Konfigurieren von Antiphishingrichtlinien in Microsoft Defender for Office 365

Tipp

Wussten Sie, dass Sie die Features in Microsoft 365 Defender für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft 365 Defender-Portal-Testversionshub. Hier erfahren Sie, wer sich registrieren und testen kann.

Gilt für

Anti-Phishing-Richtlinien in Microsoft Defender for Office 365 können Dazu beitragen, Ihre Organisation vor böswilligen, identitätswechselbasierten Phishingangriffen und anderen Arten von Phishingangriffen zu schützen. Weitere Informationen zu den Unterschieden zwischen Antiphishingrichtlinien in Exchange Online Protection (EOP) und Antiphishingrichtlinien in Microsoft Defender for Office 365 finden Sie unter Anti-Phishing-Schutz.

Administratoren können die Standardmäßige Antiphishingrichtlinie anzeigen, bearbeiten und konfigurieren (aber nicht löschen). Für eine höhere Granularität können Sie auch benutzerdefinierte Antiphishingrichtlinien erstellen, die für bestimmte Benutzer, Gruppen oder Domänen in Ihrer Organisation gelten. Benutzerdefinierte Richtlinien haben immer Vorrang vor der standardmäßigen Richtlinie, die Priorität (Reihenfolge der Ausführung) Ihrer benutzerdefinierten Richtlinien können Sie jedoch ändern.

Sie können Antiphishingrichtlinien in Defender for Office 365 im Microsoft 365 Defender-Portal oder in Exchange Online PowerShell konfigurieren.

Informationen zum Konfigurieren der eingeschränkteren Antiphishingrichtlinien, die in Exchange Online Protection (d. h. Organisationen ohne Defender for Office 365) verfügbar sind, finden Sie unter Konfigurieren von Antiphishingrichtlinien in EOP.

Die grundlegenden Elemente einer Antiphishingrichtlinie sind:

  • Die Anti-Phish-Richtlinie: Gibt die phishing-Schutzmechanismen an, die aktiviert oder deaktiviert werden sollen, und die Aktionen zum Anwenden von Optionen.
  • Die Anti-Phish-Regel: Gibt die Prioritäts- und Empfängerfilter (für die die Richtlinie gilt) für eine Anti-Phish-Richtlinie an.

Der Unterschied zwischen diesen beiden Elementen ist nicht offensichtlich, wenn Sie Antiphishingrichtlinien im Microsoft 365 Defender-Portal verwalten:

  • Wenn Sie eine Richtlinie erstellen, erstellen Sie tatsächlich eine Anti-Phish-Regel und die zugehörige Anti-Phish-Richtlinie gleichzeitig mit dem gleichen Namen für beide.
  • Wenn Sie eine Richtlinie ändern, ändern Einstellungen, die sich auf den Namen, die Priorität beziehen, aktiviert oder deaktiviert sind, und Empfängerfilter die Anti-Phish-Regel. Alle anderen Einstellungen ändern die zugeordnete Anti-Phish-Richtlinie.
  • Wenn Sie eine Richtlinie entfernen, werden die Anti-Phish-Regel und die zugehörige Anti-Phish-Richtlinie entfernt.

In Exchange Online PowerShell verwalten Sie die Richtlinie und die Regel separat. Weitere Informationen finden Sie im Abschnitt Verwenden Exchange Online PowerShell zum Konfigurieren von Antiphishingrichtlinien weiter unten in diesem Artikel.

Jede Defender for Office 365 Organisation verfügt über eine integrierte Antiphishing-Richtlinie mit dem Namen Office 365 AntiPhish Default, die über die folgenden Eigenschaften verfügt:

  • Die Richtlinie wird auf alle Empfänger in der Organisation angewendet, obwohl der Richtlinie keine Anti-Phish-Regel (Empfängerfilter) zugeordnet ist.
  • Die Richtlinie weist den benutzerdefinierten Prioritätswert Niedrigster auf, der nicht geändert werden kann (die Richtlinie wird immer als letztes angewendet). Alle benutzerdefinierten Richtlinien, die Sie erstellen, haben immer eine höhere Priorität.
  • Die Richtlinie ist die Standardrichtlinie (die IsDefault-Eigenschaft hat den Wert True), und die Standardrichtlinie kann nicht gelöscht werden.

Um die Effektivität des Anti-Phishing-Schutzes in Defender for Office 365 zu erhöhen, können Sie benutzerdefinierte Antiphishingrichtlinien mit strengeren Einstellungen erstellen, die auf bestimmte Benutzer oder Benutzergruppen angewendet werden.

Was sollten Sie wissen, bevor Sie beginnen?

  • Sie öffnen das Microsoft 365 Defender-Portal unter https://security.microsoft.com. Um direkt zur Anti-Phishing-Seite zu wechseln, verwenden Sie https://security.microsoft.com/antiphishing.

  • Wie Sie eine Verbindung mit Exchange Online PowerShell herstellen, finden Sie unter Herstellen einer Verbindung mit Exchange Online PowerShell.

  • Bevor Sie die Verfahren in diesem Artikel ausführen können, müssen Ihnen in Exchange Online Berechtigungen zugewiesen werden:

    • Zum Hinzufügen, Ändern und Löschen von Antiphishingrichtlinien müssen Sie Mitglied der Rollengruppen Organisationsverwaltung oder Sicherheitsadministrator sein.
    • Für den schreibgeschützten Zugriff auf Antiphishingrichtlinien müssen Sie Mitglied der Rollengruppen Globaler Leser oder Sicherheitsleseberechtigter* sein.

    Weitere Informationen finden Sie unter Berechtigungen in Exchange Online.

    Hinweise:

    • Durch Hinzufügen von Benutzern zur entsprechenden Azure Active Directory-Rolle im Microsoft 365 Admin Center erhalten Benutzer die erforderlichen Berechtigungen und Berechtigungen für andere Features in Microsoft 365. Weitere Informationen finden Sie unter Informationen zu Administratorrollen.
    • Die Rollengruppe Organisationsverwaltung mit Leserechten in Exchange Online ermöglicht auch einen schreibgeschützten Zugriff auf das Feature.
  • Informationen zu den empfohlenen Einstellungen für Antiphishingrichtlinien in Defender for Office 365 finden Sie unter Antiphishingrichtlinie in Defender for Office 365 Einstellungen.

  • Warten Sie bis zu 30 Minuten, bis eine neue oder aktualisierte Richtlinie angewendet wird.

  • Informationen dazu, wo Antiphishingrichtlinien in der Filterpipeline angewendet werden, finden Sie unter Reihenfolge und Rangfolge des E-Mail-Schutzes.

Verwenden des Microsoft 365 Defender-Portals zum Erstellen von Antiphishingrichtlinien

Beim Erstellen einer benutzerdefinierten Antiphishingrichtlinie im Microsoft 365 Defender-Portal werden die Anti-Phish-Regel und die zugehörige Anti-Phish-Richtlinie gleichzeitig mit demselben Namen für beide erstellt.

