提示
你知道可以免费试用Office 365计划 2 Microsoft Defender 中的功能吗? 在 Microsoft Defender 门户试用中心使用为期 90 天的 Defender 进行Office 365试用。 了解谁可以在试用Office 365 Microsoft Defender上注册和试用条款。
尽管具有云邮箱的所有组织都包含内置安全功能,但Office 365 Microsoft Defender是 Microsoft 365 的主要电子邮件和协作安全解决方案。
建议使用两个安全级别:Standard和严格。 尽管客户环境和需求不同,但在大多数情况下,这些级别的筛选有助于将不需要的电子邮件排除在用户邮箱之外。
若要自动向用户应用Standard或严格设置,请使用预设安全策略。
本文介绍默认威胁策略设置,以及帮助保护用户的建议Standard和严格设置。 表包含 Microsoft Defender 门户中的设置,Exchange Online PowerShell。
注意
可以使用配置分析器将自定义威胁策略中的设置与建议的Standard或严格值进行比较。 有关详细信息,请参阅 威胁策略的配置分析器。
PowerShell Office 365高级威胁防护建议配置分析器 (ORCA) 模块可帮助管理员查找这些设置的当前值。 具体而言, Get-ORCAReport cmdlet 生成反垃圾邮件、防钓鱼和其他邮件卫生设置的评估。 可以在 下载 ORCA 模块 https://www.powershellgallery.com/packages/ORCA/。
建议将 Outlook 中的“垃圾邮件Email筛选器”设置为“无自动筛选”,以防止与 Microsoft 365 中的垃圾邮件筛选判决 (正面和负面) 不必要的冲突。 有关详细信息,请参阅以下文章:
提示
若要查看本文的下表中的所有信息,请使用
每个表顶部的 Expand 表控件。
所有云邮箱的内置安全功能
本部分中 的内置安全功能 在具有云邮箱的所有组织中均可用。 建议使用Standard或严格配置,如以下小节中的表中所述。
反恶意软件策略设置
若要创建和配置反恶意软件策略,请参阅 配置反恶意软件策略。
隔离策略定义用户可以对隔离邮件执行哪些操作,以及用户是否会收到隔离通知。 有关详细信息,请参阅 隔离策略剖析。
名为 AdminOnlyAccessPolicy 的策略强制实施隔离为恶意软件的邮件的历史功能,如 本文的表中所述。
无论如何配置隔离策略,用户都无法释放自己隔离为恶意软件的邮件。 如果为用户配置了释放这些隔离邮件的策略,则允许用户 请求 释放这些隔离邮件。
| 安全功能名称 | 详细信息 |
|---|---|
| 保护设置 | |
| 启用通用附件筛选器 (EnableFileFilter) |
显示详细信息默认值:所选 ( $true) *Standard:所选 ( $true)严格:所选 ( $true)注释:有关常见附件筛选器中的文件类型列表,请参阅 反恶意软件策略中的常见附件筛选器。 * 在 Defender 门户或 PowerShell 中创建的新反恶意软件策略中,以及 2023 年 12 月 1 日之后创建的组织中的默认反恶意软件策略中,默认 启用 常见附件筛选器。 |
| 常见附件筛选器通知:在 FileTypeAction (找到这些文件类型时,) |
显示详细信息默认值: 拒绝具有未送达报告 (NDR) ( Reject) 的邮件Standard:拒绝未送达报告 (NDR) () Reject严格: 拒绝未送达报告 (NDR) ( Reject) |
| 为 ZapEnabled) (恶意软件启用零小时自动清除 |
显示详细信息默认值:所选 ( $true)Standard:所选 ( $true)严格:所选 ( $true) |
| 隔离策略 (QuarantineTag) |
显示详细信息默认值:AdminOnlyAccessPolicy Standard:AdminOnlyAccessPolicy 严格:AdminOnlyAccessPolicy |
| 管理员通知 | |
| (EnableInternalSenderAdminNotifications 和 InternalSenderAdminAddress) 通知管理员来自内部发件人的未传递邮件 |
显示详细信息默认值:未选择 ( $false)Standard:未选择 ( $false)严格:未选择 ( $false)注释:我们没有针对此设置的具体建议。 |
| (EnableExternalSenderAdminNotifications 和 ExternalSenderAdminAddress) 通知管理员来自外部发件人的未传递邮件 |
显示详细信息默认值:未选择 ( $false)Standard:未选择 ( $false)严格:未选择 ( $false)注释:我们没有针对此设置的具体建议。 |
| 自定义通知 | 注释:我们没有针对这些设置的具体建议。 |
| 使用自定义通知文本 (CustomNotifications) |
显示详细信息默认值:未选择 ( $false)Standard:未选择 ( $false)严格:未选择 ( $false) |
| From name (CustomFromName) |
显示详细信息默认值:空白 Standard:空白 严格:空白 |
| From address (CustomFromAddress) |
显示详细信息默认值:空白 Standard:空白 严格:空白 |
| 自定义来自内部发件人的邮件的通知 |
显示详细信息注释:仅当选择了 “通知管理员来自内部发件人的未传递邮件 ”时,才会使用这些设置。 |
| Subject (CustomInternalSubject) |
显示详细信息默认值:空白 Standard:空白 严格:空白 |
| 消息 (CustomInternalBody) |
显示详细信息默认值:空白 Standard:空白 严格:空白 |
| 自定义来自外部发件人的邮件的通知 | 注释:仅当已选中 “通知管理员有关来自外部发件人的未传递邮件” 时,才会使用这些设置。 |
| Subject (CustomExternalSubject) |
显示详细信息默认值:空白 Standard:空白 严格:空白 |
| 消息 (CustomExternalBody) |
显示详细信息默认值:空白 Standard:空白 严格:空白 |
反垃圾邮件策略设置
