Einrichten von Richtlinien für sichere Anlagen in Microsoft Defender for Office 365

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Hier erfahren Sie, wer sich registrieren und testen kann.

Wichtig

Dieser Artikel richtet sich an Geschäftskunden, die über Microsoft Defender für Office 365 verfügen. Wenn Sie ein Privatbenutzer sind, der nach Informationen zur Überprüfung von Anlagen in Outlook sucht, finden Sie weitere Informationen unter Erweiterte Outlook.com Sicherheit.

In Organisationen mit Microsoft Defender for Office 365 ist Safe Attachments eine zusätzliche Schutzebene vor Schadsoftware in Nachrichten. Nachdem Nachrichtenanlagen durch den Schutz vor Schadsoftware in Exchange Online Protection (EOP) überprüft wurden, öffnet "Sichere Anlagen" Dateien in einer virtuellen Umgebung, um zu sehen, was geschieht (ein Prozess, der als Detonation bezeichnet wird), bevor die Nachrichten an Empfänger übermittelt werden. Weitere Informationen finden Sie unter Sichere Anlagen in Microsoft Defender for Office 365.

Obwohl es keine Standardrichtlinie für sichere Anlagen gibt, bietet die voreingestellte Sicherheitsrichtlinie "Integrierter Schutz " standardmäßig allen Empfängern Schutz vor sicheren Anlagen. Empfänger, die in den voreingestellten Sicherheitsrichtlinien Standard oder Strict oder in benutzerdefinierten Richtlinien für sichere Anlagen angegeben sind, sind davon nicht betroffen. Weitere Informationen finden Sie unter Voreingestellte Sicherheitsrichtlinien in EOP und Microsoft Defender for Office 365.

Für eine höhere Granularität können Sie auch die Verfahren in diesem Artikel verwenden, um Richtlinien für sichere Anlagen zu erstellen, die für bestimmte Benutzer, Gruppen oder Domänen gelten.

Sie konfigurieren Richtlinien für sichere Anlagen im Microsoft Defender-Portal oder in Exchange Online PowerShell.

Hinweis

In den globalen Einstellungen der Einstellungen für sichere Anlagen konfigurieren Sie Features, die nicht von Richtlinien für sichere Anlagen abhängig sind. Anweisungen finden Sie unter Aktivieren von sicheren Anlagen für SharePoint, OneDrive und Microsoft Teams und sichere Dokumente in Microsoft 365 E5.

Was sollten Sie wissen, bevor Sie beginnen?

Verwenden des Microsoft Defender-Portals zum Erstellen von Richtlinien für sichere Anlagen

  1. Navigieren Sie im Microsoft Defender-Portal unter https://security.microsoft.comzu Email & Richtlinien für die Zusammenarbeit>& Regeln>Bedrohungsrichtlinien>Sichere Anlagen im Abschnitt Richtlinien. Oder verwenden Sie https://security.microsoft.com/safeattachmentv2, um direkt zur Seite Sichere Anlagen zu wechseln.

  2. Wählen Sie auf der Seite Sichere Anlagendie Option Erstellen aus, um den neuen Richtlinien-Assistenten für sichere Anlagen zu starten.

  3. Auf der Seite Benennen Sie Ihre Richtlinie konfigurieren Sie folgende Einstellungen:

    • Name: Geben Sie einen eindeutigen, aussagekräftigen Namen für die Richtlinie ein.
    • Beschreibung: Geben Sie eine optionale Beschreibung für die Richtlinie ein.

    Wenn Sie auf der Seite Richtlinie benennen fertig sind, wählen Sie Weiter aus.

  4. Identifizieren Sie auf der Seite Benutzer und Domänen die internen Empfänger, für die die Richtlinie gilt (Empfängerbedingungen):

    • Benutzer: Die angegebenen Postfächer, E-Mail-Benutzer oder E-Mail-Kontakte.
    • Gruppen:
      • Mitglieder der angegebenen Verteilergruppen oder E-Mail-aktivierten Sicherheitsgruppen (dynamische Verteilergruppen werden nicht unterstützt).
      • Die angegebene Microsoft 365-Gruppen.
    • Domänen: Alle Empfänger im organization mit einem primäre E-Mail-Adresse in der angegebenen akzeptierten Domäne.

    Klicken Sie auf das entsprechende Feld, beginnen Sie mit der Eingabe eines Wertes, und wählen Sie den gewünschten Wert aus den Ergebnissen aus. Wiederholen Sie diesen Vorgang so oft wie nötig. Um einen vorhandenen Wert zu entfernen, wählen Sie neben dem Wert aus.

    Für Benutzer oder Gruppen können Sie die meisten Bezeichner verwenden (Name, Anzeigename, Alias, E-Mail-Adresse, Kontoname usw.), aber in den Ergebnissen wird der entsprechende Anzeigename angezeigt. Geben Sie für Benutzer einen einzelnen Stern (*) ein, um alle verfügbaren Werte anzuzeigen.

