EOP と Microsoft Defender for Office 365 の事前設定されたセキュリティ ポリシー
ヒント
Microsoft Defender XDR for Office 365 プラン 2 の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 「Microsoft Defender for Office 365を試す」で、誰がサインアップして試用版の条件を利用できるかについて説明します。
事前設定されたセキュリティ ポリシー を使用すると、推奨設定に基づいてユーザーに保護機能を適用できます。 無限に構成可能なカスタム ポリシーとは異なり、事前設定されたセキュリティ ポリシーの設定のほとんどすべてが構成可能ではなく、データセンターでの監視に基づいています。 事前設定されたセキュリティ ポリシーの設定は、不要な中断を回避しながら、有害なコンテンツをユーザーから遠ざけることのバランスを取ります。
organizationに応じて、事前設定されたセキュリティ ポリシーには、Exchange Online Protection (EOP) とMicrosoft Defender for Office 365で使用できる保護機能の多くが用意されています。
次の事前設定されたセキュリティ ポリシーを使用できます。
- 標準 の事前設定されたセキュリティ ポリシー
- 厳密な 事前設定されたセキュリティ ポリシー
- 組み込みの保護プリセット セキュリティ ポリシー (Defender for Office 365の安全な添付ファイルと安全なリンク保護の既定のポリシー)
これらの事前設定されたセキュリティ ポリシーの詳細については、この記事の最後にある 「付録 」セクションを参照してください。
この記事の残りの部分では、事前設定されたセキュリティ ポリシーを構成する方法について説明します。
はじめに把握しておくべき情報
「https://security.microsoft.com」で Microsoft Defender ポータルを開きます。 [事前設定されたセキュリティ ポリシー] ページに直接移動するには、https://security.microsoft.com/presetSecurityPoliciesを使用します。
Exchange Online PowerShell へ接続するには、「Exchange Online PowerShell に接続する」を参照してください。
この記事の手順を実行する前に、アクセス許可を割り当てる必要があります。 以下のオプションがあります。
Microsoft Defender XDR統合ロールベースのアクセス制御 (RBAC) (コラボレーションがEmail &場合>Defender for Office 365アクセス許可はアクティブです。Defender ポータルにのみ影響します。PowerShell ではなく、承認と設定/セキュリティ設定/コア セキュリティ設定 (管理) または承認と設定/セキュリティ設定/コア セキュリティ設定 (読み取り))。
-
- 事前設定されたセキュリティ ポリシーの構成: 組織の管理 または セキュリティ管理者 の役割グループのメンバーシップ。
- 事前設定されたセキュリティ ポリシーへの読み取り専用アクセス: グローバル閲覧者 ロール グループのメンバーシップ。
Microsoft Entraアクセス許可: グローバル管理者、*、セキュリティ管理者、またはグローバル閲覧者ロールのメンバーシップは、ユーザーに Microsoft 365 の他の機能に必要なアクセス許可とアクセス許可をユーザーに付与します。
重要
* Microsoft では、アクセス許可が最も少ないロールを使用することをお勧めします。 アクセス許可の低いアカウントを使用すると、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急時に限定する必要があります。
Microsoft Defender ポータルを使用して、Standard および Strict の事前設定されたセキュリティ ポリシーをユーザーに割り当てる
https://security.microsoft.comのMicrosoft Defender ポータルで、[テンプレート ポリシー] セクションの [Email & コラボレーション>ポリシー & ルール>ポリシー>Preset セキュリティ ポリシーに移動します。 または、[ 事前設定されたセキュリティ ポリシー ] ページに直接移動するには、 https://security.microsoft.com/presetSecurityPoliciesを使用します。
[既定のセキュリティ ポリシー] ページでこれが初めてである場合は、Standard 保護と厳密な保護が オフになっている可能性があります。
を するように構成するトグルをスライドし、[ 保護設定の管理 ] を選択して構成ウィザードを開始します。
[Exchange Online Protectionの適用] ページで、EOP 保護が適用する内部受信者 (受信者の条件) を特定します。
すべての受信者
特定の受信者: 表示される次のいずれかの受信者条件を構成します。
- ユーザー: 指定されたメールボックス、メール ユーザー、またはメール連絡先。
-
グループ:
- 指定した配布グループまたはメールが有効なセキュリティ グループのメンバー (動的配布グループはサポートされていません)。
- 指定した Microsoft 365 グループ。
- ドメイン: 指定された承認済みドメイン内のプライマリ メール アドレスを持つorganization内のすべての受信者。
適正なボックスをクリックし、値の入力を開始し、結果で希望する値を選択します。 必要な回数だけこの処理を繰り返します。 既存の値を削除するには、値の横にある [ ] を選択します。
ユーザーやグループには、ほとんどの識別子 (名前、表示名、エイリアス、メールアドレス、アカウント名など) を使用できますが、対応する表示名が結果に表示されます。 ユーザーまたはグループの場合は、アスタリスク (*) を単独で入力して、使用可能なすべての値を表示します。
条件は 1 回だけ使用できますが、条件には複数の値を含めることができます。
同じ条件の複数の値が OR ロジック (たとえば、<recipient1> または <recipient2>) を使用します。 受信者が指定した値 のいずれかに 一致する場合、ポリシーが適用されます。
さまざまな 種類の条件で AND ロジックが使用されます。 受信者は、ポリシーを適用するために、指定 されたすべての 条件に一致する必要があります。 たとえば、次の値を使用して条件を構成します。
