Zalecane ustawienia zabezpieczeń EOP i Ochrona usługi Office 365 w usłudze Microsoft Defender

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w Microsoft 365 Defender Office 365 Plan 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnych portalu Microsoft 365 Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami dotyczącymi wersji próbnej tutaj.

Dotyczy

Exchange Online Protection (EOP) jest podstawą zabezpieczeń subskrypcji platformy Microsoft 365 i pomaga zapobiegać docieraniu złośliwych wiadomości e-mail do skrzynek odbiorczych pracownika. Jednak w przypadku nowych, bardziej zaawansowanych ataków pojawiających się każdego dnia często wymagane są ulepszone zabezpieczenia. Ochrona usługi Office 365 w usłudze Microsoft Defender Plan 1 lub Plan 2 zawierają dodatkowe funkcje, które zapewniają administratorom więcej warstw zabezpieczeń, kontroli i badania.

Mimo że umożliwiamy administratorom zabezpieczeń dostosowywanie ich ustawień zabezpieczeń, zalecamy stosowanie dwóch poziomów zabezpieczeń w ramach EOP i Ochrona usługi Office 365 w usłudze Microsoft Defender: Standardowa i Ścisła. Mimo że środowiska i potrzeby klientów są różne, te poziomy filtrowania pomogą zapobiec docieraniu niechcianej poczty do skrzynki odbiorczej pracowników w większości sytuacji.

Aby automatycznie zastosować ustawienia standardowe lub ścisłe do użytkowników, zobacz Wstępnie ustawione zasady zabezpieczeń w usłudze EOP i Ochrona usługi Office 365 w usłudze Microsoft Defender.

W tym artykule opisano ustawienia domyślne, a także zalecane ustawienia standardowe i ścisłe, które ułatwiają ochronę użytkowników. Tabele zawierają ustawienia w portalu Microsoft 365 Defender i programie PowerShell (Exchange Online programu PowerShell lub autonomicznej Exchange Online Protection programu PowerShell dla organizacji bez Exchange Online skrzynek pocztowych).

Uwaga

Moduł Office 365 Advanced Threat Protection Recommended Configuration Analyzer (ORCA) dla programu PowerShell może ułatwić (administratorom) znalezienie bieżących wartości tych ustawień. W szczególności polecenie cmdlet Get-ORCAReport generuje ocenę ochrony przed spamem, ochrony przed wyłudzaniem informacji i innych ustawień higieny wiadomości. Moduł ORCA można pobrać pod adresem https://www.powershellgallery.com/packages/ORCA/.

W organizacjach platformy Microsoft 365 zalecamy pozostawienie filtru junk Email w programie Outlook na wartość Brak automatycznego filtrowania, aby zapobiec niepotrzebnym konfliktom (zarówno pozytywnym, jak i negatywnym) z werdyktami filtrowania spamu z EOP. Aby uzyskać więcej informacji, zapoznaj się z następującymi artykułami:

Ochrona przed spamem, ochroną przed złośliwym oprogramowaniem i ochroną przed wyłudzaniem informacji w ramach EOP

Ochrona przed spamem, ochrona przed złośliwym oprogramowaniem i ochrona przed wyłudzaniem informacji to funkcje EOP, które mogą być konfigurowane przez administratorów. Zalecamy następujące konfiguracje standardowe lub ścisłe.

Ustawienia zasad ochrony przed spamem w usłudze EOP

Aby utworzyć i skonfigurować zasady ochrony przed spamem, zobacz Konfigurowanie zasad ochrony przed spamem w usłudze EOP.

Nazwa funkcji zabezpieczeń Domyślne Standardowy Ścisłe Komentowanie
Próg zbiorczej poczty e-mail & właściwości spamu
Próg zbiorczej poczty e-mail

BulkThreshold
7 6 5 Aby uzyskać szczegółowe informacje, zobacz Poziom skarg zbiorczych (BCL) w EOP.
MarkAsSpamBulkMail On On On To ustawienie jest dostępne tylko w programie PowerShell.
Zwiększanie ustawień oceny spamu Wyłączony Wyłączony Wyłączony Wszystkie te ustawienia są częścią zaawansowanego filtru spamu (ASF). Aby uzyskać więcej informacji, zobacz sekcję Ustawienia asf w zasadach ochrony przed spamem w tym artykule.
Oznacz jako ustawienia spamu Wyłączony Wyłączony Wyłączony Większość z tych ustawień jest częścią usługi ASF. Aby uzyskać więcej informacji, zobacz sekcję Ustawienia asf w zasadach ochrony przed spamem w tym artykule.
Zawiera określone języki

EnableLanguageBlockList

LanguageBlockList
Wyłączony

$false

Puste
Wyłączony

$false

Puste
Wyłączony

$false

Puste
Nie mamy żadnych konkretnych zaleceń dotyczących tego ustawienia. Komunikaty można blokować w określonych językach w zależności od potrzeb biznesowych.
Z tych krajów

EnableRegionBlockList

RegionBlockList
Wyłączony

$false

Puste
Wyłączony

$false

Puste
Wyłączony

$false

Puste
Nie mamy żadnych konkretnych zaleceń dotyczących tego ustawienia. Komunikaty z określonych krajów można blokować w zależności od potrzeb biznesowych.
Tryb testu (TestModeAction) Brak Brak Brak To ustawienie jest częścią usługi ASF. Aby uzyskać więcej informacji, zobacz sekcję Ustawienia asf w zasadach ochrony przed spamem w tym artykule.
Działania Wszędzie tam, gdzie wybrano komunikat kwarantanny, dostępne jest pole Wyboru zasad kwarantanny . Zasady kwarantanny definiują, co użytkownicy mogą robić w przypadku komunikatów poddanych kwarantannie.

Standardowe i ścisłe wstępnie ustawione zasady zabezpieczeń używają domyślnych zasad kwarantanny (AdminOnlyAccessPolicy lub DefaultFullAccessPolicy bez powiadomień kwarantanny) zgodnie z opisem w tabeli tutaj.

