サード パーティ製フィッシング シミュレーションと SecOps メールボックスへの電子メール配信の高度な配信ポリシーを構成する
ヒント
Microsoft Defender XDR for Office 365 プラン 2 の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 「Microsoft Defender for Office 365を試す」で、誰がサインアップして試用版の条件を利用できるかについて説明します。
organizationを既定でセキュリティで保護するために、Exchange Online Protection (EOP) では、マルウェアまたは高信頼フィッシングとして識別されるメッセージのセーフ リストやフィルター バイパスは許可されません。 ただし、フィルター処理されていないメッセージの配信を必要とする特定のシナリオがあります。 以下に例を示します。
- サード パーティ製フィッシング シミュレーション: シミュレートされた攻撃は、実際の攻撃がorganizationに影響を与える前に、脆弱なユーザーを特定してトレーニングするのに役立ちます。
- セキュリティ操作 (SecOps) メールボックス: セキュリティ チームがフィルター処理されていないメッセージを収集および分析するために使用する専用メールボックス (良好と悪の両方)。
EOP の 高度な配信ポリシー を使用して、 これらの特定のシナリオの 受信メッセージがフィルター処理されるのを防ぎます¹。 高度な配信ポリシーにより、これらのシナリオのメッセージで次の結果が確実に得られます。
- EOP と Defender for Office 365 のフィルターは、これらのメッセージに対してアクションを実行しません。 マルウェア のフィルター処理は、SecOps メールボックスに対してのみバイパスされます。
- スパムとフィッシングに対する 0 時間消去 (ZAP) は、これらのメッセージに対してアクションを実行しません。 マルウェアの ZAP は、SecOps メールボックスでのみバイパスされます。
- Defender for Office 365の安全なリンクは、クリック時にこれらのメッセージ内の指定された URL をブロックまたは爆発させるわけではありません。 URL は引き続きラップされますが、ブロックされません。
- Defender for Office 365の安全な添付ファイルは、これらのメッセージの添付ファイルを爆発させるわけではありません。
- これらのシナリオでは、既定のシステム アラート はトリガーされません。
- Defender for Office 365の AIR とクラスタリングでは、これらのメッセージは無視されます。
- 具体的には、サード パーティ製のフィッシング シミュレーションの場合:
- 管理送信では、メッセージがフィッシング シミュレーション キャンペーンの一部であり、本当の脅威ではないという自動応答が生成されます。 アラートと AIR はトリガーされません。 管理者の申請エクスペリエンスでは、これらのメッセージがシミュレートされた脅威として表示されます。
- ユーザーが Outlook の組み込みの [レポート] ボタン、または [Microsoft レポート メッセージ] または [レポート フィッシング] アドインを使用してフィッシング シミュレーション メッセージを報告した場合、システムはアラート、調査、インシデントを生成しません。 リンクまたはファイルは爆発しませんが、[申請] ページの [ユーザーレポート] タブにメッセージが表示されます。
高度な配信ポリシーによって識別されるメッセージはセキュリティ上の脅威ではありません。そのため、メッセージはシステムオーバーライドでマークされます。 管理エクスペリエンスでは、これらのメッセージがフィッシング シミュレーションまたは SecOps メールボックス システムのオーバーライドとして表示されます。 管理者は、これらの値を使用して、次のエクスペリエンスでメッセージをフィルター処理および分析できます。
- Defender for Office 365での脅威エクスプローラー (エクスプローラー) またはリアルタイム検出: 管理者は、システム オーバーライド ソースでフィルター処理し、[フィッシング シミュレーション] または [SecOps メールボックス] を選択できます。
- [Email エンティティ] ページ: 管理者は、[上書き] セクションの [テナントのオーバーライド] で、SecOps メールボックスまたはフィッシング シミュレーションによってポリシー organization許可されたメッセージを表示できます。
- 脅威保護の状態レポート: 管理は、ドロップダウン メニューの [システムオーバーライド] でデータを表示してフィルター処理し、フィッシング シミュレーション システムのオーバーライドによって許可されたメッセージを表示する場合に選択できます。 SecOps メールボックスの上書きによって許可されるメッセージを表示するには、[ 理由別のグラフの内訳 ] ドロップダウン リストで配信場所 別のグラフの内訳を 選択できます。
- Microsoft Defender for Endpointでの高度なハンティング: フィッシング シミュレーションと SecOps メールボックス システムのオーバーライドは、EmailEvents の OrgLevelPolicy 内のオプションです。
- キャンペーン ビュー: 管理は、システムオーバーライド ソースでフィルター処理し、フィッシング シミュレーションまたは SecOps メールボックスを選択できます。
はじめに把握しておくべき情報
「https://security.microsoft.com」で Microsoft Defender ポータルを開きます。 [詳細な配信] ページに直接移動するには、https://security.microsoft.com/advanceddeliveryを使用します。
Exchange Online PowerShell へ接続するには、「Exchange Online PowerShell に接続する」を参照してください。
この記事の手順を実行する前に、アクセス許可を割り当てる必要があります。 以下のオプションがあります。
