在包含Office 365 (Microsoft Defender或附加訂閱) 的新 Microsoft 365 組織中,本文將說明您在組織初期需要完成的設定步驟。
雖然您的 Microsoft 365 組織從建立 (365 或新增 Defender for Office 365) 起就預設了保護層級,本文的步驟將為您提供可行的計畫,讓您釋放 Defender for Office 365 的完整防護能力。 完成步驟後,你也可以利用這篇文章向管理層展示你正在最大化對 Microsoft 365 的投資。
提示
關於如何為 Microsoft Teams 設定防護,請參閱以下文章:
配置 Defender for Office 365 的步驟如下圖所示:
提示
作為本文的補充,請參閱我們的 Microsoft Defender for Office 365 設定指南,以檢視最佳實務並防範電子郵件、連結與協作威脅。 功能包括安全連結、安全附件等。 若想根據您的環境客製化體驗,您可以在 Microsoft 365 系統管理中心取得 Microsoft Defender for Office 365 自動設定指南。
需求
所有搭載雲端信箱的 Microsoft 365 訂閱都包含預設的電子郵件保護。 Defender for Office 365 包含更多保護功能。 欲了解詳細功能比較,請參閱 Microsoft Defender for Office 365 概覽。
角色及權限
設定需要權限。 下表列出了你在執行本文步驟所需的權限 (一個就夠了;你不需要全部) 。
| 角色或角色群組 | 深入了解 |
|---|---|
| Microsoft Entra 中的 Global Administrator* | Microsoft Entra 內建角色 |
| Email &協作角色群組中的組織管理 | Microsoft Defender for Office 365 中的角色群組 |
| Microsoft Entra 中的安全管理員 | Microsoft Entra 內建角色 |
| Email &協作角色群組中的安全管理員 | Email & Microsoft Defender for Office 365 的協作權限 |
| Exchange Online 組織管理 | Exchange Online 中的權限 |
重要事項
* Microsoft 強烈主張最小權限原則。 僅分配執行任務所需的最低權限,有助於降低安全風險並強化組織整體防護。 全域管理員是一個高度特權的職位,應該限制在緊急情境或無法使用其他角色時使用。
步驟 1:為您的 Microsoft 365 網域設定電子郵件驗證
摘要:依此順序配置 SPF、 DKIM 和 DMARC 紀錄) (,適用於所有自訂Microsoft 365 網域 (包括停放網域及子網域) 。 如有需要,請設定 任何可信賴的ARC封層機。
詳細資料:
Email認證 (也稱為電子郵件驗證) ,是一組用來驗證電子郵件訊息的合法性、未經修改,且來自寄件人電子郵件網域的預期來源的標準。 欲了解更多資訊,請參閱 Email 認證。
我們假設你在 Microsoft 365 中使用一個或多個 自訂網域 來處理電子郵件 (,例如 contoso.com) ,因此你需要為每個自訂電子郵件網域建立專屬的電子郵件認證 DNS 紀錄。
在你的 DNS 註冊商或 DNS 主機服務中,為你在 Microsoft 365 中使用的所有電子郵件專用網域建立以下電子郵件認證 DNS 紀錄:
SPF) (寄件人政策框架 :SPF TXT 紀錄用以識別網域內寄件人有效的電子郵件來源。 相關說明請參閱 「設定 SPF」以識別您自訂雲端網域的有效電子郵件來源。
DomainKeys 識別郵件 (DKIM) :DKIM 會簽署外發訊息,並將簽章儲存在訊息標頭中,該標頭能在訊息轉發後存活下來。 相關說明請參見 「設定 DKIM 以簽署來自你的雲端網域的郵件」。
基於網域的訊息驗證、報告與符合性 (DMARC) :DMARC 協助目的地電子郵件伺服器決定如何處理來自自訂網域、未通過 SPF 與 DKIM 檢查的郵件。 請務必在 DMARC 紀錄中包含 DMARC 政策 (
