これにより、メールや添付ファイル・リンクにおけるスパム・フィッシング等の対策や、メールメッセージの追跡等を行うことができ、セキュリティリスクに備えることができます。
- 操作環境:
- OS:Windows 11
- Webブラウザー:Edge
- 使用プラン:Microsoft 365 Business Premium
Defenderのメールとコラボレーションについて
Microsoft 365 Business Premium(以降、365BPと表記します)環境でDefender管理画面にアクセスし、左メニューの[メールとコラボレーション]内のメニューを確認します。
画面イメージの緑色の点線枠で囲ったメニューは、Microsoft Defender for Office 365 P2ライセンスが必要です。今回は上記ライセンスがない状態でも使用できる、最低限実施した方が良いメニューについて取り上げます。
標準的な脅威ポリシーの設定有効化
まずは公式記事に従い、365BP環境におけるメールとコラボレーションのセキュリティポリシーを適用します。
Defender管理画面の左メニューの[メールとコラボレーション>ポリシーとルール]を選択し、[脅威ポリシー]を選択します。
[テンプレート化されたポリシー>既定のセキュリティポリシー]を選択します。
公式記事で標準的な保護の適用が推奨されていましたので、これを有効化します。[標準的な保護はオフです]のオプションをオンにします。
なお、画面イメージにある各保護設定の比較は、こちらの公式記事に説明があります。
設定ウィザード画面に遷移しますので、指示に従い設定を進めます。
メール保護(スパム、マルウェア、フィッシング等の対策)の対象を設定します。絞り込みの必要性がなければ、[すべての受信者]を選択し、[次へ]を選択します。
コラボレーション保護(添付ファイルやリンクの保護)の対象を設定します。絞り込みの必要性がなければ、[すべての受信者]を選択し、[次へ]を選択します。
ここからなりすまし(送信者として偽装)防止の設定に進みます。[次へ]を選択します。
なりすましを防止したいメールアドレスを適宜追加し、[次へ]を選択します。
ここで指定したメールアドレスからのメッセージは偽装保護のチェック対象となります。
なりすましを防止したいカスタムドメインを追加し、[次へ]を選択します。
ここで指定したドメイン内の送信者からのメッセージは偽装保護のチェック対象となります。
偽装保護のチェック対象にしないメールアドレスやドメインがあれば追加し(今回は追加なし)、[次へ]を選択します。
[完了時にポリシーを有効にする]を選択し、[次へ]を選択します。
設定内容を確認し、問題なければ[確認]を選択します。
標準の保護が更新されたら、[完了]を選択します。
今有効化した標準的な脅威ポリシーの設定は、[ポリシーとルール>脅威ポリシー]の[ポリシー]以下の各サブメニュー内に追加されています。
一例として、[フィッシング対策]を選択し、詳細を確認してみます。
[Standard Preset Security Policy]というポリシーが追加されています。
このポリシーの設定を変更したい場合は、これを選択し、[あらかじめ設定されたセキュリティポリシーを表示する]を選択します。
[既定のセキュリティポリシー]画面に遷移したら、[標準的な保護]の[保護設定を管理する]を選択します。
初回と同じ設定ウィザード画面が表示されますので、設定変更を行います。
テナント許可/禁止リストの管理
送信元のメールアドレスやドメインが明らかにスパムやフィッシングなどのように有害と分かっている場合、[テナント許可/禁止リスト]にそれらを設定することで、組織内ユーザーとの通信をブロックすることができます。
- テナントの許可/ブロックに関する公式記事:
テナントの許可/ブロック一覧で許可とブロックを管理する - Microsoft Defender for Office 365 | Microsoft Learn
Defender管理画面の左メニューの[メールとコラボレーション>ポリシーとルール]を選択し、[脅威ポリシー]を選択し、[ルール>テナント許可/禁止リスト]を選択します。
[ドメインとアドレス]以外にも、色々な項目で設定が行えるようになっています。
Exchangeメッセージの追跡
[Exchangeメッセージの追跡]では、自組織がやりとりしたExchange Onlineのメールをトレースすることができます。メールがきちんと送受信できているかユーザーから問い合わせを受けた時やシステム不具合が疑われる時などに活用できます。
- Exchangeメッセージの追跡に関する公式記事:Exchange Online の新しい EAC のメッセージ トレース | Microsoft Learn
Defender管理画面の左メニューの[メールとコラボレーション>Exchangeメッセージの追跡]を選択し、Exchange管理センターに遷移します。
Exchange管理センターの[メールフロー>メッセージ追跡]画面が表示されます。
ここでは例として、[既定のクエリ]の一番上のクエリを使ってメッセージ追跡を実行してみます。
既定のクエリからの検索であれば、予め設定済の状態です。さらに細かく指定したい場合は適宜設定します。設定できたら[検索]を選択します。
検索が完了すると、画面に結果が表示されます。
[結果をエクスポート>すべての結果のエクスポート]を選択すると、csvファイルへのエクスポートができます。
csvエクスポートの続きです。
Exchange管理センターの検索結果画面に戻り、メールのメッセージを選択すると、画面の右側に詳細がポップアップ表示されます。
メールの送受信が正常に実施できているかの確認材料になります。
リアルタイム検出の活用
[リアルタイム検出]では、直近一カ月以内にマルウェアやフィッシング等として検出された内容を確認することができます。
Defender管理画面の左メニューの[メールとコラボレーション>リアルタイム検出]を選択します。
画面イメージは該当データがなく、ご紹介としては今一つですが、詳細確認や誤検知報告などを行うことができます。
おわりに
Defender周りは最初から設定されているポリシーがあり、最低限のセキュリティ対策は動作するようになっています。
この記事の工程2の設定は公式が推奨しており、365BPを導入したらすぐ設定した方が良い内容です(これまでの掲載記事をご覧の方には今更感があるかもしれません)。
365BP導入検討中や導入直後で、どのようなセキュリティ対策を行えば良いか心配な方の参考になれば幸いです。