  1. Navigieren Sie im Microsoft 365 Defender-Portal unter https://security.microsoft.comzu Email & Richtlinien& fürdie Zusammenarbeit > Regeln >Bedrohungsrichtlinien>Antiphishing im Abschnitt Richtlinien. Um direkt zur Anti-Phishing-Seite zu wechseln, verwenden Sie https://security.microsoft.com/antiphishing.

  2. Klicken Sie auf der Seite Antiphishing auf Das Symbol Erstellen.Erstellen.

  3. Der Richtlinienassistent wird geöffnet. Konfigurieren Sie auf der Seite Richtlinienname die folgenden Einstellungen:

    • Name: Geben Sie einen eindeutigen, aussagekräftigen Namen für die Richtlinie ein.
    • Beschreibung: Geben Sie eine optionale Beschreibung für die Richtlinie ein.

    Wenn Sie fertig sind, klicken Sie auf Weiter.

  4. Auf der dann angezeigten Seite Benutzer, Gruppen und Domänen identifizieren Sie die internen Empfänger, für welche die Richtlinie gilt (Empfängerbedingungen):

    • Benutzer: Die angegebenen Postfächer, E-Mail-Benutzer oder E-Mail-Kontakte.
    • Gruppen:
      • Mitglieder der angegebenen Verteilergruppen oder E-Mail-aktivierten Sicherheitsgruppen.
      • Die angegebene Microsoft 365-Gruppen.
    • Domänen: Alle Empfänger in der angegebenen akzeptierten Domäne in Ihrer Organisation.

    Klicken Sie auf das entsprechende Feld, beginnen Sie mit der Eingabe eines Wertes, und wählen Sie den gewünschten Wert aus den Ergebnissen aus. Wiederholen Sie diesen Vorgang so oft wie nötig. Um einen vorhandenen Wert zu entfernen, klicken Sie neben dem Wert auf entfernen Symbol Entfernen .

    Für Benutzer oder Gruppen können Sie die meisten Bezeichner verwenden (Name, Anzeigename, Alias, E-Mail-Adresse, Kontoname usw.), aber in den Ergebnissen wird der entsprechende Anzeigename angezeigt. Geben Sie für Benutzer selbst ein Sternchen (*) ein, um alle verfügbaren Werte anzuzeigen.

    Mehrere Werte in derselben Bedingung verwenden OR-Logik (z. B <. recipient1> oder <recipient2>). Verschiedene Bedingungen verwenden AND-Logik (z. B. <recipient1> und <Mitglied der Gruppe 1>).

    • Ausschließen dieser Benutzer, Gruppen und Domänen: Um Ausnahmen für die internen Empfänger hinzuzufügen, für welche die Richtlinie gilt (Empfängerausnahmen), wählen Sie diese Option und konfigurieren Sie die Ausnahmen. Die Einstellungen und das Verhalten entsprechen genau den Bedingungen.

    Wichtig

    Mehrere unterschiedliche Typen von Bedingungen oder Ausnahmen sind nicht additiv, sie sind inklusiv. Die Richtlinie wird nur auf die Empfänger angewendet, die mit allen angegebenen Empfängerfiltern übereinstimmen. Beispielsweise konfigurieren Sie eine Empfängerfilterbedingung in der Richtlinie mit den folgenden Werten:

    • Benutzer: romain@contoso.com
    • Gruppen: Führungskräfte

    Die Richtlinie wird nur auf romain@contoso.com angewendet, wenn er auch Mitglied der Gruppe "Führungskräfte" ist. Wenn er kein Mitglied der Gruppe ist, wird die Richtlinie nicht auf ihn angewendet.

    Wenn Sie denselben Empfängerfilter als Ausnahme für die Richtlinie verwenden, wird die Richtlinie nicht nur auf angewendetromain@contoso.com, wenn er auch Mitglied der Gruppe "Führungskräfte" ist. Wenn er kein Mitglied der Gruppe ist, gilt die Richtlinie dennoch für ihn.

    Wenn Sie fertig sind, klicken Sie auf Weiter.

  5. Konfigurieren Sie auf der angezeigten Seite Phishingschwellenschutz & die folgenden Einstellungen:

    • Schwellenwert für Phishing-E-Mails: Verwenden Sie den Schieberegler, um einen der folgenden Werte auszuwählen:

      • 1 – Standard (Dies ist der Standardwert.)
      • 2 – Aggressiv
      • 3 - Aggressiver
      • 4 – Am aggressivsten

      Weitere Informationen finden Sie unter Erweiterte Phishingschwellenwerte in Antiphishingrichtlinien in Microsoft Defender for Office 365.

    • Identitätswechsel: Diese Einstellungen sind eine Bedingung für die Richtlinie, die bestimmte Absender identifiziert, nach denen (einzeln oder nach Domäne) in der Von-Adresse eingehender Nachrichten gesucht werden soll. Weitere Informationen finden Sie unter Identitätswechseleinstellungen in Antiphishingrichtlinien in Microsoft Defender for Office 365.

      Hinweis

      • In jeder Antiphishingrichtlinie können Sie maximal 350 geschützte Benutzer (Absender-E-Mail-Adressen) angeben. Sie können nicht denselben geschützten Benutzer in mehreren Richtlinien angeben.
      • Der Schutz vor Benutzeridentitätswechseln funktioniert nicht, wenn Absender und Empfänger zuvor per E-Mail kommuniziert haben. Wenn Absender und Empfänger noch nie per E-Mail kommuniziert haben, wird die Nachricht als Identitätswechselversuch identifiziert.
      • Schützen von Benutzern aktivieren: Der Standardwert ist deaktiviert (nicht ausgewählt). Aktivieren Sie zum Aktivieren das Kontrollkästchen, und klicken Sie dann auf den angezeigten Link Absender (nn) verwalten .

        Führen Sie im angezeigten Flyout Absender für Identitätswechselschutz verwalten die folgenden Schritte aus:

        • Interne Absender: Klicken Sie auf Internes Symbol hinzufügen.Wählen Sie Intern aus. Klicken Sie im angezeigten Flyout Interne Absender hinzufügen in das Feld, und wählen Sie einen internen Benutzer aus der Liste aus. Sie können die Liste filtern, indem Sie den Benutzer eingeben und dann den Benutzer aus den Ergebnissen auswählen. Sie können die meisten Bezeichner (Name, Anzeigename, Alias, E-Mail-Adresse, Kontoname usw.) verwenden, aber der entsprechende Anzeigename wird in den Ergebnissen angezeigt.

          Wiederholen Sie diesen Schritt so oft wie nötig. Um einen vorhandenen Wert zu entfernen, klicken Sie neben dem Wert auf entfernen Symbol Entfernen .

          Wenn Sie fertig sind, klicken Sie auf Hinzufügen.

        • Externe Absender: Klicken Sie auf Externes Symbol hinzufügen.Wählen Sie extern aus. Geben Sie im angezeigten Flyout Add external senders (Externe Absender hinzufügen ) im Feld Add a name (Name hinzufügen ) einen Anzeigenamen und eine E-Mail-Adresse in das Feld Vaild-E-Mail hinzufügen ein, und klicken Sie dann auf Hinzufügen.

