Microsoft Defender for Office 365中的安全链接

提示

你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。

重要

本文适用于拥有 Microsoft Defender for Office 365的企业客户。 如果使用 Outlook.com、Microsoft 365 家庭版或Microsoft 365 个人版,并且正在 Outlook.com 中查找有关 Safelinks 的信息,请参阅 Microsoft 365 订阅者的高级 Outlook.com 安全性

在具有Microsoft Defender for Office 365的组织中,安全链接扫描可保护组织免受网络钓鱼和其他攻击中使用的恶意链接的侵害。 具体而言,安全链接在邮件流期间提供入站电子邮件的 URL 扫描和重写,以及电子邮件、Teams 和受支持的Office 365应用中 URL 和链接的点击时间验证。 除了常规的反垃圾邮件和反恶意软件保护之外,还会进行安全链接扫描。

观看此简短视频,了解如何在 Microsoft Defender for Office 365 中使用安全链接防范恶意链接。

注意

虽然没有默认的安全链接策略,但内置保护预设安全策略在电子邮件、Microsoft Teams 和受支持的 Office 应用中的文件中向具有至少一个Defender for Office 365许可证的客户提供安全链接保护, (未在标准或严格预设安全策略或自定义安全链接策略) 中定义的用户。 有关详细信息,请参阅 EOP 中的预设安全策略和Microsoft Defender for Office 365。 还可以创建适用于特定用户、组或域的安全链接策略。 有关说明,请参阅在 Microsoft Defender for Office 365 中设置安全链接策略

安全链接策略的安全链接保护在以下位置可用:

  • Email邮件:电子邮件中链接的安全链接保护。

    有关电子邮件的安全链接保护的详细信息,请参阅本文后面的 电子邮件安全链接设置 部分。

    注意

    • 安全链接不适用于已启用邮件的公用文件夹。
    • 安全链接不会为 RTF) 电子邮件 (RTF 格式的 URL 提供保护。
    • 安全链接仅支持 HTTP (S) 和 FTP 格式。
    • 安全链接忽略 S/MIME 签名的消息。
    • 安全链接不再包装指向 SharePoint 或 OneDrive 网站的 URL,但这些 URL 仍由安全链接服务处理。 此更改不会降低保护。 相反,它提高了加载 SharePoint 或 OneDrive URL 的性能。
    • 在Defender for Office 365之前使用其他服务包装链接可能会阻止安全链接处理链接,包括包装、引爆或以其他方式验证链接的“恶意”。
  • Microsoft Teams:Teams 对话、群组聊天或频道链接的安全链接保护。

    有关 Teams 中的安全链接保护的详细信息,请参阅本文后面的 Microsoft Teams 的安全链接设置 部分。

  • Office 应用:适用于支持的 Office 桌面、移动设备和 Web 应用的安全链接保护。

    有关 Office 应用中的安全链接保护的详细信息,请参阅本文后面的 Office 应用的安全链接设置 部分。

下表描述了 Microsoft 365 中的安全链接方案,以及Office 365组织,这些组织Defender for Office 365 (请注意,在) 示例中,缺少许可绝不是问题。

应用场景 结果
Jean 是营销部门的成员。 Office 应用的安全链接保护在适用于营销部门成员的安全链接策略中处于打开的状态。 Jean 在电子邮件中打开 PowerPoint 演示文稿,然后单击演示文稿中的 URL。 钱霞将受到安全链接功能的保护。

Jean 包含在安全链接策略中,其中启用了 Office 应用的安全链接保护。

有关 Office 应用中安全链接保护要求的详细信息,请参阅本文后面的 Office 应用的安全链接设置 部分。
Chris 的 Microsoft 365 E5 组织未配置安全链接策略。 Chris 收到来自外部发件人的电子邮件,其中包含他最终点击的恶意网站的 URL。 Chris 受安全链接保护。

内置保护预设安全策略为所有收件人提供安全链接保护, (未在标准或严格预设安全策略或自定义安全链接策略) 中定义的用户。 有关详细信息,请参阅 EOP 中的预设安全策略和Microsoft Defender for Office 365
在 Pat 的组织中,管理员已创建应用 Pat 的安全链接策略,但 Office 应用的安全链接保护已关闭。 Pat 打开Word文档并单击文件中的 URL。 钱辉将不受安全链接功能的保护。

