Настройка политик защиты от фишинга в EOP

Совет

Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте, кто может зарегистрироваться и использовать условия пробной версии на пробной Microsoft Defender для Office 365.

В организациях Microsoft 365 с почтовыми ящиками в Exchange Online или автономных Exchange Online Protection (EOP) без Exchange Online почтовых ящиков политики защиты от фишинга обеспечивают защиту от спуфингов. Дополнительные сведения см. в статье Параметры фишинга в политиках защиты от фишинга.

Политика защиты от фишинга по умолчанию автоматически применяется ко всем получателям. Для повышения детализации можно также создать настраиваемые политики защиты от фишинга, которые применяются к определенным пользователям, группам или доменам в вашей организации.

Вы настраиваете политики защиты от фишинга на портале Microsoft Defender или в PowerShell (Exchange Online PowerShell для организаций Microsoft 365 с почтовыми ящиками в Exchange Online; автономный EOP PowerShell для организаций без Exchange Online почтовых ящиков).

Процедуры политики защиты от фишинга в организациях с Microsoft Defender для Office 365 см. в статье Настройка политик защиты от фишинга в Microsoft Defender для Office 365.

Что нужно знать перед началом работы

  • Откройте портал Microsoft Defender по адресу https://security.microsoft.com. Чтобы перейти непосредственно на страницу защиты от фишинга , используйте https://security.microsoft.com/antiphishing.

  • Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell. Чтобы подключиться к автономному EOP PowerShell, см. раздел Подключение к PowerShell Exchange Online Protection.

  • Перед выполнением процедур, описанных в этой статье, вам необходимо назначить разрешения. Возможны следующие варианты:

    • Microsoft Defender XDR единое управление доступом на основе ролей (RBAC) (если Email & совместной работы>Defender для Office 365 разрешения активны. Влияет только на портал Defender, а не На PowerShell: авторизация и параметры/Параметры безопасности/Основные параметры безопасности (управление) или Авторизация и параметры/Параметры безопасности/Основные параметры безопасности (чтение).

    • разрешения Exchange Online:

      • Добавление, изменение и удаление политик. Членство в группах ролей "Управление организацией" или "Администратор безопасности ".
      • Доступ только для чтения к политикам: членство в группах ролей "Глобальный читатель", "Читатель безопасности" или "Управление организацией только для просмотра ".
    • Microsoft Entra разрешения. Членство в ролях "Глобальный администратор*", "Администратор безопасности", "Глобальный читатель" или "Читатель безопасности" предоставляет пользователям необходимые разрешения и разрешения для других функций Microsoft 365.

      Важно!

      * Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Использование учетных записей с более низкими разрешениями помогает повысить безопасность организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.

  • Рекомендуемые параметры для политик защиты от фишинга в Defender для Office 365 см. в разделе Политика защиты от фишинга в параметрах Defender для Office 365.

    Совет

    Параметры в политиках защиты от фишинга по умолчанию или пользовательских политиках защиты от фишинга игнорируются, если получатель также включен в стандартные или строгие предустановленные политики безопасности. Дополнительные сведения см. в разделе Порядок и приоритет защиты электронной почты.

  • До 30 минут до применения новой или обновленной политики.

Создание политик защиты от фишинга с помощью портала Microsoft Defender

  1. На портале Microsoft Defender по адресу https://security.microsoft.comперейдите к Email & Политики совместной работы>& Правила>Политики> Защиты отфишинга угроз в разделе Политики. Чтобы перейти непосредственно на страницу защиты от фишинга , используйте https://security.microsoft.com/antiphishing.

  2. На странице Защита от фишинга выберите Создать , чтобы открыть новый мастер политики защиты от фишинга.

  3. На странице Имя политики настройте следующие параметры:

    • Имя. Укажите уникальное, описательное имя политики.
    • Описание. По желанию введите описание политики.

    Завершив работу на странице Имя политики , нажмите кнопку Далее.

