Del via


Forudindstillede sikkerhedspolitikker i EOP og Microsoft Defender for Office 365

Tip

Vidste du, at du kan prøve funktionerne i Microsoft Defender XDR til Office 365 Plan 2 gratis? Brug den 90-dages Defender for Office 365 prøveversion på Microsoft Defender portalen med prøveversionshubben. Få mere at vide om, hvem der kan tilmelde dig og prøvevilkår i Prøv Microsoft Defender for Office 365.

Forudindstillede sikkerhedspolitikker giver dig mulighed for at anvende beskyttelsesfunktioner på brugere baseret på vores anbefalede indstillinger. I modsætning til brugerdefinerede politikker, der kan konfigureres uendeligt, kan stort set alle indstillingerne i forudindstillede sikkerhedspolitikker ikke konfigureres og er baseret på vores observationer i datacentrene. Indstillingerne i forudindstillede sikkerhedspolitikker giver en balance mellem at holde skadeligt indhold væk fra brugerne, samtidig med at du undgår unødvendige afbrydelser.

Forudindstillede sikkerhedspolitikker indeholder mange af de beskyttelsesfunktioner, der er tilgængelige i Exchange Online Protection (EOP) og Microsoft Defender for Office 365, afhængigt af din organisation.

Følgende forudindstillede sikkerhedspolitikker er tilgængelige:

  • Standardforudstillet sikkerhedspolitik
  • Streng forudindstillet sikkerhedspolitik
  • Indbygget beskyttelse forudindstillet sikkerhedspolitik (standardpolitikker for beskyttelse af vedhæftede filer og sikre links i Defender for Office 365)

Du kan finde flere oplysninger om disse forudindstillede sikkerhedspolitikker i appendiksafsnittet sidst i denne artikel.

I resten af denne artikel kan du se, hvordan du konfigurerer forudindstillede sikkerhedspolitikker.

Hvad har du brug for at vide, før du begynder?

  • Du åbner portalen Microsoft Defender på https://security.microsoft.com. Hvis du vil gå direkte til siden Forudindstillede sikkerhedspolitikker , skal du bruge https://security.microsoft.com/presetSecurityPolicies.

  • Hvis du vil oprette forbindelse til Exchange Online PowerShell, skal du se Opret forbindelse til Exchange Online PowerShell.

  • Du skal have tildelt tilladelser, før du kan udføre procedurerne i denne artikel. Du har følgende muligheder:

    • Microsoft Defender XDR Unified-rollebaseret adgangskontrol (RBAC) (Hvis mail & samarbejde>Defender for Office 365 tilladelser er aktive. Påvirker kun Defender-portalen, ikke PowerShell: Godkendelses- og indstillinger/Sikkerhedsindstillinger/Kernesikkerhedsindstillinger (administrer) eller Godkendelses- og indstillinger/Sikkerhedsindstillinger/Kernesikkerhedsindstillinger (læs).

    • Exchange Online tilladelser:

      • Konfigurer forudindstillede sikkerhedspolitikker: Medlemskab i rollegrupperne Organisationsadministration eller Sikkerhedsadministrator .
      • Skrivebeskyttet adgang til forudindstillede sikkerhedspolitikker: Medlemskab i rollegruppen Global læser .
    • Microsoft Entra tilladelser: Medlemskab af rollerne Global administrator*, Sikkerhedsadministrator eller Global læser giver brugerne de nødvendige tilladelser og tilladelser til andre funktioner i Microsoft 365.

      Vigtigt!

      * Microsoft anbefaler, at du bruger roller med færrest tilladelser. Brug af konti med lavere tilladelser hjælper med at forbedre sikkerheden for din organisation. Global administrator er en yderst privilegeret rolle, der bør være begrænset til nødsituationer, når du ikke kan bruge en eksisterende rolle.

Brug Microsoft Defender-portalen til at tildele standard- og strenge forudindstillede sikkerhedspolitikker til brugere

  1. På Microsoft Defender-portalen på https://security.microsoft.comskal du gå til Mail & Samarbejdspolitikker>& Regler>Trusselspolitikker>Forudindstillede sikkerhedspolitikker i afsnittet Skabelonpolitikker. Du kan også gå direkte til siden Forudindstillede sikkerhedspolitikker ved at bruge https://security.microsoft.com/presetSecurityPolicies.

  2. Hvis det er første gang, du bruger siden Forudindstillede sikkerhedspolitikker , er det sandsynligt, at Standardbeskyttelse og Streng beskyttelse er slået fra .

    Skub til/fra-knappen for den, du vil konfigurere til , og vælg derefter Administrer beskyttelsesindstillinger for at starte konfigurationsguiden.

  3. På siden Anvend Exchange Online Protection skal du identificere de interne modtagere, som EOP-beskyttelsen gælder for (modtagerbetingelser):

    • Alle modtagere

    • Bestemte modtagere: Konfigurer en af følgende modtagerbetingelser, der vises:

      • Brugere: De angivne postkasser, mailbrugere eller mailkontakter.
      • Grupper:
        • Medlemmer af de angivne distributionsgrupper eller mailaktiverede sikkerhedsgrupper (dynamiske distributionsgrupper understøttes ikke).
        • Den angivne Microsoft 365-grupper.
      • Domæner: Alle modtagere i organisationen med en primær mailadresse i det angivne accepterede domæne.

