共用方式為


開始使用適用於 Office 365 的 Microsoft Defender

在包含 Microsoft Defender for Office 365 (或附加元件訂用帳戶) 的新Microsoft 365 組織中,本文說明您在組織最早的幾天,在 Exchange Online Protection (EOP) 適用於 Office 365 的 Defender 中需要執行的設定步驟。

雖然您的 Microsoft 365 組織包含從您建立預設保護層級開始, (或將適用於 Office 365 的 Defender 新增至) ,但本文中的步驟可為您提供可採取動作的計劃,以釋放適用於 Office 365 的 EOP 和 Defender 的完整保護功能。 完成步驟之後,您也可以使用本文來顯示管理,表示您將投資最大化Microsoft 365。

下圖說明設定適用於 Office 365 的 EOP 和 Defender 的步驟:

顯示設定適用於 Office 365 的 Defender 步驟的概念圖。

提示

作為本文的附隨,建議您使用適用於 Office 365 的 Microsoft Defender 自動化設定指南,位於 https://admin.microsoft.com/Adminportal/Home?Q=learndocs#/modernonboarding/office365advancedthreatprotectionadvisor。 本指南會根據您的環境自定義您的體驗。 若要檢閱最佳做法,而不登入和啟用自動化安裝功能,請移至 Microsoft 365 安裝入口網站,網位於 https://setup.microsoft.com/defender/office-365-setup-guide

需求

透過 EOP 使用雲端信箱 的所有 Microsoft 365 訂閱都包含電子郵件威脅防護功能。 適用於 Office 365 的 Defender 包含其他保護功能。 如需 EOP、適用於方案 1 的適用於 Office 365 的 Defender 和適用於 Office 365 的 Defender 方案 2 中功能的詳細比較,請 參閱 Microsoft Defender for Office 365 概觀

角色及權限

若要設定適用於 Office 365 的 EOP 和 Defender 功能,您需要許可權。 下表列出您需要執行本文步驟的許可權, (其中一個就足夠了;您不需要全部) 。

角色或角色群組 深入了解
Microsoft Entra 中的全域管理員* Microsoft內建角色
電子郵件 & 共同作業角色群組中的組織管理 適用於 Office 365 Microsoft Defender 中的角色群組
Microsoft Entra 中的安全性系統管理員 Microsoft內建角色
電子郵件 & 共同作業角色群組中的安全性系統管理員 Microsoft Defender for Office 365 中的電子郵件 & 共同作業許可權
Exchange Online 組織管理 Exchange Online 中的權限

重要事項

* Microsoft建議您使用許可權最少的角色。 使用較低許可權的帳戶有助於改善組織的安全性。 全域管理員是高度特殊許可權的角色,當您無法使用現有角色時,應該僅限於緊急案例。

步驟 1:設定Microsoft 365 網域的電子郵件驗證

摘要:針對所有自定義Microsoft 365 網域設定 SPFDKIMDMARC 記錄 () , (包括已停駐的網域和子域) 。 如有必要,請設定任何 受信任的 ARC 密封器

詳細資料

電子郵件驗證 (也稱為 電子郵件驗證) 是一組標準,可驗證電子郵件是否合法、未變更,且來自發件者電子郵件網域的預期來源。 如需詳細資訊,請參閱 EOP 中的電子郵件驗證

我們會繼續假設您在 Microsoft 365 中使用一或多個 自定義網域 進行電子郵件 (例如 contoso.com) ,因此您必須為用於電子郵件的每個自定義網域建立特定的電子郵件驗證 DNS 記錄。

針對您在 Microsoft 365 中用於電子郵件的每個自定義網域,在 DNS 註冊機構或 DNS 主控服務建立下列電子郵件驗證 DNS 記錄:

  • 寄件者原則架構 (SPF) :SPF TXT 記錄會識別來自網域中發件者的有效電子郵件來源。 如需指示, 請參閱設定SPF以協助防止詐騙

  • DomainKeys 識別郵件 (DKIM) :D KIM 會簽署輸出訊息,並將簽章儲存在郵件轉寄後存取的郵件標頭中。 如需指示,請 參閱使用 DKIM 驗證從自訂網域傳送的輸出電子郵件

