Попробуйте Microsoft Defender для Office 365

Как существующий клиент Microsoft 365, страницы пробных версий и оценки на портале https://security.microsoft.com Microsoft Defender позволяют вам попробовать функции Microsoft Defender для Office 365 план 2 перед покупкой.

Прежде чем использовать Defender для Office 365 плана 2, необходимо задать себе несколько ключевых вопросов:

  • Хочу ли я пассивно отслеживать, что может делать Defender для Office 365 Plan 2 (аудит)?
  • Хочу ли я, чтобы Defender для Office 365 (план 2) напрямую принимал меры в отношении обнаруженных проблем (блокировать)?
  • В любом случае, как мне узнать, какую пользу мне приносит Defender для Office 365 (план 2)?
  • Сколько у меня есть времени до того, как потребуется принять решение, сохранять ли Defender для Office 365, план 2?

Эта статья поможет вам ответить на эти вопросы, чтобы вы могли опробовать Defender для Office 365, план 2, таким образом, чтобы он наилучшим образом соответствовал потребностям вашей организации.

Дополнительные инструкции по использованию пробной версии см. в статье Руководство пользователя пробной версии: Microsoft Defender для Office 365.

Примечание.

Пробные версии и ознакомительные оценки Defender для Office 365 недоступны в организациях государственных учреждений США (Microsoft 365 GCC, GCC High и DoD), а также в организациях Microsoft 365 для образовательных учреждений.

Обзор Defender для Office 365

Defender для Office 365 помогает организациям защитить свое предприятие, предлагая полный список возможностей. Дополнительные сведения см. в разделе Microsoft Defender для Office 365.

Дополнительные сведения о Defender для Office 365 см. в этом интерактивном руководстве по Microsoft Defender для Office 365.

Концептуальная схема Microsoft Defender для Office 365.

Просмотрите это короткое видео, чтобы узнать больше о том, как можно сделать больше за меньшее время с помощью Microsoft Defender для Office 365.

Сведения о ценах см. в разделе Microsoft Defender для Office 365.

Как работают пробные версии и оценки для Defender для Office 365

Политики

Defender для Office 365 включает встроенные функции безопасности для всех облачных почтовых ящиков, а также функции, эксклюзивные для Defender для Office 365.

Функции защиты электронной почты и совместной работы в Microsoft 365 реализуются с помощью политик. Политики, доступные только в Defender для Office 365, создаются для вас по мере необходимости:

Ваше право на оценку или пробную версию означает, что у вас уже есть облачные почтовые ящики в Microsoft 365, поэтому существующие политики угроз по-прежнему могут действовать с сообщениями (например, отправлять сообщения в папку "Нежелательная Email" или в карантин).

Политики угроз по умолчанию для этих функций всегда включены, применяются ко всем получателям и всегда применяются после всех пользовательских политик угроз.

Режим аудита и режим блокировки для Defender для Office 365

Вы хотите, чтобы ваш интерфейс Defender для Office 365 был активным или пассивным? Доступны перечисленные ниже режимы.

  • Режим аудита: создаются специальные политики анализа для защиты от фишинга (включая защиту от выдачи себя за другое лицо), функции «Безопасные вложения» и функции «Безопасные ссылки». Эти политики оценки настроены только для обнаружения угроз. Defender для Office 365 обнаруживает вредоносные сообщения для отчетов, но сообщения не обрабатываются (например, обнаруженные сообщения не помещаются в карантин). Параметры этих политик оценки описаны в политиках в режиме аудита.

    Примечание.

    Следующие функции защиты включены по умолчанию и могут выполнять действия с элементами даже в режиме аудита:

    Вы также можете выборочно включить или отключить защиту от фишинга (подмена и выдача себя за другое лицо), защиту Safe Links и защиту Safe Attachments. Инструкции см. в разделе Управление параметрами оценки.

    Режим аудита предоставляет специализированные отчеты об угрозах, обнаруженных политиками оценки на странице оценки Microsoft Defender для Office 365 по адресу https://security.microsoft.com/atpEvaluation. Отчеты об оценке режима аудита описаны в отчетах для режима аудита.

