嘗試適用於 Office 365 的 Microsoft Defender

發行項
03/03/2023

身為現有的 Microsoft 365 客戶，Microsoft 365 Defender https://security.microsoft.com 入口網站中的試用版和評估版頁面可讓您先試用適用於 Office 365 的 Microsoft Defender 方案 2 的功能，再購買。

在您嘗試適用於 Office 365 的 Defender方案 2 之前，有一些您需要自行詢問的重要問題：

我是否想要被動地觀察方案 2 適用於 Office 365 的 Defender (稽核) 可以做什麼，還是要適用於 Office 365 的 Defender方案 2 對發現 (封鎖) 的問題採取直接動作？
不論是哪一種方式，我該如何分辨方案 2 適用於 Office 365 的 Defender為我做什麼？
我需要先決定保留適用於 Office 365 的 Defender方案 2 多久？

本文將協助您回答這些問題，讓您可以嘗試以最符合組織需求的方式適用於 Office 365 的 Defender方案 2。

如需如何使用試用版的隨附指南，請參閱試用版使用者指南：適用於 Office 365 的 Microsoft Defender。

適用於 Office 365 的 Defender概觀

適用於 Office 365 的 Defender提供完整的功能，協助組織保護其企業的安全。如需詳細資訊，請參閱適用於 Office 365 的 Microsoft Defender。

您也可以在本互動式指南中深入瞭解適用於 Office 365 的 Defender。

適用於 Office 365 的 Microsoft Defender概念圖表。

觀看這段短片，以深入瞭解如何利用適用於 Office 365 的 Microsoft Defender，在較短的時間內完成更多工作。

試用和評估如何適用于適用於 Office 365 的 Defender

原則

適用於 Office 365 的 Defender包含 Exchange Online Protection (EOP) 的功能，這些功能存在於所有具有Exchange Online信箱的 Microsoft 365 組織中，以及專屬的功能適用於 Office 365 的 Defender。

EOP 和適用於 Office 365 的 Defender 的保護功能是使用原則來實作。 系統會視需要為您建立專屬適用於 Office 365 的 Defender的原則：

防網路釣魚原則中的模擬保護
電子郵件訊息的安全附件
電子郵件訊息和 Microsoft Teams 的安全連結
- 安全連結會在郵件流程期間引發 URL。若要防止特定 URL 遭到防擷取，請使用租使用者允許/封鎖清單中 URL 的允許專案。如需詳細資訊，請參閱管理租使用者允許/封鎖清單。
- 安全連結不會在電子郵件訊息本文中包裝 URL 連結。

您的評估或試用資格表示您已經有 EOP。 系統不會為您的評估或試用方案 2 建立任何新的或特殊 EOP 原則適用於 Office 365 的 Defender。您 Microsoft 365 組織中現有的 EOP 原則能夠處理訊息 (例如，將訊息傳送至垃圾郵件Email資料夾或隔離) ：

這些 EOP 功能的預設原則一律會開啟、套用至所有收件者，且一律會在任何自訂原則之後最後套用。

稽核模式與封鎖模式的適用於 Office 365 的 Defender

您要讓適用於 Office 365 的 Defender體驗成為主動或被動？以下是您可以從中選取的兩種模式：

稽核模式：針對防網路釣魚 (建立特殊評估原則，其中包括模擬保護) 、安全附件和安全連結。這些評估原則設定為僅偵測威脅。適用於 Office 365 的 Defender偵測到有害的訊息進行報告，但訊息不會在 (上採取動作，例如，偵測到的訊息不會被隔離) 。 The settings of these evaluation policies are described in the Policies in audit mode section later in this article.

