EOP 和 Microsoft Defender for Office 365 中的保护策略配置分析器
提示
你知道可以免费试用 Microsoft Defender XDR for Office 365 计划 2 中的功能吗? 在 Microsoft Defender 门户试用中心使用为期 90 天的 Defender for Office 365 试用版。 在此处了解谁可以注册和试用条款。
Microsoft Defender 门户中的配置分析器提供了一个中心位置,用于查找和修复设置比预设安全策略中的标准保护和严格保护配置文件设置不安全 的安全策略。
配置分析器会分析以下类型的策略:
Exchange Online Protection (EOP) 策略:包括具有 Exchange Online 邮箱的 Microsoft 365 个组织和没有 Exchange Online 邮箱的独立 EOP 组织:
Microsoft Defender for Office 365 策略:包括具有 Microsoft 365 E5 或 Defender for Office 365 加载项订阅的组织:
EOP 和 Microsoft Defender for Office 365 安全性的建议设置中介绍了用作基线的标准和严格策略设置值。
配置分析器还会检查以下非策略设置:
开始前,有必要了解什么?
在 打开 Microsoft Defender 门户 https://security.microsoft.com。 若要直接转到 “配置分析器 ”页,请使用 https://security.microsoft.com/configurationAnalyzer。
若要连接到 Exchange Online PowerShell,请参阅连接到 Exchange Online PowerShell。
需要先分配权限,然后才能执行本文中的过程。 可以选择下列选项:
Microsoft Defender XDR 基于角色的统一访问控制 (RBAC) (如果电子邮件 & 协作>Defender for Office 365权限处于活动状态。
仅影响 Defender 门户,而不影响 PowerShell) :授权和设置/安全设置/核心安全设置 (管理) 或授权和设置/安全设置/核心安全设置 (读取) 。Microsoft Defender 门户中的电子邮件 & 协作权限:
- 使用配置分析器并更新受影响的安全策略: 组织管理 或 安全管理员 角色组中的成员身份。
- 对配置分析器的只读访问权限: 全局读取者 或 安全读取者 角色组中的成员身份。
Exchange Online 权限: “仅查看组织管理 ”角色组中的成员身份授予对配置分析器的只读访问权限。
Microsoft Entra 权限: 全局管理员*、 安全管理员、 全局读取者或 安全读取者 角色的成员身份为用户提供Microsoft 365 中其他功能的所需权限 和 权限。
重要
* Microsoft建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一种高特权角色,在无法使用现有角色时,应仅限于紧急情况。
在 Microsoft Defender 门户中使用配置分析器
在 Microsoft Defender 门户中,转到https://security.microsoft.com模板化策略部分中的电子邮件 & 协作>策略& 规则>威胁策略>配置分析器。 若要直接转到 “配置分析器 ”页,请使用 https://security.microsoft.com/configurationAnalyzer。
“配置分析器”页有三个主要选项卡:
- 标准建议:将现有安全策略与标准建议进行比较。 可以调整设置值,使其达到与标准相同的级别。
- 严格建议:将现有安全策略与严格建议进行比较。 可以调整设置值,使其达到与严格相同的级别。
- 配置偏移分析和历史记录:审核和跟踪一段时间内的策略更改。
配置分析器中的“标准建议”和“严格建议”选项卡
默认情况下,配置分析器将在“ 标准建议 ”选项卡上打开。可以切换到“ 严格建议 ”选项卡。这两个选项卡上的设置、布局和操作相同。
选项卡的第一部分显示与标准或严格保护相比,每种类型的策略中需要改进的设置数。 策略类型为:
- 反垃圾邮件
- 防网络钓鱼
- 反恶意软件
- 如果订阅包含 Microsoft Defender for Office 365) , (安全附件
