tos-akibaのブログ

主に Microsoft 365 Security について

EOP と MDO の Standard、Strict ポリシーの有効化

以前の投稿で、MDO(Microsoft Defender for Office 365)の built-in security 設定について書きました。
Microsoft Defender for Office 365 の事前設定について整理 - tos-akibaのブログ

それに関連して、標準保護(Standard Protection)と厳密な保護(Strict Protection)についての補足です。

 

MDO の built-in security ポリシーは自動的に「有効」状態になります。

これに対し、Standard、Strict ポリシーは最初は「無効」状態であり、利用する場合は最初に設定する対象のユーザー、グループ、ドメインの何れかを指定して有効化する必要があります。

その指定の際には、EOP保護の適用対象と、MDO による保護の適用対象を、それぞれ設定することができるようになっています。

Configurable impersonation protection and scope for Preset Security policies - Microsoft Tech Community


設定場所は、Microsoft 365 Defender 管理サイトで、メールのポリシーとルールで「脅威ポリシー」の「既定のセキュリティポリシー」を開きます。

例えば Standard ポリシー設定であれば、下図の右側のように、デフォルトでは「無効」になっているので、右下「標準的なポリシーの適用」をクリックして設定します。

 

以下のように、EOP、MDO、それぞれの適用対象を別々に設定することができます。

 

また、6月~8月のアップデートが反映されると、これらの設定画面で「すべての受信者」を選択設定できるようになるそうです。

 

なお、Docs を読む限り、Standard や Strict 設定には MDOの「安全なリンク」や「安全な添付ファイル」のポリシー設定は含まれておらず、それらは MDO の built-in security ポリシーの設定によるようです。

EOP とDefender for Office 365セキュリティ設定に関する Microsoft の推奨事項 - Office 365 | Microsoft Docs