Prøv Microsoft Defender til Office 365

Som eksisterende Microsoft 365-kunde giver siderne Prøveversioner og Evaluering på Microsoft Defender-portalen https://security.microsoft.com dig mulighed for at prøve funktionerne i Microsoft Defender til Office 365 Plan 2, før du køber.

Før du prøver Defender for Office 365 Plan 2, er der nogle vigtige spørgsmål, som du skal stille dig selv:

• Vil jeg passivt observere, hvad Defender for Office 365 Plan 2 kan gøre for mig (revision)?
• Skal Defender for Office 365 Plan 2 udføre direkte handling på registrerede problemer (blok)?
• Uanset hvad, hvordan kan jeg se, hvad Defender for Office 365 Plan 2 gør for mig?
• Hvor lang tid har jeg, før jeg skal træffe beslutningen om at beholde Defender for Office 365 Plan 2?

Denne artikel hjælper dig med at besvare disse spørgsmål, så du kan prøve Defender for Office 365 Plan 2 på en måde, der bedst opfylder din organisations behov.

Hvis du vil have en medfølgende vejledning til, hvordan du bruger din prøveversion, skal du se Brugervejledning til prøveversion: Microsoft Defender til Office 365.

Bemærk!

Prøveversioner og evalueringer af Defender for Office 365 er ikke tilgængelige i amerikanske offentlige organisationer (Microsoft 365 GCC, GCC High og DoD) eller Microsoft 365 Education organisationer.

Oversigt over Defender for Office 365

Defender for Office 365 hjælper organisationer med at sikre deres virksomhed ved at tilbyde en omfattende tavle af funktioner. Du kan få flere oplysninger under Microsoft Defender for Office 365.

Du kan også få mere at vide om Defender for Office 365 i denne interaktive vejledning.

Se denne korte video for at få mere at vide om, hvordan du kan få mere fra hånden på kortere tid med Microsoft Defender for Office 365.

Du kan finde prisoplysninger under Microsoft Defender for Office 365.

Sådan fungerer test og evalueringer for Defender for Office 365

Politikker

Defender for Office 365 indeholder indbyggede sikkerhedsfunktioner til alle cloudpostkasser og funktioner, der er eksklusive til Defender for Office 365.

Funktionerne til beskyttelse af mail og samarbejde i Microsoft 365 implementeres ved hjælp af politikker. Politikker, der udelukkende gælder for Defender for Office 365, oprettes for dig efter behov:

• Repræsentationsbeskyttelse i politikker til bekæmpelse af phishing
• Sikre vedhæftede filer i mails
• Sikre links til mails og Microsoft Teams
  • Safe Links detonerer URL-adresser under mailflow. Hvis du vil forhindre, at bestemte URL-adresser detoneres, skal du sende URL-adresserne til Microsoft som gode URL-adresser. Du kan finde instruktioner under Rapportér gode URL-adresser til Microsoft.
  • Sikre links ombryder ikke URL-links i meddelelsestekster.

Din berettigelse til en evaluering eller prøveversion betyder, at du allerede har cloudpostkasser i Microsoft 365, så eksisterende trusselspolitikker fortsat kan reagere på meddelelser (f.eks. sende meddelelser til mappen Uønsket mail eller sætte dem i karantæne):

• Politikker for antimalware
• Indgående beskyttelse mod spam
• Beskyttelse mod spoofing i politikker til bekæmpelse af phishing

Standardtrusselpolitikkerne for disse funktioner er altid slået til, gælder for alle modtagere og anvendes altid sidst efter brugerdefinerede trusselspolitikker.

Overvågningstilstand vs. blokeringstilstand for Defender for Office 365

Skal din Defender for Office 365 oplevelse være aktiv eller passiv? Følgende tilstande er tilgængelige:

• Overvågningstilstand: Der oprettes særlige evalueringspolitikker til anti-phishing (som omfatter repræsentationsbeskyttelse), Sikre vedhæftede filer og Sikre links. Disse evalueringspolitikker er konfigureret til kun at registrere trusler. Defender for Office 365 registrerer skadelige meddelelser til rapportering, men meddelelserne reageres ikke på (f.eks. er registrerede meddelelser ikke sat i karantæne). Indstillingerne for disse evalueringspolitikker er beskrevet i afsnittet Politikker i overvågningstilstand senere i denne artikel.

  Bemærk!

  Følgende beskyttelsesfunktioner er som standard slået til og kan udføre handlinger på elementer, selv i overvågningstilstand:

  • Safe Links-tidspunktet for klikbeskyttelse i arbejdsbelastninger, der ikke er mail (f.eks. Microsoft Teams, SharePoint og OneDrive).
  • Automatisk tømning på nul timer (ZAP) i Microsoft Teams.

  Du kan også selektivt slå beskyttelse mod phishing til eller fra (spoofing og repræsentation), beskyttelse mod sikre links og beskyttelse mod vedhæftede filer. Du kan finde instruktioner under Administrer evalueringsindstillinger.

  Overvågningstilstand indeholder specialiserede rapporter om trusler, der registreres af evalueringspolitikkerne på Microsoft Defender til Office 365 evalueringsside på https://security.microsoft.com/atpEvaluation. Disse rapporter er beskrevet i afsnittet Rapporter til overvågningstilstand senere i denne artikel.

• Blokeringstilstand: Skabelonen Standard for forudindstillede sikkerhedspolitikker er slået til og bruges til prøveversionen, og de brugere, du angiver, skal inkluderes i prøveversionen, føjes til den Standard forudindstillede sikkerhedspolitik. Defender for Office 365 registrerer og reagerer på skadelige meddelelser (f.eks. er registrerede meddelelser sat i karantæne).