    Bei mehreren Werten in derselben Bedingung wird ODER-Logik verwendet (z. B. <recipient1> oder <recipient2>). Bei unterschiedlichen Bedingungen wird UND-Logik verwendet (z. B. <recipient1> und <member of group 1>).

    • Ausschließen dieser Benutzer, Gruppen und Domänen: Um Ausnahmen für die internen Empfänger hinzuzufügen, für welche die Richtlinie gilt (Empfängerausnahmen), wählen Sie diese Option und konfigurieren Sie die Ausnahmen. Die Einstellungen und das Verhalten entsprechen genau den Bedingungen.

    Wichtig

    Mehrere unterschiedliche Typen von Bedingungen oder Ausnahmen sind nicht additiv, sie sind inklusiv. Die Richtlinie wird nur auf die Empfänger angewendet, die mit allen angegebenen Empfängerfiltern übereinstimmen. Beispielsweise konfigurieren Sie eine Empfängerfilterbedingung in der Richtlinie mit den folgenden Werten:

    • Benutzer: romain@contoso.com
    • Gruppen: Führungskräfte

    Die Richtlinie wird nur auf romain@contoso.com angewendet, wenn er auch Mitglied der Gruppe "Führungskräfte" ist. Wenn er kein Mitglied der Gruppe ist, wird die Richtlinie nicht auf ihn angewendet.

    Wenn Sie denselben Empfängerfilter als Ausnahme für die Richtlinie verwenden, wird die Richtlinie nicht nur auf angewendetromain@contoso.com, wenn er auch Mitglied der Gruppe "Führungskräfte" ist. Wenn er kein Mitglied der Gruppe ist, gilt die Richtlinie dennoch für ihn.

    Wenn Sie auf der Seite Benutzer und Domänen fertig sind, wählen Sie Weiter aus.

  5. Konfigurieren Sie auf der Seite Einstellungen die folgenden Einstellungen:

    • Sichere Anlagen unbekannte Schadsoftwareantwort: Wählen Sie einen der folgenden Werte aus:

      Diese Werte werden in den Richtlinieneinstellungen für sichere Anlagen erläutert.

    • Quarantänerichtlinie: Wählen Sie die Quarantänerichtlinie aus, die für Nachrichten gilt, die von sicheren Anlagen (Blockieren oder dynamische Übermittlung) unter Quarantäne stehen. Quarantänerichtlinien definieren, was Benutzer mit unter Quarantäne gestellten Nachrichten tun können, und ob Benutzer Nachrichten erhalten, wenn eine Nachricht unter Quarantäne gestellt wurde. Weitere Informationen finden Sie unter Anatomie einer Quarantänerichtlinie.

      Standardmäßig wird die Quarantänerichtlinie adminOnlyAccessPolicy für schadsoftwareerkennungen von Richtlinien für sichere Anlagen verwendet. Weitere Informationen zu dieser Quarantänerichtlinie finden Sie unter Anatomie einer Quarantänerichtlinie.

      Hinweis

      Quarantänebenachrichtigungen sind in der Richtlinie adminOnlyAccessPolicy deaktiviert. Um Empfänger zu benachrichtigen, deren Nachrichten von sicheren Anlagen als Schadsoftware unter Quarantäne gestellt wurden, erstellen oder verwenden Sie eine vorhandene Quarantänerichtlinie, in der Quarantänebenachrichtigungen aktiviert sind. Anweisungen finden Sie unter Erstellen von Quarantänerichtlinien im Microsoft Defender-Portal.

      Benutzer können ihre eigenen Nachrichten, die von Richtlinien für sichere Anlagen als Schadsoftware isoliert wurden, nicht freigeben, unabhängig davon, wie die Quarantänerichtlinie konfiguriert ist. Wenn die Richtlinie benutzern erlaubt, ihre eigenen unter Quarantäne gestellten Nachrichten freizugeben, können Benutzer stattdessen die Veröffentlichung ihrer in Quarantäne befindlichen Schadsoftwarenachrichten anfordern .

    • Umleiten von Nachrichten mit erkannten Anlagen: Wenn Sie Umleitung aktivieren auswählen, können Sie im Feld Nachrichten senden, die überwachte Anlagen an die angegebene E-Mail-Adresse enthalten , eine E-Mail-Adresse angeben, um Nachrichten zu senden, die Schadsoftwareanlagen zur Analyse und Untersuchung enthalten.

      Hinweis

      Die Umleitung ist nur für die Aktion Überwachen verfügbar. Weitere Informationen finden Sie unter MC424899.

    Wenn Sie auf der Seite Einstellungen fertig sind, wählen Sie Weiter aus.

