Empfohlene Einstellungen für EOP und Microsoft Defender für Office 365 Security
Tipp
Wussten Sie, dass Sie die Features in Microsoft 365 Defender für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Hier erfahren Sie, wer sich registrieren und testen kann.
Exchange Online Protection (EOP) ist der Kern der Sicherheit für Microsoft 365-Abonnements und verhindert, dass schädliche E-Mails die Posteingänge Ihrer Mitarbeiter erreichen. Mit neuen, komplexeren Angriffen, die jeden Tag auftreten, sind jedoch häufig verbesserte Schutzmaßnahmen erforderlich. Microsoft Defender for Office 365 Plan 1 oder Plan 2 enthalten zusätzliche Features, die mehr Sicherheits-, Kontroll- und Untersuchungsebenen bieten.
Obwohl wir Sicherheitsadministratoren ermöglichen, ihre Sicherheitseinstellungen anzupassen, gibt es zwei Sicherheitsstufen in EOP und Microsoft Defender for Office 365, die wir empfehlen: Standard und Strict. Obwohl die Umgebungen und Anforderungen der Kunden unterschiedlich sind, verhindern diese Filterebenen, dass unerwünschte E-Mails in den Posteingang Ihrer Mitarbeiter gelangen.
Informationen zum automatischen Anwenden der Standard- oder Strict-Einstellungen auf Benutzer finden Sie unter Voreingestellte Sicherheitsrichtlinien in EOP und Microsoft Defender for Office 365.
In diesem Artikel werden die Standardeinstellungen sowie die empfohlenen Standard- und Strict-Einstellungen zum Schutz Ihrer Benutzer beschrieben. Die Tabellen enthalten die Einstellungen im Microsoft Defender-Portal und PowerShell (Exchange Online PowerShell oder eigenständige Exchange Online Protection PowerShell für Organisationen ohne Exchange Online Postfächer).
Hinweis
Das Office 365 ORCA-Modul (Advanced Threat Protection Recommended Configuration Analyzer) für PowerShell kann Administratoren dabei helfen, die aktuellen Werte dieser Einstellungen zu finden. Insbesondere generiert das Cmdlet Get-ORCAReport eine Bewertung der Einstellungen für Antispam, Antiphishing und andere Einstellungen für die Nachrichtenhygiene. Sie können das ORCA-Modul unter https://www.powershellgallery.com/packages/ORCA/herunterladen.
In Microsoft 365-Organisationen wird empfohlen, den Junk-Email-Filter in Outlook auf Keine automatische Filterung festzulegen, um unnötige Konflikte (sowohl positiv als auch negativ) mit den Spamfilterungsbewertungen von EOP zu verhindern. Weitere Informationen finden Sie in den folgenden Artikeln:
Antispam-, Antischadsoftware- und Phishingschutz in EOP
Antispam, Antischadsoftware und Antiphishing sind EOP-Features, die von Administratoren konfiguriert werden können. Wir empfehlen die folgenden Standard- oder Strict-Konfigurationen.
EOP-Richtlinieneinstellungen für Antischadsoftware
Informationen zum Erstellen und Konfigurieren von Antischadsoftwarerichtlinien finden Sie unter Konfigurieren von Antischadsoftwarerichtlinien in EOP.
Quarantänerichtlinien definieren, was Benutzer mit unter Quarantäne gestellten Nachrichten tun können, und ob Benutzer Nachrichten erhalten, wenn eine Nachricht unter Quarantäne gestellt wurde. Weitere Informationen finden Sie unter Anatomie einer Quarantänerichtlinie.
Die Richtlinie mit dem Namen AdminOnlyAccessPolicy erzwingt die Verlaufsfunktionen für Nachrichten, die als Schadsoftware unter Quarantäne standen, wie in der tabelle hier beschrieben.
Benutzer können ihre eigenen Nachrichten, die als Schadsoftware unter Quarantäne standen, nicht freigeben, unabhängig davon, wie die Quarantänerichtlinie konfiguriert ist. Wenn die Richtlinie benutzern erlaubt, ihre eigenen unter Quarantäne gestellten Nachrichten freizugeben, können Benutzer stattdessen die Veröffentlichung ihrer in Quarantäne befindlichen Schadsoftwarenachrichten anfordern .
| Name des Sicherheitsfeatures | Standard | Standard | Streng | Kommentar |
|---|---|---|---|---|
| Schutzeinstellungen | ||||
| Aktivieren des Allgemeinen Anlagenfilters (EnableFileFilter) | Ausgewählt ($true)* |
Ausgewählt ($true) |
Ausgewählt ($true) |
Eine Liste der Dateitypen im Filter für allgemeine Anlagen finden Sie unter Allgemeiner Anlagenfilter in Antischadsoftwarerichtlinien. * Der Filter für allgemeine Anlagen ist standardmäßig in neuen Antischadsoftwarerichtlinien aktiviert , die Sie im Defender-Portal oder in PowerShell erstellen, und in der Standardmäßigen Antischadsoftwarerichtlinie in Organisationen, die nach dem 1. Dezember 2023 erstellt wurden. |
| Allgemeine Anlagenfilterbenachrichtigungen: Wenn diese Dateitypen gefunden werden (FileTypeAction) | Ablehnen der Nachricht mit einem Unzustellbarkeitsbericht (Non-Delivery Report, NDR) (Reject) |
Ablehnen der Nachricht mit einem Unzustellbarkeitsbericht (Non-Delivery Report, NDR) (Reject) |
Ablehnen der Nachricht mit einem Unzustellbarkeitsbericht (Non-Delivery Report, NDR) (Reject) |
|
| Aktivieren der automatischen Null-Stunden-Bereinigung für Schadsoftware (ZapEnabled) | Ausgewählt ($true) |
Ausgewählt ($true) |
Ausgewählt ($true) |
|
| Quarantänerichtlinie (QuarantineTag) | AdminOnlyAccessPolicy | AdminOnlyAccessPolicy | AdminOnlyAccessPolicy | |
| Admin Benachrichtigungen | ||||
| Benachrichtigen eines Administrators über nicht zugestellte Nachrichten von internen Absendern (EnableInternalSenderAdminNotifications und InternalSenderAdminAddress) | Nicht ausgewählt ($false) |
Nicht ausgewählt ($false) |
Nicht ausgewählt ($false) |
Es gibt keine spezifische Empfehlung für diese Einstellung. |
| Benachrichtigen eines Administrators über nicht zugestellte Nachrichten von externen Absendern (EnableExternalSenderAdminNotifications und ExternalSenderAdminAddress) | Nicht ausgewählt ($false) |
Nicht ausgewählt ($false) |
Nicht ausgewählt ($false) |
Es gibt keine spezifische Empfehlung für diese Einstellung. |
| Anpassen von Benachrichtigungen | Wir haben keine spezifischen Empfehlungen für diese Einstellungen. | |||
| Verwenden von benutzerdefiniertem Benachrichtigungstext (CustomNotifications) | Nicht ausgewählt ($false) |
Nicht ausgewählt ($false) |
Nicht ausgewählt ($false) |
|
| Von Name (CustomFromName) | Leer | Leer | Leer | |
| Von Adresse (CustomFromAddress) | Leer | Leer | Leer | |
| Anpassen von Benachrichtigungen für Nachrichten von internen Absendern | Diese Einstellungen werden nur verwendet, wenn Administrator über nicht zugestellte Nachrichten von internen Absendern benachrichtigen ausgewählt ist. | |||
| Betreff (CustomInternalSubject) | Leer | Leer | Leer | |
| Nachricht (CustomInternalBody) | Leer | Leer | Leer | |
| Anpassen von Benachrichtigungen für Nachrichten von externen Absendern | Diese Einstellungen werden nur verwendet, wenn Administrator über nicht zugestellte Nachrichten von externen Absendern benachrichtigen ausgewählt ist. | |||
| Betreff (CustomExternalSubject) | Leer | Leer | Leer | |
| Nachricht (CustomExternalBody) | Leer | Leer | Leer |
EOP-Antispamrichtlinieneinstellungen
Informationen zum Erstellen und Konfigurieren von Antispamrichtlinien finden Sie unter Konfigurieren von Antispamrichtlinien in EOP.
