Microsoft Defender for Office 365を試す
既存の Microsoft 365 のお客様として、Microsoft Defender ポータルの試用版と評価ページではhttps://security.microsoft.com、購入前にプラン 2 の機能Microsoft Defender for Office 365試すことができます。
プラン 2 をDefender for Office 365する前に、自分で質問する必要がある重要な質問がいくつかあります。
- プラン 2 で実行できるDefender for Office 365を受動的に観察しますか (監査)、またはプラン 2 Defender for Office 365が検出した問題 (ブロック) に対して直接アクションを実行しますか?
- どちらの方法でも、プラン 2 で何Defender for Office 365行っているのかを知る方法を教えてください。
- プラン 2 を維持する決定を下す必要があるまでの期間Defender for Office 365どのくらいですか?
この記事では、organizationのニーズに最適な方法でプラン 2 Defender for Office 365試すことができるように、これらの質問に回答するのに役立ちます。
試用版の使用方法に関するコンパニオン ガイドについては、「試用版ユーザー ガイド: Microsoft Defender for Office 365」を参照してください。
注:
Defender for Office 365の試用版と評価は、米国政府機関 (Microsoft 365 GCC、GCC High、DoD) またはMicrosoft 365 Education組織では利用できません。
Defender for Office 365の概要
Defender for Office 365は、包括的な機能を提供することで、組織が企業をセキュリティで保護するのに役立ちます。 詳細については、「Microsoft Defender for Office 365」を参照してください。
Defender for Office 365の詳細については、この対話型ガイドを参照してください。
この短いビデオを見て、Microsoft Defender for Office 365で短時間でより多くのことを行う方法の詳細を確認してください。
価格情報については、「Microsoft Defender for Office 365」を参照してください。
Defender for Office 365の評価と評価のしくみ
ポリシー
Defender for Office 365には、Exchange Online メールボックスを持つすべての Microsoft 365 組織に存在するExchange Online Protection (EOP) の機能と、Defender for Office 365専用の機能が含まれています。
EOP とDefender for Office 365の保護機能は、ポリシーを使用して実装されます。 Defender for Office 365専用のポリシーは、必要に応じて自動的に作成されます。
- フィッシング対策ポリシーにおける、なりすまし保護
- 電子メール メッセージの安全な添付ファイル
- メール メッセージと Microsoft Teams の安全なリンク
- 安全なリンクは、メール フロー中に URL を爆発します。 特定の URL が爆発しないようにするには、適切な URL として URL を Microsoft に送信します。 手順については、「 Microsoft に適切な URL を報告する」を参照してください。
- 安全なリンクは、電子メール メッセージ本文の URL リンクをラップしません。
評価または試用版の資格は、既に EOP を持っていることを意味します。 Defender for Office 365プラン 2 の評価または試用に新しい EOP ポリシーや特別な EOP ポリシーは作成されません。 Microsoft 365 organizationの既存の EOP ポリシーは、メッセージに対して動作し続けることができます (たとえば、迷惑メール Email フォルダーにメッセージを送信したり、検疫したりします)。
これらの EOP 機能の既定のポリシーは常にオンになり、すべての受信者に適用され、カスタム ポリシーの後に常に最後に適用されます。
Defender for Office 365の監査モードとブロック モード
Defender for Office 365エクスペリエンスをアクティブまたはパッシブにしますか? 次のモードを使用できます。
監査モード: フィッシング対策 (偽装保護を含む)、安全な添付ファイル、および安全なリンクに対して特別な 評価ポリシー が作成されます。 これらの評価ポリシーは、脅威のみを 検出 するように構成されています。 Defender for Office 365は、レポートに有害なメッセージを検出しますが、メッセージは処理されません (たとえば、検出されたメッセージは検疫されません)。 これらの評価ポリシーの設定については、この記事の後半の 「監査モードのポリシー」 セクションで説明します。 また、電子メール以外のワークロード (Microsoft Teams、SharePoint、OneDrive for Businessなど) の監査モードで、SafeLinks のクリック保護時間を自動的にオンにします。
また、フィッシング対策保護 (なりすましと偽装)、安全なリンク保護、安全な添付ファイル保護を選択的にオンまたはオフにすることもできます。 手順については、「 評価設定の管理」を参照してください。
監査モードでは、 のMicrosoft Defender for Office 365評価ページの評価ポリシーによって検出された脅威に関する特殊なレポートがhttps://security.microsoft.com/atpEvaluation提供されます。 これらのレポートについては、この記事の後半の 「監査モードのレポート 」セクションで説明します。
ブロック モード: 事前設定されたセキュリティ ポリシー の標準テンプレートがオンになり、試用版に使用され、試用版に含めるために指定したユーザーが Standard プリセット セキュリティ ポリシーに追加されます。 Defender for Office 365は有害なメッセージを検出してアクションを実行します (たとえば、検出されたメッセージは検疫されます)。