  6. Überprüfen Sie auf der Seite Überprüfen Ihre Einstellungen. Sie können in jedem Abschnitt Bearbeiten auswählen, um die Einstellungen in diesem Abschnitt zu ändern. Sie können auch Zurück oder die spezifische Seite im Assistenten auswählen.

    Wenn Sie auf der Seite Überprüfen fertig sind, wählen Sie Absenden aus.

  7. Auf der Seite Neue Richtlinie für sichere Anlagen erstellt können Sie die Links auswählen, um die Richtlinie anzuzeigen, Richtlinien für sichere Anlagen anzuzeigen und mehr über Richtlinien für sichere Anlagen zu erfahren.

    Wenn Sie die Seite Neue Richtlinie für sichere Anlagen erstellt haben , wählen Sie Fertig aus.

    Auf der Seite Sichere Anlagen wird die neue Richtlinie aufgeführt.

Verwenden des Microsoft Defender-Portals zum Anzeigen von Richtliniendetails für sichere Anlagen

Navigieren Sie im Microsoft Defender-Portal unter https://security.microsoft.comzu Email & Richtlinien für die Zusammenarbeit>& Regeln>Bedrohungsrichtlinien>Sichere Anlagen im Abschnitt Richtlinien. Um direkt zur Seite Sichere Anlagen zu wechseln, verwenden Sie https://security.microsoft.com/safeattachmentv2.

Auf der Seite Sichere Anlagen werden die folgenden Eigenschaften in der Liste der Richtlinien angezeigt:

Um die Liste der Richtlinien von normalem in kompakten Abstand zu ändern, wählen Sie Listenabstand in komprimieren oder normal ändern und dann Liste komprimieren aus.

Verwenden Sie das Suchfeld und einen entsprechenden Wert, um bestimmte Richtlinien für sichere Anlagen zu finden.

Verwenden Sie Exportieren , um die Liste der Richtlinien in eine CSV-Datei zu exportieren.

Verwenden Sie Berichte anzeigen, um den Bericht Threat Protection status zu öffnen.

Wählen Sie eine Richtlinie aus, indem Sie auf eine andere Stelle in der Zeile als das Kontrollkästchen neben dem Namen klicken, um das Details-Flyout für die Richtlinie zu öffnen.

Tipp

Um Details zu anderen Richtlinien für sichere Anlagen anzuzeigen, ohne das Details-Flyout zu verlassen, verwenden Sie Vorheriges Element und Nächstes Element oben im Flyout.

Verwenden des Microsoft Defender-Portals, um Maßnahmen für Richtlinien für sichere Anlagen zu ergreifen

Navigieren Sie im Microsoft Defender-Portal unter https://security.microsoft.comzu Email & Richtlinien für die Zusammenarbeit>& Regeln>Bedrohungsrichtlinien>Sichere Anlagen im Abschnitt Richtlinien. Um direkt zur Seite Sichere Anlagen zu wechseln, verwenden Sie https://security.microsoft.com/safeattachmentv2.

  1. Wählen Sie auf der Seite Sichere Anlagen die Richtlinie Sichere Anlagen aus, indem Sie eine der folgenden Methoden verwenden:

    • Wählen Sie die Richtlinie aus der Liste aus, indem Sie das Kontrollkästchen neben dem Namen aktivieren. Die folgenden Aktionen sind in der Dropdownliste Weitere Aktionen verfügbar, die angezeigt wird:

      • Aktivieren Sie ausgewählte Richtlinien.
      • Deaktivieren Sie ausgewählte Richtlinien.
      • Ausgewählte Richtlinien löschen.

      Die Seite Sichere Anlagen mit einer ausgewählten Richtlinie und dem erweiterten Steuerelement Weitere Aktionen.

    • Wählen Sie die Richtlinie aus der Liste aus, indem Sie an einer anderen Stelle in der Zeile als dem Kontrollkästchen neben dem Namen klicken. Einige oder alle folgenden Aktionen sind im details-Flyout verfügbar, das geöffnet wird:

      • Ändern Sie die Richtlinieneinstellungen, indem Sie in jedem Abschnitt auf Bearbeiten klicken (benutzerdefinierte Richtlinien oder die Standardrichtlinie).
      • Aktivieren oder Deaktivieren (nur benutzerdefinierte Richtlinien)
      • Erhöhen der Priorität oder Verringern der Priorität (nur benutzerdefinierte Richtlinien)
      • Richtlinie löschen (nur benutzerdefinierte Richtlinien)

      Das Details-Flyout einer benutzerdefinierten Richtlinie für sichere Anlagen.

Die Aktionen werden in den folgenden Unterabschnitten beschrieben.

