云组织中的预设安全策略

预设的安全策略 允许根据我们推荐的设置向用户应用许多电子邮件保护功能。 与无限可配置的自定义威胁策略不同，预设安全策略中几乎所有设置都是不可配置的，并且基于我们在数据中心的观察结果。 预设安全策略中的威胁策略设置在使有害内容远离用户的同时避免不必要的中断之间提供了平衡。

根据你的组织，预设的安全策略提供云邮箱和Microsoft Defender for Office 365的默认电子邮件保护中可用的许多保护功能。

以下预设安全策略可用：

• Standard预设的安全策略。
• 严格的 预设安全策略。
• 内置保护 预设安全策略。 在 Defender for Office 365 中为所有用户提供基本的安全附件和安全链接保护：：
  • 不会从内置保护中排除。
  • 未包含在Standard或严格预设安全策略中。
  • 不包含在自定义安全附件或安全链接策略中。

有关这些预设安全策略的详细信息，请参阅本文末尾的 附录 部分。

本文的其余部分介绍如何配置预设的安全策略。

开始前，有必要了解什么？

• 在 中打开Microsoft Defender门户https://security.microsoft.com。 若要直接转到 “预设安全策略 ”页，请使用 https://security.microsoft.com/presetSecurityPolicies。

• 若要连接到 Exchange Online PowerShell，请参阅连接到 Exchange Online PowerShell。

• 需要先分配权限，然后才能执行本文中的过程。 可以选择下列选项：

  • Microsoft Defender XDR基于角色的统一访问控制 (RBAC) (如果Email &协作>Defender for Office 365权限为活动。仅影响 Defender 门户，而不影响 PowerShell) ：授权和设置/安全设置/核心安全设置 (管理) 或授权和设置/安全设置/核心安全设置 (读取) 。

  • Exchange Online权限：

    • 配置预设的安全策略： 组织管理 或 安全管理员 角色组中的成员身份。
    • 对预设安全策略的只读访问权限：全局读取者角色组中的成员身份。

  • Microsoft Entra权限：全局管理员^*、安全管理员或全局读取者角色的成员身份为用户提供Microsoft 365 中其他功能所需的权限和权限。

    重要

    ^* Microsoft强烈主张最低特权原则。 仅向帐户分配执行其任务所需的最低权限有助于降低安全风险，并增强组织的整体保护。 全局管理员是一种高特权角色，应限制在紧急情况下或无法使用其他角色时使用。

使用Microsoft Defender门户向用户分配Standard和严格预设安全策略

1. 在 Microsoft Defender 门户中https://security.microsoft.com，转到“模板化策略”部分中Email &协作>策略& 规则>威胁>策略预设安全策略。 或者，若要直接转到 “预设安全策略 ”页，请使用 https://security.microsoft.com/presetSecurityPolicies。

2. 首次访问“预设安全策略”页时，Standard保护和严格保护可能已关闭。

   将要配置的切换开关滑动到“ 开”，然后选择“ 管理保护设置” 以启动配置向导。

3. 在“应用Exchange Online Protection”页上，确定接收云邮箱的默认电子邮件保护的内部收件人 (收件人条件) ：

   • 所有收件人

   • 特定收件人：配置显示的以下收件人条件之一：

     • 用户：指定的邮箱、邮件用户或邮件联系人。
     • 组：
       • ) 不支持指定通讯组或启用邮件的安全组的成员 (动态通讯组。
       • 指定的 Microsoft 365 组。
     • 域：组织中具有指定接受域主电子邮件地址的所有收件人。

     提示

     除非专门排除子域，否则会自动包含子域。 例如，包含 contoso.com 的策略还包括 marketing.contoso.com，除非排除 marketing.contoso.com。

   单击相应的框，开始键入值，然后从结果中选择所需的值。 根据需要多次重复此过程。 若要删除现有值，请选择 值旁边的值。

   对于用户或组，可以使用大多数标识符（姓名、显示名称、别名、电子邮件地址、帐户名称等），但是相应的显示名称会显示在结果中。 对于用户或组，输入星号 (*) ，以查看所有可用值。

