Empfohlene Einstellungen für EOP und Microsoft Defender für Office 365 Security

Tipp

Wussten Sie, dass Sie die Features in Microsoft 365 Defender für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft 365 Defender-Portal-Testversionshub. Hier erfahren Sie, wer sich registrieren und testen kann.

Gilt für

Exchange Online Protection (EOP) ist der Kern der Sicherheit für Microsoft 365-Abonnements und verhindert, dass schädliche E-Mails die Posteingänge Ihrer Mitarbeiter erreichen. Mit neuen, komplexeren Angriffen, die jeden Tag auftreten, sind jedoch häufig verbesserte Schutzmaßnahmen erforderlich. Microsoft Defender for Office 365 Plan 1 oder Plan 2 enthalten zusätzliche Features, die Administratoren mehr Sicherheits-, Kontroll- und Untersuchungsebenen bieten.

Obwohl wir Sicherheitsadministratoren ermöglichen, ihre Sicherheitseinstellungen anzupassen, gibt es zwei Sicherheitsstufen in EOP und Microsoft Defender for Office 365, die wir empfehlen: Standard und Strict. Obwohl die Umgebungen und Anforderungen der Kunden unterschiedlich sind, können diese Filterebenen in den meisten Situationen verhindern, dass unerwünschte E-Mails den Posteingang Ihrer Mitarbeiter erreichen.

Informationen zum automatischen Anwenden der Standard- oder Strict-Einstellungen auf Benutzer finden Sie unter Voreingestellte Sicherheitsrichtlinien in EOP und Microsoft Defender for Office 365.

In diesem Artikel werden die Standardeinstellungen sowie die empfohlenen Standard- und Strict-Einstellungen zum Schutz Ihrer Benutzer beschrieben. Die Tabellen enthalten die Einstellungen im Microsoft 365 Defender-Portal und in PowerShell (Exchange Online PowerShell oder eigenständiger Exchange Online Protection PowerShell für Organisationen ohne Exchange Online Postfächer).

Hinweis

Das Office 365 ORCA-Modul (Advanced Threat Protection Recommended Configuration Analyzer) für PowerShell kann Ihnen (Administratoren) helfen, die aktuellen Werte dieser Einstellungen zu finden. Insbesondere generiert das Cmdlet Get-ORCAReport eine Bewertung der Einstellungen für Antispam, Antiphishing und andere Einstellungen für die Nachrichtenhygiene. Sie können das ORCA-Modul unter https://www.powershellgallery.com/packages/ORCA/herunterladen.

In Microsoft 365-Organisationen wird empfohlen, den Junk-Email-Filter in Outlook auf Keine automatische Filterung festzulegen, um unnötige Konflikte (sowohl positiv als auch negativ) mit den Spamfilterungsbewertungen von EOP zu verhindern. Weitere Informationen finden Sie in den folgenden Artikeln:

Antispam-, Antischadsoftware- und Phishingschutz in EOP

Antispam, Antischadsoftware und Antiphishing sind EOP-Features, die von Administratoren konfiguriert werden können. Wir empfehlen die folgenden Standard- oder Strict-Konfigurationen.

EOP-Antispamrichtlinieneinstellungen

Informationen zum Erstellen und Konfigurieren von Antispamrichtlinien finden Sie unter Konfigurieren von Antispamrichtlinien in EOP.

Name des Sicherheitsfeatures Standard Standard Streng Kommentar
Spameigenschaften des Massen-E-Mail-Schwellenwerts &
Schwellenwert für Massen-E-Mails

BulkThreshold
7 6 5 Weitere Informationen finden Sie unter Massenbeschwerdegrad (BCL) in EOP.
MarkAsSpamBulkMail On On On Diese Einstellung ist nur in PowerShell verfügbar.
Einstellungen für die Spambewertung erhöhen Off Off Off Alle diese Einstellungen sind Teil des erweiterten Spamfilters (ASF). Weitere Informationen finden Sie im Abschnitt ASF-Einstellungen in Antispamrichtlinien in diesem Artikel.
Als Spam markieren Off Off Off Die meisten dieser Einstellungen sind Teil von ASF. Weitere Informationen finden Sie im Abschnitt ASF-Einstellungen in Antispamrichtlinien in diesem Artikel.
Enthält bestimmte Sprachen

EnableLanguageBlockList

LanguageBlockList
Aus

$false

Leer
Aus

$false

Leer
Aus

$false

Leer
Es gibt keine spezifische Empfehlung für diese Einstellung. Sie können Nachrichten in bestimmten Sprachen basierend auf Ihren geschäftlichen Anforderungen blockieren.
Aus diesen Ländern

EnableRegionBlockList

RegionBlockList
Aus

$false

Leer
Aus

$false

Leer
Aus

$false

Leer
Es gibt keine spezifische Empfehlung für diese Einstellung. Sie können Nachrichten aus bestimmten Ländern basierend auf Ihren geschäftlichen Anforderungen blockieren.
Testmodus (TestModeAction) Keine Keine Keine Diese Einstellung ist Teil von ASF. Weitere Informationen finden Sie im Abschnitt ASF-Einstellungen in Antispamrichtlinien in diesem Artikel.
Aktionen Unabhängig davon, wo Sie Nachricht unter Quarantäne stellen, ist das Feld Quarantänerichtlinie auswählen verfügbar. Quarantänerichtlinien definieren, was Benutzer für unter Quarantäne gestellte Nachrichten tun dürfen.

Standard- und Strict-Sicherheitsrichtlinien verwenden die standardmäßigen Quarantänerichtlinien (AdminOnlyAccessPolicy oder DefaultFullAccessPolicy ohne Quarantänebenachrichtigungen), wie in der tabelle hier beschrieben.

