EOP 和適用於 Office 365 的 Microsoft Defender 的建議設定

提示

您知道您可以免費試用 Office 365 方案 2 的 Microsoft Defender 全面偵測回應 功能嗎? 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 在這裡瞭解誰可以註冊和 試用條款

Exchange Online Protection (EOP) 是 Microsoft 365 訂閱的安全性核心,可協助防止惡意電子郵件送達員工的收件匣。 但是,隨著每天出現更複雜的全新攻擊,通常需要改善的保護。 適用於 Office 365 的 Microsoft Defender 方案 1 或方案 2 包含其他功能,可提供更多層級的安全性、控制和調查。

雖然我們讓安全性系統管理員能夠自定義其安全性設定,但 EOP 和 適用於 Office 365 的 Microsoft Defender 中有兩個安全性層級,我們建議:標準嚴格。 雖然客戶環境和需求不同,但這些層級的篩選有助於防止不必要的郵件在大部分情況下送達員工的收件匣。

若要自動將標準或嚴格設定套用至使用者,請參閱 EOP 和 適用於 Office 365 的 Microsoft Defender 中的預設安全策略

本文說明預設設定,以及建議的標準和嚴格設定,以協助保護您的使用者。 這些數據表包含 Microsoft Defender 入口網站中的設定,以及 PowerShell (Exchange Online PowerShell 或獨立 Exchange Online Protection PowerShell,適用於沒有 Exchange Online 信箱) 的組織。

注意事項

適用於 PowerShell 的 Office 365 Advanced Threat Protection 建議組態分析器 (ORCA) 模組可協助系統管理員找出這些設定的目前值。 具體而言, Get-ORCAReport Cmdlet 會產生反垃圾郵件、防網路釣魚和其他郵件檢查設定的評量。 您可以在 https://www.powershellgallery.com/packages/ORCA/下載 ORCA 模組。

在 Microsoft 365 組織中,建議您將 Outlook 中的垃圾郵件 Email 篩選器設定為 [沒有自動篩選],以防止不必要的衝突 (來自 EOP 的垃圾郵件篩選決策 (正面和負面) 。 如需詳細資訊,請參閱下列文章:

EOP 中的反垃圾郵件、反惡意代碼和反網路釣魚保護

反垃圾郵件、反惡意代碼和反網路釣魚是系統管理員可以設定的 EOP 功能。 我們建議使用下列標準或嚴格設定。

EOP 反惡意代碼原則設定

若要建立及設定反惡意代碼原則,請參閱 在 EOP 中設定反惡意代碼原則

隔離原則會定義使用者可以對隔離郵件執行哪些操作,以及使用者是否收到隔離通知。 如需詳細資訊, 請參閱隔離原則的結構

名為 AdminOnlyAccessPolicy 的原則會針對被隔離為惡意代碼的郵件強制執行歷程記錄功能, 如下表所述。

不論隔離原則的設定方式為何,使用者都無法釋放自己被隔離為惡意代碼的郵件。 如果原則允許使用者釋放自己的隔離郵件,則會改為允許使用者 要求 釋放其隔離的惡意代碼訊息。

安全性功能名稱 預設 標準版 嚴格 註解
保護設定
啟用 EnableFileFilter (通用附件篩選) 選取的 $true () * 選取的 $true () 選取的 $true () 如需常見附件篩選中的檔案類型清單,請參閱 反惡意代碼原則中的常見附件篩選

*您在 Defender 入口網站或 PowerShell 中建立的新反惡意代碼原則,以及在 2023 年 12 月 1 日之後建立的組織中,預設會開啟常見的附件篩選。
常見的附件篩選通知:在 FileTypeAction (找到這些文件類型時) 使用非傳遞報表 (NDR) () Reject 使用非傳遞報表 (NDR) () Reject 使用非傳遞報表 (NDR) () Reject
針對 ZapEnabled (惡意代碼啟用零時差自動清除) 選取的 $true () 選取的 $true () 選取的 $true ()
隔離原則 (QuarantineTag) AdminOnlyAccessPolicy AdminOnlyAccessPolicy AdminOnlyAccessPolicy
管理員 通知
(EnableInternalSenderAdminNotificationsInternalSenderAdminAddress) ,通知系統管理員有關來自內部發件者的未傳遞訊 未選取 ($false) 未選取 ($false) 未選取 ($false) 我們對此設定沒有特定建議。
通知系統管理員來自外部發件人的未傳遞訊息 (EnableExternalSenderAdminNotificationsExternalSenderAdminAddress) 未選取 ($false) 未選取 ($false) 未選取 ($false) 我們對此設定沒有特定建議。
自訂通知 我們對於這些設定沒有特定的建議。
使用自定義通知文字 (CustomNotifications) 未選取 ($false) 未選取 ($false) 未選取 ($false)
從 name (CustomFromName) 空白 空白 空白
從位址 (CustomFromAddress) 空白 空白 空白
自訂來自內部寄件者的訊息通知 只有在選取 [通知系統管理員有關來自內部發件者的未傳遞訊息 ] 時,才會使用這些設定。
Subject (CustomInternalSubject) 空白 空白 空白
Message (CustomInternalBody) 空白 空白 空白
自定義來自外部寄件者的訊息通知 只有在選取 [通知系統管理員來自外部寄件者的未傳遞訊息] 時 ,才會使用這些設定。
Subject (CustomExternalSubject) 空白 空白 空白
Message (CustomExternalBody) 空白 空白 空白