  4. На странице Пользователи, группы и домены определите внутренних получателей, к которым применяется политика (условия получателя):

    • Пользователи. Указывает один или несколько почтовых ящиков, пользователей почты или почтовых контактов.
    • Группы.
      • Члены указанных групп рассылки или групп безопасности с поддержкой почты (динамические группы рассылки не поддерживаются).
      • Указанные Группы Microsoft 365.
    • Домены: все получатели в организации с основной адрес электронной почты в указанном принятом домене.

    Щелкните соответствующее поле, начните вводить значение и выберите нужное значение в результатах. Повторите эти действия необходимое количество раз. Чтобы удалить существующее значение, щелкните рядом со значением .

    Для пользователей и групп можно использовать большинство идентификаторов (имя, отображаемое имя, псевдоним, адрес электронной почты, имя учетной записи и т. д.), но в результатах будет выведено отображаемое имя. Для пользователей или групп введите звездочку (*), чтобы просмотреть все доступные значения.

    Условие можно использовать только один раз, но условие может содержать несколько значений:

    • Несколько значений одного условия используют логику OR (например, <recipient1> или <recipient2>). Если получатель соответствует любому из указанных значений, к нему применяется политика.

    • Различные типы условий используют логику AND. Получатель должен соответствовать всем указанным условиям для применения политики к нему. Например, вы настраиваете условие со следующими значениями:

      • Пользователей: romain@contoso.com
      • Группы: Руководители

      Политика применяется только в romain@contoso.com том случае, если он также является членом группы руководителей. В противном случае политика к нему не применяется.

    • Исключить этих пользователей, группы и домены. Чтобы добавить исключения для внутренних получателей, к которым применяется политика (исключение получателей), выберите этот параметр и настройте исключения.

      Исключение можно использовать только один раз, но исключение может содержать несколько значений:

      • Несколько значений одного исключения используют логику OR (например, <recipient1> или <recipient2>). Если получатель соответствует любому из указанных значений, политика к нему не применяется.
      • Различные типы исключений используют логику OR (например, recipient1>,<<member of group1> или <member of domain1>). Если получатель соответствует любому из указанных значений исключений, политика к нему не применяется.

    Завершив работу на странице Пользователи, группы и домены , нажмите кнопку Далее.

  5. На странице Пороговое значение фишинга & защиты используйте поле Включить проверка аналитики спуфинга, чтобы включить или отключить аналитику спуфинга. Этот параметр выбран по умолчанию, и мы рекомендуем оставить его выбранным. На следующей странице необходимо указать действие для выполнения сообщений от заблокированных подделанных отправителей.

    Чтобы отключить подделывательную аналитику, очистите поле проверка.

    Примечание.

    Если запись MX не указывает на Microsoft 365, вам не нужно отключать спуфинга. Вместо этого вы включите расширенную фильтрацию для соединителей. Инструкции см. в статье Расширенная фильтрация для соединителей в Exchange Online.

    Завершив работу на странице Пороговое значение фишинга & защиты , нажмите кнопку Далее.

  6. На странице Действия настройте следующие параметры:

    • Соблюдайте политику записей DMARC при обнаружении сообщения как подделанного. Этот параметр выбран по умолчанию и позволяет управлять тем, что происходит с сообщениями, когда отправитель не выполняет явные проверки DMARC , а политика DMARC имеет значение p=quarantine или p=reject:

      • Если сообщение обнаружено как подделаное, а политика DMARC задана как p=quarantine: выберите одно из следующих действий:

        • Поместите сообщение в карантин: это значение по умолчанию.
        • Перемещение сообщения в папки нежелательной Email получателей
      • Если сообщение обнаружено как подделаное, а политика DMARC задана как p=reject, выберите одно из следующих действий:

        • Поместить сообщение в карантин
        • Отклонить сообщение. Это значение по умолчанию.

      Дополнительные сведения см. в статье Защита от подделки и политики DMARC отправителя.

