Microsoft Defender for Office 365 の使用を開始する
Microsoft Defender for Office 365を持つ新しい Microsoft 365 組織 (アドオン サブスクリプションとして含まれるか) では、この記事では、Exchange Online Protection (EOP) とDefender for Office 365で実行する必要がある構成手順について説明します。organizationの最も早い日に。
Microsoft 365 organizationには、作成した時点からの既定のレベルの保護 (またはDefender for Office 365を追加) が含まれていますが、この記事の手順では、EOP とDefender for Office 365の完全な保護機能を引き出す実用的な計画を提供します。 手順を完了したら、この記事を使用して、Microsoft 365 への投資を最大化していることを管理に示すこともできます。
EOP とDefender for Office 365を構成する手順を次の図に示します。
ヒント
この記事のコンパニオンとして、ベスト プラクティスを確認し、メール、リンク、コラボレーションの脅威から保護するためのMicrosoft Defender for Office 365セットアップ ガイドを参照してください。 機能には、安全なリンク、安全な添付ファイルなどがあります。 環境に基づいてカスタマイズされたエクスペリエンスを実現するには、Microsoft 365 管理センターの自動セットアップ ガイドMicrosoft Defender for Office 365にアクセスできます。
要件
Email脅威保護機能は、EOP を介してクラウド メールボックスを使用するすべての Microsoft 365 サブスクリプションに含まれています。 Defender for Office 365には、追加の保護機能が含まれています。 EOP の機能、プラン 1 のDefender for Office 365、プラン 2 のDefender for Office 365の詳細な比較については、「Microsoft Defender for Office 365の概要」を参照してください。
ロールと権限
EOP とDefender for Office 365機能を構成するには、アクセス許可が必要です。 次の表に、この記事の手順を実行するために必要なアクセス許可の一覧を示します (1 つで十分です。それらすべては必要ありません)。
役割または役割グループ | 詳細情報 |
---|---|
Microsoft Entraのグローバル管理者* | 組み込みロールのMicrosoft Entra |
Email & コラボレーション ロール グループの組織の管理 | Microsoft Defender for Office 365の役割グループ |
Microsoft Entraのセキュリティ管理者 | 組み込みロールのMicrosoft Entra |
Email & コラボレーション ロール グループのセキュリティ管理者 | Microsoft Defender for Office 365でのコラボレーションのアクセス許可をEmail &する |
Exchange Online 組織の管理 | Exchange Online のアクセス許可 |
重要
* Microsoft では、アクセス許可が最も少ないロールを使用することをお勧めします。 アクセス許可の低いアカウントを使用すると、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急時に限定する必要があります。
手順 1: Microsoft 365 ドメインの電子メール認証を構成する
概要: すべてのカスタム Microsoft 365 ドメイン (パークされたドメインとサブドメインを含む) に対して SPF、 DKIM、 DMARC レコード (この順序で) を構成します。 必要に応じて、 信頼できる ARC シーラーを構成します。
詳細:
Email認証 (電子メール検証とも呼ばれます) は、電子メール メッセージが正当で変更されておらず、送信者の電子メール ドメインの想定されるソースから送信されていることを確認するための標準のグループです。 詳細については、「EOP での認証のEmail」を参照してください。
Microsoft 365 の 1 つ以上の カスタム ドメイン を電子メールに使用していることを前提に進みます (たとえば、contoso.com) ので、メールに使用しているカスタム ドメインごとに特定の電子メール認証 DNS レコードを作成する必要があります。
Microsoft 365 のメールに使用するカスタム ドメインごとに、DNS レジストラーまたは DNS ホスティング サービスで次の電子メール認証 DNS レコードを作成します。