既定で推奨される選択は、これらのDefender for Office 365 ポリシーをorganization内のすべてのユーザーにスコープを設定することです。 ただし、試用版のセットアップ中またはセットアップ後に、Microsoft Defender ポータルまたは Exchange Online PowerShell で、特定のユーザー、グループ、または電子メール ドメインにポリシーの割り当てを変更できます。
Defender for Office 365によって検出された脅威に関する情報は、この記事の後半の「ブロック モードのレポート」セクションで説明されている、Defender for Office 365 Plan 2 の定期的なレポートと調査機能で入手できます。
使用可能なモードを決定する主な要因は次のとおりです。
次のセクションで説明するように、現在Defender for Office 365 (プラン 1 またはプラン 2) があるかどうか。
次のシナリオで説明されているように、メールを Microsoft 365 organizationに配信する方法。
インターネットからのメールは Microsoft 365 に直接送信されますが、現在のサブスクリプションにはExchange Online Protection (EOP) またはプラン 1 Defender for Office 365しかありません。
これらの環境では、次のセクションで説明するように、ライセンスに応じて 監査モード または ブロック モード を使用できます。
現在、Microsoft 365 メールボックスのメール保護にサード パーティのサービスまたはデバイスを使用しています。 インターネットからのメールは、Microsoft 365 organizationに配信される前に、保護サービスを介して送信されます。 Microsoft 365 の保護は可能な限り低くなっています (完全に無効になることはありません。たとえば、マルウェアの保護は常に適用されます)。
これらの環境では、 監査モード のみを使用できます。 プラン 2 を評価するためにメール フロー (MX レコード) を変更Defender for Office 365必要はありません。
Defender for Office 365の評価と評価
Defender for Office 365プラン 2 の評価と試用の違いは何ですか? 彼らは同じではありませんか? ええ、はい、いいえ。 Microsoft 365 organizationのライセンスにより、すべての違いが生じます。
Defender for Office 365 プラン 2 なし: Defender for Office 365 プラン 2 がまだない場合 (たとえば、スタンドアロン EOP、Microsoft 365 E3、Microsoft 365 Business Premium、またはDefender for Office 365プラン 1 アドオン サブスクリプション)、Microsoft Defender ポータルの次の場所から Defender for Office 365 Plan 2 エクスペリエンスを開始できます。
- の Microsoft 365 試用版ページhttps://security.microsoft.com/trialHorizontalHub。
- のMicrosoft Defender for Office 365評価ページhttps://security.microsoft.com/atpEvaluation。
評価または試用版の設定中に 、監査モード (評価ポリシー) または ブロック モード (標準プリセット セキュリティ ポリシー) を選択できます。
使用する場所に関係なく、登録時に必要なDefender for Office 365プラン 2 ライセンスが自動的にプロビジョニングされます。 Microsoft 365 管理センターでプラン 2 ライセンスを手動で取得して割り当てる必要はありません。
自動的にプロビジョニングされたライセンスは、90 日間有効です。 この 90 日間の意味は、organizationの既存のライセンスによって異なります。
Defender for Office 365 プラン 1 なし: プラン 1 をDefender for Office 365していない組織 (スタンドアロン EOP やMicrosoft 365 E3など) はすべてDefender for Office 365プラン 2 の機能 (特にセキュリティ ポリシー) は、90 日間にのみ使用できます。
Defender for Office 365プラン 1: Defender for Office 365 プラン 1 を持つ組織 (Microsoft 365 Business Premiumやアドオン サブスクリプションなど) には、既に同じセキュリティ ポリシーが用意されています。Defender for Office 365プラン 2: フィッシング対策ポリシー、安全な添付ファイル ポリシー、および安全なリンク ポリシーでの偽装保護。
監査モード (評価ポリシー) またはブロック モード (Standard プリセット セキュリティ ポリシー) のセキュリティ ポリシーは、90 日後に期限切れまたは停止しません。 90 日後に終了する機能は、プラン 1 では使用できないDefender for Office 365プラン 2 の自動化、調査、修復、および教育機能です。
評価または評価版を監査モード (評価ポリシー) で設定した場合は、後でブロック モード (標準の事前設定されたセキュリティ ポリシー) に変換できます。 手順については、この記事の後半の「 標準保護に変換する 」セクションを参照してください。
プラン 2 のDefender for Office 365: プラン 2 Defender for Office 365 (Microsoft 365 E5 サブスクリプションの一部など) が既にある場合、Defender for Office 365は Microsoft 365 で選択できませんの試用版ページhttps://security.microsoft.com/trialHorizontalHub。