    • Если сообщение обнаружено как подделываемое с помощью спуфинга: этот параметр доступен только в том случае, если на предыдущей странице выбран параметр Включить аналитику подделок . Выберите одно из следующих действий в раскрывающемся списке для сообщений от заблокированных подделанных отправителей:

      • Перемещение сообщения в папки нежелательной Email получателей (по умолчанию)

      • Поместить сообщение в карантин. Если вы выберете это действие, появится поле Применить политику карантина , в котором вы выбираете политику карантина, которая применяется к сообщениям, помещенным в карантин с помощью защиты от подделки аналитики.

        Если политика карантина не выбрана, используется политика карантина по умолчанию для обнаружения спуфинга (DefaultFullAccessPolicy). При последующем просмотре или изменении параметров политики защиты от фишинга отображается имя политики карантина.

    • Советы по безопасности & индикаторы . Настройте следующие параметры:

      • Показать совет по безопасности первого контакта. Дополнительные сведения см. в разделе Совет по безопасности первого контакта.
      • Показать (?) для не прошедших проверку подлинности отправителей для спуфинга. Этот параметр доступен только в том случае, если на предыдущей странице выбран параметр Включить аналитику подделки . Добавляет вопросительный знак (?) на фотографию отправителя в поле От в Outlook, если сообщение не проходит проверки SPF или DKIM и сообщение не проходит DMARC или составную проверку подлинности. Этот параметр включен по умолчанию.
      • Показать тег "via". Этот параметр доступен только в том случае, если на предыдущей странице выбран параметр Включить аналитику спуфинга . Добавляет тег с именем (chris@contoso.com через fabrikam.com) в адрес From, если он отличается от домена в подписи DKIM или адреса MAIL FROM . Этот параметр включен по умолчанию.

      Чтобы включить параметр, выберите поле проверка. Чтобы отключить его, очистите поле проверка.

    Завершив работу на странице Действия , нажмите кнопку Далее.

  7. На странице Рецензирование проверьте параметры. Вы можете выбрать Изменить в любом разделе, чтобы изменить параметры в этом разделе. Вы также можете выбрать Назад или конкретную страницу в мастере.

    Завершив работу на странице Рецензирование , нажмите кнопку Отправить.

  8. На странице Создание новой политики защиты от фишинга можно выбрать ссылки, чтобы просмотреть политику, просмотреть политики защиты от фишинга и узнать больше о политиках защиты от фишинга.

    Завершив работу на странице Создание новой политики защиты от фишинга , нажмите кнопку Готово.

    На странице Защиты от фишинга отобразится новая политика.

Используйте портал Microsoft Defender для просмотра сведений о политике защиты от фишинга

На портале Microsoft Defender перейдите к Email & Политики совместной работы>& Правила>Политики> угрозЗащита от фишинга в разделе Политики. Или, чтобы перейти непосредственно на страницу защиты от фишинга , используйте https://security.microsoft.com/antiphishing.

На странице Защита от фишинга в списке политик защиты от фишинга отображаются следующие свойства:

Чтобы изменить список политик с обычного на компактный, выберите Изменить интервал списка на компактный или обычный, а затем выберите Компактный список.

Используйте фильтр для фильтрации политик по диапазону времени (дате создания) или состоянию.

Используйте поле Поиск и соответствующее значение для поиска определенных политик защиты от фишинга.

Экспорт используется для экспорта списка политик в CSV-файл.

Выберите политику, щелкнув в любом месте строки, кроме поля проверка рядом с именем, чтобы открыть всплывающее окно сведений о политике.

Совет

Чтобы просмотреть сведения о других политиках защиты от фишинга, не выходя из всплывающего меню сведений, используйте предыдущий элемент и следующий элемент в верхней части всплывающего окна.

Использование портала Microsoft Defender для принятия мер по борьбе с фишинговыми политиками

  1. На портале Microsoft Defender перейдите к Email & Политики совместной работы>& Правила>Политики> угрозЗащита от фишинга в разделе Политики. Или, чтобы перейти непосредственно на страницу защиты от фишинга , используйте https://security.microsoft.com/antiphishing.

