Condividi tramite


Impostazioni consigliate per la configurazione della sicurezza di EOP e Defender per Office 365

Consiglio

Sapevi che puoi provare le funzionalità in Microsoft Defender XDR gratuitamente per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni su chi può iscriversi e sulle condizioni di valutazione in Prova Microsoft Defender per Office 365.

Exchange Online Protection (EOP) è il nucleo della sicurezza per le sottoscrizioni di Microsoft 365 e consente di evitare che i messaggi di posta elettronica dannosi raggiungano la posta in arrivo dei dipendenti. Ma con nuovi attacchi più sofisticati che emergono ogni giorno, sono spesso necessarie protezioni migliorate. Microsoft Defender per Office 365 Piano 1 o Piano 2 contengono funzionalità aggiuntive che offrono più livelli di sicurezza, controllo e indagine.

Sebbene gli amministratori della sicurezza siano autorizzati a personalizzare le impostazioni di sicurezza, esistono due livelli di sicurezza in EOP e Microsoft Defender per Office 365 consigliati: Standard e Strict. Anche se gli ambienti e le esigenze dei clienti sono diversi, questi livelli di filtro consentono di impedire alla posta indesiderata di raggiungere la posta in arrivo dei dipendenti nella maggior parte delle situazioni.

Per applicare automaticamente le impostazioni Standard o Strict agli utenti, vedere Preimpostare i criteri di sicurezza in EOP e Microsoft Defender per Office 365.

Questo articolo descrive le impostazioni predefinite e anche le impostazioni Standard e Strict consigliate per proteggere gli utenti. Le tabelle contengono le impostazioni nel portale di Microsoft Defender e in PowerShell (Exchange Online PowerShell o powershell autonomo Exchange Online Protection per le organizzazioni senza cassette postali Exchange Online).

Nota

Il modulo Office 365 Advanced Threat Protection Recommended Configuration Analyzer (ORCA) per PowerShell consente agli amministratori di trovare i valori correnti di queste impostazioni. In particolare, il cmdlet Get-ORCAReport genera una valutazione di anti-spam, anti-phishing e altre impostazioni di igiene dei messaggi. È possibile scaricare il modulo ORCA all'indirizzo https://www.powershellgallery.com/packages/ORCA/.

Nelle organizzazioni di Microsoft 365 è consigliabile lasciare il filtro Email indesiderata in Outlook impostato su Nessun filtro automatico per evitare conflitti non necessari (positivi e negativi) con i verdetti di filtro della posta indesiderata da EOP. Per altre informazioni, vedere gli articoli seguenti:

Protezione da posta indesiderata, antimalware e anti-phishing in EOP

La protezione da posta indesiderata, antimalware e anti-phishing sono funzionalità EOP che possono essere configurate dagli amministratori. È consigliabile usare le configurazioni Standard o Strict seguenti.

Impostazioni dei criteri antimalware di EOP

Per creare e configurare criteri antimalware, vedere Configurare i criteri antimalware in EOP.

I criteri di quarantena definiscono le operazioni che gli utenti possono eseguire per mettere in quarantena i messaggi e se gli utenti ricevono notifiche di quarantena. Per altre informazioni, vedere Anatomia dei criteri di quarantena.

Il criterio denominato AdminOnlyAccessPolicy applica le funzionalità cronologiche per i messaggi messi in quarantena come malware, come descritto nella tabella qui.

Gli utenti non possono rilasciare i propri messaggi messi in quarantena come malware, indipendentemente dalla configurazione dei criteri di quarantena. Se i criteri consentono agli utenti di rilasciare i propri messaggi in quarantena, gli utenti possono invece richiedere il rilascio dei messaggi malware in quarantena.

Nome della funzionalità di sicurezza Impostazione predefinita Standard Strict Comment
Impostazioni di protezione
Abilitare il filtro degli allegati comuni (EnableFileFilter) Selezionato ($true)* Selezionato ($true) Selezionato ($true) Per l'elenco dei tipi di file nel filtro degli allegati comuni, vedere Filtro degli allegati comuni nei criteri antimalware.

* Il filtro degli allegati comuni è attivato per impostazione predefinita nei nuovi criteri antimalware creati nel portale di Defender o in PowerShell e nei criteri antimalware predefiniti nelle organizzazioni create dopo il 1° dicembre 2023.
Notifiche di filtro degli allegati comuni: quando vengono trovati questi tipi di file (FileTypeAction) Rifiutare il messaggio con un report di mancato recapito (NDR) (Reject) Rifiutare il messaggio con un report di mancato recapito (NDR) (Reject) Rifiutare il messaggio con un report di mancato recapito (NDR) (Reject)
Abilitare l'eliminazione automatica di zero ore per il malware (ZapEnabled) Selezionato ($true) Selezionato ($true) Selezionato ($true)
Criteri di quarantena (QuarantineTag) AdminOnlyAccessPolicy AdminOnlyAccessPolicy AdminOnlyAccessPolicy
notifiche Amministrazione
Notificare a un amministratore i messaggi non recapitati dai mittenti interni (EnableInternalSenderAdminNotifications e InternalSenderAdminAddress) Non selezionato ($false) Non selezionato ($false) Non selezionato ($false) Non è disponibile alcuna raccomandazione specifica per questa impostazione.
Notificare a un amministratore i messaggi non recapitati provenienti da mittenti esterni (EnableExternalSenderAdminNotifications e ExternalSenderAdminAddress) Non selezionato ($false) Non selezionato ($false) Non selezionato ($false) Non è disponibile alcuna raccomandazione specifica per questa impostazione.
Personalizzare le notifiche Non sono disponibili raccomandazioni specifiche per queste impostazioni.
Usare testo di notifica personalizzato (CustomNotifications) Non selezionato ($false) Non selezionato ($false) Non selezionato ($false)
Nome da (CustomFromName) Zero Zero Zero
Da indirizzo (CustomFromAddress) Zero Zero Zero
Personalizzare le notifiche per i messaggi provenienti da mittenti interni Queste impostazioni vengono usate solo se è selezionata l'opzione Notifica a un amministratore dei messaggi non recapitati provenienti da mittenti interni .
Oggetto (CustomInternalSubject) Zero Zero Zero
Message (CustomInternalBody) Zero Zero Zero
Personalizzare le notifiche per i messaggi provenienti da mittenti esterni Queste impostazioni vengono usate solo se è selezionata l'opzione Notifica a un amministratore dei messaggi non recapitati provenienti da mittenti esterni .
Oggetto (CustomExternalSubject) Zero Zero Zero
Message (CustomExternalBody) Zero Zero Zero

