Del via

Forudindstillede sikkerhedspolitikker i cloudorganisationer

Tip

Vidste du, at du kan prøve funktionerne i Microsoft Defender til Office 365 Plan 2 gratis? Brug den 90-dages Defender til Office 365 prøveversion på Microsoft Defender Portal-prøveversionshubben. Få mere at vide om, hvem der kan tilmelde dig og prøvevilkårene på Prøv Microsoft Defender til Office 365.

Forudindstillede sikkerhedspolitikker giver dig mulighed for at anvende mange funktioner til beskyttelse via mail på brugere baseret på vores anbefalede indstillinger. I modsætning til brugerdefinerede trusselspolitikker, der kan konfigureres uendeligt, kan stort set alle indstillingerne i forudindstillede sikkerhedspolitikker ikke konfigureres og er baseret på vores observationer i datacentrene. Indstillingerne for trusselspolitik i forudindstillede sikkerhedspolitikker giver en balance mellem at holde skadeligt indhold væk fra brugerne, samtidig med at du undgår unødvendige afbrydelser.

Afhængigt af din organisation indeholder forudindstillede sikkerhedspolitikker mange af de beskyttelsesfunktioner, der er tilgængelige i standardmailbeskyttelsen for cloudpostkasser og Microsoft Defender til Office 365.

Følgende forudindstillede sikkerhedspolitikker er tilgængelige:

  • Standard forudindstillede sikkerhedspolitik.
  • Streng forudindstillet sikkerhedspolitik.
  • Indbygget sikkerhedspolitisk forudindstillet beskyttelse. Giver grundlæggende beskyttelse af vedhæftede filer og sikre links i Defender for Office 365 for alle brugere, der:
    • Er ikke udelukket fra indbygget beskyttelse.
    • Er ikke inkluderet i Standard eller Strenge forudindstillede sikkerhedspolitikker.
    • Er ikke inkluderet i brugerdefinerede politikker for vedhæftede filer, der er tillid til, eller Politikker for sikre links.

Du kan finde flere oplysninger om disse forudindstillede sikkerhedspolitikker i appendiksafsnittet sidst i denne artikel.

I resten af denne artikel kan du se, hvordan du konfigurerer forudindstillede sikkerhedspolitikker.

Hvad har du brug for at vide, før du begynder?

  • Du åbner portalen Microsoft Defender på https://security.microsoft.com. Hvis du vil gå direkte til siden Forudindstillede sikkerhedspolitikker , skal du bruge https://security.microsoft.com/presetSecurityPolicies.

  • Hvis du vil oprette forbindelse til Exchange Online PowerShell, skal du se Opret forbindelse til Exchange Online PowerShell.

  • Du skal have tildelt tilladelser, før du kan udføre procedurerne i denne artikel. Du har følgende muligheder:

    • Microsoft Defender XDR RBAC (Unified Role Based Access Control) (Hvis Mail & samarbejds>defender for Office 365 tilladelser er Aktiv. Påvirker kun Defender-portalen, ikke PowerShell: Godkendelses- og indstillinger/Sikkerhedsindstillinger/Kernesikkerhedsindstillinger (administrer) eller Godkendelses- og indstillinger/Sikkerhedsindstillinger/Kernesikkerhedsindstillinger (læs).

    • Exchange Online tilladelser:

      • Konfigurer forudindstillede sikkerhedspolitikker: Medlemskab i rollegrupperne Organisationsadministration eller Sikkerhedsadministrator .
      • Skrivebeskyttet adgang til forudindstillede sikkerhedspolitikker: Medlemskab i rollegruppen Global læser .

    • Microsoft Entra tilladelser: Medlemskab af rollerne Global administrator*, Sikkerhedsadministrator eller Global læser giver brugerne de nødvendige tilladelser og tilladelser til andre funktioner i Microsoft 365.

      Vigtigt!

      * Microsoft går stærkt ind for princippet om færrest mulige rettigheder. Tildeling af konti kun til de minimumtilladelser, der er nødvendige for at udføre deres opgaver, hjælper med at reducere sikkerhedsrisici og styrker din organisations overordnede beskyttelse. Global administrator er en yderst privilegeret rolle, som du skal begrænse til nødscenarier, eller når du ikke kan bruge en anden rolle.

Brug Microsoft Defender-portalen til at tildele brugere Standard og strenge forudindstillede sikkerhedspolitikker

  1. I Microsoft Defender-portalen på https://security.microsoft.comskal du gå til Mail & samarbejdspolitikker>& regler>Trusselspolitikker>Forudindstillede sikkerhedspolitikker i afsnittet Skabelonpolitikker. Du kan også gå direkte til siden Forudindstillede sikkerhedspolitikker ved at bruge https://security.microsoft.com/presetSecurityPolicies.

  2. Under dit første besøg på siden Forudindstillede sikkerhedspolitikker er det sandsynligt, at Standard beskyttelse og streng beskyttelse er slået fra .

    Skub til/fra-knappen for den, du vil konfigurere til Til, og vælg derefter Administrer beskyttelsesindstillinger for at starte konfigurationsguiden.

