Wstępne ustawienie zasad zabezpieczeń w usłudze EOP i ochronie usługi Office 365 w usłudze Microsoft Defender

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w Microsoft Defender XDR Office 365 planie 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami dotyczącymi wersji próbnej tutaj.

Wstępnie ustawione zasady zabezpieczeń umożliwiają stosowanie funkcji ochrony do użytkowników na podstawie naszych zalecanych ustawień. W przeciwieństwie do zasad niestandardowych, które są nieskończenie konfigurowalne, praktycznie wszystkie ustawienia w wstępnie ustawionych zasadach zabezpieczeń nie są konfigurowalne i są oparte na naszych obserwacjach w centrach danych. Ustawienia w wstępnie ustawionych zasadach zabezpieczeń zapewniają równowagę między utrzymywaniem szkodliwej zawartości z dala od użytkowników przy jednoczesnym unikaniu niepotrzebnych zakłóceń.

W zależności od organizacji wstępnie ustawione zasady zabezpieczeń udostępniają wiele funkcji ochrony dostępnych w Exchange Online Protection (EOP) i Ochrona usługi Office 365 w usłudze Microsoft Defender.

Dostępne są następujące wstępnie ustawione zasady zabezpieczeń:

  • Standardowe wstępnie ustawione zasady zabezpieczeń
  • Ścisłe wstępnie ustawione zasady zabezpieczeń
  • Wbudowane zasady zabezpieczeń wstępnie ustawionej ochrony (domyślne zasady ochrony bezpiecznych załączników i bezpiecznych łączy w Ochrona usługi Office 365 w usłudze Defender)

Aby uzyskać szczegółowe informacje na temat tych wstępnie ustawionych zasad zabezpieczeń, zobacz sekcję Dodatek na końcu tego artykułu.

W dalszej części tego artykułu opisano sposób konfigurowania wstępnie ustawionych zasad zabezpieczeń.

Co należy wiedzieć przed rozpoczęciem?

  • Otwórz portal Microsoft Defender pod adresem https://security.microsoft.com. Aby przejść bezpośrednio do strony Wstępnie ustawione zasady zabezpieczeń , użyj polecenia https://security.microsoft.com/presetSecurityPolicies.

  • Aby nawiązać połączenie z programem Exchange Online programu PowerShell, zobacz Łączenie z programem PowerShell Exchange Online.

  • Aby można było wykonać procedury opisane w tym artykule, musisz mieć przypisane uprawnienia. Dostępne są następujące opcje:

    • Microsoft Defender XDR Ujednolicona kontrola dostępu oparta na rolach (RBAC) (dotyczy tylko portalu usługi Defender, a nie programu PowerShell): autoryzacja i ustawienia/Ustawienia zabezpieczeń/Podstawowe ustawienia zabezpieczeń (zarządzanie) lub Autoryzacja i ustawienia/Ustawienia zabezpieczeń/Podstawowe ustawienia zabezpieczeń (odczyt)..
    • uprawnienia Exchange Online:
      • Konfigurowanie wstępnie ustawionych zasad zabezpieczeń: członkostwo w grupach ról Zarządzanie organizacją lub Administrator zabezpieczeń .
      • Dostęp tylko do odczytu do wstępnie ustawionych zasad zabezpieczeń: członkostwo w grupie ról Czytelnik globalny .
    • uprawnienia Microsoft Entra: członkostwo w rolach administratora globalnego, administratora zabezpieczeń lub czytelnika globalnego daje użytkownikom wymagane uprawnienia i uprawnienia do innych funkcji w usłudze Microsoft 365.

Używanie portalu Microsoft Defender do przypisywania użytkownikom standardowych i rygorystycznych wstępnie ustawionych zasad zabezpieczeń

  1. W portalu Microsoft Defender pod adresem https://security.microsoft.comprzejdź do sekcji Zasady współpracy> Email && Reguły>zasad zagrożeń>Wstępnie ustawione zasady zabezpieczeń w sekcji Szablony zasad. Aby przejść bezpośrednio do strony Wstępnie ustawione zasady zabezpieczeń , użyj polecenia https://security.microsoft.com/presetSecurityPolicies.

  2. Jeśli po raz pierwszy znajdujesz się na stronie Wstępnie skonfigurowane zasady zabezpieczeń , prawdopodobnie ochrona standardowa i ścisła ochrona są wyłączone .

    Przesuń przełącznik tego, który chcesz skonfigurować na , a następnie wybierz pozycję Zarządzaj ustawieniami ochrony , aby uruchomić kreatora konfiguracji.

  3. Na stronie Zastosuj Exchange Online Protection zidentyfikuj wewnętrznych adresatów, do których mają zastosowanie zabezpieczenia EOP (warunki adresatów):

    • Wszyscy adresaci

    • Konkretni adresaci: skonfiguruj jeden z następujących warunków adresatów, które się pojawią:

      • Użytkownicy: określone skrzynki pocztowe, użytkownicy poczty lub kontakty poczty e-mail.
      • Grupy:
        • Członkowie określonych grup dystrybucyjnych lub grup zabezpieczeń z obsługą poczty (dynamiczne grupy dystrybucyjne nie są obsługiwane).
        • Określona Grupy Microsoft 365.
      • Domeny: Wszyscy adresaci w organizacji z podstawowym adresem e-mail w określonej akceptowanej domenie.

    Kliknij odpowiednie pole, zacznij wpisywać wartość i wybierz żądaną wartość z wyników. Powtórz ten proces tyle razy, ile jest to konieczne. Aby usunąć istniejącą wartość, wybierz obok wartości.

