Microsoft Defender für Office 365 ausprobieren

Als bestehender Microsoft 365-Kunde können Sie auf den Seiten Testversionen und Evaluierungen im Microsoft Defender-Portal unter https://security.microsoft.com die Features von Microsoft Defender für Office 365 Plan 2 testen, bevor Sie den Kauf durchführen.

Bevor Sie Defender für Office 365 Plan 2 ausprobieren, müssen Sie sich einige wichtige Fragen stellen:

• Möchte ich passiv beobachten, was Defender für Office 365 Plan 2 für mich tun kann (Überwachung), oder möchte ich, dass Defender für Office 365 Plan 2 direkte Maßnahmen bei Problemen ergreift, die gefunden werden (blockieren)?
• Wie auch immer, wie kann ich feststellen, was Defender für Office 365 Plan 2 für mich tut?
• Wie lange habe ich Zeit, bevor ich die Entscheidung treffen muss, Defender für Office 365 Plan 2 beizubehalten?

Dieser Artikel hilft Ihnen, diese Fragen zu beantworten, damit Sie Defender für Office 365 Plan 2 auf eine Weise ausprobieren können, die den Anforderungen Ihrer Organisation am besten entspricht.

Einen Begleitleitfaden zur Verwendung Ihrer Testversion finden Sie im Testbenutzerhandbuch: Microsoft Defender für Office 365.

Hinweis

Testversionen und Bewertungen von Defender für Office 365 sind in Us-Regierungsbehörden (Microsoft 365 GCC, GCC High und DoD) oder Microsoft 365 Education-Organisationen nicht verfügbar.

Übersicht über Defender für Office 365

Defender für Office 365 unterstützt Organisationen dabei, ihr Unternehmen zu schützen, indem es umfassende Funktionen bietet. Weitere Informationen finden Sie unter Microsoft Defender für Office 365.

Weitere Informationen zu Defender für Office 365 finden Sie in diesem interaktiven Leitfaden.

Sehen Sie sich dieses kurze Video an, um mehr darüber zu erfahren, wie Sie mit Microsoft Defender für Office 365 in kürzerer Zeit mehr erledigen können.

Preisinformationen finden Sie unter Microsoft Defender für Office 365.

Funktionsweise von Testversionen und Auswertungen für Defender für Office 365

Richtlinien

Defender für Office 365 enthält die Features von Exchange Online Protection (EOP), die in allen Microsoft 365-Organisationen mit Exchange Online-Postfächern vorhanden sind, sowie Features, die exklusiv für Defender für Office 365 verfügbar sind.

Die Schutzfunktionen von EOP und Defender für Office 365 werden mithilfe von Richtlinien implementiert. Richtlinien, die ausschließlich für Defender für Office 365 gelten, werden nach Bedarf für Sie erstellt:

• Schutz vor Identitätswechsel in Antiphishing-Richtlinien
• Sichere Anlagen für E-Mail-Nachrichten
• Sichere Links für E-Mail-Nachrichten und Microsoft Teams
  • Sichere Links detonieren URLs während des Nachrichtenflusses. Um zu verhindern, dass bestimmte URLs detoniert werden, übermitteln Sie die URLs als gute URLs an Microsoft. Anweisungen finden Sie unter Melden guter URLs an Microsoft.
  • Sichere Links umschließen keine URL-Links in E-Mail-Nachrichtentexten.

Ihre Berechtigung für eine Evaluierung oder Testversion bedeutet, dass Sie bereits über EOP verfügen. Für Die Evaluierung oder Testversion von Defender für Office 365 Plan 2 werden keine neuen oder speziellen EOP-Richtlinien erstellt. Vorhandene EOP-Richtlinien in Ihrer Microsoft 365-Organisation können weiterhin auf Nachrichten reagieren (z. B. Nachrichten an den Junk-E-Mail-Ordner senden oder unter Quarantäne stellen):

• Antischadsoftwarerichtlinien
• Antispamschutz für eingehenden Datenverkehr
• Schutz vor Spoofing in Anti-Phishing-Richtlinien

Die Standardrichtlinien für diese EOP-Features sind immer aktiviert, gelten für alle Empfänger und werden immer zuletzt nach benutzerdefinierten Richtlinien angewendet.

Überwachungsmodus im Vergleich zum Blockierungsmodus für Defender für Office 365

Soll Ihre Defender für Office 365-Erfahrung aktiv oder passiv sein? Die folgenden Modi sind verfügbar:

• Überwachungsmodus: Spezielle Auswertungsrichtlinien werden für Antiphishing (einschließlich Identitätswechselschutz), sichere Anlagen und sichere Links erstellt. Diese Auswertungsrichtlinien sind nur für die Erkennung von Bedrohungen konfiguriert. Defender für Office 365 erkennt schädliche Nachrichten für die Berichterstellung, aber die Nachrichten werden nicht bearbeitet (z. B. werden erkannte Nachrichten nicht unter Quarantäne gesetzt). Die Einstellungen dieser Auswertungsrichtlinien werden weiter unten in diesem Artikel im Abschnitt Richtlinien im Überwachungsmodus beschrieben. Wir aktivieren auch automatisch den Schutz vor der Klickzeit von SafeLinks im Überwachungsmodus für Workloads ohne E-Mail (z. B. Microsoft Teams, SharePoint und OneDrive for Business).

  Sie können auch den Antiphishingschutz (Spoofing und Identitätswechsel), den Schutz sicherer Links und den Schutz sicherer Anlagen selektiv aktivieren oder deaktivieren. Anweisungen finden Sie unter Verwalten von Auswertungseinstellungen.

  Der Überwachungsmodus stellt spezielle Berichte für Bedrohungen bereit, die von den Auswertungsrichtlinien auf der Evaluierungsseite von Microsoft Defender für Office 365 unter https://security.microsoft.com/atpEvaluationerkannt werden. Diese Berichte werden weiter unten in diesem Artikel im Abschnitt Berichte für den Überwachungsmodus beschrieben.

• Blockiermodus: Die Standardvorlage für voreingestellte Sicherheitsrichtlinien ist aktiviert und wird für die Testversion verwendet, und die Benutzer, die Sie in die Testversion einschließen möchten, werden der voreingestellten Sicherheitsrichtlinie Standard hinzugefügt. Defender für Office 365 erkennt schädliche Nachrichten und führt Entsprechende Maßnahmen aus (z. B. wenn erkannte Nachrichten unter Quarantäne stehen).