  • Режим блокировки. Шаблон Standard для предустановленных политик безопасности включается и используется для пробной версии, а пользователи, которые вы указали для включения в пробную версию, добавляются в предустановленную политику безопасности Standard. Defender для Office 365 обнаруживает и принимает меры для вредоносных сообщений (например, обнаруженные сообщения помещаются в карантин).

    По умолчанию рекомендуется применять политики Defender для Office 365 ко всем пользователям организации. Но во время или после настройки пробной версии вы можете изменить назначение политики для определенных пользователей, групп или доменов электронной почты на портале Microsoft Defender или в Exchange Online PowerShell.

    Стандартные отчеты и функции расследования в Defender для Office 365 (план 2) содержат сведения об угрозах, обнаруженных в Defender для Office 365. Отчеты и функции исследования, используемые в режиме блокировки, описаны в отчетах для режима блокировки.

Основные факторы, определяющие доступные режимы:

  • Независимо от того, используете ли вы Defender для Office 365 (план 1 или план 2), как описано в разделе Оценка и пробная версия Для Defender для Office 365.

  • Как электронная почта доставляется в вашу организацию Microsoft 365. Рассмотрим следующие сценарии потока обработки почты:

    • Почта из Интернета напрямую поступает в Microsoft 365, но ваша текущая подписка включает только встроенные функции безопасности для всех облачных почтовых ящиков или Microsoft Defender для Office 365, план 1.

      Почтовый трафик поступает из Интернета в Microsoft 365 с использованием встроенных функций безопасности для всех облачных почтовых ящиков и (или) Defender для Office 365 Plan 1.

      В этих средах режим аудита или режим блокировки доступны в зависимости от лицензирования, как описано в ознакомительной версии и пробной версии для Defender для Office 365.

    • В настоящее время вы используете службу или устройство сторонних разработчиков для защиты электронной почты облачных почтовых ящиков. Почта из Интернета проходит через службу защиты перед доставкой в организацию Microsoft 365. Защита Microsoft 365 максимально низка (она никогда не выключается полностью; например, защита от вредоносных программ всегда применяется).

      Схема передачи почты из Интернета через службу защиты сторонних разработчиков или устройство перед доставкой в Microsoft 365.

      В этих средах доступен только режим аудита . Чтобы оценить возможности Defender для Office 365 Plan 2, вам не нужно изменять поток почты (записи MX).

Оценка и пробная версия для Defender для Office 365

В чем разница между оценкой и пробной версией Defender для Office 365, план 2? Разве это не одно и то же? Ну, да и нет. Лицензирование в организации Microsoft 365 влияет на все:

  • Defender для Office 365 план 2 отсутствует: Вы можете перейти к работе с Defender для Office 365 план 2 в следующих разделах портала Microsoft Defender:

    Во время настройки оценки или пробной версии можно выбрать режим аудита (политики оценки) или режим блокировки (Standard предустановленной политики безопасности).

    Независимо от того, какое местоположение вы используете, при подключении мы автоматически назначаем все необходимые лицензии Defender для Office 365 Plan 2. Вручную получать и назначать лицензии плана 2 в центре администрирования Microsoft 365 не нужно.

    Автоматически подготовленные лицензии доступны в течение 90 дней. Что означает этот 90-дневный период, зависит от существующего лицензирования в вашей организации:

    • План 1 Defender для Office 365 недоступен: Все функции Defender для Office 365, план 2 (в частности, политики защиты от угроз) доступны только в течение 90-дневного периода.

    • Defender для Office 365, план 1: У вас уже есть те же политики защиты от угроз, что и в Defender для Office 365, план 2: защита от подмены удостоверения в политиках защиты от фишинга, политики безопасных вложений и политики безопасных ссылок.

      Срок действия политик угроз из режима аудита (политики оценки) или режима блокировки (Standard предустановленной политики безопасности) не истекает или перестает работать через 90 дней. Через 90 дней становятся недоступны возможности автоматизации, расследования, устранения и обучения в Defender для Office 365, план 2, которые недоступны в плане 1.

    Если вы настроили оценку или пробную версию в режиме аудита (политики оценки), вы можете позже перейти в режим блокировки (Standard предустановленной политики безопасности). Инструкции см. в разделе "Преобразование в стандартную защиту".