  3. På siden Anvend Exchange Online Protection skal du identificere de interne modtagere, der modtager standardbeskyttelse via mail for cloudpostkasser (modtagerbetingelser):

    • Alle modtagere

    • Bestemte modtagere: Konfigurer en af følgende modtagerbetingelser, der vises:

      • Brugere: De angivne postkasser, mailbrugere eller mailkontakter.
      • Grupper:
        • Medlemmer af de angivne distributionsgrupper eller mailaktiverede sikkerhedsgrupper (dynamiske distributionsgrupper understøttes ikke).
        • Den angivne Microsoft 365-grupper (dynamiske medlemskabsgrupper i Microsoft Entra ID understøttes ikke).
      • Domæner: Alle modtagere i organisationen med en primær mailadresse i det angivne accepterede domæne.

      Tip

      Underdomæner medtages automatisk, medmindre du specifikt ekskluderer dem. En politik, der indeholder contoso.com, omfatter f.eks. også marketing.contoso.com, medmindre du ekskluderer marketing.contoso.com.

    Klik i det relevante felt, begynd at skrive en værdi, og vælg den ønskede værdi fra resultaterne. Gentag denne proces så mange gange, det er nødvendigt. Hvis du vil fjerne en eksisterende værdi, skal du vælge ud for værdien.

    For brugere eller grupper kan du bruge de fleste identifikatorer (navn, vist navn, alias, mailadresse, kontonavn osv.), men det tilsvarende viste navn vises i resultaterne. For brugere eller grupper skal du angive en stjerne (*) alene for at se alle tilgængelige værdier.

    Du kan kun bruge en betingelse én gang, men betingelsen kan indeholde flere værdier:

    • Flere værdier med samme betingelse bruger OR-logik (f.eks.< recipient1> eller <recipient2>). Hvis modtageren stemmer overens med en af de angivne værdier, anvendes politikken på dem.

    • Forskellige typer betingelser bruger AND-logik. Modtageren skal matche alle de angivne betingelser for, at politikken gælder for vedkommende. Du kan f.eks. konfigurere en betingelse med følgende værdier:

      • Brugere: romain@contoso.com
      • Grupper: Direktører

      Politikken anvendes kunromain@contoso.com , hvis han også er medlem af gruppen Direktører. Ellers anvendes politikken ikke på ham.

    • Ingen

    • Udelad disse modtagere: Hvis du har valgt Alle modtagere eller Specifikke modtagere, skal du vælge denne indstilling for at konfigurere modtagerundtagelser.

      Du kan kun bruge en undtagelse én gang, men undtagelsen kan indeholde flere værdier:

      • Flere værdier med den samme undtagelse bruger OR-logik (f.eks.< recipient1> eller <recipient2>). Hvis modtageren matcher nogen af de angivne værdier, anvendes politikken ikke på dem.
      • Forskellige typer undtagelser bruger OR-logik (f.eks. <modtager1> eller <medlem af gruppe1> eller <medlem af domæne1>). Hvis modtageren stemmer overens med nogen af de angivne undtagelsesværdier, anvendes politikken ikke på dem.

    Når du er færdig på siden Anvend Exchange Online Protection, skal du vælge Næste.

    Bemærk!

    I organisationer uden Defender for Office 365 kommer du til siden Gennemse (trin 9), når du vælger Næste.

  4. På siden Anvend defender for Office 365 beskyttelse skal du identificere de interne modtagere, der modtager (modtagerbetingelser) eller ikke modtager (modtagerundtagelser) Defender for Office 365 beskyttelse.

    Indstillingerne og funktionsmåden svarer nøjagtigt til siden Anvend Exchange Online Protection i det forrige trin.

    Du kan også vælge Tidligere valgte modtagere for at bruge de samme modtagere, som du valgte på den forrige side.

    Når du er færdig på siden Anvend defender for Office 365 beskyttelse, skal du vælge Næste.

    Tip

    Hvis det ikke er alle brugere i organisationen, der har Defender for Office 365-licenser, kan du bruge følgende metoder til at anvende Defender til Office 365 beskyttelse kun til berettigede brugere:

    • Brug Angivne modtagere til at identificere de brugere eller grupper, der er berettiget til beskyttelse mod Office 365.
    • Brug Udelad disse modtagereDe angivne modtagere> til at identificere de brugere eller grupper, der ikke er berettiget til beskyttelse mod Office 365.

  5. På siden Repræsentationsbeskyttelse skal du vælge Næste.

  6. På siden Føj mailadresser til flag, når de repræsenteres af personer med ondsindede hensigter , skal du tilføje de interne afsendere og eksterne afsendere, der er beskyttet af beskyttelse mod brugerrepræsentation.

    Bemærk!

    Alle modtagere modtager automatisk repræsentationsbeskyttelse fra postkasseintelligens i forudindstillede sikkerhedspolitikker.

    Du kan maksimalt angive 350 brugere til beskyttelse af bruger repræsentation i Standard eller Strict preset sikkerhedspolitik.

    Beskyttelse af brugerrepræsentation fungerer ikke, hvis afsenderen og modtageren tidligere har kommunikeret via mail. Hvis afsenderen og modtageren aldrig kommunikerede via mail, kan meddelelsen identificeres som et repræsentationsforsøg.