    W przypadku użytkowników lub grup można użyć większości identyfikatorów (nazwa, nazwa wyświetlana, alias, adres e-mail, nazwa konta itp.), ale w wynikach jest wyświetlana odpowiednia nazwa wyświetlana. W przypadku użytkowników lub grup wprowadź gwiazdkę (*), aby wyświetlić wszystkie dostępne wartości.

    Warunek można użyć tylko raz, ale warunek może zawierać wiele wartości:

    • Wiele wartościtego samego warunku używa logiki OR (na przykład <adresat1> lub <adresat2>). Jeśli adresat pasuje do dowolnej z określonych wartości, zostaną do nich zastosowane zasady.

    • Różne typy warunków używają logiki AND. Adresat musi spełniać wszystkie określone warunki, aby zasady były do nich stosowane. Na przykład należy skonfigurować warunek z następującymi wartościami:

      • Użytkowników: romain@contoso.com
      • Grupy: Kadra kierownicza

      Zasady są stosowane romain@contoso.comtylko wtedy, gdy jest on również członkiem grupy Kierownictwo. W przeciwnym razie zasady nie są do niego stosowane.

    • Brak

    • Wyklucz tych adresatów: jeśli wybrano pozycję Wszyscy adresaci lub Konkretni adresaci, wybierz tę opcję, aby skonfigurować wyjątki adresatów.

      Wyjątku można użyć tylko raz, ale wyjątek może zawierać wiele wartości:

      • Wiele wartościtego samego wyjątku używa logiki OR (na przykład <adresat1> lub <adresat2>). Jeśli adresat pasuje do dowolnej z określonych wartości, zasady nie są do nich stosowane.
      • Różne typy wyjątków używają logiki OR (na przykład <adresat1> lub <członek grupy1> lub <członek domeny domain1>). Jeśli adresat pasuje do żadnej z określonych wartości wyjątku, zasady nie są do nich stosowane.

    Po zakończeniu na stronie Zastosuj Exchange Online Protection wybierz pozycję Dalej.

    Uwaga

    W organizacjach bez Ochrona usługi Office 365 w usłudze Defender wybranie pozycji Dalej spowoduje przejście do strony Przegląd (Krok 9).

  4. Na stronie Zastosuj ochronę Ochrona usługi Office 365 w usłudze Defender zidentyfikuj wewnętrznych adresatów, do których mają zastosowanie zabezpieczenia Ochrona usługi Office 365 w usłudze Defender (warunki adresatów).

    Ustawienia i zachowanie są dokładnie takie same jak na stronie Zastosuj Exchange Online Protection w poprzednim kroku.

    Możesz również wybrać wcześniej wybranych adresatów , aby używać tych samych adresatów, którzy wybrali ochronę EOP na poprzedniej stronie.

    Po zakończeniu na stronie Zastosuj Ochrona usługi Office 365 w usłudze Defender ochrony wybierz pozycję Dalej.

  5. Na stronie Ochrona przed personifikacją wybierz pozycję Dalej.

  6. Na stronie Dodawanie adresów e-mail do flagi podczas personifikacji przez osoby atakujące dodaj wewnętrznych i zewnętrznych nadawców chronionych przez ochronę przed personifikacją użytkowników.

    Uwaga

    Wszyscy adresaci automatycznie otrzymują ochronę przed personifikacją z analizy skrzynki pocztowej w wstępnie ustawionych zasadach zabezpieczeń.

    Możesz określić maksymalnie 350 użytkowników na potrzeby ochrony przed personifikacją użytkowników w standardowych lub ścisłych zasadach zabezpieczeń wstępnie ustawionych.

    Ochrona przed personifikacją użytkownika nie działa, jeśli nadawca i adresat wcześniej komunikowali się za pośrednictwem poczty e-mail. Jeśli nadawca i adresat nigdy nie komunikowali się za pośrednictwem poczty e-mail, wiadomość może zostać zidentyfikowana jako próba personifikacji.

    Każdy wpis składa się z nazwy wyświetlanej i adresu e-mail:

    • Użytkownicy wewnętrzni: kliknij pole Dodaj prawidłową wiadomość e-mail lub zacznij wpisywać adres e-mail użytkownika. Wybierz adres e-mail z wyświetlonej listy rozwijanej Sugerowane kontakty . Nazwa wyświetlana użytkownika jest dodawana do pola Dodaj nazwę (które można zmienić). Po zakończeniu wybierania użytkownika wybierz pozycję Dodaj.

    • Użytkownicy zewnętrzni: wpisz pełny adres e-mail użytkownika zewnętrznego w polu Dodaj prawidłową wiadomość e-mail , a następnie wybierz adres e-mail z wyświetlonej listy rozwijanej Sugerowane kontakty . Adres e-mail jest również dodawany w polu Dodaj nazwę (którą można zmienić na nazwę wyświetlaną).

    Powtórz te kroki tyle razy, ile jest to konieczne.

    Dodaeni użytkownicy są widoczni na stronie według nazwy wyświetlanej i adresu e-mail nadawcy. Aby usunąć użytkownika, wybierz obok wpisu.

    Użyj pola Search, aby znaleźć wpisy na stronie.

    Po zakończeniu na stronie Zastosuj Ochrona usługi Office 365 w usłudze Defender ochrony wybierz pozycję Dalej.

  7. Na stronie Dodawanie domen do flagi podczas personifikacji przez osoby atakujące dodaj domeny wewnętrzne i zewnętrzne chronione przez ochronę przed personifikacją domeny.

    Uwaga

    Wszystkie domeny, których jesteś właścicielem (akceptowane domeny), automatycznie otrzymują ochronę przed personifikacją domeny w wstępnie ustawionych zasadach zabezpieczeń.

    Możesz określić maksymalnie 50 domen niestandardowych dla ochrony przed personifikacją domeny w standardowych lub ścisłych zasadach zabezpieczeń wstępnie ustawionych.