Sender Policy Framework (SPF): SPF TXT レコードは、ドメイン内の送信者からの有効なメール ソースを識別します。 手順については、「 スプーフィングを防ぐために SPF を設定する」を参照してください。
DomainKeys Identified Mail (DKIM): DKIM は送信メッセージに署名し、メッセージ転送を存続させるメッセージ ヘッダーに署名を格納します。 手順については、「 DKIM を使用してカスタム ドメインから送信された送信メールを検証する」を参照してください。
ドメイン ベースのメッセージ認証、レポート、および準拠 (DMARC): DMARC は、SPF と DKIM のチェックに失敗したカスタム ドメインからのメッセージを宛先の電子メール サーバーが決定するのに役立ちます。 DMARC レコードには、DMARC ポリシー (
p=reject
またはp=quarantine
) と DMARC レポートの宛先 (集計レポートとフォレンジック レポート) を必ず含めます。 手順については、「 DMARC を使用して電子メールを検証する」を参照してください。認証済み受信チェーン (ARC): Microsoft 365 への配信前に転送中の 受信 メッセージを変更するサード パーティのサービスを使用する場合は、 サービスを信頼できる ARC シーラー (サポートしている場合) として識別できるため、変更されたメッセージは Microsoft 365 の電子メール認証チェックに自動的に失敗しません。 手順については、「 信頼できる ARC シーラーを構成する」を参照してください。
電子メールに *.onmicrosoft.com ドメイン (Microsoft Online Email ルーティング アドレスまたは MOERA ドメインとも呼ばれます) を使用している場合は、以下を実行する必要があります。
- SPF: SPF レコードは既に *.onmicrosoft.com ドメイン用に構成されています。
- DKIM: DKIM 署名は、*.onmicrosoft.com ドメインを使用して送信メール用に既に構成されていますが、 手動でカスタマイズすることもできます。
- DMARC: ここで説明するように、*.onmicrosoft.com ドメインの DMARC レコードを手動で設定する必要 があります。
手順 2: 保護ポリシーを構成する
概要: すべての受信者に対してStandardまたは厳格な事前設定されたセキュリティ ポリシーを有効にして使用します。 または、ビジネス ニーズに応じて、代わりにカスタム保護ポリシーを作成して使用しますが、構成アナライザーを使用して定期的にチェックします。
詳細:
ご想像のとおり、EOP とDefender for Office 365では、多くの保護ポリシーを使用できます。 保護ポリシーには、次の 3 つの基本的な種類があります。
既定のポリシー: これらのポリシーは、organizationが作成された時点から存在します。 organizationのすべての受信者に適用されます。ポリシーをオフにすることも、ポリシーを適用するユーザーを変更することもできません。 ただし、カスタム ポリシーと同様に、ポリシーのセキュリティ設定を変更できます。 既定のポリシーの設定については、「EOP と Microsoft Defender for Office 365 セキュリティの推奨設定」の表を参照してください。
事前設定されたセキュリティ ポリシー: 事前設定されたセキュリティは、実際には、EOP で使用可能な保護ポリシーの大部分を含むプロファイルであり、特定のレベルの保護に合わせて調整された設定を含むDefender for Office 365です。 事前設定されたセキュリティ ポリシーは次のとおりです。
- 厳密な事前設定されたセキュリティ ポリシー。
- Standard事前設定されたセキュリティ ポリシー。
- 組み込みの保護。
Standardと厳密な事前設定されたセキュリティ ポリシーは、オンになるまで既定でオフになります。 EOP 保護機能とStandardおよび厳密な事前設定されたセキュリティ ポリシー内のDefender for Office 365保護機能に対して、受信者の条件と例外 (ユーザー、グループ メンバー、ドメイン、またはすべての受信者) を指定します。
Defender for Office 365の組み込み保護は、すべての受信者に基本的な安全な添付ファイルと安全なリンク保護を提供するために既定でオンになっています。 受信者の例外を指定して、保護を受けないユーザーを特定できます。
Defender for Office 365組織のStandardおよび厳密な事前設定されたセキュリティ ポリシーでは、ユーザーとドメインの偽装保護に関するエントリとオプションの例外を構成する必要があります。 その他の設定はすべて、推奨される標準値と厳密な値にロックされています (その多くは同じです)。 Standardと Strict の値は、「EOP と Microsoft Defender for Office 365 セキュリティの推奨設定」の表に表示され、Standardと Strict の違いを確認できます。
