在 適用於 Office 365 的 Microsoft Defender 中設定防網路釣魚原則

提示

您是否知道您可以免費試用 Microsoft Defender 全面偵測回應 Office 365 方案 2 中的功能? 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 在這裡瞭解誰可以註冊和 試用條款

在具有 適用於 Office 365 的 Microsoft Defender 的組織中,防網路釣魚原則提供下列類型的保護:

默認防網路釣魚原則會自動套用至所有收件者。 為了提高數據粒度,您也可以建立適用於組織中特定使用者、群組或網域的自定義防網路釣魚原則。

您可以在 Microsoft Defender 入口網站或 Exchange Online PowerShell 中設定防網路釣魚原則。

如需組織中沒有 適用於 Office 365 的 Defender 的反網路釣魚原則程式,請參閱在 EOP 中設定防網路釣魚原則

開始之前有哪些須知?

使用 Microsoft Defender 入口網站來建立防網路釣魚原則

  1. 在 Microsoft Defender 入口網站https://security.microsoft.com中,移至 [原則>] 區段中的 [Email & 共同作業原則 & 規則>威脅原則>反網络釣魚]。 若要直接移至 [防網络釣魚] 頁面,請使用 https://security.microsoft.com/antiphishing

  2. 在 [ 防網络釣魚 ] 頁面上,選取 [ 建立] 以開啟新的防網络釣魚原則精靈。

  3. 在 [ 原則名稱] 頁面上,設定下列設定:

    • 名稱:輸入原則的唯一描述性名稱。
    • 說明:輸入原則的選擇性說明。

    當您在 [原則 名稱 ] 頁面上完成時,請選取 [ 下一步]

  4. 在 [ 使用者、群組和網域 ] 頁面上,識別原則套用至 (收件者條件的內部收件者) :

    • 使用者:指定的信箱、郵件使用者或郵件連絡人。
    • 群組:
      • ) 不支援指定通訊群組的成員或啟用郵件功能的安全組 (動態通訊群組。
      • 指定的 Microsoft 365 群組。
    • 網域:組織中在指定的 已接受網域中具有主要電子郵件位址的所有收件者。

    按一下適當的方塊,開始輸入值,然後從結果中選取您想要的值。 視需要重複此程序多次。 若要移除現有的值,請選擇 值旁邊的 。

    針對使用者或群組,您可以使用大部分識別碼 (名稱、顯示名稱、別名、電子郵件地址、帳戶名稱等),但會在結果中顯示對應的顯示名稱。 針對使用者或群組,請自行輸入星號 (*) ,以查看所有可用的值。

    相同條件中的多個值使用 OR 邏輯 (例如,<recipient1><recipient2>)。 不同條件使用 AND 邏輯 (例如,<recipient1><群組 1 的成員>)。

    • 排除這些使用者、群組和網域:若要為原則適用的內部收件者新增例外 (收件者例外),請選取此選項並設定例外。 設定和行為就像是條件。

    重要事項

    多個不同的條件或例外狀況類型並不會累加;他們是包含性項目。 此原則只會套用於符合所有指定收件者篩選條件的收件者。 例如,您可以使用下列值,在原則中設定收件者篩選條件:

    • 使用者: romain@contoso.com
    • 群組:主管

    只有在他也是主管群組的成員時,原則才會套用至 romain@contoso.com 。 若他不是群組的成員,則原則不會套用於他。

    同樣地,如果您使用與原則例外狀況相同的收件者篩選,則只有在他也是主管群組的成員時,原則才會套用至 romain@contoso.com 。 若他不是群組的成員,則原則仍會套用於他。

    當您在 [ 使用者、群組和網域 ] 頁面上完成時,請選取 [ 下一步]

  5. 在 [ 網络釣魚閾值 & 保護 ] 頁面上,設定下列設定:

    • 網路釣魚電子郵件閾值:使用滑桿選取下列其中一個值:

      • 1 - 標準 (這是預設值。)
      • 2 - 積極
      • 3 - 更積極
      • 4 - 最積極

      如需此設定的詳細資訊,請參閱 適用於 Office 365 的 Microsoft Defender 中反網路釣魚原則中的進階網路釣魚閾值

    • 模擬:這些設定是原則的條件,可識別要個別尋找 (的特定發件者,或依網域) 在輸入訊息的發件者位址中尋找。 如需詳細資訊,請參閱 適用於 Office 365 的 Microsoft Defender 中反網路釣魚原則中的模擬設定。

      • 讓用戶能夠保護:預設不會選取此設定。 若要開啟用戶模擬保護,請選取複選框,然後選取 [ 管理 (nn]) 發件人 (的 [) ] 連結。 您可以在下一頁識別使用者模擬偵測的動作。

        您可以透過其顯示名稱和電子郵件地址的組合來識別要保護的內部和外部寄件者。

        選取 [ 新增使用者]。 在開啟的 [ 新增使用者 ] 飛出視窗中,執行下列步驟:

        • 內部使用者:按兩下[ 新增有效的電子郵件 ] 方塊,或開始輸入使用者的電子郵件位址。 在出現的 [ 建議的聯繫人 ] 下拉式清單中選取電子郵件位址。 使用者的顯示名稱會新增至 [ 新增名稱 ] 方塊 (您可以變更) 。 當您完成選取使用者時,請選取 [ 新增]