  2. На странице Защита от фишинга выберите политику защиты от фишинга с помощью любого из следующих методов:

    • Выберите политику из списка, выбрав поле проверка рядом с именем. В раскрывающемся списке Дополнительные действия доступны следующие действия:

      • Включите выбранные политики.
      • Отключите выбранные политики.
      • Удалите выбранные политики.

      Страница

    • Выберите политику из списка, щелкнув в любом месте строки, кроме поля проверка рядом с именем. Некоторые или все следующие действия доступны в открываемом всплывающем меню со сведениями:

      • Измените параметры политики, щелкнув Изменить в каждом разделе (пользовательские политики или политика по умолчанию).
      • Включение или отключение (только пользовательские политики)
      • Повышение приоритета или уменьшение приоритета (только для пользовательских политик)
      • Удаление политики (только пользовательские политики)

      Всплывающий элемент сведений о настраиваемой политике защиты от фишинга.

Действия описаны в следующих подразделах.

Изменение политик защиты от фишинга с помощью портала Microsoft Defender

После выбора политики защиты от фишинга по умолчанию или настраиваемой политики, щелкнув в любом месте строки, кроме поля проверка рядом с именем, параметры политики отображаются во всплывающем всплывающем окне сведений. Выберите Изменить в каждом разделе, чтобы изменить параметры в разделе. Дополнительные сведения о параметрах см. в разделе Создание политик защиты от фишинга ранее в этой статье.

Для политики по умолчанию нельзя изменить имя политики, и нет фильтров получателей для настройки (политика применяется ко всем получателям). Но вы можете изменить все остальные параметры в политике.

Для политик защиты от фишинга с именами "Стандартная предустановленная политика безопасности " и "Строгая предустановленная политика безопасности ", связанные с предустановленными политиками безопасности, вы не можете изменить параметры политики во всплывающем меню сведений. Вместо этого выберите Просмотреть предустановленные политики безопасности во всплывающем окне сведений, чтобы перейти на страницу Предустановленные политики безопасности , https://security.microsoft.com/presetSecurityPolicies чтобы изменить предустановленные политики безопасности.

Использование портала Microsoft Defender для включения или отключения настраиваемых политик защиты от фишинга

Вы не можете отключить политику защиты от фишинга по умолчанию (она всегда включена).

Вы не можете включить или отключить политики защиты от фишинга, связанные со стандартными и строгими предустановленными политиками безопасности. Вы включаете или отключаете стандартные или строгие предустановленные политики безопасности на странице Предустановленные политики безопасности по адресу https://security.microsoft.com/presetSecurityPolicies.

После выбора включенной настраиваемой политики защиты от фишинга (значение Состояниевключено), используйте один из следующих методов, чтобы отключить ее:

  • На странице Защита от фишинга выберите Дополнительные действия>Отключите выбранные политики.
  • Во всплывающем окне сведений о политике выберите Отключить в верхней части всплывающего окна.

После выбора отключенной настраиваемой политики защиты от фишинга (значение СостояниеВыкл.) используйте один из следующих методов, чтобы включить ее:

  • На странице Защита от фишинга выберите Дополнительные действия>Включить выбранные политики.
  • Во всплывающем окне сведений о политике выберите Включить в верхней части всплывающего окна.

На странице Защита от фишинга для параметра Состояние политики теперь задано значение Включено или Выключено.