p=reject或p=quarantine) ,以及 DMARC 報告目的地 (彙總與鑑識報告) 。 相關說明請參見 「設定 DMARC 以驗證雲端寄件者的寄件地址網域」。認證接收鏈條 (ARC) :若非Microsoft服務在送達 Microsoft 365 前修改 了入站 訊息,若服務) 支援, (可識別該服務為 受信任的 ARC 封存器 。 受信任的 ARC 封存器會保留未經修改的電子郵件資訊,避免修改後的郵件在 Microsoft 365 中自動通過電子郵件驗證。 關於說明,請參見 「配置受信任的ARC封口機」。
如果你使用 *.onmicrosoft.com 網域來發送電子郵件 (也就是 Microsoft 線上Email路由位址或 MOERA 網域) ,你要做的事情就少很多:
- SPF:已經為 *.onmicrosoft.com 網域設定了 SPF 紀錄。
- DKIM:DKIM 簽約已經設定為使用 *.onmicrosoft.com 網域的外寄郵件,但你也可以 手動自訂。
- DMARC:你需要手動設定 *.onmicrosoft.com 網域的 DMARC 紀錄,如 此處所述。
步驟 2:設定威脅政策
摘要:啟用並使用所有收件人的預設安全政策 Standard 和/或 Strict。 或者,如果 業務需求迫切,可以建立並使用自訂威脅政策,但定期使用 配置分析器檢查。
詳細資料:
如你所想,許多針對電子郵件與協作安全的威脅政策,在 Microsoft 365 中皆可取得。 保單主要分為三種:
預設威脅政策:這些政策自組織成立之初即存在。 這些政策適用於組織中所有收件人,你無法關閉這些政策,也無法修改政策適用的對象。 但你可以像自訂威脅政策一樣修改政策中的安全設定。 預設威脅政策中的設定已在 推薦的雲端組織電子郵件與協作威脅政策設定中的表格中說明。
預設安全政策:預設安全政策實際上是包含 Defender for Office 365 中大部分可用威脅政策的設定檔,並依特定防護層級調整設定。 預設的安全政策如下:
- 嚴格預設的安全政策。
- Standard 預設的安全政策。
- 內建保護。
Standard 和 Strict 預設的安全政策預設是關閉的,直到你開啟它們為止。 你指定收件人條件和例外 (使用者、群組成員、網域或所有收件人) ,為雲端信箱預設的電子郵件保護功能,以及在 Defender for Office 365 的 Standard 和嚴格預設安全政策中設定保護功能。
Defender for Office 365 內建保護功能預設開啟,為所有收件人提供基本的安全附件和安全連結保護。 你可以設定接收者例外,以識別未獲得保護的使用者。
在 Defender for Office 365 組織的 Standard 與 Strict 預設安全政策中,你需要設定條目及可選的例外,以保護使用者與網域冒充。 其他設定都鎖定在我們建議的標準和嚴格數值 (其中許多是相同的) 。 您可以在雲端組織的推薦電子郵件與協作威脅政策設定中看到 Standard 與 Strict 的值,並在此處查看 Standard 與 Strict 的差異。
隨著 Defender for Office 365 新增防護功能,以及安全環境的變化,預設安全政策中的設定會自動更新為我們推薦的設定。
自訂威脅政策:對於大多數可用的政策,你可以建立任意數量的自訂威脅政策。 你可以利用使用者、群組成員或網域 (接收條件和例外,將政策套用給使用者,) 並自訂設定。
前述資訊及相關威脅政策總結於下表:
| 預設威脅政策 | 預設安全性原則 | 自訂威脅政策 | |
|---|---|---|---|
| 雲端信箱預設電子郵件保護中的威脅政策: | |||
| 防惡意軟體 | ✔ | ✔ | ✔ |
| 防垃圾郵件 | ✔ | ✔ | ✔ |
| 反釣魚 (偽造保護) | ✔ | ✔ | ✔ |
| 外發垃圾郵件 | ✔ | ✔ | |
| 連線篩選 | ✔¹ | ||
| Defender for Office 365 的威脅政策: | |||
