Criteri di sicurezza predefiniti in Exchange Online Protection e Microsoft Defender per Office 365

Consiglio

Sapevi che puoi provare le funzionalità in Microsoft Defender XDR gratuitamente per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni su chi può iscriversi e sulle condizioni di valutazione in Prova Microsoft Defender per Office 365.

I criteri di sicurezza predefiniti consentono di applicare funzionalità di protezione agli utenti in base alle impostazioni consigliate. A differenza dei criteri personalizzati configurabili all'infinito, praticamente tutte le impostazioni nei criteri di sicurezza predefiniti non sono configurabili e si basano sulle osservazioni nei data center. Le impostazioni nei criteri di sicurezza preimpostati offrono un equilibrio tra mantenere il contenuto dannoso lontano dagli utenti evitando interruzioni non necessarie.

A seconda dell'organizzazione, i criteri di sicurezza predefiniti forniscono molte delle funzionalità di protezione disponibili in Exchange Online Protection (EOP) e Microsoft Defender per Office 365.

Sono disponibili i criteri di sicurezza predefiniti seguenti:

  • Criteri di sicurezza predefiniti standard
  • Criteri di sicurezza predefiniti rigorosi
  • Criteri di sicurezza predefiniti per la protezione predefinita (criteri predefiniti per la protezione degli allegati sicuri e dei collegamenti sicuri in Defender per Office 365)

Per informazioni dettagliate su questi criteri di sicurezza predefiniti, vedere la sezione Appendice alla fine di questo articolo.

Il resto di questo articolo illustra come configurare i criteri di sicurezza predefiniti.

Che cosa è necessario sapere prima di iniziare?

  • Aprire il portale di Microsoft Defender all'indirizzo https://security.microsoft.com. Per passare direttamente alla pagina Criteri di sicurezza predefiniti , usare https://security.microsoft.com/presetSecurityPolicies.

  • Per informazioni su come connettersi a PowerShell per Exchange Online, vedere Connettersi a PowerShell per Exchange Online.

  • Prima di poter eseguire le procedure descritte in questo articolo, è necessario disporre delle autorizzazioni necessarie. Sono disponibili le opzioni seguenti:

    • Microsoft Defender XDR Controllo degli accessi in base al ruolo unificato (Se Email & collaborazione>Defender per Office 365 autorizzazioni è Attivo. Influisce solo sul portale di Defender e non su PowerShell: autorizzazioni e impostazioni/Impostazioni di sicurezza/Impostazioni di sicurezza di base (gestione) o Autorizzazioni e impostazioni/Impostazioni di sicurezza/Impostazioni di sicurezza di base (lettura).

    • Exchange Online autorizzazioni:

      • Configurare i criteri di sicurezza predefiniti: appartenenza ai gruppi di ruoli Gestione organizzazione o Amministratore della sicurezza .
      • Accesso di sola lettura ai criteri di sicurezza predefiniti: appartenenza al gruppo di ruoli Lettore globale .
    • Microsoft Entra autorizzazioni: l'appartenenza ai ruoli Amministratore* globale, Amministratore della sicurezza o Lettore globale offre agli utenti le autorizzazioni e le autorizzazioni necessarie per altre funzionalità in Microsoft 365.

      Importante

      * Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. L'uso di account con autorizzazioni inferiori consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.

Usare il portale di Microsoft Defender per assegnare agli utenti criteri di sicurezza predefiniti Standard e Strict

  1. Nel portale di Microsoft Defender in https://security.microsoft.com, passare a Email & Criteri di collaborazione>& Regole>Criteri di minaccia>Preimpostati criteri di sicurezza nella sezione Criteri con modelli. In alternativa, per passare direttamente alla pagina Criteri di sicurezza predefiniti , usare https://security.microsoft.com/presetSecurityPolicies.

  2. Se questa è la prima volta nella pagina Criteri di sicurezza predefiniti , è probabile che la protezione Standard e la protezione strict siano disattivate .

    Scorrere l'interruttore di quello che si vuole configurare su e quindi selezionare Gestisci impostazioni di protezione per avviare la configurazione guidata.

  3. Nella pagina Applica Exchange Online Protection identificare i destinatari interni a cui si applicano le protezioni EOP (condizioni del destinatario):

    • Tutti i destinatari

    • Destinatari specifici: configurare una delle condizioni del destinatario seguenti visualizzate:

      • Utenti: la cassette postali, gli utenti di posta o contatti di posta specificati.
      • Gruppi:
        • Membri dei gruppi di distribuzione o dei gruppi di sicurezza abilitati alla posta specificati (i gruppi di distribuzione dinamici non sono supportati).
        • Gruppi di Microsoft 365 specificati.
      • Domini: tutti i destinatari dell'organizzazione con un indirizzo di posta elettronica primario nel dominio accettato specificato.

    Fare clic nella casella appropriata, iniziare a digitare un valore e selezionare il valore desiderato nei risultati. Ripetere questa procedura tutte le volte necessarie. Per rimuovere un valore esistente, selezionare accanto al valore.

