Voreingestellte Sicherheitsrichtlinien in EOP und Microsoft Defender für Office 365

• Gilt für::

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Hier erfahren Sie, wer sich registrieren und testen kann.

Voreingestellte Sicherheitsrichtlinien ermöglichen es Ihnen, Schutzfunktionen auf Benutzer basierend auf unseren empfohlenen Einstellungen anzuwenden. Im Gegensatz zu benutzerdefinierten Richtlinien, die unendlich konfigurierbar sind, sind praktisch alle Einstellungen in voreingestellten Sicherheitsrichtlinien nicht konfigurierbar und basieren auf unseren Beobachtungen in den Rechenzentren. Die Einstellungen in voreingestellten Sicherheitsrichtlinien bieten ein Gleichgewicht zwischen dem Fernhalten schädlicher Inhalte von Benutzern, während unnötige Unterbrechungen vermieden werden.

Je nach organization bieten voreingestellte Sicherheitsrichtlinien viele der Schutzfeatures, die in Exchange Online Protection (EOP) und Microsoft Defender for Office 365 verfügbar sind.

Die folgenden voreingestellten Sicherheitsrichtlinien sind verfügbar:

• Standardmäßige voreingestellte Sicherheitsrichtlinie
• Strenge voreingestellte Sicherheitsrichtlinie
• Integrierte sicherheitsvoreingestellte Sicherheitsrichtlinie (Standardrichtlinien für den Schutz sicherer Anlagen und sicherer Links in Defender for Office 365)

Ausführliche Informationen zu diesen voreingestellten Sicherheitsrichtlinien finden Sie im Anhang am Ende dieses Artikels.

Im weiteren Verlauf dieses Artikels erfahren Sie, wie Sie voreingestellte Sicherheitsrichtlinien konfigurieren.

Was sollten Sie wissen, bevor Sie beginnen?

• Sie öffnen das Microsoft Defender-Portal unter https://security.microsoft.com. Um direkt zur Seite Voreingestellte Sicherheitsrichtlinien zu wechseln, verwenden Sie https://security.microsoft.com/presetSecurityPolicies.

• Wie Sie eine Verbindung mit Exchange Online PowerShell herstellen, finden Sie unter Herstellen einer Verbindung mit Exchange Online PowerShell.

• Ihnen müssen Berechtigungen zugewiesen werden, bevor Sie die Verfahren in diesem Artikel ausführen können. Sie haben folgende Optionen:

  • Microsoft Defender XDR einheitliche rollenbasierte Zugriffssteuerung (Unified Role Based Access Control, RBAC) (betrifft nur das Defender-Portal, nicht PowerShell): Autorisierung und Einstellungen/Sicherheitseinstellungen/Core-Sicherheitseinstellungen (verwalten) oder Autorisierung und Einstellungen/Sicherheitseinstellungen/Core-Sicherheitseinstellungen (lesen).
  • Exchange Online Berechtigungen:
    • Voreingestellte Sicherheitsrichtlinien konfigurieren: Mitgliedschaft in den Rollengruppen "Organisationsverwaltung" oder "Sicherheitsadministrator ".
    • Schreibgeschützter Zugriff auf voreingestellte Sicherheitsrichtlinien: Mitgliedschaft in der Rollengruppe "Globaler Leser ".
  • Microsoft Entra Berechtigungen: Durch die Mitgliedschaft in den Rollen "Globaler Administrator", "Sicherheitsadministrator" oder "Globaler Leser" erhalten Benutzer die erforderlichen Berechtigungen und Berechtigungen für andere Features in Microsoft 365.

Verwenden des Microsoft Defender-Portals, um Benutzern voreingestellte Sicherheitsrichtlinien "Standard" und "Strict" zuzuweisen

1. Wechseln Sie im Microsoft Defender-Portal unter https://security.microsoft.comzu Email & Richtlinien für die Zusammenarbeit>& Regeln>Bedrohungsrichtlinien>Voreingestellte Sicherheitsrichtlinien im Abschnitt Richtlinien mit Vorlagen. Oder verwenden Sie , um direkt zur Seite Voreingestellte Sicherheitsrichtlinien zu wechseln https://security.microsoft.com/presetSecurityPolicies.

2. Wenn Sie zum ersten Mal auf der Seite Voreingestellte Sicherheitsrichtlinien angezeigt werden, sind der Standardschutz und der strenge Schutz wahrscheinlich deaktiviert .

   Schieben Sie den Umschalter des Zu konfigurierenden auf , und wählen Sie dann Schutzeinstellungen verwalten aus, um den Konfigurations-Assistenten zu starten.

3. Identifizieren Sie auf der Seite Exchange Online Protection anwenden die internen Empfänger, für die der EOP-Schutz gilt (Empfängerbedingungen):

   • Alle Empfänger

   • Bestimmte Empfänger: Konfigurieren Sie eine der folgenden Empfängerbedingungen, die angezeigt werden:

     • Benutzer: Die angegebenen Postfächer, E-Mail-Benutzer oder E-Mail-Kontakte.
     • Gruppen:
       • Mitglieder der angegebenen Verteilergruppen oder E-Mail-aktivierten Sicherheitsgruppen (dynamische Verteilergruppen werden nicht unterstützt).
       • Die angegebene Microsoft 365-Gruppen.
     • Domänen: Alle Empfänger im organization mit einem primäre E-Mail-Adresse in der angegebenen akzeptierten Domäne.

   Klicken Sie auf das entsprechende Feld, beginnen Sie mit der Eingabe eines Wertes, und wählen Sie den gewünschten Wert aus den Ergebnissen aus. Wiederholen Sie diesen Vorgang so oft wie nötig. Um einen vorhandenen Wert zu entfernen, wählen Sie neben dem Wert aus.

   Für Benutzer oder Gruppen können Sie die meisten Bezeichner verwenden (Name, Anzeigename, Alias, E-Mail-Adresse, Kontoname usw.), aber in den Ergebnissen wird der entsprechende Anzeigename angezeigt. Geben Sie für Benutzer oder Gruppen selbst ein Sternchen (*) ein, um alle verfügbaren Werte anzuzeigen.

   Sie können eine Bedingung nur einmal verwenden, aber die Bedingung kann mehrere Werte enthalten:

   • Mehrere Wertederselben Bedingung verwenden OR-Logik (z. B <. recipient1> oder <recipient2>). Wenn der Empfänger mit einem der angegebenen Werte übereinstimmt, wird die Richtlinie auf sie angewendet.

