在 Microsoft Teams 中配置零时自动清除

随着远程工作文化的发展势头，Microsoft Teams 逐渐发展成为一个重要的沟通平台，在组织内部架起了桥梁。然而，随着其广泛采用，安全问题也随之升级。用户群的增加为黑客提供了更广泛的潜在目标。

因此，微软引入了一系列安全措施，例如报告可疑消息、阻止匿名用户访问等.，确保 Teams 用户的安全。那么，Microsoft Teams 中的零小时自动清除 (ZAP) 将为您提供救援！

事不宜迟，让我们在这篇博客中深入了解这个 ZAP 功能及其配置。

什么是 Microsoft Defender 中的零时自动清除？

零时自动清除 (ZAP) 是 Exchange Online Protection (EOP) 中的一项电子邮件保护功能，可提供额外的安全层。 Exchange Online 中的零小时自动清除可主动监控您的邮箱，隔离已渗入您收件箱的垃圾邮件、网络钓鱼和恶意软件电子邮件。

Microsoft Teams 零小时自动清除

在 Microsoft Teams 中，零时自动清除 (ZAP) 会扫描您的 Teams 环境，以识别已渗透到您工作区的任何恶意消息。一旦检测到，发件人和收件人都会立即阻止这些消息。请注意，虽然初始阻止会在消息传递后立即发生，但 ZAP 会在消息传递后最多 48 小时内发生。

MS Teams 中的零小时自动清除需要许可证

下面列出了 Microsoft Teams 零小时自动清除的许可证要求。

• 微软365 E5
• 适用于 Office 365 的 Microsoft Defender 计划 2

最重要的是，Microsoft Teams 中的 ZAP 仅支持内部消息，不支持外部消息。然后，Microsoft 零小时自动清除仅扩展对 Teams 聊天、共享频道和标准频道的支持。

在 Microsoft Defender 中为 MS Teams 配置零小时自动清除

Microsoft 表示，2023 年 8 月之后，根据 MC661823，将默认为符合条件的客户“开启”Teams 保护功能，包括零小时自动清除。如果没有，您可以使用以下步骤手动启用零小时自动清除 (ZAP) 以实现 Teams 保护。

1.使用以下路径进行导航，为 Teams 保护配置 ZAP。

Microsoft 365 Defender ?设置 ? 电子邮件和协作 ? Microsoft Teams 保护

2. 现在验证零时自动清除开关是否打开/关闭，以创建针对垃圾邮件和恶意软件消息的零时自动清除策略。如果开关处于关闭状态，请将其设置为打开。

3. 接下来，分配隔离策略以控制用户功能和 ZAP 删除邮件的通知，例如恶意软件或高可信度网络钓鱼 。

概述了默认隔离策略以指定用户可以对隔离邮件采取的操作。

• • AdminOnlyAccessPolicy - 管理员可以使用此策略对用户对隔离邮件的访问施加完全限制。此外，用户不会收到有关隔离邮件的任何通知。
• DefaultFullAccessPolicy - 此选项为用户提供对隔离邮件的完全访问权限，但不启用通知。其实这个选项是为了危害较小的内容而设置的，可以帮助用户根据情况直接屏蔽发件人、删除、预览。
• DefaultFullAccessWithNotificationPolicy - 选择此替代方案可在启用隔离通知的情况下提供完全访问权限。
• NotificationEnabledPolicy - 此选项仅适用于已激活最终用户垃圾邮件通知的某些组织。较新或较旧且从未启用最终用户垃圾邮件通知的组织不拥有此NotificationEnabledPolicy。此选项授予用户对已启用隔离通知的隔离邮件的完全访问权限。

4. 然后，您可以使用“排除这些参与者”选项删除某些收件人的 ZAP 保护功能。因此，请提及要从 Microsoft 365 Teams 保护的 ZAP 中排除的用户、组或域。

• 值得注意的是，Teams 保护中 ZAP 的这些排除主要针对邮件收件人，而不是邮件发件人。请考虑以下情况以了解 ZAP 保护功能如何应用于群聊中的排除。

想象一下与四个接收者（即 A、B、C 和 D）进行的群聊。

• • 案例 1：收件人 A、B、C 和 D 被排除在 ZAP for Teams 保护之外
    结果：Microsoft 零小时自动清除不会阻止发送到此群聊的消息
• 情况 2：只有收件人 A、B 和 C 被排除在 ZAP for Teams 保护之外。
  结果：Microsoft 365 中的零小时自动清除将阻止所有收件人发送到此群聊的消息。 （甚至是被排除在 ZAP 之外的收件人）
• 案例 3：收件人 A、B、C 和 D 未被排除在 ZAP for Teams Protection 之外。相反，发件人 X 被排除在 ZAP for Teams 保护之外。
  结果：ZAP 将阻止所有收件人发送到此群聊的消息。

