 上註冊和試用條款。

默認安全策略 可讓您根據我們建議的設定,將保護功能套用至使用者。 不同於可無限設定的自定義原則,預設安全策略中幾乎所有設定都無法設定,且是以我們在數據中心的觀察為基礎。 默認安全策略中的設定可在讓有害內容遠離使用者,同時避免不必要的中斷之間取得平衡。

根據您的組織而定,預設安全策略提供許多可在 Exchange Online Protection (EOP) 適用於 Office 365 的 Microsoft Defender 中使用的保護功能。

以下是可用的預設安全策略:

  • 標準 預設安全策略
  • 嚴格 預設安全策略
  • 內建保護預設安全策略 (適用於 Office 365 的 Defender) 中安全附件和安全連結保護的默認原則

如需這些預設安全策略的詳細資訊,請參閱本文結尾的 附錄 一節。

本文的其餘部分將說明如何設定預設的安全策略。

開始之前有哪些須知?

  • 您會在 開啟 Microsoft Defender 入口網站。https://security.microsoft.com 若要直接移至 [預設安全策略 ] 頁面,請使用 https://security.microsoft.com/presetSecurityPolicies

  • 若要連線至 Exchange Online PowerShell,請參閱連線至 Exchange Online PowerShell

  • 您必須獲得指派許可權,才能執行本文中的程式。 您有下列選項:

    • Microsoft Defender 全面偵測回應 整合角色型訪問控制 (RBAC) (如果 Email & 共同作業>適用於 Office 365 的 Defender 許可權為作用中。只會影響 Defender 入口網站,而不會影響 PowerShell) : (管理) 的授權和設定/安全性設定/核心安全性設定 (讀取) 的授權和設定/安全性設定/核心安全性設定

    • Exchange Online 權限

      • 設定預設安全策略: 組織管理安全性系統管理員 角色群組中的成員資格。
      • 默認安全策略的唯讀存取權:全域 讀取者 角色群組中的成員資格。
    • Microsoft Entra 權限:全域管理員、安全性系統管理員*全域讀取者角色的成員資格,可為使用者提供Microsoft 365 中其他功能的必要許可權許可權。

      重要事項

      * Microsoft建議您使用許可權最少的角色。 使用較低許可權的帳戶有助於改善組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。

使用 Microsoft Defender 入口網站將標準和嚴格預設安全策略指派給使用者

  1. 在 Microsoft Defender 入口網站https://security.microsoft.com的 中,移至 [範本化原則>] 區段中的 Email & 共同作業原則 & 規則>威脅原則>預設安全策略]。 或者,若要直接移至 [預設安全 策略] 頁面,請使用 https://security.microsoft.com/presetSecurityPolicies

  2. 如果這是您第一次在 [ 預設安全 策略] 頁面上,則可能會關閉 [標準保護 ] 和 [ 嚴格保護 ]

    將您要 設定的切換開關投影片到 ,然後選取 [ 管理保護設定 ] 以啟動組態精靈。

  3. 在 [套用 Exchange Online Protection] 頁面上,識別 EOP 保護套用至 (收件者條件的內部收件者) :

    • 所有收件者

    • 特定收件者:設定出現的下列其中一個收件者條件:

      • 使用者:指定的信箱、郵件使用者或郵件連絡人。
      • 群組:
        • ) 不支援指定通訊群組的成員或啟用郵件功能的安全組 (動態通訊群組。
        • 指定的 Microsoft 365 群組。
      • 網域:組織中在指定的 已接受網域中具有主要電子郵件位址的所有收件者。

    按一下適當的方塊,開始輸入值,然後從結果中選取您想要的值。 視需要重複此程序多次。 若要移除現有的值,請選擇 值旁邊的 。

    針對使用者或群組,您可以使用大部分識別碼 (名稱、顯示名稱、別名、電子郵件地址、帳戶名稱等),但會在結果中顯示對應的顯示名稱。 針對使用者或群組,請自行輸入星號 (*) ,以查看所有可用的值。