Wenn Sie eine neue Antispamrichtlinie erstellen, bedeutet ein leerer Wert, dass die Standardquarantänerichtlinie verwendet wird, um die Verlaufsfunktionen für Nachrichten zu definieren, die durch dieses bestimmte Urteil unter Quarantäne gesetzt wurden (AdminOnlyAccessPolicy ohne Quarantänebenachrichtigungen für Phishing mit hohem Vertrauen; DefaultFullAccessPolicy ohne Quarantänebenachrichtigungen für alles andere).

Administratoren können benutzerdefinierte Quarantänerichtlinien erstellen und auswählen, die restriktivere oder weniger restriktive Funktionen für Benutzer in den standardbasierten oder benutzerdefinierten Antispamrichtlinien definieren. Weitere Informationen finden Sie unter Quarantänerichtlinien.
Spamerkennungsaktion

SpamAction
Nachricht in Junk-E-Mail-Ordner verschieben

MoveToJmf
Nachricht in Junk-E-Mail-Ordner verschieben

MoveToJmf
Nachricht in Quarantäne verschieben

Quarantine
Aktion zur Spamerkennung mit hoher Zuverlässigkeit

HighConfidenceSpamAction
Nachricht in Junk-E-Mail-Ordner verschieben

MoveToJmf
Nachricht in Quarantäne verschieben

Quarantine
Nachricht in Quarantäne verschieben

Quarantine
Phishing-Erkennungsaktion

PhishSpamAction
Verschieben einer Nachricht in den Junk-Email Ordner*

MoveToJmf
Nachricht in Quarantäne verschieben

Quarantine
Nachricht in Quarantäne verschieben

Quarantine
*Der Standardwert ist Move message to Junk Email folder in the default anti-spam policy and in new anti-spam policies that you create in PowerShell.The default value is Move message to Junk Email folder in the default anti-spam policy and in new anti-spam policies that you create in PowerShell. Der Standardwert ist Quarantänenachricht in neuen Antispamrichtlinien, die Sie im Microsoft 365 Defender-Portal erstellen.
Phishing-Erkennungsaktion mit hoher Zuverlässigkeit

HighConfidencePhishAction
Nachricht in Quarantäne verschieben

Quarantine
Nachricht in Quarantäne verschieben

Quarantine
Nachricht in Quarantäne verschieben

Quarantine
Massenerkennungsaktion

BulkSpamAction
Nachricht in Junk-E-Mail-Ordner verschieben

MoveToJmf
Nachricht in Junk-E-Mail-Ordner verschieben

MoveToJmf
Nachricht in Quarantäne verschieben

Quarantine
Aufbewahren von Spam in Quarantäne für so viele Tage

QuarantineRetentionPeriod
15 Tage 30 Tage 30 Tage

Dieser Wert wirkt sich auch auf Nachrichten aus, die durch Antiphishingrichtlinien unter Quarantäne gesetzt werden. Weitere Informationen finden Sie unter Isolierte E-Mail-Nachrichten in EOP.
Tipps zur Spamsicherheit aktivieren

InlineSafetyTipsEnabled
Ausgewählt

$true
Ausgewählt

$true
Ausgewählt

$true
Aktivieren der automatischen Bereinigung (Zero-Hour Auto Purge, ZAP) für Phishingnachrichten

PhishZapEnabled
Ausgewählt

$true
Ausgewählt

$true
Ausgewählt

$true
Aktivieren von ZAP für Spamnachrichten

SpamZapEnabled
Ausgewählt

$true
Ausgewählt

$true
Ausgewählt

$true
Zulassungssperrliste &
Zulässige Absender

AllowedSenders
Keine Keine Keine
Zulässige Absenderdomänen

Allowedsenderdomains
Keine Keine Keine Das Hinzufügen von Domänen zur Liste zulässiger Absender ist eine sehr schlechte Idee. Angreifer könnten Ihnen E-Mails senden, die andernfalls herausgefiltert würden.

Verwenden Sie die Erkenntnisse zur Spoofintelligenz und die Zulassungs-/Sperrliste für Mandanten , um alle Absender zu überprüfen, die Absender-E-Mail-Adressen in den E-Mail-Domänen Ihrer Organisation spoofen oder Absender-E-Mail-Adressen in externen Domänen spoofieren.
Blockierte Absender

BlockedSenders
Keine Keine Keine
Blockierte Absenderdomänen

BlockedSenderDomains
Keine Keine Keine

ASF-Einstellungen in Antispamrichtlinien

Weitere Informationen zu den Einstellungen für den erweiterten Spamfilter (Advanced Spam Filter, ASF) in Antispamrichtlinien finden Sie unter Advanced Spam Filter (ASF)-Einstellungen in EOP.

Name des Sicherheitsfeatures Default Empfohlen
Standard
Empfohlen
Streng
Kommentar
Bildlinks zu Remotestandorten

IncreaseScoreWithImageLinks
Off Off Off
Numerische IP-Adresse in URL

IncreaseScoreWithNumericIps
Off Off Off
URL-Umleitung zu anderem Port

IncreaseScoreWithRedirectToOtherPort
Off Off Off
Links zu BIZ- oder INFO-Websites

IncreaseScoreWithBizOrInfoUrls
Off Off Off
Leere Nachrichten

MarkAsSpamEmptyMessages
Off Off Off
Embed-Tags in HTML

MarkAsSpamEmbedTagsInHtml
Off Off Off
JavaScript oder VBScript in HTML

MarkAsSpamJavaScriptInHtml
Off Off Off
Form-Tags in HTML

MarkAsSpamFormTagsInHtml
Off Off Off
Frame- oder iframe-Tags in HTML

MarkAsSpamFramesInHtml
Off Off Off
Web-Bugs in HTML

MarkAsSpamWebBugsInHtml
Off Off Off
Object-Tags in HTML

MarkAsSpamObjectTagsInHtml
Off Off Off
Sensible Wörter

MarkAsSpamSensitiveWordList
Off Off Off
SPF-Eintrag: Schwerer Fehler

MarkAsSpamSpfRecordHardFail
Off Off Off
Fehler beim Filtern der Absender-ID

MarkAsSpamFromAddressAuthFail
Off Off Off
Backscatter

MarkAsSpamNdrBackscatter
Off Off Off
Testmodus

TestModeAction)
Keine Keine Keine Für ASF-Einstellungen, die Test als Aktion unterstützen, können Sie die Testmodusaktion auf Keine, X-Header-Standardtext hinzufügen oder Bcc-Nachricht senden (None, AddXHeaderoder BccMessage) konfigurieren. Weitere Informationen finden Sie unter Aktivieren, Deaktivieren oder Testen von ASF-Einstellungen.

