Voreingestellte Sicherheitsrichtlinien in EOP und Microsoft Defender für Office 365

Tipp

Wussten Sie, dass Sie die Features in Microsoft 365 Defender für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft 365 Defender-Portal-Testversionshub. Hier erfahren Sie, wer sich registrieren und testen kann.

Gilt für

Voreingestellte Sicherheitsrichtlinien bieten einen zentralen Ort zum gleichzeitigen Anwenden aller empfohlenen Spam-, Schadsoftware- und Phishingrichtlinien auf Benutzer. Die Richtlinieneinstellungen können nicht konfiguriert werden. Stattdessen werden sie von uns festgelegt und basieren auf unseren Beobachtungen und Erfahrungen in den Rechenzentren, um ein Gleichgewicht zwischen dem Fernhalten schädlicher Inhalte von Benutzern und der Vermeidung unnötiger Unterbrechungen zu schaffen.

Im weiteren Verlauf dieses Artikels werden voreingestellte Sicherheitsrichtlinien und deren Konfiguration beschrieben.

Aus welchen voreingestellten Sicherheitsrichtlinien bestehen

Voreingestellte Sicherheitsrichtlinien bestehen aus den folgenden Elementen:

  • Profile
  • Richtlinien
  • Richtlinieneinstellungen

Darüber hinaus ist die Rangfolge wichtig, wenn mehrere voreingestellte Sicherheitsrichtlinien und andere Richtlinien für dieselbe Person gelten.

Profile in voreingestellten Sicherheitsrichtlinien

Ein Profil bestimmt die Schutzebene. Die folgenden Profile sind verfügbar:

  • Standardschutz: Ein Baseline-Schutzprofil, das für die meisten Benutzer geeignet ist.

  • Strenger Schutz: Ein aggressiveres Schutzprofil für ausgewählte Benutzer (hochwertige Ziele oder Prioritätsbenutzer).

    Für Standardschutz und Strict-Schutz verwenden Sie Regeln mit Bedingungen und Ausnahmen, um die internen Empfänger zu bestimmen, für die die Richtlinie gilt (Empfängerbedingungen).

    Die verfügbaren Bedingungen und Ausnahmen sind:

    • Benutzer: Die angegebenen Postfächer, E-Mail-Benutzer oder E-Mail-Kontakte.
    • Gruppen:
      • Mitglieder der angegebenen Verteilergruppen oder E-Mail-aktivierten Sicherheitsgruppen (dynamische Verteilergruppen werden nicht unterstützt).
      • Die angegebene Microsoft 365-Gruppen.
    • Domänen: Alle Empfänger in der angegebenen akzeptierten Domäne in Ihrer Organisation.

    Sie können eine Bedingung oder Ausnahme nur einmal verwenden, aber Sie können mehrere Werte für die Bedingung oder Ausnahme angeben. Bei mehreren Werten derselben Bedingung oder Ausnahme wird ODER-Logik verwendet (z. B. <recipient1> oder <recipient2>). Bei unterschiedlichen Bedingungen oder Ausnahmen wird UND-Logik verwendet (z. B. <recipient1> und <member of group 1>).

    Wichtig

    Mehrere unterschiedliche Typen von Bedingungen oder Ausnahmen sind nicht additiv, sie sind inklusiv. Die voreingestellte Sicherheitsrichtlinie wird nur auf die Empfänger angewendet, die allen angegebenen Empfängerfiltern entsprechen. Beispielsweise konfigurieren Sie eine Empfängerfilterbedingung in der Richtlinie mit den folgenden Werten:

    • Benutzer: romain@contoso.com
    • Gruppen: Führungskräfte

    Die Richtlinie wird nur auf romain@contoso.com angewendet, wenn er auch Mitglied der Gruppe "Führungskräfte" ist. Wenn er kein Mitglied der Gruppe ist, wird die Richtlinie nicht auf ihn angewendet.

    Wenn Sie denselben Empfängerfilter als Ausnahme für die Richtlinie verwenden, wird die Richtlinie nicht nur auf angewendetromain@contoso.com, wenn er auch Mitglied der Gruppe "Führungskräfte" ist. Wenn er kein Mitglied der Gruppe ist, gilt die Richtlinie dennoch für ihn.

  • Integrierter Schutz (nur Defender for Office 365): Ein Profil, das nur schutz vor sicheren Links und sicheren Anlagen aktiviert. Dieses Profil stellt effektiv Standardrichtlinien für sichere Links und sichere Anlagen bereit, für die nie Standardrichtlinien vorhanden waren.

    Für den integrierten Schutz ist die voreingestellte Sicherheitsrichtlinie standardmäßig für alle Defender for Office 365 Kunden aktiviert. Sie können Ausnahmen auch basierend auf Benutzern, Gruppen und Domänen konfigurieren, sodass der Schutz nicht auf bestimmte Benutzer angewendet wird.

    Wichtig

    Sofern Sie keine Ausnahmen für den integrierten Schutz konfigurieren, erhalten alle Empfänger in der Organisation Schutz vor sicheren Links und sicheren Anlagen.

Bis Sie die Richtlinien Benutzern zuweisen, werden die voreingestellten Sicherheitsrichtlinien Standard und Strict niemandem zugewiesen. Im Gegensatz dazu wird die voreingestellte Sicherheitsrichtlinie " Integrierter Schutz " standardmäßig allen Empfängern zugewiesen, Sie können jedoch Ausnahmen konfigurieren.

