Empfohlene Einstellungen für EOP und Microsoft Defender für Office 365 Security
Tipp
Wussten Sie, dass Sie die Features in Microsoft 365 Defender für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft 365 Defender-Portal-Testversionshub. Hier erfahren Sie, wer sich registrieren und testen kann.
Gilt für
- Exchange Online Protection
- Microsoft Defender für Office 365 Plan 1 und Plan 2
- Microsoft 365 Defender
Exchange Online Protection (EOP) ist der Kern der Sicherheit für Microsoft 365-Abonnements und verhindert, dass schädliche E-Mails die Posteingänge Ihrer Mitarbeiter erreichen. Mit neuen, komplexeren Angriffen, die jeden Tag auftreten, sind jedoch häufig verbesserte Schutzmaßnahmen erforderlich. Microsoft Defender for Office 365 Plan 1 oder Plan 2 enthalten zusätzliche Features, die Administratoren mehr Sicherheits-, Kontroll- und Untersuchungsebenen bieten.
Obwohl wir Sicherheitsadministratoren ermöglichen, ihre Sicherheitseinstellungen anzupassen, gibt es zwei Sicherheitsstufen in EOP und Microsoft Defender for Office 365, die wir empfehlen: Standard und Strict. Obwohl die Umgebungen und Anforderungen der Kunden unterschiedlich sind, können diese Filterebenen in den meisten Situationen verhindern, dass unerwünschte E-Mails den Posteingang Ihrer Mitarbeiter erreichen.
Informationen zum automatischen Anwenden der Standard- oder Strict-Einstellungen auf Benutzer finden Sie unter Voreingestellte Sicherheitsrichtlinien in EOP und Microsoft Defender for Office 365.
In diesem Artikel werden die Standardeinstellungen sowie die empfohlenen Standard- und Strict-Einstellungen zum Schutz Ihrer Benutzer beschrieben. Die Tabellen enthalten die Einstellungen im Microsoft 365 Defender-Portal und in PowerShell (Exchange Online PowerShell oder eigenständiger Exchange Online Protection PowerShell für Organisationen ohne Exchange Online Postfächer).
Hinweis
Das Office 365 ORCA-Modul (Advanced Threat Protection Recommended Configuration Analyzer) für PowerShell kann Ihnen (Administratoren) helfen, die aktuellen Werte dieser Einstellungen zu finden. Insbesondere generiert das Cmdlet Get-ORCAReport eine Bewertung der Einstellungen für Antispam, Antiphishing und andere Einstellungen für die Nachrichtenhygiene. Sie können das ORCA-Modul unter https://www.powershellgallery.com/packages/ORCA/herunterladen.
In Microsoft 365-Organisationen wird empfohlen, den Junk-Email-Filter in Outlook auf Keine automatische Filterung festzulegen, um unnötige Konflikte (sowohl positiv als auch negativ) mit den Spamfilterungsbewertungen von EOP zu verhindern. Weitere Informationen finden Sie in den folgenden Artikeln:
Antispam-, Antischadsoftware- und Phishingschutz in EOP
Antispam, Antischadsoftware und Antiphishing sind EOP-Features, die von Administratoren konfiguriert werden können. Wir empfehlen die folgenden Standard- oder Strict-Konfigurationen.
EOP-Antispamrichtlinieneinstellungen
Informationen zum Erstellen und Konfigurieren von Antispamrichtlinien finden Sie unter Konfigurieren von Antispamrichtlinien in EOP.
Unabhängig davon, wo Sie Nachricht unter Quarantäne stellen als Aktion für eine Spamfilterbewertung auswählen, steht ein Feld Quarantänerichtlinie auswählen zur Verfügung. Quarantänerichtlinien definieren, was Benutzer mit unter Quarantäne gestellten Nachrichten tun können, und ob Benutzer Nachrichten erhalten, wenn eine Nachricht unter Quarantäne gestellt wurde. Weitere Informationen finden Sie unter Anatomie einer Quarantänerichtlinie.
Wenn Sie beim Erstellen von Antispamrichtlinien im Defender-Portal die Aktion einer Spamfilterungsbewertung in Quarantäneändern, ist das Feld Quarantänerichtlinie auswählen standardmäßig leer. Ein leerer Wert bedeutet, dass die Standardquarantänerichtlinie für diese Spamfilterungsbewertung verwendet wird. Diese Standardquarantänerichtlinien erzwingen die Verlaufsfunktionen für die Spamfilterbewertung, die die Nachricht unter Quarantäne stellte, wie in der tabelle hier beschrieben. Wenn Sie später die Antispamrichtlinieneinstellungen anzeigen oder bearbeiten, wird der Name der Quarantänerichtlinie angezeigt.
Administratoren können Quarantänerichtlinien mit restriktiveren oder weniger restriktiven Funktionen erstellen oder verwenden. Anweisungen finden Sie unter Erstellen von Quarantänerichtlinien im Microsoft 365 Defender-Portal.
