提示
您知道您可以免費試用 Microsoft Defender for Office 365 方案 2 中的功能嗎? 在 Microsoft Defender 入口網站試用中樞使用 90 天適用於 Office 365 的 Defender 試用版。 了解誰可以在試用適用於 Office 365 的 Microsoft Defender 上註冊和試用條款。
重要事項
本文適用於擁有適用於 Office 365 的 Microsoft Defender 的商務客戶。 如果您使用 Outlook.com、Microsoft 365 家用版 或 Microsoft 365 個人版,並且正在尋找 Outlook.com 中安全連結的相關資訊,請參閱 Microsoft 365 訂閱者的進階 Outlook.com 安全性。
在具有適用於 Office 365 的 Microsoft Defender 的組織中,安全連結掃描可保護您的組織免於網路釣魚和其他攻擊中使用的惡意連結。 具體而言,安全連結會在郵件流程期間提供傳入電子郵件訊息的 URL 掃描和重寫,以及電子郵件訊息、Teams 和支援的 Office 365 應用程式中 URL 和連結的按按時間驗證。 除了常規的 反垃圾郵件 和 反惡意軟件 保護之外,還會進行安全鏈接掃描。
觀看這段簡短影片,瞭解如何使用適用於 Office 365 的 Microsoft Defender 中的安全連結來防範惡意連結。
注意事項
雖然沒有預設的安全連結原則,但內建保護預設安全性原則會在電子郵件訊息、Microsoft Teams 和支援的 Office 應用程式中的檔案中提供安全連結保護,給至少有一個適用於 Office 365 的 Defender 授權的客戶 (未在 Standard 或嚴格預設安全性原則或自定義安全連結原則) 中定義的使用者。 如需詳細資訊,請參閱 預設安全性原則。 您也可以建立套用至特定使用者、群組或網域的安全連結原則。 如需指示,請參閱 在適用於 Office 365 的 Microsoft Defender 中設定安全連結原則。
安全連結原則的安全連結保護可在下列位置使用:
Email messages:電子郵件訊息中連結的安全連結保護。
如需電子郵件訊息安全連結保護的詳細資訊,請參閱本文稍後的電子郵件 訊息安全連結設定 一節。
注意事項
- 安全連結不適用於已啟用郵件的公用資料夾。
- 安全連結不會為RTF (電子郵件訊息RTF格式的URL提供保護) 。
- 安全連結僅支援 HTTP (S) 和 FTP 格式。
- 安全連結會忽略 S/MIME 簽署的訊息。
- 安全連結不再包裝指向 SharePoint 或 OneDrive 網站的 URL,但安全連結服務仍會處理 URL。 這項變更不會降低保護等級。 相反地,它會改善載入 SharePoint 或 OneDrive URL 的效能。
- 在適用於 Office 365 的 Defender 之前,使用其他服務來包裝連結可能會防止安全連結處理連結,包括包裝、引爆或以其他方式驗證連結的「惡意性」。
Microsoft Teams:Teams 交談、群組聊天或頻道中連結的安全連結保護。
如需 Teams 中安全連結保護的詳細資訊,請參閱本文稍後的 Microsoft Teams 安全連結設定 一節。
Office 應用程式:支援的 Office 桌面、行動和 Web 應用程式的安全連結保護。
如需 Office 應用程式中安全連結保護的詳細資訊,請參閱本文稍後的 Office 應用程式的安全連結設定 一節。
下表描述 Microsoft 365 中的安全連結案例,以及包含適用於 Office 365 (的 Defender 的Office 365組織請注意,在) 範例中,缺乏授權永遠不會是問題。
| 案例 | 結果 |
|---|---|
