分享方式:


嘗試Microsoft適用於 Office 365 的 Defender

身為現有的 Microsoft 365 客戶,Microsoft Defender https://security.microsoft.com 入口網站中的用版和評估版頁面可讓您在購買之前試用適用於 Office 365 的 Microsoft Defender 方案 2 的功能。

在您嘗試適用於 Office 365 的 Defender 方案 2 之前,有一些您需要自行詢問的重要問題:

  • 我是否想要被動觀察適用於 Office 365 的 Defender 方案 2 可以為我執行哪些動作, ( 核) ,還是要適用於 Office 365 的 Defender 方案 2 針對它發現 (封鎖) 的問題採取直接動作?
  • 不論是哪一種方式,我該如何分辨適用於 Office 365 的 Defender 方案 2 為我做什麼?
  • 我需要決定保留適用於 Office 365 的 Defender 方案 2 多久?

本文可協助您回答這些問題,以便以最符合組織需求的方式試用適用於 Office 365 的 Defender 方案 2。

如需如何使用試用版的隨附指南,請參閱試用版使用者指南:Microsoft適用於 Office 365 的 Defender。

注意事項

適用於 Office 365 的 Defender 試用版和評估版不適用於美國政府組織, (Microsoft 365 GCC、GCC High 和 DoD) 或Microsoft 365 教育版組織。

適用於 Office 365 的 Defender 概觀

適用於 Office 365 的 Defender 提供完整的功能,協助組織保護其企業。 如需詳細資訊, 請參閱 Microsoft Defender for Office 365

您也可以在此 互動式指南中深入了解適用於 Office 365 的 Defender。

Microsoft適用於 Office 365 的 Defender 概念圖。

觀看這段短片,以深入瞭解如何使用適用於 Office 365 的 Microsoft Defender 在較短的時間內完成更多任務作。

如需定價資訊, 請參閱 Microsoft Defender for Office 365

適用於 Office 365 的 Defender 試用版和評估如何運作

原則

適用於 Office 365 的 Defender 包含 Exchange Online Protection (EOP) 的功能,這些功能存在於所有具有 Exchange Online 信箱的Microsoft 365 組織中,以及適用於 Office 365 的 Defender 專屬功能。

適用於 Office 365 的 EOP 和 Defender 的保護功能是使用原則來實作。 系統會視需要為您建立專屬於適用於 Office 365 的 Defender 的原則:

您的評估或試用資格表示您已經有 EOP。 針對適用於 Office 365 的 Defender 方案 2 的評估或試用版,不會建立任何新的或特殊的 EOP 原則。 您Microsoft 365 組織中的現有 EOP 原則仍可對訊息採取行動 (,例如,將郵件傳送至垃圾郵件資料夾或隔離) :

這些 EOP 功能的默認原則一律會開啟、套用至所有收件者,且一律會在任何自定義原則之後最後套用。

適用於 Office 365 的 Defender 稽核模式與封鎖模式

您要讓適用於 Office 365 的 Defender 體驗成為主動或被動嗎? 下列模式可供使用:

  • 稽核模式:針對防網路釣魚 (建立特殊 評估 原則,其中包括模擬保護) 、安全附件和安全連結。 這些評估原則設定為僅 偵測 威脅。 適用於 Office 365 的 Defender 會偵測到有害的訊息以進行報告,但訊息不會在 (上採取動作,例如,偵測到的訊息不會) 隔離。 The settings of these evaluation policies are described in the Policies in audit mode section later in this article. 我們也會自動開啟非電子郵件工作負載在稽核模式中按兩下保護的SafeLinks時間 (例如,Microsoft Teams、SharePoint 和商務用 OneDrive)

    您也可以選擇性地開啟或關閉防網路釣魚保護, (詐騙和模擬) 、安全鏈接保護和安全附件保護。 如需指示,請 參閱管理評估設定

    稽核模式會針對評估原則在 Microsoft Defender for Office 365 評估 頁面 https://security.microsoft.com/atpEvaluation上偵測到的威脅提供特殊報告。 These reports are described in the Reports for audit mode section later in this article.

