嘗試 適用於 Office 365 的 Microsoft Defender

身為現有的 Microsoft 365 客戶,Microsoft Defender https://security.microsoft.com 入口網站中的用版和評估版頁面可讓您先試用 適用於 Office 365 的 Microsoft Defender 方案 2 的功能,再購買。

在您嘗試 適用於 Office 365 的 Defender 方案 2 之前,有一些您需要自行詢問的重要問題:

  • 我是否想要被動觀察方案 2 (核 適用於 Office 365 的 Defender) 可以做什麼,還是要 適用於 Office 365 的 Defender 方案 2 對 (封鎖) 發現的問題採取直接動作?
  • 不論是哪一種方式,我該如何分辨方案 2 適用於 Office 365 的 Defender 為我做什麼?
  • 我需要先決定保留 適用於 Office 365 的 Defender 方案 2 多久?

本文可協助您回答這些問題,讓您可以嘗試以最符合組織需求的方式 適用於 Office 365 的 Defender 方案 2。

如需如何使用試用版的隨附指南,請參閱試用版使用者指南:適用於 Office 365 的 Microsoft Defender

注意事項

(Microsoft 365 GCC、GCC High 和 DoD) 或 Microsoft 365 教育版 組織的美國政府組織無法使用 適用於 Office 365 的 Defender 的試用版和評估。

適用於 Office 365 的 Defender 概觀

適用於 Office 365 的 Defender 提供完整的功能,協助組織保護其企業。 如需詳細資訊,請參閱 適用於 Office 365 的 Microsoft Defender

您也可以在本互動式指南中深入瞭解 適用於 Office 365 的 Defender。

適用於 Office 365 的 Microsoft Defender 概念圖表。

觀看這段短片,以深入瞭解如何利用 適用於 Office 365 的 Microsoft Defender,在較短的時間內完成更多任務作。

如需定價資訊,請參閱 適用於 Office 365 的 Microsoft Defender

試用和評估如何適用於 適用於 Office 365 的 Defender

原則

適用於 Office 365 的 Defender 包含 Exchange Online Protection (EOP) 的功能,這些功能存在於所有具有 Exchange Online 信箱的 Microsoft 365 組織中,以及專屬於適用於 Office 365 的 Defender。

EOP 和 適用於 Office 365 的 Defender 的保護功能是使用原則來實作。 系統會視需要為您建立專屬 適用於 Office 365 的 Defender 的原則:

您的評估或試用資格表示您已經有 EOP。 針對您評估或試用 適用於 Office 365 的 Defender 方案 2,不會建立任何新的或特殊的 EOP 原則。 Microsoft 365 組織中現有的 EOP 原則仍可對郵件採取動作 (例如,將郵件傳送至垃圾郵件 Email 資料夾或隔離) :

這些 EOP 功能的默認原則一律會開啟、套用至所有收件者,且一律會在任何自定義原則之後最後套用。

稽核模式與封鎖模式的 適用於 Office 365 的 Defender

您要讓 適用於 Office 365 的 Defender 體驗成為主動或被動? 下列模式可供使用:

  • 稽核模式:針對防網路釣魚 (建立特殊 評估 原則,其中包括模擬保護) 、安全附件和安全連結。 這些評估原則設定為僅 偵測 威脅。 適用於 Office 365 的 Defender 偵測到有害的訊息進行報告,但不會對訊息採取動作 (例如,偵測到的訊息不會) 隔離。 The settings of these evaluation policies are described in the Policies in audit mode section later in this article. 我們也會自動開啟非電子郵件工作負載的稽核模式下單擊保護的 SafeLinks 時間 (例如 Microsoft Teams、SharePoint 和 商務用 OneDrive)

    您也可以選擇性地開啟或關閉防網路釣魚保護, (詐騙和模擬) 、安全鏈接保護和安全附件保護。 如需指示,請 參閱管理評估設定

    稽核模式會針對評估原則在 適用於 Office 365 的 Microsoft Defender 評估頁面https://security.microsoft.com/atpEvaluation上偵測到的威脅提供特殊報告。 These reports are described in the Reports for audit mode section later in this article.

