重要事項
本文中的部分資訊與發行前版本產品有關,在產品正式發行前可能會大幅度修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。
提示
你知道你可以免費試用 Microsoft Defender for Office 365 Plan 2 的功能嗎? 請於 Microsoft Defender 入口試用中心使用 Defender for Office 365 的 90 天試用版。 了解誰可以註冊並試用 Microsoft Defender for Office 365。
隨著 Microsoft Teams 等協作工具的使用增加,利用聊天訊息發動惡意攻擊的可能性也隨之增加。
所有 Microsoft Teams 在 Microsoft 365 中的授權都包含以下內建保護措施:
SharePoint、SharePoint Embedded、OneDrive 及 Microsoft Teams 內建防毒功能
Teams 訊息中的近即時 URL 保護 (目前預覽) :Teams 訊息中的已知惡意網址會附上警告。 若郵件在送達後48小時內發現含有惡意網址,也會收到警告。 警告會被加到內部及外部聊天及頻道的訊息中,涵蓋所有網址判決 (不僅限於惡意軟體或高信心的釣魚) 。
要關閉或開啟此功能,請參閱 Microsoft Teams 訊息中顯示的「驗證不安全連結」警告。
Microsoft Defender for Office 365 提供以下額外的 Teams 保護功能:
Microsoft Teams 透過安全連結及 SharePoint、OneDrive 和 Microsoft Teams 的安全附件,確保 Teams 訊息中 URL 與檔案的點擊保護時間。
零時自動保護 (ZAP) for Teams:ZAP 是現有的電子郵件保護功能,透過將郵件移至垃圾郵件Email資料夾或隔離區,偵測並中和垃圾郵件、釣魚及惡意軟體郵件。
ZAP for Teams 會隔離內部 Teams 聊天或頻道中被發現為惡意軟體或高信心網路釣魚的訊息。 欲了解更多資訊,請參閱 Microsoft Teams 中的零時自動清除 (ZAP) 。
關於如何配置 ZAP 以保護 Teams 的說明會在下一節。
隔離中的 Teams 訊息:預設情況下,只有管理員可以管理被 ZAP 隔離的 Teams 訊息。 這與被識別為惡意軟體或高信心釣魚的電子郵件預設限制相同。 欲了解更多資訊,請參閱 管理隔離的 Teams 訊息。
Microsoft 365 E5 與 Defender for Office 365 Plan 2 透過一系列額外功能擴展 Teams 保護,旨在中斷攻擊鏈:
舉報 Teams 訊息:用戶可以舉報 Teams 訊息為惡意或非惡意。 根據組織中報告的訊息設定,報告郵件會送到指定的報告信箱、Microsoft,或兩者兼有。 欲了解更多資訊,請參閱 Teams 中的使用者回報設定。
Teams 訊息實體面板:一個集中存放所有 Teams 訊息元資料的地方,方便立即審查 SecOps 作業。 任何來自 Teams 聊天、群組聊天、會議聊天及其他管道的威脅,一旦評估完,都能集中在同一地點。 欲了解更多資訊,請參閱 Microsoft Defender for Office 365 Plan 2 中的 Teams 訊息實體面板。
提示
要移除 Teams 聊天中的使用者,請參見 Teams 訊息實體面板中的「移除 Teams 聊天中的使用者」。
使用 Teams 訊息進行攻擊模擬訓練:為確保使用者在 Microsoft Teams 中具備抗釣魚攻擊的韌性,管理員可使用 Teams 訊息而非電子郵件來設定釣魚模擬。 欲了解更多資訊,請參閱 Microsoft Teams 攻擊模擬訓練。
在 Teams 訊息中尋找有 URL 的訊息:你可以透過三個新的進階搜尋表(MessageEvents、MessagePostDeliveryEvents 和 MessageURLInfo)搜尋包含 URL 的 Teams 訊息。
在 Defender for Office 365 中設定 ZAP 以保護 Teams
在Microsoft Defender入口https://security.microsoft.com網站,前往設定>Email &協作>Microsoft Teams 保護。 或者,要直接前往 Microsoft Teams 保護 頁面,請使用 https://security.microsoft.com/securitysettings/teamsProtectionPolicy。