- ユーザー:
romain@contoso.com
- グループ: エグゼクティブ
ポリシーは、
romain@contoso.com
エグゼクティブ グループのメンバーでもある場合に適用されます。 それ以外の場合、ポリシーは適用されません。- ユーザー:
なし
これらの受信者を除外する: [すべての受信者 ] または [ 特定の受信者] を選択した場合は、このオプションを選択して受信者の例外を構成します。
例外は 1 回だけ使用できますが、例外には複数の値を含めることができます。
- 同じ例外の複数の値は、OR ロジック (たとえば、<recipient1> または <recipient2>) を使用します。 受信者が指定した値 のいずれかに 一致する場合、ポリシーは適用されません。
- 異なる種類の例外では、OR ロジック (たとえば、<recipient1>または group1 の<メンバー> domain1 の<メンバー) が使用されます>。 受信者が指定した例外値 のいずれかに 一致する場合、ポリシーは適用されません。
[Exchange Online Protectionの適用] ページが終了したら、[次へ] を選択します。
注:
Defender for Office 365のない組織では、[次へ] を選択すると、[レビュー] ページに移動します (手順 9)。
[Defender for Office 365保護の適用] ページで、Defender for Office 365保護が適用される内部受信者 (受信者の条件) を特定します。
設定と動作は、前の手順の [Apply Exchange Online Protection] ページとまったく同じです。
[ 以前に選択した受信者 ] を選択して、前のページの EOP 保護で選択したのと同じ受信者を使用することもできます。
[Defender for Office 365保護の適用] ページが完了したら、[次へ] を選択します。
[ 偽装保護 ] ページで、[ 次へ] を選択します。
[ 攻撃者によって偽装されたときにフラグを設定する電子メール アドレスの追加] ページで 、 ユーザー偽装保護によって保護されている内部および外部の送信者を追加します。
注:
すべての受信者は、事前設定されたセキュリティ ポリシーで メールボックス インテリジェンス から偽装保護を自動的に受け取ります。
Standard または Strict の事前設定されたセキュリティ ポリシーでは、ユーザー偽装保護に最大 350 人のユーザーを指定できます。
送信者と受信者が以前に電子メールで通信した場合、ユーザー偽装保護は機能しません。 送信者と受信者が電子メールで通信したことがない場合、メッセージは偽装試行として識別できます。
各エントリは、表示名と電子メール アドレスで構成されます。
内部ユーザー: [有効なメールの追加 ] ボックスをクリックするか、ユーザーのメール アドレスの入力を開始します。 表示 される [推奨される連絡先 ] ドロップダウン リストでメール アドレスを選択します。 ユーザーの表示名が [ 名前の追加 ] ボックスに追加されます (変更できます)。 ユーザーの選択が完了したら、[ 追加] を選択します。
外部ユーザー: [有効なメールの追加] ボックスに外部ユーザーの完全 なメール アドレスを 入力し、表示 される [推奨される連絡先 ] ドロップダウン リストでメール アドレスを選択します。 電子メール アドレスは、[ 名前の追加 ] ボックスにも追加されます (表示名に変更できます)。
必要な回数だけこれらの手順を繰り返します。
追加したユーザーは、[ 表示名 ] と [ 送信者のメール アドレス] でページに一覧表示されます。 ユーザーを削除するには、エントリの横にある [ ] を選択します。
[ 検索 ] ボックスを使用して、ページ上のエントリを検索します。
[Defender for Office 365保護の適用] ページが完了したら、[次へ] を選択します。
[ 攻撃者によって偽装されたときにフラグを設定するドメインの追加] ページで 、ドメイン偽装保護によって保護されている内部ドメインと外部 ドメインを追加します。
注:
所有するすべてのドメイン (承認済みドメイン) は、事前設定されたセキュリティ ポリシーでドメイン偽装保護を自動的に受け取ります。
Standard または Strict の事前設定されたセキュリティ ポリシーでは、ドメイン偽装保護に最大 50 個のカスタム ドメインを指定できます。
[ドメインの 追加 ] ボックスをクリックし、ドメイン値を入力し、Enter キーを押すか、ボックスの下に表示される値を選択します。 ボックスからドメインを削除してやり直すには、ドメインの横にある [ ] を選択します。 ドメインを追加する準備ができたら、[追加] を選択 します。 必要な回数だけこの手順を繰り返します。
追加したドメインがページに表示されます。 ドメインを削除するには、値の横にある [ ] を選択します。
追加したドメインがページに表示されます。 ドメインを削除するには、エントリの横にある [ ] を選択します。
リストから既存のエントリを削除するには、エントリの横にある [ ] を選択します。
[ 攻撃者が偽装したときにフラグを設定するドメインの追加] が完了したら、[ 次へ] を選択します。
[ 偽装としてフラグを付けないように信頼されたメール アドレスとドメインを追加 する] ページで、偽装保護から除外する送信者のメール アドレスとドメインを入力します。 これらの送信者からのメッセージは偽装攻撃としてフラグが設定されることはありませんが、送信者は引き続き EOP とDefender for Office 365の他のフィルターによるスキャンの対象となります。
注:
信頼されたドメイン エントリには、指定したドメインのサブドメインは含まれません。 サブドメインごとにエントリを追加する必要があります。
ボックスにメール アドレスまたはドメインを入力し、Enter キーを押すか、ボックスの下に表示される値を選択します。 ボックスから値を削除してやり直すには、値の横にある [ ] を選択します。 ユーザーまたはドメインを追加する準備ができたら、[追加] を選択 します。 必要な回数だけこの手順を繰り返します。
追加したユーザーとドメインは、[ 名前] と [ 種類] でページに一覧表示されます。 エントリを削除するには、エントリの横にある [ ] を選択します。
[ 信頼できるメール アドレスとドメインを偽装としてフラグを付けないように追加する ] ページが完了したら、[ 次へ] を選択します。