    您只能使用條件一次,但條件可以包含多個值:

    • 相同條件的多個使用 OR 邏輯 (例如 recipient1<><recipient2>) 。 如果收件者符合 任何 指定的值,則會將原則套用至這些值。

    • 不同 類型的條件 會使用 AND 邏輯。 收件者必須符合 所有 指定的條件,原則才能套用到這些條件。 例如,您可以使用下列值來設定條件:

      • 使用者: romain@contoso.com
      • 群組:主管

      只有在他也是主管群組的成員時,原則才會套用至 romain@contoso.com 。 否則,原則不會套用到他。

    • 排除這些收件者:如果您選取 [ 所有收件者] 或 [ 特定收件者],請選取此選項以設定收件者例外狀況。

      您只能使用例外狀況一次,但例外狀況可以包含多個值:

      • 相同例外狀況的多個使用 OR 邏輯 (例如 recipient1<><recipient2>) 。 如果收件者符合 任何 指定的值,就不會套用原則。
      • 不同類型的例外狀況會使用 OR 邏輯 (例如,<recipient1 或 group1>>的成員或 domain1) 的成員。<>< 如果收件者符合 任何 指定的例外狀況值,就不會套用原則。

    當您在 [套用 Exchange Online Protection] 頁面上完成時,請選取 [下一步]

    注意事項

    在沒有 適用於 Office 365 的 Defender 的組織中,選取 [下一步] 會帶您前往步驟 9) ([檢閱] 頁面。

  4. 在 [套用 適用於 Office 365 的 Defender 保護] 頁面上,識別 適用於 Office 365 的 Defender 保護套用至 (收件者條件) 的內部收件者。

    設定和行為與上一個步驟中的 [套用 Exchange Online Protection] 頁面完全相同。

    您也可以選 取 [先前選取的收件者 ],以使用您在上一頁選取的 EOP 保護收件者。

    當您在 [套用 適用於 Office 365 的 Defender 保護] 頁面上完成時,請選取 [下一步]

  5. 在 [ 模擬保護 ] 頁面上,選取 [ 下一步]

  6. 在 [ 新增電子郵件位址以在攻擊者模擬時加上旗標 ] 頁面上,新增受到 用戶模擬保護的內部和外部寄件者。

    注意事項

    所有收件者都會自動收到預設安全策略中 信箱情報 的模擬保護。

    您可以在標準或嚴格預設安全策略中指定最多350位用戶進行使用者模擬保護。

    如果寄件人和收件者先前已透過電子郵件進行通訊,則用戶模擬保護無法運作。 如果寄件人和收件者從未透過電子郵件進行通訊,則可以將郵件識別為模擬嘗試。

    每個專案都包含一個顯示名稱和一個電子郵件位址:

    • 內部使用者:按兩下[ 新增有效的電子郵件 ] 方塊,或開始輸入使用者的電子郵件位址。 在出現的 [ 建議的聯繫人 ] 下拉式清單中選取電子郵件位址。 使用者的顯示名稱會新增至 [ 新增名稱 ] 方塊 (您可以變更) 。 當您完成選取使用者時,請選取 [ 新增]

    • 外部使用者:在 [ 新增有效的電子郵件 ] 方塊中輸入外部使用者的完整電子郵件地址,然後在出現的 [ 建議的聯繫人 ] 下拉式清單中選取電子郵件位址。 電子郵件位址也會新增至 [ 新增名稱 ] 方塊 (您可以將其變更為顯示名稱) 。

    視需要重複這些步驟。

    您新增的使用者會依 [顯示名稱 ] 和 [ 寄件者電子郵件位址] 列在頁面上。 若要移除使用者,請選擇 項目旁邊的 。

    使用 [ 搜尋] 方 塊來尋找頁面上的專案。

    當您在 [套用 適用於 Office 365 的 Defender 保護] 頁面上完成時,請選取 [下一步]