Microsoft Defender XDR統合ロールベースのアクセス制御 (RBAC) (コラボレーションがEmail &場合>Defender for Office 365アクセス許可はアクティブです。Defender ポータルにのみ影響します。PowerShell ではなく、承認と設定/セキュリティ設定/コア セキュリティ設定 (管理) または承認と設定/セキュリティ設定/コア セキュリティ設定 (読み取り))。
Microsoft Defender ポータルでコラボレーションのアクセス許可とExchange Onlineアクセス許可をEmail &します。
- 高度な配信ポリシーで構成された設定を作成、変更、または削除する: コラボレーション RBAC のセキュリティ管理者ロール グループのメンバーシップと、Email & RBAC の Organization Management ロール グループのメンバーシップExchange Onlineします。
-
高度な配信ポリシーへの読み取り専用アクセス: コラボレーション RBAC のグローバル閲覧者ロール グループまたはセキュリティ閲覧者ロール グループのメンバーシップEmail &。
- EXCHANGE ONLINE RBAC の表示専用組織管理。
Microsoft Entraアクセス許可: グローバル管理者*、セキュリティ管理者、グローバル 閲覧者、またはセキュリティ 閲覧者ロールのメンバーシップは、ユーザーに Microsoft 365 の他の機能に必要なアクセス許可とアクセス許可をユーザーに付与します。
重要
* Microsoft では、アクセス許可が最も少ないロールを使用することをお勧めします。 アクセス許可の低いアカウントを使用すると、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急時に限定する必要があります。
Microsoft Defender ポータルを使用して、高度な配信ポリシーで SecOps メールボックスを構成する
https://security.microsoft.comのMicrosoft Defender ポータルで、[ルール] セクションの Email & [コラボレーション>ポリシー & ルール>Threat ポリシー>Advanced delivery に移動します。 または、[ 詳細な配信 ] ページに直接移動するには、 https://security.microsoft.com/advanceddeliveryを使用します。
[ 詳細な配信 ] ページで、[ SecOps メールボックス ] タブが選択されていることを確認します。
[SecOps メールボックス] タブで、ページの [SecOps メールボックスが構成されていない] 領域の [追加] ボタンを選択します。
[SecOps メールボックス] タブに既存のエントリが既にある場合は、[編集] を選択します ([追加] ボタンは使用できません)。
開いた [SecOps メールボックスの追加] ポップアップで、次のいずれかの手順を実行して、SecOps メールボックスとして指定する既存のExchange Online メールボックスを入力します。
ボックス内をクリックし、メールボックスの一覧を解決して、メールボックスを選択します。
ボックス内をクリックして、メールボックスの識別子 (名前、表示名、エイリアス、電子メール アドレス、アカウント名など) の入力を開始し、結果からメールボックス (表示名) を選択します。
必要な回数だけこの手順を繰り返します。 配布グループは許可されません。
既存の値を削除するには、値の横にある [ の削除] を選択します。
[SecOps メールボックスの追加] ポップアップが完了したら、[追加]を選択します。
[SecOps への変更] メールボックスの [保存されたポップアップを上書きする] の情報を確認し、[閉じる] を選択します。
[SecOps メールボックス] タブに戻ると、構成した SecOps メールボックス エントリが一覧表示されます。
- [ 表示名 ] 列には、メールボックスの表示名が含まれます。
- Email列には、各エントリの電子メール アドレスが含まれています。
- エントリの一覧を標準間隔からコンパクト間隔に変更するには、[ リストの間隔をコンパクトまたは標準に変更する] を選択し、[ Compact list] を選択します。
Microsoft Defender ポータルを使用して、高度な配信ポリシーで SecOps メールボックスを変更または削除する
https://security.microsoft.comのMicrosoft Defender ポータルで、[ルール] セクションの Email & [コラボレーション>ポリシー & ルール>Threat ポリシー>Advanced delivery に移動します。 または、[ 詳細な配信 ] ページに直接移動するには、 https://security.microsoft.com/advanceddeliveryを使用します。
[ 詳細な配信 ] ページで、[ SecOps メールボックス ] タブが選択されていることを確認します。
[ SecOps メールボックス ] タブで、[ ][編集] の順に選択します。
「Microsoft Defender ポータルを使用して高度な配信ポリシー」セクションで SecOps メールボックスを構成する手順 3 で説明されているように、開いた SecOps メールボックスの編集ポップアップで、メールボックスを追加または削除します。
すべてのメールボックスを削除するには、メールボックスが選択されなくなるまで、各値の横にある [削除] 選択します。
SecOps メールボックスの編集ポップアップが完了したら、[保存] を選択します。
[SecOps への変更] メールボックスの [保存されたポップアップを上書きする] の情報を確認し、[閉じる] を選択します。
[ SecOps メールボックス ] タブに戻ると、構成した SecOps メールボックス エントリが表示されます。 すべてのエントリを削除した場合、一覧は空です。
Microsoft Defender ポータルを使用して、高度な配信ポリシーでサードパーティ製のフィッシング シミュレーションを構成する
サード パーティ製のフィッシング シミュレーションを構成するには、次の情報を提供する必要があります。
- 少なくとも 1 つのドメイン: フィッシング シミュレーション ベンダーによって指定されたメッセージまたは DKIM ドメインの SMTP 送信で使用される MAIL FROM アドレス (