  • 封鎖模式:默 認安全 策略的標準範本會開啟並用於試用版,而您指定要包含在試用版中的使用者會新增至標準預設安全策略。 適用於 Office 365 的 Defender 偵測到有害訊息並採取動作 (例如,偵測到的訊息會) 隔離。

    默認和建議的選擇是將這些 適用於 Office 365 的 Defender 原則的範圍設定為組織中的所有使用者。 但在試用版設定期間或之後,您可以將原則指派變更為 Microsoft Defender 入口網站或 Exchange Online PowerShell 中的特定使用者、群組或電子郵件網域。

    如需 適用於 Office 365 的 Defender 偵測到的威脅相關信息,請參閱 適用於 Office 365 的 Defender 方案 2 的一般報告和調查功能,本文稍後的封鎖模式報告一節中會加以說明。

決定哪些模式可供您使用的關鍵因素:

  • 您目前是否 適用於 Office 365 的 Defender (方案 1 或方案 2) ,如下一節所述。

  • 如何將電子郵件傳遞至您的 Microsoft 365 組織,如下列案例所述:

    • 來自因特網的郵件會直接流向 Microsoft 365,但您目前的訂閱只有 Exchange Online Protection (EOP) 適用於 Office 365 的 Defender 方案 1

      郵件會從因特網流向 Microsoft 365,並提供 EOP 和/或 適用於 Office 365 的 Defender 方案 1 的保護。

      在這些環境中,可以使用 稽核模式封鎖模式 ,視您的授權而定,如下一節所述

    • 您目前使用第三方服務或裝置來保護 Microsoft 365 信箱的電子郵件。 來自因特網的郵件會在傳遞至您的 Microsoft 365 組織之前,透過保護服務流動。 Microsoft 365 保護盡可能低, (永遠不會完全關閉;例如,惡意代碼保護一律會強制執行) 。

      在傳遞至 Microsoft 365 之前,郵件會從因特網流經第三方保護服務或裝置。

      在這些環境中,只有稽核 模式 可供使用。 您不需要變更郵件流程 (MX 記錄) 以評估 適用於 Office 365 的 Defender 方案 2。

評估與試用版 適用於 Office 365 的 Defender

適用於 Office 365 的 Defender 方案 2 的評估和試用版有何差異? 它們不是相同的嗎? 是,否。 Microsoft 365 組織中的授權會產生所有差異:

  • 沒有 適用於 Office 365 的 Defender 方案 2:例如,如果您還沒有 適用於 Office 365 的 Defender 方案 2 (,則您有獨立 EOP、Microsoft 365 E3、Microsoft 365 商務進階版 或適用於 Office 365 的 Defender 方案 1 附加元件訂用帳戶) ,您可以從 Microsoft Defender 入口網站中的下列位置開始 適用於 Office 365 的 Defender 方案 2 體驗:

    您可以在設定評估或試用期間選取稽核 模式 (評估原則) 或 封鎖模式 (標準預設安全策略) 。

    無論您使用哪個位置,我們都會在您註冊時自動布建任何必要的 適用於 Office 365 的 Defender 方案 2 授權。 不需要在 Microsoft 365 系統管理中心 中手動取得和指派方案 2 授權。

    自動布建的授權適用於90天。 這 90 天期間的意義取決於您組織中現有的授權:

    • 無 適用於 Office 365 的 Defender 方案 1:針對沒有 適用於 Office 365 的 Defender 方案 1 (的組織,例如獨立 EOP 或 Microsoft 365 E3) 所有 適用於 Office 365 的 Defender特別 (方案 2 功能,安全策略) 只能在 90 天的期間內使用。

    • 適用於 Office 365 的 Defender 方案 1:具有 適用於 Office 365 的 Defender 方案 1 (的組織,例如,Microsoft 365 商務進階版 或附加元件訂用帳戶) 已有相同的安全策略可在適用於 Office 365 的 Defender 方案 2:防網路釣魚原則、安全附件原則和安全鏈接原則中的模擬保護。

      來自 稽核模式 的安全策略 (評估原則) 或 封鎖模式 (標準預設安全策略) 不會在 90 天后過期或停止運作。 90 天后結束的是方案 1 中無法使用的 適用於 Office 365 的 Defender 方案 2 的自動化、調查、補救和教育功能

    如果您在稽核模式中設定評估或試用 (評估原則) ,則稍後可以轉換成封鎖模式, (標準預設安全策略) 。 如需指示,請參閱本文稍後的 轉換為標準保護 一節。

  • 適用於 Office 365 的 Defender 方案 2:例如,如果您已經 適用於 Office 365 的 Defender 方案 2 (,當做 Microsoft 365 E5 訂用帳戶) 的一部分時,適用於 Office 365 的 Defender 無法在 上選取Microsoft 365 試用版頁面,位於 https://security.microsoft.com/trialHorizontalHub