稽核模式可在的 [評估模式] 頁面 https://security.microsoft.com/atpEvaluation 上，存取適用於 Office 365 的 Defender偵測到之威脅的自訂報告。
封鎖模式：默認安全策略的標準範本會開啟並用於試用版，而您指定要包含在試用版中的使用者會新增至標準預設安全性原則。適用於 Office 365 的 Defender偵測到有害訊息並採取動作 (例如，偵測到的訊息會) 隔離。

預設和建議的選擇是將這些適用於 Office 365 的 Defender原則的範圍設定為組織中的所有使用者。但在試用版設定期間或之後，您可以將原則指派變更為Microsoft 365 Defender入口網站或Exchange Online PowerShell中的特定使用者、群組或電子郵件網域。

封鎖模式不會針對適用於 Office 365 的 Defender偵測到的威脅提供自訂報告。相反地，資訊可在方案 2 適用於 Office 365 的 Defender的一般報告和調查功能中取得。

稽核模式與封鎖模式的一個重要因素是電子郵件如何傳遞至您的 Microsoft 365 組織：

來自網際網路的郵件會直接流向 Microsoft 365，但您目前的訂閱只有Exchange Online Protection (EOP) 或適用於 Office 365 的 Defender方案 1。

在這些環境中，您可以選取 稽核模式 或 封鎖模式。
您目前使用協力廠商服務或裝置來保護 Microsoft 365 信箱的電子郵件。來自網際網路的郵件會在傳遞至您的 Microsoft 365 組織之前，透過保護服務流動。 Microsoft 365 保護盡可能低， (永遠不會完全關閉;例如，惡意程式碼保護一律會強制執行) 。

在這些環境中，您只能選取 稽核模式 。您不需要變更郵件流程 (MX 記錄) 。

評估與適用於 Office 365 的 Defender的試用版

適用於 Office 365 的 Defender方案 2 的評估和試用版有何差異？它們不是相同的嗎？是，否。以下是您需要知道的事項：

如果您還沒有適用於 Office 365 的 Defender方案 2 授權 (例如獨立 EOP、Microsoft 365 E3、Microsoft 365 商務進階版或適用於 Office 365 的 Defender方案 1) ，您可以從Microsoft 365 開始試用試用版頁面， https://security.microsoft.com/trialHorizontalHub 或位於 Microsoft 365 Defender 入口網站中[評估模式] 頁面 https://security.microsoft.com/atpEvaluation 。您可以在任一位置選取 允許模式 (標準預設安全性原則) 或 封鎖模式 (評估原則) 如先前所述。

無論您使用哪個位置，我們都會在註冊時自動為您布建必要的適用於 Office 365 的 Defender方案 2 試用版授權。不再需要在Microsoft 365 系統管理中心中取得和指派方案 2 授權的手動或外部步驟。試用版授權適用于 90 天：
- 針對沒有適用於 Office 365 的 Defender (的組織，例如，獨立 EOP 或Microsoft 365 E3) (特性，在試用期間，您可以使用適用於 Office 365 的 Defender的原則) 。
- 具有適用於 Office 365 的 Defender方案 1 (的組織，例如Microsoft 365 商務進階版或附加元件訂用帳戶) 與具有適用於 Office 365 的 Defender的組織具有完全相同的原則規劃 2 (反網路釣魚原則、安全附件原則和安全連結原則中的模擬保護) 。來自 允許模式 的安全性原則 (標準預設安全性原則) 或 封鎖模式 (評估原則) 不會在 90 天后過期或停止運作。這些組織在 90 天后結束的是方案 1 中未存在的方案 2 自動化、調查、補救和教育功能。
例如，如果您已經適用於 Office 365 的 Defender方案 2 (，作為Microsoft 365 E5訂閱) 的一部分，您永遠不會在Microsoft 365 試用版頁面上看到適用於 Office 365 的 Defender。 https://security.microsoft.com/trialHorizontalHub 相反地，您會在允許模式的 [評估模式] 頁面 https://security.microsoft.com/atpEvaluation 上開始評估適用於 Office 365 的 Defender [規劃]， (標準預設安全性原則) 或封鎖模式， (評估原則) 。