  Die standard- und empfohlene Auswahl besteht darin, diese Defender für Office 365-Richtlinien auf alle Benutzer in der Organisation zu festlegen. Während oder nach der Einrichtung Ihrer Testversion können Sie die Richtlinienzuweisung jedoch im Microsoft Defender-Portal oder in Exchange Online PowerShell an bestimmte Benutzer, Gruppen oder E-Mail-Domänen ändern.

  Informationen zu Bedrohungen, die von Defender für Office 365 erkannt werden, finden Sie in den regulären Berichten und Untersuchungsfeatures von Defender für Office 365 Plan 2, die im Abschnitt Berichte für den Blockierungsmodus weiter unten in diesem Artikel beschrieben werden.

Die wichtigsten Faktoren, die bestimmen, welche Modi ihnen zur Verfügung stehen, sind:

• Gibt an, ob Sie derzeit Über Defender für Office 365 (Plan 1 oder Plan 2) verfügen, wie im nächsten Abschnitt beschrieben.

• Wie E-Mails an Ihre Microsoft 365-Organisation übermittelt werden, wie in den folgenden Szenarien beschrieben:

  • E-Mails aus dem Internet werden direkt von Microsoft 365 übertragen, aber Ihr aktuelles Abonnement verfügt nur über Exchange Online Protection (EOP) oder Defender für Office 365 Plan 1.

    

    In diesen Umgebungen ist je nach Lizenzierung der Überwachungsmodus oder der Blockierungsmodus verfügbar, wie im nächsten Abschnitt erläutert.

  • Sie verwenden derzeit einen Dienst oder ein Gerät eines Drittanbieters für den E-Mail-Schutz Ihrer Microsoft 365-Postfächer. E-Mails aus dem Internet werden vor der Übermittlung an Ihre Microsoft 365-Organisation über den Schutzdienst übertragen. Der Microsoft 365-Schutz ist so gering wie möglich (er ist nie vollständig deaktiviert, z. B. wird der Schutz vor Schadsoftware immer erzwungen).

    

    In diesen Umgebungen ist nur der Überwachungsmodus verfügbar. Sie müssen Ihren Nachrichtenfluss (MX-Einträge) nicht ändern, um Defender für Office 365 Plan 2 auszuwerten.

Evaluierung und Testversion für Defender für Office 365

Was ist der Unterschied zwischen einer Evaluierung und einer Testversion von Defender für Office 365 Plan 2? Sind sie nicht dasselbe? Nun ja und nein. Die Lizenzierung in Ihrer Microsoft 365-Organisation macht den unterschied:

• Kein Defender für Office 365 Plan 2: Wenn Sie noch nicht über Defender für Office 365 Plan 2 verfügen (z. B. eigenständiges EOP, Microsoft 365 E3, Microsoft 365 Business Premium oder ein Add-On-Abonnement für Defender für Office 365 Plan 1), können Sie die Defender für Office 365 Plan 2-Benutzeroberfläche an den folgenden Speicherorten im Microsoft Defender-Portal starten:

  • Die Microsoft 365-Testversionsseite unter https://security.microsoft.com/trialHorizontalHub.
  • Die Microsoft Defender für Office 365-Evaluierungsseite unter https://security.microsoft.com/atpEvaluation.

  Sie können den Überwachungsmodus (Auswertungsrichtlinien) oder den Blockierungsmodus (standardvoreingestellte Sicherheitsrichtlinie) während der Einrichtung der Auswertung oder Testversion auswählen.

  Unabhängig davon, welchen Standort Sie verwenden, stellen wir automatisch alle erforderlichen Defender für Office 365 Plan 2-Lizenzen bereit, wenn Sie sich registrieren. Das manuelle Abrufen und Zuweisen von Plan 2-Lizenzen im Microsoft 365 Admin Center ist nicht erforderlich.

  Die automatisch bereitgestellten Lizenzen sind 90 Tage gültig. Was dieser Zeitraum von 90 Tagen bedeutet, hängt von der vorhandenen Lizenzierung in Ihrer Organisation ab:

  • Kein Defender für Office 365 Plan 1: Für Organisationen ohne Defender für Office 365 Plan 1 (z. B. eigenständiges EOP oder Microsoft 365 E3) sind alle Defender für Office 365 Plan 2-Features (insbesondere die Sicherheitsrichtlinien) nur während des Zeitraums von 90 Tagen verfügbar.

  • Defender für Office 365 Plan 1: Organisationen mit Defender für Office 365 Plan 1 (z. B. Microsoft 365 Business Premium- oder Add-On-Abonnements) verfügen bereits über dieselben Sicherheitsrichtlinien, die in Defender für Office 365 Plan 2 verfügbar sind: Identitätswechselschutz in Antiphishingrichtlinien, Richtlinien für sichere Anlagen und Richtlinien für sichere Links.

    Die Sicherheitsrichtlinien aus dem Überwachungsmodus (Auswertungsrichtlinien) oder dem Blockierungsmodus (standardvoreingestellte Sicherheitsrichtlinie) laufen nicht ab oder funktionieren nach 90 Tagen nicht mehr. Was nach 90 Tagen endet, sind die Automatisierungs-, Untersuchungs-, Korrektur- und Schulungsfunktionen von Defender für Office 365 Plan 2, die in Plan 1 nicht verfügbar sind.

  Wenn Sie Ihre Auswertung oder Testversion im Überwachungsmodus (Auswertungsrichtlinien) einrichten, können Sie später in den Blockierungsmodus (standardvoreingestellte Sicherheitsrichtlinie) konvertieren. Anweisungen finden Sie im Abschnitt Konvertieren in den Standardschutz weiter unten in diesem Artikel.

• Defender für Office 365 Plan 2: Wenn Sie bereits über Defender für Office 365 Plan 2 verfügen (z. B. als Teil eines Microsoft 365 E5-Abonnements), kann Defender für Office 365 nicht auf der Microsoft 365-Testversionsseite unter https://security.microsoft.com/trialHorizontalHubausgewählt werden.

  Ihre einzige Möglichkeit besteht darin, eine Auswertung von Defender für Office 365 auf der Evaluierungsseite von Microsoft Defender für Office 365 unter https://security.microsoft.com/atpEvaluationeinzurichten. Darüber hinaus wird die Auswertung automatisch im Überwachungsmodus (Auswertungsrichtlinien) eingerichtet.

  Später können Sie mithilfe der Aktion In Standard konvertieren auf der Evaluierungsseite von Microsoft Defender für Office 365 oder durch Deaktivieren der Auswertung auf der Evaluierungsseite von Microsoft Defender für Office 365 in den Blockiermodus (standardvoreingestellte Sicherheitsrichtlinie standard) konvertieren oder die Auswertung auf der Evaluierungsseite von Microsoft Defender für Office 365 deaktivieren und dann die standardvoreingestellte Sicherheitsrichtlinie konfigurieren.