  • 封鎖模式:默 認安全 策略的標準範本會開啟並用於試用版,而您指定要包含在試用版中的使用者會新增至標準預設安全策略。 適用於 Office 365 的 Defender 會偵測有害訊息 並採取動作 (例如,偵測到的訊息會) 隔離。

    默認和建議的選項是將這些適用於 Office 365 的 Defender 原則範圍設定為組織中的所有使用者。 但在試用版設定期間或之後,您可以在 Microsoft Defender 入口網站或 Exchange Online PowerShell 中,將原則指派變更為特定使用者、群組或電子郵件網域。

    適用於 Office 365 的 Defender 所偵測到之威脅的相關信息,可在適用於 Office 365 的 Defender 方案 2 的一般報告和調查功能中取得,本文稍後的封鎖 模式報告 一節中會加以說明。

決定哪些模式可供您使用的關鍵因素:

  • 無論您目前是否有適用於 Office 365 的 Defender (方案 1 或方案 2) ,如下一節所述。

  • 如何將電子郵件傳遞至您的 Microsoft 365 組織,如下列案例所述:

    • 來自因特網的郵件會直接Microsoft 365,但您目前的訂用帳戶只有 Exchange Online Protection (EOP) 適用於 Office 365 的 Defender 方案 1

      郵件會從因特網流向 Microsoft 365,並提供 EOP 和/或適用於 Office 365 的 Defender 方案 1 的保護。

      在這些環境中,可以使用 稽核模式封鎖模式 ,視您的授權而定,如下一節所述

    • 您目前使用第三方服務或裝置來保護Microsoft 365 信箱的電子郵件。 來自因特網的郵件會在傳遞至Microsoft 365 組織之前,透過保護服務流動。 Microsoft 365 保護盡可能低, (永遠不會完全關閉;例如,惡意代碼保護一律會強制執行) 。

      郵件會先從因特網流經第三方保護服務或裝置,再傳遞至 Microsoft 365。

      在這些環境中,只有稽核 模式 可供使用。 您不需要變更郵件流程 (MX 記錄) 來評估適用於 Office 365 的 Defender 方案 2。

適用於 Office 365 的 Defender 評估與試用版

適用於 Office 365 的 Defender 方案 2 的評估和試用版有何差異? 它們不是相同的嗎? 是,否。 Microsoft 365 組織中的授權會產生所有差異:

  • 無適用於 Office 365 的 Defender 方案 2:如果您還沒有適用於 Office 365 的 Defender 方案 2 (例如, 您有獨立 EOP、Microsoft 365 E3、Microsoft 365 商務進階版或適用於 Office 365 的 Defender 方案 1 附加元件訂閱) ,您可以從 Microsoft Defender 入口網站中的下列位置啟動適用於 Office 365 的 Defender 方案 2 體驗:

    您可以在設定評估或試用期間選取稽核 模式 (評估原則) 或 封鎖模式 (標準預設安全策略) 。

    無論您使用哪個位置,我們都會在您註冊時自動布建任何適用於 Office 365 的 Defender 方案 2 授權。 不需要在 Microsoft 365 系統管理中心手動取得和指派方案 2 授權。

    自動布建的授權適用於90天。 這 90 天期間的意義取決於您組織中現有的授權:

    • 無適用於 Office 365 的 Defender 方案 1:針對沒有適用於 Office 365 的 Defender 方案 1 (的組織,例如,獨立 EOP 或 Microsoft 365 E3) 所有適用於 Office 365 的 Defender 方案 2 功能 (,安全策略) 只能在 90 天的期間內使用。

    • 適用於 Office 365 的 Defender 方案 1:具有適用於 Office 365 的 Defender 方案 1 (的組織,例如,Microsoft 365 商務進階版或附加元件訂閱) 已經具有適用於 Office 365 的 Defender 方案 2:反網路釣魚原則中的模擬保護、安全附件原則和安全鏈接原則中可用的安全策略。

      來自 稽核模式 的安全策略 (評估原則) 或 封鎖模式 (標準預設安全策略) 不會在 90 天后過期或停止運作。 90 天后結束的是方案 1 中無法使用的適用於 Office 365 的 Defender 365 方案 2 的 自動化、調查、補救和教育功能

    如果您在稽核模式中設定評估或試用 (評估原則) ,則稍後可以轉換成封鎖模式, (標準預設安全策略) 。 如需指示,請參閱本文稍後的 轉換為標準保護 一節。

  • 適用於 Office 365 的 Defender 方案 2:例如,如果您已有適用於 Office 365 的 Defender 方案 2 (,則在 Microsoft 365 E5 訂閱) 中,無法在 Microsoft 365 試用版頁面https://security.microsoft.com/trialHorizontalHub上選取適用於 Office 365 的 Defender