  7. 在 [ 新增網域以在攻擊者模擬時加上旗標 ] 頁面上,新增受 網域模擬保護的內部和外部網域。

    注意事項

    您擁有的所有網域 (接受的網域) 在預設安全策略中自動接收網域模擬保護。

    您可以在標準或嚴格預設安全策略中,為網域模擬保護指定最多50個自定義網域。

    按兩下 [ 新增網域 ] 方塊,輸入定義域值,按 ENTER 鍵,或選取方塊下方顯示的值。 若要從方塊中移除網域並重新開始,請選擇 網域旁邊的 。 當您準備好新增網域時,請選取 [ 新增]。 視需要重複此步驟多次。

    您新增的網域會列在頁面上。 若要移除網域,請選擇 值旁邊的 。

    您新增的網域會列在頁面上。 若要移除網域,請選擇 項目旁邊的 。

    若要從清單中移除現有的專案,請選擇 項目旁邊的 。

    當您完成 [新增網 域以在攻擊者模擬時加上旗標] 時,請選取 [ 下一步]

  8. 在 [ 新增受信任的電子郵件地址和網域不要標示為模擬 ] 頁面上,輸入您要從模擬保護中排除的發件者電子郵件地址和網域。 來自這些寄件者的訊息永遠不會標示為模擬攻擊,但寄件者仍受限於 EOP 和 適用於 Office 365 的 Defender 中的其他篩選條件進行掃描。

    注意事項

    受信任的網域專案不包含指定網域的子域。 您需要為每個子域新增一個專案。

    在方塊中輸入電子郵件位址或網域,然後按 ENTER 鍵或選取方塊下方顯示的值。 若要從方塊中移除值並重新開始,請選擇 值旁邊的 。 當您準備好要新增使用者或網域時,請選取 [ 新增]。 視需要重複此步驟多次。

    您新增的使用者和網域會依 [ 名稱 ] 和 [ 類型] 列在頁面上。 若要移除專案,請選擇 項目旁邊的 。

    當您在 [ 新增受信任的電子郵件地址和網域不要標示為模擬 ] 頁面上完成時,請選取 [ 下一步]

  9. 在 [ 檢閱並確認您的變更 ] 頁面上,檢閱您的設定。 您可以選 取 [上一頁 ] 或精靈中的特定頁面來修改設定。

    當您在 [ 檢閱並確認變更 ] 頁面上完成時,請選取 [ 確認]

  10. 在 [ 已更新的標準保護 ] 或 [ 嚴格保護更新] 頁面上,選取 [ 完成]

使用 Microsoft Defender 入口網站來修改標準和嚴格預設安全策略的指派

修改 標準保護嚴格保護 預設安全策略指派的步驟,與您一開始 將預設安全策略指派給使用者時的步驟相同。

若要停用 標準保護嚴格保護 預設安全策略,同時仍保留現有的條件和例外狀況,請將切換開關切換為 。 若要啟用原則,請將切換開關滑至

使用 Microsoft Defender 入口網站將排除專案新增至內建保護預設安全策略

提示

內建保護預設安全策略會套用至組織中具有適用於 Microsoft 365 的 Defender 任何授權數量的所有使用者。 在系統管理員特別設定 適用於 Office 365 的 Defender 保護之前,此應用程式是保護最廣大使用者的信念。 由於預設會啟用 內建保護 ,因此客戶不需要擔心違反產品授權條款。 不過,建議您購買足夠的 適用於 Office 365 的 Defender 授權,以確保所有使用者都能夠繼續使用內建保護

內建保護預設安全策略不會影響標準或嚴格預設安全策略或自定義安全連結或安全附件原則中定義的收件者。 因此,我們通常不建議 使用內建保護 預設安全策略的例外狀況。

  1. 在 Microsoft Defender 入口網站https://security.microsoft.com的 中,移至 [範本化原則>] 區段中的Email & 共同作業原則 & 規則>威脅原則>預設安全策略]。 或者,若要直接移至 [預設安全 策略] 頁面,請使用 https://security.microsoft.com/presetSecurityPolicies

