ヒント
Microsoft Defender for Office 365 プラン 2 の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 サインアップできるユーザーと試用版の条件については、「Microsoft Defender for Office 365 を試す」を参照してください。
クラウド メールボックスを持つすべての組織では、複数の保護機能によって受信メールにフラグが設定される場合があります。 たとえば、すべての Microsoft 365 ユーザーが利用できるなりすまし対策保護や、Microsoft Defender for Office 365のお客様のみが利用できる偽装保護などです。 メッセージは、マルウェア、スパム、フィッシングなどの複数の検出スキャンも通過します。このすべてのアクティビティを考えると、どのポリシーが適用されるかについて混乱が発生する可能性があります。
一般に、メッセージに適用されるポリシーは、CAT (Category) プロパティの X-Forefront-Antispam-Report ヘッダーで識別されます。 詳細については、「スパム対策メッセージ ヘッダー」を参照してください。
メッセージに適用されるポリシーを決定する主な要因は 2 つあります。
電子メール保護の種類の処理順序: この順序は構成できません。次の表で説明します。
順序 メールの保護 カテゴリ 管理する場所 1 マルウェア CAT:MALWマルウェア対策ポリシーを構成する 2 高確度のフィッシング CAT:HPHSHスパム対策ポリシーを構成する 3 フィッシング詐欺 CAT:PHSHスパム対策ポリシーを構成する 4 高確度スパム CAT:HSPMスパム対策ポリシーを構成する 5 スプーフィング CAT:SPOOFスプーフィング インテリジェンス分析 6* ユーザー偽装 (保護されたユーザー) CAT:UIMP詳細については、「Microsoft Defender for Office 365 のフィッシング対策ポリシーを構成する」を参照してください。 7* ドメイン偽装 (保護されたドメイン) CAT:DIMP詳細については、「Microsoft Defender for Office 365 のフィッシング対策ポリシーを構成する」を参照してください。 8* メールボックス インテリジェンス (連絡先グラフ) CAT:GIMP詳細については、「Microsoft Defender for Office 365 のフィッシング対策ポリシーを構成する」を参照してください。 9 スパム CAT:SPMスパム対策ポリシーを構成する 10 バルク CAT:BULKスパム対策ポリシーを構成する *これらの機能は、Microsoft Defender for Office 365のフィッシング対策ポリシーでのみ使用できます。
ポリシーの優先順位: ポリシーの優先順位が次の一覧に表示されます。
スパム対策、マルウェア対策、フィッシング対策、安全なリンク*安全な添付ファイル*ポリシー (有効な場合)。
Standardの事前設定されたセキュリティ ポリシー (有効になっている場合) のスパム対策、マルウェア対策、フィッシング対策、安全なリンク*、および安全な添付ファイル*ポリシー。
Defender for Office 365評価ポリシーのフィッシング対策、安全なリンク、安全な添付ファイル (有効な場合)。
カスタムのスパム対策、マルウェア対策、フィッシング対策、安全なリンク*、安全な添付ファイル* ポリシー (作成時)。
カスタム脅威ポリシーは、ポリシーを作成するときに既定の優先度値が割り当てられます (新しい方が高くなります)、優先度の値はいつでも変更できます。 この優先度の値は、その種類の脅威ポリシー (スパム対策、マルウェア対策、フィッシング対策など) のアプリケーションの順序に影響します。 優先度の値は、前の表で説明したように、カスタム脅威ポリシーが処理の順序で適用される場所には影響しません。
等しい値の場合:
- 組み込みの保護プリセット セキュリティ ポリシーの安全なリンクと安全な添付ファイル ポリシー*。
- マルウェア対策、スパム対策、フィッシング対策の既定のポリシー。
組み込みの保護プリセット セキュリティ ポリシーに対して例外を構成できますが、既定の脅威ポリシーに対して例外を構成することはできません (すべての受信者に適用され、無効にすることはできません)。