EOP 反垃圾郵件原則設定

若要建立及設定反垃圾郵件原則, 請參閱在 EOP 中設定反垃圾郵件原則

無論您選取 [隔離郵件 ] 作為垃圾郵件篩選決策的動作,都可以使用 [ 選取隔離原則 ] 方塊。 隔離原則會定義使用者可以對隔離郵件執行哪些操作,以及使用者是否收到隔離通知。 如需詳細資訊, 請參閱隔離原則的結構

如果您在 Defender 入口網站建立反垃圾郵件原則時,將垃圾郵件篩選決策的動作 變更 為 [ 隔離郵件 ],[ 選取隔離 原則] 方塊預設為空白。 空白值表示會使用該垃圾郵件篩選決策的預設隔離原則。 這些預設隔離原則會針對垃圾郵件篩選結果強制執行歷程記錄功能,此處所述會隔離郵件。 當您稍後檢視或編輯反垃圾郵件原則設定時,系統會顯示隔離原則名稱。

系統管理員可以建立或使用具有更嚴格或較不嚴格功能的隔離原則。 如需指示,請參閱在 Microsoft Defender 入口網站中建立隔離原則

安全性功能名稱 預設 標準版 嚴格 註解
垃圾郵件屬性 & 大量電子郵件閾值
BulkThreshold (大量電子郵件閾值) 7 6 5 如需詳細資訊,請 參閱 EOP 中的大量 (BCL) 層級
大量電子郵件垃圾郵件 (MarkAsSpamBulkMail) (On) (On) (On) 此設定僅適用於PowerShell。
增加垃圾郵件分數 設定 所有這些設定都是進階垃圾郵件篩選器 (ASF) 的一部分。 For more information, see the ASF settings in anti-spam policies section in this article.
標示為垃圾郵件 設定 這些設定大部分都是 ASF 的一部分。 For more information, see the ASF settings in anti-spam policies section in this article.
包含EnableLanguageBlockListLanguageBlockList () 特定語言) 關閉 ($false 和空白) 關閉 ($false 和空白) 關閉 ($false 和空白) 我們對此設定沒有特定建議。 您可以根據業務需求封鎖特定語言的訊息。
從其他國家/地區 (EnableRegionBlockListRegionBlockList) 關閉 ($false 和空白) 關閉 ($false 和空白) 關閉 ($false 和空白) 我們對此設定沒有特定建議。 您可以根據業務需求封鎖來自特定國家/地區的訊息。
TestModeAction (測試模式) 此設定是 ASF 的一部分。 For more information, see the ASF settings in anti-spam policies section in this article.
動作
垃圾郵件偵測動作 (垃圾郵件) 將訊息移至垃圾郵件 Email資料夾 (MoveToJmf) 將訊息移至垃圾郵件 Email資料夾 (MoveToJmf) 隔離訊息 (Quarantine)
垃圾郵件 (SpamQuarantineTag) 的隔離原則 DefaultFullAccessPolicy¹ DefaultFullAccessPolicy DefaultFullAccessWithNotificationPolicy 只有在垃圾郵件偵測遭到隔離時,隔離原則才有意義。
HighConfidenceSpamAction (高信賴度垃圾郵件偵測動作) 將訊息移至垃圾郵件 Email資料夾 (MoveToJmf) 隔離訊息 (Quarantine) 隔離訊息 (Quarantine)
HighConfidenceSpamQuarantineTag (高信賴度垃圾郵件隔離原則) DefaultFullAccessPolicy¹ DefaultFullAccessWithNotificationPolicy DefaultFullAccessWithNotificationPolicy 只有在隔離高信賴度垃圾郵件偵測時,隔離原則才有意義。
網路釣魚 偵測動作 (PhishSpamAction) 將訊息移至垃圾郵件 Email資料夾 (MoveToJmf) * 隔離訊息 (Quarantine) 隔離訊息 (Quarantine) *默認值為 [將郵件移至預設反垃圾郵件原則中的垃圾郵件 Email 資料夾,以及您在PowerShell中建立的新反垃圾郵件原則中。 預設值是您在 Defender 入口網站中建立的新反垃圾郵件原則中的 隔離郵件
網路釣魚 (PhishQuarantineTag) 的隔離原則 DefaultFullAccessPolicy¹ DefaultFullAccessWithNotificationPolicy DefaultFullAccessWithNotificationPolicy 只有在網路釣魚偵測遭到隔離時,隔離原則才有意義。
HighConfidencePhishAction (高信賴度網路釣魚偵測動作) 隔離訊息 (Quarantine) 隔離訊息 (Quarantine) 隔離訊息 (Quarantine) 不論隔離原則的設定方式為何,使用者都無法釋放被隔離為高信賴度網路釣魚的郵件。 如果原則允許用戶釋放自己的隔離郵件,則會改為允許使用者 要求 釋放其隔離的高信賴度網路釣魚訊息。
HighConfidencePhishQuarantineTag (高信賴度網路釣魚隔離原則) AdminOnlyAccessPolicy AdminOnlyAccessPolicy AdminOnlyAccessPolicy
(BulkSpamAction () 符合或超過 BCL) 符合或超過大量相容層級) 將訊息移至垃圾郵件 Email資料夾 (MoveToJmf) 將訊息移至垃圾郵件 Email資料夾 (MoveToJmf) 隔離訊息 (Quarantine)
符合或超過 BulkQuarantineTag (BCL) ( 大容量標準層級的隔離原則) DefaultFullAccessPolicy¹ DefaultFullAccessPolicy DefaultFullAccessWithNotificationPolicy 只有在隔離大量偵測時,隔離原則才有意義。
要對 IntraOrgFilterState (採取行動的組織內部訊息) 默認 (預設) 默認 (預設) 默認 (預設) Default 值與 選取 [高信賴度網络釣魚訊息] 相同。 目前,在美國政府組織 (Microsoft 365 GCC、GCC High 和 DoD) 中, 預設 值與選取 [ ] 相同。
(QuarantineRetentionPeriod) ,將垃圾郵件保留在隔離區) 15 天 30 天 30 天 此值也會影響由防網路釣魚原則隔離的訊息。 如需詳細資訊,請參閱 隔離保留
InlineSafetyTipsEnabled (啟用垃圾郵件安全提示) 選取的 $true () 選取的 $true () 選取的 $true ()
針對 PhishZapEnabled (網路釣魚訊息啟用零時差自動清除 (ZAP) ) 選取的 $true () 選取的 $true () 選取的 $true ()
針對垃圾郵件啟用 ZAP (SpamZapEnabled) 選取的 $true () 選取的 $true () 選取的 $true ()
允許 & 塊清單
允許的寄件者 (AllowedSenders)
AllowedSenderDomains (允許的發件者網域) 將網域新增至允許的網域清單是非常不好的主意。 攻擊者可以傳送電子郵件給您,否則會被篩選掉。

