在 EOP 和 Microsoft Defender for Office 365 中预设安全策略

提示

你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。

预设的安全策略 允许根据我们推荐的设置向用户应用保护功能。 与无限可配置的自定义策略不同,预设安全策略中的所有设置几乎都是不可配置的,并且基于我们在数据中心的观察结果。 预设安全策略中的设置在将有害内容远离用户的同时避免不必要的中断之间提供了平衡。

根据你的组织,预设的安全策略提供了许多Exchange Online Protection (EOP) Microsoft Defender for Office 365中可用的保护功能。

以下预设安全策略可用:

  • 标准 预设安全策略
  • 严格 预设安全策略
  • 内置保护预设安全策略 (Defender for Office 365) 中安全附件和安全链接保护的默认策略

有关这些预设安全策略的详细信息,请参阅本文末尾的 附录 部分。

本文的其余部分介绍如何配置预设的安全策略。

开始前,有必要了解什么?

  • 在 中打开Microsoft Defender门户https://security.microsoft.com。 若要直接转到 “预设安全策略 ”页,请使用 https://security.microsoft.com/presetSecurityPolicies

  • 若要连接到 Exchange Online PowerShell,请参阅连接到 Exchange Online PowerShell

  • 需要先分配权限,然后才能执行本文中的过程。 可以选择下列选项:

    • Microsoft Defender XDR基于角色的统一访问控制 (RBAC) (如果Email &协作>Defender for Office 365权限为活动。仅影响 Defender 门户,而不影响 PowerShell) :授权和设置/安全设置/核心安全设置 (管理) 授权和设置/安全设置/核心安全设置 (读取)

    • Exchange Online权限

      • 配置预设的安全策略组织管理安全管理员 角色组中的成员身份。
      • 预设安全策略的只读访问权限全局读取者角色组中的成员身份。
    • Microsoft Entra权限全局管理员*安全管理员全局读取者角色的成员身份为用户提供Microsoft 365 中其他功能所需的权限权限。

      重要

      * Microsoft建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。

使用Microsoft Defender门户向用户分配“标准”和“严格”预设安全策略

  1. 在 Microsoft Defender 门户中https://security.microsoft.com,转到“模板化策略”部分中Email &协作>策略& 规则>威胁>策略预设安全策略。 或者,若要直接转到 “预设安全策略 ”页,请使用 https://security.microsoft.com/presetSecurityPolicies

  2. 如果这是你第一次在预设安全策略页上,则很可能已关闭标准保护和严格保护

    将要配置的开关滑动到 ,然后选择“ 管理保护设置” 以启动配置向导。

  3. “应用Exchange Online Protection”页上,确定 EOP 保护应用于 (收件人条件的内部收件人) :

    • 所有收件人

    • 特定收件人:配置显示的以下收件人条件之一:

      • 用户:指定的邮箱、邮件用户或邮件联系人。
        • ) 不支持指定通讯组或启用邮件的安全组的成员 (动态通讯组。
        • 指定的 Microsoft 365 组。
      • :组织中具有指定接受域主电子邮件地址的所有收件人。

    单击相应的框,开始键入值,然后从结果中选择所需的值。 根据需要多次重复此过程。 若要删除现有值,请选择 值旁边的值。

    对于用户或组,可以使用大多数标识符(姓名、显示名称、别名、电子邮件地址、帐户名称等),但是相应的显示名称会显示在结果中。 对于用户或组,输入星号 (*) ,以查看所有可用值。

    只能使用一次条件,但条件可以包含多个值:

    • 同一条件的多个使用 OR 逻辑 (例如 recipient1<><recipient2>) 。 如果收件人与 任何 指定值匹配,则会对其应用策略。

    • 不同类型的条件使用 AND 逻辑。 收件人必须匹配 所有 指定的条件,策略才能应用于他们。 例如,使用以下值配置条件:

      • 用户: romain@contoso.com
      • 组:高管

      当他也是高管组的成员时,才会应用romain@contoso.com该策略。 否则,该策略不适用于他。

    • 排除这些收件人:如果选择了 “所有收件人 ”或“ 特定收件人”,请选择此选项以配置收件人例外。

      只能使用一次异常,但该异常可以包含多个值:

      • 同一异常的多个使用 OR 逻辑 (例如 recipient1<><recipient2>) 。 如果收件人与 任何 指定值匹配,则不会对其应用策略。
      • 不同类型的异常使用 OR 逻辑 (例如,<recipient1><group1> 的成员<domain1>) 的成员。 如果收件人与 任何 指定的异常值匹配,则不会对其应用策略。

    完成“应用Exchange Online Protection”页后,选择“下一步”。

    注意

    在没有Defender for Office 365的组织中,选择“下一步”将转到“审阅”页 (步骤 9) 。

  4. “应用Defender for Office 365保护”页上,确定Defender for Office 365保护应用于 (收件人条件) 的内部收件人。

    设置和行为与上一步中的“应用Exchange Online Protection”页完全相同。

    还可以选择“ 以前选择的收件人 ”,以使用上一页上为 EOP 保护选择的相同收件人。

    完成“应用Defender for Office 365保护”页后,选择“下一步”。

  5. “模拟保护 ”页上,选择“ 下一步”。

  6. “在攻击者模拟时添加要标记的电子邮件地址 ”页上,添加受 用户模拟保护保护的内部和外部发件人。

    注意

    所有收件人在预设安全策略中自动接收 来自邮箱智能 的模拟保护。

    在标准或严格预设安全策略中,最多可以指定 350 个用户进行用户模拟保护。

    如果发件人和收件人以前通过电子邮件进行通信,则用户模拟保护不起作用。 如果发件人和收件人从未通过电子邮件进行通信,则可以将邮件标识为模拟尝试。

    每个条目都包含显示名称和电子邮件地址:

    • 内部用户:单击“ 添加有效电子邮件 ”框,或开始键入用户的电子邮件地址。 在显示的“ 建议的联系人” 下拉列表中选择电子邮件地址。 用户的显示名称将添加到“ 添加名称 ”框中, (可以更改) 。 选择完用户后,选择“ 添加”。

    • 外部用户:在 “添加有效 电子邮件地址”框中键入外部用户的完整电子邮件地址,然后在显示的“ 建议的联系人” 下拉列表中选择该电子邮件地址。 电子邮件地址还会添加到“ 添加名称 ”框中, (可以更改为) 显示名称。

    根据需要重复执行这些步骤(次数不限)。

    添加的用户按 “显示名称” 和“ 发件人电子邮件地址”在页面上列出。 若要删除用户,请选择条目旁边的。

    使用“ 搜索 ”框查找页面上的条目。

    完成“应用Defender for Office 365保护”页后,选择“下一步”。

  7. “在攻击者模拟时添加要标记的域 ”页上,添加受 域模拟保护保护的内部和外部域。

    注意

    你拥有的所有域 (接受的域) 在预设的安全策略中自动接收域模拟保护。

    在标准或严格预设安全策略中,最多可以为域模拟保护指定 50 个自定义域。

    在“ 添加域 ”框中单击,输入域值,按 Enter 键或选择框下方显示的值。 若要从框中删除域并重新启动,请选择域旁边的。 准备好添加域后,请选择“ 添加”。 根据需要重复执行此步骤(次数不限)。

    你添加的域将列在页面上。 若要删除域,请选择 值旁边的 。

    你添加的域将列在页面上。 若要删除域,请选择条目旁边的。

    若要从列表中删除现有条目,请选择 该条目旁边的项。

    完成在 攻击者模拟时添加要标记的域后,选择“ 下一步”。

  8. “将受信任的电子邮件地址和域添加到不标记为模拟 ”页上,输入要从模拟保护中排除的发件人电子邮件地址和域。 来自这些发件人的邮件永远不会标记为模拟攻击,但发件人仍会受到 EOP 和 Defender for Office 365 中的其他筛选器的扫描。

    注意

    受信任的域条目不包括指定域的子域。 需要为每个子域添加一个条目。

    在框中输入电子邮件地址或域,然后按 Enter 键或选择框下方显示的值。 若要从框中删除值并重新启动,请选择值旁边的值 。 准备好添加用户或域时,请选择“ 添加”。 根据需要重复执行此步骤(次数不限)。