若要创建和配置反垃圾邮件策略,请参阅 配置反垃圾邮件策略。
无论在何处选择 “隔离邮件 ”作为垃圾邮件筛选器判决的作,“ 选择隔离策略 ”框都可用。 隔离策略定义用户可以对隔离邮件执行哪些操作,以及用户是否会收到隔离通知。 有关详细信息,请参阅 隔离策略剖析。
如果在 Defender 门户中创建反垃圾邮件策略时将垃圾邮件筛选判决的作更改为“隔离邮件”,则默认情况下,“选择隔离策略”框为空。 空值表示使用了该垃圾邮件筛选判决的默认隔离策略。 这些默认隔离策略强制实施隔离邮件的垃圾邮件筛选器判决的历史功能,如 本文表中所述。 以后查看或编辑反垃圾邮件策略设置时,将显示隔离策略名称。
管理员可以创建或使用具有限制性更强或限制性较低的隔离策略。 有关说明,请参阅在 Microsoft Defender 门户中创建隔离策略。
| 安全功能名称 | 详细信息 |
|---|---|
| 批量电子邮件阈值 & 垃圾邮件属性 | |
| 批量电子邮件阈值 (BulkThreshold) | |
| 批量发送垃圾邮件 (MarkAsSpamBulkMail) |
显示详细信息默认值: ( On)Standard: ( On)严格: ( On)注释:此设置仅在 PowerShell 中可用。 |
| 增加垃圾邮件分数 设置 | |
| 标记为垃圾邮件 设置 | |
| 包含 EnableLanguageBlockList 和 LanguageBlockList (特定语言) |
显示详细信息默认值: 关闭 ( $false 和空白)Standard:关闭 ( $false 和空白)严格: 关闭 ( $false 和空白)注释:我们没有针对此设置的具体建议。 可以根据业务需求以特定语言阻止消息。 |
| 从这些区域 (EnableRegionBlockList 和 RegionBlockList) |
显示详细信息默认值: 关闭 ( $false 和空白)Standard:关闭 ( $false 和空白)严格: 关闭 ( $false 和空白)注释:我们没有针对此设置的具体建议。 可以根据业务需求阻止来自特定区域的消息。 |
| 测试模式 (TestModeAction) | |
| 操作 | |
| 垃圾邮件 检测作 (SpamAction) |
显示详细信息默认值:将邮件移动到垃圾邮件Email文件夹 ( MoveToJmf)Standard:将邮件移动到垃圾邮件Email文件夹 ( MoveToJmf)严格: 隔离邮件 ( Quarantine) |
| Spam (SpamQuarantineTag) 的隔离策略 |
显示详细信息默认值:DefaultFullAccessPolicy¹ Standard:DefaultFullAccessPolicy Strict:DefaultFullAccessWithNotificationPolicy 注释:仅当垃圾邮件检测被隔离时,隔离策略才有意义。 |
| HighConfidenceSpamAction) (高置信度垃圾邮件检测作 |
显示详细信息默认值:将邮件移动到垃圾邮件Email文件夹 ( MoveToJmf)Standard:隔离邮件 ( Quarantine)严格: 隔离邮件 ( Quarantine) |
| 高置信度垃圾邮件的隔离策略 (HighConfidenceSpamQuarantineTag) |
显示详细信息默认值:DefaultFullAccessPolicy¹ Standard:DefaultFullAccessWithNotificationPolicy Strict:DefaultFullAccessWithNotificationPolicy 注释:仅当隔离高置信度垃圾邮件检测时,隔离策略才有意义。 |
| PhishSpamAction) (网络钓鱼检测作 |
显示详细信息默认值:将邮件移动到垃圾邮件Email文件夹 ( MoveToJmf) *Standard:隔离邮件 ( Quarantine)严格: 隔离邮件 ( Quarantine)注释:*默认值为将默认反垃圾邮件策略和 PowerShell 中创建的新反垃圾邮件策略中的“将邮件移动到垃圾邮件Email”文件夹中。 默认值为在 Defender 门户中创建的新反垃圾邮件策略中的 隔离邮件 。 |
| 网络钓鱼的隔离策略 (PhishQuarantineTag) |
显示详细信息默认值:DefaultFullAccessPolicy¹ Standard:DefaultFullAccessWithNotificationPolicy Strict:DefaultFullAccessWithNotificationPolicy 注释:仅当网络钓鱼检测被隔离时,隔离策略才有意义。 |
| 高置信度钓鱼 检测作 (HighConfidencePhishAction) |
显示详细信息默认值: 隔离邮件 ( Quarantine)Standard:隔离邮件 ( Quarantine)严格: 隔离邮件 ( Quarantine)注释:无论如何配置隔离策略,用户都无法释放自己被隔离为高置信度钓鱼的邮件。 如果为用户配置了释放这些隔离邮件的策略,则允许用户 请求 释放这些隔离邮件。 |
| 高置信度钓鱼 (HighConfidencePhishQuarantineTag) 的隔离策略 |
显示详细信息默认值:AdminOnlyAccessPolicy Standard:AdminOnlyAccessPolicy 严格:AdminOnlyAccessPolicy |
| (BulkSpamAction) 满足或超过 BCL (批量兼容级别) |
显示详细信息默认值:将邮件移动到垃圾邮件Email文件夹 ( MoveToJmf)Standard:将邮件移动到垃圾邮件Email文件夹 ( MoveToJmf)严格: 隔离邮件 ( Quarantine) |
| (BulkQuarantineTag) 满足或超过 BCL 的批量兼容级别 (隔离策略) |
显示详细信息默认值:DefaultFullAccessPolicy¹ Standard:DefaultFullAccessPolicy Strict:DefaultFullAccessWithNotificationPolicy 注释:仅当批量检测被隔离时,隔离策略才有意义。 |
| 要对 IntraOrgFilterState (执行作的组织内部消息) |