  • Microsoft Defender для Office 365 план 2: Если у вас уже есть Microsoft Defender для Office 365 план 2 (например, в составе подписки Microsoft 365 E5), Defender для Office 365 недоступен для выбора на странице пробных версий Microsoft 365 по адресу https://security.microsoft.com/trialHorizontalHub.

    Единственный вариант — настроить оценку Defender для Office 365 на странице оценки Microsoft Defender для Office 365 по адресу https://security.microsoft.com/atpEvaluation. Кроме того, оценка автоматически настраивается в режиме аудита (политики оценки).

    Позже вы можете перевести в режим блокировки (предустановленная политика безопасности Standard) с помощью действия Преобразовать в стандартный на странице Оценка Microsoft Defender для Office 365 или отключив оценку на странице Оценка Microsoft Defender для Office 365, а затем настроив предустановленную политику безопасности Standard.

    По определению организациям, использующим Defender для Office 365 Plan 2, не требуются дополнительные лицензии для ознакомления с Defender для Office 365 Plan 2, поэтому срок ознакомительного использования в таких организациях не ограничен.

Сведения из предыдущего списка приведены в следующей таблице:

Организация Зарегистрируйтесь через
страница пробных версий?
Зарегистрируйтесь через
страница оценки?
Доступные режимы Оценка
период
Microsoft 365 E3 Да Да Режим аудита

Режим блокировки¹
90 дней
Defender для Office 365 (план 1)

Microsoft 365 бизнес премиум
Да Да Режим аудита

Режим блокировки¹
90 дней 2
Microsoft 365 E5 Нет Да Режим аудита

Режим блокировки¹ ³
Без ограничений

¹ Как описано в режиме аудита и режиме блокировки для Defender для Office 365, режим блокировки (стандартная предустановленная политика безопасности) недоступен, если интернет-почта передается через службу защиты или устройство, не Microsoft перед доставкой в Microsoft 365.

² Политики защиты от угроз из режима аудита (политики оценки) или режима блокировки (стандартная предустановленная политика безопасности) не истекают и не прекращают действовать по истечении 90 дней. Возможности автоматизации, исследования, исправления и обучения, которые являются эксклюзивными для Defender для Office 365 плана 2, перестают работать через 90 дней.

³ Оценка настраивается в режиме аудита (политики оценки). В любой момент после завершения настройки можно перейти в режим блокировки (Standard предустановленной политики безопасности), как описано в разделе Преобразование в защиту Standard.

Теперь, когда вы понимаете различия между оценками, пробными версиями, режимом аудита и режимом блокировки, вы можете настроить оценку или пробную версию. См. Настройка оценочной или пробной версии в режиме аудита или Настройка оценочной или пробной версии в режиме блокировки.

Настройка оценки или пробной версии в режиме аудита

Помните, что при оценке или пробе Defender для Office 365 в режиме аудита создаются специальные политики оценки для Defender для Office 365 для обнаружения угроз. Параметры для политик оценки описаны в политиках в режиме аудита.

  1. Начните оценку в любом из доступных мест на портале Microsoft Defender по адресу https://security.microsoft.com. Например, вы можете:

    • На баннере в верхней части любой страницы функций Defender для Office 365 выберите Начать бесплатную пробную версию.
    • На странице пробных версий Microsoft 365 найдите https://security.microsoft.com/trialHorizontalHubи выберите Defender для Office 365.
    • На странице Microsoft Defender для оценки Office 365 по адресу https://security.microsoft.com/atpEvaluationвыберите Начать оценку.
  2. Диалоговое окно Включение защиты недоступно в организациях с Defender для Office 365 плана 1 или плана 2.

    В диалоговом окне Включение защиты выберите Нет, мне нужны только отчеты, а затем нажмите кнопку Продолжить.

  3. В диалоговом окне Выбор пользователей, которых вы хотите включить , настройте следующие параметры:

    • Все пользователи: по умолчанию и рекомендуемый параметр.

    • Конкретные пользователи. Если выбран этот параметр, необходимо выбрать внутренних получателей, к которым применяется оценка:

      • Пользователи: указанные почтовые ящики или почтовые пользователи.
      • Группы.
        • Члены указанных групп рассылки или групп безопасности с поддержкой почты (динамические группы рассылки не поддерживаются).
        • Указанные группы Microsoft 365 (группы с динамическим членством в Microsoft Entra ID не поддерживаются).
      • Домены: все получатели в организации с основной адрес электронной почты в указанном принятом домене.