Verwenden des Microsoft Defender-Portals zum Ändern benutzerdefinierter Richtlinien für sichere Anlagen

Nachdem Sie eine benutzerdefinierte Richtlinie für sichere Anlagen ausgewählt haben, indem Sie an einer beliebigen Stelle in der Zeile neben dem Kontrollkästchen neben dem Namen klicken, werden die Richtlinieneinstellungen im daraufhin geöffneten Details-Flyout angezeigt. Wählen Sie in jedem Abschnitt Bearbeiten aus, um die Einstellungen im Abschnitt zu ändern. Weitere Informationen zu den Einstellungen finden Sie weiter oben in diesem Artikel im Abschnitt Erstellen von Richtlinien für sichere Anlagen .

Sie können die Richtlinien für sichere Anlagen namens StandardVoreingestellte Sicherheitsrichtlinie, Strict Preset Security Policy oder Built-in protection (Microsoft) nicht ändern, die im Flyout mit den Richtliniendetails voreingestellten Sicherheitsrichtlinien zugeordnet sind. Stattdessen wählen Sie im Details-Flyout voreingestellte Sicherheitsrichtlinien anzeigen aus, um zur Seite https://security.microsoft.com/presetSecurityPoliciesVoreingestellte Sicherheitsrichtlinien unter zu wechseln, um die voreingestellten Sicherheitsrichtlinien zu ändern.

Verwenden des Microsoft Defender-Portals zum Aktivieren oder Deaktivieren von benutzerdefinierten Richtlinien für sichere Anlagen

Sie können die Richtlinien für sichere Anlagen namens StandardVoreingestellte Sicherheitsrichtlinie, Strict Preset Security Policy oder Built-in protection (Microsoft) nicht aktivieren oder deaktivieren, die hier mit voreingestellten Sicherheitsrichtlinien verknüpft sind. Sie aktivieren oder deaktivieren voreingestellte Sicherheitsrichtlinien auf der Seite Voreingestellte Sicherheitsrichtlinien unter https://security.microsoft.com/presetSecurityPolicies.

Nachdem Sie eine aktivierte benutzerdefinierte Richtlinie für sichere Anlagen ausgewählt haben (der Wert Status ist Ein), verwenden Sie eine der folgenden Methoden, um sie zu deaktivieren:

  • Auf der Seite Sichere Anlagen: Wählen Sie Weitere Aktionen>Ausgewählte Richtlinien deaktivieren aus.
  • Klicken Sie im Details-Flyout der Richtlinie oben im Flyout auf Deaktivieren.

Nachdem Sie eine deaktivierte benutzerdefinierte Richtlinie für sichere Anlagen ausgewählt haben (der Wert Status ist Aus), verwenden Sie eine der folgenden Methoden, um sie zu aktivieren:

  • Auf der Seite Sichere Anlagen: Wählen Sie Weitere Aktionen>Ausgewählte Richtlinien aktivieren aus.
  • Klicken Sie im Details-Flyout der Richtlinie oben im Flyout auf Aktivieren.

Auf der Seite Sichere Anlagen lautet der Statuswert der Richtlinie jetzt Ein oder Aus.

Verwenden des Microsoft Defender-Portals zum Festlegen der Priorität benutzerdefinierter Richtlinien für sichere Anlagen

Richtlinien für sichere Anlagen werden in der Reihenfolge verarbeitet, in der sie auf der Seite Sichere Anlagen angezeigt werden:

  • Die Richtlinie für sichere Anlagen namens Strict Preset Security Policy , die der voreingestellten Sicherheitsrichtlinie Strict zugeordnet ist, wird immer zuerst angewendet (wenn die voreingestellte Sicherheitsrichtlinie Strict aktiviert ist).
  • Die Richtlinie für sichere Anlagen namens StandardVoreingestellte Sicherheitsrichtlinie , die der standardvoreingestellten Sicherheitsrichtlinie zugeordnet ist, wird als Nächstes immer angewendet (wenn die standardvoreingestellte Sicherheitsrichtlinie aktiviert ist).
  • Benutzerdefinierte Richtlinien für sichere Anlagen werden als Nächstes in der Prioritätsreihenfolge angewendet (sofern sie aktiviert sind):
    • Ein niedrigerer Prioritätswert gibt eine höhere Priorität an (0 ist die höchste).
    • Standardmäßig wird eine neue Richtlinie mit einer Priorität erstellt, die niedriger als die niedrigste vorhandene benutzerdefinierte Richtlinie ist (die erste ist 0, die nächste ist 1 usw.).
    • Keine zwei Richtlinien können denselben Prioritätswert aufweisen.
  • Die Richtlinie für sichere Anlagen mit dem Namen Integrierter Schutz (Microsoft), die dem integrierten Schutz zugeordnet ist, hat immer den Prioritätswert Niedrigste, und Sie können ihn nicht ändern.