   只能使用一次条件，但条件可以包含多个值：

   • 同一条件的多个值使用 OR 逻辑 (例如 recipient1<> 或 <recipient2>) 。 如果收件人与 任何 指定值匹配，则会对其应用策略。

   • 不同类型的条件使用 AND 逻辑。 收件人必须匹配 所有 指定的条件，策略才能应用于他们。 例如，使用以下值配置条件：

     • 用户： romain@contoso.com
     • 组：高管

     仅当他也是高管组的成员时，才会应用romain@contoso.com该策略。 否则，该策略不适用于他。

   • 无

   • 排除这些收件人：如果选择了 “所有收件人 ”或“ 特定收件人”，请选择此选项以配置收件人例外。

     只能使用一次异常，但该异常可以包含多个值：

     • 同一异常的多个值使用 OR 逻辑 (例如 recipient1<> 或 <recipient2>) 。 如果收件人与 任何 指定值匹配，则不会对其应用策略。
     • 不同类型的异常使用 OR 逻辑 (例如，<recipient1> 或 <group1> 的成员或 <domain1>) 的成员。 如果收件人与 任何 指定的异常值匹配，则不会对其应用策略。

   完成“应用Exchange Online Protection”页后，选择“下一步”。

   注意

   在没有Defender for Office 365的组织中，选择“下一步”将转到“审阅”页 (步骤 9) 。

4. 在“应用Defender for Office 365保护”页上，确定接收 (收件人条件) 或未收到 (收件人例外) Defender for Office 365保护的内部收件人。

   设置和行为与上一步中的“应用Exchange Online Protection”页完全相同。

   还可以选择“ 以前选择的收件人 ”，以使用在上一页上选择的相同收件人。

   完成“应用Defender for Office 365保护”页后，选择“下一步”。

   提示

   如果组织中的所有用户都没有Defender for Office 365许可证，则可以使用以下方法仅对符合条件的用户应用Defender for Office 365保护：

   • 使用指定的收件人标识有资格获得Defender for Office 365保护的用户或组。
   • 使用“排除这些收件人>”“指定收件人”标识不符合Defender for Office 365保护条件的用户或组。

5. 在 “模拟保护 ”页上，选择“ 下一步”。

6. 在 “添加电子邮件地址以在攻击者模拟时进行标记 ”页上，添加受 用户模拟保护保护的内部发件人和外部发件人。

   注意

   所有收件人在预设安全策略中自动接收 来自邮箱智能 的模拟保护。

   在Standard或严格预设安全策略中，最多可以为用户模拟保护指定 350 个用户。

   如果发件人和收件人以前通过电子邮件通信，则用户模拟保护不起作用。 如果发件人和收件人从未通过电子邮件通信，则可以将邮件标识为模拟尝试。

   每个条目都包含显示名称和电子邮件地址：

   • 内部用户：单击“ 添加有效电子邮件 ”框，或开始键入用户的电子邮件地址。 在显示的“ 建议的联系人” 下拉列表中选择电子邮件地址。 用户的显示名称将添加到“ 添加名称 ”框中， (可以更改) 。 选择完用户后，选择“ 添加”。

   • 外部用户：在 “添加有效电子邮件地址 ”框中键入完整的电子邮件地址，然后在显示的“ 建议的联系人” 下拉列表中选择该电子邮件地址。 电子邮件地址还会添加到“ 添加名称 ”框中， (可以更改为) 显示名称。

   根据需要重复执行这些步骤（次数不限）。

   添加的用户按 “显示名称” 和“ 发件人电子邮件地址”在页面上列出。 若要删除用户，请选择条目旁边的。

   使用“ 搜索 ”框查找页面上的条目。

   完成“应用Defender for Office 365保护”页后，选择“下一步”。

7. 在 “在攻击者模拟时添加要标记的域 ”页上，添加受 域模拟保护保护的内部和外部域。

   注意

   你拥有的所有域 (接受的域) 在预设的安全策略中自动接收域模拟保护。

   可以在Standard或严格预设安全策略中为域模拟保护指定最多 50 个自定义域。

   在“ 添加域 ”框中单击，输入域值，然后按 Enter 键或选择框下方显示的值。 若要从框中删除域并重新启动，请选择域旁边的。 准备好添加域后，请选择“ 添加”。 根据需要重复执行此步骤（次数不限）。