  Standardvalget og det anbefalede valg er at udvide Defender for Office 365 politikker til alle brugere i organisationen. Men under eller efter konfigurationen af din prøveversion kan du ændre politiktildelingen til bestemte brugere, grupper eller maildomæner i Microsoft Defender portalen eller i Exchange Online PowerShell.

  De regelmæssige rapporter og undersøgelsesfunktioner i Defender for Office 365 Plan 2 indeholder oplysninger om trusler, der er registreret af Defender for Office 365. Disse funktioner er beskrevet i afsnittet Rapporter om blokeringstilstand senere i denne artikel.

De vigtigste faktorer, der bestemmer, hvilke tilstande der er tilgængelige for dig, er:

• Uanset om du i øjeblikket har Defender for Office 365 (Plan 1 eller Plan 2) eller ej, som beskrevet i næste afsnit.

• Sådan leveres mail til din Microsoft 365-organisation som beskrevet i følgende scenarier:

  • Mail fra internettet flyder direkte ind i Microsoft 365, men dit aktuelle abonnement har de indbyggede sikkerhedsfunktioner kun for alle cloudpostkasser eller Defender for Office 365 Plan 1.

    

    I disse miljøer er overvågningstilstand eller blokeringstilstand tilgængelig, afhængigt af din licens, som beskrevet i næste afsnit.

  • Du bruger i øjeblikket en tjeneste eller enhed, der ikke er fra Microsoft, til mailbeskyttelse af dine cloudpostkasser. Mails fra internettet flyder via beskyttelsestjeneste, før de leveres til din Microsoft 365-organisation. Microsoft 365-beskyttelse er så lav som muligt (den er aldrig helt slukket. Beskyttelse mod malware gennemtvinges f.eks. altid).

    

    I disse miljøer er det kun overvågningstilstanden , der er tilgængelig. Du behøver ikke at ændre dit mailflow (MX-poster) for at evaluere Defender for Office 365 Plan 2.

Evaluering vs. prøveversion af Defender for Office 365

Hvad er forskellen mellem en evaluering og en prøveversion af Defender for Office 365 Plan 2? Er de ikke det samme? Ja og nej. Licensen i din Microsoft 365-organisation gør hele forskellen:

• Ingen Defender for Office 365 Plan 2: Du kan starte defender for Office 365 Plan 2-oplevelsen fra følgende placeringer på Microsoft Defender-portalen:

  • Siden Microsoft 365-prøveversioner på https://security.microsoft.com/trialHorizontalHub.
  • Microsoft Defender til Office 365 evalueringsside på https://security.microsoft.com/atpEvaluation.

  Du kan vælge overvågningstilstand (evalueringspolitikker) eller blokeringstilstand (Standard forudindstillet sikkerhedspolitik) under konfigurationen af evalueringen eller prøveversionen.

  Uanset hvilken placering du bruger, klargør vi automatisk alle påkrævede Defender for Office 365 Plan 2-licenser, når du tilmelder dig. Det er ikke nødvendigt manuelt at hente og tildele Plan 2-licenser i Microsoft 365 Administration.

  De automatisk klargjorte licenser er gode i 90 dage. Det, som denne 90-dages periode betyder, afhænger af den eksisterende licens i din organisation:

  • Ingen Defender for Office 365 Plan 1: Alle Defender for Office 365 Plan 2-funktioner (især trusselspolitikker) er kun tilgængelige i løbet af 90-dages perioden.

  • Defender for Office 365 Plan 1: Du har allerede de samme trusselspolitikker tilgængelige i Defender for Office 365 Plan 2: repræsentationsbeskyttelse i politikker til bekæmpelse af phishing, politikker for sikre vedhæftede filer og Politikker for Sikre links.

    Trusselspolitikkerne fra overvågningstilstand (evalueringspolitikker) eller blokeringstilstand (Standard forudindstillede sikkerhedspolitik) udløber ikke eller holder op med at fungere efter 90 dage. Det, der slutter efter 90 dage, er automatiserings-, undersøgelses-, afhjælpnings- og uddannelsesfunktionerne i Defender for Office 365 Plan 2, der ikke er tilgængelige i Plan 1.

  Hvis du konfigurerer din evaluering eller prøveversion i overvågningstilstand (evalueringspolitikker), kan du senere konvertere til blokeringstilstand (Standard forudindstillet sikkerhedspolitik). Du kan finde instruktioner i afsnittet Konvertér til Standard beskyttelse senere i denne artikel.

• Defender for Office 365 Plan 2: Hvis du allerede har Defender for Office 365 Plan 2 (f.eks. som en del af et Microsoft 365 E5-abonnement), er Defender for Office 365 ikke tilgængelig til at vælge på siden Microsoft 365-prøveversioner på https://security.microsoft.com/trialHorizontalHub.

  Du kan kun konfigurere en evaluering af Defender for Office 365 på Microsoft Defender for Office 365 evalueringsside på https://security.microsoft.com/atpEvaluation. Evalueringen konfigureres desuden automatisk i overvågningstilstand (evalueringspolitikker).

  Senere kan du konvertere til blokeringstilstand (Standard forudindstillet sikkerhedspolitik) ved hjælp af handlingen Konvertér til standard på Microsoft Defender for Office 365 evalueringsside eller ved at deaktivere evalueringen på Microsoft Defender for Office 365 evalueringsside og derefter konfigurere den Standard forudindstillede sikkerhedspolitik.