Richtlinien in voreingestellten Sicherheitsrichtlinien

Voreingestellte Sicherheitsrichtlinien verwenden die entsprechenden Richtlinien aus den verschiedenen Schutzfunktionen in EOP und Microsoft Defender for Office 365. Diese Richtlinien werden erstellt , nachdem Sie benutzern die sicherheitsvoreingestellten Sicherheitsrichtlinien Standardschutz oder Strict protection zugewiesen haben. Sie können die Einstellungen in diesen Richtlinien nicht ändern.

  • Exchange Online Protection-Richtlinien (EOP): Diese Richtlinien gelten in allen Microsoft 365-Organisationen mit Exchange Online Postfächern und eigenständigen EOP-Organisationen ohne Exchange Online Postfächer:

    Hinweis

    Ausgehende Spamrichtlinien sind nicht Teil der voreingestellten Sicherheitsrichtlinien. Die Standardrichtlinie für ausgehende Spams schützt automatisch Mitglieder von voreingestellten Sicherheitsrichtlinien. Alternativ können Sie benutzerdefinierte Ausgehende Spamrichtlinien erstellen, um den Schutz für Mitglieder vordefinierter Sicherheitsrichtlinien anzupassen. Weitere Informationen finden Sie unter Konfigurieren der Ausgehenden Spamfilterung in EOP.

  • Microsoft Defender for Office 365-Richtlinien: Diese Richtlinien gelten in Organisationen mit Microsoft 365 E5- oder Defender for Office 365 Add-On-Abonnements:

Sie können EOP-Schutz auf andere Benutzer als auf Defender for Office 365-Schutz anwenden, oder Sie können EOP und Defender for Office 365 auf dieselben Empfänger anwenden.

Richtlinieneinstellungen in voreingestellten Sicherheitsrichtlinien

Sie können die Richtlinieneinstellungen in den Schutzprofilen nicht ändern. Die Werte für standard,Strict und Built-in protection policy werden unter Empfohlene Einstellungen für EOP und Microsoft Defender for Office 365 Sicherheit beschrieben.

Hinweis

In Defender for Office 365 Müssen Sie die Absender für den Schutz vor Benutzeridentitätswechsel und die internen oder externen Domänen für den Schutz vor Domänenidentitätswechseln identifizieren.

Alle Domänen, die Sie besitzen (akzeptierte Domänen), erhalten automatisch Schutz vor Identitätswechsel in voreingestellten Sicherheitsrichtlinien.

Alle Empfänger erhalten automatisch Identitätswechselschutz von Postfachintelligenz in voreingestellten Sicherheitsrichtlinien.

Rangfolge für voreingestellte Sicherheitsrichtlinien und andere Richtlinien

Wenn mehrere Richtlinien auf einen Benutzer angewendet werden, wird die folgende Reihenfolge von der höchsten bis zur niedrigsten Priorität angewendet:

  1. Strenge voreingestellte Sicherheitsrichtlinie.
  2. Standardmäßige voreingestellte Sicherheitsrichtlinie.
  3. Benutzerdefinierte Richtlinien. Benutzerdefinierte Richtlinien werden basierend auf dem Prioritätswert der Richtlinie angewendet.
  4. Integrierte sicherheitsvoreingestellte Sicherheitsrichtlinie für sichere Links und sichere Anlagen; Standardrichtlinien für Antischadsoftware, Antispam und Antiphishing.

Anders ausgedrückt: Die Einstellungen der voreingestellten Sicherheitsrichtlinie Streng setzen die Einstellungen der standardvoreingestellten Sicherheitsrichtlinie außer Kraft, die die Einstellungen von benutzerdefinierten Richtlinien außer Kraft setzt, die die Einstellungen der voreingestellten Sicherheitsrichtlinie Für sichere Links und sichere Anlagen überschreiben, sowie die Standardrichtlinien für Antispam, Antischadsoftware und Antiphishing.

Beispielsweise ist eine Sicherheitseinstellung im Standardschutz vorhanden, und ein Administrator gibt einen Benutzer für den Standardschutz an. Die Standardschutzeinstellung wird auf den Benutzer angewendet, anstatt die Einstellungen, die für diese Einstellung in einer benutzerdefinierten Richtlinie oder in der Standardrichtlinie für denselben Benutzer konfiguriert sind.

Möglicherweise möchten Sie die voreingestellten Sicherheitsrichtlinien Standard oder Strict auf eine Teilmenge von Benutzern anwenden und benutzerdefinierte Richtlinien auf andere Benutzer in Ihrer Organisation anwenden, um bestimmte Anforderungen zu erfüllen. Führen Sie die folgenden Schritte aus, um diese Anforderung zu erfüllen:

  • Konfigurieren Sie die Benutzer, die die Einstellungen der standardvoreingestellten Sicherheitsrichtlinie und benutzerdefinierten Richtlinien als Ausnahmen in der voreingestellten Sicherheitsrichtlinie Strict abrufen sollen.
  • Konfigurieren Sie die Benutzer, die die Einstellungen von benutzerdefinierten Richtlinien als Ausnahmen in der standardvoreingestellten Sicherheitsrichtlinie abrufen sollen.

Der integrierte Schutz wirkt sich nicht auf Empfänger in vorhandenen Richtlinien für sichere Links oder sichere Anlagen aus. Wenn Sie bereits Standardschutz, Strenger Schutz oder benutzerdefinierte Richtlinien für sichere Links oder sichere Anlagen konfiguriert haben, werden diese Richtlinien immervor demintegrierten Schutz angewendet, sodass es keine Auswirkungen auf die Empfänger gibt, die bereits in diesen vorhandenen voreingestellten oder benutzerdefinierten Richtlinien definiert sind.