      Совет

      Поддомены включаются автоматически, если вы специально не исключили их. Например, политика, включающая contoso.com также включает marketing.contoso.com, если вы не исключили marketing.contoso.com.

      Щелкните поле, начните вводить значение и выберите значение из результатов под полем. Повторите эти действия необходимое количество раз. Чтобы удалить существующее значение, щелкните рядом со значением в поле .

      Для пользователей и групп можно использовать большинство идентификаторов (имя, отображаемое имя, псевдоним, адрес электронной почты, имя учетной записи и т. д.), но в результатах будет выведено отображаемое имя. Для пользователей: введите только звездочку (*), чтобы увидеть все доступные значения.

      Условие получателя можно использовать только один раз, но условие может содержать несколько значений:

      • Несколько значений одного условия используют логику OR (например, <recipient1> или <recipient2>). Если получатель соответствует любому из указанных значений, к нему применяется политика.

      • Различные типы условий используют логику AND. Получатель должен соответствовать всем указанным условиям для применения политики к нему. Например, вы настраиваете условие со следующими значениями:

        • Пользователи: romain@contoso.com
        • Группы: руководители

        Политика применяется к нему romain@contoso.comтолько, если он также является членом группы «Руководители». В противном случае политика к нему не применяется.

    Завершив работу в диалоговом окне Выберите пользователей, которых вы хотите включить , нажмите кнопку Продолжить.

  4. В диалоговом окне Помогите нам разобраться в потоке обработки почты настройте следующие параметры:

    • Один из следующих параметров автоматически выбирается в зависимости от обнаружения записи MX для вашего домена:

      • Я использую стороннего поставщика услуг, не относящегося к Microsoft, и/или локального поставщика услуг: MX-запись вашего домена указывает не на Microsoft 365. Проверьте или настройте следующие параметры:

        • Сторонняя служба, используемая вашей организацией: проверьте или выберите одно из следующих значений:

          • Другое. Для этого значения также требуются сведения в разделе Если сообщения электронной почты проходят через несколько шлюзов, выведите список IP-адресов каждого шлюза, который доступен только для значения Other. Используйте это значение, если используется локальный поставщик услуг.

            Введите разделенный запятыми список IP-адресов, которые используются службой защиты сторонних разработчиков или устройством для отправки почты в Microsoft 365.

          • Барракуда

          • IronPort

          • Mimecast

          • Proofpoint

          • Sophos

          • Symantec

          • Trend Micro

        • Соединитель для применения этой оценки: выберите соединитель, используемый для потока почты в Microsoft 365.

          Расширенная фильтрация для соединителей (также известная как пропустить список) автоматически настраивается для указанного соединителя.

          Если служба или устройство стороннего производителя находится перед Microsoft 365, Расширенная фильтрация для соединителей:

      • Я использую только Microsoft Exchange Online: записи MX для вашего домена указывают на Microsoft 365. Ничего не нужно настраивать, поэтому нажмите кнопку Готово.

    • Общий доступ к данным с корпорацией Майкрософт. Этот параметр не выбран по умолчанию, но при желании можно выбрать поле проверка.

    Завершив работу в диалоговом окне Помочь нам понять ваш поток обработки почты , нажмите кнопку Готово.

  5. После завершения настройки появится диалоговое окно Познакомьтесь с возможностями. Выберите Начать тур или Закрыть.

Настройте оценочную или пробную версию в режиме блокировки

Помните, что при использовании Defender для Office 365 в режиме блокировки включается предустановленная безопасность Standard и указанные пользователи (некоторые или все) включаются в предустановленную политику безопасности Standard. Дополнительные сведения о предустановленной политике безопасности Standard см. в разделе Предустановленные политики безопасности.

  1. Запустите пробную версию в любом из доступных разделов портала Microsoft Defender (https://security.microsoft.com). Например, вы можете:

    • На баннере в верхней части любой страницы функций Defender для Office 365 выберите Начать бесплатную пробную версию.
    • На странице пробных версий Microsoft 365 найдите https://security.microsoft.com/trialHorizontalHubи выберите Defender для Office 365.
    • На странице Microsoft Defender для оценки Office 365 по адресу https://security.microsoft.com/atpEvaluationвыберите Начать оценку.
  2. Диалоговое окно Включение защиты недоступно в организациях с Defender для Office 365 плана 1 или плана 2.

