Exchange 在线检疫政策

对于某些背景，在 Exchange Online (EXO V2) 中，对于发送到的电子邮件有两种类型的隔离区租户：管理员/系统级隔离区和最终用户隔离区。其原因是，被确定为对最终用户更具恶意或危险性的邮件将被放置在系统隔离区中，以供租户管理员检查。不被视为高度恶意且只是垃圾邮件、批量邮件或其他可疑邮件类型的电子邮件最终会进入最终用户隔离区以供该用户审核。尽管存在这些级别，但管理员无法控制每种隔离类型中最终可能出现的内容。这就是检疫政策发挥作用的地方。

传统上，最终用户对其隔离区的访问是相当静态的，并且没有可以对最终用户可以在自己的隔离区中执行哪些操作进行精细控制。现在我们有了隔离策略的概念，可以为体验提供一定程度的粒度。我们可以在安全中心 (security.microsoft.com) 中使用隔离策略，也可以使用安全与合规中心 PowerShell 模块使用 PowerShell。

为了正确使用隔离策略，我们需要知道它们如何适应整个体验，以及创建隔离策略后需要配置哪些内容。如下所示，隔离策略由反垃圾邮件策略引用，该策略像访问控制列表 (ACL) 一样应用于访问隔离电子邮件的用户：

通过反垃圾邮件策略检查最终用户访问

PowerShell - 不同的 Cmdlet 组

要使用 PowerShell 为租户的最终用户配置隔离区，我们需要使用两个不同的 cmdlet 组，其中一个组控制隔离策略设置，另一个组选择如何将这些隔离策略应用到反垃圾邮件策略。两组 cmdlet 都可以在 Exchange Online (EXO V2) PowerShell 中访问，因此请确保您安装了最新的 EXO V2 cmdlet - 您可以在 Microsoft 的 PowerShell 库中找到它：Exchange Online - EXO V2 - 软件包可供下载。

检疫政策

Get-QuarantinePolicy
New-QuarantinePolicy
Remove-QuarantinePolicy
Set-QuarantinePolicy

通过这些 cmdlet，我们可以开始构建我们的策略以及它们将如何影响最终用户的隔离体验。我们应该从哪里开始？那么，每个策略都会有一系列需要填写的必需值以及也应该配置的非必需值。让我们看一下这些参数：

所需参数

名称：只是必需的属性，请确保将其命名为与其用途相符的名称。

推荐属性

EndUserSpamNotificationFrequencyInDays： 在提供的 1 到 15 天范围内，设定的节奏将允许用户收到有关其隔离邮件的通知。

QuarantineRetentionDays：有效值范围为 1 到 30，虽然建议为 30 天，但如有必要，可以缩短此值。

EndUserQuarantinePermissions：选择最终用户对其隔离邮件拥有的权限。

附加参数 - 环境依赖性

EndUserSpamNotificationLanguage：如果我们需要设置默认语言以外的语言，我们可以使用此属性。

自定义免责声明：设置此项将覆盖全局设置中的免责声明。

创建一个或多个隔离策略

为了说明如何在租户中使用隔离策略，让我们考虑一个场景，其中我们需要创建两种不同类型的隔离策略，其中一种对 IT 团队成员具有完全权限，另一种对 IT 团队成员具有有限的权限。大多数其他用户。对于这两项新政策，我们将保持语言相同（默认）、通知频率相同（1 天）、隔离保留（30 天），此后政策将有所不同。将为 IT 策略配置 CustomDisclaimer 属性，让 IT 知道他们的策略是为其部门定制的，并且我们还将对这两个策略拥有不同的权限。要正确配置策略权限，值得阅读 Microsoft 的相关文档（隔离策略权限），因为正确配置它确实需要一些理解。

对于 IT 隔离策略，我们希望他们拥有完全访问权限或所有可分配的权限。查看图表，我们还需要确保仅同时授予“PermissionToRelease”而不是“PermissionToRequestRelease”。由于这是唯一的排除项，我们将使用如下图表来表示权限：