显示详细信息默认值: 默认 (默认) Standard:默认 (默认) 严格: 默认 (默认) 注释:默认值与选择“高置信度钓鱼邮件”相同。 目前,在 (Microsoft 365 GCC、GCC High 和 DoD) 的美国政府组织中, 默认值 与选择 “无”相同。 |
| 将垃圾邮件隔离区保留这么多天 (QuarantineRetentionPeriod) | |
| 启用垃圾邮件安全提示 (InlineSafetyTipsEnabled) |
显示详细信息默认值:所选 ( $true)Standard:所选 ( $true)严格:所选 ( $true) |
| 为钓鱼邮件启用零小时自动清除 (ZAP) (PhishZapEnabled) |
显示详细信息默认值:所选 ( $true)Standard:所选 ( $true)严格:所选 ( $true) |
| 为垃圾邮件启用 ZAP (SpamZapEnabled) |
显示详细信息默认值:所选 ( $true)Standard:所选 ( $true)严格:所选 ( $true) |
| 允许 & 阻止列表 | |
| 允许的发件人 (AllowedSenders) |
显示详细信息默认值:无 Standard:无 严格:无 |
| 允许的发件人域 (AllowedSenderDomains) | |
| 阻止的发件人 (BlockedSenders) |
显示详细信息默认值:无 Standard:无 严格:无 |
| 阻止的发件人域 (BlockedSenderDomains) |
显示详细信息默认值:无 Standard:无 严格:无 |
¹ 如 完全访问权限和隔离通知中所述,组织可能使用 NotificationEnabledPolicy 而不是 DefaultFullAccessPolicy。 隔离通知在 NotificationEnabledPolicy 中处于打开状态,并在 DefaultFullAccessPolicy 中关闭。
反垃圾邮件策略中的 ASF 设置
有关反垃圾邮件策略中的高级垃圾邮件筛选器 (ASF) 设置的详细信息,请参阅 反垃圾邮件策略中的高级垃圾邮件筛选器 (ASF) 设置。
| 安全功能名称 | 详细信息 |
|---|---|
| 指向远程站点的图像链接 (IncreaseScoreWithImageLinks) |
显示详细信息默认值:关 建议Standard:关 建议的严格:关闭 |
| URL (IncreaseScoreWithNumericIps) 中的数字 IP 地址 |
显示详细信息默认值:关 建议Standard:关 建议的严格:关闭 |
| URL 重定向到其他端口 (IncreaseScoreWithRedirectToOtherPort) |
显示详细信息默认值:关 建议Standard:关 建议的严格:关闭 |
| 指向 .biz 或 .info 网站的链接 (IncreaseScoreWithBizOrInfoUrls) |
显示详细信息默认值:关 建议Standard:关 建议的严格:关闭 |
| (MarkAsSpamEmptyMessages) 空消息 |
显示详细信息默认值:关 建议Standard:关 建议的严格:关闭 |
| 在 HTML (MarkAsSpamEmbedTagsInHtml) 中嵌入标记 |
显示详细信息默认值:关 建议Standard:关 建议的严格:关闭 |
| HTML 中的 JavaScript 或 VBScript (MarkAsSpamJavaScriptInHtml) |
显示详细信息默认值:关 建议Standard:关 建议的严格:关闭 |
| HTML 中的表单标记 (MarkAsSpamFormTagsInHtml) |
显示详细信息默认值:关 建议Standard:关 建议的严格:关闭 |
| HTML 中的框架或 iframe 标记 (MarkAsSpamFramesInHtml) |
显示详细信息默认值:关 建议Standard:关 建议的严格:关闭 |
| HTML (MarkAsSpamWebBugsInHtml) 中的 Web bug |
显示详细信息默认值:关 建议Standard:关 建议的严格:关闭 |
| HTML 中的对象标记 (MarkAsSpamObjectTagsInHtml) |
显示详细信息默认值:关 建议Standard:关 建议的严格:关闭 |
| MarkAsSpamSensitiveWordList) (敏感字词 |
显示详细信息默认值:关 建议Standard:关 建议的严格:关闭 |
| SPF 记录: (MarkAsSpamSpfRecordHardFail) |
显示详细信息默认值:关 建议Standard:关 建议的严格:关闭 |
| 发件人 ID 筛选硬失败 (MarkAsSpamFromAddressAuthFail) |
显示详细信息默认值:关 建议Standard:关 建议的严格:关闭 |
| Backscatter (MarkAsSpamNdrBackscatter) |
显示详细信息默认值:关 建议Standard:关 建议的严格:关闭 |
| 测试模式 (TestModeAction) |
显示详细信息默认值:无 建议Standard:无 建议的严格:无 注释:对于支持 “测试 ”作为作的 ASF 设置,可以将测试模式作配置为 “无”、“ 添加默认 X 标头文本”或“ 发送密件抄送消息 ” None (、 AddXHeader或 BccMessage) 。 有关详细信息,请参阅 启用、禁用或测试 ASF 设置。 |
注意
ASF 在 Exchange 邮件流规则 (也称为传输规则) 处理邮件后向邮件添加 X-CustomSpam: X 标头字段,因此不能使用邮件流规则来识别和处理 ASF 筛选的邮件。
出站垃圾邮件策略设置
若要创建和配置出站垃圾邮件策略,请参阅 配置出站垃圾邮件筛选。
有关服务中默认发送限制的详细信息,请参阅 发送限制。
注意
出站垃圾邮件策略不是Standard或严格预设安全策略的一部分。 Standard和 Strict 值指示默认出站垃圾邮件策略或创建的自定义出站垃圾邮件策略中的建议值。
| 安全功能名称 | 详细信息 |
|---|---|
| (RecipientLimitExternalPerHour) 设置外部邮件限制 |
显示详细信息默认:0 建议Standard:500 建议严格:400 注释:默认值 0 表示使用服务默认值。 |
| (RecipientLimitInternalPerHour) 设置内部邮件限制 |