  Standardmäßig benötigen Organisationen mit Defender für Office 365 Plan 2 keine zusätzlichen Lizenzen, um Defender für Office 365 Plan 2 auszuwerten, sodass Auswertungen in diesen Organisationen unbegrenzt dauern.

Die Informationen aus der vorherigen Liste sind in der folgenden Tabelle zusammengefasst:

Organisation	Registrieren von auf der Seite Testversionen?	Registrieren von die Auswertungsseite?	Verfügbare Modi	Evaluation Zeitraum
Eigenständiges EOP (keine Exchange Online-Postfächer) Microsoft 365 E3	Ja	Ja	Überwachungsmodus Blockierungsmodus¹	90 Tage
Microsoft Defender für Office 365 Plan 1 Microsoft 365 Business Premium	Ja	Ja	Überwachungsmodus Blockierungsmodus¹	90 Tage²
Microsoft 365 E5	Nein	Ja	Überwachungsmodus Blockierungsmodus¹ ¹	Unbegrenzt

¹ Wie zuvor beschrieben, ist der Blockierungsmodus (standardvoreingestellte Sicherheitsrichtlinie) nicht verfügbar, wenn Internet-E-Mails vor der Übermittlung an Microsoft 365 über einen Schutzdienst oder ein Gerät eines Drittanbieters übertragen werden.

² Die Sicherheitsrichtlinien aus dem Überwachungsmodus (Auswertungsrichtlinien) oder dem Blockierungsmodus (standardvoreingestellte Sicherheitsrichtlinie) laufen nicht ab oder funktionieren nach 90 Tagen nicht mehr. Die Für Defender für Office 365 Plan 2 exklusiven Automatisierungs-, Untersuchungs-, Wartungs- und Schulungsfunktionen funktionieren nach 90 Tagen nicht mehr.

¹ Die Auswertung wird im Überwachungsmodus (Auswertungsrichtlinien) eingerichtet. Nach Abschluss des Setups können Sie jederzeit in den Blockierungsmodus (standardvoreingestellte Sicherheitsrichtlinie) konvertieren, wie unter Konvertieren in Standardschutz beschrieben.

Nachdem Sie nun die Unterschiede zwischen Auswertungen, Testversionen, Überwachungsmodus und Blockierungsmodus kennen, können Sie Ihre Evaluierung oder Testversion wie in den nächsten Abschnitten beschrieben einrichten.

Einrichten einer Evaluierung oder Testversion im Überwachungsmodus

Denken Sie daran: Wenn Sie Defender für Office 365 im Überwachungsmodus evaluieren oder ausprobieren, werden spezielle Auswertungsrichtlinien erstellt, damit Defender für Office 365 Bedrohungen erkennen kann. Die Einstellungen dieser Auswertungsrichtlinien werden weiter unten in diesem Artikel im Abschnitt Richtlinien im Überwachungsmodus beschrieben.

1. Starten Sie die Auswertung an einem der verfügbaren Speicherorte im Microsoft Defender-Portal unter https://security.microsoft.com. Beispiel:

   • Wählen Sie auf dem Banner oben auf einer Defender für Office 365-Featureseite die Option Kostenlose Testversion starten aus.
   • Suchen Sie auf der Seite Microsoft 365-Testversionen unter https://security.microsoft.com/trialHorizontalHubnach Defender für Office 365, und wählen Sie es aus.
   • Wählen Sie auf der Microsoft Defender für Office 365-Evaluierungsseite unter die https://security.microsoft.com/atpEvaluationOption Auswertung starten aus.

2. Das Dialogfeld Schutz aktivieren ist in Organisationen mit Defender für Office 365 Plan 1 oder Plan 2 nicht verfügbar.

   Wählen Sie im Dialogfeld Schutz aktivieren die Option Nein, ich möchte nur Berichterstellung aus, und wählen Sie dann Weiter aus.

3. Konfigurieren Sie im Dialogfeld Wählen Sie die Benutzer aus, die Sie einschließen möchten die folgenden Einstellungen:

   • Alle Benutzer: Dies ist die standard- und empfohlene Option.

   • Bestimmte Benutzer: Wenn Sie diese Option auswählen, müssen Sie die internen Empfänger auswählen, für die die Auswertung gilt:

     • Benutzer: Die angegebenen Postfächer, E-Mail-Benutzer oder E-Mail-Kontakte.
     • Gruppen:
       • Mitglieder der angegebenen Verteilergruppen oder E-Mail-aktivierten Sicherheitsgruppen (dynamische Verteilergruppen werden nicht unterstützt).
       • Die angegebene Microsoft 365-Gruppen.
     • Domänen: Alle Empfänger in der Organisation mit einer primären E-Mail-Adresse in der angegebenen akzeptierten Domäne.

     Klicken Sie in das Feld, beginnen Sie mit der Eingabe eines Werts, und wählen Sie den Wert aus den Ergebnissen unterhalb des Felds aus. Wiederholen Sie diesen Vorgang so oft wie nötig. Um einen vorhandenen Wert zu entfernen, wählen Sie neben dem Wert im Feld aus.

     Für Benutzer oder Gruppen können Sie die meisten Bezeichner verwenden (Name, Anzeigename, Alias, E-Mail-Adresse, Kontoname usw.), aber in den Ergebnissen wird der entsprechende Anzeigename angezeigt. Geben Sie für Benutzer einen einzelnen Stern (*) ein, um alle verfügbaren Werte anzuzeigen.

     Sie können eine Empfängerbedingung nur einmal verwenden, aber die Bedingung kann mehrere Werte enthalten:

     • Mehrere Wertederselben Bedingung verwenden OR-Logik (z. B <. recipient1> oder <recipient2>). Wenn der Empfänger mit einem der angegebenen Werte übereinstimmt, wird die Richtlinie auf sie angewendet.

     • Verschiedene Arten von Bedingungen verwenden AND-Logik. Der Empfänger muss allen angegebenen Bedingungen entsprechen, damit die Richtlinie auf sie angewendet wird. Beispielsweise konfigurieren Sie eine Bedingung mit den folgenden Werten:

       • Benutzer: romain@contoso.com
       • Gruppen: Führungskräfte

       Die Richtlinie wird nur auf romain@contoso.com angewendet, wenn er auch Mitglied der Gruppe "Führungskräfte" ist. Andernfalls wird die Richtlinie nicht auf ihn angewendet.