唯一のオプションは、 のMicrosoft Defender for Office 365評価ページhttps://security.microsoft.com/atpEvaluationでDefender for Office 365の評価を設定することです。 さらに、評価は 監査モード (評価ポリシー) で自動的に設定されます。
後で、Microsoft Defender for Office 365評価ページの [標準に変換] アクションを使用するか、Microsoft Defender for Office 365評価ページで評価をオフにして、ブロック モード (Standard プリセット セキュリティ ポリシー) に変換できます標準の事前設定されたセキュリティ ポリシーを構成します。
定義上、プラン 2 Defender for Office 365を持つ組織では、プラン 2 Defender for Office 365評価するための追加ライセンスは必要ないため、これらの組織の評価期間は無制限です。
前の一覧の情報を次の表にまとめます。
| 組織 | から登録する [試用版] ページ |
から登録する [評価] ページ |
使用可能なモード | 評価 period |
|---|---|---|---|---|
| スタンドアロン EOP (Exchange Online メールボックスなし) Microsoft 365 E3 |
はい | はい | 監査モード ブロッキング モード¹ |
90 日間 |
| Microsoft Defender for Office 365 プラン 1 Microsoft 365 Business Premium |
はい | はい | 監査モード ブロッキング モード¹ |
90 日² |
| Microsoft 365 E5 | いいえ | はい | 監査モード ブロッキング モード¹ ² |
無制限 |
¹ 前述のとおり、インターネット メールが Microsoft 365 に配信される前にサード パーティの保護サービスまたはデバイスを経由する場合、 ブロック モード (標準の事前設定されたセキュリティ ポリシー) は使用できません。
² 監査モード (評価ポリシー) または ブロック モード (標準の事前設定されたセキュリティ ポリシー) からのセキュリティ ポリシーは、90 日後に期限切れまたは停止しません。 Defender for Office 365プラン 2 に限定される自動化、調査、修復、および教育機能は、90 日後に機能しなくなります。
² 評価は 監査モード (評価ポリシー) で設定されます。 セットアップが完了した後の任意の時点で、「標準保護に 変換 する」の説明に従って 、ブロッキング モード (Standard プリセット セキュリティ ポリシー) に変換できます。
評価、試用版、監査モード、ブロック モードの違いを理解したら、次のセクションで説明するように評価または評価版を設定する準備ができました。
監査モードで評価または試用版を設定する
監査モードでDefender for Office 365を評価または試みると、脅威Defender for Office 365検出できるように特別な評価ポリシーが作成されます。 これらの評価ポリシーの設定については、この記事の後半の 「監査モードのポリシー」 セクションで説明します。
Microsoft Defender ポータルhttps://security.microsoft.comで使用可能なすべての場所で評価を開始します。 以下に例を示します。
- Defender for Office 365機能ページの上部にあるバナーで、[無料試用版の開始] を選択します。
- の Microsoft 365 試用版ページでhttps://security.microsoft.com/trialHorizontalHub、[Defender for Office 365] を見つけて選択します。
- の [Microsoft Defender for Office 365評価] ページで、[評価のhttps://security.microsoft.com/atpEvaluation開始] を選択します。
[保護を有効にする] ダイアログは、プラン 1 またはプラン 2 をDefender for Office 365している組織では使用できません。
[ 保護を有効にする ] ダイアログで、[ いいえ、レポートのみを表示する] を選択し、[続行] を選択 します。
[ 含めるユーザーの選択 ] ダイアログで、次の設定を構成します。
すべてのユーザー: これは既定で推奨されるオプションです。
特定のユーザー: このオプションを選択する場合は、評価が適用される内部受信者を選択する必要があります。
- ユーザー: 指定されたメールボックス、メール ユーザー、またはメール連絡先。
- グループ:
- 指定した配布グループまたはメールが有効なセキュリティ グループのメンバー (動的配布グループはサポートされていません)。
- 指定した Microsoft 365 グループ。
- ドメイン: 指定された承認済みドメイン内のプライマリ メール アドレスを持つorganization内のすべての受信者。
ボックス内をクリックし、値の入力を開始し、ボックスの下の結果から値を選択します。 必要な回数だけこの処理を繰り返します。 既存の値を削除するには、ボックスの値の横にある を選択
します。ユーザーやグループには、ほとんどの識別子 (名前、表示名、エイリアス、メールアドレス、アカウント名など) を使用できますが、対応する表示名が結果に表示されます。 ユーザーの場合、アスタリスク (*) を単独で入力すると、使用可能なすべての値が表示されます。
受信者条件は 1 回だけ使用できますが、条件には複数の値を含めることができます。
同じ条件の複数の値は、<OR ロジック (recipient1> や <recipient2> など) を使用します。 受信者が指定した値 のいずれかに 一致する場合、ポリシーが適用されます。
さまざまな 種類の条件で AND ロジックが使用されます。 受信者は、ポリシーを適用するために、指定 されたすべての 条件に一致する必要があります。 たとえば、次の値を使用して条件を構成します。
- ユーザー:
romain@contoso.com - グループ: エグゼクティブ
ポリシーは、エグゼクティブ グループのメンバーでもある場合にのみ適用
romain@contoso.comされます。 それ以外の場合、ポリシーは適用されません。- ユーザー:
[ 含めるユーザーの選択 ] ダイアログが完了したら、[続行] を選択 します。
[ メール フローの理解に役立つ ] ダイアログで、次のオプションを構成します。
ドメインの MX レコードの検出に基づいて、次のいずれかのオプションが自動的に選択されます。
サード パーティやオンプレミスのサービス プロバイダーを使用しています。ドメインの MX レコードは、Microsoft 365 以外の場所を指しています。 次の設定を確認または構成します。
organizationが使用しているサード パーティ サービス: 次のいずれかの値を確認または選択します。
その他: この値には、「 電子メール メッセージが複数のゲートウェイを通過する場合」の情報も必要です。各ゲートウェイ IP アドレスを一覧表示します。このアドレスは値 Other に対してのみ使用できます。 オンプレミスのサービス プロバイダーを使用している場合は、この値を使用します。
サード パーティの保護サービスまたはデバイスが Microsoft 365 にメールを送信するために使用する IP アドレスのコンマ区切りの一覧を入力します。
バラクーダ
IronPort
Mimecast
Proofpoint
ソフォス
Symantec
Trend Micro
この評価を適用するコネクタ: Microsoft 365 へのメール フローに使用するコネクタを選択します。
コネクタの拡張フィルター 処理 ( リストのスキップとも呼ばれます) は、指定したコネクタで自動的に構成されます。
サード パーティのサービスまたはデバイスが Microsoft 365 に送信される電子メールの前に配置されている場合、コネクタの拡張フィルター処理は、インターネット メッセージのソースを正しく識別し、Microsoft フィルタリング スタックの精度 (特にスプーフィング インテリジェンス、脅威エクスプローラーおよび自動調査 & 応答 (AIR) の侵害後機能を大幅に向上させます。
私はMicrosoft Exchange Onlineのみを使用しています:ドメインの MX レコードは Microsoft 365 を指しています。 構成するものは何も残っていないので、[ 完了] を選択します。
Microsoft とデータを共有する: このオプションは既定では選択されていませんが、必要に応じて [チェック] ボックスを選択できます。
[ メール フローの理解に役立つ ] ダイアログが完了したら、[完了] を選択 します。
設定が完了すると、[ Let us show you around ] ダイアログが表示されます。 [ ツアーの開始] または [ 閉じる] を選択します。
ブロック モードで評価または試用版を設定する
ブロック モードでDefender for Office 365しようとすると、Standard プリセット セキュリティがオンになり、指定したユーザー (一部またはすべてのユーザー) が Standard プリセット セキュリティ ポリシーに含まれることに注意してください。 標準の事前設定されたセキュリティ ポリシーの詳細については、「 セキュリティ ポリシーの事前設定」を参照してください。
Microsoft Defender ポータルhttps://security.microsoft.comで使用可能なすべての場所で試用版を開始します。 以下に例を示します。
- Defender for Office 365機能ページの上部にあるバナーで、[無料試用版の開始] を選択します。
- の Microsoft 365 試用版ページでhttps://security.microsoft.com/trialHorizontalHub、[Defender for Office 365] を見つけて選択します。
- の [Microsoft Defender for Office 365評価] ページで、[評価のhttps://security.microsoft.com/atpEvaluation開始] を選択します。
[保護を有効にする] ダイアログは、プラン 1 またはプラン 2 をDefender for Office 365している組織では使用できません。
[保護を有効にする] ダイアログで、[はい]、[脅威をブロックしてorganizationを保護する] の順に選択し、[続行] を選択します。
[ 含めるユーザーの選択 ] ダイアログで、次の設定を構成します。
すべてのユーザー: これは既定で推奨されるオプションです。
ユーザーの選択: このオプションを選択する場合は、試用版が適用される内部受信者を選択する必要があります。
- ユーザー: 指定されたメールボックス、メール ユーザー、またはメール連絡先。
- グループ:
- 指定した配布グループまたはメールが有効なセキュリティ グループのメンバー (動的配布グループはサポートされていません)。
- 指定した Microsoft 365 グループ。
- ドメイン: 指定された承認済みドメイン内のプライマリ メール アドレスを持つorganization内のすべての受信者。
ボックス内をクリックし、値の入力を開始し、ボックスの下の結果から値を選択します。 必要な回数だけこの処理を繰り返します。 既存の値を削除するには、ボックスの値の横にある を選択
します。ユーザーやグループには、ほとんどの識別子 (名前、表示名、エイリアス、メールアドレス、アカウント名など) を使用できますが、対応する表示名が結果に表示されます。 ユーザーの場合、アスタリスク (*) を単独で入力すると、使用可能なすべての値が表示されます。
受信者条件は 1 回だけ使用できますが、条件には複数の値を含めることができます。
同じ条件の複数の値は、<OR ロジック (recipient1> や <recipient2> など) を使用します。 受信者が指定した値 のいずれかに 一致する場合、ポリシーが適用されます。
さまざまな 種類の条件で AND ロジックが使用されます。 受信者は、ポリシーを適用するために、指定 されたすべての 条件に一致する必要があります。 たとえば、次の値を使用して条件を構成します。
- ユーザー:
romain@contoso.com - グループ: エグゼクティブ
ポリシーは、エグゼクティブ グループのメンバーでもある場合にのみ適用
romain@contoso.comされます。 それ以外の場合、ポリシーは適用されません。- ユーザー:
[ 含めるユーザーの選択 ] ダイアログが完了したら、[続行] を選択 します。
評価が設定されると、進行状況ダイアログが表示されます。 セットアップが完了したら、[完了] を選択 します。
Defender for Office 365の評価または試用版を管理する
評価または評価版を監査モードで設定した後、Microsoft Defender for Office 365評価ページhttps://security.microsoft.com/atpEvaluationは、プラン 2 を試した結果の中心となる場所Defender for Office 365。
のMicrosoft Defender ポータルでhttps://security.microsoft.com、[コラボレーション > ポリシーのEmail && ルール>] [脅威ポリシー>] の順に移動し、[その他] セクションで [評価モード] を選択します。 または、Microsoft Defender for Office 365評価ページに直接移動するには、 を使用https://security.microsoft.com/atpEvaluationします。
Microsoft Defender for Office 365評価ページで使用できるアクションについては、次のサブセクションで説明します。
評価設定を管理する
のMicrosoft Defender for Office 365評価ページで、[評価設定のhttps://security.microsoft.com/atpEvaluation管理] を選択します。
開いた [MDO評価設定の管理] ポップアップで、次の情報と設定を使用できます。
評価がオンかどうかは、ポップアップの上部に表示されます (評価のオン または 評価オフ)。 この情報は、Microsoft Defender for Office 365評価ページでも入手できます。
[
オフにする ] または [オンにする] アクションを使用すると、評価ポリシーをオフまたはオンにすることができます。評価に残っている日数は、ポップアップの上部 (残りの nn 日) に表示されます。
[検出機能] セクション: トグルを使用して、次のDefender for Office 365保護をオンまたはオフにします。
- リンク保護
- 添付ファイル保護
- フィッシング詐欺対策
[ユーザー、グループ、およびドメイン ] セクション: [ ユーザー、グループ、およびドメインの編集] を選択して、評価または評価版を適用するユーザーを変更します (前の「 監査モードでの評価または評価版の設定」を参照)。
偽装設定 セクション:
偽装保護がフィッシング対策評価ポリシーで構成されていない場合は、[偽装 保護の適用 ] を選択して偽装保護を構成します。
- ユーザー偽装保護のための内部ユーザーと外部ユーザー (送信者)。
- ドメイン偽装保護用のカスタム ドメイン。
- 偽装保護から除外する信頼された送信者とドメイン。
この手順は、基本的には、「Microsoft Defender ポータルを使用してフィッシング対策ポリシーを作成する」の手順 5 の「偽装」セクションで説明した手順と同じです。
偽装保護がフィッシング対策評価ポリシーで構成されている場合、このセクションでは、次の偽装保護の設定を示します。
- ユーザー偽装保護
- ドメイン偽装保護
- 偽装された信頼された送信者とドメイン
設定を変更するには、[ 偽装設定の編集] を選択します。
[MDO評価設定の管理] ポップアップが完了したら、[閉じる] を選択します。
Standard 保護に変換する
評価または試用版では、次のいずれかの方法を使用して 、監査モード (評価ポリシー) から ブロック モード (Standard プリセット セキュリティ ポリシー) に切り替えることができます。
- [Microsoft Defender for Office 365評価] ページで、[標準保護に変換] を選択します
- [MDO評価設定の管理] ポップアップ: [Microsoft Defender for Office 365評価] ページで、[評価設定の管理] を選択します。 開いた詳細ポップアップで、[標準保護に変換] を選択します
。
[ 標準保護に変換] を選択した後、開いたダイアログで情報を読み取り、[続行] を選択 します。
[事前設定されたセキュリティ ポリシー] ページの [標準保護の適用] ウィザードに移動します。 評価または試用版から含まれ、除外される受信者の一覧は、Standard の事前設定されたセキュリティ ポリシーにコピーされます。 詳細については、「Microsoft Defender ポータルを使用して Standard および Strict の事前設定されたセキュリティ ポリシーをユーザーに割り当てる」を参照してください。
- Standard プリセット セキュリティ ポリシーのセキュリティ ポリシーは、評価ポリシーよりも優先度が高くなります。つまり、Standard プリセット セキュリティのポリシーは、両方が存在し、オンになっている場合でも、評価ポリシー の前 に常に適用されます。
- ブロック モードから監査モードに自動的に移動する方法はありません。 手動の手順は次のとおりです。
の [事前設定されたセキュリティ ポリシー] ページhttps://security.microsoft.com/presetSecurityPoliciesで、標準の事前設定されたセキュリティ ポリシーをオフにします。
のMicrosoft Defender for Office 365評価ページでhttps://security.microsoft.com/atpEvaluation、[評価] の値が表示されていることを確認します。
[評価オフ] が表示されている場合は、[評価設定の管理] を選択します。 開いた [MDO評価設定の管理] ポップアップで、[有効にする] を選択
します。[評価設定の管理] を選択して、評価が適用されるユーザーを確認するには、開いた [MDO評価設定の詳細の管理] ポップアップの [ユーザー、グループ、ドメイン] セクションで確認します。
Defender for Office 365の評価または試用に関するレポート
このセクションでは、 監査モード とブロック モードで使用できるレポートについて説明 します。
ブロック モードのレポート