新しい保護機能が EOP とDefender for Office 365に追加され、セキュリティ環境が変化すると、事前設定されたセキュリティ ポリシーの設定が推奨設定に自動的に更新されます。
カスタム ポリシー: 使用可能なほとんどの保護ポリシーでは、任意の数のカスタム ポリシーを作成できます。 受信者の条件と例外 (ユーザー、グループ メンバー、またはドメイン) を使用してユーザーにポリシーを適用し、設定をカスタマイズできます。
前の情報と関連する保護ポリシーを次の表にまとめます。
既定のポリシー | 事前設定されたセキュリティ ポリシー | カスタム ポリシー | |
---|---|---|---|
EOP 保護ポリシー: | |||
マルウェア対策 | ✔ | ✔ | ✔ |
スパム対策 | ✔ | ✔ | ✔ |
フィッシング対策 (なりすまし保護) | ✔ | ✔ | ✔ |
送信スパム | ✔ | ✔ | |
接続フィルター | ✔¹ | ||
Defender for Office 365 ポリシー: | |||
フィッシング対策 (スプーフィング保護) に加えて、次の手順を実行します。 | ✔² | ✔² | ✔ |
リンク保護 | ³ | ✔ | ✔ |
添付ファイル保護 | ³ | ✔ | ✔ |
一般的な動作 | |||
既定で保護がオンになっていますか? | ✔ | ⁴ | |
保護の条件/例外を構成しますか? | ✔⁵ | ✔ | |
セキュリティ設定をカスタマイズしますか? | ✔ | ⁶ | ✔ |
保護設定が自動的に更新されますか? | ✔ |
¹ IP 許可リストまたは IP ブロック リストには既定のエントリがないため、設定をカスタマイズしない限り、既定の接続フィルター ポリシーは実質的に何も行いません。
² ユーザーの偽装またはドメイン偽装保護のエントリまたは省略可能な例外は、構成するまでDefender for Office 365にありません。
² Defender for Office 365には既定の安全な添付ファイルまたは安全なリンク ポリシーはありませんが、組み込みの保護では、常にオンになっている基本的な安全な添付ファイルと安全なリンク保護が提供されます。
⁴ 組み込みの保護 (Defender for Office 365の安全な添付ファイルと安全なリンク保護) は、既定でオンになっている唯一の事前設定されたセキュリティ ポリシーです。
⁵ Standardと厳密な事前設定されたセキュリティ ポリシーの場合は、EOP とDefender for Office 365保護の個別の受信者条件とオプションの例外を構成できます。 Defender for Office 365の組み込み保護では、保護からの受信者の例外のみを構成できます。
⁶ 事前設定されたセキュリティ ポリシーのカスタマイズ可能なセキュリティ設定は、Standardのユーザー偽装保護とドメイン偽装保護のエントリとオプションの例外と、Defender for Office 365の厳密な事前設定されたセキュリティ ポリシーのみです。
保護ポリシーの優先順位
保護ポリシーの適用方法は、ユーザーのセキュリティ設定を構成する方法を決定する際に重要な考慮事項です。 覚えておくべき重要なポイントは次のとおりです。
- 保護機能には、構成できない 処理順序があります。 たとえば、受信メッセージは常に、スパムの前にマルウェアに対して評価されます。
- 特定の機能 (スパム対策、マルウェア対策、フィッシング対策など) の保護ポリシーは、特定の優先順位で適用されます (優先順位の詳細については後で説明します)。
- ユーザーが特定の機能の複数のポリシーに意図的または意図せずに含まれている場合、ユーザーが定義されているその機能の最初の保護ポリシー (優先順位に基づいて) によって、アイテムの動作 (メッセージ、ファイル、URL など) が決まります。
- その最初の保護ポリシーがユーザーの特定の項目に適用されると、その機能のポリシー処理は停止します。 そのユーザーとその特定のアイテムに対して、その機能の保護ポリシーが評価されなくなります。
優先順位については、「 事前設定されたセキュリティ ポリシーやその他のポリシーの優先順位」で詳しく説明しますが、簡単に要約します。
- 事前設定されたセキュリティ ポリシーの保護ポリシー:
- 厳密な事前設定されたセキュリティ ポリシー。
- Standard事前設定されたセキュリティ ポリシー。
- 特定の機能のカスタム保護ポリシー (マルウェア対策ポリシーなど)。 各カスタム ポリシーには、同じ機能の他の保護ポリシーに関連してポリシーを適用する順序を決定する優先順位の値があります。
- 優先度の値が 0 のカスタム ポリシー。
- 優先度の値が 1 のカスタム ポリシー。
- などなど。
- 特定の機能 (マルウェア対策など) またはDefender for Office 365の組み込み保護 (安全なリンクと安全な添付ファイル) の既定の保護ポリシー。