  2. 在 [預設安全策略] 頁面上,選取 [內建保護] 區段中的 [ (不建議 ) 新增排除專案]。

  3. 在開啟的 [ 從內建保護 排除] 飛出視窗中,識別從內建安全連結和安全附件保護中排除的內部收件者:

    • 使用者
    • 群組:
      • ) 不支援指定通訊群組的成員或啟用郵件功能的安全組 (動態通訊群組。
      • 指定的 Microsoft 365 群組。
    • 網域

    按兩下適當的方塊,開始輸入值,然後選取方塊下方顯示的值。 視需要重複此程序多次。 若要移除現有的值,請選擇 值旁邊的 。

    針對使用者或群組,您可以使用大部分識別碼 (名稱、顯示名稱、別名、電子郵件地址、帳戶名稱等),但會在結果中顯示對應的顯示名稱。 針對使用者,輸入星號 (*) 來查看所有可用的值。

    您只能使用例外狀況一次,但例外狀況可以包含多個值:

    • 相同例外狀況的多個使用 OR 邏輯 (例如 recipient1<><recipient2>) 。 如果收件者符合 任何 指定的值,就不會套用原則。
    • 不同類型的例外狀況會使用 OR 邏輯 (例如,<recipient1 或 group1>>的成員或 domain1) 的成員。<>< 如果收件者符合 任何 指定的例外狀況值,就不會套用原則。
  4. 當您在 [ 從內建保護排除 ] 飛出視窗中完成時,請選取 [ 儲存]

如何知道這些程序是否正常運作?

若要確認您已成功將 標準保護嚴格保護 安全策略指派給使用者,請使用預設值與 標準保護 設定不同的保護設定,這與 [嚴格保護 ] 設定不同。

例如,針對偵測到為垃圾郵件的電子郵件, (信賴度不高的垃圾郵件) 確認郵件已傳遞至標準保護使用者的垃圾郵件 Email資料夾,並隔離為 Strict Protection 使用者。

或者,針對大量郵件,請確認 BCL 值 6 或更高版本會將郵件傳遞至標準保護使用者的垃圾郵件 Email 資料夾,而 BCL 值 5 或更高值則會隔離嚴格保護使用者的郵件。

Exchange Online PowerShell 中的預設安全策略

在 PowerShell 中,預設的安全策略包含下列元素:

下列各節說明如何在 支援的案例中使用這些 Cmdlet。

若要連線至 Exchange Online PowerShell,請參閱連線至 Exchange Online PowerShell

使用 PowerShell 檢視預設安全策略的個別安全策略

請記住,如果您從未在 Microsoft Defender 入口網站中開啟標準預設安全策略或 Strict 預設安全策略,預設安全策略的相關聯安全策略就不存在。

  • 內建保護預設安全策略:相關聯的原則會命名 Built-In 保護原則。 這些原則的IsBuiltInProtection 屬性值為True。

    若要檢視內建保護預設安全策略的個別安全策略,請執行下列命令:

    Write-Output -InputObject ("`r`n"*3),"Built-in protection Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy -Identity "Built-In Protection Policy" | Format-List; Write-Output -InputObject ("`r`n"*3),"Built-in protection Safe Links policy",("-"*79);Get-SafeLinksPolicy -Identity "Built-In Protection Policy" | Format-List
    
  • 標準預設安全策略:相關聯的原則命名為 Standard Preset Security Policy<13-digit number>。 例如,Standard Preset Security Policy1622650008019。 原則的 RecommendPolicyType 屬性值為 Standard。

    • 若要 在只有 EOP 的組織中檢視標準預設安全策略的個別安全策略,請執行下列命令:

      Write-Output -InputObject ("`r`n"*3),"Standard anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"
      
    • 若要在具有 適用於 Office 365 的 Defender 的組織中檢視標準預設安全策略的個別安全策略,請執行下列命令:

      Write-Output -InputObject ("`r`n"*3),"Standard anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"
      
  • 嚴格預設安全策略:相關聯的原則命名為 Strict Preset Security Policy<13-digit number>。 例如,Strict Preset Security Policy1642034872546。 原則的 RecommendPolicyType 屬性值為 Strict。

