嘗試適用於 Office 365 的 Microsoft Defender

身為現有的 Microsoft 365 客戶,Microsoft 365 Defender https://security.microsoft.com 入口網站中的用版和評估版頁面可讓您先試用 適用於 Office 365 的 Microsoft Defender 方案 2 的功能,再購買。

在您嘗試適用於 Office 365 的 Defender方案 2 之前,有一些您需要自行詢問的重要問題:

  • 我是否想要被動地觀察方案 2 適用於 Office 365 的 Defender (核) 可以做什麼,還是要適用於 Office 365 的 Defender方案 2 對發現 (封鎖) 的問題採取直接動作?
  • 不論是哪一種方式,我該如何分辨方案 2 適用於 Office 365 的 Defender為我做什麼?
  • 我需要先決定保留適用於 Office 365 的 Defender方案 2 多久?

本文將協助您回答這些問題,讓您可以嘗試以最符合組織需求的方式適用於 Office 365 的 Defender方案 2。

如需如何使用試用版的隨附指南,請參閱試用版使用者指南:適用於 Office 365 的 Microsoft Defender

適用於 Office 365 的 Defender概觀

適用於 Office 365 的 Defender提供完整的功能,協助組織保護其企業的安全。 如需詳細資訊,請參閱 適用於 Office 365 的 Microsoft Defender

您也可以在本互動式指南中深入瞭解適用於 Office 365 的 Defender。

適用於 Office 365 的 Microsoft Defender概念圖表。

觀看這段短片,以深入瞭解如何利用適用於 Office 365 的 Microsoft Defender,在較短的時間內完成更多工作。

試用和評估如何適用于適用於 Office 365 的 Defender

原則

適用於 Office 365 的 Defender包含 Exchange Online Protection (EOP) 的功能,這些功能存在於所有具有Exchange Online信箱的Microsoft 365 組織中,以及專屬功能適用於 Office 365 的 Defender。

EOP 和 適用於 Office 365 的 Defender 的保護功能是使用原則來實作。 系統會視需要為您建立專屬適用於 Office 365 的 Defender的原則:

您的評估或試用資格表示您已經有 EOP。 系統不會為您的評估或試用方案 2 建立任何新的或特殊 EOP 原則適用於 Office 365 的 Defender。 您Microsoft 365 組織中的現有 EOP 原則能夠處理訊息 (例如,將訊息傳送至垃圾郵件Email資料夾或隔離) :

這些 EOP 功能的預設原則一律會開啟、套用至所有收件者,且一律會在任何自訂原則之後最後套用。

稽核模式與封鎖模式的適用於 Office 365 的 Defender

您要讓適用於 Office 365 的 Defender體驗成為主動或被動? 以下是您可以從中選取的兩種模式:

  • 稽核模式:針對防網路釣魚 (建立特殊 評估 原則,其中包括模擬保護) 、安全附件和安全連結。 這些評估原則設定為僅 偵測 威脅。 適用於 Office 365 的 Defender偵測到有害的訊息進行報告,但訊息不會在 (上採取動作,例如,偵測到的訊息不會被隔離) 。 The settings of these evaluation policies are described in the Policies in audit mode section later in this article.

    稽核模式可在 的 [評估模式] 頁面 https://security.microsoft.com/atpEvaluation 上,存取適用於 Office 365 的 Defender偵測到之威脅的自訂報告。

  • 封鎖模式:默 認安全 策略的標準範本會開啟並用於試用版,而您指定要包含在試用版中的使用者會新增至標準預設安全性原則。 適用於 Office 365 的 Defender偵測到有害訊息並採取動作 (例如,偵測到的訊息會) 隔離。

    預設和建議的選擇是將這些適用於 Office 365 的 Defender原則的範圍設定為組織中的所有使用者。 但在試用版設定期間或之後,您可以將原則指派變更為Microsoft 365 Defender入口網站或Exchange Online PowerShell中的特定使用者、群組或電子郵件網域。