    您唯一的選項是在 Microsoft Defender for Office 365 評估頁面上設定適用於 Office 365 的 Defender 評估。https://security.microsoft.com/atpEvaluation 此外,評估會在稽核 模式 中自動設定, (評估原則) 。

    稍後,您可以使用適用於 Office 365 的 Microsoft Defender 評估頁面上的 [轉換為標準] 動作,或在適用於 Office 365 的 Microsoft Defender 評估頁面上關閉評估,然後設定標準預設安全策略, (標準預設) 安全策略轉換為封鎖模式

    根據定義,具有適用於 Office 365 的 Defender 方案 2 的組織不需要額外的授權,即可評估適用於 Office 365 的 Defender 方案 2,因此這些組織中的評估持續時間不受限制。

下表摘要說明上一個清單中的資訊:

Organization 從註冊
試用版頁面?
從註冊
評估頁面?
可用模式 評估
時期
獨立 EOP (沒有 Exchange Online 信箱)

Microsoft 365 E3
稽核模式

封鎖模式¹
90 天
適用於 Office 365 的 Defender 方案 1

Microsoft 365 商務進階版
稽核模式

封鎖模式¹
90 天²
Microsoft 365 E5 稽核模式

封鎖模式¹ ³
無限制

¹ 如 先前所述,如果因特網郵件在傳遞至 Microsoft 365 之前流經第三方保護服務或裝置,則無法使用 封鎖模式 (標準預設安全策略) 。

² 稽核 模式 中的安全策略 (評估原則) 或 封鎖模式 (標準預設安全策略) 不會在 90 天后過期或停止運作。 適用於 Office 365 的 Defender 方案 2 獨佔的 自動化、調查、補救和教育功能 會在 90 天后停止運作。

³ 評估是在 稽核模式 中設定, (評估原則) 。 在安裝程式完成之後的任何時間點,您可以轉換成封鎖模式 (標準預設安全策略) 如轉換為標準保護中所述。

現在您已了解評估、試用、稽核模式和封鎖模式之間的差異,您已準備好設定評估或試用版,如下一節所述。

在稽核模式中設定評估或試用

請記住,當您在稽核模式中評估或嘗試適用於 Office 365 的 Defender 時,會建立特殊的評估原則,讓適用於 Office 365 的 Defender 可以偵測威脅。 The settings of these evaluation policies are described in the Policies in audit mode section later in this article.

  1. 在 Microsoft Defender 入口網站中的任何可用位置啟動評估,網Microsoft位於 https://security.microsoft.com。 例如:

  2. 使用適用於 Office 365 的 Defender 方案 1 或方案 2 的組織中無法使用 [ 開啟保護 ] 對話框。

    在 [ 開啟保護 ] 對話框中,選取 [ 否,我只想要報告],然後選取 [ 繼續]

  3. 在 [ 選取您要包含的使用者 ] 對話框中,設定下列設定:

    • 所有使用者:這是預設和建議的選項。

    • 特定使用者:如果您選取此選項,您必須選取評估適用的內部收件者:

      • 使用者:指定的信箱、郵件使用者或郵件連絡人。
      • 群組:
        • ) 不支援指定通訊群組的成員或啟用郵件功能的安全組 (動態通訊群組。
        • 指定的 Microsoft 365 群組。
      • 網域:組織中在指定的 已接受網域中具有主要電子郵件位址的所有收件者。

      按兩下方塊,開始輸入值,然後從方塊下方的結果中選取值。 視需要重複此程序多次。 若要移除現有的值,請選 取方塊中的值旁邊。

      針對使用者或群組,您可以使用大部分識別碼 (名稱、顯示名稱、別名、電子郵件地址、帳戶名稱等),但會在結果中顯示對應的顯示名稱。 針對使用者,輸入星號 (*) 來查看所有可用的值。

      您只能使用收件者條件一次,但條件可以包含多個值:

      • 相同條件的多個使用 OR 邏輯 (例如 recipient1<><recipient2>) 。 如果收件者符合 任何 指定的值,則會將原則套用至這些值。

      • 不同 類型的條件 會使用 AND 邏輯。 收件者必須符合 所有 指定的條件,原則才能套用到這些條件。 例如,您可以使用下列值來設定條件:

        • 使用者: romain@contoso.com
        • 群組:主管

        只有在他也是主管群組的成員時,原則才會套用至 romain@contoso.com 。 否則,原則不會套用到他。

    當您在 [ 選取您要包含的使用者 ] 對話框中完成時,請選取 [ 繼續]