    • 若要 在只有 EOP 的組織中檢視嚴格預設安全策略的個別安全策略,請執行下列命令:

      Write-Output -InputObject ("`r`n"*3),"Strict anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"
      
    • 若要在具有 適用於 Office 365 的 Defender 的組織中檢視嚴格預設安全策略的個別安全策略,請執行下列命令:

      Write-Output -InputObject ("`r`n"*3),"Strict anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"
      

使用 PowerShell 檢視預設安全策略的規則

請記住,如果您從未在 Microsoft Defender 入口網站中開啟標準預設安全策略或 Strict 預設安全策略,則這些原則的相關規則不存在。

  • 內建保護預設安全策略:只有一個名為 ATP 的規則 Built-In 保護規則。

    若要檢視與內建保護預設安全策略相關聯的規則,請執行下列命令:

    Get-ATPBuiltInProtectionRule
    
  • 標準預設安全策略:相關聯的規則命名為標準預設安全策略。

    使用下列命令來檢視與標準預設安全策略相關聯的規則:

    • 若要在標準預設安全策略中檢視與 EOP 保護 相關聯的規則,請執行下列命令:

      Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"
      
    • 若要檢視與標準預設安全策略中 適用於 Office 365 的 Defender 保護相關聯的規則,請執行下列命令:

      Get-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"
      
    • 若要同時檢視 這兩個規則 ,請執行下列命令:

      Write-Output -InputObject ("`r`n"*3),"EOP rule - Standard preset security policy",("-"*79);Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"; Write-Output -InputObject ("`r`n"*3),"Defender for Office 365 rule - Standard preset security policy",("-"*79);Get-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"
      
  • 嚴格預設安全策略:相關聯的規則命名為 Strict Preset Security Policy。

    使用下列命令來檢視與 Strict 預設安全策略相關聯的規則:

    • 若要在 Strict 預設安全策略中檢視與 EOP 保護 相關聯的規則,請執行下列命令:

      Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"
      
    • 若要檢視與 Strict 預設安全策略中 適用於 Office 365 的 Defender 保護相關聯的規則,請執行下列命令:

      Get-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"
      
    • 若要同時檢視 這兩個規則 ,請執行下列命令:

      Write-Output -InputObject ("`r`n"*3),"EOP rule - Strict preset security policy",("-"*79);Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"; Write-Output -InputObject ("`r`n"*3),"Defender for Office 365 rule - Strict preset security policy",("-"*79);Get-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"
      

使用 PowerShell 開啟或關閉預設安全策略

若要在 PowerShell 中開啟或關閉標準或嚴格預設安全策略,請啟用或停用與原則相關聯的規則。 規則的 State 屬性值會顯示規則為 Enabled 或 Disabled。

如果您的組織只有 EOP,您可以停用或啟用 EOP 保護的規則。

如果您的組織已 適用於 Office 365 的 Defender,您可以啟用或停用 EOP 保護的規則,以及 適用於 Office 365 的 Defender 保護的規則 (啟用或停用這兩個規則) 。

  • 只有 EOP 的組織

    • 執行下列命令,以判斷標準和嚴格預設安全策略的規則目前是否已啟用或停用:

      Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50); Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50); Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy" | Format-Table Name,State
      
    • 如果已開啟標準預設安全策略,請執行下列命令來關閉該原則:

      Disable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"
      
    • 如果已開啟 Strict 預設安全策略,請執行下列命令來關閉該原則:

      Disable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"
      
    • 如果已關閉,請執行下列命令來開啟標準預設安全策略:

      Enable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"
      
    • 執行下列命令,以在關閉時開啟 Strict 預設安全策略:

      Enable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"
      
  • 具有 適用於 Office 365 的 Defender 的組織

    • 執行下列命令,以判斷標準和嚴格預設安全策略的規則目前是否已啟用或停用:

      Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50);Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject `r`n,"Defender for Office 365 protection rule",("-"*50);Get-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50);Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject `r`n,"Defender for Office 365 protection rule",("-"*50);Get-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy" | Format-Table Name,State
      
