DMI 是什么?
Direct Message Injection (DMI) 功能可免去多余的麻烦,无需将模拟网络钓鱼电子邮件加入白名单。DMI 可绕过电子邮件筛选规则,将电子邮件发送至用户的收件箱。借助此功能,即可在 KMSAT 控制台与 Microsoft 365 或 Google Workspace 帐户之间创建安全链接。
如果您在使用 Microsoft 365,请在 Azure 中授权 DMI 应用程序,创建 KMSAT 与 Microsoft 365 之间的安全连接。DMI 可用作企业应用程序,连接至您的 Microsoft 365 帐户。一经授权,DMI 可使用 Microsoft Exchange Web Services (EWS) API,将模拟网络钓鱼电子邮件发送至用户的收件箱。
如果您在使用 Google Workspace,请在 Google Workspace 中授权 DMI 应用程序,创建此安全连接。一经授权,DMI 可使用 Google Workspace API,将模拟网络钓鱼电子邮件发送至用户的收件箱。
跳转至:
- 如何在 Microsoft 365 中修复失败的连接
- 如何在 Google Workspace 中修复失败的连接
- 如何阻止 DMI 电子邮件显示在 Microsoft 365 的其他邮箱中
- 如何向网络钓鱼电子邮件中添加横幅、前缀和签名
必要管理员角色
要设置 DMI,则需特定的管理员角色。有关更多信息,请参见以下子部分。
Google Workspace 的必要管理员角色
如果要在 Google Workspace 中设置 DMI,则需使用含超级管理员角色的帐户。有关更多信息,请参阅 Google 的文章使用域范围委派控制 API 访问。
Microsoft 365 的必要管理员角色
我们建议,先创建一个 DMI 授权的 Microsoft 365 专用管理员帐户,然后在 Microsoft 365 帐户中设置 DMI。您需要为 DMI 授权帐户分配以下角色:
- Microsoft 365 Exchange 管理中心的应用模拟。
- Microsoft Azure 门户的应用管理员
选择以下选项卡,了解如何在各个 Microsoft 365 应用中启用这些权限。
要添加并启用应用模拟角色,请按照以下步骤操作:
- 登录您的 Microsoft 365 Exchange 管理中心。
- 在左侧菜单中,单击角色并选择管理员角色。
- 单击添加角色组按钮。
- 输入新角色组的名称和描述。点击“下一步”。
- 在添加权限页面,选择应用模拟,然后点击下一步。
提示:如果您没有看到此选项,可以尝试切换视图。例如,如果您正在查看新 Exchange 管理员中心,可切换至经典 Exchange 管理员中心。
- 选择将负责 DMI 授权的用户帐户,然后点击下一步。
- 检查您的选项并单击添加角色组。
要启用应用管理员角色,请按照以下步骤操作:
- 登录您的 Azure 门户。
- 在 Azure 服务标题中,选择用户。
- 选择将负责 DMI 授权的用户帐户。
- 在左侧菜单中,单击已分配角色。
- 在符合条件的分配选项卡中,找到应用管理员并将此角色设置为活跃角色。如果没有看到应用管理员,请按照以下步骤操作:
- 单击页面顶部的添加分配按钮。
- 在下拉菜单中,选择应用管理员。
- 针对范围类型,选择目录,然后点击下一步。
- 针对分配类型,选择活动。
- 单击分配,将此角色分配至选定用户。
要求权限
如果要在 Microsoft 365 中设置 DMI 连接,可看到以下权限请求:
要确保连接安全,DMI 必须使用 EWS 连接至您的用户的收件箱。EWS 连接的权限包括阅读、发送和删除电子邮件的权利。EWS 连接也可以配置邮箱设置。这些权限仅允许 DMI 将电子邮件发送至您的用户收件箱。
将 DMI 连接至 KMSAT
要使用 DMI,须将您的邮件客户端帐户连接至您的 KMSAT 控制台。有关更多信息,请参见以下子部分。