Unabhängig davon, wo Sie Nachricht unter Quarantäne stellen als Aktion für eine Spamfilterbewertung auswählen, steht ein Feld Quarantänerichtlinie auswählen zur Verfügung. Quarantänerichtlinien definieren, was Benutzer mit unter Quarantäne gestellten Nachrichten tun können, und ob Benutzer Nachrichten erhalten, wenn eine Nachricht unter Quarantäne gestellt wurde. Weitere Informationen finden Sie unter Anatomie einer Quarantänerichtlinie.
Wenn Sie beim Erstellen von Antispamrichtlinien im Defender-Portal die Aktion einer Spamfilterungsbewertung in Quarantäneändern, ist das Feld Quarantänerichtlinie auswählen standardmäßig leer. Ein leerer Wert bedeutet, dass die Standardquarantänerichtlinie für diese Spamfilterungsbewertung verwendet wird. Diese Standardquarantänerichtlinien erzwingen die Verlaufsfunktionen für die Spamfilterbewertung, die die Nachricht unter Quarantäne stellte, wie in der tabelle hier beschrieben. Wenn Sie später die Antispamrichtlinieneinstellungen anzeigen oder bearbeiten, wird der Name der Quarantänerichtlinie angezeigt.
Administratoren können Quarantänerichtlinien mit restriktiveren oder weniger restriktiven Funktionen erstellen oder verwenden. Anweisungen finden Sie unter Erstellen von Quarantänerichtlinien im Microsoft Defender-Portal.
| Name des Sicherheitsfeatures | Standard | Standard | Streng | Kommentar |
|---|---|---|---|---|
| Spameigenschaften des Massen-E-Mail-Schwellenwerts & | ||||
| Schwellenwert für Massen-E-Mails (BulkThreshold) | 7 | 6 | 5 | Weitere Informationen finden Sie unter Massenbeschwerdegrad (BCL) in EOP. |
| Massen-E-Mail-Spam (MarkAsSpamBulkMail) | (On) |
(On) |
(On) |
Diese Einstellung ist nur in PowerShell verfügbar. |
| Einstellungen für die Spambewertung erhöhen | Alle diese Einstellungen sind Teil des erweiterten Spamfilters (ASF). Weitere Informationen finden Sie im Abschnitt ASF-Einstellungen in Antispamrichtlinien in diesem Artikel. | |||
| Als Spam markieren | Die meisten dieser Einstellungen sind Teil von ASF. Weitere Informationen finden Sie im Abschnitt ASF-Einstellungen in Antispamrichtlinien in diesem Artikel. | |||
| Enthält bestimmte Sprachen (EnableLanguageBlockList und LanguageBlockList) | Off ($false und Blank) |
Off ($false und Blank) |
Off ($false und Blank) |
Es gibt keine spezifische Empfehlung für diese Einstellung. Sie können Nachrichten in bestimmten Sprachen basierend auf Ihren geschäftlichen Anforderungen blockieren. |
| Aus diesen Ländern (EnableRegionBlockList und RegionBlockList) | Off ($false und Blank) |
Off ($false und Blank) |
Off ($false und Blank) |
Es gibt keine spezifische Empfehlung für diese Einstellung. Sie können Nachrichten aus bestimmten Ländern/Regionen basierend auf Ihren geschäftlichen Anforderungen blockieren. |
| Testmodus (TestModeAction) | Keine | Keine | Keine | Diese Einstellung ist Teil von ASF. Weitere Informationen finden Sie im Abschnitt ASF-Einstellungen in Antispamrichtlinien in diesem Artikel. |
| Aktionen | ||||
| Spamerkennungsaktion (SpamAction) | Verschieben einer Nachricht in den Junk-Email-Ordner (MoveToJmf) |
Verschieben einer Nachricht in den Junk-Email-Ordner (MoveToJmf) |
Nachricht unter Quarantäne stellen (Quarantine) |
|
| Quarantänerichtlinie für Spam (SpamQuarantineTag) | DefaultFullAccessPolicy¹ | DefaultFullAccessPolicy | DefaultFullAccessWithNotificationPolicy | Die Quarantänerichtlinie ist nur dann sinnvoll, wenn Spamerkennungen unter Quarantäne stehen. |
| Spamerkennungsaktion mit hoher Zuverlässigkeit (HighConfidenceSpamAction) | Verschieben einer Nachricht in den Junk-Email-Ordner (MoveToJmf) |
Nachricht unter Quarantäne stellen (Quarantine) |
Nachricht unter Quarantäne stellen (Quarantine) |
|
| Quarantänerichtlinie für Spam mit hoher Zuverlässigkeit (HighConfidenceSpamQuarantineTag) | DefaultFullAccessPolicy¹ | DefaultFullAccessWithNotificationPolicy | DefaultFullAccessWithNotificationPolicy | Die Quarantänerichtlinie ist nur dann sinnvoll, wenn Spamerkennungen mit hoher Zuverlässigkeit unter Quarantäne stellen. |
| Phishingerkennungsaktion (PhishSpamAction) | Verschieben einer Nachricht in den Junk-Email-Ordner (MoveToJmf)* |
Nachricht unter Quarantäne stellen (Quarantine) |
Nachricht unter Quarantäne stellen (Quarantine) |
*Der Standardwert ist Move message to Junk Email folder in the default anti-spam policy and in new anti-spam policies that you create in PowerShell.The default value is Move message to Junk Email folder in the default anti-spam policy and in new anti-spam policies that you create in PowerShell. Der Standardwert ist Quarantänenachricht in neuen Antispamrichtlinien, die Sie im Defender-Portal erstellen. |
| Quarantänerichtlinie für Phishing (PhishQuarantineTag) | DefaultFullAccessPolicy¹ | DefaultFullAccessWithNotificationPolicy | DefaultFullAccessWithNotificationPolicy | Die Quarantänerichtlinie ist nur dann sinnvoll, wenn Phishingerkennungen unter Quarantäne stehen. |
| Phishingerkennungsaktion mit hoher Zuverlässigkeit (HighConfidencePhishAction) | Nachricht unter Quarantäne stellen (Quarantine) |
Nachricht unter Quarantäne stellen (Quarantine) |
Nachricht unter Quarantäne stellen (Quarantine) |
Benutzer können ihre eigenen Nachrichten, die als Phishing mit hoher Zuverlässigkeit unter Quarantäne gesetzt wurden, nicht freigeben, unabhängig davon, wie die Quarantänerichtlinie konfiguriert ist. Wenn die Richtlinie es Benutzern ermöglicht, ihre eigenen unter Quarantäne gestellten Nachrichten freizugeben, können Benutzer stattdessen die Freigabe ihrer in Quarantäne befindlichen Phishing-Nachrichten mit hoher Zuverlässigkeit anfordern . |
