在 EOP 中配置反网络钓鱼策略
提示
你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。
在Microsoft 365 个组织(邮箱位于 Exchange Online 或独立Exchange Online Protection (EOP) 没有Exchange Online邮箱)中,反钓鱼策略提供反欺骗保护。 有关详细信息,请参阅反钓鱼策略中的“欺骗”设置。
默认的防钓鱼策略会自动应用于所有收件人。 为了提高粒度,还可以创建自定义反钓鱼策略,这些策略适用于组织中的特定用户、组或域。
可以在Microsoft Defender门户或 PowerShell (Exchange Online PowerShell 中为Microsoft 365 个组织配置反钓鱼策略,其中邮箱位于 Exchange Online;对于没有Exchange Online邮箱) 的组织的独立 EOP PowerShell。
有关具有Microsoft Defender for Office 365的组织中的反钓鱼策略过程,请参阅在 Microsoft Defender for Office 365 中配置反钓鱼策略。
开始前,有必要了解什么?
在 中打开Microsoft Defender门户https://security.microsoft.com。 若要直接转到 “防钓鱼 ”页,请使用 https://security.microsoft.com/antiphishing。
若要连接到 Exchange Online PowerShell,请参阅连接到 Exchange Online PowerShell。 若要连接到独立 EOP PowerShell,请参阅连接到 Exchange Online Protection PowerShell。
需要先分配权限,然后才能执行本文中的过程。 可以选择下列选项:
Microsoft Defender XDR基于角色的统一访问控制 (RBAC) (如果Email &协作>Defender for Office 365权限为活动。仅影响 Defender 门户,而不影响 PowerShell) :授权和设置/安全设置/核心安全设置 (管理) 或授权和设置/安全设置/核心安全设置 (读取) 。
-
- 添加、修改和删除策略: 组织管理 或 安全管理员 角色组中的成员身份。
- 对策略的只读访问权限:全局读取者、安全读取者或仅查看组织管理角色组中的成员身份。
Microsoft Entra权限:全局管理员*、安全管理员、全局读取者或安全读取者角色的成员身份为用户提供Microsoft 365 中其他功能所需的权限和权限。
重要
* Microsoft建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。
有关Defender for Office 365中反钓鱼策略的建议设置,请参阅Defender for Office 365设置中的反钓鱼策略。
提示
如果标准或 严格预设安全策略中也包含收件人,则忽略默认或自定义反钓鱼策略中的设置。 有关详细信息,请参阅 电子邮件保护的顺序和优先级。
应用新的或更新的策略最多需要 30 分钟。
使用Microsoft Defender门户创建防钓鱼策略
在 Microsoft Defender 门户中https://security.microsoft.com,转到策略部分中Email &协作>策略& 规则>威胁策略>反钓鱼。 若要直接转到 “防钓鱼 ”页,请使用 https://security.microsoft.com/antiphishing。
在“防钓鱼”页上,选择“创建”以打开新的防钓鱼策略向导。
在 “策略名称 ”页上,配置以下设置:
- 名称:输入策略的唯一描述性名称。
- 说明:输入策略的可选说明。
在 “策略名称 ”页上完成操作后,选择“ 下一步”。
在 “用户、组和域 ”页上,确定策略应用于 (收件人条件的内部收件人) :
- 用户:指定的邮箱、邮件用户或邮件联系人。
-
组:
- ) 不支持指定通讯组或启用邮件的安全组的成员 (动态通讯组。