将 DMI 连接至 Microsoft 365
要将 KMSAT 控制台安全连接至 Microsoft 365 帐户,请按照以下步骤操作:
- 登录您的 KMSAT 控制台。
- 单击页面右上角的电子邮件地址,选择帐户设置。
- 选择 Direct Message Injection 部分。
- 单击添加 DMI 连接下拉菜单。
- 在下拉菜单中,选择 Microsoft 365。系统会跳转到 Microsft 登录页面。
- 登录将负责 DMI 授权的 Microsoft 帐户。务必使用已分配必要管理员角色的 Microsoft 帐户。
- 要向 KnowBe4 提供对您的 Microsoft 365 信息的访问权限,可查看要求权限。有关更多信息,请参见上述要求权限部分。
- 如果您同意这些权限,请单击接受。
- 关闭窗口后,请参见以下启用 DMI 部分并继续。
将 DMI 连接至 Google Workspace
要将 DMI 连接至 Google Workspace,则需将客户端 ID 和范围添加到您的 Google Workspace 管理员控制台。要添加客户端 ID 和范围,请按照以下步骤操作:
- 前往 admin.google.com。
- 登录 Google Workspace 管理员控制台,选择安全部分。
注意:如果没有看到安全,请单击页面底部的更多控件。
- 单击概览。
- 选择 API 控件部分。
- 打开域范围委派部分,单击管理域范围委派按钮。
- 单击新增按钮。
- 在客户端 ID 字段中,输入“117081416267426756182”。
- 在OAuth Scopes字段中,输入以下 URL:
- https://mail.google.com
- https://www.googleapis.com/auth/gmail.insert
- https://www.googleapis.com/auth/gmail.modify
- 单击授权按钮。
在 KMSAT 中启用 DMI
KMSAT 控制台连接至邮件客户端帐户之后,您需要在 KMSAT 中启用 DMI。有关更多信息,请参见以下子部分。
在 Microsoft 365 中启用 DMI
要在 Microsoft 365 中启用 DMI,请按照以下步骤操作:
- 登录您的 KMSAT 控制台。
- 单击页面右上角的电子邮件地址,选择帐户设置。
- 选择 Direct Message Injection 部分。
- 单击显示 DMI 设置按钮。
- 在配置弹出窗口中填写字段。有关更多信息,请参见以下截图和列表:
- 连接名称:在此字段中输入连接名称。
-
在选定域中启用此连接:输入域名或从下拉菜单中选择域,即可选择一个或多个域。
注意:只有主要电子邮件地址与选定域匹配的用户才能启用 DMI。 - 如果 DMI 连接失败,发送通知至:如果连接失败,请在此字段中输入相应人员的电子邮件地址,以便发送通知。
- 单击保存连接设置按钮。
在 Google Workspace 中启用 DMI
连接 DMI 至 Google Workspace 之后,您需要在 KMSAT 控制台中启用 DMI。要在 Google Workspace 中启用 DMI,请按照以下步骤操作:
- 登录您的 KMSAT 控制台。
- 单击页面右上角的电子邮件地址,选择帐户设置。
- 选择 Direct Message Injection 部分。
- 单击添加 DMI 连接下拉菜单并选择 Google Workspace。
- 在配置弹出窗口中填写字段。有关更多信息,请参见以下截图和列表:
- 连接名称:输入 DMI 连接的名称。
-
在选定域中启用此连接:输入域名或从下拉菜单中选择域,即可选择一个或多个域。