| Quarantänerichtlinie für Phishing mit hoher Zuverlässigkeit (HighConfidencePhishQuarantineTag) | AdminOnlyAccessPolicy | AdminOnlyAccessPolicy | AdminOnlyAccessPolicy | |
| Massenkonforme Ebene (BCL) erreicht oder überschritten (BulkSpamAction) | Verschieben einer Nachricht in den Junk-Email-Ordner (MoveToJmf) |
Verschieben einer Nachricht in den Junk-Email-Ordner (MoveToJmf) |
Nachricht unter Quarantäne stellen (Quarantine) |
|
| Quarantänerichtlinie für massenkonforme Ebene (Bulk Compliant Level, BCL) erfüllt oder überschritten (BulkQuarantineTag) | DefaultFullAccessPolicy¹ | DefaultFullAccessPolicy | DefaultFullAccessWithNotificationPolicy | Die Quarantänerichtlinie ist nur dann sinnvoll, wenn Massenerkennungen unter Quarantäne stehen. |
| Organisationsinterne Nachrichten, für die Maßnahmen ergriffen werden sollen (IntraOrgFilterState) | Standard (Standard) | Standard (Standard) | Standard (Standard) | Der Wert Standard ist identisch mit dem Auswählen von Phishingnachrichten mit hoher Zuverlässigkeit. Derzeit entspricht in US-Behördenorganisationen (Microsoft 365 GCC, GCC High und DoD) der Wert Standard dem Auswählen von Keine. |
| Aufbewahren von Spam in Quarantäne für so viele Tage (QuarantineRetentionPeriod) | 15 Tage | 30 Tage | 30 Tage | Dieser Wert wirkt sich auch auf Nachrichten aus, die durch Antiphishingrichtlinien unter Quarantäne gesetzt werden. Weitere Informationen finden Sie unter Quarantäneaufbewahrung. |
| Aktivieren von Tipps zur Spamsicherheit (InlineSafetyTipsEnabled) | Ausgewählt ($true) |
Ausgewählt ($true) |
Ausgewählt ($true) |
|
| Aktivieren der automatischen Bereinigung (Zero-Hour Auto Purge, ZAP) für Phishingnachrichten (PhishZapEnabled) | Ausgewählt ($true) |
Ausgewählt ($true) |
Ausgewählt ($true) |
|
| Aktivieren von ZAP für Spamnachrichten (SpamZapEnabled) | Ausgewählt ($true) |
Ausgewählt ($true) |
Ausgewählt ($true) |
|
| Zulassungssperrliste & | ||||
| Zulässige Absender (AllowedSenders) | Keine | Keine | Keine | |
| Zulässige Absenderdomänen (AllowedSenderDomains) | Keine | Keine | Keine | Das Hinzufügen von Domänen zur Liste zulässiger Domänen ist eine sehr schlechte Idee. Angreifer könnten Ihnen E-Mails senden, die andernfalls herausgefiltert würden. Verwenden Sie die Erkenntnisse zur Spoofintelligenz und die Mandanten-Zulassungs-/Sperrliste, um alle Absender zu überprüfen, die Absender-E-Mail-Adressen in den E-Mail-Domänen Ihres organization spoofen oder Absender-E-Mail-Adressen in externen Domänen spoofieren. |
| Blockierte Absender (BlockedSenders) | Keine | Keine | Keine | |
| Blockierte Absenderdomänen (BlockedSenderDomains) | Keine | Keine | Keine |
¹ Wie unter Vollzugriffsberechtigungen und Quarantänebenachrichtigungen beschrieben, kann Ihr organization NotificationEnabledPolicy anstelle von DefaultFullAccessPolicy in der Standardsicherheitsrichtlinie oder in neuen benutzerdefinierten Sicherheitsrichtlinien verwenden, die Sie erstellen. Der einzige Unterschied zwischen diesen beiden Quarantänerichtlinien ist, dass Quarantänebenachrichtigungen in NotificationEnabledPolicy aktiviert und in DefaultFullAccessPolicy deaktiviert sind.
ASF-Einstellungen in Antispamrichtlinien
Weitere Informationen zu den Einstellungen für den erweiterten Spamfilter (Advanced Spam Filter, ASF) in Antispamrichtlinien finden Sie unter Advanced Spam Filter (ASF)-Einstellungen in EOP.
| Name des Sicherheitsfeatures | Standard | Empfohlen Standard |
Empfohlen Streng |
Kommentar |
|---|---|---|---|---|
| Bildlinks zu Remotewebsites (IncreaseScoreWithImageLinks) | Off | Off | Off | |
| Numerische IP-Adresse in URL (IncreaseScoreWithNumericIps) | Off | Off | Off | |
| URL-Umleitung an einen anderen Port (IncreaseScoreWithRedirectToOtherPort) | Off | Off | Off | |
| Links zu BIZ- oder INFO-Websites (IncreaseScoreWithBizOrInfoUrls) | Off | Off | Off | |
| Leere Nachrichten (MarkAsSpamEmptyMessages) | Off | Off | Off | |
| Einbetten von Tags in HTML (MarkAsSpamEmbedTagsInHtml) | Off | Off | Off | |
| JavaScript oder VBScript in HTML (MarkAsSpamJavaScriptInHtml) | Off | Off | Off | |
| Formulartags in HTML (MarkAsSpamFormTagsInHtml) | Off | Off | Off | |
| Frame- oder iframe-Tags in HTML (MarkAsSpamFramesInHtml) | Off | Off | Off | |
| Webfehler in HTML (MarkAsSpamWebBugsInHtml) | Off | Off | Off | |
| Objekttags in HTML (MarkAsSpamObjectTagsInHtml) | Off | Off | Off | |
| Vertrauliche Wörter (MarkAsSpamSensitiveWordList) | Off | Off | Off | |
| SPF-Datensatz: Harter Fehler (MarkAsSpamSpfRecordHardFail) | Off | Off | Off | |
| Fehler beim Filtern der Absender-ID (MarkAsSpamFromAddressAuthFail) | Off | Off | Off | |
| Backscatter (MarkAsSpamNdrBackscatter) | Off | Off | Off | |
| Testmodus (TestModeAction) | Keine | Keine | Keine | Für ASF-Einstellungen, die Test als Aktion unterstützen, können Sie die Testmodusaktion auf Keine, X-Header-Standardtext hinzufügen oder Bcc-Nachricht senden (None, AddXHeaderoder BccMessage) konfigurieren. Weitere Informationen finden Sie unter Aktivieren, Deaktivieren oder Testen von ASF-Einstellungen. |
Hinweis
ASF fügt X-CustomSpam: Nachrichten X-Header-Felder hinzu, nachdem die Nachrichten von Exchange-Nachrichtenflussregeln (auch als Transportregeln bezeichnet) verarbeitet wurden, sodass Sie nachrichtenflussregeln nicht verwenden können, um Nachrichten zu identifizieren und darauf zu reagieren, die von ASF gefiltert wurden.
Richtlinieneinstellungen für ausgehenden EOP-Spam
Informationen zum Erstellen und Konfigurieren von Richtlinien für ausgehende Spams finden Sie unter Konfigurieren der Filterung ausgehender Spams in EOP.
Weitere Informationen zu den Standardmäßigen Sendegrenzwerten im Dienst finden Sie unter Sendegrenzwerte.
