Prøv Microsoft Defender for Office 365

Som eksisterende Microsoft 365-kunde giver siderne Prøveversioner og evaluering på Microsoft Defender-portalen https://security.microsoft.com dig mulighed for at prøve funktionerne i Microsoft Defender for Office 365 Plan 2, før du køber.

Før du prøver Defender for Office 365 Plan 2, er der nogle vigtige spørgsmål, du skal stille dig selv:

• Vil jeg passivt se på, hvad Defender for Office 365 Plan 2 kan gøre for mig (revision), eller vil jeg have, at Defender for Office 365 Plan 2 foretager sig direkte i spørgsmål, som den finder (blok)?
• Uanset hvad, hvordan kan jeg se, hvad Defender for Office 365 Plan 2 gør for mig?
• Hvor lang tid har jeg, før jeg skal træffe beslutningen om at beholde Defender for Office 365 Plan 2?

Denne artikel hjælper dig med at besvare disse spørgsmål, så du kan prøve Defender for Office 365 Plan 2 på en måde, der bedst opfylder din organisations behov.

Hvis du vil have en medfølgende vejledning til, hvordan du bruger din prøveversion, skal du se Brugervejledning til prøveversion: Microsoft Defender for Office 365.

Bemærk!

Prøveversioner og evalueringer af Defender for Office 365 er ikke tilgængelige i amerikanske offentlige organisationer (Microsoft 365 GCC, GCC High og DoD) eller Microsoft 365 Education organisationer.

Oversigt over Defender for Office 365

Defender for Office 365 hjælper organisationer med at sikre deres virksomhed ved at tilbyde en omfattende tavle af egenskaber. Du kan få flere oplysninger under Microsoft Defender for Office 365.

Du kan også få mere at vide om Defender for Office 365 i denne interaktive vejledning.

Se denne korte video for at få mere at vide om, hvordan du kan få mere fra hånden på kortere tid med Microsoft Defender for Office 365.

Du kan finde prisoplysninger under Microsoft Defender for Office 365.

Sådan fungerer test og evalueringer for Defender for Office 365

Politikker

Defender for Office 365 indeholder funktionerne i Exchange Online Protection (EOP), som findes i alle Microsoft 365-organisationer med Exchange Online postkasser, og funktioner, der udelukkende er til Defender for Office 365.

Beskyttelsesfunktionerne i EOP og Defender for Office 365 implementeres ved hjælp af politikker. Politikker, der kun gælder for Defender for Office 365, oprettes for dig efter behov:

• Repræsentationsbeskyttelse i politikker til bekæmpelse af phishing
• Sikre vedhæftede filer i mails
• Sikre links til mails og Microsoft Teams
  • Safe Links detonerer URL-adresser under mailflow. Hvis du vil forhindre, at bestemte URL-adresser detoneres, skal du sende URL-adresserne til Microsoft som gode URL-adresser. Du kan finde instruktioner under Rapportér gode URL-adresser til Microsoft.
  • Sikre links ombryder ikke URL-links i meddelelsestekster.

Din berettigelse til en evaluering eller prøveversion betyder, at du allerede har EOP. Der oprettes ingen nye eller særlige EOP-politikker til din evaluering eller prøveversion af Defender for Office 365 Plan 2. Eksisterende EOP-politikker i din Microsoft 365-organisation kan fortsat reagere på meddelelser (f.eks. sende meddelelser til mappen Uønsket mail eller sætte dem i karantæne):

• Politikker for antimalware
• Indgående beskyttelse mod spam
• Beskyttelse mod spoofing i politikker til bekæmpelse af phishing

Standardpolitikkerne for disse EOP-funktioner er altid slået til, gælder for alle modtagere og anvendes altid sidst efter brugerdefinerede politikker.

Overvågningstilstand i forhold til blokeringstilstand for Defender for Office 365

Skal din Defender for Office 365 oplevelse være aktiv eller passiv? Følgende tilstande er tilgængelige:

• Overvågningstilstand: Der oprettes særlige evalueringspolitikker til anti-phishing (som omfatter repræsentationsbeskyttelse), Sikre vedhæftede filer og Sikre links. Disse evalueringspolitikker er konfigureret til kun at registrere trusler. Defender for Office 365 registrerer skadelige meddelelser til rapportering, men der reageres ikke på meddelelserne (f.eks. er registrerede meddelelser ikke sat i karantæne). Indstillingerne for disse evalueringspolitikker er beskrevet i afsnittet Politikker i overvågningstilstand senere i denne artikel. Vi aktiverer også automatisk SafeLinks-tidspunktet for klikbeskyttelse i overvågningstilstand for arbejdsbelastninger, der ikke er mailrelaterede (f.eks. Microsoft Teams, SharePoint og OneDrive for Business)

  Du kan også selektivt slå beskyttelse mod phishing til eller fra (spoofing og repræsentation), beskyttelse mod sikre links og beskyttelse mod vedhæftede filer. Du kan finde instruktioner under Administrer evalueringsindstillinger.

  Overvågningstilstand indeholder specialiserede rapporter om trusler, der registreres af evalueringspolitikkerne på siden Microsoft Defender for Office 365 evaluering på https://security.microsoft.com/atpEvaluation. Disse rapporter er beskrevet i afsnittet Rapporter til overvågningstilstand senere i denne artikel.

• Blokeringstilstand: Standardskabelonen for forudindstillede sikkerhedspolitikker er slået til og bruges til prøveversionen, og de brugere, du angiver, der skal medtages i prøveversionen, føjes til den forudindstillede standard sikkerhedspolitik. Defender for Office 365 registrerer og reagerer på skadelige meddelelser (f.eks. er registrerede meddelelser sat i karantæne).

