嘗試 適用於 Office 365 的 Microsoft Defender

身為現有的 Microsoft 365 客戶，Microsoft Defender https://security.microsoft.com 入口網站中的試用版和評估版頁面可讓您先試用 適用於 Office 365 的 Microsoft Defender 方案 2 的功能，再購買。

在您嘗試 適用於 Office 365 的 Defender 方案 2 之前，有一些您需要自行詢問的重要問題：

• 我是否想要被動觀察方案 2 在稽核) (適用於 Office 365 的 Defender 可以做什麼，還是要 適用於 Office 365 的 Defender 方案 2 針對它發現 (封鎖) 的問題採取直接動作？
• 不論是哪一種方式，我該如何分辨方案 2 適用於 Office 365 的 Defender 為我做什麼？
• 我需要先決定保留 適用於 Office 365 的 Defender 方案 2 多久？

本文可協助您回答這些問題，讓您可以嘗試以最符合組織需求的方式 適用於 Office 365 的 Defender 方案 2。

如需如何使用試用版的隨附指南，請參閱試用版使用者指南：適用於 Office 365 的 Microsoft Defender。

注意事項

microsoft 365 GCC、GCC High 和 DoD) 或 Microsoft 365 教育版 組織 (美國政府組織無法使用 適用於 Office 365 的 Defender 的試用和評估。

適用於 Office 365 的 Defender 概觀

適用於 Office 365 的 Defender 提供完整的功能，協助組織保護其企業的安全。 如需詳細資訊，請參閱 適用於 Office 365 的 Microsoft Defender。

您也可以在本互動式指南中深入瞭解 適用於 Office 365 的 Defender。

觀看這段短片，以深入瞭解如何利用 適用於 Office 365 的 Microsoft Defender，在較短的時間內完成更多任務作。

如需定價資訊，請參閱 適用於 Office 365 的 Microsoft Defender。

試用和評估如何適用於 適用於 Office 365 的 Defender

原則

適用於 Office 365 的 Defender 包含 Exchange Online Protection (EOP) 的功能，這些功能存在於所有具有 Exchange Online 信箱的 Microsoft 365 組織中，以及專屬於適用於 Office 365 的 Defender。

EOP 和 適用於 Office 365 的 Defender 的保護功能是使用原則來實作。 系統會視需要為您建立專屬 適用於 Office 365 的 Defender 的原則：

• 防網路釣魚原則中的模擬保護
• 電子郵件訊息的安全附件
• 電子郵件訊息和 Microsoft Teams 的安全連結
  • 安全連結會在郵件流程期間引發URL。 若要防止特定 URL 遭到防擷取，請將URL提交給 Microsoft 作為良好的 URL。 如需指示，請 參閱向 Microsoft 回報良好的 URL。
  • 安全連結不會在電子郵件訊息本文中包裝 URL 連結。

您的評估或試用資格表示您已經有 EOP。 系統不會為您評估或試用 適用於 Office 365 的 Defender 方案 2 建立任何新的或特殊 EOP 原則。 Microsoft 365 組織中現有的 EOP 原則仍可對訊息採取動作 (例如，將郵件傳送至垃圾郵件 Email 資料夾或隔離) ：

• 反惡意程式碼原則
• 輸入反垃圾郵件保護
• 反網路釣魚原則中的防詐騙保護

這些 EOP 功能的默認原則一律會開啟、套用至所有收件者，且一律會在任何自定義原則之後最後套用。

稽核模式與封鎖模式的 適用於 Office 365 的 Defender

您要讓 適用於 Office 365 的 Defender 體驗成為主動或被動？ 下列模式可供使用：

• 稽核模式：針對防網路釣魚 (建立特殊 評估 原則，其中包括模擬保護) 、安全附件和安全連結。 這些評估原則設定為僅 偵測 威脅。 適用於 Office 365 的 Defender 偵測到有害的訊息以進行報告，但訊息不會在 (上採取動作，例如偵測到的訊息不會被隔離) 。 The settings of these evaluation policies are described in the Policies in audit mode section later in this article. 我們也會針對非電子郵件工作負載在稽核模式中自動開啟 SafeLinks 點選保護的時間 (，例如 Microsoft Teams、SharePoint 和 商務用 OneDrive)

  您也可以選擇性地開啟或關閉防網路釣魚保護， (詐騙和模擬) 、安全鏈接保護和安全附件保護。 如需指示，請 參閱管理評估設定。

  稽核模式會針對評估原則在 適用於 Office 365 的 Microsoft Defender 評估頁面https://security.microsoft.com/atpEvaluation上偵測到的威脅提供特殊報告。 These reports are described in the Reports for audit mode section later in this article.

