直接消息注入

Direct Message Injection (DMI) 配置指南

注意:从 2024 年 5 月开始,Microsoft 将取消我们 Microsoft DMI 连接所使用的应用模拟管理员角色。此更改仅影响使用此管理员角色的新 Microsoft DMI 连接。使用此管理员角色的当前 DMI 连接在 2025 年 2 月之后才会受到影响,届时 Microsoft 将从 Microsoft Exchange Online 中完全删除应用模拟角色及其相关功能集。目前,KnowBe4 正在使用 Microsoft Graph API 开发新版本的 Microsoft 365 DMI 连接,为 Microsoft 于 2026 年 10 月停用 EWS 做准备由于 Microsoft 已取消应用模拟管理员角色,因此我们正在开发新版本的 Microsoft DMI 连接,非常感谢您的耐心等待。

Direct Message Injection (DMI) 功能可免去将模拟网络钓鱼电子邮件加入白名单的麻烦。DMI 可绕过电子邮件筛选规则,将电子邮件发送至用户的收件箱。借助此功能,即可在 KSAT 控制台与 Microsoft 365 或 Google Workspace 账户之间创建安全链接。

注意:DMI 仅与 Microsoft Azure 的公共实例兼容。由于需要权限,DMI 无法与 Microsoft GCC High 和 DoD 搭配使用。

如果您在使用 Microsoft 365,请在 Azure 中授权 DMI 应用程序,创建 KSAT 与 Microsoft 365 之间的安全连接。DMI 可用作企业应用程序,连接至您的 Microsoft 365 账户。一经授权,DMI 可使用 Microsoft Exchange Web Services (EWS) API,将模拟网络钓鱼电子邮件发送至用户的收件箱。

重要提示:如果您使用 Microsoft 365,我们建议先尝试使用 Microsoft 的高级传递策略添加白名单,再使用 DMI。但是,我们不建议同时使用高级传递策略和 DMI。有关更多信息,请参阅文章如何使用 Microsoft 365 中的高级投递策略

如果您在使用 Google Workspace,请在 Google Workspace 中授权 DMI 应用程序,创建此安全连接。一经授权,DMI 可使用 Google Workspace API,将模拟网络钓鱼电子邮件发送至用户的收件箱。

注意:不能使用 Google Workspace DMI 连接向电子邮件地址别名发送消息。
重要提示:有些白名单功能可能仅限美国境外的客户使用,也许会导致 KSAT 控制台的使用问题。

必要管理员角色

要设置 DMI,则需特定的管理员角色。有关更多信息,请参见以下子部分。

Google Workspace 的必要管理员角色

如果要在 Google Workspace 中设置 DMI,则需使用含超级管理员角色的账户。有关更多信息,请参阅 Google 的文章使用域范围委派控制 API 访问

Microsoft 365 的必要管理员角色

我们建议,先创建一个 DMI 授权的 Microsoft 365 专用管理员账户,然后在 Microsoft 365 账户中设置 DMI。您需要为 DMI 授权账户分配以下角色:

  • Microsoft 365 Exchange 管理中心的应用模拟
  • Microsoft Azure 门户的应用管理员

建议使用未启用多重身份验证 (MFA) 的服务账户。MFA 会妨碍 DMI 成功运行,可能导致您网络钓鱼活动的“已退回”选项卡发生模拟错误。

注意:即使现有账户已分配高级别角色(如全局管理员),您仍需要分配上述权限。

选择以下选项卡,了解如何在各个 Microsoft 365 应用中启用这些权限。

要添加并启用应用模拟角色,请按照以下步骤操作:

  1. 登录您的 Microsoft 365 Exchange 管理中心
  2. 在左侧菜单中,单击角色并选择管理员角色
  3. 单击添加角色组按钮。
  4. 输入新角色组的名称和描述。点击“下一步”。
  5. 添加权限页面,选择应用模拟,然后点击下一步
    提示:如果您没有看到此选项,可以尝试切换视图。例如,如果您正在查看新 Exchange 管理员中心,可切换至经典 Exchange 管理员中心
  6. 选择将负责 DMI 授权的用户账户,然后点击下一步
  7. 检查您的选项并单击添加角色组
或者,您也可以将此权限添加至现有角色组。

要启用应用管理员角色,请按照以下步骤操作:

  1. 登录您的 Azure 门户
  2. Azure 服务标题下,选择用户
  3. 选择将负责 DMI 授权的用户账户。
  4. 在左侧菜单,点击已分配的角色
  5. 符合条件的分配选项卡中,找到应用管理员并将此角色设置为活跃角色。如果没有看到应用管理员,请按照以下步骤操作:
    1. 单击页面顶部的添加分配按钮。
    2. 在下拉菜单中,选择应用管理员
    3. 针对范围类型,选择目录,然后点击下一步
    4. 针对分配类型,选择活动
    5. 单击分配,将此角色分配至选定用户。

要求权限

如果要在 Microsoft 365 中设置 DMI 连接,可看到以下权限请求:

要确保连接安全,DMI 必须使用 EWS 连接至您的用户的收件箱。EWS 连接的权限包括阅读、发送和删除电子邮件的权利。EWS 连接也可以配置邮箱设置。这些权限仅允许 DMI 将电子邮件发送至您的用户收件箱。

重要提示:DMI 不会以任何形式阅读电子邮件、删除电子邮件或更改您的组织邮箱设置。接受这些权限即表示您理解并同意 KnowBe4 的服务条款隐私声明

将 DMI 连接至 KSAT

要使用 DMI,须将您的邮件客户端账户连接至您的 KSAT 控制台。有关更多信息,请参见以下子部分。

将 DMI 连接至 Microsoft 365

要将 KSAT 控制台安全连接至 Microsoft 365 账户,请按照以下步骤操作:

  1. 登录您的 KSAT 控制台。
  2. 单击页面右上角的电子邮件地址,选择账户设置
  3. 选择 Direct Message Injection 部分。
  4. 单击添加 DMI 连接下拉菜单。添加 DMI 连接下拉菜单
  5. 在下拉菜单中,选择 Microsoft 365。系统会跳转到 Microsft 登录页面。
  6. 登录将负责 DMI 授权的 Microsoft 账户。务必使用已分配必要管理员角色的 Microsoft 账户。
  7. 要向 KnowBe4 提供对您的 Microsoft 365 信息的访问权限,可查看要求权限。有关更多信息,请参见上述要求权限部分。
  8. 如果您同意这些权限,请单击接受Microsoft 365 的 DMI 权限
  9. 窗口关闭后,请参阅下方的启用 DMI 部分以继续。
注意:如果要使用 Microsoft 365 的高级威胁防护 (ATP),则需编辑 ATP 链接策略,以防链接重写。有关更多信息,请参阅文章如何防止 Microsoft 365 ATP 重写 KnowBe4 网络钓鱼链接

将 DMI 连接至 Google Workspace

要将 DMI 连接至 Google Workspace,则需将客户端 ID 和范围添加到您的 Google Workspace 管理员控制台。要添加客户端 ID 和范围,请按照以下步骤操作:

  1. 前往 admin.google.com。
  2. 登录 Google Workspace 管理员控制台,选择安全部分。
    注意:如果没有看到安全,请单击页面底部的更多控件
    Google Workspace 管理员安全部分
  3. 单击概览
  4. 选择 API 控件部分。
  5. 打开域范围委派部分,单击管理域范围委派按钮。管理域范围委派按钮
  6. 单击新增按钮。新增按钮
  7. 客户端 ID 字段中,输入“117081416267426756182”。客户端 ID 字段
  8. OAuth Scopes 字段中,输入 "https://www.googleapis.com/auth/gmail.insert"。
  9. 单击授权按钮。

在 KSAT 中启用 DMI

KSAT 控制台连接至邮件客户端账户之后,您需要在 KSAT 中启用 DMI。有关更多信息,请参见以下子部分。

在 Microsoft 365 中启用 DMI

要在 Microsoft 365 中启用 DMI,请按照以下步骤操作:

  1. 登录您的 KSAT 控制台。
  2. 单击页面右上角的电子邮件地址,选择账户设置
  3. 选择 Direct Message Injection 部分。
  4. 单击显示 DMI 设置按钮。显示 DMI 设置按钮
  5. 在配置弹出窗口中填写字段。有关更多信息,请查看以下截图和列表: 
    1. 连接名称:在此字段中输入连接名称。
    2. 在选定域中启用此连接:输入域名或从下拉菜单中选择域,即可选择一个或多个域。
      注意:只有主要电子邮件地址与选定域匹配的用户才能启用 DMI。
    3. 如果 DMI 连接失败,发送通知至:如果连接失败,请在此字段中输入相应人员的电子邮件地址,以便发送通知。
    Microsoft 365 DMI 设置
  6. 单击保存连接设置按钮。
注意:对于 Microsoft 365 连接,如果您已在 Microsoft 365 中启用连接,DMI 将作为企业应用程序显示于 Azure 门户中。您可以在 Azure 门户中查看任何已授权限和使用日志。
重要提示:为 Microsoft 365 配置 DMI 后,投递后收件箱筛选条件可能仍会干扰已记录的电子邮件互动、电子邮件投递或附件功能。

在 Google Workspace 中启用 DMI

连接 DMI 至 Google Workspace 之后,您需要在 KSAT 控制台中启用 DMI。您还需要启用使用发件人地址覆盖固定的返回路径地址设置。要在 Google Workspace 中启用 DMI,请按照以下步骤操作:

  1. 登录您的 KSAT 控制台。
  2. 单击页面右上角的电子邮件地址,选择账户设置
  3. 选择 Direct Message Injection 部分。
  4. 单击添加 DMI 连接下拉菜单并选择 Google Workspace添加 DMI 连接下拉菜单
  5. 在配置弹出窗口中填写字段。有关更多信息,请查看以下截图和列表: 
    1. 连接名称:输入 DMI 连接的名称。
    2. 在选定域中启用此连接:输入域名或从下拉菜单中选择域,即可选择一个或多个域。
      注意:只有主要电子邮件地址与选定域匹配的用户才能启用 DMI。 
    3. 如果 DMI 连接失败,发送通知至:如果 DMI 连接失败,请输入相应人员的电子邮件地址,以便发送通知。
      注意:在此字段输入的电子邮件地址与在选定域中启用此连接字段列出的域无需匹配。
    4. 输入您的 Google Workspace 域所示电子邮件地址:输入相应电子邮件地址,以便接收测试消息。
    配置设置
  6. 单击保存连接设置按钮。

您还需要覆盖您的网络钓鱼电子邮件的返回路径标题。“使用发件人地址覆盖固定的返回路径地址”位于您的账户设置中。有关启用此设置的更多信息,请参阅我们的文章如何在您的账户设置中更改返回路径标题

重要提示:为 Google Workspace 配置 DMI 后,投递后收件箱筛选条件可能仍会干扰已记录的电子邮件互动、电子邮件投递或附件功能。

故障排除

如需了解 DMI 可能出现的问题及其解决方式,请参见以下子部分。

如何在 Microsoft 365 中修复失败的连接

如果连接 KSAT 控制台与 Microsoft 365 账户的 Exchange Web Service 令牌无效,DMI 连接就会失败。

不会发送任何原定使用 DMI 投递的网络钓鱼活动电子邮件。

按照上述将 DMI 连接至 Microsoft 365 部分中的说明,重新连接您的 Microsoft 365 账户。如果在重新连接时遇到问题,请联系支持团队。

如何在 Google Workspace 中修复失败的连接

将 DMI 连接到 Google Workspace 时,如果您在单击授权后收到错误消息,说明您的客户端 ID 和范围可能有误。

要检查客户端 ID 和范围,请按照以下步骤操作:

  1. 找到您创建的新的域范围委派权限。
  2. 单击查看详情
  3. 确保已列出每个范围,没有重复范围,且客户端 ID 正确。
  4. 如果范围缺失或包含错误,请单击编辑,输入缺失的范围,然后单击授权,即可应用变更。
    注意:客户端 ID 无法更改。

如何阻止 DMI 电子邮件显示在 Microsoft 365 的其他邮箱中

如果您的用户在其他收件箱而非集中收件箱中看到 DMI 电子邮件,请按以下步骤解决此问题:

  1. 登录您的 KSAT 控制台。
  2. 单击页面右上角的电子邮箱,选择账户设置
  3. 前往网络钓鱼设置子选项卡。
  4. 启用添加自定义标题
  5. 标题名称(左侧方框)中,输入以下文本:MS-Exchange-Organization-BypassFocusedInbox。
  6. 标题值(右侧方框)中,输入以下文本:“true”。
  7. 单击保存设置

如何向网络钓鱼电子邮件中添加横幅、前缀和签名

启用 DMI 后,我们的网络钓鱼电子邮件能够绕过所有邮件流规则,这些规则可能包括出现在已接收电子邮件上的横幅、前缀和签名。

要使用我们的占位符将横幅、前缀和签名添加回我们的网络钓鱼电子邮件,请按照以下步骤操作:

  1. 登录您的 KSAT 控制台。
  2. 单击页面右上角的电子邮箱,选择账户设置
  3. 导航至占位符部分。
  4. 单击 + 占位符
  5. 从下拉菜单中选择您想添加回网络钓鱼电子邮件的占位符。
  6. 在所示字段中输入占位符信息。您可在该字段中输入任何文本,包括来自现有电子邮件横幅、前缀或签名的源代码。
  7. 从下拉菜单中选择您想显示电子邮件横幅主题前缀占位符的网络钓鱼电子邮件。
  8. 单击保存占位符

断开 DMI 连接

禁用 DMI 时,我们建议移除您的 KSAT 控制台与您的邮件客户端账户的连接。

要断开 DMI 连接,请按照以下步骤操作::

  1. 登录您的 KSAT 控制台。
  2. 单击页面右上角的电子邮箱,选择账户设置
  3. 选择网络钓鱼中的 Direct Message Injection 部分。
  4. 找到要删除的 DMI 连接,并单击显示设置按钮。
    注意:此按钮名称会随着您的连接名称而改变。例如,如果您的连接名称是“DMI 1”,则此按钮名称将显示为“显示 DMI 1 设置”。
  5. 单击移除 DMI 连接按钮。
  6. 确认消息打开后,单击确认按钮。
重要提示:移除 DMI 连接后,激活的网络钓鱼活动将使用标准邮件协议 (SMTP) 发送电子邮件。如果在创建活动时启用了 DMI,那么在此活动的概览子选项卡中,电子邮件仍会显示为 DMI 投递

如果您以后要重新启用 DMI,则需重新授权 KnowBe4 访问权限。要重新启用 DMI,可按照在 KSMAT 中启用 DMI部分中的步骤操作。

提示:要确保您已正确添加白名单,请参阅文章如何验证您已正确将 KnowBe4 加入白名单

未找到您需要的内容?

联系支持人员