   Wenn Sie im Dialogfeld Benutzer auswählen, die Sie einschließen möchten fertig sind, klicken Sie auf Weiter.

4. Konfigurieren Sie im Dialogfeld Helfen Sie uns, Ihren E-Mail-Fluss zu verstehen , die folgenden Optionen:

   • Eine der folgenden Optionen wird basierend auf unserer Erkennung des MX-Eintrags für Ihre Domäne automatisch ausgewählt:

     • Ich verwende einen Drittanbieter und/oder einen lokalen Dienstanbieter: Der MX-Eintrag für Ihre Domäne verweist auf einen anderen Ort als Microsoft 365. Überprüfen oder konfigurieren Sie die folgenden Einstellungen:

       • Drittanbieterdienst, den Ihre Organisation verwendet: Überprüfen Oder wählen Sie einen der folgenden Werte aus:

         • Andere: Dieser Wert erfordert auch Informationen in Wenn Ihre E-Mail-Nachrichten mehrere Gateways durchlaufen, listen Sie jede Gateway-IP-Adresse auf, die nur für den Wert Other verfügbar ist. Verwenden Sie diesen Wert, wenn Sie einen lokalen Dienstanbieter verwenden.

           Geben Sie eine durch Trennzeichen getrennte Liste der IP-Adressen ein, die vom Schutzdienst oder Gerät des Drittanbieters zum Senden von E-Mails an Microsoft 365 verwendet werden.

         • Barracuda

         • IronPort

         • Mimecast

         • Proofpoint

         • Sophos

         • Symantec

         • Trend Micro

       • Der Connector, auf den diese Auswertung angewendet werden soll: Wählen Sie den Connector aus, der für den Nachrichtenfluss an Microsoft 365 verwendet wird.

         Die erweiterte Filterung für Connectors (auch als Überspringen der Auflistung bezeichnet) wird automatisch für den von Ihnen angegebenen Connector konfiguriert.

         Wenn ein Dienst oder Gerät eines Drittanbieters vor E-Mails sitzt, die in Microsoft 365 fließen, identifiziert die erweiterte Filterung für Connectors die Quelle von Internetnachrichten richtig und verbessert die Genauigkeit des Microsoft-Filterstapels erheblich (insbesondere Spoofintelligenz sowie Funktionen nach Einer Sicherheitsverletzung in Threat Explorer und Automatisierte Untersuchung & Response (AIR)).

     • Ich verwende nur Microsoft Exchange Online: Die MX-Einträge für Ihre Domäne verweisen auf Microsoft 365. Es gibt nichts mehr zu konfigurieren, also wählen Sie Fertig stellen aus.

   • Daten für Microsoft freigeben: Diese Option ist standardmäßig nicht aktiviert, Aber Sie können das Kontrollkästchen aktivieren, wenn Sie möchten.

   Wenn Sie das Dialogfeld Hilfe zum Verständnis Ihres Nachrichtenflusses abgeschlossen haben, wählen Sie Fertig stellen aus.

5. Wenn die Einrichtung abgeschlossen ist, erhalten Sie das Dialogfeld Lassen Sie sich anzeigen . Wählen Sie Tour starten oder Schließen aus.

Einrichten einer Evaluierung oder Testversion im Blockierungsmodus

Denken Sie daran: Wenn Sie Defender für Office 365 im Blockierungsmodus ausprobieren, ist die standardvoreingestellte Sicherheit aktiviert, und die angegebenen Benutzer (einige oder alle) sind in der standardvoreingestellten Sicherheitsrichtlinie enthalten. Weitere Informationen zur standardvoreingestellten Sicherheitsrichtlinie finden Sie unter Voreingestellte Sicherheitsrichtlinien.

1. Starten Sie die Testversion an einem der verfügbaren Speicherorte im Microsoft Defender-Portal unter https://security.microsoft.com. Beispiel:

   • Wählen Sie auf dem Banner oben auf einer Defender für Office 365-Featureseite die Option Kostenlose Testversion starten aus.
   • Suchen Sie auf der Seite Microsoft 365-Testversionen unter https://security.microsoft.com/trialHorizontalHubnach Defender für Office 365, und wählen Sie es aus.
   • Wählen Sie auf der Microsoft Defender für Office 365-Evaluierungsseite unter die https://security.microsoft.com/atpEvaluationOption Auswertung starten aus.

2. Das Dialogfeld Schutz aktivieren ist in Organisationen mit Defender für Office 365 Plan 1 oder Plan 2 nicht verfügbar.

   Wählen Sie im Dialogfeld Schutz aktivieren die Option Ja, meine Organisation schützen durch Blockieren von Bedrohungen aus, und wählen Sie dann Weiter aus.

3. Konfigurieren Sie im Dialogfeld Wählen Sie die Benutzer aus, die Sie einschließen möchten die folgenden Einstellungen:

   • Alle Benutzer: Dies ist die standard- und empfohlene Option.

   • Benutzer auswählen: Wenn Sie diese Option auswählen, müssen Sie die internen Empfänger auswählen, für die die Testversion gilt:

     • Benutzer: Die angegebenen Postfächer, E-Mail-Benutzer oder E-Mail-Kontakte.
     • Gruppen:
       • Mitglieder der angegebenen Verteilergruppen oder E-Mail-aktivierten Sicherheitsgruppen (dynamische Verteilergruppen werden nicht unterstützt).
       • Die angegebene Microsoft 365-Gruppen.
     • Domänen: Alle Empfänger in der Organisation mit einer primären E-Mail-Adresse in der angegebenen akzeptierten Domäne.

     Klicken Sie in das Feld, beginnen Sie mit der Eingabe eines Werts, und wählen Sie den Wert aus den Ergebnissen unterhalb des Felds aus. Wiederholen Sie diesen Vorgang so oft wie nötig. Um einen vorhandenen Wert zu entfernen, wählen Sie neben dem Wert im Feld aus.

     Für Benutzer oder Gruppen können Sie die meisten Bezeichner verwenden (Name, Anzeigename, Alias, E-Mail-Adresse, Kontoname usw.), aber in den Ergebnissen wird der entsprechende Anzeigename angezeigt. Geben Sie für Benutzer einen einzelnen Stern (*) ein, um alle verfügbaren Werte anzuzeigen.

     Sie können eine Empfängerbedingung nur einmal verwenden, aber die Bedingung kann mehrere Werte enthalten:

     • Mehrere Wertederselben Bedingung verwenden OR-Logik (z. B <. recipient1> oder <recipient2>). Wenn der Empfänger mit einem der angegebenen Werte übereinstimmt, wird die Richtlinie auf sie angewendet.