          Wiederholen Sie diesen Schritt so oft wie nötig. Um einen vorhandenen Wert zu entfernen, klicken Sie neben dem Wert auf entfernen Symbol Entfernen .

          Wenn Sie fertig sind, klicken Sie auf Hinzufügen.

        Zurück zum Flyout Absender für Identitätswechsel verwalten können Sie Einträge entfernen, indem Sie einen oder mehrere Einträge aus der Liste auswählen. Sie können mithilfe des Suchsymbols nach Einträgen suchen. Suchfeld.

        Nachdem Sie mindestens einen Eintrag ausgewählt haben, wird das Symbol Ausgewählte Benutzer entfernen angezeigt.Das Symbol "Ausgewählte Benutzer entfernen" wird angezeigt, mit dem Sie die ausgewählten Einträge entfernen können.

        Wenn Sie den Vorgang abgeschlossen haben, klicken Sie auf Fertig.

      • Zu schützende Domänen aktivieren: Der Standardwert ist deaktiviert (nicht ausgewählt). Um es zu aktivieren, aktivieren Sie das Kontrollkästchen, und konfigurieren Sie dann eine oder beide der folgenden Einstellungen, die angezeigt werden:

        • Domänen einschließen, die ich besitze: Aktivieren Sie das Kontrollkästchen, um diese Einstellung zu aktivieren. Klicken Sie auf Meine Domänen anzeigen, um die Domänen anzuzeigen, die Sie besitzen.

        • Benutzerdefinierte Domänen einschließen: Um diese Einstellung zu aktivieren, aktivieren Sie das Kontrollkästchen, und klicken Sie dann auf den angezeigten Link Benutzerdefinierte Domänen (nn) verwalten . Klicken Sie im angezeigten Flyout Benutzerdefinierte Domänen für Den Identitätswechselschutz verwalten auf das Symbol Domänen hinzufügen.Fügen Sie Domänen hinzu.

          Klicken Sie im angezeigten Flyout Benutzerdefinierte Domänen hinzufügen in das Feld Domäne , geben Sie einen Wert ein, und drücken Sie dann die EINGABETASTE, oder wählen Sie den Wert aus, der unterhalb des Felds angezeigt wird. Wiederholen Sie diesen Schritt so oft wie nötig. Um einen vorhandenen Wert zu entfernen, klicken Sie neben dem Wert auf entfernen Symbol Entfernen .

          Wenn Sie fertig sind, klicken Sie auf Domänen hinzufügen.

          Hinweis

          In allen Antiphishingrichtlinien können maximal 50 Domänen enthalten sein.

        Zurück zum Flyout Benutzerdefinierte Domänen für Identitätswechsel verwalten können Sie Einträge entfernen, indem Sie einen oder mehrere Einträge aus der Liste auswählen. Sie können mithilfe des Suchsymbols nach Einträgen suchen. Suchfeld.

        Nachdem Sie mindestens einen Eintrag ausgewählt haben, wird das Symbol Domänen löschen angezeigt.Das Symbol "Löschen" wird angezeigt, mit dem Sie die ausgewählten Einträge entfernen können.

    • Vertrauenswürdige Absender und Domänen hinzufügen: Geben Sie Ausnahmen vor Identitätswechselschutz für die Richtlinie an, indem Sie auf Vertrauenswürdige Absender und Domänen verwalten (nn) klicken. Konfigurieren Sie im angezeigten Flyout Benutzerdefinierte Domänen für Identitätswechselschutz verwalten die folgenden Einstellungen:

      • Absender: Vergewissern Sie sich, dass die Registerkarte Absender ausgewählt ist, und klicken Sie auf Das Symbol . Geben Sie im angezeigten Flyout vertrauenswürdige Absender hinzufügen eine E-Mail-Adresse in das Feld ein, und klicken Sie dann auf Hinzufügen. Wiederholen Sie diesen Schritt so oft wie nötig. Um einen vorhandenen Eintrag zu entfernen, klicken Sie auf das Symbol Löschen für den Eintrag.

        Klicken Sie nach Abschluss des Vorgangs auf Hinzufügen.

      • Domänen: Wählen Sie die Registerkarte Domäne aus, und klicken Sie auf Symbol .

        Klicken Sie im angezeigten Flyout Vertrauenswürdige Domänen hinzufügen auf das Feld Domäne , geben Sie einen Wert ein, und drücken Sie dann die EINGABETASTE, oder wählen Sie den Wert aus, der unterhalb des Felds angezeigt wird. Wiederholen Sie diesen Schritt so oft wie nötig. Um einen vorhandenen Wert zu entfernen, klicken Sie neben dem Wert auf entfernen Symbol Entfernen .

        Klicken Sie nach Abschluss des Vorgangs auf Hinzufügen.

      Hinweis

      • Wenn Microsoft 365-Systemnachrichten von den folgenden Absendern als Identitätswechselversuche identifiziert werden, können Sie die Absender der Liste der vertrauenswürdigen Absender hinzufügen:

        • noreply@email.teams.microsoft.com
        • noreply@emeaemail.teams.microsoft.com
        • no-reply@sharepointonline.com
      • Vertrauenswürdige Domäneneinträge enthalten keine Unterdomänen der angegebenen Domäne. Sie müssen für jede Unterdomäne einen Eintrag hinzufügen.

      Zurück zum Flyout Benutzerdefinierte Domänen für Identitätswechsel verwalten können Sie Einträge aus den Registerkarten Absender und Domäne entfernen, indem Sie einen oder mehrere Einträge aus der Liste auswählen. Sie können mithilfe des Suchsymbols nach Einträgen suchen. Suchfeld.

      Nachdem Sie mindestens einen Eintrag ausgewählt haben, wird das Symbol Löschen angezeigt, mit dem Sie die ausgewählten Einträge entfernen können.

      Wenn Sie den Vorgang abgeschlossen haben, klicken Sie auf Fertig.

      Hinweis

      Die maximale Anzahl von Absender- und Domäneneinträgen beträgt 1024.

    • Postfachintelligenz aktivieren: Der Standardwert ist aktiviert (ausgewählt), und es wird empfohlen, ihn aktiviert zu lassen. Deaktivieren Sie das Kontrollkästchen, um es zu deaktivieren.

      • Intelligenzbasierten Identitätswechselschutz aktivieren: Diese Einstellung ist nur verfügbar, wenn Postfachintelligenz aktivieren aktiviert (ausgewählt) ist. Diese Einstellung ermöglicht der Postfachintelligenz, Aktionen für Nachrichten zu ergreifen, die als Identitätswechselversuche identifiziert werden. Sie geben die auszuführende Aktion in der Einstellung Wenn Postfachintelligenz einen Benutzer im Identitätswechsel erkennt auf der nächsten Seite an.

        Es wird empfohlen, diese Einstellung durch Aktivieren des Kontrollkästchens zu aktivieren. Deaktivieren Sie das Kontrollkästchen, um diese Einstellung zu deaktivieren.