    Kliknij pole Dodaj domeny , wprowadź wartość domeny, naciśnij klawisz ENTER lub wybierz wartość wyświetlaną poniżej pola. Aby usunąć domenę z pola i zacząć od nowa, wybierz obok domeny. Gdy wszystko będzie gotowe do dodania domeny, wybierz pozycję Dodaj. Powtórz ten krok tyle razy, ile jest to konieczne.

    Dodane domeny są wyświetlane na stronie. Aby usunąć domenę, wybierz obok wartości.

    Dodane domeny są wyświetlane na stronie. Aby usunąć domenę, wybierz obok wpisu.

    Aby usunąć istniejący wpis z listy, wybierz pozycję obok wpisu.

    Po zakończeniu flagi Dodaj domeny do podszycia się przez osoby atakujące wybierz pozycję Dalej.

  8. Na stronie Dodawanie zaufanych adresów e-mail i domen, aby nie były oznaczane jako personifikacja , wprowadź adresy e-mail i domeny nadawcy, które mają zostać wykluczone z ochrony przed personifikacją. Komunikaty od tych nadawców nigdy nie są oflagowane jako atak personifikacji, ale nadawcy nadal podlegają skanowaniu za pomocą innych filtrów w usłudze EOP i Ochrona usługi Office 365 w usłudze Defender.

    Uwaga

    Wpisy zaufanej domeny nie obejmują poddomen określonej domeny. Musisz dodać wpis dla każdej poddomeny.

    Wprowadź adres e-mail lub domenę w polu, a następnie naciśnij klawisz ENTER lub wybierz wartość wyświetlaną poniżej pola. Aby usunąć wartość z pola i zacząć od nowa, wybierz obok wartości. Gdy wszystko będzie gotowe do dodania użytkownika lub domeny, wybierz pozycję Dodaj. Powtórz ten krok tyle razy, ile jest to konieczne.

    Dodanych użytkowników i domen są wyświetlane na stronie według nazwy i typu. Aby usunąć wpis, wybierz pozycję obok wpisu.

    Po zakończeniu na stronie Dodawanie zaufanych adresów e-mail i domen, aby nie oznaczać jako personifikacji , wybierz przycisk Dalej.

  9. Na stronie Przeglądanie i potwierdzanie zmian przejrzyj ustawienia. Możesz wybrać pozycję Wstecz lub określoną stronę w kreatorze, aby zmodyfikować ustawienia.

    Po zakończeniu na stronie Przeglądanie i potwierdzanie zmian wybierz pozycję Potwierdź.

  10. Na stronie Standardowa ochrona zaktualizowana lub Ścisła ochrona wybierz pozycję Gotowe.

Użyj portalu Microsoft Defender, aby zmodyfikować przypisania standardowych i ścisłych wstępnie ustawionych zasad zabezpieczeń

Kroki modyfikowania przypisania wstępnie ustawionych zasad zabezpieczeń ochrony standardowej lub ścisłej ochrony są takie same, jak wtedy, gdy początkowo przypisano wstępnie ustawione zasady zabezpieczeń do użytkowników.

Aby wyłączyć wstępnie ustawione zasady zabezpieczeń ochrony standardowej lub ścisłej ochrony przy zachowaniu istniejących warunków i wyjątków, przesuń przełącznik do pozycji . Aby włączyć zasady, przesuń przełącznik do pozycji .

Użyj portalu Microsoft Defender, aby dodać wykluczenia do wbudowanych zasad zabezpieczeń wstępnie ustawionych zabezpieczeń

Porada

Wstępnie ustawione zasady zabezpieczeń wbudowanej ochrony są stosowane do wszystkich użytkowników w organizacjach z dowolną ilością licencji na usługę Defender for Microsoft 365. Ta aplikacja jest w duchu zabezpieczania najszerszego zestawu użytkowników, dopóki administratorzy nie skonfigurują specjalnie Ochrona usługi Office 365 w usłudze Defender ochrony. Ponieważ wbudowana ochrona jest domyślnie włączona, klienci nie muszą martwić się o naruszenie warunków licencjonowania produktów. Zalecamy jednak zakup wystarczającej liczby licencji Ochrona usługi Office 365 w usłudze Defender, aby zapewnić kontynuację wbudowanej ochrony dla wszystkich użytkowników.

Wbudowane zasady zabezpieczeń wstępnie zdefiniowane ochrony nie mają wpływu na adresatów zdefiniowanych w standardowych lub ścisłych zasadach zabezpieczeń wstępnie ustawionych ani w niestandardowych zasadach bezpiecznych linków lub bezpiecznych załączników. W związku z tym zazwyczaj nie zalecamy wyjątków od wbudowanych zasad zabezpieczeń wstępnie ustawionych ochrony.

  1. W portalu Microsoft Defender pod adresem https://security.microsoft.comprzejdź do sekcji Zasady współpracy> Email && Reguły>zasad zagrożeń>Wstępnie ustawione zasady zabezpieczeń w sekcji Szablony zasad. Aby przejść bezpośrednio do strony Wstępnie ustawione zasady zabezpieczeń , użyj polecenia https://security.microsoft.com/presetSecurityPolicies.

  2. Na stronie Ustawienia wstępne zasad zabezpieczeń wybierz pozycję Dodaj wykluczenia (niezalecane) w sekcji Wbudowana ochrona .

  3. W wyświetlonym wysuwu Wyklucz z wbudowanej ochrony zidentyfikuj wewnętrznych adresatów wykluczonych z wbudowanej ochrony bezpiecznych linków i bezpiecznych załączników:

    • Użytkownicy
    • Grupy:
      • Członkowie określonych grup dystrybucyjnych lub grup zabezpieczeń z obsługą poczty (dynamiczne grupy dystrybucyjne nie są obsługiwane).
      • Określona Grupy Microsoft 365.
    • Domeny

    Kliknij odpowiednie pole, zacznij wpisywać wartość, a następnie wybierz wartość wyświetlaną poniżej pola. Powtórz ten proces tyle razy, ile jest to konieczne. Aby usunąć istniejącą wartość, wybierz obok wartości.