Impostazioni dei criteri di protezione dalla posta indesiderata di EOP

Per creare e configurare i criteri di protezione dalla posta indesiderata, vedere Configurare i criteri di protezione dalla posta indesiderata in EOP.

Quando si seleziona Messaggio di quarantena come azione per un verdetto del filtro della posta indesiderata, è disponibile una casella Seleziona criteri di quarantena . I criteri di quarantena definiscono le operazioni che gli utenti possono eseguire per mettere in quarantena i messaggi e se gli utenti ricevono notifiche di quarantena. Per altre informazioni, vedere Anatomia dei criteri di quarantena.

Se si modifica l'azione di un verdetto di filtro della posta indesiderata in Messaggio di quarantena quando si creano criteri di protezione dalla posta indesiderata nel portale di Defender, la casella Seleziona criteri di quarantena è vuota per impostazione predefinita. Un valore vuoto indica che vengono usati i criteri di quarantena predefiniti per il verdetto di filtro della posta indesiderata. Questi criteri di quarantena predefiniti applicano le funzionalità cronologiche per il verdetto del filtro della posta indesiderata che ha messo in quarantena il messaggio, come descritto nella tabella qui. Quando si visualizzano o modificano in un secondo momento le impostazioni dei criteri di protezione dalla posta indesiderata, viene visualizzato il nome del criterio di quarantena.

Gli amministratori possono creare o usare criteri di quarantena con funzionalità più restrittive o meno restrittive. Per istruzioni, vedere Creare criteri di quarantena nel portale di Microsoft Defender.

Nome della funzionalità di sicurezza Impostazione predefinita Standard Strict Comment
Soglia posta elettronica in blocco & proprietà della posta indesiderata
Soglia posta elettronica bulk (BulkThreshold) 7 6 5 Per informazioni dettagliate, vedere Livello di reclamo in blocco (BCL) in EOP.
Posta indesiderata di posta indesiderata in blocco (MarkAsSpamBulkMail) (On) (On) (On) Questa impostazione è disponibile solo in PowerShell.
Aumentare le impostazioni del punteggio di posta indesiderata Tutte queste impostazioni fanno parte di Advanced Spam Filter (ASF). Per altre informazioni, vedere la sezione Impostazioni asf nei criteri di protezione dalla posta indesiderata in questo articolo.
Contrassegna come impostazioni di posta indesiderata La maggior parte di queste impostazioni fa parte di ASF. Per altre informazioni, vedere la sezione Impostazioni asf nei criteri di protezione dalla posta indesiderata in questo articolo.
Contiene lingue specifiche (EnableLanguageBlockList e LanguageBlockList) Off ($false e Blank) Off ($false e Blank) Off ($false e Blank) Non è disponibile alcuna raccomandazione specifica per questa impostazione. È possibile bloccare i messaggi in lingue specifiche in base alle esigenze aziendali.
Da questi paesi (EnableRegionBlockList e RegionBlockList) Off ($false e Blank) Off ($false e Blank) Off ($false e Blank) Non è disponibile alcuna raccomandazione specifica per questa impostazione. È possibile bloccare i messaggi provenienti da paesi/aree geografiche specifici in base alle esigenze aziendali.
Modalità di test (TestModeAction) Nessuna Nessuna Nessuna Questa impostazione fa parte di ASF. Per altre informazioni, vedere la sezione Impostazioni asf nei criteri di protezione dalla posta indesiderata in questo articolo.
Azioni
Azione di rilevamento della posta indesiderata (SpamAction) Spostare il messaggio nella cartella Junk Email (MoveToJmf) Spostare il messaggio nella cartella Junk Email (MoveToJmf) Messaggio di quarantena (Quarantine)
Criteri di quarantena per posta indesiderata (SpamQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessPolicy DefaultFullAccessWithNotificationPolicy I criteri di quarantena sono significativi solo se i rilevamenti della posta indesiderata vengono messi in quarantena.
Azione di rilevamento della posta indesiderata con attendibilità elevata (HighConfidenceSpamAction) Spostare il messaggio nella cartella Junk Email (MoveToJmf) Messaggio di quarantena (Quarantine) Messaggio di quarantena (Quarantine)
Criteri di quarantena per la posta indesiderata con attendibilità elevata (HighConfidenceSpamQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessWithNotificationPolicy DefaultFullAccessWithNotificationPolicy I criteri di quarantena sono significativi solo se i rilevamenti di posta indesiderata con attendibilità elevata vengono messi in quarantena.
Azione di rilevamento del phishing (PhishSpamAction) Spostare il messaggio nella cartella Junk Email (MoveToJmf)* Messaggio di quarantena (Quarantine) Messaggio di quarantena (Quarantine) *Il valore predefinito è Spostare il messaggio nella cartella Posta indesiderata Email nei criteri di protezione dalla posta indesiderata predefiniti e nei nuovi criteri di protezione dalla posta indesiderata creati in PowerShell. Il valore predefinito è Messaggio di quarantena nei nuovi criteri di protezione dalla posta indesiderata creati nel portale di Defender.
Criteri di quarantena per il phishing (PhishQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessWithNotificationPolicy DefaultFullAccessWithNotificationPolicy I criteri di quarantena sono significativi solo se i rilevamenti di phishing vengono messi in quarantena.
Azione di rilevamento phishing con attendibilità elevata (HighConfidencePhishAction) Messaggio di quarantena (Quarantine) Messaggio di quarantena (Quarantine) Messaggio di quarantena (Quarantine) Gli utenti non possono rilasciare i propri messaggi messi in quarantena come phishing con attendibilità elevata, indipendentemente dalla configurazione dei criteri di quarantena. Se il criterio consente agli utenti di rilasciare i propri messaggi in quarantena, gli utenti possono invece richiedere il rilascio dei messaggi di phishing con attendibilità elevata in quarantena.
Criteri di quarantena per il phishing con attendibilità elevata (HighConfidencePhishQuarantineTag) AdminOnlyAccessPolicy AdminOnlyAccessPolicy AdminOnlyAccessPolicy
Livello di conformità bulk (BCL) soddisfatto o superato (BulkSpamAction) Spostare il messaggio nella cartella Junk Email (MoveToJmf) Spostare il messaggio nella cartella Junk Email (MoveToJmf) Messaggio di quarantena (Quarantine)
Criteri di quarantena per il livello di conformità bulk (BCL) soddisfatti o superati (BulkQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessPolicy DefaultFullAccessWithNotificationPolicy I criteri di quarantena sono significativi solo se i rilevamenti in blocco vengono messi in quarantena.
Messaggi all'interno dell'organizzazione su cui intervenire (IntraOrgFilterState) Impostazione predefinita (impostazione predefinita) Impostazione predefinita (impostazione predefinita) Impostazione predefinita (impostazione predefinita) Il valore Predefinito equivale alla selezione dei messaggi di phishing con attendibilità elevata. Attualmente, nelle organizzazioni governative degli Stati Uniti (Microsoft 365 GCC, GCC High e DoD), il valore Predefinito corrisponde alla selezione di Nessuno.
Mantenere la posta indesiderata in quarantena per molti giorni (QuarantineRetentionPeriod) 15 giorni 30 giorni 30 giorni Questo valore influisce anche sui messaggi messi in quarantena dai criteri anti-phishing. Per altre informazioni, vedere Conservazione della quarantena.
Abilitare i suggerimenti per la protezione dalla posta indesiderata (InlineSafetyTipsEnabled) Selezionato ($true) Selezionato ($true) Selezionato ($true)
Abilitare l'eliminazione automatica a zero ore (ZAP) per i messaggi di phishing (PhishZapEnabled) Selezionato ($true) Selezionato ($true) Selezionato ($true)
Abilitare ZAP per i messaggi di posta indesiderata (SpamZapEnabled) Selezionato ($true) Selezionato ($true) Selezionato ($true)
Consenti elenco di blocchi &
Mittenti consentiti (AllowedSenders) Nessuno Nessuno Nessuno
Domini mittente consentiti (AllowedSenderDomains) Nessuno Nessuno Nessuno L'aggiunta di domini all'elenco di domini consentiti è una pessima idea. Gli utenti malintenzionati potrebbero inviare messaggi di posta elettronica che altrimenti verrebbero filtrati.