- 指定的 Microsoft 365 组。
- 域:组织中具有指定接受域主电子邮件地址的所有收件人。
单击相应的框,开始键入值,然后从结果中选择所需的值。 根据需要多次重复此过程。 若要删除现有值,请选择 值旁边的值。
对于用户或组,可以使用大多数标识符(姓名、显示名称、别名、电子邮件地址、帐户名称等),但是相应的显示名称会显示在结果中。 对于用户或组,输入星号 (*) ,以查看所有可用值。
只能使用一次条件,但条件可以包含多个值:
同一条件的多个值使用 OR 逻辑 (例如 recipient1<> 或 <recipient2>) 。 如果收件人与 任何 指定值匹配,则会对其应用策略。
不同类型的条件使用 AND 逻辑。 收件人必须匹配 所有 指定的条件,策略才能应用于他们。 例如,使用以下值配置条件:
- 用户:
romain@contoso.com
- 组:高管
仅当他也是高管组的成员时,才会应用
romain@contoso.com
该策略。 否则,该策略不适用于他。- 用户:
排除这些用户、组和域: 若要为策略应用于的内部收件人添加例外 (收件人例外),请选择此选项并配置例外。
只能使用一次异常,但该异常可以包含多个值:
- 同一异常的多个值使用 OR 逻辑 (例如 recipient1<> 或 <recipient2>) 。 如果收件人与 任何 指定值匹配,则不会对其应用策略。
- 不同类型的异常使用 OR 逻辑 (例如,<recipient1> 或 <group1> 的成员或 <domain1>) 的成员。 如果收件人与 任何 指定的异常值匹配,则不会对其应用策略。
完成 “用户、组和域 ”页后,选择“ 下一步”。
在“钓鱼阈值 & 保护”页上,使用“启用欺骗情报检查”框打开或关闭欺骗情报。 此设置默认处于选中状态,建议将其保留为选中状态。 在下一页上指定要对来自被阻止的欺骗发件人的邮件执行的操作。
若要关闭欺骗智能,请清除检查框。
注意
如果 MX 记录未指向 Microsoft 365,则无需关闭欺骗智能;请改为为连接器启用增强筛选。 有关说明,请参阅 Exchange Online 中连接器的增强筛选。
完成“ 钓鱼阈值 & 保护 ”页后,选择“ 下一步”。
在 “操作” 页上,配置以下设置:
当邮件被检测为欺骗时,遵循 DMARC 记录策略:默认情况下,此设置处于选中状态,并允许你控制发件人未通过显式 DMARC 检查且 DMARC 策略设置为
p=quarantine
或p=reject
的邮件会发生什么情况:如果邮件被检测为欺骗,并且 DMARC 策略设置为 p=隔离:选择以下操作之一:
- 隔离邮件:这是默认值。
- 将邮件移动到收件人的垃圾邮件Email文件夹
如果邮件被检测为欺骗,并且 DMARC 策略设置为 p=reject:请选择以下操作之一:
- 隔离邮件
- 拒绝消息:这是默认值。
有关详细信息,请参阅 欺骗保护和发件人 DMARC 策略。
如果邮件被欺骗智能检测为欺骗:仅当在上一页上选择了 “启用欺骗智能 ”时,此设置才可用。 在下拉列表中,为来自被阻止的欺骗发件人的邮件选择以下操作之一:
将邮件移动到收件人的“垃圾邮件”Email文件夹 (默认)
隔离邮件:如果选择此操作,则会显示“ 应用隔离策略 ”框,在其中选择适用于被欺骗智能保护隔离的邮件的隔离策略。
如果未选择隔离策略,则会 (DefaultFullAccessPolicy) 使用欺骗智能检测的默认隔离策略。 以后查看或编辑防钓鱼策略设置时,将显示隔离策略名称。
安全提示 & 指示器 部分:配置以下设置:
- 显示第一个触点安全提示:有关详细信息,请参阅 第一个触点安全提示。
- 为欺骗的未经身份验证的发件人显示 (?) :仅当在上一页上选择了 “启用欺骗智能 ”时,此设置才可用。 如果邮件未通过 SPF 或 DKIM 检查, 并且 邮件未通过 DMARC 或 复合身份验证,则向 Outlook 中发件人的照片添加问号 (?) 。 默认情况下,此设置处于选中状态。
-
显示“via”标记:仅当在上一页上选择了 “启用欺骗智能 ”时,此设置才可用。 如果通过 (fabrikam.com)
chris@contoso.com