根據定義，這些組織不需要適用於 Office 365 的 Defender方案 2 的試用版授權，因此其評估持續時間不受限制。

下表摘要說明上一個清單中的資訊：

Organization	可用模式	從註冊評估頁面？	從註冊試用版頁面？	評估時期
獨立 EOP (沒有Exchange Online信箱) Microsoft 365 E3	稽核模式封鎖模式	是	是	90 天
適用於 Office 365 的 Defender 方案 1 Microsoft 365 商務進階版	稽核模式封鎖模式	是	是	無限制^*
Microsoft 365 E5	稽核模式封鎖模式	是	否	無限制

^* 來自 允許模式 的安全性原則 (標準預設安全性原則) 或 封鎖模式 (評估原則) 不會在 90 天后過期或停止運作。只有適用於 Office 365 的 Defender方案 2 獨佔的自動化、調查、補救和教育功能會在 90 天后停止運作。

在稽核模式中設定評估或試用

請記住，當您在稽核模式中評估適用於 Office 365 的 Defender時，會建立特殊評估原則，讓適用於 Office 365 的 Defender能夠偵測威脅。 The settings of these evaluation policies are described in the Policies in audit mode section later in this article.

在 Microsoft 365 Defender 入口網站中的任何可用位置開始評估，網Microsoft 365 Defender位於 https://security.microsoft.com 。例如：
- 在任何適用於 Office 365 的 Defender功能頁面頂端的橫幅上，按一下 [開始免費試用]。
- 在的Microsoft 365 試用版頁面上 https://security.microsoft.com/trialHorizontalHub ，尋找並選取 [適用於 Office 365 的 Defender]。
- 在的 [ 評估模式 ] 頁面上 https://security.microsoft.com/atpEvaluation ，按一下 [開始評估]。
在 [ 開啟保護 ] 對話方塊中，選取 [ 否，我只想要報告]，然後按一下 [ 繼續]。
在 [ 選取您要包含的使用者 ] 對話方塊中，設定下列設定：
- 所有使用者：這是預設和建議的選項。
- 選取使用者：如果您選取此選項，您必須選取評估適用的內部收件者：
  - 使用者：指定的信箱、郵件使用者或郵件連絡人。
  - 群組:
    - ) 不支援指定通訊群組的成員或啟用郵件功能的安全性群組 (動態通訊群組。
    - 指定的 Microsoft 365 群組。
    - 網域：您組織中指定的公認的網域中的所有收件者。
  按一下適當的方塊，開始輸入值，然後從結果中選取您想要的值。視需要重複此程序多次。若要移除現有的值，請按一下 [ 在值旁邊。
  
  針對使用者或群組，您可以使用大部分識別碼 (名稱、顯示名稱、別名、電子郵件地址、帳戶名稱等)，但會在結果中顯示對應的顯示名稱。針對使用者，輸入星號 (*) 來查看所有可用的值。
注意事項

您可以在完成試用版設定之後變更這些選取專案，如管理試用版一節中所述。

多個不同的條件或例外狀況類型並不會累加；他們是包含性項目。評估或試用只會套用至符合所有指定收件者篩選準則的收件者。例如，您可以使用下列值來設定條件：
- 使用者： romain@contoso.com
- 群組：主管
只有在他也是主管群組的成員時，才會套 romain@contoso.com 用評估或試用版。若他不是群組的成員，則不會套用評估或試用版。

同樣地，如果您使用與例外狀況相同的收件者篩選，只有在他也是主管群組的成員時，才會套 romain@contoso.com 用評估或試用。若他不是群組的成員，則評估或試用仍適用于他。
當您完成時，按一下 [ 繼續]。
在 [ 協助我們瞭解您的郵件流程 ] 對話方塊中，設定下列選項：
- 根據我們偵測到您網域的 MX 記錄，自動選取下列其中一個選項：
  - 我使用協力廠商和/或內部部署服務提供者：您網域點的 MX 記錄位於 Microsoft 365 以外的位置。在您按 [ 下一步] 之後，此選取專案需要下列其他設定：
    1. 在 [ 協力廠商或內部部署設定 ] 對話方塊中，設定下列設定：
      - 選取協力廠商服務提供者：選取下列其中一個值：
        