  Standardvalget og det anbefalede valg er at tilpasse disse Defender for Office 365 politikker til alle brugere i organisationen. Men under eller efter konfigurationen af din prøveversion kan du ændre politiktildelingen til bestemte brugere, grupper eller maildomæner i Microsoft Defender portalen eller i Exchange Online PowerShell.

  Oplysninger om trusler, der registreres af Defender for Office 365, er tilgængelige i de almindelige rapporter og undersøgelsesfunktioner i Defender for Office 365 Plan 2, som beskrives i afsnittet Rapporter om blokeringstilstand senere i denne artikel.

De vigtigste faktorer, der bestemmer, hvilke tilstande der er tilgængelige for dig, er:

• Uanset om du i øjeblikket har Defender for Office 365 (Plan 1 eller Plan 2) eller ej, som beskrevet i næste afsnit.

• Sådan leveres mail til din Microsoft 365-organisation som beskrevet i følgende scenarier:

  • Mail fra internetflows direkte fra Microsoft 365, men dit aktuelle abonnement har kun Exchange Online Protection (EOP) eller Defender for Office 365 Plan 1.

    

    I disse miljøer er overvågningstilstand eller blokeringstilstand tilgængelig, afhængigt af din licens, som forklaret i næste afsnit

  • Du bruger i øjeblikket en tredjepartstjeneste eller -enhed til mailbeskyttelse af dine Microsoft 365-postkasser. Mails fra internettet flyder via beskyttelsestjeneste, før de leveres til din Microsoft 365-organisation. Microsoft 365-beskyttelse er så lav som muligt (den er aldrig helt slukket. Beskyttelse mod malware gennemtvinges f.eks. altid).

    

    I disse miljøer er det kun overvågningstilstanden , der er tilgængelig. Du behøver ikke at ændre dit mailflow (MX-poster) for at evaluere Defender for Office 365 Plan 2.

Evaluering vs. prøveversion af Defender for Office 365

Hvad er forskellen mellem en evaluering og en prøveversion af Defender for Office 365 Plan 2? Er de ikke det samme? Ja og nej. Licensen i din Microsoft 365-organisation gør hele forskellen:

• Ingen Defender for Office 365 Plan 2: Hvis du ikke allerede har Defender for Office 365 Plan 2 (du har f.eks. separat EOP, Microsoft 365 E3, Microsoft 365 Business Premium eller en Defender for Office 365 abonnement på tilføjelsesprogrammet Plan 1) kan du starte Defender for Office 365 Plan 2-oplevelsen fra følgende placeringer på Microsoft Defender portalen:

  • Siden Microsoft 365-prøveversioner på https://security.microsoft.com/trialHorizontalHub.
  • Den Microsoft Defender for Office 365 evalueringsside på https://security.microsoft.com/atpEvaluation.

  Du kan vælge overvågningstilstand (evalueringspolitikker) eller blokeringstilstand (standardforudstillet sikkerhedspolitik) under indstillingerne for evalueringen eller prøveversionen.

  Uanset hvilken placering du bruger, klargør vi automatisk alle påkrævede Defender for Office 365 Plan 2-licenser, når du tilmelder dig. Det er ikke nødvendigt manuelt at hente og tildele Plan 2-licenser i Microsoft 365 Administration.

  De automatisk klargjorte licenser er gode i 90 dage. Det, som denne 90-dages periode betyder, afhænger af den eksisterende licens i din organisation:

  • Ingen Defender for Office 365 Plan 1: For organisationer uden Defender for Office 365 Plan 1 (f.eks. separat EOP eller Microsoft 365 E3) alle Defender for Office 365 Plan 2-funktioner (især sikkerhedspolitikkerne) er kun tilgængelige i løbet af 90-dages perioden.

  • Defender for Office 365 Plan 1: Organisationer med Defender for Office 365 Plan 1 (f.eks. abonnementer på Microsoft 365 Business Premium eller tilføjelsesprogrammer) har allerede de samme sikkerhedspolitikker, som er tilgængelige i Defender for Office 365 Plan 2: repræsentationsbeskyttelse i politikker til bekæmpelse af phishing, politikker for vedhæftede filer, der er tillid til, og politikker for sikre links.

    Sikkerhedspolitikkerne fra overvågningstilstand (evalueringspolitikker) eller blokeringstilstand (standardindstillingssikkerhedspolitik) udløber ikke eller holder op med at fungere efter 90 dage. Det, der slutter efter 90 dage, er automatiserings-, undersøgelses-, afhjælpnings- og uddannelsesfunktionerne i Defender for Office 365 Plan 2, der ikke er tilgængelige i Plan 1.

  Hvis du konfigurerer din evaluering eller prøveversion i overvågningstilstand (evalueringspolitikker), kan du senere konvertere til blokeringstilstand (standardindstillingssikkerhedspolitik). Du kan finde instruktioner i afsnittet Konvertér til standardbeskyttelse senere i denne artikel.

• Defender for Office 365 Plan 2: Hvis du allerede har Defender for Office 365 Plan 2 (f.eks. som en del af et Microsoft 365 E5 abonnement), er Defender for Office 365 ikke tilgængelig til at vælge på Microsoft 365 prøveversionsside på https://security.microsoft.com/trialHorizontalHub.

  Du kan kun konfigurere en evaluering af Defender for Office 365 på siden Microsoft Defender for Office 365 evaluering på https://security.microsoft.com/atpEvaluation. Evalueringen konfigureres desuden automatisk i overvågningstilstand (evalueringspolitikker).

