Defender for Office 365 完全ガイド: メールとファイルの保護

最終更新: 03/10/2025
著者: アイザック
  • SPF、DKIM、DMARC、ARC を使用した電子メール認証により、ソースでのなりすましを防止します。
  • 明確な優先順位と最小限の調整で最大限の効果を発揮する標準/厳格なポリシー。
  • 安全なリンク/添付ファイル、ユーザーレポート、迅速な検出と対応のための AIR。

Office 365 向け Microsoft Defender のセキュリティ

使用する場合 Microsoft 365電子メールやファイルは攻撃者のお気に入りのターゲットなので、セキュリティについて真剣に考える価値があります。 Microsoft Defender for Office 365 が重要な保護層を追加 Exchange Online Protection、メッセージ、リンク、添付ファイルの監視、OneDriveでの共同作業について SharePointの および Teams。

この実践ガイドには、完全かつ実用的なウォークスルーが記載されています。 メール認証(SPF、DKIM、DMARC)と事前に設定された標準/厳格なポリシーからアカウントの優先順位付け、ユーザーレポートの受信、許可/ブロックリストの管理、フィッシングシミュレーションの起動、インシデントへの対応などについて学びます。また、ライセンス、プライバシー、データ保持についても学びます。 トリック 狂わずに結果を改善するには、 Microsoft Defender が安全なファイルをブロックしないようにする.

主な要件と許可

Office 365 の Defender の要件と権限

Microsoft 365では、EOPによって基本的なメールバリアがデフォルトですでに導入されていますが、 Defender for Office 365は高度な機能で保護を拡張しますスムーズにセットアップするには、適切な権限が必要です。

委任する最も簡単な方法は、役割を割り当てることです。 Microsoftのセキュリティ管理者 Defender for Office 365 に触れる方向けです。きめ細かな権限設定を希望する場合は、Exchange Online の権限または Defender ポータルの特定のメールとコラボレーションの権限を使用できます。 ただし、全員にグローバル管理者の役割を与えることは避けてください。 最小権限の原則に従います。

ステップ1: メール認証(SPF、DKIM、DMARC、ARC)を構成する

Office 365 における SPF DKIM DMARC 認証

スパムや マルウェア、起源を守る時が来た。 メール認証は、メッセージが正当であり、改ざんされていないことを確認します。Microsoft 365 から電子メールを送信するカスタム ドメインごとに、これらの標準をこの順序で適用する必要があります。

  • SPF(TXT): ドメインに代わって送信できるホストを宣言します。 正しいSPFレコードを公開する なりすましを防止し、配信性を向上させます。
  • dkim 拡張子: ヘッダー内を移動し、再送信後も存続する送信署名。 ドメインで有効化する Microsoft 365 が提供する CNAME キーを使用します。
  • DMARC: SPF/DKIMが失敗した場合の対処方法を示します。 ポリシー p=拒否 op=隔離 集計レポートとフォレンジックレポートの受信者を指定できるので、送信先サーバーは何を期待すべきかを知ることができます。
  • ARC: 中間サービスが受信メッセージを変更する場合は、次のようにログに記録します。 信頼できるARCシーラント トレーサビリティを維持し、出所認証が破られないようにします。

電子メール ソースとして '*.onmicrosoft.com' ドメインを使用している場合は、一部の作業は既に完了しています。 SPFとDKIMはデフォルトで設定されているただし、送信に使用する場合は、そのドメインの DMARC レコードを手動で作成する必要があります。

ステップ2: 脅威ポリシーとその適用方法

Defender for Office 365 には 3 つの概念レイヤーがあります。 デフォルトポリシー、プリセットセキュリティポリシー、カスタムポリシー違いと優先順位を理解することで、多くのトラブルを回避できます。

利用可能なポリシーの種類

  • デフォルトのディレクティブ: テナントを作成した瞬間から有効になります。 常にすべての受信者に適用 スコープを変更することはできません(場合によっては設定を変更できます)。これらはあなたのセーフティネットです。
  • 事前設定されたセキュリティポリシー: Microsoft のベスト プラクティスに基づくクローズド プロファイル (2 種類) スタンダード y 厳格な統合リンクおよび添付ファイルの保護はデフォルトで有効になっています。標準/厳格の場合は、これを有効にして受信者と例外を定義する必要があります。
  • カスタムディレクティブ: 特定の設定(言語/国ブロック、カスタム隔離、カスタム通知)が必要な場合 必要なだけ作成できます ユーザー、グループ、またはドメインごとに条件を割り当てます。