        梭魚
        
        IronPort
        
        Mimecast
        
        Proofpoint
        
        Sophos
        
        賽門鐵克
        
        Trend Micro
        
        其他
      - 要套用此評估的連接器：選取用於傳送至 Microsoft 365 之郵件流程的連接器。
        
        連接器的增強式篩選 (也稱為 略過清單) 會在您指定的連接器上自動設定。
        
        當協力廠商服務或裝置位於流入 Microsoft 365 的電子郵件前面時，增強的連接器篩選可正確識別網際網路訊息的來源，並大幅改善 Microsoft 篩選堆疊的精確度 (特別是詐騙情報，以及威脅總管和自動化調查 & 回應 (AIR) 中的入侵後功能。
      - 列出訊息傳遞的每個閘道 IP 位址：只有當您針對 [選取協力廠商服務提供者] 選取 [其他] 時，才能使用此設定。輸入協力廠商保護服務或裝置用來將郵件傳送至 Microsoft 365 的 IP 位址逗號分隔清單。
      完成後，按 [下一步]。
    2. 在[Exchange 郵件流程規則]對話方塊中，決定您是否需要Exchange Online郵件流程規則 (也稱為傳輸規則) ，以略過從協力廠商保護服務或裝置傳入郵件的垃圾郵件篩選。
      
      Exchange Online中可能已有 SCL=-1 郵件流程規則，允許保護服務的所有輸入郵件略過 (大部分) Microsoft 365 篩選。許多保護服務都鼓勵此垃圾郵件信賴等級 (SCL) 郵件流程規則方法，適用于使用其服務的 Microsoft 365 客戶。
      
      如上一個步驟所述，在您指定為保護服務之郵件來源的連接器上，會自動設定連接器的增強篩選。
      
      針對來自保護服務的內送郵件開啟不含 SCL=-1 規則的連接器增強篩選，將大幅改善 EOP 保護功能的偵測功能，例如詐騙情報，而且可能會影響新偵測到的郵件傳遞 (例如移至垃圾郵件Email資料夾或隔離) 。此影響僅限於 EOP 原則;如先前所述，適用於 Office 365 的 Defender原則是在稽核模式中建立。
      
      若要建立 SCL=-1 郵件流程規則或檢閱現有的規則，請按一下頁面上的 [ 移至 Exchange 系統管理中心 ] 按鈕。如需詳細資訊，請參閱使用郵件流程規則在Exchange Online中設定郵件中的垃圾郵件信賴等級 (SCL) 。
      
      當您完成時，按一下 [ 完成]。
  - 我只使用 Microsoft Exchange Online：您網域的 MX 記錄指向 Microsoft 365。不需要設定任何專案，因此請按一下 [ 完成]。
- 與 Microsoft 共用資料：預設不會選取此選項，但您可以視需要選取核取方塊。
設定評估時，會出現進度對話方塊。設定完成時，按一下 [ 完成]。

在封鎖模式中設定評估或試用

請記住，當您嘗試在封鎖模式中適用於 Office 365 的 Defender時，標準預設安全性會開啟，且指定的使用者 (部分或每個人) 都包含在標準預設安全性原則中。如需標準預設安全性原則的詳細資訊，請參閱預設安全性原則。