     • Verschiedene Arten von Bedingungen verwenden AND-Logik. Der Empfänger muss allen angegebenen Bedingungen entsprechen, damit die Richtlinie auf sie angewendet wird. Beispielsweise konfigurieren Sie eine Bedingung mit den folgenden Werten:

       • Benutzer: romain@contoso.com
       • Gruppen: Führungskräfte

       Die Richtlinie wird nur auf romain@contoso.com angewendet, wenn er auch Mitglied der Gruppe "Führungskräfte" ist. Andernfalls wird die Richtlinie nicht auf ihn angewendet.

   Wenn Sie im Dialogfeld Benutzer auswählen, die Sie einschließen möchten fertig sind, klicken Sie auf Weiter.

4. Beim Einrichten der Auswertung wird ein Statusdialogfeld angezeigt. Wenn das Setup abgeschlossen ist, wählen Sie Fertig aus.

Verwalten Ihrer Evaluierung oder Testversion von Defender für Office 365

Nachdem Sie Ihre Evaluierung oder Testversion im Überwachungsmodus eingerichtet haben, ist die Microsoft Defender für Office 365-Evaluierungsseite unter https://security.microsoft.com/atpEvaluation Ihr zentraler Ort für die Ergebnisse des Testens von Defender für Office 365 Plan 2.

Wechseln Sie im Microsoft Defender-Portal unter https://security.microsoft.comzu E-Mail & Richtlinien für die Zusammenarbeit>& Regeln>Bedrohungsrichtlinien> wählen Sie im Abschnitt Andere den Auswertungsmodus aus. Oder verwenden Sie , um direkt zur Evaluierungsseite von Microsoft Defender für Office 365 zu wechseln https://security.microsoft.com/atpEvaluation.

Die Aktionen, die auf der Evaluierungsseite von Microsoft Defender für Office 365 verfügbar sind, werden in den folgenden Unterabschnitten beschrieben.

Verwalten von Auswertungseinstellungen

Wählen Sie auf der Microsoft Defender für Office 365-Evaluierungsseite unter https://security.microsoft.com/atpEvaluationdie Option Auswertungseinstellungen verwalten aus.

Im flyout MDO-Auswertungseinstellungen verwalten , das geöffnet wird, sind die folgenden Informationen und Einstellungen verfügbar:

• Ob die Auswertung aktiviert ist, wird oben im Flyout angezeigt (Auswertung ein oder Auswertung deaktiviert). Diese Informationen sind auch auf der Microsoft Defender für Office 365-Evaluierungsseite verfügbar.

  Mit der Aktion Deaktivieren oder Aktivieren können Sie die Auswertungsrichtlinien deaktivieren oder aktivieren.

• Wie viele Tage in der Auswertung verbleiben, wird oben im Flyout angezeigt (nn Tage verbleibend).

• Abschnitt Erkennungsfunktionen: Verwenden Sie die Umschaltflächen, um die folgenden Defender für Office 365-Schutzfunktionen zu aktivieren oder zu deaktivieren:

  • Sichere Links
  • Sichere Anlagen
  • Antiphishing

• Abschnitt Benutzer, Gruppen und Domänen: Wählen Sie Benutzer, Gruppen und Domänen bearbeiten aus, um zu ändern, für wen die Auswertung oder Testversion gilt, wie weiter oben unter Einrichten einer Evaluierung oder Testversion im Überwachungsmodus beschrieben.

• Abschnitt "Identitätswechseleinstellungen":

  • Wenn der Identitätswechselschutz in der Antiphishing-Evaluierungsrichtlinie nicht konfiguriert ist, wählen Sie Schutz vor Identitätswechsel anwenden aus, um den Identitätswechselschutz zu konfigurieren:

    • Interne und externe Benutzer (Absender) für den Schutz vor Benutzeridentitätswechseln.
    • Benutzerdefinierte Domänen für den Schutz vor Domänenidentitätswechseln.
    • Vertrauenswürdige Absender und Domänen, die vom Identitätswechselschutz ausgeschlossen werden sollen.

    Die Schritte sind im Wesentlichen die gleichen wie im Abschnitt Identitätswechsel in Schritt 5 unter Verwenden des Microsoft Defender-Portals zum Erstellen von Antiphishingrichtlinien beschrieben.

  • Wenn der Identitätswechselschutz in der Antiphishing-Auswertungsrichtlinie konfiguriert ist, werden in diesem Abschnitt die Einstellungen für den Identitätswechselschutz für Folgendes angezeigt:

    • Schutz vor Benutzeridentitätswechseln
    • Schutz vor Domänenidentitätswechsel
    • Vertrauenswürdige Absender und Domänen im Identitätswechsel

    Um die Einstellungen zu ändern, wählen Sie Identitätswechseleinstellungen bearbeiten aus.

Wenn Sie im Flyout Verwalten der MDO-Evaluierungseinstellungen fertig sind, wählen Sie Schließen aus.

Konvertieren in Den Standardschutz

Für Ihre Auswertung oder Testversion können Sie mit einer der folgenden Methoden vom Überwachungsmodus (Auswertungsrichtlinien) in den Blockierungsmodus (standardvoreingestellte Sicherheitsrichtlinie) wechseln:

• Auf der Evaluierungsseite von Microsoft Defender für Office 365: Wählen Sie In Standardschutz konvertieren aus.
• Im Flyout MDO-Evaluierungseinstellungen verwalten: Wählen Sie auf der Seite Microsoft Defender für Office 365-Auswertungdie Option Auswertungseinstellungen verwalten aus. Wählen Sie im daraufhin geöffneten Details-Flyout In Standardschutz konvertieren aus.

Nachdem Sie In Standardschutz konvertieren ausgewählt haben, lesen Sie die Informationen im daraufhin geöffneten Dialogfeld, und wählen Sie dann Weiter aus.

Sie gelangen zum Assistenten Zum Anwenden von Standardschutz auf der Seite Voreingestellte Sicherheitsrichtlinien . Die Liste der Empfänger, die von der Auswertung oder Testversion ausgeschlossen werden, wird in die standardvoreingestellte Sicherheitsrichtlinie kopiert. Weitere Informationen finden Sie unter Verwenden des Microsoft Defender-Portals, um Benutzern voreingestellte Sicherheitsrichtlinien für Standard und Strict zuzuweisen.