Hinweis
Ausgehende Spamrichtlinien sind nicht Teil der voreingestellten Sicherheitsrichtlinien "Standard" oder "Strict". Die Werte Standard und Strict geben unsere empfohlenen Werte in der Standardrichtlinie für ausgehende Spams oder in benutzerdefinierten ausgehenden Spamrichtlinien an, die Sie erstellen.
| Name des Sicherheitsfeatures | Standard | Empfohlen Standard |
Empfohlen Streng |
Kommentar |
|---|---|---|---|---|
| Festlegen eines Grenzwerts für externe Nachrichten (RecipientLimitExternalPerHour) | 0 | 500 | 400 | Der Standardwert 0 bedeutet, dass die Dienststandardwerte verwendet werden. |
| Festlegen eines internen Nachrichtenlimits (RecipientLimitInternalPerHour) | 0 | 1000 | 800 | Der Standardwert 0 bedeutet, dass die Dienststandardwerte verwendet werden. |
| Festlegen eines täglichen Nachrichtenlimits (RecipientLimitPerDay) | 0 | 1000 | 800 | Der Standardwert 0 bedeutet, dass die Dienststandardwerte verwendet werden. |
| Einschränkung für Benutzer, die das Nachrichtenlimit erreichen (ActionWhenThresholdReached) | Benutzer vom Senden von E-Mails bis zum folgenden Tag einschränken (BlockUserForToday) |
Benutzer vom Senden von E-Mails einschränken (BlockUser) |
Benutzer vom Senden von E-Mails einschränken (BlockUser) |
|
| Regeln für die automatische Weiterleitung (AutoForwardingMode) | Automatisch – systemgesteuert (Automatic) |
Automatisch – systemgesteuert (Automatic) |
Automatisch – systemgesteuert (Automatic) |
|
| Senden einer Kopie ausgehender Nachrichten, die diese Grenzwerte überschreiten, an diese Benutzer und Gruppen (BccSuspiciousOutboundMail und BccSuspiciousOutboundAdditionalRecipients) | Nicht ausgewählt ($false und Leer) |
Nicht ausgewählt ($false und Leer) |
Nicht ausgewählt ($false und Leer) |
Es gibt keine spezifische Empfehlung für diese Einstellung. Diese Einstellung funktioniert nur in der Standardrichtlinie für ausgehende Spams. Es funktioniert nicht in benutzerdefinierten ausgehenden Spam-Richtlinien, die Sie erstellen. |
| Benachrichtigen Sie diese Benutzer und Gruppen, wenn ein Absender aufgrund von ausgehendem Spam blockiert wird (NotifyOutboundSpam und NotifyOutboundSpamRecipients) | Nicht ausgewählt ($false und Leer) |
Nicht ausgewählt ($false und Leer) |
Nicht ausgewählt ($false und Leer) |
Die Standardwarnungsrichtlinie mit dem Namen Benutzer, der auf das Senden von E-Mails beschränkt ist, sendet bereits E-Mail-Benachrichtigungen an Mitglieder der Gruppe TenantAdmins (Globale Administratoren), wenn Benutzer aufgrund der Überschreitung der Grenzwerte in der Richtlinie blockiert werden. Es wird dringend empfohlen, die Warnungsrichtlinie anstelle dieser Einstellung in der Richtlinie für ausgehende Spams zu verwenden, um Administratoren und andere Benutzer zu benachrichtigen. Anweisungen finden Sie unter Überprüfen der Warnungseinstellungen für eingeschränkte Benutzer. |
Einstellungen für EOP-Antiphishing-Richtlinien
Weitere Informationen zu diesen Einstellungen finden Sie unter Spoofeinstellungen. Informationen zum Konfigurieren dieser Einstellungen finden Sie unter Konfigurieren von Antiphishingrichtlinien in EOP.
Die Spoofeinstellungen sind miteinander verknüpft, aber die Sicherheitstipp für den ersten Kontakt anzeigen hat keine Abhängigkeit von Spoofeinstellungen.
Quarantänerichtlinien definieren, was Benutzer mit unter Quarantäne gestellten Nachrichten tun können, und ob Benutzer Nachrichten erhalten, wenn eine Nachricht unter Quarantäne gestellt wurde. Weitere Informationen finden Sie unter Anatomie einer Quarantänerichtlinie.
Obwohl der Wert Quarantänerichtlinie anwenden beim Erstellen einer Antiphishingrichtlinie im Defender-Portal nicht ausgewählt wird, wird die Quarantänerichtlinie mit dem Namen DefaultFullAccessPolicy¹ verwendet, wenn Sie keine Quarantänerichtlinie auswählen. Diese Richtlinie erzwingt die Verlaufsfunktionen für Nachrichten, die als Spoof isoliert wurden, wie in der tabelle hier beschrieben. Wenn Sie später die Einstellungen der Quarantänerichtlinie anzeigen oder bearbeiten, wird der Name der Quarantänerichtlinie angezeigt.
Administratoren können Quarantänerichtlinien mit restriktiveren oder weniger restriktiven Funktionen erstellen oder verwenden. Anweisungen finden Sie unter Erstellen von Quarantänerichtlinien im Microsoft Defender-Portal.
| Name des Sicherheitsfeatures | Standard | Standard | Streng | Kommentar |
|---|---|---|---|---|
| Schutz vor Phishing-Schwellenwerten & | ||||
| Aktivieren von Spoofintelligenz (EnableSpoofIntelligence) | Ausgewählt ($true) |
Ausgewählt ($true) |
Ausgewählt ($true) |
|
| Aktionen | ||||
| Beachten Sie die DMARC-Datensatzrichtlinie, wenn die Nachricht als Spoof erkannt wird (HonorDmarcPolicy) | Ausgewählt ($true) |
Ausgewählt ($true) |
Ausgewählt ($true) |
Wenn diese Einstellung aktiviert ist, steuern Sie, was mit Nachrichten geschieht, bei denen der Absender explizite DMARC-Überprüfungen fehlschlägt, wenn die Richtlinienaktion im DMARC TXT-Eintrag auf p=quarantine oder p=rejectfestgelegt ist. Weitere Informationen finden Sie unter Spoofschutz und DMARC-Richtlinien für Absender. |
| Wenn die Nachricht als Spoof erkannt wird und die DMARC-Richtlinie auf p=quarantine festgelegt ist (DmarcQuarantineAction) | Quarantäne der Nachricht (Quarantine) |
Quarantäne der Nachricht (Quarantine) |
Quarantäne der Nachricht (Quarantine) |
Diese Aktion ist nur sinnvoll, wenn die DMARC-Datensatzrichtlinie berücksichtigen, wenn die Nachricht als Spoof erkannt wird, aktiviert ist. |
| Wenn die Nachricht als Spoof erkannt wird und die DMARC-Richtlinie auf p=reject (DmarcRejectAction) festgelegt ist | Ablehnen der Nachricht (Reject) |
Ablehnen der Nachricht (Reject) |
Ablehnen der Nachricht (Reject) |
Diese Aktion ist nur sinnvoll, wenn die DMARC-Datensatzrichtlinie berücksichtigen, wenn die Nachricht als Spoof erkannt wird, aktiviert ist. |
| Wenn die Nachricht von Spoofintelligenz als Spoof erkannt wird (AuthenticationFailAction) | Verschieben der Nachricht in die Junk-Email Ordner der Empfänger (MoveToJmf) |
Verschieben der Nachricht in die Junk-Email Ordner der Empfänger (MoveToJmf) |
Quarantäne der Nachricht (Quarantine) |