    封鎖模式不會針對適用於 Office 365 的 Defender偵測到的威脅提供自訂報告。 相反地,資訊可在方案 2 適用於 Office 365 的 Defender的一般報告和調查功能中取得。

稽核模式與封鎖模式的一個重要因素是將電子郵件傳遞至Microsoft 365 組織的方式:

  • 來自網際網路的郵件會直接Microsoft 365,但您目前的訂用帳戶只有Exchange Online Protection (EOP) 適用於 Office 365 的 Defender方案 1

    郵件會從網際網路流向 Microsoft 365,並提供 EOP 和/或適用於 Office 365 的 Defender方案 1 的保護。

    在這些環境中,您可以選取 稽核模式封鎖模式

  • 您目前使用協力廠商服務或裝置來保護Microsoft 365 信箱的電子郵件。 來自網際網路的郵件會在傳遞至Microsoft 365 組織之前,透過保護服務流動。 Microsoft 365 保護盡可能低, (永遠不會完全關閉;例如,惡意程式碼保護一律會強制執行) 。

    郵件會先從網際網路流經協力廠商保護服務或裝置,再傳遞至 Microsoft 365。

    在這些環境中,您只能選取 稽核模式 。 您不需要變更郵件流程 (MX 記錄) 。

評估與適用於 Office 365 的 Defender的試用版

適用於 Office 365 的 Defender方案 2 的評估和試用版有何差異? 它們不是相同的嗎? 是,否。 以下是您需要知道的事項:

  • 如果您還沒有適用於 Office 365 的 Defender方案 2 授權 (例如獨立 EOP、Microsoft 365 E3、Microsoft 365 商務進階版或適用於 Office 365 的 Defender方案 1) ,您可以從開始試用Microsoft 365 試用版頁面 https://security.microsoft.com/trialHorizontalHub ,或位於 Microsoft 365 Defender 入口網站的[評估模式] 頁面 https://security.microsoft.com/atpEvaluation 。 您可以在任一位置選取 允許模式 (標準預設安全性原則) 或 封鎖模式 (評估原則) 如先前所述。

    無論您使用哪個位置,我們都會在註冊時自動為您布建必要的適用於 Office 365 的 Defender方案 2 試用版授權。 不再需要在Microsoft 365 系統管理中心中取得和指派方案 2 授權的手動或外部步驟。 試用版授權適用于 90 天:

    • 針對沒有適用於 Office 365 的 Defender (的組織,例如,獨立 EOP 或Microsoft 365 E3) (特性,在試用期間,您可以使用適用於 Office 365 的 Defender的原則) 。

    • 具有適用於 Office 365 的 Defender方案 1 (的組織,例如Microsoft 365 商務進階版或附加元件訂用帳戶) 與具有適用於 Office 365 的 Defender的組織具有完全相同的原則 規劃 2 (反網路釣魚原則、安全附件原則和安全連結原則中的模擬保護) 。 來自 允許模式 的安全性原則 (標準預設安全性原則) 或 封鎖模式 (評估原則) 不會在 90 天后過期或停止運作。 這些組織在 90 天后結束的是方案 1 中未存在的方案 2 自動化、調查、補救和教育功能

  • 例如,如果您已經適用於 Office 365 的 Defender方案 2 (,作為Microsoft 365 E5訂用帳戶) 的一部分,您永遠不會在Microsoft365 試用版頁面 https://security.microsoft.com/trialHorizontalHub 上看到適用於 Office 365 的 Defender。 相反地,您會在允許模式的 [評估模式] 頁面 https://security.microsoft.com/atpEvaluation 上開始評估適用於 Office 365 的 Defender [規劃], (標準預設安全性原則) 或封鎖模式, (評估原則) 。

    根據定義,這些組織不需要適用於 Office 365 的 Defender方案 2 的試用版授權,因此其評估持續時間不受限制。

下表摘要說明上一個清單中的資訊:

Organization 可用模式 從 註冊
評估頁面?
從 註冊
試用版頁面?
評估
時期
獨立 EOP
(沒有Exchange Online信箱)

