尝试Microsoft Defender for Office 365

作为现有的 Microsoft 365 客户，Microsoft Defender 门户中https://security.microsoft.com的试用版和评估页面允许你在购买前试用Microsoft Defender for Office 365计划 2 的功能。

在尝试Defender for Office 365计划 2 之前，需要问自己一些关键问题：

• 我想被动地观察计划 2 (审核) Defender for Office 365可为我做些什么，还是希望计划 2 Defender for Office 365对发现 (块) 的问题采取直接措施？
• 无论哪种方式，如何判断计划 2 Defender for Office 365为我做什么？
• 我需要多长时间才能做出保留计划 2 Defender for Office 365的决定？

本文可帮助你回答这些问题，以便你可以以最符合组织需求的方式尝试Defender for Office 365计划 2。

有关如何使用试用版的配套指南，请参阅试用用户指南：Microsoft Defender for Office 365。

注意

Defender for Office 365的试用和评估不适用于美国政府组织 (Microsoft 365 GCC、GCC High 和 DoD) 或 Microsoft 365 教育版 组织。

Defender for Office 365概述

Defender for Office 365通过提供全面的功能来帮助组织保护其企业。 有关详细信息，请参阅 Microsoft Defender for Office 365。

还可以在此交互式指南中了解有关Defender for Office 365的详细信息。

观看此简短视频，详细了解如何使用Microsoft Defender for Office 365在更短的时间内完成更多工作。

有关定价信息，请参阅 Microsoft Defender for Office 365。

试验和评估如何适用于Defender for Office 365

策略

Defender for Office 365包括具有Exchange Online邮箱的所有 Microsoft 365 组织中存在的Exchange Online Protection (EOP) 的功能，以及Defender for Office 365独有的功能。

EOP 和Defender for Office 365的保护功能是使用策略实现的。 将根据需要创建Defender for Office 365独占的策略：

• 反钓鱼策略中的模拟保护
• 电子邮件的安全附件
• 电子邮件和 Microsoft Teams 的安全链接
  • 安全链接在邮件流期间引爆 URL。 若要防止引爆特定 URL，请将 URL 作为良好 URL 提交到 Microsoft。 有关说明，请参阅 向 Microsoft 报告正确的 URL。
  • 安全链接不会将 URL 链接包装在电子邮件正文中。

你有资格参加评估或试用意味着你已经拥有 EOP。 不会为计划 2 Defender for Office 365 的评估或试用创建任何新的或特殊的 EOP 策略。 Microsoft 365 组织中的现有 EOP 策略仍能够处理邮件 (例如，将邮件发送到“垃圾邮件Email”文件夹或隔离) ：

• 反恶意软件策略
• 入站反垃圾邮件保护
• 反钓鱼策略中的反欺骗保护

这些 EOP 功能的默认策略始终处于打开状态，适用于所有收件人，并且始终在任何自定义策略之后最后应用。

Defender for Office 365的审核模式与阻止模式

你希望Defender for Office 365体验是主动的还是被动的？ 以下模式可用：

• 审核模式：为防钓鱼 (创建特殊 评估策略 ，其中包括模拟保护) 、安全附件和安全链接。 这些评估策略配置为仅 检测 威胁。 Defender for Office 365检测有害邮件进行报告，但邮件不会对 (执行操作，例如，检测到的邮件不会) 隔离。 本文后面的 审核模式下策略 部分介绍了这些评估策略的设置。 我们还会自动为非电子邮件工作负载启用审核模式下的 SafeLinks 单击保护时间， (例如 Microsoft Teams、SharePoint 和 OneDrive for Business)

  还可以有选择地打开或关闭防钓鱼保护 (欺骗和模拟) 、安全链接防护和安全附件保护。 有关说明，请参阅 管理评估设置。

  审核模式为 评估策略在 的 https://security.microsoft.com/atpEvaluationMicrosoft Defender for Office 365评估页上检测到的威胁提供专用报告。 本文后面的 审核模式报告 部分介绍了这些报告。

• 阻止模式： 预设安全策略 的标准模板已打开并用于试用版，并且你指定包含在试用版中的用户将添加到标准预设安全策略中。 Defender for Office 365检测有害邮件并采取操作 (，例如，检测到的邮件) 隔离。