    • Spoof: Verwenden Sie in diesem Abschnitt das Kontrollkästchen Spoofintelligenz aktivieren , um Spoofintelligenz zu aktivieren oder zu deaktivieren. Der Standardwert ist On (ausgewählt), und es wird empfohlen, ihn aktiviert zu lassen. Sie geben die Aktion für Nachrichten von blockierten gefälschten Absendern in der Einstellung Wenn Nachricht als Spoof erkannt wird auf der nächsten Seite an.

      Deaktivieren Sie das Kontrollkästchen, um Spoofintelligenz zu deaktivieren.

      Hinweis

      Sie müssen den Anti-Spoofing-Schutz nicht deaktivieren, wenn Ihr MX-Eintrag nicht auf Microsoft 365 verweist. sie stattdessen die erweiterte Filterung für Connectors aktivieren. Anweisungen finden Sie unter Erweiterte Filterung für Connectors in Exchange Online.

    Wenn Sie fertig sind, klicken Sie auf Weiter.

  6. Konfigurieren Sie auf der angezeigten Seite Aktionen die folgenden Einstellungen:

    • Nachrichtenaktionen: Konfigurieren Sie die folgenden Aktionen in diesem Abschnitt:

      • Wenn die Nachricht als benutzeridentitätswechsel erkannt wird: Diese Einstellung ist nur verfügbar, wenn Sie auf der vorherigen Seite Die Option Benutzerschutz aktivieren ausgewählt haben. Wählen Sie eine der folgenden Aktionen in der Dropdownliste für Nachrichten aus, bei denen der Absender einer der geschützten Benutzer ist, die Sie auf der vorherigen Seite angegeben haben:

        • Keine Aktion anwenden

        • Umleiten einer Nachricht an andere E-Mail-Adressen

        • Verschieben einer Nachricht in die Junk-Email Ordner der Empfänger

        • Nachricht unter Quarantäne stellen: Wenn Sie diese Aktion auswählen, wird das Feld Quarantänerichtlinie anwenden angezeigt, in dem Sie die Quarantänerichtlinie auswählen, die für Nachrichten gilt, die durch schutz vor Benutzeridentitätswechsel unter Quarantäne gesetzt werden. Mithilfe von Quarantänerichtlinien wird definiert, welche Aktionen Benutzer mit in Quarantäne befindlichen Nachrichten ausführen können und ob Benutzer Quarantänebenachrichtigungen erhalten. Weitere Informationen finden Sie unter Quarantänerichtlinien.

          Ein leerer Wert Quarantänerichtlinie anwenden bedeutet, dass die Standardquarantänerichtlinie verwendet wird (DefaultFullAccessPolicy für Benutzeridentitätserkennungen). Wenn Sie später die Antiphishingrichtlinie bearbeiten oder die Einstellungen anzeigen, wird der Name der Standardquarantänerichtlinie angezeigt.

        • Übermitteln Sie die Nachricht, und fügen Sie der Bcc-Zeile weitere Adressen hinzu.

        • Löschen der Nachricht vor der Übermittlung

      • Wenn die Nachricht als Identitätswechseldomäne erkannt wird: Diese Einstellung ist nur verfügbar, wenn Sie auf der vorherigen Seite Schützende Domänen aktivieren ausgewählt haben. Wählen Sie eine der folgenden Aktionen in der Dropdownliste für Nachrichten aus, bei denen sich die E-Mail-Adresse des Absenders in einer der geschützten Domänen befindet, die Sie auf der vorherigen Seite angegeben haben:

        • Keine Aktion anwenden

        • Umleiten einer Nachricht an andere E-Mail-Adressen

        • Verschieben einer Nachricht in die Junk-Email Ordner der Empfänger

        • Nachricht unter Quarantäne stellen: Wenn Sie diese Aktion auswählen, wird das Feld Quarantänerichtlinie anwenden angezeigt, in dem Sie die Quarantänerichtlinie auswählen, die für Nachrichten gilt, die durch Den Schutz vor Domänenidentitätswechsel unter Quarantäne stehen.

          Ein leerer Wert Quarantänerichtlinie anwenden bedeutet, dass die Standardquarantänerichtlinie verwendet wird (DefaultFullAccessPolicy für Domänenidentitätserkennungen). Wenn Sie später die Antiphishingrichtlinie bearbeiten oder die Einstellungen anzeigen, wird der Name der Standardquarantänerichtlinie angezeigt.

        • Übermitteln Sie die Nachricht, und fügen Sie der Bcc-Zeile weitere Adressen hinzu.

        • Löschen der Nachricht vor der Übermittlung

      • Wenn die Postfachintelligenz einen benutzer imitierten Benutzer erkennt: Diese Einstellung ist nur verfügbar, wenn Sie auf der vorherigen Seite Die Option Intelligenz für Identitätswechselschutz aktivieren ausgewählt haben. Wählen Sie eine der folgenden Aktionen in der Dropdownliste für Nachrichten aus, die von Postfachintelligenz als Identitätswechselversuche identifiziert wurden:

        • Keine Aktion anwenden

        • Umleiten einer Nachricht an andere E-Mail-Adressen

        • Verschieben einer Nachricht in die Junk-Email Ordner der Empfänger

        • Nachricht in Quarantäne stellen: Wenn Sie diese Aktion auswählen, wird das Feld Quarantänerichtlinie anwenden angezeigt, in dem Sie die Quarantänerichtlinie auswählen, die für Nachrichten gilt, die durch postfachintelligenten Schutz unter Quarantäne gesetzt werden. Mithilfe von Quarantänerichtlinien wird definiert, welche Aktionen Benutzer mit in Quarantäne befindlichen Nachrichten ausführen können und ob Benutzer Quarantänebenachrichtigungen erhalten. Weitere Informationen finden Sie unter Quarantänerichtlinien.

          Ein leerer Wert Quarantänerichtlinie anwenden bedeutet, dass die Standardquarantänerichtlinie verwendet wird (DefaultFullAccessPolicy für Postfachintelligenzerkennungen). Wenn Sie später die Antiphishingrichtlinie bearbeiten oder die Einstellungen anzeigen, wird der Name der Standardquarantänerichtlinie angezeigt.

        • Übermitteln Sie die Nachricht, und fügen Sie der Bcc-Zeile weitere Adressen hinzu.

        • Löschen der Nachricht vor der Übermittlung

      • Wenn die Nachricht als Spoof erkannt wird: Diese Einstellung ist nur verfügbar, wenn Sie auf der vorherigen Seite Spoofintelligenz aktivieren ausgewählt haben. Wählen Sie eine der folgenden Aktionen in der Dropdownliste für Nachrichten von blockierten gefälschten Absendern aus:

        • Verschieben einer Nachricht in die Junk-Email Ordner der Empfänger

        • Nachricht unter Quarantäne stellen: Wenn Sie diese Aktion auswählen, wird das Feld Quarantänerichtlinie anwenden angezeigt, in dem Sie die Quarantänerichtlinie auswählen, die für Nachrichten gilt, die durch Spoofintelligenzschutz unter Quarantäne gesetzt werden. Mithilfe von Quarantänerichtlinien wird definiert, welche Aktionen Benutzer mit in Quarantäne befindlichen Nachrichten ausführen können und ob Benutzer Quarantänebenachrichtigungen erhalten. Weitere Informationen finden Sie unter Quarantänerichtlinien.

