Microsoft Defender for Office 365 中的新增功能

项目
09/30/2024
适用于:

✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

提示

你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗？ 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。

本文列出了最新版本的 Microsoft Defender for Office 365 中的新功能。当前处于预览状态的功能用 (预览) 表示。

观看此视频了解更多信息。

若要搜索Defender for Office 365功能的 Microsoft 365 路线图，请使用此链接。

有关其他 Microsoft Defender 安全产品的新增功能的详细信息，请参阅：

2024 年 10 月

Microsoft 365 中的租户允许/阻止列表现在支持 IPv6 地址：租户允许/阻止列表现在支持 [允许和阻止 IPv6 地址] (tenant-allow-block-list-ip-addresses-configure.md) 。它适用于由世纪互联环境运营的 Microsoft 365 Worldwide、GCC、GCC High、DoD 和 Office 365。

2024 年 9 月

使用 Outlook 中的内置“报告”按钮：Outlook for Mac v16.89 (24090815) 或更高版本中的内置“报告”按钮现在支持用户报告设置体验，将邮件报告为“钓鱼”、“垃圾邮件”和“非垃圾邮件”。

2024 年 8 月

(预览版) 现在可以在攻击模拟训练中使用 QR 码有效负载运行模拟。可以跟踪用户响应并将培训分配给最终用户。
使用 Outlook 中的内置“报告”按钮：Microsoft 365 专属 Outlook 和 Outlook 2021 中的内置“报告”按钮现在支持用户报告设置体验，将邮件报告为“钓鱼”、“垃圾邮件”和“非垃圾邮件”。

2024 年 7 月

由世纪互联环境运营的 Microsoft 365 GCC、GCC High、DoD 和 Office 365中的租户允许/阻止列表：租户允许/阻止列表现已提供这些环境。它们与 WW 商业体验持平。
上次使用日期后的 45 天：在上次使用日期后> 45 天后删除允许输入的值现在是提交中新允许条目的默认值。还可以修改租户允许/阻止列表中的现有允许条目，以包含上次使用日期后> 45 天后删除允许条目的值。在邮件流期间或单击时遇到实体并将其标识为恶意时，将触发允许条目并更新 LastUsedDate 属性。筛选系统确定实体干净后，允许项会在 45 天后自动删除。默认情况下，允许欺骗发件人的条目永不过期。
(GA) 学习中心资源已从Microsoft Defender门户移动到 learn.microsoft.com。访问Microsoft Defender XDR忍者培训、学习路径、培训模块等。浏览学习路径列表，并按产品、角色、级别和主题进行筛选。
(GA) SecOps 人员现在可以从隔离区释放电子邮件，或者直接从威胁资源管理器中的“执行操作”、“高级搜寻”、“自定义检测”、“Email实体页”和“Email摘要面板”将隔离邮件移回用户收件箱。此功能允许安全操作员更高效地管理误报，而不会丢失上下文。有关详细信息，请参阅威胁搜寻：Email修正。

2024 年 5 月

租户允许/阻止列表中的顶级域和子域阻止：可以使用格式 *.TLD在域 & 电子邮件地址下创建阻止条目，其中 TLD 可以是任何顶级域或 *.SD1.TLD, *.SD2.SD1.TLD、 *.SD3.SD2.SD1.TLD以及子域阻止的类似模式。在邮件流期间，条目将阻止从域或子域中的任何电子邮件地址接收或发送到任何电子邮件地址的所有电子邮件。
自动最终用户反馈：Microsoft Defender for Office 365 中的用户提交自动反馈响应功能使组织能够根据自动调查的判决自动响应最终用户提交的钓鱼。了解详细信息。
我们将在威胁资源管理器、电子邮件实体、摘要面板和高级搜寻中引入 发件人的副本清理功能 。这些新功能简化了管理已发送邮件的过程，特别是对于使用“移动到邮箱文件夹软删除”和“移动到邮箱文件夹>>收件箱”操作的管理员。有关详细信息，请参阅威胁搜寻：执行操作向导。主要亮点：
与软删除集成：发件人的副本清理作为软删除操作的一部分合并。
- 广泛支持：跨各种Defender XDR平台支持此操作，包括威胁资源管理器、电子邮件实体中的“执行操作”向导、摘要面板、高级搜寻，以及Microsoft图形 API。
- 撤消功能：撤消操作可用，使你可以通过将项目移回“已发送”文件夹来撤消清理。