Richtlinieneinstellungen für ausgehenden EOP-Spam

Informationen zum Erstellen und Konfigurieren von Richtlinien für ausgehende Spams finden Sie unter Konfigurieren der Filterung ausgehender Spams in EOP.

Weitere Informationen zu den Standardmäßigen Sendegrenzwerten im Dienst finden Sie unter Sendegrenzwerte.

Hinweis

Ausgehende Spamrichtlinien sind nicht Teil der voreingestellten Sicherheitsrichtlinien "Standard" oder "Strict". Die Werte Standard und Strict geben unsere empfohlenen Werte in der Standardrichtlinie für ausgehende Spams oder benutzerdefinierten ausgehenden Spamrichtlinien an, die Sie erstellen.

Name des Sicherheitsfeatures Default Empfohlen
Standard
Empfohlen
Streng
Kommentar
Festlegen eines Grenzwerts für externe Nachrichten

RecipientLimitExternalPerHour
0 500 400 Der Standardwert 0 bedeutet, dass die Dienststandardwerte verwendet werden.
Festlegen eines internen Nachrichtenlimits

RecipientLimitInternalPerHour
0 1000 800 Der Standardwert 0 bedeutet, dass die Dienststandardwerte verwendet werden.
Festlegen eines täglichen Nachrichtenlimits

RecipientLimitPerDay
0 1000 800 Der Standardwert 0 bedeutet, dass die Dienststandardwerte verwendet werden.
Einschränkung für Benutzer, die das Nachrichtenlimit erreichen

ActionWhenThresholdReached
Benutzer vom Senden von E-Mails bis zum folgenden Tag einschränken

BlockUserForToday
Benutzer am Senden von E-Mails hindern

BlockUser
Benutzer am Senden von E-Mails hindern

BlockUser
Regeln für die automatische Weiterleitung

AutoForwardingMode
Automatisch – Systemgesteuert

Automatic
Automatisch – Systemgesteuert

Automatic
Automatisch – Systemgesteuert

Automatic
Senden einer Kopie ausgehender Nachrichten, die diese Grenzwerte überschreiten, an diese Benutzer und Gruppen

BccSuspiciousOutboundMail

BccSuspiciousOutboundAdditionalRecipients
Nicht ausgewählt

$false

Leer
Nicht ausgewählt

$false

Leer
Nicht ausgewählt

$false

Leer
Es gibt keine spezifische Empfehlung für diese Einstellung.

Diese Einstellung funktioniert nur in der Standardrichtlinie für ausgehende Spams. Es funktioniert nicht in benutzerdefinierten ausgehenden Spamrichtlinien, die Sie erstellen.
Benachrichtigen sie diese Benutzer und Gruppen, wenn ein Absender aufgrund von ausgehendem Spam blockiert wird

NotifyOutboundSpam

NotifyOutboundSpamRecipients
Nicht ausgewählt

$false

Leer
Nicht ausgewählt

$false

Leer
Nicht ausgewählt

$false

Leer
Die Standardwarnungsrichtlinie mit dem Namen Benutzer, der auf das Senden von E-Mails beschränkt ist, sendet bereits E-Mail-Benachrichtigungen an Mitglieder der Gruppe TenantAdmins (Globale Administratoren), wenn Benutzer aufgrund der Überschreitung der Grenzwerte in der Richtlinie blockiert werden. Es wird dringend empfohlen, dass Sie die Warnungsrichtlinie anstelle dieser Einstellung in der Richtlinie für ausgehende Spams verwenden, um Administratoren und andere Benutzer zu benachrichtigen. Anweisungen finden Sie unter Überprüfen der Warnungseinstellungen für eingeschränkte Benutzer.

EOP-Richtlinieneinstellungen für Antischadsoftware

Informationen zum Erstellen und Konfigurieren von Antischadsoftwarerichtlinien finden Sie unter Konfigurieren von Antischadsoftwarerichtlinien in EOP.

Name des Sicherheitsfeatures Standard Standard Streng Kommentar
Schutzeinstellungen
Aktivieren des Allgemeinen Anlagenfilters

EnableFileFilter
Ausgewählt

$true
Ausgewählt

$true
Ausgewählt

$true
Diese Einstellung isoliert Nachrichten, die Anlagen basierend auf dem Dateityp enthalten, unabhängig vom Anlageninhalt. Eine Liste der Dateitypen finden Sie unter Antimalware-Richtlinien.
Allgemeine Anlagenfilterbenachrichtigungen (wenn diese Dateitypen gefunden werden)

FileTypeAction
Quarantäne der Nachricht

Quarantine
Quarantäne der Nachricht

Quarantine
Quarantäne der Nachricht

Quarantine
Aktivieren der automatischen Null-Stunden-Bereinigung für Schadsoftware

ZapEnabled
Ausgewählt

$true
Ausgewählt

$true
Ausgewählt

$true
Quarantänerichtlinie AdminOnlyAccessPolicy AdminOnlyAccessPolicy AdminOnlyAccessPolicy Wenn Sie eine neue Antischadsoftwarerichtlinie erstellen, bedeutet ein leerer Wert, dass die Standardquarantänerichtlinie verwendet wird, um die Verlaufsfunktionen für Nachrichten zu definieren, die als Schadsoftware unter Quarantäne (AdminOnlyAccessPolicy ohne Quarantänebenachrichtigungen) isoliert wurden.