Microsoft 365 E3
稽核模式
封鎖模式
90 天
適用於 Office 365 的 Defender 方案 1

Microsoft 365 商務進階版
稽核模式
封鎖模式
無限制*
Microsoft 365 E5 稽核模式
封鎖模式
無限制

* 來自 允許模式 的安全性原則 (標準預設安全性原則) 或 封鎖模式 (評估原則) 不會在 90 天后過期或停止運作。 只有適用於 Office 365 的 Defender方案 2 獨佔的自動化、調查、補救和教育功能會在 90 天后停止運作。

在稽核模式中設定評估或試用

請記住,當您在稽核模式中評估適用於 Office 365 的 Defender時,會建立特殊評估原則,讓適用於 Office 365 的 Defender能夠偵測威脅。 The settings of these evaluation policies are described in the Policies in audit mode section later in this article.

  1. 在 Microsoft 365 Defender 入口網站中的任何可用位置開始評估,網Microsoft 365 Defender位於 https://security.microsoft.com 。 例如:

  2. 在 [ 開啟保護 ] 對話方塊中,選取 [ 否,我只想要報告],然後按一下 [ 繼續]

  3. 在 [ 選取您要包含的使用者 ] 對話方塊中,設定下列設定:

    • 所有使用者:這是預設和建議的選項。

    • 選取使用者:如果您選取此選項,您必須選取評估適用的內部收件者:

      • 使用者:指定的信箱、郵件使用者或郵件連絡人。
      • 群組:
        • ) 不支援指定通訊群組的成員或啟用郵件功能的安全性群組 (動態通訊群組。
        • 指定的 Microsoft 365 群組。
        • 網域:您組織中指定的公認的網域中的所有收件者。

      按一下適當的方塊,開始輸入值,然後從結果中選取您想要的值。 視需要重複此程序多次。 若要移除現有的值,請按一下 [ 移除] 圖示。 在值旁邊。

      針對使用者或群組,您可以使用大部分識別碼 (名稱、顯示名稱、別名、電子郵件地址、帳戶名稱等),但會在結果中顯示對應的顯示名稱。 針對使用者,請輸入星號 (*) 以查看所有可用的值。

    注意事項

    您可以在完成試用版設定之後變更這些選取專案,如 管理試用版 一節中所述。

    多個不同的條件或例外狀況類型並不會累加;他們是包含性項目。 評估或試用 只會 套用至符合 所有 指定收件者篩選準則的收件者。 例如,您可以使用下列值來設定條件:

    • 使用者: romain@contoso.com
    • 群組:主管

    只有在他也是主管群組的成員時,才會套 romain@contoso.com 用評估或試用版。 若他不是群組的成員,則不會套用評估或試用版。

    同樣地,如果您使用與例外狀況相同的收件者篩選,只有在他也是主管群組的成員時,才會套 romain@contoso.com 用評估或試用。 若他不是群組的成員,則評估或試用仍適用于他。

    當您完成時,按一下 [ 繼續]

  4. 在 [ 協助我們瞭解您的郵件流程 ] 對話方塊中,設定下列選項:

    • 根據我們偵測到您網域的 MX 記錄,自動選取下列其中一個選項:

      • 我使用協力廠商和/或內部部署服務提供者:網域點的 MX 記錄Microsoft 365 以外的位置。 在您按 [ 下一步] 之後,此選取專案需要下列其他設定:

        1. 在 [ 協力廠商或內部部署設定 ] 對話方塊中,設定下列設定:

          • 選取協力廠商服務提供者:選取下列其中一個值:

            • 梭魚
            • IronPort
            • Mimecast
            • Proofpoint
            • Sophos
            • 賽門鐵克
            • Trend Micro
            • 其他
          • 要套用此評估的連接器:選取用於郵件流程的連接器Microsoft 365。