尽管 Pat 包含在活动的安全链接策略中,但 Office 应用的安全链接保护在该策略中处于关闭状态,因此无法应用保护。
游皑和牛娇都是 contoso.com 的员工。 很久以前,管理员配置了同时适用于 Jamie 和 Julia 的安全链接策略。 Jamie 向 Julia 发送电子邮件,但不知道电子邮件包含恶意 URL。 如果将适用于她的安全链接策略配置为应用于内部收件人之间的邮件,则 Julia 受安全链接的保护。 有关详细信息,请参阅本文后面的 电子邮件安全链接设置 部分。

收件人筛选器使用条件和例外来标识应用策略的内部收件人。 至少需要一个条件。 对于条件和例外,可以使用以下收件人筛选器:

  • 用户:组织中的一个或多个邮箱、邮件用户或邮件联系人。
    • ) 不支持指定通讯组或启用邮件的安全组的成员 (动态通讯组。
    • 指定的 Microsoft 365 组。
  • :Microsoft 365 中配置的 一个或多个接受域 。 收件人的主电子邮件地址位于指定的域中。

只能使用一次条件或异常,但条件或异常可以包含多个值:

  • 相同条件或异常的多个使用 OR 逻辑 (,例如 recipient1<><recipient2>) :

    • 条件:如果收件人与 任何 指定值匹配,则会对其应用策略。
    • 例外:如果收件人与 任何 指定值匹配,则不会对其应用策略。
  • 不同类型的异常使用 OR 逻辑 (例如,<recipient1><group1> 的成员<domain1>) 的成员。 如果收件人与 任何 指定的异常值匹配,则不会对其应用策略。

  • 不同类型的条件使用 AND 逻辑。 收件人必须匹配 所有 指定的条件,策略才能应用于他们。 例如,使用以下值配置条件:

    • 用户: romain@contoso.com
    • 组:高管

    当他也是高管组的成员时,才会应用romain@contoso.com该策略。 否则,该策略不适用于他。

安全链接会扫描传入电子邮件中已知的恶意超链接。 扫描的 URL 使用Microsoft标准 URL 前缀进行重写或 包装https://<DataCenterLocation>.safelinks.protection.outlook.com 例如 https://nam01.safelinks.protection.outlook.com , () 。 重写链接后,会对其进行分析,以查找潜在的恶意内容。

安全链接重写 URL 后,即使 手动 转发或答复邮件,也会重写 URL。 包装按邮件收件人 (内部和外部收件人) 完成。 也会重写添加到转发或答复邮件的其他链接。

对于收件箱规则或 SMTP 转发 的自动 转发, 除非 以下语句之一为 true,否则不会在面向最终收件人的邮件中重写 URL:

  • 收件人还受安全链接的保护。
  • 该 URL 已在以前的通信中重写。

只要启用了安全链接保护,无论 URL 是否重写,都会在邮件传递之前扫描 URL。 在受支持的 Outlook (Windows、Mac 和 Outlook 网页版) 版本中,单击安全链接时,客户端 API 调用会检查未包装的 URL。

以下列表中介绍了适用于电子邮件的安全链接策略中的设置:

  • 开:当用户单击电子邮件中的链接时,安全链接会检查已知恶意链接的列表。 默认情况下会重写 URL。:在电子邮件中打开或关闭安全链接扫描。 在) 上 (选择建议的值,并产生以下操作:

    • Windows 上的 Outlook (C2R) 中启用了安全链接扫描。
    • 当用户单击邮件中的 URL 时,会重写 URL,并通过安全链接保护进行路由。
    • 单击后,将针对已知恶意 URL 列表检查 URL。
    • 没有有效信誉的 URL 将在后台异步引爆。

    仅当电子邮件中的安全链接扫描处于打开状态时,以下设置才可用:

    • 将安全链接应用于组织内发送的电子邮件:打开或关闭安全链接扫描在同一Exchange Online组织内部发件人和内部收件人之间发送的邮件。 选择建议的值(开)。

