Defender for Office 365 の安全な添付ファイル

ヒント

Microsoft Defender XDR for Office 365 プラン 2 の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用しますこちらからサインアップできるユーザーと試用版の使用条件の詳細について参照してください。

Microsoft Defender for Office 365の安全な添付ファイルは、Exchange Online Protection (EOP) のマルウェア対策保護によって既にスキャンされている電子メールの添付ファイルに対する保護の追加レイヤーを提供します。 具体的には、安全な添付ファイルは、仮想環境を使用して、受信者に配信される前に電子メール メッセージに添付ファイルをチェックします (爆発と呼ばれるプロセス)。

メール メッセージの安全な添付ファイル保護は、安全な添付ファイル ポリシーで制御されます。 既定の安全な添付ファイル ポリシーはありませんが、 組み込みの保護 プリセット セキュリティ ポリシーは、すべての受信者 (標準または厳密な事前設定されたセキュリティ ポリシーまたはカスタムの安全な添付ファイル ポリシーで定義されていないユーザー) に安全な添付ファイル保護を提供します。 詳しくは、「EOP と Microsoft Defender for Office 365 の事前設定されたセキュリティ ポリシー」を参照してください。 また、特定のユーザー、グループ、またはドメインに適用される安全な添付ファイル ポリシーを作成することもできます。 手順については、「Microsoft Defender for Office 365で安全な添付ファイル ポリシーを設定する」を参照してください。

次の表では、Microsoft Defender for Office 365を含む Microsoft 365 およびOffice 365組織の安全な添付ファイルのシナリオについて説明します (つまり、ライセンスの不足は、例では問題ではありません)。

シナリオ 結果
Pat の Microsoft 365 E5 組織には、安全な添付ファイル ポリシーが構成されていません。 Pat は、安全な添付ファイル ポリシーで定義されていないすべての受信者に適用される 組み込みの保護 プリセット セキュリティ ポリシーにより、安全な添付ファイルによって保護されます。
Lee の組織には、財務部門の従業員のみに適用される安全な添付ファイル ポリシーがあります。 Lee は、営業部門のメンバーです。 Lee と営業部門の残りの部分は、安全な添付ファイル ポリシーで定義されていないすべての受信者に適用される 組み込みの保護 プリセット セキュリティ ポリシーにより、安全な添付ファイルによって保護されます。
昨日、Jean の組織の管理者が、すべての従業員に適用される安全な添付ファイル ポリシーを作成しました。 本日早く、Jean は添付ファイルが含まれている電子メール メッセージを受信しました。 そのカスタムの安全な添付ファイル ポリシーにより、Jean は安全な添付ファイルで保護されています。

通常、新しいポリシーが有効になるまで約 30 分かかります。
Chris の組織には、以前から、組織内の全員を対象とした安全な添付ファイル ポリシーがあります。 Chris は、添付ファイルが含まれたメールを受け取り、その後そのメッセージを組織外の受信者に転送しました。 Chris は安全な添付ファイルによって保護されています。

その外部受信者が Microsoft 365 組織に所属している場合、転送されたメッセージも安全な添付ファイルによって保護されます。

安全な添付ライフのスキャンは、Microsoft 365 データが存在する安全な領域で実行されます。 データセンターの地域の詳細については、「データの場所」を参照してください。

注:

次の機能は、Microsoft Defender ポータルの安全な添付ファイル ポリシーのグローバル設定にあります。 ただし、これらの設定はグローバルに有効または無効になっており、安全な添付ファイル ポリシーは必要ありません。

安全な添付ファイル ポリシー設定

このセクションでは、安全な添付ファイル ポリシーの設定について説明します。

  • 受信者フィルター: ポリシーが適用される内部受信者を識別するための条件と例外。 少なくとも 1 つの条件が必要です。 条件と例外には、次の受信者フィルターを使用できます。

    • ユーザー: organization内の 1 つ以上のメールボックス、メール ユーザー、またはメール連絡先。
    • グループ:
      • 指定した配布グループまたはメールが有効なセキュリティ グループのメンバー (動的配布グループはサポートされていません)。
      • 指定した Microsoft 365 グループ。
    • ドメイン: Microsoft 365 で構成 されている承認済みドメインの 1 つ以上。 受信者のプライマリ メール アドレスは、指定したドメイン内にあります。