    Per utenti o gruppi è possibile usare la maggior parte degli identificatori, ad esempio nome, nome visualizzato, alias, indirizzo di posta elettronica, nome dell'account e così via, ma il nome visualizzato corrispondente viene visualizzato nei risultati. Per utenti o gruppi, immettere un asterisco (*) da solo per visualizzare tutti i valori disponibili.

    È possibile usare una condizione una sola volta, ma la condizione può contenere più valori:

    • Più valori della stessa condizione usano la logica OR , <ad esempio recipient1> o <recipient2>. Se il destinatario corrisponde a uno dei valori specificati, i criteri vengono applicati a tali valori.

    • I diversi tipi di condizioni usano la logica AND. Il destinatario deve corrispondere a tutte le condizioni specificate per l'applicazione dei criteri. Ad esempio, si configura una condizione con i valori seguenti:

      • Gli utenti: romain@contoso.com
      • Gruppi: Dirigenti

      Il criterio viene applicato soloromain@contoso.com se è anche membro del gruppo Dirigenti. In caso contrario, il criterio non viene applicato a lui.

    • Nessuna

    • Escludi questi destinatari: se è stata selezionata l'opzione Tutti i destinatari o Destinatari specifici, selezionare questa opzione per configurare le eccezioni dei destinatari.

      È possibile usare un'eccezione una sola volta, ma l'eccezione può contenere più valori:

      • Più valori della stessa eccezione usano la logica OR (ad esempio,< recipient1> o <recipient2>). Se il destinatario corrisponde a uno dei valori specificati, i criteri non vengono applicati.
      • I diversi tipi di eccezioni usano la logica OR, <ad esempio recipient1> o <membro di group1> o <membro di domain1>. Se il destinatario corrisponde a uno dei valori di eccezione specificati, i criteri non vengono applicati.

    Al termine, nella pagina Applica Exchange Online Protection selezionare Avanti.

    Nota

    Nelle organizzazioni senza Defender per Office 365 selezionare Avanti per passare alla pagina Revisione (passaggio 9).

  4. Nella pagina Applica protezione Defender per Office 365 identificare i destinatari interni a cui si applicano le protezioni Defender per Office 365 (condizioni del destinatario).

    Le impostazioni e il comportamento sono esattamente simili alla pagina Applica Exchange Online Protection nel passaggio precedente.

    È anche possibile selezionare Destinatari selezionati in precedenza per usare gli stessi destinatari selezionati per la protezione EOP nella pagina precedente.

    Al termine, nella pagina Applica protezione Defender per Office 365 selezionare Avanti.

  5. Nella pagina Protezione rappresentazione selezionare Avanti.

  6. Nella pagina Aggiungi indirizzi di posta elettronica da contrassegnare quando vengono rappresentati da utenti malintenzionati aggiungere mittenti interni ed esterni protetti dalla protezione della rappresentazione utente.

    Nota

    Tutti i destinatari ricevono automaticamente la protezione della rappresentazione dall'intelligence delle cassette postali nei criteri di sicurezza predefiniti.

    È possibile specificare un massimo di 350 utenti per la protezione della rappresentazione utente nei criteri di sicurezza predefiniti Standard o Strict.

    La protezione dalla rappresentazione utente non funziona se il mittente e il destinatario hanno comunicato in precedenza tramite posta elettronica. Se il mittente e il destinatario non hanno mai comunicato tramite posta elettronica, il messaggio può essere identificato come un tentativo di rappresentazione.

    Ogni voce è costituita da un nome visualizzato e un indirizzo di posta elettronica:

    • Utenti interni: fare clic nella casella Aggiungi un messaggio di posta elettronica valido o iniziare a digitare l'indirizzo di posta elettronica dell'utente. Selezionare l'indirizzo di posta elettronica nell'elenco a discesa Contatti suggeriti visualizzato. Il nome visualizzato dell'utente viene aggiunto alla casella Aggiungi un nome (che è possibile modificare). Al termine della selezione dell'utente, selezionare Aggiungi.

    • Utenti esterni: digitare l'indirizzo di posta elettronica completo dell'utente esterno nella casella Aggiungi un messaggio di posta elettronica valido e quindi selezionare l'indirizzo di posta elettronica nell'elenco a discesa Contatti suggeriti visualizzato. L'indirizzo di posta elettronica viene aggiunto anche nella casella Aggiungi un nome ( che è possibile modificare in un nome visualizzato).

    Ripetere questi passaggi tutte le volte necessarie.

    Gli utenti aggiunti sono elencati nella pagina in base al nome visualizzato e all'indirizzo di posta elettronica del mittente. Per rimuovere un utente, selezionare accanto alla voce .

    Utilizzare la casella Di ricerca per trovare le voci nella pagina.

    Al termine, nella pagina Applica protezione Defender per Office 365 selezionare Avanti.

  7. Nella pagina Aggiungi domini da contrassegnare quando sono rappresentati da utenti malintenzionati aggiungere domini interni ed esterni protetti dalla protezione della rappresentazione del dominio.