  默认选择和建议选项是将这些Defender for Office 365策略的范围限定为组织中的所有用户。 但在设置试用版期间或之后，可以在Microsoft Defender门户或 PowerShell Exchange Online 将策略分配更改为特定用户、组或电子邮件域。

  有关Defender for Office 365检测到的威胁的信息，请参阅Defender for Office 365计划 2 的常规报告和调查功能，本文后面的阻止模式报告部分对此进行了介绍。

确定哪些模式可供使用的关键因素包括：

• 当前是否Defender for Office 365 (计划 1 或计划 2) ，如下一部分所述。

• 如何将电子邮件传递到 Microsoft 365 组织，如以下方案所述：

  • 来自 Internet 的邮件直接流向 Microsoft 365，但当前订阅仅Exchange Online Protection (EOP) 或Defender for Office 365计划 1。

    

    在这些环境中， 审核模式 或 阻止模式 可用，具体取决于你的许可，如下一部分所述

  • 你当前正在使用第三方服务或设备对 Microsoft 365 邮箱进行电子邮件保护。 来自 Internet 的邮件在传递到 Microsoft 365 组织之前流经保护服务。 Microsoft 365 保护尽可能低， (它永远不会完全关闭;例如，始终) 强制实施恶意软件保护。

    

    在这些环境中，只有 审核模式 可用。 无需更改邮件流 (MX 记录) 来评估计划 2 Defender for Office 365。

评估与试用Defender for Office 365

评估和试用Defender for Office 365计划 2 之间有何区别？ 不是一样吗？ 嗯，是的，没有。 Microsoft 365 组织中的许可将带来所有不同之处：

• 无Defender for Office 365计划 2：如果尚未Defender for Office 365计划 2 (，则具有独立 EOP、Microsoft 365 E3、Microsoft 365 商业高级版 或Defender for Office 365计划 1 加载项订阅) ，可以从Microsoft Defender门户中的以下位置启动Defender for Office 365计划 2 体验：

  • Microsoft 365 试用版 页面位于 https://security.microsoft.com/trialHorizontalHub。
  • 位于 的Microsoft Defender for Office 365评估页https://security.microsoft.com/atpEvaluation。

  在设置评估或试用期间，可以选择 审核模式 (评估策略) 或 阻止模式 (标准预设安全策略) 。

  无论你使用哪个位置，注册时，我们都会自动预配任何所需的计划 2 许可证Defender for Office 365。 不需要在Microsoft 365 管理中心中手动获取和分配计划 2 许可证。

  自动预配的许可证的运行时间为 90 天。 这 90 天期限的含义取决于组织中的现有许可：

  • 无Defender for Office 365计划 1：对于没有Defender for Office 365计划 1 (的组织，例如，独立 EOP 或Microsoft 365 E3) 所有Defender for Office 365计划 2 功能 (，安全策略) 仅在 90 天内可用。

  • Defender for Office 365计划 1：Defender for Office 365计划 1 (的组织例如，Microsoft 365 商业高级版或加载项订阅) 已具有Defender for Office 365计划 2：防钓鱼策略、安全附件策略和安全链接策略中的模拟保护。

    审核 模式 (评估策略) 或 阻止模式 (Standard 预设安全策略) 90 天后不会过期或停止工作。 90 天后，计划 2 的自动化、调查、修正和教育功能Defender for Office 365计划 1 中不可用。

  如果在审核模式下设置评估或试用 (评估策略) ，则可以稍后 (标准预设安全策略) 转换为阻止模式。 有关说明，请参阅本文后面的 转换为标准保护 部分。

• Defender for Office 365计划 2：例如，如果你已有Defender for Office 365计划 2 (，则作为Microsoft 365 E5订阅) 的一部分，Defender for Office 365无法在 Microsoft 365 上选择位于 的https://security.microsoft.com/trialHorizontalHub试用版页。

  唯一的选择是在 的“Microsoft Defender for Office 365评估”页上https://security.microsoft.com/atpEvaluation设置Defender for Office 365的评估。 此外，评估会在 审核模式下 自动设置， (评估策略) 。