          Ein leerer Wert Quarantänerichtlinie anwenden bedeutet, dass die Standardquarantänerichtlinie verwendet wird (DefaultFullAccessPolicy für Spoofintelligenzerkennungserkennungen). Wenn Sie später die Antiphishingrichtlinie bearbeiten oder die Einstellungen anzeigen, wird der Name der Standardquarantänerichtlinie angezeigt.

    • Indikatoren für Sicherheitstipps&: Konfigurieren Sie die folgenden Einstellungen:

      • Sicherheitstipp für ersten Kontakt anzeigen: Weitere Informationen finden Sie unter Sicherheitstipp für den ersten Kontakt.
      • Sicherheitstipp zum Benutzerwechsel anzeigen: Diese Einstellung ist nur verfügbar, wenn Sie auf der vorherigen Seite Benutzerschutz aktivieren ausgewählt haben.
      • Sicherheitstipp zum Domänenwechsel anzeigen: Diese Einstellung ist nur verfügbar, wenn Sie auf der vorherigen Seite Die Option Schützende Domänen aktivieren ausgewählt haben.
      • Sicherheitstipp zum Anzeigen des Benutzeridentitätswechsels mit ungewöhnlichen Zeichen Diese Einstellung ist nur verfügbar, wenn Sie auf der vorherigen Seite Benutzer schützen oder Schützen von Domänen aktivieren ausgewählt haben.
      • Anzeigen (?) für nicht authentifizierte Absender für Spoofs: Diese Einstellung ist nur verfügbar, wenn Sie auf der vorherigen Seite Spoofintelligenz aktivieren ausgewählt haben. Fügt dem Foto des Absenders im Feld Von in Outlook ein Fragezeichen (?) hinzu, wenn die Nachricht SPF- oder DKIM-Überprüfungen nicht besteht und die Nachricht die DMARC- oder verbundbasierte Authentifizierung nicht besteht.
      • Tag "via" anzeigen: Diese Einstellung ist nur verfügbar, wenn Sie auf der vorherigen Seite Spoofintelligenz aktivieren ausgewählt haben. Fügt der From-Adresse ein Übertag (chris@contoso.com über fabrikam.com) hinzu, wenn es sich von der Domäne in der DKIM-Signatur oder der MAIL FROM-Adresse unterscheidet. Der Standardwert ist "On" (ausgewählt). Deaktivieren Sie das Kontrollkästchen, um es zu deaktivieren.

      Aktivieren Sie das Kontrollkästchen, um eine Einstellung zu aktivieren. Deaktivieren Sie das Kontrollkästchen, um es zu deaktivieren.

    Wenn Sie fertig sind, klicken Sie auf Weiter.

  7. Überprüfen Sie auf der angezeigten Seite Überprüfung Ihre Einstellungen. Sie können in jedem Abschnitt Bearbeiten auswählen, um die Einstellungen in diesem Abschnitt zu ändern. Alternativ können Sie auf Zurück klicken oder die entsprechende Seite im Assistenten auswählen.

    Klicken Sie nach Abschluss des Vorgangs auf Senden.

  8. Klicken Sie in der angezeigten Bestätigungsseite auf Fertig.

Verwenden des Microsoft 365 Defender-Portals zum Anzeigen von Antiphishingrichtlinien

  1. Navigieren Sie im Microsoft 365 Defender-Portal im Abschnitt Richtlinien zu Email & Richtlinien& für die Zusammenarbeit > Regeln >Bedrohungsrichtlinien>Antiphishing.

  2. Auf der Seite Antiphishing werden die folgenden Eigenschaften in der Liste der Antiphishingrichtlinien angezeigt:

    • Name
    • Status
    • Priorität
    • Zuletzt geändert
  3. Wenn Sie eine Richtlinie auswählen, indem Sie auf den Namen klicken, werden die Richtlinieneinstellungen in einem Flyout angezeigt.

Verwenden des Microsoft 365 Defender-Portals zum Ändern von Antiphishingrichtlinien

  1. Navigieren Sie im Microsoft 365 Defender-Portal unter https://security.microsoft.comzu Email & Richtlinien& fürdie Zusammenarbeit > Regeln >Bedrohungsrichtlinien>Antiphishing im Abschnitt Richtlinien. Um direkt zur Anti-Phishing-Seite zu wechseln, verwenden Sie https://security.microsoft.com/antiphishing.

  2. Wählen Sie auf der Seite Antiphishing eine Richtlinie aus der Liste aus, indem Sie auf den Namen klicken.

  3. Wählen Sie im angezeigten Flyout für die Richtliniendetails in jedem Abschnitt die Option Bearbeiten aus, um die Einstellungen innerhalb des Abschnitts zu ändern. Weitere Informationen zu den Einstellungen finden Sie weiter oben in diesem Artikel im Abschnitt Verwenden des Microsoft 365 Defender-Portals zum Erstellen von Antiphishingrichtlinien.

    Für die Standardmäßige Antiphishingrichtlinie ist der Abschnitt Benutzer, Gruppen und Domänen nicht verfügbar (die Richtlinie gilt für alle), und Sie können die Richtlinie nicht umbenennen.

Informationen zum Aktivieren oder Deaktivieren einer Richtlinie oder zum Festlegen der Reihenfolge der Richtlinienpriorität finden Sie in den folgenden Abschnitten.

Aktivieren oder Deaktivieren von benutzerdefinierten Antiphishingrichtlinien

Sie können die Standardmäßige Antiphishingrichtlinie nicht deaktivieren.

  1. Navigieren Sie im Microsoft 365 Defender-Portal unter https://security.microsoft.comzu Email & Richtlinien& fürdie Zusammenarbeit > Regeln >Bedrohungsrichtlinien>Antiphishing im Abschnitt Richtlinien. Um direkt zur Anti-Phishing-Seite zu wechseln, verwenden Sie https://security.microsoft.com/antiphishing.

  2. Wählen Sie auf der Seite Antiphishing eine benutzerdefinierte Richtlinie aus der Liste aus, indem Sie auf den Namen klicken.

  3. Ganz oben im angezeigten Flyout der Richtliniendetails werden Sie einen der folgenden Werte sehen:

    • Richtlinie deaktiviert: Um die Richtlinie zu aktivieren, klicken Sie auf Symbol Aktivieren.Aktivieren Sie .
    • Richtlinie aktiviert: Um die Richtlinie zu deaktivieren, klicken Sie auf Symbol Deaktivieren Sie.
  4. Klicken Sie im angezeigten Bestätigungsdialog auf Aktivieren oder Deaktivieren.

  5. Klicken Sie im Flyout der Richtliniendetails auf Schließen.

Zurück auf der Richtlinien-Hauptseite wird der Wert Status der Richtlinie Aktiviert oder Deaktiviert sein.