    Nota

    Tutti i domini di cui si è proprietari (domini accettati) ricevono automaticamente la protezione della rappresentazione del dominio nei criteri di sicurezza predefiniti.

    È possibile specificare un massimo di 50 domini personalizzati per la protezione della rappresentazione del dominio nei criteri di sicurezza predefiniti Standard o Strict.

    Fare clic nella casella Aggiungi domini , immettere un valore di dominio, premere INVIO o selezionare il valore visualizzato sotto la casella. Per rimuovere un dominio dalla casella e ricominciare, selezionare accanto al dominio. Quando si è pronti per aggiungere il dominio, selezionare Aggiungi. Ripetere questo passaggio tutte le volte necessarie.

    I domini aggiunti sono elencati nella pagina. Per rimuovere il dominio, selezionare accanto al valore .

    I domini aggiunti sono elencati nella pagina. Per rimuovere un dominio, selezionare accanto alla voce .

    Per rimuovere una voce esistente dall'elenco, selezionare accanto alla voce.

    Al termine dell'operazione aggiungi domini da contrassegnare quando vengono rappresentati da utenti malintenzionati, selezionare Avanti.

  8. Nella pagina Aggiungi domini e indirizzi di posta elettronica attendibili da non contrassegnare come rappresentazione immettere gli indirizzi di posta elettronica e i domini del mittente da escludere dalla protezione della rappresentazione. I messaggi provenienti da questi mittenti non vengono mai contrassegnati come attacchi di rappresentazione, ma i mittenti sono ancora soggetti all'analisi da parte di altri filtri in EOP e Defender per Office 365.

    Nota

    Le voci di dominio attendibili non includono sottodomini del dominio specificato. È necessario aggiungere una voce per ogni sottodominio.

    Immettere l'indirizzo di posta elettronica o il dominio nella casella e quindi premere INVIO o selezionare il valore visualizzato sotto la casella. Per rimuovere un valore dalla casella e ricominciare, selezionare accanto al valore. Quando si è pronti per aggiungere l'utente o il dominio, selezionare Aggiungi. Ripetere questo passaggio tutte le volte necessarie.

    Gli utenti e i domini aggiunti sono elencati nella pagina in base al nome e al tipo. Per rimuovere una voce, selezionare accanto alla voce.

    Al termine, nella pagina Aggiungi indirizzi e domini di posta elettronica attendibili da non contrassegnare come rappresentazione selezionare Avanti.

  9. Nella pagina Rivedi e conferma le modifiche esaminare le impostazioni. È possibile selezionare Indietro o la pagina specifica nella procedura guidata per modificare le impostazioni.

    Al termine, nella pagina Rivedi e conferma le modifiche selezionare Conferma.

  10. Nella pagina Protezione standard aggiornata o Protezione rigorosa aggiornata selezionare Fine.

Usare il portale di Microsoft Defender per modificare le assegnazioni dei criteri di sicurezza predefiniti Standard e Strict

I passaggi per modificare l'assegnazione dei criteri di sicurezza predefiniti Protezione standard o Protezione rigorosa sono gli stessi di quando inizialmente sono stati assegnati agli utenti i criteri di sicurezza predefiniti.

Per disabilitare i criteri di sicurezza predefiniti Protezione standard o Protezione rigorosa mantenendo al tempo stesso le condizioni e le eccezioni esistenti, scorrere l'interruttore su . Per abilitare i criteri, spostare l'interruttore su .

Usare il portale di Microsoft Defender per aggiungere esclusioni ai criteri di sicurezza predefiniti del set di impostazioni di protezione

Consiglio

I criteri di sicurezza predefiniti per la protezione preimpostati vengono applicati a tutti gli utenti delle organizzazioni con qualsiasi quantità di licenze per Defender per Microsoft 365. Questa applicazione è nello spirito di proteggere il più ampio set di utenti fino a quando gli amministratori non configurano in modo specifico le protezioni Defender per Office 365. Poiché la protezione predefinita è abilitata per impostazione predefinita, i clienti non devono preoccuparsi di violare le condizioni di licenza del prodotto. Tuttavia, è consigliabile acquistare licenze Defender per Office 365 sufficienti per garantire che la protezione predefinita continui per tutti gli utenti.

I criteri di sicurezza predefiniti per la protezione preimpostati non influiscono sui destinatari definiti nei criteri di sicurezza predefiniti Standard o Strict o nei criteri di sicurezza dei collegamenti sicuri o degli allegati sicuri personalizzati. Di conseguenza, in genere non è consigliabile eccezioni ai criteri di sicurezza predefiniti per la protezione predefinita.

  1. Nel portale di Microsoft Defender in https://security.microsoft.com, passare a Email & Criteri di collaborazione>& Regole>Criteri di minaccia>Preimpostati criteri di sicurezza nella sezione Criteri con modelli. In alternativa, per passare direttamente alla pagina Criteri di sicurezza predefiniti , usare https://security.microsoft.com/presetSecurityPolicies.