  稍后，可以使用“Microsoft Defender for Office 365评估”页上的“转换为标准”操作或关闭Microsoft Defender for Office 365评估上的评估， (标准预设安全策略) 转换为阻止模式页面，然后配置标准预设安全策略。

  根据定义，Defender for Office 365计划 2 的组织不需要额外的许可证来评估计划 2 Defender for Office 365，因此这些组织中的评估持续时间不受限制。

下表汇总了上一个列表中的信息：

组织	注册自 “试用”页？	注册自 评估页？	可用模式	评估 period
独立 EOP (无Exchange Online邮箱) Microsoft 365 E3	是	是	审核模式 阻止模式¹	90 天
Defender for Office 365 计划 1 Microsoft 365 商业高级版	是	是	审核模式 阻止模式¹	90 天²
Microsoft 365 E5	否	是	审核模式 阻止模式¹ ²	无限制

¹ 如前所述，如果 Internet 邮件在传递到 Microsoft 365 之前流经第三方保护服务或设备，则阻止 模式 (标准预设安全策略) 不可用。

² 审核 模式 (评估策略) 或 阻止模式 的安全策略 (标准预设安全策略) 90 天后不会过期或停止工作。 Defender for Office 365计划 2 专属的自动化、调查、修正和教育功能在 90 天后停止工作。

ー 评估是在 审核模式下 设置的， (评估策略) 。 在设置完成后的任何时候，都可以 (标准预设安全策略) 转换为阻止模式，如转换为标准保护中所述。

现在，你已了解评估、试用、审核模式和阻止模式之间的差异，接下来可以按后续部分所述设置评估或试用。

在审核模式下设置评估或试用

请记住，在审核模式下评估或尝试Defender for Office 365时，会创建特殊的评估策略，以便Defender for Office 365可以检测威胁。 本文后面的 审核模式下策略 部分介绍了这些评估策略的设置。

1. 在 Microsoft Defender 门户中https://security.microsoft.com的任何可用位置开始评估。 例如：

   • 在任何Defender for Office 365功能页顶部的横幅上，选择“开始免费试用”。
   • 在 的 Microsoft 365 试用版页上https://security.microsoft.com/trialHorizontalHub，找到并选择“Defender for Office 365”。
   • 在 的“Microsoft Defender for Office 365评估”页上https://security.microsoft.com/atpEvaluation，选择“开始评估”。

2. “打开保护”对话框在计划 1 或计划 2 Defender for Office 365的组织不可用。

   在 “启用保护 ”对话框中，选择“ 否，我只想报告”，然后选择“ 继续”。

3. 在 “选择要包含的用户 ”对话框中，配置以下设置：

   • 所有用户：这是默认的推荐选项。

   • 特定用户：如果选择此选项，则需要选择评估应用于的内部收件人：

     • 用户：指定的邮箱、邮件用户或邮件联系人。
     • 组：
       • ) 不支持指定通讯组或启用邮件的安全组的成员 (动态通讯组。
       • 指定的 Microsoft 365 组。
     • 域：组织中具有指定接受域主电子邮件地址的所有收件人。

     单击框中，开始键入值，并从框下方的结果中选择值。 根据需要多次重复此过程。 若要删除现有值，请选择 框中的值旁边的值。

     对于用户或组，可以使用大多数标识符（姓名、显示名称、别名、电子邮件地址、帐户名称等），但是相应的显示名称会显示在结果中。 对于用户，请单独输入星号 (*) 以查看所有可用值。