在 Microsoft 365 Defender 入口網站中的任何可用位置開始 https://security.microsoft.com 試用，例如：
- 在任何適用於 Office 365 的 Defender功能頁面頂端的橫幅上，按一下 [開始免費試用]。
- 在的Microsoft 365 試用版頁面上 https://security.microsoft.com/trialHorizontalHub ，尋找並選取 [適用於 Office 365 的 Defender]。
- 在的 [ 評估模式 ] 頁面上 https://security.microsoft.com/atpEvaluation ，按一下 [開始評估]。
在 [ 開啟保護 ] 對話方塊中，選取 [ 是，封鎖威脅來保護我的組織]，然後按一下 [ 繼續]。
在 [ 選取您要包含的使用者 ] 對話方塊中，設定下列設定：
- 所有使用者：這是預設和建議的選項。
- 選取使用者：如果您選取此選項，您必須選取套用試用的內部收件者：
  - 使用者：指定的信箱、郵件使用者或郵件連絡人。
  - 群組:
    - ) 不支援指定通訊群組的成員或啟用郵件功能的安全性群組 (動態通訊群組。
    - 指定的 Microsoft 365 群組。
  - 網域：您組織中指定的公認的網域中的所有收件者。
  按一下適當的方塊，開始輸入值，然後從結果中選取您想要的值。視需要重複此程序多次。若要移除現有的值，請按一下 [ 在值旁邊。
  
  針對使用者或群組，您可以使用大部分識別碼 (名稱、顯示名稱、別名、電子郵件地址、帳戶名稱等)，但會在結果中顯示對應的顯示名稱。針對使用者，輸入星號 (*) 來查看所有可用的值。
注意事項

您可以在完成試用版設定之後變更這些選取專案，如管理試用版一節中所述。

多個不同的條件或例外狀況類型並不會累加；他們是包含性項目。評估或試用只會套用至符合所有指定收件者篩選準則的收件者。例如，您可以使用下列值來設定條件：
- 使用者： romain@contoso.com
- 群組：主管
只有在他也是主管群組的成員時，才會套 romain@contoso.com 用評估或試用版。若他不是群組的成員，則不會套用評估或試用版。

同樣地，如果您使用與例外狀況相同的收件者篩選，只有在他也是主管群組的成員時，才會套 romain@contoso.com 用評估或試用。若他不是群組的成員，則評估或試用仍適用于他。
當您完成時，按一下 [ 繼續]。
設定評估時，會出現進度對話方塊。安裝程式完成時，按一下 [ 完成]。

管理您的評估或試用適用於 Office 365 的 Defender

在稽核模式或封鎖模式中設定評估或試用版之後，[評估模式] 頁面 https://security.microsoft.com/atpEvaluation 是您嘗試適用於 Office 365 的 Defender方案 2 的中央位置。

在 Microsoft 365 Defender 入口網站中 https://security.microsoft.com ，移至[Email & 共同作業>& 原則規則>][威脅原則> ] 在 [其他] 區段中選取[評估模式]。或者，若要直接移至適用於 Office 365 的 Microsoft Defender評估頁面，請使用 https://security.microsoft.com/atpEvaluation 。
在[適用於 Office 365 的 Microsoft Defender 評估] 頁面上，您可以執行下列工作：
- 按一下[購買付費訂閱] 以購買方案 2 適用於 Office 365 的 Defender。
- 按一下 [管理]。在出現的適用於 Office 365 的 Microsoft Defender評估飛出視窗中，您可以執行下列工作：
  - 如先前在稽核模式中設定評估或試用版和在封鎖模式中設定評估或試用版中所述，變更要套用的評估或試用版。
  - 若要從稽核模式切換 (評估原則) 到封鎖模式 (標準預設安全性原則) ，請按一下[轉換為標準保護]，然後在 [預設安全策略] 頁面上顯示為 [套用標準保護精靈] 的對話方塊中按一下 [繼續]。複製現有包含和排除的收件者。如需詳細資訊，請參閱使用 Microsoft 365 Defender 入口網站將標準和嚴格預設安全性原則指派給使用者。
    