    Hver post består af et vist navn og en mailadresse:

    • Interne brugere: Klik i feltet Tilføj en gyldig mail , eller begynd at skrive brugerens mailadresse. Vælg mailadressen på rullelisten Foreslåede kontakter , der vises. Brugerens viste navn føjes til feltet Tilføj et navn (som du kan ændre). Når du er færdig med at vælge brugeren, skal du vælge Tilføj.

    • Eksterne brugere: Skriv den fulde mailadresse i feltet Tilføj en gyldig mailadresse , og vælg derefter mailadressen på rullelisten Foreslåede kontakter , der vises. Mailadressen tilføjes også i feltet Tilføj et navn (som du kan ændre til et vist navn).

    Gentag disse trin så mange gange, det er nødvendigt.

    De brugere, du har tilføjet, vises på siden efter Vist navn og Afsenders mailadresse. Hvis du vil fjerne en bruger, skal du vælge ud for posten.

    Brug søgefeltet til at finde poster på siden.

    Når du er færdig på siden Anvend defender for Office 365 beskyttelse, skal du vælge Næste.

  7. På siden Føj domæner til flag, når de repræsenteres af personer med ondsindede hensigter , skal du tilføje interne og eksterne domæner, der er beskyttet af beskyttelse mod repræsentation af domæner.

    Bemærk!

    Alle domæner, som du ejer (accepterede domæner), modtager automatisk beskyttelse mod repræsentation af domæner i forudindstillede sikkerhedspolitikker.

    Du kan maksimalt angive 50 brugerdefinerede domæner til beskyttelse af domænerepræsentation i Standard eller Strict forudindstillede sikkerhedspolitik.

    Klik i feltet Tilføj domæner , angiv en domæneværdi, og tryk derefter på ENTER, eller vælg den værdi, der vises under feltet. Hvis du vil fjerne et domæne fra feltet og starte forfra, skal du vælge ud for domænet. Når du er klar til at tilføje domænet, skal du vælge Tilføj. Gentag dette trin så mange gange, det er nødvendigt.

    De domæner, du har tilføjet, vises på siden. Hvis du vil fjerne domænet, skal du vælge ud for værdien.

    De domæner, du har tilføjet, vises på siden. Hvis du vil fjerne et domæne, skal du vælge ud for posten.

    Hvis du vil fjerne et eksisterende element fra listen, skal du vælge ud for posten.

    Når du er færdig med flaget Føj domæner til, når du repræsenteres af personer med ondsindede hensigter, skal du vælge Næste.

  8. På siden Føj mailadresser, der er tillid til, og domæner, der ikke skal markeres som repræsentation , skal du angive afsenderens mailadresser og domæner, som du vil udelukke fra repræsentationsbeskyttelse. Meddelelser fra disse afsendere markeres aldrig som et repræsentationsangreb, men afsenderne scannes stadig af andre filtre i Microsoft 365 og Defender for Office 365.

    Bemærk!

    De domænenavne, der er tillid til, indeholder ikke underdomæner for det angivne domæne. Du skal tilføje en post for hvert underdomæne.

    Angiv mailadressen eller domænet i feltet, og tryk derefter på ENTER, eller vælg den værdi, der vises under feltet. Hvis du vil fjerne en værdi fra feltet og starte forfra, skal du vælge ud for værdien. Når du er klar til at tilføje brugeren eller domænet, skal du vælge Tilføj. Gentag dette trin så mange gange, det er nødvendigt.

    De brugere og domæner, du har tilføjet, vises på siden efter Navn og Type. Hvis du vil fjerne en post, skal du vælge ud for posten.

    Når du er færdig på siden Føj mailadresser og domæner, der er tillid til, til ikke at markere som repræsentationsside , skal du vælge Næste.

  9. Gennemse dine indstillinger på siden Gennemse og bekræft dine ændringer . Du kan vælge Tilbage eller den specifikke side i guiden for at redigere indstillingerne.

    Når du er færdig på siden Gennemse og bekræft dine ændringer , skal du vælge Bekræft.

  10. På siden Standard beskyttelse opdateret eller Kun beskyttelse opdateret skal du vælge Udført.

Brug Microsoft Defender-portalen til at ændre tildelingerne af Standard og strenge forudindstillede sikkerhedspolitikker

Trinnene til ændring af tildelingen af den forudindstillede sikkerhedspolitik Standard beskyttelse eller forudindstillet beskyttelse er de samme, som da du oprindeligt tildelte de forudindstillede sikkerhedspolitikker til brugerne.

Hvis du vil deaktivere de forudindstillede sikkerhedspolitikker for Standard ellerStrict Protection, samtidig med at de eksisterende betingelser og undtagelser bevares, skal du skubbe til/fra-knappen til Fra. Hvis du vil aktivere politikkerne, skal du skubbe til/fra-knappen til Til.

Brug Microsoft Defender-portalen til at føje udeladelser til den forudindstillede sikkerhedspolitik for indbygget beskyttelse

Tip

Den forudindstillede sikkerhedspolitik for indbygget beskyttelse anvendes på alle brugere i organisationer med et vilkårligt antal licenser til Defender for Office 365. Anvendelsen af denne beskyttelse er i ånden i at sikre det bredeste sæt brugere, indtil administratorer specifikt konfigurerer Defender for Office 365 beskyttelse. Da indbygget beskyttelse er aktiveret som standard, behøver kunderne ikke at bekymre sig om at overtræde vilkårene for produktlicens. Vi anbefaler dog, at du køber nok Defender til Office 365 licenser for at sikre, at indbygget beskyttelse fortsætter for alle brugere.