   • Verschiedene Arten von Bedingungen verwenden AND-Logik. Der Empfänger muss allen angegebenen Bedingungen entsprechen, damit die Richtlinie auf sie angewendet wird. Beispielsweise konfigurieren Sie eine Bedingung mit den folgenden Werten:

     • Benutzer: romain@contoso.com
     • Gruppen: Führungskräfte

     Die Richtlinie wird nur auf romain@contoso.com angewendet, wenn er auch Mitglied der Gruppe "Führungskräfte" ist. Andernfalls wird die Richtlinie nicht auf ihn angewendet.

   • Keine

   • Diese Empfänger ausschließen: Wenn Sie Alle Empfänger oder Bestimmte Empfänger ausgewählt haben, wählen Sie diese Option aus, um Empfängerausnahmen zu konfigurieren.

     Sie können eine Ausnahme nur einmal verwenden, aber die Ausnahme kann mehrere Werte enthalten:

     • Mehrere Wertederselben Ausnahme verwenden OR-Logik (z. B <. recipient1> oder <recipient2>). Wenn der Empfänger mit einem der angegebenen Werte übereinstimmt, wird die Richtlinie nicht auf sie angewendet.
     • Verschiedene Arten von Ausnahmen verwenden OR-Logik (z. B. <recipient1> oder <member of group1> oder <member of domain1>). Wenn der Empfänger mit einem der angegebenen Ausnahmewerte übereinstimmt, wird die Richtlinie nicht auf sie angewendet.

   Wenn Sie auf der Seite Exchange Online Protection anwenden fertig sind, wählen Sie Weiter aus.

   Hinweis

   In Organisationen ohne Defender for Office 365 gelangen Sie durch Auswählen von Weiter zur Seite Überprüfen (Schritt 9).

4. Identifizieren Sie auf der Seite Schutz anwenden Defender for Office 365 die internen Empfänger, für die der Defender for Office 365 Schutz gilt (Empfängerbedingungen).

   Die Einstellungen und das Verhalten entsprechen genau der Seite Exchange Online Protection anwenden im vorherigen Schritt.

   Sie können auch Zuvor ausgewählte Empfänger auswählen, um dieselben Empfänger zu verwenden, die Sie auf der vorherigen Seite für den EOP-Schutz ausgewählt haben.

   Wenn Sie auf der Seite Schutz anwenden Defender for Office 365 fertig sind, wählen Sie Weiter aus.

5. Wählen Sie auf der Seite Identitätswechselschutz die Option Weiter aus.

6. Fügen Sie auf der Seite E-Mail-Adressen hinzufügen, die gekennzeichnet werden sollen, wenn die Identität von Angreifern angenommen wird, interne und externe Absender hinzu, die durch den Schutz vor Benutzeridentitätswechsel geschützt sind.

   Hinweis

   Alle Empfänger erhalten automatisch Identitätswechselschutz von Postfachintelligenz in voreingestellten Sicherheitsrichtlinien.

   Sie können maximal 350 Benutzer für den Schutz vor Benutzeridentitätswechsel in der voreingestellten Sicherheitsrichtlinie Standard oder Strict angeben.

   Der Schutz vor Benutzeridentitätswechseln funktioniert nicht, wenn Absender und Empfänger zuvor per E-Mail kommuniziert haben. Wenn Absender und Empfänger noch nie per E-Mail kommuniziert haben, kann die Nachricht als Identitätswechselversuch identifiziert werden.

   Jeder Eintrag besteht aus einem Anzeigenamen und einer E-Mail-Adresse:

   • Interne Benutzer: Klicken Sie in das Feld Gültige E-Mail hinzufügen , oder beginnen Sie mit der Eingabe der E-Mail-Adresse des Benutzers. Wählen Sie die E-Mail-Adresse in der Dropdownliste Vorgeschlagene Kontakte aus, die angezeigt wird. Der Anzeigename des Benutzers wird dem Feld Namen hinzufügen hinzugefügt (das Sie ändern können). Wenn Sie den Benutzer ausgewählt haben, wählen Sie Hinzufügen aus.

   • Externe Benutzer: Geben Sie die vollständige E-Mail-Adresse des externen Benutzers in das Feld Gültige E-Mail hinzufügen ein, und wählen Sie dann die E-Mail-Adresse in der angezeigten Dropdownliste Vorgeschlagene Kontakte aus. Die E-Mail-Adresse wird auch im Feld Namen hinzufügen hinzugefügt (das Sie in einen Anzeigenamen ändern können).

   Wiederholen Sie diese Schritte so oft wie nötig.

   Die von Ihnen hinzugefügten Benutzer werden auf der Seite nach Anzeigename und Absender-E-Mail-Adresse aufgelistet. Um einen Benutzer zu entfernen, wählen Sie neben dem Eintrag aus.

   Verwenden Sie das feld Search, um Einträge auf der Seite zu suchen.

   Wenn Sie auf der Seite Schutz anwenden Defender for Office 365 fertig sind, wählen Sie Weiter aus.

7. Fügen Sie auf der Seite Domänen zum Kennzeichnen beim Annehmen der Identität durch Angreifer hinzufügen interne und externe Domänen hinzu, die durch den Schutz vor Domänenidentitätswechsel geschützt sind.

   Hinweis

   Alle Domänen, die Sie besitzen (akzeptierte Domänen), erhalten automatisch Schutz vor Identitätswechsel in voreingestellten Sicherheitsrichtlinien.

   Sie können maximal 50 benutzerdefinierte Domänen für den Schutz vor Domänenidentitätswechsel in der voreingestellten Sicherheitsrichtlinie Standard oder Strict angeben.

   Klicken Sie in das Feld Domänen hinzufügen , geben Sie einen Domänenwert ein, drücken Sie die EINGABETASTE, oder wählen Sie den Wert aus, der unterhalb des Felds angezeigt wird. Um eine Domäne aus dem Feld zu entfernen und von vorne zu beginnen, wählen Sie neben der Domäne aus. Wenn Sie bereit sind, die Domäne hinzuzufügen, wählen Sie Hinzufügen aus. Wiederholen Sie diesen Schritt so oft wie nötig.

   Die domänen, die Sie hinzugefügt haben, werden auf der Seite aufgeführt. Um die Domäne zu entfernen, wählen Sie neben dem Wert aus.

   Die domänen, die Sie hinzugefügt haben, werden auf der Seite aufgeführt. Um eine Domäne zu entfernen, wählen Sie neben dem Eintrag aus.

   Um einen vorhandenen Eintrag aus der Liste zu entfernen, wählen Sie neben dem Eintrag aus.

   Wenn Sie mit der Option Domänen hinzufügen fertig sind, die gekennzeichnet werden sollen, wenn sie von Angreifern als Identität angenommen werden, wählen Sie Weiter aus.

