Microsoft Defender for Office 365 中的安全附件

提示

你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 在此处了解谁可以注册和试用条款。

Microsoft Defender for Office 365 中的安全附件为已通过 Exchange Online Protection (EOP) 中的反恶意软件保护扫描的电子邮件附件提供了额外的保护层。 具体而言,安全附件使用虚拟环境在电子邮件中检查附件,然后再将其传递到收件人 (称为引爆) 的过程。

电子邮件的安全附件保护由安全附件策略控制。 虽然没有默认的安全附件策略, 但内置保护 预设安全策略为所有收件人提供安全附件保护, (未在标准或严格预设安全策略或自定义安全附件策略中定义的用户) 。 有关详细信息,请参阅 EOP 中的预设安全策略和Microsoft Defender for Office 365。 还可以创建应用于特定用户、组或域的安全附件策略。 有关说明,请参阅在 Microsoft Defender for Office 365 中设置安全附件策略

下表描述了 Microsoft 365 中安全附件的方案,以及Office 365组织(包括Microsoft Defender for Office 365 (,换句话说,在) 示例中,缺少许可从来不是问题。

应用场景 结果
Pat 的 Microsoft 365 E5 组织没有配置安全附件策略。 由于 内置保护 预设安全策略适用于未在安全附件策略中定义的所有收件人,因此 Pat 受到安全附件的保护。
Lee 的组织有一项仅适用于财务员工的安全附件策略。 Lee 是销售部门的成员。 由于 内置保护 预设安全策略适用于未在安全附件策略中定义的所有收件人,Lee 和销售部门的其余部分受到安全附件的保护。
昨天,Jean 所在组织的一名管理员创建了适用于所有员工的安全附件策略。 今天早些时候,Jean 收到一封包含附件的电子邮件。 由于自定义安全附件策略,Jean 受到安全附件保护。

新策略通常需要 30 分钟左右才能生效。
Chris 的组织为组织中的所有人都制定了长期安全附件策略。 Chris 收到带有附件的电子邮件,然后将邮件转发给外部收件人。 Chris 受安全附件保护。

如果外部收件人在 Microsoft 365 组织中,则转发的邮件也受到安全附件的保护。

安全附件扫描发生在 Microsoft 365 数据所在的同一区域。 有关数据中心地理位置的详细信息,请参阅 数据位于何处?

注意

以下功能位于 Microsoft Defender 门户中安全附件策略的全局设置中。 但是,这些设置是全局启用或禁用的,不需要安全附件策略:

安全附件策略设置

本部分介绍安全附件策略中的设置:

  • 收件人筛选器:需要指定用于确定策略适用的收件人条件和例外。 可以将以下属性用作条件和例外:

    • 用户

    条件或例外只能使用一次,但条件或例外可以包含多个值。 同一个条件或例外的多个值使用“或”逻辑(例如,<recipient1><recipient2>)。 不同的条件或例外使用“且”逻辑(例如,<recipient1><组成员 1>)。

    重要

    多个不同类型的条件或异常不是累加的;它们是非独占的。 策略 应用于与 所有 指定收件人筛选器匹配的收件人。 例如,使用以下值在策略中配置收件人筛选条件:

    • 用户: romain@contoso.com
    • 组:高管

    当他也是高管组的成员时,才会应用romain@contoso.com该策略。 如果不是该组的成员,则策略不会应用到他。

    同样,如果使用相同的收件人筛选器作为策略的例外,则当他也是高管组的成员时,才会应用romain@contoso.com该策略。 如果不是该组的成员,则该策略仍适用于他。

  • 安全附件未知恶意软件响应:此设置控制电子邮件中安全附件恶意软件扫描的操作。 下表介绍了可用的选项:

    选项 效果 若要执行以下操作,请使用:
    关闭 安全附件不会扫描附件是否含恶意软件。 仍会通过 EOP 中的反恶意软件保护扫描邮件中的恶意软件 关闭选定收件人的扫描。

    防止在路由内部邮件时出现不必要的延迟。

    不建议对大多数用户使用此选项。 应仅使用此选项对仅从受信任发件人接收邮件的收件人关闭安全附件扫描。 如果安全附件处于关闭状态且未收到恶意软件信号,则 ZAP 不会隔离邮件。 有关详细信息,请参阅 零小时自动清除
    监视器 传递含附件的邮件,然后跟踪检测到的恶意软件发生的情况。