Den forudindstillede sikkerhedspolitik for indbygget beskyttelse påvirker ikke modtagere, der er defineret i Standard eller Strenge forudindstillede sikkerhedspolitikker eller i brugerdefinerede sikre links eller politikker for vedhæftede filer, der er tillid til. Derfor anbefaler vi normalt ikke undtagelser fra den forudindstillede sikkerhedspolitik for indbygget beskyttelse, medmindre du vil udelukke brugere, der ikke er berettiget til beskyttelse af sikre links og sikre vedhæftede filer (brugere, der mangler Defender for Office 365 licenser).

  1. I Microsoft Defender-portalen på https://security.microsoft.comskal du gå til Mail & samarbejdspolitikker>& regler>Trusselspolitikker>Forudindstillede sikkerhedspolitikker i afsnittet Skabelonpolitikker. Du kan også gå direkte til siden Forudindstillede sikkerhedspolitikker ved at bruge https://security.microsoft.com/presetSecurityPolicies.

  2. På siden Forudindstillede sikkerhedspolitikker skal du vælge Tilføj udeladelser (anbefales ikke)i afsnittet Indbygget beskyttelse .

  3. I pop op-vinduet Udelad fra indbygget beskyttelse , der åbnes, skal du identificere de interne modtagere, der er udelukket fra den indbyggede beskyttelse sikre links og sikre vedhæftede filer:

    • Brugere
    • Grupper:
      • Medlemmer af de angivne distributionsgrupper eller mailaktiverede sikkerhedsgrupper (dynamiske distributionsgrupper understøttes ikke).
      • Den angivne Microsoft 365-grupper (dynamiske medlemskabsgrupper i Microsoft Entra ID understøttes ikke).
    • Domæner

    Klik i det relevante felt, begynd at skrive en værdi, og vælg derefter den værdi, der vises under feltet. Gentag denne proces så mange gange, det er nødvendigt. Hvis du vil fjerne en eksisterende værdi, skal du vælge ud for værdien.

    For brugere eller grupper kan du bruge de fleste identifikatorer (navn, vist navn, alias, mailadresse, kontonavn osv.), men det tilsvarende viste navn vises i resultaterne. For brugere skal du angive en stjerne (*) alene for at se alle tilgængelige værdier.

    Du kan kun bruge en undtagelse én gang, men undtagelsen kan indeholde flere værdier:

    • Flere værdier med den samme undtagelse bruger OR-logik (f.eks.< recipient1> eller <recipient2>). Hvis modtageren matcher nogen af de angivne værdier, anvendes politikken ikke på dem.
    • Forskellige typer undtagelser bruger OR-logik (f.eks. <modtager1> eller <medlem af gruppe1> eller <medlem af domæne1>). Hvis modtageren stemmer overens med nogen af de angivne undtagelsesværdier, anvendes politikken ikke på dem.

  4. Når du er færdig med pop op-vinduet Udelad fra indbygget beskyttelse , skal du vælge Gem.

Hvordan ved du, at disse procedurer virkede?

Hvis du vil bekræfte, at du har tildelt en bruger Standard beskyttelse eller strict protection security policy, skal du bruge en beskyttelsesindstilling, hvor standardværdien er forskellig fra indstillingen Standard beskyttelse, hvilket er anderledes end indstillingen Streng beskyttelse.

For mails, der er identificeret som spam (ikke spam med høj sikkerhed), skal du f.eks. bekræfte, at meddelelsen leveres til mappen Uønsket mail for Standard beskyttelse af brugere og sat i karantæne for brugere med streng beskyttelse.

Eller du kan kontrollere, at BCL-værdien 6 eller højere leverer meddelelsen til mappen Uønsket mail for Standard beskyttelse af brugere, og at BCL-værdien 5 eller højere sætter meddelelsen i karantæne for brugere med streng beskyttelse.

Forudindstillede sikkerhedspolitikker i Exchange Online PowerShell

I PowerShell består forudindstillede sikkerhedspolitikker af følgende elementer:

I følgende afsnit beskrives det, hvordan du bruger disse cmdlet'er i understøttede scenarier.

Hvis du vil oprette forbindelse til Exchange Online PowerShell, skal du se Opret forbindelse til Exchange Online PowerShell.

Brug PowerShell til at få vist individuelle trusselspolitikker i forudindstillede sikkerhedspolitikker

Husk, at hvis du aldrig har aktiveret den Standard forudindstillede sikkerhedspolitik eller den forudindstillede sikkerhedspolitik Strict på Microsoft Defender-portalen, findes de tilknyttede trusselspolitikker for den forudindstillede sikkerhedspolitik ikke.

  • Indbygget sikkerhedspolitik med forudindstillet beskyttelse: De tilknyttede politikker kaldes Built-In Beskyttelsespolitik. Egenskabsværdien IsBuiltInProtection er Sand for disse politikker.