Usare le informazioni dettagliate di intelligence sullo spoofing e l'elenco tenant consentiti/bloccati per esaminare tutti i mittenti che stanno spoofing gli indirizzi di posta elettronica del mittente nei domini di posta elettronica dell'organizzazione o lo spoofing degli indirizzi di posta elettronica del mittente in domini esterni.
Mittenti bloccati (BlockedSenders) Nessuno Nessuno Nessuno
Domini del mittente bloccati (BlockedSenderDomains) Nessuno Nessuno Nessuno

¹ Come descritto in Autorizzazioni di accesso completo e notifiche di quarantena, l'organizzazione potrebbe usare NotificationEnabledPolicy anziché DefaultFullAccessPolicy nei criteri di sicurezza predefiniti o nei nuovi criteri di sicurezza personalizzati creati. L'unica differenza tra questi due criteri di quarantena è che le notifiche di quarantena sono attivate in NotificationEnabledPolicy e disattivate in DefaultFullAccessPolicy.

Impostazioni asf nei criteri di protezione dalla posta indesiderata

Per altre informazioni sulle impostazioni asf (Advanced Spam Filter) nei criteri di protezione dalla posta indesiderata, vedere Impostazioni avanzate del filtro della posta indesiderata in EOP.

Nome della funzionalità di sicurezza Impostazione predefinita Consigliata
Standard
Consigliata
Strict
Comment
Collegamenti immagine a siti remoti (IncreaseScoreWithImageLinks) Off Disattivato Off
Indirizzo IP numerico nell'URL (IncreaseScoreWithNumericIps) Disattivato Off Disattivato
Reindirizzamento URL ad altra porta (IncreaseScoreWithRedirectToOtherPort) Off Disattivato Off
Collegamenti a siti Web .biz o .info (IncreaseScoreWithBizOrInfoUrls) Off Off Off
Messaggi vuoti (MarkAsSpamEmptyMessages) Off Off Off
Incorporare tag in HTML (MarkAsSpamEmbedTagsInHtml) Off Off Disattivato
JavaScript o VBScript in HTML (MarkAsSpamJavaScriptInHtml) Off Disattivato Disattivato
Tag modulo in HTML (MarkAsSpamFormTagsInHtml) Off Disattivato Off
Tag frame o iframe in HTML (MarkAsSpamFramesInHtml) Disattivato Off Disattivato
Bug Web in HTML (MarkAsSpamWebBugsInHtml) Off Disattivato Disattivato
Tag oggetto in HTML (MarkAsSpamObjectTagsInHtml) Disattivato Disattivato Disattivato
Parole riservate (MarkAsSpamSensitiveWordList) Disattivato Disattivato Disattivato
Record SPF: hard fail (MarkAsSpamSpfRecordHardFail) Off Off Off
Errore rigido del filtro id mittente (MarkAsSpamFromAddressAuthFail) Off Off Off
Backscatter (MarkAsSpamNdrBackscatter) Off Disattivato Disattivato
Modalità di test (TestModeAction) Nessuno Nessuno Nessuno Per le impostazioni ASF che supportano Test come azione, è possibile configurare l'azione della modalità di test su Nessuno, Aggiungi testo X-Header predefinito o Invia messaggio ccn (None, AddXHeadero BccMessage). Per altre informazioni, vedere Abilitare, disabilitare o testare le impostazioni ASF.