Festlegen der Priorität benutzerdefinierter Antiphishingrichtlinien

Standardmäßig erhalten Antiphishingrichtlinien eine Priorität, die auf der Reihenfolge basiert, in der sie erstellt wurden (neuere Richtlinien haben eine niedrigere Priorität als ältere Richtlinien). Eine niedrigere Prioritätsnummer gibt eine höhere Priorität für die Richtlinie an (0 ist die höchste), und Richtlinien werden in der Reihenfolge der Priorität verarbeitet (Richtlinien mit einer höheren Priorität werden vor Richtlinien mit einer niedrigeren Priorität verarbeitet). Keine zwei Richtlinien können die gleiche Priorität aufweisen, und die Richtlinienverarbeitung endet, nachdem die erste Richtlinie angewendet wurde.

Um die Priorität einer Richtlinie zu ändern, klicken Sie in den Eigenschaften einer Richtlinie auf Priorität erhöhen oder Priorität verringern (Sie können den Zahlenwert der Priorität im Microsoft 365 Defender-Portal nicht direkt modifizieren). Die Priorität einer Richtlinie zu verändern macht nur Sinn, wenn Sie mehrere Richtlinien haben.

Anmerkungen:

  • Im Microsoft 365 Defender-Portal können Sie die Priorität der Antiphishingrichtlinie erst ändern, nachdem Sie sie erstellt haben. In PowerShell können Sie die Standardpriorität überschreiben, wenn Sie die Anti-Phish-Regel erstellen (was sich auf die Priorität vorhandener Regeln auswirken kann).
  • Antiphishingrichtlinien werden in der Reihenfolge verarbeitet, in der sie angezeigt werden (die erste Richtlinie hat den Prioritätswert 0). Die Standardmäßige Antiphishingrichtlinie hat den Prioritätswert Niedrigste, und Sie können ihn nicht ändern.
  1. Navigieren Sie im Microsoft 365 Defender-Portal unter https://security.microsoft.comzu Email & Richtlinien& fürdie Zusammenarbeit > Regeln >Bedrohungsrichtlinien>Antiphishing im Abschnitt Richtlinien. Um direkt zur Anti-Phishing-Seite zu wechseln, verwenden Sie https://security.microsoft.com/antiphishing.

  2. Wählen Sie auf der Seite Antiphishing eine benutzerdefinierte Richtlinie aus der Liste aus, indem Sie auf den Namen klicken.

  3. Ganz oben im angezeigten Flyout der Richtliniendetails werden Sie Priorität erhöhen oder Priorität verringern sehen, abhängig vom aktuellen Prioritätswert und der Anzahl der benutzerdefinierten Richtlinien:

    • Für die Richtlinie mit dem Prioritätswert0 ist nur die Option Priorität verringern verfügbar.
    • Für die Richtlinie mit dem niedrigsten Prioritätswert (z. B. 3) ist nur die Option Priorität erhöhen verfügbar.
    • Wenn Sie über drei oder mehr Richtlinien verfügen, stehen für die Richtlinien zwischen dem höchsten und dem niedrigsten Prioritätswert sowohl die Optionen Priorität erhöhen als auch Priorität verringern zur Verfügung.

    Klicken Sie auf das Symbol Priorität erhöhen.Priorität erhöhen oder Symbol Verringern Sie die Priorität, um den Prioritätswert zu ändern.

  4. Wenn Sie den Vorgang abgeschlossen haben, klicken Sie im Flyout der Richtliniendetails auf Schließen.

Verwenden des Microsoft 365 Defender-Portals zum Entfernen benutzerdefinierter Antiphishingrichtlinien

Wenn Sie das Microsoft 365 Defender-Portal verwenden, um eine benutzerdefinierte Antiphishingrichtlinie zu entfernen, werden die Anti-Phish-Regel und die entsprechende Anti-Phish-Richtlinie gelöscht. Sie können die Standardmäßige Antiphishingrichtlinie nicht entfernen.

  1. Navigieren Sie im Microsoft 365 Defender-Portal unter https://security.microsoft.comzu Email & Richtlinien& fürdie Zusammenarbeit > Regeln >Bedrohungsrichtlinien>Antiphishing im Abschnitt Richtlinien. Um direkt zur Anti-Phishing-Seite zu wechseln, verwenden Sie https://security.microsoft.com/antiphishing.

  2. Wählen Sie auf der Seite Antiphishing eine benutzerdefinierte Richtlinie aus der Liste aus, indem Sie auf den Namen der Richtlinie klicken.

  3. Klicken Sie oben im angezeigten Flyout mit den Richtliniendetails auf Das Symbol Weitere Aktionen.Weitere Aktionen>Symbol Richtlinie löschen.

  4. Klicken Sie im angezeigten Bestätigungsdialog auf Ja.

Verwenden von Exchange Online PowerShell zum Konfigurieren von Antiphishingrichtlinien

Wie bereits beschrieben, besteht eine Antispamrichtlinie aus einer Anti-Phish-Richtlinie und einer Anti-Phish-Regel.

In Exchange Online PowerShell ist der Unterschied zwischen Anti-Phish-Richtlinien und Anti-Phish-Regeln offensichtlich. Sie verwalten Anti-Phish-Richtlinien mithilfe der Cmdlets *-AntiPhishPolicy , und Sie verwalten Anti-Phish-Regeln mithilfe der *-AntiPhishRule-Cmdlets .

  • In PowerShell erstellen Sie zuerst die Anti-Phish-Richtlinie und dann die Anti-Phish-Regel, die die Richtlinie identifiziert, für die die Regel gilt.
  • In PowerShell ändern Sie die Einstellungen in der Anti-Phish-Richtlinie und der Anti-Phish-Regel separat.
  • Wenn Sie eine Anti-Phish-Richtlinie aus PowerShell entfernen, wird die entsprechende Anti-Phish-Regel nicht automatisch entfernt und umgekehrt.

Verwenden von PowerShell zum Erstellen von Antiphishingrichtlinien

Das Erstellen einer Antiphishingrichtlinie in PowerShell ist ein zweistufiger Prozess:

  1. Erstellen Sie die Anti-Phish-Richtlinie.
  2. Erstellen Sie die Anti-Phish-Regel, die die Anti-Phish-Richtlinie angibt, für die die Regel gilt.

Hinweise:

  • Sie können eine neue Anti-Phish-Regel erstellen und ihr eine vorhandene, nicht zugeordnete Anti-Phish-Richtlinie zuweisen. Eine Anti-Phish-Regel kann nicht mit mehr als einer Anti-Phish-Richtlinie verknüpft werden.
  • Sie können die folgenden Einstellungen für neue Anti-Phish-Richtlinien in PowerShell konfigurieren, die erst nach dem Erstellen der Richtlinie im Microsoft 365 Defender-Portal verfügbar sind:
    • Erstellen Sie die neue Richtlinie als deaktiviert (Im Cmdlet New-AntiPhishRuleaktiviert$false).
    • Legen Sie die Priorität der Richtlinie während der Erstellung (Prioritätsnummer<>) im Cmdlet New-AntiPhishRule fest.
  • Eine neue Anti-Phish-Richtlinie, die Sie in PowerShell erstellen, wird im Microsoft 365 Defender-Portal erst angezeigt, wenn Sie die Richtlinie einer Anti-Phish-Regel zuweisen.