Podczas tworzenia nowych zasad ochrony przed spamem pusta wartość oznacza, że domyślne zasady kwarantanny są używane do definiowania historycznych możliwości komunikatów, które zostały poddane kwarantannie przez ten konkretny werdykt (AdminOnlyAccessPolicy bez powiadomień kwarantanny dotyczących wyłudzania informacji o wysokim poziomie zaufania; DefaultFullAccessPolicy bez powiadomień o kwarantannie dla wszystkiego innego).

Administratorzy mogą tworzyć i wybierać niestandardowe zasady kwarantanny, które definiują bardziej restrykcyjne lub mniej restrykcyjne możliwości dla użytkowników w domyślnych lub niestandardowych zasadach ochrony przed spamem. Aby uzyskać więcej informacji, zobacz Zasady kwarantanny.
Akcja wykrywania spamu

SpamAction
Przenoszenie wiadomości do folderu Junk Email

MoveToJmf
Przenoszenie wiadomości do folderu Junk Email

MoveToJmf
Komunikat kwarantanny

Quarantine
Akcja wykrywania spamu o wysokim poziomie ufności

HighConfidenceSpamAction
Przenoszenie wiadomości do folderu Junk Email

MoveToJmf
Komunikat kwarantanny

Quarantine
Komunikat kwarantanny

Quarantine
Akcja wykrywania wyłudzania informacji

PhishSpamAction
Przenoszenie wiadomości do folderu Junk Email*

MoveToJmf
Komunikat kwarantanny

Quarantine
Komunikat kwarantanny

Quarantine
*Wartość domyślna to Przenieś wiadomość do folderu Email wiadomości-śmieci w domyślnych zasadach ochrony przed spamem oraz w nowych zasadach ochrony przed spamem utworzonych w programie PowerShell. Wartość domyślna to Komunikat kwarantanny w nowych zasadach ochrony przed spamem tworzonych w portalu Microsoft 365 Defender.
Akcja wykrywania wyłudzania informacji o wysokim poziomie zaufania

HighConfidencePhishAction
Komunikat kwarantanny

Quarantine
Komunikat kwarantanny

Quarantine
Komunikat kwarantanny

Quarantine
Akcja wykrywania zbiorczego

BulkSpamAction
Przenoszenie wiadomości do folderu Junk Email

MoveToJmf
Przenoszenie wiadomości do folderu Junk Email

MoveToJmf
Komunikat kwarantanny

Quarantine
Przechowywanie spamu w kwarantannie przez tyle dni

KwarantannaRetentionPeriod
15 dni 30 dni 30 dni

Ta wartość ma również wpływ na komunikaty poddane kwarantannie przez zasady ochrony przed wyłudzaniem informacji. Aby uzyskać więcej informacji, zobacz Kwarantanna wiadomości e-mail w EOP.
Włączanie wskazówek dotyczących bezpieczeństwa spamu

InlineSafetyTipsEnabled
Wybrane

$true
Wybrane

$true
Wybrane

$true
Włączanie automatycznego przeczyszczania w godzinach zerowych (ZAP) na potrzeby wiadomości wyłudzających informacje

PhishZapEnabled
Wybrane

$true
Wybrane

$true
Wybrane

$true
Włączanie zap dla wiadomości niepożądanych

SpamZapEnabled
Wybrane

$true
Wybrane

$true
Wybrane

$true
Zezwalaj na listę zablokowanych &
Dozwoloni nadawcy

AllowedSenders
Brak Brak Brak
Dozwolone domeny nadawcy

AllowedSenderDomains
Brak Brak Brak Dodawanie domen do listy dozwolonych nadawców jest bardzo złym pomysłem. Osoby atakujące będą mogły wysłać Ci wiadomość e-mail, która w przeciwnym razie zostałaby odfiltrowana.

Skorzystaj ze szczegółowych informacji analitycznych na temat fałszowania i listy dozwolonych/zablokowanych dzierżaw , aby przejrzeć wszystkich nadawców, którzy podszywają się pod adresy e-mail nadawcy w domenach poczty e-mail w organizacji lub podszywają się pod adresy e-mail nadawcy w domenach zewnętrznych.
Zablokowani nadawcy

BlockedSenders
Brak Brak Brak
Zablokowane domeny nadawcy

BlockedSenderDomains
Brak Brak Brak

Ustawienia usługi ASF w zasadach ochrony przed spamem

Aby uzyskać więcej informacji na temat ustawień zaawansowanego filtru spamu (ASF) w zasadach ochrony przed spamem, zobacz Ustawienia zaawansowanego filtru spamu (ASF) w usłudze EOP.

Nazwa funkcji zabezpieczeń Domyślne Zalecane
Standardowy
Zalecane
Ścisłe
Komentowanie
Linki obrazów do lokacji zdalnych

IncreaseScoreWithImageLinks
Wyłączony Wyłączony Wyłączony
Numeryczny adres IP w adresie URL

IncreaseScoreWithNumericIps
Wyłączony Wyłączony Wyłączony
Przekierowanie adresu URL do innego portu

IncreaseScoreWithRedirectToOtherPort
Wyłączony Wyłączony Wyłączony
Linki do witryn .biz lub .info

IncreaseScoreWithBizOrInfoUrls
Wyłączony Wyłączony Wyłączony
Puste komunikaty

MarkAsSpamEmptyMessages
Wyłączony Wyłączony Wyłączony
Osadzanie tagów w kodzie HTML

MarkAsSpamEmbedTagsInHtml
Wyłączony Wyłączony Wyłączony
Język JavaScript lub VBScript w języku HTML

MarkAsSpamJavaScriptInHtml
Wyłączony Wyłączony Wyłączony
Tagi formularzy w języku HTML

MarkAsSpamFormTagsInHtml
Wyłączony Wyłączony Wyłączony
Tagi ramek lub ramek w języku HTML

MarkAsSpamFramesInHtml
Wyłączony Wyłączony Wyłączony
Błędy internetowe w kodzie HTML

MarkAsSpamWebBugsInHtml
Wyłączony Wyłączony Wyłączony
Tagi obiektów w kodzie HTML

MarkAsSpamObjectTagsInHtml
Wyłączony Wyłączony Wyłączony
Wyrazy wrażliwe

MarkAsSpamSensitiveWordList
Wyłączony Wyłączony Wyłączony
Rekord SPF: niepowodzenie twarde

MarkAsSpamSpfRecordHardFail
Wyłączony Wyłączony Wyłączony
Filtrowanie identyfikatora nadawcy kończy się niepowodzeniem

MarkAsSpamFromAddressAuthFail
Wyłączony Wyłączony Wyłączony
Backscatter

MarkAsSpamNdrBackscatter
Wyłączony Wyłączony Wyłączony
Tryb testowania

TestModeAction)
Brak Brak Brak W przypadku ustawień asf, które obsługują akcję Testuj jako akcję, możesz skonfigurować akcję trybu testowego na wartość Brak, Dodaj domyślny tekst X-Header lub Wyślij komunikat Bcc (None, AddXHeaderlub BccMessage). Aby uzyskać więcej informacji, zobacz Włączanie, wyłączanie lub testowanie ustawień asf.