Der Schutz sicherer Anlagen wird für einen Empfänger beendet, nachdem die erste Richtlinie angewendet wurde (die Richtlinie mit der höchsten Priorität für diesen Empfänger). Weitere Informationen finden Sie unter Reihenfolge und Rangfolge des E-Mail-Schutzes.

Nachdem Sie die benutzerdefinierte Richtlinie für sichere Anlagen ausgewählt haben, indem Sie auf eine beliebige Stelle in der Zeile neben dem Kontrollkästchen neben dem Namen klicken, können Sie die Priorität der Richtlinie im daraufhin geöffneten Details-Flyout erhöhen oder verringern:

  • Die benutzerdefinierte Richtlinie mit dem Prioritätswert0 auf der Seite Sichere Anlagen weist oben im Details-Flyout die Aktion Priorität verringern auf.
  • Die benutzerdefinierte Richtlinie mit der niedrigsten Priorität (höchster Prioritätswert, z. B. 3) weist die Aktion Priorität erhöhen oben im Details-Flyout auf.
  • Wenn Sie über drei oder mehr Richtlinien verfügen, weisen die Richtlinien zwischen Priorität 0 und der niedrigsten Priorität sowohl die Aktionen Priorität erhöhen als auch Priorität verringern am Anfang des Details-Flyouts auf.

Wenn Sie im Flyout mit den Richtliniendetails fertig sind, wählen Sie Schließen aus.

Auf der Seite Sichere Anlagen entspricht die Reihenfolge der Richtlinie in der Liste dem aktualisierten Prioritätswert .

Verwenden des Microsoft Defender-Portals zum Entfernen benutzerdefinierter Richtlinien für sichere Anlagen

Sie können die Richtlinien für sichere Anlagen namens StandardVoreingestellte Sicherheitsrichtlinie, Strict Preset Security Policy oder Built-in protection (Microsoft) nicht entfernen, die voreingestellten Sicherheitsrichtlinien zugeordnet sind.

Nachdem Sie die benutzerdefinierte Richtlinie für sichere Anlagen ausgewählt haben, verwenden Sie eine der folgenden Methoden, um sie zu entfernen:

  • Auf der Seite Sichere Anlagen: Wählen Sie Weitere Aktionen>Ausgewählte Richtlinien löschen aus.
  • Im Details-Flyout der Richtlinie: Wählen Sie richtlinie löschen oben im Flyout aus.

Wählen Sie ja im daraufhin geöffneten Warnungsdialogfeld aus.

Auf der Seite Sichere Anlagen wird die entfernte Richtlinie nicht mehr aufgeführt.

Verwenden von Exchange Online PowerShell zum Konfigurieren von Richtlinien für sichere Anlagen

In PowerShell sind die grundlegenden Elemente einer Richtlinie für sichere Anlagen:

  • Die Richtlinie für sichere Anlagen: Gibt die Aktionen für die Erkennung unbekannter Schadsoftware an, ob Nachrichten mit Schadsoftwareanlagen an eine angegebene E-Mail-Adresse gesendet werden sollen und ob Nachrichten übermittelt werden sollen, wenn die Überprüfung sicherer Anlagen nicht abgeschlossen werden kann.
  • Die Regel für sichere Anlagen: Gibt die Prioritäts- und Empfängerfilter an (für die die Richtlinie gilt).

Der Unterschied zwischen diesen beiden Elementen ist nicht offensichtlich, wenn Sie Richtlinien für sichere Anlagen im Microsoft Defender-Portal verwalten:

  • Wenn Sie im Defender-Portal eine Richtlinie für sichere Anlagen erstellen, erstellen Sie tatsächlich gleichzeitig eine Regel für sichere Anlagen und die zugehörige Richtlinie für sichere Anlagen, wobei sie für beide denselben Namen verwenden.
  • Wenn Sie eine Richtlinie für sichere Anlagen im Defender-Portal ändern, ändern Einstellungen im Zusammenhang mit dem Namen, der Priorität, aktiviert oder deaktiviert, und Empfängerfilter die Regel für sichere Anlagen. Alle anderen Einstellungen ändern die zugehörige Richtlinie für sichere Anlagen.
  • Wenn Sie eine Richtlinie für sichere Anlagen aus dem Defender-Portal entfernen, werden die Regel für sichere Anlagen und die zugehörige Richtlinie für sichere Anlagen entfernt.

In PowerShell ist der Unterschied zwischen Richtlinien für sichere Anlagen und Regeln für sichere Anlagen offensichtlich. Sie verwalten Richtlinien für Anlagen Links mithilfe der *-SafeAttachmentPolicy-Cmdlets und Regeln für sichere Anlagen mithilfe der *-SafeAttachmentRule-Cmdlets.