8. Geben Sie auf der Seite Vertrauenswürdige E-Mail-Adressen und Domänen hinzufügen, die nicht als Identitätswechsel gekennzeichnet werden sollen die Absender-E-Mail-Adressen und Domänen ein, die Sie vom Identitätswechselschutz ausschließen möchten. Nachrichten von diesen Absendern werden nie als Identitätswechselangriff gekennzeichnet, aber die Absender unterliegen weiterhin der Überprüfung durch andere Filter in EOP und Defender for Office 365.

   Hinweis

   Vertrauenswürdige Domäneneinträge enthalten keine Unterdomänen der angegebenen Domäne. Sie müssen für jede Unterdomäne einen Eintrag hinzufügen.

   Geben Sie die E-Mail-Adresse oder Domäne in das Feld ein, und drücken Sie dann die EINGABETASTE, oder wählen Sie den Wert aus, der unter dem Feld angezeigt wird. Um einen Wert aus dem Feld zu entfernen und von vorne zu beginnen, wählen Sie neben dem Wert aus. Wenn Sie bereit sind, den Benutzer oder die Domäne hinzuzufügen, wählen Sie Hinzufügen aus. Wiederholen Sie diesen Schritt so oft wie nötig.

   Die Benutzer und Domänen, die Sie hinzugefügt haben, werden auf der Seite nach Name und Typ aufgeführt. Um einen Eintrag zu entfernen, wählen Sie neben dem Eintrag aus.

   Wenn Sie die Seite Vertrauenswürdige E-Mail-Adressen und Domänen hinzufügen, um nicht als Identitätswechsel zu kennzeichnen , fertig sind, wählen Sie Weiter aus.

9. Überprüfen Sie auf der Seite Überprüfen und Bestätigen Ihrer Änderungen Ihre Einstellungen. Sie können zurück oder die jeweilige Seite im Assistenten auswählen, um die Einstellungen zu ändern.

   Wenn Sie auf der Seite Überprüfen und Bestätigen Ihrer Änderungen fertig sind, wählen Sie Bestätigen aus.

10. Wählen Sie auf der Seite Standardschutz aktualisiert oder Strenger Schutz aktualisiertdie Option Fertig aus.

Verwenden Sie das Microsoft Defender-Portal, um die Zuweisungen der voreingestellten Sicherheitsrichtlinien "Standard" und "Strict" zu ändern.

Die Schritte zum Ändern der Zuweisung der sicherheitsvoreingestellten Sicherheitsrichtlinie "Standardschutz " oder " Strenger Schutz " sind die gleichen wie bei der anfänglichen Zuweisung der voreingestellten Sicherheitsrichtlinien zu Benutzern.

Um die voreingestellten Sicherheitsrichtlinien Standardschutz oder Strict protection zu deaktivieren und gleichzeitig die vorhandenen Bedingungen und Ausnahmen beizubehalten, schieben Sie den Umschalter auf . Um die Richtlinien zu aktivieren, schieben Sie den Umschalter auf .

Verwenden des Microsoft Defender-Portals zum Hinzufügen von Ausschlüssen zur sicherheitsvoreingestellten Sicherheitsrichtlinie des integrierten Schutzes

Tipp

Die integrierte sicherheitsvoreingestellte Sicherheitsrichtlinie wird auf alle Benutzer in Organisationen mit einer beliebigen Anzahl von Lizenzen für Defender für Microsoft 365 angewendet. Diese Anwendung dient dem Ziel, die breiteste Gruppe von Benutzern zu schützen, bis Administratoren speziell Defender for Office 365 Schutz konfigurieren. Da der integrierte Schutz standardmäßig aktiviert ist, müssen sich Kunden keine Gedanken über die Verletzung von Produktlizenzbedingungen machen. Es wird jedoch empfohlen, genügend Defender for Office 365 Lizenzen zu erwerben, um sicherzustellen, dass der integrierte Schutz für alle Benutzer fortgesetzt wird.

Die voreingestellte Sicherheitsrichtlinie für den integrierten Schutz wirkt sich nicht auf Empfänger aus, die in den voreingestellten Sicherheitsrichtlinien Standard oder Strict oder in benutzerdefinierten Richtlinien für sichere Links oder sichere Anlagen definiert sind. Daher empfehlen wir in der Regel keine Ausnahmen von der voreingestellten Sicherheitsrichtlinie für integrierten Schutz .

1. Wechseln Sie im Microsoft Defender-Portal unter https://security.microsoft.comzu Email & Richtlinien für die Zusammenarbeit>& Regeln>Bedrohungsrichtlinien>Voreingestellte Sicherheitsrichtlinien im Abschnitt Richtlinien mit Vorlagen. Oder verwenden Sie , um direkt zur Seite Voreingestellte Sicherheitsrichtlinien zu wechseln https://security.microsoft.com/presetSecurityPolicies.

2. Wählen Sie auf der Seite Voreingestellte Sicherheitsrichtlinien im Abschnitt Integrierter Schutzdie Option Ausschlüsse hinzufügen (nicht empfohlen) aus.

3. Identifizieren Sie im geöffneten Flyout Vom integrierten Schutz ausschließen die internen Empfänger, die vom integrierten Schutz für sichere Links und sichere Anlagen ausgeschlossen sind:

   • Benutzer
   • Gruppen:
     • Mitglieder der angegebenen Verteilergruppen oder E-Mail-aktivierten Sicherheitsgruppen (dynamische Verteilergruppen werden nicht unterstützt).
     • Die angegebene Microsoft 365-Gruppen.
   • Domänen

   Klicken Sie in das entsprechende Feld, beginnen Sie mit der Eingabe eines Werts, und wählen Sie dann den Wert aus, der unterhalb des Felds angezeigt wird. Wiederholen Sie diesen Vorgang so oft wie nötig. Um einen vorhandenen Wert zu entfernen, wählen Sie neben dem Wert aus.

   Für Benutzer oder Gruppen können Sie die meisten Bezeichner verwenden (Name, Anzeigename, Alias, E-Mail-Adresse, Kontoname usw.), aber in den Ergebnissen wird der entsprechende Anzeigename angezeigt. Geben Sie für Benutzer einen einzelnen Stern (*) ein, um alle verfügbaren Werte anzuzeigen.