2024 年 4 月

上次使用日期 已添加到域和电子邮件地址、文件和 URL 的租户允许/阻止列表条目。
提高了提交结果的清晰度：管理员和安全操作员现在可跨电子邮件、Microsoft Teams 邮件、电子邮件附件、URL 和用户报告邮件看到提交的增强结果。这些更新旨在消除与当前提交结果相关的任何歧义。对结果进行了优化，以确保清晰度、一致性和简洁性，使提交结果更具可操作性。了解详细信息。
“执行操作”将替换“Email”选项卡上的“邮件操作”下拉列表， (“威胁资源管理器 (资源管理器”中“所有电子邮件”、“恶意软件”或“网络钓鱼”视图的详细信息区域) ) ：
- SecOps 人员现在可以直接从威胁资源管理器通过租户允许/阻止列表在 URL 和文件上创建租户级块条目。
- 对于在威胁资源管理器中选择的 100 个或更少的消息，SecOps 人员可以从同一页对所选邮件执行多个操作。例如：
  - 清除电子邮件或建议电子邮件修正。
  - 将邮件提交到Microsoft。
  - 触发调查。
  - 阻止租户允许/阻止列表中的条目。
- 操作在上下文中基于邮件的最新传递位置，但 SecOps 人员可以使用 “显示所有响应操作” 开关来允许所有可用操作。
- 对于所选的 101 封或更多封邮件，仅电子邮件清除和建议修正选项可用。
提示

新的面板允许 SecOps 人员在租户级别查找泄露指标，并且阻止操作随时可用。

有关详细信息，请参阅威胁搜寻：Email修正。

2024 年 3 月

复制攻击模拟训练中的模拟功能：管理员现在可以复制现有模拟，并根据其特定要求对其进行自定义。在创建新模拟时，此功能通过使用以前启动的模拟作为模板来节省时间和精力。了解详细信息。
攻击模拟训练现已在 Microsoft 365 DoD 中提供。了解详细信息。

2024 年 2 月

搜寻和响应基于 QR 码的攻击：安全团队现在可以在“Email实体”页的“URL”选项卡上查看从 QR 码中提取的 URL，并在“高级搜寻”中 EmailUrlInfo 表的 UrlLocation 列中查看 QR 码作为 URL 源。还可以使用威胁资源管理器中“所有电子邮件、恶意软件和网络钓鱼”视图中的 URL 源筛选器值来筛选嵌入 QR 码的电子邮件， (资源管理器) 。

2024 年 1 月

攻击模拟培训中提供了新的培训模块：教用户识别并保护自己免受 QR 码钓鱼攻击。有关详细信息，请参阅此博客文章。
提交时提供意向现已正式发布：管理员可以确定他们是否正在向Microsoft提交项目以获取第二个意见，或者他们正在提交邮件，因为邮件是恶意邮件，并且Microsoft错过了邮件。通过此更改，Microsoft分析管理员提交的邮件 (电子邮件和Microsoft Teams) 、URL 和电子邮件附件将进一步简化，并得到更准确的分析。了解详细信息。

2023 年 12 月

Exchange Online Protection和Microsoft Defender for Office 365内与 QR 代码相关的网络钓鱼防护：使用图像检测、威胁信号、URL 分析的新检测功能现在从 URL 中提取 QR 码，并阻止来自电子邮件正文的基于 QR 码的钓鱼攻击。若要了解详细信息，请参阅我们的博客。
Microsoft Defender XDR统一 RBAC 现已正式发布：Defender XDR统一 RBAC 支持以前由Email &协作权限控制的所有Defender for Office 365方案，Exchange Online权限。若要详细了解支持的工作负载和数据资源，请参阅 Microsoft Defender XDR统一基于角色的访问控制 (RBAC) 。