Ustawienia zasad wychodzących zasad dotyczących spamu w usłudze EOP

Aby utworzyć i skonfigurować zasady wychodzącego spamu, zobacz Konfigurowanie filtrowania spamu wychodzącego w ramach EOP.

Aby uzyskać więcej informacji na temat domyślnych limitów wysyłania w usłudze, zobacz Wysyłanie limitów.

Uwaga

Zasady wychodzącego spamu nie są częścią standardowych ani rygorystycznych wstępnie ustawionych zasad zabezpieczeń. Wartości Standardowe i Ścisłe wskazują zalecane wartości w domyślnych zasadach spamu wychodzącego lub niestandardowych utworzonych przez Ciebie zasadach spamu wychodzącego.

Nazwa funkcji zabezpieczeń Domyślne Zalecane
Standardowy
Zalecane
Ścisłe
Komentowanie
Ustawianie limitu komunikatów zewnętrznych

AdresatLimitExternalPerHour
0 500 400 Wartość domyślna 0 oznacza użycie wartości domyślnych usługi.
Ustawianie wewnętrznego limitu komunikatów

AdresatLimitInternalPerHour
0 1000 800 Wartość domyślna 0 oznacza użycie wartości domyślnych usługi.
Ustawianie dziennego limitu komunikatów

AdresatLimitPerDay
0 1000 800 Wartość domyślna 0 oznacza użycie wartości domyślnych usługi.
Ograniczenie nałożone na użytkowników, którzy osiągną limit komunikatów

ActionWhenThresholdReached
Ogranicz użytkownikowi wysyłanie wiadomości e-mail do następnego dnia

BlockUserForToday
Ograniczanie użytkownikowi możliwości wysyłania wiadomości e-mail

BlockUser
Ograniczanie użytkownikowi możliwości wysyłania wiadomości e-mail

BlockUser
Reguły automatycznego przekazywania

AutoForwardingMode
Automatyczne — sterowane przez system

Automatic
Automatyczne — sterowane przez system

Automatic
Automatyczne — sterowane przez system

Automatic
Wysyłanie kopii komunikatów wychodzących przekraczających te limity do tych użytkowników i grup

BccSuspiciousOutboundMail

BccSuspiciousOutboundAdditionalRecipients
Nie zaznaczono

$false

Puste
Nie zaznaczono

$false

Puste
Nie zaznaczono

$false

Puste
Nie mamy żadnych konkretnych zaleceń dotyczących tego ustawienia.

To ustawienie działa tylko w domyślnych zasadach spamu wychodzącego. Nie działa to w ramach niestandardowych zasad spamu wychodzącego, które tworzysz.
Powiadamiaj tych użytkowników i grupy, jeśli nadawca jest zablokowany z powodu wysyłania spamu wychodzącego

NotifyOutboundSpam

NotifyOutboundSpamRecipients
Nie zaznaczono

$false

Puste
Nie zaznaczono

$false

Puste
Nie zaznaczono

$false

Puste
Domyślne zasady alertów o nazwie Użytkownik z ograniczeniami wysyłania wiadomości e-mail wysyłają już powiadomienia e-mail do członków grupy TenantAdmins (administratorzy globalni), gdy użytkownicy są blokowani z powodu przekroczenia limitów w zasadach. Zdecydowanie zalecamy używanie zasad alertów zamiast tego ustawienia w zasadach spamu wychodzącego w celu powiadamiania administratorów i innych użytkowników. Aby uzyskać instrukcje, zobacz Weryfikowanie ustawień alertów dla użytkowników z ograniczeniami.

Ustawienia zasad ochrony przed złośliwym oprogramowaniem EOP

Aby utworzyć i skonfigurować zasady ochrony przed złośliwym oprogramowaniem, zobacz Konfigurowanie zasad ochrony przed złośliwym oprogramowaniem w ramach EOP.

Nazwa funkcji zabezpieczeń Domyślne Standardowy Ścisłe Komentowanie
Ustawienia ochrony
Włączanie wspólnego filtru załączników

EnableFileFilter
Wybrane

$true
Wybrane

$true
Wybrane

$true
To ustawienie powoduje kwarantannę komunikatów zawierających załączniki na podstawie typu pliku, niezależnie od zawartości załącznika. Aby uzyskać listę typów plików, zobacz Zasady ochrony przed złośliwym oprogramowaniem.
Typowe powiadomienia filtru załączników (po znalezieniu tych typów plików)

FileTypeAction
Odrzuć komunikaty z potwierdzeniem braku dostawy (NDR)

Reject
Odrzuć komunikaty z potwierdzeniem braku dostawy (NDR)

Reject
Odrzuć komunikaty z potwierdzeniem braku dostawy (NDR)

Reject
Włączanie automatycznego przeczyszczania z zerową godziną w przypadku złośliwego oprogramowania

ZapEnabled
Wybrane

$true
Wybrane

$true
Wybrane

$true
Zasady kwarantanny AdminOnlyAccessPolicy AdminOnlyAccessPolicy AdminOnlyAccessPolicy Podczas tworzenia nowych zasad ochrony przed złośliwym oprogramowaniem pusta wartość oznacza, że domyślne zasady kwarantanny są używane do definiowania historycznych możliwości komunikatów, które zostały poddane kwarantannie jako złośliwe oprogramowanie (AdminOnlyAccessPolicy bez powiadomień kwarantanny).