    В диалоговом окне Включение защиты выберите Да, защитите организацию, блокируя угрозы, а затем нажмите кнопку Продолжить.

  3. В диалоговом окне Выбор пользователей, которых вы хотите включить , настройте следующие параметры:

    • Все пользователи: по умолчанию и рекомендуемый параметр.

    • Выбор пользователей. Если выбран этот параметр, необходимо выбрать внутренних получателей, к которым применяется пробная версия:

      • Пользователи: указанные почтовые ящики или почтовые пользователи.
      • Группы.
        • Члены указанных групп рассылки или групп безопасности с поддержкой почты (динамические группы рассылки не поддерживаются).
        • Указанные группы Microsoft 365 (группы с динамическим членством в Microsoft Entra ID не поддерживаются).
      • Домены: все получатели в организации с основной адрес электронной почты в указанном принятом домене.

      Совет

      Поддомены включаются автоматически, если вы специально не исключили их. Например, политика, включающая contoso.com также включает marketing.contoso.com, если вы не исключили marketing.contoso.com.

      Щелкните поле, начните вводить значение и выберите значение из результатов под полем. Повторите эти действия необходимое количество раз. Чтобы удалить существующее значение, щелкните рядом со значением в поле .

      Для пользователей и групп можно использовать большинство идентификаторов (имя, отображаемое имя, псевдоним, адрес электронной почты, имя учетной записи и т. д.), но в результатах будет выведено отображаемое имя. Для пользователей: введите только звездочку (*), чтобы увидеть все доступные значения.

      Условие получателя можно использовать только один раз, но условие может содержать несколько значений:

      • Несколько значений одного условия используют логику OR (например, <recipient1> или <recipient2>). Если получатель соответствует любому из указанных значений, к нему применяется политика.

      • Различные типы условий используют логику AND. Получатель должен соответствовать всем указанным условиям для применения политики к нему. Например, вы настраиваете условие со следующими значениями:

        • Пользователи: romain@contoso.com
        • Группы: руководители

        Политика применяется к нему romain@contoso.comтолько, если он также является членом группы «Руководители». В противном случае политика к нему не применяется.

    Завершив работу в диалоговом окне Выберите пользователей, которых вы хотите включить , нажмите кнопку Продолжить.

  4. По мере настройки оценки появится диалоговое окно хода выполнения. После завершения настройки нажмите кнопку Готово.

Управление оценкой или пробной версией Defender для Office 365

После настройки оценочной или пробной версии в режиме аудита страница оценки Microsoft Defender для Office 365 по адресу https://security.microsoft.com/atpEvaluation является основным местом, где представлены результаты использования Defender для Office 365 Plan 2.

На портале Microsoft Defender по адресу https://security.microsoft.com, выберите Электронная почта и совместная работа>Политики и правила>Политики угроз>, затем выберите Режим оценки в разделе Другие. Или, чтобы перейти непосредственно на страницу оценки Microsoft Defender для Office 365, используйте https://security.microsoft.com/atpEvaluation.

Действия, доступные на странице оценки Microsoft Defender для Office 365, описаны в следующих подразделах.

Управление параметрами оценки

На странице оценки Microsoft Defender для Office 365 выберите https://security.microsoft.com/atpEvaluationУправление параметрами оценки.

Во всплывающем окне Управление параметрами оценки MDO доступны следующие сведения и параметры:

  • Состояние оценивания отображается в верхней части всплывающей панели (Оценивание включено или Оценивание отключено). Эти сведения также доступны на странице оценки Microsoft Defender для Office 365.

    Действие Отключить или Включить позволяет отключить или включить политики оценки.

  • Сколько дней осталось в оценке, отображается в верхней части всплывающего окна (осталось nn дней).