使用 詐騙情報深入解析 和租使用者 允許/封鎖清單 ,檢閱在貴組織的電子郵件網域中詐騙寄件者電子郵件地址或詐騙外部網域中發件者電子郵件位址的所有發件者。
BlockedSenders (封鎖的寄件者)
BlockedSenderDomains (封鎖的寄件者網域)

¹ 如 完整訪問許可權和隔離通知中所述,您的組織可能會在預設安全策略或您建立的新自定義安全策略中使用 NotificationEnabledPolicy,而不是 DefaultFullAccessPolicy。 這兩個隔離原則的唯一差異在於,隔離通知會在 NotificationEnabledPolicy 中開啟,並在 DefaultFullAccessPolicy 中關閉。

反垃圾郵件原則中的 ASF 設定

如需反垃圾郵件原則中進階垃圾郵件篩選 (ASF) 設定的詳細資訊,請參閱 EOP 中的進階 垃圾郵件篩選 (ASF) 設定

安全性功能名稱 預設 建議
標準
建議
嚴格
註解
(IncreaseScoreWithImageLinks) 遠端月臺的影像連結 關閉 關閉 關閉
URL 中的數值 IP 位址 (IncreaseScoreWithNumericIps) 關閉 關閉 關閉
URL 重新導向至其他埠 (IncreaseScoreWithRedirectToOtherPort) 關閉 關閉 關閉
(IncreaseScoreWithBizOrInfoUrls) .biz 或 .info 網站的連結 關閉 關閉 關閉
MarkAsSpamEmptyMessages (空白訊息) 關閉 關閉 關閉
將標記內嵌在 HTML (MarkAsSpamEmbedTagsInHtml) 關閉 關閉 關閉
HTML 中的 JavaScript 或 VBScript (MarkAsSpamJavaScriptInHtml) 關閉 關閉 關閉
HTML (MarkAsSpamFormTagsInHtml) 中的窗體標記 關閉 關閉 關閉
HTML (MarkAsSpamFramesInHtml) 中的框架或 iframe 標籤 關閉 關閉 關閉
HTML 中的 Web Bug (MarkAsSpamWebBugsInHtml) 關閉 關閉 關閉
HTML (MarkAsSpamObjectTagsInHtml) 中的 物件標記 關閉 關閉 關閉
MarkAsSpamSensitiveWordList (敏感性字組) 關閉 關閉 關閉
SPF 記錄: (MarkAsSpamSpfRecordHardFail) 實作失敗 關閉 關閉 關閉
(MarkAsSpamFromAddressAuthFail) 的寄件人標識符篩選會失敗 關閉 關閉 關閉
Backscatter (MarkAsSpamNdrBackscatter) 關閉 關閉 關閉
TestModeAction (測試模式) 針對支持 測試 做為動作的 ASF 設定,您可以將測試模式動作設定為 [無]、 [新增預設 X 標頭] 文字或 [傳 送密件抄送訊 息 (NoneAddXHeaderBccMessage) 。 如需詳細資訊,請參閱 啟用、停用或測試 ASF 設定