Schritt 1: Verwenden von PowerShell zum Erstellen einer Anti-Phish-Richtlinie

Verwenden Sie diese Syntax, um eine Anti-Phish-Richtlinie zu erstellen:

New-AntiPhishPolicy -Name "<PolicyName>" [-AdminDisplayName "<Comments>"] <Additional Settings>

In diesem Beispiel wird eine Anti-Phish-Richtlinie namens Forschungsquarantäne mit den folgenden Einstellungen erstellt:

  • Die Richtlinie ist aktiviert (wir verwenden nicht den Parameter Enabled , und der Standardwert ist $true).
  • Die Beschreibung lautet: Politik der Forschungsabteilung.
  • Ändert die Standardaktion für Spoofingerkennungen in Quarantäne und verwendet die Standardquarantänerichtlinie für die unter Quarantäne stehenden Nachrichten (wir verwenden nicht den SpoofQuarantineTag-Parameter ).
  • Aktiviert den Schutz von Organisationsdomänen für alle akzeptierten Domänen und den Schutz von Zieldomänen für fabrikam.com.
  • Gibt Quarantäne als Aktion für Die Erkennung von Domänenidentitätswechseln an und verwendet die Standardquarantänerichtlinie für die in Quarantäne befindlichen Nachrichten (der TargetedDomainQuarantineTag-Parameter wird nicht verwendet).
  • Gibt Mai Fujito (mfujito@fabrikam.com) als Benutzer an, der vor Identitätswechsel geschützt werden soll.
  • Gibt Quarantäne als Aktion für Die Erkennung von Benutzeridentitätswechseln an und verwendet die Standardquarantänerichtlinie für die unter Quarantäne gesteckten Nachrichten (der TargetedUserQuarantineTag-Parameter wird nicht verwendet).
  • Aktiviert Postfachintelligenz (EnableMailboxIntelligence), ermöglicht dem Schutz der Postfachintelligenz das Ausführen von Aktionen für Nachrichten (EnableMailboxIntelligenceProtection), gibt Quarantäne als Aktion für erkannte Nachrichten an und verwendet die Standardquarantänerichtlinie für die unter Quarantäne geschalteten Nachrichten (der Parameter MailboxIntelligenceQuarantineTag wird nicht verwendet).
  • Aktiviert alle Sicherheitstipps.
New-AntiPhishPolicy -Name "Monitor Policy" -AdminDisplayName "Research department policy" -AuthenticationFailAction Quarantine -EnableOrganizationDomainsProtection $true -EnableTargetedDomainsProtection $true -TargetedDomainsToProtect fabrikam.com -TargetedDomainProtectionAction Quarantine -EnableTargetedUserProtection $true -TargetedUsersToProtect "Mai Fujito;mfujito@fabrikam.com" -TargetedUserProtectionAction Quarantine -EnableMailboxIntelligence $true -EnableMailboxIntelligenceProtection $true -MailboxIntelligenceProtectionAction Quarantine -EnableSimilarUsersSafetyTips $true -EnableSimilarDomainsSafetyTips $true -EnableUnusualCharactersSafetyTips $true

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-AntiPhishPolicy.

Hinweis

Ausführliche Anweisungen zum Angeben der Quarantänerichtlinien , die in einer Anti-Phishing-Richtlinie verwendet werden sollen, finden Sie unter Verwenden von PowerShell zum Angeben der Quarantänerichtlinie in Antiphishingrichtlinien.

Schritt 2: Verwenden von PowerShell zum Erstellen einer Anti-Phish-Regel

Verwenden Sie diese Syntax, um eine Anti-Phish-Regel zu erstellen:

New-AntiPhishRule -Name "<RuleName>" -AntiPhishPolicy "<PolicyName>" <Recipient filters> [<Recipient filter exceptions>] [-Comments "<OptionalComments>"]

In diesem Beispiel wird eine Anti-Phish-Regel mit dem Namen Research Department mit den folgenden Bedingungen erstellt:

  • Die Regel ist der Anti-Phish-Richtlinie namens Forschungsquarantäne zugeordnet.
  • Die Regel gilt für Mitglieder der Gruppe „Research Department“.
  • Da wir den Priority-Parameter nicht verwenden, wird die Standardpriorität verwendet.
New-AntiPhishRule -Name "Research Department" -AntiPhishPolicy "Research Quarantine" -SentToMemberOf "Research Department"

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-AntiPhishRule.

Verwenden von PowerShell zum Anzeigen von Anti-Phish-Richtlinien

Verwenden Sie die folgende Syntax, um vorhandene Anti-Phish-Richtlinien anzuzeigen:

Get-AntiPhishPolicy [-Identity "<PolicyIdentity>"] [| <Format-Table | Format-List> <Property1,Property2,...>]

In diesem Beispiel wird eine Zusammenfassungsliste aller Anti-Phish-Richtlinien zusammen mit den angegebenen Eigenschaften zurückgegeben.

Get-AntiPhishPolicy | Format-Table Name,IsDefault

In diesem Beispiel werden alle Eigenschaftswerte für die Anti-Phish-Richtlinie mit dem Namen Executives zurückgegeben.

Get-AntiPhishPolicy -Identity "Executives"

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-AntiPhishPolicy.

Verwenden von PowerShell zum Anzeigen von Anti-Phish-Regeln

Verwenden Sie die folgende Syntax, um vorhandene Anti-Phish-Regeln anzuzeigen:

Get-AntiPhishRule [-Identity "<RuleIdentity>"] [-State <Enabled | Disabled] [| <Format-Table | Format-List> <Property1,Property2,...>]

In diesem Beispiel wird eine Zusammenfassungsliste aller Anti-Phish-Regeln zusammen mit den angegebenen Eigenschaften zurückgegeben.

Get-AntiPhishRule | Format-Table Name,Priority,State

Führen Sie die folgenden Befehle aus, um die Liste nach aktivierten oder deaktivierten Regeln zu filtern:

Get-AntiPhishRule -State Disabled | Format-Table Name,Priority
Get-AntiPhishRule -State Enabled | Format-Table Name,Priority

In diesem Beispiel werden alle Eigenschaftswerte für die Anti-Phish-Regel namens Contoso Executives zurückgegeben.

Get-AntiPhishRule -Identity "Contoso Executives"

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-AntiPhishRule.

Verwenden von PowerShell zum Ändern von Anti-Phish-Richtlinien

Abgesehen von den folgenden Elementen sind die gleichen Einstellungen verfügbar, wenn Sie eine Anti-Phish-Richtlinie in PowerShell ändern, wie beim Erstellen der Richtlinie, wie weiter oben in diesem Artikel im Abschnitt Schritt 1: Erstellen einer Anti-Phish-Richtlinie beschrieben.

  • Der MakeDefault-Schalter , mit dem die angegebene Richtlinie in die Standardrichtlinie umgewandelt wird (gilt für alle, immer niedrigste Priorität, und Sie können sie nicht löschen) ist nur verfügbar, wenn Sie eine Anti-Phish-Richtlinie in PowerShell ändern.