   你添加的域将列在页面上。 若要删除域，请选择 值旁边的 。

   你添加的域将列在页面上。 若要删除域，请选择条目旁边的。

   若要从列表中删除现有条目，请选择 该条目旁边的项。

   完成在 攻击者模拟时添加要标记的域后，选择“ 下一步”。

8. 在 “将受信任的电子邮件地址和域添加到不标记为模拟 ”页上，输入要从模拟保护中排除的发件人电子邮件地址和域。 来自这些发件人的邮件永远不会标记为模拟攻击，但发件人仍会受到 Microsoft 365 和 Defender for Office 365 中的其他筛选器的扫描。

   注意

   受信任的域条目不包括指定域的子域。 需要为每个子域添加一个条目。

   在框中输入电子邮件地址或域，然后按 Enter 键或选择框下方显示的值。 若要从框中删除值并重新启动，请选择值旁边的值 。 准备好添加用户或域时，请选择“ 添加”。 根据需要重复执行此步骤（次数不限）。

   你添加的用户和域按 “名称” 和 “类型”列在页面上。 若要删除条目，请选择 条目旁边的。

   完成“ 添加受信任的电子邮件地址和域以不标记为模拟 ”页后，选择“ 下一步”。

9. 在 “查看并确认更改 ”页上，查看设置。 可以在向导中选择“ 后退 ”或特定页面来修改设置。

   完成“ 查看并确认更改 ”页后，选择“ 确认”。

10. 在“更新Standard保护”或“严格保护更新”页上，选择“完成”。

使用Microsoft Defender门户修改Standard和严格预设安全策略的分配

修改Standard保护或严格保护预设安全策略分配的步骤与最初向用户分配预设安全策略时的步骤相同。

若要禁用Standard保护或严格保护预设安全策略，同时仍保留现有条件和异常，请将切换开关滑动到“关闭”。 若要启用策略，请将切换开关滑动到“开”。

使用Microsoft Defender门户向内置保护预设安全策略添加排除项

1. 在 Microsoft Defender 门户中https://security.microsoft.com，转到“模板化策略”部分中Email &协作>策略& 规则>威胁>策略预设安全策略。 或者，若要直接转到 “预设安全策略 ”页，请使用 https://security.microsoft.com/presetSecurityPolicies。

2. 在“预设安全策略”页上，选择“内置保护”部分中 (“不建议) 添加排除项”。

3. 在打开的“ 从内置保护中排除 ”浮出控件中，标识从内置安全链接和安全附件保护中排除的内部收件人：

   • 用户
   • 组：
     • ) 不支持指定通讯组或启用邮件的安全组的成员 (动态通讯组。
     • 指定的 Microsoft 365 组。
   • 域

   单击相应的框，开始键入值，然后选择框下方显示的值。 根据需要多次重复此过程。 若要删除现有值，请选择 值旁边的值。

   对于用户或组，可以使用大多数标识符（姓名、显示名称、别名、电子邮件地址、帐户名称等），但是相应的显示名称会显示在结果中。 对于用户，请单独输入星号 (*) 以查看所有可用值。

   只能使用一次异常，但该异常可以包含多个值：

   • 同一异常的多个值使用 OR 逻辑 (例如 recipient1<> 或 <recipient2>) 。 如果收件人与 任何 指定值匹配，则不会对其应用策略。
   • 不同类型的异常使用 OR 逻辑 (例如，<recipient1> 或 <group1> 的成员或 <domain1>) 的成员。 如果收件人与 任何 指定的异常值匹配，则不会对其应用策略。

4. 完成“ 从内置保护中排除 ”浮出控件后，选择“ 保存”。

如何判断这些过程生效了？

若要验证是否已成功向用户分配Standard保护或严格保护安全策略，请使用默认值不同于Standard保护设置的保护设置，后者不同于严格保护设置。

例如，对于标识为垃圾邮件 (不高置信度的电子邮件，垃圾邮件) 验证邮件是否已传递到Standard保护用户的垃圾邮件Email文件夹，并隔离为严格保护用户。

或者，对于批量邮件，请验证 BCL 值 6 或更高版本是否将邮件传递到Standard保护用户的“垃圾邮件Email”文件夹，并且 BCL 值 5 或更高会隔离严格保护用户的邮件。