     只能使用一次收件人条件，但条件可以包含多个值：

     • 同一条件的多个值使用 OR 逻辑 (例如 recipient1<> 或 <recipient2>) 。 如果收件人与 任何 指定值匹配，则会对其应用策略。

     • 不同类型的条件使用 AND 逻辑。 收件人必须匹配 所有 指定的条件，策略才能应用于他们。 例如，使用以下值配置条件：

       • 用户： romain@contoso.com
       • 组：高管

       仅当他也是高管组的成员时，才会应用romain@contoso.com该策略。 否则，该策略不适用于他。

   完成“ 选择要包含的用户 ”对话框后，选择“ 继续”。

4. 在 “帮助我们了解邮件流 ”对话框中，配置以下选项：

   • 根据我们对域的 MX 记录的检测自动选择以下选项之一：

     • 我使用的是第三方和/或本地服务提供商：域的 MX 记录指向 Microsoft 365 以外的某个位置。 验证或配置以下设置：

       • 组织使用的第三方服务：验证或选择以下值之一：

         • 其他：此值还需要在 “如果电子邮件通过多个网关时，请列出每个网关 IP 地址”中的信息，该地址仅适用于值 “其他”。 如果使用本地服务提供商，请使用此值。

           输入第三方保护服务或设备用于将邮件发送到 Microsoft 365 的 IP 地址的逗号分隔列表。

         • 梭鱼

         • IronPort

         • Mimecast

         • Proofpoint

         • Sophos

         • Symantec

         • Trend Micro

       • 要将此评估应用到的连接器：选择用于邮件流到 Microsoft 365 的连接器。

         连接器的增强筛选 (也称为 跳过列表) 会在指定的连接器上自动配置。

         当第三方服务或设备位于流入 Microsoft 365 的电子邮件前面时，连接器的增强筛选可正确识别 Internet 消息源，并大大提高 Microsoft 筛选堆栈的准确性， (尤其是 欺骗情报，以及 威胁资源管理器 和 自动调查 & 响应 (AIR) 中的泄露后功能。

     • 我仅使用 Microsoft Exchange Online：域的 MX 记录指向 Microsoft 365。 无需配置任何内容，因此请选择“ 完成”。

   • 与 Microsoft 共享数据：默认情况下未选中此选项，但你可以根据需要选择“检查”框。

   完成“ 帮助我们了解邮件流 ”对话框后，选择“ 完成”。

5. 设置完成后，你将看到“ 让我们介绍你周围 ”对话框。 选择 “开始浏览” 或 “消除”。

在阻止模式下设置评估或试用

请记住，在阻止模式下尝试Defender for Office 365时，标准预设安全性处于打开状态，指定的用户 () 中的部分或所有人包含在标准预设安全策略中。 有关标准预设安全策略的详细信息，请参阅 预设安全策略。

1. 在 Microsoft Defender 门户中https://security.microsoft.com的任何可用位置启动试用版。 例如：

   • 在任何Defender for Office 365功能页顶部的横幅上，选择“开始免费试用”。
   • 在 的 Microsoft 365 试用版页上https://security.microsoft.com/trialHorizontalHub，找到并选择“Defender for Office 365”。
   • 在 的“Microsoft Defender for Office 365评估”页上https://security.microsoft.com/atpEvaluation，选择“开始评估”。

2. “打开保护”对话框在计划 1 或计划 2 Defender for Office 365的组织不可用。

   在 “启用保护 ”对话框中，选择“ 是，通过阻止威胁保护我的组织”，然后选择“ 继续”。

3. 在 “选择要包含的用户 ”对话框中，配置以下设置：

   • 所有用户：这是默认的推荐选项。

   • 选择用户：如果选择此选项，则需要选择试用适用于的内部收件人：

     • 用户：指定的邮箱、邮件用户或邮件联系人。
     • 组：
       • ) 不支持指定通讯组或启用邮件的安全组的成员 (动态通讯组。
       • 指定的 Microsoft 365 组。
     • 域：组织中具有指定接受域主电子邮件地址的所有收件人。

     单击框中，开始键入值，并从框下方的结果中选择值。 根据需要多次重复此过程。 若要删除现有值，请选择 框中的值旁边的值。

     对于用户或组，可以使用大多数标识符（姓名、显示名称、别名、电子邮件地址、帐户名称等），但是相应的显示名称会显示在结果中。 对于用户，请单独输入星号 (*) 以查看所有可用值。