    • 对指向文件的可疑链接和链接应用实时 URL 扫描:启用链接的实时扫描,包括指向可下载内容的电子邮件中的链接。 选择建议的值(开)。

      • 等待 URL 扫描完成,然后再传递邮件
        • 所选 () :包含 URL 的消息将保留到扫描完成。 只有在 URL 被确认为安全后,才会传递消息。 这是建议的值。
        • 未选择 (关闭) :如果 URL 扫描无法完成,请仍然传递消息。
    • 不要重写 URL,仅通过 SafeLinks API 执行检查:如果在) 上选择了此设置 (,则不会进行 URL 包装,但在邮件传递之前会扫描 URL。 在受支持的 Outlook (Windows、Mac 和 Outlook 网页版) 版本中,单击 URL 时仅通过 API 调用安全链接。

    要详细了解安全链接策略的标准和严格策略设置的建议值,请参阅 安全链接策略设置

概括而言,安全链接保护在电子邮件中的 URL 上的工作原理如下:

  1. 所有电子邮件都通过 EOP,其中 Internet 协议 (IP) 和信封筛选器、基于签名的恶意软件保护、反垃圾邮件和反恶意软件筛选器,然后再将邮件传递到收件人的邮箱。

  2. 用户在其邮箱中打开邮件,并单击邮件中的 URL。

  3. 安全链接在打开网站之前会立即检查 URL:

    • 如果 URL 指向已确定为恶意的网站,则 (恶意网站警告 页或其他警告页面) 打开。

    • 如果 URL 指向可下载的文件,并且 对指向文件的可疑链接和链接应用实时 URL 扫描 在适用于用户的策略中处于打开状态,则会检查可下载的文件。

    • 如果确定 URL 是安全的,则网站将打开。

在安全链接策略中为Microsoft Teams 打开或关闭安全链接保护。 具体而言,当用户单击 Microsoft Teams 中的链接时,使用“打开:安全链接”检查已知恶意链接的列表。Teams 部分中的 URL 不是重写设置。 建议的值位于所选) (。

注意

打开或关闭 Teams 的安全链接保护后,更改可能需要长达 24 小时才能生效。

Teams 桌面和 Web 实例支持 Teams 的安全链接保护。

当受保护的用户单击链接 (点击时间保护) 时,将针对已知恶意链接列表检查 Teams 中的 URL。 不会重写 URL。 如果发现链接是恶意链接,用户将具有以下体验:

  • 如果在 Teams 对话、群组聊天或频道中单击链接,则默认 Web 浏览器中将显示屏幕截图中显示的警告页面。
  • 如果从固定选项卡单击链接,警告页将显示在该选项卡的 Teams 界面中。出于安全原因,在 Web 浏览器中打开链接的选项处于禁用状态。
  • 根据策略中 “允许用户单击到原始 URL ”设置的配置方式,允许或不允许用户单击原始 URL, (仍然继续 (不建议在屏幕截图) ) 。 建议不要选择“ 允许用户单击到原始 URL ”设置,以便用户无法单击到原始 URL。

如果发送链接的用户不受打开 Teams 保护的安全链接策略的保护,用户可以自由单击其计算机或设备上的原始 URL。

适用于 Teams 的安全链接页面举报恶意链接

单击警告页上的“ 返回 ”按钮会将用户返回到其原始上下文或 URL 位置。 但是,再次单击原始链接会导致安全链接重新扫描 URL,因此警告页会重新出现。

概括而言,以下是安全链接保护在 Microsoft Teams 中适用于 URL 的方式:

  1. 用户启动 Teams 应用。

  2. Microsoft 365 验证用户的组织是否包括Microsoft Defender for Office 365,以及用户是否包含在启用了对Microsoft Teams 保护的活动安全链接策略中。

  3. 在聊天、群组聊天、频道、选项卡中的用户单击 URL 时进行验证。

Office 应用的安全链接保护会检查 Office 文档中的链接,而不是电子邮件中的链接。 但是,打开文档后,它可以在电子邮件中检查附加的 Office 文档中的链接。

在安全链接策略中打开或关闭 Office 应用的安全链接保护。 具体来说,当用户单击 Microsoft Office 应用中的链接时,请使用“打开:安全链接”检查已知恶意链接的列表。“Office 365应用”部分中的 URL 不会重写设置。 建议的值位于所选) (。