[ 変更の確認と確認 ] ページで、設定を確認します。 ウィザードで [ 戻る ] または特定のページを選択して、設定を変更できます。
[ 変更の確認と確認 ] ページが完了したら、[確認] を選択 します。
[ 標準保護の更新] または [ 厳密な保護の更新 ] ページで、[完了] を選択 します。
Microsoft Defender ポータルを使用して、Standard および Strict の事前設定されたセキュリティ ポリシーの割り当てを変更する
Standard Protection または Strict Protection の事前設定されたセキュリティ ポリシーの割り当てを変更する手順は、事前設定されたセキュリティ ポリシーをユーザーに最初に割り当てた場合と同じです。
既存の条件と例外を保持したまま Standard 保護 または 厳密な保護 の事前設定されたセキュリティ ポリシーを無効にするには、トグルを にスライドします。 ポリシーを有効にするには、トグルを にスライドします。
Microsoft Defender ポータルを使用して、組み込みの保護プリセットセキュリティ ポリシーに除外を追加する
ヒント
組み込みの保護プリセット セキュリティ ポリシーは、Defender for Microsoft 365 の任意のライセンスを持つ組織内のすべてのユーザーに適用されます。 このアプリケーションは、管理者がDefender for Office 365保護を特に構成するまで、最も広範なユーザー セットをセキュリティで保護する精神にあります。 組み込み保護は既定で有効になっているため、お客様は製品ライセンス条項に違反することを心配する必要はありません。 ただし、すべてのユーザーに対して組み込みの保護が継続されるように、十分なDefender for Office 365 ライセンスを購入することをお勧めします。
組み込みの保護プリセット セキュリティ ポリシーは、Standard または Strict の事前設定されたセキュリティ ポリシー、またはカスタムの安全なリンクまたは安全な添付ファイル ポリシーで定義されている受信者には影響しません。 そのため、通常、 組み込みの保護 プリセット セキュリティ ポリシーの例外はお勧めしません。
https://security.microsoft.comのMicrosoft Defender ポータルで、[テンプレート ポリシー] セクションの [Email & コラボレーション>ポリシー & ルール>ポリシー>Preset セキュリティ ポリシーに移動します。 または、[ 事前設定されたセキュリティ ポリシー ] ページに直接移動するには、 https://security.microsoft.com/presetSecurityPoliciesを使用します。
[既定のセキュリティ ポリシー] ページで、[組み込み保護] セクションで [除外の追加 (推奨されません)] を選択します。
開いた [ 組み込みの保護から除外する ] ポップアップで、組み込みの安全なリンクと安全な添付ファイルの保護から除外される内部受信者を特定します。
- Users
-
グループ:
- 指定した配布グループまたはメールが有効なセキュリティ グループのメンバー (動的配布グループはサポートされていません)。
- 指定した Microsoft 365 グループ。
- ドメイン
適切なボックスをクリックし、値の入力を開始し、ボックスの下に表示される値を選択します。 必要な回数だけこの処理を繰り返します。 既存の値を削除するには、値の横にある [ ] を選択します。
ユーザーやグループには、ほとんどの識別子 (名前、表示名、エイリアス、メールアドレス、アカウント名など) を使用できますが、対応する表示名が結果に表示されます。 ユーザーの場合、アスタリスク (*) を単独で入力すると、使用可能なすべての値が表示されます。
例外は 1 回だけ使用できますが、例外には複数の値を含めることができます。
- 同じ例外の複数の値は、OR ロジック (たとえば、<recipient1> または <recipient2>) を使用します。 受信者が指定した値 のいずれかに 一致する場合、ポリシーは適用されません。
- 異なる種類の例外では、OR ロジック (たとえば、<recipient1>または group1 の<メンバー> domain1 の<メンバー) が使用されます>。 受信者が指定した例外値 のいずれかに 一致する場合、ポリシーは適用されません。
[ 組み込みの保護から除外 する] ポップアップが完了したら、[保存] を選択 します。
正常な動作を確認する方法
Standard Protection または Strict Protection セキュリティ ポリシーがユーザーに正常に割り当てられていることを確認するには、既定値が [標準保護] 設定と異なる保護設定 (厳密な保護設定とは異なる) を使用します。
たとえば、スパムとして検出された電子メール (信頼度の高くないスパム) の場合、メッセージが Standard 保護ユーザーの迷惑メール Email フォルダーに配信され、厳格な保護ユーザーに対して検疫されていることを確認します。
または、一括メールの場合は、BCL 値 6 以上が Standard 保護ユーザーの迷惑メール Email フォルダーにメッセージを配信し、BCL 値 5 以上が厳格な保護ユーザーのメッセージを検疫することを確認します。
Exchange Online PowerShell の事前設定されたセキュリティ ポリシー
PowerShell では、事前設定されたセキュリティ ポリシーは次の要素で構成されます。
個々のセキュリティ ポリシー: マルウェア対策ポリシー、スパム対策ポリシー、フィッシング対策ポリシー、安全なリンク ポリシー、安全な添付ファイル ポリシーなどです。 これらのポリシーは、Exchange Online PowerShell の標準ポリシー管理コマンドレットを使用して表示されます。
- EOP ポリシー:
- Defender for Office 365 ポリシー:
警告
事前設定されたセキュリティ ポリシーに関連付けられている個々のセキュリティ ポリシーを作成、変更、または削除しないでください。 Standard または Strict の事前設定されたセキュリティ ポリシーの個々のセキュリティ ポリシーを作成するためにサポートされる唯一の方法は、Microsoft Defender ポータルで既定のセキュリティ ポリシーを初めて有効にすることです。