        • 外部使用者:在 [ 新增有效的電子郵件 ] 方塊中輸入外部使用者的完整電子郵件地址,然後在出現的 [ 建議的聯繫人 ] 下拉式清單中選取電子郵件位址。 電子郵件位址也會新增至 [ 新增名稱 ] 方塊 (您可以將其變更為顯示名稱) 。

        您新增的使用者會列在 [依名稱和 Email 位址新增使用者飛出視窗] 上。 若要移除使用者,請選擇 項目旁邊的 。

        當您完成 [ 新增使用者 ] 飛出視窗時,請選取 [ 新增]

        回到 [ 管理發件者以進行模擬保護 ] 飛出視窗,您選取的使用者會依 [顯示名稱 ] 和 [ 寄件者電子郵件位址] 列出。

        若要將專案清單從一般變更為精簡間距,請選取 [將列表間距變更為精簡或正常],然後選取 [壓縮清單]

        使用 [ 搜尋] 方 塊來尋找飛出視窗上的專案。

        若要新增專案,請選取 [ 新增使用者] ,然後重複先前的步驟。

        若要移除專案,請執行下列其中一個步驟:

        • 選取顯示名稱值旁空白區域中的圓形複選框,以選取一或多個專案。
        • 選取顯示 名稱 數據行標頭旁空白區域中的圓形複選框,一次選取所有專案。

        當您在 [ 管理模擬保護的寄件者 ] 飛出視窗上完成時,請選取 [ 完成 ] 以返回 [ 網络釣魚閾值 & 保護 頁面。

        注意事項

        您可以在每個防網路釣魚原則中指定最多350個使用者的用戶模擬保護。

        如果寄件人和收件者先前已透過電子郵件進行通訊,則用戶模擬保護無法運作。 如果寄件人和收件者從未透過電子郵件進行通訊,則可以將郵件識別為模擬嘗試。

        如果您嘗試將使用者新增至使用者模擬保護,當該電子郵件位址已指定給另一個反網路釣魚原則中的用戶模擬保護時,您可能會收到「電子郵件位址已存在」錯誤。 此錯誤只會在 Defender 入口網站中發生。 如果您在PowerShell中的New-AntiPhishPolicySet-AntiPhishPolicy Cmdlet 中使用對應的 TargetedUsersToProtect 參數,則不會收到錯誤 Exchange Online。

      • 啟用要保護的網域:預設不會選取此設定。 若要開啟網域模擬保護,請選取複選框,然後設定下列出現的其中一個或兩個設定。 您會在下一頁識別網域模擬偵測的動作。

        • 包含我擁有的網域:若要開啟此設定,請選取複選框。 若要檢視您擁有的網域,請選取 [ 檢視我的網域]

        • 包含自定義網域:若要開啟此設定,請選取複選框,然後選取 [ 管理 (nn]) 自定義網域 (的 [) ] 連結。 在開啟的 [ 管理模擬保護的自定義網域 ] 飛出視窗中,執行下列步驟:

        選取 [新增網域]

        在出現的 [ 新增自定義網域 ] 飛出視窗中,按兩下 [ 網域 ] 方塊,輸入定義域值,然後選取方塊下方顯示的值。 視需要重複此步驟多次。

        您新增的網域會列在 [ 新增自訂網域] 飛出視窗上。 若要移除網域,請選擇 值旁邊的 。

        當您完成 [ 新增自定義網域 ] 飛出視窗時,請選取 [ 新增網域]

        回到 [ 管理模擬保護的自定義網域 ] 飛出視窗,即會列出您輸入的網域。

        若要將專案清單從一般變更為精簡間距,請選取 [將列表間距變更為精簡或正常],然後選取 [壓縮清單]

        使用 [ 搜尋] 方 塊來尋找飛出視窗上的專案。

        若要新增專案,請選取 [ 新增網域] ,然後重複先前的步驟。

        若要移除專案,請執行下列其中一個步驟:

        • 選取出現在定義域值旁邊空白區域中的圓形複選框,以選取一或多個專案。
        • 選取 [ 網域 ] 數據行標頭旁空白區域中出現的圓形複選框,一次選取所有專案。

        當您在 [ 管理模擬保護的自定義網域 ] 飛出視窗上完成時,請選取 [ 完成 ] 以返回 [ 網络釣魚閾值 & 保護 ] 頁面。

      • 新增受信任的發件人和網域:選取 [ 管理 (nn) 受信任的發件者 (的) 和網域 (的) ,以指定原則的模擬保護例外狀況。 在開啟的 [ 管理模擬保護的自定義網域 ] 飛出視窗上,您會在 [ 發件者 ] 索引標籤上輸入發件者,並在 [ 網域 ] 索引標籤上輸入網域。

        注意事項

        受信任的寄件人和網域專案的最大數目是 1024。

        • 寄件者索引 標籤:選取 [ 新增發件人]

          在開啟的 [ 新增信任的發件者 ] 飛出視窗中,於 [ 新增有效的電子郵件 ] 方塊中輸入電子郵件地址,然後選取 [ 新增]。 視需要重複此步驟多次。 若要移除現有的專案,請選 取專案。

          當您在 [ 新增信任的發件者 ] 飛出視窗上完成時,請選取 [ 新增]

          回到 [ 寄件者] 索引 標籤,會列出您輸入的發件者。

          若要將專案清單從一般變更為精簡間距,請選取 [將列表間距變更為精簡或正常],然後選取 [壓縮清單]

          使用 [ 搜尋] 方 塊來尋找飛出視窗上的專案。

          若要新增專案,請選取 [ 新增寄件者] ,然後重複先前的步驟。

          若要移除專案,請執行下列其中一個步驟:

          • 選取一或多個專案,方法是選取出現在發件人值旁邊空白區域中的圓形複選框。
          • 選取 [ 寄件者 ] 數據行標頭旁空白區域中出現的圓形複選框,一次選取所有專案。

          當您在 [管理模擬保護的自定義網域] 飛出視窗的 [發件者] 索引卷標上完成時,請選取 [網] 索引卷標以新增網域,或選取 [完成] 以返回 [網络釣魚閾值 & 保護] 頁面。

          提示

          如果下列寄件者的 Microsoft 365 系統訊息識別為模擬嘗試,您可以將寄件者新增至受信任的寄件人清單:

          • noreply@email.teams.microsoft.com
          • noreply@emeaemail.teams.microsoft.com
          • no-reply@sharepointonline.com
          • noreply@planner.office365.com
        • [網域] 索 引標籤:選取 [ 新增網域]。 在開啟的 [ 新增受信任的網域 ] 飛出視窗的 [網域] 方塊中輸入 網域 ,然後選取出現的 [網域] 下拉式清單。 視需要重複此步驟多次。 若要移除現有的專案,請選 取專案。

          當您完成 [ 新增受信任的網域 ] 飛出視窗時,請選取 [ 新增網域]

          回到 [ 網域] 索引 標籤,現在會列出您新增的網域。

          若要將專案清單從一般變更為精簡間距,請選取 [將列表間距變更為精簡或正常],然後選取 [壓縮清單]

          使用 [ 搜尋] 方 塊來尋找索引標籤上的專案。

          若要新增專案,請選取 [ 新增網域] ,然後重複先前的步驟。

          若要移除專案,請執行下列其中一個步驟:

          • 選取出現在定義域值旁邊空白區域中的圓形複選框,以選取一或多個專案。
          • 選取出現在 [ 網域 ] 數據行標頭旁空白區域中的圓形複選框,一次選取所有專案。

          當您在 [管理模擬保護的自定義網域] 飛出視窗的 [網] 索引卷標上完成時,請選取 [寄件者] 索引卷標以新增發件者,或選取 [完成] 以返回 [網络釣魚閾值 & 保護頁面。

          注意事項

          受信任的網域專案不包含指定網域的子域。 您需要為每個子域新增一個專案。

        當您在 [ 管理模擬保護的自定義網域 ] 飛出視窗上完成時,請選取 [ 完成] 以返回 [ 網络釣魚閾值 & 保護 ] 頁面。

      • 啟用信箱智慧:預設會選取此設定,建議您將它保留選取狀態。 若要關閉信箱智慧,請清除複選框。

      • 啟用智慧以進行模擬保護:只有在選取 [ 啟用信箱智慧 ] 時,才能使用此設定。 此設定可讓信箱智慧對識別為模擬嘗試的郵件採取動作。 您可以在下一頁指定要針對信箱智慧偵測採取的動作。

        注意事項

        如果寄件人和收件者先前已透過電子郵件進行通訊,信箱智慧保護將無法運作。 如果寄件人和收件者從未透過電子郵件進行通訊,則信箱智慧可以將郵件識別為模擬嘗試。

        若要開啟信箱智慧保護,請選取複選框。 您可以在下一頁指定信箱智慧偵測的動作。

    • 詐騙 區段:使用 [ 啟用詐騙情報 ] 複選框開啟或關閉詐騙情報。 默認會選取此設定,建議您將它保留選取狀態。 您會在下一個頁面上指定要對來自已封鎖詐騙寄件者的郵件採取的動作。

      若要關閉詐騙情報,請清除複選框。

      注意事項

      如果您的 MX 記錄未指向 Microsoft 365,則不需要關閉詐騙情報;您改為啟用連接器的增強式篩選。 如需指示,請參閱 Exchange Online 中連接器的增強篩選

    當您在 [ 網络釣魚閾值] & 保護 頁面上完成時,請選取 [ 下一步]

  6. 在 [ 動作] 頁面上,設定下列設定:

    • 訊息動作 區段:設定下列動作:

      • 如果偵測到訊息為用戶模擬:只有當您在上一頁選取 [ 啟用使用者保護 ] 時,才能使用此設定。 在下拉式清單中選取下列其中一個動作:

        • 請勿 (預設) 套用任何動作

        • 將郵件重新導向至其他電子郵件位址

        • 將郵件移至收件者的垃圾郵件 Email資料夾

        • 隔離郵件:如果您選取此動作,則會出現 [ 套用隔離 原則] 方塊,其中您會選取套用至用戶模擬保護所隔離之郵件的隔離原則。 隔離原則會定義使用者可以對隔離郵件執行哪些操作,以及使用者是否收到隔離通知。 如需隔離原則的詳細資訊, 請參閱隔離原則的結構

          如果您未選取隔離原則,則會使用預設隔離原則來偵測用戶模擬 (DefaultFullAccessPolicy) 。 當您稍後檢視或編輯防網路釣魚原則設定時,會顯示隔離原則名稱。

        • 傳遞訊息,並將其他位址新增至密件抄送行

        • 在訊息傳遞之前先刪除訊息

      • 如果訊息偵測到為模擬網域:只有當您在上一頁選取 [ 啟用要保護的網域 ] 時,才能使用此設定。 在下拉式清單中選取下列其中一個動作:

        • 請勿 (預設) 套用任何動作

        • 將郵件重新導向至其他電子郵件位址

        • 將郵件移至收件者的垃圾郵件 Email資料夾

        • 隔離郵件:如果您選取此動作,則會出現 [ 套用隔離 原則] 方塊,其中您會選取套用至網域模擬保護所隔離之郵件的隔離原則。

          如果您未選取隔離原則,則網域模擬偵測的預設隔離原則會 (DefaultFullAccessPolicy) 使用。 當您稍後檢視或編輯防網路釣魚原則設定時,會顯示隔離原則名稱。

        • 傳遞訊息,並將其他位址新增至密件抄送行

        • 在訊息傳遞之前先刪除訊息

      • 如果信箱智慧偵測到模擬使用者:只有當您在上一頁選取 [ 啟用智慧以進行模擬保護 ] 時,才能使用此設定。 在下拉式清單中選取下列其中一個動作:

        • 請勿 (預設) 套用任何動作

        • 將郵件重新導向至其他電子郵件位址

        • 將郵件移至收件者的垃圾郵件 Email資料夾

        • 隔離郵件:如果您選取此動作,則會出現 [ 套用隔離 原則] 方塊,其中您會選取套用至信箱智慧保護所隔離郵件的隔離原則。

          如果您未選取隔離原則,信箱智慧偵測的預設隔離原則會 (DefaultFullAccessPolicy) 使用。 當您稍後檢視或編輯防網路釣魚原則設定時,會顯示隔離原則名稱。

        • 傳遞訊息,並將其他位址新增至密件抄送行

        • 在訊息傳遞之前先刪除訊息

      • 在偵測到訊息為詐騙時接受 DMARC 記錄原則:預設會選取此設定,並可讓您控制傳送者未通過明確 DMARC 檢查且 DMARC 原則設定為 p=quarantinep=reject的訊息會發生什麼情況:

        • 如果偵測到訊息為詐騙,且 DMARC 原則設定為 p=quarantine:請選取下列其中一個動作:

          • 隔離訊息:這是預設值。
          • 將郵件移至收件者的垃圾郵件 Email資料夾
        • 如果偵測到訊息為詐騙,且 DMARC 原則設定為 p=reject:選取下列其中一個動作:

          • 隔離訊息
          • 拒絕訊息:這是預設值。

        如需詳細資訊,請 參閱詐騙保護和寄件者 DMARC 原則

      • 如果詐騙情報偵測到訊息為詐騙:只有當您在上一頁選取 [ 啟用詐騙情報 ] 時,才能使用此設定。 針對來自已封鎖詐騙發件者的郵件,在下拉式清單中選取下列其中一個動作:

        • 將郵件移至收件者的垃圾郵件 Email資料夾 (預設)

        • 隔離郵件:如果您選取此動作,則會出現 [ 套用隔離 原則] 方塊,其中您會選取套用至詐騙情報保護所隔離之郵件的隔離原則。

          如果您未選取隔離原則,則會在 DefaultFullAccessPolicy) (使用詐騙情報偵測的預設隔離原則。 當您稍後檢視或編輯防網路釣魚原則設定時,會顯示隔離原則名稱。

    • & 指標區段的安全提示 :設定下列設定:

      • 顯示第一個聯繫人安全提示:如需詳細資訊,請 參閱第一個聯繫人安全提示
      • 顯示用戶模擬安全提示:只有當您在上一頁選取 [ 啟用使用者保護 ] 時,才能使用此設定。
      • 顯示網域模擬安全提示:只有當您在上一頁選取 [ 啟用要保護的網域 ] 時,才能使用此設定。
      • 顯示用戶模擬不尋常的字元安全提示 只有當您在上一頁選取 [ 啟用使用者保護 ] 或 [ 啟用要保護的網域 ] 時,才能使用此設定。
      • 針對未經驗證的寄件人顯示詐騙的 (?) :只有當您在上一頁選取 [ 啟用詐騙情報 ] 時,才能使用此設定。 如果郵件未通過 SPF 或 DKIM 檢查, 且訊息未通過 DMARC 或 複合驗證,則在 Outlook 的 [寄件者] 方塊中,將問號 (?) 新增至發件人的相片。 根據預設,系統會自動選取此設定。
      • 顯示「透過」標籤:只有當您在上一頁選取 [ 啟用詐騙情報 ] 時,才能使用此設定。 如果標籤與 DKIM 簽章或 MAIL FROM 位址中的網域不同,請透過 (chris@contoso.com fabrikam.com) 将名为 的標籤新增至發件者位址。 根據預設,系統會自動選取此設定。

      若要開啟設定,請選取複選框。 若要將它關閉,請清除複選框。

    當您在 [ 動作 ] 頁面上完成時,請選取 [ 下一步]

  7. 在 [ 檢閱] 頁面上,檢閱您的設定。 您可以在每個區段中選取 [編輯],以修改該區段內的設定。 或者,您可以選取 [上一頁 ] 或精靈中的特定頁面。

    當您在 [ 檢閱 ] 頁面上完成時,請選取 [ 提交]

  8. 在 [ 建立新的防網络釣魚 原則] 頁面上,您可以選取連結來檢視原則、檢視防網络釣魚原則,以及深入瞭解防網络釣魚原則。

    當您在 [ 建立新的防網络釣魚 原則] 頁面上完成時,請選取 [ 完成]

    回到 [ 防網络釣魚 ] 頁面上,會列出新的原則。

使用 Microsoft Defender 入口網站來檢視防網路釣魚原則詳細數據

在 Microsoft Defender 入口網站中,移至 [原則>] 區段中的 [Email & 共同作業原則 & 規則>威脅原則>反網络釣魚]。 或者,若要直接移至 [反網络釣魚 ] 頁面,請使用 https://security.microsoft.com/antiphishing