命名的标记与 DKIM 签名或 MAIL FROM 地址中的域不同,则将其添加到“发件人”地址。 默认情况下,此设置处于选中状态。
若要打开某个设置,请选择“检查”框。 若要将其关闭,请清除“检查”框。
完成“ 操作” 页后,选择“ 下一步”。
在“ 审阅 ”页上,查看设置。 可以在每个部分中选择“编辑”来修改该部分中的设置。 或者,可以在向导中选择“ 后退 ”或特定页面。
完成“ 审阅 ”页面后,选择“ 提交”。
在 “新建防钓鱼策略” 页上,可以选择链接以查看策略、查看防钓鱼策略以及了解有关防钓鱼策略的详细信息。
在“ 新建反钓鱼策略创建 ”页上完成操作后,选择“ 完成”。
返回到 “防钓鱼 ”页,将列出新策略。
使用Microsoft Defender门户查看防钓鱼策略详细信息
在Microsoft Defender门户中,转到“策略”部分中Email &协作>策略 & 规则>威胁策略>“防钓鱼”。 或者,若要直接转到 “防钓鱼 ”页,请使用 https://security.microsoft.com/antiphishing。
在 “防钓鱼 ”页上,防钓鱼策略列表中显示了以下属性:
- 名称
-
状态:值为:
- 默认的防钓鱼策略始终处于打开状态。
- 打开或关闭其他反垃圾邮件策略。
- 优先级:有关详细信息,请参阅 设置自定义反钓鱼策略的优先级 部分。
若要将策略列表从普通间距更改为精简间距,请选择“ 将列表间距更改为精简或正常”,然后选择“ 压缩列表”。
使用 Filter 按 时间范围 (创建日期) 或 状态筛选策略。
使用“ 搜索 ”框和相应的值查找特定的防钓鱼策略。
使用 “导出” 将策略列表导出到 CSV 文件。
单击名称旁边的“检查”框以外的任何位置,以打开策略的详细信息浮出控件,从而选择策略。
提示
若要在不离开详细信息浮出控件的情况下查看有关其他反钓鱼策略的详细信息,请使用浮出控件顶部的“上一项”和“下一项”。
使用Microsoft Defender门户对防钓鱼策略采取措施
在Microsoft Defender门户中,转到“策略”部分中Email &协作>策略 & 规则>威胁策略>“防钓鱼”。 或者,若要直接转到 “防钓鱼 ”页,请使用 https://security.microsoft.com/antiphishing。
在 “防钓鱼 ”页上,使用以下方法之一选择反钓鱼策略:
以下小节介绍了这些操作。
使用Microsoft Defender门户修改反钓鱼策略
通过单击名称旁边的“检查”框旁边的行以外的任意位置选择默认的防钓鱼策略或自定义策略后,策略设置将显示在打开的详细信息浮出控件中。 选择“每个部分中的 编辑 ”以修改该部分中的设置。 有关设置的详细信息,请参阅本文前面的 创建反钓鱼策略 部分。
对于默认策略,无法修改策略的名称,并且没有要配置 (策略应用于) 的所有收件人的收件人筛选器。 但是,可以修改策略中的所有其他设置。
对于与 预设安全策略关联的名为“标准预设安全策略 ”和“ 严格预设安全策略 ”的防钓鱼 策略,无法修改详细信息浮出控件中的策略设置。 相反,在详细信息浮出控件中选择“ 查看预设安全策略 ”,转到 “ 预设安全策略 ” 页, https://security.microsoft.com/presetSecurityPolicies 以修改预设的安全策略。
使用Microsoft Defender门户启用或禁用自定义反钓鱼策略
(始终) 启用默认反钓鱼策略,则无法禁用该策略。
无法启用或禁用与“标准”和“严格”预设安全策略关联的反钓鱼策略。 在 的“预设安全策略”页上https://security.microsoft.com/presetSecurityPolicies启用或禁用“标准”或“严格”预设安全策略。
选择已启用的自定义防钓鱼策略 (“状态” 值为 “On) ”后,请使用以下方法之一将其禁用:
- 在“防钓鱼”页上:选择“ 更多操作>”“禁用所选策略”。
- 在策略的详细信息浮出控件中:选择浮出控件顶部的“ 关闭 ”。
选择禁用的自定义防钓鱼策略 (“状态” 值为 “关闭) ”后,请使用以下任一方法启用它:
- 在“防钓鱼”页上:选择“ 更多操作>”“启用所选策略”。