  2. Nella pagina Criteri di sicurezza predefiniti selezionare Aggiungi esclusioni (non consigliata) nella sezione Protezione predefinita .

  3. Nel riquadro a comparsa Escludi da protezione predefinita visualizzato identificare i destinatari interni esclusi dalla protezione predefinita Collegamenti sicuri e Allegati sicuri:

    • Utenti
    • Gruppi:
      • Membri dei gruppi di distribuzione o dei gruppi di sicurezza abilitati alla posta specificati (i gruppi di distribuzione dinamici non sono supportati).
      • Gruppi di Microsoft 365 specificati.
    • Domini

    Fare clic nella casella appropriata, iniziare a digitare un valore e quindi selezionare il valore visualizzato sotto la casella. Ripetere questa procedura tutte le volte necessarie. Per rimuovere un valore esistente, selezionare accanto al valore.

    Per utenti o gruppi è possibile usare la maggior parte degli identificatori, ad esempio nome, nome visualizzato, alias, indirizzo di posta elettronica, nome dell'account e così via, ma il nome visualizzato corrispondente viene visualizzato nei risultati. Per gli utenti, immettere un asterisco (*) da solo per visualizzare tutti i valori disponibili.

    È possibile usare un'eccezione una sola volta, ma l'eccezione può contenere più valori:

    • Più valori della stessa eccezione usano la logica OR (ad esempio,< recipient1> o <recipient2>). Se il destinatario corrisponde a uno dei valori specificati, i criteri non vengono applicati.
    • I diversi tipi di eccezioni usano la logica OR, <ad esempio recipient1> o <membro di group1> o <membro di domain1>. Se il destinatario corrisponde a uno dei valori di eccezione specificati, i criteri non vengono applicati.
  4. Al termine del riquadro a comparsa Escludi da protezione predefinita , selezionare Salva.

Come verificare se queste procedure hanno avuto esito positivo?

Per verificare di aver assegnato correttamente i criteri di protezione Standard o Strict protection a un utente, usare un'impostazione di protezione in cui il valore predefinito è diverso dall'impostazione Protezione standard , diversa dall'impostazione Protezione rigorosa .

Ad esempio, per i messaggi di posta elettronica rilevati come posta indesiderata (non posta indesiderata con attendibilità elevata) verificare che il messaggio venga recapitato alla cartella Junk Email per gli utenti di protezione Standard e messo in quarantena per gli utenti con protezione strict.

In alternativa, per la posta in blocco, verificare che il valore BCL 6 o superiore recapiti il messaggio alla cartella Junk Email per gli utenti con protezione Standard e che il valore BCL 5 o superiore mette in quarantena il messaggio per gli utenti con protezione strict.

Criteri di sicurezza predefiniti in Exchange Online PowerShell

In PowerShell i criteri di sicurezza predefiniti sono costituiti dagli elementi seguenti:

Le sezioni seguenti descrivono come usare questi cmdlet negli scenari supportati.

Per informazioni su come connettersi a PowerShell per Exchange Online, vedere Connettersi a PowerShell per Exchange Online.

Usare PowerShell per visualizzare i singoli criteri di sicurezza per i criteri di sicurezza predefiniti

Tenere presente che se non è mai stato attivato il criterio di sicurezza predefinito Standard o il criterio di sicurezza predefinito Strict nel portale di Microsoft Defender, i criteri di sicurezza associati per i criteri di sicurezza predefiniti non esistono.

  • Criteri di sicurezza predefiniti del set di impostazioni di protezione: i criteri associati sono denominati Built-In Criteri di protezione. Il valore della proprietà IsBuiltInProtection è True per questi criteri.

    Per visualizzare i singoli criteri di sicurezza per i criteri di sicurezza predefiniti del set di impostazioni di protezione, eseguire il comando seguente:

    Write-Output -InputObject ("`r`n"*3),"Built-in protection Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy -Identity "Built-In Protection Policy" | Format-List; Write-Output -InputObject ("`r`n"*3),"Built-in protection Safe Links policy",("-"*79);Get-SafeLinksPolicy -Identity "Built-In Protection Policy" | Format-List
    
  • Criteri di sicurezza predefiniti standard: i criteri associati sono denominati Standard Preset Security Policy<13-digit number>. Ad esempio, Standard Preset Security Policy1622650008019. Il valore della proprietà RecommendPolicyType per i criteri è Standard.

    • Per visualizzare i singoli criteri di sicurezza per i criteri di sicurezza predefiniti Standard solo nelle organizzazioni con EOP, eseguire il comando seguente:

      Write-Output -InputObject ("`r`n"*3),"Standard anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"
      
    • Per visualizzare i singoli criteri di sicurezza per i criteri di sicurezza predefiniti Standard nelle organizzazioni con Defender per Office 365, eseguire il comando seguente:

      Write-Output -InputObject ("`r`n"*3),"Standard anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"
      
  • Criteri di sicurezza predefiniti rigorosi: i criteri associati sono denominati Strict Preset Security Policy<13-digit number>. Ad esempio, Strict Preset Security Policy1642034872546. Il valore della proprietà RecommendPolicyType per i criteri è Strict.