  Organisationer med Defender for Office 365 Plan 2 kræver pr. definition ikke ekstra licenser for at evaluere Defender for Office 365 Plan 2, så evalueringer i disse organisationer har ubegrænset varighed.

Oplysningerne fra den forrige liste opsummeres i følgende tabel:

Organisation	Tilmeld fra siden Prøveversioner?	Tilmeld fra på siden Evaluering?	Tilgængelige tilstande	Evaluering Periode
Microsoft 365 E3	Ja	Ja	Overvågningstilstand Blokeringstilstand¹	90 dage
Defender for Office 365 Plan 1 Microsoft 365 Business Premium	Ja	Ja	Overvågningstilstand Blokeringstilstand¹	90 dage²
Microsoft 365 E5	Nej	Ja	Overvågningstilstand Blokeringstilstand¹ ³	Ubegrænset

¹ Som tidligere beskrevet er blokeringstilstand (Standard forudindstillet sikkerhedspolitik) ikke tilgængelig, hvis internetmails flyder via en ikke-Microsoft-beskyttelsestjeneste eller -enhed før levering til Microsoft 365.

² Trusselspolitikkerne fra overvågningstilstand (evalueringspolitikker) eller blokeringstilstand (Standard forudindstillede sikkerhedspolitik) udløber ikke eller holder op med at fungere efter 90 dage. Automatiserings-, undersøgelses-, afhjælpnings- og uddannelsesfunktioner, der udelukkende gælder Defender i Office 365 Plan 2, holder op med at fungere efter 90 dage.

³ Evalueringen er konfigureret i overvågningstilstand (evalueringspolitikker). Når installationen er fuldført, kan du når som helst konvertere til blokeringstilstand (Standard forudindstillet sikkerhedspolitik) som beskrevet i Konvertér til Standard beskyttelse.

Nu, hvor du forstår forskellene mellem evalueringer, prøveversioner, overvågningstilstand og blokeringstilstand, er du klar til at konfigurere din evaluering eller prøveversion, som beskrevet i de næste afsnit.

Konfigurer en evaluering eller en prøveversion i overvågningstilstand

Husk, at når du evaluerer eller prøver Defender for Office 365 i overvågningstilstand, oprettes der særlige evalueringspolitikker for Defender for Office 365 til at registrere trusler. Indstillingerne for disse evalueringspolitikker er beskrevet i afsnittet Politikker i overvågningstilstand senere i denne artikel.

1. Start evalueringen på en af de tilgængelige placeringer på Microsoft Defender-portalen på https://security.microsoft.com. Det kan f.eks. være:

   • Vælg Start gratis prøveversion på banneret øverst på siden Defender for Office 365 funktion.
   • Find og vælg Defender for Office 365 på siden Microsoft 365-prøveversioner på https://security.microsoft.com/trialHorizontalHub.
   • Vælg Start evaluering på siden Microsoft Defender til Office 365 evaluering på https://security.microsoft.com/atpEvaluation.

2. Dialogboksen Slå beskyttelse til er ikke tilgængelig i organisationer med Defender for Office 365 Plan 1 eller Plan 2.

   I dialogboksen Slå beskyttelse til skal du vælge Nej, Jeg vil kun rapportere og derefter vælge Fortsæt.

3. Konfigurer følgende indstillinger i dialogboksen Vælg de brugere, du vil medtage :

   • Alle brugere: Standardindstillingen og den anbefalede indstilling.

   • Specifikke brugere: Hvis du vælger denne indstilling, skal du vælge de interne modtagere, som evalueringen gælder for:

     • Brugere: De angivne postkasser, mailbrugere eller mailkontakter.
     • Grupper:
       • Medlemmer af de angivne distributionsgrupper eller mailaktiverede sikkerhedsgrupper (dynamiske distributionsgrupper understøttes ikke).
       • Den angivne Microsoft 365-grupper (dynamiske medlemskabsgrupper i Microsoft Entra ID understøttes ikke).
     • Domæner: Alle modtagere i organisationen med en primær mailadresse i det angivne accepterede domæne.

     Tip

     Underdomæner medtages automatisk, medmindre du specifikt ekskluderer dem. En politik, der indeholder contoso.com, omfatter f.eks. også marketing.contoso.com, medmindre du ekskluderer marketing.contoso.com.

     Klik i feltet, begynd at skrive en værdi, og vælg værdien i resultaterne under feltet. Gentag denne proces så mange gange, det er nødvendigt. Hvis du vil fjerne en eksisterende værdi, skal du vælge ud for værdien i feltet.

     For brugere eller grupper kan du bruge de fleste identifikatorer (navn, vist navn, alias, mailadresse, kontonavn osv.), men det tilsvarende viste navn vises i resultaterne. For brugere skal du angive en stjerne (*) alene for at se alle tilgængelige værdier.

     Du kan kun bruge en modtagerbetingelse én gang, men betingelsen kan indeholde flere værdier:

     • Flere værdier med samme betingelse bruger OR-logik (f.eks.< recipient1> eller <recipient2>). Hvis modtageren stemmer overens med en af de angivne værdier, anvendes politikken på dem.

     • Forskellige typer betingelser bruger AND-logik. Modtageren skal matche alle de angivne betingelser for, at politikken gælder for vedkommende. Du kan f.eks. konfigurere en betingelse med følgende værdier:

       • Brugere: romain@contoso.com
       • Grupper: Direktører

       Politikken anvendes kun på romain@contoso.com , hvis han også er medlem af gruppen Direktører. Ellers anvendes politikken ikke på ham.

   Når du er færdig, skal du vælge Fortsæt i dialogboksen Vælg de brugere, du vil medtage.