  • Раздел Возможностей обнаружения. Используйте переключатели, чтобы включить или отключить следующий Защитник для защиты Office 365:

    • Безопасные ссылки
    • Безопасные вложения
    • Защита от фишинга
  • Пользователи, группы и домены: выберите "Изменить пользователей", "Группы" и "Домены", чтобы изменить, к кому применяется оценка или пробная версия. Дополнительные сведения о настройке см. в разделе "Настройка оценки или пробной версии" в режиме аудита.

  • Раздел настроек имперсонации:

    • Если защита олицетворения не настроена в политике оценки защиты от фишинга, выберите Применить защиту олицетворения , чтобы настроить защиту олицетворения:

      • Внутренние и внешние отправители, для которых применяется защита от олицетворения пользователя.
      • Пользовательские домены, для которых применяется защита от имитации домена.
      • Доверенные отправители и домены, исключаемые из защиты от подмены.

      Шаги по сути те же, что описаны в разделе олицетворение на шаге 5 статьи Использование портала Microsoft Defender для создания политик защиты от фишинга.

    • Если защита олицетворения настроена в политике оценки защиты от фишинга, в этом разделе показаны параметры защиты олицетворения для:

      • Защита олицетворения пользователя
      • Защита от подмены домена
      • Доверенные отправители и домены, используемые для подмены

      Чтобы изменить параметры, выберите Изменить параметры олицетворения.

Завершив работу во всплывающем окне Управление параметрами оценки MDO , выберите Закрыть.

Преобразовать в стандартную защиту

Для оценки или пробной версии можно переключиться из режима аудита (политики оценки) в режим блокировки (Standard предустановленной политики безопасности) с помощью любого из следующих методов:

  • На странице оценки Microsoft Defender для Office 365 выберите Преобразовать в стандартную защиту.
  • Во всплывающем окне Управление параметрами оценки MDO: на странице Microsoft Defender для оценки Office 365 выберите Управление параметрами оценки. Во всплывающем окне сведений выберите Преобразовать в стандартную защиту.

После выбора параметра Преобразовать в стандартную защиту прочитайте сведения в открывшемся диалоговом окне и нажмите кнопку Продолжить.

Вы перейдете к мастеру применения стандартной защиты на странице Предустановленные политики безопасности . Список получателей, включенных и исключенных из оценки или пробной версии, копируется в предустановленную политику безопасности Standard. Дополнительные сведения см. в разделе Использование портала Microsoft Defender для назначения пользователям предустановленных политик безопасности Standard и Strict.

  • Политики угроз в предустановленной политике безопасности Standard имеют более высокий приоритет, чем политики оценки. Политики угроз в стандартном наборе параметров безопасности всегда применяются перед политиками проверки, даже если обе группы политик присутствуют и включены.
  • Нет автоматического способа перехода из режима блокировки в режим аудита. Ниже приведены действия, выполняемые вручную.
    1. Отключите предустановленную политику безопасности Standard на странице Предустановленные политики безопасности по адресу https://security.microsoft.com/presetSecurityPolicies.

    2. На странице оценки Microsoft Defender для Office 365 по адресу https://security.microsoft.com/atpEvaluation убедитесь, что отображается значение Оценка включена.

      Если отображается значение Выкл. оценка , выберите Управление параметрами оценки. Во всплывающем окне Управление параметрами оценки MDO выберите Включить.

    3. Выберите Управление параметрами оценки , чтобы проверить пользователей, к которым применяется оценка, в разделе Пользователи, группы и домены во всплывающем окне Управление параметрами оценки MDO , которое откроется.

Отчеты об оценке или пробной версии Defender для Office 365

В этом разделе описываются отчеты, доступные в режиме аудита и в режиме блокировки.

Отчеты о режиме блокировки

Специальные отчеты не создаются для режима блокировки, поэтому используйте стандартные отчеты в Defender для Office 365. Используйте существующие отчеты, которые применяются только к функциям Defender для Office 365 или содержат фильтры Defender для Office 365:

Отчеты для режима аудита

В режиме аудита вам нужны отчеты, содержащие сведения об обнаружениях, выявленных политиками оценки, как описано в следующем списке:

Необходимые разрешения

Для настройки оценки или пробной версии Defender для Microsoft 365 в Microsoft Entra ID требуются следующие разрешения:

  • Создание, изменение или удаление оценки или пробной версии. Членство в ролях администратора безопасности или глобального администратора* .
  • Просмотр политик и отчетов оценки в режиме аудита: членство в ролях администратора безопасности или читателя безопасности .