5321.MailFrom
アドレス、P1 送信者、エンベロープ送信者とも呼ばれます) からのドメイン。 - 少なくとも 1 つの 送信 IP。
- 電子メール以外のフィッシング シミュレーション (メッセージのMicrosoft Teams、ドキュメントのWord、Excel スプレッドシートなど) の場合は、必要に応じて、クリック時に実際の脅威として扱われてはならないシミュレーション URL を特定できます。URL はブロックまたは爆発されず、URL クリック アラートや結果のインシデントは生成されません。 URL はクリック時にラップされますが、ブロックされません。
少なくとも 1 つの ドメイン と 1 つの 送信 IP で一致する必要がありますが、値間の関連付けは維持されません。
MX レコードが Microsoft 365 を指していない場合、 Authentication-results
ヘッダーの IP アドレスは、高度な配信ポリシーの IP アドレスと一致する必要があります。 IP アドレスが一致しない場合は、正しい IP アドレスが検出されるように コネクタの拡張フィルター処理 を構成する必要がある場合があります。
注:
コネクタの強化されたフィルター処理は、Exchange オンラインに 2 回送信されるメール (たとえば、Microsoft 365 にルーティングされたインターネット メール、オンプレミス環境またはサード パーティのセキュリティ サービスにルーティングされた後、Microsoft 365 に戻る) を含む電子メール ルーティング シナリオでは、サード パーティ製のフィッシング シミュレーションでは機能しません。 EOP は、メッセージ ソースの真の IP アドレスを識別できません。 オンプレミスまたはサード パーティの送信インフラストラクチャの IP アドレスをサード パーティのフィッシング シミュレーションに追加して、この制限を回避しないでください。 これにより、サード パーティ製フィッシング シミュレーションで指定されたドメインを偽装するすべてのインターネット送信者のスパム フィルター処理が効果的にバイパスされます。 MX レコードがサード パーティサービスを指し示し、コネクタの拡張フィルタリングが構成されている場合、メールがExchange Onlineにルーティングされるルーティング シナリオがサポートされます。
現時点では、サード パーティ製フィッシング シミュレーションの高度な配信ポリシーでは、同じorganization (DIR:INT
) 内のシミュレーションはサポートされていません。特に、ハイブリッド メール フローで Microsoft 365 の前にExchange Server ゲートウェイ経由で電子メールがルーティングされる場合。 この問題を回避するには、次のオプションがあります。
- フィッシング シミュレーション メッセージを内部として認証しない専用 送信コネクタ を作成します。
- フィッシング シミュレーションを構成して、Exchange Server インフラストラクチャをバイパスし、メールを Microsoft 365 MX レコードに直接ルーティングします (たとえば、contoso-com.mail.protection.outlook.com)。
- スパム対策ポリシーでは、organizationメッセージ内スキャンを [なし] に設定できますが、他のメール メッセージに影響するため、このオプションはお勧めしません。
組み込みの保護プリセットのセキュリティ ポリシーまたはカスタムの安全なリンク ポリシーを使用している場合は、[URL を書き換えない]、SafeLinks API を使用したチェックのみを有効にしている場合、クリック保護の時間は電子メールのフィッシング シミュレーション リンクをOutlook on the webの脅威として扱いません。Outlook for iOS および Android、Outlook for Windows v16.0.15317.10000 以降、Outlook for Macv16.74 (23061100) 以降。 以前のバージョンの Outlook を使用している場合は、カスタムの安全なリンク ポリシー の [URL を書き換えないでください]、[SafeLinks API 経由でのみチェックを行う ] 設定を無効にすることを検討してください。
安全なリンク ポリシーの [ 電子メールで次の URL を書き換えない] セクションにフィッシング シミュレーション URL を追加すると、URL のクリックに対して不要なアラートが発生する可能性があります。 メール メッセージ内のフィッシング シミュレーション URL は、メール フロー中とクリック時の両方で自動的に許可されます。
現時点では、SecOps メールボックスの高度な配信ポリシーでは、組織内のメッセージ (DIR:INT
) はサポートされていないため、これらのメッセージは検疫されます。 回避策として、組織内メッセージを検疫しない SecOps メールボックスに対して個別のスパム対策ポリシーを使用できます。 すべてのメールボックスに対して組織内保護を無効にすることはお勧めしません。
https://security.microsoft.comのMicrosoft Defender ポータルで、[ルール] セクションの Email & [コラボレーション>ポリシー & ルール>Threat ポリシー>Advanced delivery に移動します。 または、[ 詳細な配信 ] ページに直接移動するには、 https://security.microsoft.com/advanceddeliveryを使用します。
[ 高度な配信 ] ページで、[ フィッシング シミュレーション ] タブを選択します。
[フィッシング シミュレーション] タブで、ページの [サード パーティ製フィッシング シミュレーションが構成されていない] 領域の [追加] ボタンを選択します。
[フィッシング シミュレーション] タブに既存のエントリが既にある場合は、[][編集] を選択します ([追加] ボタンは使用できません)。
開いた [サード パーティ製フィッシング シミュレーションの追加] ポップアップで、次の設定を構成します。