显示详细信息默认:0 建议Standard:1000 建议严格:800 注释:默认值 0 表示使用服务默认值。 |
| (RecipientLimitPerDay) 设置每日邮件限制 |
显示详细信息默认:0 建议Standard:1000 建议严格:800 注释:默认值 0 表示使用服务默认值。 |
| 对达到邮件限制 的用户施加限制 (ActionWhenThresholdReached) |
显示详细信息默认值: 限制用户直到第二天发送邮件 ( BlockUserForToday)建议Standard:限制用户发送邮件 ( BlockUser)建议的严格: 限制用户 发送邮件 ( BlockUser) |
| 自动转发规则 (AutoForwardingMode) |
显示详细信息默认值: 自动 - 系统控制的 ( Automatic)建议Standard:自动 - 系统控制的 ( Automatic)建议的严格: 自动 - 系统控制的 ( Automatic)注释:值 Automatic - System-controlled () Automatic 等效于 Off - forwarding () 禁用Off 。 有关详细信息,请参阅 控制自动外部电子邮件转发。 |
| 向这些用户和组发送超出这些限制的出站邮件的副本 (BccSuspiciousOutboundMail 和 BccSuspiciousOutboundAdditionalRecipients) |
显示详细信息默认值:未选择 ( $false 和空白)建议的Standard:未选择 ( $false 和空白)建议的严格:未选择 ( $false 和空白)注释:此设置仅适用于默认出站垃圾邮件策略。 它在创建的自定义出站垃圾邮件策略中不起作用。 Microsoft SecureScore 建议“确保Exchange Online垃圾邮件策略”设置为通知管理员建议配置此值。 |
| 如果发件人因发送出站垃圾邮件 (NotifyOutboundSpam 和 NotifyOutboundSpamRecipients 而被阻止,通知这些用户和组) |
显示详细信息默认值:未选择 ( $false 和空白)建议的Standard:未选择 ( $false 和空白)建议的严格:未选择 ( $false 和空白)注释:在用户因超出策略中的限制而被阻止时,名为“用户无法发送电子邮件”的默认警报策略已将电子邮件通知发送给 TenantAdmins 组) 的成员 (全局管理员成员。 有关说明,请参阅 验证受限用户的警报设置。 尽管我们建议使用警报策略而不是出站垃圾邮件策略中的此设置来通知管理员和其他用户,但Microsoft SecureScore 建议确保Exchange Online垃圾邮件策略设置为通知管理员建议配置此值。 |
所有云邮箱的防钓鱼策略设置
本部分所述的防钓鱼策略设置是包含云邮箱的所有组织中的 内置安全功能 的一部分。 有关这些设置的详细信息,请参阅 欺骗设置。 若要配置这些设置,请参阅 为所有云邮箱配置反钓鱼策略。
欺骗设置是相互关联的,但 “显示第一个接触安全提示 ”设置不依赖于欺骗设置。
隔离策略定义用户可以对隔离邮件执行哪些操作,以及用户是否会收到隔离通知。 有关详细信息,请参阅 隔离策略剖析。
虽然在 Defender 门户中创建防钓鱼 策略时,应用隔离策略 值显示为未选中状态,但如果未选择隔离策略,则会使用名为 DefaultFullAccessPolicy¹ 的隔离策略。 此策略强制实施隔离为欺骗的邮件的历史功能,如 本文表中所述。 以后查看或编辑防钓鱼策略设置时,将显示隔离策略名称。
管理员可以创建或使用具有限制性更强或限制性较低的隔离策略。 有关说明,请参阅在 Microsoft Defender 门户中创建隔离策略。
| 安全功能名称 | 详细信息 |
|---|---|
| 恶搞 | |
| 启用欺骗智能 (EnableSpoofIntelligence) |
显示详细信息默认值:所选 ( $true)Standard:所选 ( $true)严格:所选 ( $true) |
| 操作 | |
| 当消息被检测为欺骗时,请遵循 DMARC 记录策略 (HonorDmarcPolicy) |
显示详细信息默认值:所选 ( $true)Standard:所选 ( $true)严格:所选 ( $true)注释:启用此设置后,可以控制当 DMARC TXT 记录中的策略作设置为 p=quarantine 或 p=reject时发件人未通过显式 DMARC 检查的邮件会发生什么情况。 有关详细信息,请参阅 欺骗保护和发件人 DMARC 策略。 |
| 如果邮件被检测为欺骗,并且 DMARC 策略设置为 p=隔离 (DmarcQuarantineAction) |
显示详细信息默认值: 将邮件隔离 ( Quarantine)Standard:将邮件隔离 ( Quarantine)严格: 将邮件隔离 ( Quarantine)注释:仅当 “荣耀 DMARC 记录策略”检测到邮件为“欺骗 ”处于打开状态时,此作才有意义。 |
| 如果邮件被检测为欺骗,并且 DMARC 策略设置为 p=reject (DmarcRejectAction) |
显示详细信息默认值: 拒绝 消息 ( Reject)Standard:拒绝邮件 ( Reject)严格: 拒绝 消息 ( Reject)注释:仅当 “荣耀 DMARC 记录策略”检测到邮件为“欺骗 ”处于打开状态时,此作才有意义。 |
| 如果邮件被欺骗智能检测到为欺骗 , (AuthenticationFailAction) |
显示详细信息默认值:将邮件移动到收件人的垃圾邮件Email文件夹 ( MoveToJmf)Standard:将邮件移动到收件人的“垃圾邮件Email”文件夹 ( MoveToJmf)严格: 将邮件隔离 ( Quarantine)注释:此设置适用于自动阻止的欺骗发件人,如欺骗 智能见解 中所示或在 租户允许/阻止列表中手动阻止。 如果选择“ 隔离邮件 ”作为欺骗判决的作,则可以使用 “应用隔离策略 ”框。 |
| Spoof (SpoofQuarantineTag) 的隔离策略 |
显示详细信息默认值:DefaultFullAccessPolicy¹ Standard:DefaultFullAccessPolicy Strict:DefaultFullAccessWithNotificationPolicy 注释:仅当欺骗检测被隔离时,隔离策略才有意义。 |