注意事項

ASF X-CustomSpam: 會在 Exchange 郵件流程規則處理郵件 之後 ,將 X 標頭字段新增至郵件 (也稱為傳輸規則) ,因此您無法使用郵件流程規則來識別 ASF 所篩選的郵件並採取行動。

EOP 輸出垃圾郵件原則設定

若要建立和設定輸出垃圾郵件原則, 請參閱在 EOP 中設定輸出垃圾郵件篩選

如需服務中預設傳送限制的詳細資訊,請參閱 傳送限制

注意事項

輸出垃圾郵件原則不是標準或嚴格預設安全策略的一部分。 [標準] 和 [嚴格] 值會在預設的輸出垃圾郵件原則或您建立的自定義輸出垃圾郵件原則中指出建議的值。

安全性功能名稱 預設 建議
標準
建議
嚴格
註解
設定 RecipientLimitExternalPerHour (外部訊息限制) 0 500 400 預設值 0 表示使用服務預設值。
設定 RecipientLimitInternalPerHour (內部訊息限制) 0 1000 800 預設值 0 表示使用服務預設值。
設定 RecipientLimitPerDay (每日訊息限制) 0 1000 800 預設值 0 表示使用服務預設值。
對達到 ActionWhenThresholdReached (訊息限制的使用者的限制) 限制用戶傳送郵件直到第二天 (BlockUserForToday) 限制用戶傳送郵件 (BlockUser) 限制用戶傳送郵件 (BlockUser)
AutoForwardingMode (自動轉送規則) 自動 -系統控制的 (Automatic) 自動 -系統控制的 (Automatic) 自動 -系統控制的 (Automatic)
將超過這些限制的輸出訊息複本傳送給BccSuspiciousOutboundMailBccSuspiciousOutboundAdditionalRecipients (這些使用者和群組) 未選取 ($false 和空白) 未選取 ($false 和空白) 未選取 ($false 和空白) 我們對此設定沒有特定建議。

此設定僅適用於預設的輸出垃圾郵件原則。 它無法用於您建立的自訂外寄垃圾郵件原則。
如果寄件者因為傳送輸出垃圾郵件而遭封鎖,請通知這些使用者和群組 (NotifyOutboundSpamNotifyOutboundSpamRecipients) 未選取 ($false 和空白) 未選取 ($false 和空白) 未選取 ($false 和空白) 當使用者因超過原則的限制而遭封鎖時,名為「使用者限制傳送電子郵件」的預設警示原則已傳送電子郵件通知給 TenantAdmins (全域系統管理員) 群組的成員。 強烈建議您在輸出垃圾郵件原則中使用警示原則,而不是此設定來通知系統管理員和其他使用者。 如需指示,請 參閱驗證受限制使用者的警示設定

EOP 防網路釣魚原則設定

如需這些設定的詳細資訊,請 參閱詐騙設定。 若要設定這些設定,請 參閱在 EOP 中設定防網路釣魚原則

詐騙設定是相互關聯的,但 [顯示第一個聯繫人安全提示 ] 設定與詐騙設定沒有相依性。

隔離原則會定義使用者可以對隔離郵件執行哪些操作,以及使用者是否收到隔離通知。 如需詳細資訊, 請參閱隔離原則的結構

雖然當您在 Defender 入口網站中建立防網路釣魚原則時,[ 套用隔離 原則] 值會顯示為未選取,但如果您未選取隔離原則,則會使用名為 DefaultFullAccessPolicy¹ 的隔離原則。 此原則會針對被隔離為詐騙的郵件強制執行歷程記錄功能,如 這裡表格所述。 當您稍後檢視或編輯隔離原則設定時,系統會顯示隔離原則名稱。