Standard- und Strict-Sicherheitsrichtlinien verwenden die Standardquarantänerichtlinie (AdminOnlyAccessPolicy ohne Quarantänebenachrichtigungen), wie in der tabelle hier beschrieben.

Administratoren können benutzerdefinierte Quarantänerichtlinien erstellen und auswählen, die weitere Funktionen für Benutzer in den Standard- oder benutzerdefinierten Antischadsoftwarerichtlinien definieren. Weitere Informationen finden Sie unter Quarantänerichtlinien.
Admin Benachrichtigungen
Benachrichtigen eines Administrators über nicht zugestellte Nachrichten von internen Absendern

EnableInternalSenderAdminNotifications

InternalSenderAdminAddress
Nicht ausgewählt

$false
Nicht ausgewählt

$false
Nicht ausgewählt

$false
Es gibt keine spezifische Empfehlung für diese Einstellung.
Benachrichtigen eines Administrators über nicht zugestellte Nachrichten von externen Absendern

EnableExternalSenderAdminNotifications

ExternalSenderAdminAddress
Nicht ausgewählt

$false
Nicht ausgewählt

$false
Nicht ausgewählt

$false
Es gibt keine spezifische Empfehlung für diese Einstellung.
Anpassen von Benachrichtigungen Wir haben keine spezifischen Empfehlungen für diese Einstellungen.
Verwenden von benutzerdefiniertem Benachrichtigungstext

CustomNotifications
Nicht ausgewählt

$false
Nicht ausgewählt

$false
Nicht ausgewählt

$false
Von Name

CustomFromName
Leer

$null
Leer

$null
Leer

$null
"Von"-Adresse

CustomFromAddress
Leer

$null
Leer

$null
Leer

$null
Anpassen von Benachrichtigungen für Nachrichten von internen Absendern Diese Einstellungen werden nur verwendet, wenn Administrator über nicht zugestellte Nachrichten von internen Absendern benachrichtigen ausgewählt ist.
Betreff

CustomInternalSubject
Leer

$null
Leer

$null
Leer

$null
Meldung

CustomInternalBody
Leer

$null
Leer

$null
Leer

$null
Anpassen von Benachrichtigungen für Nachrichten von externen Absendern Diese Einstellungen werden nur verwendet, wenn Administrator über nicht zugestellte Nachrichten von externen Absendern benachrichtigen ausgewählt ist.
Betreff

CustomExternalSubject
Leer

$null
Leer

$null
Leer

$null
Meldung

CustomExternalBody
Leer

$null
Leer

$null
Leer

$null

Einstellungen für EOP-Antiphishing-Richtlinien

Weitere Informationen zu diesen Einstellungen finden Sie unter Spoofeinstellungen. Informationen zum Konfigurieren dieser Einstellungen finden Sie unter Konfigurieren von Antiphishingrichtlinien in EOP.

Die Spoofeinstellungen sind miteinander verknüpft, aber die Sicherheitstipp für den ersten Kontakt anzeigen hat keine Abhängigkeit von Spoofeinstellungen.

Name des Sicherheitsfeatures Standard Standard Streng Kommentar
Schutz vor Phishing-Schwellenwerten &
Aktivieren von Spoofintelligenz

EnableSpoofIntelligence
Ausgewählt

$true
Ausgewählt

$true
Ausgewählt

$true
Aktionen
Wenn die Nachricht als Spoof erkannt wird

AuthenticationFailAction
Verschieben einer Nachricht in die Junk-Email Ordner der Empfänger

MoveToJmf
Verschieben einer Nachricht in die Junk-Email Ordner der Empfänger

MoveToJmf
Quarantäne der Nachricht

Quarantine
Diese Einstellung gilt für spoofte Absender, die automatisch wie in der Spoofintelligenz-Erkenntnis oder manuell in der Mandanten-Zulassungs-/Sperrliste blockiert wurden.

Wenn Sie Die Nachricht unter Quarantäne stellen auswählen, ist das Feld Quarantänerichtlinie anwenden verfügbar, um die Quarantänerichtlinie auszuwählen, die definiert, was Benutzer für Nachrichten tun dürfen, die als Spoofing unter Quarantäne gestellt werden. Wenn Sie eine neue Antiphishingrichtlinie erstellen, bedeutet ein leerer Wert, dass die Standardquarantänerichtlinie verwendet wird, um die Verlaufsfunktionen für Nachrichten zu definieren, die als Spoofing unter Quarantäne gesetzt wurden (DefaultFullAccessPolicy ohne Quarantänebenachrichtigungen).

Standard- und Strict-Sicherheitsrichtlinien verwenden die Standardquarantänerichtlinie (DefaultFullAccessPolicy ohne Quarantänebenachrichtigungen), wie in der tabelle hier beschrieben.

Administratoren können benutzerdefinierte Quarantänerichtlinien erstellen und auswählen, die restriktivere oder weniger restriktive Funktionen für Benutzer in den Standard- oder benutzerdefinierten Antiphishingrichtlinien definieren. Weitere Informationen finden Sie unter Quarantänerichtlinien.
Sicherheitstipp für ersten Kontakt anzeigen

EnableFirstContactSafetyTips
Nicht ausgewählt

$false
Nicht ausgewählt

$false
Nicht ausgewählt

$false
Weitere Informationen finden Sie unter Sicherheitstipps für den ersten Kontakt.
Show (?) for unauthenticated senders for spoof (show (?) for unauthenticated senders for spoofs (?) for unauthenticated senders for spoof (

EnableUnauthenticatedSender
Ausgewählt

$true
Ausgewählt

$true
Ausgewählt

$true
Fügt dem Foto des Absenders in Outlook für nicht identifizierte spoofierte Absender ein Fragezeichen (?) hinzu. Weitere Informationen finden Sie unter Indikatoren für nicht authentifizierte Absender.
Tag "via" anzeigen

EnableViaTag
Ausgewählt

$true
Ausgewählt

$true
Ausgewählt

$true
Fügt der From-Adresse ein Übertag (chris@contoso.com über fabrikam.com) hinzu, wenn es sich von der Domäne in der DKIM-Signatur oder der MAIL FROM-Adresse unterscheidet.