4. I dialogboksen Hjælp os med at forstå dit mailflow skal du konfigurere følgende indstillinger:

   • En af følgende indstillinger vælges automatisk på baggrund af vores registrering af MX-posten for dit domæne:

     • Jeg bruger en tjenesteudbyder, der ikke er Microsoft og/eller i det lokale miljø: MX-posten for dine domænepunkter et andet sted end Microsoft 365. Kontrollér eller konfigurer følgende indstillinger:

       • Tredjepartstjeneste, som din organisation bruger: Kontrollér eller vælg en af følgende værdier:

         • Andet: Denne værdi kræver også oplysninger i Hvis dine mails passerer gennem flere gateways, skal du angive hver gateway-IP-adresse, som kun er tilgængelig for værdien Andet. Brug denne værdi, hvis du bruger en tjenesteudbyder i det lokale miljø.

           Angiv en kommasepareret liste over de IP-adresser, der bruges af den ikke-Microsoft-beskyttelsestjeneste eller -enhed til at sende mail til Microsoft 365.

         • Barracuda

         • IronPort

         • Mimecast

         • Korrekturpunkt

         • Sophos

         • Symantec

         • Trend Micro

       • Den connector, som denne evaluering skal anvendes på: Vælg den connector, der bruges til mailflow, i Microsoft 365.

         Forbedret filtrering for forbindelser (også kendt som oversigt over spring over) konfigureres automatisk på den connector, du angiver.

         Når en tjeneste eller enhed, der ikke er fra Microsoft, er placeret foran Microsoft 365, udvidet filtrering for forbindelser:

         • Identificerer kilden til internetmeddelelser korrekt.
         • Forbedrer nøjagtigheden af Microsoft 365-funktioner markant:
           • Spoof intelligence
           • Funktioner efter sikkerhedsbrud i Threat Explorer og automatiseret undersøgelse & svar (AIR).

     • Jeg bruger kun Microsoft Exchange Online: MX-posterne for dit domæne peger på Microsoft 365. Der er ikke mere at konfigurere, så vælg Udfør.

   • Del data med Microsoft: Denne indstilling er ikke valgt som standard, men du kan markere afkrydsningsfeltet, hvis du vil.

   Når du er færdig i dialogboksen Hjælp os med at forstå dit mailflow , skal du vælge Udfør.

5. Når opsætningen er fuldført, får du vist dialogboksen Lad os vise dig rundt . Vælg Start præsentation eller Afvis.

Konfigurer en evaluering eller prøveversion i blokeringstilstand

Husk, at når du prøver Defender for Office 365 i blokerende tilstand, er den Standard forudindstillede sikkerhed slået til, og de angivne brugere (nogle eller alle) er inkluderet i den Standard forudindstillede sikkerhedspolitik. Du kan få flere oplysninger om Standard forudindstillede sikkerhedspolitik under Forudindstillede sikkerhedspolitikker.

1. Start prøveversionen på en af de tilgængelige placeringer på Microsoft Defender-portalen på https://security.microsoft.com. Det kan f.eks. være:

   • Vælg Start gratis prøveversion på banneret øverst på siden Defender for Office 365 funktion.
   • Find og vælg Defender for Office 365 på siden Microsoft 365-prøveversioner på https://security.microsoft.com/trialHorizontalHub.
   • Vælg Start evaluering på siden Microsoft Defender til Office 365 evaluering på https://security.microsoft.com/atpEvaluation.

2. Dialogboksen Slå beskyttelse til er ikke tilgængelig i organisationer med Defender for Office 365 Plan 1 eller Plan 2.

   I dialogboksen Slå beskyttelse til skal du vælge Ja, beskytte min organisation ved at blokere trusler og derefter vælge Fortsæt.

3. Konfigurer følgende indstillinger i dialogboksen Vælg de brugere, du vil medtage :

   • Alle brugere: Standardindstillingen og den anbefalede indstilling.

   • Vælg brugere: Hvis du vælger denne indstilling, skal du vælge de interne modtagere, som prøveversionen gælder for:

     • Brugere: De angivne postkasser, mailbrugere eller mailkontakter.
     • Grupper:
       • Medlemmer af de angivne distributionsgrupper eller mailaktiverede sikkerhedsgrupper (dynamiske distributionsgrupper understøttes ikke).
       • Den angivne Microsoft 365-grupper (dynamiske medlemskabsgrupper i Microsoft Entra ID understøttes ikke).
     • Domæner: Alle modtagere i organisationen med en primær mailadresse i det angivne accepterede domæne.

     Tip

     Underdomæner medtages automatisk, medmindre du specifikt ekskluderer dem. En politik, der indeholder contoso.com, omfatter f.eks. også marketing.contoso.com, medmindre du ekskluderer marketing.contoso.com.

     Klik i feltet, begynd at skrive en værdi, og vælg værdien i resultaterne under feltet. Gentag denne proces så mange gange, det er nødvendigt. Hvis du vil fjerne en eksisterende værdi, skal du vælge ud for værdien i feltet.

     For brugere eller grupper kan du bruge de fleste identifikatorer (navn, vist navn, alias, mailadresse, kontonavn osv.), men det tilsvarende viste navn vises i resultaterne. For brugere skal du angive en stjerne (*) alene for at se alle tilgængelige værdier.

     Du kan kun bruge en modtagerbetingelse én gang, men betingelsen kan indeholde flere værdier:

     • Flere værdier med samme betingelse bruger OR-logik (f.eks.< recipient1> eller <recipient2>). Hvis modtageren stemmer overens med en af de angivne værdier, anvendes politikken på dem.