    附註：
    - 標準預設安全性原則中的原則優先順序高於評估原則，這表示標準預設安全性中的原則一律會在評估 原則之前 套用，即使這兩者都存在且已開啟也一般。若要關閉評估原則，請使用 [ 關閉] 按鈕。
    - 沒有自動方式可從 封鎖模式 移至 稽核模式。手動步驟如下：
      1. 關閉 [預設安全性原則] 頁面上的 [標準默 認安全 策略]。
      2. 按一下[適用於 Office 365 的 Microsoft Defender 評估]頁面上的 [管理] 之後，請確認 [關閉] 按鈕是否存在，這表示已開啟評估原則。如果您看到 [ 開啟 ] 按鈕，請按一下它以開啟評估原則。
      3. 確認套用評估的使用者。
  - 若要關閉評估原則，請按一下 [ 關閉]。若要重新開啟，請按一下 [ 開啟]。
  當您在飛出視窗中完成時，按一下 [ 儲存]。

評估或試用適用於 Office 365 的 Defender的報告

本節說明稽核模式和封鎖模式中可用的報告。

封鎖模式的報告

在封鎖模式中，下列報告會顯示適用於 Office 365 的 Defender的偵測：

郵件流程狀態報表的 [郵件流程] 檢視：
- 偵測到由反網路釣魚原則模擬或網域模擬的訊息會出現在 模擬區塊中。
- 在安全附件原則或安全連結原則的檔案或 URL 擷取期間偵測到的訊息會出現在 [隔離] 區塊中。
威脅防護狀態報表：
- 依概觀檢視資料：
  
  您可以依 [受保護的值] MDO篩選大部分檢視，以查看適用於 Office 365 的 Defender的效果。
- 依偵測技術Email > 網路釣魚和圖表明細來檢視資料
  - 行銷活動偵測到的訊息會出現在行銷活動中。
  - 安全附件偵測到的訊息會出現在 檔案損毀 和 檔案損毀信譽中。
  - 使用者模擬保護在反網路釣魚原則中偵測到的訊息會出現在 模擬網域、 模擬使用者和 信箱智慧模擬中。
  - 安全連結偵測到的訊息會出現在 URL 損毀 和 URL 損毀信譽中。
- 依偵測技術Email > 惡意程式碼和圖表明細來檢視資料
  - 行銷活動偵測到的訊息會出現在行銷活動中。
  - 安全附件偵測到的訊息會出現在 檔案損毀 和 檔案損毀信譽中。
  - 安全連結偵測到的訊息會出現在 URL 損毀 和 URL 損毀信譽中。
- 依偵測技術Email > 垃圾郵件和圖表明細來檢視資料
  
  安全連結偵測到的訊息會出現在 URL 惡意信譽中。
- 依原則類型的圖表明細
  
  安全附件偵測到的訊息會出現在 安全附件中
- 依內容 > 惡意程式碼檢視資料
  
  SharePoint、OneDrive 和 Microsoft Teams 安全附件偵測到的惡意檔案會出現在MDO 損毀中。
- 熱門寄件者和收件者報告
  
  顯示 MDO) (主要惡意程式碼收件者的資料 ，以及 在 MDO) (顯示熱門網路釣魚收件者的資料 。
- URL 保護報告

稽核模式的報告

在稽核模式中，下列報告會顯示適用於 Office 365 的 Defender的偵測：

威脅防護狀態報表在下列檢視中具有評估：是/否作為可篩選的屬性：
威脅總管會在 [不正確的附件]、[垃圾郵件 URL + 惡意程式碼]、[網路釣魚 URL] 和 [仿真訊息] 索引標籤的 [分析] 索引標籤上，于適用於 Office 365 的 Defender評估所偵測到的郵件偵測詳細資料中顯示下列橫幅：

的適用於 Office 365 的 Microsoft Defender評估頁面 https://security.microsoft.com/atpEvaluation 會合並評估中原則的報告：