  • 以網域為基礎的訊息驗證、報告和一致性 (DMARC) :D MARC 可協助目的地電子郵件伺服器決定如何處理來自自定義網域且無法通過 SPF 和 DKIM 檢查的郵件。 請務必在 DMARC 記錄中包含 DMARC 原則 p=reject (或 p=quarantine) 和 DMARC 報告目的地 (匯總和鑑識報告) 。 如需指示,請 參閱使用 DMARC 驗證電子郵件

  • 已驗證的接收鏈結 (ARC) :如果您使用第三方服務 在傳遞至 Microsoft 365 之前修改傳輸中的輸入訊息,您可以將服務識別為 受信任的 ARC 密封 ( 如果它們支援) ,則修改過的郵件不會自動在 Microsoft 365 中進行電子郵件驗證檢查。 如需指示, 請參閱設定受信任的ARC密封器

如果您將 *.onmicrosoft.com 網域用於電子郵件 (也稱為 Microsoft Online 電子郵件路由位址或 MOERA 網域) ,您不需要執行下列動作:

  • SPF:已針對 *.onmicrosoft.com 網域設定SPF記錄。
  • DKIM:D KIM 簽署已設定為使用 *.onmicrosoft.com 網域的輸出郵件,但您也可以 手動加以自定義
  • DMARC:您必須手動設定 *.onmicrosoft.com 網域的 DMARC 記錄,如 這裡所述。

步驟 2:設定保護原則

摘要:開啟並使用所有收件者的標準和/或嚴格 預設安全 策略。 或者,如果 商務需求規定,請改為建立和使用自定義保護原則,但使用組態 分析器定期檢查它們。

詳細資料

如您所想像,EOP 和適用於 Office 365 的 Defender 提供許多保護原則。 保護原則有三種基本類型:

  • 默認原則:這些原則從組織建立起即存在。 它們會套用至組織中的所有收件者、您無法關閉原則,而且您無法修改套用原則的物件。 但您可以修改原則中的安全性設定,就像自定義原則一樣。 默認原則中的設定會在 EOP 和適用於 Office 365 的 Defender Microsoft 建議設定中的數據表中說明。

  • 默認安全策略:預設安全性實際上是包含 EOP 和適用於 Office 365 的 Defender 中大部分可用保護原則的配置檔,具有專為特定保護層級量身打造的設定。 預設的安全策略如下:

    • 嚴格預設安全策略。
    • 標準預設安全策略。
    • 內建保護。

    標準和嚴格預設安全策略預設會關閉,直到您將其開啟為止。 您可以指定收件者條件和例外狀況, (使用者、群組成員、網域或所有收件者) EOP 保護功能,以及標準和嚴格預設安全策略內的適用於 Office 365 的 Defender 保護功能。

    適用於 Office 365 的 Defender 內建保護預設為開啟,可為所有收件者提供基本的安全附件和安全鏈接保護。 您可以指定收件者例外狀況,以識別未取得保護的使用者。

    在適用於 Office 365 的 Defender 組織的標準和嚴格預設安全策略中,您需要設定使用者和網域模擬保護的專案和選擇性例外狀況。 所有其他設定都會鎖定在我們的建議標準和嚴格值中, (其中有許多是相同的) 。 您可以在 EOP 和適用於 Office 365 安全性Microsoft Defender 的建議設定中看到數據表中的 Standard 和 Strict 值,您可以 在這裡看到 Standard 和 Strict 之間的差異。

    當新的保護功能新增至適用於 Office 365 的 EOP 和 Defender 時,隨著安全性環境的變更,預設安全策略中的設定會自動更新為建議的設定。

  • 自定義原則:針對大部分可用的保護原則,您可以建立任意數目的自定義原則。 您可以將原則套用至使用收件者條件和例外狀況的使用者, (使用者、群組成員或網域) ,而且您可以自定義設定。