     • Forskellige typer betingelser bruger AND-logik. Modtageren skal matche alle de angivne betingelser for, at politikken gælder for vedkommende. Du kan f.eks. konfigurere en betingelse med følgende værdier:

       • Brugere: romain@contoso.com
       • Grupper: Direktører

       Politikken anvendes kun på romain@contoso.com , hvis han også er medlem af gruppen Direktører. Ellers anvendes politikken ikke på ham.

   Når du er færdig, skal du vælge Fortsæt i dialogboksen Vælg de brugere, du vil medtage.

4. Der vises en statusdialogboks, når evalueringen konfigureres. Når konfigurationen er fuldført, skal du vælge Udført.

Administrer din evaluering eller prøveversion af Defender for Office 365

Når du har konfigureret din evaluering eller prøveversion i overvågningstilstand, er Microsoft Defender for Office 365 evalueringsside på https://security.microsoft.com/atpEvaluation din centrale placering for resultaterne af at prøve Defender for Office 365 Plan 2.

I Microsoft Defender-portalen på https://security.microsoft.comskal du gå til Mail & samarbejdspolitikker>& regler>Trusselspolitikker> vælge Evalueringstilstand i afsnittet Andre. Du kan også gå direkte til Microsoft Defender for Office 365 evalueringsside ved at bruge https://security.microsoft.com/atpEvaluation.

De handlinger, der er tilgængelige på Microsoft Defender for Office 365 evalueringssiden, er beskrevet i følgende underafsnit.

Administrer evalueringsindstillinger

På siden Microsoft Defender for Office 365 evaluering på https://security.microsoft.com/atpEvaluationskal du vælge Administrer evalueringsindstillinger.

I pop op-vinduet Administrer MDO-evalueringsindstillinger , der åbnes, er følgende oplysninger og indstillinger tilgængelige:

• Om evalueringen er slået til, vises øverst i pop op-vinduet (Evaluering til eller Evaluering slået fra). Disse oplysninger er også tilgængelige på siden Microsoft Defender til Office 365 evaluering.

  Handlingen Slå fra eller Slå til giver dig mulighed for at slå evalueringspolitikkerne fra eller til.

• Hvor mange dage, der er tilbage i evalueringen, vises øverst i pop op-vinduet (nn dage tilbage).

• Afsnittet Registreringsfunktioner: Brug til/fra-knappen til at aktivere eller deaktivere følgende Defender for Office 365 beskyttelse:

  • Sikre links
  • Sikre vedhæftede filer
  • Anti-phishing

• Sektionen Brugere, grupper og domæner: Vælg Rediger brugere, grupper og domæner for at ændre, hvem evalueringen eller prøveversionen gælder for, som beskrevet tidligere i Konfigurer en evaluering eller en prøveversion i overvågningstilstand.

• Afsnittet Repræsentationsindstillinger:

  • Hvis repræsentationsbeskyttelse ikke er konfigureret i politikken til evaluering af anti-phishing, skal du vælge Anvend repræsentationsbeskyttelse for at konfigurere repræsentationsbeskyttelse:

    • Interne og eksterne afsendere, der får beskyttelse mod brugerrepræsentation.
    • Brugerdefinerede domæner, der får beskyttelse mod repræsentation af domæner.
    • Afsendere og domæner, der er tillid til, skal udelades fra repræsentationsbeskyttelse.

    Trinnene er stort set de samme som beskrevet i afsnittet Repræsentation i Trin 5 på Brug Microsoft Defender-portalen til at oprette politikker til bekæmpelse af phishing.

  • Hvis repræsentationsbeskyttelse er konfigureret i politikken til evaluering af anti-phishing, vises indstillingerne for repræsentationsbeskyttelse i dette afsnit for:

    • Beskyttelse af brugeridentificeret repræsentation
    • Beskyttelse mod repræsentation af domæne
    • Repræsenterede afsendere og domæner, der er tillid til

    Hvis du vil redigere indstillingerne, skal du vælge Rediger repræsentationsindstillinger.

Når du er færdig i pop op-vinduet Administrer MDO-evalueringsindstillinger , skal du vælge Luk.

Konvertér til Standard beskyttelse

I forbindelse med din evaluering eller prøveversion kan du skifte fra overvågningstilstand (evalueringspolitikker) til blokeringstilstand (Standard forudindstillede sikkerhedspolitik) ved hjælp af en af følgende metoder:

• På siden Microsoft Defender til Office 365 evaluering: Vælg Konvertér til standardbeskyttelse
• På pop op-vinduet Administrer MDO-evalueringsindstillinger: Vælg Administrer evalueringsindstillinger på siden Microsoft Defender til Office 365 evaluering. I det pop op-vindue med detaljer, der åbnes, skal du vælge Konvertér til standardbeskyttelse.

Når du har valgt Konvertér til standardbeskyttelse, skal du læse oplysningerne i den dialogboks, der åbnes, og derefter vælge Fortsæt.

Du føres til guiden Anvend standardbeskyttelse på siden Forudindstillede sikkerhedspolitikker . Listen over modtagere, der er medtaget og udelukket fra evalueringen eller prøveversionen, kopieres til den Standard forudindstillede sikkerhedspolitik. Du kan få flere oplysninger under Brug Microsoft Defender-portalen til at tildele brugere Standard og strenge forudindstillede sikkerhedspolitikker.