- 在策略的详细信息浮出控件中:选择浮出控件顶部的“ 打开 ”。
在“防钓鱼”页上,策略的“状态”值现在为“打开”或“关闭”。
使用Microsoft Defender门户设置自定义防钓鱼策略的优先级
反钓鱼策略的处理顺序如下:“ 防钓鱼 ”页上显示这些策略:
- 如果) 启用了严格预设安全策略,则始终首先应用与严格预设安全策略关联的名为“严格预设安全策略”的反钓鱼策略 (。
- 如果 ) 启用了标准预设安全策略 ,则始终在 (下一 (应用与标准预设安全策略关联的名为“标准预设安全策略”的反钓鱼策略。
- 如果启用了自定义反钓鱼策略,则会按优先级顺序 (下一个应用) :
- 优先级值越低表示优先级越高, (0 表示) 最高。
- 默认情况下,创建一个新策略的优先级低于最低现有自定义策略 (第一个为 0,第二个为 1,等等 ) 。
- 没有两个策略可以具有相同的优先级值。
- 默认的防钓鱼策略始终具有优先级值 “最低”,无法更改它。
应用第一个策略后, (该收件人) 的最高优先级策略后,针对该收件人的防钓鱼保护将停止。 有关详细信息,请参阅 电子邮件保护的顺序和优先级。
通过单击名称旁的“检查”框以外的行中的任意位置选择自定义反钓鱼策略后,可以在打开的详细信息浮出控件中增加或降低策略的优先级:
- “防钓鱼”页上优先级值为 0 的自定义策略在详细信息浮出控件顶部具有“降低优先级”操作。
- 优先级最低 (优先级值 最高的自定义策略;例如, 3) 详细信息浮出控件顶部有 “增加优先级 ”操作。
- 如果有三个或更多策略,则优先级 0 和最低优先级之间的策略在详细信息浮出控件顶部同时具有“增加优先级”和“减少优先级操作”。
完成策略详细信息浮出控件后,选择“ 关闭”。
返回到 “防钓鱼 ”页,列表中的策略顺序与更新的 “优先级” 值匹配。
使用Microsoft Defender门户删除自定义反钓鱼策略
无法删除默认的防钓鱼策略或与预设安全策略关联的名为 “标准预设安全策略 ”和“ 严格预设安全策略 ”的反 钓鱼策略。
选择自定义防钓鱼策略后,使用以下方法之一将其删除:
- 在“防钓鱼”页上:选择“ 更多操作>”“删除所选策略”。
- 在策略的详细信息浮出控件中:选择浮出控件顶部的“ 删除策略 ”。
在打开的警告对话框中选择 “是 ”。
在 “防钓鱼 ”页上,已删除的策略不再列出。
使用 Exchange Online PowerShell 配置反钓鱼策略
在 PowerShell 中,防钓鱼策略的基本元素包括:
- 防钓鱼策略:指定要启用或禁用的网络钓鱼防护、要应用于这些保护的操作以及其他选项。
- 防钓鱼规则:指定优先级和收件人筛选器, (策略应用于关联反网络钓鱼策略) 的人员。
在 Microsoft Defender 门户中管理反钓鱼策略时,这两个元素之间的差异并不明显:
- 在 Defender 门户中创建策略时,实际上是同时创建一个反网络钓鱼规则和关联的反网络钓鱼策略,这两者的名称相同。
- 在 Defender 门户中修改策略时,与名称、优先级、启用或禁用和收件人筛选器相关的设置将修改反钓鱼规则。 所有其他设置都修改关联的反钓鱼策略。
- 在 Defender 门户中删除策略时,将同时删除反网络钓鱼规则和关联的反网络钓鱼策略。
在 Exchange Online PowerShell 中,反网络钓鱼策略和反网络钓鱼规则之间的差异是显而易见的。 使用 *-AntiPhishPolicy cmdlet 管理反钓鱼策略,并使用 *-AntiPhishRule cmdlet 管理反钓鱼规则。
- 在 PowerShell 中,首先创建反网络钓鱼策略,然后创建反网络钓鱼规则,以标识应用该规则的关联策略。
- 在 PowerShell 中,可以分别修改反网络钓鱼策略和反网络钓鱼规则中的设置。
- 从 PowerShell 中删除反网络钓鱼策略时,不会自动删除相应的反网络钓鱼规则,反之亦然。
使用 PowerShell 创建防钓鱼策略
在 PowerShell 中创建防钓鱼策略是一个两步过程:
- 创建防钓鱼策略。
- 创建反网络钓鱼规则,该规则指定应用该规则的反网络钓鱼策略。
注意:
可以创建新的反网络钓鱼规则,并为其分配现有的未关联的反网络钓鱼策略。 一个反网络钓鱼规则不能与多个反网络钓鱼策略相关联。