Benutzern vordefinierte Sicherheitsrichtlinien zuweisen

Was sollten Sie wissen, bevor Sie beginnen?

  • Sie öffnen das Microsoft 365 Defender-Portal unter https://security.microsoft.com. Verwenden Sie https://security.microsoft.com/presetSecurityPolicies, um direkt zur Seite Voreingestellte Sicherheitsrichtlinien zu wechseln.

  • Wie Sie eine Verbindung mit Exchange Online PowerShell herstellen, finden Sie unter Herstellen einer Verbindung mit Exchange Online PowerShell.

  • Bevor Sie die Verfahren in diesem Artikel ausführen können, müssen Ihnen in Exchange Online Berechtigungen zugewiesen werden:

    • Zum Konfigurieren voreingestellter Sicherheitsrichtlinien müssen Sie Mitglied der Rollengruppen Organisationsverwaltung oder Sicherheitsadministrator sein.
    • Für den schreibgeschützten Zugriff auf voreingestellte Sicherheitsrichtlinien müssen Sie Mitglied der Rollengruppe Globaler Leser sein.

    Weitere Informationen finden Sie unter Berechtigungen in Exchange Online.

    Hinweis: Durch das Hinzufügen von Benutzern zur entsprechenden Azure Active Directory-Rolle im Microsoft 365 Admin Center erhalten Benutzer die erforderlichen Berechtigungen und Berechtigungen für andere Features in Microsoft 365. Weitere Informationen finden Sie unter Informationen zu Administratorrollen.

Verwenden des Microsoft 365 Defender-Portals, um Benutzern voreingestellte Sicherheitsrichtlinien "Standard" und "Strict" zuzuweisen

  1. Navigieren Sie im Microsoft 365 Defender-Portal unter https://security.microsoft.comzu Email & Richtlinien& für die Zusammenarbeit > Regeln >Bedrohungsrichtlinien>Voreingestellte Sicherheitsrichtlinien im Abschnitt Richtlinien mit Vorlagen. Verwenden Sie https://security.microsoft.com/presetSecurityPolicies, um direkt zur Seite Voreingestellte Sicherheitsrichtlinien zu wechseln.

  2. Klicken Sie auf der Seite Voreingestellte Sicherheitsrichtlinien in den Abschnitten Standardschutz oder Strenger Schutz auf Verwalten.

  3. Der Assistent Standardschutz anwenden oder Strengen Schutz anwenden wird in einem Flyout gestartet.

    Identifizieren Sie auf der Seite Exchange Online Protection anwenden die internen Empfänger, für die der EOP-Schutz gilt (Empfängerbedingungen):

    • Alle Empfänger

    • Bestimmte Empfänger:

      • Benutzer
      • Gruppen:
        • Mitglieder der angegebenen Verteilergruppen oder E-Mail-aktivierten Sicherheitsgruppen (dynamische Verteilergruppen werden nicht unterstützt).
        • Die angegebene Microsoft 365-Gruppen.
    • Domänen

      Klicken Sie auf das entsprechende Feld, beginnen Sie mit der Eingabe eines Wertes, und wählen Sie den gewünschten Wert aus den Ergebnissen aus. Wiederholen Sie diesen Vorgang so oft wie nötig. Um einen vorhandenen Wert zu entfernen, klicken Sie neben dem Wert auf entfernen Symbol Entfernen .

      Für Benutzer oder Gruppen können Sie die meisten Bezeichner verwenden (Name, Anzeigename, Alias, E-Mail-Adresse, Kontoname usw.), aber in den Ergebnissen wird der entsprechende Anzeigename angezeigt. Geben Sie für Benutzer selbst ein Sternchen (*) ein, um alle verfügbaren Werte anzuzeigen.

    • Keine

    • Diese Empfänger ausschließen: Wenn Sie Ausnahmen für die internen Empfänger hinzufügen möchten, für die die Richtlinie gilt (Empfängerausnahmen), wählen Sie diese Option aus, und konfigurieren Sie die Ausnahmen. Die Einstellungen und das Verhalten entsprechen genau den Bedingungen.

    Wenn Sie fertig sind, klicken Sie auf Weiter.

    Hinweis

    In Organisationen ohne Defender for Office 365 gelangen Sie durch Klicken auf Weiter zur Seite Überprüfen. Die verbleibenden Schritte/Seiten vor der Seite Überprüfen sind nur in Organisationen mit Defender for Office 365 verfügbar.

  4. Identifizieren Sie auf der Seite Schutz anwenden Defender for Office 365 die internen Empfänger, für die der Defender for Office 365 Schutz gilt (Empfängerbedingungen).

    Die Einstellungen und das Verhalten entsprechen genau den EOP-Schutzmaßnahmen, die auf die Seite im vorherigen Schritt angewendet werden.

    Sie können auch Zuvor ausgewählte Empfänger auswählen, um dieselben Empfänger zu verwenden, die Sie auf der vorherigen Seite für den EOP-Schutz ausgewählt haben.

    Wenn Sie fertig sind, klicken Sie auf Weiter.

  5. Klicken Sie auf der Seite Identitätswechselschutz auf Weiter.

  6. Fügen Sie auf der Seite E-Mail-Adressen hinzufügen, die gekennzeichnet werden sollen, wenn die Identität von Angreifern angenommen wird, interne und externe Absender hinzu, die durch den Schutz vor Benutzeridentitätswechseln geschützt sind.

    Hinweis

    Alle Empfänger erhalten automatisch Identitätswechselschutz von Postfachintelligenz in voreingestellten Sicherheitsrichtlinien.

