菜单 简体中文 Čeština Dansk Deutsch English (US) Español (Latinoamérica) Español (España) Suomi Français (Canada) Français (France) हिंदी Magyar Bahasa Indonesia Italiano 日本語 한국어 Bahasa Melayu Nederlands Norsk Polski Português do Brasil Português (Portugal) Română Русский svenska ไทย Türkçe Українська Tiếng Việt 繁體中文

Direct Message Injection (DMI) 配置指南

更新于:

创建于:

DMI 是什么?

Direct Message Injection (DMI) 功能可免去多余的麻烦,无需将模拟网络钓鱼电子邮件加入白名单。DMI 可绕过电子邮件筛选规则,将电子邮件发送至用户的收件箱。借助此功能,即可在 KMSAT 控制台与 Microsoft 365 或 Google Workspace 帐户之间创建安全链接。

注意:DMI 仅与 Microsoft Azure 的公共实例兼容。由于需要权限,DMI 无法与 Microsoft GCC High 和 DoD 搭配使用。

如果您在使用 Microsoft 365,请在 Azure 中授权 DMI 应用程序,创建 KMSAT 与 Microsoft 365 之间的安全连接。DMI 可用作企业应用程序,连接至您的 Microsoft 365 帐户。一经授权,DMI 可使用 Microsoft Exchange Web Services (EWS) API,将模拟网络钓鱼电子邮件发送至用户的收件箱。

注意:如果您使用 Microsoft 365,我们建议先尝试使用 Microsoft 的高级传递策略添加白名单,再使用 DMI。但是,我们不建议同时使用高级传递策略和 DMI。有关更多信息,请参阅文章如何使用 Microsoft 365 中的高级投递策略

如果您在使用 Google Workspace,请在 Google Workspace 中授权 DMI 应用程序,创建此安全连接。一经授权,DMI 可使用 Google Workspace API,将模拟网络钓鱼电子邮件发送至用户的收件箱。

注意:不能使用 Google Workspace DMI 连接向电子邮件地址别名发送消息。

跳转至:

必要管理员角色

将 DMI 连接至 KMSAT

在 KMSAT 中启用 DMI

故障排除

断开 DMI 连接

 

必要管理员角色

要设置 DMI,则需特定的管理员角色。有关更多信息,请参见以下子部分。

注意:建议使用未启用多重身份验证 (MFA) 的服务帐户。MFA 可以阻止设置 DMI。当您使用已启用双重身份验证的 Microsoft 365 帐户时,在您的网络钓鱼活动的退回选项卡中,通过 DMI 发送的电子邮件会显示模拟错误。

 

Google Workspace 的必要管理员角色

如果要在 Google Workspace 中设置 DMI,则需使用含超级管理员角色的帐户。有关更多信息,请参阅 Google 的文章使用域范围委派控制 API 访问

返回顶部

 

Microsoft 365 的必要管理员角色

我们建议,先创建一个 DMI 授权的 Microsoft 365 专用管理员帐户,然后在 Microsoft 365 帐户中设置 DMI。您需要为 DMI 授权帐户分配以下角色:

  • Microsoft 365 Exchange 管理中心的应用模拟
  • Microsoft Azure 门户的应用管理员
注意:即使现有帐户已分配高级别角色(如全局管理员),您仍需要分配上述权限。

选择以下选项卡,了解如何在各个 Microsoft 365 应用中启用这些权限。

要添加并启用应用模拟角色,请按照以下步骤操作:

  1. 登录您的 Microsoft 365 Exchange 管理中心
  2. 在左侧菜单中,单击角色并选择管理员角色
  3. 单击添加角色组按钮。
  4. 输入新角色组的名称和描述。点击“下一步”。
  5. 添加权限页面,选择应用模拟,然后点击下一步
    提示:如果您没有看到此选项,可以尝试切换视图。例如,如果您正在查看新 Exchange 管理员中心,可切换至经典 Exchange 管理员中心
  6. 选择将负责 DMI 授权的用户帐户,然后点击下一步
  7. 检查您的选项并单击添加角色组
或者,您也可以将此权限添加至现有角色组。

要启用应用管理员角色,请按照以下步骤操作:

  1. 登录您的 Azure 门户
  2. Azure 服务标题中,选择用户
  3. 选择将负责 DMI 授权的用户帐户。
  4. 在左侧菜单中,单击已分配角色
  5. 符合条件的分配选项卡中,找到应用管理员并将此角色设置为活跃角色。如果没有看到应用管理员,请按照以下步骤操作:
    1. 单击页面顶部的添加分配按钮。
    2. 在下拉菜单中,选择应用管理员
    3. 针对范围类型,选择目录,然后点击下一步
    4. 针对分配类型,选择活动
    5. 单击分配,将此角色分配至选定用户。

返回顶部

 

要求权限

如果要在 Microsoft 365 中设置 DMI 连接,可看到以下权限请求:

要确保连接安全,DMI 必须使用 EWS 连接至您的用户的收件箱。EWS 连接的权限包括阅读、发送和删除电子邮件的权利。EWS 连接也可以配置邮箱设置。这些权限仅允许 DMI 将电子邮件发送至您的用户收件箱。

