使用 Microsoft 365 Configuration analyzer优化 Exchange Online 环境

在 Microsoft 365 的生态系统中，Exchange Online 作为核心的电子邮件和通信服务，其配置的正确性和优化程度对于企业的日常运营至关重要。而 Exchange Online Configuration analyzer（以下简称 EOC analyzer）则是一款强大的工具，为管理员们提供了深入洞察和优化 Exchange Online 配置的能力。

一、EOC analyzer 是什么？

EOC analyzer 是 Microsoft 365 中专门针对 Exchange Online 配置进行评估和分析的工具。它能够扫描组织的 Exchange Online 环境，检查各项配置设置是否符合最佳实践、是否存在潜在的问题或风险。通过自动化的分析流程，管理员可以快速获取详细的报告，了解当前 Exchange Online 配置的状态。

二、EOC analyzer 的功能亮点

1. 全面的配置检查：它涵盖了 Exchange Online 的各个方面，包括邮件流规则、权限设置、安全策略、邮件传输设置等。例如，在邮件流规则方面，它能检查规则的优先级是否合理，是否存在冲突的规则导致邮件处理异常。

EOC analyzer会分析以下两种类型的策略

• Exchange Online Protection (EOP) 策略：包括Microsoft 365 个具有Exchange Online邮箱的组织以及没有Exchange Online邮箱的独立 EOP 组织：
  • 反垃圾邮件策略。
  • 反恶意软件策略。
  • EOP 反钓鱼策略
• Defender for Office 365策略：包括具有Microsoft 365 E5或Defender for Office 365加载项订阅的组织：
  • Microsoft Defender for Office 365中的反钓鱼策略，其中包括：
    • EOP 反钓鱼策略中提供的相同 欺骗设置 。
    • 模拟设置
    • 高级网络钓鱼阈值
  • 安全链接策略。
  • 安全附件策略。
• 配置分析器还会检查以下非策略设置：
  • DKIM：是否在 DNS 中检测到指定域的 SPF 和 DKIM 记录。
  • Outlook：是否在组织中启用本机 Outlook 外部发件人标识符。

2. 最佳实践建议：基于 Microsoft 的丰富经验和行业最佳实践，EOC analyzer 会在发现配置问题时给出针对性的建议。比如，当检测到权限设置过于宽松时，会建议管理员如何收紧权限以增强安全性，同时又不影响正常的业务流程。
3. 风险评估：对于可能影响 Exchange Online 稳定性和安全性的配置问题，EOC analyzer 会进行风险评估并明确标记。这有助于管理员优先处理高风险的问题，保障企业邮件系统的正常运行。例如，若发现某个服务器的连接设置存在安全漏洞，会及时提醒管理员进行修复。

三、如何使用 EOC analyzer

1. 获取工具：管理员可以通过 Microsoft Defender管理中心找到 EOC analyzer 工具入口。在管理中心的相关 Exchange Online 管理模块中，通常能便捷地启动该工具。

• https://security.microsoft.com/configurationAnalyzer。
• 连接到 Exchange Online PowerShell

2. 需要先分配权限，然后才能执行本文中的过程

• Microsoft Defender XDR基于角色的统一访问控制 (RBAC) (如果Email &协作>Defender for Office 365权限为活动。仅影响 Defender 门户，而不影响 PowerShell) ：授权和设置/安全设置/核心安全设置 (管理) 或授权和设置/安全设置/核心安全设置 (读取) 。

• Email & Microsoft Defender门户中的协作权限：
• 使用配置分析器并更新受影响的安全策略： 组织管理 或 安全管理员 角色组中的成员身份。
• 对配置分析器的只读访问权限： 全局读取者 或 安全读取者 角色组中的成员身份。
• Exchange Online权限：“仅查看组织管理”角色组中的成员身份授予对配置分析器的只读访问权限。
• Microsoft Entra权限：全局管理员*、安全管理员、全局读取者或安全读取者角色的成员身份为用户提供Microsoft 365 中其他功能所需的权限和权限。

3. 运行分析：启动后，管理员可以选择对整个 Exchange Online 环境进行全面扫描，也可以根据特定的需求，如只扫描特定的邮件域或特定的服务器组，进行有针对性的分析。

“配置分析器”页有三个main选项卡：

• Standard建议：将现有安全策略与Standard建议进行比较。 可以调整设置值，使其达到与Standard相同的级别。

• 严格建议：将现有安全策略与严格建议进行比较。 可以调整设置值，使其达到与严格相同的级别。

• 配置偏移分析和历史记录：审核和跟踪一段时间内的策略更改。

 

3. 解读报告：分析完成后，会生成详细的报告。报告以清晰的格式呈现，列出所有检查的项目、当前的配置状态、是否符合最佳实践以及风险等级。管理员可以根据报告内容，逐步进行配置调整和优化。

选项卡的第一部分显示与Standard或严格保护相比，每种策略类型中需要改进的设置数。 策略类型为：

• 反垃圾邮件
• 防网络钓鱼
• 反恶意软件
• Microsoft Defender for Office 365下的
  • 安全全附件
  • 安全链接
  • 内置保护
• DKIM
• Outlook

如果未显示策略类型和编号，则该类型的所有策略都符合Standard或严格保护的建议设置。

若要筛选条目，请选择“ 筛选”。 打开的 “筛选器” 浮出控件中提供了以下筛选器：

• 反垃圾邮件
• 防网络钓鱼
• 反恶意软件
• 安全附件
• 安全链接
• ATP 内置保护规则
• DKIM
• Outlook

在配置分析器的“Standard保护”或“严格保护”选项卡上，单击建议名称旁边的“检查”框以外的任何位置，选择条目。 在打开的详细信息浮出控件中，提供了以下信息：

• 策略：受影响策略的名称。
• 原因？：有关建议设置的值的原因的信息。
• 要更改的特定设置以及要更改的值。
• 查看策略：此链接可转到Microsoft Defender门户中受影响策略的详细信息浮出控件，可在其中手动更新设置。
• 指向 EOP 和Microsoft Defender for Office 365安全性的建议设置的链接。

应用建议：选择此操作时，将 (打开一个确认对话框，其中包含“不再显示对话框”选项) 打开。 选择“ 确定”时，会发生以下情况：

• 设置将更新为建议的值。

• 建议仍处于选中状态，但唯一可用的操作是 “刷新”。

•  “状态” 值更改为 “完成”。

查看策略：你将转到Microsoft Defender门户中受影响策略的详细信息浮出控件，可在其中手动更新设置

配置分析器中的配置偏移分析和历史记录选项卡

此选项卡允许跟踪对安全策略的更改，以及这些更改与Standard或严格设置的比较情况。 默认情况下，显示以下信息:

• 上次修改时间
• 修改者
• 设置名称
• 策略：受影响策略的名称。
• 类型：反垃圾邮件、防钓鱼、反恶意软件、安全链接或安全附件。
• 配置更改：设置的旧值和新值
• 配置偏移：值“增加”或“减少”，指示与建议的“Standard”或“严格”设置相比，设置安全性增加或降低。

Exchange Online Configuration analyzer 是 Microsoft 365 中不可或缺的工具，它为企业管理员提供了高效管理 Exchange Online 配置的手段。通过使用 EOC analyzer，企业可以确保 Exchange Online 的配置既符合最佳实践，又能保障邮件系统的稳定、安全运行，为企业的日常沟通和业务流转提供坚实的基础。随着企业对电子邮件依赖程度的不断提高，善用此类工具将成为企业 IT 管理的关键要素之一。