| 显示第一个触点安全提示 (EnableFirstContactSafetyTips) | |
| 针对欺骗 (EnableUnauthenticatedSender) 显示未经身份验证的发件人的 (?) |
显示详细信息默认值:所选 ( $true)Standard:所选 ( $true)严格:所选 ( $true)注释:在 Outlook 中向发件人的照片添加问号 (?) ,供身份不明的欺骗发件人使用。 有关详细信息,请参阅 未经身份验证的发件人指示器。 |
| 显示“via”标记 (EnableViaTag) |
显示详细信息默认值:所选 ( $true)Standard:所选 ( $true)严格:所选 ( $true)注释:如果通过标记 ( chris@contoso.com via fabrikam.com) 添加到发件人地址,如果它不同于 DKIM 签名中的域或 MAIL FROM 地址。有关详细信息,请参阅 未经身份验证的发件人指示器。 |
¹ 如 完全访问权限和隔离通知中所述,组织可能使用 NotificationEnabledPolicy 而不是 DefaultFullAccessPolicy。 隔离通知在 NotificationEnabledPolicy 中处于打开状态,并在 DefaultFullAccessPolicy 中关闭。
Office 365安全性Microsoft Defender
如果你的 Microsoft 365 订阅包括 Defender for Office 365 或你购买的 Defender for Office 365 作为加载项,你将获得以下小节中所述的额外安全功能。 有关 Defender for Office 365 功能的最新新闻和信息,请参阅 Defender for Office 365 中的新增功能。
重要
Defender for Office 365 中默认的反钓鱼策略为所有收件人提供欺骗保护和邮箱智能。 但是,默认策略中未配置其他可用的模拟保护和钓鱼电子邮件阈值设置。 若要启用所有防钓鱼防护功能,请执行以下步骤一个或多个:
- 打开并使用Standard和/或严格预设安全策略,并在其中配置模拟保护。
- 修改默认的防钓鱼策略。
- 创建自定义防钓鱼策略。
虽然没有默认的安全附件策略或安全链接策略,但内置保护预设安全策略为Standard预设安全策略、严格预设安全策略或自定义安全附件或安全链接策略中未定义的所有收件人提供安全附件保护和安全链接保护。 有关详细信息,请参阅 预设安全策略。
SharePoint、OneDrive 和 Microsoft Teams 保护和 安全文档 保护的安全附件不依赖于安全链接策略。
Office 365 Microsoft Defender 中的Microsoft Teams 保护设置不依赖于预设的安全策略、任何自定义威胁策略或默认威胁策略。
建议使用适用于 Office 365 的 Defender Standard 或严格配置,如以下各小节中的表中所述。
Office 365 Microsoft Defender 中的防钓鱼策略设置
使用云邮箱的所有Microsoft 365 个组织都获得如 前所述防钓鱼保护。 但 Defender for Office 365 包含更多功能和控制,可帮助防止、检测和修正网络钓鱼攻击。 若要创建和配置这些防钓鱼策略,请参阅在 Defender for Office 365 中配置反钓鱼策略。
Office 365 的 Microsoft Defender 反钓鱼策略中的钓鱼电子邮件阈值
有关此设置的详细信息,请参阅 Office 365 Microsoft Defender 中的防钓鱼策略中的钓鱼电子邮件阈值。 若要配置此设置,请参阅在 Defender for Office 365 中配置反钓鱼策略。
| 安全功能名称 | 详细信息 |
|---|---|
| 网络钓鱼电子邮件阈值 (PhishThresholdLevel) |
默认值:1 - Standard (1)Standard:3 - 更积极的 ( 3)严格: 4 - 最积极的 ( 4) |
Microsoft Defender for Office 365 的防钓鱼策略中的模拟设置
有关这些设置的详细信息,请参阅 Microsoft Defender Office 365 中的防钓鱼策略中的模拟设置。 若要配置这些设置,请参阅在 Defender for Office 365 中配置反钓鱼策略。
无论在何处选择“ 隔离邮件 ”作为模拟判决的作,“ 应用隔离策略 ”框都可用。 隔离策略定义用户可以对隔离邮件执行哪些操作,以及用户是否会收到隔离通知。 有关详细信息,请参阅 隔离策略剖析。
虽然在 Defender 门户中创建反钓鱼 策略时,应用隔离策略 值显示为未选中状态,但如果未选择隔离策略,则会使用名为 DefaultFullAccessPolicy 的隔离策略。 此策略强制实施隔离为模拟的邮件的历史功能,如 本文表中所述。 以后查看或编辑防钓鱼策略设置时,将显示隔离策略名称。
管理员可以创建或使用具有限制性更强或限制性较低的隔离策略。 有关说明,请参阅在 Microsoft Defender 门户中创建隔离策略。
| 安全功能名称 | 详细信息 |
|---|---|
| 模拟 | |
| 用户模拟保护: 使用户能够保护 (EnableTargetedUserProtection 和 TargetedUsersToProtect) |
显示详细信息默认值:未选择 ( $false ,无)Standard:所选 ( $true 和<用户>) 列表严格:所选 ( $true 和 <用户> 列表)注释:建议在关键角色中添加用户 (消息发件人) 。 在内部,受保护的发件人可能是你的 CEO、CFO 和其他高级领导人。 在外部,受保护的发件人可以包括理事会成员或董事会。 |
| 域模拟保护: 启用域保护 |
显示详细信息默认值:未选择 Standard:已选择 严格:已选择 |
| 包括我拥有 的域 (EnableOrganizationDomainsProtection) |
显示详细信息默认值:关闭 ( $false)Standard:所选 ( $true)严格:所选 ( $true) |
| 包括自定义域 (EnableTargetedDomainsProtection 和 TargetedDomainsToProtect) |