   Sie können eine Ausnahme nur einmal verwenden, aber die Ausnahme kann mehrere Werte enthalten:

   • Mehrere Wertederselben Ausnahme verwenden OR-Logik (z. B <. recipient1> oder <recipient2>). Wenn der Empfänger mit einem der angegebenen Werte übereinstimmt, wird die Richtlinie nicht auf sie angewendet.
   • Verschiedene Arten von Ausnahmen verwenden OR-Logik (z. B. <recipient1> oder <member of group1> oder <member of domain1>). Wenn der Empfänger mit einem der angegebenen Ausnahmewerte übereinstimmt, wird die Richtlinie nicht auf sie angewendet.

4. Wenn Sie im Flyout Vom integrierten Schutz ausschließen fertig sind, wählen Sie Speichern aus.

Wie können Sie feststellen, dass diese Verfahren erfolgreich waren?

Um zu überprüfen, ob Sie einem Benutzer erfolgreich die Sicherheitsrichtlinie Standardschutz oder Strict protection zugewiesen haben, verwenden Sie eine Schutzeinstellung, bei der sich der Standardwert von der Standardschutzeinstellung unterscheidet, die sich von der Einstellung Strict-Schutz unterscheidet.

Vergewissern Sie sich beispielsweise bei E-Mails, die als Spam erkannt werden (kein Spam mit hoher Zuverlässigkeit), dass die Nachricht an den Junk-Email Ordner für Benutzer mit Standardschutz übermittelt und für Benutzer mit strengem Schutz unter Quarantäne gestellt wird.

Oder stellen Sie bei Massensendungen sicher, dass der BCL-Wert 6 oder höher die Nachricht an den Junk-Email Ordner für Benutzer mit Standardschutz übermittelt und der BCL-Wert 5 oder höher die Nachricht für Strict-Schutzbenutzer unter Quarantäne stellt.

Voreingestellte Sicherheitsrichtlinien in Exchange Online PowerShell

In PowerShell bestehen voreingestellte Sicherheitsrichtlinien aus den folgenden Elementen:

• Einzelne Sicherheitsrichtlinien: Beispielsweise Anti-Malware-Richtlinien, Antispamrichtlinien, Anti-Phishing-Richtlinien, Richtlinien für sichere Links und Richtlinien für sichere Anlagen. Diese Richtlinien werden mithilfe der standardmäßigen Richtlinienverwaltungs-Cmdlets in Exchange Online PowerShell angezeigt:

  • EOP-Richtlinien:
    • Get-AntiPhishPolicy
    • Get-HostedContentFilterPolicy (Antispamrichtlinien)
    • Get-MalwareFilterPolicy
  • Defender for Office 365 Richtlinien:
    • Get-SafeAttachmentPolicy
    • Get-SafeLinksPolicy

  Warnung

  Versuchen Sie nicht, die einzelnen Sicherheitsrichtlinien zu erstellen, zu ändern oder zu entfernen, die voreingestellten Sicherheitsrichtlinien zugeordnet sind. Die einzige unterstützte Methode zum Erstellen der einzelnen Sicherheitsrichtlinien für voreingestellte Sicherheitsrichtlinien "Standard" oder "Strict" ist das erstmalige Aktivieren der voreingestellten Sicherheitsrichtlinie im Microsoft Defender-Portal.

• Regeln: Separate Regeln werden für die voreingestellte Sicherheitsrichtlinie Standard, die voreingestellte Sicherheitsrichtlinie Strict und die integrierte Schutzvoreinstellung verwendet. Die Regeln definieren die Empfängerbedingungen und Ausnahmen für die Richtlinien (für die die Richtlinien gelten). Sie verwalten diese Regeln mithilfe der folgenden Cmdlets in Exchange Online PowerShell:

  • Regeln für Exchange Online Protection-Schutz (EOP):
    • Disable-EOPProtectionPolicyRule
    • Enable-EOPProtectionPolicyRule
    • Get-EOPProtectionPolicyRule
    • New-EOPProtectionPolicyRule
    • Set-EOPProtectionPolicyRule
  • Regeln für Defender for Office 365 Schutz:
    • Disable-ATPProtectionPolicyRule
    • Enable-ATPProtectionPolicyRule
    • Get-ATPProtectionPolicyRule
    • New-ATPProtectionPolicyRule
    • Set-ATPProtectionPolicyRule
  • Die Regel für die sicherheitsvoreingestellte Sicherheitsrichtlinie "Schutz voreingestellter Build":
    • Get-ATPBuiltInProtectionRule
    • New-ATPBuiltInProtectionRule
    • Set-ATPBuiltInProtectionRule

  Für die voreingestellten Sicherheitsrichtlinien Standard und Strict werden diese Regeln erstellt, wenn Sie die voreingestellte Sicherheitsrichtlinie zum ersten Mal im Microsoft Defender-Portal aktivieren. Wenn Sie die voreingestellte Sicherheitsrichtlinie nie aktiviert haben, sind die zugehörigen Regeln nicht vorhanden. Durch das Deaktivieren der voreingestellten Sicherheitsrichtlinie werden die zugeordneten Regeln nicht gelöscht.

In den folgenden Abschnitten wird beschrieben, wie Sie diese Cmdlets in unterstützten Szenarien verwenden.

Wie Sie eine Verbindung mit Exchange Online PowerShell herstellen, finden Sie unter Herstellen einer Verbindung mit Exchange Online PowerShell.

Verwenden von PowerShell zum Anzeigen einzelner Sicherheitsrichtlinien für voreingestellte Sicherheitsrichtlinien

Denken Sie daran: Wenn Sie die voreingestellte Sicherheitsrichtlinie Standard oder die voreingestellte Sicherheitsrichtlinie Strict im Microsoft Defender-Portal nie aktiviert haben, sind die zugehörigen Sicherheitsrichtlinien für die voreingestellte Sicherheitsrichtlinie nicht vorhanden.

• Integrierte sicherheitsvoreingestellte Sicherheitsrichtlinie für den Schutz: Die zugeordneten Richtlinien werden Built-In Schutzrichtlinie benannt. Der Wert der IsBuiltInProtection-Eigenschaft ist für diese Richtlinien True.

  Führen Sie den folgenden Befehl aus, um die einzelnen Sicherheitsrichtlinien für die voreingestellte Sicherheitsrichtlinie "Integrierter Schutz" anzuzeigen:

  Write-Output -InputObject ("`r`n"*3),"Built-in protection Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy -Identity "Built-In Protection Policy" | Format-List; Write-Output -InputObject ("`r`n"*3),"Built-in protection Safe Links policy",("-"*79);Get-SafeLinksPolicy -Identity "Built-In Protection Policy" | Format-List
  

• Standardmäßige voreingestellte Sicherheitsrichtlinie: Die zugeordneten Richtlinien heißen Standard Preset Security Policy<13-digit number>. Beispiel: Standard Preset Security Policy1622650008019. Der Wert der RecommendPolicyType-Eigenschaft für die Richtlinien ist Standard.