    你添加的用户和域按 “名称”“类型”列在页面上。 若要删除条目,请选择 条目旁边的。

    完成“ 添加受信任的电子邮件地址和域以不标记为模拟 ”页后,选择“ 下一步”。

  9. “查看并确认更改 ”页上,查看设置。 可以在向导中选择“ 后退 ”或特定页面来修改设置。

    完成“ 查看并确认更改 ”页后,选择“ 确认”。

  10. “标准保护已更新 ”或“ 严格保护更新 ”页上,选择“ 完成”。

使用 Microsoft Defender 门户修改“标准”和“严格”预设安全策略的分配

修改 标准保护严格保护 预设安全策略分配的步骤与最初 向用户分配预设安全策略时的步骤相同。

若要禁用 标准保护严格保护 预设安全策略,同时仍保留现有条件和异常,请将切换开关滑动到 。 若要启用策略,请将切换开关滑动到

使用 Microsoft Defender 门户向内置保护预设安全策略添加排除项

提示

内置保护预设安全策略应用于组织中具有任意数量的 Defender for Microsoft 365 许可证的所有用户。 在管理员专门配置 Defender for Office 365 保护之前,此应用程序本着保护最广泛的用户集的精神。 由于默认启用了 内置保护 ,因此客户无需担心违反产品许可条款。 但是,我们建议购买足够的 Defender for Office 365 许可证,以确保内置 保护 继续为所有用户提供。

内置保护预设安全策略不会影响在标准严格预设安全策略或自定义安全链接或安全附件策略中定义的收件人。 因此,我们通常不建议对 内置保护 预设安全策略使用异常。

  1. 在 Microsoft Defender 门户中https://security.microsoft.com,转到“模板化策略”部分中的“电子邮件 & 协作>策略& 规则>威胁>策略预设安全策略”。 或者,若要直接转到 “预设安全策略 ”页,请使用 https://security.microsoft.com/presetSecurityPolicies

  2. “预设安全策略”页上,选择“内置保护”部分中 (“不建议) 添加排除项”。

  3. 在打开的“ 从内置保护中排除 ”浮出控件中,标识从内置安全链接和安全附件保护中排除的内部收件人:

    • 用户
      • ) 不支持指定通讯组或启用邮件的安全组的成员 (动态通讯组。
      • 指定的 Microsoft 365 组。

    单击相应的框,开始键入值,然后选择该框下方显示的值。 根据需要多次重复此过程。 若要删除现有值,请选择 值旁边的值。

    对于用户或组,可以使用大多数标识符(姓名、显示名称、别名、电子邮件地址、帐户名称等),但是相应的显示名称会显示在结果中。 对于用户,请单独输入星号 (*) 以查看所有可用值。

    只能使用一次异常,但该异常可以包含多个值:

    • 同一异常的多个使用 OR 逻辑 (例如 recipient1<><recipient2>) 。 如果收件人与 任何 指定值匹配,则不会对其应用策略。
    • 不同类型的异常使用 OR 逻辑 (例如,<recipient1><group1> 的成员<domain1>) 的成员。 如果收件人与 任何 指定的异常值匹配,则不会对其应用策略。
  4. 完成“ 从内置保护中排除 ”浮出控件后,选择“ 保存”。

如何判断这些过程生效了?

若要验证是否已成功向用户分配 标准保护严格保护 安全策略,请使用默认值不同于 标准 保护设置的保护设置,该设置与 严格保护 设置不同。

例如,对于检测到为垃圾邮件的电子邮件 (不高置信度垃圾邮件) 验证邮件是否已传递到 标准保护 用户的“垃圾邮件”文件夹,并为 严格保护 用户隔离。

或者,对于 批量邮件,请验证 BCL 值 6 或更高版本是否将邮件传递到 标准保护 用户的“垃圾邮件”文件夹,BCL 值 5 或更高版本隔离 严格保护 用户的邮件。

Exchange Online PowerShell 中的预设安全策略

在 PowerShell 中,预设的安全策略包含以下元素:

以下部分介绍如何在 受支持的方案中使用这些 cmdlet。

若要连接到 Exchange Online PowerShell,请参阅连接到 Exchange Online PowerShell

使用 PowerShell 查看预设安全策略的各个安全策略

请记住,如果从未在 Microsoft Defender 门户中启用标准预设安全策略或严格预设安全策略,则预设安全策略的关联安全策略不存在。

  • 内置保护预设安全策略:关联的策略命名为 Built-In 保护策略。 对于这些策略,IsBuiltInProtection 属性值为 True。

    若要查看内置保护预设安全策略的各个安全策略,请运行以下命令:

    Write-Output -InputObject ("`r`n"*3),"Built-in protection Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy -Identity "Built-In Protection Policy" | Format-List; Write-Output -InputObject ("`r`n"*3),"Built-in protection Safe Links policy",("-"*79);Get-SafeLinksPolicy -Identity "Built-In Protection Policy" | Format-List
    
  • 标准预设安全策略:关联的策略名为 Standard Preset Security Policy<13-digit number>。 例如,Standard Preset Security Policy1622650008019。 策略的 RecommendPolicyType 属性值为 Standard。

    • 若要在 仅使用 EOP 的组织中查看标准预设安全策略的各个安全策略,请运行以下命令:

      Write-Output -InputObject ("`r`n"*3),"Standard anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"
      
    • 若要查看具有Defender for Office 365的组织中标准预设安全策略的各个安全策略,请运行以下命令:

      Write-Output -InputObject ("`r`n"*3),"Standard anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"
      
  • 严格预设安全策略:关联的策略名为 Strict Preset Security Policy<13-digit number>。 例如,Strict Preset Security Policy1642034872546。 策略的 RecommendPolicyType 属性值为 Strict。

    • 若要查看 仅限 EOP 的组织中严格预设安全策略的各个安全策略,请运行以下命令:

      Write-Output -InputObject ("`r`n"*3),"Strict anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"
      
    • 若要查看具有Defender for Office 365的组织中严格预设安全策略的各个安全策略,请运行以下命令:

      Write-Output -InputObject ("`r`n"*3),"Strict anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"
      

使用 PowerShell 查看预设安全策略的规则

请记住,如果从未在Microsoft Defender门户中启用标准预设安全策略或严格预设安全策略,则这些策略的关联规则不存在。

  • 内置保护预设安全策略:只有一条名为 ATP 的规则 Built-In 保护规则。

    若要查看与内置保护预设安全策略关联的规则,请运行以下命令:

    Get-ATPBuiltInProtectionRule
    
  • 标准预设安全策略:关联的规则名为“标准预设安全策略”。

    使用以下命令查看与标准预设安全策略关联的规则:

    • 若要查看与标准预设安全策略中的 EOP 保护 关联的规则,请运行以下命令:

      Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"
      
    • 若要查看与标准预设安全策略中的Defender for Office 365保护关联的规则,请运行以下命令:

      Get-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"
      
    • 若要同时查看 这两个规则 ,请运行以下命令:

      Write-Output -InputObject ("`r`n"*3),"EOP rule - Standard preset security policy",("-"*79);Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"; Write-Output -InputObject ("`r`n"*3),"Defender for Office 365 rule - Standard preset security policy",("-"*79);Get-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"
      
  • 严格预设安全策略:关联的规则名为严格预设安全策略。

    使用以下命令查看与严格预设安全策略关联的规则:

    • 若要查看与严格预设安全策略中的 EOP 保护 关联的规则,请运行以下命令:

      Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"
      
    • 若要查看与严格预设安全策略中的Defender for Office 365保护关联的规则,请运行以下命令:

      Get-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"
      
    • 若要同时查看 这两个规则 ,请运行以下命令:

      Write-Output -InputObject ("`r`n"*3),"EOP rule - Strict preset security policy",("-"*79);Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"; Write-Output -InputObject ("`r`n"*3),"Defender for Office 365 rule - Strict preset security policy",("-"*79);Get-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"
      