5. 配置 ZAP 设置后，点击保存按钮以保存 Microsoft Teams 中的 ZAP 配置。

使用 PowerShell 配置 ZAP 以实现团队保护

除了防御者门户之外，微软还为使用 Exchange Online PowerShell 在 MS Teams 中配置零小时自动清除铺平了道路。在深入研究本主题之前，请确保连接到 Exchange Online PowerShell 模块。使用 PowerShell 配置 ZAP 主要涉及两个 cmdlet。他们是，

• Teams 保护策略 - 此 cmdlet 用于打开 ZAP 并制定隔离策略，以根据恶意软件或高可信度网络钓鱼检测采取相应操作。
• Teams 保护策略规则 - 用于标识 Teams 保护策略并提及 ZAP for Teams 保护的排除项，包括用户、组或域。

通过使用 Exchange Online PowerShell，我们可以在 Microsoft Teams 中对零时自动清除执行以下操作。

1. 获取团队保护政策
2. 获取 Teams 保护策略规则
3. 修改 Teams 保护政策
4. 创建 Teams 保护策略规则
5. 修改 Teams 保护策略规则

1.获取团队保护政策

使用“Get-TeamsProtectionPolicy”cmdlet 检查 ZAP 是否已启用并检索其在 Teams 保护策略中的重要值。

Get-TeamsProtectionPolicy | Format-List Name,ZapEnabled,HighConfidencePhishQuarantineTag,MalwareQuarantineTag

2.获取团队保护策略规则

运行以下“Get-TeamsProtectionPolicyRule” cmdlet 可获取有关排除项的详细信息，例如从 ZAP for Teams 保护中排除的用户、组或域。

Get-TeamsProtectionPolicyRule | Format-List Name,TeamsProtectionPolicy,ExceptIfSentTo,ExceptIfSentToMemberOf,ExceptIfRecipientDomainIs

3.修改团队保护策略

您可以利用“Set-TeamsProtectionPolicy” cmdlet 自定义组织的 Teams 保护策略。这使您可以启用零时自动清除等功能，并分配隔离策略来处理恶意软件或高度可信的网络钓鱼检测。

Set-TeamsProtectionPolicy -Identity "Teams Protection Policy" [-ZapEnabled <$true | $false>] [-HighConfidencePhishQuarantineTag "<QuarantinePolicyName>"] [-MalwareQuarantineTag "<QuarantinePolicyName>"]

在此示例中，我们启用零小时自动清除并将隔离策略设置为 AdminOnlyAccessPolicy，以实现高可信度的网络钓鱼检测。

Set-TeamsProtectionPolicy -Identity "Teams Protection Policy" -ZapEnabled $true -HighConfidencePhishQuarantineTag AdminOnlyAccessPolicy

4.创建团队保护策略规则

由于 ZAP 功能没有默认排除项，因此没有默认的 Teams 保护策略规则。因此，您可以使用下面提到的“New-TeamProtectionPolicyRule”cmdlet 来创建定义例外的 Teams 保护策略规则。

New-TeamsProtectionPolicyRule -Name "Teams Protection Policy Rule" -TeamsProtectionPolicy "Teams Protection Policy" [-ExceptIfSentTo <UserEmail1,UserEmail2,...UserEmailN>] [-ExceptIfSentToMemberOf <GroupEmail1,GroupEmail2,...GroupEmailN>] [-ExceptIfRecipientDomainIs <Domain1,Domain2,...DomainN>]

以下示例创建一条 Teams 保护策略规则，排除带有“ExceptIfSentToMemberOf”参数的通讯组列表的成员。

New-TeamsProtectionPolicyRule -Name "Teams Protection Policy Rule" -TeamsProtectionPolicy "Teams Protection Policy" -ExceptIfSentToMemberOf [email protected]

5.修改团队保护策略规则

您可以使用下面提到的“Set-TeamsProtectionPolicyRule” cmdlet 修改现有的 Teams 保护策略规则。

Set-TeamsProtectionPolicyRule -Identity "Teams Protection Policy Rule" [-ExceptIfSentTo <UserEmailAddresses | $null>] [-ExceptIfSentToMemberOf <GroupEmailAddresses | $null>] [-ExceptIfRecipientDomainIs <Domains | $null>]

使用下面的示例，您可以修改现有的 Teams Protection 策略规则，并使用 “ExceptIfRecipientDomainIs ” 参数排除特定域中的成员。

Set-TeamsProtectionPolicyRule -Identity "Teams Protection Policy Rule" -ExceptIfRecipientDomainIs research.contoso.com,research.contoso.net

注意：在ExceptIfSentTo、ExceptIfSentToMemberOf、或 exceptIfRecipientDomainIs 参数，以避免从 ZAP for Teams 保护中排除。

需要注意的事项...