• Die Sicherheitsrichtlinien in der standardvoreingestellten Sicherheitsrichtlinie haben eine höhere Priorität als die Auswertungsrichtlinien. Dies bedeutet, dass die Richtlinien in der standardvoreingestellten Sicherheit immer vor den Auswertungsrichtlinien angewendet werden, auch wenn beide vorhanden und aktiviert sind.
• Es gibt keine automatische Möglichkeit, vom Blockierungsmodus in den Überwachungsmodus zu wechseln. Die manuellen Schritte sind:

  1. Deaktivieren Sie die voreingestellte Sicherheitsrichtlinie Standard auf der Seite Voreingestellte Sicherheitsrichtlinien unter https://security.microsoft.com/presetSecurityPolicies.

  2. Überprüfen Sie auf der Microsoft Defender für Office 365-Evaluierungsseite unter https://security.microsoft.com/atpEvaluation, ob der Wert Auswertung für angezeigt wird.

     Wenn Auswertung deaktiviert angezeigt wird, wählen Sie Auswertungseinstellungen verwalten aus. Wählen Sie im flyout Manage MDO evaluation settings (MDO-Auswertungseinstellungen verwalten), das geöffnet wird, die Option Aktivieren aus.

  3. Wählen Sie Auswertungseinstellungen verwalten aus, um die Benutzer zu überprüfen, für die die Auswertung gilt, im Abschnitt Benutzer, Gruppen und Domänen im Flyout Details zu den Details der MDO-Evaluierungseinstellungen verwalten .

Berichte für Ihre Evaluierung oder Testversion von Defender für Office 365

In diesem Abschnitt werden die Berichte beschrieben, die im Überwachungs- und Blockierungsmodus verfügbar sind.

Berichte für den Blockierungsmodus

Es werden keine speziellen Berichte für den Blockierungsmodus erstellt. Verwenden Sie daher die Standardberichte, die in Defender für Office 365 verfügbar sind. Insbesondere suchen Sie nach Berichten, die nur für Defender für Office 365-Features gelten (z. B. sichere Links oder sichere Anlagen) oder Berichte, die nach Defender für Office 365-Erkennungen gefiltert werden können, wie in der folgenden Liste beschrieben:

• Die Mailflow-Ansicht für den Mailflow-Statusbericht:

  • Nachrichten, die als Benutzeridentitätswechsel oder Domänenidentitätswechsel durch Antiphishingrichtlinien erkannt wurden, werden im Identitätswechselblock angezeigt.
  • Nachrichten, die während der Datei- oder URL-Detonation durch Richtlinien für sichere Anlagen oder Richtlinien für sichere Links erkannt wurden, werden im Detonation-Block angezeigt.

• Der Bedrohungsschutz-Statusbericht:

  Sie können viele der Ansichten im Bedrohungsschutz-Statusbericht nach dem Wert "Geschützt durchMDO " filtern, um die Auswirkungen von Defender für Office 365 zu sehen.

  • Anzeigen von Daten nach Übersicht

  • Anzeigen von Daten nach E-Mail-Phish > und Diagrammaufschlüsselung nach Erkennungstechnologie

    • Nachrichten, die von Kampagnen erkannt wurden, werden in Kampagne angezeigt.
    • Meldungen, die von sicheren Anlagen erkannt wurden, werden unter Dateidetonation und Dateidetonierungsreputation angezeigt.
    • Nachrichten, die vom Schutz vor Benutzeridentitätswechseln in Antiphishingrichtlinien erkannt wurden, werden unter Identitätswechseldomäne, Identitätswechselbenutzer und Identitätswechsel der Postfachintelligenz angezeigt.
    • Von sicheren Links erkannte Nachrichten werden unter URL-Detonation und URL-Detonation angezeigt.

  • Anzeigen von Daten nach E-Mail-Schadsoftware > und Diagrammaufschlüsselung nach Erkennungstechnologie

    • Nachrichten, die von Kampagnen erkannt wurden, werden in Kampagne angezeigt.
    • Meldungen, die von sicheren Anlagen erkannt wurden, werden unter Dateidetonation und Dateidetonierungsreputation angezeigt.
    • Von sicheren Links erkannte Nachrichten werden unter URL-Detonation und URL-Detonation angezeigt.

  • Anzeigen von Daten nach E-Mail-Spam > und Diagrammaufschlüsselung nach Erkennungstechnologie

    Nachrichten, die von sicheren Links erkannt wurden, werden in der URL schädlicher Reputation angezeigt.

  • Diagrammaufschlüsselung nach Richtlinientyp

    Von sicheren Anlagen erkannte Nachrichten werden in sicheren Anlagen angezeigt.

  • Anzeigen von Daten nach Content > Malware

    Schädliche Dateien, die von sicheren Anlagen für SharePoint, OneDrive und Microsoft Teams erkannt wurden, werden in der MDO-Detonation angezeigt.

• Der Bericht "Top senders and recipients" (Wichtigste Absender und Empfänger)

  Anzeigen von Daten für top malware recipients (MDO) und Show data for Top phish recipients (MDO).

• Der URL-Schutzbericht

Berichte für den Überwachungsmodus

Im Überwachungsmodus suchen Sie nach Berichten, die Erkennungen durch die Auswertungsrichtlinien anzeigen, wie in der folgenden Liste beschrieben:

• Auf der Entitätsseite E-Mail wird das folgende Banner in den Details zur Nachrichtenerkennung auf der Registerkarte Analyse für ungültige Anlagen, Spam-URL + Schadsoftware, Phish-URL und Identitätswechselnachrichten angezeigt, die von der Defender für Office 365-Auswertung erkannt wurden:

  

• Die Microsoft Defender für Office 365-Evaluierungsseite unter https://security.microsoft.com/atpEvaluation konsolidiert die Erkennungen aus den Standardberichten, die in Defender für Office 365 verfügbar sind. Die Berichte auf dieser Seite werden hauptsächlich nach Auswertung: Ja gefiltert, um Erkennungen nur anhand der Auswertungsrichtlinien anzuzeigen, aber die meisten Berichte verwenden auch zusätzliche Klarstellungsfilter.

  Standardmäßig werden in den Berichtszusammenfassungen auf der Seite Daten der letzten 30 Tage angezeigt. Sie können jedoch den Datumsbereich filtern, indem Sie 30 Tage auswählen und aus den folgenden zusätzlichen Werten auswählen, die weniger als 30 Tage sind:

  • 24 Stunden
  • 7 Tage
  • 14 Tage
  • Benutzerdefinierter Datumsbereich

  Der Datumsbereichsfilter wirkt sich auf die Daten aus, die in den Berichtszusammenfassungen auf der Seite und im Hauptbericht angezeigt werden, wenn Sie Details auf einer Karte anzeigen auswählen.

  Wählen Sie Herunterladen aus, um die Diagrammdaten in eine .csv-Datei herunterzuladen.