Weitere Informationen finden Sie unter Indikatoren für nicht authentifizierte Absender.

Microsoft Defender for Office 365 Sicherheit

Ein Microsoft Defender for Office 365-Abonnement bietet zusätzliche Sicherheitsvorteile. Die neuesten Nachrichten und Informationen finden Sie unter Neuigkeiten in Defender for Office 365.

Wichtig

Wenn Ihr Abonnement Microsoft Defender for Office 365 enthält oder Sie Defender for Office 365 als Add-On erworben haben, legen Sie die folgenden Standard- oder Strict-Konfigurationen fest.

Antiphishingrichtlinieneinstellungen in Microsoft Defender for Office 365

EOP-Kunden erhalten wie zuvor beschrieben grundlegende Antiphishings, aber Defender for Office 365 enthält mehr Features und Kontrolle, um Angriffe zu verhindern, zu erkennen und zu beheben. Informationen zum Erstellen und Konfigurieren dieser Richtlinien finden Sie unter Konfigurieren von Antiphishingrichtlinien in Defender for Office 365.

Erweiterte Einstellungen in Antiphishingrichtlinien in Microsoft Defender for Office 365

Weitere Informationen zu dieser Einstellung finden Sie unter Erweiterte Phishingschwellenwerte in Antiphishingrichtlinien in Microsoft Defender for Office 365. Informationen zum Konfigurieren dieser Einstellung finden Sie unter Konfigurieren von Antiphishingrichtlinien in Defender for Office 365.

Name des Sicherheitsfeatures Standard Standard Streng Kommentar
Schwellenwert für Phishing-E-Mails

PhishThresholdLevel
1 – Standard

1
3 - Aggressiver

3
4 – Am aggressivsten

4

Identitätswechseleinstellungen in Antiphishingrichtlinien in Microsoft Defender for Office 365

Weitere Informationen zu diesen Einstellungen finden Sie unter Identitätswechseleinstellungen in Antiphishingrichtlinien in Microsoft Defender for Office 365. Informationen zum Konfigurieren dieser Einstellungen finden Sie unter Konfigurieren von Antiphishingrichtlinien in Defender for Office 365.

Name des Sicherheitsfeatures Standard Standard Streng Kommentar
Schutz vor Phishing-Schwellenwerten &
Schützen von Benutzern aktivieren (Schutz von Benutzern mit Identitätswechsel)

EnableTargetedUserProtection

TargetedUsersToProtect
Nicht ausgewählt

$false

Keine
Ausgewählt

$true

<Liste der Benutzer>
Ausgewählt

$true

<Liste der Benutzer>
Es wird empfohlen, Benutzer (Nachrichtensender) in Schlüsselrollen hinzuzufügen. Intern können geschützte Absender Ihr CEO, CFO und andere leitende Führungskräfte sein. Extern können geschützte Absender Ratsmitglieder oder Ihr Verwaltungsrat sein.
Zu schützende Domänen aktivieren (Impersonated Domain Protection) Nicht ausgewählt Ausgewählt Ausgewählt
Domänen einschließen, die ich besitze

EnableOrganizationDomainsProtection
Aus

$false
Ausgewählt

$true
Ausgewählt

$true
Einschließen benutzerdefinierter Domänen

EnableTargetedDomainsProtection

TargetedDomainsToProtect
Aus

$false

keine
Ausgewählt

$true

<Liste der Domänen>
Ausgewählt

$true

<Liste der Domänen>
Es wird empfohlen, Domänen (Absenderdomänen) hinzuzufügen, die Sie nicht besitzen, aber häufig mit ihnen interagieren.
Vertrauenswürdige Absender und Domänen hinzufügen

ExcludedSenders

ExcludedDomains
Keine Keine Keine Je nach Organisation empfehlen wir das Hinzufügen von Absendern oder Domänen, die fälschlicherweise als Identitätswechselversuche identifiziert wurden.
Mailbox Intelligence aktivieren

EnableMailboxIntelligence
Ausgewählt

$true
Ausgewählt

$true
Ausgewählt

$true
Aktivieren der Intelligenz für den Identitätswechselschutz

EnableMailboxIntelligenceProtection
Aus

$false
Ausgewählt

$true
Ausgewählt

$true
Diese Einstellung ermöglicht die angegebene Aktion für Identitätswechselerkennungen durch Postfachintelligenz.
Aktionen Unabhängig davon, wo Sie Die Nachricht unter Quarantäne stellen auswählen, ist das Feld Quarantänerichtlinie auswählen verfügbar. Quarantänerichtlinien definieren, was Benutzer für unter Quarantäne gestellte Nachrichten tun dürfen.

Standard- und Strict-Sicherheitsrichtlinien verwenden die Standardquarantänerichtlinie (DefaultFullAccessPolicy ohne Quarantänebenachrichtigungen), wie in der tabelle hier beschrieben.

Wenn Sie eine neue Antiphishingrichtlinie erstellen, bedeutet ein leerer Wert, dass die Standardquarantänerichtlinie verwendet wird, um die Verlaufsfunktionen für Nachrichten zu definieren, die durch dieses Urteil unter Quarantäne gesetzt wurden (DefaultFullAccessPolicy für alle Identitätswechselerkennungstypen).