*Defender for Office 365のみ。
重要
受信者が含まれている他のポリシーの数に関係なく、同じ受信者が意図的または意図せずに複数のポリシーに含まれている場合は、その受信者に適用されるのは、その種類の最初のポリシー (スパム対策、マルウェア対策、フィッシング対策など) だけ であるためです。 受信者の複数のポリシーで設定をマージまたは結合することはありません。 受信者は、その種類の残りのポリシーの設定の影響を受けません。
たとえば、"Contoso Executives" という名前のグループは、次のポリシーに含まれています。
- 厳密な事前設定されたセキュリティ ポリシー
- 優先度の値が 0 (最も高い優先度) を持つカスタムスパム対策ポリシー
- 優先度値 1 のカスタムスパム対策ポリシー。
Contoso エグゼクティブのメンバーに適用されるスパム対策ポリシー設定はどれですか? 厳密な事前設定されたセキュリティ ポリシー。 カスタムスパム対策ポリシーの設定は、Contoso エグゼクティブのメンバーには無視されます。厳密な事前設定されたセキュリティ ポリシーは常に最初に適用されるためです。
別の例として、同じ受信者に適用されるMicrosoft Defender for Office 365の次のカスタム フィッシング対策ポリシーと、ユーザー偽装となりすましの両方を含むメッセージを考えてみましょう。
| ポリシー名 | 優先度 | ユーザー偽装 | なりすまし対策 |
|---|---|---|---|
| ポリシー A | 1 | オン | オフ |
| ポリシー B | 2 | オフ | オン |
- スプーフィング (5) は、電子メール保護の種類の処理の順序でユーザー偽装 (6) の前に評価されるため、メッセージはスプーフィングとして識別されます。
- ポリシー A は、ポリシー B よりも優先度が高いため、最初に適用されます。
- ポリシー A の設定に基づいて、スプーフィング対策がオフになっているため、メッセージに対してアクションは実行されません。
- フィッシング対策ポリシーの処理は、含まれているすべての受信者に対して停止するため、ポリシー B はポリシー A にも含まれている受信者には適用されません。
受信者が必要な保護設定を確実に取得できるようにするには、ポリシー メンバーシップに次のガイドラインを使用します。
- 優先度の高いポリシーには少数のユーザーを割り当て、優先度の低いポリシーには多数のユーザーを割り当てます。 既定の脅威ポリシーは常に最後に適用されます。
- 優先度の高いポリシーを構成して、優先順位の低いポリシーよりも厳密または特殊な設定を設定します。 カスタム脅威ポリシーの設定と既定の脅威ポリシーを完全に制御できますが、事前設定されたセキュリティ ポリシーのほとんどの設定は制御されません。
- 使用するカスタム ポリシーの数を減らしてください (Standardまたは厳密な事前設定セキュリティ ポリシー、または既定の脅威ポリシーよりも特殊な設定を必要とするユーザーにのみカスタム ポリシーを使用します)。
付録
ユーザーがクラウド メールボックスの既定の電子メール保護でスタックの判定を許可およびブロックorganization、フィルター処理する方法と、相互に補完または矛盾するDefender for Office 365について理解することが重要です。
- スタックのフィルター処理とその組み合わせ方法については、「Microsoft Defender for Office 365での脅威の保護のステップ バイ ステップ」を参照してください。
- フィルター 処理スタックが判定を決定した後は、ポリシーと構成されたアクションが評価organization。
- ユーザーの差出人セーフ リストとブロックされた送信者リストに同じメール アドレスまたはドメインが存在する場合、差出人セーフ リストが優先されます。
- 許可エントリに同じエンティティ (メール アドレス、ドメイン、なりすまし送信インフラストラクチャ、ファイル、または URL) が存在し、テナント許可/ブロック リストのブロック エントリが存在する場合、ブロック エントリが優先されます。