| 反釣魚 (偽造防護) plus: | ✔² | ✔² | ✔ |
| 安全連結 | ³ | ✔ | ✔ |
| 安全附件 | ³ | ✔ | ✔ |
| 一般行為 | |||
| 預設是保護嗎? | ✔ | ⁴ | |
| 如何設定條件/例外來保護? | ✔⁵ | ✔ | |
| 自訂安全設定? | ✔ | ⁶ | ✔ |
| 保護設定會自動更新嗎? | ✔ |
¹ IP 允許清單和 IP 封鎖清單中沒有預設項目,因此除非你自訂設定,否則預設連線過濾政策實際上什麼都做不了。
² 在 Defender for Office 365 中,沒有使用者冒充或網域冒充保護的條目或可選例外,除非你設定它們。
³ 雖然 Defender for Office 365 沒有預設的安全附件或安全連結政策,但內建保護預設安全政策提供基本的安全附件與安全連結保護,且這些保護始終開啟。
⁴ Defender for Office 365) 內建保護預設安全政策 (安全附件與安全連結保護是唯一預設啟用的安全政策。
⁵ 針對 Standard 與 Strict 預設安全政策,您可以為所有雲端信箱預設電子郵件保護設定分別的收件人條件及可選例外,以及 Defender for Office 365 中的保護措施。 在 Defender for Office 365 內建保護方面,你只能設定接收者例外。
⁶ 預設安全政策中唯一可自訂的安全設定是 Defender for Office 365 中 Standard 與 Strict 預設安全政策中,使用者模擬保護與網域模擬保護的條目及可選例外。
威脅政策的優先順序
威脅政策的應用是你決定如何為使用者設定安全設定時的重要考量。 需要記住的重要事項包括:
- 保護功能具有無法設定的 處理順序。 例如,收到的訊息在垃圾郵件前都會先評估是否有惡意軟體。
- 特定功能的威脅政策 (反垃圾郵件、反惡意軟體、反釣魚等 ) 會依優先順序應用 (稍後) 會依優先順序執行。
- 若使用者有意或無意地被包含在某功能多個政策中,該功能的首個適用威脅政策 (根據優先順序) 決定該項目 (訊息、檔案、網址等的處理方式 ) 。
- 一旦第一個威脅政策套用到使用者的特定項目,該功能的政策處理就會停止。 該功能的威脅政策不會再被評估為該使用者及特定項目而定。
優先順序詳見「 預設安全政策及其他政策的優先順序」,但以下為簡要摘要:
- 預設安全政策中的威脅政策:
- 嚴格預設的安全政策。
- Standard 預設的安全政策。
- 針對特定功能的自訂威脅政策 (例如反惡意軟體政策) 。 每個自訂政策都有一個優先權值,決定該政策在相同功能下相較於其他威脅政策時的套用順序:
- 一個優先權值為 0 的自訂威脅政策。
- 自訂威脅策略,優先權值為 1.
- 等等。
- 特定功能的預設威脅政策 (例如防惡意軟體) 或 Defender 中內建的安全保護預設安全政策Office 365 (安全連結與安全附件) 。
請參考前表,了解特定威脅政策在優先順序中的表現方式。 例如,每個層級都設有反惡意軟體政策。 外發垃圾郵件政策可依自訂政策層級與預設政策層級提供。 連線過濾策略僅在預設政策層級提供。
為避免混淆及政策誤用,請使用以下指引:
- 在每個層級使用明確的收件人群組或名單。 例如,Standard 與 Strict 預設安全政策使用不同的群組或接收者清單。
- 依需求在每個層級設定例外。 例如,設定需要自訂威脅政策的接收者,作為 Standard 與 Strict 預設安全政策的例外。
- 未在更高層級識別的剩餘接收者會獲得預設威脅政策或 Defender 內建的安全連結與安全附件) 保護Office 365 (。
有了這些資訊,你就能決定如何在組織內實施威脅政策。
制定你的威脅政策策略
現在你已經了解不同類型的威脅政策及其應用方式,就可以決定如何保護組織中的使用者。 你的決定必然落在以下光譜中:
- 請只使用 Standard 預設的安全政策。
- 請使用 Standard 和 Strict 預設的安全政策。
- 使用預設的安全政策和自訂的威脅政策。
- 只使用自訂威脅政策。