    Jeder Eintrag besteht aus einem Anzeigenamen und einer E-Mail-Adresse. Geben Sie jeden Wert in die Felder ein, und klicken Sie dann auf Hinzufügen. Wiederholen Sie diesen Schritt so oft wie nötig.

    Sie können maximal 350 Benutzer angeben, und Sie können nicht denselben Benutzer in den Einstellungen zum Schutz vor Benutzeridentitätswechseln in mehreren Richtlinien angeben.

    Um einen vorhandenen Eintrag aus der Liste zu entfernen, klicken Sie auf Symbol .

    Wenn Sie fertig sind, klicken Sie auf Weiter.

  7. Fügen Sie auf der Seite Domänen zum Kennzeichnen beim Annehmen der Identität durch Angreifer hinzufügen interne und externe Domänen hinzu, die durch den Schutz vor Domänenidentitätswechsel geschützt sind.

    Hinweis

    Alle Domänen, die Sie besitzen (akzeptierte Domänen), erhalten automatisch Schutz vor Identitätswechsel in voreingestellten Sicherheitsrichtlinien.

    Alle Absender in den angegebenen Domänen werden durch den Schutz vor Domänenidentitätswechseln geschützt.

    Geben Sie die Domäne in das Feld ein, und klicken Sie dann auf Hinzufügen. Wiederholen Sie diesen Schritt so oft wie nötig.

    Um einen vorhandenen Eintrag aus der Liste zu entfernen, wählen Sie den Eintrag aus, und klicken Sie dann auf Das Symbol Domäne aus Identitätswechselschutz entfernen.

    Die maximale Anzahl von Domänen, die Sie für den Schutz vor Domänenidentitätswechsel in allen Antiphishingrichtlinien angeben können, beträgt 50.

    Wenn Sie fertig sind, klicken Sie auf Weiter.

  8. Geben Sie auf der Seite Vertrauenswürdige E-Mail-Adressen und Domänen hinzufügen, die nicht als Identitätswechsel gekennzeichnet werden sollen die Absender-E-Mail-Adressen und Domänen ein, die vom Identitätswechselschutz ausgeschlossen werden sollen. Nachrichten von diesen Absendern werden nie als Identitätswechselangriff gekennzeichnet, aber die Absender unterliegen weiterhin der Überprüfung durch andere Filter in EOP und Defender for Office 365.

    Geben Sie die E-Mail-Adresse oder Domäne in das Feld ein, und klicken Sie dann auf Hinzufügen. Wiederholen Sie diesen Schritt so oft wie nötig.

    Wenn Sie einen vorhandenen Eintrag aus der Liste entfernen möchten, wählen Sie den Eintrag aus, und klicken Sie dann auf Das Symbol ausnahmen für den Identitätswechselschutz entfernen.

    Wenn Sie fertig sind, klicken Sie auf Weiter.

  9. Überprüfen und bestätigen Sie auf der Seite Diese Richtlinie überprüfen und bestätigen Sie Ihre Auswahl, und klicken Sie dann auf Bestätigen.

Verwenden Sie das Microsoft 365 Defender-Portal, um die Zuweisungen der voreingestellten Sicherheitsrichtlinien "Standard" und "Strict" zu ändern.

Die Schritte zum Ändern der Zuweisung der sicherheitsvoreingestellten Sicherheitsrichtlinie "Standardschutz " oder " Strenger Schutz " sind die gleichen wie bei der anfänglichen Zuweisung der voreingestellten Sicherheitsrichtlinien zu Benutzern.

Um die sicherheitsvoreingestellten Sicherheitsrichtlinien Standardschutz oder Strict protection zu deaktivieren und gleichzeitig die vorhandenen Bedingungen und Ausnahmen beizubehalten, schieben Sie den Umschalter auf DeaktiviertUmschalten aus.. Um die Richtlinien zu aktivieren, schieben Sie den Umschalter auf AktiviertEin.

Verwenden Sie das Microsoft 365 Defender-Portal, um die Zuweisungen der sicherheitsvoreingestellten Sicherheitsrichtlinie für den integrierten Schutz zu ändern.

Denken Sie daran, dass die voreingestellte Sicherheitsrichtlinie Für den integrierten Schutz allen Empfängern zugewiesen ist und sich nicht auf Empfänger auswirkt, die in den sicherheitsvoreingestellten Sicherheitsrichtlinien Standardschutz oder Strenger Schutz oder benutzerdefinierten Richtlinien für sichere Links oder sichere Anlagen definiert sind.

Daher empfehlen wir in der Regel keine Ausnahmen von der sicherheitsvoreingestellten Sicherheitsrichtlinie "Integrierter Schutz ".

  1. Navigieren Sie im Microsoft 365 Defender-Portal unter https://security.microsoft.comzu Email & Richtlinien& für die Zusammenarbeit > Regeln >Bedrohungsrichtlinien>Voreingestellte Sicherheitsrichtlinien im Abschnitt Richtlinien mit Vorlagen. Verwenden Sie https://security.microsoft.com/presetSecurityPolicies, um direkt zur Seite Voreingestellte Sicherheitsrichtlinien zu wechseln.

  2. Wählen Sie auf der Seite Voreingestellte Sicherheitsrichtlinien im Abschnitt Integrierter Schutzdie Option Ausschlüsse hinzufügen (nicht empfohlen) aus.