プリセットされたものは自動的に進化します: マイクロソフトが推奨を強化すると、プロファイルが更新されます 何も変更せずにメリットが得られます。StandardとStrictでは、ユーザーとドメインの偽装エントリと例外のみを編集でき、それ以外はすべて推奨レベルに設定されています。

  Windows 10でのSysMenu.dllエラー|ソリューション

優先順位

メッセージまたは要素が評価されると、 最初に適用可能なポリシーは、 残りは考慮されなくなります。一般的に、順序は次のようになります。

  1. 事前設定されたセキュリティポリシー: 最初は厳格、次に標準。
  2. カスタムディレクティブ その機能の優先度順(0、1、2…)です。
  3. デフォルトポリシー (または、安全なリンク/添付ファイルの場合は統合保護)。

奇妙な重複を避けるため、 異なるターゲットグループを使用する 各レベルで、カスタムポリシーを適用するユーザーに対して、Strict/Standard に例外を設定します。上位レベルに該当しないユーザーは、デフォルトまたは組み込みの保護機能によって保護されます。

推奨戦略

カスタマイズを強いる要件がない場合、 それは組織全体の標準ポリシーから始まります 高リスクグループ向けの厳格な準備金制度。シンプルで堅牢であり、脅威の変化に応じて自動的に調整されます。

ステップ3: 管理者に権限を割り当てすぎない

最初のアカウントにすべての権限があったとしても、 グローバル管理者の役割を放棄するのは得策ではありません セキュリティ関連の業務に携わるすべての担当者に。原則として、Defender for Office 365 を管理する管理者、スペシャリスト、サポート担当者には、Microsoft Access のセキュリティ管理者ロールを割り当てます。

メールのみを管理する場合は、 Exchange Online の権限 または、Defender ポータルの電子メールとコラボレーションの役割。 常に最小限の権限 リスク面を減らすため。

ステップ4: 優先アカウントとユーザータグ

Defender for Office 365では、 優先アカウントとして最大250ユーザー レポートや調査でそれらを強調し、追加のヒューリスティックスを適用します。経営幹部、財務、IT部門に最適です。

プラン2では、 カスタムユーザータグ グループ(サプライヤー、VIP、部門)をグループ化し、分析をフィルタリングします。 タグ付けすべき人を特定する 最初の日から。

ステップ5: ユーザーから報告されたメッセージ

ユーザーが手を挙げるのは素晴らしいことです。 報告される誤検知/誤検出によってポリシーを調整できる Microsoft フィルターをトレーニングします。

  • 報告方法: Outlook (Web/デスクトップ) に統合されたレポートボタンを使用するか、 サポートされているサードパーティツール サポートされている形式を使用します。提出ユーザーのレポート タブにはこのように表示されます。
  • 彼らはどこへ行くのでしょうか?: デフォルトではMicrosoftに登録済みの指定のメールボックスに送信されます。これを変更することもできます。 メールボックスのみ (手動でMicrosoftに転送)または マイクロソフトのみこれらのレポート専用のメールボックスを作成します。元のアカウントは使用しないでください。

マイクロソフトにレポートを送信すると、 フィルターの学習速度が速い受信トレイのみを選択する場合は、分析のために関連するメールを [送信] タブから送信することを忘れないでください。

ステップ6: ヘッドでブロックして許可する

テナントの許可/ブロックリストは強力ですが、 許可を乱用すると不必要な扉が開くブロックを優先し、徹底的な検証を行った後にのみ一時的な譲歩を行う。

  • ブロックする: 対応するタブにドメイン/メール、ファイル、URLを追加するか、 アイテムを Microsoft に送信する 送信からエントリを自動的に作成します。スプーフィングインテリジェンスはブロック/許可された送信者を表示します。 決定を変える または積極的なエントリを作成します。
  • 許す: ドメイン/メールおよび URL に対して、バルク、スパム、高信頼度スパム、または高信頼度でないフィッシングの判定を上書きすることを許可できます。 マルウェアを直接許可することはできません または、フィッシングの可能性が高いとマークされたURL/ドメイン。その場合は、「提出」から送信し、「クリーンであることを確認しました」とマークして、 一時的な例外.

