Microsoft Defender for Office 365计划 2 对 Microsoft Teams 的支持

重要

本文中的某些信息与预发行的产品有关,该产品在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。

提示

你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。

随着Microsoft Teams 等协作工具的使用增加,使用聊天消息进行恶意攻击的可能性也随之增加。 Microsoft Defender for Office 365已经通过适用于Microsoft Teams 的安全链接SharePoint、OneDrive 和 Microsoft Teams 的安全附件为 Teams 邮件中的 URL 和文件提供了单击保护的时间。

在 Microsoft 365 E5 和 Defender for Office 365 计划 2 中,我们扩展了 Teams 保护,其中包含一组旨在破坏攻击链的功能:

  • 报告可疑的 Teams 消息:用户可以报告恶意 Teams 邮件。 根据组织中报告的邮件设置,报告的邮件将转到指定的报告邮箱和/或Microsoft。 有关详细信息,请参阅 Teams 中的用户报告设置

  • 零小时自动保护 (ZAP) for Teams:ZAP 是一项现有的电子邮件保护功能,它通过将邮件移动到“垃圾邮件Email”文件夹或隔离区,在发送后检测和消除垃圾邮件、网络钓鱼和恶意软件邮件。

    ZAP for Teams 隔离 Teams 聊天或频道中发现恶意软件或高置信度钓鱼的邮件。 有关详细信息,请参阅 Microsoft Teams 中的零小时自动清除 (ZAP)

    下一部分将说明如何为 Teams 保护配置 ZAP。

  • 处于隔离状态的 Teams 邮件:与标识为恶意软件或高置信度钓鱼的电子邮件一样,只有管理员才能管理默认情况下由 ZAP for Teams 隔离的 Teams 邮件。 有关详细信息,请参阅 管理隔离的 Teams 邮件

  • Teams 消息实体面板是存储所有 Teams 消息元数据以便立即进行 SecOps 评审的单个位置。 任何来自 Teams 聊天、群组聊天、会议聊天和其他频道的威胁在评估后,都可以在一个位置找到。 有关详细信息,请参阅计划 2 Microsoft Defender for Office 365 中的 Teams 消息实体面板

  • 使用 Teams 邮件攻击模拟训练:为了确保用户能够应对 Microsoft Teams 中的网络钓鱼攻击,管理员可以使用 Teams 邮件而不是电子邮件配置钓鱼模拟。 有关详细信息,请参阅 攻击模拟训练 中的 Microsoft Teams

在计划 2 中配置 ZAP Defender for Office 365 Teams 保护

  1. 在 Microsoft Defender 门户中https://security.microsoft.com,转到“设置Email &>协作>Microsoft Teams 保护”。 或者,若要直接转到 Microsoft Teams 保护 页,请使用 https://security.microsoft.com/securitysettings/teamsProtectionPolicy

  2. “Microsoft Teams 保护 ”页上,验证 “零小时自动清除 (ZAP) ”部分中的切换:

    • 为 Teams 启用 ZAP:验证切换开关是否为 “打开 ”。
    • 关闭 TEAMS 的 ZAP:将切换开关滑动到 “关闭 ”。
  3. 当切换开关为 “打开” 时,使用页面上的剩余设置自定义 ZAP 进行 Teams 保护:

    • “隔离策略 ”部分:可以选择现有隔离策略,用于被 ZAP 隔离为 “恶意软件 ”或 “高置信度网络钓鱼”的 Teams 保护邮件。 隔离策略定义用户可以对隔离邮件执行哪些操作,以及用户是否会收到隔离通知。 有关详细信息,请参阅 隔离策略剖析

      注意

      隔离通知在名为 AdminOnlyAccessPolicy 的策略中被禁用。 若要通知已将邮件隔离为恶意软件或高置信度钓鱼的收件人,请创建或使用已启用隔离通知的现有隔离策略。 有关说明,请参阅在 Microsoft Defender 门户中创建隔离策略

    • 排除这些参与者部分:指定要从 ZAP 中排除的用户,以便进行 Teams 保护。 排除对邮件 收件人很重要,而不是邮件 发件人。 有关详细信息,请参阅 Microsoft Teams 中的零小时自动清除 (ZAP)

      只能使用一次异常,但该异常可以包含多个值:

      • 同一异常的多个使用 OR 逻辑 (例如 recipient1<><recipient2>) 。 如果收件人与 任何 指定值匹配,则不会对其应用 ZAP for Teams 保护。
      • 不同类型的异常使用 OR 逻辑 (例如,<recipient1><group1> 的成员<domain1>) 的成员。 如果收件人与 任何 指定的异常值匹配,则不会对它们应用 ZAP for Teams 保护。
  4. 完成 “Microsoft Teams 保护 ”页后,选择“ 保存”。

显示Microsoft Teams 的策略设置的图像。

使用 Exchange Online PowerShell 配置 ZAP 进行 Teams 保护

如果想要使用 Exchange Online PowerShell 为 Microsoft Teams 配置 ZAP,则涉及以下 cmdlet:

  • Teams 保护策略 (*-TeamsProtectionPolicy cmdlets) 打开和关闭 TEAMS 的 ZAP,并指定要用于恶意软件和高置信度钓鱼检测的隔离策略。
  • Teams 保护策略规则 (*-TeamsProtectionPolicyRule cmdlets) 标识 Teams 保护策略,并指定) 用户、组或域 (TEAMS 保护的 ZAP 的任何例外。

注意

  • 组织中只有一个 Teams 保护策略。 默认情况下,该策略名为 Teams 保护策略。
  • 仅当组织中没有 Teams 保护策略时,使用 New-TeamsProtectionPolicy cmdlet 才有意义 (Get-TeamsProtectionPolicy cmdlet 不会) 返回任何内容。 可以运行 cmdlet,而不会出错,但如果已存在,则不会创建新的 Teams 保护策略。
  • (没有 Remove-TeamsProtectionPolicy 或 Remove-TeamsProtectionPolicyRule cmdlet) ,则无法删除现有的 Teams 保护策略或 Teams 保护 策略规则。
  • 默认情况下,没有 Teams 保护策略规则, (Get-TeamsProtectionPolicyRule cmdlet 不会) 返回任何内容。 在 Defender 门户中为 ZAP for Teams 指定隔离策略或例外会自动创建规则。 或者,可以使用 New-TeamsProtectionPolicyRule cmdlet 在 PowerShell 中创建规则(如果尚不存在)。

使用 PowerShell 查看 Teams 保护策略和 Teams 保护策略规则

若要查看 Teams 保护策略和 Teams 保护策略规则中的重要值,请运行以下命令:

Get-TeamsProtectionPolicy | Format-List Name,ZapEnabled,HighConfidencePhishQuarantineTag,MalwareQuarantineTag

Get-TeamsProtectionPolicyRule | Format-List Name,TeamsProtectionPolicy,ExceptIfSentTo,ExceptIfSentToMemberOf,ExceptIfRecipientDomainIs

有关详细语法和参数信息,请参阅 Get-TeamsProtectionPolicyGet-TeamsProtectionPolicyRule

使用 PowerShell 修改 Teams 保护策略

若要修改 Teams 保护策略,请使用以下语法:

Set-TeamsProtectionPolicy -Identity "Teams Protection Policy" [-ZapEnabled <$true | $false>] [-HighConfidencePhishQuarantineTag "<QuarantinePolicyName>"] [-MalwareQuarantineTag "<QuarantinePolicyName>"]

此示例为 Teams 启用 ZAP,并更改用于高置信度钓鱼检测的隔离策略:

Set-TeamsProtectionPolicy -Identity "Teams Protection Policy" -ZapEnabled $true -HighConfidencePhishQuarantineTag AdminOnlyWithNotifications

有关详细语法和参数信息,请参阅 Set-TeamsProtectionPolicy

使用 PowerShell 创建 Teams 保护策略规则

默认情况下,没有 Teams 保护策略规则,因为 ZAP for Teams 没有默认例外。

若要创建新的 Teams 保护策略规则,请使用以下语法:

New-TeamsProtectionPolicyRule -Name "Teams Protection Policy Rule" -TeamsProtectionPolicy "Teams Protection Policy" [-ExceptIfSentTo <UserEmail1,UserEmail2,...UserEmailN>] [-ExceptIfSentToMemberOf <GroupEmail1,GroupEmail2,...GroupEmailN>] [-ExceptIfRecipientDomainIs <Domain1,Domain2,...DomainN>]

重要

如本文前面所述,多个异常类型 (用户、组和域) 使用 OR 逻辑,而不是 AND。

此示例创建 Teams 保护策略规则,其中包含从 ZAP 中排除名为 Research 的组的成员,以便 Teams 保护。

New-TeamsProtectionPolicyRule -Name "Teams Protection Policy Rule" -TeamsProtectionPolicy "Teams Protection Policy" -ExceptIfSentToMemberOf research@contoso.onmicrosoft.com

有关详细语法和参数信息,请参阅 New-TeamsProtectionPolicyRule

使用 PowerShell 修改 Teams 保护策略规则

如果已存在 Teams 保护策略规则 (Get-TeamsProtectionPolicyRule cmdlet 返回输出) ,请使用以下语法修改规则:

Set-TeamsProtectionPolicyRule -Identity "Teams Protection Policy Rule" [-ExceptIfSentTo <UserEmailAddresses | $null>] [-ExceptIfSentToMemberOf <GroupEmailAddresses | $null>] [-ExceptIfRecipientDomainIs <Domains | $null>]

注意

  • 有关添加、删除和替换 ExceptIfSentToExceptIfSentToMemberOfExceptIfRecipientDomainIs 参数的所有值的语法的信息,请参阅 Set-TeamsProtectionPolicyRule 中的参数说明。
  • 若要清空 ExceptIfSentToExceptIfSentToMemberOfExceptIfRecipientDomainIs 参数,请使用值 $null

此示例修改现有的 Teams 保护策略规则,方法是将域中的收件人排除 research.contoso.com,并从 ZAP 中 research.contoso.net 进行 Teams 保护。

Set-TeamsProtectionPolicyRule -Identity "Teams Protection Policy Rule" -ExceptIfRecipientDomainIs research.contoso.com,research.contoso.net

有关详细语法和参数信息,请参阅 Set-TeamsProtectionPolicyRule

另请参阅