• Trusselspolitikker i den Standard forudindstillede sikkerhedspolitik har en højere prioritet end evalueringspolitikker. Trusselspolitikker i Standard forudindstillede sikkerhed anvendes altid før evalueringspolitikker, selvom begge er til stede og slået til.
• Der er ingen automatisk måde at gå fra blokeringstilstand til overvågningstilstand. De manuelle trin er:

  1. Deaktiver Standard forudindstillede sikkerhedspolitik på siden Forudindstillede sikkerhedspolitikker på https://security.microsoft.com/presetSecurityPolicies.

  2. Kontrollér værdien Evaluering på på siden Microsoft Defender for Office 365 evaluering på https://security.microsoft.com/atpEvaluation.

     Hvis Evaluering er slået fra , skal du vælge Administrer evalueringsindstillinger. I pop op-vinduet Administrer MDO-evalueringsindstillinger , der åbnes, skal du vælge Slå til.

  3. Vælg Administrer evalueringsindstillinger for at bekræfte de brugere, som evalueringen gælder for, i afsnittet Brugere, grupper og domæner i pop op-vinduet Administrer MDO-evalueringsindstillinger , der åbnes.

Rapporter til din evaluering eller prøveversion af Defender for Office 365

I dette afsnit beskrives de rapporter, der er tilgængelige i overvågningstilstand og blokeringstilstand.

Rapporter til blokeringstilstand

Der oprettes ingen særlige rapporter til blokeringstilstand, så brug standardrapporterne i Defender til Office 365. Brug eksisterende rapporter, der kun gælder for Defender for Office 365 funktioner, eller som indeholder Defender for Office 365 filtre:

• Visningen Mailflow for statusrapporten Mailflow:

  • Meddelelser, der registreres som brugerpersonation eller domæne repræsentering af politikker til bekæmpelse af phishing, vises i repræsentationsblokken.
  • Meddelelser, der registreres under detonation af filer eller URL-adresser af politikker for vedhæftede filer, der er tillid til, eller politikker for sikre links vises i detonationsblok.

• Statusrapporten trusselsbeskyttelse:

  Du kan filtrere mange af visningerne i statusrapporten Trusselsbeskyttelse efter MDO'en Beskyttet af værdi for at se effekten af Defender for Office 365.

  • Få vist data efter oversigt

  • Få vist data efter mail-phish > og diagramopdeling efter registreringsteknologi

    • Meddelelser, der er registreret af kampagner , vises i Campaign.
    • Meddelelser, der er registreret af Sikre vedhæftede filer, vises i detonation af filer og omdømme for detonation af filer.
    • Meddelelser, der registreres af beskyttelse mod phishing i beskyttelse mod phishing, vises i repræsentationsdomæne, repræsentationsbruger og repræsentation af mailbox intelligence.
    • Meddelelser, der er registreret af Sikre links, vises i url-detonation og URL-detonationsomdømme.

  • Få vist data efter mailmalware > og diagramopdeling efter registreringsteknologi

    • Meddelelser, der er registreret af kampagner , vises i Campaign.
    • Meddelelser, der er registreret af Sikre vedhæftede filer, vises i detonation af filer og omdømme for detonation af filer.
    • Meddelelser, der er registreret af Sikre links, vises i url-detonation og URL-detonationsomdømme.

  • Få vist data efter mailspam > og diagramopdeling efter registreringsteknologi

    Meddelelser, der er registreret af Sikre links, vises i ondsindet URL-adresseomdømme.

  • Diagramopdeling efter politiktype

    Meddelelser, der er registreret af sikre vedhæftede filer, vises i Sikre vedhæftede filer

  • Få vist data efter indholdsmalware >

    Skadelige filer, der er registreret af Sikre vedhæftede filer til SharePoint, OneDrive og Microsoft Teams, vises i MDO-detonation.

• Rapporten Over de vigtigste afsendere og modtagere

  Vis data for de mest populære malwaremodtagere (MDO) og Vis data for Top phish-modtagere (MDO).

• URL-beskyttelsesrapport

Rapporter til overvågningstilstand

I overvågningstilstand leder du efter rapporter, der viser registreringer af evalueringspolitikker som beskrevet på følgende liste:

• På enhedssiden Mail vises følgende banner i oplysninger om registrering af meddelelser under fanen Analyse for Dårlig vedhæftet fil, url-adresse for spam + malware, Phish-URL-adresse og repræsentationsmeddelelser, der blev registreret af Defender for Office 365 evaluering:

  

• Microsoft Defender til Office 365 evalueringsside på https://security.microsoft.com/atpEvaluation konsoliderer registreringerne fra de standardrapporter, der er tilgængelige i Defender for Office 365. Rapporterne på denne side filtreres primært efter Evaluering: Ja , hvis du kun vil have vist registreringer af evalueringspolitikker, men de fleste rapporter bruger også andre tydeliggøringsfiltre.

  Rapportoversigterne på siden viser som standard data for de seneste 30 dage, men du kan filtrere datointervallet ved at vælge 30 dage og vælge mellem følgende værdier, der er mindre end 30 dage:

  • 24 timer
  • 7 dage
  • 14 dage
  • Brugerdefineret datointerval

  Filteret for datointerval påvirker de data, der vises i rapportoversigterne på siden og i hovedrapporten, når du vælger Vis detaljer på et kort.

  Vælg Download for at downloade diagramdataene til en .csv fil.