可以在 PowerShell 中为新的反网络钓鱼策略配置以下设置,这些设置在创建策略后Microsoft Defender门户中不可用:
- 在 New-AntiPhishRule cmdlet) 上创建禁用 (已启用
$false
的新策略。 - 在 New-AntiPhishRule cmdlet) 上设置策略的优先级 (优先级<编号>) 。
- 在 New-AntiPhishRule cmdlet) 上创建禁用 (已启用
在 PowerShell 中创建的新反网络钓鱼策略在Microsoft Defender门户中不可见,直到将策略分配给反网络钓鱼规则。
步骤 1:使用 PowerShell 创建防钓鱼策略
若要创建防钓鱼策略,请使用以下语法:
New-AntiPhishPolicy -Name "<PolicyName>" [-AdminDisplayName "<Comments>"] [-EnableSpoofIntelligence <$true | $false>] [-AuthenticationFailAction <MoveToJmf | Quarantine>] [-HonorDmarcPolicy <$true | $false>] [-DmarcQuarantineAction <MoveToJmf | Quarantine>] [-DmarcRejectAction <Quarantine | Reject>] [-EnableUnauthenticatedSender <$true | $false>] [-EnableViaTag <$true | $false>] [-SpoofQuarantineTag <QuarantineTagName>]
此示例使用以下设置创建名为“研究隔离区”的反钓鱼策略:
- 说明为:研究部门策略。
- 将欺骗检测的默认操作更改为“隔离”,并使用隔离邮件的默认隔离策略, (不使用 SpoofQuarantineTag 参数) 。
-
p=quarantine
p=reject
在发送方 DMARC 策略中默认启用, (不使用 HonorDmarcPolicy 参数,默认值为$true
) 。- (未使用 DmarcQuarantineAction 参数且默认值为“隔离) ,则会隔离发件人的 DMARC 策略
p=quarantine
的 DMARC 失败的邮件。 - (未使用 DmarcRejectAction 参数且默认值为 Reject) ,则拒绝发送方 DMARC 策略
p=reject
的 DMARC 失败的消息。
- (未使用 DmarcQuarantineAction 参数且默认值为“隔离) ,则会隔离发件人的 DMARC 策略
New-AntiPhishPolicy -Name "Monitor Policy" -AdminDisplayName "Research department policy" -AuthenticationFailAction Quarantine
有关详细语法和参数信息,请参阅 New-AntiPhishPolicy。
提示
有关指定要在反钓鱼策略中使用的隔离策略的详细说明,请参阅 使用 PowerShell 在反钓鱼策略中指定隔离策略。
步骤 2:使用 PowerShell 创建防钓鱼规则
若要创建防钓鱼规则,请使用以下语法:
New-AntiPhishRule -Name "<RuleName>" -AntiPhishPolicy "<PolicyName>" <Recipient filters> [<Recipient filter exceptions>] [-Comments "<OptionalComments>"]
此示例创建名为“研究部”的反网络钓鱼规则,条件如下:
- 该规则与名为“研究隔离”的反网络钓鱼策略相关联。
- 此规则应用于“研究部门”组中的成员。
- 由于未使用 Priority 参数,因此使用默认优先级。
New-AntiPhishRule -Name "Research Department" -AntiPhishPolicy "Research Quarantine" -SentToMemberOf "Research Department"