    条件または例外は 1 回だけ使用できますが、条件または例外には複数の値を含めることができます。

    • 同じ条件または例外の複数のは、<OR ロジック (recipient1><recipient2> など) を使用します。

      • 条件: 受信者が指定した値 のいずれかに 一致する場合、ポリシーが適用されます。
      • 例外: 受信者が指定した値 のいずれかに 一致する場合、ポリシーは適用されません。

    • 異なる種類の例外では、OR ロジック (recipient1 や <group1 のメンバー、domain1><>のメンバーなど) が使用されます。 <> 受信者が指定した例外値 のいずれかに 一致する場合、ポリシーは適用されません。

    • さまざまな 種類の条件で AND ロジックが使用されます。 受信者は、ポリシーを適用するために、指定 されたすべての 条件に一致する必要があります。 たとえば、次の値を使用して条件を構成します。

    • ユーザー: romain@contoso.com

    • グループ: エグゼクティブ

      ポリシーは、エグゼクティブ グループのメンバーでもある場合にのみ適用romain@contoso.comされます。 それ以外の場合、ポリシーは適用されません。

  • 安全な添付ファイルの不明なマルウェアの応答: この設定は、電子メール メッセージでの安全な添付ファイルのマルウェア スキャンのアクションを制御します。 使用可能なオプションについては、次の表を参照してください。

    オプション 効果 次の場合に使用します。
    オフ 添付ファイルは、安全な添付ファイルによってマルウェアをスキャンされません。 メッセージは引き続き EOP のマルウェア対策保護によってマルウェアをスキャンします。 選択した受信者のスキャンをオフにします。

    内部メールのルーティングで不要な遅延を防ぎます。

    このオプションは、ほとんどのユーザーには推奨されません。 このオプションは、信頼できる送信者からのメッセージのみを受信する受信者の安全な添付ファイル スキャンをオフにする場合にのみ使用してください。 安全な添付ファイルがオフになっていて、マルウェア信号が受信されない場合、ZAP はメッセージを検疫しません。 詳細については、「ゼロ時間自動消去」を参照してください。
    モニター 添付ファイルを含むメッセージを配信し、検出されたマルウェアで何が起こるかを追跡します。

    安全な添付ファイルのスキャンにより、安全なメッセージの配信が遅れる可能性があります。    		 検出されたマルウェアが組織内でどこに行くかを確認します。
    Block 検出されたマルウェアの添付ファイルを含むメッセージが配信されないようにします。

    メッセージは検疫されます。 既定では、メッセージを確認、解放、または削除できるのは管理者 (ユーザーではない) だけです。¹

    メッセージと添付ファイルの今後のインスタンスを自動的にブロックします。

    安全な添付ファイルのスキャンにより、安全なメッセージの配信が遅れる可能性があります。    		 同じマルウェア添付ファイルを使用して、繰り返し攻撃から組織を保護します。

    これは既定値であり、Standard および Strict の事前設定されたセキュリティ ポリシーで推奨される値です。
    動的配信 メッセージはすぐに配信されますが、安全な添付ファイルのスキャンが完了するまで、添付ファイルはプレースホルダーに置き換えられます。

    悪意のある添付ファイルを含むメッセージは検疫されます。 既定では、メッセージを確認、解放、または削除できるのは管理者 (ユーザーではない) だけです。¹

    詳細については、この記事 の後半の「安全な添付ファイルポリシーでの動的配信 」セクションを参照してください。    		 これにより、メッセージの遅延を回避すると同時に、悪意のあるファイルから受信者を保護できるようになります。

    ¹ 検疫ポリシーは、ユーザーが検疫されたメッセージに対して実行できる操作と、ユーザーが検疫通知を受信するかどうかを定義します。 詳細については、「 検疫ポリシーの構造」を参照してください。 検疫ポリシーの構成方法に関係なく、安全な添付ファイルによってマルウェアとして検疫された独自のメッセージをユーザーが解放することはできません。 ポリシーでユーザーが独自の検疫済みメッセージを解放できる場合、ユーザーは代わりに検疫されたマルウェア メッセージのリリースを 要求 できます。