重要提示:DMI 不会以任何形式阅读电子邮件、删除电子邮件或更改您的组织邮箱设置。

接受这些权限即表示您理解并同意 KnowBe4 的服务条款隐私声明

返回顶部

 

将 DMI 连接至 KMSAT

要使用 DMI,须将您的邮件客户端帐户连接至您的 KMSAT 控制台。有关更多信息,请参见以下子部分。

 

将 DMI 连接至 Microsoft 365

要将 KMSAT 控制台安全连接至 Microsoft 365 帐户,请按照以下步骤操作:

  1. 登录您的 KMSAT 控制台。
  2. 单击页面右上角的电子邮件地址,选择帐户设置
  3. 选择 Direct Message Injection 部分。
  4. 单击添加 DMI 连接下拉菜单。添加 DMI 连接下拉菜单
  5. 在下拉菜单中,选择 Microsoft 365。系统会跳转到 Microsft 登录页面。
  6. 登录将负责 DMI 授权的 Microsoft 帐户。务必使用已分配必要管理员角色的 Microsoft 帐户。
  7. 要向 KnowBe4 提供对您的 Microsoft 365 信息的访问权限,可查看要求权限。有关更多信息,请参见上述要求权限部分。
  8. 如果您同意这些权限,请单击接受
    Microsoft 365 的 DMI 权限
  9. 关闭窗口后,请参见以下启用 DMI 部分并继续。
注意:如果要使用 Microsoft 365 的高级威胁防护 (ATP),则需编辑 ATP 链接策略,以防链接重写。有关更多信息,请参阅文章如何防止 Microsoft 365 ATP 重写 KnowBe4 网络钓鱼链接

返回顶部

 

将 DMI 连接至 Google Workspace

要将 DMI 连接至 Google Workspace,则需将客户端 ID 和范围添加到您的 Google Workspace 管理员控制台。要添加客户端 ID 和范围,请按照以下步骤操作:

  1. 前往 admin.google.com。
  2. 登录 Google Workspace 管理员控制台,选择安全部分。
    注意:如果没有看到安全,请单击页面底部的更多控件
    Google Workspace 管理员安全部分
  3. 单击概览
  4. 选择 API 控件部分。
  5. 打开域范围委派部分,单击管理域范围委派按钮。管理域范围委派按钮
  6. 单击新增按钮。新增按钮
  7. 客户端 ID 字段中,输入“117081416267426756182”。客户端 ID 字段
  8. OAuth Scopes字段中,输入以下 URL:
  • https://mail.google.com
  • https://www.googleapis.com/auth/gmail.insert
  • https://www.googleapis.com/auth/gmail.modify
  • 单击授权按钮。

返回顶部

 

在 KMSAT 中启用 DMI

KMSAT 控制台连接至邮件客户端帐户之后,您需要在 KMSAT 中启用 DMI。有关更多信息,请参见以下子部分。

 

在 Microsoft 365 中启用 DMI

要在 Microsoft 365 中启用 DMI,请按照以下步骤操作:

  1. 登录您的 KMSAT 控制台。
  2. 单击页面右上角的电子邮件地址,选择帐户设置
  3. 选择 Direct Message Injection 部分。
  4. 单击显示 DMI 设置按钮。显示 DMI 设置按钮
  5. 在配置弹出窗口中填写字段。有关更多信息,请参见以下截图和列表:Microsoft 365 DMI 设置
    1. 连接名称:在此字段中输入连接名称。
    2. 在选定域中启用此连接:输入域名或从下拉菜单中选择域,即可选择一个或多个域。
      注意:只有主要电子邮件地址与选定域匹配的用户才能启用 DMI。
    3. 如果 DMI 连接失败,发送通知至:如果连接失败,请在此字段中输入相应人员的电子邮件地址,以便发送通知。
  6. 单击保存连接设置按钮。
注意:对于 Microsoft 365 连接,如果您已在 Microsoft 365 中启用连接,DMI 将作为企业应用程序显示于 Azure 门户中。您可以在 Azure 门户中查看任何已授权限和使用日志。

返回顶部

 

在 Google Workspace 中启用 DMI

连接 DMI 至 Google Workspace 之后,您需要在 KMSAT 控制台中启用 DMI。要在 Google Workspace 中启用 DMI,请按照以下步骤操作:

  1. 登录您的 KMSAT 控制台。
  2. 单击页面右上角的电子邮件地址,选择帐户设置
  3. 选择 Direct Message Injection 部分。
  4. 单击添加 DMI 连接下拉菜单并选择 Google Workspace添加 DMI 连接下拉菜单
  5. 在配置弹出窗口中填写字段。有关更多信息,请参见以下截图和列表:配置设置
    1. 连接名称:输入 DMI 连接的名称。
    2. 在选定域中启用此连接:输入域名或从下拉菜单中选择域,即可选择一个或多个域。