Exchange Online PowerShell 中的预设安全策略

在 PowerShell 中，预设的安全策略包含以下元素：

• 单个威胁策略：例如，反恶意软件策略、反垃圾邮件策略、反钓鱼策略、安全链接策略和安全附件策略。 这些策略在 PowerShell 中使用标准策略管理 cmdlet 可见Exchange Online：

  • 云邮箱的默认电子邮件保护：
    • Get-AntiPhishPolicy
    • Get-HostedContentFilterPolicy (反垃圾邮件策略)
    • Get-MalwareFilterPolicy
  • Defender for Office 365保护：
    • Get-SafeAttachmentPolicy
    • Get-SafeLinksPolicy

  警告

  请勿尝试创建、修改或删除与预设安全策略关联的单个威胁策略。 为Standard或严格预设安全策略创建单个威胁策略的唯一受支持的方法是首次在 Microsoft Defender 门户中打开预设安全策略。

• 规则：单独规则用于Standard预设安全策略、严格预设安全策略和内置保护预设安全策略。 这些规则定义策略 (策略应用于) 的收件人条件和例外。 Exchange Online PowerShell 中使用以下 cmdlet 来管理这些规则：

  • 云邮箱的默认电子邮件保护规则：
    • Disable-EOPProtectionPolicyRule
    • Enable-EOPProtectionPolicyRule
    • Get-EOPProtectionPolicyRule
    • New-EOPProtectionPolicyRule
    • Set-EOPProtectionPolicyRule
  • Defender for Office 365保护规则：
    • Disable-ATPProtectionPolicyRule
    • Enable-ATPProtectionPolicyRule
    • Get-ATPProtectionPolicyRule
    • New-ATPProtectionPolicyRule
    • Set-ATPProtectionPolicyRule
  • 内置保护预设安全策略的规则：
    • Get-ATPBuiltInProtectionRule
    • New-ATPBuiltInProtectionRule
    • Set-ATPBuiltInProtectionRule

  对于Standard和严格预设安全策略，这些规则是在首次在Microsoft Defender门户中打开预设安全策略时创建的。 如果从未打开预设安全策略，则关联的规则不存在。 关闭预设安全策略不会删除关联的规则。

以下部分介绍如何在 受支持的方案中使用这些 cmdlet。

若要连接到 Exchange Online PowerShell，请参阅连接到 Exchange Online PowerShell。

使用 PowerShell 查看预设安全策略中的单个威胁策略

请记住，如果从未在Microsoft Defender门户中启用Standard预设安全策略或严格预设安全策略，则预设安全策略的关联威胁策略不存在。

• 内置保护预设安全策略：关联的策略命名为 Built-In 保护策略。 对于这些策略，IsBuiltInProtection 属性值为 True。

  若要查看内置保护预设安全策略的各个威胁策略，请运行以下命令：

  Write-Output -InputObject ("`r`n"*3),"Built-in protection Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy -Identity "Built-In Protection Policy" | Format-List; Write-Output -InputObject ("`r`n"*3),"Built-in protection Safe Links policy",("-"*79);Get-SafeLinksPolicy -Identity "Built-In Protection Policy" | Format-List
  

• Standard预设的安全策略：关联的威胁策略名为 Standard Preset Security Policy<13-digit number>。 例如，Standard Preset Security Policy1622650008019。 策略的 RecommendPolicyType 属性值Standard。

  • 若要查看仅针对云邮箱的默认电子邮件保护的组织中Standard预设安全策略的各个威胁策略，请运行以下命令：

    Write-Output -InputObject ("`r`n"*3),"Standard anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"
    

  • 若要查看组织中具有Defender for Office 365 Standard预设安全策略的各个威胁策略，请运行以下命令：

    Write-Output -InputObject ("`r`n"*3),"Standard anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"
    

• 严格预设的安全策略：关联的威胁策略名为 Strict Preset Security Policy<13-digit number>。 例如，Strict Preset Security Policy1642034872546。 策略的 RecommendPolicyType 属性值为 Strict。

  • 若要查看 仅限云邮箱的默认电子邮件保护的组织中严格预设安全策略的各个威胁策略，请运行以下命令：

    Write-Output -InputObject ("`r`n"*3),"Strict anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"
    