使用 PowerShell 打开或关闭预设安全策略

若要在 PowerShell 中打开或关闭标准或严格预设安全策略,请启用或禁用与策略关联的规则。 规则的 State 属性值显示规则是“已启用”还是“已禁用”。

如果组织仅具有 EOP,则禁用或启用 EOP 保护规则。

如果组织具有Defender for Office 365,则启用或禁用 EOP 保护规则和Defender for Office 365保护规则 (启用或禁用这两个规则) 。

  • 仅具有 EOP 的组织

    • 运行以下命令,确定当前是启用或禁用标准预设和严格预设安全策略的规则:

      Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50); Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50); Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy" | Format-Table Name,State
      
    • 运行以下命令,关闭标准预设安全策略(如果已启用):

      Disable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"
      
    • 运行以下命令,关闭严格预设安全策略(如果已启用):

      Disable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"
      
    • 运行以下命令,在标准预设安全策略处于关闭状态时将其打开:

      Enable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"
      
    • 运行以下命令,在“严格”预设安全策略处于关闭状态时启用它:

      Enable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"
      
  • 具有Defender for Office 365的组织

    • 运行以下命令,确定当前是启用或禁用标准预设和严格预设安全策略的规则:

      Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50);Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject `r`n,"Defender for Office 365 protection rule",("-"*50);Get-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50);Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject `r`n,"Defender for Office 365 protection rule",("-"*50);Get-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy" | Format-Table Name,State
      
    • 运行以下命令,关闭标准预设安全策略(如果已启用):

      Disable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"; Disable-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"
      
    • 运行以下命令,关闭严格预设安全策略(如果已启用):

      Disable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"; Disable-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"
      
    • 运行以下命令,在标准预设安全策略处于关闭状态时将其打开:

      Enable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"; Enable-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"
      
    • 运行以下命令,在“严格”预设安全策略处于关闭状态时启用它:

      Enable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"; Enable-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"
      

使用 PowerShell 指定预设安全策略的收件人条件和例外

只能使用一次收件人条件或例外,但条件或例外可以包含多个值:

  • 相同条件或异常的多个使用 OR 逻辑 (,例如 recipient1<><recipient2>) :

    • 条件:如果收件人与 任何 指定值匹配,则会对其应用策略。
    • 例外:如果收件人与 任何 指定值匹配,则不会对其应用策略。
  • 不同类型的异常使用 OR 逻辑 (例如,<recipient1><group1> 的成员<domain1>) 的成员。 如果收件人与 任何 指定的异常值匹配,则不会对其应用策略。

  • 不同类型的条件使用 AND 逻辑。 收件人必须匹配 所有 指定的条件,策略才能应用于他们。 例如,使用以下值配置条件:

    • 用户: romain@contoso.com
    • 组:高管

    当他也是高管组的成员时,才会应用romain@contoso.com该策略。 否则,该策略不适用于他。

对于内置保护预设安全策略,只能指定收件人例外。 如果所有异常参数值都为空 ($null) ,则策略没有例外。

对于“标准”和“严格”预设安全策略,可以指定 EOP 保护和Defender for Office 365保护的收件人条件和例外。 如果所有条件和异常参数值都为空 ($null) ,则标准或严格预设安全策略没有收件人条件或例外。

  • 内置保护预设安全策略

    使用以下语法:

    Set-ATPBuiltInProtectionRule -Identity "ATP Built-In Protection Rule" -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null>
    

    此示例从内置保护预设安全策略中删除所有收件人例外。

    Set-ATPBuiltInProtectionRule -Identity "ATP Built-In Protection Rule" -ExceptIfRecipientDomainIs $null -ExceptIfSentTo $null -ExceptIfSentToMemberOf $null
    

    有关详细语法和参数信息,请参阅 Set-ATPBuiltInProtectionRule

  • 标准或严格预设安全策略

    使用以下语法:

    <Set-EOPProtectionPolicyRule | SetAtpProtectionPolicyRule> -Identity "<Standard Preset Security Policy | Strict Preset Security Policy>" -SentTo <"user1","user2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -SentToMemberOf <"group1","group2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null> -RecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null>
    

    此示例在标准预设安全策略中为名为 Executives 的通讯组成员配置 EOP 保护的异常。

    Set-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy" -ExceptIfSentToMemberOf Executives
    

