tos-akibaのブログ

主に Microsoft 365 Security について

MDO の 組込みの保護(Built-in Protection)ポリシーの Action 設定値を確認してみた

前回の投稿で、MDO(Microsoft Defender for Office 365)の事前設定が提供されていることを書きました。

Microsoft Defender for Office 365 の事前設定について整理 - tos-akibaのブログ (hatenablog.com)

 

この「組込みの保護(Built-in Protection)」ポリシーは、既定ですべての受信者に割り当てられる、とありました。

今まで「安全な添付ファイル」については、最初は「モニターモード」で暫く挙動を確認してから展開していた方もあると思います。

Defenderポータルの新規ポリシー作成の設定画面にある以下の「監視」の選択肢のことです。

f:id:tos-akiba:20220216182909p:plain

 

Docs 情報でこのプリセットポリシーの既定値を見ると、Action は「ブロック」になっています。

f:id:tos-akiba:20220216181756p:plain

EOP と Defender のセキュリティ設定に関する Microsoft Office 365推奨 - Office 365 | Microsoft Docs

 

「モニターモード」を使うまでもなく、すべての受信者に対して「ブロック」が有効になってしまうのか、と疑問に思いました。

Set-SafeAttachmentPolicy コマンドのリファレンスを見ても、Action は Allow、Block、Replace、DynamicDelivery の4つで、Block がデフォルトとなっており、モニターモードは無さそうです。

Set-SafeAttachmentPolicy (ExchangePowerShell) | Microsoft Docs

 

 

Exchange Online PowerShell を使って、Built-in Protection Policy の設定値を確認してみました。

 

まず、Windows 10 の PowerShell バージョンを確認し、今回は v7 にはアップデートせずに、Exchange Online PowerShell V2 をインストールしました。

f:id:tos-akiba:20220216183458p:plain

f:id:tos-akiba:20220216183605p:plain

 

インストール完了したら PowerShell を再起動し、インポートします。

f:id:tos-akiba:20220216183619p:plain

 

管理者アカウントで EXO にアクセスし、サインインします。

f:id:tos-akiba:20220216183904p:plain

 

Built-in Policy の設定値を確認しましたが、確かに Action は「Block」になっていました。

f:id:tos-akiba:20220216184106p:plain

 

※ 2022/2/21 追記

セッションを切断せずに PowerShell ウインドウを閉じると、セッションがタイムアウトするまで残ってしまい、リソースを消費したままになるため、必ず以下のコマンドで切断してから PowerShell を閉じましょう。

  Disconnect-ExchangeOnline

 

(参照情報)

Exchange Online PowerShell V2 モジュールのバージョン情報 | Microsoft Docs

Exchange Online PowerShell に接続する | Microsoft Docs

Microsoft Defender セーフの添付ファイル ポリシーをセットアップOffice 365 - Office 365 | Microsoft Docs