- マルウェアと信頼度の高いフィッシング判定の場合、テナントの許可/ブロックリストに許可エントリを直接作成することはできません。 代わりに、https://security.microsoft.com/reportsubmissionの [申請] ページを使用して、電子メール、電子メールの添付ファイル、または URL を Microsoft に送信します。 [クリーン確認しました] を選択した後、[このメッセージを許可する]、[このファイルを許可する] または [この URL を許可する] を選択して、ドメインとメール アドレス、ファイル、または URL の許可エントリを作成できます。
- マルウェア対策ポリシーの [共通添付ファイル] フィルターでファイルの種類を使用する場合、[テナントの許可/ブロック] リストまたは Exchange メール フロー ルール (トランスポート ルールとも呼ばれます) で同じファイルを許可しても、判定は上書きされません。
ユーザーの許可とブロック
次の表に示すように、ユーザーの セーフリスト コレクション ([差出人セーフ リスト]、[安全な受信者] リスト、および各メールボックスの [ブロックされた送信者] リスト) のエントリは、いくつかのフィルター処理スタックの判定をオーバーライドできます。
| スタックの判定のフィルター処理 | ユーザーの差出人セーフ リスト | ユーザーの [ブロックされた送信者] の一覧 |
|---|---|---|
| マルウェア | フィルターの優先: 検疫Email | フィルターの優先: 検疫Email |
| 高確度のフィッシング | フィルターの優先: 検疫Email | フィルターの優先: 検疫Email |
| フィッシング詐欺 | ユーザーの優先: Emailユーザーの受信トレイに配信されます | 組織が優先: 該当するスパム対策ポリシーによってアクションが決定されます |
| 高確度スパム | ユーザーの優先: Emailユーザーの受信トレイに配信されます | 組織が優先: 該当するスパム対策ポリシーによってアクションが決定されます |
| スパム | ユーザーの優先: Emailユーザーの受信トレイに配信されます | 組織が優先: 該当するスパム対策ポリシーによってアクションが決定されます |
| バルク | ユーザーの優先: Emailユーザーの受信トレイに配信されます | ユーザーの優先: ユーザーの迷惑メール Email フォルダーに配信Email |
| スパムではない | ユーザーの優先: Emailユーザーの受信トレイに配信されます | ユーザーの優先: ユーザーの迷惑メール Email フォルダーに配信Email |
- Exchange Onlineでは、次のいずれかのシナリオでメッセージが検疫された場合、差出人セーフ リストのドメイン許可が機能しない可能性があります。
- メッセージは、マルウェアまたは高信頼フィッシングとして識別されます (マルウェアと高信頼フィッシング メッセージは検疫されます)。
- 迷惑メール対策ポリシーのアクションは、迷惑メール Email フォルダーにメールを移動する代わりに検疫するように構成されます。
- 電子メール メッセージのメール アドレス、URL、またはファイルも、[ テナントの許可/ブロック一覧] のブロック エントリにあります。
ユーザー メールボックスのセーフリストコレクションとスパム対策の設定の詳細については、「クラウド メールボックスで 迷惑メール設定を構成する」を参照してください。
組織の許可とブロック
組織では、次の表に示すように、フィルター処理スタックの判定を許可およびブロックでオーバーライドできます。
高度な配信ポリシー (指定された SecOps メールボックスとフィッシング シミュレーション URL のフィルター処理をスキップする):
スタックの判定のフィルター処理 高度な配信ポリシーの許可 マルウェア 組織の優先: メールボックスに配信Email 高確度のフィッシング 組織の優先: メールボックスに配信Email フィッシング詐欺 組織の優先: メールボックスに配信Email 高確度スパム 組織の優先: メールボックスに配信Email スパム 組織の優先: メールボックスに配信Email バルク 組織の優先: メールボックスに配信Email スパムではない 組織の優先: メールボックスに配信Email Exchange メール フロー ルール (トランスポート ルールとも呼ばれます):