Standardowe i ścisłe wstępnie ustawione zasady zabezpieczeń używają domyślnych zasad kwarantanny (AdminOnlyAccessPolicy bez powiadomień o kwarantannie) zgodnie z opisem w tabeli tutaj.

Administratorzy mogą tworzyć i wybierać niestandardowe zasady kwarantanny, które definiują więcej możliwości dla użytkowników w domyślnych lub niestandardowych zasadach ochrony przed złośliwym oprogramowaniem. Aby uzyskać więcej informacji, zobacz Zasady kwarantanny.
powiadomienia Administracja
Powiadamianie administratora o niedostarczonych komunikatach od nadawców wewnętrznych

EnableInternalSenderAdminNotifications

InternalSenderAdminAddress
Nie zaznaczono

$false
Nie zaznaczono

$false
Nie zaznaczono

$false
Nie mamy żadnych konkretnych zaleceń dotyczących tego ustawienia.
Powiadamianie administratora o niedostarczonych komunikatach od nadawców zewnętrznych

EnableExternalSenderAdminNotifications

ExternalSenderAdminAddress
Nie zaznaczono

$false
Nie zaznaczono

$false
Nie zaznaczono

$false
Nie mamy żadnych konkretnych zaleceń dotyczących tego ustawienia.
Dostosowywanie powiadomień Nie mamy żadnych konkretnych zaleceń dotyczących tych ustawień.
Korzystanie z dostosowanego tekstu powiadomień

CustomNotifications
Nie zaznaczono

$false
Nie zaznaczono

$false
Nie zaznaczono

$false
Z nazwy

CustomFromName
Puste

$null
Puste

$null
Puste

$null
Z adresu

CustomFromAddress
Puste

$null
Puste

$null
Puste

$null
Dostosowywanie powiadomień dotyczących komunikatów od nadawców wewnętrznych Te ustawienia są używane tylko wtedy, gdy zostanie wybrana opcja Powiadom administratora o niedostarczonych komunikatach od nadawców wewnętrznych .
Temat

CustomInternalSubject
Puste

$null
Puste

$null
Puste

$null
Komunikat

CustomInternalBody
Puste

$null
Puste

$null
Puste

$null
Dostosowywanie powiadomień dotyczących komunikatów od nadawców zewnętrznych Te ustawienia są używane tylko wtedy, gdy zostanie wybrane powiadomienie administratora o niedostarczonych komunikatach od nadawców zewnętrznych .
Temat

CustomExternalSubject
Puste

$null
Puste

$null
Puste

$null
Komunikat

CustomExternalBody
Puste

$null
Puste

$null
Puste

$null

Ustawienia zasad ochrony przed wyłudzaniem informacji w usłudze EOP

Aby uzyskać więcej informacji na temat tych ustawień, zobacz Spoof settings (Fałszowanie ustawień). Aby skonfigurować te ustawienia, zobacz Konfigurowanie zasad ochrony przed wyłudzaniem informacji w ramach EOP.

Ustawienia fałszowania są ze sobą powiązane, ale ustawienie Pokaż pierwszą poradę bezpieczeństwa kontaktu nie jest zależne od ustawień fałszowania.

Nazwa funkcji zabezpieczeń Domyślne Standardowy Ścisłe Komentowanie
Ochrona & progu wyłudzania informacji
Włączanie analizy fałszowania

EnableSpoofIntelligence
Wybrane

$true
Wybrane

$true
Wybrane

$true
Działania
Jeśli komunikat zostanie wykryty jako sfałszowany

AuthenticationFailAction
Przenoszenie wiadomości do folderów Email wiadomości-śmieci adresatów

MoveToJmf
Przenoszenie wiadomości do folderów Email wiadomości-śmieci adresatów

MoveToJmf
Kwarantanna komunikatu

Quarantine
To ustawienie dotyczy sfałszowanych nadawców, którzy zostali automatycznie zablokowani, jak pokazano w szczegółowych informacjach dotyczących fałszowania analizy lub ręcznie zablokowanych na liście dozwolonych/zablokowanych dzierżaw.

Jeśli wybierzesz pozycję Kwarantanna komunikatu, pole Zastosuj zasady kwarantanny jest dostępne, aby wybrać zasady kwarantanny, które definiują, co użytkownicy mogą robić dla komunikatów, które są poddane kwarantannie jako fałszowanie. Podczas tworzenia nowych zasad ochrony przed wyłudzaniem informacji pusta wartość oznacza, że domyślne zasady kwarantanny są używane do definiowania historycznych możliwości komunikatów, które zostały poddane kwarantannie jako fałszowanie (DefaultFullAccessPolicy bez powiadomień kwarantanny).

Standardowe i ścisłe wstępnie ustawione zasady zabezpieczeń używają domyślnych zasad kwarantanny (DefaultFullAccessPolicy bez powiadomień o kwarantannie) zgodnie z opisem w tabeli tutaj.

Administratorzy mogą tworzyć i wybierać niestandardowe zasady kwarantanny, które definiują bardziej restrykcyjne lub mniej restrykcyjne możliwości dla użytkowników w domyślnych lub niestandardowych zasadach ochrony przed wyłudzaniem informacji. Aby uzyskać więcej informacji, zobacz Zasady kwarantanny.
Pokaż pierwszą poradę bezpieczeństwa kontaktu

EnableFirstContactSafetyTips
Nie zaznaczono

$false
Nie zaznaczono

$false
Nie zaznaczono

$false
Aby uzyskać więcej informacji, zobacz Porada dotycząca bezpieczeństwa pierwszego kontaktu.
Pokaż (?) dla nieuwierzytelnionych nadawców na potrzeby fałszowania

EnableUnauthenticatedSender
Wybrane

$true
Wybrane

$true
Wybrane

$true
Dodaje znak zapytania (?) do zdjęcia nadawcy w programie Outlook dla niezidentyfikowanych sfałszowanych nadawców. Aby uzyskać więcej informacji, zobacz Nieuwierzytelnione wskaźniki nadawcy.
Pokaż tag "via"

EnableViaTag
Wybrane

$true
Wybrane

$true
Wybrane

$true
Dodaje tag via (chris@contoso.com za pośrednictwem fabrikam.com) do adresu Od, jeśli różni się on od domeny w podpisie DKIM lub adresIE MAIL FROM .