Administratoren können benutzerdefinierte Quarantänerichtlinien erstellen und auswählen, die weniger restriktive oder restriktivere Funktionen für Benutzer in den Standard- oder benutzerdefinierten Antiphishingrichtlinien definieren. Weitere Informationen finden Sie unter Quarantänerichtlinien.
Wenn die Nachricht als benutzeridentitätswechsel erkannt wird

TargetedUserProtectionAction
Keine Aktion anwenden

NoAction
Quarantäne der Nachricht

Quarantine
Quarantäne der Nachricht

Quarantine
Wenn die Nachricht als Identitätswechseldomäne erkannt wird

TargetedDomainProtectionAction
Keine Aktion anwenden

NoAction
Quarantäne der Nachricht

Quarantine
Quarantäne der Nachricht

Quarantine
Wenn Postfachintelligenz einen benutzeridentitätswechsel erkennt

MailboxIntelligenceProtectionAction
Keine Aktion anwenden

NoAction
Verschieben einer Nachricht in die Junk-Email Ordner der Empfänger

MoveToJmf
Quarantäne der Nachricht

Quarantine
Sicherheitstipp zum Anzeigen des Benutzeridentitätswechsels

EnableSimilarUsersSafetyTips
Aus

$false
Ausgewählt

$true
Ausgewählt

$true
Sicherheitstipp zum Anzeigen des Domänenidentitätswechsels

EnableSimilarDomainsSafetyTips
Aus

$false
Ausgewählt

$true
Ausgewählt

$true
Sicherheitstipp zum Anzeigen des Benutzeridentitätswechsels mit ungewöhnlichen Zeichen

EnableUnusualCharactersSafetyTips
Aus

$false
Ausgewählt

$true
Ausgewählt

$true

Einstellungen für EOP-Antiphishingrichtlinien in Microsoft Defender for Office 365

Dies sind die gleichen Einstellungen, die in den Antispamrichtlinieneinstellungen in EOP verfügbar sind.

Einstellungen für sichere Anlagen

Sichere Anlagen in Microsoft Defender for Office 365 umfasst globale Einstellungen, die keine Beziehung zu Richtlinien für sichere Anlagen haben, sowie Einstellungen, die für jede Richtlinie für sichere Links spezifisch sind. Weitere Informationen finden Sie unter Sichere Anlagen in Defender for Office 365.

Obwohl es keine Standardrichtlinie für sichere Anlagen gibt, bietet die integrierte sicherheitsvoreingestellte Sicherheitsrichtlinie Schutz für sichere Anlagen für alle Empfänger (Benutzer, die nicht in den voreingestellten Sicherheitsrichtlinien Standard oder Strict oder in benutzerdefinierten Richtlinien für sichere Anlagen definiert sind). Weitere Informationen finden Sie unter Voreingestellte Sicherheitsrichtlinien in EOP und Microsoft Defender for Office 365.

Globale Einstellungen für sichere Anlagen

Hinweis

Die globalen Einstellungen für sichere Anlagen werden durch die sicherheitsvoreingestellte Sicherheitsrichtlinie "Integrierter Schutz " festgelegt, nicht jedoch durch die voreingestellten Sicherheitsrichtlinien "Standard " oder " Strict ". In beiden Fällen können Administratoren diese globalen Einstellungen für sichere Anlagen jederzeit ändern.

Die Spalte Standard zeigt die Werte vor dem Vorhandensein der voreingestellten Sicherheitsrichtlinie für integrierten Schutz an. In der Spalte Integrierter Schutz werden die Werte angezeigt, die von der sicherheitsvoreingestellten Sicherheitsrichtlinie "Integrierter Schutz " festgelegt werden. Dies sind auch unsere empfohlenen Werte.

Informationen zum Konfigurieren dieser Einstellungen finden Sie unter Aktivieren von sicheren Anlagen für SharePoint, OneDrive und Microsoft Teams und sichere Dokumente in Microsoft 365 E5.

In PowerShell verwenden Sie das Cmdlet Set-AtpPolicyForO365 für diese Einstellungen.

Name des Sicherheitsfeatures Default Integrierter Schutz Kommentar
Defender für Office 365 für SharePoint, OneDrive und Microsoft Teams aktivieren

EnableATPForSPOTeamsODB
Off

$false
Ein

$true
Informationen zum Verhindern, dass Benutzer schädliche Dateien herunterladen, finden Sie unter Verwenden von SharePoint Online PowerShell, um zu verhindern, dass Benutzer schädliche Dateien herunterladen.
Aktivieren von sicheren Dokumenten für Office-Clients

EnableSafeDocs
Off

$false
Ein

$true
Dieses Feature ist nur für Lizenzen verfügbar und sinnvoll, die nicht in Defender for Office 365 enthalten sind (z. B. Microsoft 365 A5 oder Microsoft 365 E5 Security). Weitere Informationen finden Sie unter Sichere Dokumente in Microsoft 365 A5 oder E5 Sicherheit.
Zulassen, dass Benutzer durch die geschützte Ansicht klicken, auch wenn sichere Dokumente die Datei als bösartig erkannt haben

AllowSafeDocsOpen
Off

$false
Off

$false
Diese Einstellung bezieht sich auf sichere Dokumente.

Einstellungen der Richtlinie für sichere Anhänge

Informationen zum Konfigurieren dieser Einstellungen finden Sie unter Einrichten von Richtlinien für sichere Anlagen in Defender for Office 365.

In PowerShell verwenden Sie die Cmdlets New-SafeAttachmentPolicy und Set-SafeAttachmentPolicy für diese Einstellungen.

Hinweis

Wie weiter oben beschrieben, gibt es keine Standardrichtlinie für sichere Anlagen, aber der Schutz sicherer Anlagen wird allen Empfängern durch die voreingestellte Sicherheitsrichtlinie "Integrierter Schutz" zugewiesen (Benutzer, die nicht in Richtlinien für sichere Anlagen definiert sind).

Die Spalte Default in custom verweist auf die Standardwerte in den neuen Richtlinien für sichere Anlagen, die Sie erstellen. Die verbleibenden Spalten geben (sofern nicht anders angegeben) die Werte an, die in den entsprechenden voreingestellten Sicherheitsrichtlinien konfiguriert sind.