下表摘要說明先前的資訊和所涉及的保護原則:

  預設原則 預設安全性原則 自訂原則
EOP 保護原則
  反惡意代碼
  反垃圾郵件
  防網路釣魚 (詐騙保護)
  輸出垃圾郵件
  連線篩選 ✔¹
適用於 Office 365 的 Defender 原則
  防網路釣魚 (詐騙保護) 加上: ✔² ✔²
  安全連結 ³
  安全附件 ³
一般行為
  默認會開啟保護嗎?
  設定保護的條件/例外狀況? ✔⁵
  自訂安全性設定?
  保護設定會自動更新嗎?

¹ IP 允許清單或 IP 封鎖清單中沒有預設專案,因此除非您自定義設定,否則預設連線篩選原則實際上不會執行任何動作。

² 在您設定之前,適用於 Office 365 的 Defender 中沒有用戶模擬或網域模擬保護的專案或選擇性例外狀況。

³ 雖然適用於 Office 365 的 Defender 中沒有預設的安全附件或安全鏈接原則,但內建保護會提供一律開啟的基本安全附件和安全鏈接保護。

⁴內建保護 (適用於 Office 365 的 Defender 中的安全附件和安全鏈接保護) 是預設開啟的唯一預設安全策略。

⁵ 針對標準和嚴格預設安全策略,您可以為 EOP 和適用於 Office 365 的 Defender 保護設定個別的收件者條件和選擇性例外狀況。 針對適用於 Office 365 的 Defender 內建保護,您只能設定來自保護的收件者例外狀況。

⁶ 預設安全策略中唯一可自定義的安全性設定是適用於 Office 365 的 Defender 中標準和嚴格預設安全策略中使用者模擬保護和網域模擬保護的專案和選擇性例外狀況。

保護原則的優先順序順序

如何套用保護原則是您決定如何為用戶設定安全性設定時的重要考慮。 要記住的重點如下:

  • 保護功能具有無法設定 的處理順序。 例如,傳入訊息一律會在垃圾郵件之前評估是否有惡意代碼。
  • 特定功能的保護原則 (反垃圾郵件、反惡意代碼、反網路釣魚等 ) 會依優先順序的特定順序套用, (稍後的優先順序) 。
  • 如果使用者刻意或無意地包含在特定功能的多個原則中,則該功能的第一個保護原則會根據優先順序的順序 ( (,) 決定在訊息、檔案、URL 等 ) (專案會發生什麼情況。
  • 將第一個保護原則套用至使用者的特定項目之後,該功能的原則處理就會停止。 不會再針對該使用者和該特定項目評估該功能的保護原則。

優先順序的順序會在 預設安全策略和其他原則的優先順序順序中詳細說明,但簡要說明如下:

  1. 預設安全策略中的保護原則:
    1. 嚴格預設安全策略。
    2. 標準預設安全策略。
  2. 特定功能的自定義保護原則 (例如,反惡意代碼原則) 。 每個自定義原則都有一個優先順序值,可決定針對相同功能的其他保護原則套用原則的順序:
    1. 優先順序值為 0 的自定義原則。
    2. 優先順序值為 1 的自定義原則。
    3. 依此類推。
  3. 特定功能的默認保護原則 (例如,適用於 Office 365 的 Defender 中的反惡意代碼) 或內建保護 (安全連結和安全附件) 。

請參閱上表,以瞭解特定保護原則如何以優先順序表示。 例如,每個層級都有反惡意代碼原則。 輸出垃圾郵件原則可在自定義原則和默認原則層級取得。 線上篩選原則僅適用於預設原則層級。

若要避免混淆和非預期的原則應用,請使用下列指導方針:

  • 在每個層級使用明確群組或收件者清單。 例如,針對標準和嚴格預設安全策略使用不同的收件者群組或清單。
  • 視需要在每個層級設定例外狀況。 例如,將需要自定義原則的收件者設定為標準和嚴格預設安全策略的例外狀況。
  • 任何未在較高層級識別的其餘收件者,都會在適用於 Office 365 的 Defender 中取得默認原則或內建保護 (安全連結和安全附件) 。