显示详细信息默认值:关闭 ( $false ,无)Standard:所选 ( $true 和<域>列表)严格:所选 ( $true 和 <域> 列表)注释:建议 (你不拥有但经常与之交互的发件人域) 添加域。 |
| (ExcludedSenders 和 ExcludedDomains) 添加受信任的发件人和域 |
显示详细信息默认值:无 Standard:无 严格:无 注释:根据你的组织,我们建议添加错误地标识为模拟尝试的发件人或域。 |
| 启用邮箱智能 (EnableMailboxIntelligence) |
显示详细信息默认值:所选 ( $true)Standard:所选 ( $true)严格:所选 ( $true) |
| 为模拟保护启用智能 (EnableMailboxIntelligenceProtection) |
显示详细信息默认值:关闭 ( $false)Standard:所选 ( $true)严格:所选 ( $true)注释:此设置允许对邮箱智能进行模拟检测的指定作。 |
| 操作 | |
| 如果检测到消息为用户模拟 (TargetedUserProtectionAction) |
显示详细信息默认值: 不应用任何作 ( NoAction)Standard:将邮件隔离 ( Quarantine)严格: 将邮件隔离 ( Quarantine) |
| 用于用户模拟 (TargetedUserQuarantineTag) 的隔离策略 |
显示详细信息默认值:DefaultFullAccessPolicy¹ Standard:DefaultFullAccessWithNotificationPolicy Strict:DefaultFullAccessWithNotificationPolicy 注释:仅当隔离了用户模拟检测时,隔离策略才有意义。 |
| 如果检测到消息为域模拟 (TargetedDomainProtectionAction) |
显示详细信息默认值: 不应用任何作 ( NoAction)Standard:将邮件隔离 ( Quarantine)严格: 将邮件隔离 ( Quarantine) |
| 用于域模拟的隔离策略 (TargetedDomainQuarantineTag) |
显示详细信息默认值:DefaultFullAccessPolicy¹ Standard:DefaultFullAccessWithNotificationPolicy Strict:DefaultFullAccessWithNotificationPolicy 注释:仅当已隔离域模拟检测时,隔离策略才有意义。 |
| 如果邮箱智能检测到模拟用户 (MailboxIntelligenceProtectionAction) |
显示详细信息默认值: 不应用任何作 ( NoAction)Standard:将邮件移动到收件人的“垃圾邮件Email”文件夹 ( MoveToJmf)严格: 将邮件隔离 ( Quarantine) |
| 邮箱智能模拟的隔离策略 (MailboxIntelligenceQuarantineTag) |
显示详细信息默认值:DefaultFullAccessPolicy¹ Standard:DefaultFullAccessPolicy Strict:DefaultFullAccessWithNotificationPolicy 注释:仅当邮箱智能检测被隔离时,隔离策略才有意义。 |
| 显示用户模拟安全提示 (EnableSimilarUsersSafetyTips) |
显示详细信息默认值:关闭 ( $false)Standard:所选 ( $true)严格:所选 ( $true) |
| 显示域模拟安全提示 (EnableSimilarDomainsSafetyTips) |
显示详细信息默认值:关闭 ( $false)Standard:所选 ( $true)严格:所选 ( $true) |
| 显示用户模拟异常字符安全提示 (EnableUnusualCharactersSafetyTips) |
显示详细信息默认值:关闭 ( $false)Standard:所选 ( $true)严格:所选 ( $true) |
¹ 如 完全访问权限和隔离通知中所述,组织可能使用 NotificationEnabledPolicy 而不是 DefaultFullAccessPolicy。 隔离通知在 NotificationEnabledPolicy 中处于打开状态,并在 DefaultFullAccessPolicy 中关闭。
Defender for Office 365 中所有云邮箱的防钓鱼策略设置
Defender for Office 365 中还提供了前面所述的所有云邮箱的防钓鱼策略设置。
安全附件设置
Defender for Office 365 中的安全附件包括与安全附件策略不相关的全局设置,以及特定于每个安全附件策略的设置。 有关详细信息,请参阅Office 365 Microsoft Defender中的安全附件。
虽然没有默认的安全附件策略,但内置保护预设安全策略为Standard或严格预设安全策略或自定义安全附件策略中未定义的所有收件人提供安全附件保护。 有关详细信息,请参阅 预设安全策略。
安全附件的全局设置
注意
安全附件的全局设置由内置保护预设安全策略设置,但不由Standard或严格预设安全策略设置。 无论哪种方式,管理员都可以随时修改这些全局安全附件设置。
下表中的 “默认” 列显示 内置保护 预设安全策略存在之前的值。 “内置保护”列显示由内置保护预设安全策略设置的值,这也是建议的值。
若要配置这些设置,请参阅在 Microsoft 365 E5 中启用 SharePoint、OneDrive 和 Microsoft Teams和安全文档的安全附件。
在 Exchange Online PowerShell 中,将 Set-AtpPolicyForO365 cmdlet 用于这些设置。
| 安全功能名称 | 详细信息 |
|---|---|
| 启用 Defender for Office 365 for SharePoint、OneDrive 和 Microsoft Teams (EnableATPForSPOTeamsODB) |
显示详细信息默认值:关闭 ( $false)内置保护: ( $true)注释:若要防止用户下载恶意文件,请参阅 使用 SharePoint Online PowerShell 阻止用户下载恶意文件。 |
| 启用 Office 客户端的安全文档 (EnableSafeDocs) |