  3. Identifizieren Sie im angezeigten Flyout Vom integrierten Schutz ausschließen die internen Empfänger, die vom integrierten Schutz für sichere Links und sichere Anlagen ausgeschlossen sind:

    • Benutzer
    • Gruppen:
      • Mitglieder der angegebenen Verteilergruppen oder E-Mail-aktivierten Sicherheitsgruppen (dynamische Verteilergruppen werden nicht unterstützt).
      • Die angegebene Microsoft 365-Gruppen.
    • Domänen

    Klicken Sie auf das entsprechende Feld, beginnen Sie mit der Eingabe eines Wertes, und wählen Sie den gewünschten Wert aus den Ergebnissen aus. Wiederholen Sie diesen Vorgang so oft wie nötig. Um einen vorhandenen Wert zu entfernen, klicken Sie neben dem Wert auf Ausschlüsse aus integriertem Schutz entfernen .

    Für Benutzer oder Gruppen können Sie die meisten Bezeichner verwenden (Name, Anzeigename, Alias, E-Mail-Adresse, Kontoname usw.), aber in den Ergebnissen wird der entsprechende Anzeigename angezeigt. Geben Sie für Benutzer selbst ein Sternchen (*) ein, um alle verfügbaren Werte anzuzeigen.

    Klicken Sie nach Abschluss des Vorgangs auf Speichern.

Wie können Sie feststellen, dass diese Verfahren erfolgreich waren?

Um zu überprüfen, ob Sie einem Benutzer erfolgreich die Sicherheitsrichtlinie Standardschutz oder Strict protection zugewiesen haben, verwenden Sie eine Schutzeinstellung, bei der sich der Standardwert von der Standardschutzeinstellung unterscheidet, die sich von der Einstellung Strict-Schutz unterscheidet.

Überprüfen Sie beispielsweise bei E-Mails, die als Spam erkannt werden (kein Spam mit hoher Zuverlässigkeit), dass die Nachricht an den Junk-Email Ordner für Benutzer mit Standardschutz übermittelt und für Benutzer mit strengem Schutz unter Quarantäne gestellt wird.

Oder überprüfen Sie bei Massensendungen, ob der BCL-Wert 6 oder höher die Nachricht an den Junk-Email Ordner für Benutzer mit Standardschutz übermittelt und der BCL-Wert 4 oder höher die Nachricht für Benutzer mit strengem Schutz unter Quarantäne stellt.

Voreingestellte Sicherheitsrichtlinien in Exchange Online PowerShell

In PowerShell bestehen voreingestellte Sicherheitsrichtlinien aus den folgenden Elementen:

  • Einzelne Sicherheitsrichtlinien: Beispielsweise Anti-Malware-Richtlinien, Antispamrichtlinien, Anti-Phishing-Richtlinien, Richtlinien für sichere Links und Richtlinien für sichere Anlagen.

    Warnung

    Versuchen Sie nicht, die einzelnen Sicherheitsrichtlinien zu erstellen, zu ändern oder zu entfernen, die voreingestellten Sicherheitsrichtlinien zugeordnet sind. Die einzige unterstützte Methode zum Erstellen der einzelnen Sicherheitsrichtlinien für voreingestellte Sicherheitsrichtlinien "Standard" oder "Strict" besteht darin, die voreingestellte Sicherheitsrichtlinie zum ersten Mal im Microsoft 365 Defender-Portal zu aktivieren.

  • Regeln: Separate Regeln für die voreingestellte Sicherheitsrichtlinie Standard, die voreingestellte Sicherheitsrichtlinie Strict und die voreingestellte Sicherheitsrichtlinie Integrierter Schutz definieren die Empfängerbedingungen und Ausnahmen für die Richtlinien (identifizieren Sie die Empfänger, für die der Schutz der Richtlinie gilt).

    Für die voreingestellten Sicherheitsrichtlinien Standard und Strict werden diese Regeln erstellt, wenn Sie die voreingestellte Sicherheitsrichtlinie zum ersten Mal im Microsoft 365 Defender-Portal aktivieren. Wenn Sie die voreingestellte Sicherheitsrichtlinie noch nie aktiviert haben, sind die zugehörigen Regeln nicht vorhanden. Wenn Sie anschließend die voreingestellte Sicherheitsrichtlinie deaktivieren, werden die zugehörigen Regeln nicht gelöscht.

    Die voreingestellte Sicherheitsrichtlinie "Integrierter Schutz" verfügt über eine einzelne Regel, die Ausnahmen vom Standardschutz für sichere Links und sichere Anlagen der Richtlinie steuert.

    Die voreingestellten Sicherheitsrichtlinien Standard und Strict weisen die folgenden Regeln auf:

    • Regeln für Exchange Online Protection-Schutz (EOP): Die Regel für die Sicherheitsrichtlinie Standardvoreinstellung und die Regel für die voreingestellte Sicherheitsrichtlinie Streng steuert, für wen der EOP-Schutz in der Richtlinie (Antischadsoftware, Antispam und Antiphishing) gilt (die Empfängerbedingungen und Ausnahmen für EOP-Schutz).
    • Regeln für Defender for Office 365-Schutz: Die Regel für die standardvoreingestellte Sicherheitsrichtlinie und die Regel für die voreingestellte Sicherheitsrichtlinie Streng steuert, für wen die Defender for Office 365 Schutzmaßnahmen in der Richtlinie (sichere Links und sichere Anlagen) gelten (die Empfängerbedingungen und Ausnahmen für Defender for Office 365 Schutzmaßnahmen).

    Mit den Regeln für voreingestellte Sicherheitsrichtlinien "Standard" und "Strict" können Sie die voreingestellte Sicherheitsrichtlinie auch aktivieren oder deaktivieren, indem Sie die Regeln aktivieren oder deaktivieren, die den Richtlinien zugeordnet sind.