• 封鎖模式：默 認安全 策略的標準範本會開啟並用於試用版，而您指定要包含在試用版中的使用者會新增至標準預設安全策略。 適用於 Office 365 的 Defender 偵測到有害訊息並採取動作 (例如，偵測到的訊息會) 隔離。

  默認和建議的選擇是將這些 適用於 Office 365 的 Defender 原則的範圍設定為組織中的所有使用者。 但在試用版設定期間或之後，您可以在 Microsoft Defender 入口網站或 Exchange Online PowerShell 中，將原則指派變更為特定使用者、群組或電子郵件網域。

  如需 適用於 Office 365 的 Defender 所偵測到的威脅相關信息，請參閱 適用於 Office 365 的 Defender 方案 2 的一般報告和調查功能，本文稍後的封鎖模式報告一節將說明這些資訊。

決定哪些模式可供您使用的關鍵因素：

• 您目前是否 適用於 Office 365 的 Defender (方案 1 或方案 2) ，如下一節所述。

• 如何將電子郵件傳遞至您的 Microsoft 365 組織，如下列案例所述：

  • 來自因特網的郵件會直接流向 Microsoft 365，但您目前的訂閱只有 Exchange Online Protection (EOP) 或 適用於 Office 365 的 Defender 方案 1。

    

    在這些環境中，可以使用 稽核模式 或 封鎖模式 ，視您的授權而定，如下一節所述

  • 您目前使用第三方服務或裝置來保護 Microsoft 365 信箱的電子郵件。 來自因特網的郵件會在傳遞至您的 Microsoft 365 組織之前，透過保護服務流動。 Microsoft 365 保護盡可能低， (永遠不會完全關閉;例如，惡意代碼保護一律會強制執行) 。

    

    在這些環境中，只有稽核 模式 可供使用。 您不需要變更郵件流程 (MX 記錄) 以評估 適用於 Office 365 的 Defender 方案 2。

評估與試用版 適用於 Office 365 的 Defender

評估與 適用於 Office 365 的 Defender 方案 2 的試用版有何差異？ 它們不是相同的嗎？ 是，否。 Microsoft 365 組織中的授權會產生所有差異：

• 沒有 適用於 Office 365 的 Defender 方案 2：例如，如果您還沒有 適用於 Office 365 的 Defender 方案 2 (，則您有獨立 EOP、Microsoft 365 E3、Microsoft 365 商務進階版 或適用於 Office 365 的 Defender 方案 1 附加元件訂用帳戶) ，您可以從 Microsoft Defender 入口網站中的下列位置開始 適用於 Office 365 的 Defender 方案 2 體驗：

  • 位於的 Microsoft 365 試用版頁面https://security.microsoft.com/trialHorizontalHub。
  • 適用於 Office 365 的 Microsoft Defender的評估頁面https://security.microsoft.com/atpEvaluation。

  您可以在設定評估或試用期間選取稽核 模式 (評估原則) 或 封鎖模式 (標準預設安全策略) 。

  無論您使用哪個位置，我們都會在註冊時自動布建任何必要的 適用於 Office 365 的 Defender 方案 2 授權。 不需要在 Microsoft 365 系統管理中心 中手動取得和指派方案 2 授權。

  自動布建的授權適用於90天。 這 90 天期間的意義取決於您組織中現有的授權：

  • 沒有 適用於 Office 365 的 Defender 方案 1：針對沒有 適用於 Office 365 的 Defender 方案 1 (的組織，例如獨立 EOP 或 Microsoft 365 E3) 所有 適用於 Office 365 的 Defender特別 (方案 2 功能，安全策略) 只能在 90 天的期間內使用。

  • 適用於 Office 365 的 Defender 方案 1：具有 適用於 Office 365 的 Defender 方案 1 (的組織，例如，Microsoft 365 商務進階版 或附加元件訂用帳戶) 已有相同的安全策略可在適用於 Office 365 的 Defender 方案 2：防網路釣魚原則、安全附件原則和安全鏈接原則中的模擬保護。

    來自 稽核模式 的安全策略 (評估原則) 或 封鎖模式 (標準預設安全策略) 不會在 90 天后過期或停止運作。 90 天后結束的是方案 1 中無法使用的 適用於 Office 365 的 Defender 方案 2 的自動化、調查、補救和教育功能。

  如果您在稽核模式中設定評估或試用 (評估原則) ，則稍後可以轉換成封鎖模式， (標準預設安全策略) 。 如需指示，請參閱本文稍後的 轉換為標準保護 一節。

• 適用於 Office 365 的 Defender 方案 2：例如，如果您已經 適用於 Office 365 的 Defender 方案 2 (，當做 Microsoft 365 E5 訂用帳戶) 的一部分時，適用於 Office 365 的 Defender 無法在 上選取Microsoft 365 試用版頁面，位於 https://security.microsoft.com/trialHorizontalHub。