      注意:只有主要电子邮件地址与选定域匹配的用户才能启用 DMI。如果您的管理员电子邮件地址与此字段的选定域匹配,对于通过向我发送测试电子邮件功能发送的电子邮件,DMI 还可将此类邮件进行投递。此测试电子邮件会在原始电子邮件标题的消息 ID 处显示 @injector.psm.knowbe4.com。

    3. 如果 DMI 连接失败,发送通知至:如果 DMI 连接失败,请输入相应人员的电子邮件地址,以便发送通知。
      注意:在此字段输入的电子邮件地址与在选定域中启用此连接字段列出的域无需匹配。
    4. 输入您的 Google Workspace 域所示电子邮件地址:输入相应电子邮件地址,以便接收测试消息。
  6. 单击保存连接设置按钮。
注意:在 Google Workspace 中配置 DMI 后,投递后收件箱筛选条件可能仍会干扰电子邮件的传递或附件功能。

返回顶部

 

故障排除

如需了解 DMI 可能出现的问题及其解决方法,请参见以下子部分。

 

如何在 Microsoft 365 中修复失败的连接

如果连接 KMSAT 控制台与 Microsoft 365 帐户的 Exchange Web Service 令牌无效,DMI 连接就会失败。

不会发送任何原定使用 DMI 投递的网络钓鱼活动电子邮件。

按照上述将 DMI 连接至 Microsoft 365 部分中的说明,重新连接您的 Microsoft 365 帐户。如果在重新连接时遇到问题,请联系支持团队。

返回顶部

 

如何在 Google Workspace 中修复失败的连接

将 DMI 连接到 Google Workspace 时,如果您在单击授权后收到错误消息,说明您的客户端 ID 和范围可能有误。

要检查客户端 ID 和范围,请按照以下步骤操作:

  1. 找到您创建的新的域范围委派权限。
  2. 单击查看详情
  3. 确保已列出每个范围,没有重复范围,且客户端 ID 正确。
  4. 如果范围缺失或包含错误,请单击编辑,输入缺失的范围,然后单击授权,即可应用变更。
    注意:客户端 ID 无法更改。

返回顶部

 

如何阻止 DMI 电子邮件显示在 Microsoft 365 的其他邮箱中

如果您的用户在其他收件箱而非集中收件箱中看到 DMI 电子邮件,请按以下步骤解决此问题:

  1. 登录您的 KMSAT 控制台。
  2. 单击页面右上角的电子邮箱,选择帐户设置
  3. 前往网络钓鱼设置子选项卡。
  4. 启用添加自定义标题
  5. 标题名称(左侧方框)中,输入以下文本:MS-Exchange-Organization-BypassFocusedInbox。
  6. 标题值(右侧方框)中,输入以下文本:“true”。
  7. 单击保存设置

返回顶部

 

如何向网络钓鱼电子邮件中添加横幅、前缀和签名

启用 DMI 后,我们的网络钓鱼电子邮件能够绕过所有邮件流规则,这些规则可能包括出现在已接收电子邮件上的横幅、前缀和签名。

要使用我们的占位符将横幅、前缀和签名添加回我们的网络钓鱼电子邮件,请按照以下步骤操作:

  1. 登录您的 KMSAT 控制台。
  2. 单击页面右上角的电子邮件,选择帐户设置
  3. 导航至占位符部分。
  4. 单击 + 占位符
  5. 从下拉菜单中选择您想添加回网络钓鱼电子邮件的占位符。
  6. 在所示字段中输入占位符信息。您可在该字段中输入任何文本,包括来自现有电子邮件横幅、前缀或签名的源代码。
  7. 从下拉菜单中选择您想显示电子邮件横幅主题前缀占位符的网络钓鱼电子邮件。
  8. 单击保存占位符

返回顶部

 

断开 DMI 连接

禁用 DMI 时,我们建议移除您的 KMSAT 控制台与您的邮件客户端帐户的连接。

要断开 DMI 连接,请按照以下步骤操作::

  1. 登录您的 KMSAT 控制台。
  2. 单击页面右上角的电子邮件,选择帐户设置
  3. 选择网络钓鱼中的 Direct Message Injection 部分。
  4. 找到要删除的 DMI 连接,并单击显示设置按钮。
    注意:此按钮名称会随着您的连接名称而改变。例如,如果您的连接名称是“DMI 1”,则此按钮名称将显示为“显示 DMI 1 设置”。
  5. 单击移除 DMI 连接按钮。
  6. 确认消息打开后,单击确认按钮。
注意:移除 DMI 连接后,激活的网络钓鱼活动将使用标准邮件协议 (SMTP) 发送电子邮件。如果在创建活动时启用了 DMI,那么在此活动的概览子选项卡中,电子邮件仍会显示为 DMI 投递

如果您以后要重新启用 DMI,则需重新授权 KnowBe4 访问权限。要重新启用 DMI,可按照在 KSMAT 中启用 DMI部分中的步骤操作。

注意:要确保您已正确添加白名单,请参阅文章如何验证您已正确将 KnowBe4 加入白名单

返回顶部

还有其它问题?提交请求

评论

0 条评论

文章评论已关闭。

相关文章