    Klik i det relevante felt, begynd at skrive en værdi, og vælg den ønskede værdi fra resultaterne. Gentag denne proces så mange gange, det er nødvendigt. Hvis du vil fjerne en eksisterende værdi, skal du vælge ud for værdien.

    For brugere eller grupper kan du bruge de fleste identifikatorer (navn, vist navn, alias, mailadresse, kontonavn osv.), men det tilsvarende viste navn vises i resultaterne. For brugere eller grupper skal du angive en stjerne (*) alene for at se alle tilgængelige værdier.

    Du kan kun bruge en betingelse én gang, men betingelsen kan indeholde flere værdier:

    • Flere værdier med samme betingelse bruger OR-logik (f.eks.< recipient1> eller <recipient2>). Hvis modtageren stemmer overens med en af de angivne værdier, anvendes politikken på dem.

    • Forskellige typer betingelser bruger AND-logik. Modtageren skal matche alle de angivne betingelser for, at politikken gælder for vedkommende. Du kan f.eks. konfigurere en betingelse med følgende værdier:

      • Brugere: romain@contoso.com
      • Grupper: Direktører

      Politikken anvendes kunromain@contoso.com , hvis han også er medlem af gruppen Direktører. Ellers anvendes politikken ikke på ham.

    • Ingen

    • Udelad disse modtagere: Hvis du har valgt Alle modtagere eller Specifikke modtagere, skal du vælge denne indstilling for at konfigurere modtagerundtagelser.

      Du kan kun bruge en undtagelse én gang, men undtagelsen kan indeholde flere værdier:

      • Flere værdier med den samme undtagelse bruger OR-logik (f.eks.< recipient1> eller <recipient2>). Hvis modtageren matcher nogen af de angivne værdier, anvendes politikken ikke på dem.
      • Forskellige typer undtagelser bruger OR-logik (f.eks. <modtager1> eller <medlem af gruppe1> eller <medlem af domæne1>). Hvis modtageren stemmer overens med nogen af de angivne undtagelsesværdier, anvendes politikken ikke på dem.

    Når du er færdig på siden Anvend Exchange Online Protection, skal du vælge Næste.

    Bemærk!

    Hvis du vælger Næste i organisationer uden Defender for Office 365, kommer du til siden Gennemse (trin 9).

  4. På siden Anvend Defender for Office 365 beskyttelse skal du identificere de interne modtagere, som Defender for Office 365 beskyttelse gælder for (modtagerbetingelser).

    Indstillingerne og funktionsmåden svarer nøjagtigt til siden Anvend Exchange Online Protection i det forrige trin.

    Du kan også vælge Tidligere valgte modtagere for at bruge de samme modtagere, som du valgte til EOP-beskyttelse på den forrige side.

    Når du er færdig på siden Anvend Defender for Office 365 beskyttelse, skal du vælge Næste.

  5. På siden Repræsentationsbeskyttelse skal du vælge Næste.

  6. På siden Føj mailadresser til flag, når de repræsenteres af personer med ondsindede hensigter , skal du tilføje interne og eksterne afsendere, der er beskyttet af beskyttelse mod brugerrepræsentation.

    Bemærk!

    Alle modtagere modtager automatisk repræsentationsbeskyttelse fra postkasseintelligens i forudindstillede sikkerhedspolitikker.

    Du kan maksimalt angive 350 brugere til beskyttelse af bruger repræsentation i den forudindstillede sikkerhedspolitik Standard eller Strict.

    Beskyttelse af brugerrepræsentation fungerer ikke, hvis afsenderen og modtageren tidligere har kommunikeret via mail. Hvis afsenderen og modtageren aldrig har kommunikeret via mail, kan meddelelsen identificeres som et repræsentationsforsøg.

    Hver post består af et vist navn og en mailadresse:

    • Interne brugere: Klik i feltet Tilføj en gyldig mail , eller begynd at skrive brugerens mailadresse. Vælg mailadressen på rullelisten Foreslåede kontakter , der vises. Brugerens viste navn føjes til feltet Tilføj et navn (som du kan ændre). Når du er færdig med at vælge brugeren, skal du vælge Tilføj.

    • Eksterne brugere: Skriv den eksterne brugers fulde mailadresse i feltet Tilføj en gyldig mailadresse , og vælg derefter mailadressen på rullelisten Foreslåede kontakter , der vises. Mailadressen tilføjes også i feltet Tilføj et navn (som du kan ændre til et vist navn).

    Gentag disse trin så mange gange, det er nødvendigt.

    De brugere, du har tilføjet, vises på siden efter Vist navn og Afsenders mailadresse. Hvis du vil fjerne en bruger, skal du vælge ud for posten.

    Brug søgefeltet til at finde poster på siden.

    Når du er færdig på siden Anvend Defender for Office 365 beskyttelse, skal du vælge Næste.