  • Führen Sie den folgenden Befehl aus, um die einzelnen Sicherheitsrichtlinien für die standardvoreingestellte Sicherheitsrichtlinie in Organisationen anzuzeigen, die nur EOP verwenden:

    Write-Output -InputObject ("`r`n"*3),"Standard anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"
    

  • Führen Sie den folgenden Befehl aus, um die einzelnen Sicherheitsrichtlinien für die standardvoreingestellte Sicherheitsrichtlinie in Organisationen mit Defender for Office 365 anzuzeigen:

    Write-Output -InputObject ("`r`n"*3),"Standard anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"
    

• Strenge voreingestellte Sicherheitsrichtlinie: Die zugeordneten Richtlinien heißen Strict Preset Security Policy<13-digit number>. Beispiel: Strict Preset Security Policy1642034872546. Der RecommendPolicyType-Eigenschaftswert für die Richtlinien ist Strict.

  • Führen Sie den folgenden Befehl aus, um die einzelnen Sicherheitsrichtlinien für die voreingestellte Sicherheitsrichtlinie Strict in Organisationen anzuzeigen, die nur EOP verwenden:

    Write-Output -InputObject ("`r`n"*3),"Strict anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"
    

  • Führen Sie den folgenden Befehl aus, um die einzelnen Sicherheitsrichtlinien für die voreingestellte Sicherheitsrichtlinie Strict in Organisationen mit Defender for Office 365 anzuzeigen:

    Write-Output -InputObject ("`r`n"*3),"Strict anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"
    

Anzeigen von Regeln für voreingestellte Sicherheitsrichtlinien mithilfe von PowerShell

Denken Sie daran: Wenn Sie die voreingestellte Sicherheitsrichtlinie Standard oder die voreingestellte Sicherheitsrichtlinie Strict im Microsoft Defender-Portal nie aktiviert haben, sind die zugehörigen Regeln für diese Richtlinien nicht vorhanden.

• Integrierte Sicherheitsrichtlinie für den schutzvoreingestellten Schutz: Es gibt nur eine Regel namens ATP Built-In Protection Rule.

  Führen Sie den folgenden Befehl aus, um die Regel anzuzeigen, die der sicherheitsvoreingestellten Sicherheitsrichtlinie "Integrierter Schutz" zugeordnet ist:

  Get-ATPBuiltInProtectionRule
  

• Standardmäßige voreingestellte Sicherheitsrichtlinie: Die zugeordneten Regeln heißen StandardVoreingestellte Sicherheitsrichtlinie.

  Verwenden Sie die folgenden Befehle, um die Regeln anzuzeigen, die der standardvoreingestellten Sicherheitsrichtlinie zugeordnet sind:

  • Führen Sie den folgenden Befehl aus, um die Regel anzuzeigen, die EOP-Schutzmaßnahmen in der standardvoreingestellten Sicherheitsrichtlinie zugeordnet ist:

    Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"
    

  • Führen Sie den folgenden Befehl aus, um die Regel anzuzeigen, die Defender for Office 365 Schutzmaßnahmen in der standardvoreingestellten Sicherheitsrichtlinie zugeordnet ist:

    Get-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"
    

  • Führen Sie den folgenden Befehl aus, um beide Regeln gleichzeitig anzuzeigen:

    Write-Output -InputObject ("`r`n"*3),"EOP rule - Standard preset security policy",("-"*79);Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"; Write-Output -InputObject ("`r`n"*3),"Defender for Office 365 rule - Standard preset security policy",("-"*79);Get-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"
    

• Strenge voreingestellte Sicherheitsrichtlinie: Die zugeordneten Regeln heißen Strict Preset Security Policy.

  Verwenden Sie die folgenden Befehle, um die Regeln anzuzeigen, die der voreingestellten Sicherheitsrichtlinie Strict zugeordnet sind:

  • Führen Sie den folgenden Befehl aus, um die Regel anzuzeigen, die EOP-Schutzmaßnahmen in der voreingestellten Sicherheitsrichtlinie Strict zugeordnet ist:

    Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"
    

  • Führen Sie den folgenden Befehl aus, um die Regel anzuzeigen, die Defender for Office 365 Schutzmaßnahmen in der voreingestellten Sicherheitsrichtlinie Strict zugeordnet ist:

    Get-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"
    

  • Führen Sie den folgenden Befehl aus, um beide Regeln gleichzeitig anzuzeigen:

    Write-Output -InputObject ("`r`n"*3),"EOP rule - Strict preset security policy",("-"*79);Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"; Write-Output -InputObject ("`r`n"*3),"Defender for Office 365 rule - Strict preset security policy",("-"*79);Get-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"
    

Verwenden von PowerShell zum Aktivieren oder Deaktivieren voreingestellter Sicherheitsrichtlinien

Um die voreingestellten Sicherheitsrichtlinien Standard oder Strict in PowerShell zu aktivieren oder zu deaktivieren, aktivieren oder deaktivieren Sie die Regeln, die der Richtlinie zugeordnet sind. Der Wert der State-Eigenschaft der Regel zeigt an, ob die Regel aktiviert oder Deaktiviert ist.

Wenn Ihr organization nur über EOP verfügt, deaktivieren oder aktivieren Sie die Regel für EOP-Schutze.

Wenn Ihr organization über Defender for Office 365 verfügt, aktivieren oder deaktivieren Sie die Regel für EOP-Schutze und die Regel für Defender for Office 365 Schutz (aktivieren oder deaktivieren Sie beide Regeln).