  您唯一的選項是在 的 [適用於 Office 365 的 Microsoft Defender 評估] 頁面https://security.microsoft.com/atpEvaluation上設定 適用於 Office 365 的 Defender 評估。 此外，評估會在稽核 模式 中自動設定， (評估原則) 。

  稍後，您可以使用 [適用於 Office 365 的 Microsoft Defender 評估] 頁面上的 [轉換為標準] 動作，或關閉 適用於 Office 365 的 Microsoft Defender 上的評估，轉換成封鎖模式 (標準預設安全策略) 評估頁面，然後設定標準預設安全策略。

  根據定義，具有 適用於 Office 365 的 Defender 方案 2 的組織不需要額外的授權即可評估 適用於 Office 365 的 Defender 方案 2，因此這些組織中的評估持續時間不受限制。

下表摘要說明上一個清單中的資訊：

Organization	從註冊 試用版頁面？	從註冊 評估頁面？	可用模式	評估 時期
獨立 EOP (沒有 Exchange Online 信箱) Microsoft 365 E3	是	是	稽核模式 封鎖模式¹	90 天
適用於 Office 365 的 Defender 方案 1 Microsoft 365 商務進階版	是	是	稽核模式 封鎖模式¹	90 天²
Microsoft 365 E5	否	是	稽核模式 封鎖模式¹ ³	無限制

¹ 如 先前所述，如果因特網郵件在傳遞至 Microsoft 365 之前流經第三方保護服務或裝置，則無法使用 封鎖模式 (標準預設安全策略) 。

² 稽核 模式 中的安全策略 (評估原則) 或 封鎖模式 (標準預設安全策略) 不會在 90 天后過期或停止運作。 適用於 Office 365 的 Defender 方案 2 獨佔的自動化、調查、補救和教育功能會在 90 天后停止運作。

³ 評估是在 稽核模式 中設定， (評估原則) 。 在安裝程式完成之後的任何時間點，您可以轉換成封鎖模式 (標準預設安全策略) 如轉換為標準保護中所述。

現在您已了解評估、試用、稽核模式和封鎖模式之間的差異，您已準備好設定評估或試用版，如下一節所述。

在稽核模式中設定評估或試用

請記住，當您在稽核模式中評估或嘗試 適用於 Office 365 的 Defender 時，會建立特殊的評估原則，讓 適用於 Office 365 的 Defender 可以偵測威脅。 The settings of these evaluation policies are described in the Policies in audit mode section later in this article.

1. 在 Microsoft Defender 入口網站中的任何可用位置開始評估，網 Microsoft Defender 位於 https://security.microsoft.com。 例如：

   • 在任何 適用於 Office 365 的 Defender 功能頁面頂端的橫幅上，選取 [開始免費試用]。
   • 在 的 [Microsoft 365 試用版] 頁面上https://security.microsoft.com/trialHorizontalHub，尋找並選取 [適用於 Office 365 的 Defender]。
   • 在 的 [適用於 Office 365 的 Microsoft Defender 評估] 頁面上https://security.microsoft.com/atpEvaluation，選取 [開始評估]。

2. 在 適用於 Office 365 的 Defender 方案 1 或方案 2 的組織中無法使用 [開啟保護] 對話方塊。

   在 [ 開啟保護 ] 對話框中，選取 [ 否，我只想要報告]，然後選取 [ 繼續]。

3. 在 [ 選取您要包含的使用者 ] 對話框中，設定下列設定：

   • 所有使用者：這是預設和建議的選項。

   • 特定使用者：如果您選取此選項，您必須選取評估適用的內部收件者：

     • 使用者：指定的信箱、郵件使用者或郵件連絡人。
     • 群組:
       • ) 不支援指定通訊群組的成員或啟用郵件功能的安全組 (動態通訊群組。
       • 指定的 Microsoft 365 群組。
     • 網域：組織中在指定的 已接受網域中具有主要電子郵件位址的所有收件者。

     按兩下方塊，開始輸入值，然後從方塊下方的結果中選取值。 視需要重複此程序多次。 若要移除現有的值，請選 取方塊中的值旁邊。

     針對使用者或群組，您可以使用大部分識別碼 (名稱、顯示名稱、別名、電子郵件地址、帳戶名稱等)，但會在結果中顯示對應的顯示名稱。 針對使用者，輸入星號 (*) 來查看所有可用的值。

     您只能使用收件者條件一次，但條件可以包含多個值：

     • 相同條件的多個值使用 OR 邏輯 (例如 recipient1<> 或 <recipient2>) 。 如果收件者符合 任何 指定的值，則會將原則套用至這些值。