[防網络釣魚 ] 頁面上,反網络釣魚原則清單中會顯示下列屬性:

  • 名稱
  • 狀態:值為:
    • 默認防網路釣魚原則的永遠開啟
    • 啟或 關閉 其他反垃圾郵件原則。
  • 優先順序:如需詳細資訊,請 參閱設定自定義反垃圾郵件原則的優先順序 一節。 若要將原則清單從一般變更為精簡間距,請選取 [將列表間距變更為精簡或正常],然後選取 [壓縮清單]

選取 [篩選 ] ,依 [建立 日期] 或 [ 狀態] (時間範圍) 篩選原則。

使用 [ 搜尋] 方 塊和對應的值來尋找特定的反網路釣魚原則。

使用 [匯 出] 將原則清單匯出至 CSV 檔案。

按兩下名稱旁邊複選框以外的任何資料列,以開啟原則的詳細資料飛出視窗,以選取原則。

提示

若要查看其他防網路釣魚原則的詳細數據,而不需離開詳細數據飛出視窗,請使用飛出視窗頂端的 [上一個專案] 和 [下一個專案]。

使用 Microsoft Defender 入口網站對防網路釣魚原則採取動作

  1. 在 Microsoft Defender 入口網站中,移至 [原則>] 區段中的 [Email & 共同作業原則 & 規則>威脅原則>反網络釣魚]。 或者,若要直接移至 [反網络釣魚 ] 頁面,請使用 https://security.microsoft.com/antiphishing

  2. 在 [ 防網络釣魚 ] 頁面上,使用下列其中一種方法來選取防網络釣魚原則:

    • 選取名稱旁邊的複選框,從清單中選取原則。 下列動作可在出現的 [更多動作] 下拉式清單中取得:

      • 啟用選取的原則
      • 停用選取的原則
      • 刪除選取的原則

      已選取原則並展開 [更多動作] 控件的 [防網络釣魚] 頁面。

    • 按兩下名稱旁邊複選框以外的數據列中的任何位置,從清單中選取原則。 下列部分或所有動作可在開啟的詳細資料飛出視窗中取得:

      • 在每個區段中選取 [ 編輯 ] 以修改原則設定 (自定義原則或默認原則)
      • 只開啟關閉 (自定義原則)
      • 只) 增加優先順序降低自定義原則 (優先順序
      • 刪除自定義原則 ()

      自定義防網路釣魚原則的詳細數據飛出視窗。

下列小節將說明這些動作。

使用 Microsoft Defender 入口網站來修改防網路釣魚原則

在您選取預設的反網路釣魚原則或自定義原則后,按兩下名稱旁邊複選框以外的數據列中的任何位置,原則設定會顯示在開啟的詳細數據飛出視窗中。 在每個區段中選取 [編輯 ],以修改區段內的設定。 如需設定的詳細資訊,請參閱本文稍早的 建立防網路釣魚 原則一節。

針對默認原則,您無法修改原則的名稱,而且沒有收件者篩選器可設定 (該原則會套用至所有收件者) 。 但是,您可以修改原則中的所有其他設定。

針對名為 「標準預設安全 策略」和「 嚴格預設安全 策略」且與 預設安全策略相關聯的反網路釣魚原則,您無法在詳細數據飛出視窗中修改原則設定。 相反地,您會在詳細數據飛出視窗中選 取 [檢視預設安全 策略],以移至 的 [ 預設安全 策略] 頁面 https://security.microsoft.com/presetSecurityPolicies ,以修改預設的安全策略。

使用 Microsoft Defender 入口網站啟用或停用自定義防網路釣魚原則

您無法停用預設的反網路釣魚原則 (一律會啟用) 。

您無法啟用或停用與標準和嚴格預設安全策略相關聯的反網路釣魚原則。 您可以在 的 [預設安全策略] 頁面https://security.microsoft.com/presetSecurityPolicies上啟用或停用 [標準] 或 [嚴格] 預設安全策略

在您選取已啟用的自定義防網路釣魚原則 ([狀態 ] 值為 [ 啟) 之後,請使用下列其中一種方法加以停用:

  • 在 [防網络釣魚] 頁面上:選取 [更多動作>] [停用選取的原則]
  • 在原則的詳細數據飛出視窗中:選取飛出視窗頂端的 [關閉]。

在您選取已停用的自定義防網路釣魚原則 ([狀態 ] 值為 [關閉 ]) 之後,請使用下列其中一種方法加以啟用:

  • 在 [防網络釣魚] 頁面上:選取 [更多動作>] [啟用選取的原則]
  • 在原則的詳細數據飛出視窗中:選取飛出視窗頂端的 [啟]。

在 [ 防網络釣魚 ] 頁面上,原則的 [狀態 ] 值現在是 [ 開啟 ] 或 [ 關閉]

使用 Microsoft Defender 入口網站來設定自定義防網路釣魚原則的優先順序

反網络釣魚原則的處理順序會依其顯示在 [防網络釣魚 ] 頁面上的順序進行:

  • 如果已用 [嚴格預設安全策略]) ,則一律會先套用與 Strict 預設安全策略相關聯且名為 Strict Preset 安全策略的反網络釣魚原則 (。
  • 如果已啟用 標準預設安全 策略) ,則下 (一律會套用與標準預設安全策略相關聯之標準預設安全策略的反網路釣魚原則。
  • 如果已啟用自定義防網路釣魚原則,則會依優先順序 (套用) :
    • 優先順序較低的值表示較高的優先順序 (0 是最高的) 。
    • 根據預設,會建立優先順序低於現有最低自定義原則的新原則, (第一個原則為 0,下一個為 1,) 。
    • 沒有兩個原則可以有相同的優先順序值。
  • 默認防網路釣魚原則的優先順序值一律為 [最低],而且您無法加以變更。

套用第一個原則 (該收件者) 的最高優先順序原則之後,就會停止收件者的防網路釣魚保護。 如需詳細資訊,請參閱 電子郵件保護的順序和優先順序

在您選取自定義防網路釣魚原則后,按兩下名稱旁邊複選框以外的數據列中的任何位置,您可以在開啟的詳細資料飛出視窗中增加或減少原則的優先順序:

  • [防網络釣魚] 頁面上 [優先順序] 值為 0 的自定義原則,在詳細數據飛出視窗頂端有 [降低優先順序] 動作。
  • 優先順序最低 (優先順序最高的自定義原則;例如,3 個) 在詳細數據飛出視窗頂端有 [增加優先順序] 動作。
  • 如果您有三個以上的原則,則 [優先順序 0] 和 [最低優先順序] 之間的原則會同時具有詳細數據飛出視窗頂端的 [增加優先順序] 和 [降低優先順序] 動作。

當您在原則詳細數據飛出視窗中完成時,請選取 [ 關閉]

回到 [防網络釣魚 ] 頁面,清單中的原則順序符合更新的 [優先順序 ] 值。

使用 Microsoft Defender 入口網站移除自定義防網路釣魚原則

您無法移除與預設安全策略相關聯的預設防網路釣魚原則或名為標準預設安全策略和嚴格預設安全策略的反網路釣魚原則。

選取自定義防網路釣魚原則之後,請使用下列其中一種方法加以移除:

  • 在 [防網络釣魚] 頁面上:選取 [更多動作>] [刪除選取的原則]
  • 在原則的詳細數據飛出視窗中:選取飛出視窗頂端的 [刪除原則]。

在開啟的警告對話框中選取 [ ]。

在 [ 防網络釣魚 ] 頁面上,不再列出已刪除的原則。

使用 Exchange Online PowerShell 設定防網路釣魚原則

在 PowerShell 中,防網路釣魚原則的基本元素如下:

  • 防網路釣魚原則:指定要啟用或停用的網路釣魚保護、要套用這些保護的動作,以及其他選項。
  • 防網路釣魚規則:指定原則套用至相關聯防網路釣魚原則) 的優先順序和收件者篩選 (。

當您在 Microsoft Defender 入口網站中管理防網路釣魚原則時,這兩個元素之間的差異並不明顯:

  • 當您在 Defender 入口網站中建立原則時,您實際上會同時針對兩者使用相同的名稱來建立反網路釣魚規則和相關聯的反網路釣魚原則。
  • 當您在 Defender 入口網站中修改原則時,與名稱、優先順序、啟用或停用以及收件者篩選相關的設定會修改防網路釣魚規則。 所有其他設定都會修改相關聯的反網路釣魚原則。
  • 當您在Defender入口網站中移除原則時,反網路釣魚規則和相關聯的反網路釣魚原則會同時移除。

在 Exchange Online PowerShell 中,反網路釣魚原則與防網路釣魚規則之間的差異很明顯。 您可以使用 *-AntiPhishPolicy Cmdlet 來管理防網路釣魚原則,並使用 *-AntiPhishRule Cmdlet 來管理防網路釣魚規則。

  • 在 PowerShell 中,您會先建立反網路釣魚原則,然後建立反網路釣魚規則,以識別套用規則的相關聯原則。
  • 在 PowerShell 中,您可以個別修改反網路釣魚原則和反網路釣魚規則中的設定。
  • 當您從PowerShell 移除防網路釣魚原則時,不會自動移除對應的反網路釣魚規則,反之亦然。

使用 PowerShell 建立防網路釣魚原則

在 PowerShell 中建立防網路釣魚原則是兩個步驟的程式:

  1. 建立防網路釣魚原則。
  2. 建立反網路釣魚規則,指定套用規則的反網路釣魚原則。

附註

  • 您可以建立新的防網路釣魚規則,並將現有未關聯的反網路釣魚原則指派給它。 防網路釣魚規則不能與多個防網路釣魚原則相關聯。
  • 您可以在 PowerShell 中的新防網路釣魚原則上設定下列設定,直到您建立原則之後,Microsoft Defender 入口網站才會提供這些設定:
    • New-AntiPhishRule Cmdlet) 上,將新原則建立為停用 (已啟$false用。
    • New-AntiPhishRule Cmdlet) 上 (優先順序<號碼>) 設定原則的優先順序。
  • 在您將原則指派給反網路釣魚規則之前,Microsoft Defender 入口網站不會顯示您在PowerShell中建立的新防網路釣魚原則。

步驟 1:使用 PowerShell 建立防網路釣魚原則

若要建立防網路釣魚原則,請使用下列語法:

New-AntiPhishPolicy -Name "<PolicyName>" [-AdminDisplayName "<Comments>"] <Additional Settings>

此範例會使用下列設定建立名為 Research Quarantine 的反網路釣魚原則:

  • 在我們未使用 Enabled 參數 (會啟 原則,且預設值為 $true) 。
  • 描述為:研究部門原則。
  • 為所有已接受的網域啟用組織網域保護,併為 fabrikam.com 啟用目標網域保護。
  • 指定隔離作為網域模擬偵測的動作,並使用隔離郵件的預設隔離原則 (我們不會使用 TargetedDomainQuarantineTag 參數) 。
  • 指定 Mai Fujito (mfujito@fabrikam.com) 為使用者,以防止模擬。
  • 指定隔離作為用戶模擬偵測的動作,並使用隔離郵件的預設隔離原則, (我們不會使用 TargetedUserQuarantineTag 參數) 。
  • 啟用信箱智慧 (EnableMailboxIntelligence) 、允許信箱智慧保護在 EnableMailboxIntelligenceProtection) (郵件上採取動作、指定隔離作為偵測到郵件的動作,以及使用隔離郵件的預設隔離原則 (我們不會使用 MailboxIntelligenceQuarantineTag 參數) 。
  • 將詐騙偵測的默認動作變更為隔離,並使用隔離郵件的預設隔離原則 (我們不會使用 SpoofQuarantineTag 參數) 。
  • p=quarantinep=reject默認會開啟在發件者 DMARC 原則中, (我們不會使用 HonorDmarcPolicy 參數,且預設值為 $true) 。
    • 當傳送者的 DMARC 原則遭到隔離時,DMARC p=quarantine 失敗的訊息 (我們不會使用 DmarcQuarantineAction 參數,且預設值為隔離) 。
    • 當未使用 DmarcRejectAction 參數,且預設值為 Reject) 時,傳送者 DMARC 原則遭到拒絕的 DMARC p=reject 失敗訊息 (。
  • 啟用所有安全提示。
New-AntiPhishPolicy -Name "Monitor Policy" -AdminDisplayName "Research department policy" -EnableOrganizationDomainsProtection $true -EnableTargetedDomainsProtection $true -TargetedDomainsToProtect fabrikam.com -TargetedDomainProtectionAction Quarantine -EnableTargetedUserProtection $true -TargetedUsersToProtect "Mai Fujito;mfujito@fabrikam.com" -TargetedUserProtectionAction Quarantine -EnableMailboxIntelligence $true -EnableMailboxIntelligenceProtection $true -MailboxIntelligenceProtectionAction -AuthenticationFailAction Quarantine -EnableSimilarUsersSafetyTips $true -EnableSimilarDomainsSafetyTips $true -EnableUnusualCharactersSafetyTips $true

如需詳細的語法和參數資訊,請參閱 New-AntiPhishPolicy

提示

如需指定要在防網路釣魚原則中使用之隔離原則的詳細指示,請參閱 使用PowerShell在防網路釣魚原則中指定隔離原則

步驟 2:使用 PowerShell 建立防網路釣魚規則

若要建立防網路釣魚規則,請使用下列語法:

New-AntiPhishRule -Name "<RuleName>" -AntiPhishPolicy "<PolicyName>" <Recipient filters> [<Recipient filter exceptions>] [-Comments "<OptionalComments>"]

此範例會使用下列條件建立名為 Research Department 的反網路釣魚規則:

  • 此規則與名為 Research Quarantine 的反網路釣魚原則相關聯。
  • 此規則適用於名為 Research Department 之群組的成員。
  • 因為我們不是使用 Priority 參數,所以會使用預設優先順序。
New-AntiPhishRule -Name "Research Department" -AntiPhishPolicy "Research Quarantine" -SentToMemberOf "Research Department"

如需詳細的語法和參數資訊,請參閱 New-AntiPhishRule

使用 PowerShell 檢視防網路釣魚原則

若要檢視現有的防網路釣魚原則,請使用下列語法:

Get-AntiPhishPolicy [-Identity "<PolicyIdentity>"] [| <Format-Table | Format-List> <Property1,Property2,...>]

此範例會傳回所有防網路釣魚原則的摘要清單以及指定的屬性。

Get-AntiPhishPolicy | Format-Table Name,IsDefault

此範例會傳回名為 Executive 之防網路釣魚原則的所有屬性值。

Get-AntiPhishPolicy -Identity "Executives"

如需詳細的語法和參數資訊,請參閱 Get-AntiPhishPolicy

使用 PowerShell 檢視防網路釣魚規則

若要檢視現有的防網路釣魚規則,請使用下列語法:

Get-AntiPhishRule [-Identity "<RuleIdentity>"] [-State <Enabled | Disabled] [| <Format-Table | Format-List> <Property1,Property2,...>]

此範例會傳回所有防網路釣魚規則的摘要清單以及指定的屬性。

Get-AntiPhishRule | Format-Table Name,Priority,State

若要依啟用或停用篩選規則的清單,請執行下列命令:

Get-AntiPhishRule -State Disabled | Format-Table Name,Priority
Get-AntiPhishRule -State Enabled | Format-Table Name,Priority

此範例會傳回名為 Contoso Executive 之防網路釣魚規則的所有屬性值。

Get-AntiPhishRule -Identity "Contoso Executives"

如需詳細的語法和參數資訊,請參閱 Get-AntiPhishRule

使用 PowerShell 修改防網路釣魚原則

除了下列專案之外,當您修改PowerShell中的反網路釣魚原則時,可以使用與您在本文稍早的 步驟1:使用PowerShell建立防網路釣魚原則一 節中所述建立原則時相同的設定。