    本示例为 SecOps) 邮箱的指定安全操作配置严格预设安全策略中Defender for Office 365保护 (异常。

    Set-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy" -ExceptIfSentTo "SecOps1","SecOps2"
    

    有关详细语法和参数信息,请参阅 Set-EOPProtectionPolicyRuleSet-ATPProtectionPolicyRule

附录

预设安全策略由以下元素组成:

以下部分介绍了这些元素。

此外,了解预设安全策略如何与其他策略 的优先级顺序 相符,这一点很重要。

预设安全策略中的配置文件

配置文件确定保护级别。 以下配置文件可用于预设的安全策略:

  • 标准保护:适合大多数用户的基线配置文件。
  • 严格保护: (高价值目标或优先用户) 所选用户的更积极的配置文件。
  • 内置保护仅 (Microsoft Defender for Office 365) :仅有效提供安全链接和安全附件的默认策略。

通常, 严格保护 配置文件倾向于隔离危害较小的电子邮件 (例如,批量和垃圾邮件) 比 标准保护 配置文件,但两个配置文件中的许多设置是相同的 (,尤其是对于恶意软件或钓鱼) 等无疑有害的电子邮件。 有关设置差异的比较,请参阅下一部分中的表。

在打开配置文件并向其分配用户之前,标准预设和严格预设安全策略不会分配给任何人。 相比之下,内置保护预设安全策略默认分配给所有收件人,但你可以配置例外。

重要

除非对内置保护预设安全策略配置例外,否则组织中的所有收件人都会收到安全链接和安全附件保护。

预设安全策略中的策略

预设的安全策略使用 EOP 和 Microsoft Defender for Office 365 中提供的各个保护策略的特殊版本。 这些策略是在向用户分配标准保护严格保护预设安全策略创建的。

  • EOP 策略:这些策略适用于所有Microsoft 365 个组织中Exchange Online邮箱和没有Exchange Online邮箱的独立 EOP 组织:

    • 名为“标准预设安全策略”和“严格预设安全策略”的反垃圾邮件策略。
    • 名为“标准预设安全策略”和“严格预设安全策略”的反恶意软件策略。
    • 反钓鱼策略 (欺骗保护) 名为 标准预设安全策略严格预设安全策略 (欺骗设置) 。

    注意

    出站垃圾邮件策略不是预设安全策略的一部分。 默认出站垃圾邮件策略会自动保护预设安全策略的成员。 或者,可以创建自定义出站垃圾邮件策略,为预设安全策略的成员自定义保护。 有关详细信息,请参阅 在 EOP 中配置出站垃圾邮件筛选

  • Microsoft Defender for Office 365策略:这些策略位于具有Microsoft 365 E5或Defender for Office 365加载项订阅的组织中:

    • Defender for Office 365名为“标准预设安全策略”和“严格预设安全策略”的反钓鱼策略,其中包括:
    • 名为“标准预设安全策略”、“严格预设安全策略”和“内置保护策略”的安全链接策略。
    • 名为“标准预设安全策略”、“严格预设安全策略”和“内置保护策略”的安全附件策略。

如前所述,可以将 EOP 保护应用于Defender for Office 365保护以外的不同用户,也可以将 EOP 和Defender for Office 365保护应用于同一收件人。

预设安全策略中的策略设置

从根本上讲,不能修改保护配置文件中的单个策略设置。 在多个策略中定义了同一用户 (收件人) 时,自定义相应的默认策略或创建新的自定义策略将不起作用, (始终首先应用标准和严格预设安全策略) 。

但是,你需要配置单个用户 (发件人) 和域,以在Defender for Office 365接收模拟保护。 否则,预设安全策略会自动配置以下类型的模拟保护:

下表总结了标准预设安全策略和严格预设安全策略中有意义的策略设置的差异:

  Standard 严格
反恶意软件策略 无差异 无差异
反垃圾邮件策略
   批量兼容级别 (BCL) 满足或超出BulkSpamAction () 将邮件移动到“垃圾邮件Email”文件夹 (MoveToJmf) 隔离邮件 (Quarantine)
   批量电子邮件阈值 (BulkThreshold) 6 5
   垃圾邮件 检测操作 (SpamAction) 将邮件移动到“垃圾邮件Email”文件夹 (MoveToJmf) 隔离邮件 (Quarantine)
反钓鱼策略
   如果邮件被欺骗智能检测到为欺骗 , (AuthenticationFailAction) 将邮件移动到“垃圾邮件Email”文件夹 (MoveToJmf) 隔离邮件 (Quarantine)
显示第一个触点安全提示 (EnableFirstContactSafetyTips) 所选 ($true) 所选 ($true)
   如果邮箱智能检测到模拟用户 (MailboxIntelligenceProtectionAction) 将邮件移动到“垃圾邮件Email”文件夹 (MoveToJmf) 隔离邮件 (Quarantine)
   网络钓鱼电子邮件阈值 (PhishThresholdLevel) 3 - 更积极的 (3) 4 - 最积极的 (4)
安全附件策略 无差异 无差异
安全链接策略 无差异 无差异

下表总结了内置保护预设安全策略以及标准预设安全策略和严格预设安全策略中的安全附件和安全链接策略设置的差异:

  内置保护 标准与严格
安全附件策略 无差异 无差异
安全链接策略
   让用户单击到原始 URL (AllowClickThrough) 所选 ($true) 未选择 ($false)
   不要重写 URL,仅通过安全链接 API 执行检查 (DisableURLRewrite) 所选 ($true) 未选择 ($false)
   将安全链接应用于组织内发送的电子邮件 (EnableForInternalSenders) 未选择 ($false) 所选 ($true)

有关这些设置的详细信息,请参阅 EOP 和Microsoft Defender for Office 365安全性的建议设置中的功能表。

预设安全策略和其他策略的优先级顺序

在多个策略中定义收件人时,策略将按以下顺序应用:

  1. 严格预设安全策略。
  2. 标准预设安全策略。
  3. 基于策略优先级的自定义策略 (较低的数字表示) 优先级较高。
  4. Defender for Office 365评估策略
  5. 安全链接和安全附件的内置保护预设安全策略;反恶意软件、反垃圾邮件和反钓鱼的默认策略。

换句话说,严格预设安全策略的设置将覆盖标准预设安全策略的设置,这些策略覆盖来自任何自定义策略的设置,这些策略覆盖来自任何防钓鱼、安全链接或安全附件评估策略的设置,这些策略将替代安全链接和安全附件的内置保护预设安全策略的设置, 以及反垃圾邮件、反恶意软件和反钓鱼的默认策略。

此顺序显示在 Defender 门户中各个安全策略的页面上, (策略按) 页面上显示的顺序应用这些策略。

例如,管理员使用同一收件人配置标准预设安全策略和自定义反垃圾邮件策略。 标准预设安全策略中的反垃圾邮件策略设置将应用于用户,而不是自定义反垃圾邮件策略或默认反垃圾邮件策略中配置的内容。

请考虑对部分用户应用标准或严格预设安全策略,并将自定义策略应用于组织中的其他用户以满足特定需求。 若要满足此要求,请考虑以下方法:

  • 在标准预设安全策略、严格预设安全策略和自定义策略中使用明确的组或收件人列表,因此不需要例外。 使用此方法时,无需考虑应用于同一用户的多个策略以及优先级顺序的影响。
  • 如果无法避免将多个策略应用于同一用户,请使用以下策略:
    • 严格预设安全策略中,将应获取标准预设安全策略和自定义策略的设置作为例外的收件人进行配置。
    • 配置应在 标准 预设安全策略中获取自定义策略设置例外的收件人。
    • 将应获取内置保护预设安全策略或默认策略的设置作为自定义策略例外的收件人进行配置。

内置保护预设安全策略不会影响现有安全链接或安全附件策略中的收件人。 如果已配置标准保护严格保护或自定义安全链接或安全附件策略,这些策略始终内置保护之前应用,因此不会对已在现有预设或自定义策略中定义的收件人产生任何影响。

有关详细信息,请参阅 电子邮件保护的顺序和优先级