    Kør følgende kommando for at få vist de individuelle trusselspolitikker for den forudindstillede sikkerhedspolitik for indbygget beskyttelse:

    Write-Output -InputObject ("`r`n"*3),"Built-in protection Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy -Identity "Built-In Protection Policy" | Format-List; Write-Output -InputObject ("`r`n"*3),"Built-in protection Safe Links policy",("-"*79);Get-SafeLinksPolicy -Identity "Built-In Protection Policy" | Format-List

  • Standard forudindstillede sikkerhedspolitik: De tilknyttede trusselspolitikker kaldes Standard Preset Security Policy<13-digit number>. Det kunne f.eks. være Standard Preset Security Policy1622650008019. Egenskabsværdien RecommendPolicyType for politikkerne er Standard.

    • Hvis du vil have vist de individuelle trusselspolitikker for den Standard forudindstillede sikkerhedspolitik i organisationer med standardmailbeskyttelse kun for cloudpostkasser, skal du køre følgende kommando:

      Write-Output -InputObject ("`r`n"*3),"Standard anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"

    • Kør følgende kommando for at få vist de individuelle trusselspolitikker for den Standard forudindstillede sikkerhedspolitik i organisationer med Defender for Office 365:

      Write-Output -InputObject ("`r`n"*3),"Standard anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"

  • Streng forudindstillet sikkerhedspolitik: De tilknyttede trusselspolitikker kaldes Strict Preset Security Policy<13-digit number>. Det kunne f.eks. være Strict Preset Security Policy1642034872546. Egenskabsværdien RecommendPolicyType for politikkerne er Strict.

    • Hvis du vil have vist de individuelle trusselspolitikker for den strenge forudindstillede sikkerhedspolitik i organisationer med standardmailbeskyttelse kun for cloudpostkasser, skal du køre følgende kommando:

      Write-Output -InputObject ("`r`n"*3),"Strict anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"

    • Hvis du vil have vist de individuelle trusselspolitikker for den strenge forudindstillede sikkerhedspolitik i organisationer med Defender for Office 365, skal du køre følgende kommando:

      Write-Output -InputObject ("`r`n"*3),"Strict anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"

Brug PowerShell til at få vist regler for forudindstillede sikkerhedspolitikker

Husk, at hvis du aldrig har aktiveret den Standard forudindstillede sikkerhedspolitik eller den forudindstillede sikkerhedspolitik Strict på portalen Microsoft Defender, findes de tilknyttede regler for disse politikker ikke.

  • Indbygget sikkerhedspolitik med forudindstillet beskyttelse: Der findes kun én regel med navnet ATP Built-In beskyttelsesregel.

    Kør følgende kommando for at få vist den regel, der er knyttet til den forudindstillede sikkerhedspolitik for indbygget beskyttelse:

    Get-ATPBuiltInProtectionRule

  • Standard forudindstillede sikkerhedspolitik: De tilknyttede regler kaldes Standard Forudindstillet sikkerhedspolitik.

    Brug følgende kommandoer til at få vist de regler, der er knyttet til den Standard forudindstillede sikkerhedspolitik:

    • Hvis du vil have vist den regel, der er knyttet til standardbeskyttelse via mail for cloudpostkasser i den Standard forudindstillede sikkerhedspolitik, skal du køre følgende kommando:

      Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"

    • Kør følgende kommando for at få vist den regel, der er knyttet til Defender for Office 365 beskyttelse i den Standard forudindstillede sikkerhedspolitik:

      Get-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"

    • Kør følgende kommando for at få vist begge regler på samme tid:

      Write-Output -InputObject ("`r`n"*3),"EOP rule - Standard preset security policy",("-"*79);Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"; Write-Output -InputObject ("`r`n"*3),"Defender for Office 365 rule - Standard preset security policy",("-"*79);Get-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"

  • Streng forudindstillet sikkerhedspolitik: De tilknyttede regler hedder Strict Preset Security Policy.

    Brug følgende kommandoer til at få vist de regler, der er knyttet til den forudindstillede sikkerhedspolitik Strict:

    • Hvis du vil have vist den regel, der er knyttet til standardbeskyttelse via mail for cloudpostkasser i den strenge forudindstillede sikkerhedspolitik, skal du køre følgende kommando:

      Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"

    • Kør følgende kommando for at få vist den regel, der er knyttet til Defender for Office 365 beskyttelse i den forudindstillede sikkerhedspolitik Strict:

      Get-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"

    • Kør følgende kommando for at få vist begge regler på samme tid:

      Write-Output -InputObject ("`r`n"*3),"EOP rule - Strict preset security policy",("-"*79);Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"; Write-Output -InputObject ("`r`n"*3),"Defender for Office 365 rule - Strict preset security policy",("-"*79);Get-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"

Brug PowerShell til at aktivere eller deaktivere forudindstillede sikkerhedspolitikker

Hvis du vil slå Standard eller Strenge forudindstillede sikkerhedspolitikker til eller fra i PowerShell, skal du aktivere eller deaktivere de regler, der er knyttet til politikken. Egenskaben State for reglen viser, om reglen er Aktiveret eller Deaktiveret.

Hvis din organisation kun har standardbeskyttelse via mail for cloudpostkasser, deaktiverer eller aktiverer du reglen for standardbeskyttelse af mail.