     只能使用一次收件人条件，但条件可以包含多个值：

     • 同一条件的多个值使用 OR 逻辑 (例如 recipient1<> 或 <recipient2>) 。 如果收件人与 任何 指定值匹配，则会对其应用策略。

     • 不同类型的条件使用 AND 逻辑。 收件人必须匹配 所有 指定的条件，策略才能应用于他们。 例如，使用以下值配置条件：

       • 用户： romain@contoso.com
       • 组：高管

       仅当他也是高管组的成员时，才会应用romain@contoso.com该策略。 否则，该策略不适用于他。

   完成“ 选择要包含的用户 ”对话框后，选择“ 继续”。

4. 设置评估时会显示进度对话框。 安装完成后，选择“ 完成”。

管理评估或试用Defender for Office 365

在审核模式下设置评估或试用后，位于 的Microsoft Defender for Office 365评估页https://security.microsoft.com/atpEvaluation是尝试计划 2 Defender for Office 365结果的中心位置。

在 Microsoft Defender 门户中https://security.microsoft.com，转到Email &协作>策略 & 规则>威胁策略>在“其他”部分中选择“评估模式”。 或者，若要直接转到Microsoft Defender for Office 365评估页，请使用 https://security.microsoft.com/atpEvaluation。

以下小节介绍了Microsoft Defender for Office 365评估页上可用的操作。

管理评估设置

在 的“Microsoft Defender for Office 365评估”页上https://security.microsoft.com/atpEvaluation，选择“管理评估设置”。

在打开的“管理MDO评估设置”浮出控件中，提供了以下信息和设置：

• 评估是打开显示在浮出控件的顶部， (评估打开 还是 评估关闭) 。 此信息也可在Microsoft Defender for Office 365评估页上获得。

  “ 关闭 ”或“ 打开” 操作允许关闭或打开评估策略。

• 评估中还剩多少天显示在浮出控件顶部， () 剩余的 nn 天 。

• “检测功能”部分：使用切换开关打开或关闭以下Defender for Office 365保护：

  • 安全链接
  • 安全附件
  • 防网络钓鱼

• 用户、组和域 部分：选择 “编辑用户、组和域 ”，更改评估或试用适用于谁，如前面在 审核模式下设置评估或试用中所述。

• “模拟设置” 部分：

  • 如果未在防钓鱼评估策略中配置模拟保护，请选择“ 应用模拟保护 ”以配置模拟保护：

    • 内部和外部用户 (发件人) 进行用户模拟保护。
    • 用于域模拟保护的自定义域。
    • 要从模拟保护中排除的受信任发件人和域。

    这些步骤实质上与使用Microsoft Defender门户创建防钓鱼策略的步骤 5 中的模拟部分中所述相同。

  • 如果在防钓鱼评估策略中配置了模拟保护，本部分显示以下项的模拟保护设置：

    • 用户模拟保护
    • 域模拟保护
    • 受信任的模拟发件人和域

    若要修改设置，请选择 “编辑模拟设置”。

完成“管理MDO评估设置”浮出控件后，选择“关闭”。

转换为标准保护

对于评估或试用，可以使用以下任一方法从 审核模式 (评估策略) 切换到 阻止模式 (标准预设安全策略) ：

• 在“Microsoft Defender for Office 365评估”页上，选择“转换为标准保护”
• 在“管理MDO评估设置”浮出控件中：在“Microsoft Defender for Office 365评估”页上，选择“管理评估设置”。 在打开的详细信息浮出控件中，选择“ 转换为标准保护”。

选择“ 转换为标准保护”后，阅读打开的对话框中的信息，然后选择“ 继续”。

你将访问“预设安全策略”页上的“应用标准保护”向导。 评估或试用中包括和排除的收件人列表将复制到标准预设安全策略中。 有关详细信息，请参阅使用Microsoft Defender门户向用户分配标准和严格预设安全策略。

• 标准预设安全策略中的安全策略的优先级高于评估策略，这意味着标准预设安全性中的策略始终在评估策略 之前 应用，即使两者都存在并处于打开状态。
• 无法自动从 阻止模式 转到 审核模式。 手动步骤包括：

  1. 在 的“预设安全策略”页上https://security.microsoft.com/presetSecurityPolicies关闭“标准预设安全策略”。

  2. 在 的“Microsoft Defender for Office 365评估”页上https://security.microsoft.com/atpEvaluation，验证“评估”值是否显示。