在 Microsoft Teams 保護 頁面,請驗證 ZAP) (零時自動清除 的開關:
-
開啟 Teams 的 ZAP:確認開關是否 開啟
。 -
關閉 Teams 的 ZAP:將開關滑到 關閉
。
-
開啟 Teams 的 ZAP:確認開關是否 開啟
當 開關開啟
時,請使用頁面上剩餘的設定來自訂 ZAP 以保護 Teams :隔離政策區塊:您可以選擇現有的隔離政策,用於被 ZAP 為 Teams 保護隔離的訊息,該訊息被 ZAP 用於 Teams 保護,視為惡意軟體或高信心釣魚。 隔離原則會定義使用者可以對隔離郵件執行哪些操作,以及使用者是否收到隔離通知。 欲了解更多資訊,請參閱 隔離政策的解剖。
注意事項
隔離通知在名為 AdminOnlyAccessPolicy 的政策中被停用。 若要通知被隔離為惡意軟體或高信心網路釣魚的收件人,請建立或使用現有的隔離政策,啟用隔離通知功能。 相關說明請參閱 Microsoft Defender 入口網站的「建立隔離政策」。
排除這些參與者 部分:指定要排除 ZAP 以保護 Teams 的 使用者、 群組或 網域 。 排除條款對 訊息接收者來說很重要,對 發送者來說不重要。 欲了解更多資訊,請參閱 Microsoft Teams 中的零時自動清除 (ZAP) 。
你只能使用一次例外,但該例外可以包含多個值:
- 同一例外的多個值會使用或邏輯 (<例如接收者1>或<接收者2>) 。 如果接收者符合 指定 值,則不會對他們套用 ZAP for Teams 保護。
- 不同類型的例外使用或邏輯 (,例如<接收者1>、<群組1>成員或<domain1>成員) 。 如果收件人符合 任何 指定的例外值,則不會對他們套用 ZAP for Teams保護。
當你瀏覽完 Microsoft Teams 保護 頁面後,選擇 「儲存」。
使用 Exchange Online PowerShell 來設定 ZAP 以保護 Teams
如果你想用 Exchange Online PowerShell 來設定 Microsoft Teams 的 ZAP,以下 cmdlet 會參考:
- Teams 保護政策 (*-TeamsProtectionPolicy 指令碼) 會開啟或關閉 Teams 的 ZAP,並指定用於惡意軟體及高信心釣魚偵測的隔離政策。
- Teams 保護政策規則 (*-TeamsProtectionPolicyRule 指令長) 識別 Teams 保護政策,並規定 ZAP 對使用者、群組或網域 (保護的例外情況) 。
附註:
- 組織中只有一個 Teams 保護政策。 預設情況下,該政策稱為 Teams 保護政策。
- 只有當組織內沒有 Teams 保護政策時,使用 New-TeamsProtectionPolicy 指令檔才有意義 (Get-TeamsProtectionPolicy 指令碼也沒有任何) 回傳。 你可以無錯誤地執行 cmdlet,但如果已經有新的 Teams 保護政策,則不會再建立新的 Teams 保護政策。
- 你無法移除現有的 Teams 保護政策或 Teams 保護政策規則, (沒有 Remove-TeamsProtectionPolicy 或 Remove-TeamsProtectionPolicyRule 指令碼) 。
- 預設情況下,組織中有一個名為 Teams 保護政策規則的規則,由 Get-TeamsProtectionPolicyRule 指令碼回傳。 你可以使用 Defender 入口網站或 Set-TeamsProtectionPolicyRule 指令檔來修改 ZAP for Teams 的隔離政策或例外。
使用 PowerShell 查看 Teams 的保護政策和 Teams 保護政策規則
要查看 Teams 保護政策和 Teams 保護政策規則中的重要值,請執行以下指令:
Get-TeamsProtectionPolicy | Format-List Name,ZapEnabled,HighConfidencePhishQuarantineTag,MalwareQuarantineTag
Get-TeamsProtectionPolicyRule | Format-List Name,TeamsProtectionPolicy,ExceptIfSentTo,ExceptIfSentToMemberOf,ExceptIfRecipientDomainIs
欲了解詳細語法與參數資訊,請參閱 Get-TeamsProtectionPolicy 與 Get-TeamsProtectionPolicyRule。
使用 PowerShell 修改 Teams 的保護政策