  7. På siden Føj domæner til flag, når de repræsenteres af personer med ondsindede hensigter , skal du tilføje interne og eksterne domæner, der er beskyttet af beskyttelse mod repræsentation af domæner.

    Bemærk!

    Alle domæner, som du ejer (accepterede domæner), modtager automatisk beskyttelse mod repræsentation af domæner i forudindstillede sikkerhedspolitikker.

    Du kan maksimalt angive 50 brugerdefinerede domæner til beskyttelse af repræsentation af domæner i den forudindstillede sikkerhedspolitik Standard eller Strict.

    Klik i feltet Tilføj domæner , angiv en domæneværdi, tryk på ENTER, eller vælg den værdi, der vises under feltet. Hvis du vil fjerne et domæne fra feltet og starte forfra, skal du vælge ud for domænet. Når du er klar til at tilføje domænet, skal du vælge Tilføj. Gentag dette trin så mange gange, det er nødvendigt.

    De domæner, du har tilføjet, vises på siden. Hvis du vil fjerne domænet, skal du vælge ud for værdien.

    De domæner, du har tilføjet, vises på siden. Hvis du vil fjerne et domæne, skal du vælge ud for posten.

    Hvis du vil fjerne et eksisterende element fra listen, skal du vælge ud for posten.

    Når du er færdig med flaget Føj domæner til, når du repræsenteres af personer med ondsindede hensigter, skal du vælge Næste.

  8. På siden Føj mailadresser, der er tillid til, og domæner, der ikke skal markeres som repræsentation , skal du angive afsenderens mailadresser og domæner, som du vil udelukke fra repræsentationsbeskyttelse. Meddelelser fra disse afsendere markeres aldrig som et repræsentationsangreb, men afsenderne scannes stadig af andre filtre i EOP og Defender for Office 365.

    Bemærk!

    De domænenavne, der er tillid til, indeholder ikke underdomæner for det angivne domæne. Du skal tilføje en post for hvert underdomæne.

    Angiv mailadressen eller domænet i feltet, og tryk derefter på ENTER, eller vælg den værdi, der vises under feltet. Hvis du vil fjerne en værdi fra feltet og starte forfra, skal du vælge ud for værdien. Når du er klar til at tilføje brugeren eller domænet, skal du vælge Tilføj. Gentag dette trin så mange gange, det er nødvendigt.

    De brugere og domæner, du har tilføjet, vises på siden efter Navn og Type. Hvis du vil fjerne en post, skal du vælge ud for posten.

    Når du er færdig på siden Føj mailadresser og domæner, der er tillid til, til ikke at markere som repræsentationsside , skal du vælge Næste.

  9. Gennemse dine indstillinger på siden Gennemse og bekræft dine ændringer . Du kan vælge Tilbage eller den specifikke side i guiden for at redigere indstillingerne.

    Når du er færdig på siden Gennemse og bekræft dine ændringer , skal du vælge Bekræft.

  10. På siden Standardbeskyttelse opdateret eller Kun beskyttelse opdateret skal du vælge Udført.

Brug Microsoft Defender-portalen til at redigere tildelingerne af standard- og strenge forudindstillede sikkerhedspolitikker

Trinnene til at ændre tildelingen af den forudindstillede sikkerhedspolitik Standardbeskyttelse eller Streng beskyttelse er de samme, som da du oprindeligt tildelte de forudindstillede sikkerhedspolitikker til brugere.

Hvis du vil deaktivere standardbeskyttelse eller forudindstillede sikkerhedspolitikker for streng beskyttelse , samtidig med at de eksisterende betingelser og undtagelser bevares, skal du skubbe til/fra-knappen til . Hvis du vil aktivere politikkerne, skal du skubbe til/fra-knappen til .

Brug Microsoft Defender-portalen til at føje udeladelser til den forudindstillede sikkerhedspolitik for indbygget beskyttelse

Tip

Den forudindstillede sikkerhedspolitik for indbygget beskyttelse anvendes på alle brugere i organisationer med en hvilken som helst mængde licenser til Defender til Microsoft 365. Dette program er med til at sikre det bredeste sæt brugere, indtil administratorer specifikt konfigurerer Defender for Office 365 beskyttelse. Da indbygget beskyttelse er aktiveret som standard, behøver kunderne ikke at bekymre sig om at overtræde vilkårene for produktlicens. Vi anbefaler dog, at du køber nok Defender for Office 365 licenser for at sikre, at indbygget beskyttelse fortsætter for alle brugere.

Den forudindstillede sikkerhedspolitik for indbygget beskyttelse påvirker ikke modtagere, der er defineret i standard - eller strenge forudindstillede sikkerhedspolitikker eller i brugerdefinerede sikre links eller politikker for vedhæftede filer, der er tillid til. Derfor anbefaler vi normalt ikke undtagelser fra den indbyggede sikkerhedspolitik , der er forudindstillet i beskyttelse.

  1. På Microsoft Defender-portalen på https://security.microsoft.comskal du gå til Mail & Samarbejdspolitikker>& Regler>Trusselspolitikker>Forudindstillede sikkerhedspolitikker i afsnittet Skabelonpolitikker. Du kan også gå direkte til siden Forudindstillede sikkerhedspolitikker ved at bruge https://security.microsoft.com/presetSecurityPolicies.