ドメイン: この設定を展開し、ボックス内をクリックし、値 (contoso.com など) を入力し、Enter キーを押すか、ボックスの下に表示される値を選択して、少なくとも 1 つのメール アドレス ドメインを入力します。 必要な回数だけこの手順を繰り返します。 最大 50 個のエントリを追加できます。 次のいずれかの値を使用します。
- メッセージの SMTP 送信で使用される
5321.MailFrom
アドレス ( MAIL FROM アドレス、P1 送信者、エンベロープ送信者とも呼ばれます) 内のドメイン。 - フィッシング シミュレーション ベンダーによって指定された DKIM ドメイン。
- メッセージの SMTP 送信で使用される
[IP の送信]: この設定を展開し、ボックス内をクリックして値を入力し、Enter キーを押すか、ボックスの下に表示される値を選択して、少なくとも 1 つの有効な IPv4 アドレスを入力します。 必要な回数だけこの手順を繰り返します。 最大 10 個のエントリを追加できます。 有効な値は次のとおりです。
- 単一 IP: 192.168.1.1 など。
- IP 範囲: たとえば、192.168.0.1-192.168.0.254 などです。
- CIDR IP: たとえば、192.168.0.1/25。
許可するシミュレーション URL: この設定は、電子メール フィッシング シミュレーションのリンクには必要ありません。 この設定を使用して、必要に応じて、 電子メール以外の フィッシング シミュレーション (Teams メッセージ内または Office ドキュメント内のリンク) で、クリック時に実際の脅威として扱う必要のないリンクを特定します。
この設定を展開し、ボックス内をクリックして値を入力し、Enter キーを押すか、ボックスの下に表示される値を選択して、URL エントリを追加します。 最大 30 個のエントリを追加できます。 URL 構文については、「 テナント許可/ブロック リストの URL 構文」を参照してください。
既存のドメイン、IP、または URL の値を削除するには、値の横にある [ の削除] を選択します。
次の例について考えます。
Authentication-Results: spf=pass (sender IP is 172.17.17.7) smtp.mailfrom=contoso.com; dkim=pass (signature was verified) header.d=contoso-simulation.com; dmarc=pass action=none header.from=contoso-simulation.com; DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=contoso-simulation.com; s=selector1; h=From:Date:Subject:Message-ID:Content-Type:MIME-Version:X-MS-Exchange-SenderADCheck; bh=UErATeHehIIPIXPeUAfZWiKo0w2cSsOhb9XM9ulqTX0=;
- 接続 IP アドレスは 172.17.17.7 です。
- MAIL FROM アドレス (
smtp.mailfrom
) 内のドメインが contoso.com。 - DKIM ドメイン (
header.d
) が contoso-simulation.com。
この例では、次のいずれかの組み合わせを使用して、サードパーティ製のフィッシング シミュレーションを構成できます。
ドメイン: contoso.com
送信 IP: 172.17.17.7ドメイン: contoso-simulation.com
送信 IP: 172.17.17.7[サード パーティ製フィッシング シミュレーションの追加] ポップアップが完了したら、[追加] を選択します。
フィッシング シミュレーションの変更に関するページの情報を確認して、保存したポップアップを上書きし、[閉じる] を選択します。
[ フィッシング シミュレーション ] タブに戻ると、構成したサード パーティ製のフィッシング シミュレーション エントリが一覧表示されます。
- [値] 列には、ドメイン、IP アドレス、または URL エントリが含まれています。
- [種類] 列には、各エントリの [送信 IP]、[ドメイン]、または [許可されたシミュレーション URL] の値が含まれています。
- [日付] 列には、エントリが作成された日時が表示されます。
- エントリの一覧を標準間隔からコンパクト間隔に変更するには、[ リストの間隔をコンパクトまたは標準に変更する] を選択し、[ Compact list] を選択します。
Microsoft Defender ポータルを使用して、高度な配信ポリシーでサードパーティ製のフィッシング シミュレーションを変更または削除する
https://security.microsoft.comのMicrosoft Defender ポータルで、[ルール] セクションの Email & [コラボレーション>ポリシー & ルール>Threat ポリシー>Advanced delivery に移動します。 または、[ 詳細な配信 ] ページに直接移動するには、 https://security.microsoft.com/advanceddeliveryを使用します。
[ 高度な配信 ] ページで、[ フィッシング シミュレーション ] タブを選択します。
[ フィッシング シミュレーション ] タブで、[ ][編集] の順に選択します。
[Microsoft Defender ポータルを使用して高度な配信ポリシー] セクションで SecOps メールボックスを構成する手順 3 で説明されているように、開いた [サードパーティ製フィッシング シミュレーションの編集] ポップアップで、ドメイン、送信 IP、およびシミュレーション URL のエントリを追加または削除します。
すべてのエントリを削除するには、ドメイン、IP、または URL が選択されなくなるまで、各値の横にある [ の削除] を選択します。
[サードパーティ製フィッシング シミュレーションの編集] ポップアップが完了したら、[保存] を選択します。
フィッシング シミュレーションの変更に関するページの情報を確認して、保存したポップアップを上書きし、[閉じる] を選択します。