  Senere kan du konvertere til blokeringstilstand (standard forudindstillet sikkerhedspolitik) ved hjælp af handlingen Konvertér til standard på siden Microsoft Defender for Office 365 evaluering eller ved at deaktivere evalueringen på siden Microsoft Defender for Office 365 evaluering og derefter konfigurere den forudindstillede standard sikkerhedspolitik.

  Organisationer med Defender for Office 365 Plan 2 kræver pr. definition ikke yderligere licenser for at evaluere Defender for Office 365 Plan 2, så evalueringerne i disse organisationer har ubegrænset varighed.

Oplysningerne fra den forrige liste opsummeres i følgende tabel:

Organisation	Tilmeld fra siden Prøveversioner?	Tilmeld fra på siden Evaluering?	Tilgængelige tilstande	Evaluering Periode
Separat EOP (ingen Exchange Online postkasser) Microsoft 365 E3	Ja	Ja	Overvågningstilstand Blokeringstilstand¹	90 dage
Defender for Office 365 Plan 1 Microsoft 365 Business Premium	Ja	Ja	Overvågningstilstand Blokeringstilstand¹	90 dage²
Microsoft 365 E5	Nej	Ja	Overvågningstilstand Blokeringstilstand¹ ³	Ubegrænset

¹ Som tidligere beskrevet er blokeringstilstand (Standard forudindstillet sikkerhedspolitik) ikke tilgængelig, hvis internetmails flyder gennem en beskyttelsestjeneste eller enhed fra tredjepart før levering til Microsoft 365.

² Sikkerhedspolitikkerne fra overvågningstilstand (evalueringspolitikker) eller blokeringstilstand (Standard forudindstillet sikkerhedspolitik) udløber ikke eller holder op med at fungere efter 90 dage. Automatiserings-, undersøgelses-, afhjælpnings- og uddannelsesfunktioner, der udelukkende gælder for Defender for Office 365 Plan 2, holder op med at fungere efter 90 dage.

³ Evalueringen er konfigureret i overvågningstilstand (evalueringspolitikker). Når installationen er fuldført, kan du når som helst konvertere til blokeringstilstand (standardindstillingssikkerhedspolitik), som beskrevet i Konvertér til standardbeskyttelse.

Nu, hvor du forstår forskellene mellem evalueringer, prøveversioner, overvågningstilstand og blokeringstilstand, er du klar til at konfigurere din evaluering eller prøveversion, som beskrevet i de næste afsnit.

Konfigurer en evaluering eller en prøveversion i overvågningstilstand

Husk, at når du evaluerer eller prøver Defender for Office 365 i overvågningstilstand, oprettes der særlige evalueringspolitikker, så Defender for Office 365 kan registrere trusler. Indstillingerne for disse evalueringspolitikker er beskrevet i afsnittet Politikker i overvågningstilstand senere i denne artikel.

1. Start evalueringen på en af de tilgængelige placeringer på Microsoft Defender-portalen på https://security.microsoft.com. Det kan f.eks. være:

   • Vælg Start gratis prøveversion på banneret øverst på en Defender for Office 365 funktionsside.
   • Find og vælg Defender for Office 365 på siden Microsoft 365-prøveversioner på https://security.microsoft.com/trialHorizontalHub.
   • Vælg Start evaluering på siden Microsoft Defender for Office 365 evaluering på https://security.microsoft.com/atpEvaluation.

2. Dialogboksen Slå beskyttelse til er ikke tilgængelig i organisationer med Defender for Office 365 Plan 1 eller Plan 2.

   I dialogboksen Slå beskyttelse til skal du vælge Nej, Jeg vil kun rapportere og derefter vælge Fortsæt.

3. Konfigurer følgende indstillinger i dialogboksen Vælg de brugere, du vil medtage :

   • Alle brugere: Dette er standardindstillingen og den anbefalede indstilling.

   • Specifikke brugere: Hvis du vælger denne indstilling, skal du vælge de interne modtagere, som evalueringen gælder for:

     • Brugere: De angivne postkasser, mailbrugere eller mailkontakter.
     • Grupper:
       • Medlemmer af de angivne distributionsgrupper eller mailaktiverede sikkerhedsgrupper (dynamiske distributionsgrupper understøttes ikke).
       • Den angivne Microsoft 365-grupper.
     • Domæner: Alle modtagere i organisationen med en primær mailadresse i det angivne accepterede domæne.

     Klik i feltet, begynd at skrive en værdi, og vælg værdien i resultaterne under feltet. Gentag denne proces så mange gange, det er nødvendigt. Hvis du vil fjerne en eksisterende værdi, skal du vælge ud for værdien i feltet.

     For brugere eller grupper kan du bruge de fleste identifikatorer (navn, vist navn, alias, mailadresse, kontonavn osv.), men det tilsvarende viste navn vises i resultaterne. For brugere skal du angive en stjerne (*) alene for at se alle tilgængelige værdier.

     Du kan kun bruge en modtagerbetingelse én gang, men betingelsen kan indeholde flere værdier:

     • Flere værdier med samme betingelse bruger OR-logik (f.eks.< recipient1> eller <recipient2>). Hvis modtageren stemmer overens med en af de angivne værdier, anvendes politikken på dem.

     • Forskellige typer betingelser bruger AND-logik. Modtageren skal matche alle de angivne betingelser for, at politikken gælder for vedkommende. Du kan f.eks. konfigurere en betingelse med følgende værdier:

       • Brugere: romain@contoso.com
       • Grupper: Direktører

       Politikken anvendes kun på romain@contoso.com , hvis han også er medlem af gruppen Direktører. Ellers anvendes politikken ikke på ham.

