適用於 Office 365 的 Defender 中的安全附件

提示

您知道您可以免費試用 Office 365 方案 2 Microsoft Defender 全面偵測回應 中的功能嗎? 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 在這裡瞭解誰可以註冊和 試用條款

適用於 Office 365 的 Microsoft Defender 中的安全附件會針對已由 Exchange Online Protection (EOP) 中的反惡意代碼保護掃描的電子郵件附件,提供額外的保護層級。 具體而言,安全附件會使用虛擬環境來檢查電子郵件訊息中的附件,然後再將附件傳遞給收件者, (稱為 刪除) 程式。

電子郵件的安全附件保護由安全附件原則控制。 雖然沒有預設的安全附件原則, 但內建保護 預設安全策略會為所有收件者提供安全附件保護, (未在標準或嚴格預設安全策略或自定義安全附件原則中定義的使用者) 。 如需詳細資訊,請參閱 EOP 和 適用於 Office 365 的 Microsoft Defender 中的預設安全策略。 您也可以建立適用於特定使用者、群組或網域的安全附件原則。 如需指示,請參閱在 適用於 Office 365 的 Microsoft Defender 中設定安全附件原則

下表說明 Microsoft 365 中的安全附件案例,以及包含 適用於 Office 365 的 Microsoft Defender (的 Office 365 組織,換句話說,缺少授權絕對不是範例) 中的問題。

案例 結果
Pat 的 Microsoft 365 E5 組織並未設定安全附件原則。 Pat 受到安全附件的保護,因為 內建保護 預設安全策略適用於未在安全附件原則中定義的所有收件者。
Lee 的組織具有僅適用於財務部門員工的安全附件原則。 Lee 是銷售部門的成員。 由於 內建保護 預設安全策略適用於未在安全附件原則中定義的所有收件者,因此 Lee 和銷售部門的其餘部分會受到安全附件的保護。
昨天,Jean 組織的系統管理員建立了適用於所有員工的安全附件原則。 Jean 在今天稍早收到包含附件的電子郵件訊息。 由於該自訂安全附件原則,因此 Jean 受到安全附件的保護。

新原則生效通常約需 30 分鐘的時間。
Chris 的組織具有針對組織中所有人的常設安全附件原則。 Chris 收到包含附件的電子郵件,然後將郵件轉寄給外部收件者。 Chris 受到安全附件的保護。

如果外部收件者位於 Microsoft 365 組織中,則轉寄的郵件也會受到安全附件的保護。

安全附件掃描會在您的 Microsoft 365 資料所在的同一個區域中進行。 如需數據中心地理位置的詳細資訊,請參閱 您的數據位於何處?

注意事項

下列功能位於 Microsoft Defender 入口網站中安全附件原則的全域設定中。 但是,這些設定會全域啟用或停用,而且不需要安全附件原則:

[安全附件] 原則設定

本節說明安全附件原則中的設定:

  • 收件者篩選:用來識別套用原則之內部收件者的條件和例外狀況。 至少需要一個條件。 您可以使用下列收件者篩選條件和例外狀況:

    • 用戶:組織中的一或多個信箱、郵件使用者或郵件聯繫人。
    • 群組:
      • ) 不支援指定通訊群組的成員或啟用郵件功能的安全組 (動態通訊群組。
      • 指定的 Microsoft 365 群組。
    • 網域:Microsoft 365 中一或多個已設定的 已接受網域 。 收件者的主要電子郵件地址位於指定的網域中。

    您只能使用條件或例外狀況一次,但條件或例外狀況可以包含多個值:

    • 相同條件或例外狀況的多個使用 OR 邏輯 (例如 recipient1<><recipient2>) :

      • 條件:如果收件者符合 任何 指定的值,則會將原則套用至這些值。
      • 例外狀況:如果收件者符合 任何 指定的值,則不會套用原則。

    • 不同類型的例外狀況會使用 OR 邏輯 (例如,<recipient1 或 group1>>的成員或 domain1) 的成員。<>< 如果收件者符合 任何 指定的例外狀況值,就不會套用原則。

    • 不同 類型的條件 會使用 AND 邏輯。 收件者必須符合 所有 指定的條件,原則才能套用到這些條件。 例如,您可以使用下列值來設定條件:

    • 使用者: romain@contoso.com

    • 群組:主管

      只有在他也是主管群組的成員時,原則才會套用至 romain@contoso.com 。 否則,原則不會套用到他。

  • 安全附件未知的惡意代碼回應:此設定可控制電子郵件訊息中安全附件惡意代碼掃描的動作。 下表說明可用的選項:

    選項 Effect 使用時機:
    關閉 [安全附件] 不會掃描附件是否有惡意程式碼。 EOP 中的反惡意代碼保護仍會掃描訊息是否有惡意代碼。 關閉已選取收件者的掃描。