Name des Sicherheitsfeatures Standard in "benutzerdefiniert" Integrierter Schutz Standard Streng Kommentar
Sichere Anlagen: Unbekannte Schadsoftwareantwort

Aktivieren und Aktion
Aus

-Enable $false und -Action Block
Block

-Enable $true und -Action Block
Block

-Enable $true und -Action Block
Block

-Enable $true und -Action Block
Wenn der Parameter Enable $false ist, spielt der Wert des Action-Parameters keine Rolle.
Quarantänerichtlinie (QuarantineTag) AdminOnlyAccessPolicy AdminOnlyAccessPolicy AdminOnlyAccessPolicy AdminOnlyAccessPolicy

Standard- und Strict-Sicherheitsrichtlinien verwenden die Standardquarantänerichtlinie (AdminOnlyAccessPolicy ohne Quarantänebenachrichtigungen), wie in der tabelle hier beschrieben.

Wenn Sie eine neue Richtlinie für sichere Anlagen erstellen, bedeutet ein leerer Wert, dass die Standardquarantänerichtlinie verwendet wird, um die Verlaufsfunktionen für Nachrichten zu definieren, die von sicheren Anlagen (AdminOnlyAccessPolicy ohne Quarantänebenachrichtigungen) unter Quarantäne gesetzt wurden.

Administratoren können benutzerdefinierte Quarantänerichtlinien erstellen und auswählen, die weitere Funktionen für Benutzer definieren. Weitere Informationen finden Sie unter Quarantänerichtlinien.
Umleiten von Anlagen mit erkannten Anlagen : Umleitung aktivieren

Redirect

RedirectAddress
Nicht ausgewählt und keine E-Mail-Adresse angegeben.

-Redirect $false

RedirectAddress ist leer ($null)
Nicht ausgewählt und keine E-Mail-Adresse angegeben.

-Redirect $false

RedirectAddress ist leer ($null)
Wählen Sie aus, und geben Sie eine E-Mail-Adresse an.

$true

eine E-Mail-Adresse
Wählen Sie aus, und geben Sie eine E-Mail-Adresse an.

$true

eine E-Mail-Adresse
Leiten Sie Nachrichten zur Überprüfung an einen Sicherheitsadministrator um.

Hinweis: Diese Einstellung ist in den sicherheitsvoreingestellten Sicherheitsrichtlinien "Standard", " Strict" oder "Built-in" nicht konfiguriert. Die Werte Standard und Strict geben unsere empfohlenen Werte in den neuen Richtlinien für sichere Anlagen an, die Sie erstellen.
Wenden Sie die Erkennungsantwort für sichere Anlagen an, wenn die Überprüfung nicht abgeschlossen werden kann (Timeout oder Fehler).

ActionOnError
Ausgewählt

$true
Ausgewählt

$true
Ausgewählt

$true
Ausgewählt

$true

Sichere Links in Defender for Office 365 umfasst globale Einstellungen, die für alle Benutzer gelten, die in aktiven Richtlinien für sichere Links enthalten sind, und Einstellungen, die für jede Richtlinie für sichere Links spezifisch sind. Weitere Informationen finden Sie unter Sichere Links in Defender for Office 365.

Obwohl es keine Standardrichtlinie für sichere Links gibt, bietet die integrierte Sicherheitsrichtlinie schutzvoreingestellten Schutz für alle Empfänger (Benutzer, die nicht in den voreingestellten Sicherheitsrichtlinien Standard oder Strict oder in benutzerdefinierten Richtlinien für sichere Links definiert sind). Weitere Informationen finden Sie unter Voreingestellte Sicherheitsrichtlinien in EOP und Microsoft Defender for Office 365.

Hinweis

Die globalen Einstellungen für sichere Links werden durch die sicherheitsvoreingestellte Sicherheitsrichtlinie "Integrierter Schutz " festgelegt, nicht jedoch durch die voreingestellten Sicherheitsrichtlinien "Standard " oder " Strict ". In beiden Fällen können Administratoren diese globalen Einstellungen für sichere Links jederzeit ändern.

Die Spalte Standard zeigt die Werte vor dem Vorhandensein der voreingestellten Sicherheitsrichtlinie für integrierten Schutz an. In der Spalte Integrierter Schutz werden die Werte angezeigt, die von der sicherheitsvoreingestellten Sicherheitsrichtlinie "Integrierter Schutz " festgelegt werden. Dies sind auch unsere empfohlenen Werte.

Informationen zum Konfigurieren dieser Einstellungen finden Sie unter Konfigurieren globaler Einstellungen für sichere Links in Defender for Office 365.

In PowerShell verwenden Sie das Cmdlet Set-AtpPolicyForO365 für diese Einstellungen.

Name des Sicherheitsfeatures Default Integrierter Schutz Kommentar
Blockieren der folgenden URLs

ExcludedUrls
Leer

$null
Leer

$null
Es gibt keine spezifische Empfehlung für diese Einstellung.

Weitere Informationen finden Sie unter "Blockieren der folgenden URLs" für sichere Links.

Hinweis: Sie können jetzt Block-URL-Einträge in der Zulassungs-/Sperrliste des Mandanten verwalten. Die Liste "Die folgenden URLs blockieren" wird derzeit als veraltet gekennzeichnet. Wir versuchen, vorhandene Einträge aus der Liste "Die folgenden URLs blockieren" zu migrieren, um URL-Einträge in der Zulassungs-/Sperrliste des Mandanten zu blockieren. Nachrichten, die die blockierte URL enthalten, werden unter Quarantäne gesetzt.

Informationen zum Konfigurieren dieser Einstellungen finden Sie unter Einrichten von Richtlinien für sichere Links in Microsoft Defender for Office 365.

In PowerShell verwenden Sie die Cmdlets New-SafeLinksPolicy und Set-SafeLinksPolicy für diese Einstellungen.