   Når du er færdig, skal du vælge Fortsæt i dialogboksen Vælg de brugere, du vil medtage.

4. I dialogboksen Hjælp os med at forstå dit mailflow skal du konfigurere følgende indstillinger:

   • En af følgende indstillinger vælges automatisk på baggrund af vores registrering af MX-posten for dit domæne:

     • Jeg bruger en tredjepartsudbyder og/eller en tjenesteudbyder i det lokale miljø: MX-posten for dine domænepunkter et andet sted end Microsoft 365. Kontrollér eller konfigurer følgende indstillinger:

       • Tredjepartstjeneste, som din organisation bruger: Kontrollér eller vælg en af følgende værdier:

         • Andet: Denne værdi kræver også oplysninger i Hvis dine mails passerer gennem flere gateways, skal du angive hver gateway-IP-adresse, som kun er tilgængelig for værdien Andet. Brug denne værdi, hvis du bruger en tjenesteudbyder i det lokale miljø.

           Angiv en kommasepareret liste over de IP-adresser, der bruges af beskyttelsestjeneste fra tredjepart eller enhed til at sende mail til Microsoft 365.

         • Barracuda

         • IronPort

         • Mimecast

         • Korrekturpunkt

         • Sophos

         • Symantec

         • Trend Micro

       • Den connector, som denne evaluering skal anvendes på: Vælg den connector, der bruges til mailflow, i Microsoft 365.

         Forbedret filtrering for forbindelser (også kendt som oversigt over spring over) konfigureres automatisk på den connector, du angiver.

         Når en tjeneste eller enhed fra tredjepart er placeret foran en mail, der flyder ind i Microsoft 365, identificerer udvidet filtrering af connectors korrekt kilden til internetmeddelelser og forbedrer i høj grad nøjagtigheden af Microsofts filtreringsstak (især spoof intelligence samt funktioner efter sikkerhedsbrud i Threat Explorer og automatiseret undersøgelse & svar (AIR).

     • Jeg bruger kun Microsoft Exchange Online: MX-posterne for dit domæne peger på Microsoft 365. Der er ikke mere at konfigurere, så vælg Udfør.

   • Del data med Microsoft: Denne indstilling er ikke valgt som standard, men du kan markere afkrydsningsfeltet, hvis du vil.

   Når du er færdig i dialogboksen Hjælp os med at forstå dit mailflow , skal du vælge Udfør.

5. Når opsætningen er fuldført, får du vist dialogboksen Lad os vise dig rundt . Vælg Start præsentation eller Afvis.

Konfigurer en evaluering eller prøveversion i blokeringstilstand

Husk, at når du forsøger Defender for Office 365 i blokeringstilstand, er standardindstillingen sikkerhed slået til, og de angivne brugere (nogle eller alle) er inkluderet i den forudindstillede standard sikkerhedspolitik. Du kan få flere oplysninger om den forudindstillede standardsikkerhedspolitik under Forudindstillede sikkerhedspolitikker.

1. Start prøveversionen på en af de tilgængelige placeringer på Microsoft Defender-portalen på https://security.microsoft.com. Det kan f.eks. være:

   • Vælg Start gratis prøveversion på banneret øverst på en Defender for Office 365 funktionsside.
   • Find og vælg Defender for Office 365 på siden Microsoft 365-prøveversioner på https://security.microsoft.com/trialHorizontalHub.
   • Vælg Start evaluering på siden Microsoft Defender for Office 365 evaluering på https://security.microsoft.com/atpEvaluation.

2. Dialogboksen Slå beskyttelse til er ikke tilgængelig i organisationer med Defender for Office 365 Plan 1 eller Plan 2.

   I dialogboksen Slå beskyttelse til skal du vælge Ja, beskytte min organisation ved at blokere trusler og derefter vælge Fortsæt.

3. Konfigurer følgende indstillinger i dialogboksen Vælg de brugere, du vil medtage :

   • Alle brugere: Dette er standardindstillingen og den anbefalede indstilling.

   • Vælg brugere: Hvis du vælger denne indstilling, skal du vælge de interne modtagere, som prøveversionen gælder for:

     • Brugere: De angivne postkasser, mailbrugere eller mailkontakter.
     • Grupper:
       • Medlemmer af de angivne distributionsgrupper eller mailaktiverede sikkerhedsgrupper (dynamiske distributionsgrupper understøttes ikke).
       • Den angivne Microsoft 365-grupper.
     • Domæner: Alle modtagere i organisationen med en primær mailadresse i det angivne accepterede domæne.

     Klik i feltet, begynd at skrive en værdi, og vælg værdien i resultaterne under feltet. Gentag denne proces så mange gange, det er nødvendigt. Hvis du vil fjerne en eksisterende værdi, skal du vælge ud for værdien i feltet.

     For brugere eller grupper kan du bruge de fleste identifikatorer (navn, vist navn, alias, mailadresse, kontonavn osv.), men det tilsvarende viste navn vises i resultaterne. For brugere skal du angive en stjerne (*) alene for at se alle tilgængelige værdier.

     Du kan kun bruge en modtagerbetingelse én gang, men betingelsen kan indeholde flere værdier:

     • Flere værdier med samme betingelse bruger OR-logik (f.eks.< recipient1> eller <recipient2>). Hvis modtageren stemmer overens med en af de angivne værdier, anvendes politikken på dem.