     如果显示 “关闭评估 ”，请选择“ 管理评估设置”。 在打开的“管理MDO评估设置”浮出控件中，选择“打开”。

  3. 选择“管理评估设置”，在打开的 MDO“管理评估设置详细信息”浮出控件的“用户、组和域”部分中，选择“管理评估设置”以验证评估适用于的用户。

用于评估或试用Defender for Office 365的报告

本部分介绍在 审核模式 和 阻止模式下可用的报表。

阻止模式的报告

不会为阻止模式创建任何特殊报表，因此请使用Defender for Office 365中提供的标准报表。 具体而言，你将查找仅适用于Defender for Office 365功能的报表， (例如，安全链接或安全附件) 或可通过Defender for Office 365检测进行筛选的报告，如以下列表所述：

• 邮件流状态报告的“邮件流”视图：

  • 检测到由反钓鱼策略作为用户模拟或域模拟的消息显示在 模拟块中。
  • 安全附件策略或安全链接策略在文件或 URL 引爆过程中检测到的消息显示在 引爆块中。

• 威胁防护状态报告：

  可以通过“受保护者”值MDO筛选威胁防护状态报告中的许多视图，以查看Defender for Office 365的效果。

  • 按概述查看数据

  • 按Email>网络钓鱼和图表细分（按检测技术）查看数据

    • 市场活动检测到的消息显示在“市场活动”中。
    • 安全附件检测到的消息显示在 文件引爆 和 文件引爆信誉中。
    • 在反钓鱼策略中由用户模拟保护检测到的邮件显示在 模拟域、 模拟用户和 邮箱智能模拟中。
    • 安全链接检测到的消息显示在 URL 引爆 和 URL 引爆信誉中。

  • 按Email>恶意软件查看数据，并按检测技术进行图表细分

    • 市场活动检测到的消息显示在“市场活动”中。
    • 安全附件检测到的消息显示在 文件引爆 和 文件引爆信誉中。
    • 安全链接检测到的消息显示在 URL 引爆 和 URL 引爆信誉中。

  • 按Email>垃圾邮件和图表细分（按检测技术）查看数据

    安全链接检测到的消息显示在 URL 恶意信誉中。

  • 按策略类型划分的图表细分

    安全附件检测到的邮件显示在安全附件中

  • 按内容 > 恶意软件查看数据

    SharePoint、OneDrive 和 Microsoft Teams 安全附件检测到的恶意文件显示在MDO引爆中。

• 排名靠前的发件人和收件人报表

  显示排名靠前的恶意软件收件人 (MDO) 的数据，并显示 (MDO) 排名靠前的钓鱼收件人的数据。

• URL 保护报告

用于审核模式的报告

在 审核模式下，你将查找按评估策略显示检测的报告，如以下列表所述：

• Email实体页在“分析”选项卡上显示“邮件检测详细信息”中的以下横幅，这些邮件检测详细信息为“错误附件”、“垃圾邮件 + 恶意软件”、“网络钓鱼 URL”和Defender for Office 365评估检测到的模拟邮件：

  

• 的Microsoft Defender for Office 365评估页https://security.microsoft.com/atpEvaluation合并了 Defender for Office 365 中提供的标准报表中的检测。 此页上的报告主要按 评估进行筛选：是 仅显示评估策略的检测，但大多数报表也使用其他澄清筛选器。