注意:只有主要电子邮件地址与选定域匹配的用户才能启用 DMI。如果您的管理员电子邮件地址与此字段的选定域匹配,对于通过向我发送测试电子邮件功能发送的电子邮件,DMI 还可将此类邮件进行投递。此测试电子邮件会在原始电子邮件标题的消息 ID 处显示 @injector.psm.knowbe4.com。
-
如果 DMI 连接失败,发送通知至:如果 DMI 连接失败,请输入相应人员的电子邮件地址,以便发送通知。
注意:在此字段输入的电子邮件地址与在选定域中启用此连接字段列出的域无需匹配。
- 输入您的 Google Workspace 域所示电子邮件地址:输入相应电子邮件地址,以便接收测试消息。
- 单击保存连接设置按钮。
故障排除
如需了解 DMI 可能出现的问题及其解决方法,请参见以下子部分。
如何在 Microsoft 365 中修复失败的连接
如果连接 KMSAT 控制台与 Microsoft 365 帐户的 Exchange Web Service 令牌无效,DMI 连接就会失败。
不会发送任何原定使用 DMI 投递的网络钓鱼活动电子邮件。
按照上述将 DMI 连接至 Microsoft 365 部分中的说明,重新连接您的 Microsoft 365 帐户。如果在重新连接时遇到问题,请联系支持团队。
如何在 Google Workspace 中修复失败的连接
将 DMI 连接到 Google Workspace 时,如果您在单击授权后收到错误消息,说明您的客户端 ID 和范围可能有误。
要检查客户端 ID 和范围,请按照以下步骤操作:
- 找到您创建的新的域范围委派权限。
- 单击查看详情。
- 确保已列出每个范围,没有重复范围,且客户端 ID 正确。
- 如果范围缺失或包含错误,请单击编辑,输入缺失的范围,然后单击授权,即可应用变更。
注意:客户端 ID 无法更改。
如何阻止 DMI 电子邮件显示在 Microsoft 365 的其他邮箱中
如果您的用户在其他收件箱而非集中收件箱中看到 DMI 电子邮件,请按以下步骤解决此问题:
- 登录您的 KMSAT 控制台。
- 单击页面右上角的电子邮箱,选择帐户设置。
- 前往网络钓鱼设置子选项卡。
- 启用添加自定义标题。
- 在标题名称(左侧方框)中,输入以下文本:MS-Exchange-Organization-BypassFocusedInbox。
- 在标题值(右侧方框)中,输入以下文本:“true”。
- 单击保存设置。
如何向网络钓鱼电子邮件中添加横幅、前缀和签名
启用 DMI 后,我们的网络钓鱼电子邮件能够绕过所有邮件流规则,这些规则可能包括出现在已接收电子邮件上的横幅、前缀和签名。
要使用我们的占位符将横幅、前缀和签名添加回我们的网络钓鱼电子邮件,请按照以下步骤操作:
- 登录您的 KMSAT 控制台。
- 单击页面右上角的电子邮件,选择帐户设置。
- 导航至占位符部分。
- 单击 + 占位符。
- 从下拉菜单中选择您想添加回网络钓鱼电子邮件的占位符。
- 在所示字段中输入占位符信息。您可在该字段中输入任何文本,包括来自现有电子邮件横幅、前缀或签名的源代码。
- 从下拉菜单中选择您想显示电子邮件横幅和主题前缀占位符的网络钓鱼电子邮件。
- 单击保存占位符。
断开 DMI 连接
禁用 DMI 时,我们建议移除您的 KMSAT 控制台与您的邮件客户端帐户的连接。
要断开 DMI 连接,请按照以下步骤操作::
- 登录您的 KMSAT 控制台。
- 单击页面右上角的电子邮件,选择帐户设置。
- 选择网络钓鱼中的 Direct Message Injection 部分。
- 找到要删除的 DMI 连接,并单击显示设置按钮。
注意:此按钮名称会随着您的连接名称而改变。例如,如果您的连接名称是“DMI 1”,则此按钮名称将显示为“显示 DMI 1 设置”。
- 单击移除 DMI 连接按钮。
- 确认消息打开后,单击确认按钮。
如果您以后要重新启用 DMI,则需重新授权 KnowBe4 访问权限。要重新启用 DMI,可按照在 KSMAT 中启用 DMI部分中的步骤操作。
评论
0 条评论
文章评论已关闭。