    Die Regeln für voreingestellte Sicherheitsrichtlinien sind nicht für die regulären Regel-Cmdlets verfügbar, die für einzelne Sicherheitsrichtlinien funktionieren (z. B. Get-AntiPhishRule). Stattdessen sind die folgenden Cmdlets erforderlich:

    • Integrierte sicherheitsvoreingestellte Sicherheitsrichtlinie für den Schutz: *-ATPBuiltInProtectionRule-Cmdlets .
    • Standardmäßige und strenge voreingestellte Sicherheitsrichtlinien: Cmdlets *-EOPProtectionPolicyRule und *-ATPProtectionPolicyRule .

In den folgenden Abschnitten wird beschrieben, wie Sie diese Cmdlets in unterstützten Szenarien verwenden.

Wie Sie eine Verbindung mit Exchange Online PowerShell herstellen, finden Sie unter Herstellen einer Verbindung mit Exchange Online PowerShell.

Verwenden von PowerShell zum Anzeigen einzelner Sicherheitsrichtlinien für voreingestellte Sicherheitsrichtlinien

Denken Sie daran: Wenn Sie die voreingestellte Sicherheitsrichtlinie Standard oder die voreingestellte Sicherheitsrichtlinie Strict im Microsoft 365 Defender-Portal nie aktiviert haben, sind die zugehörigen Sicherheitsrichtlinien für die voreingestellte Sicherheitsrichtlinie nicht vorhanden.

Warnung

Versuchen Sie nicht, die einzelnen Sicherheitsrichtlinien zu erstellen, zu ändern oder zu entfernen, die voreingestellten Sicherheitsrichtlinien zugeordnet sind. Die einzige unterstützte Methode zum Erstellen der einzelnen Sicherheitsrichtlinien für voreingestellte Sicherheitsrichtlinien "Standard" oder "Strict" besteht darin, die voreingestellte Sicherheitsrichtlinie zum ersten Mal im Microsoft 365 Defender-Portal zu aktivieren.

  • Integrierte sicherheitsvoreingestellte Sicherheitsrichtlinie für den Schutz: Die zugeordneten Richtlinien werden Built-In Schutzrichtlinie benannt. Der Wert der IsBuiltInProtection-Eigenschaft ist für diese Richtlinien True.

    Führen Sie den folgenden Befehl aus, um die einzelnen Sicherheitsrichtlinien für die voreingestellte Sicherheitsrichtlinie "Integrierter Schutz" anzuzeigen:

    Write-Output -InputObject ("`r`n"*3),"Built-in protection Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy -Identity "Built-In Protection Policy" | Format-List; Write-Output -InputObject ("`r`n"*3),"Built-in protection Safe Links policy",("-"*79);Get-SafeLinksPolicy -Identity "Built-In Protection Policy" | Format-List
    
  • Standardmäßige voreingestellte Sicherheitsrichtlinie: Die zugeordneten Richtlinien heißen Standard Preset Security Policy<13-digit number>. Beispiel: Standard Preset Security Policy1622650008019. Der Wert der RecommendPolicyType-Eigenschaft ist Standard.

    • Organisationen ohne Defender für Microsoft 365:

      Führen Sie den folgenden Befehl aus, um die einzelnen Sicherheitsrichtlinien für die standardvoreingestellte Sicherheitsrichtlinie in Organisationen ohne Defender für Microsoft 365 anzuzeigen:

      Write-Output -InputObject ("`r`n"*3),"Standard anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"
      
    • Organisationen mit Defender für Microsoft 365:

      Führen Sie den folgenden Befehl aus, um die einzelnen Sicherheitsrichtlinien für die standardvoreingestellte Sicherheitsrichtlinie in Organisationen mit Defender für Microsoft 365 anzuzeigen:

      Write-Output -InputObject ("`r`n"*3),"Standard anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"
      
  • Strenge voreingestellte Sicherheitsrichtlinie: Die zugeordneten Richtlinien heißen Strict Preset Security Policy<13-digit number>. Beispiel: Strict Preset Security Policy1642034872546. Der Wert der RecommendPolicyType-Eigenschaft ist Strict.

    • Organisationen ohne Defender für Microsoft 365:

      • Führen Sie den folgenden Befehl aus, um die einzelnen Sicherheitsrichtlinien für die voreingestellte Sicherheitsrichtlinie Strict in Organisationen ohne Defender für Microsoft 365 anzuzeigen:

        Write-Output -InputObject ("`r`n"*3),"Strict anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"
        
    • Organisationen mit Defender für Microsoft 365:

      • Führen Sie den folgenden Befehl aus, um die einzelnen Sicherheitsrichtlinien für die voreingestellte Sicherheitsrichtlinie Strict in Organisationen mit Defender für Microsoft 365 anzuzeigen:
      Write-Output -InputObject ("`r`n"*3),"Strict anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"
      

Anzeigen von Regeln für voreingestellte Sicherheitsrichtlinien mithilfe von PowerShell

Denken Sie daran: Wenn Sie die voreingestellte Sicherheitsrichtlinie Standard oder die voreingestellte Sicherheitsrichtlinie Strict im Microsoft 365 Defender-Portal nie aktiviert haben, sind die zugehörigen Regeln für diese Richtlinien nicht vorhanden.

  • Integrierte sicherheitsvoreingestellte Sicherheitsrichtlinie für den Schutz: Die zugeordnete Regel heißt ATP Built-In Protection Rule.