    防止路由內部郵件時出現不必要的延遲。

    大部分的使用者不建議使用此選項。 您應該只使用此選項來關閉僅接收受信任寄件者訊息之收件者的 [安全附件] 掃描。 如果安全附件已關閉且未收到惡意代碼訊號,ZAP 將不會隔離訊息。 如需詳細資訊,請 參閱零時差自動清除
    監視 傳送含有附件的郵件,然後追蹤偵測到的惡意程式碼會發生什麼情況。

    安全訊息的傳遞可能會因為安全附件掃描而延遲。    		 查看偵測到的惡意程式碼會在組織中哪個位置。
    封鎖 防止傳遞已偵測到惡意程式碼附件的郵件。

    郵件已隔離。 根據預設,只有系統管理員 (使用者) 可以檢閱、釋放或刪除訊息。¹

    自動封鎖未來訊息和附件的執行個體。

    安全訊息的傳遞可能會因為安全附件掃描而延遲。    		 避免組織遭受相同惡意程式碼附件的重複攻擊。

    這是預設值,也是標準和嚴格 預設安全策略中的建議值。
    動態傳遞 會立即傳遞訊息,但會將附件取代為預留位置,直到 [安全附件] 掃描完成為止。

    包含惡意附件的訊息會遭到隔離。 根據預設,只有系統管理員 (使用者) 可以檢閱、釋放或刪除訊息。¹

    For details, see the Dynamic Delivery in Safe Attachments policies section later in this article.    		 避免郵件延遲,同時保護收件者免受惡意檔案的攻擊。

    ¹ 隔離原則會定義使用者可以執行哪些動作來隔離郵件,以及使用者是否收到隔離通知。 如需詳細資訊, 請參閱隔離原則的結構。 不論隔離原則的設定方式為何,使用者都無法釋出自己被安全附件隔離為惡意代碼的郵件。 如果原則允許使用者釋放自己的隔離郵件,則會改為允許使用者 要求 釋放其隔離的惡意代碼訊息。

  • 使用偵測到的附件重新導向郵件啟用重新導向 ,並將 包含受監視附件的郵件傳送至指定的電子郵件位址:僅針對 監視 動作,將包含惡意代碼附件的郵件傳送至指定的內部或外部電子郵件位址,以進行分析和調查。

    [標準] 和 [嚴格] 原則設定的建議是啟用重新導向。 如需詳細資訊,請參閱 安全附件設定

  • 優先順序:如果您建立多個原則,您可以指定套用原則的順序。 沒有兩個原則可以具有相同的優先順序,而且在套用第一個原則之後,原則處理會停止 (該收件者) 的最高優先順序原則。

    如需更多有關優先的排序及如何評估和應用多項原則,請參照 電子郵件保護的順序和優先順序

安全附件原則中的動態傳遞

注意事項

動態傳遞僅適用於 Exchange Online 信箱。

安全附件原則中的動態傳遞動作會嘗試排除安全附件掃描可能造成的任何電子郵件傳遞延遲。 電子郵件訊息的本文會以每個附件的佔位元傳遞給收件者。 佔位元會保留,直到找到附件是安全的,然後附件便可供開啟或下載。

如果發現附件為惡意,則會隔離訊息。

大部分 PDF 和 Office 文件都可以在 [安全附件] 掃描正在進行時,在安全模式中預覽。 如果附件與動態傳遞預覽程式不相容,收件者會看到附件的佔位元,直到安全附件掃描完成為止。

如果您使用行動裝置,且 PDF 未在行動裝置的動態傳遞預覽器中轉譯,請嘗試使用行動瀏覽器,在先前稱為 Outlook Web App) 的 Outlook 網頁版 (中開啟訊息。

以下是動態傳遞和轉寄訊息的一些考慮:

  • 如果轉寄的收件者受到使用 [動態傳遞] 選項的安全附件原則保護,則收件者會看到佔位符,且能夠預覽相容的檔案。
  • 如果轉寄的收件者未受到安全附件原則的保護,則會傳遞郵件和附件,而不需要任何安全的附件掃描或附件佔位符。

在某些情況下,動態傳遞無法取代訊息中的附件。 這些情況包括:

  • 公用資料夾中的訊息。
  • 路由傳送出,然後使用自定義規則傳回使用者信箱的郵件。
  • 自動或手動將移 (的郵件) 會從雲端信箱移出至其他位置,包括封存資料夾。
  • 收件匣規則會將訊息從 [收件匣] 移出至不同的資料夾。
  • 已刪除的訊息。
  • 使用者的信箱搜尋資料夾處於錯誤狀態。
  • Exchange Online 啟用 Exclaimer 的組織。 若要解決此問題,請 參閱KB4014438
  • S/MIME) 加密的訊息。
  • 您已在安全附件原則中設定動態傳遞動作,但收件者不支援動態傳遞 (例如,收件者是內部部署 Exchange 組織) 中的信箱。 不過,如果適用的安全鏈接原則) 中已開啟支援 Office 應用程式的安全鏈接掃描,適用於 Office 365 的 Microsoft Defender 中的安全連結就能夠掃描包含 URL (的 Office 檔案附件。

提交檔案以進行惡意程式碼分析