Diese Einstellung gilt für spoofte Absender, die automatisch wie in der Spoofintelligenz-Erkenntnis oder manuell in der Mandanten-Zulassungs-/Sperrliste blockiert wurden. Wenn Sie die Nachricht als Aktion für die Spoof-Bewertung unter Quarantäne stellen auswählen, ist das Feld Quarantänerichtlinie anwenden verfügbar. |
| Quarantänerichtlinie für Spoof (SpoofQuarantineTag) | DefaultFullAccessPolicy¹ | DefaultFullAccessPolicy | DefaultFullAccessWithNotificationPolicy | Die Quarantänerichtlinie ist nur dann sinnvoll, wenn Spooferkennungen unter Quarantäne stehen. |
| Sicherheitstipp für ersten Kontakt anzeigen (EnableFirstContactSafetyTips) | Nicht ausgewählt ($false) |
Ausgewählt ($true) |
Nicht ausgewählt ($false) |
Weitere Informationen finden Sie unter Sicherheitstipps für den ersten Kontakt. |
| Anzeigen (?) für nicht authentifizierte Absender für Spoof (EnableUnauthenticatedSender) | Ausgewählt ($true) |
Ausgewählt ($true) |
Ausgewählt ($true) |
Fügt dem Foto des Absenders in Outlook für nicht identifizierte spoofierte Absender ein Fragezeichen (?) hinzu. Weitere Informationen finden Sie unter Indikatoren für nicht authentifizierte Absender. |
| Tag "via" anzeigen (EnableViaTag) | Ausgewählt ($true) |
Ausgewählt ($true) |
Ausgewählt ($true) |
Fügt der From-Adresse ein Übertag (chris@contoso.com über fabrikam.com) hinzu, wenn es sich von der Domäne in der DKIM-Signatur oder der MAIL FROM-Adresse unterscheidet. Weitere Informationen finden Sie unter Indikatoren für nicht authentifizierte Absender. |
¹ Wie unter Vollzugriffsberechtigungen und Quarantänebenachrichtigungen beschrieben, kann Ihr organization NotificationEnabledPolicy anstelle von DefaultFullAccessPolicy in der Standardsicherheitsrichtlinie oder in neuen benutzerdefinierten Sicherheitsrichtlinien verwenden, die Sie erstellen. Der einzige Unterschied zwischen diesen beiden Quarantänerichtlinien ist, dass Quarantänebenachrichtigungen in NotificationEnabledPolicy aktiviert und in DefaultFullAccessPolicy deaktiviert sind.
Microsoft Defender for Office 365 Sicherheit
Ein Microsoft Defender for Office 365-Abonnement bietet zusätzliche Sicherheitsvorteile. Die neuesten Nachrichten und Informationen finden Sie unter Neuigkeiten in Defender for Office 365.
Wichtig
Die Standardmäßige Antiphishingrichtlinie in Microsoft Defender for Office 365 bietet Spoofschutz und Postfachintelligenz für alle Empfänger. Die anderen verfügbaren Features für den Identitätswechselschutz und die erweiterten Einstellungen sind jedoch in der Standardrichtlinie nicht konfiguriert oder aktiviert. Verwenden Sie eine der folgenden Methoden, um alle Schutzfunktionen zu aktivieren:
- Aktivieren und verwenden Sie die voreingestellten Sicherheitsrichtlinien Standard und/oder Strict, und konfigurieren Sie dort den Identitätswechselschutz.
- Ändern Sie die Standardmäßige Antiphishingrichtlinie.
- Erstellen Sie zusätzliche Antiphishingrichtlinien.
Obwohl es keine Standardrichtlinie für sichere Anlagen oder eine Richtlinie für sichere Links gibt, bietet die integrierte sicherheitsvoreingestellte Sicherheitsrichtlinie Schutz für sichere Anlagen und Sichere Links für alle Empfänger, die nicht in der voreingestellten Sicherheitsrichtlinie Standard, der voreingestellten Sicherheitsrichtlinie Strict oder in benutzerdefinierten Richtlinien für sichere Anlagen oder sichere Links definiert sind. Weitere Informationen finden Sie unter Voreingestellte Sicherheitsrichtlinien in EOP und Microsoft Defender for Office 365.
Der Schutz sicherer Anlagen für SharePoint, OneDrive und Microsoft Teams sowie der Schutz sicherer Dokumente sind nicht von Richtlinien für sichere Links abhängig.
Wenn Ihr Abonnement Microsoft Defender for Office 365 enthält oder Sie Defender for Office 365 als Add-On erworben haben, legen Sie die folgenden Standard- oder Strict-Konfigurationen fest.
Antiphishingrichtlinieneinstellungen in Microsoft Defender for Office 365
EOP-Kunden erhalten grundlegende Antiphishings, wie zuvor beschrieben, aber Defender for Office 365 enthält mehr Features und Kontrolle, um Angriffe zu verhindern, zu erkennen und zu beheben. Informationen zum Erstellen und Konfigurieren dieser Richtlinien finden Sie unter Konfigurieren von Antiphishingrichtlinien in Defender for Office 365.
Erweiterte Einstellungen in Antiphishingrichtlinien in Microsoft Defender for Office 365
Weitere Informationen zu dieser Einstellung finden Sie unter Erweiterte Phishingschwellenwerte in Antiphishingrichtlinien in Microsoft Defender for Office 365. Informationen zum Konfigurieren dieser Einstellung finden Sie unter Konfigurieren von Antiphishingrichtlinien in Defender for Office 365.
| Name des Sicherheitsfeatures | Standard | Standard | Streng | Kommentar |
|---|---|---|---|---|
| Phishing-E-Mail-Schwellenwert (PhishThresholdLevel) | 1 – Standard (1) |
3 – Aggressiver (3) |
4 – Aggressivste (4) |
Identitätswechseleinstellungen in Antiphishingrichtlinien in Microsoft Defender for Office 365
Weitere Informationen zu diesen Einstellungen finden Sie unter Identitätswechseleinstellungen in Antiphishingrichtlinien in Microsoft Defender for Office 365. Informationen zum Konfigurieren dieser Einstellungen finden Sie unter Konfigurieren von Antiphishingrichtlinien in Defender for Office 365.
Unabhängig davon, wo Sie Die Nachricht unter Quarantäne stellen als Aktion für ein Identitätswechselurteil auswählen, ist das Feld Quarantänerichtlinie anwenden verfügbar. Quarantänerichtlinien definieren, was Benutzer mit unter Quarantäne gestellten Nachrichten tun können, und ob Benutzer Nachrichten erhalten, wenn eine Nachricht unter Quarantäne gestellt wurde. Weitere Informationen finden Sie unter Anatomie einer Quarantänerichtlinie.
Obwohl der Wert Quarantänerichtlinie anwenden beim Erstellen einer Antiphishingrichtlinie im Defender-Portal nicht ausgewählt wird, wird die Quarantänerichtlinie mit dem Namen DefaultFullAccessPolicy verwendet, wenn Sie keine Quarantänerichtlinie auswählen. Diese Richtlinie erzwingt die Verlaufsfunktionen für Nachrichten, die als Identitätswechsel unter Quarantäne gesetzt wurden, wie in der tabelle hier beschrieben. Wenn Sie später die Einstellungen der Quarantänerichtlinie anzeigen oder bearbeiten, wird der Name der Quarantänerichtlinie angezeigt.