規則: 標準の事前設定されたセキュリティ ポリシー、厳密な事前設定されたセキュリティ ポリシー、および組み込みの保護の事前設定されたセキュリティ ポリシーには、個別の規則が使用されます。 ルールは、ポリシー (ポリシーが適用されるユーザー) の受信者の条件と例外を定義します。 これらの規則は、Exchange Online PowerShell で次のコマンドレットを使用して管理します。
- Exchange Online Protection (EOP) 保護の規則:
- Defender for Office 365保護の規則:
- 組み込み保護の事前設定されたセキュリティ ポリシーの規則:
Standard および Strict の事前設定されたセキュリティ ポリシーの場合、これらの規則は、Microsoft Defender ポータルで事前設定されたセキュリティ ポリシーを初めて有効にするときに作成されます。 事前設定されたセキュリティ ポリシーをオンにしていない場合、関連付けられている規則は存在しません。 事前設定されたセキュリティ ポリシーをオフにしても、関連付けられているルールは削除されません。
次のセクションでは、 サポートされているシナリオでこれらのコマンドレットを使用する方法について説明します。
Exchange Online PowerShell へ接続するには、「Exchange Online PowerShell に接続する」を参照してください。
PowerShell を使用して、事前設定されたセキュリティ ポリシーの個々のセキュリティ ポリシーを表示する
Microsoft Defender ポータルで Standard プリセット セキュリティ ポリシーまたは厳密な事前設定されたセキュリティ ポリシーをオンにしていない場合は、事前設定されたセキュリティ ポリシーに関連付けられているセキュリティ ポリシーは存在しません。
組み込みの保護プリセット セキュリティ ポリシー: 関連付けられているポリシーには、保護ポリシー Built-In という名前が付けられます。 これらのポリシーの IsBuiltInProtection プロパティの値は True です。
組み込みの保護プリセット セキュリティ ポリシーの個々のセキュリティ ポリシーを表示するには、次のコマンドを実行します。
Write-Output -InputObject ("`r`n"*3),"Built-in protection Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy -Identity "Built-In Protection Policy" | Format-List; Write-Output -InputObject ("`r`n"*3),"Built-in protection Safe Links policy",("-"*79);Get-SafeLinksPolicy -Identity "Built-In Protection Policy" | Format-List
標準の事前設定されたセキュリティ ポリシー: 関連付けられているポリシーには、
Standard Preset Security Policy<13-digit number>
という名前が付けられます。 たとえば、「Standard Preset Security Policy1622650008019
」のように入力します。 ポリシーの RecommendPolicyType プロパティ値は Standard です。EOP のみの組織の Standard プリセット セキュリティ ポリシーの個々のセキュリティ ポリシーを表示するには、次のコマンドを実行します。
Write-Output -InputObject ("`r`n"*3),"Standard anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"
Defender for Office 365がある組織の Standard プリセット セキュリティ ポリシーの個々のセキュリティ ポリシーを表示するには、次のコマンドを実行します。
Write-Output -InputObject ("`r`n"*3),"Standard anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"
厳密な事前設定されたセキュリティ ポリシー: 関連付けられているポリシーには、
Strict Preset Security Policy<13-digit number>
という名前が付けられます。 たとえば、「Strict Preset Security Policy1642034872546
」のように入力します。 ポリシーの RecommendPolicyType プロパティ値は Strict です。EOP のみの組織の厳密な事前設定されたセキュリティ ポリシーの個々のセキュリティ ポリシーを表示するには、次のコマンドを実行します。
Write-Output -InputObject ("`r`n"*3),"Strict anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"
Defender for Office 365がある組織の厳密な事前設定されたセキュリティ ポリシーの個々のセキュリティ ポリシーを表示するには、次のコマンドを実行します。
Write-Output -InputObject ("`r`n"*3),"Strict anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"
PowerShell を使用して、事前設定されたセキュリティ ポリシーのルールを表示する
Microsoft Defender ポータルで Standard プリセット セキュリティ ポリシーまたは Strict プリセット セキュリティ ポリシーをオンにしていない場合は、これらのポリシーに関連付けられているルールは存在しません。
組み込みの保護プリセット セキュリティ ポリシー: ATP Built-In 保護規則という名前の規則は 1 つだけです。
組み込みの保護プリセット セキュリティ ポリシーに関連付けられているルールを表示するには、次のコマンドを実行します。
Get-ATPBuiltInProtectionRule
標準の事前設定されたセキュリティ ポリシー: 関連付けられている規則の名前は Standard Preset セキュリティ ポリシーです。
次のコマンドを使用して、Standard プリセット セキュリティ ポリシーに関連付けられている規則を表示します。
標準プリセット セキュリティ ポリシーで EOP 保護 に関連付けられているルールを表示するには、次のコマンドを実行します。
Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"