スタックの判定のフィルター処理 メール フロー ルールでは、* メール フロー ルール ブロック マルウェア フィルターの優先: 検疫Email フィルターの優先: 検疫Email 高確度のフィッシング フィルター優先: 複雑なルーティングを除いて検疫されたEmail フィルターの優先: 検疫Email フィッシング詐欺 組織の優先: メールボックスに配信Email フィルターの優先: 該当するスパム対策ポリシーのフィッシング アクション 高確度スパム 組織の優先: メールボックスに配信Email フィルターの優先: ユーザーの迷惑メール Email フォルダーに配信Email スパム 組織の優先: メールボックスに配信Email フィルターの優先: ユーザーの迷惑メール Email フォルダーに配信Email バルク 組織の優先: メールボックスに配信Email フィルターの優先: ユーザーの迷惑メール Email フォルダーに配信Email スパムではない 組織の優先: メールボックスに配信Email 組織の優先: ユーザーの迷惑メール Email フォルダーに配信Email * Microsoft 365 の前で Microsoft 以外のセキュリティ サービスまたはデバイスを使用する組織では、SCL=-1 メール フロー ルールの代わりに 、Authenticated Received Chain (ARC) ( サービスに問い合わせて可用性を得る ) とコネクタの拡張フィルター処理 (スキップ リストとも呼ばれます) の使用を検討する必要があります。 これらの改善された方法により、メール認証の問題が軽減され、 多層防御 のメール セキュリティが促進されます。
接続フィルター処理での IP 許可リストと IP ブロック リスト:
スタックの判定のフィルター処理 IP 許可リスト IP ブロック リスト マルウェア フィルターの優先: 検疫Email フィルターの優先: 検疫Email 高確度のフィッシング フィルターの優先: 検疫Email フィルターの優先: 検疫Email フィッシング詐欺 組織の優先: メールボックスに配信Email 組織の勝利: Emailサイレント ドロップ 高確度スパム 組織の優先: メールボックスに配信Email 組織の勝利: Emailサイレント ドロップ スパム 組織の優先: メールボックスに配信Email 組織の勝利: Emailサイレント ドロップ バルク 組織の優先: メールボックスに配信Email 組織の勝利: Emailサイレント ドロップ スパムではない 組織の優先: メールボックスに配信Email 組織の勝利: Emailサイレント ドロップ スパム対策ポリシーの設定を許可およびブロックする:
- 許可されている送信者とドメインの一覧。
- ブロックされた送信者とドメインの一覧。
- 特定の国/地域または特定の言語のメッセージをブロックします。
- スパム対策ポリシーの高度なスパム フィルター (ASF) 設定に基づいてメッセージをブロックします。
スタックの判定のフィルター処理 スパム対策ポリシーでは、 スパム対策ポリシー ブロック マルウェア フィルターの優先: 検疫Email フィルターの優先: 検疫Email 高確度のフィッシング フィルターの優先: 検疫Email フィルターの優先: 検疫Email フィッシング詐欺 組織の優先: メールボックスに配信Email 組織が優先: 該当するスパム対策ポリシーのフィッシング アクション 高確度スパム 組織の優先: メールボックスに配信Email 組織の優先: ユーザーの迷惑メール Email フォルダーに配信Email スパム 組織の優先: メールボックスに配信Email 組織の優先: ユーザーの迷惑メール Email フォルダーに配信Email バルク 組織の優先: メールボックスに配信Email 組織の優先: ユーザーの迷惑メール Email フォルダーに配信Email スパムではない 組織の優先: メールボックスに配信Email 組織の優先: ユーザーの迷惑メール Email フォルダーに配信Email [テナントの許可/ブロック] ボックスの一覧のエントリを許可する: 許可エントリには次の 2 種類があります。
- メッセージ レベル では、メッセージ内のエンティティに関係なく、エントリがメッセージ全体に対して機能することを許可します。 メール アドレスとドメインの許可エントリは、メッセージ レベルの許可エントリです。 これにより、エントリが一括およびスパムの判定をオーバーライドし、機械学習モデルからの高信頼フィッシング判定をオーバーライドできます。