将所有这些值组合起来，相当于二进制 11110111，可以转换为十进制的 247。对于其他策略，我们希望限制功能并强制用户请求发布，因此他们的权限将如下所示：

组合所有这些值，相当于二进制 00011011，可以转换为十进制 27。现在我们有了两个 Permission 值，让我们创建两个 Policies：

IT 隔离政策

New-QuarantinePolicy -Name 'IT Quarantine Policy' - EndUserSpamNotificationFrequencyInDays 1 -QuarantineRetentionDays 30 -EndUserQuarantinePermissionsValue 247 -CustomDisclaimer 'This Quarantine Policy is for the IT department only. No Restrictions are applied.'

用户隔离政策

New-QuarantinePolicy -Name 'Corporate Quarantine Policy' - EndUserSpamNotificationFrequencyInDays 1 -QuarantineRetentionDays 30 -EndUserQuarantinePermissionsValue 27 

全球隔离政策设置

隔离策略还包含一些全局设置，正如我们在安全管理中心中看到的那样。但是，这些设置不会在我们创建的默认或自定义隔离策略中显示。我们如何通过 PowerShell 访问这些设置？经过一些研究，我们发现 Microsoft 有一个关于隔离策略的 Microsoft 文档页面，并且他们正在添加这些设置的文档。我们需要运行这个特殊的单行代码，它引用 GlobalQuarantinePolicy（仅运行 Get-QuarantinePolicy 是不可见的）：

Get-QuarantinePolicy -QuarantinePolicyType GlobalQuarantinePolicy

这将显示隔离策略隔离设置：

如果政策很难公布，那么修改就很难吗？是和不是。首先，我们需要确保我们拥有可以从 Identity 复制的正确的策略值。接下来，请确保使用 MultipleLanguage* 参数，这些参数仅适用于全局隔离策略。如果我们想调整全局设置，我们可以使用这样的一行：

Set-QuarantinePolicy -Identity 'DefaultGlobalTag' -OrganizationBrandingEnabled $True -MultiLanguageCustomDisclaimer 'Before releasing an email from Quarantine, be sure to verify the sender is authentic.' -MultiLanguageSetting Default -MultiLanguageSenderName 'Office 365 Quarantine'

如果我们需要添加更多语言，我们可以这样做（例如添加德语）：

注意：根据 Microsoft 的说法，“语言计数、自定义免责声明计数和发件人计数必须相等。”

Set-QuarantinePolicy -Identity 'DefaultGlobalTag' -OrganizationBrandingEnabled $True -MultiLanguageCustomDisclaimer 'Before releasing an email from Quarantine, be sure to verify the sender is authentic.','Bevor Sie eine E-Mail aus der Quarantäne freigeben, vergewissern Sie sich, dass der Absender authentisch ist.' -MultiLanguageSetting Default,German -MultiLanguageSenderName 'Office 365 Quarantine','Office 365 Quarantäne' -WhatIf

请记住，对于 OrganizationBrandingEnabled 属性，当将此属性配置为 $True 时，在 Microsoft 365 管理中心中配置的徽标将用于任何自定义最终使用通知电子邮件。现在我们已经配置了自定义隔离策略和全局隔离设置，我们可以将它们应用于反垃圾邮件策略中的最终用户。

反垃圾邮件政策

将隔离策略应用于最终用户的第二阶段是修改或创建新的反垃圾邮件策略，以添加隔离设置。在 PowerShell 中，我们有这四个 cmdlet，可用于管理反垃圾邮件策略：

Get-HostedContentFilterPolicy
New-HostedContentFilterPolicy
Remove-HostedContentFilterPolicy
Set-HostedContentFilterPolicy

在此升级之前，反垃圾邮件策略几乎没有可以修改的与最终用户隔离相关的设置，例如隔离保留、最终用户通知，仅此而已。现在我们可以创建隔离策略并将其应用于最终用户隔离区中的不同消息类型。为了使这些隔离策略有效，我们需要更改反垃圾邮件策略的设置。