| Jean 是行銷部門的成員。 Office 應用程式的安全連結保護會在套用至行銷部門成員的安全連結原則中開啟。 Jean 在電子郵件訊息中開啟 PowerPoint 簡報,然後按一下簡報中的 URL。 | Jean 受安全連結保護。 Jean 包含在安全連結原則中,其中已開啟 Office 應用程式的安全連結保護。 如需 Office 應用程式中安全連結保護需求的詳細資訊,請參閱本文稍後的 Office 應用程式的安全連結設定 一節。 |
| Chris 的 Microsoft 365 E5 組織未設定安全連結原則。 Chris 收到來自外部寄件者的電子郵件,其中包含他最終點擊的惡意網站的 URL。 | Chris 受到安全鏈接的保護。 內建保護預設安全性原則可為未在Standard或嚴格預設安全性原則或自訂安全連結原則) 中定義的所有收件者 (使用者提供安全連結保護。 如需詳細資訊,請參閱 預設安全性原則。 |
| 在 Pat 的組織中,系統管理員已建立套用 Pat 的安全連結原則,但已關閉 Office 應用程式的安全連結保護。 Pat 開啟 Word 檔,然後按一下檔案中的 URL。 | Pat 不受安全連結保護。 雖然 Pat 包含在作用中的安全連結原則中,但 Office 應用程式的安全連結保護會在該原則中關閉,因此無法套用保護。 |
| Jamie 和 Julia 都在 contoso.com 工作。 很久以前,管理員設定了適用於 Jamie 和 Julia 的安全連結政策。 傑米向茱莉亞發送了一封電子郵件,但不知道該電子郵件包含惡意 URL。 | 如果套用至Julia的安全連結原則設定為套用至內部收件者之間的訊息 ,則 Julia會受到安全連結的保護。 如需詳細資訊,請參閱本文稍後的 電子郵件訊息安全連結設定 一節。 |
| Jim 的 IT 部門將 SafeLinks 配置為不重寫 URL,並且僅通過 API 進行檢查。 Jim 按一下不支援 SafeLinks API 的替代電子郵件用戶端中的連結。 該鏈接在交付時是合法的,但後來被武器化。 | 吉姆被網路釣魚了。 由於連結在傳遞時不是惡意的,因此 SafeLinks 未偵測到它。 |
安全連結原則中的收件者篩選器
收件者篩選器會使用條件和例外狀況來識別原則套用的內部收件者。 至少需要一個條件。 您可以使用下列收件者篩選器來處理條件和例外狀況:
- 使用者:組織中的一或多個信箱、郵件使用者或郵件連絡人。
-
群組:
- ) 不支援指定通訊群組或已啟用郵件的安全性群組 (動態通訊群組的成員。
- Microsoft Entra ID中指定的Microsoft 365 群組 (動態成員資格群組) 不支援。
- 網域:Microsoft 365 中一或多個已設定的 接受網域 。 收件者的主要電子郵件地址位於指定的網域中。
您只能使用條件或例外狀況一次,但條件或例外狀況可以包含多個值:
相同條件或例外狀況的多個值會使用 OR 邏輯 (例如,<recipient1> 或 <recipient2>) :
- 條件:如果收件者符合 任何 指定的值,則會套用原則。
- 例外狀況:如果收件者符合 任何 指定的值,則不會套用原則。
不同類型的例外狀況會使用 OR 邏輯 (例如,<recipient1> 或 <group1> 的成員或 <domain1>) 的成員。 如果收件者符合 任何 指定的例外狀況值,則不會套用原則。
不同類型的 條件 使用 AND 邏輯。 收件者必須符合 所有 指定的條件,原則才能套用至他們。 例如,您可以使用下列值設定條件:
- 用戶:
romain@contoso.com - 組別:高階主管
只有當他也是 Executives 群組的成員時,才會套用
romain@contoso.com原則。 否則,該政策不適用於他。- 用戶:
電子郵件訊息的安全連結設定
安全連結會掃描傳入電子郵件中已知的惡意超連結。 掃描的 URL 會使用Microsoft標準 URL 前置詞 https://<DataCenterLocation>.safelinks.protection.outlook.com 重寫或包裝: (,例如 https://nam01.safelinks.protection.outlook.com) 。 如果使用者按一下重寫的連結,系統會在將使用者導向頁面之前,先掃描是否有惡意內容。