Nota

ASF aggiunge X-CustomSpam: campi X-header ai messaggi dopo che i messaggi sono stati elaborati dalle regole del flusso di posta di Exchange (note anche come regole di trasporto), quindi non è possibile usare le regole del flusso di posta per identificare e agire sui messaggi filtrati da ASF.

Impostazioni dei criteri di posta indesiderata in uscita di EOP

Per creare e configurare i criteri di posta indesiderata in uscita, vedere Configurare il filtro della posta indesiderata in uscita in EOP.

Per altre informazioni sui limiti di invio predefiniti nel servizio, vedere Limiti di invio.

Nota

I criteri di posta indesiderata in uscita non fanno parte dei criteri di sicurezza predefiniti Standard o Strict. I valori Standard e Strict indicano i valori consigliati nei criteri di posta indesiderata in uscita predefiniti o nei criteri di posta indesiderata in uscita personalizzati creati.

Nome della funzionalità di sicurezza Impostazione predefinita Consigliata
Standard
Consigliata
Strict
Comment
Impostare un limite di messaggi esterni (RecipientLimitExternalPerHour) 0 500 400 Il valore predefinito 0 indica l'uso delle impostazioni predefinite del servizio.
Impostare un limite di messaggi interno (RecipientLimitInternalPerHour) 0 1000 800 Il valore predefinito 0 indica l'uso delle impostazioni predefinite del servizio.
Impostare un limite di messaggi giornalieri (RecipientLimitPerDay) 0 1000 800 Il valore predefinito 0 indica l'uso delle impostazioni predefinite del servizio.
Restrizione posta agli utenti che raggiungono il limite di messaggi (ActionWhenThresholdReached) Limitare l'invio di messaggi di posta elettronica all'utente fino al giorno seguente (BlockUserForToday) Limitare l'invio di messaggi di posta elettronica all'utente (BlockUser) Limitare l'invio di messaggi di posta elettronica all'utente (BlockUser)
Regole di inoltro automatico (AutoForwardingMode) Automatico - Controllato dal sistema (Automatic) Automatico - Controllato dal sistema (Automatic) Automatico - Controllato dal sistema (Automatic)
Inviare una copia di messaggi in uscita che superano questi limiti a questi utenti e gruppi (BccSuspiciousOutboundMail e BccSuspiciousOutboundAdditionalRecipients) Non selezionato ($false e Vuoto) Non selezionato ($false e Vuoto) Non selezionato ($false e Vuoto) Non è disponibile alcuna raccomandazione specifica per questa impostazione.

Questa impostazione funziona solo nei criteri di posta indesiderata in uscita predefiniti. Non funziona nei criteri di posta indesiderata in uscita personalizzati creati dall'utente.
Notificare a questi utenti e gruppi se un mittente è bloccato a causa dell'invio di posta indesiderata in uscita (NotifyOutboundSpam e NotifyOutboundSpamRecipients) Non selezionato ($false e Vuoto) Non selezionato ($false e Vuoto) Non selezionato ($false e Vuoto) Il criterio di avviso predefinito denominato User restricted from sending email already send email notifications to the members of the TenantAdmins group (Global Administrator members) when users are blocked due to exceeding the limits in policy. È consigliabile usare i criteri di avviso anziché questa impostazione nei criteri di posta indesiderata in uscita per notificare agli amministratori e ad altri utenti. Per istruzioni, vedere Verificare le impostazioni di avviso per gli utenti con restrizioni.

Impostazioni dei criteri anti-phishing di EOP

Per altre informazioni su queste impostazioni, vedere Impostazioni spoofing. Per configurare queste impostazioni, vedere Configurare i criteri anti-phishing in EOP.

Le impostazioni di spoofing sono correlate, ma l'impostazione Mostra il primo suggerimento per la sicurezza del contatto non dipende dalle impostazioni di spoofing.

I criteri di quarantena definiscono le operazioni che gli utenti possono eseguire per mettere in quarantena i messaggi e se gli utenti ricevono notifiche di quarantena. Per altre informazioni, vedere Anatomia dei criteri di quarantena.

Anche se il valore Applica criterio di quarantena viene visualizzato non selezionato quando si creano criteri anti-phishing nel portale di Defender, il criterio di quarantena denominato DefaultFullAccessPolicy¹ viene usato se non si seleziona un criterio di quarantena. Questo criterio applica le funzionalità cronologiche per i messaggi messi in quarantena come spoof, come descritto nella tabella qui. Quando si visualizzano o modificano in un secondo momento le impostazioni dei criteri di quarantena, viene visualizzato il nome del criterio di quarantena.

Gli amministratori possono creare o usare criteri di quarantena con funzionalità più restrittive o meno restrittive. Per istruzioni, vedere Creare criteri di quarantena nel portale di Microsoft Defender.