    W przypadku użytkowników lub grup można użyć większości identyfikatorów (nazwa, nazwa wyświetlana, alias, adres e-mail, nazwa konta itp.), ale w wynikach jest wyświetlana odpowiednia nazwa wyświetlana. W przypadku użytkowników wprowadź gwiazdkę (*), aby wyświetlić wszystkie dostępne wartości.

    Wyjątku można użyć tylko raz, ale wyjątek może zawierać wiele wartości:

    • Wiele wartościtego samego wyjątku używa logiki OR (na przykład <adresat1> lub <adresat2>). Jeśli adresat pasuje do dowolnej z określonych wartości, zasady nie są do nich stosowane.
    • Różne typy wyjątków używają logiki OR (na przykład <adresat1> lub <członek grupy1> lub <członek domeny domain1>). Jeśli adresat pasuje do żadnej z określonych wartości wyjątku, zasady nie są do nich stosowane.

  4. Po zakończeniu pracy z wysuwem Wyklucz z wbudowanej ochrony wybierz pozycję Zapisz.

Skąd wiesz, że te procedury zadziałają?

Aby sprawdzić, czy użytkownikowi pomyślnie przypisano zasady ochrony standardowej lub zabezpieczeń ścisłej ochrony , użyj ustawienia ochrony, w którym wartość domyślna jest inna niż ustawienie ochrony standardowej , które różni się od ustawienia Ścisła ochrona .

Na przykład w przypadku wiadomości e-mail wykrytych jako spam (nie spam o wysokim poziomie ufności) sprawdź, czy wiadomość została dostarczona do folderu Junk Email dla użytkowników ochrony w warstwie Standardowa i poddana kwarantannie dla użytkowników o ścisłej ochronie.

W przypadku poczty zbiorczej sprawdź, czy wartość BCL 6 lub nowsza dostarcza wiadomość do folderu Junk Email dla użytkowników ochrony w warstwie Standardowa, a wartość BCL 5 lub nowsza kwarantannie wiadomości dla użytkowników ścisłej ochrony.

Wstępnie ustawione zasady zabezpieczeń w programie Exchange Online PowerShell

W programie PowerShell wstępnie ustawione zasady zabezpieczeń składają się z następujących elementów:

W poniższych sekcjach opisano sposób używania tych poleceń cmdlet w obsługiwanych scenariuszach.

Aby nawiązać połączenie z programem Exchange Online programu PowerShell, zobacz Łączenie z programem PowerShell Exchange Online.

Używanie programu PowerShell do wyświetlania poszczególnych zasad zabezpieczeń dla wstępnie ustawionych zasad zabezpieczeń

Pamiętaj, że jeśli nigdy nie włączono wstępnie ustawionych zasad zabezpieczeń w warstwie Standardowa lub ścisłych zasad zabezpieczeń wstępnie ustawionych w portalu Microsoft Defender, skojarzone zasady zabezpieczeń dla wstępnie ustawionych zasad zabezpieczeń nie istnieją.

  • Wbudowane zasady zabezpieczeń wstępnie ustawione ochrony: skojarzone zasady mają nazwę Built-In Protection Policy. Wartość właściwości IsBuiltInProtection ma wartość True dla tych zasad.

    Aby wyświetlić poszczególne zasady zabezpieczeń dla wstępnie ustawionych zasad zabezpieczeń wbudowanej ochrony, uruchom następujące polecenie:

    Write-Output -InputObject ("`r`n"*3),"Built-in protection Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy -Identity "Built-In Protection Policy" | Format-List; Write-Output -InputObject ("`r`n"*3),"Built-in protection Safe Links policy",("-"*79);Get-SafeLinksPolicy -Identity "Built-In Protection Policy" | Format-List

  • Standardowe wstępnie ustawione zasady zabezpieczeń: skojarzone zasady mają nazwę Standard Preset Security Policy<13-digit number>. Na przykład Standard Preset Security Policy1622650008019. Wartość właściwości RecommendPolicyType dla zasad to Standardowa.

    • Aby wyświetlić poszczególne zasady zabezpieczeń dla wstępnie ustawionych zasad zabezpieczeń w warstwie Standardowa w organizacjach tylko z funkcją EOP, uruchom następujące polecenie:

      Write-Output -InputObject ("`r`n"*3),"Standard anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"

    • Aby wyświetlić poszczególne zasady zabezpieczeń dla wstępnie ustawionych zasad zabezpieczeń w warstwie Standardowa w organizacjach z Ochrona usługi Office 365 w usłudze Defender, uruchom następujące polecenie:

      Write-Output -InputObject ("`r`n"*3),"Standard anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"

  • Ścisłe wstępnie ustawione zasady zabezpieczeń: skojarzone zasady mają nazwę Strict Preset Security Policy<13-digit number>. Na przykład Strict Preset Security Policy1642034872546. Wartość właściwości RecommendPolicyType dla zasad jest ścisła.

    • Aby wyświetlić poszczególne zasady zabezpieczeń dla rygorystycznych zasad zabezpieczeń wstępnie ustawionych w organizacjach z tylko operacjami EOP, uruchom następujące polecenie:

      Write-Output -InputObject ("`r`n"*3),"Strict anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"

    • Aby wyświetlić poszczególne zasady zabezpieczeń dla rygorystycznych wstępnie ustawionych zasad zabezpieczeń w organizacjach z Ochrona usługi Office 365 w usłudze Defender, uruchom następujące polecenie:

      Write-Output -InputObject ("`r`n"*3),"Strict anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"

Wyświetlanie reguł wstępnie ustawionych zasad zabezpieczeń przy użyciu programu PowerShell

Pamiętaj, że jeśli w portalu Microsoft Defender nigdy nie włączono wstępnie ustawionych zasad zabezpieczeń w warstwie Standardowa lub ścisłych zasad zabezpieczeń wstępnie ustawionych, skojarzone reguły dla tych zasad nie istnieją.