有了這項資訊,您可以決定在組織中實作保護原則的最佳方式。

判斷您的保護原則策略

既然您已瞭解不同類型的保護原則及其套用方式,您可以決定如何使用適用於 Office 365 的 EOP 和 Defender 來保護組織中的使用者。 您的決策不一定會落在下列範圍內:

  • 僅使用標準預設安全策略。
  • 使用標準和嚴格預設安全策略。
  • 使用預設的安全策略和自定義原則。
  • 僅使用自定義原則。

請記住,適用於 Office 365 的 Defender 中的預設原則 (和內建保護) 自動保護組織中的所有收件者 (未在標準或嚴格預設安全策略或自定義原則中定義的任何人) 。 因此,即使您不執行任何動作,組織中的所有收件者都會取得默認保護,如 EOP 和 Microsoft Defender for Office 365 安全性的建議設定中所述。

也請務必瞭解,您不會永遠被鎖定在初始決策中。 建議設定數據表Standard 和 Strict 比較數據表中的資訊應該可讓您做出明智的決策。 但如果需求、結果或情況變更,稍後切換到不同的策略並不困難。

若沒有具吸引力的商務需求,則建議您從組織中所有用戶的標準預設安全策略開始。 默認安全策略是以Microsoft 365 數據中心內的觀察年份為基礎的設定來設定,而且應該是大多數組織的正確選擇。 而且,原則會自動更新,以符合安全性環境的威脅。

在預設安全策略中,您可以選取 [ 所有收件者] 選項,輕鬆地將保護套用至組織中的所有收件者。

如果您想要在嚴格預設安全策略中包含某些使用者,以及標準預設安全策略中的其餘使用者,請記得使用下列方法來考慮優先 順序的順序 ,如本文稍早所述:

  • 在每個預設的安全策略中使用明確群組或收件者清單。

  • 設定收件者,這些收件者應取得標準預設安全策略的設定,作為 Strict 預設安全策略中的例外狀況。

請記住,下列保護功能設定不受預設安全策略影響 (您可以使用預設的安全策略,也可以獨立設定這些保護設定) :

若要開啟和設定預設安全策略,請參閱 EOP 中的預設安全策略和適用於 Office 365 的 Microsoft Defender

除了預設的安全策略之外,決定使用自定義原則而非 或 ,最終取決於下列商務需求:

  • 使用者需要的安全性設定與預設安全策略中無法修改的設定 不同 , (垃圾郵件與隔離,反之亦然,沒有安全提示、通知自定義收件者等 ) 。
  • 使用者需要 在預設安全策略中設定的設定 (例如,在反垃圾郵件原則中封鎖來自特定國家/地區或特定語言的電子郵件) 。
  • 使用者需要與預設安全策略中無法修改的設定不同的 隔離體驗隔離原則 會根據郵件遭到隔離的原因,以及收件者是否收到其隔離郵件的通知,來定義使用者可以對其隔離的郵件執行哪些動作。 這裡的 數據表摘 要說明預設的使用者隔離體驗,這裏 的數據表會說明標準和嚴格預設安全策略中所使用的隔離原則。

使用 EOP 和 Microsoft Defender for Office 365 安全性的建議設定 中的資訊,比較自定義原則或默認原則中的可用設定與標準和嚴格預設安全策略中設定的設定。

針對特定功能的多個自定義原則設計指導方針 (例如,反惡意代碼原則) 包括:

  • 由於優先順序的緣故,自定義原則中的用戶無法包含在標準或嚴格預設安全 策略中
  • 將較少的使用者指派給較高優先順序的原則,並將更多使用者指派給較低的優先順序原則。
  • 將較高的優先順序原則設定為具有比較低優先順序原則更嚴格或更特殊的設定, (包括默認原則) 。