    • 如果已開啟標準預設安全策略,請執行下列命令來關閉該原則:

      Disable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"; Disable-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"
      
    • 如果已開啟 Strict 預設安全策略,請執行下列命令來關閉該原則:

      Disable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"; Disable-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"
      
    • 如果已關閉,請執行下列命令來開啟標準預設安全策略:

      Enable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"; Enable-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"
      
    • 執行下列命令,以在關閉時開啟 Strict 預設安全策略:

      Enable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"; Enable-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"
      

使用 PowerShell 指定預設安全策略的收件者條件和例外狀況

您只能使用收件者條件或例外狀況一次,但條件或例外狀況可以包含多個值:

  • 相同條件或例外狀況的多個使用 OR 邏輯 (例如 recipient1<><recipient2>) :

    • 條件:如果收件者符合 任何 指定的值,則會將原則套用至這些值。
    • 例外狀況:如果收件者符合 任何 指定的值,則不會套用原則。
  • 不同類型的例外狀況會使用 OR 邏輯 (例如,<recipient1 或 group1>>的成員或 domain1) 的成員。<>< 如果收件者符合 任何 指定的例外狀況值,就不會套用原則。

  • 不同 類型的條件 會使用 AND 邏輯。 收件者必須符合 所有 指定的條件,原則才能套用到這些條件。 例如,您可以使用下列值來設定條件:

    • 使用者: romain@contoso.com
    • 群組:主管

    只有在他也是主管群組的成員時,原則才會套用至 romain@contoso.com 。 否則,原則不會套用到他。

針對內建保護預設安全策略,您只能指定收件者例外狀況。 如果所有例外狀況參數值都是空 ($null) ,則原則不會有任何例外狀況。

針對標準和嚴格預設安全策略,您可以指定 EOP 保護和 適用於 Office 365 的 Defender 保護的收件者條件和例外狀況。 如果所有條件和例外狀況參數值都是空白 ($null) ,則標準或嚴格預設安全策略沒有任何收件者條件或例外狀況。

  • 內建保護預設安全策略

    使用下列語法:

    Set-ATPBuiltInProtectionRule -Identity "ATP Built-In Protection Rule" -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null>
    

    此範例會從內建保護預設安全策略中移除所有收件者例外狀況。

    Set-ATPBuiltInProtectionRule -Identity "ATP Built-In Protection Rule" -ExceptIfRecipientDomainIs $null -ExceptIfSentTo $null -ExceptIfSentToMemberOf $null
    

    如需詳細的語法和參數資訊,請參閱 Set-ATPBuiltInProtectionRule

  • 標準或嚴格預設安全策略

    使用下列語法:

    <Set-EOPProtectionPolicyRule | SetAtpProtectionPolicyRule> -Identity "<Standard Preset Security Policy | Strict Preset Security Policy>" -SentTo <"user1","user2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -SentToMemberOf <"group1","group2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null> -RecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null>
    

    此範例會針對名為 Executive 的通訊群組成員,設定標準預設安全策略中 EOP 保護的例外狀況。

    Set-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy" -ExceptIfSentToMemberOf Executives
    

    本範例會針對 SecOps) 信箱 (指定的安全性作業,設定 Strict 預設安全策略中 適用於 Office 365 的 Defender 保護的例外狀況。

    Set-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy" -ExceptIfSentTo "SecOps1","SecOps2"
    

    如需詳細的語法和參數資訊,請參閱 Set-EOPProtectionPolicyRuleSet-ATPProtectionPolicyRule

附錄

預設安全原則包含下列元素:

下列各節將說明這些元素。

此外,請務必了解預設安全策略如何符合其他原則 的優先順序

預設安全策略中的配置檔

設定檔可決定保護層級。 下列設定檔適用於預設的安全策略:

  • 標準保護:適用於大部分使用者的基準配置檔。
  • 嚴格保護:針對選取的使用者, (高價值目標或優先順序使用者) 的更積極配置檔。
  • 內建保護僅 (適用於 Office 365 的 Microsoft Defender) :有效僅提供安全連結和安全附件的默認原則。