[ フィッシング シミュレーション ] タブに戻ると、構成したサード パーティ製のフィッシング シミュレーション エントリが表示されます。 すべてのエントリを削除した場合、一覧は空です。
フィルター処理のバイパスを必要とするその他のシナリオ
高度な配信ポリシーで役立つ 2 つのシナリオに加えて、メッセージのフィルター処理をバイパスする必要がある場合があります。
サード パーティ製フィルター: ドメインの MX レコードがOffice 365を指していない場合 (メッセージは最初に他の場所にルーティングされます)、既定ではセキュリティで保護されません。 保護を追加する場合は、コネクタの拡張フィルター処理 ( リストのスキップとも呼ばれます) を有効にする必要があります。 詳細については、「Exchange Onlineを使用してサードパーティのクラウド サービスを使用してメール フローを管理する」を参照してください。 コネクタの拡張フィルター処理が不要な場合は、メール フロー ルール (トランスポート ルールとも呼ばれます) を使用して、サード パーティ製のフィルター処理によって既に評価されているメッセージの Microsoft フィルター処理をバイパスします。 詳細については、「 メール フロー ルールを使用してメッセージ内の SCL を設定する」を参照してください。
レビュー中の誤検知: 管理者の申請を通じて報告した不適切な (誤検知) と誤って識別された良好なメッセージを一時的に許可したい場合がありますが、メッセージは Microsoft によって分析されています。 すべてのオーバーライドと同様に、これらの手当は一時的なものであることを 強くお勧めします 。
高度な配信ポリシーでの SecOps メールボックスの PowerShell 手順
PowerShell では、高度な配信ポリシーの SecOps メールボックスの基本的な要素は次のとおりです。
- SecOps オーバーライド ポリシー: *-SecOpsOverridePolicy コマンドレットによって制御されます。
- SecOps オーバーライド 規則: *-ExoSecOpsOverrideRule コマンドレットによって制御されます。
この動作の結果は次のとおりです。
- 最初にポリシーを作成してから、ルールが適用されるポリシーを識別するルールを作成します。
- PowerShell からポリシーを削除すると、対応するルールも削除されます。
- PowerShell からルールを削除しても、対応するポリシーは削除されません。 対応するポリシーを手動で削除する必要があります。
PowerShell を使用して SecOps メールボックスを構成する
PowerShell の高度な配信ポリシーでの SecOps メールボックスの構成は、次の 2 つの手順で行います。
- SecOps オーバーライド ポリシーを作成します。
- 規則が適用されるポリシーを指定する SecOps オーバーライド 規則を作成します。
手順 1: PowerShell を使用して SecOps オーバーライド ポリシーを作成する
PowerShell Exchange Onlineで、次の構文を使用します。
New-SecOpsOverridePolicy -Name SecOpsOverridePolicy -SentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>
指定した Name 値に関係なく、ポリシー名は SecOpsOverridePolicy であるため、その値を使用することもできます。
この例では、SecOps メールボックス ポリシーを作成します。
New-SecOpsOverridePolicy -Name SecOpsOverridePolicy -SentTo secops@contoso.com
構文とパラメーターの詳細については、「 New-SecOpsOverridePolicy」を参照してください。
手順 2: PowerShell を使用して SecOps オーバーライド 規則を作成する
PowerShell Exchange Onlineで、次のコマンドを実行します。
New-ExoSecOpsOverrideRule -Name SecOpsOverrideRule -Policy SecOpsOverridePolicy
指定した Name 値に関係なく、ルール名は [sic] に _Exe:SecOpsOverrid:<GUID\>
されます。ここで、 <GUID> は一意の GUID 値です (たとえば、312c23cf-0377-4162-b93d-6548a9977efb9)。
構文とパラメーターの詳細については、「 New-ExoSecOpsOverrideRule」を参照してください。
PowerShell を使用して SecOps オーバーライド ポリシーを表示する
PowerShell Exchange Online、この例では、1 つだけの SecOps メールボックス ポリシーに関する詳細情報を返します。
Get-SecOpsOverridePolicy
構文とパラメーターの詳細については、「 Get-SecOpsOverridePolicy」を参照してください。
PowerShell を使用して SecOps オーバーライド ルールを表示する
PowerShell Exchange Onlineでは、この例では SecOps オーバーライド 規則に関する詳細情報を返します。
Get-ExoSecOpsOverrideRule
前のコマンドは 1 つのルールのみを返す必要がありますが、削除が保留中のルールも結果に含まれる可能性があります。
この例では、有効なルール (1 つ) と無効なルールを識別します。
Get-ExoSecOpsOverrideRule | Format-Table Name,Mode
無効な規則を特定したら、この記事の後半で説明するように Remove-ExoSecOpsOverrideRule コマンドレットを使用して削除できます。
構文とパラメーターの詳細については、「 Get-ExoSecOpsOverrideRule」を参照してください。
PowerShell を使用して SecOps オーバーライド ポリシーを変更する
PowerShell Exchange Onlineで、次の構文を使用します。