显示详细信息默认值:关闭 ( $false)内置保护: ( $true)注释:此功能仅在 Defender for Office 365 (中未包含的许可证(例如,Microsoft 365 A5或Microsoft Defender 套件) )可用且有意义。 有关详细信息,请参阅 Microsoft 365 A5 或 E5 安全性中的安全文档。 |
| 允许用户单击受保护的视图,即使安全文档将文件标识为恶意 (AllowSafeDocsOpen) |
显示详细信息默认值:关闭 ( $false)内置保护:关闭 ( $false)注释:此设置与安全文档相关。 |
安全附件策略设置
若要配置这些设置,请参阅在 Defender for Office 365 中设置安全附件策略。
在 Exchange Online PowerShell 中,对这些设置使用 New-SafeAttachmentPolicy 和 Set-SafeAttachmentPolicy cmdlet。
注意
如前所述,虽然没有默认的安全附件策略,但内置保护预设安全策略为Standard预设安全策略、严格预设安全策略或自定义安全附件策略中未定义的所有收件人提供安全附件保护。
下表 中的“自定义 ”列中的“默认值”是指你创建的新安全附件策略中的默认值。 其余列指示 (,除非) 相应预设安全策略中配置的值另有说明。
隔离策略定义用户可以对隔离邮件执行哪些操作,以及用户是否会收到隔离通知。 有关详细信息,请参阅 隔离策略剖析。
名为 AdminOnlyAccessPolicy 的策略强制实施隔离为恶意软件的邮件的历史功能,如 本文的表中所述。
无论如何配置隔离策略,用户都无法释放自己被安全附件隔离为恶意软件或网络钓鱼的邮件。 如果为用户配置了释放这些隔离邮件的策略,则允许用户 请求 释放这些隔离邮件。
| 安全功能名称 | 详细信息 |
|---|---|
| 安全附件未知恶意软件响应 (启用 和 作) |
显示详细信息自定义中的默认值: 关闭 ( -Enable $false 和 -Action Block)内置保护: 阻止 ( -Enable $true 和 -Action Block)Standard:阻止 ( -Enable $true 和 -Action Block)严格: 阻止 ( -Enable $true 和 -Action Block)注释:当 Enable 参数$false时, Action 参数的值并不重要。 |
| 隔离策略 (QuarantineTag) |
显示详细信息自定义中的默认值:AdminOnlyAccessPolicy 内置保护:AdminOnlyAccessPolicy Standard:AdminOnlyAccessPolicy 严格:AdminOnlyAccessPolicy |
| 使用检测到的附件重定向附件 : 启用重定向 (重定向 和 RedirectAddress) |
显示详细信息自定义中的默认值:未选择且未指定电子邮件地址。 -Redirect $false (和 RedirectAddress 为空白)内置保护:未选择且未指定电子邮件地址。 -Redirect $false (和 RedirectAddress 为空白)Standard:未选择且未指定电子邮件地址。 -Redirect $false (和 RedirectAddress 为空白)严格:未选择且未指定电子邮件地址。 -Redirect $false (和 RedirectAddress 为空白)注释:仅当 “安全附件未知恶意软件响应 ”值为 “监视 ( -Enable $true 和 -Action Allow) 时,邮件重定向才可用。 |
安全链接策略设置
有关安全链接保护的详细信息,请参阅 Defender for Office 365 中的安全链接。
虽然没有默认的安全链接策略,但内置保护预设安全策略为Standard预设安全策略、严格预设安全策略或自定义安全链接策略中未定义的所有收件人提供安全链接保护。 有关详细信息,请参阅 预设安全策略。
若要配置安全链接策略设置,请参阅在 Microsoft Defender 中为Office 365设置安全链接策略。
在 Exchange Online PowerShell 中,将 New-SafeLinksPolicy 和 Set-SafeLinksPolicy cmdlet 用于安全链接策略设置。
注意
自定义列中的默认值是指你创建的新安全链接策略中的默认值。 其余列指示在相应的预设安全策略中配置的值。
| 安全功能名称 | 详细信息 |
|---|---|
| URL & 单击“保护设置” | |
| 电子邮件 | 注释:本部分中的设置会影响电子邮件中的 URL 重写和单击保护时间。 |
| 开:当用户单击电子邮件中的链接时,安全链接会检查已知恶意链接的列表。 默认情况下会重写 URL。 (EnableSafeLinksForEmail) |
显示详细信息自定义中的默认值:所选 ( $true)内置保护:所选 ( $true)Standard:所选 ( $true)严格:所选 ( $true) |
| 将安全链接应用于组织内发送的电子邮件 (EnableForInternalSenders) |
显示详细信息自定义中的默认值:所选 ( $true)内置保护:未选择 ( $false)Standard:所选 ( $true)严格:所选 ( $true) |
| 对指向 ScanUrls (文件的可疑链接和链接应用实时 URL 扫描) |
显示详细信息自定义中的默认值:所选 ( $true)内置保护:所选 ( $true)Standard:所选 ( $true)严格:所选 ( $true) |
| 等待 URL 扫描完成,然后传递消息 (DeliverMessageAfterScan) |
显示详细信息自定义中的默认值:所选 ( $true)内置保护:所选 ( $true)Standard:所选 ( $true)严格:所选 ( $true) |
| 不要重写 URL,仅通过安全链接 API 执行检查 (DisableURLRewrite) |
显示详细信息自定义中的默认值:所选 ( $false) *内置保护:所选 ( $true)Standard:未选择 ( $false)严格:未选择 ( $false)注释: * 在 Defender 门户中创建的新策略中,默认设置处于选中状态。 在 PowerShell 中创建的新策略中,默认值为 $false。 |