Office 应用的安全链接保护具有以下客户端要求:

  • Microsoft 365 应用版或Microsoft 365 商业高级版:

    • Windows、Mac 或 Web 浏览器中当前版本的 Word、Excel 和 PowerPoint。
    • iOS 或 Android 设备上的 Office 应用。
    • Windows 上的 Visio。
    • Web 浏览器中的 OneNote。
    • 打开保存的 EML 或 MSG 文件时的 Outlook for Windows。
  • 支持的 Office 应用和Microsoft 365 服务配置为使用新式身份验证。 有关详细信息,请参阅适用于 Office 客户端应用的新式验证工作原理

  • 用户使用其工作或学校帐户登录。 有关详细信息,请参阅 登录 Office

有关标准策略设置和严格策略设置的建议值的详细信息,请参阅 安全链接策略设置

概括而言,安全链接保护如何适用于 Office 应用中的 URL。 上一部分介绍了支持的 Office 应用。

  1. 用户在包含Microsoft 365 应用版或Microsoft 365 商业高级版的组织中使用其工作或学校帐户登录。

  2. 用户打开并单击受支持的 Office 应用中 Office 文档的链接。

  3. 安全链接在打开目标网站之前会立即检查 URL:

    • 如果 URL 指向已确定为恶意的网站,则 (恶意网站警告 页或其他警告页面) 打开。

    • 如果 URL 指向可下载文件,并且适用于用户的安全链接策略配置为扫描指向可下载内容的链接 (对指向) 文件的可疑链接和链接应用实时 URL 扫描 ,则会检查可下载文件。

    • 如果 URL 被视为安全,则会将用户带到网站。

    • 如果安全链接扫描无法完成,则不会触发安全链接保护。 在 Office 桌面客户端中,用户在转到目标网站之前会发出警告。

注意

每个会话开始时可能需要几秒钟才能验证 Office 应用的安全链接是否可供用户使用。

这些设置适用于电子邮件、Teams 和 Office 应用中的安全链接:

  • 跟踪用户单击次数:打开或关闭存储单击的 URL 的安全链接单击数据。 建议在) 上保留选中此设置 (。

    在 Office 应用的安全链接中,此设置适用于桌面版本Word、Excel、PowerPoint 和 Visio。

    如果选择此设置,则以下设置可用:

    • 允许用户单击到原始 URL:控制用户是否可以单击 警告页 以指向原始 URL。 ) (未选择建议值。

      在 Office 应用的安全链接中,此设置适用于桌面版本Word、Excel、PowerPoint 和 Visio 中的原始 URL。

    • 在通知和警告页面上显示组织品牌:此选项在警告页面上显示组织的品牌。 品牌可帮助用户识别合法警告,因为攻击者经常使用默认的 Microsoft 警告页面。 有关自定义品牌的详细信息,请参阅 自定义组织的 Microsoft 365 主题

创建多个策略后,可以指定它们的应用顺序。 不能有两个策略具有相同的优先级,在应用第一个策略后,策略处理将停止, (该接收方) 的最高优先级策略。 始终最后应用 内置保护 策略。 在自定义安全链接策略之前,始终应用“ 标准 ”和“ 严格 ”预设安全策略的安全链接策略。

有关优先级顺序以及如何评估和应用多个策略的详细信息,请参阅 预设安全策略和其他策略的优先级顺序电子邮件保护的顺序和优先级

注意

在邮件流过程中,安全链接不会扫描或包装“请勿重写以下 URL”列表中的条目,但在单击时仍可能被阻止。 在 确认 URL 干净 时报告该 URL,然后选择“ 允许此 URL ”以将允许条目添加到“租户允许/阻止列表”,以便在邮件流期间 单击时,安全链接不会扫描或包装该 URL。 有关说明,请参阅 向Microsoft报告正确的 URL

每个安全链接策略都包含“ 不重写以下 URL” 列表,可用于指定安全链接扫描未重写的 URL。 可以在不同的安全链接策略中配置不同的列表。 策略处理在第一个 (可能为用户应用了最高优先级) 策略后停止。 因此,只有一个 “不重写以下 URL ”列表将应用于包含在多个活动安全链接策略中的用户。