要修改 Teams 的保護政策,請使用以下語法:
Set-TeamsProtectionPolicy -Identity "Teams Protection Policy" [-ZapEnabled <$true | $false>] [-HighConfidencePhishQuarantineTag "<QuarantinePolicyName>"] [-MalwareQuarantineTag "<QuarantinePolicyName>"]
此範例啟用 ZAP for Teams,並改變用於高信心網路釣魚偵測的隔離政策:
Set-TeamsProtectionPolicy -Identity "Teams Protection Policy" -ZapEnabled $true -HighConfidencePhishQuarantineTag AdminOnlyWithNotifications
如需詳細語法與參數資訊,請參閱 Set-TeamsProtectionPolicy。
使用 PowerShell 來建立 Teams 的保護政策規則
預設情況下,沒有 Teams 的保護政策規則,因為 ZAP 對 Teams 沒有預設例外。
要建立新的 Teams 保護政策規則,請使用以下語法:
New-TeamsProtectionPolicyRule -Name "Teams Protection Policy Rule" -TeamsProtectionPolicy "Teams Protection Policy" [-ExceptIfSentTo <UserEmail1,UserEmail2,...UserEmailN>] [-ExceptIfSentToMemberOf <GroupEmail1,GroupEmail2,...GroupEmailN>] [-ExceptIfRecipientDomainIs <Domain1,Domain2,...DomainN>]
重要事項
如本文先前所述,使用者、群組和網域 (多重例外類型) 使用或(OR)邏輯,而非與(AND)。
此範例建立 Teams 保護政策規則,群組中名為 Research 的成員被排除在 ZAP 之外以進行 Teams 保護。
New-TeamsProtectionPolicyRule -Name "Teams Protection Policy Rule" -TeamsProtectionPolicy "Teams Protection Policy" -ExceptIfSentToMemberOf research@contoso.onmicrosoft.com
有關詳細語法與參數資訊,請參見 New-TeamsProtectionPolicyRule。
使用 PowerShell 修改 Teams 的保護政策規則
如果 Teams 保護政策規則已經存在 (Get-TeamsProtectionPolicyRule 指令檔返回輸出) ,請使用以下語法修改該規則:
Set-TeamsProtectionPolicyRule -Identity "Teams Protection Policy Rule" [-ExceptIfSentTo <UserEmailAddresses | $null>] [-ExceptIfSentToMemberOf <GroupEmailAddresses | $null>] [-ExceptIfRecipientDomainIs <Domains | $null>]
附註:
- 關於新增、移除及替換 ExceptIfSentToMemberOf 和 ExceptIfRecipientDomainIs 參數所有值的語法,請參閱 Set-TeamsProtectionPolicyRule 中的參數描述。
- 要清空 exceptIfSentTo、 exceptIfSentToMemberOf 或 ExceptIfRecipientDomainIs 參數,請使用值
$null。
此範例修改了現有的 Teams 保護政策規則,排除了 research.contoso.com 和 research.contoso.net 網域中的接收者,以保護 Teams 的 ZAP。
Set-TeamsProtectionPolicyRule -Identity "Teams Protection Policy Rule" -ExceptIfRecipientDomainIs research.contoso.com,research.contoso.net
有關詳細語法與參數資訊,請參見 Set-TeamsProtectionPolicyRule。