            連接器的增強式篩選 (也稱為 略過清單) 會在您指定的連接器上自動設定。

            當協力廠商服務或裝置位於流入 Microsoft 365 的電子郵件前面時,增強的連接器篩選會正確識別網際網路訊息的來源,並大幅改善Microsoft篩選堆疊的精確度, (特別是詐騙情報,以及威脅總管和自動化調查 & 回應 (AIR) 中的入侵後功能。

          • 列出訊息傳遞的每個閘道 IP 位址:只有當您針對 [選取協力廠商服務提供者] 選取 [其他] 時,才能使用此設定。 輸入協力廠商保護服務或裝置用來將郵件傳送至 Microsoft 365 的以逗號分隔的 IP 位址清單。

          完成後,按 [下一步]

        2. [Exchange 郵件流程規則]對話方塊中,決定您是否需要Exchange Online郵件流程規則 (也稱為傳輸規則) ,以略過從協力廠商保護服務或裝置傳入郵件的垃圾郵件篩選。

          Exchange Online中可能已有 SCL=-1 郵件流程規則,允許保護服務的所有輸入郵件略過 (大部分) Microsoft 365 篩選。 許多保護服務會針對使用其服務的Microsoft 365 客戶,鼓勵此垃圾郵件信賴等級 (SCL) 郵件流程規則方法。

          如上一個步驟所述,在您指定為保護服務之郵件來源的連接器上,會自動設定連接器的增強篩選。

          針對來自保護服務的內送郵件開啟不含 SCL=-1 規則的連接器增強篩選,將大幅改善 EOP 保護功能的偵測功能,例如詐騙情報,而且可能會影響新偵測到的郵件傳遞 (例如移至垃圾郵件Email資料夾或隔離) 。 此影響僅限於 EOP 原則;如先前所述,適用於 Office 365 的 Defender原則是在稽核模式中建立。

          若要建立 SCL=-1 郵件流程規則或檢閱現有的規則,請按一下頁面上的 [ 移至 Exchange 系統管理中心 ] 按鈕。 如需詳細資訊,請參閱使用郵件流程規則在Exchange Online中設定郵件中的垃圾郵件信賴等級 (SCL)

          當您完成時,按一下 [ 完成]

      • 我只使用 Microsoft Exchange Online:網域的 MX 記錄指向 Microsoft 365。 不需要設定任何專案,因此請按一下 [ 完成]

    • 與Microsoft共用資料:預設不會選取此選項,但您可以視需要選取核取方塊。

  5. 設定評估時,會出現進度對話方塊。 設定完成時,按一下 [ 完成]

在封鎖模式中設定評估或試用

請記住,當您嘗試在封鎖模式中適用於 Office 365 的 Defender時,標準預設安全性會開啟,且指定的使用者 (部分或每個人) 都包含在標準預設安全性原則中。 如需標準預設安全性原則的詳細資訊,請參閱 預設安全性原則

  1. 在 Microsoft 365 Defender 入口網站中的任何可用位置開始 https://security.microsoft.com 試用, 例如:

  2. 在 [ 開啟保護 ] 對話方塊中,選取 [ 是,封鎖威脅來保護我的組織],然後按一下 [ 繼續]

  3. 在 [ 選取您要包含的使用者 ] 對話方塊中,設定下列設定:

    • 所有使用者:這是預設和建議的選項。

    • 選取使用者:如果您選取此選項,您必須選取套用試用的內部收件者:

      • 使用者:指定的信箱、郵件使用者或郵件連絡人。
      • 群組:
        • ) 不支援指定通訊群組的成員或啟用郵件功能的安全性群組 (動態通訊群組。
        • 指定的 Microsoft 365 群組。
      • 網域:您組織中指定的公認的網域中的所有收件者。

      按一下適當的方塊,開始輸入值,然後從結果中選取您想要的值。 視需要重複此程序多次。 若要移除現有的值,請按一下 [ 移除] 圖示。 在值旁邊。

      針對使用者或群組,您可以使用大部分識別碼 (名稱、顯示名稱、別名、電子郵件地址、帳戶名稱等),但會在結果中顯示對應的顯示名稱。 針對使用者,請輸入星號 (*) 以查看所有可用的值。