  • Følgende rapporter om Microsoft Defender til Office 365 evalueringsside indeholder filtrerede oplysninger fra bestemte visninger i statusrapporten Trusselsbeskyttelse:

    • Maillinks:
      • Rapportvisning: Få vist data efter mail-phish > og diagramopdeling efter registreringsteknologi
      • Registreringsfiltre : Detonationsomdømme for URL-adresse og detonation af URL-adresser.
    • Vedhæftede filer i mail:
      • Rapportvisning: Få vist data efter mail-phish > og diagramopdeling efter registreringsteknologi
      • Registreringsfiltre : Fil detonation og Fil detonation omdømme.
    • Personifikation
      • Rapportvisning: Få vist data efter mail-phish > og diagramopdeling efter registreringsteknologi
      • Registreringsfiltre : Repræsentationsbruger, repræsentationsdomæne og repræsentation af mailbox intelligence.
    • Links til vedhæftede filer
      • Rapportvisning: Få vist data efter mailmalware > og diagramopdeling efter registreringsteknologi
      • Registreringsfiltre : URL-detonation og URL-detonationomdømme.
    • Integreret malware
      • Rapportvisning: Få vist data efter mailmalware > og diagramopdeling efter registreringsteknologi
      • Registreringsfiltre : Fil detonation og Fil detonation omdømme.
    • Misvisende afsendere:
      • Rapportvisning: Få vist data efter mail-phish > og diagramopdeling efter registreringsteknologi
      • Registreringsfiltre : Spoof intra-org, Spoof eksternt domæne og Spoof DMARC.

  • Klikbeskyttelse af URL-adresser i realtid bruger handlingen Vis data efter URL-adresse klikbeskyttelse i den URL-beskyttelsesrapport , der er filtreret efter evaluering: Ja.

    Selvom Vis data efter URL-adresse klik efter program i URL-beskyttelsesrapporten ikke vises på siden Microsoft Defender for Office 365 evaluering, kan den også filtreres efter evaluering: Ja.

Påkrævede tilladelser

Følgende tilladelser kræves i Microsoft Entra ID for at konfigurere en evaluering eller prøveversion af Defender til Microsoft 365:

• Opret, rediger eller slet en evaluering eller prøveversion: Medlemskab af rollerne Sikkerhedsadministrator eller Global administrator^* .
• Få vist evalueringspolitikker og -rapporter i overvågningstilstand: Medlemskab af rollerne Sikkerhedsadministrator eller Sikkerhedslæser .

Du kan få flere oplysninger om Microsoft Entra tilladelser på Microsoft Defender-portalen under Microsoft Entra roller på Microsoft Defender-portalen

Vigtigt!

^* Microsoft går stærkt ind for princippet om færrest mulige rettigheder. Tildeling af konti kun til de minimumtilladelser, der er nødvendige for at udføre deres opgaver, hjælper med at reducere sikkerhedsrisici og styrker din organisations overordnede beskyttelse. Global administrator er en yderst privilegeret rolle, som du skal begrænse til nødscenarier, eller når du ikke kan bruge en anden rolle.

Ofte stillede spørgsmål

Spørgsmål: Skal jeg hente eller aktivere prøvelicenser manuelt?

Sv.: Nej. Prøveversionen klargør automatisk Defender for Office 365 Plan 2-licenser, hvis du har brug for dem som tidligere beskrevet.

Spørgsmål: Hvordan gør jeg forlænge prøveversionen?

Svar: Se Forlæng din prøveversion.

Spørgsmål: Hvad sker der med mine data, når prøveversionen udløber?

Svar: Når prøveversionen udløber, har du adgang til dine prøvedata (data fra funktioner i Defender i Office 365, som du ikke tidligere har haft) i 30 dage. Efter denne 30-dages periode slettes alle politikker og data, der er knyttet til Defender for Office 365 prøveversion.

Spørgsmål: Hvor mange gange kan jeg bruge Defender til Office 365 prøveversion i min organisation?

Sv.: Maksimalt to gange. Hvis din første prøveversion udløber, skal du vente mindst 30 dage efter udløbsdatoen, før du kan tilmelde dig Defender til Office 365 prøveversion igen. Efter din anden prøveversion kan du ikke tilmelde dig en anden prøveversion.

Spørgsmål: Er der scenarier i overvågningstilstand, hvor Defender for Office 365 fungerer på meddelelser?

Sv.: Ja. For at beskytte tjenesten kan ingen i noget program eller abonnement deaktivere eller omgå Microsoft 365-handling på meddelelser, der er klassificeret som malware eller phishing med høj genkendelsessikkerhed.

Spørgsmål: I hvilken rækkefølge evalueres politikkerne?

Svar: Se Rangorden for forudindstillede sikkerhedspolitikker og andre politikker.

Politikindstillinger, der er knyttet til Defender for Office 365 evalueringer og forsøg

Politikker i overvågningstilstand

Advarsel

Forsøg ikke at oprette, ændre eller fjerne de individuelle trusselspolitikker, der er knyttet til evalueringen af Defender for Office 365. Den eneste understøttede metode til oprettelse af de individuelle trusselspolitikker for evalueringen er at starte evalueringen eller prøveversionen i overvågningstilstand i Microsoft Defender portalen for første gang.

Som tidligere beskrevet, når du vælger overvågningstilstand for din evaluering eller prøveversion, oprettes der automatisk evalueringspolitikker med de påkrævede indstillinger for at overvåge, men ikke udføre handlinger på meddelelser.

Hvis du vil se disse politikker og deres indstillinger, skal du køre følgende kommando i Exchange Online PowerShell:

Write-Output -InputObject ("`r`n"*3),"Evaluation anti-phishing policy",("-"*79); Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"; Write-Output -InputObject ("`r`n"*3),"Evaluation Safe Attachments policy",("-"*79); Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"; Write-Output -InputObject ("`r`n"*3),"Evaluation Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"

Indstillingerne er også beskrevet i følgende tabeller.