Set-SecOpsOverridePolicy -Identity SecOpsOverridePolicy [-AddSentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>] [-RemoveSentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>]
この例では、SecOps オーバーライド ポリシーに secops2@contoso.com
を追加します。
Set-SecOpsOverridePolicy -Identity SecOpsOverridePolicy -AddSentTo secops2@contoso.com
注:
関連付けられている有効な SecOps オーバーライド ルールが存在する場合は、ルール内のメール アドレスも更新されます。
構文とパラメーターの詳細については、「 Set-SecOpsOverridePolicy」を参照してください。
PowerShell を使用して SecOps オーバーライド 規則を変更する
Set-ExoSecOpsOverrideRule コマンドレットでは、SecOps オーバーライド 規則のメール アドレスは変更されません。 SecOps オーバーライド 規則のメール アドレスを変更するには、 Set-SecOpsOverridePolicy コマンドレットを 使用します。
構文とパラメーターの詳細については、「 Set-ExoSecOpsOverrideRule」を参照してください。
PowerShell を使用して SecOps オーバーライド ポリシーを削除する
PowerShell Exchange Online、この例では SecOps メールボックス ポリシーと対応するルールを削除します。
Remove-SecOpsOverridePolicy -Identity SecOpsOverridePolicy
構文とパラメーターの詳細については、「 Remove-SecOpsOverridePolicy」を参照してください。
PowerShell を使用して SecOps オーバーライド 規則を削除する
PowerShell Exchange Onlineで、次のコマンドを使用します。
SecOps オーバーライド ルールを削除します。
Get-ExoSecOpsOverrideRule | Remove-ExoSecOpsOverrideRule
指定した SecOps オーバーライド 規則を削除します。
Remove-ExoSecOpsOverrideRule -Identity "_Exe:SecOpsOverrid:312c23cf-0377-4162-b93d-6548a9977efb"
構文とパラメーターの詳細については、「 Remove-ExoSecOpsOverrideRule」を参照してください。
高度な配信ポリシーでのサードパーティ製フィッシング シミュレーションの PowerShell 手順
PowerShell では、高度な配信ポリシーのサードパーティ製フィッシング シミュレーションの基本的な要素は次のとおりです。
- フィッシング シミュレーションのオーバーライド ポリシー: *-PhishSimOverridePolicy コマンドレットによって制御されます。
- フィッシング シミュレーションのオーバーライド ルール: *-ExoPhishSimOverrideRule コマンドレットによって制御されます。
- 許可された (ブロック解除された) フィッシング シミュレーション URL: *-TenantAllowBlockListItems コマンドレットによって制御されます。
注:
前に説明したように、電子メール ベースのフィッシング シミュレーションのリンクに URL を識別する必要はありません。 必要に応じて、電子 メール以外の フィッシング シミュレーション (Teams メッセージまたは Office ドキュメント内のリンク) で、クリック時に実際の脅威として扱う必要のないリンクを特定できます。
この動作の結果は次のとおりです。
- 最初にポリシーを作成してから、ルールが適用されるポリシーを識別するルールを作成します。
- ポリシーとルールの設定は個別に変更します。
- PowerShell からポリシーを削除すると、対応するルールも削除されます。
- PowerShell からルールを削除しても、対応するポリシーは削除されません。 対応するポリシーを手動で削除する必要があります。
PowerShell を使用してサードパーティ製のフィッシング シミュレーションを構成する
PowerShell でサード パーティ製のフィッシング シミュレーションを構成することは、複数ステップのプロセスです。
- フィッシング シミュレーションのオーバーライド ポリシーを作成します。
- 次を指定するフィッシング シミュレーションのオーバーライド ルールを作成します。
- ルールが適用されるポリシー。
- フィッシング シミュレーション メッセージのソース IP アドレス。
- 必要に応じて、電子 メール以外 のフィッシング シミュレーション (Teams メッセージ内または Office ドキュメント内のリンク) で、クリック時に実際の脅威として扱うべきではないフィッシング シミュレーション URL を識別します。
手順 1: PowerShell を使用してフィッシング シミュレーションのオーバーライド ポリシーを作成する
PowerShell Exchange Onlineでは、この例ではフィッシング シミュレーションのオーバーライド ポリシーを作成します。
New-PhishSimOverridePolicy -Name PhishSimOverridePolicy
指定した [名前] の値に関係なく、ポリシー名は PhishSimOverridePolicy であるため、その値を使用することもできます。
構文とパラメーターの詳細については、「 New-PhishSimOverridePolicy」を参照してください。
手順 2: PowerShell を使用してフィッシング シミュレーションのオーバーライド ルールを作成する
PowerShell Exchange Onlineで、次の構文を使用します。
New-ExoPhishSimOverrideRule -Name <ArbitraryTextValue> -Policy PhishSimOverridePolicy -Domains <Domain1>,<Domain2>,...<Domain10> -SenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntry10>