Nome della funzionalità di sicurezza Impostazione predefinita Standard Strict Comment
Protezione & soglia di phishing
Abilitare lo spoof intelligence (EnableSpoofIntelligence) Selezionato ($true) Selezionato ($true) Selezionato ($true)
Azioni
Rispettare i criteri di record DMARC quando il messaggio viene rilevato come spoof (HonorDmarcPolicy) Selezionato ($true) Selezionato ($true) Selezionato ($true) Quando questa impostazione è attivata, si controlla cosa accade ai messaggi in cui il mittente non riesce a controllare esplicitamente DMARC quando l'azione dei criteri nel record TXT DMARC è impostata su p=quarantine o p=reject. Per altre informazioni, vedere Protezione spoofing e criteri DMARC del mittente.
Se il messaggio viene rilevato come spoofing e il criterio DMARC è impostato su p=quarantine (DmarcQuarantineAction) Mettere in quarantena il messaggio (Quarantine) Mettere in quarantena il messaggio (Quarantine) Mettere in quarantena il messaggio (Quarantine) Questa azione è significativa solo quando rispetta i criteri di record DMARC quando il messaggio viene rilevato come spoofing attivato.
Se il messaggio viene rilevato come spoofing e il criterio DMARC è impostato su p=reject (DmarcRejectAction) Rifiutare il messaggio (Reject) Rifiutare il messaggio (Reject) Rifiutare il messaggio (Reject) Questa azione è significativa solo quando rispetta i criteri di record DMARC quando il messaggio viene rilevato come spoofing attivato.
Se il messaggio viene rilevato come spoofing da spoof intelligence (AuthenticationFailAction) Spostare il messaggio nelle cartelle junk Email dei destinatari (MoveToJmf) Spostare il messaggio nelle cartelle junk Email dei destinatari (MoveToJmf) Mettere in quarantena il messaggio (Quarantine) Questa impostazione si applica ai mittenti contraffatti che sono stati bloccati automaticamente come illustrato nelle informazioni dettagliate sull'intelligence per lo spoofing o bloccati manualmente nell'elenco tenant consentiti/bloccati.

Se si seleziona Metti in quarantena il messaggio come azione per il verdetto di spoofing, è disponibile una casella Applica criteri di quarantena .
Criteri di quarantena per Spoof (SpoofQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessPolicy DefaultFullAccessWithNotificationPolicy I criteri di quarantena sono significativi solo se i rilevamenti di spoofing vengono messi in quarantena.
Mostra il suggerimento per la sicurezza del primo contatto (EnableFirstContactSafetyTips) Non selezionato ($false) Selezionato ($true) Selezionato ($true) Per altre informazioni, vedere Primo contatto suggerimento per la sicurezza.
Mostra (?) per mittenti non autenticati per spoof (EnableUnauthenticatedSender) Selezionato ($true) Selezionato ($true) Selezionato ($true) Aggiunge un punto interrogativo (?) alla foto del mittente in Outlook per mittenti spoofed non identificati. Per altre informazioni, vedere Indicatori del mittente non autenticati.
Mostra tag "via" (EnableViaTag) Selezionato ($true) Selezionato ($true) Selezionato ($true) Aggiunge un tag via (chris@contoso.com tramite fabrikam.com) all'indirizzo From se è diverso dal dominio nella firma DKIM o nell'indirizzo MAIL FROM .

Per altre informazioni, vedere Indicatori del mittente non autenticati.

¹ Come descritto in Autorizzazioni di accesso completo e notifiche di quarantena, l'organizzazione potrebbe usare NotificationEnabledPolicy anziché DefaultFullAccessPolicy nei criteri di sicurezza predefiniti o nei nuovi criteri di sicurezza personalizzati creati. L'unica differenza tra questi due criteri di quarantena è che le notifiche di quarantena sono attivate in NotificationEnabledPolicy e disattivate in DefaultFullAccessPolicy.

sicurezza Microsoft Defender per Office 365

Altri vantaggi per la sicurezza sono offerti da una sottoscrizione Microsoft Defender per Office 365. Per le ultime notizie e informazioni, è possibile vedere Novità di Defender per Office 365.

Importante

Se la sottoscrizione include Microsoft Defender per Office 365 o se è stato acquistato Defender per Office 365 come componente aggiuntivo, impostare le configurazioni Standard o Strict seguenti.

Impostazioni dei criteri anti-phishing in Microsoft Defender per Office 365

I clienti EOP ottengono l'anti-phishing di base come descritto in precedenza, ma Defender per Office 365 include più funzionalità e controllo per prevenire, rilevare e correggere gli attacchi. Per creare e configurare questi criteri, vedere Configurare i criteri anti-phishing in Defender per Office 365.

Impostazioni avanzate nei criteri anti-phishing in Microsoft Defender per Office 365

Per altre informazioni su questa impostazione, vedere Soglie di phishing avanzate nei criteri anti-phishing in Microsoft Defender per Office 365. Per configurare questa impostazione, vedere Configurare i criteri anti-phishing in Defender per Office 365.

Nome della funzionalità di sicurezza Impostazione predefinita Standard Strict Comment
Soglia di posta elettronica di phishing (PhishThresholdLevel) 1 - Standard (1) 3 - Più aggressivo (3) 4 - Più aggressivo (4)

Impostazioni di rappresentazione nei criteri anti-phishing in Microsoft Defender per Office 365

Per altre informazioni su queste impostazioni, vedere Impostazioni di rappresentazione nei criteri anti-phishing in Microsoft Defender per Office 365. Per configurare queste impostazioni, vedere Configurare i criteri anti-phishing in Defender per Office 365.

Quando si seleziona Metti in quarantena il messaggio come azione per un verdetto di rappresentazione, è disponibile una casella Applica criteri di quarantena . I criteri di quarantena definiscono le operazioni che gli utenti possono eseguire per mettere in quarantena i messaggi e se gli utenti ricevono notifiche di quarantena. Per altre informazioni, vedere Anatomia dei criteri di quarantena.

Anche se il valore Applica criterio di quarantena viene visualizzato non selezionato quando si creano criteri anti-phishing nel portale di Defender, il criterio di quarantena denominato DefaultFullAccessPolicy viene usato se non si seleziona un criterio di quarantena. Questo criterio applica le funzionalità cronologiche per i messaggi messi in quarantena come rappresentazione, come descritto nella tabella qui. Quando si visualizzano o modificano in un secondo momento le impostazioni dei criteri di quarantena, viene visualizzato il nome del criterio di quarantena.

