如果从固定选项卡单击链接,警告页将显示在该选项卡的 Teams 界面中。出于安全原因,在 Web 浏览器中打开链接的选项处于禁用状态。
根据策略中
“允许用户单击到原始 URL
”设置的配置方式,允许或不允许用户单击原始 URL, (
仍然继续 (不建议在屏幕截图) )
。 建议不要选择“
允许用户单击到原始 URL
”设置,以便用户无法单击到原始 URL。
如果发送链接的用户不受打开 Teams 保护的安全链接策略的保护,用户可以自由单击其计算机或设备上的原始 URL。
单击警告页上的“
返回
”按钮会将用户返回到其原始上下文或 URL 位置。 但是,再次单击原始链接会导致安全链接重新扫描 URL,因此警告页会重新出现。
安全链接在 Teams 中的工作原理
概括而言,以下是安全链接保护在 Microsoft Teams 中适用于 URL 的方式:
用户启动 Teams 应用。
Microsoft 365 验证用户的组织是否包括Microsoft Defender for Office 365,以及用户是否包含在启用了 Microsoft Teams 保护的活动安全链接策略中。
在聊天、群组聊天、频道、选项卡中的用户单击 URL 时进行验证。
Office 应用的安全链接设置
Office 应用的安全链接保护会检查 Office 文档中的链接,而不是电子邮件中的链接。 但是,打开文档后,它可以在电子邮件中检查附加的 Office 文档中的链接。
在安全链接策略中打开或关闭 Office 应用的安全链接保护。 具体而言,在
用户单击 Microsoft Office 应用中的链接时,使用“打开:安全链接”检查已知恶意链接的列表
。在
“Office 365应用
”部分中,URL 不会重写设置。 建议的值位于所选) (。
Office 应用的安全链接保护具有以下客户端要求:
Microsoft 365 应用版或Microsoft 365 商业高级版:
Windows、Mac 或 Web 浏览器中当前版本的 Word、Excel 和 PowerPoint。
iOS 或 Android 设备上的 Office 应用。
Windows 上的 Visio。
Web 浏览器中的 OneNote。
打开保存的 EML 或 MSG 文件时的 Outlook for Windows。
支持的 Office 应用和 Microsoft 365 服务配置为使用新式身份验证。 有关详细信息,请参阅
适用于 Office 客户端应用的新式验证工作原理
。
用户使用其工作或学校帐户登录。 有关详细信息,请参阅
登录 Office
。
有关标准策略设置和严格策略设置的建议值的详细信息,请参阅
安全链接策略设置
。
安全链接在 Office 应用中的工作原理
概括而言,安全链接保护如何适用于 Office 应用中的 URL。 上一部分介绍了支持的 Office 应用。
用户在包含Microsoft 365 应用版或Microsoft 365 商业高级版的组织中使用其工作或学校帐户登录。
用户打开并单击受支持的 Office 应用中 Office 文档的链接。
安全链接在打开目标网站之前会立即检查 URL:
如果 URL 指向已确定为恶意的网站,则 (
恶意网站警告
页或其他警告页面) 打开。
如果 URL 指向可下载文件,并且适用于用户的安全链接策略配置为扫描指向可下载内容的链接 (
对指向) 文件的可疑链接和链接应用实时 URL 扫描
,则会检查可下载文件。
如果 URL 被视为安全,则会将用户带到网站。
如果安全链接扫描无法完成,则不会触发安全链接保护。 在 Office 桌面客户端中,用户在转到目标网站之前会发出警告。
跟踪用户单击次数
:打开或关闭存储单击的 URL 的安全链接单击数据。 建议在) 上保留选中此设置 (。
在 Office 应用的安全链接中,此设置适用于桌面版本Word、Excel、PowerPoint 和 Visio。
如果选择此设置,则以下设置可用:
允许用户单击到原始 URL
:控制用户是否可以单击
警告页
以指向原始 URL。 ) (未选择建议值。
在 Office 应用的安全链接中,此设置适用于桌面版本Word、Excel、PowerPoint 和 Visio 中的原始 URL。
在通知和警告页面上显示组织品牌
:此选项在警告页面上显示组织的品牌。 品牌可帮助用户识别合法警告,因为攻击者经常使用默认的 Microsoft 警告页面。 有关自定义品牌的详细信息,请参阅
自定义组织的 Microsoft 365 主题
。
安全链接策略的优先级
创建多个策略后,可以指定它们的应用顺序。 不能有两个策略具有相同的优先级,在应用第一个策略后,策略处理将停止, (该接收方) 的最高优先级策略。 始终最后应用
内置保护
策略。 在自定义安全链接策略之前,始终应用“
标准
”和“
严格
”预设安全策略的安全链接策略。
有关优先级顺序以及如何评估和应用多个策略的详细信息,请参阅
预设安全策略和其他策略的优先级顺序
和
电子邮件保护的顺序和优先级
。
安全链接策略中的“不重写以下 URL”列表
在邮件流过程中,安全链接不会扫描或包装“请勿重写以下 URL”列表中的条目,但在单击时仍可能被阻止。 将 URL 报告为