系統管理員可以建立或使用具有更嚴格或較不嚴格功能的隔離原則。 如需指示,請參閱在 Microsoft Defender 入口網站中建立隔離原則

安全性功能名稱 預設 標準版 嚴格 註解
網路釣魚閾值 & 保護
啟用詐騙情報 (EnableSpoofIntelligence) 選取的 $true () 選取的 $true () 選取的 $true ()
動作
在偵測到訊息為詐騙 (HonorDmarcPolicy) 時,接受 DMARC 記錄原則 選取的 $true () 選取的 $true () 選取的 $true () 開啟此設定時,您可以控制當 DMARC TXT 記錄中的原則動作設定為 p=quarantinep=reject時,傳送者失敗時,明確 DMARC 會檢查的訊息會發生什麼情況。 如需詳細資訊,請 參閱詐騙保護和寄件者 DMARC 原則
如果偵測到訊息為詐騙,且 DMARC 原則設定為 p=quarantine (DmarcQuarantineAction) 隔離訊息 (Quarantine) 隔離訊息 (Quarantine) 隔離訊息 (Quarantine) 只有在 偵測到訊息為詐騙 開啟時,此動作才有意義。
如果偵測到訊息為詐騙,且 DMARC 原則設定為 p=reject (DmarcRejectAction) 拒絕訊息 (Reject) 拒絕訊息 (Reject) 拒絕訊息 (Reject) 只有在 偵測到訊息為詐騙 開啟時,此動作才有意義。
如果詐騙情報偵測到訊息為詐騙 , (AuthenticationFailAction) 將郵件移至收件者的垃圾郵件 Email資料夾 (MoveToJmf) 將郵件移至收件者的垃圾郵件 Email資料夾 (MoveToJmf) 隔離訊息 (Quarantine) 此設定適用於自動封鎖的詐騙發件者,如 詐騙情報深入解析 中所示,或在 租用戶允許/封鎖清單中手動封鎖。

如果您選取 [隔離訊息 ] 作為詐騙決策的動作,則可使用 [ 套用隔離原則 ] 方塊。
SpoofQuarantineTag (詐騙隔離原則) DefaultFullAccessPolicy¹ DefaultFullAccessPolicy DefaultFullAccessWithNotificationPolicy 只有在隔離詐騙偵測時,隔離原則才有意義。
EnableFirstContactSafetyTips (顯示第一個聯繫人安全提示) 未選取 ($false) 選取的 $true () 選取的 $true () 如需詳細資訊,請參閱首次接觸安全提示
為未經驗證的寄件人顯示 (?) ,以進行詐騙 (EnableUnauthenticatedSender) 選取的 $true () 選取的 $true () 選取的 $true () 在 Outlook 中,針對無法辨識的詐騙寄件者,將問號 (?) 新增至發件人的相片。 如需詳細資訊,請參閱 未驗證的發件者指標
EnableViaTag (顯示 「via」 標記) 選取的 $true () 選取的 $true () 選取的 $true () 如果與 DKIM 簽章或 MAIL FROM 位址中的網域不同,請透過 fabrikam.com) 将透过卷标 (chris@contoso.com 的 加入至寄件者位址。

如需詳細資訊,請參閱 未驗證的發件者指標

¹ 如 完整訪問許可權和隔離通知中所述,您的組織可能會在預設安全策略或您建立的新自定義安全策略中使用 NotificationEnabledPolicy,而不是 DefaultFullAccessPolicy。 這兩個隔離原則的唯一差異在於,隔離通知會在 NotificationEnabledPolicy 中開啟,並在 DefaultFullAccessPolicy 中關閉。

適用於 Office 365 的 Microsoft Defender 安全性

適用於 Office 365 的 Microsoft Defender 訂用帳戶提供額外的安全性權益。 如需最新消息和資訊,您可以看到 適用於 Office 365 的 Defender 的新功能

重要事項

如果您的訂用帳戶包含 適用於 Office 365 的 Microsoft Defender,或如果您已購買 適用於 Office 365 的 Defender 做為附加元件,請設定下列標準或 Strict 組態。

適用於 Office 365 的 Microsoft Defender 中的防網路釣魚原則設定

EOP 客戶會如先前所述取得基本的反網路釣魚功能,但 適用於 Office 365 的 Defender 包含更多功能和控制,以協助預防、偵測及補救攻擊。 若要建立和設定這些原則,請參閱在 適用於 Office 365 的 Defender 中設定防網路釣魚原則

適用於 Office 365 的 Microsoft Defender 中反網路釣魚原則中的進階設定

如需此設定的詳細資訊,請參閱 適用於 Office 365 的 Microsoft Defender 中反網路釣魚原則中的進階網路釣魚閾值。 若要設定此設定,請參閱在 適用於 Office 365 的 Defender 中設定防網路釣魚原則

安全性功能名稱 預設 標準版 嚴格 註解
網路釣魚電子郵件閾值 (PhishThresholdLevel) 1 - 標準 (1) 3 - 更積極 (3) 4 - 最積極 (4)

適用於 Office 365 的 Microsoft Defender 中反網路釣魚原則中的模擬設定

如需這些設定的詳細資訊,請參閱 適用於 Office 365 的 Microsoft Defender 中反網路釣魚原則中的模擬設定。 若要設定這些設定,請參閱在 適用於 Office 365 的 Defender 中設定防網路釣魚原則

無論您選取 [隔離訊息 ] 作為模擬決策的動作,都可以使用 [ 套用隔離原則 ] 方塊。 隔離原則會定義使用者可以對隔離郵件執行哪些操作,以及使用者是否收到隔離通知。 如需詳細資訊, 請參閱隔離原則的結構