  • 若要查看组织中具有Defender for Office 365严格预设安全策略的各个威胁策略，请运行以下命令：

    Write-Output -InputObject ("`r`n"*3),"Strict anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"
    

使用 PowerShell 查看预设安全策略的规则

请记住，如果从未在Microsoft Defender门户中启用Standard预设安全策略或严格预设安全策略，则这些策略的关联规则不存在。

• 内置保护预设安全策略：只有一条名为 ATP 的规则 Built-In 保护规则。

  若要查看与内置保护预设安全策略关联的规则，请运行以下命令：

  Get-ATPBuiltInProtectionRule
  

• Standard预设安全策略：关联的规则Standard预设安全策略命名。

  使用以下命令查看与Standard预设安全策略关联的规则：

  • 若要查看与Standard预设安全策略中云邮箱的默认电子邮件保护关联的规则，请运行以下命令：

    Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"
    

  • 若要查看与Standard预设安全策略中的Defender for Office 365保护关联的规则，请运行以下命令：

    Get-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"
    

  • 若要同时查看 这两个规则 ，请运行以下命令：

    Write-Output -InputObject ("`r`n"*3),"EOP rule - Standard preset security policy",("-"*79);Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"; Write-Output -InputObject ("`r`n"*3),"Defender for Office 365 rule - Standard preset security policy",("-"*79);Get-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"
    

• 严格预设安全策略：关联的规则名为严格预设安全策略。

  使用以下命令查看与严格预设安全策略关联的规则：

  • 若要查看与严格预设安全策略 中云邮箱的默认电子邮件保护 关联的规则，请运行以下命令：

    Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"
    

  • 若要查看与严格预设安全策略中的Defender for Office 365保护关联的规则，请运行以下命令：

    Get-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"
    

  • 若要同时查看 这两个规则 ，请运行以下命令：

    Write-Output -InputObject ("`r`n"*3),"EOP rule - Strict preset security policy",("-"*79);Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"; Write-Output -InputObject ("`r`n"*3),"Defender for Office 365 rule - Strict preset security policy",("-"*79);Get-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"
    

使用 PowerShell 打开或关闭预设安全策略

若要在 PowerShell 中打开或关闭Standard或严格预设安全策略，请启用或禁用与策略关联的规则。 规则的 State 属性值显示规则是“已启用”还是“已禁用”。

如果组织仅对云邮箱提供默认电子邮件保护，请禁用或启用默认电子邮件保护规则。

如果组织已Defender for Office 365，则启用或禁用云邮箱默认电子邮件保护规则和Defender for Office 365保护规则 (启用或禁用这两个规则) 。

• 仅对云邮箱使用默认电子邮件保护的组织：

  • 运行以下命令，确定当前是启用或禁用Standard和严格预设安全策略的规则：

    Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50); Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50); Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy" | Format-Table Name,State
    

  • 运行以下命令以关闭Standard预设安全策略：

    Disable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"
    

  • 运行以下命令以关闭严格预设安全策略：

    Disable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"
    

  • 运行以下命令以打开Standard预设安全策略：

    Enable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"
    

  • 运行以下命令以启用严格预设安全策略：

    Enable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"
    

• 具有Defender for Office 365的组织：

  • 运行以下命令，确定当前是启用或禁用Standard和严格预设安全策略的规则：

    Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50);Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject `r`n,"Defender for Office 365 protection rule",("-"*50);Get-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50);Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject `r`n,"Defender for Office 365 protection rule",("-"*50);Get-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy" | Format-Table Name,State
    

  • 运行以下命令以关闭Standard预设安全策略：

    Disable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"; Disable-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"
    

  • 运行以下命令以关闭严格预设安全策略：

    Disable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"; Disable-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"
    

  • 运行以下命令以打开Standard预设安全策略：

    Enable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"; Enable-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"
    

  • 运行以下命令以启用严格预设安全策略：

    Enable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"; Enable-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"
    