    您唯一的選項是在 的 [適用於 Office 365 的 Microsoft Defender 評估] 頁面https://security.microsoft.com/atpEvaluation上設定 適用於 Office 365 的 Defender 評估。 此外,評估會在稽核 模式 中自動設定, (評估原則) 。

    稍後,您可以使用 [適用於 Office 365 的 Microsoft Defender 評估] 頁面上的 [轉換為標準] 動作,或關閉 適用於 Office 365 的 Microsoft Defender 上的評估,轉換成封鎖模式 (標準預設安全策略) 評估頁面,然後設定標準預設安全策略

    根據定義,具有 適用於 Office 365 的 Defender 方案 2 的組織不需要額外的授權即可評估 適用於 Office 365 的 Defender 方案 2,因此這些組織中的評估持續時間不受限制。

下表摘要說明上一個清單中的資訊:

Organization 從註冊
試用版頁面?
從註冊
評估頁面?
可用模式 評估
時期
獨立 EOP (沒有 Exchange Online 信箱)

Microsoft 365 E3
稽核模式

封鎖模式¹
90 天
適用於 Office 365 的 Defender 方案 1

Microsoft 365 商務進階版
稽核模式

封鎖模式¹
90 天²
Microsoft 365 E5 稽核模式

封鎖模式¹ ³
無限制

¹ 如 先前所述,如果因特網郵件在傳遞至 Microsoft 365 之前流經第三方保護服務或裝置,則無法使用 封鎖模式 (標準預設安全策略) 。

² 稽核 模式 中的安全策略 (評估原則) 或 封鎖模式 (標準預設安全策略) 不會在 90 天后過期或停止運作。 適用於 Office 365 的 Defender 方案 2 獨佔的自動化、調查、補救和教育功能會在 90 天后停止運作。

³ 評估是在 稽核模式 中設定, (評估原則) 。 在安裝程式完成之後的任何時間點,您可以轉換成封鎖模式 (標準預設安全策略) 如轉換為標準保護中所述。

現在您已了解評估、試用、稽核模式和封鎖模式之間的差異,您已準備好設定評估或試用版,如下一節所述。

在稽核模式中設定評估或試用

請記住,當您在稽核模式中評估或嘗試 適用於 Office 365 的 Defender 時,會建立特殊的評估原則,讓 適用於 Office 365 的 Defender 能夠偵測威脅。 The settings of these evaluation policies are described in the Policies in audit mode section later in this article.

  1. 在 Microsoft Defender 入口網站中的任何可用位置啟動評估,網 Microsoft Defender 位於 https://security.microsoft.com。 例如:

  2. 在 適用於 Office 365 的 Defender 方案 1 或方案 2 的組織中無法使用 [開啟保護] 對話方塊。

    在 [ 開啟保護 ] 對話框中,選取 [ 否,我只想要報告],然後選取 [ 繼續]

  3. 在 [ 選取您要包含的使用者 ] 對話框中,設定下列設定:

    • 所有使用者:這是預設和建議的選項。

    • 特定使用者:如果您選取此選項,您必須選取評估適用的內部收件者:

      • 使用者:指定的信箱、郵件使用者或郵件連絡人。
      • 群組:
        • ) 不支援指定通訊群組的成員或啟用郵件功能的安全組 (動態通訊群組。
        • 指定的 Microsoft 365 群組。
        • 網域:組織中在指定的 已接受網域中具有主要電子郵件位址的所有收件者。

      按兩下方塊,開始輸入值,然後從方塊下方的結果中選取值。 視需要重複此程序多次。 若要移除現有的值,請選 取方塊中的值旁邊。

      針對使用者或群組,您可以使用大部分識別碼 (名稱、顯示名稱、別名、電子郵件地址、帳戶名稱等),但會在結果中顯示對應的顯示名稱。 針對使用者,輸入星號 (*) 來查看所有可用的值。

    注意事項

    您可以在完成試用版設定之後變更這些選取專案,如 管理試用版 一節中所述。

    多個不同的條件或例外狀況類型並不會累加;他們是包含性項目。 評估或試用 只會 套用至符合 所有 指定收件者篩選條件的收件者。 例如,您可以使用下列值來設定條件:

    • 使用者: romain@contoso.com
    • 群組:主管

    只有在他也是主管群組的成員時,才會套romain@contoso.com用評估或試用版。 若他不是群組的成員,則不會套用評估或試用版。

    同樣地,如果您使用與例外狀況相同的收件者篩選,只有在他也是主管群組的成員時,才會套romain@contoso.com用評估或試用。 若他不是群組的成員,則評估或試用仍適用於他。

    當您在 [ 選取您要包含的使用者 ] 對話框中完成時,請選取 [ 繼續]

  4. 在 [ 協助我們瞭解您的郵件流程 ] 對話框中,設定下列選項:

    • 根據我們偵測到您網域的 MX 記錄,自動選取下列其中一個選項:

      • 我使用第三方和/或內部部署服務提供者:您網域點的 MX 記錄位於 Microsoft 365 以外的位置。 確認或設定下列設定:

        • 貴組織使用的第三方服務:確認或選取下列其中一個值:

          • 其他:此值也需要 [ 如果您的電子郵件訊息通過多個網關] 中的資訊,請列出每個網關IP位址,僅適用於 [ 其他] 值。 如果您使用內部部署服務提供者,請使用此值。

            輸入第三方保護服務或裝置用來將郵件傳送至 Microsoft 365 的 IP 位址逗號分隔清單。

          • 梭魚

          • IronPort

          • Mimecast

          • Proofpoint

          • Sophos

          • 賽門鐵克

          • Trend Micro

        • 要套用此評估的連接器:選取用於 Microsoft 365 郵件流程的連接器。

          連接器的增強式篩選 (也稱為 略過清單) 會在您指定的連接器上自動設定。

          當第三方服務或裝置位於流入 Microsoft 365 的電子郵件前面時,增強的連接器篩選可正確識別因特網訊息的來源,並大幅改善 Microsoft 篩選堆棧的精確度, (特別是 詐騙情報,以及 威脅 總管和 自動化調查 & 回應 (AIR) 中的入侵後功能。

      • 我只使用 Microsoft Exchange Online:您網域的 MX 記錄指向 Microsoft 365。 不需要設定任何專案,因此請選取 [ 完成]

    • 與 Microsoft 共用數據:預設不會選取此選項,但您可以視需要選取複選框。

    當您在 [ 協助我們瞭解您的郵件流程 ] 對話框中完成時,請選取 [ 完成]

  5. 設定完成時,您會收到 [ 讓我們在對話框中顯示您 ]。 選 取 [開始導覽 ] 或 [ 關閉]

在封鎖模式中設定評估或試用

請記住,當您嘗試在封鎖模式中 適用於 Office 365 的 Defender 時,標準預設安全性會開啟,且指定的使用者 (部分或每個人) 都包含在標準預設安全策略中。 如需標準預設安全策略的詳細資訊,請參閱 預設安全策略

  1. 在 Microsoft Defender 入口網站中的任何可用位置開始試用,網 Microsoft Defender 位於 https://security.microsoft.com。 例如:

  2. 在 適用於 Office 365 的 Defender 方案 1 或方案 2 的組織中無法使用 [開啟保護] 對話方塊。

    在 [ 開啟保護 ] 對話框中,選取 [ 是,封鎖威脅來保護我的組織],然後選取 [ 繼續]

  3. 在 [ 選取您要包含的使用者 ] 對話框中,設定下列設定:

    • 所有使用者:這是預設和建議的選項。

    • 選取使用者:如果您選取此選項,您必須選取套用試用的內部收件者:

      • 使用者:指定的信箱、郵件使用者或郵件連絡人。
      • 群組:
        • ) 不支援指定通訊群組的成員或啟用郵件功能的安全組 (動態通訊群組。
        • 指定的 Microsoft 365 群組。
      • 網域:組織中在指定的 已接受網域中具有主要電子郵件位址的所有收件者。

      按兩下方塊,開始輸入值,然後從方塊下方的結果中選取值。 視需要重複此程序多次。 若要移除現有的值,請選 取方塊中的值旁邊。

      針對使用者或群組,您可以使用大部分識別碼 (名稱、顯示名稱、別名、電子郵件地址、帳戶名稱等),但會在結果中顯示對應的顯示名稱。 針對使用者,輸入星號 (*) 來查看所有可用的值。