  默认情况下，页面上的报告摘要显示过去 30 天的数据，但可以通过选择 30 天并从以下小于 30 天 的其他值中进行选择来筛选日期范围：

  • 24 小时
  • 7 天
  • 14 天
  • 自定义日期范围

  选择“在卡中查看详细信息时，日期范围筛选器会影响在页面和main报表摘要中显示的数据。

  选择“下载”，将图表数据下载到 .csv 文件。

  • Microsoft Defender for Office 365评估页上的以下报告包含威胁防护状态报告中特定视图中的筛选信息：

    • Email链接：
      • 报表视图：按Email>网络钓鱼查看数据，并按检测技术细分图表
      • 检测 筛选器： URL 引爆信誉 和 URL 引爆。
    • 电子邮件中的附件：
      • 报表视图：按Email>网络钓鱼查看数据，并按检测技术细分图表
      • 检测 筛选器： 文件引爆 和 文件引爆信誉。
    • 模拟
      • 报表视图：按Email>网络钓鱼查看数据，并按检测技术细分图表
      • 检测 筛选器： 模拟用户、 模拟域和 邮箱智能模拟。
    • 附件链接
      • 报表视图：按Email>恶意软件查看数据，按检测技术细分图表
      • 检测 筛选器： URL 引爆 和 URL 引爆信誉。
    • 嵌入式恶意软件
      • 报表视图：按Email>恶意软件查看数据，按检测技术细分图表
      • 检测 筛选器： 文件引爆 和 文件引爆信誉。
    • 欺骗发件人：
      • 报表视图：按Email>网络钓鱼查看数据，并按检测技术细分图表
      • 检测 筛选器： 组织内部欺骗、 外部域欺骗和 Spoof DMARC。

  • 实时 URL 单击保护 使用 URL 保护报告中按 URL 查看数据单击保护操作 ，该操作按 评估：是筛选。

    尽管 URL 保护报告中按应用程序单击“按 URL 查看数据”不会显示在“Microsoft Defender for Office 365评估”页上，但它也可以按“评估：是”进行筛选。

所需权限

Microsoft Entra ID需要以下权限才能设置 Defender for Microsoft 365 的评估或试用版：

• 创建、修改或删除评估或试用版： 安全管理员 或 全局管理员 角色的成员身份。
• 在审核模式下查看评估策略和报告： 安全管理员 或 安全读取者 角色的成员身份。

有关Microsoft Defender门户中Microsoft Entra权限的详细信息，请参阅 Microsoft Defender 门户中Microsoft Entra角色

常见问题解答

问：是否需要手动获取或激活试用版许可证？

答：否。 如果需要，试用版会自动预配Defender for Office 365计划 2 许可证，如前所述。

问：如何实现延长试用期？

答：请参阅 延长试用期。

问：试用期满后，我的数据会发生什么情况？

答：试用期满后，可以访问试用数据 (Defender for Office 365中 30 天内未) 的功能中的数据。 在此 30 天期限过后，与Defender for Office 365试用版关联的所有策略和数据将被删除。

问：可以在组织中使用Defender for Office 365试用版多少次？

答：最多两次。 如果第一个试用版过期，则需要在到期日期后至少等待 30 天，然后才能再次注册Defender for Office 365试用版。 第二次试用后，无法注册另一个试用版。

问：在审核模式下，是否存在Defender for Office 365对消息执行作用的情况？

答：可以。 为了保护服务，任何程序或 SKU 中的任何人都不能关闭或绕过对服务归类为恶意软件或高置信度钓鱼的邮件执行操作。

问：策略的评估顺序是什么？

答：请参阅 预设安全策略和其他策略的优先级顺序。

与Defender for Office 365评估和试用关联的策略设置

审核模式下的策略

警告

请勿尝试创建、修改或删除与评估Defender for Office 365关联的单个安全策略。 为评估创建单个安全策略的唯一受支持方法是首次在Microsoft Defender门户中以审核模式启动评估或试用。

如前所述，为评估或试用选择审核模式时，将自动创建具有所需设置的评估策略，这些策略具有要观察但未对消息执行操作的所需设置。

若要查看这些策略及其设置，请在 Exchange Online PowerShell 中运行以下命令：

Write-Output -InputObject ("`r`n"*3),"Evaluation anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"; Write-Output -InputObject ("`r`n"*3),"Evaluation Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"; Write-Output -InputObject ("`r`n"*3),"Evaluation Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"