有关详细语法和参数信息,请参阅 New-AntiPhishRule。
使用 PowerShell 查看反钓鱼策略
若要查看现有的防钓鱼策略,请使用以下语法:
Get-AntiPhishPolicy [-Identity "<PolicyIdentity>"] [| <Format-Table | Format-List> <Property1,Property2,...>]
此示例返回所有反网络钓鱼策略的摘要列表以及指定的属性。
Get-AntiPhishPolicy | Format-Table Name,IsDefault
此示例返回名为 Executives 的反网络钓鱼策略的所有属性值。
Get-AntiPhishPolicy -Identity "Executives"
有关详细的语法和参数信息,请参阅 Get-AntiPhishPolicy。
使用 PowerShell 查看反钓鱼规则
若要查看现有的防钓鱼规则,请使用以下语法:
Get-AntiPhishRule [-Identity "<RuleIdentity>"] [-State <Enabled | Disabled] [| <Format-Table | Format-List> <Property1,Property2,...>]
此示例返回所有反钓鱼规则的摘要列表以及指定的属性。
Get-AntiPhishRule | Format-Table Name,Priority,State
若要按已启用或已禁用规则筛选列表,请运行以下命令:
Get-AntiPhishRule -State Disabled | Format-Table Name,Priority
Get-AntiPhishRule -State Enabled | Format-Table Name,Priority
此示例返回名为 Contoso Executives 的反钓鱼规则的所有属性值。
Get-AntiPhishRule -Identity "Contoso Executives"
有关详细语法和参数信息,请参阅 Get-AntiPhishRule。
使用 PowerShell 修改反钓鱼策略
除以下项目外,在 PowerShell 中修改反网络钓鱼策略时,可以使用与创建策略时相同的设置,如本文前面的 步骤 1:使用 PowerShell 创建反钓鱼策略 中所述。
- 将指定策略转换为默认策略的 MakeDefault 开关 (应用于所有人,始终为 最低 优先级,并且你无法删除它,) 仅在 PowerShell 中修改反网络钓鱼策略时可用。
- (Set-AntiPhishPolicy cmdlet 没有 Name 参数) ,则无法重命名反网络钓鱼策略。 在 Microsoft Defender 门户中重命名反钓鱼策略时,只会重命名反网络钓鱼规则。
若要修改防钓鱼策略,请使用以下语法:
Set-AntiPhishPolicy -Identity "<PolicyName>" <Settings>
有关详细语法和参数信息,请参阅 Set-AntiPhishPolicy。
提示
有关指定要在反钓鱼策略中使用的隔离策略的详细说明,请参阅 使用 PowerShell 在防钓鱼策略中指定隔离策略。
使用 PowerShell 修改反钓鱼规则
在 PowerShell 中修改反网络钓鱼规则时,唯一不可用的设置是 Enabled 参数,该参数允许你创建禁用的规则。 若要启用或禁用现有的反钓鱼规则,请参阅下一部分。
否则,创建规则时可以使用相同的设置,如本文前面的 步骤 2:使用 PowerShell 创建反钓鱼规则 部分中所述。
若要修改防钓鱼规则,请使用以下语法:
Set-AntiPhishRule -Identity "<RuleName>" <Settings>
有关详细语法和参数信息,请参阅 Set-AntiPhishRule。
使用 PowerShell 启用或禁用反钓鱼规则
在 PowerShell 中启用或禁用反网络钓鱼规则可启用或禁用整个反网络钓鱼策略, (反钓鱼规则和分配的反网络钓鱼策略) 。 无法启用或禁用默认的防钓鱼策略, (它始终应用于) 的所有收件人。