    • Per visualizzare i singoli criteri di sicurezza per i criteri di sicurezza predefiniti Strict solo nelle organizzazioni con EOP, eseguire il comando seguente:

      Write-Output -InputObject ("`r`n"*3),"Strict anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"
      
    • Per visualizzare i singoli criteri di sicurezza per i criteri di sicurezza predefiniti Strict nelle organizzazioni con Defender per Office 365, eseguire il comando seguente:

      Write-Output -InputObject ("`r`n"*3),"Strict anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"
      

Usare PowerShell per visualizzare le regole per i criteri di sicurezza predefiniti

Tenere presente che se non è mai stato attivato il criterio di sicurezza predefinito Standard o il criterio di sicurezza del set di impostazioni Strict nel portale di Microsoft Defender, le regole associate per tali criteri non esistono.

  • Criteri di sicurezza predefiniti del set di impostazioni di protezione: esiste una sola regola denominata ATP Built-In Protection Rule.

    Per visualizzare la regola associata ai criteri di sicurezza predefiniti del set di impostazioni di protezione, eseguire il comando seguente:

    Get-ATPBuiltInProtectionRule
    
  • Criteri di sicurezza predefiniti standard: le regole associate sono denominate Criteri di sicurezza predefiniti standard.

    Usare i comandi seguenti per visualizzare le regole associate ai criteri di sicurezza predefiniti Standard:

    • Per visualizzare la regola associata alle protezioni EOP nei criteri di sicurezza predefiniti Standard, eseguire il comando seguente:

      Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"
      
    • Per visualizzare la regola associata alle protezioni Defender per Office 365 nei criteri di sicurezza predefiniti Standard, eseguire il comando seguente:

      Get-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"
      
    • Per visualizzare entrambe le regole contemporaneamente, eseguire il comando seguente:

      Write-Output -InputObject ("`r`n"*3),"EOP rule - Standard preset security policy",("-"*79);Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"; Write-Output -InputObject ("`r`n"*3),"Defender for Office 365 rule - Standard preset security policy",("-"*79);Get-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"
      
  • Criteri di sicurezza predefiniti rigorosi: le regole associate sono denominate Strict Preset Security Policy.

    Usare i comandi seguenti per visualizzare le regole associate ai criteri di sicurezza del set di impostazioni Strict:

    • Per visualizzare la regola associata alle protezioni EOP nei criteri di sicurezza del set di impostazioni Strict, eseguire il comando seguente:

      Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"
      
    • Per visualizzare la regola associata alle protezioni Defender per Office 365 nei criteri di sicurezza del set di impostazioni Strict, eseguire il comando seguente:

      Get-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"
      
    • Per visualizzare entrambe le regole contemporaneamente, eseguire il comando seguente:

      Write-Output -InputObject ("`r`n"*3),"EOP rule - Strict preset security policy",("-"*79);Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"; Write-Output -InputObject ("`r`n"*3),"Defender for Office 365 rule - Strict preset security policy",("-"*79);Get-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"
      

Usare PowerShell per attivare o disattivare i criteri di sicurezza predefiniti

Per attivare o disattivare i criteri di sicurezza predefiniti Standard o Strict in PowerShell, abilitare o disabilitare le regole associate ai criteri. Il valore della proprietà State della regola indica se la regola è Abilitata o Disabilitata.

Se l'organizzazione dispone solo di EOP, disabilitare o abilitare la regola per le protezioni EOP.

Se l'organizzazione ha Defender per Office 365, è possibile abilitare o disabilitare la regola per le protezioni EOP e la regola per le protezioni Defender per Office 365 (abilitare o disabilitare entrambe le regole).

  • Solo organizzazioni con EOP:

    • Eseguire il comando seguente per determinare se le regole per i criteri di sicurezza predefiniti Standard e Strict sono attualmente abilitate o disabilitate:

      Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50); Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50); Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy" | Format-Table Name,State
      
    • Eseguire il comando seguente per disattivare i criteri di sicurezza predefiniti Standard se è attivato:

      Disable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"
      
    • Eseguire il comando seguente per disattivare i criteri di sicurezza del set di impostazioni Strict se è attivato:

      Disable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"
      
    • Eseguire il comando seguente per attivare i criteri di sicurezza predefiniti Standard se è disattivato:

      Enable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"
      
    • Eseguire il comando seguente per attivare i criteri di sicurezza del set di impostazioni Strict se è disattivato:

      Enable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"
      
  • Organizzazioni con Defender per Office 365:

    • Eseguire il comando seguente per determinare se le regole per i criteri di sicurezza predefiniti Standard e Strict sono attualmente abilitate o disabilitate:

      Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50);Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject `r`n,"Defender for Office 365 protection rule",("-"*50);Get-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50);Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject `r`n,"Defender for Office 365 protection rule",("-"*50);Get-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy" | Format-Table Name,State
      