    注意事項

    您可以在完成試用版設定之後變更這些選取專案,如 管理試用版 一節中所述。

    多個不同的條件或例外狀況類型並不會累加;他們是包含性項目。 評估或試用 只會 套用至符合 所有 指定收件者篩選準則的收件者。 例如,您可以使用下列值來設定條件:

    • 使用者: romain@contoso.com
    • 群組:主管

    只有在他也是主管群組的成員時,才會套 romain@contoso.com 用評估或試用版。 若他不是群組的成員,則不會套用評估或試用版。

    同樣地,如果您使用與例外狀況相同的收件者篩選,只有在他也是主管群組的成員時,才會套 romain@contoso.com 用評估或試用。 若他不是群組的成員,則評估或試用仍適用于他。

    當您完成時,按一下 [ 繼續]

  4. 設定評估時,會出現進度對話方塊。 安裝程式完成時,按一下 [ 完成]

管理您的評估或試用適用於 Office 365 的 Defender

在稽核模式或封鎖模式中設定評估或試用版之後,[評估模式] 頁面 https://security.microsoft.com/atpEvaluation 是您嘗試適用於 Office 365 的 Defender方案 2 的中央位置。

  1. 在 Microsoft 365 Defender 入口網站中 https://security.microsoft.com ,移至[Email & 共同作業>& 原則規則>][威脅原則> ] 在 [其他] 區段中選取[評估模式]。 或者,若要直接移至適用於 Office 365 的 Microsoft Defender評估頁面,請使用 https://security.microsoft.com/atpEvaluation

  2. [適用於 Office 365 的 Microsoft Defender 評估] 頁面上,您可以執行下列工作:

    • 按一下[購買付費訂閱] 以購買方案 2 適用於 Office 365 的 Defender。

    • 按一下 [管理]。 在出現的適用於 Office 365 的 Microsoft Defender評估飛出視窗中,您可以執行下列工作:

      • 如先前在稽核 模式中設定評估或試 用版和在 封鎖模式中設定評估或試用版中所述,變更要套用的評估或試用版。

      • 若要從稽核模式切換 (評估原則) 到封鎖模式 (標準預設安全性原則) ,請按一下[轉換為標準保護],然後在 [預設安全策略] 頁面上顯示為 [套用標準保護精靈] 的對話方塊中按一下 [繼續]。 複製現有包含和排除的收件者。 如需詳細資訊,請參閱使用 Microsoft 365 Defender 入口網站將標準和嚴格預設安全性原則指派給使用者

        附註

        • 標準預設安全性原則中的原則優先順序高於評估原則,這表示標準預設安全性中的原則一律會在評估 原則之前 套用,即使這兩者都存在且已開啟也一般。 若要關閉評估原則,請使用 [ 關閉] 按鈕。
        • 沒有自動方式可從 封鎖模式 移至 稽核模式。 手動步驟如下:
          1. 關閉 [預設安全性原則] 頁面上的 [標準默 認安全 策略]。
          2. 按一下[適用於 Office 365 的 Microsoft Defender 評估]頁面上的 [管理] 之後,請確認 [關閉] 按鈕是否存在,這表示已開啟評估原則。 如果您看到 [ 開啟 ] 按鈕,請按一下它以開啟評估原則。
          3. 確認套用評估的使用者。
      • 若要關閉評估原則,請按一下 [ 關閉]。 若要重新開啟,請按一下 [ 開啟]

      當您在飛出視窗中完成時,按一下 [ 儲存]

評估或試用適用於 Office 365 的 Defender的報告

本節說明稽核模式和封鎖模式中可用的報告。

封鎖模式的報告

封鎖模式中,下列報告會顯示適用於 Office 365 的 Defender的偵測:

稽核模式的報告

稽核模式中,下列報告會顯示適用於 Office 365 的 Defender的偵測:

適用於 Office 365 的 Microsoft Defender評估頁面 https://security.microsoft.com/atpEvaluation 會合並評估中原則的報告:

  • 安全連結
  • 安全附件
  • 防網路釣魚原則中的模擬保護

根據預設,圖表會顯示過去 30 天的資料,但您可以按一下 [行事曆] 圖示來篩選日期範圍。30 天,並從下列小於 30 天的額外值中選取:

  • 24 小時
  • 7 天
  • 14 天
  • 自訂日期範圍

您可以按一下 [下載] 圖示。下載 以將圖表資料下載至.csv檔案。

必要權限

Azure AD需要下列許可權,才能設定適用于 Microsoft 365 的 Defender 評估或試用版:

  • 建立、修改或刪除評估或試用版:安全性系統管理員或全域管理員。
  • 在稽核模式中檢視評估原則和報告:安全性系統管理員或安全性讀取者。

如需Microsoft 365 Defender入口網站中 Azure AD 許可權的詳細資訊,請參閱Microsoft 365 Defender 入口網站中的 Azure AD 角色

常見問題集

問:我需要手動取得或啟用試用版授權嗎?

答:不能。 如果您如先前所述,試用版會自動布建適用於 Office 365 的 Defender方案 2 授權。

問:如何?延長試用期?

答:請參閱 延長試用期

問:試用版到期後,我的資料會發生什麼情況?

答:試用版到期之後,您就可以存取試用資料, (您先前 30 天內未) 適用於 Office 365 的 Defender功能的資料。 在這 30 天期間之後,將會刪除與適用於 Office 365 的 Defender試用版相關聯的所有原則和資料。

問:我可以在組織中使用適用於 Office 365 的 Defender試用版多少次?

答:最多 2 次。 如果您的第一次試用版到期,您至少必須在到期日之後等候 30 天,才能再次註冊適用於 Office 365 的 Defender試用版。 第二次試用之後,您就無法註冊另一個試用版。

問:在稽核模式中,是否有適用於 Office 365 的 Defender會對訊息採取動作的案例?

答:可以。 任何程式或 SKU 中沒有人可以關閉或略過對服務分類為惡意程式碼或高信賴度網路釣魚的訊息採取動作。

在稽核模式 中,EOP 中的反詐騙保護 也會對訊息採取動作。 若要防止反詐騙保護對郵件採取動作,請建立 Exchange 郵件流程規則 (也稱為傳輸規則) 其中輸入電子郵件會略過所有可略過的篩選類型, (包括反詐騙保護) 。 如需指示,請參閱使用郵件流程規則在Exchange Online的郵件中設定垃圾郵件信賴等級 (SCL)

問:原則的評估順序為何?

答:請參閱 預設安全性原則和其他原則的優先順序順序。

參考

與適用於 Office 365 的 Defender試用版相關聯的原則設定

稽核模式中的原則

警告

請勿嘗試建立、修改或移除與評估適用於 Office 365 的 Defender相關聯的個別安全性原則。 建立評估個別安全性原則的唯一支援方法,是在Microsoft 365 Defender入口網站中第一次以稽核模式啟動評估或試用。

如先前所述,當您選擇評估或試用的稽核模式時,系統會自動建立評估原則,其中包含要觀察但不會對訊息採取動作的必要設定。

若要查看這些原則及其設定,請在Exchange Online PowerShell中執行下列命令:

Write-Output -InputObject ("`r`n"*3),"Evaluation anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"; Write-Output -InputObject ("`r`n"*3),"Evaluation Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"; Write-Output -InputObject ("`r`n"*3),"Evaluation Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"