您可以檢視電子郵件訊息的原始程式碼來查看安全連結 URL。 此行為可防範潛在威脅,同時在正常電子郵件檢視中保持可讀性和完整性。 當使用者將滑鼠停留在 URL 上時,彈出式對話方塊會顯示原始 URL,表示該 URL 已由安全連結掃描。
如果啟用 URL 重寫,即使 手動 轉寄或回覆訊息,也會重寫 URL。 包裝是按郵件收件者完成 (內部和外部收件者) 。 新增至轉寄或回覆訊息的其他連結也會重寫。
對於收件匣規則或 SMTP 轉寄的 自動 轉寄,除非下列其中一項陳述成立 ,否則 不會在預期最終收件者的郵件中重寫 URL:
- 收件者也受到安全連結的保護。
- 該 URL 已在先前的通訊中重寫。
只要開啟安全連結保護,就會在訊息傳遞之前掃描 URL,無論 URL 是否重寫。 如果啟用重寫,則會在點擊時掃描連結。 如果停用重寫,則在 Windows、Mac 和 Outlook 網頁版) (的支援版本的 Outlook 中,按一下時,用戶端安全連結 API 呼叫會檢查未包裝的 URL,
下列清單說明適用於電子郵件訊息的安全連結原則中的設定:
開啟: 當使用者按一下電子郵件中的連結時,[安全連結] 會檢查已知的惡意連結清單。 預設情況下,URL 會重寫。:開啟或關閉電子郵件中的安全連結掃描。 建議值會在) 上選取 (,並產生下列動作:
- 安全連結掃描會在 Windows 上的 Outlook (C2R) 中開啟。
- 當使用者按一下訊息中的 URL 時,會重寫 URL,並透過安全連結保護進行路由。
- 按一下時,會根據已知惡意 URL 清單檢查 URL。
- 沒有有效信譽的 URL 會以非同步方式在背景中引爆。
只有在開啟電子郵件中的安全連結掃描時,才能使用下列設定:
將安全連結套用至組織內傳送的電子郵件訊息:開啟或關閉相同 Exchange Online 組織內內部寄件者與內部收件者之間傳送的郵件安全連結掃描。 已選取建議值 (開啟)。
針對可疑連結和指向檔案的連結套用即時 URL 掃描:開啟連結的即時掃描,包括電子郵件訊息中指向可下載內容的連結。 已選取建議值 (開啟)。
-
等到完成 URL 掃描後才會傳遞郵件:
- ) 上選取的 (:包含 URL 的郵件會保留,直到掃描完成為止。 只有在確認 URL 安全後,才會傳送郵件。 此值是建議值。
- 未選取 (關閉) :如果 URL 掃描無法完成,請繼續傳遞訊息。
-
等到完成 URL 掃描後才會傳遞郵件:
不要重寫 URL,僅透過 SafeLinks API 進行檢查:如果在) 上選取此設定 (,則不會進行 URL 包裝,但在訊息傳遞之前掃描 URL。 在支援的 Outlook (Windows、Mac 和 Outlook 網頁版) 版本中,安全連結會在按一下 URL 時透過 API 呼叫,以進行額外掃描。
如需安全連結原則之標準與嚴格原則設定的建議值詳細資訊,請參閱 安全連結原則設定。
安全連結在電子郵件訊息中的運作方式
概括而言,以下是安全連結保護在電子郵件訊息中 URL 的運作方式:
所有電子郵件都會經過 Microsoft 365 過濾,其中網際網路協定 (IP) 和信封過濾器、基於簽名的惡意軟體防護以及反垃圾郵件和反惡意軟體過濾器在郵件傳遞到收件者郵箱之前檢查郵件。
使用者會在其信箱中開啟郵件,然後按一下郵件中的 URL。
安全連結會在開啟網站之前立即檢查網址:
如果 URL 指向已判定為惡意的網站,則會 (惡意 網站警告 頁面或) 開啟其他警告頁面。
如果 URL 指向可下載的檔案,且在套用至使用者的原則中開啟 [套用即時 URL 掃描以尋找可疑連結和指向檔案的連結 ] 設定,則會檢查可下載的檔案。
如果 URL 被確定為安全,則網站將開啟。
Microsoft Teams 的安全連結設定
您可以在安全連結原則中開啟或關閉 Microsoft Teams 的安全連結保護。 具體而言,您會使用 [ 開啟:安全連結] 會在使用者按兩下 Microsoft Teams 中的連結時檢查已知惡意連結的清單。URL 不會重寫Teams 區段中的設定。 建議值位於 (選) 上。