Aby uzyskać więcej informacji, zobacz Nieuwierzytelnione wskaźniki nadawcy.

zabezpieczenia Ochrona usługi Office 365 w usłudze Microsoft Defender

Dodatkowe korzyści związane z zabezpieczeniami są dostępne w ramach subskrypcji Ochrona usługi Office 365 w usłudze Microsoft Defender. Najnowsze wiadomości i informacje można znaleźć w temacie Co nowego w Ochrona usługi Office 365 w usłudze Defender.

Ważne

Jeśli Twoja subskrypcja obejmuje Ochrona usługi Office 365 w usłudze Microsoft Defender lub jeśli zakupiono Ochrona usługi Office 365 w usłudze Defender jako dodatek, ustaw następujące konfiguracje standardowe lub ścisłe.

Ustawienia zasad ochrony przed wyłudzaniem informacji w Ochrona usługi Office 365 w usłudze Microsoft Defender

Klienci EOP uzyskują podstawową ochronę przed wyłudzaniem informacji zgodnie z wcześniejszym opisem, ale Ochrona usługi Office 365 w usłudze Defender zawiera więcej funkcji i kontroli, aby pomóc w zapobieganiu atakom, wykrywaniu i korygowaniu ich. Aby utworzyć i skonfigurować te zasady, zobacz Konfigurowanie zasad ochrony przed wyłudzaniem informacji w Ochrona usługi Office 365 w usłudze Defender.

Zaawansowane ustawienia zasad ochrony przed wyłudzaniem informacji w Ochrona usługi Office 365 w usłudze Microsoft Defender

Aby uzyskać więcej informacji na temat tego ustawienia, zobacz Zaawansowane progi wyłudzania informacji w zasadach ochrony przed wyłudzaniem informacji w Ochrona usługi Office 365 w usłudze Microsoft Defender. Aby skonfigurować to ustawienie, zobacz Konfigurowanie zasad ochrony przed wyłudzaniem informacji w Ochrona usługi Office 365 w usłudze Defender.

Nazwa funkcji zabezpieczeń Domyślne Standardowy Ścisłe Komentowanie
Próg wiadomości e-mail wyłud

PhishThresholdLevel
1 — Standardowa

1
2 — Agresywne

2
3 — Bardziej agresywne

3

Ustawienia personifikacji w zasadach ochrony przed wyłudzaniem informacji w Ochrona usługi Office 365 w usłudze Microsoft Defender

Aby uzyskać więcej informacji na temat tych ustawień, zobacz Temat Impersonation settings in anti-phishing policies in Ochrona usługi Office 365 w usłudze Microsoft Defender (Ustawienia personifikacji w zasadach ochrony przed wyłudzaniem informacji w Ochrona usługi Office 365 w usłudze Microsoft Defender). Aby skonfigurować te ustawienia, zobacz Konfigurowanie zasad ochrony przed wyłudzaniem informacji w Ochrona usługi Office 365 w usłudze Defender.

Nazwa funkcji zabezpieczeń Domyślne Standardowy Ścisłe Komentowanie
Ochrona & progu wyłudzania informacji
Umożliwianie użytkownikom ochrony (ochrona użytkowników personifikowanych)

EnableTargetedUserProtection

TargetedUsersToProtect
Nie zaznaczono

$false

brak
Wybrane

$true

<list of users>
Wybrane

$true

<list of users>
Zalecamy dodanie użytkowników (nadawców komunikatów) do kluczowych ról. Wewnętrznie chronionymi nadawcami mogą być Dyrektor Generalny, Dyrektor Finansowy i inni starsi liderzy. Zewnętrznie chronieni nadawcy mogą obejmować członków rady lub zarząd.
Włączanie ochrony domen (personifikowana ochrona domeny) Nie zaznaczono Wybrane Wybrane
Uwzględnij domeny, których jestem właścicielem

EnableOrganizationDomainsProtection
Wyłączony

$false
Wybrane

$true
Wybrane

$true
Dołączanie domen niestandardowych

EnableTargetedDomainsProtection

TargetedDomainsToProtect
Wyłączony

$false

brak
Wybrane

$true

<list of domains>
Wybrane

$true

<list of domains>
Zalecamy dodanie domen (domen nadawcy), których nie jesteś właścicielem, ale często wchodzisz w interakcje.
Dodawanie zaufanych nadawców i domen

Wykluczeni nadawcy

Wykluczonedomeny
Brak Brak Brak W zależności od organizacji zalecamy dodanie nadawców lub domen, które są niepoprawnie identyfikowane jako próby personifikacji.
Włączanie analizy skrzynki pocztowej

EnableMailboxIntelligence
Wybrane

$true
Wybrane

$true
Wybrane

$true
Włączanie analizy w celu ochrony przed personifikacją

EnableMailboxIntelligenceProtection
Wyłączony

$false
Wybrane

$true
Wybrane

$true
To ustawienie umożliwia określoną akcję wykrywania personifikacji za pomocą analizy skrzynki pocztowej.
Działania Wszędzie tam, gdzie wybierzesz pozycję Kwarantanna komunikatu, dostępne jest pole Wyboru zasad kwarantanny . Zasady kwarantanny definiują, co użytkownicy mogą robić w przypadku komunikatów poddanych kwarantannie.

Standardowe i ścisłe wstępnie ustawione zasady zabezpieczeń używają domyślnych zasad kwarantanny (DefaultFullAccessPolicy bez powiadomień o kwarantannie) zgodnie z opisem w tabeli tutaj.

Podczas tworzenia nowych zasad ochrony przed wyłudzaniem informacji pusta wartość oznacza, że domyślne zasady kwarantanny są używane do definiowania historycznych możliwości komunikatów, które zostały poddane kwarantannie przez ten werdykt (DefaultFullAccessPolicy dla wszystkich typów wykrywania personifikacji).