    注意事項

    您可以在完成試用版設定之後變更這些選取專案,如 管理試用版 一節中所述。

    多個不同的條件或例外狀況類型並不會累加;他們是包含性項目。 評估或試用 只會 套用至符合 所有 指定收件者篩選條件的收件者。 例如,您可以使用下列值來設定條件:

    • 使用者: romain@contoso.com
    • 群組:主管

    只有在他也是主管群組的成員時,才會套romain@contoso.com用評估或試用版。 若他不是群組的成員,則不會套用評估或試用版。

    同樣地,如果您使用與例外狀況相同的收件者篩選,只有在他也是主管群組的成員時,才會套romain@contoso.com用評估或試用。 若他不是群組的成員,則評估或試用仍適用於他。

    當您在 [ 選取您要包含的使用者 ] 對話框中完成時,請選取 [ 繼續]

  4. 設定評估時,會出現進度對話方塊。 安裝完成時,選取 [ 完成]

管理您的評估或試用 適用於 Office 365 的 Defender

在稽核模式中設定評估或試用版之後,適用於 Office 365 的 Microsoft Defender 評估頁面https://security.microsoft.com/atpEvaluation是您嘗試 適用於 Office 365 的 Defender 方案 2 結果的中心位置。

在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 [Email & 共同作業>原則 & 規則>][威脅原則>] 在 [其他] 區段中選取 [評估模式]。 或者,若要直接移至 適用於 Office 365 的 Microsoft Defender 評估頁面,請使用 https://security.microsoft.com/atpEvaluation

下列小節說明 適用於 Office 365 的 Microsoft Defender 評估頁面上可用的動作。

管理評估設定

在 的 [適用於 Office 365 的 Microsoft Defender 評估] 頁面上https://security.microsoft.com/atpEvaluation,選取 [管理評估設定]

在開啟 的 [管理 MDO 評估設定 ] 飛出視窗中,可以使用下列資訊和設定:

  • 評估是否開啟會顯示在飛出視窗頂端, (評估 開啟或 評估關閉) 。 此資訊也可在 適用於 Office 365 的 Microsoft Defender 評估頁面上取得。

    [ 關閉 ] 或 [ 開啟 ] 動作可讓您關閉或開啟評估原則。

  • 評估中剩餘的天數會顯示在飛出視窗頂端, (剩餘 nn 天) 。

  • 偵測功能區段:使用切換來開啟或關閉下列 適用於 Office 365 的 Defender 保護:

    • 安全連結
    • 安全附件
    • 防網路釣魚
  • 使用者、群組和網域 一節:選取 [編輯使用者、群組和網域], 以變更評估或試用套用物件,如先前 在稽核模式中設定評估或試用版中所述。

  • 模擬設定區 段:

    • 如果在反網路釣魚評估原則中未設定模擬保護,請選取 [ 套用模擬保護 ] 以設定模擬保護:

      • 內部和外部使用者 (寄件者) 用戶模擬保護。
      • 網域模擬保護的自定義網域。
      • 要從模擬保護中排除的信任寄件人和網域。

      這些步驟基本上與使用 Microsoft Defender 入口網站建立防網路釣魚原則步驟 5 中的模擬一節所述相同。

    • 如果模擬保護是在反網路釣魚評估原則中設定的,本節會顯示下列專案的模擬保護設定:

      • 用戶模擬保護
      • 網域模擬保護
      • 受信任的模擬發件人和網域

      若要修改設定,請選取 [編輯模擬設定]

當您在 [ 管理 MDO 評估設定 ] 飛出視窗中完成時,請選取 [ 關閉]

轉換為標準保護

針對評估或試用版,您可以使用下列其中一種方法,從 稽核模式 (評估原則) 切換為 封鎖模式 (標準預設安全策略) :

  • 在 [適用於 Office 365 的 Microsoft Defender 評估] 頁面上:選取 [轉換為標準保護]
  • 在 [管理 MDO 評估設定] 飛出視窗中:在 [適用於 Office 365 的 Microsoft Defender 評估] 頁面上,選取 [管理評估設定]。 在開啟的詳細數據飛出視窗中,選取 [ 轉換為標準保護]

選取 [ 轉換為標準保護] 之後,請閱讀開啟之對話框中的資訊,然後選取 [ 繼續]

系統會帶您前往默認安全策略頁面上的 [套用標準保護精靈]。 評估或試用版中包含和排除的收件者清單會複製到標準預設安全策略中。 如需詳細資訊,請參閱使用 Microsoft Defender 入口網站將標準和嚴格預設安全策略指派給使用者