指定した Name 値に関係なく、ルール名は [sic] に _Exe:PhishSimOverr:<GUID\>
されます。ここで、 <GUID> は一意の GUID 値です (たとえば、6fed4b63-3563-495d-a481-b24a3111f8329)。
有効な IP アドレス エントリは、次のいずれかの値です。
- 単一 IP: 192.168.1.1 など。
- IP 範囲: たとえば、192.168.0.1-192.168.0.254 などです。
- CIDR IP: たとえば、192.168.0.1/25。
この例では、指定した設定でフィッシング シミュレーションのオーバーライド ルールを作成します。
New-ExoPhishSimOverrideRule -Policy PhishSimOverridePolicy -Domains fabrikam.com,wingtiptoys.com -SenderIpRanges 192.168.1.55
構文とパラメーターの詳細については、「 New-ExoPhishSimOverrideRule」を参照してください。
手順 3: (省略可能) PowerShell を使用して、許可するフィッシング シミュレーション URL を特定する
PowerShell Exchange Onlineで、次の構文を使用します。
New-TenantAllowBlockListItems -Allow -ListType Url -ListSubType AdvancedDelivery -Entries "<URL1>","<URL2>",..."<URL10>" <[-NoExpiration] | [-ExpirationDate <DateTime>]>
URL 構文の詳細については、「テナント許可/ブロック リストの URL 構文」を参照してください。
次の使用例は、指定したサード パーティ製フィッシング シミュレーション URL の URL 許可エントリを、有効期限なしで追加します。
New-TenantAllowBlockListItems -Allow -ListType Url -ListSubType AdvancedDelivery -Entries *.fabrikam.com -NoExpiration
構文とパラメーターの詳細については、「 New-TenantAllowBlockListItems」を参照してください。
PowerShell を使用してフィッシング シミュレーションのオーバーライド ポリシーを表示する
PowerShell Exchange Onlineでは、この例では、1 つだけのフィッシング シミュレーションオーバーライド ポリシーに関する詳細情報を返します。
Get-PhishSimOverridePolicy
構文とパラメーターの詳細については、「 Get-PhishSimOverridePolicy」を参照してください。
PowerShell を使用してフィッシング シミュレーションのオーバーライド ルールを表示する
Exchange Online PowerShell) では、この例ではフィッシング シミュレーションのオーバーライド ルールに関する詳細情報を返します。
Get-ExoPhishSimOverrideRule
前のコマンドは 1 つのルールのみを返す必要がありますが、削除が保留中のルールも結果に含まれる可能性があります。
この例では、有効なルール (1 つ) と無効なルールを識別します。
Get-ExoPhishSimOverrideRule | Format-Table Name,Mode
無効なルールを特定したら、この記事の後半で説明するように Remove-ExoPhishSimOverrideRule コマンドレットを使用して削除できます。
構文とパラメーターの詳細については、「 Get-ExoPhishSimOverrideRule」を参照してください。
PowerShell を使用して、許可されているフィッシング シミュレーション URL エントリを表示する
PowerShell Exchange Onlineで、次のコマンドを実行します。
Get-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery
構文とパラメーターの詳細については、「 Get-TenantAllowBlockListItems」を参照してください。
PowerShell を使用してフィッシング シミュレーションのオーバーライド ポリシーを変更する
PowerShell Exchange Onlineで、次の構文を使用します。
Set-PhishSimOverridePolicy -Identity PhishSimOverridePolicy [-Comment "<DescriptiveText>"] [-Enabled <$true | $false>]
この例では、フィッシング シミュレーションのオーバーライド ポリシーを無効にします。
Set-PhishSimOverridePolicy -Identity PhishSimOverridePolicy -Enabled $false
構文とパラメーターの詳細については、「 Set-PhishSimOverridePolicy」を参照してください。
PowerShell を使用してフィッシング シミュレーションのオーバーライド ルールを変更する
PowerShell Exchange Onlineで、次の構文を使用します。
Get-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule [-Comment "<DescriptiveText>"] [-AddSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-RemoveSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-AddSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>] [-RemoveSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>]
または