使用 PowerShell 指定预设安全策略的收件人条件和例外

只能使用一次收件人条件或例外，但条件或例外可以包含多个值：

• 相同条件或异常的多个值使用 OR 逻辑 (，例如 recipient1<> 或 <recipient2>) ：

  • 条件：如果收件人与 任何 指定值匹配，则会对其应用策略。
  • 例外：如果收件人与 任何 指定值匹配，则不会对其应用策略。

• 不同类型的异常使用 OR 逻辑 (例如，<recipient1> 或 <group1> 的成员或 <domain1>) 的成员。 如果收件人与 任何 指定的异常值匹配，则不会对其应用策略。

• 不同类型的条件使用 AND 逻辑。 收件人必须匹配 所有 指定的条件，策略才能应用于他们。 例如，使用以下值配置条件：

  • 用户： romain@contoso.com
  • 组：高管

  仅当他也是高管组的成员时，才会应用romain@contoso.com该策略。 否则，该策略不适用于他。

对于内置保护预设安全策略，只能指定收件人例外。 如果所有异常参数值都为空 ($null) ，则策略没有例外。

对于Standard和严格预设安全策略，可以为云邮箱的默认电子邮件保护和Defender for Office 365保护指定收件人条件和例外。 如果所有条件和异常参数值都为空 ($null) ，则Standard或严格预设安全策略没有收件人条件或例外。

• 内置保护预设安全策略：

  使用以下语法:

  Set-ATPBuiltInProtectionRule -Identity "ATP Built-In Protection Rule" -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null>
  

  此示例从内置保护预设安全策略中删除所有收件人例外。

  Set-ATPBuiltInProtectionRule -Identity "ATP Built-In Protection Rule" -ExceptIfRecipientDomainIs $null -ExceptIfSentTo $null -ExceptIfSentToMemberOf $null
  

  有关详细语法和参数信息，请参阅 Set-ATPBuiltInProtectionRule。

• Standard或严格预设安全策略

  使用以下语法:

  <Set-EOPProtectionPolicyRule | SetAtpProtectionPolicyRule> -Identity "<Standard Preset Security Policy | Strict Preset Security Policy>" -SentTo <"user1","user2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -SentToMemberOf <"group1","group2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null> -RecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null>
  

  本示例将高管通讯组的成员配置为Standard预设安全策略中云邮箱的默认电子邮件保护的例外。

  Set-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy" -ExceptIfSentToMemberOf Executives
  

  此示例将 secOps) 邮箱 (指定安全作配置为Standard预设安全策略中Defender for Office 365保护的例外情况。

  Set-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy" -ExceptIfSentTo "SecOps1","SecOps2"
  

  有关详细语法和参数信息，请参阅 Set-EOPProtectionPolicyRule 和 Set-ATPProtectionPolicyRule。

附录

预设安全策略由以下元素组成：

• 配置文件
• 策略
• 策略设置

以下部分介绍了这些元素。

此外，了解预设安全策略如何与其他策略 的优先级顺序 相符，这一点很重要。

预设安全策略中的配置文件

配置文件确定保护级别。 以下配置文件可用于预设的安全策略：

• Standard保护：适合大多数用户的基线配置文件。
• 严格保护： (高价值目标或优先用户) 所选用户的更积极的配置文件。
• 内置保护仅 (Microsoft Defender for Office 365) ：仅有效提供安全链接和安全附件的默认威胁策略。

通常，严格保护配置文件倾向于隔离危害较小的电子邮件 (例如，与Standard保护配置文件相比，批量和垃圾邮件) ，但两个配置文件中的许多设置都是相同的 (，尤其是对于恶意软件或钓鱼等有害电子邮件) 。 有关设置差异的比较，请参阅下一部分中的表。

在打开配置文件并向其分配用户之前，Standard和严格预设安全策略不会分配给任何人。 相比之下，内置保护预设安全策略默认分配给所有收件人，但你可以配置例外。

预设安全策略中的策略

预设的安全策略使用特殊版本的单个威胁策略来为云邮箱和Microsoft Defender for Office 365提供默认电子邮件保护。 这些策略是在向用户分配Standard保护或严格保护预设安全策略后创建的。

• 云邮箱默认电子邮件保护中的威胁策略：这些策略位于具有云邮箱的所有组织中：

  • 名为 Standard预设安全策略和严格预设安全策略的反垃圾邮件策略。
  • 名为 Standard预设安全策略和严格预设安全策略的反恶意软件策略。
  • 所有云邮箱的防钓鱼策略 (欺骗) Standard预设安全策略和严格预设安全策略 (欺骗设置) 。