  • Wbudowane zasady zabezpieczeń wstępnie ustawionej ochrony: istnieje tylko jedna reguła o nazwie ATP Built-In Protection Rule.

    Aby wyświetlić regułę skojarzoną z wstępnie ustawionymi zasadami zabezpieczeń wbudowanej ochrony, uruchom następujące polecenie:

    Get-ATPBuiltInProtectionRule

  • Standardowe wstępnie ustawione zasady zabezpieczeń: skojarzone reguły mają nazwę Standardowe wstępnie ustawione zasady zabezpieczeń.

    Użyj następujących poleceń, aby wyświetlić reguły skojarzone z wstępnie ustawionymi zasadami zabezpieczeń w warstwie Standardowa:

    • Aby wyświetlić regułę skojarzoną z zabezpieczeniami EOP w zasadach zabezpieczeń wstępnie ustawionych w warstwie Standardowa, uruchom następujące polecenie:

      Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"

    • Aby wyświetlić regułę skojarzoną z zabezpieczeniami Ochrona usługi Office 365 w usłudze Defender w zasadach zabezpieczeń wstępnie ustawionych w warstwie Standardowa, uruchom następujące polecenie:

      Get-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"

    • Aby wyświetlić obie reguły w tym samym czasie, uruchom następujące polecenie:

      Write-Output -InputObject ("`r`n"*3),"EOP rule - Standard preset security policy",("-"*79);Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"; Write-Output -InputObject ("`r`n"*3),"Defender for Office 365 rule - Standard preset security policy",("-"*79);Get-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"

  • Ścisłe wstępnie ustawione zasady zabezpieczeń: skojarzone reguły mają nazwę Strict Preset Security Policy.Strict Preset Security Policy (Ścisłe wstępnie ustawione zasady zabezpieczeń).

    Użyj następujących poleceń, aby wyświetlić reguły skojarzone z rygorystycznymi wstępnie ustawionymi zasadami zabezpieczeń:

    • Aby wyświetlić regułę skojarzoną z zabezpieczeniami EOP w ścisłych zasadach zabezpieczeń wstępnie ustawionych, uruchom następujące polecenie:

      Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"

    • Aby wyświetlić regułę skojarzoną z zabezpieczeniami Ochrona usługi Office 365 w usłudze Defender w zasadach zabezpieczeń ścisłych ustawień wstępnych, uruchom następujące polecenie:

      Get-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"

    • Aby wyświetlić obie reguły w tym samym czasie, uruchom następujące polecenie:

      Write-Output -InputObject ("`r`n"*3),"EOP rule - Strict preset security policy",("-"*79);Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"; Write-Output -InputObject ("`r`n"*3),"Defender for Office 365 rule - Strict preset security policy",("-"*79);Get-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"

Włączanie lub wyłączanie wstępnie ustawionych zasad zabezpieczeń za pomocą programu PowerShell

Aby włączyć lub wyłączyć wstępnie ustawione zasady zabezpieczeń w warstwie Standardowa lub Ścisła w programie PowerShell, włącz lub wyłącz reguły skojarzone z zasadami. Wartość właściwości State reguły pokazuje, czy reguła jest włączona, czy wyłączona.

Jeśli Organizacja ma tylko funkcję EOP, należy wyłączyć lub włączyć regułę ochrony EOP.

Jeśli organizacja ma Ochrona usługi Office 365 w usłudze Defender, włącz lub wyłącz regułę ochrony EOP i regułę ochrony Ochrona usługi Office 365 w usłudze Defender (włącz lub wyłącz obie reguły).

  • Organizacje z tylko operacjami EOP:

    • Uruchom następujące polecenie, aby określić, czy reguły standardowych i ścisłych wstępnie ustawionych zasad zabezpieczeń są obecnie włączone lub wyłączone:

      Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50); Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50); Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy" | Format-Table Name,State

    • Uruchom następujące polecenie, aby wyłączyć wstępnie ustawione zasady zabezpieczeń w warstwie Standardowa, jeśli są włączone:

      Disable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"

    • Uruchom następujące polecenie, aby wyłączyć zasady zabezpieczeń ze ścisłym ustawieniem wstępnym, jeśli są włączone:

      Disable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"

    • Uruchom następujące polecenie, aby włączyć wstępnie ustawione zasady zabezpieczeń w warstwie Standardowa, jeśli są wyłączone:

      Enable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"

    • Uruchom następujące polecenie, aby włączyć ścisłe wstępnie ustawione zasady zabezpieczeń, jeśli są wyłączone:

      Enable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"

  • Organizacje z Ochrona usługi Office 365 w usłudze Defender:

    • Uruchom następujące polecenie, aby określić, czy reguły standardowych i ścisłych wstępnie ustawionych zasad zabezpieczeń są obecnie włączone lub wyłączone:

      Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50);Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject `r`n,"Defender for Office 365 protection rule",("-"*50);Get-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50);Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject `r`n,"Defender for Office 365 protection rule",("-"*50);Get-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy" | Format-Table Name,State

    • Uruchom następujące polecenie, aby wyłączyć wstępnie ustawione zasady zabezpieczeń w warstwie Standardowa, jeśli są włączone:

      Disable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"; Disable-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"

    • Uruchom następujące polecenie, aby wyłączyć zasady zabezpieczeń ze ścisłym ustawieniem wstępnym, jeśli są włączone:

      Disable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"; Disable-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"

    • Uruchom następujące polecenie, aby włączyć wstępnie ustawione zasady zabezpieczeń w warstwie Standardowa, jeśli są wyłączone:

      Enable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"; Enable-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"

    • Uruchom następujące polecenie, aby włączyć ścisłe wstępnie ustawione zasady zabezpieczeń, jeśli są wyłączone:

      Enable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"; Enable-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"

Używanie programu PowerShell do określania warunków adresatów i wyjątków dla wstępnie ustawionych zasad zabezpieczeń

Warunek adresata lub wyjątek można użyć tylko raz, ale warunek lub wyjątek może zawierać wiele wartości:

  • Wiele wartościtego samego warunku lub wyjątku używa logiki OR (na przykład <adresat1> lub <adresat2>):

    • Warunki: jeśli adresat pasuje do dowolnej z określonych wartości, zasady są do nich stosowane.
    • Wyjątki: jeśli adresat pasuje do dowolnej z określonych wartości, zasady nie są do nich stosowane.

  • Różne typy wyjątków używają logiki OR (na przykład <adresat1> lub <członek grupy1> lub <członek domeny domain1>). Jeśli adresat pasuje do żadnej z określonych wartości wyjątku, zasady nie są do nich stosowane.

  • Różne typy warunków używają logiki AND. Adresat musi spełniać wszystkie określone warunki, aby zasady były do nich stosowane. Na przykład należy skonfigurować warunek z następującymi wartościami:

    • Użytkowników: romain@contoso.com
    • Grupy: Kadra kierownicza

    Zasady są stosowane romain@contoso.comtylko wtedy, gdy jest on również członkiem grupy Kierownictwo. W przeciwnym razie zasady nie są do niego stosowane.

W przypadku wbudowanych zasad zabezpieczeń wstępnie ustawionych ochrony można określić tylko wyjątki adresatów. Jeśli wszystkie wartości parametrów wyjątku są puste ($null), nie ma wyjątków od zasad.

W przypadku standardowych i ścisłych wstępnie ustawionych zasad zabezpieczeń można określić warunki i wyjątki adresatów dla ochrony EOP i ochrony Ochrona usługi Office 365 w usłudze Defender. Jeśli wszystkie warunki i wartości parametrów wyjątków są puste ($null), nie ma żadnych warunków adresatów ani wyjątków od standardowych lub ścisłych zasad zabezpieczeń wstępnie ustawionych.

  • Wbudowane wstępnie ustawione zasady zabezpieczeń ochrony:

    Należy stosować następującą składnię:

    Set-ATPBuiltInProtectionRule -Identity "ATP Built-In Protection Rule" -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null>

    W tym przykładzie usunięto wszystkie wyjątki adresatów z zasad zabezpieczeń wstępnie ustawionych wbudowanej ochrony.

    Set-ATPBuiltInProtectionRule -Identity "ATP Built-In Protection Rule" -ExceptIfRecipientDomainIs $null -ExceptIfSentTo $null -ExceptIfSentToMemberOf $null

    Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz Set-ATPBuiltInProtectionRule.

  • Standardowe lub ścisłe wstępnie ustawione zasady zabezpieczeń

    Należy stosować następującą składnię:

    <Set-EOPProtectionPolicyRule | SetAtpProtectionPolicyRule> -Identity "<Standard Preset Security Policy | Strict Preset Security Policy>" -SentTo <"user1","user2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -SentToMemberOf <"group1","group2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null> -RecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null>

    W tym przykładzie skonfigurowano wyjątki od ochrony EOP w standardowych zasadach zabezpieczeń wstępnie ustawionych dla członków grupy dystrybucyjnej o nazwie Kierownictwo.

    Set-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy" -ExceptIfSentToMemberOf Executives

    W tym przykładzie skonfigurowano wyjątki od ochrony Ochrona usługi Office 365 w usłudze Defender w ścisłych zasadach zabezpieczeń wstępnie ustawionych dla określonych skrzynek pocztowych operacji zabezpieczeń (SecOps).

    Set-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy" -ExceptIfSentTo "SecOps1","SecOps2"

    Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz Set-EOPProtectionPolicyRule i Set-ATPProtectionPolicyRule.

Dodatek

Wstępnie ustawione zasady zabezpieczeń składają się z następujących elementów:

Te elementy zostały opisane w poniższych sekcjach.

Ponadto ważne jest, aby zrozumieć, jak wstępnie ustawione zasady zabezpieczeń pasują do kolejności pierwszeństwa względem innych zasad.

Profile w wstępnie ustawionych zasadach zabezpieczeń

Profil określa poziom ochrony. Następujące profile są dostępne dla wstępnie ustawionych zasad zabezpieczeń:

  • Standardowa ochrona: profil punktu odniesienia odpowiedni dla większości użytkowników.
  • Ścisła ochrona: bardziej agresywny profil dla wybranych użytkowników (użytkownicy o wysokiej wartości lub użytkownicy o wysokim priorytecie).
  • Wbudowana ochrona (tylko Ochrona usługi Office 365 w usłudze Microsoft Defender): efektywnie zapewnia domyślne zasady tylko dla bezpiecznych linków i bezpiecznych załączników.

Ogólnie rzecz biorąc, profil ścisłej ochrony ma tendencję do kwarantanny mniej szkodliwych wiadomości e-mail (na przykład zbiorczych i spamowych) niż profil ochrony standardowej , ale wiele ustawień w obu profilach jest takich samych (w szczególności w przypadku niewątpliwie szkodliwych wiadomości e-mail, takich jak złośliwe oprogramowanie lub wyłudzanie informacji). Aby zapoznać się z porównaniem różnic ustawień, zobacz tabele w następnej sekcji.