    • Eseguire il comando seguente per disattivare i criteri di sicurezza predefiniti Standard se è attivato:

      Disable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"; Disable-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"
      
    • Eseguire il comando seguente per disattivare i criteri di sicurezza del set di impostazioni Strict se è attivato:

      Disable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"; Disable-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"
      
    • Eseguire il comando seguente per attivare i criteri di sicurezza predefiniti Standard se è disattivato:

      Enable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"; Enable-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"
      
    • Eseguire il comando seguente per attivare i criteri di sicurezza del set di impostazioni Strict se è disattivato:

      Enable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"; Enable-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"
      

Usare PowerShell per specificare le condizioni del destinatario e le eccezioni per i criteri di sicurezza predefiniti

È possibile usare una condizione o un'eccezione del destinatario una sola volta, ma la condizione o l'eccezione può contenere più valori:

  • Più valori della stessa condizione o eccezione usano la logica OR (ad esempio,< recipient1> o <recipient2>):

    • Condizioni: se il destinatario corrisponde a uno dei valori specificati, i criteri vengono applicati a tali valori.
    • Eccezioni: se il destinatario corrisponde a uno dei valori specificati, i criteri non vengono applicati.
  • I diversi tipi di eccezioni usano la logica OR, <ad esempio recipient1> o <membro di group1> o <membro di domain1>. Se il destinatario corrisponde a uno dei valori di eccezione specificati, i criteri non vengono applicati.

  • I diversi tipi di condizioni usano la logica AND. Il destinatario deve corrispondere a tutte le condizioni specificate per l'applicazione dei criteri. Ad esempio, si configura una condizione con i valori seguenti:

    • Gli utenti: romain@contoso.com
    • Gruppi: Dirigenti

    Il criterio viene applicato soloromain@contoso.com se è anche membro del gruppo Dirigenti. In caso contrario, il criterio non viene applicato a lui.

Per i criteri di sicurezza predefiniti della protezione predefinita, è possibile specificare solo le eccezioni dei destinatari. Se tutti i valori dei parametri di eccezione sono vuoti ($null), non sono presenti eccezioni ai criteri.

Per i criteri di sicurezza predefiniti Standard e Strict, è possibile specificare le condizioni dei destinatari e le eccezioni per le protezioni EOP e le protezioni Defender per Office 365. Se tutte le condizioni e i valori dei parametri di eccezione sono vuoti ($null), non sono presenti condizioni del destinatario o eccezioni ai criteri di sicurezza predefiniti Standard o Strict.

  • Criteri di sicurezza predefiniti per la protezione preimpostati:

    Usare la sintassi seguente:

    Set-ATPBuiltInProtectionRule -Identity "ATP Built-In Protection Rule" -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null>
    

    In questo esempio vengono rimosse tutte le eccezioni dei destinatari dai criteri di sicurezza predefiniti del set di impostazioni di protezione.

    Set-ATPBuiltInProtectionRule -Identity "ATP Built-In Protection Rule" -ExceptIfRecipientDomainIs $null -ExceptIfSentTo $null -ExceptIfSentToMemberOf $null
    

    Per informazioni dettagliate sulla sintassi e sui parametri, vedere Set-ATPBuiltInProtectionRule.

  • Criteri di sicurezza predefiniti Standard o Strict

    Usare la sintassi seguente:

    <Set-EOPProtectionPolicyRule | SetAtpProtectionPolicyRule> -Identity "<Standard Preset Security Policy | Strict Preset Security Policy>" -SentTo <"user1","user2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -SentToMemberOf <"group1","group2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null> -RecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null>
    

    In questo esempio vengono configurate le eccezioni dalle protezioni EOP nei criteri di sicurezza predefiniti Standard per i membri del gruppo di distribuzione denominato Executives.

    Set-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy" -ExceptIfSentToMemberOf Executives
    

    In questo esempio vengono configurate le eccezioni dalle protezioni Defender per Office 365 nei criteri di sicurezza predefiniti Strict per le cassette postali SecOps (Security Operations) specificate.

    Set-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy" -ExceptIfSentTo "SecOps1","SecOps2"
    

    Per informazioni dettagliate sulla sintassi e sui parametri, vedere Set-EOPProtectionPolicyRule e Set-ATPProtectionPolicyRule.

Appendice

I criteri di sicurezza predefiniti sono costituiti dagli elementi seguenti:

Questi elementi sono descritti nelle sezioni seguenti.

Inoltre, è importante comprendere in che modo i criteri di sicurezza predefiniti si adattano all'ordine di precedenza con altri criteri.

Profili nei criteri di sicurezza predefiniti

Un profilo determina il livello di protezione. I profili seguenti sono disponibili per i criteri di sicurezza predefiniti:

  • Protezione standard: profilo di base adatto alla maggior parte degli utenti.
  • Protezione rigorosa: un profilo più aggressivo per gli utenti selezionati (destinazioni di valore elevato o utenti con priorità).
  • Protezione predefinita (solo Microsoft Defender per Office 365): fornisce in modo efficace i criteri predefiniti solo per i collegamenti sicuri e gli allegati sicuri.