注意： 由于我们将隔离策略应用于名为“QuarantineTag”的反垃圾邮件策略上的属性，因此此处可能会出现一些混淆。造成混乱的原因是 Microsoft 对隔离策略和标签的术语进行了更改。

Get-HostedContentFilterPolicy 'Default' | fl *tag

此 cmdlet 产生以下结果：

在 Greenfield 环境中，还有两个 Microsoft 提供的反垃圾邮件策略，即标准策略和严格策略，如下所示：

标准预设安全策略具有以下隔离策略设置：

虽然严格预设安全策略包含以下隔离策略设置：

这两项策略之间的一个共同点是 HighConfidencePhishQuarantineTag 设置为 AdminOnlyAccessPolicy，并且 HighConfidenceSpamQuarantineTag、PhishQuarantineTag 和 BulkQuarantineTag 均设置为 NotificationsEnabledPolicy。

例子

在前面的示例中，我们为租户创建了两个新的隔离策略。现在我们可以使用这些和一些现有的隔离策略，并将它们应用到现有的反垃圾邮件策略或新的反垃圾邮件策略。对于用户隔离策略，我们将把这一新策略应用到默认的反垃圾邮件策略，而对于 IT 隔离策略，我们将创建一个新的反垃圾邮件策略以将其与 IT 部门隔离。首先，默认的反垃圾邮件策略是什么？

我们还知道，我们可以在五个地方制定适当的检疫政策。首先，我们创建企业反垃圾邮件策略，对大多数标签使用企业隔离策略：

New-HostedContentFilterPolicy -Name 'Corporate AntiSpam Policy' -SpamQuarantineTag 'Corporate Quarantine Policy' -HighConfidenceSpamQuarantineTag 'Corporate Quarantine Policy' -PhishQuarantineTag 'Corporate Quarantine Policy' -HighConfidencePhishQuarantineTag 'AdminOnlyAccessPolicy' -BulkQuarantineTag 'Corporate Quarantine Policy' -HighConfidenceSpamAction Quarantine -BulkSpamAction Quarantine -HighConfidencePhishAction Quarantine -PhishSpamAction Quarantine -SpamAction Quarantine 

注意：所有“操作”也都设置为隔离，否则应用隔离策略将不起作用。

接下来，我们创建一个新的自定义 IT 反垃圾邮件策略：

New-HostedContentFilterPolicy -Name 'IT AntiSpam Policy' -SpamQuarantineTag 'IT Quarantine Policy' -HighConfidenceSpamQuarantineTag 'IT Quarantine Policy' -PhishQuarantineTag 'IT Quarantine Policy' -HighConfidencePhishQuarantineTag 'IT Quarantine Policy' -BulkQuarantineTag 'IT Quarantine Policy' -HighConfidenceSpamAction Quarantine -BulkSpamAction Quarantine -HighConfidencePhishAction Quarantine -PhishSpamAction Quarantine -SpamAction Quarantine

为了使此策略仅适用于 IT 部门，我们需要创建引用此策略的托管内容过滤规则：

New-HostedContentFilterRule -Name "IT AntiSpam Rule" -HostedContentFilterPolicy "IT AntiSpam Policy" -SentToMemberOf [email protected]

现在，我们为 IT 部门和组织中的所有用户制定了有效的隔离策略和反垃圾邮件策略。

注意事项

虽然在配置反垃圾邮件策略时所有选项似乎都可用，但正在发生的一些更改将限制可配置的内容：

结论

在使用新的隔离策略时，组织应尽量保持简单。隔离策略有很多选项，以及应用隔离策略的电子邮件类型的潜在场景。因此，最好为每组用户制定一个策略到场景的映射（如果策略被分解为用户组）。为大多数用户分配最少的权限，以便他们能够查看隔离区中的邮件，并且至少能够请求释放电子邮件。一些更高级的用户可以被分配更大的权限，IT 部门应该能够为自己分配大部分（如果不是全部）权限。一旦这些都到位，请确保创建或配置适当的反垃圾邮件策略，该策略的范围是隔离策略所针对的用户群。最后，请确保对此进行适当的记录，以防服务台收到最终用户的问题。