• Organisationen mit nur EOP:

  • Führen Sie den folgenden Befehl aus, um zu ermitteln, ob die Regeln für die voreingestellten Sicherheitsrichtlinien Standard und Strict derzeit aktiviert oder deaktiviert sind:

    Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50); Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50); Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy" | Format-Table Name,State
    

  • Führen Sie den folgenden Befehl aus, um die voreingestellte Sicherheitsrichtlinie Standard zu deaktivieren, wenn sie aktiviert ist:

    Disable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"
    

  • Führen Sie den folgenden Befehl aus, um die voreingestellte Sicherheitsrichtlinie Strict zu deaktivieren, wenn sie aktiviert ist:

    Disable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"
    

  • Führen Sie den folgenden Befehl aus, um die voreingestellte Sicherheitsrichtlinie Standard zu aktivieren, wenn sie deaktiviert ist:

    Enable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"
    

  • Führen Sie den folgenden Befehl aus, um die voreingestellte Sicherheitsrichtlinie Strict zu aktivieren, wenn sie deaktiviert ist:

    Enable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"
    

• Organisationen mit Defender for Office 365:

  • Führen Sie den folgenden Befehl aus, um zu ermitteln, ob die Regeln für die voreingestellten Sicherheitsrichtlinien Standard und Strict derzeit aktiviert oder deaktiviert sind:

    Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50);Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject `r`n,"Defender for Office 365 protection rule",("-"*50);Get-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50);Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject `r`n,"Defender for Office 365 protection rule",("-"*50);Get-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy" | Format-Table Name,State
    

  • Führen Sie den folgenden Befehl aus, um die voreingestellte Sicherheitsrichtlinie Standard zu deaktivieren, wenn sie aktiviert ist:

    Disable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"; Disable-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"
    

  • Führen Sie den folgenden Befehl aus, um die voreingestellte Sicherheitsrichtlinie Strict zu deaktivieren, wenn sie aktiviert ist:

    Disable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"; Disable-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"
    

  • Führen Sie den folgenden Befehl aus, um die voreingestellte Sicherheitsrichtlinie Standard zu aktivieren, wenn sie deaktiviert ist:

    Enable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"; Enable-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"
    

  • Führen Sie den folgenden Befehl aus, um die voreingestellte Sicherheitsrichtlinie Strict zu aktivieren, wenn sie deaktiviert ist:

    Enable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"; Enable-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"
    

Verwenden von PowerShell zum Angeben von Empfängerbedingungen und Ausnahmen für voreingestellte Sicherheitsrichtlinien

Sie können eine Empfängerbedingung oder -ausnahme nur einmal verwenden, aber die Bedingung oder Ausnahme kann mehrere Werte enthalten:

• Mehrere Wertederselben Bedingung oder Ausnahme verwenden OR-Logik (z. B <. recipient1> oder <recipient2>):

  • Bedingungen: Wenn der Empfänger mit einem der angegebenen Werte übereinstimmt, wird die Richtlinie auf diese angewendet.
  • Ausnahmen: Wenn der Empfänger mit einem der angegebenen Werte übereinstimmt, wird die Richtlinie nicht auf sie angewendet.

• Verschiedene Arten von Ausnahmen verwenden OR-Logik (z. B. <recipient1> oder <member of group1> oder <member of domain1>). Wenn der Empfänger mit einem der angegebenen Ausnahmewerte übereinstimmt, wird die Richtlinie nicht auf sie angewendet.

• Verschiedene Arten von Bedingungen verwenden AND-Logik. Der Empfänger muss allen angegebenen Bedingungen entsprechen, damit die Richtlinie auf sie angewendet wird. Beispielsweise konfigurieren Sie eine Bedingung mit den folgenden Werten:

  • Benutzer: romain@contoso.com
  • Gruppen: Führungskräfte

  Die Richtlinie wird nur auf romain@contoso.com angewendet, wenn er auch Mitglied der Gruppe "Führungskräfte" ist. Andernfalls wird die Richtlinie nicht auf ihn angewendet.

Für die voreingestellte Sicherheitsrichtlinie "Integrierter Schutz" können Sie nur Empfängerausnahmen angeben. Wenn alle Ausnahmeparameterwerte leer sind ($null), gibt es keine Ausnahmen für die Richtlinie.

Für die voreingestellten Sicherheitsrichtlinien Standard und Strict können Sie Empfängerbedingungen und Ausnahmen für EOP-Schutz und Defender for Office 365-Schutz angeben. Wenn alle Werte für Bedingungen und Ausnahmeparameter leer sind ($null), gibt es keine Empfängerbedingungen oder Ausnahmen von den voreingestellten Sicherheitsrichtlinien Standard oder Strict.

• Integrierte Sicherheitsrichtlinie für den schutzvoreingestellten Schutz:

  Verwenden Sie die folgende Syntax:

  Set-ATPBuiltInProtectionRule -Identity "ATP Built-In Protection Rule" -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null>
  

  In diesem Beispiel werden alle Empfängerausnahmen aus der voreingestellten Sicherheitsrichtlinie für den integrierten Schutz entfernt.

  Set-ATPBuiltInProtectionRule -Identity "ATP Built-In Protection Rule" -ExceptIfRecipientDomainIs $null -ExceptIfSentTo $null -ExceptIfSentToMemberOf $null
  

  Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-ATPBuiltInProtectionRule.

• Standard oder Strict voreingestellte Sicherheitsrichtlinien

  Verwenden Sie die folgende Syntax:

  <Set-EOPProtectionPolicyRule | SetAtpProtectionPolicyRule> -Identity "<Standard Preset Security Policy | Strict Preset Security Policy>" -SentTo <"user1","user2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -SentToMemberOf <"group1","group2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null> -RecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null>
  

  In diesem Beispiel werden Ausnahmen von den EOP-Schutzen in der voreingestellten Sicherheitsrichtlinie Standard für Mitglieder der Verteilergruppe mit dem Namen "Executives" konfiguriert.

  Set-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy" -ExceptIfSentToMemberOf Executives
  

  In diesem Beispiel werden Ausnahmen vom Defender for Office 365 Schutz in der voreingestellten Sicherheitsrichtlinie Strict für die angegebenen SecOps-Postfächer (Security Operations) konfiguriert.

  Set-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy" -ExceptIfSentTo "SecOps1","SecOps2"
  

  Ausführliche Syntax- und Parameterinformationen finden Sie unter Set-EOPProtectionPolicyRule und Set-ATPProtectionPolicyRule.

Anhang

Voreingestellte Sicherheitsrichtlinien bestehen aus den folgenden Elementen:

• Profile
• Richtlinien
• Richtlinieneinstellungen

Diese Elemente werden in den folgenden Abschnitten beschrieben.

Darüber hinaus ist es wichtig zu verstehen, wie voreingestellte Sicherheitsrichtlinien in die Reihenfolge der Rangfolge mit anderen Richtlinien passen.

Profile in voreingestellten Sicherheitsrichtlinien

Ein Profil bestimmt die Schutzebene. Die folgenden Profile sind für voreingestellte Sicherheitsrichtlinien verfügbar:

• Standardschutz: Ein Baselineprofil, das für die meisten Benutzer geeignet ist.
• Strenger Schutz: Ein aggressiveres Profil für ausgewählte Benutzer (hochwertige Ziele oder Prioritätsbenutzer).
• Integrierter Schutz (nur Microsoft Defender for Office 365): Stellt effektiv Standardrichtlinien nur für sichere Links und sichere Anlagen bereit.