注意事項
當您開啟或關閉 Teams 的安全連結保護時,變更最多可能需要 24 小時才能生效。
Teams 桌面、Web 和行動 (Android 和 iOS) 應用程式支援 Teams 的安全連結保護。
當目標頁面需要 Cookie 進行驗證時 SameSite=Strict ,從 Teams 開啟的網站可能需要重新驗證。 發生此行為的原因是,執行安全連結驗證的中繼頁面會重新導向至目標頁面,該頁面會被視為跨網站要求。 相同的問題適用於從停用安全連結的 Web 版 Teams 開啟的連結。
當受保護的使用者按一下連結 (點擊時間保護) 時,會根據已知惡意連結清單檢查 Teams 中的 URL。 網址不會重寫。 如果發現連結是惡意的,使用者會有以下體驗:
- 如果在 Teams 交談、群組聊天或頻道中按一下連結,則螢幕擷取畫面中顯示的警告頁面會出現在預設網頁瀏覽器中。
- 如果連結是從釘選索引標籤按一下,則警告頁面會出現在該索引標籤內的 Teams 介面中。出於安全原因,在 Web 瀏覽器中打開鏈接的選項被禁用。
- 根據原則中 [ 讓使用者按兩下至原始 URL ] 設定的設定方式,使用者是否允許按兩下至原始 URL ([無論如何繼續 ] (不建議 在螢幕擷取畫面) 中) 。 建議您不要選取 [ 讓使用者點擊進入原始網址 ] 設定,讓使用者無法點擊進入原始網址。
如果傳送連結的使用者不受已開啟 Teams 保護的安全連結原則保護,使用者可以自由按兩下其電腦或裝置上的原始 URL。
按一下警告頁面上的「 返回」 按鈕,會將使用者傳回其原始內容或 URL 位置。 但是,再次單擊原始鏈接會導致安全鏈接重新掃描 URL,因此警告頁面會重新出現。
安全連結在 Teams 中的運作方式
在較高的層面上,以下是安全連結保護在 Microsoft Teams 作用於 URL 的方式:
使用者啟動 Teams 應用程式。
Microsoft 365 會確認使用者的組織包含適用於 Office 365 的 Microsoft Defender,以及使用者是否包含在開啟 Microsoft Teams 保護的作用中安全連結原則中。
URL 為聊天、群組聊天、頻道和索引標籤中的使用者在點擊時進行驗證。
Office 應用程式的安全連結設定
Office 應用程式的安全連結保護會檢查 Office 文件中的連結,而不是電子郵件訊息中的連結。 但是,它可以在打開文檔後檢查電子郵件中附加的 Office 文檔中的鏈接。
您可以在安全連結原則中開啟或關閉 Office 應用程式的安全連結保護。 具體而言,您可以使用 [開啟:安全連結] 會在使用者按一下 Microsoft Office 應用程式中的連結時檢查已知惡意連結的清單。URL 不會重寫Office 365 應用程式區段中的設定。 建議值位於 (選) 上。
Office 應用程式的安全連結保護具有下列用戶端需求:
Microsoft 365 Apps 或 Microsoft 365 商務進階版:
- Windows、Mac 或網頁瀏覽器中目前版本的 Word、Excel 和 PowerPoint。
- iOS 或 Android 裝置上的 Office 應用程式。
- Windows 上的 Visio。
- 網頁瀏覽器中的 OneNote。
- 開啟已儲存的 EML 或 MSG 檔案時,Windows 版 Outlook。
支援的 Office 應用程式和 Microsoft 365 服務已設定為使用新式驗證。 如需詳細資訊,請參閱 Office 用戶端應用程式的新式驗證運作方式。
使用者會使用其公司或學校帳戶登入。 如需詳細資訊,請參閱 登入 Office。
如需 Standard 和 Strict 原則設定建議值的詳細資訊,請參閱 安全連結原則設定。
安全連結在 Office 應用程式中的運作方式
概括而言,以下是安全連結保護如何針對 Office 應用程式中的 URL 運作。 支援的 Office 應用程式如上一節所述。