Standard プリセット セキュリティ ポリシーでDefender for Office 365保護に関連付けられている規則を表示するには、次のコマンドを実行します。
Get-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"
両方のルールを同時に表示するには、次のコマンドを実行します。
Write-Output -InputObject ("`r`n"*3),"EOP rule - Standard preset security policy",("-"*79);Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"; Write-Output -InputObject ("`r`n"*3),"Defender for Office 365 rule - Standard preset security policy",("-"*79);Get-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"
厳密な事前設定されたセキュリティ ポリシー: 関連付けられている規則は、厳密な事前設定されたセキュリティ ポリシーという名前です。
次のコマンドを使用して、Strict プリセット セキュリティ ポリシーに関連付けられているルールを表示します。
厳密な事前設定されたセキュリティ ポリシーで EOP 保護 に関連付けられている規則を表示するには、次のコマンドを実行します。
Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"
厳密な事前設定されたセキュリティ ポリシーでDefender for Office 365保護に関連付けられている規則を表示するには、次のコマンドを実行します。
Get-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"
両方のルールを同時に表示するには、次のコマンドを実行します。
Write-Output -InputObject ("`r`n"*3),"EOP rule - Strict preset security policy",("-"*79);Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"; Write-Output -InputObject ("`r`n"*3),"Defender for Office 365 rule - Strict preset security policy",("-"*79);Get-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"
PowerShell を使用して、事前設定されたセキュリティ ポリシーをオンまたはオフにする
PowerShell で Standard または Strict の事前設定されたセキュリティ ポリシーを有効または無効にするには、ポリシーに関連付けられている規則を有効または無効にします。 ルールの State プロパティの値は、ルールが [有効] または [無効] のどちらであるかを示します。
organizationに EOP のみが含まれている場合は、EOP 保護の規則を無効または有効にします。
organizationにDefender for Office 365がある場合は、EOP 保護の規則と、Defender for Office 365保護の規則 (両方のルールを有効または無効にする) を有効または無効にします。
EOP を持つ組織のみ:
次のコマンドを実行して、Standard および Strict の事前設定されたセキュリティ ポリシーの規則が現在有効か無効かを判断します。
Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50); Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50); Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy" | Format-Table Name,State
次のコマンドを実行して、Standard プリセット セキュリティ ポリシーがオンになっている場合はオフにします。
Disable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"
次のコマンドを実行して、厳密なプリセット セキュリティ ポリシーがオンになっている場合はオフにします。
Disable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"
次のコマンドを実行して、Standard プリセット セキュリティ ポリシーがオフになっている場合にオンにします。
Enable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"
次のコマンドを実行して、厳密なプリセット セキュリティ ポリシーがオフになっている場合はオンにします。
Enable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"
Defender for Office 365を持つ組織:
次のコマンドを実行して、Standard および Strict の事前設定されたセキュリティ ポリシーの規則が現在有効か無効かを判断します。
Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50);Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject `r`n,"Defender for Office 365 protection rule",("-"*50);Get-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50);Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject `r`n,"Defender for Office 365 protection rule",("-"*50);Get-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy" | Format-Table Name,State
次のコマンドを実行して、Standard プリセット セキュリティ ポリシーがオンになっている場合はオフにします。