下表中还介绍了这些设置。

防钓鱼评估策略设置

设置	值
名称	评估策略
AdminDisplayName	评估策略
AuthenticationFailAction	MoveToJmf
DmarcQuarantineAction	Quarantine
DmarcRejectAction	拒绝
已启用	True
EnableFirstContactSafetyTips	False
EnableMailboxIntelligence	True
EnableMailboxIntelligenceProtection	True
EnableOrganizationDomainsProtection	False
EnableSimilarDomainsSafetyTips	False
EnableSimilarUsersSafetyTips	False
EnableSpoofIntelligence	True
EnableSuspiciousSafetyTip	False
EnableTargetedDomainsProtection	False
EnableTargetedUserProtection	False
EnableUnauthenticatedSender	True
EnableUnusualCharactersSafetyTips	False
EnableViaTag	True
ExcludedDomains	{}
ExcludedSenders	{}
HonorDmarcPolicy	True
ImpersonationProtectionState	手动
IsDefault	False
MailboxIntelligenceProtectionAction	NoAction
MailboxIntelligenceProtectionActionRecipients	{}
MailboxIntelligenceQuarantineTag	DefaultFullAccessPolicy
PhishThresholdLevel	1
PolicyTag	空白
RecommendedPolicyType	评估
SpoofQuarantineTag	DefaultFullAccessPolicy
TargetedDomainActionRecipients	{}
TargetedDomainProtectionAction	NoAction
TargetedDomainQuarantineTag	DefaultFullAccessPolicy
TargetedDomainsToProtect	{}
TargetedUserActionRecipients	{}
TargetedUserProtectionAction	NoAction
TargetedUserQuarantineTag	DefaultFullAccessPolicy
TargetedUsersToProtect	{}

安全附件评估策略设置

设置	值
名称	评估策略
操作	允许
ActionOnError	True*
AdminDisplayName	评估策略
ConfidenceLevelThreshold	80
启用	True
EnableOrganizationBranding	False
IsBuiltInProtection	False
IsDefault	False
OperationMode	Delay
QuarantineTag	AdminOnlyAccessPolicy
RecommendedPolicyType	评估
Redirect	False
RedirectAddress	空白
ScanTimeout	30

^* 此参数已弃用，不再使用。

安全链接评估策略设置

设置	值
名称	评估策略
AdminDisplayName	评估策略
AllowClickThrough	True
CustomNotificationText	空白
DeliverMessageAfterScan	True
DisableUrlRewrite	True
DoNotRewriteUrls	{}
EnableForInternalSenders	False
EnableOrganizationBranding	False
EnableSafeLinksForEmail	True
EnableSafeLinksForOffice	True
EnableSafeLinksForTeams	True
IsBuiltInProtection	False
LocalizedNotificationTextList	{}
RecommendedPolicyType	评估
ScanUrls	True
TrackClicks	True

使用 PowerShell 在审核模式下配置评估或试用的收件人条件和例外

与Defender for Office 365评估策略关联的规则控制评估的收件人条件和例外。

若要查看与评估关联的规则，请在 Exchange Online PowerShell 中运行以下命令：

Get-ATPEvaluationRule

若要使用 Exchange Online PowerShell 修改评估适用于的人员，请使用以下语法：

Set-ATPEvaluationRule -Identity "Evaluation Rule" -SentTo <"user1","user2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -SentToMemberOf <"group1","group2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null> -RecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null>

此示例为 secOps) 邮箱 (指定安全操作配置评估中的异常。

Set-ATPEvaluationRule -Identity "Evaluation Rule" -ExceptIfSentTo "SecOps1","SecOps2"

使用 PowerShell 在审核模式下打开或关闭评估或试用

若要在审核模式下打开或关闭评估，请启用或禁用与评估关联的规则。 评估规则的 State 属性值显示规则是“已启用”还是“已禁用”。

运行以下命令，以确定评估当前是启用或禁用的：

Get-ATPEvaluationRule -Identity "Evaluation Rule" | Format-Table Name,State

运行以下命令以关闭评估（如果已打开）：

Disable-ATPEvaluationRule -Identity "Evaluation Rule"

运行以下命令，如果评估已关闭，请将其打开：

Enable-ATPEvaluationRule -Identity "Evaluation Rule"

处于阻止模式的策略

如前所述， 阻止模式 策略是使用 预设安全策略的标准模板创建的。

若要使用 Exchange Online PowerShell 查看与标准预设安全策略关联的单个安全策略，以及查看和配置预设安全策略的收件人条件和例外，请参阅 Exchange Online PowerShell 中的预设安全策略。