Gli amministratori possono creare o usare criteri di quarantena con funzionalità più restrittive o meno restrittive. Per istruzioni, vedere Creare criteri di quarantena nel portale di Microsoft Defender.

Nome della funzionalità di sicurezza Impostazione predefinita Standard Strict Comment
Protezione & soglia di phishing
Protezione della rappresentazione utente: consente agli utenti di proteggere (EnableTargetedUserProtection e TargetedUsersToProtect) Non selezionato ($false e nessuno) Selezionato ($true e <elenco di utenti>) Selezionato ($true e <elenco di utenti>) È consigliabile aggiungere utenti (mittenti dei messaggi) nei ruoli chiave. Internamente, i mittenti protetti potrebbero essere il tuo CEO, CFO e altri leader senior. Esternamente, i mittenti protetti potrebbero includere membri del consiglio o il consiglio di amministrazione.
Protezione della rappresentazione del dominio: abilitare i domini per la protezione Opzione non selezionata Selezionato Selezionato
Includi i domini di cui sono proprietario (EnableOrganizationDomainsProtection) Disattivato ($false) Selezionato ($true) Selezionato ($true)
Includere domini personalizzati (EnableTargetedDomainsProtection e TargetedDomainsToProtect) Disattivato ($false e nessuno) Selezionato ($true e <elenco di domini>) Selezionato ($true e <elenco di domini>) È consigliabile aggiungere domini (domini mittente) che non si possiedono, ma con cui si interagisce spesso.
Aggiungere mittenti e domini attendibili (ExcludedSenders e ExcludedDomains) Nessuno Nessuno Nessuno A seconda dell'organizzazione, è consigliabile aggiungere mittenti o domini erroneamente identificati come tentativi di rappresentazione.
Abilitare l'intelligence per le cassette postali (EnableMailboxIntelligence) Selezionato ($true) Selezionato ($true) Selezionato ($true)
Abilitare l'intelligence per la protezione della rappresentazione (EnableMailboxIntelligenceProtection) Disattivato ($false) Selezionato ($true) Selezionato ($true) Questa impostazione consente l'azione specificata per i rilevamenti di rappresentazione in base all'intelligence per le cassette postali.
Azioni
Se viene rilevato un messaggio come rappresentazione utente (TargetedUserProtectionAction) Non applicare alcuna azione (NoAction) Mettere in quarantena il messaggio (Quarantine) Mettere in quarantena il messaggio (Quarantine)
Criteri di quarantena per la rappresentazione dell'utente (TargetedUserQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessWithNotificationPolicy DefaultFullAccessWithNotificationPolicy I criteri di quarantena sono significativi solo se i rilevamenti di rappresentazione utente vengono messi in quarantena.
Se viene rilevato un messaggio come rappresentazione del dominio (TargetedDomainProtectionAction) Non applicare alcuna azione (NoAction) Mettere in quarantena il messaggio (Quarantine) Mettere in quarantena il messaggio (Quarantine)
Criteri di quarantena per la rappresentazione del dominio (TargetedDomainQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessWithNotificationPolicy DefaultFullAccessWithNotificationPolicy I criteri di quarantena sono significativi solo se i rilevamenti di rappresentazione del dominio vengono messi in quarantena.
Se l'intelligence per le cassette postali rileva un utente rappresentato (MailboxIntelligenceProtectionAction) Non applicare alcuna azione (NoAction) Spostare il messaggio nelle cartelle junk Email dei destinatari (MoveToJmf) Mettere in quarantena il messaggio (Quarantine)
Criteri di quarantena per la rappresentazione dell'intelligence per le cassette postali (MailboxIntelligenceQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessPolicy DefaultFullAccessWithNotificationPolicy I criteri di quarantena sono significativi solo se i rilevamenti di intelligence delle cassette postali vengono messi in quarantena.
Mostra suggerimento di sicurezza per la rappresentazione utente (EnableSimilarUsersSafetyTips) Disattivato ($false) Selezionato ($true) Selezionato ($true)
Mostra suggerimento di sicurezza per la rappresentazione del dominio (EnableSimilarDomainsSafetyTips) Disattivato ($false) Selezionato ($true) Selezionato ($true)
Mostra descrizione di sicurezza dei caratteri insoliti per la rappresentazione utente (EnableUnusualCharactersSafetyTips) Disattivato ($false) Selezionato ($true) Selezionato ($true)

¹ Come descritto in Autorizzazioni di accesso completo e notifiche di quarantena, l'organizzazione potrebbe usare NotificationEnabledPolicy anziché DefaultFullAccessPolicy nei criteri di sicurezza predefiniti o nei nuovi criteri di sicurezza personalizzati creati. L'unica differenza tra questi due criteri di quarantena è che le notifiche di quarantena sono attivate in NotificationEnabledPolicy e disattivate in DefaultFullAccessPolicy.

Impostazioni dei criteri anti-phishing di EOP in Microsoft Defender per Office 365

Queste sono le stesse impostazioni disponibili nelle impostazioni dei criteri di protezione dalla posta indesiderata in EOP.

Impostazioni allegati sicuri

Allegati sicuri in Microsoft Defender per Office 365 include impostazioni globali che non hanno alcuna relazione con i criteri allegati sicuri e impostazioni specifiche per ogni criterio collegamenti sicuri. Per altre informazioni, vedere Allegati sicuri in Defender per Office 365.

Anche se non sono presenti criteri predefiniti per gli allegati sicuri, i criteri di sicurezza predefiniti per la protezione offrono protezione allegati sicuri a tutti i destinatari che non sono definiti nei criteri di sicurezza predefiniti Standard o Strict o nei criteri allegati sicuri personalizzati. Per altre informazioni, vedere Preimpostare i criteri di sicurezza in EOP e Microsoft Defender per Office 365.