     • 不同 類型的條件 會使用 AND 邏輯。 收件者必須符合 所有 指定的條件，原則才能套用到這些條件。 例如，您可以使用下列值來設定條件：

       • 使用者： romain@contoso.com
       • 群組：主管

       只有在他也是主管群組的成員時，原則才會套用至 romain@contoso.com 。 否則，原則不會套用到他。

   當您在 [ 選取您要包含的使用者 ] 對話框中完成時，請選取 [ 繼續]。

4. 在 [ 協助我們瞭解您的郵件流程 ] 對話框中，設定下列選項：

   • 根據我們偵測到您網域的 MX 記錄，自動選取下列其中一個選項：

     • 我使用第三方和/或內部部署服務提供者：您網域點的 MX 記錄位於 Microsoft 365 以外的位置。 確認或設定下列設定：

       • 貴組織使用的第三方服務：確認或選取下列其中一個值：

         • 其他：此值也需要 [ 如果您的電子郵件訊息通過多個網關] 中的資訊，請列出每個網關IP位址，僅適用於 [ 其他] 值。 如果您使用內部部署服務提供者，請使用此值。

           輸入第三方保護服務或裝置用來將郵件傳送至 Microsoft 365 的 IP 位址逗號分隔清單。

         • 梭魚

         • IronPort

         • Mimecast

         • Proofpoint

         • Sophos

         • 賽門鐵克

         • Trend Micro

       • 要套用此評估的連接器：選取用於 Microsoft 365 郵件流程的連接器。

         連接器的增強式篩選 (也稱為 略過清單) 會在您指定的連接器上自動設定。

         當第三方服務或裝置位於流入 Microsoft 365 的電子郵件前面時，增強的連接器篩選可正確識別因特網訊息的來源，並大幅改善 Microsoft 篩選堆棧的精確度， (特別是 詐騙情報，以及 威脅 總管和 自動化調查 & 回應 (AIR) 中的入侵後功能。

     • 我只會使用 Microsoft Exchange Online：您網域的 MX 記錄指向 Microsoft 365。 不需要設定任何專案，因此請選取 [ 完成]。

   • 與 Microsoft 共用數據：預設不會選取此選項，但您可以視需要選取複選框。

   當您在 [ 協助我們瞭解您的郵件流程 ] 對話框中完成時，請選取 [ 完成]。

5. 設定完成時，您會收到 [ 讓我們在對話框中顯示您 ]。 選 取 [開始導覽 ] 或 [ 關閉]。

在封鎖模式中設定評估或試用

請記住，當您嘗試在封鎖模式中 適用於 Office 365 的 Defender 時，標準預設安全性會開啟，且指定的使用者 (部分或每個人) 都包含在標準預設安全策略中。 如需標準預設安全策略的詳細資訊，請參閱 預設安全策略。

1. 在 Microsoft Defender 入口網站中的任何可用位置開始試用，網 Microsoft Defender 位於 https://security.microsoft.com。 例如：

   • 在任何 適用於 Office 365 的 Defender 功能頁面頂端的橫幅上，選取 [開始免費試用]。
   • 在 的 [Microsoft 365 試用版] 頁面上https://security.microsoft.com/trialHorizontalHub，尋找並選取 [適用於 Office 365 的 Defender]。
   • 在 的 [適用於 Office 365 的 Microsoft Defender 評估] 頁面上https://security.microsoft.com/atpEvaluation，選取 [開始評估]。

2. 在 適用於 Office 365 的 Defender 方案 1 或方案 2 的組織中無法使用 [開啟保護] 對話方塊。

   在 [ 開啟保護 ] 對話框中，選取 [ 是，封鎖威脅來保護我的組織]，然後選取 [ 繼續]。

3. 在 [ 選取您要包含的使用者 ] 對話框中，設定下列設定：

   • 所有使用者：這是預設和建議的選項。

   • 選取使用者：如果您選取此選項，您必須選取套用試用的內部收件者：

     • 使用者：指定的信箱、郵件使用者或郵件連絡人。
     • 群組:
       • ) 不支援指定通訊群組的成員或啟用郵件功能的安全組 (動態通訊群組。
       • 指定的 Microsoft 365 群組。
     • 網域：組織中在指定的 已接受網域中具有主要電子郵件位址的所有收件者。

     按兩下方塊，開始輸入值，然後從方塊下方的結果中選取值。 視需要重複此程序多次。 若要移除現有的值，請選 取方塊中的值旁邊。

     針對使用者或群組，您可以使用大部分識別碼 (名稱、顯示名稱、別名、電子郵件地址、帳戶名稱等)，但會在結果中顯示對應的顯示名稱。 針對使用者，輸入星號 (*) 來查看所有可用的值。