  注意

  出站垃圾邮件策略不是预设安全策略的一部分。 默认出站垃圾邮件策略会自动保护预设安全策略的成员。 或者，可以创建自定义出站垃圾邮件策略，为预设安全策略的成员自定义保护。 有关详细信息，请参阅 配置出站垃圾邮件筛选。

• Microsoft Defender for Office 365中的威胁策略：这些策略位于具有Microsoft 365 E5或Defender for Office 365加载项订阅的组织中：

  • Defender for Office 365中名为 Standard预设安全策略和严格预设安全策略的防钓鱼策略，其中包括：
    • 所有云邮箱的防钓鱼策略中提供的相同 欺骗设置 。
    • 模拟设置
    • 钓鱼电子邮件阈值
  • 安全链接策略Standard预设安全策略、严格预设安全策略和内置保护策略。
  • 名为 的安全附件策略Standard预设安全策略、严格预设安全策略和内置保护策略。

如前所述，可以将默认电子邮件保护应用于与Defender for Office 365保护不同的用户，也可以对同一收件人应用所有保护。

预设安全策略中的策略设置

不能在预设的安全保护配置文件中修改各个威胁策略。 与Standard或严格预设安全策略关联的威胁策略始终在默认或自定义威胁策略之前应用，严格策略始终在Standard策略之前应用，如本文的优先级顺序部分所述

• 云组织的建议电子邮件和协作威胁策略设置中的功能表中列出了Standard、严格和内置保护威胁策略设置，包括关联的隔离策略。
• 还可以使用 Exchange Online PowerShell 快速查看所有策略设置值，如本文前面所述。

但是，你需要配置单个用户 (发件人) 和域，以在Defender for Office 365接收模拟保护。 否则，预设安全策略会自动配置以下类型的模拟保护：

• 你拥有 (接受域) 的所有 域的域 模拟保护。
• 邮箱智能保护 (联系人图) 。

下表总结了Standard预设安全策略和严格预设安全策略中有意义的策略设置的差异：

下表总结了内置保护、Standard和严格预设安全策略中的安全附件和安全链接设置的差异：

有关这些设置的详细信息，请参阅 云组织的建议电子邮件和协作威胁策略设置中的功能表。

预设安全策略和其他威胁策略的优先级顺序

在多个策略中定义收件人时，策略将按以下顺序应用：

1. 严格预设安全策略。
2. Standard预设的安全策略。
3. Defender for Office 365评估策略
4. 基于策略优先级的自定义威胁策略 (较低的数字表示) 优先级较高。
5. 安全链接和安全附件的内置保护预设安全策略;反恶意软件、反垃圾邮件和反钓鱼的默认威胁策略。

此顺序显示在 Defender 门户中各个威胁策略的页面上， (策略按) 页上显示的顺序应用。

例如，管理员配置Standard预设安全策略，以及具有相同收件人的自定义反垃圾邮件策略。 Standard预设安全策略中的反垃圾邮件策略设置将应用于用户，而不是自定义反垃圾邮件策略或默认反垃圾邮件策略中的设置。

考虑对一部分用户应用Standard或严格预设安全策略，并将自定义威胁策略应用于组织中的其他用户。 若要满足此要求，请考虑以下方法：

• 在Standard预设安全策略、严格预设安全性和自定义威胁策略中使用明确的组或收件人列表，因此不需要例外。 使用此方法时，无需考虑应用于同一用户的多个策略以及优先级顺序的影响。
• 如果无法避免将多个策略应用于同一用户，请使用以下策略：
  • 在严格预设安全策略中，将应获取Standard预设安全策略和自定义威胁策略的设置配置为例外的收件人。
  • 将应获取自定义威胁策略设置作为预设安全策略Standard例外的收件人进行配置。
  • 将应获取内置保护预设安全策略或默认威胁策略的设置配置为自定义威胁策略的例外的收件人。

内置保护预设安全策略不会影响现有安全链接或安全附件策略中的收件人。 如果已配置Standard保护、严格保护、自定义安全链接策略或自定义安全附件策略，则始终在内置保护之前应用这些策略。

有关详细信息，请参阅 电子邮件保护的顺序和优先级。