    由于安全附件扫描,安全邮件的传递可能会延迟。
    查看检测到的恶意软件在组织中的位置。
    阻止 防止传递含检测到的恶意软件附件的邮件。

    邮件被隔离。 默认情况下,只有管理员 (用户) 才能查看、释放或删除邮件。¹

    自动阻止邮件和附件的未来实例。

    由于安全附件扫描,安全邮件的传递可能会延迟。
    使用相同的恶意软件附件保护组织免受重复攻击。

    这是“标准”和“严格 ”预设安全策略中的默认值和建议值。
    动态传递 立即传递邮件,但将附件替换为占位符,直到安全附件扫描完成。

    包含恶意附件的邮件会被隔离。 默认情况下,只有管理员 (用户) 才能查看、释放或删除邮件。¹

    有关详细信息,请参阅本文后面的 安全附件策略中的动态传递 部分。
    避免邮件延迟,同时保护收件人免受恶意文件的侵害。

    ¹ 隔离策略定义用户能够对隔离邮件执行的操作,以及用户是否收到隔离通知。 有关详细信息,请参阅 隔离策略剖析。 无论如何配置隔离策略,用户都无法释放自己被安全附件隔离为恶意软件的邮件。 如果策略允许用户发布自己的隔离邮件,则用户可以 请求 释放其隔离的恶意软件邮件。

  • 使用检测到的附件重定向邮件启用重定向 并将 包含受监视附件的邮件发送到指定电子邮件地址:仅对于 “监视 ”操作,将包含恶意软件附件的邮件发送到指定的内部或外部电子邮件地址进行分析和调查。

    标准和严格策略设置的建议是启用重定向。 有关详细信息,请参阅 安全附件设置

  • 优先级:如果创建多个策略,可以指定它们的应用顺序。 不能有两个策略具有相同的优先级,在应用第一个策略后,策略处理将停止, (该接收方) 的最高优先级策略。

    有关优先级顺序以及如何评估和应用多个策略的详细信息,请参阅电子邮件保护的顺序和优先级

安全附件策略中的动态传递

注意

动态传递仅适用于Exchange Online邮箱。

安全附件策略中的动态传递操作旨在消除安全附件扫描可能导致的任何电子邮件传递延迟。 电子邮件正文以每个附件的占位符传送给收件人。 占位符一直保留,直到找到附件是安全的,然后附件可供打开或下载。

如果发现附件是恶意的,则会隔离邮件。

执行安全附件扫描时,大多数 PDF 和 Office 文档都可以在安全模式下预览。 如果附件与动态传递预览程序不兼容,则收件人将看到附件的占位符,直到安全附件扫描完成。

如果你使用的是移动设备,并且 PDF 未在移动设备上的动态传递预览器中呈现,请尝试使用移动浏览器在以前称为Outlook Web App) Outlook 网页版 (中打开消息。

下面是动态传递和转发邮件的一些注意事项:

  • 如果转发的收件人受到使用“动态传递”选项的安全附件策略的保护,则收件人将看到占位符,并能够预览兼容文件。
  • 如果转发的收件人不受安全附件策略的保护,邮件和附件将在没有任何安全附件扫描或附件占位符的情况下传递。

在某些情况下,动态传递无法替换邮件中的附件。 这些情况包括:

  • 公用文件夹中的邮件。
  • 使用自定义规则从 中路由出然后传回用户邮箱的邮件。
  • (自动或手动从云邮箱) 移动到其他位置(包括存档文件夹)的邮件。
  • 收件箱规则将邮件从收件箱移出到其他文件夹中。
  • 已删除的邮件。
  • 用户的邮箱搜索文件夹处于错误状态。
  • Exchange Online启用了感叹器的组织。 若要解决此问题,请参阅 KB4014438
  • S/MIME) 加密邮件。
  • 你在安全附件策略中配置了动态传递操作,但收件人不支持动态传递 (例如,收件人是本地 Exchange 组织中的邮箱) 。 但是,如果在适用的安全链接策略) 中启用了支持 Office 应用的安全链接扫描,Microsoft Defender for Office 365中的安全链接能够扫描包含 url 的 Office 文件附件 (。

提交文件进行恶意软件分析