使用者在包含 Microsoft 365 Apps 或 Microsoft 365 商務進階版的組織中使用其公司或學校帳戶登入。
使用者在支援的 Office 應用程式中開啟並按一下 Office 文件的連結。
安全連結會在開啟目標網站之前立即檢查網址:
如果 URL 指向已判定為惡意的網站,則會 (惡意 網站警告 頁面或) 開啟其他警告頁面。
如果 URL 指向可下載的檔案,且套用至使用者的安全連結原則已設定為掃描可下載內容的連結 (套用即時 URL 掃描以尋找可疑連結和指向) 檔案的連結 ,則會檢查可下載的檔案。
如果 URL 被認為是安全的,則使用者會被帶到該網站。
如果無法完成安全連結掃描,則不會觸發安全連結保護。 在 Office 桌面用戶端中,使用者在前往目的地網站之前會收到警告。
注意事項
在每個會話開始時,可能需要幾秒鐘的時間來確認使用者可以使用 Office 應用程式的安全連結。
點擊安全連結政策中的保護設定
這些設定適用於電子郵件、Teams 和 Office 應用程式中的安全連結:
追蹤使用者點擊: 開啟或關閉儲存點擊 URL 的安全連結點擊資料。 建議您將此設定保留為選取 () 。
在 Office 應用程式的安全連結中,此設定適用於桌面版 Word、Excel、PowerPoint 和 Visio。
如果您選取此設定,則可以使用下列設定:
讓使用者點擊到原始 URL:控制當 URL 偵測到惡意時,使用者是否可以點擊警告 頁面 到原始 URL。 未選取建議值 () 。
在 Office 應用程式的安全連結中,此設定會套用至桌面版 Word、Excel、PowerPoint 和 Visio 中的原始 URL。
在通知和警告頁面上顯示組織品牌:此選項會在警告頁面上顯示組織的品牌。 商標可協助使用者識別合法的警告,因為攻擊者通常會使用預設的 Microsoft 警告頁面。 如需自訂商標的詳細資訊,請參閱 自訂貴組織的 Microsoft 365 主題。
安全連結原則的優先順序
建立多個原則之後,您可以指定套用這些原則的順序。 沒有兩個原則可以具有相同的優先順序,且原則處理會在第一個原則套用至該收件者) 的最高優先順序原則 (之後停止。 內建保護原則一律會最後套用。 安全連結原則相關聯的 Standard 和 Strict 預設安全性原則一律會套用在自訂安全連結原則之前。
如需優先順序以及如何評估和套用多個原則的詳細資訊,請參閱 預設安全性原則和其他原則的優先順序 和 電子郵件保護的順序和優先順序。
安全連結原則中的「請勿重寫下列 URL」清單
注意事項
在郵件流程期間,安全連結不會掃描或包裝「請勿重寫下列 URL」清單中的專案,但仍可能在按兩下時遭到封鎖。 報告 URL ,因為我已確認它乾淨, 然後選取 [允許此 URL ] 將允許專案新增至租用戶允許/封鎖清單,以便在郵件流程 期間和 按兩下時,安全連結不會掃描或包裝 URL。 如需指示,請參閱 向 Microsoft 報告良好的 URL。
每個安全連結原則都包含 [ 請勿重寫下列 URL] 清單,可用來指定安全連結掃描未重寫的 URL。 您可以在不同的安全連結原則中設定不同的清單。 原則處理會在第一個 (之後停止,可能會將最高優先順序) 原則套用至使用者。 因此,只有一個 [請勿重寫下列 URL] 清單會套用至包含在多個作用中安全連結原則中的使用者。
若要將專案新增至新或現有安全連結原則中的清單,請參閱 建立安全連結原則 或 修改安全連結原則。
附註:
下列用戶端無法辨識安全連結原則中的 [ 請勿重寫下列 URL] 清單。 根據這些用戶端中的安全連結掃描結果,可以封鎖原則中包含的使用者存取 URL:
- Microsoft Teams
- Office 網頁應用程式
如需允許在任何地方使用的真正通用 URL 清單,請參閱 管理租用戶允許/封鎖清單。 不過,租用戶允許/封鎖清單中的 URL 允許專案不會從安全連結重寫中排除。
考慮將常用的內部URL加入清單中,以改善使用者體驗。 例如,如果您有內部部署服務,例如 商務用 Skype 或 SharePoint,您可以新增這些 URL,以將其排除在掃描之外。