    Führen Sie den folgenden Befehl aus, um die Regel anzuzeigen, die der sicherheitsvoreingestellten Sicherheitsrichtlinie "Integrierter Schutz" zugeordnet ist:

    Get-ATPBuiltInProtectionRule
    

    Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-ATPBuiltInProtectionRule.

  • Standardmäßige voreingestellte Sicherheitsrichtlinie: Die zugeordneten Regeln heißen StandardVoreingestellte Sicherheitsrichtlinie.

    Verwenden Sie die folgenden Befehle, um die Regeln anzuzeigen, die der standardvoreingestellten Sicherheitsrichtlinie zugeordnet sind:

    • Führen Sie den folgenden Befehl aus, um die Regel anzuzeigen, die EOP-Schutzmaßnahmen in der standardvoreingestellten Sicherheitsrichtlinie zugeordnet ist:

      Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"
      
    • Führen Sie den folgenden Befehl aus, um die Regel anzuzeigen, die Defender for Office 365 Schutzmaßnahmen in der standardvoreingestellten Sicherheitsrichtlinie zugeordnet ist:

      Get-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"
      
    • Führen Sie den folgenden Befehl aus, um beide Regeln gleichzeitig anzuzeigen:

      Write-Output -InputObject ("`r`n"*3),"EOP rule - Standard preset security policy",("-"*79);Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"; Write-Output -InputObject ("`r`n"*3),"Defender for Office 365 rule - Standard preset security policy",("-"*79);Get-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"
      
  • Strenge voreingestellte Sicherheitsrichtlinie: Die zugeordneten Regeln heißen Strict Preset Security Policy.

    Verwenden Sie die folgenden Befehle, um die Regeln anzuzeigen, die der voreingestellten Sicherheitsrichtlinie Strict zugeordnet sind:

    • Führen Sie den folgenden Befehl aus, um die Regel anzuzeigen, die EOP-Schutzmaßnahmen in der voreingestellten Sicherheitsrichtlinie Strict zugeordnet ist:

      Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"
      
    • Führen Sie den folgenden Befehl aus, um die Regel anzuzeigen, die Defender for Office 365 Schutzmaßnahmen in der voreingestellten Sicherheitsrichtlinie Strict zugeordnet ist:

      Get-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"
      
    • Führen Sie den folgenden Befehl aus, um beide Regeln gleichzeitig anzuzeigen:

      Write-Output -InputObject ("`r`n"*3),"EOP rule - Strict preset security policy",("-"*79);Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"; Write-Output -InputObject ("`r`n"*3),"Defender for Office 365 rule - Strict preset security policy",("-"*79);Get-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"
      

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-EOPProtectionPolicyRule und Get-ATPProtectionPolicyRule.

Verwenden von PowerShell zum Aktivieren oder Deaktivieren voreingestellter Sicherheitsrichtlinien

Wie weiter oben beschrieben, aktivieren oder deaktivieren Sie die Regeln, die der Richtlinie zugeordnet sind, um die voreingestellten Sicherheitsrichtlinien "Standard" oder "Strict" zu aktivieren oder zu deaktivieren. Der Wert der State-Eigenschaft der Regel zeigt an, ob die Regel aktiviert oder Deaktiviert ist.

Je nachdem, ob Ihre Organisation über Defender for Office 365 verfügt, müssen Sie möglicherweise eine Regel (die Regel für EOP-Schutze) oder zwei Regeln (eine Regel für EOP-Schutz und eine Regel für Defender for Office 365 Schutz) aktivieren oder deaktivieren, um die voreingestellte Sicherheitsrichtlinie zu aktivieren oder zu deaktivieren.

  • Standardmäßige voreingestellte Sicherheitsrichtlinie:

    • Organisationen ohne Defender for Office 365:

      • Führen Sie in Organisationen ohne Defender for Office 365 den folgenden Befehl aus, um zu ermitteln, ob die Regel für die standardvoreingestellte Richtlinie derzeit aktiviert oder deaktiviert ist:

        Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy" | Format-Table Name,State
        
      • Führen Sie den folgenden Befehl aus, um die voreingestellte Sicherheitsrichtlinie Standard zu deaktivieren, wenn sie aktiviert ist:

        Disable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"
        
      • Führen Sie den folgenden Befehl aus, um die voreingestellte Sicherheitsrichtlinie Standard zu aktivieren, wenn sie deaktiviert ist:

        Enable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"
        
    • Organisationen mit Defender for Office 365:

      • Führen Sie in Organisationen mit Defender for Office 365 den folgenden Befehl aus, um zu ermitteln, ob die Regeln für die standardvoreingestellte Richtlinie derzeit aktiviert oder deaktiviert sind:

        Write-Output -InputObject ("`r`n"*3),"EOP rule - Standard preset security policy",("-"*63);Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject `r`n,"Defender for Office 365 rule - Standard preset security policy",("-"*63);Get-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy" | Format-Table Name,State
        
      • Führen Sie den folgenden Befehl aus, um die voreingestellte Sicherheitsrichtlinie Standard zu deaktivieren, wenn sie aktiviert ist:

        Disable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"; Disable-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"
        
      • Führen Sie den folgenden Befehl aus, um die voreingestellte Sicherheitsrichtlinie Standard zu aktivieren, wenn sie deaktiviert ist:

        Enable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"; Enable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"
        
  • Strenge voreingestellte Sicherheitsrichtlinie:

    • Organisationen ohne Defender for Office 365:

      • Führen Sie in Organisationen mit Defender for Office 365 den folgenden Befehl aus, um zu ermitteln, ob die Regel für die voreingestellte Richtlinie Strict derzeit aktiviert oder deaktiviert ist:

        Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy" | Format-Table Name,State
        