  2. På siden Forudindstillede sikkerhedspolitikker skal du vælge Tilføj udeladelser (anbefales ikke)i afsnittet Indbygget beskyttelse .

  3. I pop op-vinduet Udelad fra indbygget beskyttelse , der åbnes, skal du identificere de interne modtagere, der er udelukket fra den indbyggede beskyttelse sikre links og sikre vedhæftede filer:

    • Brugere
    • Grupper:
      • Medlemmer af de angivne distributionsgrupper eller mailaktiverede sikkerhedsgrupper (dynamiske distributionsgrupper understøttes ikke).
      • Den angivne Microsoft 365-grupper.
    • Domæner

    Klik i det relevante felt, begynd at skrive en værdi, og vælg derefter den værdi, der vises under feltet. Gentag denne proces så mange gange, det er nødvendigt. Hvis du vil fjerne en eksisterende værdi, skal du vælge ud for værdien.

    For brugere eller grupper kan du bruge de fleste identifikatorer (navn, vist navn, alias, mailadresse, kontonavn osv.), men det tilsvarende viste navn vises i resultaterne. For brugere skal du angive en stjerne (*) alene for at se alle tilgængelige værdier.

    Du kan kun bruge en undtagelse én gang, men undtagelsen kan indeholde flere værdier:

    • Flere værdier med den samme undtagelse bruger OR-logik (f.eks.< recipient1> eller <recipient2>). Hvis modtageren matcher nogen af de angivne værdier, anvendes politikken ikke på dem.
    • Forskellige typer undtagelser bruger OR-logik (f.eks. <modtager1> eller <medlem af gruppe1> eller <medlem af domæne1>). Hvis modtageren stemmer overens med nogen af de angivne undtagelsesværdier, anvendes politikken ikke på dem.
  4. Når du er færdig med pop op-vinduet Udelad fra indbygget beskyttelse , skal du vælge Gem.

Hvordan ved du, at disse procedurer virkede?

Hvis du vil bekræfte, at du har tildelt sikkerhedspolitikken Standardbeskyttelse eller Streng beskyttelse til en bruger, skal du bruge en beskyttelsesindstilling, hvor standardværdien er forskellig fra indstillingen Standardbeskyttelse , hvilket er anderledes end indstillingen Streng beskyttelse .

For mails, der registreres som spam (ikke spam med høj sikkerhed), skal du f.eks. bekræfte, at meddelelsen leveres til mappen Uønsket mail for standardbeskyttelsesbrugere og er sat i karantæne for brugere med streng beskyttelse .

Eller du kan kontrollere, at BCL-værdien 6 eller højere leverer meddelelsen til mappen Uønsket mail til standardbeskyttelsesbrugere , og at BCL-værdien 5 eller højere sætter meddelelsen i karantæne for brugere med streng beskyttelse .

Forudindstillede sikkerhedspolitikker i Exchange Online PowerShell

I PowerShell består forudindstillede sikkerhedspolitikker af følgende elementer:

I følgende afsnit beskrives det, hvordan du bruger disse cmdlet'er i understøttede scenarier.

Hvis du vil oprette forbindelse til Exchange Online PowerShell, skal du se Opret forbindelse til Exchange Online PowerShell.

Brug PowerShell til at få vist individuelle sikkerhedspolitikker for forudindstillede sikkerhedspolitikker

Husk, at hvis du aldrig har aktiveret den forudindstillede Standard-sikkerhedspolitik eller Den strenge forudindstillede sikkerhedspolitik på Microsoft Defender-portalen, findes de tilknyttede sikkerhedspolitikker for den forudindstillede sikkerhedspolitik ikke.

  • Indbygget sikkerhedspolitik med forudindstillet beskyttelse: De tilknyttede politikker kaldes Built-In Beskyttelsespolitik. Egenskabsværdien IsBuiltInProtection er Sand for disse politikker.

    Kør følgende kommando for at få vist de individuelle sikkerhedspolitikker for den forudindstillede sikkerhedspolitik for indbygget beskyttelse:

    Write-Output -InputObject ("`r`n"*3),"Built-in protection Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy -Identity "Built-In Protection Policy" | Format-List; Write-Output -InputObject ("`r`n"*3),"Built-in protection Safe Links policy",("-"*79);Get-SafeLinksPolicy -Identity "Built-In Protection Policy" | Format-List
    
  • Standardforudstillet sikkerhedspolitik: De tilknyttede politikker kaldes Standard Preset Security Policy<13-digit number>. Det kunne f.eks. være Standard Preset Security Policy1622650008019. Egenskabsværdien RecommendPolicyType for politikkerne er Standard.