請記住,預設威脅政策 (以及Defender for Office 365) 內建保護預設安全政策會自動保護組織內所有收件人 (未在Standard或嚴格預設安全政策或自訂威脅政策) 中定義的任何人。 所以即使你什麼都不做,組織中的所有收件人也會獲得雲端 組織推薦電子郵件與協作威脅政策設定中所描述的預設保護措施。
同時也要明白,你不會永遠被最初的決定綁死。 推薦設定表中的資訊,以及 Standard 和 Strict 的比較表,應該能讓你做出明智的決定。 但如果需求、結果或情況改變,之後轉換策略並不困難。
若沒有明顯的商業需求,我們建議從組織內所有使用者的 Standard 預設安全政策開始。 預設的安全政策是根據多年來在 Microsoft 365 資料中心觀察的設定來設定的,這應該是大多數組織的正確選擇。 而且,這些政策會自動更新,以配合安全環境的威脅。
在預設的安全政策中,您可以選擇 「所有接收者 」選項,輕鬆為組織內所有接收者套用保護。
如果你想將部分使用者納入 Strict 預設安全政策,其他使用者則納入 Standard 預設安全政策,請記得依本文前述的優先順序,採用以下方法:
在每個預設的安全政策中,使用明確的群組或接收者清單。
或
設定接收者,讓他們在 Strict 預設安全政策中獲得 Standard 預設安全政策的例外設定。
請注意,以下保護功能配置不受預設安全政策影響 (您可以使用預設安全政策,並) 獨立設定這些保護設定:
- 外發垃圾郵件政策 (自訂且預設)
- 預設連線過濾政策 (IP 允許清單和 IP 封鎖清單)
- 全球範圍內啟用 SharePoint、OneDrive 和 Microsoft Teams 的安全附件
- 全球開啟並設定安全文件 (只有在 Defender for Office 365 (中未包含的授權時才有意義,例如 Microsoft 365 A5 或 Microsoft Defender 套件) )
要啟用並設定預設安全政策,請參見 預設安全政策。
決定是否使用自訂威脅政策取代或附加預設安全政策,最終取決於以下業務需求:
- 使用者需要與預設安全政策中不可修改的安全設定 不同 , (垃圾郵件與隔離或反之,且沒有安全提示、通知自訂收件人等 ) 。
- 使用者 需要設定未 在預設安全政策中設定的, (例如阻擋來自特定國家或反垃圾郵件政策) 特定語言的郵件。
- 使用者需要的隔離 體驗 與預設安全政策中不可修改的設定不同。 隔離政策 定義使用者可對其隔離訊息做什麼,依據訊息被隔離的原因,以及收件人是否會收到隔離訊息的通知。 預設的終端使用者隔離經驗已彙整於本文的表格中,而 Standard 與 Strict 預設安全政策中使用的隔離政策則詳述於本文的表格中。
利用雲端組織推薦電子郵件與協作威脅政策設定中的資訊,將自訂威脅政策或預設威脅政策中的可用設定,與 Standard 和 Strict 預設安全政策中的設定進行比較。
針對特定功能設計多重自訂威脅政策的指引 (例如,反惡意軟體政策) 包括:
- 自訂威脅政策中的使用者無法包含在 Standard 或 Strict 預設的安全政策中,這是因為優先順序不同。
- 將較少的使用者分配到較高優先權的政策,並讓更多使用者分配到較低優先權的政策。
- 將高優先權政策設定為比低優先權政策更嚴格或更專門化的設定, (包含預設政策) 。
如果你決定使用自訂威脅政策,請使用設定分析器定期將政策中的設定與 Standard 和 Strict 預設安全政策中的建議設定做比較。
步驟 3:將權限分配給管理員
摘要:將 Microsoft Entra 中的安全管理員角色指派給其他管理員、專家及客服人員,讓他們能在 Defender for Office 365 中執行安全任務。
詳細資料:
你很可能已經用來註冊 Microsoft 365 的初始帳號來完成這份部署指南中的所有工作。 這個帳號在 Microsoft 365 (中都是管理員,具體來說是 Microsoft Entra) 的全域管理員角色成員,讓你幾乎可以做任何事情。 所需權限已在本文前述的角色 與權限部分說明。