提示

Defender XDR统一 RBAC 在 Microsoft 365 政府社区云高 (GCC High) 或国防部 (DoD) 中正式发布。

2023 年 11 月

来自Email实体/摘要面板的增强操作体验：作为更改的一部分，安全管理员可以在 FP/FN 流中执行多个操作。了解详细信息。
租户允许/阻止列表支持每个类别中的更多条目， (域 & 电子邮件地址、文件和 URL：
- Microsoft Defender for Office 365计划 2 支持通过每个类别中的管理员提交) (10,000 个块条目和 5,000 个允许条目。
- Microsoft Defender for Office 365 计划 1支持 1,000 个块条目和 1,000 个允许条目， (每个类别中的管理员提交) 。
- Exchange Online Protection仍为 500 个块条目，500 个允许通过每个类别中的管理员提交) (条目。

2023 年 10 月

使用攻击模拟训练中的图形 API创建和管理模拟。了解更多
Microsoft Defender XDR统一基于角色的访问控制 (RBAC) 支持Defender for Office 365中的Exchange Online权限管理：除了对Email &协作权限的现有支持外，Defender XDR统一 RBAC 现在还支持与保护相关的Exchange Online权限。若要详细了解支持的Exchange Online权限，请参阅Exchange Online权限映射。

2023 年 9 月

租户允许阻止列表中提供了 URL 顶级域阻止。了解详细信息。
攻击模拟训练现已在 Microsoft 365 GCC High 中提供。了解详细信息。

2023 年 8 月

如果组织中的 “用户报告”设置 (电子邮件发送用户报告的邮件，Microsoft Teams) 仅Microsoft (，或者除了报告邮箱) 之外，我们现在执行与管理员从“ 提交 ”页面向Microsoft提交邮件以供分析时相同的检查。
默认组织内部保护：默认情况下，隔离在标识为高可信度钓鱼的内部用户之间发送的消息。管理员在默认反垃圾邮件策略或自定义策略中更改此设置， (选择退出组织内部保护，或者) 包含其他垃圾邮件筛选判决。有关配置信息，请参阅在 EOP 中配置反垃圾邮件策略。

2023 年 7 月

使用反钓鱼策略控制发件人未通过显式 DMARC 检查且 DMARC 策略设置为 p=quarantine 或 p=reject的邮件会发生什么情况。有关详细信息，请参阅欺骗保护和发件人 DMARC 策略。
用户标记现在与Defender for Office 365报表完全集成，包括：

2023 年 5 月

Outlook 网页版中的内置报告支持代理报告来自共享邮箱或其他邮箱的邮件。
- 共享邮箱需要用户的“发送为”或“代表发送”权限。
- 其他邮箱需要代理的“发送方式”或“代表发送”权限以及 “读取和管理”权限。

2023 年 4 月

使用机器学习在攻击模拟和训练中推动更有效的模拟：利用智能预测入侵率 (PCR) 和Microsoft Defender for Office 365有效负载建议，以利用模拟中的高质量有效负载。
扩展的库提供的仅培训活动：现在可以直接将培训内容分配给组织，而无需将培训绑定到网络钓鱼模拟活动。我们还将训练模块库扩展到 70 多个不同的模块。

2023 年 3 月

Microsoft Teams 的协作安全性：随着Microsoft Teams 等协作工具的使用的增加，使用 URL 和消息进行恶意攻击的可能性也随之增加。 Microsoft Defender for Office 365正在扩展其安全链接保护，增加了零小时自动清除功能， (ZAP) 、隔离和最终用户向其管理员报告潜在恶意邮件。有关详细信息，请参阅Microsoft Defender for Office 365对 Microsoft Teams 的支持 (预览版) 。
内置保护：为电子邮件启用安全链接单击保护时间：默认情况下，Microsoft现在在单击时保护电子邮件中的 URL，作为此更新的一部分， (EnableSafeLinksForEmail) 内置保护预设安全策略中的安全链接设置的一部分。若要了解内置保护策略中特定的安全链接保护，请参阅安全链接策略设置。
预设安全策略中启用的隔离通知：如果组织已启用或将启用标准或严格预设安全策略，则策略将自动更新，以使用新的 DefaultFullAccessWithNotificationPolicy 隔离策略 (启用的通知) ，无论使用) 禁用 DefaultFullAccessPolicy (通知。若要了解有关隔离通知的详细信息，请参阅隔离通知。有关预设安全策略中特定设置的详细信息，请参阅 EOP 和Defender for Office 365安全设置Microsoft建议。