    • Hvis du kun vil have vist de individuelle sikkerhedspolitikker for den forudindstillede standardsikkerhedspolitik i organisationer med EOP, skal du køre følgende kommando:

      Write-Output -InputObject ("`r`n"*3),"Standard anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"
      
    • Kør følgende kommando for at få vist de individuelle sikkerhedspolitikker for den forudindstillede standardsikkerhedspolitik i organisationer med Defender for Office 365:

      Write-Output -InputObject ("`r`n"*3),"Standard anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"
      
  • Streng forudindstillet sikkerhedspolitik: De tilknyttede politikker kaldes Strict Preset Security Policy<13-digit number>. Det kunne f.eks. være Strict Preset Security Policy1642034872546. Egenskabsværdien RecommendPolicyType for politikkerne er Strict.

    • Kør følgende kommando for kun at få vist de individuelle sikkerhedspolitikker for den forudindstillede strenge sikkerhedspolitik i organisationer med EOP:

      Write-Output -InputObject ("`r`n"*3),"Strict anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"
      
    • Kør følgende kommando for at få vist de individuelle sikkerhedspolitikker for den forudindstillede strenge sikkerhedspolitik i organisationer med Defender for Office 365:

      Write-Output -InputObject ("`r`n"*3),"Strict anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"
      

Brug PowerShell til at få vist regler for forudindstillede sikkerhedspolitikker

Husk, at hvis du aldrig har aktiveret den forudindstillede standardsikkerhedspolitik eller den strenge forudindstillede sikkerhedspolitik på Microsoft Defender-portalen, findes de tilknyttede regler for disse politikker ikke.

  • Indbygget sikkerhedspolitik med forudindstillet beskyttelse: Der findes kun én regel med navnet ATP Built-In beskyttelsesregel.

    Kør følgende kommando for at få vist den regel, der er knyttet til den forudindstillede sikkerhedspolitik for indbygget beskyttelse:

    Get-ATPBuiltInProtectionRule
    
  • Standardforudstillet sikkerhedspolitik: De tilknyttede regler kaldes standardforudstillet sikkerhedspolitik.

    Brug følgende kommandoer til at få vist de regler, der er knyttet til den forudindstillede standard sikkerhedspolitik:

    • Kør følgende kommando for at få vist den regel, der er knyttet til EOP-beskyttelse i den forudindstillede standardsikkerhedspolitik:

      Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"
      
    • Hvis du vil have vist den regel, der er knyttet til Defender for Office 365 beskyttelse i den forudindstillede standardsikkerhedspolitik, skal du køre følgende kommando:

      Get-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"
      
    • Kør følgende kommando for at få vist begge regler på samme tid:

      Write-Output -InputObject ("`r`n"*3),"EOP rule - Standard preset security policy",("-"*79);Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"; Write-Output -InputObject ("`r`n"*3),"Defender for Office 365 rule - Standard preset security policy",("-"*79);Get-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"
      
  • Streng forudindstillet sikkerhedspolitik: De tilknyttede regler hedder Strict Preset Security Policy.

    Brug følgende kommandoer til at få vist de regler, der er knyttet til den forudindstillede sikkerhedspolitik Strict:

    • Kør følgende kommando for at få vist den regel, der er knyttet til EOP-beskyttelse i den strenge forudindstillede sikkerhedspolitik:

      Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"
      
    • Hvis du vil have vist den regel, der er knyttet til Defender for Office 365 beskyttelse i den forudindstillede sikkerhedspolitik Strict preset , skal du køre følgende kommando:

      Get-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"
      
    • Kør følgende kommando for at få vist begge regler på samme tid:

      Write-Output -InputObject ("`r`n"*3),"EOP rule - Strict preset security policy",("-"*79);Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"; Write-Output -InputObject ("`r`n"*3),"Defender for Office 365 rule - Strict preset security policy",("-"*79);Get-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"
      

Brug PowerShell til at aktivere eller deaktivere forudindstillede sikkerhedspolitikker

Hvis du vil slå standardsikkerhedspolitikker eller strenge forudindstillede sikkerhedspolitikker til eller fra i PowerShell, skal du aktivere eller deaktivere de regler, der er knyttet til politikken. Egenskaben State for reglen viser, om reglen er Aktiveret eller Deaktiveret.

Hvis din organisation kun har EOP, deaktiverer eller aktiverer du reglen for EOP-beskyttelse.

Hvis din organisation har Defender for Office 365, aktiverer eller deaktiverer du reglen for EOP-beskyttelse og reglen for Defender for Office 365-beskyttelse (aktivér eller deaktiver begge regler).

  • Kun organisationer med EOP:

    • Kør følgende kommando for at bestemme, om reglerne for de forudindstillede sikkerhedspolitikker Standard og Strict i øjeblikket er aktiveret eller deaktiveret:

      Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50); Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50); Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy" | Format-Table Name,State
      
    • Kør følgende kommando for at slå den forudindstillede standardsikkerhedspolitik fra, hvis den er slået til:

      Disable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"
      
    • Kør følgende kommando for at slå den forudindstillede sikkerhedspolitik Strict fra, hvis den er slået til:

      Disable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"
      
    • Kør følgende kommando for at aktivere den forudindstillede standard sikkerhedspolitik, hvis den er slået fra:

      Enable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"
      
    • Kør følgende kommando for at aktivere den forudindstillede sikkerhedspolitik Strict, hvis den er slået fra:

      Enable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"
      