但此步驟的目的是設定其他管理員協助你未來管理 Defender for Office 365 的功能。 你不希望看到很多擁有全球管理員權力卻不需要它的人。 例如,他們真的需要刪除/建立帳號,或讓其他使用者成為全域管理員嗎? 最小權限的概念 (只分配執行所需的權限,不分配其他) 權限,是一個值得遵循的良好做法。
在分配任務權限時,Defender for Office 365 有以下選項可供選擇:
- Microsoft Entra權限:這些權限適用於Microsoft 365 (Exchange Online、SharePoint、Microsoft Teams 等所有工作負載 ) 。
- Exchange Online 權限:Defender for Office 365 中的大多數任務皆可透過 Exchange Online 權限取得。 僅在 Exchange Online 中指派權限,會阻止其他 Microsoft 365 工作負載的管理員存取。
- Microsoft Defender入口網站中的協作權限Email &:Defender for Office 365 中部分安全功能可透過 Email & 協作權限管理。 例如:
為了簡化流程,我們建議在 Microsoft Entra 中使用安全管理員角色,方便其他需要在 Defender for Office 365 設定的人使用。
相關說明請參見「指派 Microsoft Entra 角色給使用者」及「管理 Microsoft Entra 全域角色對 Microsoft Defender 全面偵測回應的存取」。
步驟 4:優先帳號與使用者標籤
摘要:識別並標記組織中適當的使用者為優先帳號,方便在報告與調查中辨識,並在 Defender for Office 365 中獲得優先帳號保護。 考慮在 Defender for Office 365 Plan 2 中建立並套用自訂使用者標籤。
詳細資料:
在 Defender for Office 365 中,優先帳號允許你標記最多 250 位高價值使用者,方便在報告和調查中識別。 這些優先帳戶還會獲得額外的啟發式資訊,這些對正式員工沒有好處。 欲了解更多資訊,請參閱「管理與監控優先帳戶」及「配置與檢視優先帳戶保護」Microsoft Defender Office 365。
在 Defender for Office 365 Plan 2 中,你也能建立並套用自訂使用者標籤,輕鬆辨識報告與調查中的特定使用者群組。 如需詳細資訊,請參閱適用於 Office 365 的 Microsoft Defender 中的使用者標籤。
辨識適合標記的使用者為優先帳號,並決定是否需要建立並套用自訂使用者標籤。
步驟 5:檢視並設定使用者回報訊息的設定
摘要:請使用Outlook內建的舉報按鈕或支援的非Microsoft工具,讓使用者能在Outlook中回報誤報與誤報,並讓管理員能在Defender入口網站提交頁面的用戶舉報標籤中查看這些通報訊息。 設定組織,讓舉報郵件會送到指定的舉報信箱、Microsoft,或兩者兼有。
詳細資料:
使用者能夠回報標記為壞訊息 (誤報) 或允許的壞訊息 (誤報) 你必須在Defender for Office 365中監控並調整防護設定。
使用者訊息回報的重要部分包括:
使用者如何回報訊息?:請確保用戶端使用以下方法之一,使回報訊息顯示在 Defender 入口網站https://security.microsoft.com/reportsubmission?viewid=user提交頁面的「用戶回報」標籤中:
Outlook 網頁版 (內建的舉報按鈕過去稱為 Outlook Web App 或 OWA) 。
非 Microsoft 的報告工具,使用 支援的訊息提交格式。
用戶舉報訊息會去哪裡?:你有以下選項:
- 該值為預設) ,並Microsoft到指定的報告信箱 (。
- 只能寄到指定的報案信箱。
- 只對 Microsoft 有。
用來收集用戶舉報郵件的預設信箱是組織) 中初始帳號 (全域管理員的信箱。 如果你想讓使用者回報郵件送到組織內的報告信箱,你應該 建立 並 設定 一個專屬信箱來使用。