Impostazioni globali per allegati sicuri

Nota

Le impostazioni globali per Allegati sicuri sono impostate dai criteri di sicurezza predefiniti del set di impostazioni di protezione , ma non dai criteri di sicurezza predefiniti Standard o Strict . In entrambi i casi, gli amministratori possono modificare queste impostazioni globali degli allegati sicuri in qualsiasi momento.

La colonna Default (Impostazione predefinita ) mostra i valori prima dell'esistenza dei criteri di sicurezza predefiniti del set di impostazioni di protezione . La colonna Protezione predefinita mostra i valori impostati dai criteri di sicurezza predefiniti, che sono anche i valori consigliati.

Per configurare queste impostazioni, vedere Attivare allegati sicuri per SharePoint, OneDrive e Microsoft Teams e Documenti sicuri in Microsoft 365 E5.

In PowerShell si usa il cmdlet Set-AtpPolicyForO365 per queste impostazioni.

Nome della funzionalità di sicurezza Impostazione predefinita Protezione predefinita Comment
Attivare Defender per Office 365 per SharePoint, OneDrive e Microsoft Teams (EnableATPForSPOTeamsODB) Disattivato ($false) Attivato ($true) Per impedire agli utenti di scaricare file dannosi, vedere Usare PowerShell di SharePoint Online per impedire agli utenti di scaricare file dannosi.
Attivare Documenti sicuri per i client di Office (EnableSafeDocs) Disattivato ($false) Attivato ($true) Questa funzionalità è disponibile e significativa solo con le licenze non incluse in Defender per Office 365 (ad esempio, Microsoft 365 A5 o Microsoft 365 E5 Security). Per altre informazioni, vedere Sicurezza documenti in Microsoft 365 A5 o E5 Security.
Consenti agli utenti di fare clic su Visualizzazione protetta anche se Documenti sicuri ha identificato il file come dannoso (AllowSafeDocsOpen) Disattivato ($false) Disattivato ($false) Questa impostazione è correlata a Documenti sicuri.

Impostazioni dei criteri Allegati sicuri

Per configurare queste impostazioni, vedere Configurare i criteri allegati sicuri in Defender per Office 365.

In PowerShell si usano i cmdlet New-SafeAttachmentPolicy e Set-SafeAttachmentPolicy per queste impostazioni.

Nota

Come descritto in precedenza, anche se non sono presenti criteri predefiniti per allegati sicuri , i criteri di sicurezza predefiniti offrono protezione allegati sicuri a tutti i destinatari che non sono definiti nei criteri di sicurezza predefiniti Standard, nei criteri di sicurezza predefiniti Strict o nei criteri allegati sicuri personalizzati.

La colonna Predefinita in personalizzata fa riferimento ai valori predefiniti nei nuovi criteri allegati sicuri creati. Le colonne rimanenti indicano (se non diversamente specificato) i valori configurati nei criteri di sicurezza predefiniti corrispondenti.

I criteri di quarantena definiscono le operazioni che gli utenti possono eseguire per mettere in quarantena i messaggi e se gli utenti ricevono notifiche di quarantena. Per altre informazioni, vedere Anatomia dei criteri di quarantena.

Il criterio denominato AdminOnlyAccessPolicy applica le funzionalità cronologiche per i messaggi messi in quarantena come malware, come descritto nella tabella qui.

Gli utenti non possono rilasciare i propri messaggi messi in quarantena come malware dagli allegati sicuri, indipendentemente dalla configurazione dei criteri di quarantena. Se i criteri consentono agli utenti di rilasciare i propri messaggi in quarantena, gli utenti possono invece richiedere il rilascio dei messaggi malware in quarantena.

Nome della funzionalità di sicurezza Impostazione predefinita in personalizzata Protezione predefinita Standard Strict Comment
Risposta malware sconosciuta degli allegati sicuri (abilita e azione) Off (-Enable $false e -Action Block) Blocco (-Enable $true e -Action Block) Blocco (-Enable $true e -Action Block) Blocco (-Enable $true e -Action Block) Quando il parametro Enable è $false, il valore del parametro Action non è importante.
Criteri di quarantena (QuarantineTag) AdminOnlyAccessPolicy AdminOnlyAccessPolicy AdminOnlyAccessPolicy AdminOnlyAccessPolicy
Allegato di reindirizzamento con allegati rilevati : abilita reindirizzamento (Redirect e RedirectAddress) Non selezionato e nessun indirizzo di posta elettronica specificato. (-Redirect $false e RedirectAddress è vuoto) Non selezionato e nessun indirizzo di posta elettronica specificato. (-Redirect $false e RedirectAddress è vuoto) Non selezionato e nessun indirizzo di posta elettronica specificato. (-Redirect $false e RedirectAddress è vuoto) Non selezionato e nessun indirizzo di posta elettronica specificato. (-Redirect $false e RedirectAddress è vuoto) Il reindirizzamento dei messaggi è disponibile solo quando il valore di risposta malware sconosciuto allegati sicuri è Monitoraggio (-Enable $true e -Action Allow).

Per altre informazioni sulla protezione dei collegamenti sicuri, vedere Collegamenti sicuri in Defender per Office 365.

Anche se non sono presenti criteri predefiniti per i collegamenti sicuri, i criteri di sicurezza predefiniti per la protezione offrono la protezione dei collegamenti sicuri a tutti i destinatari che non sono definiti nei criteri di sicurezza predefiniti Standard, nei criteri di sicurezza predefiniti Strict o nei criteri di collegamenti sicuri personalizzati. Per altre informazioni, vedere Preimpostare i criteri di sicurezza in EOP e Microsoft Defender per Office 365.

Per configurare le impostazioni dei criteri collegamenti sicuri, vedere Configurare i criteri di collegamenti sicuri in Microsoft Defender per Office 365.