  • Sie können eine Anti-Phish-Richtlinie nicht umbenennen (das Cmdlet Set-AntiPhishPolicy hat keinen Parameter Name ). Wenn Sie eine Antiphishingrichtlinie im Microsoft 365 Defender-Portal umbenennen, benennen Sie nur die Anti-Phishing-Regel um.

Verwenden Sie die folgende Syntax, um eine Anti-Phish-Richtlinie zu ändern:

Set-AntiPhishPolicy -Identity "<PolicyName>" <Settings>

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-AntiPhishPolicy.

Hinweis

Ausführliche Anweisungen zum Angeben der Quarantänerichtlinien , die in einer Anti-Phishing-Richtlinie verwendet werden sollen, finden Sie unter Verwenden von PowerShell zum Angeben der Quarantänerichtlinie in Antiphishingrichtlinien.

Verwenden von PowerShell zum Ändern von Anti-Phish-Regeln

Die einzige Einstellung, die beim Ändern einer Anti-Phish-Regel in PowerShell nicht verfügbar ist, ist der Parameter Enabled , mit dem Sie eine deaktivierte Regel erstellen können. Informationen zum Aktivieren oder Deaktivieren vorhandener Anti-Phish-Regeln finden Sie im nächsten Abschnitt.

Andernfalls sind keine zusätzlichen Einstellungen verfügbar, wenn Sie eine Anti-Phish-Regel in PowerShell ändern. Die gleichen Einstellungen sind verfügbar, wenn Sie eine Regel erstellen, wie im Abschnitt Schritt 2: Verwenden von PowerShell zum Erstellen einer Anti-Phish-Regel weiter oben in diesem Artikel beschrieben.

Verwenden Sie die folgende Syntax, um eine Anti-Phish-Regel zu ändern:

Set-AntiPhishRule -Identity "<RuleName>" <Settings>

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-AntiPhishRule.

Verwenden von PowerShell zum Aktivieren oder Deaktivieren von Anti-Phish-Regeln

Das Aktivieren oder Deaktivieren einer Anti-Phish-Regel in PowerShell aktiviert oder deaktiviert die gesamte Antiphishingrichtlinie (die Anti-Phish-Regel und die zugewiesene Anti-Phish-Richtlinie). Sie können die Standardmäßige Antiphishingrichtlinie nicht aktivieren oder deaktivieren (sie wird immer auf alle Empfänger angewendet).

Verwenden Sie die folgende Syntax, um eine Anti-Phish-Regel in PowerShell zu aktivieren oder zu deaktivieren:

<Enable-AntiPhishRule | Disable-AntiPhishRule> -Identity "<RuleName>"

In diesem Beispiel wird die Anti-Phish-Regel mit dem Namen Marketing Department deaktiviert.

Disable-AntiPhishRule -Identity "Marketing Department"

In diesem Beispiel wird dieselbe Regel aktiviert.

Enable-AntiPhishRule -Identity "Marketing Department"

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Enable-AntiPhishRule und Disable-AntiPhishRule.

Verwenden von PowerShell zum Festlegen der Priorität von Anti-Phish-Regeln

Der höchste Prioritätswert, den Sie für eine Regel festlegen können, ist 0. Der niedrigste Wert, den Sie festlegen können, hängt von der Anzahl von Regeln ab. Wenn Sie z. B. fünf Regeln haben, können Sie die Prioritätswerte 0 bis 4 verwenden. Das Ändern der Priorität einer vorhandenen Regel kann sich entsprechend auf andere Regeln auswirken. Wenn Sie z. B. fünf benutzerdefinierte Regeln haben (Priorität 0 bis 4) und die Priorität einer Regel in 2 ändern, erhält die vorhandene Regel mit Priorität 2 die Priorität 3, und die Regel mit Priorität 3 erhält Priorität 4.

Verwenden Sie die folgende Syntax, um die Priorität einer Anti-Phish-Regel in PowerShell festzulegen:

Set-AntiPhishRule -Identity "<RuleName>" -Priority <Number>

In diesem Beispiel wird die Priorität der Regel namens „Marketing Department“ auf 2 festgelegt. Alle vorhandenen Regeln mit Priorität kleiner oder gleich 2 werden um 1 verringert (die Prioritätswerte werden um 1 erhöht).

Set-AntiPhishRule -Identity "Marketing Department" -Priority 2

Hinweise:

  • Um die Priorität einer neuen Regel beim Erstellen festzulegen, verwenden Sie stattdessen den Priority-Parameter im Cmdlet New-AntiPhishRule.

  • Die Standardmäßige Anti-Phish-Richtlinie verfügt nicht über eine entsprechende Anti-Phish-Regel, und sie hat immer den nicht änderbaren Prioritätswert Niedrigste.

Verwenden von PowerShell zum Entfernen von Anti-Phishing-Richtlinien

Wenn Sie PowerShell zum Entfernen einer Anti-Phish-Richtlinie verwenden, wird die entsprechende Anti-Phish-Regel nicht entfernt.

Verwenden Sie diese Syntax, um eine Anti-Phish-Richtlinie in PowerShell zu entfernen:

Remove-AntiPhishPolicy -Identity "<PolicyName>"

In diesem Beispiel wird die Anti-Phish-Richtlinie mit dem Namen Marketing Department entfernt.

Remove-AntiPhishPolicy -Identity "Marketing Department"

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Remove-AntiPhishPolicy.

Verwenden von PowerShell zum Entfernen von Anti-Phish-Regeln

Wenn Sie PowerShell verwenden, um eine Anti-Phish-Regel zu entfernen, wird die entsprechende Anti-Phish-Richtlinie nicht entfernt.

Verwenden Sie die folgende Syntax, um eine Anti-Phish-Regel in PowerShell zu entfernen:

Remove-AntiPhishRule -Identity "<PolicyName>"

In diesem Beispiel wird die Anti-Phish-Regel mit dem Namen Marketing Department entfernt.

Remove-AntiPhishRule -Identity "Marketing Department"

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Remove-AntiPhishRule.

Wie können Sie feststellen, dass diese Verfahren erfolgreich waren?

Führen Sie einen der folgenden Schritte aus, um zu überprüfen, ob Sie Antiphishingrichtlinien in Defender for Office 365 erfolgreich konfiguriert haben:

  • Überprüfen Sie auf der Seite Antiphishing im Microsoft 365 Defender-Portal unter https://security.microsoft.com/antiphishingdie Liste der Richtlinien, deren Statuswerte und Prioritätswerte. Um weitere Details anzuzeigen, wählen Sie die Richtlinie aus der Liste aus, indem Sie auf den Namen klicken und die Details im angezeigten Flyout anzeigen.

  • Ersetzen Sie <in Exchange Online PowerShell Name> durch den Namen der Richtlinie oder Regel, führen Sie den folgenden Befehl aus, und überprüfen Sie die Einstellungen:

    Get-AntiPhishPolicy -Identity "<Name>"
    
    Get-AntiPhishRule -Identity "<Name>"