Im Allgemeinen tendiert das Strict-Schutzprofil dazu, weniger schädliche E-Mails (z. B. Massen- und Spam-E-Mails) unter Quarantäne zu stellen als das Standard-Schutzprofil , aber viele der Einstellungen in beiden Profilen sind identisch (insbesondere für unbestreitbar schädliche E-Mails wie Schadsoftware oder Phishing). Einen Vergleich der Einstellungsunterschiede finden Sie in den Tabellen im nächsten Abschnitt.

Bis Sie die Profile aktivieren und ihnen Benutzer zuweisen, werden die voreingestellten Sicherheitsrichtlinien Standard und Strict niemandem zugewiesen. Im Gegensatz dazu wird die voreingestellte Sicherheitsrichtlinie "Integrierter Schutz" standardmäßig allen Empfängern zugewiesen, Sie können jedoch Ausnahmen konfigurieren.

Wichtig

Sofern Sie keine Ausnahmen von der voreingestellten Sicherheitsrichtlinie "Integrierter Schutz" konfigurieren, erhalten alle Empfänger im organization Schutz vor sicheren Links und sicheren Anlagen.

Richtlinien in voreingestellten Sicherheitsrichtlinien

Voreingestellte Sicherheitsrichtlinien verwenden spezielle Versionen der einzelnen Schutzrichtlinien, die in EOP und Microsoft Defender for Office 365 verfügbar sind. Diese Richtlinien werden erstellt , nachdem Sie benutzern die sicherheitsvoreingestellten Sicherheitsrichtlinien Standardschutz oder Strict protection zugewiesen haben.

• EOP-Richtlinien: Diese Richtlinien gelten in allen Microsoft 365-Organisationen mit Exchange Online Postfächern und eigenständigen EOP-Organisationen ohne Exchange Online Postfächer:

  • Antispamrichtlinien mit den Namen Standard Preset Security Policy und Strict Preset Security Policy.
  • Anti-Malware-Richtlinien namens Standard Preset Security Policy und Strict Preset Security Policy.
  • Antiphishingrichtlinien (Spoofingschutz) namens Standard Preset Security Policy und Strict Preset Security Policy (Spoofing settings).

  Hinweis

  Ausgehende Spamrichtlinien sind nicht Teil der voreingestellten Sicherheitsrichtlinien. Die Standardrichtlinie für ausgehende Spams schützt automatisch Mitglieder von voreingestellten Sicherheitsrichtlinien. Alternativ können Sie benutzerdefinierte Spamrichtlinien für ausgehenden Datenverkehr erstellen, um den Schutz für Mitglieder von voreingestellten Sicherheitsrichtlinien anzupassen. Weitere Informationen finden Sie unter Konfigurieren der Ausgehenden Spamfilterung in EOP.

• Microsoft Defender for Office 365-Richtlinien: Diese Richtlinien gelten in Organisationen mit Microsoft 365 E5- oder Defender for Office 365 Add-On-Abonnements:

  • Antiphishingrichtlinien in Defender for Office 365 mit den Namen Standard Preset Security Policy und Strict Preset Security Policy benannt, die Folgendes umfassen:
    • Die gleichen Spoofeinstellungen , die in den EOP-Antiphishingrichtlinien verfügbar sind.
    • Identitätswechseleinstellungen
    • Erweiterte Phishingschwellenwerte
  • Richtlinien für sichere Links mit den Namen Standard Preset Security Policy, Strict Preset Security Policy und Built-in Protection Policy.
  • Richtlinien für sichere Anlagen mit den Namen Standard Preset Security Policy, Strict Preset Security Policy und Built-in Protection Policy.

Wie bereits beschrieben, können Sie EOP-Schutz auf andere Benutzer als auf Defender for Office 365-Schutz anwenden, oder Sie können EOP- und Defender for Office 365-Schutz auf dieselben Empfänger anwenden.

Richtlinieneinstellungen in voreingestellten Sicherheitsrichtlinien

Grundsätzlich können Sie die einzelnen Richtlinieneinstellungen in den Schutzprofilen nicht ändern. Das Anpassen der entsprechenden Standardrichtlinie oder das Erstellen einer neuen benutzerdefinierten Richtlinie hat aufgrund der Rangfolge keine Auswirkungen, wenn derselbe Benutzer (Empfänger) in mehreren Richtlinien definiert ist (die voreingestellten Sicherheitsrichtlinien Standard und Strict werden immer zuerst angewendet).

• Die Einstellungswerte standard, strict und Built-in protection policy, einschließlich der zugehörigen Quarantänerichtlinien, sind in den Featuretabellen unter Empfohlene Einstellungen für EOP und Microsoft Defender for Office 365 Sicherheit aufgeführt.
• Sie können auch Exchange Online PowerShell verwenden, um schnell alle Richtlinieneinstellungswerte anzuzeigen, wie weiter oben in diesem Artikel erläutert.

Sie müssen jedoch die einzelnen Benutzer (Absender) und Domänen für den Schutz vor Identitätswechseln in Defender for Office 365 konfigurieren. Andernfalls konfigurieren voreingestellte Sicherheitsrichtlinien automatisch die folgenden Arten des Identitätswechselschutzes:

• Schutz vor Domänenidentitätswechseln für alle Domänen, die Sie besitzen (akzeptierte Domänen).
• Schutz der Postfachintelligenz (Kontaktdiagramm)

Die Unterschiede zwischen sinnvollen Richtlinieneinstellungen in der voreingestellten Sicherheitsrichtlinie Standard und der voreingestellten Sicherheitsrichtlinie Strict sind in der folgenden Tabelle zusammengefasst:

	Standard	Streng
Anti-Schadsoftware-Richtlinie	Kein Unterschied	Kein Unterschied
Antispamrichtlinie
Massenkonforme Ebene (Bulk Compliant Level, BCL) erfüllte oder überschrittene Erkennungsaktion (BulkSpamAction)	Verschieben einer Nachricht in den Junk-Email-Ordner (MoveToJmf)	Nachricht unter Quarantäne stellen (Quarantine)
Schwellenwert für Massen-E-Mails (BulkThreshold)	6	5
Spamerkennungsaktion (SpamAction)	Verschieben einer Nachricht in den Junk-Email-Ordner (MoveToJmf)	Nachricht unter Quarantäne stellen (Quarantine)
Antiphishingrichtlinie
Wenn die Nachricht von Spoofintelligenz als Spoof erkannt wird (AuthenticationFailAction)	Verschieben einer Nachricht in den Junk-Email-Ordner (MoveToJmf)	Nachricht unter Quarantäne stellen (Quarantine)
Sicherheitstipp für ersten Kontakt anzeigen (EnableFirstContactSafetyTips)	Ausgewählt ($true)	Ausgewählt ($true)
Wenn postfachintelligenz einen benutzer imitiert erkennt (MailboxIntelligenceProtectionAction)	Verschieben einer Nachricht in den Junk-Email-Ordner (MoveToJmf)	Nachricht unter Quarantäne stellen (Quarantine)
Phishing-E-Mail-Schwellenwert (PhishThresholdLevel)	3 – Aggressiver (3)	4 – Aggressivste (4)
Richtlinie für Sichere Anlagen	Kein Unterschied	Kein Unterschied
Richtlinie für sichere Links	Kein Unterschied	Kein Unterschied