In PowerShell si usano i cmdlet New-SafeLinksPolicy e Set-SafeLinksPolicy per le impostazioni dei criteri collegamenti sicuri.

Nota

La colonna Predefinita in personalizzata fa riferimento ai valori predefiniti nei nuovi criteri di collegamenti sicuri creati. Le colonne rimanenti indicano (se non diversamente specificato) i valori configurati nei criteri di sicurezza predefiniti corrispondenti.

Nome della funzionalità di sicurezza Impostazione predefinita in personalizzata Protezione predefinita Standard Strict Comment
URL & fare clic su impostazioni di protezione
Posta elettronica Le impostazioni in questa sezione influiscono sulla riscrittura dell'URL e sull'ora di protezione dei clic nei messaggi di posta elettronica.
Attivato: Collegamenti sicuri controlla un elenco di collegamenti dannosi noti quando gli utenti fanno clic sui collegamenti nella posta elettronica. Gli URL vengono riscritti per impostazione predefinita. (EnableSafeLinksForEmail) Selezionato ($true) Selezionato ($true) Selezionato ($true) Selezionato ($true)
Applicare collegamenti sicuri ai messaggi di posta elettronica inviati all'interno dell'organizzazione (EnableForInternalSenders) Selezionato ($true) Non selezionato ($false) Selezionato ($true) Selezionato ($true)
Applicare l'analisi degli URL in tempo reale per i collegamenti sospetti e i collegamenti che puntano ai file (ScanUrls) Selezionato ($true) Selezionato ($true) Selezionato ($true) Selezionato ($true)
Attendere il completamento dell'analisi degli URL prima di recapitare il messaggio (DeliverMessageAfterScan) Selezionato ($true) Selezionato ($true) Selezionato ($true) Selezionato ($true)
Non riscrivere gli URL, eseguire controlli solo tramite l'API Collegamenti sicuri (DisableURLRewrite) Selezionato ($false)* Selezionato ($true) Non selezionato ($false) Non selezionato ($false) * Nei nuovi criteri di collegamenti sicuri creati nel portale di Defender questa impostazione è selezionata per impostazione predefinita. Nei nuovi criteri di collegamenti sicuri creati in PowerShell, il valore predefinito del parametro DisableURLRewrite è $false.
Non riscrivere gli URL seguenti nella posta elettronica (DoNotRewriteUrls) Zero Zero Zero Zero Non è disponibile alcuna raccomandazione specifica per questa impostazione.

Nota: le voci nell'elenco "Non riscrivere gli URL seguenti" non vengono analizzate o sottoposte a wrapping da Collegamenti sicuri durante il flusso di posta. Segnalare l'URL man mano che è stato confermato che è pulito e quindi selezionare Consenti a questo URL di aggiungere una voce consenti all'elenco tenant consentiti/bloccati in modo che l'URL non venga analizzato o sottoposto a wrapping da Collegamenti sicuri durante il flusso di posta e al momento del clic. Per istruzioni, vedere Segnalare url validi a Microsoft.
Teams L'impostazione in questa sezione influisce sul tempo di protezione dei clic in Microsoft Teams.
On: Collegamenti sicuri controlla un elenco di collegamenti noti e dannosi quando gli utenti fa clic sui collegamenti in Microsoft Teams. Gli URL non vengono riscritti. (EnableSafeLinksForTeams) Selezionato ($true) Selezionato ($true) Selezionato ($true) Selezionato ($true)
app Office 365 L'impostazione in questa sezione influisce sul tempo di protezione dei clic nelle app di Office.
On: Collegamenti sicuri controlla un elenco di collegamenti noti e dannosi quando gli utenti fa clic sui collegamenti nelle app di Microsoft Office. Gli URL non vengono riscritti. (EnableSafeLinksForOffice) Selezionato ($true) Selezionato ($true) Selezionato ($true) Selezionato ($true) Usare collegamenti sicuri nelle app Office 365 desktop e per dispositivi mobili (iOS e Android) supportate. Per altre informazioni, vedere Impostazioni dei collegamenti sicuri per le app di Office.
Impostazioni di protezione dei clic
Tenere traccia dei clic degli utenti (TrackClicks) Selezionato ($true) Selezionato ($true) Selezionato ($true) Selezionato ($true)
Consentire agli utenti di fare clic sull'URL originale (AllowClickThrough) Selezionato ($false)* Selezionato ($true) Non selezionato ($false) Non selezionato ($false) * Nei nuovi criteri di collegamenti sicuri creati nel portale di Defender questa impostazione è selezionata per impostazione predefinita. Nei nuovi criteri di collegamenti sicuri creati in PowerShell, il valore predefinito del parametro AllowClickThrough è $false.
Visualizzare la personalizzazione dell'organizzazione nelle pagine di notifica e avviso (EnableOrganizationBranding) Non selezionato ($false) Non selezionato ($false) Non selezionato ($false) Non selezionato ($false) Non è disponibile alcuna raccomandazione specifica per questa impostazione.

Prima di attivare questa impostazione, è necessario seguire le istruzioni in Personalizzare il tema di Microsoft 365 per consentire all'organizzazione di caricare il logo aziendale.
Notifica
Come si desidera notificare agli utenti? (CustomNotificationText e UseTranslatedNotificationText) Usare il testo di notifica predefinito (Vuoto e $false) Usare il testo di notifica predefinito (Vuoto e $false) Usare il testo di notifica predefinito (Vuoto e $false) Usare il testo di notifica predefinito (Vuoto e $false) Non è disponibile alcuna raccomandazione specifica per questa impostazione.

È possibile selezionare Usa testo di notifica personalizzato (-CustomNotificationText "<Custom text>") per immettere e usare testo di notifica personalizzato. Se si specifica testo personalizzato, è anche possibile selezionare Usa Microsoft Translator per la localizzazione automatica (-UseTranslatedNotificationText $true) per tradurre automaticamente il testo nella lingua dell'utente.