如果您已經在安全連結原則中具有「 請勿重寫下列 URL 項目」,請務必檢閱清單並視需要新增萬用字元。 例如,您的清單有一個項目,
https://contoso.com/a例如 ,您稍後決定包含子路徑,例如https://contoso.com/a/b。 不要新增項目,而是將萬用字元新增至現有項目,使其變成https://contoso.com/a/*。您最多可以包含三個萬用字元 (
*每個 URL 項目) 。 萬用字元明確包含前綴或子網域。 例如,項目contoso.com*.contoso.com/*與 不同,因為*.contoso.com/*允許人們訪問指定域中的子域和路徑。如果 URL 使用 HTTP 至 HTTPS (的自動重新導向 (例如,302 重新導向
http://www.contoso.comhttps://www.contoso.com至) ,且您嘗試在清單中同時輸入相同 URL 的 HTTP 和 HTTPS 項目,您可能會注意到第二個 URL 項目會取代第一個 URL 項目。 如果 URL 的 HTTP 和 HTTPS 版本完全分開,則不會發生此行為。請勿指定 http:// 或 https:// (,也就是說,contoso.com) 以排除 HTTP 和 HTTPS 版本。
*.contoso.com不涵蓋 contoso.com,因此您必須同時排除兩者,才能同時涵蓋指定的網域和任何子網域。contoso.com/*只涵蓋 contoso.com,所以沒有必要同時排除contoso.com和contoso.com/*;就contoso.com/*足夠了。若要排除網域的所有疊代,需要兩個排除項目;
contoso.com/*和*.contoso.com/*。 這些項目組合在一起會排除 HTTP 和 HTTPS、主網域 contoso.com 和任何子網域,以及任何或未結束的部分 (例如,contoso.com 和 contoso.com/vdir1 都涵蓋) 。
「請勿重寫下列 URL」清單的項目語法
下表說明您可以輸入的值及其結果的範例:
| 值 | 結果 |
|---|---|
contoso.com |
允許存取但不允許存取 https://contoso.com 子網域或路徑。 |
*.contoso.com/* |
允許存取網域、子網域和路徑 (例如 https://www.contoso.com、 https://www.contoso.com、 https://maps.contoso.com或 https://www.contoso.com/a) 。 此條目本質上優於 *contoso.com*,因為它不允許潛在的欺詐網站,例如 https://www.falsecontoso.com 或 https://www.false.contoso.completelyfalse.com |
https://contoso.com/a |
允許存取 ,但不允許存取 https://contoso.com/a子路徑,例如 https://contoso.com/a/b |
https://contoso.com/a/* |
允許存取 https://contoso.com/a 和子路徑,例如 https://contoso.com/a/b |
來自安全連結的警告頁面
本節包含當您按一下 URL 時,安全連結保護所觸發的各種警告頁面範例。
掃描進行中通知
安全連結正在掃描點擊的 URL。 您可能需要稍等片刻,才能再次嘗試連結。
可疑的訊息警示
點擊的 URL 位於與其他可疑郵件類似的電子郵件中。 我們建議您在繼續訪問網站之前仔細檢查電子郵件。
網路釣魚嘗試警告
點擊的 URL 位於已被識別為網絡釣魚攻擊的電子郵件中。 因此,電子郵件訊息中的所有 URL 都會遭到封鎖。 我們建議您不要繼續訪問該網站。
惡意網站警告
點擊的 URL 指向已被識別為惡意的網站。 我們建議您不要繼續訪問該網站。
錯誤警告
發生某種錯誤,無法開啟 URL。