- 如果订阅包含 Microsoft Defender for Office 365) , (安全链接
- DKIM
- 如果订阅包含 Microsoft Defender for Office 365) ,则内置保护 (
- Outlook
如果未显示策略类型和编号,则该类型的所有策略都符合“标准”或“严格保护”的建议设置。
选项卡的其余部分是需要提升到标准或严格保护级别的设置表。 该表包含以下列*:
- 建议: 标准或严格保护配置文件中的设置值。
- 策略: 包含该设置的受影响策略的名称。
- 策略组/设置名称: 需要注意的设置 名称。
- 策略类型:反垃圾邮件、防钓鱼、反恶意软件、安全链接或安全附件。
- 当前配置:设置的当前值。
- 上次修改日期: 上次修改策略的日期。
- 状态:通常,此值为 “未启动”。
* 若要查看所有列,可能需要执行以下步骤中的一个或多个步骤:
- 在 Web 浏览器中水平滚动。
- 缩小相应列的宽度。
- 在 Web 浏览器中缩小字体功能。
若要筛选条目,请选择“ 
筛选”。 打开的 “筛选器” 浮出控件中提供了以下筛选器:
- 反垃圾邮件
- 防网络钓鱼
- 反恶意软件
- 安全附件
- 安全链接
- ATP 内置保护规则
- DKIM
- Outlook
完成 “筛选器” 浮出控件后,选择“ 应用”。 若要清除筛选器,请选择“ 
清除筛选器”。
使用“ 
搜索 ”框和相应的值查找特定条目。
查看有关建议的策略设置的详细信息
在配置分析器的“ 标准保护 ”或“ 严格保护 ”选项卡上,单击行中除建议名称旁边的复选框以外的任意位置,选择条目。 在打开的详细信息浮出控件中,提供了以下信息:
- 策略:受影响策略的名称。
- 原因?:有关建议设置的值的原因的信息。
- 要更改的特定设置以及要更改的值。
- 查看策略:此链接可转到 Microsoft Defender 门户中受影响策略的详细信息浮出控件,可在其中手动更新设置。
- 指向 EOP 和 Microsoft Defender for Office 365 安全性的建议设置的链接。
提示
若要查看有关其他建议的详细信息而不离开详细信息浮出控件,请使用
浮出控件顶部的“上一个”和“下一个”。
完成详细信息浮出控件后,选择“ 关闭”。
对建议的策略设置执行操作
在配置分析器的“ 标准保护 ”或“ 严格保护 ”选项卡上,通过选中建议名称旁边的复选框来选择一个条目。 页面上会显示以下操作:
应用建议:如果建议需要多个步骤,此操作将灰显。选择此操作时,将 (打开一个确认对话框,其中包含“不再显示对话框”选项) 打开。 选择“ 确定”时,会发生以下情况:
- 设置将更新为建议的值。
- 建议仍处于选中状态,但唯一可用的操作是
“刷新”。 - 行的 “状态” 值更改为 “完成”。
查看策略:你将转到 Microsoft Defender 门户中受影响策略的详细信息浮出控件,可在其中手动更新设置。
导出:将所选建议导出到 .csv 文件,选择“ 导出”。还可以在选择多个建议或选择所有建议后导出建议,方法是选中“ 建议 ”列标题旁边的复选框。
在自动更新或手动更新设置后,选择“刷新”以查看减少的建议数以及从结果中删除更新的行。
配置分析器中的配置偏移分析和历史记录选项卡
注意
需要为偏差分析启用统一审核。
此选项卡允许跟踪对安全策略的更改,以及这些更改与标准或严格设置的比较情况。 默认情况下,显示以下信息:
- 上次修改时间
- 修改者
- 设置名称
- 策略:受影响策略的名称。
- 类型:反垃圾邮件、防钓鱼、反恶意软件、安全链接或安全附件。
- 配置更改:设置的旧值和新值
- 配置偏移:值 “增加 ”或 “减少” ,指示与建议的“标准”或“严格”设置相比,设置已增加或降低安全性。
若要筛选条目,请选择“ 筛选”。 打开的 “筛选器” 浮出控件中提供了以下筛选器:
- 日期:开始时间和结束时间。 从今天起,你可以回到 90 天。
- 类型: 标准保护 或 严格保护。
完成 “筛选器” 浮出控件后,选择“ 应用”。 若要清除筛选器,请选择“ 清除筛选器”。
使用 ::image type=“icon” source=“media/m365-cc-sc-search-icon.png” border=“false”::: 搜索框按特定的“修改者”、“设置名称”或“类型”值筛选条目。
若要将 “配置偏移分析和历史记录 ”选项卡上显示的条目导出到 .csv 文件,请选择“ 导出”。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