Disable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"; Disable-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"
次のコマンドを実行して、厳密なプリセット セキュリティ ポリシーがオンになっている場合はオフにします。
Disable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"; Disable-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"
次のコマンドを実行して、Standard プリセット セキュリティ ポリシーがオフになっている場合にオンにします。
Enable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"; Enable-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"
次のコマンドを実行して、厳密なプリセット セキュリティ ポリシーがオフになっている場合はオンにします。
Enable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"; Enable-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"
PowerShell を使用して、事前設定されたセキュリティ ポリシーの受信者の条件と例外を指定する
受信者の条件または例外は 1 回だけ使用できますが、条件または例外には複数の値を含めることができます。
同じ条件または例外の複数の値は、OR ロジック (たとえば、<recipient1> または <recipient2> を使用します)。
- 条件: 受信者が指定した値 のいずれかに 一致する場合、ポリシーが適用されます。
- 例外: 受信者が指定した値 のいずれかに 一致する場合、ポリシーは適用されません。
異なる種類の例外では、OR ロジック (たとえば、<recipient1>または group1 の<メンバー> domain1 の<メンバー) が使用されます>。 受信者が指定した例外値 のいずれかに 一致する場合、ポリシーは適用されません。
さまざまな 種類の条件で AND ロジックが使用されます。 受信者は、ポリシーを適用するために、指定 されたすべての 条件に一致する必要があります。 たとえば、次の値を使用して条件を構成します。
- ユーザー:
romain@contoso.com
- グループ: エグゼクティブ
ポリシーは、
romain@contoso.com
エグゼクティブ グループのメンバーでもある場合に適用されます。 それ以外の場合、ポリシーは適用されません。- ユーザー:
組み込みの保護プリセット セキュリティ ポリシーでは、受信者の例外のみを指定できます。 すべての例外パラメーター値が空 ($null
) の場合、ポリシーに例外はありません。
Standard および Strict の事前設定されたセキュリティ ポリシーでは、EOP 保護とDefender for Office 365保護の受信者の条件と例外を指定できます。 すべての条件と例外パラメーター値が空 ($null
) の場合、Standard または Strict の事前設定されたセキュリティ ポリシーに対する受信者の条件や例外はありません。
組み込みの保護プリセット セキュリティ ポリシー:
次の構文を使用してください。
Set-ATPBuiltInProtectionRule -Identity "ATP Built-In Protection Rule" -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null>
この例では、組み込みの保護プリセット セキュリティ ポリシーからすべての受信者例外を削除します。
Set-ATPBuiltInProtectionRule -Identity "ATP Built-In Protection Rule" -ExceptIfRecipientDomainIs $null -ExceptIfSentTo $null -ExceptIfSentToMemberOf $null
構文とパラメーターの詳細については、「 Set-ATPBuiltInProtectionRule」を参照してください。
標準または厳密な事前設定されたセキュリティ ポリシー
次の構文を使用してください。
<Set-EOPProtectionPolicyRule | SetAtpProtectionPolicyRule> -Identity "<Standard Preset Security Policy | Strict Preset Security Policy>" -SentTo <"user1","user2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -SentToMemberOf <"group1","group2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null> -RecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null>
この例では、エグゼクティブという名前の配布グループのメンバーに対して、Standard プリセット セキュリティ ポリシーの EOP 保護からの例外を構成します。
Set-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy" -ExceptIfSentToMemberOf Executives
次の使用例は、指定されたセキュリティ操作 (SecOps) メールボックスの厳密な事前設定されたセキュリティ ポリシーのDefender for Office 365保護からの例外を構成します。
Set-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy" -ExceptIfSentTo "SecOps1","SecOps2"
構文とパラメーターの詳細については、「 Set-EOPProtectionPolicyRule 」および 「Set-ATPProtectionPolicyRule」を参照してください。
付録
事前設定されたセキュリティ ポリシーは、次の要素で構成されます。
これらの要素については、次のセクションで説明します。