     • Forskellige typer betingelser bruger AND-logik. Modtageren skal matche alle de angivne betingelser for, at politikken gælder for vedkommende. Du kan f.eks. konfigurere en betingelse med følgende værdier:

       • Brugere: romain@contoso.com
       • Grupper: Direktører

       Politikken anvendes kun på romain@contoso.com , hvis han også er medlem af gruppen Direktører. Ellers anvendes politikken ikke på ham.

   Når du er færdig, skal du vælge Fortsæt i dialogboksen Vælg de brugere, du vil medtage.

4. Der vises en statusdialogboks, når evalueringen konfigureres. Når konfigurationen er fuldført, skal du vælge Udført.

Administrer din evaluering eller prøveversion af Defender for Office 365

Når du har konfigureret din evaluering eller prøveversion i overvågningstilstand, er den Microsoft Defender for Office 365 evalueringsside på https://security.microsoft.com/atpEvaluation din centrale placering for resultaterne af at prøve Defender for Office 365 Plan 2.

I Microsoft Defender-portalen på https://security.microsoft.comskal du gå til Mail & samarbejdspolitikker>& regler>Trusselspolitikker> vælge Evalueringstilstand i afsnittet Andre. Du kan også gå direkte til Microsoft Defender for Office 365 evalueringsside ved at bruge https://security.microsoft.com/atpEvaluation.

De handlinger, der er tilgængelige på siden Microsoft Defender for Office 365 evaluering, er beskrevet i følgende underafsnit.

Administrer evalueringsindstillinger

Vælg Administrer evalueringsindstillinger på siden Microsoft Defender for Office 365 evaluering på https://security.microsoft.com/atpEvaluation.

I pop op-vinduet Administrer MDO evalueringsindstillinger, der åbnes, er følgende oplysninger og indstillinger tilgængelige:

• Om evalueringen er slået til, vises øverst i pop op-vinduet (Evaluering til eller Evaluering slået fra). Disse oplysninger er også tilgængelige på siden Microsoft Defender for Office 365 evaluering.

  Handlingen Slå fra eller Slå til giver dig mulighed for at slå evalueringspolitikkerne fra eller til.

• Hvor mange dage, der er tilbage i evalueringen, vises øverst i pop op-vinduet (nn dage tilbage).

• Afsnittet Registreringsfunktioner: Brug til/fra-knapper til at aktivere eller deaktivere følgende Defender for Office 365 beskyttelse:

  • Sikre links
  • Sikre vedhæftede filer
  • Anti-phishing

• Sektionen Brugere, grupper og domæner: Vælg Rediger brugere, grupper og domæner for at ændre, hvem evalueringen eller prøveversionen gælder for, som beskrevet tidligere i Konfigurer en evaluering eller en prøveversion i overvågningstilstand.

• Afsnittet Repræsentationsindstillinger:

  • Hvis repræsentationsbeskyttelse ikke er konfigureret i politikken til evaluering af anti-phishing, skal du vælge Anvend repræsentationsbeskyttelse for at konfigurere repræsentationsbeskyttelse:

    • Interne og eksterne brugere (afsendere) til beskyttelse af brugerrepræsentation.
    • Brugerdefinerede domæner til beskyttelse af domænerepræsentation.
    • Afsendere og domæner, der er tillid til, skal udelades fra repræsentationsbeskyttelse.

    Trinnene er stort set de samme som beskrevet i afsnittet Repræsentation i Trin 5 på Brug Microsoft Defender-portalen til at oprette politikker til bekæmpelse af phishing.

  • Hvis repræsentationsbeskyttelse er konfigureret i politikken til evaluering af anti-phishing, vises indstillingerne for repræsentationsbeskyttelse i dette afsnit for:

    • Beskyttelse af brugeridentificeret repræsentation
    • Beskyttelse mod repræsentation af domæne
    • Repræsenterede afsendere og domæner, der er tillid til

    Hvis du vil redigere indstillingerne, skal du vælge Rediger repræsentationsindstillinger.

Når du er færdig i pop op-vinduet Administrer MDO evalueringsindstillinger, skal du vælge Luk.

Konvertér til standardbeskyttelse

I forbindelse med din evaluering eller prøveversion kan du skifte fra overvågningstilstand (evalueringspolitikker) til blokeringstilstand (standardforudstillet sikkerhedspolitik) ved hjælp af en af følgende metoder:

• På siden Microsoft Defender for Office 365 evaluering: Vælg Konvertér til standardbeskyttelse
• I pop op-vinduet Administrer MDO evalueringsindstillinger: Vælg Administrer evalueringsindstillinger på siden Microsoft Defender for Office 365 evaluering. I det pop op-vindue med detaljer, der åbnes, skal du vælge Konvertér til standardbeskyttelse.

Når du har valgt Konvertér til standardbeskyttelse, skal du læse oplysningerne i den dialogboks, der åbnes, og derefter vælge Fortsæt.

Du føres til guiden Anvend standardbeskyttelse på siden Forudindstillede sikkerhedspolitikker . Listen over modtagere, der er inkluderet og udelukket fra evalueringen eller prøveversionen, kopieres til den forudindstillede standardsikkerhedspolitik. Du kan få flere oplysninger under Brug Microsoft Defender-portalen til at tildele standard- og strenge forudindstillede sikkerhedspolitikker til brugere.