Dopóki nie włączysz profilów i nie przypiszesz do nich użytkowników, wstępnie ustawione zasady zabezpieczeń Standardowa i Ścisła nie zostaną przypisane do nikojego. Z kolei zasady zabezpieczeń wbudowanej ochrony są domyślnie przypisane do wszystkich adresatów, ale można skonfigurować wyjątki.

Ważna

Jeśli nie skonfigurujesz wyjątków od wstępnie ustawionych zasad zabezpieczeń wbudowanej ochrony, wszyscy adresaci w organizacji otrzymają ochronę bezpiecznych linków i bezpiecznych załączników.

Zasady w wstępnie ustawionych zasadach zabezpieczeń

Wstępnie ustawione zasady zabezpieczeń używają specjalnych wersji poszczególnych zasad ochrony, które są dostępne w ramach EOP i Ochrona usługi Office 365 w usłudze Microsoft Defender. Te zasady są tworzone po przypisaniu wstępnie ustawionych zasad zabezpieczeń ochrony standardowej lub ścisłej ochrony do użytkowników.

  • Zasady EOP: te zasady są we wszystkich organizacjach platformy Microsoft 365 z Exchange Online skrzynkami pocztowymi i autonomicznymi organizacjami EOP bez Exchange Online skrzynek pocztowych:

    Uwaga

    Zasady wychodzącego spamu nie są częścią wstępnie ustawionych zasad zabezpieczeń. Domyślne zasady spamu wychodzącego automatycznie chronią elementy członkowskie wstępnie ustawionych zasad zabezpieczeń. Możesz też utworzyć niestandardowe zasady spamu wychodzącego, aby dostosować ochronę dla członków wstępnie ustawionych zasad zabezpieczeń. Aby uzyskać więcej informacji, zobacz Konfigurowanie filtrowania spamu wychodzącego w ramach operacji EOP.

  • zasady Ochrona usługi Office 365 w usłudze Microsoft Defender: te zasady znajdują się w organizacjach z subskrypcjami dodatków Microsoft 365 E5 lub Ochrona usługi Office 365 w usłudze Defender:

    • Zasady ochrony przed wyłudzaniem informacji w Ochrona usługi Office 365 w usłudze Defender o nazwie Standardowe wstępnie ustawione zasady zabezpieczeń i ścisłe zasady zabezpieczeń wstępnie ustawione, które obejmują:
    • Zasady bezpiecznych łączy o nazwie Standardowe wstępnie ustawione zasady zabezpieczeń, Ścisłe wstępnie ustawione zasady zabezpieczeń i Wbudowane zasady ochrony.
    • Zasady bezpiecznych załączników o nazwie Standardowe wstępnie ustawione zasady zabezpieczeń, Ścisłe wstępnie ustawione zasady zabezpieczeń i Wbudowane zasady ochrony.

Zgodnie z wcześniejszym opisem można zastosować ochronę EOP do innych użytkowników niż Ochrona usługi Office 365 w usłudze Defender ochrony lub zastosować ochronę EOP i Ochrona usługi Office 365 w usłudze Defender do tych samych adresatów.

Ustawienia zasad w wstępnie ustawionych zasadach zabezpieczeń

Zasadniczo nie można modyfikować poszczególnych ustawień zasad w profilach ochrony. Dostosowywanie odpowiednich zasad domyślnych lub tworzenie nowych zasad niestandardowych nie ma wpływu ze względu na kolejność pierwszeństwa , gdy ten sam użytkownik (adresat) jest zdefiniowany w wielu zasadach (zasady zabezpieczeń standardowe i ścisłe są zawsze stosowane jako pierwsze).

Należy jednak skonfigurować poszczególnych użytkowników (nadawców) i domeny, aby otrzymywali ochronę przed personifikacją w Ochrona usługi Office 365 w usłudze Defender. W przeciwnym razie wstępnie ustawione zasady zabezpieczeń automatycznie konfiguruje następujące typy ochrony przed personifikacją:

Różnice w istotnych ustawieniach zasad w wstępnie ustawionych zasadach zabezpieczeń w warstwie Standardowa i wstępnie ustawionych zasadach zabezpieczeń są podsumowane w poniższej tabeli:

  Standardowy Ścisłe
Zasady ochrony przed złośliwym oprogramowaniem Brak różnicy Brak różnicy
Zasady ochrony przed spamem
  Akcja wykrywania na poziomie zgodności zbiorczej (BCL) została osiągnięta lub przekroczona (BulkSpamAction) Przenoszenie wiadomości do folderu Email-śmieci (MoveToJmf) Komunikat kwarantanny (Quarantine)
  Próg zbiorczej poczty e-mail (BulkThreshold) 6 5
  Akcja wykrywania spamu (SpamAction) Przenoszenie wiadomości do folderu Email-śmieci (MoveToJmf) Komunikat kwarantanny (Quarantine)
Zasady ochrony przed wyłudzaniem informacji
  Jeśli komunikat zostanie wykryty jako sfałszowany przez analizę fałszowania (AuthenticationFailAction) Przenoszenie wiadomości do folderu Email-śmieci (MoveToJmf) Komunikat kwarantanny (Quarantine)
Pokaż pierwszą poradę bezpieczeństwa kontaktu (EnableFirstContactSafetyTips) Wybrane ($true) Wybrane ($true)
  Jeśli analiza skrzynki pocztowej wykryje personifikowanego użytkownika (MailboxIntelligenceProtectionAction) Przenoszenie wiadomości do folderu Email-śmieci (MoveToJmf) Komunikat kwarantanny (Quarantine)
  Próg wiadomości e-mail wyłudzającej informacje (PhishThresholdLevel) 3 — Bardziej agresywne (3) 4 — Najbardziej agresywne (4)
Zasady bezpiecznych załączników Brak różnicy Brak różnicy
Zasady bezpiecznych linków Brak różnicy Brak różnicy