  • 検出された添付ファイルを含むメッセージのリダイレクト: リダイレクトを有効に し、 監視対象の添付ファイルを含むメッセージを指定したメール アドレスに送信します。 [監視 ] アクションの場合のみ、マルウェアの添付ファイルを含むメッセージを、分析と調査のために指定された内部または外部のメール アドレスに送信します。

    標準と厳密なポリシー設定の推奨事項は、リダイレクトを有効にすることです。 詳細については、安全な添付ファイルの設定 を参照してください。

  • 優先度: 複数のポリシーを作成する場合は、適用する順序を指定できます。 同じ優先度を持つポリシーは 2 つなく、最初のポリシーが適用された後にポリシー処理が停止します (その受信者の優先度が最も高いポリシー)。

    優先順位と複数のポリシーを評価し適用する方法の詳細については、「メール保護の優先順位」を参照してください。

安全な添付ファイル ポリシーでの動的配信

注:

動的配信は、Exchange Onlineメールボックスに対してのみ機能します。

安全な添付ファイルポリシーの動的配信アクションは、安全な添付ファイルのスキャンによって引き起こされる可能性のある電子メール配信の遅延を排除することを目的とします。 電子メール メッセージの本文は、各添付ファイルのプレースホルダーを含む受信者に配信されます。 プレースホルダーは、添付ファイルが安全であることが判明するまで残り、添付ファイルを開いたりダウンロードしたりできるようになります。

悪意のある添付ファイルが見つかった場合、メッセージは検疫されます。

ほとんどの PDF と Officeドキュメントは、安全な添付ファイルのスキャンが進行中の間、セーフ モードでプレビューできます。 添付ファイルが動的配信プレビューアーと互換性がない場合、添付ファイルの安全なスキャンが完了するまで、受信者に添付ファイルのプレースホルダーが表示されます。

モバイル デバイスを使用していて、PDF がモバイル デバイスの動的配信プレビューアーでレンダリングされていない場合は、モバイル ブラウザーを使用して Outlook on the web (旧称 Outlook Web App) でメッセージを開いてみます。

動的配信と転送されたメッセージに関する考慮事項を次に示します。

  • 転送された受信者が動的配信オプションを使用する安全な添付ファイル ポリシーによって保護されている場合、受信者にはプレースホルダーが表示され、互換性のあるファイルをプレビューできます。
  • 転送された受信者が安全な添付ファイル ポリシーによって保護されていない場合、メッセージと添付ファイルは、安全な添付ファイルのスキャンや添付ファイルのプレースホルダーなしで配信されます。

メッセージ内の添付ファイルを動的配信で置き換えられないシナリオがあります。 これらのシナリオには、次のものがあります。

  • パブリック フォルダー内のメッセージ。
  • カスタム ルールを使用してユーザーのメールボックスからルーティングされた後、ユーザーのメールボックスに戻されるメッセージ。
  • クラウド メールボックスからアーカイブ フォルダーなど、他の場所に移動された (自動的または手動で) メッセージ。
  • 受信トレイ ルールは、メッセージを受信トレイから別のフォルダーに移動します。
  • 削除されたメッセージ。
  • ユーザーのメールボックス検索フォルダーがエラー状態です。
  • Exclaimer が有効になっている組織Exchange Online。 この問題を解決するには、「 KB4014438」を参照してください。
  • S/MIME) 暗号化されたメッセージ。
  • 安全な添付ファイル ポリシーで動的配信アクションを構成しましたが、受信者は動的配信をサポートしていません (たとえば、受信者はオンプレミスの Exchange organization内のメールボックスです)。 ただし、Microsoft Defender for Office 365の安全なリンクは、URL を含む Office ファイルの添付ファイルをスキャンできます (該当する安全なリンク ポリシーでサポート Office アプリの安全なリンクスキャンが有効になっている場合)。

マルウェア分析のためにファイルを送信する