雖然當您在 Defender 入口網站中建立防網路釣魚原則時,[ 套用隔離 原則] 值會顯示為未選取,但如果您未選取隔離原則,則會使用名為 DefaultFullAccessPolicy 的隔離原則。 此原則會針對被隔離為仿真的訊息強制執行歷程記錄功能,如 這裡表格所述。 當您稍後檢視或編輯隔離原則設定時,系統會顯示隔離原則名稱。

系統管理員可以建立或使用具有更嚴格或較不嚴格功能的隔離原則。 如需指示,請參閱在 Microsoft Defender 入口網站中建立隔離原則

安全性功能名稱 預設 標準版 嚴格 註解
網路釣魚閾值 & 保護
用戶模擬保護: 讓用戶能夠保護 (EnableTargetedUserProtectionTargetedUsersToProtect) 未選取 ($false ,且沒有) 選取的 ($true 和 <使用者> 清單) 選取的 ($true 和 <使用者> 清單) 建議您在重要角色中新增使用者 (訊息發件者) 。 在內部,受保護的發件者可能是您的CEO、CFO和其他資深領導者。 在外部,受保護的發件者可以包含委員會成員或您的董事會。
網域模擬保護: 啟用網域保護 未選取 已選取 已選取
包含我擁有的網域 (EnableOrganizationDomainsProtection) 關閉 ($false) 選取的 $true () 選取的 $true ()
包含自定義網域 (EnableTargetedDomainsProtectionTargetedDomainsToProtect) 關閉 ($false 且無) 選取的 ($true 和 <網域> 清單) 選取的 ($true 和 <網域> 清單) 建議您新增網域 (寄件者網域) 您不擁有,但您經常與之互動。
ExcludedSendersExcludedDomains (新增信任的寄件人和網域) 視您的組織而定,建議您新增未正確識別為模擬嘗試的發件者或網域。
啟用信箱智慧 (EnableMailboxIntelligence) 選取的 $true () 選取的 $true () 選取的 $true ()
啟用智慧以進行模擬保護 (EnableMailboxIntelligenceProtection) 關閉 ($false) 選取的 $true () 選取的 $true () 此設定允許依信箱智慧進行模擬偵測的指定動作。
動作
如果在 TargetedUserProtectionAction (偵測到訊息為用戶模擬) 請勿套用任何動作 (NoAction) 隔離訊息 (Quarantine) 隔離訊息 (Quarantine)
TargetedUserQuarantineTag (用戶模擬隔離原則) DefaultFullAccessPolicy¹ DefaultFullAccessWithNotificationPolicy DefaultFullAccessWithNotificationPolicy 只有在隔離用戶模擬偵測時,隔離原則才有意義。
如果在 TargetedDomainProtectionAction (偵測到訊息為網域模擬) 請勿套用任何動作 (NoAction) 隔離訊息 (Quarantine) 隔離訊息 (Quarantine)
域模擬 (TargetedDomainQuarantineTag) 的隔離原則 DefaultFullAccessPolicy¹ DefaultFullAccessWithNotificationPolicy DefaultFullAccessWithNotificationPolicy 只有在網域模擬偵測遭到隔離時,隔離原則才有意義。
如果信箱智慧偵測到仿真的使用者 (MailboxIntelligenceProtectionAction) 請勿套用任何動作 (NoAction) 將郵件移至收件者的垃圾郵件 Email資料夾 (MoveToJmf) 隔離訊息 (Quarantine)
MailboxIntelligenceQuarantineTag (信箱智慧模擬隔離原則) DefaultFullAccessPolicy¹ DefaultFullAccessPolicy DefaultFullAccessWithNotificationPolicy 只有在信箱智慧偵測遭到隔離時,隔離原則才有意義。
EnableSimilarUsersSafetyTips (顯示使用者模擬安全提示) 關閉 ($false) 選取的 $true () 選取的 $true ()
顯示網域模擬安全提示 (EnableSimilarDomainsSafetyTips) 關閉 ($false) 選取的 $true () 選取的 $true ()
EnableUnusualCharactersSafetyTips (顯示使用者模擬異常字元安全提示) 關閉 ($false) 選取的 $true () 選取的 $true ()

¹ 如 完整訪問許可權和隔離通知中所述,您的組織可能會在預設安全策略或您建立的新自定義安全策略中使用 NotificationEnabledPolicy,而不是 DefaultFullAccessPolicy。 這兩個隔離原則的唯一差異在於,隔離通知會在 NotificationEnabledPolicy 中開啟,並在 DefaultFullAccessPolicy 中關閉。

適用於 Office 365 的 Microsoft Defender 中的 EOP 防網路釣魚原則設定

這些是 EOP 中反垃圾郵件原則設定中可用的相同設定。

安全附件設定

適用於 Office 365 的 Microsoft Defender 中的安全附件包含與安全附件原則沒有關聯性的全域設定,以及每個安全鏈接原則專屬的設定。 如需詳細資訊,請參閱 適用於 Office 365 的 Defender 中的安全附件