  • Die folgenden Berichte auf der Microsoft Defender für Office 365-Evaluierungsseite enthalten gefilterte Informationen aus bestimmten Ansichten im Bedrohungsschutz-Statusbericht:

    • E-Mail-Links:
      • Berichtsansicht: Anzeigen von Daten nach E-Mail-Phish > und Diagrammaufschlüsselung nach Erkennungstechnologie
      • Erkennungsfilter : URL-Detonationsreputation und URL-Detonation.
    • Anlagen in E-Mail:
      • Berichtsansicht: Anzeigen von Daten nach E-Mail-Phish > und Diagrammaufschlüsselung nach Erkennungstechnologie
      • Erkennungsfilter : Datei detonation und File Detonation Reputation.
    • Impersonation
      • Berichtsansicht: Anzeigen von Daten nach E-Mail-Phish > und Diagrammaufschlüsselung nach Erkennungstechnologie
      • Erkennungsfilter : Identitätswechselbenutzer, Identitätswechseldomäne und Identitätswechsel der Postfachintelligenz.
    • Anlagenlinks
      • Berichtsansicht: Anzeigen von Daten nach E-Mail-Schadsoftware > und Diagrammaufschlüsselung nach Erkennungstechnologie
      • Erkennungsfilter : URL-Detonation und URL-Detonation Reputation.
    • Eingebettete Schadsoftware
      • Berichtsansicht: Anzeigen von Daten nach E-Mail-Schadsoftware > und Diagrammaufschlüsselung nach Erkennungstechnologie
      • Erkennungsfilter : Datei detonation und File Detonation Reputation.
    • Gefälschte Absender:
      • Berichtsansicht: Anzeigen von Daten nach E-Mail-Phish > und Diagrammaufschlüsselung nach Erkennungstechnologie
      • Erkennungsfilter : Spoof innerhalb der Organisation, Spoof externe Domäne und Spoof DMARC.

  • Echtzeit-URL-Klickschutz verwendet die Klickaktion Daten nach URL anzeigen im URL-Schutzbericht, der nach Auswertung: Ja gefiltert ist.

    Obwohl die Anwendung "Daten nach URL anzeigen" im URL-Schutzbericht nicht auf der Evaluierungsseite von Microsoft Defender für Office 365 angezeigt wird, kann sie auch nach Auswertung: Ja gefiltert werden.

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind in Microsoft Entra ID erforderlich, um eine Evaluierung oder Testversion von Defender für Microsoft 365 einzurichten:

• Erstellen, Ändern oder Löschen einer Evaluierung oder Testversion: Mitgliedschaft in den Rollen "Sicherheitsadministrator " oder "Globaler Administrator^* ".
• Anzeigen von Auswertungsrichtlinien und -berichten im Überwachungsmodus: Mitgliedschaft in der Rolle "Sicherheitsadministrator " oder "Sicherheitsleseberechtigter ".

Weitere Informationen zu Microsoft Entra-Berechtigungen im Microsoft Defender-Portal finden Sie unter Microsoft Entra-Rollen im Microsoft Defender-Portal.

Wichtig

^* Microsoft empfiehlt die Verwendung von Rollen mit den geringsten Berechtigungen. Die Verwendung von Konten mit niedrigeren Berechtigungen trägt zur Verbesserung der Sicherheit für Ihre Organisation bei. Globaler Administrator ist eine Rolle mit hohen Berechtigungen, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.

Häufig gestellte Fragen

F: Muss ich Testlizenzen manuell abrufen oder aktivieren?

A: Nein. Die Testversion stellt automatisch Defender für Office 365 Plan 2-Lizenzen bereit, wenn Sie diese wie zuvor beschrieben benötigen.

F: Wie kann ich die Testversion verlängern?

A: Weitere Informationen finden Sie unter Verlängern Ihrer Testversion.

F: Warum werden keine Optionen zum Abbrechen oder Verlängern der Testversion angezeigt?

A: Es werden keine Optionen zum Kündigen oder Verlängern Ihrer Testversion angezeigt, wenn Ihr Abonnement Teil der New Commerce Experience (NCE) ist. Derzeit können nur Kunden mit Legacyabonnements ihre Testversionen kündigen oder verlängern.

F: Was geschieht mit meinen Daten nach Ablauf der Testversion?

A: Nach Ablauf der Testversion haben Sie 30 Tage lang Zugriff auf Ihre Testdaten (Daten von Features in Defender für Office 365, die Sie zuvor nicht hatten). Nach ablauf dieses 30-tägigen Zeitraums werden alle Richtlinien und Daten gelöscht, die der Defender für Office 365-Testversion zugeordnet waren.

F: Wie oft kann ich die Defender für Office 365-Testversion in meiner Organisation verwenden?

A: Maximal zweimal. Wenn Ihre erste Testversion abläuft, müssen Sie mindestens 30 Tage nach dem Ablaufdatum warten, bevor Sie sich erneut für die Defender für Office 365-Testversion registrieren können. Nach der zweiten Testversion können Sie sich nicht mehr für eine andere Testversion registrieren.

F: Gibt es im Überwachungsmodus Szenarien, in denen Defender für Office 365 auf Nachrichten reagiert?

A.: Ja. Zum Schutz des Diensts kann niemand in einem Programm oder einer SKU die Aktion für Nachrichten deaktivieren oder umgehen, die vom Dienst als Schadsoftware oder Phishing mit hoher Zuverlässigkeit klassifiziert werden.

F: In welcher Reihenfolge werden Richtlinien ausgewertet?

A: Informationen zu voreingestellten Sicherheitsrichtlinien und anderen Richtlinien finden Sie unter Rangfolge.

Richtlinieneinstellungen für Defender für Office 365-Auswertungen und Testversionen

Richtlinien im Überwachungsmodus

Warnung

Versuchen Sie nicht, die einzelnen Sicherheitsrichtlinien zu erstellen, zu ändern oder zu entfernen, die der Auswertung von Defender für Office 365 zugeordnet sind. Die einzige unterstützte Methode zum Erstellen der einzelnen Sicherheitsrichtlinien für die Auswertung besteht darin, die Auswertung oder Testversion zum ersten Mal im Überwachungsmodus im Microsoft Defender-Portal zu starten.

Wie bereits beschrieben, werden beim Auswählen des Überwachungsmodus für Ihre Auswertung oder Testversion automatisch Auswertungsrichtlinien mit den erforderlichen Einstellungen erstellt, um Nachrichten zu beobachten, aber keine Maßnahmen zu ergreifen.