Różnice w ustawieniach zasad bezpiecznych załączników i bezpiecznych łączy w zasadach zabezpieczeń wstępnie ustawionych wbudowanej ochrony oraz w standardowych i ścisłych zasadach zabezpieczeń wstępnie ustawionych są podsumowane w poniższej tabeli:

  Wbudowana ochrona Standardowe i ścisłe
Zasady bezpiecznych załączników Brak różnicy Brak różnicy
Zasady bezpiecznych linków
  Zezwalaj użytkownikom na klikanie oryginalnego adresu URL (AllowClickThrough) Wybrane ($true) Nie zaznaczono ($false)
  Nie należy ponownie pisać adresów URL, sprawdzaj tylko za pośrednictwem interfejsu API bezpiecznych łączy (DisableURLRewrite) Wybrane ($true) Nie zaznaczono ($false)
  Stosowanie bezpiecznych linków do wiadomości e-mail wysyłanych w organizacji (EnableForInternalSenders) Nie zaznaczono ($false) Wybrane ($true)

Aby uzyskać szczegółowe informacje o tych ustawieniach, zobacz tabele funkcji w temacie Zalecane ustawienia dotyczące EOP i Ochrona usługi Office 365 w usłudze Microsoft Defender zabezpieczeń.

Kolejność pierwszeństwa dla wstępnie ustawionych zasad zabezpieczeń i innych zasad

Gdy adresat jest zdefiniowany w wielu zasadach, zasady są stosowane w następującej kolejności:

  1. Ścisłe wstępnie ustawione zasady zabezpieczeń.
  2. Standardowe wstępnie ustawione zasady zabezpieczeń.
  3. zasady oceny Ochrona usługi Office 365 w usłudze Defender
  4. Zasady niestandardowe oparte na priorytecie zasad (mniejsza liczba wskazuje wyższy priorytet).
  5. Wbudowane zasady zabezpieczeń wstępnie ustawione dla bezpiecznych linków i bezpiecznych załączników; domyślne zasady ochrony przed złośliwym oprogramowaniem, ochrony przed spamem i ochrony przed wyłudzaniem informacji.

Innymi słowy, ustawienia ścisłych wstępnie ustawionych zasad zabezpieczeń zastępują ustawienia wstępnie ustawionych zasad zabezpieczeń w warstwie Standardowa, które zastępują ustawienia zasad oceny ochrony przed wyłudzaniem informacji, bezpiecznych linków lub bezpiecznych załączników, które zastępują ustawienia zasad niestandardowych, które zastępują ustawienia wbudowanych zasad zabezpieczeń wstępnie ustawionych dla bezpiecznych linków i bezpiecznych załączników, oraz domyślne zasady dotyczące ochrony przed spamem, złośliwym oprogramowaniem i ochrony przed wyłudzaniem informacji.

Ta kolejność jest wyświetlana na stronach poszczególnych zasad zabezpieczeń w portalu usługi Defender (zasady są stosowane w kolejności, w jakiej są wyświetlane na stronie).

Na przykład administrator konfiguruje wstępnie skonfigurowane zasady zabezpieczeń w warstwie Standardowa i niestandardowe zasady ochrony przed spamem z tym samym adresatem. Ustawienia zasad ochrony przed spamem z wstępnie ustawionych zasad zabezpieczeń w warstwie Standardowa są stosowane do użytkownika, a nie do ustawień skonfigurowanych w niestandardowych zasadach ochrony przed spamem lub w domyślnych zasadach ochrony przed spamem.

Rozważ zastosowanie standardowych lub ścisłych wstępnie ustawionych zasad zabezpieczeń do podzestawu użytkowników i zastosuj zasady niestandardowe do innych użytkowników w organizacji w celu spełnienia określonych potrzeb. Aby spełnić to wymaganie, rozważ następujące metody:

  • Używaj jednoznacznych grup lub list adresatów w standardowych wstępnie ustawionych zasad zabezpieczeń, ścisłych wstępnie ustawionych zabezpieczeń i zasad niestandardowych, aby wyjątki nie były wymagane. Przy użyciu tej metody nie trzeba uwzględniać wielu zasad mających zastosowanie do tych samych użytkowników i skutków kolejności pierwszeństwa.
  • Jeśli nie możesz uniknąć stosowania wielu zasad do tych samych użytkowników, użyj następujących strategii:
    • Skonfiguruj adresatów, którzy powinni pobrać ustawienia wstępnie ustawionych zasad zabezpieczeń i zasad niestandardowych w warstwie Standardowa jako wyjątki w zasadach ścisłych zabezpieczeń wstępnie ustawionych.
    • Skonfiguruj adresatów, którzy powinni pobrać ustawienia zasad niestandardowych jako wyjątki w wstępnie ustawionych zasadach zabezpieczeń w warstwie Standardowa .
    • Skonfiguruj adresatów, którzy powinni pobrać ustawienia wstępnie ustawionych zasad zabezpieczeń wbudowanej ochrony lub domyślnych zasad jako wyjątki od zasad niestandardowych.

Wbudowane zasady zabezpieczeń wstępnie ustawione ochrony nie mają wpływu na adresatów w istniejących zasadach bezpiecznych linków ani bezpiecznych załączników. Jeśli już skonfigurowano ochronę standardową, ścisłą ochronę lub niestandardowe zasady bezpiecznych linków lub bezpiecznych załączników, zasady te są zawsze stosowane przedwbudowaną ochroną, więc nie ma to wpływu na adresatów, którzy są już zdefiniowani w istniejących zasadach wstępnych lub niestandardowych.

Aby uzyskać więcej informacji, zobacz Kolejność i pierwszeństwo ochrony poczty e-mail.