  4. 在 [ 協助我們瞭解您的郵件流程 ] 對話框中,設定下列選項:

    • 根據我們偵測到您網域的 MX 記錄,自動選取下列其中一個選項:

      • 我使用第三方和/或內部部署服務提供者:網域點的 MX 記錄Microsoft 365 以外的位置。 確認或設定下列設定:

        • 貴組織使用的第三方服務:確認或選取下列其中一個值:

          • 其他:此值也需要 [ 如果您的電子郵件訊息通過多個網關] 中的資訊,請列出每個網關IP位址,僅適用於 [ 其他] 值。 如果您使用內部部署服務提供者,請使用此值。

            輸入第三方保護服務或裝置用來將郵件傳送至 Microsoft 365 的 IP 位址逗號分隔清單。

          • 梭魚

          • IronPort

          • Mimecast

          • Proofpoint

          • Sophos

          • Symantec

          • Trend Micro

        • 要套用此評估的連接器:選取用於郵件流程的連接器Microsoft 365。

          連接器的增強式篩選 (也稱為 略過清單) 會在您指定的連接器上自動設定。

          當第三方服務或裝置位於流入 Microsoft 365 的電子郵件前面時,增強的連接器篩選會正確識別因特網訊息的來源,並大幅改善Microsoft篩選堆棧的精確度 (特別是 詐騙情報,以及 威脅 總管和 自動化調查 & 回應 (AIR) 中的入侵後功能。

      • 我只使用 Microsoft Exchange Online:網域的 MX 記錄指向 Microsoft 365。 不需要設定任何專案,因此請選取 [ 完成]

    • 與Microsoft共享數據:預設不會選取此選項,但您可以視需要選取複選框。

    當您在 [ 協助我們瞭解您的郵件流程 ] 對話框中完成時,請選取 [ 完成]

  5. 設定完成時,您會收到 [ 讓我們在對話框中顯示您 ]。 選 取 [開始導覽 ] 或 [ 關閉]

在封鎖模式中設定評估或試用

請記住,當您在 封鎖模式中嘗試適用於 Office 365 的 Defender 時,標準預設安全性會開啟,且指定的使用者 (部分或每個人) 都包含在標準預設安全策略中。 如需標準預設安全策略的詳細資訊,請參閱 預設安全策略

  1. 在 Microsoft Defender 入口網站中的任何可用位置開始試用,網Microsoft位於 https://security.microsoft.com。 例如:

  2. 使用適用於 Office 365 的 Defender 方案 1 或方案 2 的組織中無法使用 [ 開啟保護 ] 對話框。

    在 [ 開啟保護 ] 對話框中,選取 [ 是,封鎖威脅來保護我的組織],然後選取 [ 繼續]

  3. 在 [ 選取您要包含的使用者 ] 對話框中,設定下列設定:

    • 所有使用者:這是預設和建議的選項。

    • 選取使用者:如果您選取此選項,您必須選取套用試用的內部收件者:

      • 使用者:指定的信箱、郵件使用者或郵件連絡人。
      • 群組:
        • ) 不支援指定通訊群組的成員或啟用郵件功能的安全組 (動態通訊群組。
        • 指定的 Microsoft 365 群組。
      • 網域:組織中在指定的 已接受網域中具有主要電子郵件位址的所有收件者。

      按兩下方塊,開始輸入值,然後從方塊下方的結果中選取值。 視需要重複此程序多次。 若要移除現有的值,請選 取方塊中的值旁邊。

      針對使用者或群組,您可以使用大部分識別碼 (名稱、顯示名稱、別名、電子郵件地址、帳戶名稱等),但會在結果中顯示對應的顯示名稱。 針對使用者,輸入星號 (*) 來查看所有可用的值。

      您只能使用收件者條件一次,但條件可以包含多個值:

      • 相同條件的多個使用 OR 邏輯 (例如 recipient1<><recipient2>) 。 如果收件者符合 任何 指定的值,則會將原則套用至這些值。

      • 不同 類型的條件 會使用 AND 邏輯。 收件者必須符合 所有 指定的條件,原則才能套用到這些條件。 例如,您可以使用下列值來設定條件:

        • 使用者: romain@contoso.com
        • 群組:主管

        只有在他也是主管群組的成員時,原則才會套用至 romain@contoso.com 。 否則,原則不會套用到他。

    當您在 [ 選取您要包含的使用者 ] 對話框中完成時,請選取 [ 繼續]

  4. 設定評估時,會出現進度對話方塊。 安裝完成時,選取 [ 完成]

管理適用於 Office 365 的 Defender 評估或試用版

在稽核 模式中設定評估或試用版之後, Microsoft適用於 Office 365 的 Defender 評估 頁面 https://security.microsoft.com/atpEvaluation 是您嘗試適用於 Office 365 的 Defender 方案 2 結果的中心位置。

在 Microsoft Defender 入口網站https://security.microsoft.com的 中,移至 [電子郵件 & 共同作業>原則 & 規則>威脅原則>] 在 [其他] 區段中選取 [評估模式]。 或者,若要直接移至 適用於 Office 365 的 Microsoft Defender 評估 頁面,請使用 https://security.microsoft.com/atpEvaluation

下列小節說明 適用於 Office 365 的 Microsoft Defender 評估 頁面上可用的動作。

管理評估設定

Microsoft Defender for Office 365 評估 版] 頁面上 https://security.microsoft.com/atpEvaluation,選取 [ 管理評估設定]

在開啟 的 [管理 MDO 評估設定 ] 飛出視窗中,可以使用下列資訊和設定:

  • 評估是否開啟會顯示在飛出視窗頂端, (評估 開啟或 評估關閉) 。 此資訊也可在 適用於 Office 365 的 Microsoft Defender 評估 頁面上取得。

    [ 關閉 ] 或 [ 開啟 ] 動作可讓您關閉或開啟評估原則。

  • 評估中剩餘的天數會顯示在飛出視窗頂端, (剩餘 nn 天) 。

  • 偵測功能 區段:使用切換來開啟或關閉下列適用於 Office 365 的 Defender 保護:

    • 安全連結
    • 安全附件
    • 防網路釣魚
  • 使用者、群組和網域 一節:選取 [編輯使用者、群組和網域], 以變更評估或試用套用物件,如先前 在稽核模式中設定評估或試用版中所述。

  • 模擬設定區 段:

    • 如果在反網路釣魚評估原則中未設定模擬保護,請選取 [ 套用模擬保護 ] 以設定模擬保護:

      • 內部和外部使用者 (寄件者) 用戶模擬保護。
      • 網域模擬保護的自定義網域。
      • 要從模擬保護中排除的信任寄件人和網域。

      這些步驟基本上與使用 Microsoft Defender 入口網站建立防網路釣魚原則的步驟 5 中的模擬一節所述相同。

    • 如果模擬保護是在反網路釣魚評估原則中設定的,本節會顯示下列專案的模擬保護設定:

      • 用戶模擬保護
      • 網域模擬保護
      • 受信任的模擬發件人和網域

      若要修改設定,請選取 [編輯模擬設定]

當您在 [ 管理 MDO 評估設定 ] 飛出視窗中完成時,請選取 [ 關閉]

轉換為標準保護

針對評估或試用版,您可以使用下列其中一種方法,從 稽核模式 (評估原則) 切換為 封鎖模式 (標準預設安全策略) :

  • [適用於 Office 365 的 Microsoft Defender 評估 ] 頁面上:選取 [轉換為標準保護]
  • 在 [ 管理 MDO 評估設定 ] 飛出視窗中:在 [適用於 Office 365 的 Microsoft Defender] 評估 頁面上,選取 [ 管理評估設定]。 在開啟的詳細數據飛出視窗中,選取 [ 轉換為標準保護]

選取 [ 轉換為標準保護] 之後,請閱讀開啟之對話框中的資訊,然後選取 [ 繼續]

系統會帶您前往默認安全策略頁面上的 [套用標準保護精靈]。 評估或試用版中包含和排除的收件者清單會複製到標準預設安全策略中。 如需詳細資訊,請 參閱使用 Microsoft Defender 入口網站將標準和嚴格預設安全策略指派給使用者

  • 標準預設安全策略中的安全策略優先順序高於評估原則,這表示標準預設安全性中的原則一律會在評估 原則之前 套用,即使這兩者都存在且已開啟也一般。
  • 沒有自動方式可從 封鎖模式 移至 稽核模式。 手動步驟如下:
    1. 在 的 [ 預設安全 策略] 頁面上,關閉 [標準預設安全策略] https://security.microsoft.com/presetSecurityPolicies