  • In PowerShell erstellen Sie zuerst die Richtlinie für sichere Anlagen und dann die Regel für sichere Anlagen, die die zugeordnete Richtlinie identifiziert, für die die Regel gilt.
  • In PowerShell ändern Sie die Einstellungen in der Richtlinie für sichere Anlagen und der Regel für sichere Anlagen separat.
  • Wenn Sie eine Richtlinie für sichere Anlagen aus PowerShell entfernen, wird die entsprechende Regel für sichere Anlagen nicht automatisch entfernt und umgekehrt.

Verwenden von PowerShell zum Erstellen von Richtlinien für sichere Anlagen

Das Erstellen einer Richtlinie für sichere Anlagen in PowerShell ist ein zweistufiger Prozess:

  1. Erstellen der Richtlinie für sichere Anlagen.
  2. Erstellen Sie die Regel für sichere Anlagen, die die Richtlinie für sichere Anlagen angibt, für die die Regel gilt.

Hinweise:

  • Sie können eine neue Regel für sichere Anlagen erstellen und ihr eine vorhandene, nicht verknüpfte Richtlinie für sichere Anlagen zuweisen. Eine Regel für sichere Anlagen kann nicht mehr als einer Richtlinie für sichere Anlagen zugeordnet werden.

  • Sie können die folgenden Einstellungen für neue Richtlinien für sichere Anlagen in PowerShell konfigurieren, die erst nach dem Erstellen der Richtlinie im Microsoft Defender-Portal verfügbar sind:

    • Erstellen Sie die neue Richtlinie als deaktiviert (im Cmdlet New-SafeAttachmentRuleaktiviert$false).
    • Legen Sie die Priorität der Richtlinie während der Erstellung (Prioritätsnummer<>) für das Cmdlet New-SafeAttachmentRule fest.
  • Eine neue Richtlinie für sichere Anlagen, die Sie in PowerShell erstellen, wird im Microsoft Defender-Portal erst angezeigt, wenn Sie die Richtlinie einer Regel für sichere Anlagen zuweisen.

Schritt 1: Erstellen einer Richtlinie für sichere Anlagen mithilfe von PowerShell

Verwenden Sie diese Syntax, um eine Richtlinie für sichere Anlagen zu erstellen:

New-SafeAttachmentPolicy -Name "<PolicyName>" -Enable $true [-AdminDisplayName "<Comments>"] [-Action <Allow | Block | DynamicDelivery>] [-Redirect <$true | $false>] [-RedirectAddress <SMTPEmailAddress>] [-QuarantineTag <QuarantinePolicyName>]

In diesem Beispiel wird eine Richtlinie für sichere Anlagen mit dem Namen Contoso All mit den folgenden Werten erstellt:

  • Blockieren Sie Nachrichten, die Schadsoftware durch die Überprüfung sicherer Dokumente enthalten (wir verwenden nicht den Action-Parameter , und der Standardwert ist Block).
  • Die Standardquarantänerichtlinie wird verwendet (AdminOnlyAccessPolicy), da der QuarantineTag-Parameter nicht verwendet wird.
New-SafeAttachmentPolicy -Name "Contoso All" -Enable $true

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-SafeAttachmentPolicy.

Tipp

Ausführliche Anweisungen zum Angeben der Quarantänerichtlinie, die in einer Richtlinie für sichere Anlagen verwendet werden soll, finden Sie unter Verwenden von PowerShell zum Angeben der Quarantänerichtlinie in Richtlinien für sichere Anlagen.

Schritt 2: Verwenden von PowerShell zum Erstellen einer Regel für sichere Anlagen

Verwenden Sie diese Syntax, um eine Regel für sichere Anlagen zu erstellen:

New-SafeAttachmentRule -Name "<RuleName>" -SafeAttachmentPolicy "<PolicyName>" <Recipient filters> [<Recipient filter exceptions>] [-Comments "<OptionalComments>"] [-Enabled <$true | $false>]

In diesem Beispiel wird eine Regel für sichere Anlagen mit dem Namen Contoso All mit den folgenden Bedingungen erstellt:

  • Die Regel ist der Richtlinie für sichere Anlagen mit dem Namen Contoso All zugeordnet.
  • Die Regel gilt für alle Empfänger in der Domäne „contoso.com“.
  • Da wir den Priority-Parameter nicht verwenden, wird die Standardpriorität verwendet.
  • Die Regel ist aktiviert (wir verwenden nicht den Parameter Enabled , und der Standardwert ist $true).
New-SafeAttachmentRule -Name "Contoso All" -SafeAttachmentPolicy "Contoso All" -RecipientDomainIs contoso.com

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-SafeAttachmentRule.