Использование портала Microsoft Defender для задания приоритета настраиваемых политик защиты от фишинга

Политики защиты от фишинга обрабатываются в том порядке, в котором они отображаются на странице Защиты от фишинга :

  • Политика защиты от фишинга с именем Strict Preset Security Policy , связанная с политикой безопасности strict preset, всегда применяется первым (если включена политика строгой предустановки безопасности).
  • Политика защиты от фишинга с именем Стандартная предустановленная политика безопасности , связанная со стандартной предустановленной политикой безопасности, всегда применяется далее (если включена стандартная предустановленная политика безопасности).
  • Пользовательские политики защиты от фишинга применяются далее в порядке приоритета (если они включены):
    • Более низкое значение приоритета указывает на более высокий приоритет (0 — самый высокий).
    • По умолчанию создается новая политика с приоритетом ниже, чем самая низкая существующая пользовательская политика (первая — 0, следующая — 1 и т. д.).
    • Ни одна из двух политик не может иметь одинаковое значение приоритета.
  • Политика защиты от фишинга по умолчанию всегда имеет значение приоритета Наименьшее, и изменить его невозможно.

Защита от фишинга останавливается для получателя после применения первой политики (политика с наивысшим приоритетом для этого получателя). Дополнительные сведения см. в разделе Порядок и приоритет защиты электронной почты.

После выбора настраиваемой политики защиты от фишинга, щелкнув в любом месте строки, кроме поля проверка рядом с именем, вы можете увеличить или уменьшить приоритет политики во всплывающем меню сведений:

  • Настраиваемая политика со значением приоритета 0 на странице Защита от фишинга имеет действие Уменьшить приоритет в верхней части всплывающего окна сведений.
  • Настраиваемая политика с наименьшим приоритетом (наивысшее значение приоритета, например 3) содержит действие Увеличить приоритет в верхней части всплывающего окна сведений.
  • Если у вас есть три или более политик, политики между приоритетом 0 и наименьшим приоритетом имеют как действия Увеличение приоритета, так и Уменьшение приоритета в верхней части всплывающего окна сведений.

Завершив работу во всплывающем окне сведений о политике, нажмите кнопку Закрыть.

На странице Защиты от фишинга порядок политики в списке соответствует обновленному значению Priority .

Использование портала Microsoft Defender для удаления пользовательских политик защиты от фишинга

Вы не можете удалить политику защиты от фишинга по умолчанию или политики защиты от фишинга с именем Стандартная предустановленная политика безопасности и Строгая предустановленная политика безопасности , связанные с предустановленными политиками безопасности.

После выбора настраиваемой политики защиты от фишинга используйте один из следующих методов, чтобы удалить ее:

  • На странице Защита от фишинга выберите Дополнительные действия>Удалить выбранные политики.
  • Во всплывающем окне сведений о политике выберите Удалить политику в верхней части всплывающего окна.

Выберите Да в открывшемся диалоговом окне предупреждения.

На странице Защита от фишинга удаленная политика больше не указана.

Настройка политик защиты от фишинга с помощью Exchange Online PowerShell

В PowerShell основные элементы политики защиты от фишинга:

  • Политика защиты от фишинга: указывает защиту от фишинга для включения или отключения, действия, применяемые к этим защитам, и другие параметры.
  • Правило защиты от фишинга: указывает приоритет и фильтры получателей (к которым применяется политика) для связанной политики защиты от фишинга.

Разница между этими двумя элементами не очевидна при управлении политиками защиты от фишинга на портале Microsoft Defender:

  • При создании политики на портале Defender вы фактически создаете правило защиты от фишинга и связанную политику защиты от фишинга одновременно, используя одно и то же имя для обоих.
  • При изменении политики на портале Defender параметры, связанные с именем, приоритетом, включенным или отключенным фильтром и фильтрами получателей, изменяют правило защиты от фишинга. Все остальные параметры изменяют связанную политику защиты от фишинга.
  • При удалении политики на портале Defender одновременно удаляются правило защиты от фишинга и связанная политика защиты от фишинга.

В Exchange Online PowerShell разница между политиками защиты от фишинга и правилами защиты от фишинга очевидна. Вы управляете политиками защиты от фишинга с помощью командлетов *-AntiPhishPolicy , а правила защиты от фишинга — с помощью командлетов *-AntiPhishRule .