2023 年 1 月

自动租户允许/阻止列表过期管理现在可在Microsoft Defender for Office 365中使用：Microsoft系统从租户允许/阻止列表中学习后，会自动删除允许条目。或者，如果系统尚未了解，Microsoft会延长允许条目的过期时间。此行为可防止合法电子邮件进入垃圾邮件或隔离区。
在高级交付中配置第三方网络钓鱼模拟： 我们已将“允许的模拟 URL”限制扩展到 30 个 URL。若要了解如何配置，请参阅配置向用户传递第三方网络钓鱼模拟和将未筛选的邮件传递到 SecOps 邮箱
攻击模拟培训中的模拟报告中增强的用户遥测：作为增强的用户遥测的一部分，管理员现在可以查看有关其目标用户如何与网络钓鱼模拟活动中的网络钓鱼有效负载交互的其他详细信息。

2022 年 12 月

新的Microsoft Defender XDR基于角色的访问控制 (RBAC) 模型，支持 office Microsoft Defender，现已以公共预览版提供。有关详细信息，请参阅 Microsoft Defender XDR 基于角色的访问控制 (RBAC)。
使用 Outlook 上的内置“报告”按钮：使用 Outlook 网页版和新的 Outlook for Windows 客户端中的内置“报告”按钮将邮件报告为网络钓鱼、垃圾邮件，而不是垃圾邮件。

2022 年 10 月

自动调查电子邮件群集操作重复数据删除：我们添加了其他检查。如果过去一小时内已批准同一调查群集，则不会再次处理新的重复修正。
管理租户允许/阻止列表中的允许和块：
- 使用允许 过期管理 (目前在个人预览版) ，如果Microsoft尚未从允许中了解，Microsoft会自动将即将到期的许可到期时间延长 30 天，以防止合法电子邮件再次进入垃圾邮件或隔离状态。
- 政府云环境中的客户现在可以使用 URL 和电子邮件附件的管理员提交，在租户允许/阻止列表中为 URL 和附件创建允许和阻止条目。通过提交体验提交的数据不会离开客户租户，从而满足政府云客户端的数据驻留承诺。
URL 单击警报中的增强功能：
- 在新的回溯方案中，“检测到潜在的恶意 URL 单击”警报现在包括 过去 48 小时内 的任何单击， (电子邮件) 从确定恶意 URL 判决时开始。

2022 年 9 月

针对内部域和发件人的反欺骗增强：
- 为了进行欺骗保护，在反垃圾邮件策略中和用户允许列表中定义的允许发件人或域现在必须通过身份验证才能使允许的邮件得到遵守。此更改仅影响被视为内部的邮件， (发件人或发件人的域位于组织) 接受的域中。所有其他消息将继续像现在一样进行处理。
从 Office 操作中心自动重定向到统一操作中心：Email &协作部分中的操作中心Email &协作>评审>操作中心https://security.microsoft.com/threatincidents会自动重定向到操作 & 提交>操作中心>历史记录https://security.microsoft.com/action-center/history。
从Office 365安全 & 合规中心自动重定向到Microsoft Defender门户：自动重定向，供访问Office 365安全 & 合规中心中的安全解决方案的用户 (protection.office.com) Microsoft Defender门户 (security.microsoft.com) 。此更改适用于所有安全工作流，例如 (警报、威胁管理和报告) 。
- 重定向 URL：
  - GCC 环境：
    - 从 Office 365 安全 & 合规中心 URL：protection.office.com
    - 若要Microsoft Defender XDR URL：security.microsoft.com
  - GCC-High 环境：
    - 从 Office 365 安全 & 合规中心 URL：scc.office365.us
    - 若要Microsoft Defender XDR URL：security.microsoft.us
  - DoD 环境：
    - 从 Office 365 安全 & 合规中心 URL：scc.protection.apps.mil
    - 若要Microsoft Defender XDR URL：security.apps.mil
Office 365安全 & 合规中心中与安全性无关的项目不会重定向到Microsoft Defender XDR。有关将合规性解决方案重定向到 Microsoft 365 合规中心的信息，请参阅消息中心发布244886。
此更改是Microsoft Defender XDR向 GCC、GCC High 和 DoD 客户提供统一 XDR 体验的延续 - Microsoft Tech Community，于 2022 年 3 月宣布。
此更改使用户能够在一个门户中查看和管理其他Microsoft Defender XDR安全解决方案。
此更改会影响使用 Office 365 Security & Compliance Center (protection.office.com) 的所有客户，包括 Office (计划 1 或计划 2) Microsoft Defender、Microsoft 365 E3/E5、Office 365 E3/E5 和Exchange Online Protection。有关完整列表，请参阅 Microsoft 365 安全 & 合规性指南
此更改会影响登录到 Office 365 安全性和合规性门户 (protection.office.com) 的所有用户，包括安全团队和访问Email隔离体验的最终用户，Microsoft Defender门户>查看>隔离。
默认情况下启用重定向，并且会影响租户的所有用户。
全局管理员^*和安全管理员可以在Microsoft Defender门户中打开或关闭重定向，方法是导航到“设置Email &协作>门户重定向”>并切换重定向开关。