“不应阻止” (误报)
,然后选择“
Alow 此 URL
”,将允许条目添加到“租户允许/阻止列表”,以便在邮件流期间
和
单击时安全链接不会扫描或包装该 URL。 有关说明,请参阅
向 Microsoft 报告正确的 URL
。
每个安全链接策略都包含“
不重写以下 URL”
列表,可用于指定安全链接扫描未重写的 URL。 可以在不同的安全链接策略中配置不同的列表。 策略处理在第一个 (可能为用户应用了最高优先级) 策略后停止。 因此,只有一个
“不重写以下 URL
”列表将应用于包含在多个活动安全链接策略中的用户。
若要在新的或现有的安全链接策略中向列表添加条目,请参阅
创建安全链接策略
或修改安全链接策略
。
以下客户端无法识别安全链接策略中的
“请勿重写以下 URL”
列表。 根据这些客户端中的安全链接扫描结果,可以阻止策略中包含的用户访问 URL:
Microsoft Teams
Office Web 应用
有关随处允许的 URL 的真正通用列表,请参阅
管理租户允许/阻止列表
。 但是,不会从安全链接重写中排除租户允许/阻止列表中的 URL 允许条目。
请考虑将常用的内部 URL 添加到列表中,以改善用户体验。 例如,如果你有本地服务(如 Skype for Business 或 SharePoint),则可以添加这些 URL 以将其排除在扫描之外。
如果已在安全链接策略中
未重写以下 URL
条目,请务必查看列表并根据需要添加通配符。 例如,你的列表有一个类似于 的
https://contoso.com/a
条目,你后来决定包括子路径,如
https://contoso.com/a/b
。 将通配符添加到现有条目,使其变为
https://contoso.com/a/*
,而不是添加新条目。
每个 URL 条目最多可以包含三个通配符 (
*
) 。 通配符显式包含前缀或子域。 例如,条目
contoso.com
与 不同
*.contoso.com/*
,因为
*.contoso.com/*
允许用户访问指定域中的子域和路径。
如果 URL 使用 HTTP 到 HTTPS 的自动重定向 (例如,将
http://www.contoso.com
302 重定向用于
https://www.contoso.com
) ,并且你尝试将同一 URL 的 HTTP 和 HTTPS 条目同时输入到列表,你可能会注意到第二个 URL 条目替换了第一个 URL 条目。 如果 URL 的 HTTP 和 HTTPS 版本完全分开,则不会发生此行为。
不要指定 http:// 或 https:// (,即,contoso.com) 以排除 HTTP 和 HTTPS 版本。
*.contoso.com
不
涵盖 contoso.com,因此需要同时排除这两个域,以涵盖指定的域和任何子域。
contoso.com/*
仅
涵盖 contoso.com,因此无需同时排除
contoso.com
和
contoso.com/*
;只需
contoso.com/*
就足够了。
若要排除域的所有迭代,需要两个排除项:
contoso.com/*
和
*.contoso.com/*
。 这些条目组合在一起,排除 HTTP 和 HTTPS、main域 contoso.com 和任何子域,以及任何或未结束部分 (例如,) 涵盖 contoso.com 和 contoso.com/vdir1。
“不重写以下 URL”列表的条目语法
下表介绍了可输入的值及其结果的示例:
*.contoso.com/*
允许访问域、子域和路径 (例如 、
https://www.contoso.com
https://www.contoso.com
、
https://maps.contoso.com
或
https://www.contoso.com/a
) 。
此条目本质上比
*contoso.com*
更好,因为它不允许潜在的欺诈性网站,如
https://www.falsecontoso.com
或
https://www.false.contoso.completelyfalse.com
https://contoso.com/a
允许访问
https://contoso.com/a
,但不允许访问子路径,例如
https://contoso.com/a/b
https://contoso.com/a/*
允许访问
https://contoso.com/a
和子路径,例如
https://contoso.com/a/b
安全链接中的警告页
本部分包含单击 URL 时由安全链接保护触发的各种警告页的示例。
扫描正在进行通知
安全链接正在扫描单击的 URL。 在再次尝试链接之前,可能需要等待片刻。
可疑邮件警告
单击的 URL 位于类似于其他可疑邮件的电子邮件中。 建议在继续访问网站之前,先对电子邮件进行双重检查。
网络钓鱼尝试警告
单击的 URL 位于已标识为网络钓鱼攻击的电子邮件中。 因此,将阻止电子邮件中的所有 URL。 建议不要继续访问网站。
恶意网站警告
单击的 URL 指向已标识为恶意的网站。 建议不要继续访问网站。
发生了某种错误,无法打开 URL。