• Sikkerhedspolitikkerne i den forudindstillede standardsikkerhedspolitik har en højere prioritet end evalueringspolitikkerne, hvilket betyder, at politikkerne i den forudindstillede standardsikkerhed altid anvendes før evalueringspolitikkerne, selvom begge er til stede og slået til.
• Der er ingen automatisk måde at gå fra blokeringstilstand til overvågningstilstand. De manuelle trin er:

  1. Deaktiver den forudindstillede standardsikkerhedspolitik på siden Forudindstillede sikkerhedspolitikker på https://security.microsoft.com/presetSecurityPolicies.

  2. Kontrollér, at værdien Evaluation på er vist på siden Microsoft Defender for Office 365 evaluering på https://security.microsoft.com/atpEvaluation.

     Hvis Evaluering er slået fra , skal du vælge Administrer evalueringsindstillinger. I pop op-vinduet Administrer MDO evalueringsindstillinger, der åbnes, skal du vælge Slå til.

  3. Vælg Administrer evalueringsindstillinger for at bekræfte de brugere, som evalueringen gælder for, i afsnittet Brugere, grupper og domæner i pop op-vinduet Administrer MDO evalueringsindstillinger, der åbnes.

Rapporter til din evaluering eller prøveversion af Defender for Office 365

I dette afsnit beskrives de rapporter, der er tilgængelige i overvågningstilstand og blokeringstilstand.

Rapporter til blokeringstilstand

Der oprettes ingen specialrapporter til blokeringstilstand, så brug de standardrapporter, der er tilgængelige i Defender for Office 365. Du leder specifikt efter rapporter, der kun gælder for Defender for Office 365 funktioner (f.eks. Sikre links eller Vedhæftede filer), eller rapporter, der kan filtreres efter Defender for Office 365 registreringer, som beskrevet på følgende liste:

• Visningen Mailflow for statusrapporten Mailflow:

  • Meddelelser, der registreres som brugerpersonation eller domæne repræsentering af politikker til bekæmpelse af phishing, vises i repræsentationsblokken.
  • Meddelelser, der registreres under detonation af filer eller URL-adresser af politikker for vedhæftede filer, der er tillid til, eller politikker for sikre links vises i detonationsblok.

• Statusrapporten trusselsbeskyttelse:

  Du kan filtrere mange af visningerne i statusrapporten Trusselsbeskyttelse efter MDOBeskyttet af for at se virkningen af Defender for Office 365.

  • Få vist data efter oversigt

  • Få vist data efter mail-phish > og diagramopdeling efter registreringsteknologi

    • Meddelelser, der er registreret af kampagner , vises i Campaign.
    • Meddelelser, der er registreret af Sikre vedhæftede filer, vises i detonation af filer og omdømme for detonation af filer.
    • Meddelelser, der registreres af beskyttelse mod phishing i beskyttelse mod phishing, vises i repræsentationsdomæne, repræsentationsbruger og repræsentation af mailbox intelligence.
    • Meddelelser, der er registreret af Sikre links, vises i url-detonation og URL-detonationsomdømme.

  • Få vist data efter mailmalware > og diagramopdeling efter registreringsteknologi

    • Meddelelser, der er registreret af kampagner , vises i Campaign.
    • Meddelelser, der er registreret af Sikre vedhæftede filer, vises i detonation af filer og omdømme for detonation af filer.
    • Meddelelser, der er registreret af Sikre links, vises i url-detonation og URL-detonationsomdømme.

  • Få vist data efter mailspam > og diagramopdeling efter registreringsteknologi

    Meddelelser, der er registreret af Sikre links, vises i ondsindet URL-adresseomdømme.

  • Diagramopdeling efter politiktype

    Meddelelser, der er registreret af sikre vedhæftede filer, vises i Sikre vedhæftede filer

  • Få vist data efter indholdsmalware >

    Skadelige filer, der er registreret af Sikre vedhæftede filer til SharePoint, OneDrive og Microsoft Teams, vises i MDO detonation.

• Rapporten Over de vigtigste afsendere og modtagere

  Vis data for de mest populære malwaremodtagere (MDO) og Vis data for de vigtigste phishmodtagere (MDO).

• URL-beskyttelsesrapport

Rapporter til overvågningstilstand

I overvågningstilstand leder du efter rapporter, der viser registreringer af evalueringspolitikker som beskrevet på følgende liste:

• På enhedssiden Mail vises følgende banner i oplysninger om registrering af meddelelser under fanen Analyse for Dårlig vedhæftet fil, url-adresse for spam + malware, Phish-URL-adresse og repræsentationsmeddelelser, der blev registreret af Defender for Office 365 evaluering:

  

• På Microsoft Defender for Office 365 evalueringssiden på https://security.microsoft.com/atpEvaluation konsolideres registreringerne fra de standardrapporter, der er tilgængelige i Defender for Office 365. Rapporterne på denne side filtreres primært efter Evaluering: Ja , hvis du kun vil have vist registreringer af evalueringspolitikker, men de fleste rapporter bruger også yderligere tydeliggøringsfiltre.

  Rapportoversigterne på siden viser som standard data for de seneste 30 dage, men du kan filtrere datointervallet ved at vælge 30 dage og vælge mellem følgende yderligere værdier, der er mindre end 30 dage:

  • 24 timer
  • 7 dage
  • 14 dage
  • Brugerdefineret datointerval

  Filteret for datointerval påvirker de data, der vises i rapportoversigterne på siden og i hovedrapporten, når du vælger Vis detaljer på et kort.

  Vælg Download for at downloade diagramdataene til en .csv fil.