安全連結
安全附件
防網路釣魚原則中的模擬保護

根據預設，圖表會顯示過去 30 天的資料，但您可以按一下 [來篩選日期範圍。30 天，並從下列小於 30 天的額外值中選取：

24 小時
7 天
14 天
自訂日期範圍

您可以按一下下載以將圖表資料下載至.csv檔案。

必要權限

Azure AD需要下列許可權，才能設定適用于 Microsoft 365 的 Defender 評估或試用版：

建立、修改或刪除評估或試用版：安全性系統管理員或全域管理員。
在稽核模式中檢視評估原則和報告：安全性系統管理員或安全性讀取者。

如需Microsoft 365 Defender入口網站中 Azure AD 許可權的詳細資訊，請參閱Microsoft 365 Defender 入口網站中的 Azure AD 角色

常見問題集

問：我需要手動取得或啟用試用版授權嗎？

答：不能。如果您如先前所述，試用版會自動布建適用於 Office 365 的 Defender方案 2 授權。

問：如何?延長試用期？

答：請參閱延長試用期。

問：試用版到期後，我的資料會發生什麼情況？

答：試用版到期之後，您就可以存取試用資料， (您先前 30 天內未) 適用於 Office 365 的 Defender功能的資料。在這 30 天期間之後，將會刪除與適用於 Office 365 的 Defender試用版相關聯的所有原則和資料。

問：我可以在組織中使用適用於 Office 365 的 Defender試用版多少次？

答：最多 2 次。如果您的第一次試用版到期，您至少必須在到期日之後等候 30 天，才能再次註冊適用於 Office 365 的 Defender試用版。第二次試用之後，您就無法註冊另一個試用版。

問：在稽核模式中，是否有適用於 Office 365 的 Defender會對訊息採取動作的案例？

答：可以。任何程式或 SKU 中沒有人可以關閉或略過對服務分類為惡意程式碼或高信賴度網路釣魚的訊息採取動作。

在稽核模式中，EOP 中的反詐騙保護也會對訊息採取動作。若要防止反詐騙保護對郵件採取動作，請建立 Exchange 郵件流程規則 (也稱為傳輸規則) 其中輸入電子郵件會略過所有可略過的篩選類型， (包括反詐騙保護) 。如需指示，請參閱使用郵件流程規則在Exchange Online的郵件中設定垃圾郵件信賴等級 (SCL) 。

問：原則的評估順序為何？

答：請參閱預設安全性原則和其他原則的優先順序順序。

參考

與適用於 Office 365 的 Defender試用版相關聯的原則設定

稽核模式中的原則

警告

請勿嘗試建立、修改或移除與評估適用於 Office 365 的 Defender相關聯的個別安全性原則。建立評估個別安全性原則的唯一支援方法，是在Microsoft 365 Defender入口網站中第一次以稽核模式啟動評估或試用。

如先前所述，當您選擇評估或試用的稽核模式時，系統會自動建立評估原則，其中包含要觀察但不會對訊息採取動作的必要設定。

若要查看這些原則及其設定，請在Exchange Online PowerShell中執行下列命令：

Write-Output -InputObject ("`r`n"*3),"Evaluation anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"; Write-Output -InputObject ("`r`n"*3),"Evaluation Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"; Write-Output -InputObject ("`r`n"*3),"Evaluation Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"