     您只能使用收件者條件一次，但條件可以包含多個值：

     • 相同條件的多個值使用 OR 邏輯 (例如 recipient1<> 或 <recipient2>) 。 如果收件者符合 任何 指定的值，則會將原則套用至這些值。

     • 不同 類型的條件 會使用 AND 邏輯。 收件者必須符合 所有 指定的條件，原則才能套用到這些條件。 例如，您可以使用下列值來設定條件：

       • 使用者： romain@contoso.com
       • 群組：主管

       只有在他也是主管群組的成員時，原則才會套用至 romain@contoso.com 。 否則，原則不會套用到他。

   當您在 [ 選取您要包含的使用者 ] 對話框中完成時，請選取 [ 繼續]。

4. 設定評估時，會出現進度對話方塊。 安裝完成時，選取 [ 完成]。

管理您的評估或試用 適用於 Office 365 的 Defender

在稽核模式中設定評估或試用版之後，適用於 Office 365 的 Microsoft Defender 評估頁面https://security.microsoft.com/atpEvaluation是您嘗試 適用於 Office 365 的 Defender 方案 2 結果的中心位置。

在 Microsoft Defender 入口網站https://security.microsoft.com中，移至 Email & 共同作業>原則 & 規則>威脅原則>在 [其他] 區段中選取 [評估模式]。 或者，若要直接移至 適用於 Office 365 的 Microsoft Defender 評估頁面，請使用 https://security.microsoft.com/atpEvaluation。

下列小節說明 適用於 Office 365 的 Microsoft Defender 評估頁面上可用的動作。

管理評估設定

在 的 [適用於 Office 365 的 Microsoft Defender 評估] 頁面上https://security.microsoft.com/atpEvaluation，選取 [管理評估設定]。

在開啟的 [管理 MDO 評估設定] 飛出視窗中，提供下列資訊和設定：

• 評估是否開啟會顯示在飛出視窗頂端， (評估 開啟或 評估關閉) 。 此資訊也可在 適用於 Office 365 的 Microsoft Defender 評估頁面上取得。

  [ 關閉 ] 或 [ 開啟 ] 動作可讓您關閉或開啟評估原則。

• 評估中剩餘的天數會顯示在飛出視窗頂端， (剩餘 nn 天) 。

• 偵測功能區段：使用切換來開啟或關閉下列 適用於 Office 365 的 Defender 保護：

  • 安全連結
  • 安全附件
  • 防網路釣魚

• 使用者、群組和網域 一節：選取 [編輯使用者、群組和網域]， 以變更評估或試用套用物件，如先前 在稽核模式中設定評估或試用版中所述。

• 模擬設定區 段：

  • 如果在反網路釣魚評估原則中未設定模擬保護，請選取 [ 套用模擬保護 ] 以設定模擬保護：

    • 內部和外部使用者 (寄件者) 用戶模擬保護。
    • 網域模擬保護的自定義網域。
    • 要從模擬保護中排除的信任寄件人和網域。

    這些步驟基本上與使用 Microsoft Defender 入口網站建立防網路釣魚原則的步驟 5 中的模擬一節所述相同。

  • 如果模擬保護是在反網路釣魚評估原則中設定的，本節會顯示下列專案的模擬保護設定：

    • 用戶模擬保護
    • 網域模擬保護
    • 受信任的模擬發件人和網域

    若要修改設定，請選取 [編輯模擬設定]。

當您在 [管理 MDO 評估設定] 飛出視窗中完成時，請選取 [關閉]。

轉換為標準保護

針對評估或試用版，您可以使用下列其中一種方法，從 稽核模式 (評估原則) 切換為 封鎖模式 (標準預設安全策略) ：

• 在 [適用於 Office 365 的 Microsoft Defender 評估] 頁面上：選取 [轉換為標準保護]
• 在 [管理 MDO 評估設定] 飛出視窗中：在 [適用於 Office 365 的 Microsoft Defender 評估] 頁面上，選取 [管理評估設定]。 在開啟的詳細數據飛出視窗中，選取 [ 轉換為標準保護]。

選取 [ 轉換為標準保護] 之後，請閱讀開啟之對話框中的資訊，然後選取 [ 繼續]。

系統會帶您前往默認安全策略頁面上的 [套用標準保護精靈]。 評估或試用版中包含和排除的收件者清單會複製到標準預設安全策略中。 如需詳細資訊，請參閱使用 Microsoft Defender 入口網站將標準和嚴格預設安全策略指派給使用者。