Hvis din organisation har Defender for Office 365, aktiverer eller deaktiverer du reglen for standardmailbeskyttelse for cloudpostkasser og reglen for beskyttelse af Office 365 (aktivér eller deaktiver begge regler).

  • Organisationer med standardbeskyttelse via mail kun for cloudpostkasser:

    • Kør følgende kommando for at bestemme, om reglerne for Standard og strenge forudindstillede sikkerhedspolitikker i øjeblikket er aktiveret eller deaktiveret:

      Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50); Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50); Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy" | Format-Table Name,State

    • Kør følgende kommando for at deaktivere den Standard forudindstillede sikkerhedspolitik:

      Disable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"

    • Kør følgende kommando for at slå den forudindstillede sikkerhedspolitik Strict fra:

      Disable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"

    • Kør følgende kommando for at aktivere Standard forudindstillede sikkerhedspolitik:

      Enable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"

    • Kør følgende kommando for at aktivere den forudindstillede sikkerhedspolitik Strict:

      Enable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"

  • Organisationer med Defender for Office 365:

    • Kør følgende kommando for at bestemme, om reglerne for Standard og strenge forudindstillede sikkerhedspolitikker i øjeblikket er aktiveret eller deaktiveret:

      Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50);Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject `r`n,"Defender for Office 365 protection rule",("-"*50);Get-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50);Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject `r`n,"Defender for Office 365 protection rule",("-"*50);Get-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy" | Format-Table Name,State

    • Kør følgende kommando for at deaktivere den Standard forudindstillede sikkerhedspolitik:

      Disable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"; Disable-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"

    • Kør følgende kommando for at slå den forudindstillede sikkerhedspolitik Strict fra:

      Disable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"; Disable-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"

    • Kør følgende kommando for at aktivere Standard forudindstillede sikkerhedspolitik:

      Enable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"; Enable-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"

    • Kør følgende kommando for at aktivere den forudindstillede sikkerhedspolitik Strict:

      Enable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"; Enable-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"

Brug PowerShell til at angive modtagerbetingelser og -undtagelser for forudindstillede sikkerhedspolitikker

Du kan kun bruge en modtagerbetingelse eller en undtagelse én gang, men betingelsen eller undtagelsen kan indeholde flere værdier:

  • Flere værdier med samme betingelse eller undtagelse bruger OR-logik (f.eks. <modtager1> eller <modtager2>):

    • Betingelser: Hvis modtageren matcher nogen af de angivne værdier, anvendes politikken på dem.
    • Undtagelser: Hvis modtageren matcher nogen af de angivne værdier, anvendes politikken ikke på dem.

  • Forskellige typer undtagelser bruger OR-logik (f.eks. <modtager1> eller <medlem af gruppe1> eller <medlem af domæne1>). Hvis modtageren stemmer overens med nogen af de angivne undtagelsesværdier, anvendes politikken ikke på dem.

  • Forskellige typer betingelser bruger AND-logik. Modtageren skal matche alle de angivne betingelser for, at politikken gælder for vedkommende. Du kan f.eks. konfigurere en betingelse med følgende værdier:

    • Brugere: romain@contoso.com
    • Grupper: Direktører

    Politikken anvendes kunromain@contoso.com , hvis han også er medlem af gruppen Direktører. Ellers anvendes politikken ikke på ham.

For den forudindstillede sikkerhedspolitik for indbygget beskyttelse kan du kun angive modtagerundtagelser. Hvis alle parameterværdier for undtagelser er tomme ($null), er der ingen undtagelser til politikken.

I forbindelse med Standard og strenge forudindstillede sikkerhedspolitikker kan du angive modtagerbetingelser og -undtagelser for standardmailbeskyttelse for cloudpostkasser og Beskyttelse af Office 365. Hvis alle betingelser og parameterværdier for undtagelser er tomme ($null), er der ingen modtagerbetingelser eller undtagelser for Standard eller Strenge forudindstillede sikkerhedspolitikker.

  • Indbygget sikkerhedspolitisk forudindstillet beskyttelse:

    Brug følgende syntaks:

    Set-ATPBuiltInProtectionRule -Identity "ATP Built-In Protection Rule" -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null>

    I dette eksempel fjernes alle modtagerundtagelser fra den forudindstillede sikkerhedspolitik for indbygget beskyttelse.

    Set-ATPBuiltInProtectionRule -Identity "ATP Built-In Protection Rule" -ExceptIfRecipientDomainIs $null -ExceptIfSentTo $null -ExceptIfSentToMemberOf $null

    Du kan finde detaljerede oplysninger om syntaks og parametre under Set-ATPBuiltInProtectionRule.

  • Standard eller strenge forudindstillede sikkerhedspolitikker

    Brug følgende syntaks:

    <Set-EOPProtectionPolicyRule | SetAtpProtectionPolicyRule> -Identity "<Standard Preset Security Policy | Strict Preset Security Policy>" -SentTo <"user1","user2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -SentToMemberOf <"group1","group2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null> -RecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null>

    I dette eksempel konfigureres medlemmer af distributionsgruppen Direktører som undtagelser fra standardmailbeskyttelse for cloudpostkasser i den Standard forudindstillede sikkerhedspolitik.