Administratoren können Quarantänerichtlinien mit restriktiveren oder weniger restriktiven Funktionen erstellen oder verwenden. Anweisungen finden Sie unter Erstellen von Quarantänerichtlinien im Microsoft Defender-Portal.
| Name des Sicherheitsfeatures | Standard | Standard | Streng | Kommentar |
|---|---|---|---|---|
| Schutz vor Phishing-Schwellenwerten & | ||||
| Schutz vor Benutzeridentitätswechseln: Schützen von Benutzern aktivieren (EnableTargetedUserProtection und TargetedUsersToProtect) | Nicht ausgewählt ($false und keine) |
Ausgewählt ($true und <Benutzerliste>) |
Ausgewählt ($true und <Benutzerliste>) |
Es wird empfohlen, Benutzer (Nachrichtensender) in Schlüsselrollen hinzuzufügen. Intern können geschützte Absender Ihr CEO, CFO und andere leitende Führungskräfte sein. Extern können geschützte Absender Ratsmitglieder oder Ihr Verwaltungsrat sein. |
| Schutz vor Domänenidentitätswechseln: Zu schützende Domänen aktivieren | Nicht ausgewählt | Ausgewählt | Ausgewählt | |
| Domänen einschließen, die ich besitze (EnableOrganizationDomainsProtection) | Aus ($false) |
Ausgewählt ($true) |
Ausgewählt ($true) |
|
| Einschließen benutzerdefinierter Domänen (EnableTargetedDomainsProtection und TargetedDomainsToProtect) | Aus ($false und keine) |
Ausgewählt ($true und <Liste der Domänen>) |
Ausgewählt ($true und <Liste der Domänen>) |
Es wird empfohlen, Domänen (Absenderdomänen) hinzuzufügen, die Sie nicht besitzen, aber häufig mit ihnen interagieren. |
| Hinzufügen vertrauenswürdiger Absender und Domänen (ExcludedSenders und ExcludedDomains) | Keine | Keine | Keine | Je nach organization empfehlen wir das Hinzufügen von Absendern oder Domänen, die fälschlicherweise als Identitätswechselversuche identifiziert wurden. |
| Aktivieren der Postfachintelligenz (EnableMailboxIntelligence) | Ausgewählt ($true) |
Ausgewählt ($true) |
Ausgewählt ($true) |
|
| Aktivieren der Intelligenz für den Identitätswechselschutz (EnableMailboxIntelligenceProtection) | Aus ($false) |
Ausgewählt ($true) |
Ausgewählt ($true) |
Diese Einstellung ermöglicht die angegebene Aktion für Identitätswechselerkennungen durch Postfachintelligenz. |
| Aktionen | ||||
| Wenn eine Nachricht als Benutzeridentitätswechsel erkannt wird (TargetedUserProtectionAction) | Keine Aktion anwenden (NoAction) |
Quarantäne der Nachricht (Quarantine) |
Quarantäne der Nachricht (Quarantine) |
|
| Quarantänerichtlinie für Benutzeridentitätswechsel (TargetedUserQuarantineTag) | DefaultFullAccessPolicy¹ | DefaultFullAccessWithNotificationPolicy | DefaultFullAccessWithNotificationPolicy | Die Quarantänerichtlinie ist nur sinnvoll, wenn Erkennungen von Benutzeridentitätswechseln unter Quarantäne stehen. |
| Wenn eine Nachricht als Domänenidentitätswechsel erkannt wird (TargetedDomainProtectionAction) | Keine Aktion anwenden (NoAction) |
Quarantäne der Nachricht (Quarantine) |
Quarantäne der Nachricht (Quarantine) |
|
| Quarantänerichtlinie für Domänenidentitätswechsel (TargetedDomainQuarantineTag) | DefaultFullAccessPolicy¹ | DefaultFullAccessWithNotificationPolicy | DefaultFullAccessWithNotificationPolicy | Die Quarantänerichtlinie ist nur dann sinnvoll, wenn Erkennungen von Domänenidentitätswechseln unter Quarantäne stehen. |
| Wenn postfachintelligenz einen benutzer imitiert erkennt (MailboxIntelligenceProtectionAction) | Keine Aktion anwenden (NoAction) |
Verschieben der Nachricht in die Junk-Email Ordner der Empfänger (MoveToJmf) |
Quarantäne der Nachricht (Quarantine) |
|
| Quarantänerichtlinie für Identitätswechsel der Postfachintelligenz (MailboxIntelligenceQuarantineTag) | DefaultFullAccessPolicy¹ | DefaultFullAccessPolicy | DefaultFullAccessWithNotificationPolicy | Die Quarantänerichtlinie ist nur sinnvoll, wenn Die Erkennung von Postfachintelligenz unter Quarantäne steht. |
| Sicherheitstipp zum Anzeigen des Benutzeridentitätswechsels (EnableSimilarUsersSafetyTips) | Aus ($false) |
Ausgewählt ($true) |
Ausgewählt ($true) |
|
| Sicherheitstipp zum Anzeigen des Domänenidentitätswechsels (EnableSimilarDomainsSafetyTips) | Aus ($false) |
Ausgewählt ($true) |
Ausgewählt ($true) |
|
| Sicherheitstipp zum Anzeigen des Benutzeridentitätswechsels für ungewöhnliche Zeichen (EnableUnusualCharactersSafetyTips) | Aus ($false) |
Ausgewählt ($true) |
Ausgewählt ($true) |
¹ Wie unter Vollzugriffsberechtigungen und Quarantänebenachrichtigungen beschrieben, kann Ihr organization NotificationEnabledPolicy anstelle von DefaultFullAccessPolicy in der Standardsicherheitsrichtlinie oder in neuen benutzerdefinierten Sicherheitsrichtlinien verwenden, die Sie erstellen. Der einzige Unterschied zwischen diesen beiden Quarantänerichtlinien ist, dass Quarantänebenachrichtigungen in NotificationEnabledPolicy aktiviert und in DefaultFullAccessPolicy deaktiviert sind.
Einstellungen für EOP-Antiphishingrichtlinien in Microsoft Defender for Office 365
Dies sind die gleichen Einstellungen, die in den Antispamrichtlinieneinstellungen in EOP verfügbar sind.
Einstellungen für sichere Anlagen
Sichere Anlagen in Microsoft Defender for Office 365 umfasst globale Einstellungen, die keine Beziehung zu Richtlinien für sichere Anlagen haben, und Einstellungen, die für jede Richtlinie für sichere Links spezifisch sind. Weitere Informationen finden Sie unter Sichere Anlagen in Defender for Office 365.
Obwohl es keine Standardrichtlinie für sichere Anlagen gibt, bietet die integrierte Sicherheitsrichtlinie schutzvoreingestellten Schutz schutz für alle Empfänger, die nicht in den voreingestellten Sicherheitsrichtlinien Standard oder Strict oder in benutzerdefinierten Richtlinien für sichere Anlagen definiert sind. Weitere Informationen finden Sie unter Voreingestellte Sicherheitsrichtlinien in EOP und Microsoft Defender for Office 365.
Globale Einstellungen für sichere Anlagen
Hinweis
Die globalen Einstellungen für sichere Anlagen werden durch die sicherheitsvoreingestellte Sicherheitsrichtlinie "Integrierter Schutz " festgelegt, nicht jedoch durch die voreingestellten Sicherheitsrichtlinien "Standard " oder " Strict ". In beiden Fällen können Administratoren diese globalen Einstellungen für sichere Anlagen jederzeit ändern.