  • 標準預設安全策略中的安全策略優先順序高於評估原則,這表示標準預設安全性中的原則一律會在評估 原則之前 套用,即使這兩者都存在且已開啟也一般。
  • 沒有自動方式可從 封鎖模式 移至 稽核模式。 手動步驟如下:
    1. 在 的 [ 預設安全 策略] 頁面上,關閉 [標準預設安全策略] https://security.microsoft.com/presetSecurityPolicies

    2. 的 [適用於 Office 365 的 Microsoft Defender 評估] 頁面上https://security.microsoft.com/atpEvaluation,確認 [評估] 的值已顯示。

      如果顯示 [評估關閉 ],請選取 [管理評估設定]。 在開啟的 [ 管理 MDO 評估設定 ] 飛出視窗中,選取 [ 開啟]

    3. 取 [管理評估設定],以在開啟的 [管理 MDO 評估設定詳細數據] 飛出視窗的 [使用者、群組和網域] 區段中確認評估套用的使用者。

評估或試用 適用於 Office 365 的 Defender 的報告

本節說明稽核 模式封鎖模式中可用的報告。

封鎖模式的報告

系統不會針對封鎖模式建立任何特殊報告,因此請使用 適用於 Office 365 的 Defender 中可用的標準報表。 具體而言,您要尋找的報表僅適用於 適用於 Office 365 的 Defender 功能 (,例如安全連結或安全附件) 或報表,這些功能可透過 適用於 Office 365 的 Defender 偵測進行篩選,如下列清單所述:

稽核模式的報告

稽核模式中,您會尋找顯示評估原則偵測的報告,如下列清單所述:

必要權限

Microsoft Entra ID 中需要下列許可權,才能設定適用於 Microsoft 365 的 Defender 評估或試用版:

  • 建立、修改或刪除評估或試用版: 安全性系統管理員全域管理員 角色中的成員資格。
  • 在稽核模式中檢視評估原則和報告安全性系統管理員安全性讀取者 角色中的成員資格。

如需 Microsoft Defender 入口網站中 Microsoft Entra 許可權的詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Entra 角色

常見問題集

問:我需要手動取得或啟用試用版授權嗎?

答:不能。 如果您如先前所述,試用版會自動布建 適用於 Office 365 的 Defender 方案 2 授權。

問:如何? 延長試用期?

答:請參閱 延長試用期

問:試用版到期后,我的數據會發生什麼情況?

答:試用版到期之後,您可以存取試用數據, (您先前 30 天內未) 適用於 Office 365 的 Defender 功能的數據。 在這 30 天期間之後,會刪除與 適用於 Office 365 的 Defender 試用版相關聯的所有原則和數據。

問:我可以在組織中使用 適用於 Office 365 的 Defender 試用版多少次?

答:最多兩次。 如果您的第一個試用版到期,您必須在到期日之後至少等候 30 天,才能再次註冊 適用於 Office 365 的 Defender 試用版。 第二次試用之後,您就無法註冊另一個試用版。

問:在稽核模式中,是否有 適用於 Office 365 的 Defender 對訊息採取動作的案例?

答:可以。 為了保護服務,任何程式或 SKU 中沒有人可以關閉或略過對服務分類為惡意代碼或高信賴度網路釣魚的訊息採取動作。

問:原則的評估順序為何?

答:請參閱 預設安全策略和其他原則的優先順序順序。

與 適用於 Office 365 的 Defender 評估和試用相關聯的原則設定

稽核模式中的原則

警告

請勿嘗試建立、修改或移除與評估 適用於 Office 365 的 Defender 相關聯的個別安全策略。 建立評估個別安全策略的唯一支援方法,是在 Microsoft Defender 入口網站中第一次以稽核模式啟動評估或試用。

如先前所述,當您選擇評估或試用的稽核模式時,系統會自動建立評估原則,其中包含要觀察但不會對訊息採取動作的必要設定。

若要查看這些原則及其設定,請在 Exchange Online PowerShell 中執行下列命令:

Write-Output -InputObject ("`r`n"*3),"Evaluation anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"; Write-Output -InputObject ("`r`n"*3),"Evaluation Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"; Write-Output -InputObject ("`r`n"*3),"Evaluation Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"