重要

^* Microsoft建议使用权限最少的角色。使用权限较低的帐户有助于提高组织的安全性。全局管理员是一个权限很高的角色，应仅限于在无法使用现有角色的紧急情况下使用。
内置保护：一个配置文件，它为所有Defender for Office 365客户启用默认启用的安全链接和安全附件保护的基本级别。若要详细了解此新策略和优先级顺序，请参阅预设安全策略。若要了解设置的特定安全链接和安全附件控件，请参阅安全附件设置和安全链接策略设置。
高级搜寻中的 EmailEvents 表中现提供批量投诉级别，其数字 BCL 值介于 0 到 9。较高的 BCL 分数表示批量邮件更有可能产生投诉，并且更有可能是垃圾邮件。

2022 年 7 月

将操作引入Email实体页：管理员可以从Email实体页执行预防、修正和提交操作。

2022 年 6 月

为欺骗发件人创建允许条目：使用租户允许/阻止列表创建允许的欺骗发件人条目。
模拟允许使用管理员提交：添加允许使用 Microsoft Defender XDR 中的“提交”页面模拟发件人。
将用户报告的邮件提交到Microsoft进行分析：配置报告邮箱以截获用户报告的邮件，而无需将邮件发送到Microsoft进行分析。
查看用户报告的邮件和管理员提交的关联警报：查看每个用户报告的钓鱼邮件和管理员电子邮件提交的相应警报。
可配置的模拟保护自定义用户和域，并在预设策略中扩大范围：
- (选择) 将预设的严格/标准策略应用于整个组织，避免选择特定收件人用户、组或域的麻烦，从而保护组织的所有收件人用户。
- 在预设严格/标准策略中为自定义用户和自定义域配置模拟保护设置，并自动保护目标用户和目标域免受模拟攻击。
简化隔离体验 (office 365 Microsoft Defender XDR的第二部分) ：重点介绍其他功能，使隔离体验更易于使用。
在 Microsoft Defender for Office 365 中引入对优先级帐户的差别保护：引入针对优先级帐户的区分保护的 GCC、GCC-H 和 DoD 可用性。

2022 年 4 月

Microsoft Defender XDR高级搜寻中的 URLClickEvents 表简介：使用 Microsoft Defender for Office 365 的高级搜寻中引入 UrlClickEvents 表。
手动电子邮件修正增强功能：使用新的以操作为中心的调查，将Microsoft Defender for Office 365中采取的手动电子邮件清除操作引入Microsoft Defender XDR (M365D) 统一操作中心。
在 Microsoft Defender for Office 365 中引入对优先级帐户的区分保护：介绍针对优先级帐户的区别保护的正式发布。

2022 年 3 月

简化了Microsoft Defender for Office 365中的提交体验：引入了新的统一和简化的提交过程，使你的体验更简单。

2022 年 1 月

更新了Microsoft Defender for Office 365的搜寻和调查体验：介绍Defender for Office 365体验的电子邮件摘要面板，以及威胁资源管理器和实时检测的体验更新。