さらに、事前設定されたセキュリティ ポリシーが他のポリシーとの 優先順位 にどのように適合するかを理解することが重要です。
事前設定されたセキュリティ ポリシーのプロファイル
プロファイルは、保護のレベルを決定します。 次のプロファイルは、事前設定されたセキュリティ ポリシーで使用できます。
- 標準保護: ほとんどのユーザーに適したベースライン プロファイル。
- 厳密な保護: 選択したユーザー (高い値のターゲットまたは優先順位のユーザー) に対して、より積極的なプロファイル。
- 組み込みの保護 (Microsoft Defender for Office 365のみ): 安全なリンクと安全な添付ファイルにのみ既定のポリシーを効果的に提供します。
一般に、 厳格な保護 プロファイルでは、 標準 保護プロファイルよりも有害なメール (一括メールやスパムなど) が検疫される傾向がありますが、両方のプロファイルの設定の多くは同じです (特に、マルウェアやフィッシングなどの有害な電子メールの場合)。 設定の違いの比較については、次のセクションの表を参照してください。
プロファイルをオンにしてユーザーを割り当てるまで、Standard および Strict の事前設定されたセキュリティ ポリシーは誰にも割り当てされません。 一方、組み込みの保護プリセットセキュリティ ポリシーは、既定ですべての受信者に割り当てられますが、例外を構成できます。
重要
組み込みの保護プリセット セキュリティ ポリシーに例外を構成しない限り、organizationのすべての受信者は安全なリンクと安全な添付ファイルの保護を受け取ります。
事前設定されたセキュリティ ポリシーのポリシー
事前設定されたセキュリティ ポリシーでは、EOP とMicrosoft Defender for Office 365で使用できる個々の保護ポリシーの特別なバージョンが使用されます。 これらのポリシーは、Standard Protection または Strict Protection の事前設定されたセキュリティ ポリシーをユーザーに割り当てた後に作成されます。
EOP ポリシー: これらのポリシーは、Exchange Online メールボックスを持つすべての Microsoft 365 組織と、Exchange Online メールボックスのないスタンドアロン EOP 組織にあります。
- Standard Preset Security Policy と Strict Preset Security Policy という名前のスパム対策ポリシー。
- Standard Preset Security Policy と Strict Preset Security Policy という名前のマルウェア対策ポリシー。
- Standard Preset Security Policy と Strict Preset Security Policy (スプーフィング設定) という名前のフィッシング対策ポリシー (スプーフィング保護)。
注:
送信スパム ポリシーは、事前設定されたセキュリティ ポリシーの一部ではありません。 既定の送信スパム ポリシーは、事前設定されたセキュリティ ポリシーのメンバーを自動的に保護します。 または、カスタム送信スパム ポリシーを作成して、事前設定されたセキュリティ ポリシーのメンバーの保護をカスタマイズすることもできます。 詳細については、「 EOP で送信スパム フィルター処理を構成する」を参照してください。
Microsoft Defender for Office 365 ポリシー: これらのポリシーは、Microsoft 365 E5 または Defender for Office 365 アドオン サブスクリプションを持つ組織にあります。
- Defender for Office 365 のフィッシング対策ポリシーには、 Standard Preset セキュリティ ポリシー と Strict Preset セキュリティ ポリシーという名前が付けられます。これには次のものが含まれます。
- EOP フィッシング対策ポリシーで使用できるのと同じ スプーフィング設定 。
- 偽装設定
- 高度なフィッシングのしきい値
- Standard Preset Security Policy、Strict Preset Security Policy、および組み込みの保護ポリシーという名前の安全なリンク ポリシー。
- Standard Preset Security Policy、Strict Preset Security Policy、および組み込みの保護ポリシーという名前の安全な添付ファイルポリシー。
- Defender for Office 365 のフィッシング対策ポリシーには、 Standard Preset セキュリティ ポリシー と Strict Preset セキュリティ ポリシーという名前が付けられます。これには次のものが含まれます。
前に説明したように、Defender for Office 365 保護とは異なるユーザーに EOP 保護を適用することも、EOP と Defender for Office 365 の保護を同じ受信者に適用することもできます。
事前設定されたセキュリティ ポリシーのポリシー設定
基本的に、保護プロファイルの個々のポリシー設定を変更することはできません。 対応する既定のポリシーをカスタマイズするか、新しいカスタム ポリシーを作成しても、同じユーザー (受信者) が複数のポリシーで定義されている場合 の優先順位 に影響はありません (標準および厳密な事前設定されたセキュリティ ポリシーは 常に最初に 適用されます)。
- 関連する検疫ポリシーを含む Standard、Strict、および組み込みの保護 ポリシー設定の値は、「 EOP および Microsoft Defender for Office 365 セキュリティの推奨設定」の機能テーブルに一覧表示されます。
- Exchange Online PowerShell を使用して、 この記事で前に説明したように、すべてのポリシー設定の値をすばやく表示することもできます。
ただし、Defender for Office 365 で 偽装保護 を受け取るために、個々のユーザー (送信者) とドメインを構成する必要があります。 それ以外の場合、事前設定されたセキュリティ ポリシーは、次の種類の偽装保護を自動的に構成します。
- 所有するすべてのドメイン (承認済みドメイン) のドメイン偽装保護。
- メールボックス インテリジェンス保護 (連絡先グラフ)。
Standard プリセット セキュリティ ポリシーと厳密な事前設定セキュリティ ポリシーの意味のあるポリシー設定の違いを次の表にまとめます。
Standard | Strict | |