Die Spalte Standard zeigt die Werte vor dem Vorhandensein der voreingestellten Sicherheitsrichtlinie für integrierten Schutz an. In der Spalte Integrierter Schutz werden die Werte angezeigt, die von der sicherheitsvoreingestellten Sicherheitsrichtlinie "Integrierter Schutz " festgelegt werden. Dies sind auch unsere empfohlenen Werte.
Informationen zum Konfigurieren dieser Einstellungen finden Sie unter Aktivieren von sicheren Anlagen für SharePoint, OneDrive und Microsoft Teams und sichere Dokumente in Microsoft 365 E5.
In PowerShell verwenden Sie das Cmdlet Set-AtpPolicyForO365 für diese Einstellungen.
| Name des Sicherheitsfeatures | Standard | Integrierter Schutz | Kommentar |
|---|---|---|---|
| Aktivieren von Defender for Office 365 für SharePoint, OneDrive und Microsoft Teams (EnableATPForSPOTeamsODB) | Aus ($false) |
Ein ($true) |
Informationen zum Verhindern, dass Benutzer schädliche Dateien herunterladen, finden Sie unter Verwenden von SharePoint Online PowerShell, um zu verhindern, dass Benutzer schädliche Dateien herunterladen. |
| Aktivieren von sicheren Dokumenten für Office-Clients (EnableSafeDocs) | Aus ($false) |
Ein ($true) |
Dieses Feature ist nur für Lizenzen verfügbar und sinnvoll, die nicht in Defender for Office 365 enthalten sind (z. B. Microsoft 365 A5 oder Microsoft 365 E5 Security). Weitere Informationen finden Sie unter Sichere Dokumente in Microsoft 365 A5 oder E5 Sicherheit. |
| Benutzern das Klicken durch die geschützte Ansicht erlauben, auch wenn sichere Dokumente die Datei als bösartig erkannt haben (AllowSafeDocsOpen) | Aus ($false) |
Aus ($false) |
Diese Einstellung bezieht sich auf sichere Dokumente. |
Einstellungen der Richtlinie für sichere Anhänge
Informationen zum Konfigurieren dieser Einstellungen finden Sie unter Einrichten von Richtlinien für sichere Anlagen in Defender for Office 365.
In PowerShell verwenden Sie die Cmdlets New-SafeAttachmentPolicy und Set-SafeAttachmentPolicy für diese Einstellungen.
Hinweis
Wie bereits beschrieben, gibt es zwar keine Standardrichtlinie für sichere Anlagen, aber die voreingestellte Sicherheitsrichtlinie " Integrierter Schutz " bietet allen Empfängern Schutz vor sicheren Anlagen, die nicht in der voreingestellten Sicherheitsrichtlinie Standard, der voreingestellten Sicherheitsrichtlinie Strict oder in benutzerdefinierten Richtlinien für sichere Anlagen definiert sind.
Die Spalte Default in custom verweist auf die Standardwerte in den neuen Richtlinien für sichere Anlagen, die Sie erstellen. Die verbleibenden Spalten geben (sofern nicht anders angegeben) die Werte an, die in den entsprechenden voreingestellten Sicherheitsrichtlinien konfiguriert sind.
Quarantänerichtlinien definieren, was Benutzer mit unter Quarantäne gestellten Nachrichten tun können, und ob Benutzer Nachrichten erhalten, wenn eine Nachricht unter Quarantäne gestellt wurde. Weitere Informationen finden Sie unter Anatomie einer Quarantänerichtlinie.
Die Richtlinie mit dem Namen AdminOnlyAccessPolicy erzwingt die Verlaufsfunktionen für Nachrichten, die als Schadsoftware unter Quarantäne standen, wie in der tabelle hier beschrieben.
Benutzer können ihre eigenen Nachrichten, die von sicheren Anlagen als Schadsoftware isoliert wurden, nicht freigeben, unabhängig davon, wie die Quarantänerichtlinie konfiguriert ist. Wenn die Richtlinie benutzern erlaubt, ihre eigenen unter Quarantäne gestellten Nachrichten freizugeben, können Benutzer stattdessen die Veröffentlichung ihrer in Quarantäne befindlichen Schadsoftwarenachrichten anfordern .
| Name des Sicherheitsfeatures | Standard in "benutzerdefiniert" | Integrierter Schutz | Standard | Streng | Kommentar |
|---|---|---|---|---|---|
| Unbekannte Schadsoftwareantwort für sichere Anlagen (Aktivieren und Aktion) | Off (-Enable $false und -Action Block) |
Block (-Enable $true und -Action Block) |
Block (-Enable $true und -Action Block) |
Block (-Enable $true und -Action Block) |
Wenn der Parameter Enable $false ist, spielt der Wert des Action-Parameters keine Rolle. |
| Quarantänerichtlinie (QuarantineTag) | AdminOnlyAccessPolicy | AdminOnlyAccessPolicy | AdminOnlyAccessPolicy | AdminOnlyAccessPolicy | |
| Umleitungsanlage mit erkannten Anlagen : Umleitung aktivieren (Redirect und RedirectAddress) | Nicht ausgewählt und keine E-Mail-Adresse angegeben. (-Redirect $false und RedirectAddress ist leer) |
Nicht ausgewählt und keine E-Mail-Adresse angegeben. (-Redirect $false und RedirectAddress ist leer) |
Nicht ausgewählt und keine E-Mail-Adresse angegeben. (-Redirect $false und RedirectAddress ist leer) |
Nicht ausgewählt und keine E-Mail-Adresse angegeben. (-Redirect $false und RedirectAddress ist leer) |
Die Umleitung von Nachrichten ist nur verfügbar, wenn der Antwortwert für unbekannte Schadsoftware für sichere AnlagenMonitor (-Enable $true und -Action Allow) ist. |
Richtlinieneinstellungen für Sichere Links
Weitere Informationen zum Schutz sicherer Links finden Sie unter Sichere Links in Defender for Office 365.
Obwohl es keine Standardrichtlinie für sichere Links gibt, bietet die voreingestellte Sicherheitsrichtlinie "Integrierter Schutz " schutz für alle Empfänger, die nicht in der voreingestellten Sicherheitsrichtlinie Standard, der voreingestellten Sicherheitsrichtlinie Strict oder in benutzerdefinierten Richtlinien für sichere Links definiert sind. Weitere Informationen finden Sie unter Voreingestellte Sicherheitsrichtlinien in EOP und Microsoft Defender for Office 365.
Informationen zum Konfigurieren der Richtlinieneinstellungen für Sae-Links finden Sie unter Einrichten von Richtlinien für sichere Links in Microsoft Defender for Office 365.
In PowerShell verwenden Sie die Cmdlets New-SafeLinksPolicy und Set-SafeLinksPolicy für Richtlinieneinstellungen für sichere Links.