  • В PowerShell сначала создается политика защиты от фишинга, а затем — правило защиты от фишинга, которое определяет связанную политику, к которой применяется правило.
  • В PowerShell параметры политики защиты от фишинга и правила защиты от фишинга изменяются отдельно.
  • При удалении политики защиты от фишинга из PowerShell соответствующее правило защиты от фишинга не удаляется автоматически, и наоборот.

Создание политик защиты от фишинга с помощью PowerShell

Создание политики защиты от фишинга в PowerShell состоит из двух этапов:

  1. Создайте политику защиты от фишинга.
  2. Создайте правило защиты от фишинга, указывающее политику защиты от фишинга, к которому применяется правило.

Примечания.

  • Вы можете создать новое правило защиты от фишинга и назначить ему существующую политику защиты от фишинга без связи. Правило защиты от фишинга не может быть связано с несколькими политиками защиты от фишинга.

  • Вы можете настроить следующие параметры для новых политик защиты от фишинга в PowerShell, которые недоступны на портале Microsoft Defender до создания политики:

    • Создайте новую политику как отключенную (включено$false в командлете New-AntiPhishRule ).
    • Задайте приоритет политики во время создания (номер> приоритета<) в командлете New-AntiPhishRule.
  • Новая политика защиты от фишинга, созданная в PowerShell, не отображается на портале Microsoft Defender, пока вы не назначите ее правилу защиты от фишинга.

Шаг 1. Создание политики защиты от фишинга с помощью PowerShell

Чтобы создать политику защиты от фишинга, используйте следующий синтаксис:

New-AntiPhishPolicy -Name "<PolicyName>" [-AdminDisplayName "<Comments>"] [-EnableSpoofIntelligence <$true | $false>] [-AuthenticationFailAction <MoveToJmf | Quarantine>] [-HonorDmarcPolicy <$true | $false>] [-DmarcQuarantineAction <MoveToJmf | Quarantine>] [-DmarcRejectAction <Quarantine | Reject>] [-EnableUnauthenticatedSender <$true | $false>] [-EnableViaTag <$true | $false>] [-SpoofQuarantineTag <QuarantineTagName>]

В этом примере создается политика защиты от фишинга с именем Research Quarantine со следующими параметрами:

  • Описание: Политика отдела исследований.
  • Изменяет действие по умолчанию для обнаружения спуфинга на Карантин и использует политику карантина по умолчанию для сообщений, помещенных в карантин (мы не используем параметр SpoofQuarantineTag ).
  • По умолчанию выполняется проверка p=quarantine и p=reject в политиках DMARC отправителя (мы не используем параметр HonorDmarcPolicy , а значение по умолчанию — $true).
    • Сообщения, которые не выполняют DMARC, где политика DMARC отправителя находится p=quarantine в карантине (мы не используем параметр DmarcQuarantineAction , а значение по умолчанию — Карантин).
    • Сообщения, которые завершаются ошибкой DMARC с политикой p=reject DMARC отправителя, отклоняются (мы не используем параметр DmarcRejectAction , а значение по умолчанию — Отклонить).
New-AntiPhishPolicy -Name "Monitor Policy" -AdminDisplayName "Research department policy" -AuthenticationFailAction Quarantine

Подробные сведения о синтаксисе и параметрах см. в разделе New-AntiPhishPolicy.

Совет

Подробные инструкции по указанию политик карантина для использования в политике защиты от фишинга см . в статье Использование PowerShell для указания политики карантина в политиках защиты от фишинга.

Шаг 2. Создание правила защиты от фишинга с помощью PowerShell

Чтобы создать правило защиты от фишинга, используйте следующий синтаксис:

New-AntiPhishRule -Name "<RuleName>" -AntiPhishPolicy "<PolicyName>" <Recipient filters> [<Recipient filter exceptions>] [-Comments "<OptionalComments>"]

В этом примере создается правило защиты от фишинга с именем Research Department со следующими условиями:

  • Это правило связано с политикой защиты от фишинга с именем Research Quarantine.
  • Правило применяется к членам группы "Research Department".
  • Так как мы не используем параметр Priority , используется приоритет по умолчанию.
New-AntiPhishRule -Name "Research Department" -AntiPhishPolicy "Research Quarantine" -SentToMemberOf "Research Department"

Подробные сведения о синтаксисе и параметрах см. в разделе New-AntiPhishRule.