下表也會說明這些設定。

防網路釣魚評估原則設定
設定
名稱 評估原則
AdminDisplayName 評估原則
AuthenticationFailAction MoveToJmf
Enabled True
EnableFirstContactSafetyTips False
EnableMailboxIntelligence True
EnableMailboxIntelligenceProtection True
EnableOrganizationDomainsProtection False
EnableSimilarDomainsSafetyTips False
EnableSimilarUsersSafetyTips False
EnableSpoofIntelligence True
EnableSuspiciousSafetyTip False
EnableTargetedDomainsProtection False
EnableTargetedUserProtection False
EnableUnauthenticatedSender True
EnableUnusualCharactersSafetyTips False
EnableViaTag True
ExcludedDomains {}
ExcludedSenders {}
ImpersonationProtectionState 手動
IsDefault False
MailboxIntelligenceProtectionAction NoAction
MailboxIntelligenceProtectionActionRecipients {}
MailboxIntelligenceQuarantineTag DefaultFullAccessPolicy
PhishThresholdLevel 1
PolicyTag 空白
RecommendedPolicyType 評估
SpoofQuarantineTag DefaultFullAccessPolicy
TargetedDomainActionRecipients {}
TargetedDomainProtectionAction NoAction
TargetedDomainQuarantineTag DefaultFullAccessPolicy
TargetedDomainsToProtect {}
TargetedUserActionRecipients {}
TargetedUserProtectionAction NoAction
TargetedUserQuarantineTag DefaultFullAccessPolicy
TargetedUsersToProtect {}
安全附件評估原則設定
設定
名稱 評估原則
動作 允許
ActionOnError True
AdminDisplayName 評估原則
ConfidenceLevelThreshold 80
啟用 True
EnableOrganizationBranding False
IsBuiltInProtection False
IsDefault False
OperationMode Delay
QuarantineTag AdminOnlyAccessPolicy
RecommendedPolicyType 評估
重新導向 False
RedirectAddress 空白
ScanTimeout 30
設定
名稱 評估原則
AdminDisplayName 評估原則
AllowClickThrough True
CustomNotificationText 空白
DeliverMessageAfterScan True
DisableUrlRewrite True
DoNotRewriteUrls {}
EnableForInternalSenders False
EnableOrganizationBranding False
EnableSafeLinksForEmail True
EnableSafeLinksForOffice False
EnableSafeLinksForTeams False
IsBuiltInProtection False
LocalizedNotificationTextList {}
RecommendedPolicyType 評估
ScanUrls True
TrackClicks True
使用 PowerShell 在稽核模式中設定評估的收件者條件和例外狀況

與適用於 Office 365 的 Defender評估原則相關聯的規則會控制評估的收件者條件和例外狀況。

若要檢視與評估相關聯的規則,請在 Exchange Online PowerShell 中執行下列命令:

Get-ATPEvaluationRule

若要使用 Exchange Online PowerShell 來修改適用評估的人員,請使用下列語法:

Set-ATPEvaluationRule -Identity "Evaluation Rule" -SentTo <"user1","user2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -SentToMemberOf <"group1","group2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null> -RecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null>

本範例會設定 SecOps () 信箱中指定安全性作業評估的例外狀況。

Set-ATPEvaluationRule -Identity "Evaluation Rule" -ExceptIfSentTo "SecOps1","SecOps2"
使用 PowerShell 在稽核模式中開啟或關閉評估

若要在稽核模式中開啟或關閉評估,您可以啟用或停用與評估相關聯的規則。 評估規則的 State 屬性值會顯示規則為 Enabled 或 Disabled。

執行下列命令來判斷評估目前是否已啟用或停用:

Get-ATPEvaluationRule -Identity "Evaluation Rule" | Format-Table Name,State

如果已開啟評估,請執行下列命令來關閉評估:

Disable-ATPEvaluationRule -Identity "Evaluation Rule"

如果已關閉評估,請執行下列命令來開啟評估:

Enable-ATPEvaluationRule -Identity "Evaluation Rule"

封鎖模式中的原則和規則

如先前所述,當您選擇試用版的封鎖模式時,會使用 預設安全策略的標準範本來建立原則。

若要使用 Exchange Online PowerShell 來檢視與標準預設安全性原則相關聯的個別安全性原則,以及使用 Exchange Online PowerShell 來檢視和設定預設安全性原則的收件者條件和例外狀況,請參閱 Exchange Online PowerShell 中的預設安全性原則