Предустановленные политики безопасности в EOP и Microsoft Defender для Office 365

Важно!

Стал доступен улучшенный портал Microsoft 365 Defender. Этот новый интерфейс портала Microsoft 365 Defender объединяет Defender для конечной точки, Defender для Office 365, Microsoft 365 Defender и другие решения. Узнайте о новых возможностях.

Область применения

Предустановленные политики безопасности предоставляют централизованное расположение для одновременного применения всех рекомендуемых политик нежелательной почты, вредоносных программ и фишинга для пользователей. Параметры политики не настраиваются. Вместо этого они устанавливаются нами и основываются на наших наблюдениях и опытах в центрах обработки данных для баланса между сохранением вредного контента от пользователей и предотвращением ненужных сбоев.

В остальной части этой статьи описаны заранее заданной политики безопасности и их настройка.

Какие предустановленные политики безопасности сделаны из

Предустановленные политики безопасности состоят из следующих элементов:

  • Профили
  • Политики
  • Параметры политик

Кроме того, порядок приоритета важен, если к одному и тому же лицу применяются несколько заранее.

Профили в предустановленных политиках безопасности

Профиль определяет уровень защиты. Доступны следующие профили:

  • Стандартная защита — базовый профиль защиты, который подходит большинству пользователей.

  • Строгая защита: более агрессивный профиль защиты для выбранных пользователей (целевые объекты с высоким значением или приоритетные пользователи).

    Для стандартной защиты и строгой защиты используются правила с условиями и исключениями, которые определяют, к кому эти профили применяются или не применяются.

    Доступные условия и исключения:

    • Пользователи: указывает один или несколько почтовых ящиков, пользователей почты или почтовых контактов в организации.
    • Группы: указывает группы рассылки, группы безопасности с поддержкой почты или группы Microsoft 365 в вашей организации.
    • Домены: все получатели в указанных обслуживаемых доменах в вашей организации.

    Условие или исключение можно использовать только один раз, но можно указать для них несколько значений. Указать несколько значений в одном условии или исключении можно с помощью оператора OR (например, <recipient1> or <recipient2>). Между разными условиями и исключениями используется оператор AND (например, <recipient1> and <member of group 1>).

  • Встроенная защита (только для защитника Office 365): профиль, который позволяет использовать только Сейф ссылки и Сейф вложения. Этот параметр эффективно предоставляет политики по умолчанию для Сейф ссылок и Сейф вложений, в которых никогда не было политик по умолчанию.

    Примечание

    Политика предварительной защиты встроенной защиты в настоящее время находится в предварительной версии, доступна не во всех организациях и подлежит изменениям.

    Для встроенной защиты по умолчанию для всех клиентов Defender Office 365 заранее заранее Office 365 безопасности. Хотя мы его не рекомендуем, вы также можете настроить исключения на основе пользователей, групп и доменов, чтобы защита не применялась к конкретным пользователям.

Пока политики не назначены пользователям, стандартные и строгие предустановленные политики безопасности не назначаются никому. В отличие от этого, встроенная политика безопасности заранее назначена всем получателям по умолчанию, но можно настроить исключения.

Политики в предустановленных политиках безопасности

Предустановленные политики безопасности используют соответствующие политики из различных компонентов защиты в EOP и Microsoft Defender для Office 365. Эти политики создаются после назначения пользователям политик безопасности Standard protection или Strict protection preset. Вы не можете изменить параметры в этих политиках.

Вы можете применять защиты EOP для различных пользователей, чем Microsoft Defender, для Office 365 защиты.

Параметры политики в предустановленных политиках безопасности

Вы не можете изменить параметры политики в профилях защиты. Значения стандартных, строгих и встроенных политик защиты описаны в рекомендуемых параметрах для EOPи Microsoft Defender для Office 365 безопасности.

Порядок приоритета для предустановленных политик безопасности и других политик

Если к пользователю применяется несколько политик, то следующий порядок применяется с самого высокого приоритета к самому низкому приоритету:

  1. Политика строгой защиты, предустановленная для безопасности
  2. Стандартная политика безопасности, предустановленная для защиты
  3. Настраиваемые политики безопасности
  4. Встроенная политика безопасности и политики безопасности по умолчанию

Другими словами, параметры политики строгой защиты переопределяют параметры политики стандартной защиты, которая переопределяет параметры из настраиваемой политики, которая переопределяет параметры из встроенной политики безопасности предустановленной защиты (Сейф ссылки и Сейф вложения) и политики по умолчанию (защита от нежелательной почты, защита от вредоносных программ и защита от фишинга).

Например, если параметр безопасности существует в стандартной защите, а администратор включил стандартную защиту для пользователя, то параметр Standard protection будет применяться вместо того, что настроено для этого параметра в настраиваемой политике или политике по умолчанию (для того же пользователя). Обратите внимание, что у вас может быть какая-то часть организации, к которой необходимо применять только стандартную или строгую политику защиты, применяя настраиваемую политику к другим пользователям в организации для удовлетворения определенных потребностей.

Встроенная защита не влияет на получателей в существующих Сейф или Сейф вложениях. Если вы уже настроили политики standard protection, Strict protection или custom Сейф Links или Сейф Attachments, эти политики всегда применяются перед встроенной защитой, поэтому для получателей, которые уже определены в существующих предустановленных или настраиваемых политиках, эти политики не влияют.

Назначение предустановленных политик безопасности пользователям

Что нужно знать перед началом работы

  • Чтобы открыть портал Microsoft 365 Defender, перейдите на сайт https://security.microsoft.com. Чтобы перейти непосредственно на страницу политики безопасности preset, используйте https://security.microsoft.com/presetSecurityPolicies .

  • Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell.

  • Для выполнения процедур, описанных в этой статье, вам должны быть назначены разрешения в Exchange Online:

    • Чтобы настроить заранее заранее заранее настроенные политики безопасности, необходимо быть членом групп ролей "Управление организацией" или "Администратор безопасности".
    • Для доступа только для чтения к предустановленным политикам безопасности необходимо быть членом группы ролей Global Reader.

    Дополнительные сведения см. в статье Разрешения в Exchange Online.

    Примечание. Добавление пользователей к соответствующей роли Azure Active Directory в Центр администрирования Microsoft 365 дает пользователям необходимые разрешения и разрешения для других функций в Microsoft 365. Дополнительные сведения см. в статье О ролях администраторов.

Используйте портал Microsoft 365 Defender, чтобы назначить пользователям стандартные и строгие предустановленные политики безопасности

  1. На портале Microsoft 365 Defender в разделе Политики совместной & электронной почты & Правила политики безопасности предустановлены в разделе https://security.microsofot.com > > > Шаблонные политики. Чтобы перейти непосредственно на страницу политики безопасности preset, используйте https://security.microsoft.com/presetSecurityPolicies .

  2. На странице Предустановленные политики безопасности щелкните Управление в разделах Стандартная защита или Строгая защита.

  3. Мастер применения стандартной защиты или мастер строгой защиты начинается в вылете. На странице защиты EOP определите внутренних получателей, к которых применяются защитные средства EOP (условия получателей):

    • Пользователи
    • Группы
    • Домены

    Щелкните соответствующее поле, начните вводить значение и выберите нужное значение в результатах. Повторите эти действия необходимое количество раз. Чтобы удалить существующее значение, нажмите "Удалить". Значок "Удалить". рядом со значением.

    Для пользователей и групп можно использовать большинство идентификаторов (имя, отображаемое имя, псевдоним, адрес электронной почты, имя учетной записи и т. д.), но в результатах будет выведено отображаемое имя. Для пользователей введите звездочку (*) без добавлений, чтобы увидеть все доступные значения.

    • Исключить этих пользователей, группы и домены. Чтобы добавить исключения для внутренних получателей, к которым применяется политика (исключение получателей), выберите этот параметр и настройте исключения. Настройки и поведение точно соответствуют условиям.

    По завершении нажмите кнопку Далее.

  4. В Microsoft Defender для Office 365 организаций на страницу применяются Office 365 для определения внутренних получателей, к Office 365 которых применяется защита Microsoft Defender для Office 365 (условия получателей).

    Параметры и поведение точно так же, как защиты EOP применяются к странице на предыдущем шаге.

    По завершении нажмите кнопку Далее.

  5. На странице Обзор и подтвердите изменения, проверьте выбор, а затем нажмите кнопку Подтвердить.

Использование портала Microsoft 365 Defender для изменения назначений стандартных и строгих заранее

Действия по изменению назначения политики безопасности standard protection или Strict protection preset такие же, как при первоначальном назначении заранее назначенных политик безопасности пользователям.

Чтобы отключить стандартные или строгие политики безопасности, предустановленные политики безопасности с сохранением существующих условий и исключений, сдвиньте переключение в отключенное отключение.  . Чтобы включить политики, сдвиньте окантовку с включенной  возможностью включения.

Использование портала Microsoft 365 Defender для изменения назначений заранее встраивной политики защиты.

Помните, что политика предварительной защиты встроенной защиты назначена всем получателям и не влияет на получателей, определенных в стандартных или строгих политиках безопасности, предустановленных для защиты, или пользовательских политик Сейф ссылок или Сейф вложений.

Поэтому мы обычно не рекомендуем исключений из заранее задавной политики защиты встроенной защиты.

  1. На портале Microsoft 365 Defender в разделе Политики совместной & электронной почты & Правила политики безопасности предустановлены в разделе https://security.microsofot.com > > > Шаблонные политики. Чтобы перейти непосредственно на страницу политики безопасности preset, используйте https://security.microsoft.com/presetSecurityPolicies .

  2. На странице Предустановленные политики безопасности выберите Добавление исключений (не рекомендуется) в разделе Встроенная защита.

  3. Во время исключения из встроенной системы защиты, которая появляется, определите внутренних получателей, которые исключены из встроенной Сейф ссылки и Сейф вложения:

    • Пользователи
    • Группы
    • Домены

    Щелкните соответствующее поле, начните вводить значение и выберите нужное значение в результатах. Повторите эти действия необходимое количество раз. Чтобы удалить существующее значение, нажмите "Удалить". Значок "Удалить". рядом со значением.

    Для пользователей и групп можно использовать большинство идентификаторов (имя, отображаемое имя, псевдоним, адрес электронной почты, имя учетной записи и т. д.), но в результатах будет выведено отображаемое имя. Для пользователей введите звездочку (*) без добавлений, чтобы увидеть все доступные значения.

    По завершении нажмите кнопку Сохранить.

Как проверить, что эти процедуры выполнены?

Чтобы убедиться, что пользователю успешно назначена политика безопасности Standard protection или Strict protection, используйте параметр защиты, где значение по умолчанию отличается от параметра Standard protection, которое отличается от параметра Strict protection.

Например, для электронной почты, обнаруженной в качестве нежелательной почты (не с высокой достоверности), убедитесь, что сообщение доставляется в папку нежелательной почты для пользователей стандартной защиты и карантин для пользователей строгой защиты.

Или, для массовой почты, убедитесь, что значение BCL 6 или выше доставляет сообщение в папку нежелательной почты для пользователей стандартной защиты, а значение BCL 4 или более высокий карантин сообщения для пользователей строгой защиты.