1. 组织只存在一项 Teams 保护策略，默认情况下将其指定为“Teams 保护策略”。
2. 使用“New-TeamsProtectionPolicy” cmdlet 创建 Teams 保护策略。请注意，只有当您的组织中不存在 Teams 保护策略时才会建立该策略。运行 cmdlet 可能不会导致错误，但仅当先前的策略不存在时，其执行才会导致策略创建。
3. 无法移除或删除 Teams Protection 策略或 Teams Protection 策略规则。
4. 最后，Microsoft 365 中默认没有 Teams 保护策略规则。配置隔离策略并添加 ZAP for Teams 保护的排除项会自动创建 Teams 保护策略规则。您可以在 Defender 门户中或使用 PowerShell 中的“New-TeamsProtectionPolicyRule” cmdlet 来配置它们。

在 Microsoft Defender 中查看 MS Teams 隔离的消息

隔离有害的恶意或网络钓鱼消息是重要的初始预防措施，但它并不是组织中抵御入侵和恶意攻击的唯一防御措施。作为管理员，您可以获取零小时自动清除报告并查看 ZAP 通过 Microsoft Defender 门户删除的有害内容。使用 Microsoft Defender 门户，管理组织中的 MS Teams 隔离邮件。

按照以下路径监视 ZAP 删除的 ZAP 邮件和隔离的 Teams 邮件。

Microsoft 365 Defender ?电子邮件和协作 ? 查看 ? 隔离 ? Teams 消息

仅靠零时自动清除并不能完全消除数据盗窃！相反，它充当额外的防御层，降低影响 Teams 聊天和会议的潜在风险。因此，管理员主动识别和解决 Microsoft Teams 中的潜在漏洞以防止数据泄露仍然至关重要。

AdminDroid Microsoft 365 Reporter 现已推出，它是一款有价值的工具，旨在帮助分析 Microsoft 365 环境。它提供有关整个团队的详细报告，以监控和防范网络威胁。

通过 AdminDroid 增强 Microsoft Teams 数据安全性

借助 AdminDroid，审核 MS Teams 活动，例如成员资格更改、外部用户登录、DLP 操作、用户活动、文件访问和共享事件，以领先于网络威胁所有可能的方式。借助手中的 Microsoft Teams 仪表板，全面了解您的 Teams 环境，涵盖每一个微小的细节到巨大的变化！

此外，您可以通过 AdminDroid Microsoft Teams 报告对所有活动保持警惕，例如 Teams 设置、标准和私人频道、所有权、成员资格、权限、Teams 非活动用户、设备使用情况等工具。

不要将自己局限于MS Teams 管理！ AdminDroid 中还有更多内容！是的，AdminDroid 是一款一体化 Microsoft 365 报告和审核工具。它提供了几乎1800多个综合报告和30多个时尚仪表板 b>包括 Microsoft Entra ID、Exchange Online、MS Teams、SharePoint Online、OneDrive、Power BI、Stream 和 Viva Engage 等各种服务。

此外，它还通过 AdminDroid 警报、日程安排、 细粒度访问授权和高级自定义过滤器。

立即下载AdminDroid使用15 天试用获得轻松 Microsoft 365 管理的开拓性体验.

总体而言，如果偶尔的消息成功突破您的安全防御并进入 Microsoft Teams，则无需过度担心。在 Microsoft Teams 中启用 ZAP 有助于快速拦截和阻止潜在有害消息，确保您的组织免受潜在威胁。

作为这些保护功能的一部分，零时自动清除 (ZAP) 在维护新 Microsoft Teams 环境的完整性和安全性方面发挥着至关重要的作用。因此，请确保您遵循 Microsoft Teams 安全最佳实践，并立即采取主动措施来加强您的 Teams 通信并确保您的组织免受新兴威胁的侵害。

我们希望此博客能让您清楚地了解 Microsoft Teams 中的零小时自动清除。请随时在评论部分分享您的想法和任何问题。