Die Unterschiede in den Richtlinieneinstellungen für sichere Anlagen und sichere Links in der Sicherheitsrichtlinie Integrierte Schutzvoreinstellung und in den voreingestellten Sicherheitsrichtlinien Standard und Strict sind in der folgenden Tabelle zusammengefasst:

	Integrierter Schutz	Standard und Strict
Richtlinie für Sichere Anlagen	Kein Unterschied	Kein Unterschied
Richtlinie für sichere Links
Benutzern das Klicken auf die ursprüngliche URL ermöglichen (AllowClickThrough)	Ausgewählt ($true)	Nicht ausgewählt ($false)
UrLs dürfen nicht neu geschrieben werden, überprüfungen nur über die API für sichere Links (DisableURLRewrite)	Ausgewählt ($true)	Nicht ausgewählt ($false)
Anwenden sicherer Links auf E-Mail-Nachrichten, die innerhalb des organization gesendet werden (EnableForInternalSenders)	Nicht ausgewählt ($false)	Ausgewählt ($true)

Ausführliche Informationen zu diesen Einstellungen finden Sie in den Featuretabellen unter Empfohlene Einstellungen für EOP und Microsoft Defender for Office 365 Sicherheit.

Rangfolge für voreingestellte Sicherheitsrichtlinien und andere Richtlinien

Wenn ein Empfänger in mehreren Richtlinien definiert ist, werden die Richtlinien in der folgenden Reihenfolge angewendet:

1. Die voreingestellte Sicherheitsrichtlinie Strict.
2. Die voreingestellte Sicherheitsrichtlinie Standard.
3. Defender for Office 365 Auswertungsrichtlinien
4. Benutzerdefinierte Richtlinien basierend auf der Priorität der Richtlinie (eine niedrigere Zahl bedeutet eine höhere Priorität).
5. Die integrierte sicherheitsvoreingestellte Sicherheitsrichtlinie für sichere Links und sichere Anlagen; Die Standardrichtlinien für Antischadsoftware, Antispam und Antiphishing.

Anders ausgedrückt: Die Einstellungen der voreingestellten Sicherheitsrichtlinie Streng setzen die Einstellungen der voreingestellten Sicherheitsrichtlinie Standard außer Kraft, die die Einstellungen aller Antiphishing-, Safe Links- oder Safe Attachments-Auswertungsrichtlinien außer Kraft setzt, die die Einstellungen von benutzerdefinierten Richtlinien außer Kraft setzen, die die Einstellungen der voreingestellten Sicherheitsrichtlinie "Integrierter Schutz" für sichere Links und sichere Anlagen außer Kraft setzen. und die Standardrichtlinien für Antispam, Antischadsoftware und Antiphishing.

Diese Reihenfolge wird auf den Seiten der einzelnen Sicherheitsrichtlinien im Defender-Portal angezeigt (die Richtlinien werden in der Reihenfolge angewendet, in der sie auf der Seite angezeigt werden).

Beispielsweise konfiguriert ein Administrator die voreingestellte Sicherheitsrichtlinie Standard und eine benutzerdefinierte Antispamrichtlinie mit demselben Empfänger. Die Antispamrichtlinieneinstellungen aus der standardvoreingestellten Sicherheitsrichtlinie werden auf den Benutzer angewendet, anstatt auf die In der benutzerdefinierten Antispamrichtlinie oder in der Standard-Antispamrichtlinie konfigurierten Einstellungen.

Erwägen Sie, die voreingestellten Sicherheitsrichtlinien Standard oder Strict auf eine Teilmenge von Benutzern anzuwenden, und wenden Sie benutzerdefinierte Richtlinien auf andere Benutzer in Ihrem organization an, um bestimmte Anforderungen zu erfüllen. Um diese Anforderung zu erfüllen, sollten Sie die folgenden Methoden in Betracht ziehen:

• Verwenden Sie eindeutige Gruppen oder Listen von Empfängern in der voreingestellten Sicherheitsrichtlinie Standard, der voreingestellten Sicherheitsrichtlinie Strict und in benutzerdefinierten Richtlinien, damit keine Ausnahmen erforderlich sind. Bei dieser Methode müssen Sie nicht mehrere Richtlinien berücksichtigen, die auf dieselben Benutzer angewendet werden, und die Auswirkungen der Rangfolge.
• Wenn Sie nicht vermeiden können, dass mehrere Richtlinien auf dieselben Benutzer angewendet werden, verwenden Sie die folgenden Strategien:
  • Konfigurieren Sie Empfänger, die die Einstellungen der standardvoreingestellten Sicherheitsrichtlinie und benutzerdefinierten Richtlinien als Ausnahmen in der voreingestellten Sicherheitsrichtlinie Strict erhalten sollen.
  • Konfigurieren Sie Empfänger, die die Einstellungen von benutzerdefinierten Richtlinien als Ausnahmen in der standardvoreingestellten Sicherheitsrichtlinie abrufen sollen.
  • Konfigurieren Sie Empfänger, die die Einstellungen der voreingestellten Sicherheitsrichtlinie für den integrierten Schutz oder Standardrichtlinien als Ausnahmen für benutzerdefinierte Richtlinien erhalten sollen.

Die integrierte Sicherheitsrichtlinie für den integrierten Schutz wirkt sich nicht auf Empfänger in vorhandenen Richtlinien für sichere Links oder sichere Anlagen aus. Wenn Sie bereits Standardschutz, Strict-Schutz oder benutzerdefinierte Richtlinien für sichere Links oder sichere Anlagen konfiguriert haben, werden diese Richtlinien immervor demintegrierten Schutz angewendet, sodass es keine Auswirkungen auf die Empfänger gibt, die bereits in diesen vorhandenen voreingestellten oder benutzerdefinierten Richtlinien definiert sind.

Weitere Informationen finden Sie unter Reihenfolge und Rangfolge des E-Mail-Schutzes.