你決定是否要用戶舉報的訊息也送交Microsoft分析, (獨佔,或是同時送達你指定的舉報信箱) 。
若您希望用戶舉報訊息只寄至指定的舉報信箱,管理員應手動將用戶舉報郵件提交至 Microsoft,從 Defender 入口網站提交頁面的「用戶舉報」標籤進行分析。https://security.microsoft.com/reportsubmission?viewid=user
向 Microsoft 提交用戶檢舉訊息非常重要,這樣我們的過濾器才能學習並改進。
欲了解用戶回報訊息設定的完整資訊,請參閱 使用者回報設定。
步驟六:封鎖並允許進入
摘要:熟悉 Defender for Office 365 中封鎖與允許訊息、檔案及網址的程序。
詳細資料:
你需要熟悉如何暫時封鎖並 (,) 允許訊息發送者、檔案和網址在 Defender 入口網站的以下位置:
- 租戶許可/阻擋名單。https://security.microsoft.com/tenantAllowBlockList
- 投稿頁面。https://security.microsoft.com/reportsubmission
- 偽裝情報洞察頁面。https://security.microsoft.com/spoofintelligence
一般來說,建立封鎖比允許封鎖更容易,因為不必要的允許條目會讓你的組織暴露於系統本來會過濾的惡意郵件。
阻擋:
你可以在租戶允許/封鎖清單的相應分頁中建立網域 、電子郵件地址、 檔案和 網址 的封鎖條目,並從 提交 頁面將項目提交給 Microsoft 進行分析。 當你向 Microsoft 提交項目時,對應的區塊項目也會在租戶允許/封鎖清單中建立。
提示
組織內的使用者也無法 寄送 電子郵件到租戶允許/封鎖清單中區塊條目中指定的網域或電子郵件地址。
被 偽造情報 封鎖的訊息會顯示在 偽造情報 頁面上。 如果你把允許條目改成區塊條目,寄件人就會變成租戶允許/封鎖清單中偽 造寄件 人標籤的手動區塊條目。 你也可以主動在「 偽造寄件 者」標籤中為尚未遇到的偽造寄件者建立封鎖條目。
允許:
您可以在租戶允許/封鎖清單的相應分頁建立網域、電子郵件 地址 和 網址 的允許條目,以覆蓋以下判定:
- 大量
- 垃圾郵件
- 高信賴度的垃圾郵件
- 網路釣魚 (不是高信賴度網路釣魚)
你無法直接在租戶允許/封鎖清單中為以下項目建立允許條目:
- 網域 、電子郵件地址 或 網址可能被惡意軟體或高信心網路釣魚判定。
- 檔案的判決。
你應該使用 提交 頁面向 Microsoft 回報這些項目。 當你選擇 「我已確認它是乾淨的」後,你可以選擇 「允許此訊息」、「 允許此網址」或 「允許此檔案 」,在租戶允許/封鎖清單中建立對應的臨時允許條目。
偽 裝智慧 允許的訊息會顯示在 偽裝情報 頁面上。 如果你把區塊條目改成允許條目,寄件人就會變成租戶允許/封鎖清單中偽 造寄件 人標籤的手動允許條目。 你也可以主動在「 偽造寄件人 」標籤中為尚未遇到的偽造寄件者建立允許條目。
完整詳情請參閱以下文章:
- 使用租戶允許/封鎖清單來允許或封鎖電子郵件
- 使用租用戶允許/封鎖清單允許或封鎖檔案
- 使用租用戶允許/封鎖清單允許或封鎖 URL
- 請使用提交頁面,向 Microsoft 提交疑似垃圾郵件、釣魚郵件、網址、合法郵件被封鎖及電子郵件附件
- 覆寫偽裝情報的判決
步驟7:啟動利用攻擊模擬訓練進行釣魚模擬
在 Defender for Office 365 Plan 2 中,攻擊模擬訓練允許你向使用者發送模擬釣魚訊息,並根據他們的回應分配訓練。 下列為可用的選項:
- 使用內建或自訂有效載荷進行個別模擬。
- 模擬自動化,來自真實世界的網路釣魚攻擊,利用多重有效載荷與自動排程。
- 僅限培訓的活動 ,不需要啟動活動,也不需要等待用戶點擊連結或下載模擬釣魚訊息中的附件,然後才分配培訓。
欲了解更多資訊,請參閱「開始使用攻擊模擬訓練」。
步驟八:調查並回應
現在初步設定完成,請利用 Microsoft Defender for Office 365 安全營運指南中的資訊,監控並調查組織內的威脅。