Administratorzy mogą tworzyć i wybierać niestandardowe zasady kwarantanny, które definiują mniej restrykcyjne lub bardziej restrykcyjne możliwości dla użytkowników w domyślnych lub niestandardowych zasadach ochrony przed wyłudzaniem informacji. Aby uzyskać więcej informacji, zobacz Zasady kwarantanny.
Jeśli komunikat zostanie wykryty jako personifikowany użytkownik

TargetedUserProtectionAction
Nie stosuj żadnej akcji

NoAction
Kwarantanna komunikatu

Quarantine
Kwarantanna komunikatu

Quarantine
Jeśli komunikat zostanie wykryty jako domena personifikowana

TargetedDomainProtectionAction
Nie stosuj żadnej akcji

NoAction
Kwarantanna komunikatu

Quarantine
Kwarantanna komunikatu

Quarantine
Jeśli analiza skrzynki pocztowej wykryje i personifikuje użytkownika

Skrzynka pocztowaIntelligenceProtectionAction
Nie stosuj żadnej akcji

NoAction
Przenoszenie wiadomości do folderów Email wiadomości-śmieci adresatów

MoveToJmf
Kwarantanna komunikatu

Quarantine
Pokaż poradę dotyczącą bezpieczeństwa personifikacji użytkownika

EnableSimilarUsersSafetyTips
Wyłączony

$false
Wybrane

$true
Wybrane

$true
Pokaż poradę dotyczącą bezpieczeństwa personifikacji domeny

EnableSimilarDomainsSafetyTips
Wyłączony

$false
Wybrane

$true
Wybrane

$true
Pokaż wskazówki bezpieczeństwa dotyczące personifikacji nietypowych znaków przez użytkownika

EnableUnusualCharactersSafetyTips
Wyłączony

$false
Wybrane

$true
Wybrane

$true

Ustawienia zasad ochrony przed wyłudzaniem informacji na platformie EOP w Ochrona usługi Office 365 w usłudze Microsoft Defender

Są to te same ustawienia, które są dostępne w ustawieniach zasad ochrony przed spamem w ramach EOP.

Ustawienia bezpiecznych załączników

Bezpieczne załączniki w Ochrona usługi Office 365 w usłudze Microsoft Defender obejmują ustawienia globalne, które nie mają relacji z zasadami bezpiecznych załączników, oraz ustawienia specyficzne dla poszczególnych zasad bezpiecznych łączy. Aby uzyskać więcej informacji, zobacz Bezpieczne załączniki w Ochrona usługi Office 365 w usłudze Defender.

Mimo że nie ma domyślnych zasad bezpiecznych załączników, wstępnie skonfigurowane zasady zabezpieczeń wbudowanej ochrony zapewniają ochronę bezpiecznych załączników wszystkim adresatom, którzy nie są jeszcze uwzględnieni w niestandardowych zasadach bezpiecznych załączników. Aby uzyskać więcej informacji, zobacz Preset security policies in EOP and Ochrona usługi Office 365 w usłudze Microsoft Defender (Ustawienia wstępne zasad zabezpieczeń w usłudze EOP i Ochrona usługi Office 365 w usłudze Microsoft Defender).

Ustawienia globalne bezpiecznych załączników

Uwaga

Ustawienia globalne bezpiecznych załączników są ustawiane przez wstępnie ustawione zasady zabezpieczeń wbudowanej ochrony , ale nie przez standardowe lub ścisłe zasady zabezpieczeń. Tak czy inaczej, administratorzy mogą modyfikować te globalne ustawienia bezpiecznych załączników w dowolnym momencie.

Kolumna Domyślne zawiera wartości przed istnieniem zasad zabezpieczeń wstępnie ustawionych wbudowanej ochrony . Kolumna Wbudowana ochrona pokazuje wartości, które są ustawiane przez wbudowane zasady zabezpieczeń wstępnie ustawione, które są również naszymi zalecanymi wartościami.

Aby skonfigurować te ustawienia, zobacz Włączanie bezpiecznych załączników dla programów SharePoint, OneDrive i Microsoft Teams oraz Bezpieczne dokumenty w Microsoft 365 E5.

W programie PowerShell używasz polecenia cmdlet Set-AtpPolicyForO365 dla tych ustawień.

Nazwa funkcji zabezpieczeń Domyślne Wbudowana ochrona Komentowanie
Włączanie Ochrona usługi Office 365 w usłudze Defender dla programów SharePoint, OneDrive i Microsoft Teams

EnableATPForSPOTeamsODB
Wyłączony

$false
Na

$true
Aby uniemożliwić użytkownikom pobieranie złośliwych plików, zobacz Używanie programu PowerShell usługi SharePoint Online, aby uniemożliwić użytkownikom pobieranie złośliwych plików.
Włączanie bezpiecznych dokumentów dla klientów pakietu Office

EnableSafeDocs
Wyłączony

$false
Na

$true
Ta funkcja jest dostępna i zrozumiała tylko w przypadku licencji, które nie są uwzględnione w Ochrona usługi Office 365 w usłudze Defender (na przykład Microsoft 365 A5 lub Zabezpieczenia platformy Microsoft 365 E5). Aby uzyskać więcej informacji, zobacz Safe Documents in Microsoft 365 A5 or E5 Security (Bezpieczne dokumenty w usłudze Microsoft 365 A5 lub E5 Security).
Zezwalaj użytkownikom na klikanie widoku chronionego, nawet jeśli bezpieczne dokumenty zidentyfikowały plik jako złośliwy

AllowSafeDocsOpen
Wyłączony

$false
Wyłączony

$false
To ustawienie jest związane z bezpiecznymi dokumentami.

Ustawienia zasad bezpiecznych załączników

Aby skonfigurować te ustawienia, zobacz Konfigurowanie zasad bezpiecznych załączników w Ochrona usługi Office 365 w usłudze Defender.

W programie PowerShell dla tych ustawień są używane polecenia cmdlet New-SafeAttachmentPolicy i Set-SafeAttachmentPolicy .

Uwaga

Zgodnie z wcześniejszym opisem nie ma domyślnych zasad bezpiecznych załączników, ale ochrona bezpiecznych załączników jest przypisywana do wszystkich adresatów przez wstępnie ustawione zasady zabezpieczeń wbudowanej ochrony.