    Set-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy" -ExceptIfSentToMemberOf Executives

    I dette eksempel konfigureres de angivne sikkerhedshandlinger (SecOps)-postkasser som undtagelser fra Defender for Office 365 beskyttelse i den Standard forudindstillede sikkerhedspolitik.

    Set-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy" -ExceptIfSentTo "SecOps1","SecOps2"

    Du kan finde detaljerede oplysninger om syntaks og parametre under Set-EOPProtectionPolicyRule og Set-ATPProtectionPolicyRule.

Tillæg

Forudindstillede sikkerhedspolitikker består af følgende elementer:

Disse elementer er beskrevet i følgende afsnit.

Det er desuden vigtigt at forstå, hvordan forudindstillede sikkerhedspolitikker passer i rækkefølgen i forhold til andre politikker.

Profiler i forudindstillede sikkerhedspolitikker

En profil bestemmer beskyttelsesniveauet. Følgende profiler er tilgængelige for forudindstillede sikkerhedspolitikker:

  • Standard beskyttelse: En grundlinjeprofil, der passer til de fleste brugere.
  • Streng beskyttelse: En mere aggressiv profil for udvalgte brugere (mål med høj værdi eller prioriterede brugere).
  • Indbygget beskyttelse (Microsoft Defender kun til Office 365): Leverer kun standardtrusselpolitikker for sikre links og vedhæftede filer, der er tillid til.

Generelt har Strict-beskyttelsesprofilen en tendens til at sætte mindre skadelige mails i karantæne (f.eks. masse og spam) end beskyttelsesprofilen for Standard, men mange af indstillingerne i begge profiler er de samme (især for utvivlsomt skadelige mails som malware eller phishing). Hvis du vil sammenligne indstillingsforskellene, skal du se tabellerne i næste afsnit.

Indtil du slår profilerne til og tildeler brugere til dem, tildeles de Standard og strenge forudindstillede sikkerhedspolitikker ikke til nogen. I modsætning hertil tildeles den forudindstillede sikkerhedspolitik for indbygget beskyttelse til alle modtagere som standard, men du kan konfigurere undtagelser.

Vigtigt!

Medmindre du konfigurerer undtagelser for den forudindstillede sikkerhedspolitik for indbygget beskyttelse, modtager alle modtagere i organisationen beskyttelse af sikre links og vedhæftede filer.

Politikker i forudindstillede sikkerhedspolitikker

Forudindstillede sikkerhedspolitikker bruger særlige versioner af de individuelle trusselspolitikker til standardmailbeskyttelse for cloudpostkasser og til Microsoft Defender til Office 365. Disse politikker oprettes, når du har tildelt brugerne den Standard beskyttelse eller forudindstillede sikkerhedspolitikker med streng beskyttelse.

  • Trusselspolitikker i standardbeskyttelse via mail for cloudpostkasser: Disse politikker findes i alle organisationer med cloudpostkasser:

    Bemærk!

    Politikker for udgående spam er ikke en del af forudindstillede sikkerhedspolitikker. Standardpolitikken for udgående spam beskytter automatisk medlemmer af forudindstillede sikkerhedspolitikker. Du kan også oprette brugerdefinerede politikker for udgående spam for at tilpasse beskyttelsen for medlemmer af forudindstillede sikkerhedspolitikker. Du kan få flere oplysninger under Konfigurer filtrering af udgående spam.

  • Trusselspolitikker i Microsoft Defender til Office 365: Disse politikker er i organisationer med Microsoft 365 E5 eller Defender for Office 365-abonnementer på tilføjelsesprogrammer:

Som tidligere beskrevet kan du anvende standardbeskyttelse via mail for andre brugere end Defender for Office 365 beskyttelse, eller du kan alle beskyttelser til de samme modtagere.

Politikindstillinger i forudindstillede sikkerhedspolitikker

Du kan ikke ændre de individuelle trusselspolitikker i de forudindstillede sikkerhedsbeskyttelsesprofiler. Trusselspolitikker, der er knyttet til de Standard eller strenge forudindstillede sikkerhedspolitikker, anvendes altid før standard- eller brugerdefinerede trusselspolitikker, og Strenge politikker anvendes altid før Standard politikker, som beskrevet i afsnittet Prioriteret rækkefølge i denne artikel

Men du skal konfigurere de enkelte brugere (afsendere) og domæner til at modtage repræsentationsbeskyttelse i Defender for Office 365. Ellers konfigurerer forudindstillede sikkerhedspolitikker automatisk følgende typer repræsentationsbeskyttelse:

Forskellene i meningsfulde politikindstillinger i den Standard forudindstillede sikkerhedspolitik og den forudindstillede strenge sikkerhedspolitik opsummeres i følgende tabel:

  Standard Streng
Politik for antimalware Ingen forskel Ingen forskel
Politik mod spam
   BCL-niveauet (Bulk compliant level) opfyldte eller overskredregistreringshandlingen (BulkSpamAction) Flyt meddelelse til mappen Uønsket mail (MoveToJmf) Karantænemeddelelse (Quarantine)
   Grænseværdi for massemail (BulkThreshold) 6 5
   Handling til registrering af spam (SpamAction) Flyt meddelelse til mappen Uønsket mail (MoveToJmf) Karantænemeddelelse (Quarantine)
Politik til bekæmpelse af phishing
   Hvis meddelelsen registreres som spoof af spoof intelligence (AuthenticationFailAction) Flyt meddelelse til mappen Uønsket mail (MoveToJmf) Karantænemeddelelse (Quarantine)
Vis sikkerhedstip til første kontakt (EnableFirstContactSafetyTips) Valgt ($true) Valgt ($true)
   Hvis mailbox intelligence registrerer en repræsenteret bruger (MailboxIntelligenceProtectionAction) Flyt meddelelse til mappen Uønsket mail (MoveToJmf) Karantænemeddelelse (Quarantine)
   Grænseværdi for phishingmail (PhishThresholdLevel) 3 - Mere aggressiv (3) 4 - Mest aggressive (4)
Politik for vedhæftede filer, der er tillid til Ingen forskel Ingen forskel
Politik for sikre links Ingen forskel Ingen forskel

Forskellene i indstillingerne for Sikre vedhæftede filer og Sikre links i den indbyggede beskyttelse, Standard og Strenge forudindstillede sikkerhedspolitikker opsummeres i følgende tabel:

  Indbygget beskyttelse Standard og Strict
Politik for vedhæftede filer, der er tillid til Ingen forskel Ingen forskel
Politik for sikre links
   Lad brugerne klikke sig igennem til den oprindelige URL-adresse (AllowClickThrough) Valgt ($true) Ikke markeret ($false)
   Undlad at omskrive URL-adresser. Kontroller kun via API'en Til sikre links (DisableURLRewrite) Valgt ($true) Ikke markeret ($false)
   Anvend sikre links på mails, der sendes i organisationen (EnableForInternalSenders) Ikke markeret ($false) Valgt ($true)

Du kan finde oplysninger om disse indstillinger i funktionstabellerne i Anbefalede indstillinger for mail- og samarbejdstrusselpolitik for cloudorganisationer.

Rangorden for forudindstillede sikkerhedspolitikker og andre trusselspolitikker

Når en modtager er defineret i flere politikker, anvendes politikkerne i følgende rækkefølge:

  1. Den forudindstillede sikkerhedspolitik Strict.
  2. Den Standard forudindstillede sikkerhedspolitik.
  3. Defender for Office 365 evalueringspolitikker
  4. Brugerdefinerede trusselspolitikker baseret på politikkens prioritet (et lavere tal angiver en højere prioritet).
  5. Den forudindstillede sikkerhedspolitik for indbygget beskyttelse for sikre links og vedhæftede filer, der er tillid til. standardtrusselpolitikkerne for antimalware, anti-spam og anti-phishing.

Denne rækkefølge vises på siderne i de individuelle trusselspolitikker på Defender-portalen (politikker anvendes i den rækkefølge, der vises på siden).

En administrator konfigurerer f.eks. den Standard forudindstillede sikkerhedspolitik og en brugerdefineret politik til bekæmpelse af spam med de samme modtagere. Indstillingerne for spampolitik fra den Standard forudindstillede sikkerhedspolitik anvendes på brugerne i stedet for indstillingerne i den brugerdefinerede politik til bekæmpelse af spam eller standardpolitikken for spam.

Overvej at anvende Standard eller Strenge forudindstillede sikkerhedspolitikker på et undersæt af brugere, og anvend brugerdefinerede trusselspolitikker på andre brugere i din organisation. Hvis du vil opfylde dette krav, skal du overveje følgende metoder:

  • Brug entydige grupper eller lister over modtagere i den Standard forudindstillede sikkerhedspolitik, den forudindstillede strenge sikkerhed og i brugerdefinerede trusselspolitikker, så der ikke kræves undtagelser. Ved hjælp af denne metode behøver du ikke at tage højde for flere politikker, der gælder for de samme brugere, og virkningen af rækkefølgen.
  • Hvis du ikke kan undgå flere politikker, der gælder for de samme brugere, skal du bruge følgende strategier:
    • Konfigurer modtagere, der skal hente indstillingerne for den Standard forudindstillede sikkerhedspolitik og brugerdefinerede trusselspolitikker, som undtagelser i den strenge forudindstillede sikkerhedspolitik.
    • Konfigurer modtagere, der skal hente indstillingerne for brugerdefinerede trusselspolitikker som undtagelser i den Standard forudindstillede sikkerhedspolitik.
    • Konfigurer modtagere, der skal hente indstillingerne for den forudindstillede sikkerhedspolitik for indbygget beskyttelse eller standardtrusselspolitikker som undtagelser for brugerdefinerede trusselspolitikker.

Den forudindstillede sikkerhedspolitik for indbygget beskyttelse påvirker ikke modtagere i eksisterende politikker for Sikre links eller Vedhæftede filer, der er tillid til. Hvis du allerede har konfigureret Standard beskyttelse, streng beskyttelse, brugerdefinerede politikker for Sikre links eller brugerdefinerede politikker for vedhæftede filer, der er tillid til, anvendes disse politikker altidførindbygget beskyttelse.

Du kan få flere oplysninger under Rækkefølgen og rækkefølgen af mailbeskyttelse.

  • Last updated on