下表也會說明這些設定。

防網路釣魚評估原則設定

設定	值
名稱	評估原則
AdminDisplayName	評估原則
AuthenticationFailAction	MoveToJmf
Enabled	True
EnableFirstContactSafetyTips	False
EnableMailboxIntelligence	True
EnableMailboxIntelligenceProtection	True
EnableOrganizationDomainsProtection	False
EnableSimilarDomainsSafetyTips	False
EnableSimilarUsersSafetyTips	False
EnableSpoofIntelligence	True
EnableSuspiciousSafetyTip	False
EnableTargetedDomainsProtection	False
EnableTargetedUserProtection	False
EnableUnauthenticatedSender	True
EnableUnusualCharactersSafetyTips	False
EnableViaTag	True
ExcludedDomains	{}
ExcludedSenders	{}
ImpersonationProtectionState	手動
IsDefault	False
MailboxIntelligenceProtectionAction	NoAction
MailboxIntelligenceProtectionActionRecipients	{}
MailboxIntelligenceQuarantineTag	DefaultFullAccessPolicy
PhishThresholdLevel	1
PolicyTag	空白
RecommendedPolicyType	評估
SpoofQuarantineTag	DefaultFullAccessPolicy
TargetedDomainActionRecipients	{}
TargetedDomainProtectionAction	NoAction
TargetedDomainQuarantineTag	DefaultFullAccessPolicy
TargetedDomainsToProtect	{}
TargetedUserActionRecipients	{}
TargetedUserProtectionAction	NoAction
TargetedUserQuarantineTag	DefaultFullAccessPolicy
TargetedUsersToProtect	{}

安全附件評估原則設定

設定	值
名稱	評估原則
動作	允許
ActionOnError	True
AdminDisplayName	評估原則
ConfidenceLevelThreshold	80
啟用	True
EnableOrganizationBranding	False
IsBuiltInProtection	False
IsDefault	False
OperationMode	Delay
QuarantineTag	AdminOnlyAccessPolicy
RecommendedPolicyType	評估
重新導向	False
RedirectAddress	空白
ScanTimeout	30

安全連結評估原則設定

設定	值
名稱	評估原則
AdminDisplayName	評估原則
AllowClickThrough	True
CustomNotificationText	空白
DeliverMessageAfterScan	True
DisableUrlRewrite	True
DoNotRewriteUrls	{}
EnableForInternalSenders	False
EnableOrganizationBranding	False
EnableSafeLinksForEmail	True
EnableSafeLinksForOffice	False
EnableSafeLinksForTeams	False
IsBuiltInProtection	False
LocalizedNotificationTextList	{}
RecommendedPolicyType	評估
ScanUrls	True
TrackClicks	True

使用 PowerShell 在稽核模式中設定評估的收件者條件和例外狀況

與適用於 Office 365 的 Defender評估原則相關聯的規則會控制評估的收件者條件和例外狀況。

若要檢視與評估相關聯的規則，請在 Exchange Online PowerShell 中執行下列命令：

Get-ATPEvaluationRule

若要使用 Exchange Online PowerShell 來修改適用評估的人員，請使用下列語法：

Set-ATPEvaluationRule -Identity "Evaluation Rule" -SentTo <"user1","user2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -SentToMemberOf <"group1","group2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null> -RecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null>

本範例會設定 SecOps () 信箱中指定安全性作業評估的例外狀況。

Set-ATPEvaluationRule -Identity "Evaluation Rule" -ExceptIfSentTo "SecOps1","SecOps2"

使用 PowerShell 在稽核模式中開啟或關閉評估

若要在稽核模式中開啟或關閉評估，您可以啟用或停用與評估相關聯的規則。評估規則的 State 屬性值會顯示規則為 Enabled 或 Disabled。

執行下列命令來判斷評估目前是否已啟用或停用：

Get-ATPEvaluationRule -Identity "Evaluation Rule" | Format-Table Name,State

如果已開啟評估，請執行下列命令來關閉評估：

Disable-ATPEvaluationRule -Identity "Evaluation Rule"

如果已關閉評估，請執行下列命令來開啟評估：

Enable-ATPEvaluationRule -Identity "Evaluation Rule"

封鎖模式中的原則和規則

如先前所述，當您選擇試用版的封鎖模式時，會使用預設安全策略的標準範本來建立原則。

若要使用 Exchange Online PowerShell 來檢視與標準預設安全性原則相關聯的個別安全性原則，以及使用 Exchange Online PowerShell 來檢視和設定預設安全性原則的收件者條件和例外狀況，請參閱 Exchange Online PowerShell 中的預設安全性原則。