雖然沒有預設的安全附件原則, 但內建保護 預設安全策略會為未在標準或嚴格預設安全策略或自定義安全附件原則中定義的所有收件者提供安全附件保護。 如需詳細資訊,請參閱 EOP 和 適用於 Office 365 的 Microsoft Defender 中的預設安全策略

安全附件的全域設定

注意事項

安全附件的全域設定是由 內建保護 預設安全策略所設定,但不是由 標準嚴格 預設安全策略所設定。 無論哪種方式,系統管理員都可以隨時修改這些全域安全附件設定。

[ 預設] 資料行會顯示 存在內建保護 預設安全策略之前的值。 [內建保護] 數據行會顯示內建保護預設安全策略所設定的值,這也是我們建議的值。

若要設定這些設定,請參閱在 Microsoft 365 E5 中開啟 SharePoint、OneDrive 和 Microsoft Teams 的安全附件和安全

在 PowerShell 中,您可以針對這些設定使用 Set-AtpPolicyForO365 Cmdlet。

安全性功能名稱 預設 內建保護 註解
開啟 SharePoint、OneDrive 和 Microsoft Teams (EnableATPForSPOTeamsODB 適用於 Office 365 的 Defender) 關閉 ($false) $true () 若要防止使用者下載惡意檔案,請參閱 使用 SharePoint Online PowerShell 防止使用者下載惡意檔案
(EnableSafeDocs) 開啟 Office 用戶端的安全檔 關閉 ($false) $true () 這項功能僅適用於未包含在 適用於 Office 365 的 Defender (中的授權,例如 Microsoft 365 A5 或 Microsoft 365 E5 安全性) 。 如需詳細資訊,請參閱 Microsoft 365 A5 或 E5 安全性中的安全文件
允許人員按兩下 [受保護的檢視],即使安全文件將檔案識別為惡意 (AllowSafeDocsOpen) 關閉 ($false) 關閉 ($false) 此設定與安全文件有關。

[安全附件] 原則設定

若要設定這些設定,請參閱在 適用於 Office 365 的 Defender 中設定安全附件原則

在 PowerShell 中,您可以針對這些設定使用 New-SafeAttachmentPolicySet-SafeAttachmentPolicy Cmdlet。

注意事項

如先前所述,雖然沒有預設的安全附件原則, 但內建保護 預設安全策略會為未在標準預設安全策略、Strict 預設安全策略或自定義安全附件原則中定義的所有收件者提供安全附件保護。

自訂數據行中的預設值是指您建立的新安全附件原則中的預設值。 其餘數據行表示 (,除非另有註明) 對應預設安全策略中設定的值。

隔離原則會定義使用者可以對隔離郵件執行哪些操作,以及使用者是否收到隔離通知。 如需詳細資訊, 請參閱隔離原則的結構

名為 AdminOnlyAccessPolicy 的原則會針對被隔離為惡意代碼的郵件強制執行歷程記錄功能, 如下表所述。

不論隔離原則的設定方式為何,使用者都無法釋出自己被安全附件隔離為惡意代碼的郵件。 如果原則允許使用者釋放自己的隔離郵件,則會改為允許使用者 要求 釋放其隔離的惡意代碼訊息。

安全性功能名稱 自訂中的預設值 內建保護 標準版 嚴格 註解
(啟用動作) 的安全附件未知惡意代碼回應 關閉 (-Enable $false-Action Block) 封鎖 (-Enable $true-Action Block) 封鎖 (-Enable $true-Action Block) 封鎖 (-Enable $true-Action Block) Enable 參數$false時, Action 參數的值並不重要。
隔離原則 (QuarantineTag) AdminOnlyAccessPolicy AdminOnlyAccessPolicy AdminOnlyAccessPolicy AdminOnlyAccessPolicy
使用偵測到的附件重新導向附件啟用重新導向 (重新導向重新導向位址) 未選取且未指定電子郵件位址。 -Redirect $false (和 RedirectAddress 是空白) 未選取且未指定電子郵件位址。 -Redirect $false (和 RedirectAddress 是空白) 未選取且未指定電子郵件位址。 -Redirect $false (和 RedirectAddress 是空白) 未選取且未指定電子郵件位址。 -Redirect $false (和 RedirectAddress 是空白) 只有當安全附件未知的惡意代碼回應值為 [監視 (和 -Action Allow) 時,-Enable $true才能重新導向訊息。

如需安全鏈接保護的詳細資訊,請參閱 適用於 Office 365 的 Defender 中的安全連結

雖然沒有預設的安全鏈接原則, 但內建保護 預設安全策略會為未在標準預設安全策略、嚴格預設安全策略或自定義安全鏈接原則中定義的所有收件者提供安全鏈接保護。 如需詳細資訊,請參閱 EOP 和 適用於 Office 365 的 Microsoft Defender 中的預設安全策略