  • Organisationer med Defender for Office 365:

    • Kør følgende kommando for at bestemme, om reglerne for de forudindstillede sikkerhedspolitikker Standard og Strict i øjeblikket er aktiveret eller deaktiveret:

      Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50);Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject `r`n,"Defender for Office 365 protection rule",("-"*50);Get-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50);Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject `r`n,"Defender for Office 365 protection rule",("-"*50);Get-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy" | Format-Table Name,State
      
    • Kør følgende kommando for at slå den forudindstillede standardsikkerhedspolitik fra, hvis den er slået til:

      Disable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"; Disable-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"
      
    • Kør følgende kommando for at slå den forudindstillede sikkerhedspolitik Strict fra, hvis den er slået til:

      Disable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"; Disable-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"
      
    • Kør følgende kommando for at aktivere den forudindstillede standard sikkerhedspolitik, hvis den er slået fra:

      Enable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"; Enable-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"
      
    • Kør følgende kommando for at aktivere den forudindstillede sikkerhedspolitik Strict, hvis den er slået fra:

      Enable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"; Enable-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"
      

Brug PowerShell til at angive modtagerbetingelser og -undtagelser for forudindstillede sikkerhedspolitikker

Du kan kun bruge en modtagerbetingelse eller en undtagelse én gang, men betingelsen eller undtagelsen kan indeholde flere værdier:

  • Flere værdier med samme betingelse eller undtagelse bruger OR-logik (f.eks. <modtager1> eller <modtager2>):

    • Betingelser: Hvis modtageren matcher nogen af de angivne værdier, anvendes politikken på dem.
    • Undtagelser: Hvis modtageren matcher nogen af de angivne værdier, anvendes politikken ikke på dem.
  • Forskellige typer undtagelser bruger OR-logik (f.eks. <modtager1> eller <medlem af gruppe1> eller <medlem af domæne1>). Hvis modtageren stemmer overens med nogen af de angivne undtagelsesværdier, anvendes politikken ikke på dem.

  • Forskellige typer betingelser bruger AND-logik. Modtageren skal matche alle de angivne betingelser for, at politikken gælder for vedkommende. Du kan f.eks. konfigurere en betingelse med følgende værdier:

    • Brugere: romain@contoso.com
    • Grupper: Direktører

    Politikken anvendes kunromain@contoso.com , hvis han også er medlem af gruppen Direktører. Ellers anvendes politikken ikke på ham.

For den forudindstillede sikkerhedspolitik for indbygget beskyttelse kan du kun angive modtagerundtagelser. Hvis alle parameterværdier for undtagelser er tomme ($null), er der ingen undtagelser til politikken.

I forbindelse med standard- og strenge forudindstillede sikkerhedspolitikker kan du angive modtagerbetingelser og -undtagelser for EOP-beskyttelse og Defender for Office 365 beskyttelse. Hvis alle betingelser og parameterværdier for undtagelser er tomme ($null), er der ingen modtagerbetingelser eller undtagelser til standard- eller strenge forudindstillede sikkerhedspolitikker.

  • Indbygget sikkerhedspolitisk forudindstillet beskyttelse:

    Brug følgende syntaks:

    Set-ATPBuiltInProtectionRule -Identity "ATP Built-In Protection Rule" -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null>
    

    I dette eksempel fjernes alle modtagerundtagelser fra den forudindstillede sikkerhedspolitik for indbygget beskyttelse.

    Set-ATPBuiltInProtectionRule -Identity "ATP Built-In Protection Rule" -ExceptIfRecipientDomainIs $null -ExceptIfSentTo $null -ExceptIfSentToMemberOf $null
    

    Du kan finde detaljerede oplysninger om syntaks og parametre under Set-ATPBuiltInProtectionRule.

  • Standard- eller Strict-forudindstillede sikkerhedspolitikker

    Brug følgende syntaks:

    <Set-EOPProtectionPolicyRule | SetAtpProtectionPolicyRule> -Identity "<Standard Preset Security Policy | Strict Preset Security Policy>" -SentTo <"user1","user2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -SentToMemberOf <"group1","group2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null> -RecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null>
    

    I dette eksempel konfigureres undtagelser fra EOP-beskyttelsen i den forudindstillede standardsikkerhedspolitik for medlemmer af distributionsgruppen med navnet Direktører.

    Set-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy" -ExceptIfSentToMemberOf Executives
    

    I dette eksempel konfigureres undtagelser fra beskyttelse af Defender for Office 365 i Den strenge forudindstillede sikkerhedspolitik for de angivne sikkerhedshandlinger (SecOps)-postkasser.

    Set-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy" -ExceptIfSentTo "SecOps1","SecOps2"
    

    Du kan finde detaljerede oplysninger om syntaks og parametre under Set-EOPProtectionPolicyRule og Set-ATPProtectionPolicyRule.

Tillæg

Forudindstillede sikkerhedspolitikker består af følgende elementer:

Disse elementer er beskrevet i følgende afsnit.

Det er desuden vigtigt at forstå, hvordan forudindstillede sikkerhedspolitikker passer i rækkefølgen i forhold til andre politikker.