• 標準預設安全策略中的安全策略優先順序高於評估原則，這表示標準預設安全性中的原則一律會在評估 原則之前 套用，即使這兩者都存在且已開啟也一般。
• 沒有自動方式可從 封鎖模式 移至 稽核模式。 手動步驟如下：

  1. 在 的 [ 預設安全 策略] 頁面上，關閉 [標準預設安全策略] https://security.microsoft.com/presetSecurityPolicies。

  2. 在 的 [適用於 Office 365 的 Microsoft Defender 評估] 頁面上https://security.microsoft.com/atpEvaluation，確認 [評估] 的值已顯示。

     如果顯示 [評估關閉 ]，請選取 [管理評估設定]。 在開啟的 [管理 MDO 評估設定] 飛出視窗中，選取 [開啟]。

  3. 選取 [管理評估設定]，以在開啟的 [管理 MDO 評估設定詳細數據] 飛出視窗的 [使用者、群組和網域] 區段中確認評估套用的使用者。

評估或試用 適用於 Office 365 的 Defender 的報告

本節說明稽核 模式 和 封鎖模式中可用的報告。

封鎖模式的報告

系統不會針對封鎖模式建立任何特殊報告，因此請使用 適用於 Office 365 的 Defender 中可用的標準報表。 具體而言，您要尋找的報表僅適用於 適用於 Office 365 的 Defender 功能 (，例如安全連結或安全附件) 或報表，這些功能可透過 適用於 Office 365 的 Defender 偵測進行篩選，如下列清單所述：

• 郵件流程狀態報告的 [郵件流程] 檢視：

  • 偵測到由反網路釣魚原則模擬或網域仿真的訊息會出現在 模擬區塊中。
  • 在安全附件原則或安全鏈接原則的檔案或 URL 擷取期間偵測到的訊息會出現在 [隔離] 區塊中。

• 威脅防護狀態報告：

  您可以依 [受保護者] 值 MDO 篩選威脅防護狀態報告中的許多檢視，以查看 適用於 Office 365 的 Defender 的效果。

  • 依概觀檢視數據

  • 依偵測技術 Email > 網路釣魚和圖表明細來檢視數據

    • 營銷活動偵測到的訊息會出現在營銷活動中。
    • 安全附件偵測到的訊息會出現在 檔案損毀 和 檔案損毀信譽中。
    • 用戶模擬保護在反網路釣魚原則中偵測到的訊息會出現在 模擬網域、 模擬使用者和 信箱智慧模擬中。
    • 安全連結偵測到的訊息會出現在 URL 損毀 和 URL 損毀信譽中。

  • 依偵測技術 Email > 惡意代碼和圖表明細來檢視數據

    • 營銷活動偵測到的訊息會出現在營銷活動中。
    • 安全附件偵測到的訊息會出現在 檔案損毀 和 檔案損毀信譽中。
    • 安全連結偵測到的訊息會出現在 URL 損毀 和 URL 損毀信譽中。

  • 依偵測技術 Email > 垃圾郵件和圖表明細來檢視數據

    安全連結偵測到的訊息會出現在 URL 惡意信譽中。

  • 依原則類型的圖表明細

    安全附件偵測到的訊息會出現在 安全附件中

  • 依內容 > 惡意代碼檢視數據

    SharePoint、OneDrive 和 Microsoft Teams 安全附件偵測到的惡意檔案會出現在 MDO 攻擊中。

• 熱門寄件人和收件者報告

  顯示 [熱門惡意代碼收件者] (MDO) 和 [顯示熱門網络釣魚收件者 (MDO) 的數據。

• URL 保護報告

稽核模式的報告

在 稽核模式中，您會尋找顯示評估原則偵測的報告，如下列清單所述：

• [Email 實體] 頁面會在 [不正確的附件]、[垃圾郵件 URL + 惡意代碼]、[網络釣魚 URL] 和 [模擬訊息] 索引卷標的 [分析] 索引標籤上，顯示 適用於 Office 365 的 Defender 偵測到的下列橫幅：

  

• 的 適用於 Office 365 的 Microsoft Defender 評估頁面https://security.microsoft.com/atpEvaluation會合併 適用於 Office 365 的 Defender 中可用標準報表的偵測。 此頁面上的報表主要是依 評估篩選：是 ，只顯示評估原則的偵測，但大部分報表也會使用額外的釐清篩選。