    2. Microsoft Defender for Office 365 評估 版] 頁面上 https://security.microsoft.com/atpEvaluation,確認 [ 評估] 的值已顯示。

      如果顯示 [評估關閉 ],請選取 [管理評估設定]。 在開啟的 [ 管理 MDO 評估設定 ] 飛出視窗中,選取 [ 開啟]

    3. 取 [管理評估設定],以在開啟的 [管理 MDO 評估設定詳細數據] 飛出視窗的 [使用者、群組和網域] 區段中確認評估套用的使用者。

適用於 Office 365 的 Defender 評估或試用報告

本節說明稽核 模式封鎖模式中可用的報告。

封鎖模式的報告

系統不會針對 封鎖模式建立任何特殊報告,因此請使用適用於 Office 365 的 Defender 中可用的標準報表。 具體而言,您要尋找的報表僅適用於適用於 Office 365 的 Defender 功能 (例如,安全連結或安全附件) 或報表,可由適用於 Office 365 的 Defender 偵測篩選,如下列清單所述:

稽核模式的報告

稽核模式中,您會尋找顯示評估原則偵測的報告,如下列清單所述:

必要權限

Microsoft Entra ID 中需要下列許可權,才能設定適用於 Microsoft 365 的 Defender 評估或試用版:

  • 建立、修改或刪除評估或試用版: 安全性系統管理員全域管理員* 角色中的成員資格。
  • 在稽核模式中檢視評估原則和報告安全性系統管理員安全性讀取者 角色中的成員資格。

如需 Microsoft Defender 入口網站中Microsoft Entra 許可權的詳細資訊,請 參閱 Microsoft Defender 入口網站中的 Microsoft Entra 角色

重要事項

* Microsoft建議您使用許可權最少的角色。 使用較低許可權的帳戶有助於改善組織的安全性。 全域管理員是高度特殊許可權的角色,當您無法使用現有角色時,應該僅限於緊急案例。

常見問題集

問:我需要手動取得或啟用試用版授權嗎?

答:不能。 如果您如先前所述需要,試用版會自動布建適用於 Office 365 的 Defender 方案 2 授權。

問:如何延長試用期?

答:請參閱 延長試用期

問:為什麼我看不到取消或延長試用版的選項?

答:如果您的訂用帳戶是新商務體驗 (NCE) 的一部分,則看不到取消或延長試用版的選項。 目前,只有舊版訂用帳戶的客戶能夠取消或延長其試用版。

問:試用版到期后,我的數據會發生什麼情況?

答:試用版到期之後,您可以從適用於 Office 365 的 Defender 功能存取試用數據 (您先前 30 天內未) 的數據。 在這 30 天期間之後,所有與適用於 Office 365 的 Defender 試用版相關聯的原則和數據都會刪除。

問:我的組織中可以使用適用於 Office 365 的 Defender 試用版多少次?

答:最多兩次。 如果您的第一次試用版到期,您至少必須在到期日之後等候 30 天,才能再次註冊適用於 Office 365 的 Defender 試用版。 第二次試用之後,您就無法註冊另一個試用版。

問:在稽核模式中,是否有適用於 Office 365 的 Defender 對訊息採取動作的案例?

答:可以。 為了保護服務,任何程式或 SKU 中沒有人可以關閉或略過對服務分類為惡意代碼或高信賴度網路釣魚的訊息採取動作。

問:原則的評估順序為何?

答:請參閱 預設安全策略和其他原則的優先順序順序。

與適用於 Office 365 的 Defender 評估和試用版相關聯的原則設定

稽核模式中的原則

警告

請勿嘗試建立、修改或移除與適用於 Office 365 的 Defender 評估相關聯的個別安全策略。 建立評估個別安全策略的唯一支援方法,是在 Microsoft Defender 入口網站中第一次以稽核模式啟動評估或試用。

如先前所述,當您選擇評估或試用的稽核模式時,系統會自動建立評估原則,其中包含要觀察但不會對訊息採取動作的必要設定。

若要查看這些原則及其設定,請在 Exchange Online PowerShell 中執行下列命令:

Write-Output -InputObject ("`r`n"*3),"Evaluation anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"; Write-Output -InputObject ("`r`n"*3),"Evaluation Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"; Write-Output -InputObject ("`r`n"*3),"Evaluation Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"