ブロック モードに特別なレポートは作成されないため、Defender for Office 365で使用できる標準レポートを使用します。 具体的には、次の一覧で説明するように、Defender for Office 365機能 (安全なリンクや安全な添付ファイルなど) またはDefender for Office 365検出によってフィルター処理できるレポートにのみ適用されるレポートを探しています。
[メールフローの状態] レポートの [メールフロー] ビュー:
- フィッシング対策ポリシーによってユーザー偽装またはドメイン偽装として検出されたメッセージは、 偽装ブロックに表示されます。
- 安全な添付ファイル ポリシーまたは安全なリンク ポリシーによってファイルまたは URL の爆発中に検出されたメッセージは、 Detonation ブロックに表示されます。
-
[保護された値] MDOで脅威保護状態レポートのビューの多くをフィルター処理して、Defender for Office 365の効果を確認できます。
Email>フィッシングによるデータの表示と検出テクノロジ別のグラフの内訳
- キャンペーンによって検出されたメッセージは、[キャンペーン] に表示されます。
- 安全な添付ファイルによって検出されたメッセージは、 ファイルの爆発 と ファイルの爆発の評判に表示されます。
- フィッシング対策ポリシーでユーザー偽装保護によって検出されたメッセージは、 偽装ドメイン、偽装 ユーザー、 メールボックス インテリジェンスの偽装に表示されます。
- 安全なリンクによって検出されたメッセージは 、URL の爆発 と URL 爆発の評判に表示されます。
Email>マルウェア別のデータの表示と検出テクノロジ別のグラフの内訳
- キャンペーンによって検出されたメッセージは、[キャンペーン] に表示されます。
- 安全な添付ファイルによって検出されたメッセージは、 ファイルの爆発 と ファイルの爆発の評判に表示されます。
- 安全なリンクによって検出されたメッセージは 、URL の爆発 と URL 爆発の評判に表示されます。
検出テクノロジ別Email>スパムとグラフの内訳別にデータを表示する
安全なリンクによって検出されたメッセージは 、URL の悪意のある評判に表示されます。
-
安全な添付ファイルによって検出されたメッセージは、[安全な添付ファイル] に表示されます
-
SharePoint、OneDrive、Microsoft Teams の安全な添付ファイルによって検出された悪意のあるファイルは、MDO爆発に表示されます。
-
上位のマルウェア受信者 (MDO) のデータを表示し、上位のフィッシング受信者 (MDO) のデータを表示します。
監査モードのレポート
監査モードでは、次の一覧で説明されているように、評価ポリシーによる検出を示すレポートを探しています。
[Email エンティティ] ページには、Defender for Office 365評価によって検出された不正な添付ファイル、スパム URL + マルウェア、フィッシング URL、偽装メッセージの [分析] タブのメッセージ検出の詳細に、次のバナーが表示されます。
のMicrosoft Defender for Office 365評価ページではhttps://security.microsoft.com/atpEvaluation、Defender for Office 365で使用できる標準レポートからの検出が統合されます。 このページのレポートは、主に [評価: はい ] でフィルター処理され、評価ポリシーによる検出のみを表示しますが、ほとんどのレポートでは追加の明確化フィルターも使用されます。
既定では、ページのレポートの概要には過去 30 日間のデータが表示されますが、30 日間を
選択し、30 日未満の追加の値から選択することで、日付範囲をフィルター処理できます。- 24 時間
- 7 日間
- 14 日
- カスタム日付範囲
日付範囲フィルターは、カードで [詳細の表示] を選択すると、ページのレポートの概要とメイン レポートに表示されるデータに影響します。
[ダウンロード] を選択
して、グラフ データを .csv ファイルにダウンロードします。Microsoft Defender for Office 365評価ページの次のレポートには、脅威保護の状態レポートの特定のビューからフィルター処理された情報が含まれています。
- Emailリンク:
- レポート ビュー: Email>フィッシングによるデータの表示と検出テクノロジ別のグラフの内訳
- 検出 フィルター: URL 爆発評判 と URL 爆発。
- メール内の添付ファイル:
- レポート ビュー: Email>フィッシングによるデータの表示と検出テクノロジ別のグラフの内訳
- 検出 フィルター: ファイルの爆発 と ファイルの爆発の評判。
- 偽装
- レポート ビュー: Email>フィッシングによるデータの表示と検出テクノロジ別のグラフの内訳
- 検出 フィルター: 偽装ユーザー、 偽装ドメイン、 メールボックス インテリジェンスの偽装。
- 添付ファイルのリンク
- レポート ビュー: Email>マルウェア別にデータを表示し、検出テクノロジ別にグラフの内訳を表示する
- 検出 フィルター: URL 爆発 と URL 爆発評判。
- 埋め込みマルウェア
- レポート ビュー: Email>マルウェア別にデータを表示し、検出テクノロジ別にグラフの内訳を表示する
- 検出 フィルター: ファイルの爆発 と ファイルの爆発の評判。
- なりすまし送信者:
- レポート ビュー: Email>フィッシングによるデータの表示と検出テクノロジ別のグラフの内訳
- 検出 フィルター: 組織内でのスプーフィング、 外部ドメインのスプーフィング、および DMARC のスプーフィング。
- Emailリンク:
リアルタイム URL クリック保護では、[評価: はい] でフィルター処理された URL 保護レポートの [URL によるデータの表示] クリック保護アクションが使用されます。
URL 保護レポートの [URL でデータを URL で表示] をクリックしても、Microsoft Defender for Office 365評価ページには表示されませんが、[評価: はい] でフィルター処理することもできます。
必要なアクセス許可
Defender for Microsoft 365 の評価または試用版を設定するには、Microsoft Entra IDで次のアクセス許可が必要です。