Дополнительные сведения о разрешениях Microsoft Entra на портале Microsoft Defender см. в разделе роли Microsoft Entra на портале Microsoft Defender.

Важно!

* Корпорация Майкрософт решительно выступает за принцип наименьших привилегий. Назначение учетным записям только минимальных разрешений, необходимых для выполнения их задач, помогает снизить риски безопасности и повысить общую защиту вашей организации. Глобальный администратор — это очень привилегированная роль, которую следует ограничить сценариями чрезвычайных ситуаций или в случаях, когда вы не можете использовать другую роль.

Вопросы и ответы

Следующие вопросы затрагивают часто возникающие вопросы об ознакомительных версиях и пробных подписках Defender для Office 365.

Вопрос. Нужно ли вручную получать или активировать пробные лицензии?

О: Нет. Пробная версия автоматически назначает лицензии Defender для Office 365, план 2, при необходимости в процессе регистрации.

В: Как продлить пробный период?

О. См. статью Продление пробной версии.

Вопрос. Что происходит с моими данными после истечения срока действия пробной версии?

О. По истечении срока действия пробной версии вы получите доступ к пробным данным (данным из функций в Defender для Office 365, которых у вас не было ранее) в течение 30 дней. По истечении этого 30-дневного периода все политики и данные, связанные с пробной версией Defender для Office 365, удаляются.

Вопрос. Сколько раз можно использовать пробную версию Defender для Office 365 в организации?

О. Не более двух раз. Если срок действия первой пробной версии истек, необходимо подождать по крайней мере 30 дней после истечения срока действия, прежде чем снова зарегистрироваться в пробной версии Defender для Office 365. После второй пробной версии вы не сможете зарегистрироваться в другой пробной версии.

Вопрос. В режиме аудита существуют ли сценарии, в которых Defender для Office 365 работает с сообщениями?

Ответ: Да. Для защиты службы никто в какой-либо программе или подписке не может отключить или обойти действия Microsoft 365 для сообщений, классифицированных как вредоносные программы или фишинг с высокой степенью достоверности.

Вопрос. В каком порядке оцениваются политики?

О. Сведения о предустановленных политиках безопасности и других политиках см. в разделе Порядок приоритета.

Параметры политики, связанные с оценками и пробными версиями Defender для Office 365

В следующих подразделах описаны параметры политики, используемые в режиме аудита и режиме блокировки при оценке и пробном использовании Defender для Office 365.

Политики в режиме аудита

Предупреждение

Не пытайтесь создать, изменить или удалить отдельные политики угроз, связанные с оценкой Defender для Office 365. Единственным поддерживаемым способом создания отдельных политик угроз для оценки является первый запуск оценки или пробной версии в режиме аудита на портале Microsoft Defender.

Как описано в режиме аудита и режиме блокировки в Defender для Office 365, если для оценки или пробного использования выбрать режим аудита, автоматически создаются политики оценки с необходимыми параметрами для наблюдения за сообщениями без выполнения каких-либо действий с ними.

Чтобы просмотреть эти политики и их параметры, выполните следующую команду в Exchange Online PowerShell:

Write-Output -InputObject ("`r`n"*3),"Evaluation anti-phishing policy",("-"*79); Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"; Write-Output -InputObject ("`r`n"*3),"Evaluation Safe Attachments policy",("-"*79); Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"; Write-Output -InputObject ("`r`n"*3),"Evaluation Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"

Параметры также описаны в следующих таблицах.