Verwenden von PowerShell zum Anzeigen von Richtlinien für sichere Anlagen

Verwenden Sie die folgende Syntax, um vorhandene Richtlinien für sichere Anlagen anzuzeigen:

Get-SafeAttachmentPolicy [-Identity "<PolicyIdentity>"] [| <Format-Table | Format-List> <Property1,Property2,...>]

In diesem Beispiel wird eine Zusammenfassungsliste aller Richtlinien für sichere Anlagen zurückgegeben.

Get-SafeAttachmentPolicy

In diesem Beispiel werden ausführliche Informationen für die Richtlinie für sichere Anlagen mit dem Namen Contoso Executives zurückgegeben.

Get-SafeAttachmentPolicy -Identity "Contoso Executives" | Format-List

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-SafeAttachmentPolicy.

Verwenden von PowerShell zum Anzeigen von Regeln für sichere Anlagen

Verwenden Sie die folgende Syntax, um vorhandene Regeln für sichere Anlagen anzuzeigen:

Get-SafeAttachmentRule [-Identity "<RuleIdentity>"] [-State <Enabled | Disabled>] [| <Format-Table | Format-List> <Property1,Property2,...>]

In diesem Beispiel wird eine Zusammenfassungsliste aller Regeln für sichere Anlagen zurückgegeben.

Get-SafeAttachmentRule

Führen Sie die folgenden Befehle aus, um die Liste nach aktivierten oder deaktivierten Regeln zu filtern:

Get-SafeAttachmentRule -State Disabled
Get-SafeAttachmentRule -State Enabled

In diesem Beispiel werden ausführliche Informationen für die Regel für sichere Anlagen mit dem Namen Contoso Executives zurückgegeben.

Get-SafeAttachmentRule -Identity "Contoso Executives" | Format-List

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-SafeAttachmentRule.

Verwenden von PowerShell zum Ändern von Richtlinien für sichere Anlagen

Sie können eine Richtlinie für sichere Anlagen in PowerShell nicht umbenennen (das Cmdlet Set-SafeAttachmentPolicy hat keinen Parameter Name ). Wenn Sie eine Richtlinie für sichere Anlagen im Microsoft Defender-Portal umbenennen, benennen Sie nur die Regel für sichere Anlagen um.

Andernfalls sind die gleichen Einstellungen verfügbar, wenn Sie eine Richtlinie für sichere Anlagen erstellen, wie im Abschnitt Schritt 1: Erstellen einer Richtlinie für sichere Anlagen weiter oben in diesem Artikel beschrieben.

Verwenden Sie diese Syntax, um eine Richtlinie für sichere Anlagen zu ändern:

Set-SafeAttachmentPolicy -Identity "<PolicyName>" <Settings>

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-SafeAttachmentPolicy.

Tipp

Ausführliche Anweisungen zum Angeben der Quarantänerichtlinie, die in einer Richtlinie für sichere Anlagen verwendet werden soll, finden Sie unter Verwenden von PowerShell zum Angeben der Quarantänerichtlinie in Richtlinien für sichere Anlagen.

Verwenden von PowerShell zum Ändern von Regeln für sichere Anlagen

Die einzige Einstellung, die beim Ändern einer Regel für sichere Anlagen in PowerShell nicht verfügbar ist, ist der Parameter Enabled , mit dem Sie eine deaktivierte Regel erstellen können. Informationen zum Aktivieren oder Deaktivieren vorhandener Regeln für sichere Anlagen finden Sie im nächsten Abschnitt.

Andernfalls sind die gleichen Einstellungen verfügbar, wenn Sie eine Regel erstellen, wie im Abschnitt Schritt 2: Verwenden von PowerShell zum Erstellen einer Regel für sichere Anlagen weiter oben in diesem Artikel beschrieben.

Verwenden Sie diese Syntax, um eine Regel für sichere Anlagen zu ändern:

Set-SafeAttachmentRule -Identity "<RuleName>" <Settings>

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-SafeAttachmentRule.

Verwenden von PowerShell zum Aktivieren oder Deaktivieren von Regeln für sichere Anlagen

Durch das Aktivieren oder Deaktivieren einer Regel für sichere Anlagen in PowerShell wird die gesamte Richtlinie für sichere Anlagen (die Regel für sichere Anlagen und die zugewiesene Richtlinie für sichere Anlagen) aktiviert oder deaktiviert.

Verwenden Sie diese Syntax, um eine Regel für sichere Anlagen in PowerShell zu aktivieren oder zu deaktivieren:

<Enable-SafeAttachmentRule | Disable-SafeAttachmentRule> -Identity "<RuleName>"

In diesem Beispiel wird die Regel für sichere Anlagen mit dem Namen Marketing Department deaktiviert.

Disable-SafeAttachmentRule -Identity "Marketing Department"

In diesem Beispiel wird dieselbe Regel aktiviert.

Enable-SafeAttachmentRule -Identity "Marketing Department"

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Enable-SafeAttachmentRule und Disable-SafeAttachmentRule.