例外に注意してください: 確認して期限切れにする もはや必要なくなったときに。歴史的な寛容さによって起こるべきではないことを防ぐことができます。

ステップ7:フィッシングのシミュレーションとトレーニング

攻撃シミュレーショントレーニング(プラン2)では、 リアルななりすましキャンペーンを開始する ユーザーの反応に基づいてトレーニングを割り当てます。認証情報、QRフィッシング、危険な添付ファイル、BECなど、幅広い脅威に対応します。

  修正: 「Windows リカバリ メディアまたはインストール メディアを挿入してください」エラー

これらのキャンペーンのテレメトリ 危険な行動を明らかにする 増援の計画にも役立ちます。理想的には、 四半期ごとにシミュレーションを実行する 脈を保つため。

ステップ8: 時間を無駄にせずに調査して対応する

アラートがトリガーされると、目標は明確になります。 範囲と解決策を迅速に理解するDefender for Office 365 は、日常業務で 2 つの重要な利点をもたらします。

  • 脅威エクスプローラー: マルウェア、フィッシング、または検出されたURLでフィルタリングするには、 キャンペーンビュー 影響を受けるすべてのメッセージを確認し、侵害されたメッセージに対して一括アクション (ソフト削除/パージ) を適用します。
  • 自動調査および対応(AIR) 計画2:調査を開始する、 メッセージを分離し、リンクを分析するメールボックスを関連付け、修復を提案または実行します。

さらに、ゼロ時間自動消去(ZAP)は、再仕分けされた場合、配達後に郵便物を取り下げることがあります。 露出ウィンドウを縮小する 後で何かが悪意のあるものとして再評価された場合。

OneDrive、SharePoint、Teams の保護

メールは入り口だが、ファイルは戦利品だ。 OneDrive、SharePoint、Teams に保護を拡張 連携して感染を削減し、悪質なコンテンツをフィルタリングします。

  • ファイル内のマルウェア対策: サンドボックス添付ファイル分析とSafe Attachmentsによる爆発、 ダイナミックデリバリーを含む ファイルの検査中にメッセージの読み取りを中断しないようにします。また、 ダウンロードしたファイルを確認する.
  • 安全なリンク: 電子メール、ドキュメント、Teams でのリアルタイムの URL 書き換えと分析。 クリックスルーを防ぐことができます 警告を無視することをブロックします。
  • DLPと機密ラベル (権限):機密データの漏洩を防ぎ、 暗号化/制御を適用する 組織外でも、敏感度に応じて、または学ぶ 機密メールを隠して保護する.

Microsoft Defender for Cloud との連携 アプリ パラ シャドーITを発見し、リアルタイムでポリシーを適用する Microsoft とサードパーティの両方のクラウド サービスにおける異常 (ランサムウェア、悪意のあるアプリ) を検出します。

ライセンスとクイックアクティベーション

Defender for Office 365 には、次の 2 つのプランがあります。 P1 (安全なリンク、安全な添付ファイル、高度なフィッシング対策)と P2 (Threat Explorer、AIR、シミュレーションを追加します)。 E5にはP2が含まれる; E3 では必要に応じて P1 または P2 を追加できます。

機能性 EOP 拡張子 1計画 2計画
標準的なスパム対策/マルウェア対策
安全なリンク -
安全な添付ファイル -
フィッシング対策 IA -
脅威エクスプローラー / AIR - -
攻撃シミュレーション - -

有効化するには、Microsoft 365 Defenderにアクセスし、 メールとコラボレーション > ポリシーとルール 標準/厳格を有効にします。 スコープを割り当てる (ユーザー、グループ、ドメイン) を設定し、必要に応じて例外を定義します。

フィッシング対策用の PowerShell ショートカット

# Conecta al módulo de Exchange Online
Connect-ExchangeOnline

# Crea política y regla de Anti-Phish básicas
New-AntiPhishPolicy -Name 'AntiPhishCorp' \
 -EnableMailboxIntelligence $true \
 -EnableDomainImpSpoofProtection $true \
 -EnableUserImpSpoofProtection $true

New-AntiPhishRule -Name 'AntiPhishCorpRule' \
 -AntiPhishPolicy 'AntiPhishCorp' -RecipientDomainIs 'midominio.com'

それを覚えておいてください 安全な添付ファイルでの動的配信 ユーザーはメッセージ本文を即座に受信し、添付ファイルはトリガー後に解放されます。これにより、セキュリティを犠牲にすることなくエクスペリエンスが向上します。

ベストプラクティス、ゼロトラスト、統合

姿勢を強化するには、次のガイドラインを適用します。 魔法は必要ありません。必要なのは忍耐力だけです。 そして実践的な判断。

  • p=quarantine/reject の DMARC なりすましを阻止するために、すべてのドメインに DKIM を導入します。
  • 半年ごとにセキュアスコアを確認する 75%以上を目指します。関連する推奨事項を実施します。
  • 誤検知を監視する 隔離中に、過剰に許可せずに調整してください。少ないほど良いです。
  • 四半期ごとのシミュレーション エンドユーザーの意識を真に高めることです。
  • Microsoft Sentinelとの統合 SIEM をお持ちの場合は、マルチドメイン相関と SOAR 自動化に使用できます。
  • 文書免除 (たとえば、第三者が通常とは異なる添付ファイルを送信した場合など)、四半期ごとに確認します。

戦略の中で ゼロトラストDefender for Office 365は電子メールとコラボレーションをカバーし、 エンドポイントのディフェンダー 横方向の動きを遅くしてデバイスに反応し、 SmartScreenの ウェブサイトを停止し、 ダウンロード エンドポイント上で危険な設定に加えて モバイルデバイス管理(MDM).