下表也會說明這些設定。

防網路釣魚評估原則設定

設定
名稱 評估原則
AdminDisplayName 評估原則
AuthenticationFailAction MoveToJmf
DmarcQuarantineAction 隔離
DmarcRejectAction 拒絕
Enabled True
EnableFirstContactSafetyTips
EnableMailboxIntelligence True
EnableMailboxIntelligenceProtection True
EnableOrganizationDomainsProtection
EnableSimilarDomainsSafetyTips
EnableSimilarUsersSafetyTips
EnableSpoofIntelligence True
EnableSuspiciousSafetyTip
EnableTargetedDomainsProtection
EnableTargetedUserProtection
EnableUnauthenticatedSender True
EnableUnusualCharactersSafetyTips
EnableViaTag True
ExcludedDomains {}
ExcludedSenders {}
HonorDmarcPolicy True
ImpersonationProtectionState 手動
IsDefault
MailboxIntelligenceProtectionAction NoAction
MailboxIntelligenceProtectionActionRecipients {}
MailboxIntelligenceQuarantineTag DefaultFullAccessPolicy
PhishThresholdLevel 1
PolicyTag 空白
RecommendedPolicyType 評估
SpoofQuarantineTag DefaultFullAccessPolicy
TargetedDomainActionRecipients {}
TargetedDomainProtectionAction NoAction
TargetedDomainQuarantineTag DefaultFullAccessPolicy
TargetedDomainsToProtect {}
TargetedUserActionRecipients {}
TargetedUserProtectionAction NoAction
TargetedUserQuarantineTag DefaultFullAccessPolicy
TargetedUsersToProtect {}

安全附件評估原則設定

設定
名稱 評估原則
動作 允許
ActionOnError True*
AdminDisplayName 評估原則
ConfidenceLevelThreshold 80
啟用 True
EnableOrganizationBranding
IsBuiltInProtection
IsDefault
OperationMode Delay
QuarantineTag AdminOnlyAccessPolicy
RecommendedPolicyType 評估
重新導向
RedirectAddress 空白
ScanTimeout 30

* 此參數已被取代,不再使用。

設定
名稱 評估原則
AdminDisplayName 評估原則
AllowClickThrough True
CustomNotificationText 空白
DeliverMessageAfterScan True
DisableUrlRewrite True
DoNotRewriteUrls {}
EnableForInternalSenders
EnableOrganizationBranding
EnableSafeLinksForEmail True
EnableSafeLinksForOffice True
EnableSafeLinksForTeams True
IsBuiltInProtection
LocalizedNotificationTextList {}
RecommendedPolicyType 評估
ScanUrls True
TrackClicks True

使用 PowerShell 在稽核模式中設定評估或試用版的收件者條件和例外狀況

與適用於 Office 365 的 Defender 評估原則相關聯的規則會控制評估的收件者條件和例外狀況。

若要檢視與評估相關聯的規則,請在 Exchange Online PowerShell 中執行下列命令:

Get-ATPEvaluationRule

若要使用 Exchange Online PowerShell 來修改要套用評估的人員,請使用下列語法:

Set-ATPEvaluationRule -Identity "Evaluation Rule" -SentTo <"user1","user2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -SentToMemberOf <"group1","group2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null> -RecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null>

本範例會設定 SecOps () 信箱中指定安全性作業評估的例外狀況。

Set-ATPEvaluationRule -Identity "Evaluation Rule" -ExceptIfSentTo "SecOps1","SecOps2"

使用 PowerShell 在稽核模式中開啟或關閉評估或試用版

若要在稽核模式中開啟或關閉評估,您可以啟用或停用與評估相關聯的規則。 評估規則的 State 屬性值會顯示規則為 Enabled 或 Disabled。

執行下列命令來判斷評估目前是否已啟用或停用:

Get-ATPEvaluationRule -Identity "Evaluation Rule" | Format-Table Name,State

如果已開啟評估,請執行下列命令來關閉評估:

Disable-ATPEvaluationRule -Identity "Evaluation Rule"

如果已關閉評估,請執行下列命令來開啟評估:

Enable-ATPEvaluationRule -Identity "Evaluation Rule"

封鎖模式中的原則

如先前所述, 封鎖模式 原則是使用默 認安全策略的標準範本所建立。

若要使用 Exchange Online PowerShell 來檢視與標準預設安全策略相關聯的個別安全策略,以及檢視和設定預設安全策略的收件者條件和例外狀況,請參閱 Exchange Online PowerShell 中的預設安全策略。