Параметры политики оценки защиты от фишинга

Настройка Значение
Name Политика оценки
AdminDisplayName Политика оценки
Действие при сбое аутентификации MoveToJmf
DmarcQuarantineAction Карантин
DmarcRejectAction Отклонение
Включено Верно
Включить советы по безопасности при первом контакте Неверно
Включить аналитику почтового ящика Верно
Включить интеллектуальную защиту почтового ящика Верно
Включить защиту доменов организации Неверно
EnableSimilarDomainsSafetyTips Неверно
EnableSimilarUsersSafetyTips Неверно
EnableSpoofIntelligence Верно
Включить предупреждения о подозрительной активности Неверно
Включить защиту целевых доменов Неверно
Включить целевую защиту пользователей Неверно
Разрешить неаутентифицированного отправителя Верно
EnableUnusualCharactersSafetyTips Неверно
EnableViaTag Верно
Исключенные домены {}
Исключенные отправители {}
ExcludedSubDomains {}
HonorDmarcPolicy Верно
ImpersonationProtectionState Вручную
IsDefault Неверно
Действие защиты на основе аналитики почтовых ящиков NoAction
Получатели действия интеллектуальной защиты почтового ящика {}
MailboxIntelligenceQuarantineTag DefaultFullAccessPolicy
PhishThresholdLevel 3
PolicyTag
Рекомендуемый тип политики Оценка
SpoofQuarantineTag DefaultFullAccessPolicy
Получатели действия для целевого домена {}
Действие по защите целевого домена NoAction
TargetedDomainQuarantineTag DefaultFullAccessPolicy
Целевые домены для защиты {}
Получатели целевого действия пользователя {}
Действие по защите целевых пользователей NoAction
TargetedUserQuarantineTag DefaultFullAccessPolicy
TargetedUsersToProtect {}

Параметры политики оценки функции "Безопасные вложения"

Настройка Значение
Name Политика оценки
Действие Разрешить
AdminDisplayName Политика оценки
Включить Верно
Включить фирменный стиль организации Неверно
Это встроенная защита Неверно
IsDefault Неверно
Метка карантина Политика доступа только для администраторов
Рекомендуемый тип политики Оценка
Перенаправление Неверно
Адрес перенаправления
Настройка Значение
Name Политика оценки
AdminDisplayName Политика оценки
Разрешить сквозной щелчок Верно
CustomNotificationText
Отправить сообщение после сканирования Верно
DisableUrlRewrite Верно
DoNotRewriteUrls {}
EnableForInternalSenders Неверно
Включить фирменный стиль организации Неверно
Включить безопасные ссылки для электронной почты Верно
EnableSafeLinksForOffice Неверно
EnableSafeLinksForTeams Неверно
Это встроенная защита Неверно
LocalizedNotificationTextList {}
Рекомендуемый тип политики Оценка
Сканировать URL-адреса Верно
TrackClicks Верно

Использование PowerShell для настройки условий и исключений получателей для оценки или пробной версии в режиме аудита

Правило, связанное с политиками оценки в Defender для Office 365, определяет условия для получателей и исключения из оценки.

Чтобы просмотреть правило, связанное с оценкой, выполните следующую команду в Exchange Online PowerShell:

Get-ATPEvaluationRule

Чтобы использовать Exchange Online PowerShell для изменения того, к кому относится оценка, используйте следующий синтаксис:

Set-ATPEvaluationRule -Identity "Evaluation Rule" -SentTo <"user1","user2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -SentToMemberOf <"group1","group2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null> -RecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null>

В этом примере настраиваются исключения из процесса оценки для указанных почтовых ящиков службы безопасности (SecOps).

Set-ATPEvaluationRule -Identity "Evaluation Rule" -ExceptIfSentTo "SecOps1","SecOps2"

Включение или отключение оценки или пробной версии в режиме аудита с помощью PowerShell

Чтобы включить или отключить оценку в режиме аудита, необходимо включить или отключить правило, связанное с оценкой. Значение свойства State для правила оценки показывает, включено оно или отключено.

Выполните следующую команду, чтобы определить, включена или отключена оценка:

Get-ATPEvaluationRule -Identity "Evaluation Rule" | Format-Table Name,State

Чтобы отключить оценку, выполните следующую команду:

Disable-ATPEvaluationRule -Identity "Evaluation Rule"

Чтобы включить оценку, выполните следующую команду:

Enable-ATPEvaluationRule -Identity "Evaluation Rule"

Политики в режиме блокировки

Как описано ранее, политики режима блокировки создаются с помощью шаблона Standard для предустановленных политик безопасности.

Сведения об использовании Exchange Online PowerShell для просмотра отдельных политик угроз, связанных с предустановленной политикой безопасности Standard, а также для просмотра и настройки условий и исключений получателей для предустановленной политики безопасности см. в статье Предустановленные политики безопасности в Exchange Online PowerShell.