  • Følgende rapporter på evalueringssiden Microsoft Defender for Office 365 indeholder filtrerede oplysninger fra bestemte visninger i statusrapporten trusselsbeskyttelse:

    • Maillinks:
      • Rapportvisning: Få vist data efter mail-phish > og diagramopdeling efter registreringsteknologi
      • Registreringsfiltre : Detonationsomdømme for URL-adresse og detonation af URL-adresser.
    • Vedhæftede filer i mail:
      • Rapportvisning: Få vist data efter mail-phish > og diagramopdeling efter registreringsteknologi
      • Registreringsfiltre : Fil detonation og Fil detonation omdømme.
    • Personifikation
      • Rapportvisning: Få vist data efter mail-phish > og diagramopdeling efter registreringsteknologi
      • Registreringsfiltre : Repræsentationsbruger, repræsentationsdomæne og repræsentation af mailbox intelligence.
    • Links til vedhæftede filer
      • Rapportvisning: Få vist data efter mailmalware > og diagramopdeling efter registreringsteknologi
      • Registreringsfiltre : URL-detonation og URL-detonationomdømme.
    • Integreret malware
      • Rapportvisning: Få vist data efter mailmalware > og diagramopdeling efter registreringsteknologi
      • Registreringsfiltre : Fil detonation og Fil detonation omdømme.
    • Misvisende afsendere:
      • Rapportvisning: Få vist data efter mail-phish > og diagramopdeling efter registreringsteknologi
      • Registreringsfiltre : Spoof intra-org, Spoof eksternt domæne og Spoof DMARC.

  • Klikbeskyttelse af URL-adresser i realtid bruger handlingen Vis data efter URL-adresse klikbeskyttelse i den URL-beskyttelsesrapport , der er filtreret efter evaluering: Ja.

    Selvom Vis data efter URL-adresse klik efter program i URL-beskyttelsesrapport ikke vises på siden Microsoft Defender for Office 365 evaluering, kan den også filtreres efter evaluering: Ja.

Påkrævede tilladelser

Følgende tilladelser kræves i Microsoft Entra ID for at konfigurere en evaluering eller prøveversion af Defender til Microsoft 365:

• Create, redigere eller slette en evaluering eller prøveversion: Medlemskab af rollerne Sikkerhedsadministrator eller Global administrator.
• Få vist evalueringspolitikker og -rapporter i overvågningstilstand: Medlemskab af rollerne Sikkerhedsadministrator eller Sikkerhedslæser .

Du kan få flere oplysninger om Microsoft Entra tilladelser på Microsoft Defender-portalen under Microsoft Entra roller på Microsoft Defender-portalen

Ofte stillede spørgsmål

Spørgsmål: Skal jeg hente eller aktivere prøvelicenser manuelt?

Sv.: Nej. Prøveversionen klargør automatisk Defender for Office 365 Plan 2-licenser, hvis du har brug for dem som beskrevet tidligere.

Spørgsmål: Hvordan gør jeg forlænge prøveversionen?

Svar: Se Forlæng din prøveversion.

Spørgsmål: Hvad sker der med mine data, når prøveversionen udløber?

Svar: Når prøveversionen udløber, har du adgang til dine prøvedata (data fra funktioner i Defender for Office 365, som du ikke tidligere har gjort) i 30 dage. Efter denne 30-dages periode slettes alle politikker og data, der er knyttet til den Defender for Office 365 prøveversion.

Spørgsmål: Hvor mange gange kan jeg bruge prøveversionen af Defender for Office 365 i min organisation?

Sv.: Maksimalt to gange. Hvis din første prøveversion udløber, skal du vente mindst 30 dage efter udløbsdatoen, før du kan tilmelde dig Defender for Office 365 prøveversion igen. Efter din anden prøveversion kan du ikke tilmelde dig en anden prøveversion.

Spørgsmål: Er der scenarier i overvågningstilstand, hvor Defender for Office 365 reagerer på meddelelser?

Sv.: Ja. For at beskytte tjenesten kan ingen i noget program eller SKU deaktivere eller omgå at udføre handlinger på meddelelser, der er klassificeret som malware eller phishing med høj tillid af tjenesten.

Spørgsmål: I hvilken rækkefølge evalueres politikkerne?

Svar: Se Rangorden for forudindstillede sikkerhedspolitikker og andre politikker.

Politikindstillinger, der er knyttet til Defender for Office 365 evalueringer og prøveversioner

Politikker i overvågningstilstand

Advarsel

Forsøg ikke at oprette, redigere eller fjerne de individuelle sikkerhedspolitikker, der er knyttet til evalueringen af Defender for Office 365. Den eneste understøttede metode til oprettelse af de enkelte sikkerhedspolitikker for evalueringen er at starte evalueringen eller prøveperioden i overvågningstilstand i Microsoft Defender portal for første gang.

Som tidligere beskrevet, når du vælger overvågningstilstand for din evaluering eller prøveversion, oprettes der automatisk evalueringspolitikker med de påkrævede indstillinger for at overvåge, men ikke udføre handlinger på meddelelser.

Hvis du vil se disse politikker og deres indstillinger, skal du køre følgende kommando i Exchange Online PowerShell:

Write-Output -InputObject ("`r`n"*3),"Evaluation anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"; Write-Output -InputObject ("`r`n"*3),"Evaluation Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"; Write-Output -InputObject ("`r`n"*3),"Evaluation Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"

Indstillingerne er også beskrevet i følgende tabeller.