Verwenden Sie PowerShell, um die Priorität der Regeln für sichere Anlagen festzulegen

Der höchste Prioritätswert, den Sie für eine Regel festlegen können, ist 0. Der niedrigste Wert, den Sie festlegen können, hängt von der Anzahl von Regeln ab. Wenn Sie z. B. fünf Regeln haben, können Sie die Prioritätswerte 0 bis 4 verwenden. Das Ändern der Priorität einer vorhandenen Regel kann sich entsprechend auf andere Regeln auswirken. Wenn Sie z. B. fünf benutzerdefinierte Regeln haben (Priorität 0 bis 4) und die Priorität einer Regel in 2 ändern, erhält die vorhandene Regel mit Priorität 2 die Priorität 3, und die Regel mit Priorität 3 erhält Priorität 4.

Um die Priorität einer Regel für sichere Anlagen in PowerShell festzulegen, verwenden Sie die folgende Syntax:

Set-SafeAttachmentRule -Identity "<RuleName>" -Priority <Number>

In diesem Beispiel wird die Priorität der Regel namens „Marketing Department“ auf 2 festgelegt. Alle vorhandenen Regeln mit Priorität kleiner oder gleich 2 werden um 1 verringert (die Prioritätswerte werden um 1 erhöht).

Set-SafeAttachmentRule -Identity "Marketing Department" -Priority 2

Hinweis: Um die Priorität einer neuen Regel beim Erstellen festzulegen, verwenden Sie stattdessen den Priority-Parameter im Cmdlet New-SafeAttachmentRule.

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-SafeAttachmentRule.

Verwenden von PowerShell zum Entfernen von Richtlinien für sichere Anlagen

Wenn Sie PowerShell verwenden, um eine Richtlinie für sichere Anlagen zu entfernen, wird die entsprechende Regel für sichere Anlagen nicht entfernt.

Verwenden Sie die folgende Syntax, um eine Richtlinie für sichere Anlagen in PowerShell zu entfernen:

Remove-SafeAttachmentPolicy -Identity "<PolicyName>"

In diesem Beispiel wird die Richtlinie für sichere Anlagen mit dem Namen Marketing Department entfernt.

Remove-SafeAttachmentPolicy -Identity "Marketing Department"

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Remove-SafeAttachmentPolicy.

Verwenden von PowerShell zum Entfernen von Regeln für sichere Anlagen

Wenn Sie PowerShell zum Entfernen einer Regel für sichere Anlagen verwenden, wird die entsprechende Richtlinie für sichere Anlagen nicht entfernt.

Verwenden Sie diese Syntax, um eine Regel für sichere Anlagen in PowerShell zu entfernen:

Remove-SafeAttachmentRule -Identity "<PolicyName>"

In diesem Beispiel wird die Regel für sichere Anlagen mit dem Namen Marketing Department entfernt.

Remove-SafeAttachmentRule -Identity "Marketing Department"

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Remove-SafeAttachmentRule.

Wie können Sie feststellen, dass diese Verfahren erfolgreich waren?

Führen Sie einen der folgenden Schritte aus, um zu überprüfen, ob Sie Richtlinien für sichere Anlagen erfolgreich erstellt, geändert oder entfernt haben:

  • Überprüfen Sie auf der Seite Sichere Anlagen im Microsoft Defender-Portal unter https://security.microsoft.com/safeattachmentv2die Liste der Richtlinien, deren Statuswerte und Prioritätswerte. Um weitere Details anzuzeigen, wählen Sie die Richtlinie aus der Liste aus, indem Sie auf den Namen klicken, und zeigen Sie die Details im Flyout an.

  • Ersetzen <Sie in Exchange Online PowerShell Name> durch den Namen der Richtlinie oder Regel, führen Sie den folgenden Befehl aus, und überprüfen Sie die Einstellungen:

    Get-SafeAttachmentPolicy -Identity "<Name>" | Format-List
    
    Get-SafeAttachmentRule -Identity "<Name>" | Format-List
    
  • Fügen Sie die URL http://spamlink.contoso.com einer Datei (z. B. einem Word Dokument) hinzu, und fügen Sie diese Datei in einer E-Mail-Nachricht an, um den Schutz sicherer Anlagen zu testen. Diese URL ähnelt der GTUBE-Textzeichenfolge zum Testen von Antispamlösungen. Diese URL ist nicht schädlich, aber wenn sie in einer E-Mail-Anlage enthalten ist, löst sie eine Schutzantwort für sichere Anlagen aus.

  • Überprüfen Sie die verfügbaren Defender for Office 365 Berichte, um zu überprüfen, ob sichere Anlagen Nachrichten überprüfen. Weitere Informationen finden Sie unter Anzeigen von Berichten für Defender for Office 365 und Verwenden von Explorer im Microsoft Defender-Portal.