若要在 PowerShell 中启用或禁用反钓鱼规则,请使用以下语法:
<Enable-AntiPhishRule | Disable-AntiPhishRule> -Identity "<RuleName>"
此示例禁用名为 Marketing Department 的反网络钓鱼规则。
Disable-AntiPhishRule -Identity "Marketing Department"
下面的示例启用同一规则。
Enable-AntiPhishRule -Identity "Marketing Department"
有关详细语法和参数信息,请参阅 Enable-AntiPhishRule 和 Disable-AntiPhishRule。
使用 PowerShell 设置反钓鱼规则的优先级
可以设置的规则最高优先级值是 0。 可以设置的最小优先级值取决于规则的数量。 例如,如果有五个规则,则可以使用的优先级值为 0 到 4。 更改现有规则的优先级可对其他规则产生级联效应。 例如,假设有五个自定义规则(优先级从 0 到 4)。如果你将某个规则的优先级更改为 2,那么优先级为 2 的现有规则会变成优先级 3,优先级为 3 的现有规则会变成优先级 4。
若要在 PowerShell 中设置反网络钓鱼规则的优先级,请使用以下语法:
Set-AntiPhishRule -Identity "<RuleName>" -Priority <Number>
下面的示例将名为“Marketing Department”的规则的优先级设置为 2。 优先级小于或等于 2 的所有现有规则的优先级都递减 1(即优先级数字都递增 1)。
Set-AntiPhishRule -Identity "Marketing Department" -Priority 2
注意:
- 若要在创建新规则时设置该规则的优先级,请改用 New-AntiPhishRule cmdlet 上的 Priority 参数。
- 默认的反网络钓鱼策略没有相应的反网络钓鱼规则,并且始终具有不可修改的优先级值 “最低”。
使用 PowerShell 删除反钓鱼策略
使用 PowerShell 删除反网络钓鱼策略时,不会删除相应的反网络钓鱼规则。
若要在 PowerShell 中删除反网络钓鱼策略,请使用以下语法:
Remove-AntiPhishPolicy -Identity "<PolicyName>"
此示例删除了名为“营销部”的反网络钓鱼策略。
Remove-AntiPhishPolicy -Identity "Marketing Department"
有关详细语法和参数信息,请参阅 Remove-AntiPhishPolicy。
使用 PowerShell 删除反钓鱼规则
使用 PowerShell 删除反网络钓鱼规则时,不会删除相应的反网络钓鱼策略。
若要在 PowerShell 中删除反网络钓鱼规则,请使用以下语法:
Remove-AntiPhishRule -Identity "<PolicyName>"
此示例删除了名为“市场营销部”的反钓鱼规则。
Remove-AntiPhishRule -Identity "Marketing Department"
有关详细语法和参数信息,请参阅 Remove-AntiPhishRule。
如何判断这些过程生效了?
若要验证是否已在 EOP 中成功配置反钓鱼策略,请执行以下步骤:
在 Microsoft Defender 门户中https://security.microsoft.com/antiphishing的“防钓鱼”页上,验证策略列表、策略的“状态”值及其“优先级”值。 若要查看更多详细信息,请通过单击名称并在出现的浮出控件中查看详细信息,从列表中选择策略。
在 Exchange Online PowerShell 中,将 Name> 替换为<策略或规则的名称,运行以下命令,并验证设置:
Get-AntiPhishPolicy -Identity "<Name>"
Get-AntiPhishRule -Identity "<Name>"