Politikindstillinger for evaluering af anti-phishing

Indstilling	Værdi
Navn	Evalueringspolitik
AdminDisplayName	Evalueringspolitik
AuthenticationFailAction	Flyt til Jmf
DmarcQuarantineAction	Karantæne
DmarcRejectAction	Afvise
Aktiveret	Sandt
EnableFirstContactSafetyTips	Falsk
EnableMailboxIntelligence	Sandt
EnableMailboxIntelligenceProtection	Sandt
EnableOrganizationDomainsProtection	Falsk
EnableSimilarDomainsSafetyTips	Falsk
EnableSimilarUsersSafetyTips	Falsk
EnableSpoofIntelligence	Sandt
EnableSuspiciousSafetyTip	Falsk
EnableTargetedDomainsProtection	Falsk
EnableTargetedUserProtection	Falsk
EnableUnauthenticatedSender	Sandt
EnableUnusualCharactersSafetyTips	Falsk
EnableViaTag	Sandt
ExcludedDomains	{}
ExcludedSenders	{}
HonorDmarcPolicy	Sandt
ImpersonationProtectionState	Manuel
IsDefault	Falsk
MailboxIntelligenceProtectionAction	Ingen handling
MailboxIntelligenceProtectionActionRecipients	{}
MailboxIntelligenceQuarantineTag	DefaultFullAccessPolicy
PhishThresholdLevel	1
PolicyTag	Tom
Anbefalet politiktype	Evaluering
SpoofQuarantineTag	DefaultFullAccessPolicy
Målmodtagere afdomainAction-modtagere	{}
TargetedDomainProtectionAction	Ingen handling
TargetedDomainQuarantineTag	DefaultFullAccessPolicy
TargetedDomainsToProtect	{}
Målrettede brugere	{}
TargetedUserProtectionAction	Ingen handling
TargetedUserQuarantineTag	DefaultFullAccessPolicy
TargetedUsersToProtect	{}

Politikindstillinger for evaluering af vedhæftede filer, der er tillid til

Indstilling	Værdi
Navn	Evalueringspolitik
Handling	Tillad
ActionOnError	Sandt*
AdminDisplayName	Evalueringspolitik
ConfidenceLevelThreshold	80
Aktiverer	Sandt
EnableOrganizationBranding	Falsk
IsBuiltInProtection	Falsk
IsDefault	Falsk
Handlingstilstand	Forsinkelse
QuarantineTag	AdminOnlyAccessPolicy
Anbefalet politiktype	Evaluering
Omdirigere	Falsk
RedirectAddress	Tom
ScanTimeout	30

^* Denne parameter frarådes og bruges ikke længere.

Politikindstillinger for evaluering af sikre links

Indstilling	Værdi
Navn	Evalueringspolitik
AdminDisplayName	Evalueringspolitik
AllowClickThrough	Sandt
CustomNotificationText	Tom
DeliverMessageAfterScan	Sandt
DisableUrlRewrite	Sandt
DoNotRewriteUrls	{}
EnableForInternalSenders	Falsk
EnableOrganizationBranding	Falsk
EnableSafeLinksForEmail	Sandt
EnableSafeLinksForOffice	Sandt
EnableSafeLinksForTeams	Sandt
IsBuiltInProtection	Falsk
LocalizedNotificationTextList	{}
Anbefalet politiktype	Evaluering
ScanUrls	Sandt
TrackClicks	Sandt

Brug PowerShell til at konfigurere modtagerbetingelser og undtagelser for evalueringen eller prøveversionen i overvågningstilstand

En regel, der er knyttet til Defender for Office 365 evalueringspolitikker, styrer modtagerbetingelserne og undtagelserne til evalueringen.

Hvis du vil have vist den regel, der er knyttet til evalueringen, skal du køre følgende kommando i Exchange Online PowerShell:

Get-ATPEvaluationRule

Hvis du vil bruge Exchange Online PowerShell til at ændre, hvem evalueringen gælder for, skal du bruge følgende syntaks:

Set-ATPEvaluationRule -Identity "Evaluation Rule" -SentTo <"user1","user2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -SentToMemberOf <"group1","group2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null> -RecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null>

I dette eksempel konfigureres undtagelser fra evalueringen for de angivne sikkerhedshandlinger (SecOps)-postkasser.

Set-ATPEvaluationRule -Identity "Evaluation Rule" -ExceptIfSentTo "SecOps1","SecOps2"

Brug PowerShell til at aktivere eller deaktivere evalueringen eller prøveversionen i overvågningstilstand

Hvis du vil slå evalueringen til eller fra i overvågningstilstand, skal du aktivere eller deaktivere den regel, der er knyttet til evalueringen. Egenskabsværdien State for evalueringsreglen viser, om reglen er aktiveret eller deaktiveret.

Kør følgende kommando for at afgøre, om evalueringen er aktiveret eller deaktiveret i øjeblikket:

Get-ATPEvaluationRule -Identity "Evaluation Rule" | Format-Table Name,State

Kør følgende kommando for at deaktivere evalueringen, hvis den er slået til:

Disable-ATPEvaluationRule -Identity "Evaluation Rule"

Kør følgende kommando for at aktivere evalueringen, hvis den er slået fra:

Enable-ATPEvaluationRule -Identity "Evaluation Rule"

Politikker i blokeringstilstand

Som tidligere beskrevet oprettes politikker for blokeringstilstand ved hjælp af standardskabelonen for forudindstillede sikkerhedspolitikker.

Hvis du vil bruge Exchange Online PowerShell til at få vist de individuelle sikkerhedspolitikker, der er knyttet til den forudindstillede standardsikkerhedspolitik, og til at få vist og konfigurere modtagerbetingelserne og -undtagelserne for den forudindstillede sikkerhedspolitik, skal du se Forudindstillede sikkerhedspolitikker i Exchange Online PowerShell.