Profiler i forudindstillede sikkerhedspolitikker

En profil bestemmer beskyttelsesniveauet. Følgende profiler er tilgængelige for forudindstillede sikkerhedspolitikker:

  • Standardbeskyttelse: En grundlinjeprofil, der passer til de fleste brugere.
  • Streng beskyttelse: En mere aggressiv profil for udvalgte brugere (mål med høj værdi eller prioriterede brugere).
  • Indbygget beskyttelse (kun Microsoft Defender for Office 365): Leverer kun standardpolitikker for Sikre links og Vedhæftede filer, der er tillid til.

Generelt har Strict-beskyttelsesprofilen tendens til at sætte mindre skadelige mails i karantæne (f.eks. masse og spam) end Standard-beskyttelsesprofilen, men mange af indstillingerne i begge profiler er de samme (især for utvivlsomt skadelige mails som malware eller phishing). Hvis du vil sammenligne indstillingsforskellene, skal du se tabellerne i næste afsnit.

Indtil du aktiverer profilerne og tildeler brugere til dem, tildeles de forudindstillede standard- og strenge sikkerhedspolitikker ikke til nogen. I modsætning hertil tildeles den forudindstillede sikkerhedspolitik for indbygget beskyttelse til alle modtagere som standard, men du kan konfigurere undtagelser.

Vigtigt!

Medmindre du konfigurerer undtagelser for den forudindstillede sikkerhedspolitik for indbygget beskyttelse, modtager alle modtagere i organisationen beskyttelse af sikre links og vedhæftede filer.

Politikker i forudindstillede sikkerhedspolitikker

Forudindstillede sikkerhedspolitikker bruger særlige versioner af de individuelle beskyttelsespolitikker, der er tilgængelige i EOP og Microsoft Defender for Office 365. Disse politikker oprettes, når du har tildelt standardbeskyttelse eller forudindstillede sikkerhedspolitikker for streng beskyttelse til brugere.

  • EOP-politikker: Disse politikker er i alle Microsoft 365-organisationer med Exchange Online postkasser og separate EOP-organisationer uden Exchange Online postkasser:

    Bemærk!

    Politikker for udgående spam er ikke en del af forudindstillede sikkerhedspolitikker. Standardpolitikken for udgående spam beskytter automatisk medlemmer af forudindstillede sikkerhedspolitikker. Du kan også oprette brugerdefinerede politikker for udgående spam for at tilpasse beskyttelsen for medlemmer af forudindstillede sikkerhedspolitikker. Du kan få flere oplysninger under Konfigurer filtrering af udgående spam i EOP.

  • Microsoft Defender for Office 365 politikker: Disse politikker er i organisationer med abonnementer på Microsoft 365 E5 eller Defender for Office 365 tilføjelsesprogrammer:

Som tidligere beskrevet kan du anvende EOP-beskyttelse på andre brugere end Defender for Office 365 beskyttelse, eller du kan anvende EOP- og Defender for Office 365-beskyttelse til de samme modtagere.

Politikindstillinger i forudindstillede sikkerhedspolitikker

Grundlæggende kan du ikke ændre de individuelle politikindstillinger i beskyttelsesprofilerne. Tilpasning af den tilsvarende standardpolitik eller oprettelse af en ny brugerdefineret politik har ingen effekt på grund af rækkefølgen, når den samme bruger (modtager) er defineret i flere politikker (standard- og forudindstillede sikkerhedspolitikker anvendes altid først).

Men du skal konfigurere de enkelte brugere (afsendere) og domæner til at modtage repræsentationsbeskyttelse i Defender for Office 365. Ellers konfigurerer forudindstillede sikkerhedspolitikker automatisk følgende typer repræsentationsbeskyttelse:

Forskellene i meningsfulde politikindstillinger i den forudindstillede standardsikkerhedspolitik og den strenge forudindstillede sikkerhedspolitik opsummeres i følgende tabel:

  Standard Streng
Politik for antimalware Ingen forskel Ingen forskel
Politik mod spam
   BCL-niveauet (Bulk compliant level) opfyldte eller overskredregistreringshandlingen (BulkSpamAction) Flyt meddelelse til mappen Uønsket mail (MoveToJmf) Karantænemeddelelse (Quarantine)
   Grænseværdi for massemail (BulkThreshold) 6 5
   Handling til registrering af spam (SpamAction) Flyt meddelelse til mappen Uønsket mail (MoveToJmf) Karantænemeddelelse (Quarantine)
Politik til bekæmpelse af phishing
   Hvis meddelelsen registreres som spoof af spoof intelligence (AuthenticationFailAction) Flyt meddelelse til mappen Uønsket mail (MoveToJmf) Karantænemeddelelse (Quarantine)
Vis sikkerhedstip til første kontakt (EnableFirstContactSafetyTips) Valgt ($true) Valgt ($true)
   Hvis mailbox intelligence registrerer en repræsenteret bruger (MailboxIntelligenceProtectionAction) Flyt meddelelse til mappen Uønsket mail (MoveToJmf) Karantænemeddelelse (Quarantine)
   Grænseværdi for phishingmail (PhishThresholdLevel) 3 - Mere aggressiv (3) 4 - Mest aggressive (4)
Politik for vedhæftede filer, der er tillid til Ingen forskel Ingen forskel
Politik for sikre links Ingen forskel Ingen forskel