若要在新的或现有的安全链接策略中向列表添加条目,请参阅创建安全链接策略或修改安全链接策略

注意

  • 以下客户端无法识别安全链接策略中的 “请勿重写以下 URL” 列表。 根据这些客户端中的安全链接扫描结果,可以阻止策略中包含的用户访问 URL:

    • Microsoft Teams
    • Office Web 应用

    有关随处允许的 URL 的真正通用列表,请参阅 管理租户允许/阻止列表。 但是,不会从安全链接重写中排除租户允许/阻止列表中的 URL 允许条目。

  • 请考虑将常用的内部 URL 添加到列表中,以改善用户体验。 例如,如果你有本地服务(如 Skype for Business 或 SharePoint),则可以添加这些 URL 以将其排除在扫描之外。

  • 如果已在安全链接策略中 未重写以下 URL 条目,请务必查看列表并根据需要添加通配符。 例如,你的列表有一个类似于 的 https://contoso.com/a 条目,你后来决定包括子路径,如 https://contoso.com/a/b。 将通配符添加到现有条目,使其变为 https://contoso.com/a/*,而不是添加新条目。

  • 每个 URL 条目最多可以包含三个通配符 (*) 。 通配符显式包含前缀或子域。 例如,条目 contoso.com 与 不同 *.contoso.com/*,因为 *.contoso.com/* 允许用户访问指定域中的子域和路径。

  • 如果 URL 使用 HTTP 到 HTTPS 的自动重定向 (例如,将 http://www.contoso.com 302 重定向用于 https://www.contoso.com) ,并且你尝试将同一 URL 的 HTTP 和 HTTPS 条目同时输入到列表,你可能会注意到第二个 URL 条目替换了第一个 URL 条目。 如果 URL 的 HTTP 和 HTTPS 版本完全分开,则不会发生此行为。

  • 不要指定 http:// 或 https:// (,即,contoso.com) 以排除 HTTP 和 HTTPS 版本。

  • *.contoso.com 涵盖 contoso.com,因此需要同时排除这两个域,以涵盖指定的域和任何子域。

  • contoso.com/* 涵盖 contoso.com,因此无需同时排除 contoso.comcontoso.com/*;只需contoso.com/*就足够了。

  • 若要排除域的所有迭代,需要两个排除项: contoso.com/**.contoso.com/*。 这些条目组合在一起,排除 HTTP 和 HTTPS、main域 contoso.com 和任何子域,以及任何或未结束部分 (例如,) 涵盖 contoso.com 和 contoso.com/vdir1。

“不重写以下 URL”列表的条目语法

下表介绍了可输入的值及其结果的示例:

结果
contoso.com 允许访问 https://contoso.com 子域或路径,但不允许访问。
*.contoso.com/* 允许访问域、子域和路径 (例如 、https://www.contoso.comhttps://www.contoso.comhttps://maps.contoso.comhttps://www.contoso.com/a) 。

此条目本质上比 *contoso.com*更好,因为它不允许潜在的欺诈性网站,如 https://www.falsecontoso.comhttps://www.false.contoso.completelyfalse.com
https://contoso.com/a 允许访问 https://contoso.com/a,但不允许访问子路径,例如 https://contoso.com/a/b
https://contoso.com/a/* 允许访问 https://contoso.com/a 和子路径,例如 https://contoso.com/a/b

本部分包含单击 URL 时由安全链接保护触发的各种警告页的示例。

扫描正在进行通知

安全链接正在扫描单击的 URL。 在再次尝试链接之前,可能需要等待片刻。

正在扫描链接的通知

可疑邮件警告

单击的 URL 位于类似于其他可疑邮件的电子邮件中。 建议在继续访问网站之前,先对电子邮件进行双重检查。

网络钓鱼尝试警告

单击的 URL 位于已标识为网络钓鱼攻击的电子邮件中。 因此,将阻止电子邮件中的所有 URL。 建议不要继续访问网站。

恶意网站警告

单击的 URL 指向已标识为恶意的网站。 建议不要继续访问网站。

指出网站被归类为恶意的警告

错误警告

发生了某种错误,无法打开 URL。

指示无法加载尝试访问的页面的警告