Politikindstillinger for evaluering af anti-phishing

Indstilling	Værdi
Navn	Evalueringspolitik
AdminDisplayName	Evalueringspolitik
AuthenticationFailAction	Flyt til Jmf
DmarcQuarantineAction	Karantæne
DmarcRejectAction	Afvise
Aktiveret	Sandt
EnableFirstContactSafetyTips	Falsk
EnableMailboxIntelligence	Sandt
EnableMailboxIntelligenceProtection	Sandt
EnableOrganizationDomainsProtection	Falsk
EnableSimilarDomainsSafetyTips	Falsk
EnableSimilarUsersSafetyTips	Falsk
EnableSpoofIntelligence	Sandt
EnableSuspiciousSafetyTip	Falsk
EnableTargetedDomainsProtection	Falsk
EnableTargetedUserProtection	Falsk
EnableUnauthenticatedSender	Sandt
EnableUnusualCharactersSafetyTips	Falsk
EnableViaTag	Sandt
ExcludedDomains	{}
ExcludedSenders	{}
ExcludedSubDomains	{}
HonorDmarcPolicy	Sandt
ImpersonationProtectionState	Manuel
IsDefault	Falsk
MailboxIntelligenceProtectionAction	Ingen handling
MailboxIntelligenceProtectionActionRecipients	{}
MailboxIntelligenceQuarantineTag	DefaultFullAccessPolicy
PhishThresholdLevel	3
PolicyTag
Anbefalet politiktype	Evaluering
SpoofQuarantineTag	DefaultFullAccessPolicy
Målmodtagere afdomainAction-modtagere	{}
TargetedDomainProtectionAction	Ingen handling
TargetedDomainQuarantineTag	DefaultFullAccessPolicy
TargetedDomainsToProtect	{}
Målrettede brugere	{}
TargetedUserProtectionAction	Ingen handling
TargetedUserQuarantineTag	DefaultFullAccessPolicy
TargetedUsersToProtect	{}

Politikindstillinger for evaluering af vedhæftede filer, der er tillid til

Indstilling	Værdi
Navn	Evalueringspolitik
Handling	Tillad
AdminDisplayName	Evalueringspolitik
Aktiverer	Sandt
EnableOrganizationBranding	Falsk
IsBuiltInProtection	Falsk
IsDefault	Falsk
QuarantineTag	AdminOnlyAccessPolicy
Anbefalet politiktype	Evaluering
Omdirigere	Falsk
RedirectAddress

Politikindstillinger for evaluering af sikre links

Indstilling	Værdi
Navn	Evalueringspolitik
AdminDisplayName	Evalueringspolitik
AllowClickThrough	Sandt
CustomNotificationText
DeliverMessageAfterScan	Sandt
DisableUrlRewrite	Sandt
DoNotRewriteUrls	{}
EnableForInternalSenders	Falsk
EnableOrganizationBranding	Falsk
EnableSafeLinksForEmail	Sandt
EnableSafeLinksForOffice	Falsk
EnableSafeLinksForTeams	Falsk
IsBuiltInProtection	Falsk
LocalizedNotificationTextList	{}
Anbefalet politiktype	Evaluering
ScanUrls	Sandt
TrackClicks	Sandt

Brug PowerShell til at konfigurere modtagerbetingelser og undtagelser for evalueringen eller prøveversionen i overvågningstilstand

En regel, der er knyttet til Defender for Office 365 evalueringspolitikker, styrer modtagerbetingelserne og undtagelserne til evalueringen.

Hvis du vil have vist den regel, der er knyttet til evalueringen, skal du køre følgende kommando i Exchange Online PowerShell:

Get-ATPEvaluationRule

Hvis du vil bruge Exchange Online PowerShell til at ændre, hvem evalueringen gælder for, skal du bruge følgende syntaks:

Set-ATPEvaluationRule -Identity "Evaluation Rule" -SentTo <"user1","user2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -SentToMemberOf <"group1","group2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null> -RecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null>

I dette eksempel konfigureres undtagelser fra evalueringen for de angivne sikkerhedshandlinger (SecOps)-postkasser.

Set-ATPEvaluationRule -Identity "Evaluation Rule" -ExceptIfSentTo "SecOps1","SecOps2"

Brug PowerShell til at aktivere eller deaktivere evalueringen eller prøveversionen i overvågningstilstand

Hvis du vil slå evalueringen til eller fra i overvågningstilstand, skal du aktivere eller deaktivere den regel, der er knyttet til evalueringen. Egenskabsværdien State for evalueringsreglen viser, om reglen er aktiveret eller deaktiveret.

Kør følgende kommando for at afgøre, om evalueringen er aktiveret eller deaktiveret i øjeblikket:

Get-ATPEvaluationRule -Identity "Evaluation Rule" | Format-Table Name,State

Kør følgende kommando for at deaktivere evalueringen:

Disable-ATPEvaluationRule -Identity "Evaluation Rule"

Kør følgende kommando for at aktivere evalueringen:

Enable-ATPEvaluationRule -Identity "Evaluation Rule"

Politikker i blokeringstilstand

Som tidligere beskrevet oprettes politikker for blokeringstilstand ved hjælp af skabelonen Standard for forudindstillede sikkerhedspolitikker.

Hvis du vil bruge Exchange Online PowerShell til at få vist de individuelle trusselspolitikker, der er knyttet til den Standard forudindstillede sikkerhedspolitik, og til at få vist og konfigurere modtagerbetingelserne og -undtagelserne for den forudindstillede sikkerhedspolitik, skal du se Forudindstillede sikkerhedspolitikker i Exchange Online PowerShell.