Forskellene i politikindstillinger for Sikre vedhæftede filer og Sikre links i den forudindstillede sikkerhedspolitik for indbygget beskyttelse og i standard- og strenge forudindstillede sikkerhedspolitikker opsummeres i følgende tabel:

  Indbygget beskyttelse Standard og Strict
Politik for vedhæftede filer, der er tillid til Ingen forskel Ingen forskel
Politik for sikre links
   Lad brugerne klikke sig igennem til den oprindelige URL-adresse (AllowClickThrough) Valgt ($true) Ikke markeret ($false)
   Undlad at omskrive URL-adresser. Kontroller kun via API'en Til sikre links (DisableURLRewrite) Valgt ($true) Ikke markeret ($false)
   Anvend sikre links på mails, der sendes i organisationen (EnableForInternalSenders) Ikke markeret ($false) Valgt ($true)

Du kan finde flere oplysninger om disse indstillinger i funktionstabellerne under Anbefalede indstillinger for EOP og Microsoft Defender for Office 365 sikkerhed.

Rangorden for forudindstillede sikkerhedspolitikker og andre politikker

Når en modtager er defineret i flere politikker, anvendes politikkerne i følgende rækkefølge:

  1. Den forudindstillede sikkerhedspolitik Strict.
  2. Den forudindstillede standardsikkerhedspolitik.
  3. Brugerdefinerede politikker baseret på politikkens prioritet (et lavere tal angiver en højere prioritet).
  4. Defender for Office 365 evalueringspolitikker
  5. Den forudindstillede sikkerhedspolitik for indbygget beskyttelse for sikre links og vedhæftede filer, der er tillid til. standardpolitikkerne for antimalware, spam og anti-phishing.

Med andre ord tilsidesætter indstillingerne for den forudindstillede sikkerhedspolitik Strict indstillingerne for den forudindstillede sikkerhedspolitik Standard, som tilsidesætter indstillingerne fra alle brugerdefinerede politikker, som tilsidesætter indstillingerne fra alle politikker for anti-phishing, Sikre links eller Sikre vedhæftede filer, som tilsidesætter indstillingerne for den forudindstillede sikkerhedspolitik for Sikre links og Sikre vedhæftede filer, og standardpolitikkerne for anti-spam, anti-malware og anti-phishing.

Denne rækkefølge vises på siderne i de enkelte sikkerhedspolitikker på Defender-portalen (politikkerne anvendes i den rækkefølge, de vises på siden).

En administrator konfigurerer f.eks. den forudindstillede standardsikkerhedspolitik og en brugerdefineret politik til bekæmpelse af spam med den samme modtager. Indstillingerne for anti-spam-politikken fra den forudindstillede standardsikkerhedspolitik anvendes på brugeren i stedet for det, der er konfigureret i den brugerdefinerede politik for bekæmpelse af spam eller i standardpolitikken for spam.

Overvej at anvende Standard- eller Strict-forudindstillede sikkerhedspolitikker på et undersæt af brugere, og anvend brugerdefinerede politikker på andre brugere i din organisation for at opfylde bestemte behov. Hvis du vil opfylde dette krav, skal du overveje følgende metoder:

  • Brug entydige grupper eller lister over modtagere i den forudindstillede standardsikkerhedspolitik, den strenge forudindstillede sikkerhed og i brugerdefinerede politikker, så der ikke kræves undtagelser. Ved hjælp af denne metode behøver du ikke at tage højde for flere politikker, der gælder for de samme brugere, og virkningen af rækkefølgen.
  • Hvis du ikke kan undgå flere politikker, der gælder for de samme brugere, skal du bruge følgende strategier:
    • Konfigurer modtagere, der skal hente indstillingerne for den forudindstillede standardsikkerhedspolitik og brugerdefinerede politikker, som undtagelser i den forudindstillede sikkerhedspolitik Strict .
    • Konfigurer modtagere, der skal hente indstillingerne for brugerdefinerede politikker som undtagelser i den forudindstillede standardsikkerhedspolitik .
    • Konfigurer modtagere, der skal hente indstillingerne for den forudindstillede sikkerhedspolitik for indbygget beskyttelse eller standardpolitikker som undtagelser fra brugerdefinerede politikker.

Den forudindstillede sikkerhedspolitik for indbygget beskyttelse påvirker ikke modtagere i eksisterende politikker for Sikre links eller Vedhæftede filer, der er tillid til. Hvis du allerede har konfigureret standardbeskyttelse, streng beskyttelse eller brugerdefinerede politikker for sikre links eller vedhæftede filer, anvendes disse politikker altidførindbygget beskyttelse, så der er ingen effekt på de modtagere, der allerede er defineret i de eksisterende forudindstillede eller brugerdefinerede politikker.

Du kan få flere oplysninger under Rækkefølgen og rækkefølgen af mailbeskyttelse.