In generale, il profilo di protezione Strict tende a mettere in quarantena messaggi di posta elettronica meno dannosi (ad esempio, in blocco e posta indesiderata) rispetto al profilo di protezione Standard , ma molte delle impostazioni in entrambi i profili sono le stesse (in particolare, per messaggi di posta elettronica indubbiamente dannosi come malware o phishing). Per un confronto delle differenze di impostazione, vedere le tabelle nella sezione successiva.

Finché non si attivano i profili e si assegnano gli utenti, i criteri di sicurezza predefiniti Standard e Strict non vengono assegnati a nessuno. Al contrario, i criteri di sicurezza predefiniti della protezione predefinita vengono assegnati a tutti i destinatari per impostazione predefinita, ma è possibile configurare le eccezioni.

Importante

A meno che non si configurino eccezioni ai criteri di sicurezza predefiniti per la protezione predefinita, tutti i destinatari dell'organizzazione ricevono collegamenti sicuri e protezione degli allegati sicuri.

Criteri nei criteri di sicurezza predefiniti

I criteri di sicurezza predefiniti usano versioni speciali dei singoli criteri di protezione disponibili in EOP e Microsoft Defender per Office 365. Questi criteri vengono creati dopo aver assegnato agli utenti i criteri di sicurezza predefiniti Protezione standard o Protezione rigorosa .

  • Criteri EOP: questi criteri si trovano in tutte le organizzazioni di Microsoft 365 con cassette postali Exchange Online e organizzazioni EOP autonome senza cassette postali Exchange Online:

    Nota

    I criteri di posta indesiderata in uscita non fanno parte dei criteri di sicurezza predefiniti. I criteri di posta indesiderata in uscita predefiniti proteggono automaticamente i membri dei criteri di sicurezza predefiniti. In alternativa, è possibile creare criteri di posta indesiderata in uscita personalizzati per personalizzare la protezione per i membri dei criteri di sicurezza predefiniti. Per altre informazioni, vedere Configurare il filtro della posta indesiderata in uscita in EOP.

  • criteri Microsoft Defender per Office 365: questi criteri si trovano nelle organizzazioni con sottoscrizioni Microsoft 365 E5 o Defender per Office 365 componente aggiuntivo:

Come descritto in precedenza, è possibile applicare protezioni EOP a utenti diversi rispetto alle protezioni Defender per Office 365 oppure è possibile applicare le protezioni EOP e Defender per Office 365 agli stessi destinatari.

Impostazioni dei criteri nei criteri di sicurezza predefiniti

Fondamentalmente, non è possibile modificare le singole impostazioni dei criteri nei profili di protezione. La personalizzazione dei criteri predefiniti corrispondenti o la creazione di un nuovo criterio personalizzato non ha alcun effetto a causa dell'ordine di precedenza quando lo stesso utente (destinatario) viene definito in più criteri (i criteri di sicurezza predefiniti Standard e Strict vengono sempre applicati per primi).

È tuttavia necessario configurare i singoli utenti (mittenti) e i domini per ricevere la protezione della rappresentazione in Defender per Office 365. In caso contrario, i criteri di sicurezza predefiniti configurano automaticamente i tipi di protezione della rappresentazione seguenti:

Le differenze nelle impostazioni dei criteri significativi nei criteri di sicurezza predefiniti Standard e nei criteri di sicurezza del set di impostazioni Strict sono riepilogate nella tabella seguente:

  Standard Strict
Criteri antimalware Nessuna differenza Nessuna differenza
Criteri contro la posta indesiderata
  Azione di rilevamento del livello di conformità bulk (BCL) soddisfatta o superata (BulkSpamAction) Spostare il messaggio nella cartella Junk Email (MoveToJmf) Messaggio di quarantena (Quarantine)
   Soglia posta elettronica bulk (BulkThreshold) 6 5
  Azione di rilevamento della posta indesiderata (SpamAction) Spostare il messaggio nella cartella Junk Email (MoveToJmf) Messaggio di quarantena (Quarantine)
Criteri anti-phishing
   Se il messaggio viene rilevato come spoofing da spoof intelligence (AuthenticationFailAction) Spostare il messaggio nella cartella Junk Email (MoveToJmf) Messaggio di quarantena (Quarantine)
Mostra il suggerimento per la sicurezza del primo contatto (EnableFirstContactSafetyTips) Selezionato ($true) Selezionato ($true)
   Se l'intelligence per le cassette postali rileva un utente rappresentato (MailboxIntelligenceProtectionAction) Spostare il messaggio nella cartella Junk Email (MoveToJmf) Messaggio di quarantena (Quarantine)
   Soglia di posta elettronica di phishing (PhishThresholdLevel) 3 - Più aggressivo (3) 4 - Più aggressivo (4)
Criteri per gli allegati sicuri Nessuna differenza Nessuna differenza
Criteri collegamenti sicuri Nessuna differenza Nessuna differenza