Использование PowerShell для просмотра политик защиты от фишинга

Чтобы просмотреть существующие политики защиты от фишинга, используйте следующий синтаксис:

Get-AntiPhishPolicy [-Identity "<PolicyIdentity>"] [| <Format-Table | Format-List> <Property1,Property2,...>]

В этом примере возвращается сводный список всех политик защиты от фишинга вместе с указанными свойствами.

Get-AntiPhishPolicy | Format-Table Name,IsDefault

В этом примере возвращаются все значения свойств для политики защиты от фишинга с именем Executives.

Get-AntiPhishPolicy -Identity "Executives"

Подробные сведения о синтаксисе и параметрах см. в разделе Get-AntiPhishPolicy.

Использование PowerShell для просмотра правил защиты от фишинга

Чтобы просмотреть существующие правила защиты от фишинга, используйте следующий синтаксис:

Get-AntiPhishRule [-Identity "<RuleIdentity>"] [-State <Enabled | Disabled] [| <Format-Table | Format-List> <Property1,Property2,...>]

В этом примере возвращается сводный список всех правил защиты от фишинга вместе с указанными свойствами.

Get-AntiPhishRule | Format-Table Name,Priority,State

Чтобы отфильтровать список по включенным или отключенным правилам, выполните следующие команды:

Get-AntiPhishRule -State Disabled | Format-Table Name,Priority
Get-AntiPhishRule -State Enabled | Format-Table Name,Priority

В этом примере возвращаются все значения свойств для правила защиты от фишинга с именем Contoso Executives.

Get-AntiPhishRule -Identity "Contoso Executives"

Подробные сведения о синтаксисе и параметрах см. в разделе Get-AntiPhishRule.

Изменение политик защиты от фишинга с помощью PowerShell

Помимо указанных ниже элементов, при изменении политики защиты от фишинга в PowerShell доступны те же параметры, что и при создании политики, как описано в разделе Шаг 1. Использование PowerShell для создания политики защиты от фишинга ранее в этой статье.

  • Переключатель MakeDefault, который преобразует указанную политику в политику по умолчанию (применяется ко всем, всегда самый низкий приоритет, и вы не можете удалить его), доступен только при изменении политики защиты от фишинга в PowerShell.
  • Вы не можете переименовать политику защиты от фишинга (командлет Set-AntiPhishPolicy не имеет параметра Name ). При переименовании политики защиты от фишинга на портале Microsoft Defender вы только переименоваете правило защиты от фишинга.

Чтобы изменить политику защиты от фишинга, используйте следующий синтаксис:

Set-AntiPhishPolicy -Identity "<PolicyName>" <Settings>

Подробные сведения о синтаксисе и параметрах см. в разделе Set-AntiPhishPolicy.

Совет

Подробные инструкции по указанию политики карантина, используемой в политике защиты от фишинга, см. в статье Использование PowerShell для указания политики карантина в политиках защиты от фишинга.

Изменение правил защиты от фишинга с помощью PowerShell

Единственный параметр, который недоступен при изменении правила защиты от фишинга в PowerShell, — это параметр Enabled , который позволяет создать отключенное правило. Сведения о включении или отключении существующих правил защиты от фишинга см. в следующем разделе.

В противном случае те же параметры доступны при создании правила, как описано в разделе Шаг 2. Использование PowerShell для создания правила защиты от фишинга ранее в этой статье.

Чтобы изменить правило защиты от фишинга, используйте следующий синтаксис:

Set-AntiPhishRule -Identity "<RuleName>" <Settings>

Подробные сведения о синтаксисе и параметрах см. в разделе Set-AntiPhishRule.