  • MakeDefault 參數會將指定的原則轉換為默認原則 (套用至每個人,一律為最低優先順序,而且您無法刪除它,) 只有在您修改 PowerShell 中的防網路釣魚原則時才可用。

  • 您無法重新命名反網路釣魚原則 (Set-AntiPhishPolicy Cmdlet 沒有 Name 參數) 。 當您在 Microsoft Defender 入口網站中重新命名防網路釣魚原則時,您只會重新命名反網路釣魚規則

若要修改防網路釣魚原則,請使用下列語法:

Set-AntiPhishPolicy -Identity "<PolicyName>" <Settings>

如需詳細的語法和參數資訊,請參閱 Set-AntiPhishPolicy

提示

如需指定要在防網路釣魚原則中使用之隔離原則的詳細指示,請參閱 使用PowerShell在防網路釣魚原則中指定隔離原則

使用 PowerShell 修改防網路釣魚規則

當您在 PowerShell 中修改反網路釣魚規則時,唯一無法使用的設定是 Enabled 參數,可讓您建立已停 的規則。 若要啟用或停用現有的防網路釣魚規則,請參閱下一節。

否則,當您在PowerShell中修改反網路釣魚規則時,將無法使用其他設定。 當您如本文稍早的 步驟 2:使用 PowerShell 建立反網路釣魚規則一 節所述建立規則時,可以使用相同的設定。

若要修改防網路釣魚規則,請使用下列語法:

Set-AntiPhishRule -Identity "<RuleName>" <Settings>

如需詳細的語法和參數資訊,請參閱 Set-AntiPhishRule

使用 PowerShell 啟用或停用防網路釣魚規則

在 PowerShell 中啟用或停用反網路釣魚規則,會啟用或停用整個防網路釣魚原則, (防網路釣魚規則和指派的反網路釣魚原則) 。 您無法啟用或停用預設的反網路釣魚原則 (一律會套用至所有收件者) 。

若要在PowerShell中啟用或停用反網路釣魚規則,請使用下列語法:

<Enable-AntiPhishRule | Disable-AntiPhishRule> -Identity "<RuleName>"

此範例會停用名為 Marketing Department 的反網路釣魚規則。

Disable-AntiPhishRule -Identity "Marketing Department"

此範例會啟用相同規則。

Enable-AntiPhishRule -Identity "Marketing Department"

如需詳細的語法和參數資訊,請參閱 Enable-AntiPhishRuleDisable-AntiPhishRule

使用 PowerShell 設定防網路釣魚規則的優先順序

您可以對規則設定的最高優先順序值為 0。 您可以設定的最低值則取決於規則的數目。 例如,如果您有五個規則,則您可以使用 0 到 4 的優先順序值。 變更現有規則的優先順序會對其他規則造成階層式影響。 例如,如果您有五個自訂規則 (優先順序 0 到 4),而您將規則的優先順序變更為 2,則優先順序為 2 的現有規則會變更為優先順序 3,優先順序 3 的規則會變更為優先順序 4。

若要在 PowerShell 中設定反網路釣魚規則的優先順序,請使用下列語法:

Set-AntiPhishRule -Identity "<RuleName>" -Priority <Number>

此範例會將規則 (名稱為 Marketing Department) 的優先順序設定為 2。 優先順序小於或等於 2 的所有現有規則會減 1 (它們的優先順序數字會加 1)。

Set-AntiPhishRule -Identity "Marketing Department" -Priority 2

附註

  • 若要在建立新規則時設定其優先順序,請改用 New-AntiPhishRule Cmdlet 上的 Priority 參數。
  • 默認防網路釣魚原則沒有對應的反網路釣魚規則,而且一律具有不可修改的優先順序值 [最低]

使用 PowerShell 移除防網路釣魚原則

當您使用PowerShell 移除防網路釣魚原則時,不會移除對應的反網路釣魚規則。

若要在PowerShell中移除防網路釣魚原則,請使用下列語法:

Remove-AntiPhishPolicy -Identity "<PolicyName>"

此範例會移除名為 Marketing Department 的反網路釣魚原則。

Remove-AntiPhishPolicy -Identity "Marketing Department"

如需詳細的語法和參數資訊,請參閱 Remove-AntiPhishPolicy

使用 PowerShell 移除防網路釣魚規則

當您使用PowerShell 移除防網路釣魚規則時,不會移除對應的反網路釣魚原則。

若要在PowerShell中移除防網路釣魚規則,請使用下列語法:

Remove-AntiPhishRule -Identity "<PolicyName>"

此範例會移除名為 Marketing Department 的反網路釣魚規則。

Remove-AntiPhishRule -Identity "Marketing Department"

如需詳細的語法和參數資訊,請參閱 Remove-AntiPhishRule

如何知道這些程序是否正常運作?

若要確認您已在 適用於 Office 365 的 Defender 中成功設定防網路釣魚原則,請執行下列任何步驟:

  • 在 Microsoft Defender 入口網站的 https://security.microsoft.com/antiphishing[防網络釣魚] 頁面上,確認原則清單、其 [狀態] 值及其 [優先順序] 值。 若要檢視更多詳細數據,請從清單中選取原則,方法是按下名稱旁邊的複選框以外的數據列中的任何位置,並在出現的飛出視窗中檢視詳細數據。

  • 在 Exchange Online PowerShell 中,以原則或規則的名稱取代 <Name>,然後執行下列命令並驗證設定:

    Get-AntiPhishPolicy -Identity "<Name>"
    
    Get-AntiPhishRule -Identity "<Name>"