Microsoft Defenderの事前設定セキュリティポリシー(Standard / Strict)解説 ― 最速のメールセキュリティ強化
「Defender for Office 365のフィッシング対策を設定したいが、項目が多くて何をどう設定すればいいかわからない」——そんな場合に最適なのが**事前設定セキュリティポリシー(Preset Security Policies)**です。
Microsoftが推奨する設定値がパッケージ化されており、Standard(標準保護)またはStrict(厳格保護)を選んで有効化するだけで、フィッシング対策・マルウェア対策・スパム対策が一括適用されます。
StandardとStrictの違い
| 設定項目 | Standard | Strict |
|---|---|---|
| フィッシングメールの処理 | 迷惑メールフォルダに移動 | 隔離 |
| 偽装保護(ユーザー偽装) | 有効 | 有効(より厳格な閾値) |
| 偽装保護(ドメイン偽装) | 有効 | 有効 |
| 安全なリンク | 有効(クリック時にURL検証) | 有効 |
| 安全な添付ファイル | 有効(動的配信) | 有効(ブロック) |
| スパムフィルタの感度 | 標準 | 高め(誤検知が増える可能性) |
| 内部メールの保護 | 一部 | すべて |
大半の中小企業にはStandardで十分です。 Strictは金融や医療など、メールセキュリティに極めて厳格な要件がある場合に使います。Strictは誤検知(正常なメールが隔離される)が増える傾向があるため、運用負荷も上がります。
適用手順
- Microsoft Defenderポータル(security.microsoft.com)にサインイン
- 「メールとコラボレーション」→「ポリシーとルール」→「脅威ポリシー」
- 「事前設定されたセキュリティポリシー」を選択
- 「Standard保護」の「管理」をクリック
- 適用対象(全ユーザー、または特定のグループ)を選択
- 保存
これだけで、偽装保護、安全なリンク、安全な添付ファイル、スパムフィルタの推奨設定が一括適用されます。
偽装保護の追加設定
事前設定ポリシーを有効にした後、偽装保護の「保護対象ユーザー」に社長、CFO、経理部長など、BEC(ビジネスメール詐欺)のターゲットになりやすい人物のメールアドレスを追加登録してください。→ BEC/ニセ社長詐欺対策
カスタムポリシーとの関係
事前設定ポリシーはカスタムポリシーより優先度が高い位置に適用されます。既にカスタムポリシーを運用している場合、事前設定ポリシーの有効化で設定が上書きされる可能性があるため、事前に競合を確認してください。
必要なライセンス
事前設定セキュリティポリシーの「Standard保護」は、Defender for Office 365 P1を含むプランで利用可能です。Business Premiumに含まれています。E3単体にはDefender for Office 365 P1が含まれないため、アドオンの追加購入が必要です。
まとめ
事前設定セキュリティポリシーは「何を設定すればいいかわからない」企業にとって最適解です。Standardを有効化するだけで、Microsoftが推奨するメールセキュリティ設定が一括適用されます。まずはStandardから始め、必要に応じてStrictへの引き上げを検討してください。
情シス365では、Defender for Office 365のセキュリティ設定を支援しています。お気軽にご相談ください。