---|---|---|
マルウェア対策ポリシー | 違いはありません | 違いはありません |
迷惑メール対策ポリシー | ||
一括準拠レベル (BCL) が検出 アクション (BulkSpamAction) を満たしているか超えました |
迷惑メール フォルダーにメッセージを移動 する (MoveToJmf ) |
検疫メッセージ (Quarantine ) |
一括メールのしきい値 (BulkThreshold) | 6 | 5 |
スパム 検出アクション (SpamAction) |
迷惑メール フォルダーにメッセージを移動 する (MoveToJmf ) |
検疫メッセージ (Quarantine ) |
フィッシング対策ポリシー | ||
スプーフィング インテリジェンスによってメッセージがスプーフィングとして検出された場合 (AuthenticationFailAction) |
迷惑メール フォルダーにメッセージを移動 する (MoveToJmf ) |
検疫メッセージ (Quarantine ) |
最初の接触安全ヒントを表示 する (EnableFirstContactSafetyTips) | 選択済み ($true ) |
選択済み ($true ) |
メールボックス インテリジェンスが偽装ユーザーを検出した場合 (MailboxIntelligenceProtectionAction) |
迷惑メール フォルダーにメッセージを移動 する (MoveToJmf ) |
検疫メッセージ (Quarantine ) |
フィッシングメールのしきい値 (PhishThresholdLevel) |
3 - より積極的な (3 ) |
4 - 最も積極的 (4 ) |
安全な添付ファイルに関するポリシー | 違いはありません | 違いはありません |
安全なリンク ポリシー | 違いはありません | 違いはありません |
組み込みの保護プリセット セキュリティ ポリシーと Standard および Strict プリセット セキュリティ ポリシーの安全な添付ファイルと安全なリンクのポリシー設定の違いは、次の表にまとめられています。
組み込みの保護 | 標準と厳格 | |
---|---|---|
安全な添付ファイルに関するポリシー | 違いはありません | 違いはありません |
安全なリンク ポリシー | ||
ユーザーが元の URL をクリックできるようにする (AllowClickThrough) | 選択済み ($true ) |
[未選択] ($false ) |
URL を書き換えない、安全なリンク API のみを使用してチェックを行う (DisableURLRewrite) | 選択済み ($true ) |
[未選択] ($false ) |
組織内で送信されたメール メッセージに安全なリンクを適用する (EnableForInternalSenders) | [未選択] ($false ) |
選択済み ($true ) |
これらの設定の詳細については、「 EOP および Microsoft Defender for Office 365 セキュリティの推奨設定」の機能テーブルを参照してください。
事前設定されたセキュリティ ポリシーとその他のポリシーの優先順位
受信者が複数のポリシーで定義されている場合、ポリシーは次の順序で適用されます。
- 厳密な事前設定されたセキュリティ ポリシー。
- Standard プリセット セキュリティ ポリシー。
- ポリシーの優先順位に基づくカスタム ポリシー (数値が小さい方が優先度が高いことを示します)。
- Defender for Office 365 の評価ポリシー
- 安全なリンクと安全な添付ファイルの組み込みの保護プリセット セキュリティ ポリシー。マルウェア対策、スパム対策、フィッシング対策の既定のポリシー。
つまり、厳密な事前設定されたセキュリティ ポリシーの設定は、カスタム ポリシーの設定をオーバーライドする Standard プリセット セキュリティ ポリシーの設定をオーバーライドします。これにより、フィッシング対策、安全なリンク、または安全な添付ファイルの評価ポリシーの設定がオーバーライドされます。これにより、安全なリンクと安全な添付ファイルの組み込み保護プリセット セキュリティ ポリシーの設定がオーバーライドされます。 スパム対策、マルウェア対策、フィッシング対策の既定のポリシー。
この順序は、Defender ポータルの個々のセキュリティ ポリシーのページに表示されます (ポリシーはページに表示されている順序で適用されます)。
たとえば、管理者は Standard の事前設定されたセキュリティ ポリシーと、同じ受信者を持つカスタムスパム対策ポリシーを構成します。 標準の事前設定されたセキュリティ ポリシーのスパム対策ポリシー設定は、カスタムスパム対策ポリシーまたは既定のスパム対策ポリシーで構成されたものではなく、ユーザーに適用されます。
標準または厳格な事前設定されたセキュリティ ポリシーをユーザーのサブセットに適用し、特定のニーズを満たすために組織内の他のユーザーにカスタム ポリシーを適用することを検討してください。 この要件を満たすために、次の方法を検討してください。
- 標準の事前設定されたセキュリティ ポリシー、厳密な事前設定されたセキュリティ、およびカスタム ポリシーで明確なグループまたは受信者のリストを使用して、例外が不要になるようにします。 この方法を使用すると、同じユーザーに適用される複数のポリシーと優先順位の影響を考慮する必要はありません。
- 複数のポリシーが同じユーザーに適用されないようにできない場合は、次の方法を使用します。
- 厳密な事前設定されたセキュリティ ポリシーで、 標準 の事前設定されたセキュリティ ポリシーとカスタム ポリシーの 設定を例外 として取得する必要がある受信者を構成します。
- 標準の事前設定されたセキュリティ ポリシーで例外としてカスタム ポリシーの設定を取得する必要がある受信者を構成します。
- 組み込みの保護プリセット セキュリティ ポリシーまたは既定のポリシーの設定をカスタム ポリシーの例外として取得する受信者を構成します。
組み込みの保護プリセットセキュリティ ポリシーは、既存の安全なリンクポリシーまたは安全な添付ファイル ポリシーの受信者には影響しません。 Standard Protection、Strict Protection、またはカスタムの安全なリンクまたは安全な添付ファイルポリシーを既に構成している場合、これらのポリシーは常に組み込み保護の前に適用されるため、既存のプリセットまたはカスタム ポリシーで既に定義されている受信者には影響しません。
詳細については、「メール保護の順序と優先順位」を参照してください。