2021 年 10 月

高级传递 DKIM 增强：添加了对 DKIM 域条目的支持，作为第三方网络钓鱼模拟配置的一部分。
默认情况下安全：Exchange 邮件流规则 (默认扩展安全，也称为传输规则) 。

2021 年 9 月

改进了 Defender for Office 365 中的报告体验
隔离策略：管理员可以配置对收件人对隔离邮件的访问进行精细控制，并自定义最终用户垃圾邮件通知。
- 管理员体验视频
- 最终用户体验视频
- 此博客文章：简化隔离体验中介绍了隔离体验的其他新功能。
门户重定向默认开始，将用户从安全 & 符合性重定向到 Microsoft Defender XDR https://security.microsoft.com。

2021 年 8 月

管理员查看报告的邮件：管理员现在可以在最终用户查看报告的邮件后将模板化消息发送回最终用户。可以根据管理员的判断为组织自定义模板。
如果阻止的邮件是作为管理员提交过程的一部分提交的，则现在可以将允许条目添加到租户允许/阻止列表。根据块的性质，提交的 URL、文件和/或发件人允许条目添加到租户允许/阻止列表。在大多数情况下，会添加允许条目，以便为系统提供一些时间，并根据需要自然允许它。在某些情况下，Microsoft会为你管理允许项。有关更多信息，请参阅：

2021 年 7 月

自动调查中的Email分析改进
高级传递：引入了一项新功能，用于配置向用户传递第三方网络钓鱼模拟，并将未筛选的邮件传递到安全操作邮箱。
Microsoft Teams 的安全链接
针对以下方案的新警报策略：遭到入侵的邮箱、Forms网络钓鱼、由于替代而发送的恶意邮件以及舍入 ZAP
- 可疑电子邮件转发活动
- 用户已被限制共享表单和收集回复
- 表单因潜在的网络钓鱼尝试已被阻止
- 表单已被标记并确认为网络钓鱼
- ZAP 的新警报策略
Microsoft Defender for Office 365警报现已集成到Microsoft Defender XDR - Microsoft Defender XDR统一警报队列和统一警报队列
用户标记现在已集成到Microsoft Defender for Office 365警报体验中，包括：警报队列和Office 365安全性 & 合规性中的详细信息，以及将自定义警报策略的范围限定为用户标记以创建有针对性的警报策略。
- 标记也可在Microsoft Defender门户的统一警报队列中使用 (Microsoft Defender for Office 365 计划 2)

2021 年 6 月

防钓鱼策略中的新第一个联系人安全提示设置。当收件人首次收到来自发件人的电子邮件或不经常收到来自发件人的电子邮件时，会显示此安全提示。有关此设置及其配置方法的详细信息，请参阅以下文章：

2021 年 4 月/5 月

Email实体页面：电子邮件的统一 360 度视图，其中包含有关威胁、身份验证和检测、引爆详细信息以及全新的电子邮件预览体验的丰富信息。
Office 365管理 API：汇报 EmailEvents (RecordType 28) 添加传递操作、原始和最新传递位置以及更新的检测详细信息。
针对Defender for Office 365的威胁分析：查看主动威胁参与者、常用技术和攻击面，以及来自Microsoft研究人员关于正在进行的活动的广泛报告。

2021 年 2 月/3 月

在搜寻体验中使用警报 ID 和 Alert-Explorer 导航) (警报 ID 集成
在狩猎体验中将记录的导出限制从 9990 个提高到 200,000 条
将资源管理器 (和实时检测) 试用租户的数据保留和搜索限制从以前的 7 (限制) 扩展到搜寻体验中的 30 天
新的搜寻透视称为“资源管理器”中的“模拟域 ”和“ 模拟用户 ”和“实时检测”，用于搜索针对受保护用户或域的模拟攻击。有关详细信息，请参阅威胁资源管理器中的网络钓鱼视图和实时检测。

Microsoft Defender for Office 365 计划 1 和计划 2

你知道Microsoft Defender for Office 365在两个计划中可用吗？详细了解每个计划包含的内容。

通过