- エンティティ レベル では、エントリがエンティティのフィルター処理の判定に基づいて動作することを許可します。 URL、なりすまし送信者、およびファイルの許可エントリは、エンティティ レベルの許可エントリです。 マルウェアと信頼度の高いフィッシング判定をオーバーライドするには、エンティティ レベルの許可エントリを使用する必要があります。このエントリは、 既定でセキュリティで保護されているために送信によってのみ作成できます。
スタックの判定のフィルター処理 Email アドレス/ドメイン マルウェア フィルターの優先: 検疫Email 高確度のフィッシング フィルターの優先: 検疫Email フィッシング詐欺 組織の優先: メールボックスに配信Email 高確度スパム 組織の優先: メールボックスに配信Email スパム 組織の優先: メールボックスに配信Email バルク 組織の優先: メールボックスに配信Email スパムではない 組織の優先: メールボックスに配信Email [テナントの許可/ブロック] リストのエントリをブロックします。
スタックの判定のフィルター処理 Email アドレス/ドメイン 偽装 File URL マルウェア フィルターの優先: 検疫Email フィルターの優先: 検疫Email 組織の優先: 検疫Email フィルターの優先: 検疫Email 高確度のフィッシング 組織の優先: 検疫Email フィルターの優先: 検疫Email 組織の優先: 検疫Email 組織の優先: 検疫Email フィッシング詐欺 組織の優先: 検疫Email 組織の優先: 該当するフィッシング対策ポリシーでのスプーフィング アクション 組織の優先: 検疫Email 組織の優先: 検疫Email 高確度スパム 組織の優先: 検疫Email 組織の優先: 該当するフィッシング対策ポリシーでのスプーフィング アクション 組織の優先: 検疫Email 組織の優先: 検疫Email スパム 組織の優先: 検疫Email 組織の優先: 該当するフィッシング対策ポリシーでのスプーフィング アクション 組織の優先: 検疫Email 組織の優先: 検疫Email バルク 組織の優先: 検疫Email 組織の優先: 該当するフィッシング対策ポリシーでのスプーフィング アクション 組織の優先: 検疫Email 組織の優先: 検疫Email スパムではない 組織の優先: 検疫Email 組織の優先: 該当するフィッシング対策ポリシーでのスプーフィング アクション 組織の優先: 検疫Email 組織の優先: 検疫Email
ユーザーとorganizationの設定が競合する場合
次の表では、ユーザーの許可/ブロック設定と許可/ブロック設定の両方がメッセージに影響organization場合の競合の解決方法について説明します。
| 許可/ブロックorganizationの種類 | ユーザーの差出人セーフ リスト | ユーザーの [ブロックされた送信者] の一覧 |
|---|---|---|
[テナントの許可/ブロック] リストで次のエントリをブロックします。
|
組織の優先: 検疫Email | 組織の優先: 検疫Email |
| テナント許可/ブロックリストでなりすまし送信者のエントリをブロックする | 組織の優先: 該当するフィッシング対策ポリシーでのスプーフィング インテリジェンス アクション | 組織の優先: 該当するフィッシング対策ポリシーでのスプーフィング インテリジェンス アクション |
| 高度な配信ポリシー | ユーザー優先: メールボックスに配信Email | 組織の優先: メールボックスに配信Email |
| スパム対策ポリシーの設定をブロックする | ユーザー優先: メールボックスに配信Email | ユーザーの優先: ユーザーの迷惑メール Email フォルダーに配信Email |
| DMARC ポリシーを適用する | ユーザー優先: メールボックスに配信Email | ユーザーの優先: ユーザーの迷惑メール Email フォルダーに配信Email |
| メール フロー ルールによるブロック | ユーザー優先: メールボックスに配信Email | ユーザーの優先: ユーザーの迷惑メール Email フォルダーに配信Email |
次の方法で許可します。
|
ユーザー優先: メールボックスに配信Email | ユーザーの優先: ユーザーの迷惑メール Email フォルダーに配信Email |