| 请勿重写电子邮件中的以下 URL (DoNotRewriteUrls) |
显示详细信息自定义中的默认值:空白 内置保护:空白 Standard:空白 严格:空白 注释:我们没有针对此设置的具体建议。 注意:在邮件流期间,安全链接不会扫描或包装“请勿重写以下 URL”列表中的条目。 在 确认 URL 干净 后报告该 URL,然后选择“ 允许此 URL ”将允许条目添加到“租户允许/阻止列表”,以便在邮件流期间 和 单击时,安全链接不会扫描或包装该 URL。 有关说明,请参阅 向Microsoft报告正确的 URL。 |
| Teams | 注释:本部分中的设置会影响 Microsoft Teams 中的单击保护时间。 |
| 打开:当用户单击Microsoft Teams 中的链接时,安全链接会检查已知恶意链接的列表。 不会重写 URL。 (EnableSafeLinksForTeams) |
显示详细信息自定义中的默认值:所选 ( $true)内置保护:所选 ( $true)Standard:所选 ( $true)严格:所选 ( $true) |
| Office 365应用 | 注释:本部分中的设置会影响 Office 应用中的单击保护时间。 |
| 打开:当用户单击 Office 应用中的链接时,安全链接会检查已知恶意链接的列表Microsoft。 不会重写 URL。 (EnableSafeLinksForOffice) |
显示详细信息自定义中的默认值:所选 ( $true)内置保护:所选 ( $true)Standard:所选 ( $true)严格:所选 ( $true)注释:在受支持的Office 365桌面和移动设备 (iOS 和 Android) 应用中使用安全链接。 有关详细信息,请参阅 Office 应用的安全链接设置。 |
| 单击“保护设置” | |
| 跟踪用户单击 (TrackClicks) |
显示详细信息自定义中的默认值:所选 ( $true)内置保护:所选 ( $true)Standard:所选 ( $true)严格:所选 ( $true) |
| 让用户单击到原始 URL (AllowClickThrough) |
显示详细信息自定义中的默认值:所选 ( $false) *内置保护:所选 ( $true)Standard:未选择 ( $false)严格:未选择 ( $false)注释: * 在 Defender 门户中创建的新策略中,默认设置处于选中状态。 在 PowerShell 中创建的新策略中,默认值为 $false。 |
| 在通知和警告页上显示组织品牌 (EnableOrganizationBranding) |
显示详细信息自定义中的默认值:未选择 ( $false)内置保护:未选择 ( $false)Standard:未选择 ( $false)严格:未选择 ( $false)注释:我们没有针对此设置的具体建议。 在启用此设置之前,需要按照为 组织自定义Microsoft 365 主题 中的说明上传公司徽标。 |
| 通知 | |
| 你希望如何通知用户? (CustomNotificationText 和 UseTranslatedNotificationText) |
显示详细信息自定义中的默认值: 使用默认通知文本 (空白和 $false)内置保护: 使用默认通知文本 (空白和 $false)Standard:使用默认通知文本 (空白和 $false)严格: 使用默认通知文本 (空白和 $false)注释:我们没有针对此设置的具体建议。 可以选择“ 使用自定义通知文本 ( -CustomNotificationText "<Custom text>") ”以输入和使用自定义通知文本。 如果指定自定义文本,还可以选择“ 使用Microsoft翻译器进行自动本地化 (-UseTranslatedNotificationText $true) 自动将文本翻译成用户的语言。 |
Office 365 Microsoft Defender中Microsoft Teams 保护设置
有关Microsoft Teams 保护的详细信息,请参阅Microsoft Teams Office 365支持Microsoft Defender。
在 Exchange Online PowerShell 中,将 New-TeamsProtectionPolicy 和 Set-TeamsProtectionPolicy cmdlet 用于Microsoft Teams 保护设置。
注意
Microsoft Teams 防护不属于Standard或严格预设安全策略、任何自定义威胁策略或默认威胁策略。 Standard和 Strict 值指示建议的值。
| 安全功能名称 | 详细信息 |
|---|---|
| 零小时自动清除 (ZAP) (ZapEnabled) |
显示详细信息默认值: ( $true)Standard: ( $true)严格: 在 ( $true) |
| 隔离策略 | |
| Malware (MalwareQuarantineTag) |
显示详细信息默认值:AdminOnlyAccessPolicy Standard:AdminOnlyAccessPolicy 严格:AdminOnlyAccessPolicy |
| 高置信度钓鱼 (HighConfidencePhishQuarantineTag) |
显示详细信息默认值:AdminOnlyAccessPolicy Standard:AdminOnlyAccessPolicy 严格:AdminOnlyAccessPolicy |
相关文章
是否正在寻找 Exchange 邮件流规则 (也称为传输规则) 的最佳做法? 请参阅在 Exchange Online 中配置邮件流规则的最佳做法。
管理员和用户可以提交误报 (良好电子邮件标记为坏) 和误报, (允许) Microsoft的错误电子邮件进行分析。 有关详细信息,请参见向 Microsoft 报告邮件和文件。
可以在以下文章中找到 适用于 Windows 的安全基线 :
- 组策略: 在哪里可以获取安全基线?
- Microsoft Intune*:使用安全基线在 Intune 中配置 Windows 设备,实现基于Intune的安全性。
- Microsoft Defender for Endpoint和Microsoft Intune安全基线的比较:比较Microsoft Defender for Endpoint和 Windows Intune安全基线。