若要設定安全鏈接原則設定,請參閱在 適用於 Office 365 的 Microsoft Defender 中設定安全鏈接原則

在 PowerShell 中,您可以使用 New-SafeLinksPolicySet-SafeLinksPolicy Cmdlet 來設定安全鏈接原則設定。

注意事項

自訂數據行中的預設值是指您建立的新安全鏈接原則中的預設值。 其餘數據行表示 (,除非另有註明) 對應預設安全策略中設定的值。

安全性功能名稱 自訂中的預設值 內建保護 標準版 嚴格 註解
URL & 按一下保護設定
電子郵件 本節中的設定會影響電子郵件訊息中的 URL 重寫和按兩下保護時間。
開啟: 當使用者按一下電子郵件中的連結時,[安全連結] 會檢查已知的惡意連結清單。 默認會重寫 URL。 (EnableSafeLinksForEmail) 選取的 $true () 選取的 $true () 選取的 $true () 選取的 $true ()
將安全連結套用至組織內傳送的電子郵件訊息 (EnableForInternalSenders) 選取的 $true () 未選取 ($false) 選取的 $true () 選取的 $true ()
針對指向 ScanUrls (檔案的可疑連結和連結套用即時 URL 掃描) 選取的 $true () 選取的 $true () 選取的 $true () 選取的 $true ()
等候 URL 掃描完成,再將訊息傳遞 (DeliverMessageAfterScan) 選取的 $true () 選取的 $true () 選取的 $true () 選取的 $true ()
請勿重寫 URL,請只透過安全連結 API 進行檢查 (DisableURLRewrite) 選取的 $false () * 選取的 $true () 未選取 ($false) 未選取 ($false) * 在您在Defender入口網站中建立的新安全鏈接原則中,預設會選取此設定。 在您在 PowerShell 中建立的新安全連結原則中, DisableURLRewrite 參數的預設值為 $false
請勿在電子郵件中重寫下列 URL (DoNotRewriteUrls) 空白 空白 空白 空白 我們對此設定沒有特定建議。

注意:在郵件流程期間,「不要重寫下列URL」清單中的專案不會由安全鏈接掃描或包裝。 將 URL 回報為 [不應該被封鎖 (誤判為真) ],然後選取 [ 允許此 URL 將允許專案新增至租使用者允許/封鎖清單],讓 URL 在郵件流程期間 單擊時不會被安全鏈接掃描或包裝。 如需指示,請 參閱向 Microsoft 回報良好的 URL
Teams 本節中的設定會影響 Microsoft Teams 中的點擊保護時間。
開啟:當使用者按兩下 Microsoft Teams 中的連結時,安全鏈接會檢查已知惡意連結的清單。 URL 不會被重寫。 (EnableSafeLinksForTeams) 選取的 $true () 選取的 $true () 選取的 $true () 選取的 $true ()
Office 365 應用程式 本節中的設定會影響 Office 應用程式中的點擊保護時間。
開啟:當使用者按兩下 Microsoft Office 應用程式中的連結時,安全連結會檢查已知惡意連結的清單。 URL 不會被重寫。 (EnableSafeLinksForOffice) 選取的 $true () 選取的 $true () 選取的 $true () 選取的 $true () 在支援的 Office 365 桌面和行動裝置 (iOS 和 Android) 應用程式中使用安全連結。 如需詳細資訊,請 參閱 Office 應用程式的安全連結設定
點擊保護設定
追蹤使用者按兩下 (TrackClicks) 選取的 $true () 選取的 $true () 選取的 $true () 選取的 $true ()
讓使用者按兩下至原始網址 (AllowClickThrough) 選取的 $false () * 選取的 $true () 未選取 ($false) 未選取 ($false) * 在您在Defender入口網站中建立的新安全鏈接原則中,預設會選取此設定。 在您在 PowerShell 中建立的新安全連結原則中, AllowClickThrough 參數的預設值為 $false
EnableOrganizationBranding (通知和警告頁面上顯示組織商標) 未選取 ($false) 未選取 ($false) 未選取 ($false) 未選取 ($false) 我們對此設定沒有特定建議。

開啟此設定之前,您必須遵循 自定義組織的 Microsoft 365 主題 中的指示,上傳您的公司標誌。
通知
您要如何通知使用者? (CustomNotificationTextUseTranslatedNotificationText) 使用預設通知文字 (空白和 $false) 使用預設通知文字 (空白和 $false) 使用預設通知文字 (空白和 $false) 使用預設通知文字 (空白和 $false) 我們對此設定沒有特定建議。

您可以選取 [ 使用自訂通知文字 (-CustomNotificationText "<Custom text>") 輸入和使用自訂通知文字。 如果您指定自定義文字,您也可以選取 [ 使用 Microsoft Translator 進行自動本地化 (-UseTranslatedNotificationText $true) 自動將文字翻譯成使用者的語言。