  根據預設，頁面上的報表摘要會顯示過去 30 天的數據，但您可以選取 30 天 ，然後從下列小於 30 天的額外值中選取來篩選日期範圍：

  • 24 小時
  • 7 天
  • 14 天
  • 自訂日期範圍

  當您選取 [檢視卡片中的 詳細 數據] 時，日期範圍篩選會影響頁面和主報表中報表摘要中顯示的數據。

  選取 [下載 ] 將圖表數據下載至 .csv 檔案。

  • 下列 適用於 Office 365 的 Microsoft Defender 評估頁面上的報告包含威脅防護狀態報告中特定檢視的篩選資訊：

    • Email 連結：
      • 報表檢視：依偵測技術 Email > 網路釣魚和圖表明細來檢視數據
      • 偵 測篩選： URL 擷取信譽 和 URL擷取。
    • 電子郵件中的附件：
      • 報表檢視：依偵測技術 Email > 網路釣魚和圖表明細來檢視數據
      • 偵 測篩選： 檔案擷取 和 檔案擷取信譽。
    • 類比
      • 報表檢視：依偵測技術 Email > 網路釣魚和圖表明細來檢視數據
      • 偵 測篩選： 模擬使用者、 模擬網域和 信箱智慧模擬。
    • 附件連結
      • 報表檢視：依偵測技術 Email > 惡意代碼和圖表明細來檢視數據
      • 偵 測篩選： URL 擷取 和 URL 擷取信譽。
    • 內嵌惡意代碼
      • 報表檢視：依偵測技術 Email > 惡意代碼和圖表明細來檢視數據
      • 偵 測篩選： 檔案擷取 和 檔案擷取信譽。
    • 詐騙寄件者：
      • 報表檢視：依偵測技術 Email > 網路釣魚和圖表明細來檢視數據
      • 偵 測篩選： 詐騙組織內部、 詐騙外部網域和詐騙 DMARC。

  • 即時 URL 點選保護會在評估：是的 URL 保護報告中，使用 [依 URL 按兩下保護來檢視資料] 動作。

    雖然 URL 保護報告中應用程式按兩下的 [依 URL 檢視資料] 不會顯示在 [適用於 Office 365 的 Microsoft Defender 評估] 頁面上，但評估版也可以篩選它：是。

必要權限

Microsoft Entra ID 需要下列許可權，才能設定適用於 Microsoft 365 的 Defender 評估或試用版：

• 建立、修改或刪除評估或試用版： 安全性系統管理員 或 全域管理員 角色中的成員資格。
• 在稽核模式中檢視評估原則和報告： 安全性系統管理員 或 安全性讀取者 角色中的成員資格。

如需 Microsoft Defender 入口網站中 Microsoft Entra 許可權的詳細資訊，請參閱 Microsoft Defender 入口網站中的 Microsoft Entra 角色

常見問題集

問：我需要手動取得或啟用試用版授權嗎？

答：不能。 如果您如先前所述，試用版會自動布建 適用於 Office 365 的 Defender 方案 2 授權。

問：如何? 延長試用期？

答：請參閱 延長試用期。

問：試用版到期后，我的數據會發生什麼情況？

答：試用版到期之後，您可以存取試用數據， (您先前 30 天內未) 適用於 Office 365 的 Defender 功能的數據。 在這 30 天期間之後，會刪除與 適用於 Office 365 的 Defender 試用版相關聯的所有原則和數據。

問：我可以在組織中使用 適用於 Office 365 的 Defender 試用版多少次？

答：最多兩次。 如果您的第一個試用版到期，您至少必須在到期日之後等候 30 天，才能再次註冊 適用於 Office 365 的 Defender 試用版。 第二次試用之後，您就無法註冊另一個試用版。

問：在稽核模式中，是否有 適用於 Office 365 的 Defender 對訊息採取動作的案例？

答：可以。 為了保護服務，任何程式或 SKU 中沒有人可以關閉或略過對服務分類為惡意代碼或高信賴度網路釣魚的訊息採取動作。

問：原則的評估順序為何？

答：請參閱 預設安全策略和其他原則的優先順序順序。

與 適用於 Office 365 的 Defender 評估和試用相關聯的原則設定

稽核模式中的原則

警告

請勿嘗試建立、修改或移除與評估 適用於 Office 365 的 Defender 相關聯的個別安全策略。 建立評估個別安全策略的唯一支援方法，是在 Microsoft Defender 入口網站中第一次以稽核模式啟動評估或試用。

如先前所述，當您選擇評估或試用的稽核模式時，系統會自動建立評估原則，其中包含要觀察但不會對訊息採取動作的必要設定。

若要查看這些原則及其設定，請在 Exchange Online PowerShell 中執行下列命令：

Write-Output -InputObject ("`r`n"*3),"Evaluation anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"; Write-Output -InputObject ("`r`n"*3),"Evaluation Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"; Write-Output -InputObject ("`r`n"*3),"Evaluation Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"