- 評価または試用版のCreate、変更、または削除: セキュリティ管理者ロールまたはグローバル管理者ロールのメンバーシップ。
- 評価ポリシーとレポートを監査モードで表示する: セキュリティ管理者 ロールまたは セキュリティ閲覧者 ロールのメンバーシップ。
Microsoft Defender ポータルでのMicrosoft Entraアクセス許可の詳細については、Microsoft Defender ポータルでのロールのMicrosoft Entraに関するページを参照してください。
よく寄せられる質問
Q: 試用版ライセンスを手動で取得またはアクティブ化する必要がありますか?
回答: いいえ。 前に説明したように、必要に応じて、試用版によってプラン 2 ライセンスDefender for Office 365自動的にプロビジョニングされます。
Q: 試用版操作方法拡張しますか?
A: 「 試用版を拡張する」を参照してください。
Q: 試用版の有効期限が切れた後のデータはどうなりますか?
A: 試用版の有効期限が切れた後、30 日間試用版データ (Defender for Office 365の機能からのデータ) にアクセスできます。 この 30 日間が経過すると、Defender for Office 365試用版に関連付けられたすべてのポリシーとデータが削除されます。
Q: organizationでDefender for Office 365試用版を使用できる回数はいくつですか?
A: 最大 2 回。 最初の試用版の有効期限が切れた場合は、有効期限から少なくとも 30 日後に待ってから、Defender for Office 365試用版に再度登録する必要があります。 2 回目の試用版の後、別の試用版に登録することはできません。
Q: 監査モードでは、メッセージに対してDefender for Office 365が機能するシナリオはありますか。
A:はい、できます。 サービスを保護するために、どのプログラムまたは SKU のユーザーも、サービスによってマルウェアまたは高信頼フィッシングとして分類されたメッセージに対するアクションをオフにしたりバイパスしたりすることはできません。
Q: ポリシーはどのような順序で評価されますか?
A: 事前設定されたセキュリティ ポリシーとその他のポリシーについては、「優先順位」を参照してください。
Defender for Office 365評価と試用版に関連付けられているポリシー設定
監査モードのポリシー
警告
Defender for Office 365の評価に関連付けられている個々のセキュリティ ポリシーを作成、変更、または削除しないでください。 評価の個々のセキュリティ ポリシーを作成するためにサポートされる唯一の方法は、Microsoft Defender ポータルで初めて監査モードで評価または評価を開始することです。
前に説明したように、評価または試用版の監査モードを選択すると、メッセージに対して監視するがアクションを実行しない必要な設定を持つ評価ポリシーが自動的に作成されます。
これらのポリシーとその設定を表示するには、powerShell で次のコマンドExchange Online実行します。
Write-Output -InputObject ("`r`n"*3),"Evaluation anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"; Write-Output -InputObject ("`r`n"*3),"Evaluation Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"; Write-Output -InputObject ("`r`n"*3),"Evaluation Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"
設定については、次の表でも説明します。
フィッシング対策の評価ポリシー設定
| 設定 | 値 |
|---|---|
| 名前 | 評価ポリシー |
| AdminDisplayName | 評価ポリシー |
| AuthenticationFailAction | MoveToJmf |
| DmarcQuarantineAction | 検疫する |
| DmarcRejectAction | 拒否する |
| Enabled | はい |
| EnableFirstContactSafetyTips | False |
| EnableMailboxIntelligence | はい |
| EnableMailboxIntelligenceProtection | はい |
| EnableOrganizationDomainsProtection | False |
| EnableSimilarDomainsSafetyTips | False |
| EnableSimilarUsersSafetyTips | False |
| EnableSpoofIntelligence | はい |
| EnableSuspiciousSafetyTip | False |
| EnableTargetedDomainsProtection | False |
| EnableTargetedUserProtection | False |
| EnableUnauthenticatedSender | はい |
| EnableUnusualCharactersSafetyTips | False |
| EnableViaTag | はい |
| ExcludedDomains | {} |
| ExcludedSenders | {} |
| HonorDmarcPolicy | はい |
| ImpersonationProtectionState | Manual |
| IsDefault | False |
| MailboxIntelligenceProtectionAction | NoAction |
| MailboxIntelligenceProtectionActionRecipients | {} |
| MailboxIntelligenceQuarantineTag | DefaultFullAccessPolicy |
| PhishThresholdLevel | 1 |
| PolicyTag | 空白 |
| RecommendedPolicyType | 評価 |