Kolumna Domyślne w kolumnie niestandardowej odwołuje się do wartości domyślnych utworzonych w nowych zasadach bezpiecznych załączników. Pozostałe kolumny wskazują (o ile nie zaznaczono inaczej) wartości skonfigurowane w odpowiednich wstępnie ustawionych zasadach zabezpieczeń.

Nazwa funkcji zabezpieczeń Wartość domyślna w obszarze niestandardowym Wbudowana ochrona Standardowy Ścisłe Komentowanie
Odpowiedź na nieznane złośliwe oprogramowanie dotyczące bezpiecznych załączników

Włączanie i działanie
Wyłączony

-Enable $false I -Action Block
Blokuj

-Enable $true I -Action Block
Blokuj

-Enable $true I -Action Block
Blokuj

-Enable $true I -Action Block
Gdy parametr Enable jest $false, wartość parametru Action nie ma znaczenia.
Zasady kwarantanny (QuarantineTag) AdminOnlyAccessPolicy AdminOnlyAccessPolicy AdminOnlyAccessPolicy AdminOnlyAccessPolicy

Standardowe i ścisłe wstępnie ustawione zasady zabezpieczeń używają domyślnych zasad kwarantanny (AdminOnlyAccessPolicy bez powiadomień o kwarantannie) zgodnie z opisem w tabeli tutaj.

Podczas tworzenia nowych zasad bezpiecznych załączników pusta wartość oznacza, że domyślne zasady kwarantanny są używane do definiowania historycznych możliwości komunikatów, które zostały poddane kwarantannie przez bezpieczne załączniki (AdminOnlyAccessPolicy bez powiadomień kwarantanny).

Administratorzy mogą tworzyć i wybierać niestandardowe zasady kwarantanny, które definiują więcej możliwości dla użytkowników. Aby uzyskać więcej informacji, zobacz Zasady kwarantanny.
Przekierowanie załącznika z wykrytymi załącznikami : Włącz przekierowanie

Przekierowanie

RedirectAddress
Nie wybrano i nie określono adresu e-mail.

-Redirect $false

RedirectAddress jest pusty ($null)
Nie wybrano i nie określono adresu e-mail.

-Redirect $false

RedirectAddress jest pusty ($null)
Wybrano i określ adres e-mail.

$true

adres e-mail
Wybrano i określ adres e-mail.

$true

adres e-mail
Przekieruj komunikaty do administratora zabezpieczeń w celu sprawdzenia.

Uwaga: to ustawienie nie jest skonfigurowane w zasadach zabezpieczeń wstępnie ustawionych w warstwie Standardowa, Ścisła ani Wbudowana ochrona . Wartości Standardowe i Ścisłe wskazują zalecane wartości w nowych zasadach bezpiecznych załączników, które tworzysz.
Zastosuj odpowiedź wykrywania bezpiecznych załączników, jeśli skanowanie nie może zakończyć się (przekroczenie limitu czasu lub błędy)

ActionOnError
Wybrane

$true
Wybrane

$true
Wybrane

$true
Wybrane

$true

Bezpieczne linki w Ochrona usługi Office 365 w usłudze Defender obejmują ustawienia globalne, które mają zastosowanie do wszystkich użytkowników, którzy są uwzględniane w aktywnych zasadach bezpiecznych łączy, oraz ustawienia specyficzne dla poszczególnych zasad bezpiecznych łączy. Aby uzyskać więcej informacji, zobacz Bezpieczne linki w Ochrona usługi Office 365 w usłudze Defender.

Mimo że nie ma domyślnych zasad bezpiecznych łączy, wstępnie ustawione zasady zabezpieczeń wbudowanej ochrony zapewniają ochronę bezpiecznych łączy wszystkim adresatom (użytkownikom, którzy nie są zdefiniowani w niestandardowych zasadach bezpiecznych łączy lub standardowych lub ścisłych zasadach zabezpieczeń wstępnie ustawionych). Aby uzyskać więcej informacji, zobacz Preset security policies in EOP and Ochrona usługi Office 365 w usłudze Microsoft Defender (Ustawienia wstępne zasad zabezpieczeń w usłudze EOP i Ochrona usługi Office 365 w usłudze Microsoft Defender).

Uwaga

Ustawienia globalne bezpiecznych linków są ustawiane przez wstępnie ustawione zasady zabezpieczeń wbudowanej ochrony , ale nie przez standardowe lub ścisłe zasady zabezpieczeń. Tak czy inaczej, administratorzy mogą modyfikować te globalne ustawienia bezpiecznych łączy w dowolnym momencie.

Kolumna Domyślne zawiera wartości przed istnieniem zasad zabezpieczeń wstępnie ustawionych wbudowanej ochrony . Kolumna Wbudowana ochrona pokazuje wartości, które są ustawiane przez wbudowane zasady zabezpieczeń wstępnie ustawione, które są również naszymi zalecanymi wartościami.

Aby skonfigurować te ustawienia, zobacz Konfigurowanie ustawień globalnych bezpiecznych łączy w Ochrona usługi Office 365 w usłudze Defender.

W programie PowerShell używasz polecenia cmdlet Set-AtpPolicyForO365 dla tych ustawień.

Nazwa funkcji zabezpieczeń Domyślne Wbudowana ochrona Komentowanie
Blokuj następujące adresy URL

ExcludedUrls
Puste

$null
Puste

$null
Nie mamy żadnych konkretnych zaleceń dotyczących tego ustawienia.

Aby uzyskać więcej informacji, zobacz "Blokuj następujące adresy URL" listy bezpiecznych linków.

Uwaga: możesz teraz zarządzać wpisami adresu URL bloku na liście dozwolonych/zablokowanych dzierżaw. Lista "Blokuj następujące adresy URL" jest w trakcie wycofywania. Spróbujemy przeprowadzić migrację istniejących wpisów z listy "Blokuj następujące adresy URL", aby zablokować wpisy adresów URL na liście dozwolonych/zablokowanych dzierżaw. Komunikaty zawierające zablokowany adres URL zostaną poddane kwarantannie.