Включение или отключение правил защиты от фишинга с помощью PowerShell

Включение или отключение правила защиты от фишинга в PowerShell включает или отключает всю политику защиты от фишинга (правило защиты от фишинга и назначенную политику защиты от фишинга). Вы не можете включить или отключить политику защиты от фишинга по умолчанию (она всегда применяется ко всем получателям).

Чтобы включить или отключить правило защиты от фишинга в PowerShell, используйте следующий синтаксис:

<Enable-AntiPhishRule | Disable-AntiPhishRule> -Identity "<RuleName>"

В этом примере отключается правило защиты от фишинга с именем Marketing Department.

Disable-AntiPhishRule -Identity "Marketing Department"

В этом примере включается то же правило.

Enable-AntiPhishRule -Identity "Marketing Department"

Подробные сведения о синтаксисе и параметрах см. в разделах Enable-AntiPhishRule и Disable-AntiPhishRule.

Использование PowerShell для задания приоритета правил защиты от фишинга

Максимальный приоритет, который можно задать для правила, — 0. Минимальное значение зависит от количества правил. Например, если у вас есть пять правил, вы можете использовать значения 0–4. Изменение приоритета существующего правила оказывает каскадное влияние на другие правила. Например, если вы измените приоритет правила на 2, когда у вас есть пять настраиваемых правил (с приоритетами от 0 до 4), то для существующего правила с приоритетом 2 будет задан приоритет 3, а для правила с приоритетом 3 будет задан приоритет 4.

Чтобы задать приоритет правила защиты от фишинга в PowerShell, используйте следующий синтаксис:

Set-AntiPhishRule -Identity "<RuleName>" -Priority <Number>

В этом примере для правила Marketing Department задается приоритет 2. Все правила с приоритетом не больше 2 понижаются на один ранг (значения приоритета увеличиваются на 1).

Set-AntiPhishRule -Identity "Marketing Department" -Priority 2

Примечания.

  • Чтобы задать приоритет нового правила при его создании, используйте параметр Priority в командлете New-AntiPhishRule .
  • Политика защиты от фишинга по умолчанию не имеет соответствующего правила защиты от фишинга и всегда имеет неизменяемое значение приоритета Наименьшее.

Удаление политик защиты от фишинга с помощью PowerShell

При использовании PowerShell для удаления политики защиты от фишинга соответствующее правило защиты от фишинга не удаляется.

Чтобы удалить политику защиты от фишинга в PowerShell, используйте следующий синтаксис:

Remove-AntiPhishPolicy -Identity "<PolicyName>"

В этом примере удаляется политика защиты от фишинга с именем Marketing Department.

Remove-AntiPhishPolicy -Identity "Marketing Department"

Подробные сведения о синтаксисе и параметрах см. в разделе Remove-AntiPhishPolicy.

Использование PowerShell для удаления правил защиты от фишинга

При использовании PowerShell для удаления правила защиты от фишинга соответствующая политика защиты от фишинга не удаляется.

Чтобы удалить правило защиты от фишинга в PowerShell, используйте следующий синтаксис:

Remove-AntiPhishRule -Identity "<PolicyName>"

В этом примере удаляется правило защиты от фишинга с именем Marketing Department.

Remove-AntiPhishRule -Identity "Marketing Department"

Подробные сведения о синтаксисе и параметрах см. в разделе Remove-AntiPhishRule.

Как проверить, что эти процедуры выполнены?

Чтобы убедиться, что вы успешно настроили политики защиты от фишинга в EOP, выполните одно из следующих действий:

  • На странице Защита от фишинга на портале Microsoft Defender по адресу https://security.microsoft.com/antiphishingпроверьте список политик, их значения состояния и приоритета. Чтобы просмотреть дополнительные сведения, выберите политику в списке, щелкнув имя и просмотрев сведения во всплывающем меню.

  • В Exchange Online PowerShell замените <Имя> именем политики или правила, выполните следующую команду и проверьте параметры:

    Get-AntiPhishPolicy -Identity "<Name>"
    
    Get-AntiPhishRule -Identity "<Name>"