| SpoofQuarantineTag | DefaultFullAccessPolicy |
| TargetedDomainActionRecipients | {} |
| TargetedDomainProtectionAction | NoAction |
| TargetedDomainQuarantineTag | DefaultFullAccessPolicy |
| TargetedDomainsToProtect | {} |
| TargetedUserActionRecipients | {} |
| TargetedUserProtectionAction | NoAction |
| TargetedUserQuarantineTag | DefaultFullAccessPolicy |
| TargetedUsersToProtect | {} |
安全な添付ファイルの評価ポリシー設定
| 設定 | 値 |
|---|---|
| 名前 | 評価ポリシー |
| アクション | 許可 |
| ActionOnError | はい* |
| AdminDisplayName | 評価ポリシー |
| ConfidenceLevelThreshold | 80 |
| 有効にする | はい |
| EnableOrganizationBranding | False |
| IsBuiltInProtection | False |
| IsDefault | False |
| OperationMode | Delay |
| QuarantineTag | AdminOnlyAccessPolicy |
| RecommendedPolicyType | 評価 |
| Redirect | False |
| RedirectAddress | 空白 |
| ScanTimeout | 30 |
* このパラメーターは非推奨となり、使用されなくなりました。
安全なリンクの評価ポリシー設定
| 設定 | 値 |
|---|---|
| 名前 | 評価ポリシー |
| AdminDisplayName | 評価ポリシー |
| AllowClickThrough | はい |
| CustomNotificationText | 空白 |
| DeliverMessageAfterScan | はい |
| DisableUrlRewrite | はい |
| DoNotRewriteUrls | {} |
| EnableForInternalSenders | False |
| EnableOrganizationBranding | False |
| EnableSafeLinksForEmail | はい |
| EnableSafeLinksForOffice | はい |
| EnableSafeLinksForTeams | はい |
| IsBuiltInProtection | False |
| LocalizedNotificationTextList | {} |
| RecommendedPolicyType | 評価 |
| ScanUrls | はい |
| TrackClicks | はい |
PowerShell を使用して、監査モードで評価または試用版の受信者の条件と例外を構成する
Defender for Office 365評価ポリシーに関連付けられているルールは、評価の受信者の条件と例外を制御します。
評価に関連付けられているルールを表示するには、powerShell で次のコマンドExchange Online実行します。
Get-ATPEvaluationRule
Exchange Online PowerShell を使用して評価対象を変更するには、次の構文を使用します。
Set-ATPEvaluationRule -Identity "Evaluation Rule" -SentTo <"user1","user2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -SentToMemberOf <"group1","group2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null> -RecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null>
次の使用例は、指定されたセキュリティ操作 (SecOps) メールボックスの評価からの例外を構成します。
Set-ATPEvaluationRule -Identity "Evaluation Rule" -ExceptIfSentTo "SecOps1","SecOps2"
PowerShell を使用して、監査モードで評価版または試用版を有効または無効にする
監査モードで評価を有効または無効にするには、評価に関連付けられているルールを有効または無効にします。 評価ルールの State プロパティ値は、ルールが [有効] または [無効] のどちらであるかを示します。
次のコマンドを実行して、評価が現在有効か無効かを判断します。
Get-ATPEvaluationRule -Identity "Evaluation Rule" | Format-Table Name,State
次のコマンドを実行して、評価がオンになっている場合はオフにします。
Disable-ATPEvaluationRule -Identity "Evaluation Rule"
次のコマンドを実行して、評価がオフになっている場合はオンにします。
Enable-ATPEvaluationRule -Identity "Evaluation Rule"
ブロック モードのポリシー
前に説明したように、 ブロック モード ポリシーは、 事前設定されたセキュリティ ポリシーの Standard テンプレートを使用して作成されます。
Exchange Online PowerShell を使用して、標準の事前設定されたセキュリティ ポリシーに関連付けられている個々のセキュリティ ポリシーを表示したり、事前設定されたセキュリティ ポリシーの受信者の条件と例外を表示および構成したりするには、「Exchange Online PowerShell のセキュリティ ポリシーを事前設定する」を参照してください。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示