Führen Sie den folgenden Befehl in Exchange Online PowerShell aus, um diese Richtlinien und ihre Einstellungen anzuzeigen:

Write-Output -InputObject ("`r`n"*3),"Evaluation anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"; Write-Output -InputObject ("`r`n"*3),"Evaluation Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"; Write-Output -InputObject ("`r`n"*3),"Evaluation Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"

Die Einstellungen werden auch in den folgenden Tabellen beschrieben.

Richtlinieneinstellungen für die Antiphishingauswertung

Einstellung	Wert
Name	Auswertungsrichtlinie
AdminDisplayName	Auswertungsrichtlinie
AuthenticationFailAction	MoveToJmf
DmarcQuarantineAction	Quarantäne
DmarcRejectAction	Ablehnen
Aktiviert	Wahr
EnableFirstContactSafetyTips	Falsch
EnableMailboxIntelligence	Wahr
EnableMailboxIntelligenceProtection	Wahr
EnableOrganizationDomainsProtection	Falsch
EnableSimilarDomainsSafetyTips	Falsch
EnableSimilarUsersSafetyTips	Falsch
EnableSpoofIntelligence	Wahr
EnableSuspiciousSafetyTip	Falsch
EnableTargetedDomainsProtection	Falsch
EnableTargetedUserProtection	Falsch
EnableUnauthenticatedSender	Wahr
EnableUnusualCharactersSafetyTips	Falsch
EnableViaTag	Wahr
ExcludedDomains	{}
ExcludedSenders	{}
HonorDmarcPolicy	Wahr
ImpersonationProtectionState	Manuell
IsDefault	Falsch
MailboxIntelligenceProtectionAction	NoAction
MailboxIntelligenceProtectionActionRecipients	{}
MailboxIntelligenceQuarantineTag	DefaultFullAccessPolicy
PhishThresholdLevel	1
PolicyTag	leer
RecommendedPolicyType	Evaluation
SpoofQuarantineTag	DefaultFullAccessPolicy
TargetedDomainActionRecipients	{}
TargetedDomainProtectionAction	NoAction
TargetedDomainQuarantineTag	DefaultFullAccessPolicy
TargetedDomainsToProtect	{}
TargetedUserActionRecipients	{}
TargetedUserProtectionAction	NoAction
TargetedUserQuarantineTag	DefaultFullAccessPolicy
TargetedUsersToProtect	{}

Richtlinieneinstellungen für die Auswertung sicherer Anlagen

Einstellung	Wert
Name	Auswertungsrichtlinie
Aktion	Zulassen
ActionOnError	Wahr*
AdminDisplayName	Auswertungsrichtlinie
ConfidenceLevelThreshold	80
Aktivieren	Wahr
EnableOrganizationBranding	Falsch
IsBuiltInProtection	Falsch
IsDefault	Falsch
OperationMode	Verzögerung
QuarantineTag	AdminOnlyAccessPolicy
RecommendedPolicyType	Evaluation
Umleiten	Falsch
RedirectAddress	leer
ScanTimeout	30

^* Dieser Parameter ist veraltet und wird nicht mehr verwendet.

Richtlinieneinstellungen für die Auswertung sicherer Links

Einstellung	Wert
Name	Auswertungsrichtlinie
AdminDisplayName	Auswertungsrichtlinie
AllowClickThrough	Wahr
CustomNotificationText	leer
DeliverMessageAfterScan	Wahr
DisableUrlRewrite	Wahr
DoNotRewriteUrls	{}
EnableForInternalSenders	Falsch
EnableOrganizationBranding	Falsch
EnableSafeLinksForEmail	Wahr
EnableSafeLinksForOffice	Wahr
EnableSafeLinksForTeams	Wahr
IsBuiltInProtection	Falsch
LocalizedNotificationTextList	{}
RecommendedPolicyType	Evaluation
ScanUrls	Wahr
TrackClicks	Wahr

Verwenden von PowerShell zum Konfigurieren von Empfängerbedingungen und Ausnahmen für die Auswertung oder Testversion im Überwachungsmodus

Eine Regel, die den Defender für Office 365-Auswertungsrichtlinien zugeordnet ist, steuert die Empfängerbedingungen und Ausnahmen von der Auswertung.

Führen Sie den folgenden Befehl in Exchange Online PowerShell aus, um die Der Auswertung zugeordnete Regel anzuzeigen:

Get-ATPEvaluationRule

Verwenden Sie die folgende Syntax, um mit Exchange Online PowerShell zu ändern, für wen die Auswertung gilt:

Set-ATPEvaluationRule -Identity "Evaluation Rule" -SentTo <"user1","user2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -SentToMemberOf <"group1","group2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null> -RecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null>

In diesem Beispiel werden Ausnahmen von der Auswertung für die angegebenen SecOps-Postfächer (Security Operations) konfiguriert.

Set-ATPEvaluationRule -Identity "Evaluation Rule" -ExceptIfSentTo "SecOps1","SecOps2"

Verwenden von PowerShell zum Aktivieren oder Deaktivieren der Auswertung oder Testversion im Überwachungsmodus

Um die Auswertung im Überwachungsmodus zu aktivieren oder zu deaktivieren, aktivieren oder deaktivieren Sie die Regel, die der Auswertung zugeordnet ist. Der Wert der State-Eigenschaft der Auswertungsregel zeigt an, ob die Regel aktiviert oder Deaktiviert ist.

Führen Sie den folgenden Befehl aus, um zu ermitteln, ob die Auswertung derzeit aktiviert oder deaktiviert ist:

Get-ATPEvaluationRule -Identity "Evaluation Rule" | Format-Table Name,State

Führen Sie den folgenden Befehl aus, um die Auswertung zu deaktivieren, wenn sie aktiviert ist:

Disable-ATPEvaluationRule -Identity "Evaluation Rule"

Führen Sie den folgenden Befehl aus, um die Auswertung zu aktivieren, wenn sie deaktiviert ist:

Enable-ATPEvaluationRule -Identity "Evaluation Rule"

Richtlinien im Blockierungsmodus

Wie bereits beschrieben, werden Richtlinien für den Blockierungsmodus mithilfe der Standardvorlage für voreingestellte Sicherheitsrichtlinien erstellt.

Informationen zum Verwenden von Exchange Online PowerShell zum Anzeigen der einzelnen Sicherheitsrichtlinien, die der standardvoreingestellten Sicherheitsrichtlinie zugeordnet sind, sowie zum Anzeigen und Konfigurieren der Empfängerbedingungen und Ausnahmen für die voreingestellte Sicherheitsrichtlinie finden Sie unter Voreingestellte Sicherheitsrichtlinien in Exchange Online PowerShell.