前の表を参照して、特定の保護ポリシーが優先順位でどのように表されるかを確認してください。 たとえば、マルウェア対策ポリシーは各レベルに存在します。 送信スパム ポリシーは、カスタム ポリシーと既定のポリシー レベルで使用できます。 接続フィルター ポリシーは、既定のポリシー レベルでのみ使用できます。
混乱や意図しないポリシーの適用を回避するには、次のガイドラインを使用します。
- 各レベルで明確なグループまたは受信者のリストを使用します。 たとえば、Standardと厳密な事前設定されたセキュリティ ポリシーに対して、さまざまなグループまたは受信者のリストを使用します。
- 必要に応じて、各レベルで例外を構成します。 たとえば、カスタム ポリシーを必要とする受信者を、Standardと厳密な事前設定されたセキュリティ ポリシーの例外として構成します。
- 上位レベルで識別されない残りの受信者は、既定のポリシーまたはDefender for Office 365の組み込み保護 (安全なリンクと安全な添付ファイル) を取得します。
この情報を使用して、organizationで保護ポリシーを実装する最善の方法を決定できます。
保護ポリシー戦略を決定する
さまざまな種類の保護ポリシーとその適用方法について理解したら、EOP とDefender for Office 365を使用してorganization内のユーザーを保護する方法を決定できます。 お客様の決定は、必然的に次の範囲のどこかに収まります。
- Standard事前設定されたセキュリティ ポリシーのみを使用します。
- Standardと厳密な事前設定されたセキュリティ ポリシーを使用します。
- 事前設定されたセキュリティ ポリシーとカスタム ポリシーを使用します。
- カスタム ポリシーのみを使用します。
既定のポリシー (およびDefender for Office 365の組み込み保護) は、organization内のすべての受信者 (Standardまたは厳密な事前設定されたセキュリティ ポリシーまたはカスタム ポリシーで定義されていないすべてのユーザー) を自動的に保護します。 そのため、何も行わない場合でも、organizationのすべての受信者は、「EOP とセキュリティの推奨設定」で説明されているように、既定の保護Microsoft Defender for Office 365取得します。
また、最初の決定に永遠にロックされていないことを認識することも重要です。 推奨される設定テーブルの情報と、Standardと Strict の比較テーブルを使用すると、情報に基づいた意思決定を行うことができます。 しかし、ニーズ、結果、状況が変化した場合、後で別の戦略に切り替えるのは難しいわけではありません。
それ以外の場合を示す説得力のあるビジネスニーズがなければ、organization内のすべてのユーザーに対してStandardの事前設定されたセキュリティ ポリシーから開始することをお勧めします。 事前設定されたセキュリティ ポリシーは、Microsoft 365 データセンターでの長年の観察に基づいて設定が構成されており、大多数の組織にとって適切な選択である必要があります。 また、ポリシーは、セキュリティ環境の脅威に合わせて自動的に更新されます。
事前設定されたセキュリティ ポリシーでは、[すべての受信者] オプションを選択すると、organization内のすべての受信者に保護を簡単に適用できます。
一部のユーザーを Strict プリセット セキュリティ ポリシーに含め、残りのユーザーを Standard プリセット セキュリティ ポリシーに含める場合は、この記事で前述した優先順位を次の方法で考慮してください。
各事前設定されたセキュリティ ポリシーで、明確なグループまたは受信者のリストを使用します。
または
厳密な事前設定されたセキュリティ ポリシーで、Standardの事前設定されたセキュリティ ポリシーの設定を例外として取得する受信者を構成します。
次の保護機能の構成は、事前設定されたセキュリティ ポリシーの影響を受けません (事前設定されたセキュリティ ポリシーを使用して、これらの保護設定を個別に構成することもできます)。
- 送信スパム ポリシー (カスタムと既定)
- 既定の接続フィルター ポリシー (IP 許可リストと IP ブロック リスト)
- SharePoint、OneDrive、Microsoft Teamsの安全な添付ファイルをグローバルに有効にする
- 安全なドキュメントをグローバルに有効にして構成する (Defender for Office 365に含まれていないライセンス (Microsoft 365 A5やMicrosoft 365 E5 Securityなど) でのみ使用可能で意味があります)
事前設定されたセキュリティ ポリシーを有効にして構成するには、「EOP とMicrosoft Defender for Office 365でセキュリティ ポリシーを事前設定する」を参照してください。