下表也會說明這些設定。

防網路釣魚評估原則設定

設定
名稱 評估原則
AdminDisplayName 評估原則
AuthenticationFailAction MoveToJmf
DmarcQuarantineAction 隔離
DmarcRejectAction 拒絕
Enabled True
EnableFirstContactSafetyTips
EnableMailboxIntelligence True
EnableMailboxIntelligenceProtection True
EnableOrganizationDomainsProtection
EnableSimilarDomainsSafetyTips
EnableSimilarUsersSafetyTips
EnableSpoofIntelligence True
EnableSuspiciousSafetyTip
EnableTargetedDomainsProtection
EnableTargetedUserProtection
EnableUnauthenticatedSender True
EnableUnusualCharactersSafetyTips
EnableViaTag True
ExcludedDomains {}
ExcludedSenders {}
HonorDmarcPolicy True
ImpersonationProtectionState 手動
IsDefault
MailboxIntelligenceProtectionAction NoAction
MailboxIntelligenceProtectionActionRecipients {}
MailboxIntelligenceQuarantineTag DefaultFullAccessPolicy
PhishThresholdLevel 1
PolicyTag 空白
RecommendedPolicyType 評估
SpoofQuarantineTag DefaultFullAccessPolicy
TargetedDomainActionRecipients {}
TargetedDomainProtectionAction NoAction
TargetedDomainQuarantineTag DefaultFullAccessPolicy
TargetedDomainsToProtect {}
TargetedUserActionRecipients {}
TargetedUserProtectionAction NoAction
TargetedUserQuarantineTag DefaultFullAccessPolicy
TargetedUsersToProtect {}

安全附件評估原則設定

設定
名稱 評估原則
動作 允許
ActionOnError True*
AdminDisplayName 評估原則
ConfidenceLevelThreshold 80
啟用 True
EnableOrganizationBranding
IsBuiltInProtection
IsDefault
OperationMode Delay
QuarantineTag AdminOnlyAccessPolicy
RecommendedPolicyType 評估
重新導向
RedirectAddress 空白
ScanTimeout 30

* 此參數已被取代,不再使用。

設定
名稱 評估原則
AdminDisplayName 評估原則
AllowClickThrough True
CustomNotificationText 空白
DeliverMessageAfterScan True
DisableUrlRewrite True
DoNotRewriteUrls {}
EnableForInternalSenders
EnableOrganizationBranding
EnableSafeLinksForEmail True
EnableSafeLinksForOffice True
EnableSafeLinksForTeams True
IsBuiltInProtection
LocalizedNotificationTextList {}
RecommendedPolicyType 評估
ScanUrls True
TrackClicks True

使用 PowerShell 在稽核模式中設定評估或試用版的收件者條件和例外狀況

與 適用於 Office 365 的 Defender 評估原則相關聯的規則會控制評估的收件者條件和例外狀況。

若要檢視與評估相關聯的規則,請在 Exchange Online PowerShell 中執行下列命令:

Get-ATPEvaluationRule

若要使用 Exchange Online PowerShell 來修改要套用評估的人員,請使用下列語法:

Set-ATPEvaluationRule -Identity "Evaluation Rule" -SentTo <"user1","user2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -SentToMemberOf <"group1","group2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null> -RecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null>

本範例會設定 SecOps () 信箱中指定安全性作業評估的例外狀況。

Set-ATPEvaluationRule -Identity "Evaluation Rule" -ExceptIfSentTo "SecOps1","SecOps2"

使用 PowerShell 在稽核模式中開啟或關閉評估或試用版

若要在稽核模式中開啟或關閉評估,您可以啟用或停用與評估相關聯的規則。 評估規則的 State 屬性值會顯示規則為 Enabled 或 Disabled。

執行下列命令來判斷評估目前是否已啟用或停用:

Get-ATPEvaluationRule -Identity "Evaluation Rule" | Format-Table Name,State

如果已開啟評估,請執行下列命令來關閉評估:

Disable-ATPEvaluationRule -Identity "Evaluation Rule"

如果已關閉評估,請執行下列命令來開啟評估:

Enable-ATPEvaluationRule -Identity "Evaluation Rule"

封鎖模式中的原則

如先前所述, 封鎖模式 原則是使用默 認安全策略的標準範本所建立。

若要使用 Exchange Online PowerShell 來檢視與標準預設安全策略相關聯的個別安全策略,以及檢視和設定預設安全策略的收件者條件和例外狀況,請參閱 Exchange Online PowerShell 中的預設安全策略