一般而言, 嚴格保護 配置檔通常會隔離較不有害的電子郵件 (例如,大量和垃圾郵件) 高於 標準保護 配置檔,但兩個配置檔中的許多設定都相同 (,特別是惡意代碼或網路釣魚) 等有害電子郵件。 如需設定差異的比較,請參閱下一節中的數據表。

在您開啟配置檔並將使用者指派給他們之前,標準和嚴格預設安全策略不會指派給任何使用者。 相反地,內建保護預設安全策略預設會指派給所有收件者,但您可以設定例外狀況。

重要事項

除非您設定內建保護預設安全策略的例外狀況,否則組織中的所有收件者都會收到安全連結和安全附件保護。

預設安全策略中的原則

預設安全策略會使用 EOP 和 適用於 Office 365 的 Microsoft Defender 中可用之個別保護原則的特殊版本。 這些原則會在您將標準保護嚴格保護預設安全策略指派給用戶之後建立。

  • EOP 原則:這些原則適用於具有 Exchange Online 信箱和獨立 EOP 組織且沒有 Exchange Online 信箱的所有Microsoft 365 組織:

    • 名為標準預設安全策略和嚴格預設安全策略的反垃圾郵件原則。
    • 名為標準預設安全策略和嚴格預設安全策略的反惡意代碼原則。
    • 名為標準默認安全策略和嚴格預設安全策略 (詐騙設定) (詐騙保護) 防網路釣魚原則。

    注意事項

    輸出垃圾郵件原則不是預設安全策略的一部分。 默認的輸出垃圾郵件原則會自動保護預設安全策略的成員。 或者,您可以建立自定義的輸出垃圾郵件原則,以自定義預設安全策略成員的保護。 如需詳細資訊, 請參閱在 EOP 中設定輸出垃圾郵件篩選

  • 適用於 Office 365 的 Microsoft Defender 原則:這些原則位於具有 Microsoft 365 E5 或 適用於 Office 365 的 Defender 附加元件訂用帳戶的組織中:

    • 適用於 Office 365 的 Defender 中名為標準預設安全策略和嚴格預設安全策略的反網路釣魚原則,包括:
    • 名為標準預設安全策略嚴格預設安全策略和內建保護原則的安全鏈接原則。
    • 名為標準預設安全策略、嚴格預設安全策略和內建保護原則的安全附件原則。

如先前所述,您可以將 EOP 保護套用至與 適用於 Office 365 的 Defender 保護不同的使用者,也可以將 EOP 和 適用於 Office 365 的 Defender 保護套用至相同的收件者。

預設安全策略中的原則設定

基本上,您無法修改保護配置檔中的個別原則設定。 自定義對應的默認原則或建立新的自定義原則不會有任何作用,因為當相同的使用者 (收件者) 定義於多個原則中時,優先順序的 順序 (一 會先套用標準和嚴格預設安全策略) 。

但是,您必須設定個別使用者 (寄件者) 和網域,以在 適用於 Office 365 的 Defender 中接收模擬保護。 否則,預設安全策略會自動設定下列類型的模擬保護:

下表摘要說明標準預設安全策略和 Strict 預設安全策略中有意義的原則設定差異:

  標準版 嚴格
反惡意程式碼原則 沒有差異 沒有差異
反垃圾郵件原則
   符合大量標準的層級 (BCL) 符合或超過BulkSpamAction (偵測動作) 將訊息移至垃圾郵件 Email資料夾 (MoveToJmf) 隔離訊息 (Quarantine)
   BulkThreshold (大量電子郵件閾值) 6 5
   垃圾郵件偵測動作 (垃圾郵件) 將訊息移至垃圾郵件 Email資料夾 (MoveToJmf) 隔離訊息 (Quarantine)
防網路釣魚原則
   如果詐騙情報偵測到訊息為詐騙 , (AuthenticationFailAction) 將訊息移至垃圾郵件 Email資料夾 (MoveToJmf) 隔離訊息 (Quarantine)
EnableFirstContactSafetyTips (顯示第一個聯繫人安全提示) 選取的 $true () 選取的 $true ()
   如果信箱智慧偵測到仿真的使用者 (MailboxIntelligenceProtectionAction) 將訊息移至垃圾郵件 Email資料夾 (MoveToJmf) 隔離訊息 (Quarantine)
   網路釣魚電子郵件閾值 (PhishThresholdLevel) 3 - 更積極 (3) 4 - 最積極 (4)
安全附件原則 沒有差異 沒有差異
安全鏈接原則 沒有差異 沒有差異

下表摘要說明內建保護預設安全策略和標準和嚴格預設安全策略中安全附件和安全鏈接原則設定的差異:

  內建保護 標準和嚴格
安全附件原則 沒有差異 沒有差異
安全鏈接原則
   讓使用者按兩下至原始網址 (AllowClickThrough) 選取的 $true () 未選取 ($false)
   請勿重寫 URL,請只透過安全連結 API 進行檢查 (DisableURLRewrite) 選取的 $true () 未選取 ($false)
   將安全連結套用至組織內傳送的電子郵件訊息 (EnableForInternalSenders) 未選取 ($false) 選取的 $true ()

如需這些設定的詳細資訊,請參閱 EOP 和 適用於 Office 365 的 Microsoft Defender 安全性的建議設定中的功能數據表。

預設安全策略和其他原則的優先順序

在多個原則中定義收件者時,會以下列順序套用原則:

  1. 嚴格預設安全策略。
  2. 標準預設安全策略。
  3. 以原則優先順序為基礎的自定義原則 (較低的數位表示較高的優先順序) 。
  4. 適用於 Office 365 的 Defender 評估原則
  5. 安全連結和安全附件的內建保護預設安全策略;反惡意代碼、反垃圾郵件和反網路釣魚的默認原則。

換句話說,嚴格預設安全策略的設定會覆寫標準預設安全策略的設定,這會覆寫來自任何自定義原則的設定,這些自定義原則會覆寫來自任何防網路釣魚、安全連結或安全附件評估原則的設定,以覆寫安全連結和安全附件的內建保護預設安全策略設定。 以及反垃圾郵件、反惡意代碼和反網路釣魚的默認原則。

此順序會顯示在 Defender 入口網站中個別安全策略的頁面上, (這些原則會以在頁面上顯示的順序套用) 。

例如,系統管理員會使用相同的收件者來設定標準預設安全策略和自定義反垃圾郵件原則。 來自標準預設安全策略的反垃圾郵件原則設定會套用至使用者,而不是自定義反垃圾郵件原則或預設反垃圾郵件原則中所設定的設定。

請考慮將標準或嚴格預設安全策略套用至使用者子集,並將自定義原則套用至組織中的其他使用者,以符合特定需求。 若要符合此需求,請考慮下列方法:

  • 在標準預設安全策略、嚴格預設安全性,以及自定義原則中使用明確的收件者群組或清單,因此不需要例外狀況。 使用此方法時,您不需要考慮套用至相同使用者的多個原則,以及優先順序順序的影響。
  • 如果您無法避免將多個原則套用至相同的使用者,請使用下列策略:
    • 將應取得 標準 預設安全策略和自定義原則設定的收件者設定為 Strict 預設安全策略中的例外狀況。
    • 設定應在 標準 預設安全策略中取得自定義原則設定為例外狀況的收件者。
    • 設定收件者,這些收件者應取得內建保護預設安全策略或默認原則的設定,作為自定義原則的例外狀況。

內建保護預設安全策略不會影響現有安全連結或安全附件原則中的收件者。 如果您已設定標準保護嚴格保護或自定義安全連結或安全附件原則,這些原則一律在內建保護之前套用,因此不會影響已在這些現有預設或自定義原則中定義的收件者。

如需詳細資訊,請參閱 電子郵件保護的順序和優先順序