事前設定されたセキュリティ ポリシーの代わりに、または事前設定されたセキュリティ ポリシーに加えてカスタム ポリシーを使用する決定は、最終的には次のビジネス要件に従います。
- ユーザーは、事前設定されたセキュリティ ポリシーの変更できない設定とは 異なる セキュリティ設定 (迷惑メールと検疫、またはその逆、安全に関するヒントなし、カスタム受信者への通知など) が必要です。
- ユーザーには、事前設定されたセキュリティ ポリシーで 構成されていない 設定が必要です (たとえば、特定の国からのメールやスパム対策ポリシーの特定の言語でのメールのブロックなど)。
- ユーザーには、事前設定されたセキュリティ ポリシーの変更できない設定とは異なる 検疫エクスペリエンス が必要です。 検疫ポリシーでは、 メッセージが検疫された理由と、検疫されたメッセージについて受信者に通知されるかどうかに基づいて、検疫されたメッセージに対してユーザーが実行できる操作を定義します。 ここでは、既定のエンド ユーザー検疫エクスペリエンスを表にまとめ、Standardおよび厳密な事前設定されたセキュリティ ポリシーで使用される検疫ポリシーについては、こちらの表を参照してください。
「EOP と Microsoft Defender for Office 365 セキュリティの推奨設定」の情報を使用して、カスタム ポリシーまたは既定のポリシーで使用可能な設定と、Standardおよび厳密な事前設定されたセキュリティ ポリシーで構成されているものを比較します。
特定の機能 (マルウェア対策ポリシーなど) に関する複数のカスタム ポリシーの設計ガイドラインには、次のようなものがあります。
- カスタム ポリシーのユーザーは、優先順位が高いため、Standardまたは厳密な事前設定されたセキュリティ ポリシーに含めることはできません。
- 優先度の高いポリシーに割り当てるユーザー数を減らし、優先度の低いポリシーに割り当てるユーザーを増やします。
- 優先度の高いポリシーを構成して、優先順位の低いポリシー (既定のポリシーを含む) よりも厳密または特殊化された設定を設定します。
カスタム ポリシーを使用する場合は、構成アナライザーを使用して、ポリシーの設定を、Standardおよび Strict プリセット セキュリティ ポリシーの推奨設定と定期的に比較します。
手順 3: 管理者にアクセス許可を割り当てる
概要: Microsoft Entraのセキュリティ管理者ロールを他の管理者、スペシャリスト、ヘルプ デスク担当者に割り当てて、EOP とDefender for Office 365でタスクを実行できるようにします。
詳細:
Microsoft 365 への登録に使用した初期アカウントを既に使用して、この展開ガイドのすべての作業を行っている可能性があります。 このアカウントは、Microsoft 365 のあらゆる場所 (具体的には、Microsoft Entraのグローバル管理者ロールのメンバー) の管理者であり、ほとんど何でもできます。 必要なアクセス許可については、この記事の「 ロールとアクセス許可」で説明しました。
ただし、この手順の目的は、今後の EOP とDefender for Office 365の機能の管理に役立つ他の管理者を構成することです。 あなたが望まないのは、それを必要としないグローバル管理者の権限を持つ多くの人々です。 たとえば、アカウントを削除または作成したり、他のユーザーをグローバル管理者にする必要はありますか? 最小限の特権 (ジョブを実行するために必要なアクセス許可のみを割り当て、それ以上何も割り当てない) という概念に従うことをお勧めします。
EOP とDefender for Office 365のタスクにアクセス許可を割り当てる場合は、次のオプションを使用できます。
- Microsoft Entraアクセス許可: これらのアクセス許可は、Microsoft 365 のすべてのワークロード (Exchange Online、SharePoint Online、Microsoft Teamsなど) に適用されます。
- Exchange Onlineアクセス許可: EOP とDefender for Office 365のほとんどのタスクは、Exchange Onlineアクセス許可を使用して使用できます。 Exchange Onlineでのみアクセス許可を割り当てると、他の Microsoft 365 ワークロードでの管理アクセスが禁止されます。
- Microsoft Defender ポータルでのEmail &コラボレーションのアクセス許可: EOP とDefender for Office 365の一部のセキュリティ機能の管理は、Email &コラボレーションのアクセス許可を使用して使用できます。 以下に例を示します。
わかりやすくするために、EOP とDefender for Office 365で設定を構成する必要がある他のユーザーには、Microsoft Entraのセキュリティ管理者ロールを使用することをお勧めします。