Defender for Office 365 におけるデータとプライバシー

Microsoft 365は、電子メールやTeamsのメッセージを処理する際に、次のようなメタデータを処理します。 表示名、メールアドレス、IPアドレス、ドメインこれらはオフラインML、レピュテーション、ZAPなどの機能に使用されます。追加のレイヤーについては、以下を検討してください。 Shielded Emailでメールを保護.

  Microsoft Office 形式: それぞれの形式と使用時期

すべてのレポートは識別子の対象となります EUPI(仮名)とEUIIデータは組織内でのみ共有され、地域内に保存され、 許可されたユーザーのみがアクセスできます保存時の暗号化は、ODL と CDP を使用して強制されます。

データの場所

Defender for Office 365 は Microsoft Entra データセンターで運用されています。一部の地域では、プロビジョニングされた組織の保存データは、その地域にのみ保存されます。 地元住民がいる地域 含める:

  • オーストラリア
  • Brasil
  • Canada
  • EU
  • フランス
  • ドイツ
  • India
  • イスラエル
  • イタリア
  • 日本
  • ノルウェー
  • ポーランド
  • カタール
  • シンガポール
  • 南アフリカ
  • 韓国
  • スウェーデン
  • スイス
  • アラブ首長国連邦
  • イギリス
  • 米国

ローカル領域に保存されているデータ(クラウドメールボックスとDefender for Office 365のデフォルトの保護)には、 アラート、添付ファイル、ブロックリスト、メールのメタデータ、分析、スパム、隔離、レポート、ポリシー、スパム ドメイン、URL。

保持と共有

Defender for Office 365のデータは保持されます 180日間の報告書と記録抽出された個人情報は暗号化され、保存期間の30日後に自動的に削除されます。ライセンスおよび猶予期間の終了時には、 データは回復不能に削除される サブスクリプション終了後190日以内に行ってください。

Defender for Office 365はデータを共有します Microsoft 365 Defender XDR、Microsoft Sentinel、監査ログ (顧客がライセンスを取得している場合)、GCC 政府クラウドについては特定の例外があります。

Microsoft 365 でのランサムウェアからの回復

それでも何かが漏れてしまった場合は、すぐに行動してください。 OneDriveの同期を停止し、侵害されたコンピュータを隔離する 健全なコピーを保存するために、ネイティブオプションを活用しましょう。

  • バージョン管理: SharePoint、OneDrive、Exchangeに複数のバージョンを保存できます。最大50.000まで設定できますが、以下の点にご注意ください。 一部のランサムウェアはすべてのバージョンを暗号化する Y·エル ストレージ 追加アカウント。
  • ごみ箱: 削除されたアイテムを復元します 93日その期間と2回のゴミ処理期間が過ぎたら、マイクロソフトに問い合わせることができます。 最大14日間追加 回復のために。
  • 保存ポリシー (E5/A5/G5): 保存期間と削除できる内容を定義します。 源泉徴収を自動化 コンテンツタイプ別。
  • 保存保留図書館: アクティブなホールドでは、変更不可能なコピーが OneDrive/SharePoint に保存されます。 事故後に無傷のファイルを抽出できる.
  • サードパーティのバックアップ: マイクロソフトは行いません バックアップ M365コンテンツの従来のバックアップ。SaaSバックアップソリューションを検討してください。 厳しいRTO/RPO きめ細かなリカバリや、 メールをバックアップする.

入力ベクトルを減らすには、次のことを覚えておいてください。 電子メール保護(EOP + Defender)、多要素認証、攻撃面の縮小ルール、フィッシングやスプーフィングのリスクを軽減する Exchange 設定などが含まれます。

上記のすべてを実施すると、Microsoft 365 環境は著しく堅牢になります。 認証されたメール、明確な優先順位を持つ一貫したポリシー、安全なコラボレーション、ユーザーレポート、教育シミュレーション、そして実践的な調査・対応能力を備えています。定期的なレビュー、セキュアスコア、そして最小限の例外措置を加えることで、使いやすさを犠牲にすることなく、現代のキャンペーンにも対応できるシステムが完成します。

フィッシングやマルウェアメールを見分けるには
関連記事
フィッシングメールやマルウェアメールを見分ける方法:完全ガイド