Aby skonfigurować te ustawienia, zobacz Konfigurowanie zasad bezpiecznych łączy w Ochrona usługi Office 365 w usłudze Microsoft Defender.

W programie PowerShell dla tych ustawień są używane polecenia cmdlet New-SafeLinksPolicy i Set-SafeLinksPolicy .

Uwaga

Zgodnie z wcześniejszym opisem nie ma domyślnych zasad bezpiecznych łączy, ale ochrona bezpiecznych łączy jest przypisywana do wszystkich adresatów za pomocą wbudowanych zasad zabezpieczeń wstępnie ustawionych zabezpieczeń ochrony.

Kolumna Domyślne w kolumnie niestandardowej odwołuje się do wartości domyślnych w nowych zasadach bezpiecznych łączy, które tworzysz. Pozostałe kolumny wskazują (o ile nie zaznaczono inaczej) wartości skonfigurowane w odpowiednich wstępnie ustawionych zasadach zabezpieczeń.

Nazwa funkcji zabezpieczeń Wartość domyślna w obszarze niestandardowym Wbudowana ochrona Standardowy Ścisłe Komentowanie
Adres URL & kliknij ustawienia ochrony
Akcja dotycząca potencjalnie złośliwych adresów URL w wiadomościach e-mail
Włączone: Bezpieczne linki sprawdzają listę znanych, złośliwych linków, gdy użytkownicy klikają linki w wiadomości e-mail

EnableSafeLinksForEmail
Nie zaznaczono

$false
Wybrane

$true
Wybrane

$true
Wybrane

$true
Stosowanie bezpiecznych linków do wiadomości e-mail wysyłanych w organizacji

EnableForInternalSenders
Nie zaznaczono

$false
Wybrane

$true
Wybrane

$true
Wybrane

$true
Stosowanie skanowania adresów URL w czasie rzeczywistym w poszukiwaniu podejrzanych linków i linków wskazujących pliki

ScanUrls
Nie zaznaczono

$false
Wybrane

$true
Wybrane

$true
Wybrane

$true
Przed dostarczeniem komunikatu poczekaj na ukończenie skanowania adresu URL

DeliverMessageAfterScan
Nie zaznaczono

$false
Wybrane

$true
Wybrane

$true
Wybrane

$true
Nie należy ponownie pisać adresów URL, sprawdzaj tylko za pośrednictwem interfejsu API bezpiecznych linków

DisableURLRewrite
Nie zaznaczono

$false
Wybrane

$true
Nie zaznaczono

$false
Nie zaznaczono

$false
Nie należy ponownie pisać następujących adresów URL w wiadomości e-mail

DoNotRewriteUrls
Puste

$null
Puste

$null
Puste

$null
Puste

$null
Nie mamy żadnych konkretnych zaleceń dotyczących tego ustawienia.

Uwaga: wpisy na liście "Nie przepisuj ponownie następujących adresów URL" nie są skanowane ani opakowane przez bezpieczne linki podczas przepływu poczty. Użyj pozycji Zezwalaj na adres URL na liście dozwolonych/zablokowanych dzierżaw , aby adresy URL nie były skanowane ani opakowane przez bezpieczne linki podczas przepływu poczty i w momencie kliknięcia.
Akcja dla potencjalnie złośliwych adresów URL w usłudze Microsoft Teams
On: Safe Links checks a list of known, malicious links when users click links in Microsoft Teams

EnableSafeLinksForTeams
Nie zaznaczono

$false
Wybrane

$true
Wybrane

$true
Wybrane

$true
Akcja dla potencjalnie złośliwych adresów URL w aplikacjach pakietu Microsoft Office
Na: Bezpieczne linki sprawdza listę znanych, złośliwych linków po kliknięciu linków przez użytkowników w aplikacjach pakietu Microsoft Office

EnableSafeLinksForO365Clients
Nie zaznaczono

$false
Wybrane

$true
Wybrane

$true
Wybrane

$true
Używaj bezpiecznych linków w obsługiwanych aplikacjach Office 365 klasycznych i mobilnych (iOS i Android). Aby uzyskać więcej informacji, zobacz Ustawienia bezpiecznych linków dla aplikacji pakietu Office.
Kliknij ustawienia ochrony
Śledzenie kliknięć użytkowników

TrackUserClicks
Wybrane

$true
Wybrane

$true
Wybrane

$true
Wybrane

$true
Zezwalaj użytkownikom na klikanie oryginalnego adresu URL

AllowClickThrough
Wybrane

$true
Wybrane

$true
Nie zaznaczono

$false
Nie zaznaczono

$false
Wyłączenie tego ustawienia (ustawienie opcji AllowClickThrough $falsena ) uniemożliwia przejście do oryginalnego adresu URL.
Wyświetlanie znakowania organizacji na stronach powiadomień i ostrzeżeń

EnableOrganizationBranding
Nie zaznaczono

$false
Nie zaznaczono

$false
Nie zaznaczono

$false
Nie zaznaczono

$false
Nie mamy żadnych konkretnych zaleceń dotyczących tego ustawienia.

Przed włączeniem tego ustawienia należy postępować zgodnie z instrukcjami w temacie Dostosowywanie motywu platformy Microsoft 365 dla organizacji , aby przekazać logo firmy.
Powiadomienie
Jak chcesz powiadomić użytkowników?

CustomNotificationText

UseTranslatedNotificationText
Użyj domyślnego tekstu powiadomienia

Puste ($null)

$false
Użyj domyślnego tekstu powiadomienia

Puste ($null)

$false
Użyj domyślnego tekstu powiadomienia

Puste ($null)

$false
Użyj domyślnego tekstu powiadomienia

Puste ($null)

$false
Nie mamy żadnych konkretnych zaleceń dotyczących tego ustawienia.

Możesz wybrać pozycję Użyj niestandardowego tekstu powiadomienia (-CustomNotificationText "<Custom text>"), aby wprowadzić niestandardowy tekst powiadomień i użyć go. Jeśli określisz tekst niestandardowy, możesz również wybrać opcję Użyj usługi Microsoft Translator do automatycznej lokalizacji (-UseTranslatedNotificationText $true), aby automatycznie przetłumaczyć tekst na język użytkownika.