Hinweis

Wie weiter oben beschrieben, gibt es keine Standardrichtlinie für sichere Links, aber der Schutz sicherer Links wird allen Empfängern durch die voreingestellte Sicherheitsrichtlinie Integrierter Schutz zugewiesen (Benutzer, die andernfalls nicht in Richtlinien für sichere Links enthalten sind).

Die Spalte Default in custom verweist auf die Standardwerte in den neuen Richtlinien für sichere Links, die Sie erstellen. Die verbleibenden Spalten geben (sofern nicht anders angegeben) die Werte an, die in den entsprechenden voreingestellten Sicherheitsrichtlinien konfiguriert sind.

Name des Sicherheitsfeatures Standard in "benutzerdefiniert" Integrierter Schutz Standard Streng Kommentar
URL-Klickschutzeinstellungen &
Aktion auf potenziell schädliche URLs in E-Mails
Ein: „Sichere Links“ überprüft eine Liste bekannter, bösartiger Links, wenn Benutzer auf Links in E-Mails klicken

EnableSafeLinksForEmail
Nicht ausgewählt

$false
Ausgewählt

$true
Ausgewählt

$true
Ausgewählt

$true
Anwenden von Sichere Links auf E-Mail-Nachrichten, die innerhalb der Organisation gesendet werden

EnableForInternalSenders
Nicht ausgewählt

$false
Nicht ausgewählt

$false
Ausgewählt

$true
Ausgewählt

$true
Anwenden der Echtzeit-URL-Überprüfung auf verdächtige Links und Links, die auf Dateien verweisen

ScanUrls
Nicht ausgewählt

$false
Ausgewählt

$true
Ausgewählt

$true
Ausgewählt

$true
Warten Sie auf den Abschluss des URL-Scans, bevor Sie die Nachricht zustellen

DeliverMessageAfterScan
Nicht ausgewählt

$false
Ausgewählt

$true
Ausgewählt

$true
Ausgewählt

$true
URLs nicht umschreiben, nur über Sichere Links-API überprüfen

DisableURLRewrite
Nicht ausgewählt

$false
Ausgewählt

$true
Nicht ausgewählt

$false
Nicht ausgewählt

$false
Folgende URLs nicht in E-Mail umschreiben

DoNotRewriteUrls
Leer

$null
Leer

$null
Leer

$null
Leer

$null
Es gibt keine spezifische Empfehlung für diese Einstellung.

Hinweis: Einträge in der Liste "Die folgenden URLs nicht neu schreiben" werden während des Nachrichtenflusses nicht durch sichere Links gescannt oder umschlossen. Verwenden Sie Zulässige URL-Einträge in der Mandanten-Zulassungs-/Sperrliste , damit URLs während des E-Mail-Flusses und zum Zeitpunkt des Klickens nicht durch sichere Links gescannt oder umschlossen werden.
Aktion für potenziell schädliche URLs in Microsoft Teams
Ein: Sichere Links überprüft eine Liste bekannter, schädlicher Links, wenn Benutzer in Microsoft Teams auf Links klicken

EnableSafeLinksForTeams
Nicht ausgewählt

$false
Ausgewählt

$true
Ausgewählt

$true
Ausgewählt

$true
Aktion für potenziell schädliche URLs in Microsoft Office-Apps
Ein: „Sichere Links“ überprüft eine Liste bekannter, bösartiger Links, wenn Benutzer auf Links in Microsoft Office-Apps klicken.

EnableSafeLinksForOffice
Ausgewählt

$true
Ausgewählt

$true
Ausgewählt

$true
Ausgewählt

$true
Verwenden Sie sichere Links in unterstützten Office 365 Desktop- und mobilen Apps (iOS und Android). Weitere Informationen finden Sie unter Einstellungen für sichere Links für Office-Apps.
Klick-Schutzeinstellungen
Nachverfolgen von Benutzerklicks

TrackClicks
Ausgewählt

$true
Ausgewählt

$true
Ausgewählt

$true
Ausgewählt

$true
Erlauben, dass sich Benutzer zur ursprünglichen URL durchklicken

AllowClickThrough
Ausgewählt

$true
Ausgewählt

$true
Nicht ausgewählt

$false
Nicht ausgewählt

$false
Das Deaktivieren dieser Einstellung (Festlegen von AllowClickThrough auf $false) verhindert, dass auf die ursprüngliche URL geklickt wird.
Das Branding der Organisation auf Benachrichtigungs- und Warnseiten anzeigen

EnableOrganizationBranding
Nicht ausgewählt

$false
Nicht ausgewählt

$false
Nicht ausgewählt

$false
Nicht ausgewählt

$false
Es gibt keine spezifische Empfehlung für diese Einstellung.

Bevor Sie diese Einstellung aktivieren, müssen Sie die Anweisungen unter Anpassen des Microsoft 365-Designs für Ihre Organisation befolgen, um Ihr Unternehmenslogo hochzuladen.
Benachrichtigung
Wie möchten Sie Ihre Benutzer benachrichtigen?

CustomNotificationText

UseTranslatedNotificationText
Standardbenachrichtigungstext verwenden

Leer ($null)

$false
Standardbenachrichtigungstext verwenden

Leer ($null)

$false
Standardbenachrichtigungstext verwenden

Leer ($null)

$false
Standardbenachrichtigungstext verwenden

Leer ($null)

$false
Es gibt keine spezifische Empfehlung für diese Einstellung.

Sie können Benutzerdefinierten Benachrichtigungstext verwenden (-CustomNotificationText "<Custom text>") auswählen, um benutzerdefinierten Benachrichtigungstext einzugeben und zu verwenden. Wenn Sie benutzerdefinierten Text angeben, können Sie auch Microsoft Translator für die automatische Lokalisierung verwenden (-UseTranslatedNotificationText $true) auswählen, um den Text automatisch in die Sprache des Benutzers zu übersetzen.