下表也會說明這些設定。

防網路釣魚評估原則設定

設定	值
名稱	評估原則
AdminDisplayName	評估原則
AuthenticationFailAction	MoveToJmf
DmarcQuarantineAction	隔離
DmarcRejectAction	拒絕
Enabled	True
EnableFirstContactSafetyTips	錯
EnableMailboxIntelligence	True
EnableMailboxIntelligenceProtection	True
EnableOrganizationDomainsProtection	錯
EnableSimilarDomainsSafetyTips	錯
EnableSimilarUsersSafetyTips	錯
EnableSpoofIntelligence	True
EnableSuspiciousSafetyTip	錯
EnableTargetedDomainsProtection	錯
EnableTargetedUserProtection	錯
EnableUnauthenticatedSender	True
EnableUnusualCharactersSafetyTips	錯
EnableViaTag	True
ExcludedDomains	{}
ExcludedSenders	{}
HonorDmarcPolicy	True
ImpersonationProtectionState	手動
IsDefault	錯
MailboxIntelligenceProtectionAction	NoAction
MailboxIntelligenceProtectionActionRecipients	{}
MailboxIntelligenceQuarantineTag	DefaultFullAccessPolicy
PhishThresholdLevel	1
PolicyTag	空白
RecommendedPolicyType	評估
SpoofQuarantineTag	DefaultFullAccessPolicy
TargetedDomainActionRecipients	{}
TargetedDomainProtectionAction	NoAction
TargetedDomainQuarantineTag	DefaultFullAccessPolicy
TargetedDomainsToProtect	{}
TargetedUserActionRecipients	{}
TargetedUserProtectionAction	NoAction
TargetedUserQuarantineTag	DefaultFullAccessPolicy
TargetedUsersToProtect	{}

安全附件評估原則設定

設定	值
名稱	評估原則
動作	允許
ActionOnError	True*
AdminDisplayName	評估原則
ConfidenceLevelThreshold	80
啟用	True
EnableOrganizationBranding	錯
IsBuiltInProtection	錯
IsDefault	錯
OperationMode	Delay
QuarantineTag	AdminOnlyAccessPolicy
RecommendedPolicyType	評估
重新導向	錯
RedirectAddress	空白
ScanTimeout	30

^* 此參數已被取代，不再使用。

安全連結評估原則設定

設定	值
名稱	評估原則
AdminDisplayName	評估原則
AllowClickThrough	True
CustomNotificationText	空白
DeliverMessageAfterScan	True
DisableUrlRewrite	True
DoNotRewriteUrls	{}
EnableForInternalSenders	錯
EnableOrganizationBranding	錯
EnableSafeLinksForEmail	True
EnableSafeLinksForOffice	True
EnableSafeLinksForTeams	True
IsBuiltInProtection	錯
LocalizedNotificationTextList	{}
RecommendedPolicyType	評估
ScanUrls	True
TrackClicks	True

使用 PowerShell 在稽核模式中設定評估或試用版的收件者條件和例外狀況

與 適用於 Office 365 的 Defender 評估原則相關聯的規則會控制評估的收件者條件和例外狀況。

若要檢視與評估相關聯的規則，請在 Exchange Online PowerShell 中執行下列命令：

Get-ATPEvaluationRule

若要使用 Exchange Online PowerShell 來修改要套用評估的人員，請使用下列語法：

Set-ATPEvaluationRule -Identity "Evaluation Rule" -SentTo <"user1","user2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -SentToMemberOf <"group1","group2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null> -RecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null>

本範例會設定 SecOps () 信箱中指定安全性作業評估的例外狀況。

Set-ATPEvaluationRule -Identity "Evaluation Rule" -ExceptIfSentTo "SecOps1","SecOps2"

使用 PowerShell 在稽核模式中開啟或關閉評估或試用版

若要在稽核模式中開啟或關閉評估，您可以啟用或停用與評估相關聯的規則。 評估規則的 State 屬性值會顯示規則為 Enabled 或 Disabled。

執行下列命令來判斷評估目前是否已啟用或停用：

Get-ATPEvaluationRule -Identity "Evaluation Rule" | Format-Table Name,State

如果已開啟評估，請執行下列命令來關閉評估：

Disable-ATPEvaluationRule -Identity "Evaluation Rule"

如果已關閉評估，請執行下列命令來開啟評估：

Enable-ATPEvaluationRule -Identity "Evaluation Rule"

封鎖模式中的原則

如先前所述， 封鎖模式 原則是使用默 認安全策略的標準範本所建立。

若要使用 Exchange Online PowerShell 來檢視與標準預設安全策略相關聯的個別安全策略，以及檢視和設定預設安全策略的收件者條件和例外狀況，請參閱 Exchange Online PowerShell 中的預設安全策略。