Hinweis
Die Spalte Default in custom verweist auf die Standardwerte in den neuen Richtlinien für sichere Links, die Sie erstellen. Die verbleibenden Spalten geben (sofern nicht anders angegeben) die Werte an, die in den entsprechenden voreingestellten Sicherheitsrichtlinien konfiguriert sind.
| Name des Sicherheitsfeatures | Standard in "benutzerdefiniert" | Integrierter Schutz | Standard | Streng | Kommentar |
|---|---|---|---|---|---|
| URL-Klickschutzeinstellungen & | |||||
| Die Einstellungen in diesem Abschnitt wirken sich auf das Umschreiben von URLs und den Zeitpunkt des Klickschutzes in E-Mail-Nachrichten aus. | |||||
| Ein: „Sichere Links“ überprüft eine Liste bekannter, bösartiger Links, wenn Benutzer auf Links in E-Mails klicken. URLs werden standardmäßig neu geschrieben. (EnableSafeLinksForEmail) | Ausgewählt ($true) |
Ausgewählt ($true) |
Ausgewählt ($true) |
Ausgewählt ($true) |
|
| Anwenden sicherer Links auf E-Mail-Nachrichten, die innerhalb des organization gesendet werden (EnableForInternalSenders) | Ausgewählt ($true) |
Nicht ausgewählt ($false) |
Ausgewählt ($true) |
Ausgewählt ($true) |
|
| Anwenden der Url-Überprüfung in Echtzeit auf verdächtige Links und Links, die auf Dateien verweisen (ScanUrls) | Ausgewählt ($true) |
Ausgewählt ($true) |
Ausgewählt ($true) |
Ausgewählt ($true) |
|
| Warten Sie, bis die URL-Überprüfung abgeschlossen ist, bevor Sie die Nachricht übermitteln (DeliverMessageAfterScan) | Ausgewählt ($true) |
Ausgewählt ($true) |
Ausgewählt ($true) |
Ausgewählt ($true) |
|
| UrLs dürfen nicht neu geschrieben werden, überprüfungen nur über die API für sichere Links (DisableURLRewrite) | Ausgewählt ($false)* |
Ausgewählt ($true) |
Nicht ausgewählt ($false) |
Nicht ausgewählt ($false) |
* In neuen Richtlinien für sichere Links, die Sie im Defender-Portal erstellen, ist diese Einstellung standardmäßig ausgewählt. In neuen Richtlinien für sichere Links, die Sie in PowerShell erstellen, lautet $falseder Standardwert des Parameters DisableURLRewrite. |
| Die folgenden URLs in E-Mail nicht neu schreiben (DoNotRewriteUrls) | Leer | Leer | Leer | Leer | Es gibt keine spezifische Empfehlung für diese Einstellung. Hinweis: Einträge in der Liste "Die folgenden URLs nicht neu schreiben" werden während des Nachrichtenflusses nicht durch sichere Links gescannt oder umschlossen. Melden Sie die URL als Sollte nicht blockiert worden sein (Falsch positiv), und wählen Sie Zulassen, dass dieser URL einen Zulassungseintrag zur Zulassungs-/Sperrliste des Mandanten hinzugefügt wird, damit die URL während des E-Mail-Flusses und zum Zeitpunkt des Klickens nicht gescannt oder von sicheren Links umschlossen wird. Anweisungen finden Sie unter Melden guter URLs an Microsoft. |
| Microsoft Teams | Die Einstellung in diesem Abschnitt wirkt sich auf den Zeitpunkt des Klickschutzes in Microsoft Teams aus. | ||||
| Ein: Sichere Links überprüft eine Liste bekannter, schädlicher Links, wenn Benutzer in Microsoft Teams auf Links klicken. URLs werden nicht umgeschrieben. (EnableSafeLinksForTeams) | Ausgewählt ($true) |
Ausgewählt ($true) |
Ausgewählt ($true) |
Ausgewählt ($true) |
|
| Office 365-Apps | Die Einstellung in diesem Abschnitt wirkt sich auf den Zeitpunkt des Klickschutzes in Office-Apps aus. | ||||
| Ein: Sichere Links überprüft eine Liste bekannter, schädlicher Links, wenn Benutzer in Microsoft Office-Apps auf Links klicken. URLs werden nicht umgeschrieben. (EnableSafeLinksForOffice) | Ausgewählt ($true) |
Ausgewählt ($true) |
Ausgewählt ($true) |
Ausgewählt ($true) |
Verwenden Sie sichere Links in unterstützten Office 365 Desktop- und mobilen Apps (iOS und Android). Weitere Informationen finden Sie unter Einstellungen für sichere Links für Office-Apps. |
| Klick-Schutzeinstellungen | |||||
| Nachverfolgen von Benutzerklicks (TrackClicks) | Ausgewählt ($true) |
Ausgewählt ($true) |
Ausgewählt ($true) |
Ausgewählt ($true) |
|
| Benutzern das Klicken auf die ursprüngliche URL ermöglichen (AllowClickThrough) | Ausgewählt ($false)* |
Ausgewählt ($true) |
Nicht ausgewählt ($false) |
Nicht ausgewählt ($false) |
* In neuen Richtlinien für sichere Links, die Sie im Defender-Portal erstellen, ist diese Einstellung standardmäßig ausgewählt. In neuen Richtlinien für sichere Links, die Sie in PowerShell erstellen, lautet $falseder Standardwert des AllowClickThrough-Parameters . |
| Anzeigen des organization Brandings auf Benachrichtigungs- und Warnseiten (EnableOrganizationBranding) | Nicht ausgewählt ($false) |
Nicht ausgewählt ($false) |
Nicht ausgewählt ($false) |
Nicht ausgewählt ($false) |
Es gibt keine spezifische Empfehlung für diese Einstellung. Bevor Sie diese Einstellung aktivieren, müssen Sie die Anweisungen unter Anpassen des Microsoft 365-Designs für Ihre organization befolgen, um Ihr Unternehmenslogo hochzuladen. |
| Benachrichtigung | |||||
| Wie möchten Sie Ihre Benutzer benachrichtigen? (CustomNotificationText und UseTranslatedNotificationText) | Verwenden Des Standardbenachrichtigungstexts (leer und $false) |
Verwenden Des Standardbenachrichtigungstexts (leer und $false) |
Verwenden Des Standardbenachrichtigungstexts (leer und $false) |
Verwenden Des Standardbenachrichtigungstexts (leer und $false) |
Es gibt keine spezifische Empfehlung für diese Einstellung. Sie können Benutzerdefinierten Benachrichtigungstext verwenden ( -CustomNotificationText "<Custom text>") auswählen, um benutzerdefinierten Benachrichtigungstext einzugeben und zu verwenden. Wenn Sie benutzerdefinierten Text angeben, können Sie auch Microsoft Translator für die automatische Lokalisierung verwenden (-UseTranslatedNotificationText $true) auswählen, um den Text automatisch in die Sprache des Benutzers zu übersetzen. |
Verwandte Artikel
Suchen Sie nach bewährten Methoden für Exchange-Nachrichtenflussregeln (auch als Transportregeln bezeichnet)? Weitere Informationen finden Sie unter Bewährte Methoden zum Konfigurieren von Nachrichtenflussregeln in Exchange Online.
Administratoren und Benutzer können falsch positive Ergebnisse (gute E-Mails, die als schlecht gekennzeichnet sind) und falsch negative (ungültige E-Mails zulässig) zur Analyse an Microsoft übermitteln. Weitere Informationen finden Sie unter Melden von Nachrichten und Dateien an Microsoft.
Sicherheitsbaselines für Windows finden Sie hier: Wo erhalte ich die Sicherheitsbaselines? für GPO-/lokale Optionen und Verwenden von Sicherheitsbaselines zum Konfigurieren von Windows-Geräten in Intune für Intune-basierte Sicherheit. Schließlich ist ein Vergleich zwischen Microsoft Defender for Endpoint und Microsoft Intune Sicherheitsbaselines unter Vergleichen der Microsoft Defender for Endpoint und der Windows Intune-Sicherheitsbaselines verfügbar.