手順については、「Microsoft Entra ロールをユーザーに割り当てる」および「Microsoft Entra グローバル ロールを使用してMicrosoft Defender XDRへのアクセスを管理する」を参照してください。
手順 4: 優先度の高いアカウントとユーザー タグ
概要: organization内の適切なユーザーを特定し、優先度アカウントとしてタグ付けして、レポートや調査の識別を容易にし、Defender for Office 365で優先アカウント保護を受け取ります。 Defender for Office 365プラン 2 でカスタム ユーザー タグを作成して適用することを検討してください。
詳細:
Defender for Office 365では、優先度アカウントを使用すると、レポートや調査で識別しやすくするために、最大 250 人の高価値ユーザーにタグを付けることができます。 これらの優先アカウントには、通常の従業員にはメリットのない追加のヒューリスティックも含まれます。 詳細については、「優先度アカウントの管理と監視」と「Microsoft Defender for Office 365での優先度アカウント保護の構成と確認」を参照してください。
Defender for Office 365プラン 2 では、カスタム ユーザー タグを作成して適用して、レポートや調査で特定のユーザー グループを簡単に識別することもできます。 詳細については、「Microsoft Defender for Office 365 のユーザー タグ」を参照してください。
優先度アカウントとしてタグ付けする適切なユーザーを特定し、カスタム ユーザー タグを作成して適用する必要があるかどうかを判断します。
手順 5: ユーザーが報告したメッセージ設定を確認して構成する
概要: レポート メッセージまたはレポート フィッシング アドインまたはサポートされているサード パーティ製ツールを展開して、ユーザーが Outlook で誤検知や誤検知を報告できるようにし、報告されたメッセージを Defender ポータルの [申請] ページの [ユーザーから報告] タブで管理者が使用できるようにします。 報告されたメッセージが指定されたレポート メールボックス、Microsoft、またはその両方に送信されるように、organizationを構成します。
詳細:
ユーザーが、EOP とDefender for Office 365の保護設定を監視および調整するには、不適切 (誤検知) または許可されている不適切なメッセージ (偽陰性) としてマークされた適切なメッセージを報告する機能が重要です。
ユーザー メッセージ レポートの重要な部分は次のとおりです。
ユーザーがメッセージを報告する方法: クライアントが次のいずれかの方法を使用していることを確認して、報告されたメッセージが、https://security.microsoft.com/reportsubmission?viewid=userの Defender ポータルの [申請] ページの [ユーザーから報告された] タブに表示されるようにします。
Outlook on the web (旧称 Outlook Web App または OWA) の組み込みレポート ボタン。
Outlook とOutlook on the web用の Microsoft Report Message または Report フィッシング アドイン。
サポートされているメッセージ送信形式を使用するサード パーティのレポート ツール。
ユーザーが報告したメッセージの移動先: 次のオプションがあります。
- 指定されたレポート メールボックスと Microsoft の場合 (既定値)。
- 指定されたレポート メールボックスにのみ。
- Microsoft のみ。
ユーザーが報告したメッセージを収集するために使用される既定のメールボックスは、グローバル管理者のメールボックス (organizationの初期アカウント) です。 ユーザーが報告したメッセージをorganizationのレポート メールボックスに移動する場合は、使用する排他的メールボックスを作成して構成する必要があります。
ユーザーが報告したメッセージを分析のために Microsoft に送信するか (指定されたレポート メールボックスへの配信と共に) 行うかは、ユーザーの責任です。
ユーザーが報告したメッセージを指定されたレポート メールボックスにのみ送信する場合、管理者は手動で、ユーザーが報告したメッセージを Microsoft に送信して、https://security.microsoft.com/reportsubmission?viewid=userの Defender ポータルの [申請] ページの [ユーザーから報告された] タブから分析する必要があります。
ユーザーから報告されたメッセージを Microsoft に送信することは、フィルターが学習および改善できるようにするために重要です。