      • Führen Sie den folgenden Befehl aus, um die voreingestellte Sicherheitsrichtlinie Strict zu deaktivieren, wenn sie aktiviert ist:

        Disable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"
        
      • Führen Sie den folgenden Befehl aus, um die voreingestellte Sicherheitsrichtlinie Strict zu aktivieren, wenn sie deaktiviert ist:

        Enable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"
        
    • Organisationen mit Defender for Office 365:

      • Führen Sie in Organisationen mit Defender for Office 365 den folgenden Befehl aus, um zu ermitteln, ob die Regeln für die voreingestellte Richtlinie Strict derzeit aktiviert oder deaktiviert sind:

        Write-Output -InputObject ("`r`n"*3),"EOP rule - Strict preset security policy",("-"*63);Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject `r`n,"Defender for Office 365 rule - Strict preset security policy",("-"*63);Get-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy" | Format-Table Name,State
        
      • Führen Sie den folgenden Befehl aus, um die voreingestellte Sicherheitsrichtlinie Strict zu deaktivieren, wenn sie aktiviert ist:

        Disable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"; Disable-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"
        
      • Führen Sie den folgenden Befehl aus, um die voreingestellte Sicherheitsrichtlinie Strict zu aktivieren, wenn sie deaktiviert ist:

        Enable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"; Enable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"
        

Ausführliche Syntax- und Parameterinformationen finden Sie unter Enable-EOPProtectionPolicyRule, Enable-ATPProtectionPolicyRule, Disable-EOPProtectionPolicyRule und Disable-ATPProtectionPolicyRule.

Verwenden von PowerShell zum Angeben von Empfängerbedingungen und Ausnahmen für voreingestellte Sicherheitsrichtlinien

Wichtig

Mehrere unterschiedliche Typen von Bedingungen oder Ausnahmen sind nicht additiv, sie sind inklusiv. Die voreingestellte Sicherheitsrichtlinie wird nur auf die Empfänger angewendet, die allen angegebenen Empfängerfiltern entsprechen. Beispielsweise konfigurieren Sie eine Empfängerfilterbedingung in der Richtlinie mit den folgenden Werten:

  • Benutzer: romain@contoso.com
  • Gruppen: Führungskräfte

Die Richtlinie wird nur auf romain@contoso.com angewendet, wenn er auch Mitglied der Gruppe "Führungskräfte" ist. Wenn er kein Mitglied der Gruppe ist, wird die Richtlinie nicht auf ihn angewendet.

Wenn Sie denselben Empfängerfilter als Ausnahme für die Richtlinie verwenden, wird die Richtlinie nicht nur auf angewendetromain@contoso.com, wenn er auch Mitglied der Gruppe "Führungskräfte" ist. Wenn er kein Mitglied der Gruppe ist, gilt die Richtlinie dennoch für ihn.

Für die voreingestellte Sicherheitsrichtlinie "Integrierter Schutz" können Sie nur Empfängerausnahmen angeben. Wenn alle Ausnahmeparameterwerte leer sind ($null), gibt es keine Ausnahmen für die Richtlinie.

Für die voreingestellten Sicherheitsrichtlinien Standard und Strict können Sie Empfängerbedingungen und Ausnahmen für EOP-Schutz und Defender for Office 365-Schutz angeben. Wenn alle Werte der Bedingungen und Ausnahmeparameter leer sind ($null), gibt es keine Empfängerbedingungen oder Ausnahmen von den voreingestellten Sicherheitsrichtlinien Standard oder Strict.

Selbst wenn keine Empfängerbedingungen oder Ausnahmen auf eine voreingestellte Sicherheitsrichtlinie angewendet werden, hängt es von der Rangfolge für Richtlinien ab, wie zuvor in diesem Artikel beschrieben, ob die Richtlinie auf alle Empfänger angewendet wird.

  • Integrierte Sicherheitsrichtlinie für den schutzvoreingestellten Schutz:

    Verwenden Sie die folgende Syntax:

    Set-ATPBuiltInProtectionRule -Identity "ATP Built-In Protection Rule" -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null>
    

    In diesem Beispiel werden alle Empfängerausnahmen aus der voreingestellten Sicherheitsrichtlinie für den integrierten Schutz entfernt.

    Set-ATPBuiltInProtectionRule -Identity "ATP Built-In Protection Rule" -ExceptIfRecipientDomainIs $null -ExceptIfSentTo $null -ExceptIfSentToMemberOf $null
    

    Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-ATPBuiltInProtectionRule.

  • Standard oder Strict voreingestellte Sicherheitsrichtlinien

    Verwenden Sie die folgende Syntax:

    <Set-EOPProtectionPolicyRule | SetAtpProtectionPolicyRule> -Identity "<Standard Preset Security Policy | Strict Preset Security Policy>" -SentTo <"user1","user2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -SentToMemberOf <"group1","group2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null> -RecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null>
    

    In diesem Beispiel werden Ausnahmen von den EOP-Schutzen in der voreingestellten Sicherheitsrichtlinie Standard für Mitglieder der Verteilergruppe mit dem Namen "Executives" konfiguriert.

    Set-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy" -ExceptIfSentToMemberOf Executives
    

    In diesem Beispiel werden Ausnahmen vom Defender for Office 365 Schutz in der voreingestellten Sicherheitsrichtlinie Strict für die angegebenen SecOps-Postfächer (Security Operations) konfiguriert.

    Set-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy" -ExceptIfSentTo "SecOps1","SecOps2"
    

    Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-EOPProtectionPolicyRule und Set-ATPProtectionPolicyRule.