Le differenze nelle impostazioni dei criteri Allegati sicuri e Collegamenti sicuri nei criteri di sicurezza predefiniti per la protezione e nei criteri di sicurezza predefiniti Standard e Strict sono riepilogate nella tabella seguente:

  Protezione predefinita Standard e Strict
Criteri per gli allegati sicuri Nessuna differenza Nessuna differenza
Criteri collegamenti sicuri
   Consentire agli utenti di fare clic sull'URL originale (AllowClickThrough) Selezionato ($true) Non selezionato ($false)
   Non riscrivere gli URL, eseguire controlli solo tramite l'API Collegamenti sicuri (DisableURLRewrite) Selezionato ($true) Non selezionato ($false)
   Applicare collegamenti sicuri ai messaggi di posta elettronica inviati all'interno dell'organizzazione (EnableForInternalSenders) Non selezionato ($false) Selezionato ($true)

Per informazioni dettagliate su queste impostazioni, vedere le tabelle delle funzionalità in Impostazioni consigliate per EOP e sicurezza Microsoft Defender per Office 365.

Ordine di precedenza per i criteri di sicurezza predefiniti e altri criteri

Quando un destinatario è definito in più criteri, i criteri vengono applicati nell'ordine seguente:

  1. Criteri di sicurezza del set di impostazioni Strict.
  2. Criteri di sicurezza predefiniti Standard.
  3. Criteri personalizzati in base alla priorità dei criteri (un numero inferiore indica una priorità più alta).
  4. criteri di valutazione Defender per Office 365
  5. I criteri di sicurezza predefiniti per la protezione predefinita per i collegamenti sicuri e gli allegati sicuri; i criteri predefiniti per antimalware, protezione dalla posta indesiderata e anti-phishing.

In altre parole, le impostazioni dei criteri di sicurezza del set di impostazioni Strict sostituiscono le impostazioni dei criteri di sicurezza predefiniti Standard, che sostituiscono le impostazioni di tutti i criteri personalizzati, che sostituiscono le impostazioni di qualsiasi criterio di valutazione anti-phishing, Collegamenti sicuri o Allegati sicuri, che sostituiscono le impostazioni dei criteri di sicurezza predefiniti per i collegamenti sicuri e gli allegati sicuri, e i criteri predefiniti per la protezione da posta indesiderata, antimalware e anti-phishing.

Questo ordine viene visualizzato nelle pagine dei singoli criteri di sicurezza nel portale di Defender (i criteri vengono applicati nell'ordine in cui vengono visualizzati nella pagina).

Ad esempio, un amministratore configura i criteri di sicurezza predefiniti Standard e un criterio di protezione dalla posta indesiderata personalizzato con lo stesso destinatario. Le impostazioni dei criteri di protezione dalla posta indesiderata dei criteri di sicurezza predefiniti Standard vengono applicate all'utente anziché a quanto configurato nei criteri di protezione dalla posta indesiderata personalizzati o nei criteri predefiniti per la protezione dalla posta indesiderata.

È consigliabile applicare i criteri di sicurezza predefiniti Standard o Strict a un subset di utenti e applicare criteri personalizzati ad altri utenti dell'organizzazione per soddisfare esigenze specifiche. Per soddisfare questo requisito, considerare i metodi seguenti:

  • Usare gruppi o elenchi di destinatari non ambigui nei criteri di sicurezza predefiniti Standard, nella sicurezza del set di impostazioni Strict e nei criteri personalizzati, in modo che non siano necessarie eccezioni. Usando questo metodo, non è necessario tenere conto di più criteri applicati agli stessi utenti e degli effetti dell'ordine di precedenza.
  • Se non è possibile evitare l'applicazione di più criteri agli stessi utenti, usare le strategie seguenti:
    • Configurare i destinatari che devono ottenere le impostazioni dei criteri di sicurezza predefiniti standard e dei criteri personalizzati come eccezioni nei criteri di sicurezza predefiniti Strict .
    • Configurare i destinatari che devono ottenere le impostazioni dei criteri personalizzati come eccezioni nei criteri di sicurezza predefiniti standard .
    • Configurare i destinatari che devono ottenere le impostazioni dei criteri di sicurezza predefiniti del set di impostazioni di protezione o dei criteri predefiniti come eccezioni ai criteri personalizzati.

I criteri di sicurezza predefiniti per la protezione preimpostati non influiscono sui destinatari nei collegamenti sicuri esistenti o nei criteri allegati sicuri. Se è già stata configurata la protezione Standard, la protezione strict o i criteri di collegamento sicuro o allegati sicuri personalizzati, tali criteri vengono sempre applicati prima della protezione predefinita, quindi non vi è alcun effetto sui destinatari già definiti nei criteri predefiniti o personalizzati esistenti.

Per altre informazioni, vedere Ordine e precedenza della protezione della posta elettronica.