ユーザーが報告したメッセージ設定の詳細については、「 ユーザーが報告した設定」を参照してください。
手順 6: エントリをブロックして許可する
概要: Defender for Office 365でメッセージ、ファイル、URL をブロックおよび許可する手順について理解します。
詳細:
Defender ポータルの次の場所でメッセージの送信者、ファイル、URL をブロックおよび (一時的に) 許可する方法について理解する必要があります。
- [ テナントの許可/ブロック] リスト ( https://security.microsoft.com/tenantAllowBlockList)。
- https://security.microsoft.com/reportsubmission の [申請] ページ。
- https://security.microsoft.com/spoofintelligenceのスプーフィング インテリジェンス分析情報ページ。
一般に、不要な許可エントリは、システムによってフィルター処理された悪意のある電子メールにorganizationを公開するため、許可するよりもブロックを作成する方が簡単です。
ブロック:
[テナントの許可/ブロックリスト] の対応するタブで、 ドメインとメール アドレス、 ファイル、 URL の ブロック エントリを作成し、[申請] ページから分析のためにアイテムを Microsoft に 送信 できます。 Microsoft にアイテムを送信すると、対応するブロック エントリもテナント許可/ブロック リストに作成されます。
ヒント
また、organizationのユーザーは、テナント許可/ブロック リストのブロック エントリで指定されているドメインまたは電子メール アドレスに電子メールを送信することもできません。
スプーフィング インテリジェンスによってブロックされたメッセージは、[スプーフィング インテリジェンス] ページに表示されます。 許可エントリをブロック エントリに変更すると、送信者はテナント許可/ブロック リストの [ なりすまし送信者 ] タブの手動ブロック エントリになります。 [ なりすまし 送信者] タブで、まだ見つからないなりすまし送信者のブロック エントリを事前に作成することもできます。
許可:
ドメインとメール アドレス、ファイル、URL の許可エントリをテナント許可/ブロック リストの対応するタブに直接作成することはできません。 代わりに、[ 申請] ページを 使用してアイテムを Microsoft に報告します。 Microsoft にアイテムを報告するときに、アイテムを許可するように選択できます。これにより、対応する一時的な許可エントリが [テナントの許可/ブロック] リストに作成されます。
スプーフィング インテリジェンスによって許可されるメッセージは、[スプーフィング インテリジェンス] ページに表示されます。 ブロックエントリを許可エントリに変更すると、送信者はテナント許可/ブロックリストの [ スプーフィングされた送信者 ] タブの手動許可エントリになります。 [ なりすまし 送信者] タブで、まだ見つからないなりすまし送信者の許可エントリを事前に作成することもできます。
詳細については、次の記事を参照してください。
- テナント許可/禁止リストを使用して URL を許可または禁止する
- テナント許可/禁止リストを使用してファイルを許可またはブロックする
- テナント許可/禁止リストを使用して URL を許可またはブロックする
- [申請] ページを使用して、疑わしいスパム、フィッシング、URL、正当なメールの受信がブロックされ、電子メールの添付ファイルを Microsoft に送信します
- スプーフィング インテリジェンスの判定をオーバーライドする
手順 7: 攻撃シミュレーション トレーニングを使用してフィッシング シミュレーションを起動する
Defender for Office 365プラン 2 では、攻撃シミュレーション トレーニングを使用すると、シミュレートされたフィッシング メッセージをユーザーに送信し、応答方法に基づいてトレーニングを割り当てることができます。 次のオプションを利用できます。
- 組み込みペイロードまたはカスタム ペイロードを使用した個々のシミュレーション。
- 複数のペイロードと自動スケジューリングを使用して、実際のフィッシング攻撃から得られたシミュレーションの自動化。
- キャンペーンを 開始する必要がなく、ユーザーがリンクをクリックしたり、シミュレートされたフィッシング メッセージの添付ファイルをダウンロードするのを待ってからトレーニングが割り当てられるトレーニング専用キャンペーンです。
詳細については、「攻撃シミュレーション トレーニングの使用を開始する」を参照してください。
手順 8: 調査して対応する
最初の設定が完了したら、Microsoft Defender for Office 365セキュリティ運用ガイドの情報を使用して、organizationの脅威を監視および調査します。