Set-ExoPhishSimOverrideRule -Identity <PhishSimOverrideRuleIdentity> [-Comment "<DescriptiveText>"] [-AddSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-RemoveSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-AddSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>] [-RemoveSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>]
Get-ExoPhishSimOverrideRule コマンドレットを使用して、<PhishSimOverrideRuleIdentity> 値を検索します。 規則の名前は、 _Exe:PhishSimOverr:<GUID\>
[sic] を使用します。ここで、 <GUID> は一意の GUID 値です (たとえば、6fed4b63-3563-495d-a481-b24a311f8329)。
この例では、(おそらくのみ) フィッシング シミュレーションのオーバーライド ルールを次の設定で変更します。
- ドメイン エントリを blueyonderairlines.com 追加します。
- IP アドレス エントリ 192.168.1.55 を削除します。
これらの変更は、ルール内の既存のエントリには影響しません。
Get-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule -AddSenderDomainIs blueyonderairlines.com -RemoveSenderIpRanges 192.168.1.55
構文とパラメーターの詳細については、「 Set-ExoPhishSimOverrideRule」を参照してください。
PowerShell を使用して、許可されるフィッシング シミュレーション URL エントリを変更する
URL 値を直接変更することはできません。 この記事の説明に従って、 既存の URL エントリを削除 し、 新しい URL エントリを追加 できます。
PowerShell Exchange Onlineで、許可されているフィッシング シミュレーション URL エントリの他のプロパティ (有効期限やコメントなど) を変更するには、次の構文を使用します。
Set-TenantAllowBlockListItems <-Entries "<URL1>","<URL2>",..."<URLN>" | -Ids <Identity> -ListType URL -ListSubType AdvancedDelivery <[-NoExpiration] | [-ExpirationDate <DateTime>]> [-Notes <String>]
変更するエントリは、その URL 値 ( Entries パラメーター) または Get-TenantAllowBlockListItems コマンドレット ( Ids パラメーター) の出力からの ID 値によって識別します。
次の使用例は、指定したエントリの有効期限を変更しました。
Set-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery -Entries "*.fabrikam.com" -ExpirationDate 9/11/2021
構文とパラメーターの詳細については、「 Set-TenantAllowBlockListItems」を参照してください。
PowerShell を使用してフィッシング シミュレーションのオーバーライド ポリシーを削除する
PowerShell Exchange Onlineでは、この例ではフィッシング シミュレーションのオーバーライド ポリシーと対応するルールを削除します。
Remove-PhishSimOverridePolicy -Identity PhishSimOverridePolicy
構文とパラメーターの詳細については、「 Remove-PhishSimOverridePolicy」を参照してください。
PowerShell を使用してフィッシング シミュレーションのオーバーライド ルールを削除する
PowerShell Exchange Onlineで、次のコマンドを使用します。
フィッシング シミュレーションのオーバーライド ルールを削除します。
Get-ExoPhishSimOverrideRule | Remove-ExoPhishSimOverrideRule
指定したフィッシング シミュレーションのオーバーライド ルールを削除します。
Remove-ExoSPhishSimOverrideRule -Identity "_Exe:PhishSimOverr:6fed4b63-3563-495d-a481-b24a311f8329"
構文とパラメーターの詳細については、「 Remove-ExoPhishSimOverrideRule」を参照してください。
PowerShell を使用して、許可されているフィッシング シミュレーション URL エントリを削除する
PowerShell Exchange Onlineで、次の構文を使用します。
Remove-TenantAllowBlockListItems <-Entries "<URL1>","<URL2>",..."<URLN>" | -Ids <Identity> -ListType URL -ListSubType AdvancedDelivery
変更するエントリは、その URL 値 ( Entries パラメーター) または Get-TenantAllowBlockListItems コマンドレット ( Ids パラメーター) の出力からの ID 値によって識別します。
次の使用例は、指定したエントリの有効期限を変更しました。
Remove-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery -Entries "*.fabrikam.com" -ExpirationDate 9/11/2021
構文とパラメーターの詳細については、「 Remove-TenantAllowBlockListItems」を参照してください。