如果您決定使用自定義原則,請使用組態 分析器 定期比較原則中的設定與標準和嚴格預設安全策略中的建議設定。

步驟 3:將許可權指派給系統管理員

摘要:將 Microsoft Entra 中的安全性系統 管理員 角色指派給其他系統管理員、專家和支持人員,讓他們可以在 EOP 和適用於 Office 365 的 Defender 中執行工作。

詳細資料

您可能已經使用您在 Microsoft 365 註冊的初始帳戶來執行本部署指南中的所有工作。 該帳戶是 Microsoft 365 (中所有位置的系統管理員,具體而言,它是 Microsoft Entra) 中全域 管理員角色的成員 ,可讓您執行幾乎任何動作。 本文稍早在角色和許可權中說明必要的 許可權

但是,此步驟的目的是要設定其他系統管理員,以協助您在未來管理適用於 Office 365 的 EOP 和 Defender 功能。 您不想要的是許多具備全域管理員能力的人不需要它。 例如,他們真的需要刪除/建立帳戶,還是讓其他使用者成為全域管理員? 最低 許可權 的概念 (只指派執行作業所需的許可權,而不再) 是很好的作法。

在 EOP 和適用於 Office 365 的 Defender 中指派工作的許可權時,有下列選項可供使用:

為了簡單起見,我們建議針對需要在 EOP 和適用於 Office 365 的 Defender 中設定設定的其他人,在 Microsoft Entra 中使用安全性系統 管理員 角色。

如需指示, 請參閱將 Microsoft Entra 角色指派給使用者使用 Microsoft Entra 全域角色管理 Microsoft Defender XDR 的存取權

步驟 4:優先順序帳戶和用戶標籤

摘要:識別並標記組織中適當的使用者作為 優先帳戶 ,以便在報告和調查中更容易識別,以及在適用於 Office 365 的 Defender 中獲得 優先帳戶保護 。 請考慮在適用於 Office 365 的 Defender 方案 2 中建立和套用自定義 使用者標籤

詳細資料

在適用於 Office 365 的 Defender 中,優先順序帳戶可讓您標記最多 250 個高價值使用者,以便在報告和調查中輕鬆識別。 這些優先順序帳戶也會收到對一般員工沒有好處的其他啟發學習法。 如需詳細資訊,請參閱 管理和監視優先順序帳戶在適用於 Office 365 Microsoft Defender 中設定和檢閱優先順序帳戶保護

在適用於 Office 365 的 Defender 方案 2 中,您也可以存取建立和套用自定義 使用者標籤 ,以輕鬆識別報表和調查中的特定使用者群組。 如需詳細資訊,請參閱 Microsoft Defender for Office 365 中的使用者標籤

識別要標記為優先帳戶的適當使用者,並決定是否需要建立和套用自定義使用者標籤。

步驟 5:檢閱和設定使用者回報的訊息設定

摘要:部署報表訊息或報表網路釣魚載入宏或支援的第三方工具,讓使用者可以在 Outlook 中回報誤判和誤判,因此這些回報的訊息可供管理員在 Defender 入口網站 [提交] 頁面的 [用戶回報] 索引卷標上使用。 設定組織,讓報告的郵件移至指定的報告信箱、Microsoft或兩者。

詳細資料

用戶回報標示為不正確 (誤判) 或錯誤訊息的能力, (誤判) ,對於您在 EOP 和適用於 Office 365 的 Defender 中監視和調整保護設定非常重要。

使用者訊息報告的重要部分包括:

  • 使用者如何報告訊息?:請確定用戶端使用下列其中一種方法,以便報告的訊息出現在Defenderhttps://security.microsoft.com/reportsubmission?viewid=user入口網站中[提交] 頁面的 [用戶報告] 索引卷標上::

  • Outlook 網頁版中的內建 [報 表] 按鈕 (先前稱為 Outlook Web App 或 OWA) 。

  • Microsoft Outlook 和 Outlook 網頁版的報表 訊息或報表網路釣魚載入 宏。

  • 使用 支援之訊息提交格式的第三方報告工具。

  • 使用者回報的訊息會在哪裡?:您有下列選項:

    • 對於指定的報告信箱,若要Microsoft (这是默认值) 。
    • 僅限指定的報告信箱。
    • 僅Microsoft。

    用來收集用戶回報訊息的預設信箱是全域管理員的信箱, (組織中初始帳戶) 。 如果您想要讓使用者回報的郵件移至組織中的報告信箱,您應該建立並設定要使用的獨占信箱。

    由您決定是否要讓使用者回報的郵件也移至Microsoft,以獨佔方式進行分析 (,或將郵件傳遞至您指定的報告信箱) 。

    如果您想要讓使用者回報的郵件只移至您指定的報告信箱,系統管理員應該手動將使用者回報的郵件提交至 Microsoft,以從 Defender https://security.microsoft.com/reportsubmission?viewid=user入口網站中 [提交] 頁面 [用戶報告] 索引卷標進行分析。

    將用戶回報的訊息提交至Microsoft對於讓我們的篩選條件學習並改善非常重要。

如需使用者回報訊息設定的完整資訊,請參閱 使用者報告設定

步驟 6:封鎖和允許專案

摘要:熟悉在適用於 Office 365 的 Defender 中封鎖和允許訊息、檔案和 URL 的程式。

詳細資料

您必須熟悉如何在Defender入口網站的下列位置封鎖和 (暫時) 允許訊息寄件者、檔案和URL:

一般而言,建立區塊比允許更容易,因為不必要的允許專案會將您的組織公開到系統所篩選的惡意電子郵件。

  • 封鎖

    • 您可以在 [租使用者允許/封鎖清單] 中對應的索引標籤上建立 網域和電子郵件地址檔案URL 的封鎖專案,並將專案提交至 [提交 ] 頁面Microsoft 進行分析。 當您將專案提交至Microsoft時,也會在租用戶允許/封鎖清單中建立對應的區塊專案。

      提示

      組織中的使用者也無法 將電子郵件傳送 至租用戶允許/封鎖清單中封鎖專案中指定的網域或電子郵件位址。

    • 詐騙情報封鎖 訊息會顯示在詐騙 情報 頁面上。 如果您將允許專案變更為封鎖專案,寄件者會變成租使用者允許/封鎖清單中 [ 詐騙發件者 ] 索引標籤上的手動封鎖專案。 您也可以在 [詐騙發件者] 索引標籤上,主動建立尚未遇到詐騙發 件人的 封鎖專案。

  • 允許

    • 您無法直接在租使用者允許/封鎖清單的對應索引標籤上,建立 網域和電子郵件地址檔案URL 的允許專案。 相反地,您會使用 [ 提交] 頁面來回報要Microsoft的專案。 當您將項目回報給Microsoft時,您可以選取以允許專案,這會在 [租使用者允許/封鎖] 清單中建立對應的暫時允許專案。

    • 詐騙情報允許的訊息會顯示在詐騙情報頁面上。 如果您將封鎖專案變更為允許專案,寄件者會變成租使用者允許/封鎖清單中 [ 詐騙發件者 ] 索引標籤上的手動允許專案。 您也可以在 [詐騙發件者] 索引標籤上,主動建立尚未遇到詐騙發 件人的 允許專案。

如需完整詳細數據,請參閱下列文章:

步驟 7:使用攻擊模擬訓練啟動網路釣魚模擬

在適用於 Office 365 的 Defender 方案 2 中,攻擊模擬訓練可讓您將模擬網路釣魚訊息傳送給使用者,並根據使用者的回應方式指派訓練。 下列為可用的選項:

  • 使用內建或自定義承載的個別模擬
  • 使用多個承載和自動化排程,從真實世界網路釣魚攻擊中取得的模擬自動化
  • 僅限訓練的活動 ,您不需要啟動行銷活動,並等候使用者在指派訓練之前,單擊模擬網路釣魚訊息中的連結或下載附件。

如需詳細資訊, 請參閱開始使用攻擊模擬訓練

步驟 8:調查並回應

現在您已完成初始設定,請使用 適用於 Office 365 的 Microsoft Defender 安全性作業指南 中的資訊來監視和調查組織中的威脅。