| Name des Sicherheitsfeatures | Standard | Standard | Streng | Kommentar |
|---|---|---|---|---|
| Spameigenschaften des Massen-E-Mail-Schwellenwerts & | ||||
| Schwellenwert für Massen-E-Mails BulkThreshold |
7 | 6 | 5 | Weitere Informationen finden Sie unter Massenbeschwerdegrad (BCL) in EOP. |
| MarkAsSpamBulkMail | On |
On |
On |
Diese Einstellung ist nur in PowerShell verfügbar. |
| Einstellungen für die Spambewertung erhöhen | Off | Off | Off | Alle diese Einstellungen sind Teil des erweiterten Spamfilters (ASF). Weitere Informationen finden Sie im Abschnitt ASF-Einstellungen in Antispamrichtlinien in diesem Artikel. |
| Als Spam markieren | Off | Off | Off | Die meisten dieser Einstellungen sind Teil von ASF. Weitere Informationen finden Sie im Abschnitt ASF-Einstellungen in Antispamrichtlinien in diesem Artikel. |
| Enthält bestimmte Sprachen EnableLanguageBlockList LanguageBlockList |
Aus $false Leer |
Aus $false Leer |
Aus $false Leer |
Es gibt keine spezifische Empfehlung für diese Einstellung. Sie können Nachrichten in bestimmten Sprachen basierend auf Ihren geschäftlichen Anforderungen blockieren. |
| Aus diesen Ländern EnableRegionBlockList RegionBlockList |
Aus $false Leer |
Aus $false Leer |
Aus $false Leer |
Es gibt keine spezifische Empfehlung für diese Einstellung. Sie können Nachrichten aus bestimmten Ländern basierend auf Ihren geschäftlichen Anforderungen blockieren. |
| Testmodus (TestModeAction) | Keine | Keine | Keine | Diese Einstellung ist Teil von ASF. Weitere Informationen finden Sie im Abschnitt ASF-Einstellungen in Antispamrichtlinien in diesem Artikel. |
| Aktionen | ||||
| Spamerkennungsaktion SpamAction |
Nachricht in Junk-E-Mail-Ordner verschieben MoveToJmf |
Nachricht in Junk-E-Mail-Ordner verschieben MoveToJmf |
Nachricht in Quarantäne verschieben Quarantine |
|
| Quarantänerichtlinie für Spam SpamQuarantineTag |
DefaultFullAccessPolicy¹ | DefaultFullAccessPolicy | DefaultFullAccessWithNotificationPolicy | Die Quarantänerichtlinie ist nur dann sinnvoll, wenn Spamerkennungen unter Quarantäne stehen. |
| Aktion zur Spamerkennung mit hoher Zuverlässigkeit HighConfidenceSpamAction |
Nachricht in Junk-E-Mail-Ordner verschieben MoveToJmf |
Nachricht in Quarantäne verschieben Quarantine |
Nachricht in Quarantäne verschieben Quarantine |
|
| Quarantänerichtlinie für Spam mit hoher Zuverlässigkeit HighConfidenceSpamQuarantineTag |
DefaultFullAccessPolicy¹ | DefaultFullAccessWithNotificationPolicy | DefaultFullAccessWithNotificationPolicy | Die Quarantänerichtlinie ist nur dann sinnvoll, wenn Spamerkennungen mit hoher Zuverlässigkeit unter Quarantäne stellen. |
| Phishing-Erkennungsaktion PhishSpamAction |
Verschieben einer Nachricht in den Ordner "Junk Email"* MoveToJmf |
Nachricht in Quarantäne verschieben Quarantine |
Nachricht in Quarantäne verschieben Quarantine |
*Der Standardwert ist Move message to Junk Email folder in the default anti-spam policy and in new anti-spam policies that you create in PowerShell.The default value is Move message to Junk Email folder in the default anti-spam policy and in new anti-spam policies that you create in PowerShell. Der Standardwert ist Quarantänenachricht in neuen Antispamrichtlinien, die Sie im Microsoft 365 Defender-Portal erstellen. |
| Quarantänerichtlinie für Phishing PhishQuarantineTag |
DefaultFullAccessPolicy¹ | DefaultFullAccessWithNotificationPolicy | DefaultFullAccessWithNotificationPolicy | Die Quarantänerichtlinie ist nur dann sinnvoll, wenn Phishingerkennungen unter Quarantäne stehen. |
| Phishing-Erkennungsaktion mit hoher Zuverlässigkeit HighConfidencePhishAction |
Nachricht in Quarantäne verschieben Quarantine |
Nachricht in Quarantäne verschieben Quarantine |
Nachricht in Quarantäne verschieben Quarantine |
Benutzer können ihre eigenen Nachrichten, die als Phishing mit hoher Zuverlässigkeit unter Quarantäne gesetzt wurden, nicht freigeben, unabhängig davon, wie die Quarantänerichtlinie konfiguriert ist. Wenn die Richtlinie es Benutzern ermöglicht, ihre eigenen unter Quarantäne gestellten Nachrichten freizugeben, können Benutzer stattdessen die Freigabe ihrer in Quarantäne befindlichen Phishing-Nachrichten mit hoher Zuverlässigkeit anfordern . |
| Quarantänerichtlinie für Phishing mit hoher Zuverlässigkeit HighConfidencePhishQuarantineTag |
AdminOnlyAccessPolicy | AdminOnlyAccessPolicy | AdminOnlyAccessPolicy | |
| Massenerkennungsaktion BulkSpamAction |
Nachricht in Junk-E-Mail-Ordner verschieben MoveToJmf |
Nachricht in Junk-E-Mail-Ordner verschieben MoveToJmf |
Nachricht in Quarantäne verschieben Quarantine |
|
| Quarantänerichtlinie für Massen BulkQuarantineTag |
DefaultFullAccessPolicy¹ | DefaultFullAccessPolicy | DefaultFullAccessWithNotificationPolicy | Die Quarantänerichtlinie ist nur dann sinnvoll, wenn Massenerkennungen unter Quarantäne stehen. |
| Aufbewahren von Spam in Quarantäne für so viele Tage QuarantineRetentionPeriod |
15 Tage | 30 Tage | 30 Tage | Dieser Wert wirkt sich auch auf Nachrichten aus, die durch Antiphishingrichtlinien unter Quarantäne gesetzt werden. Weitere Informationen finden Sie unter Isolierte E-Mail-Nachrichten in EOP. |
| Tipps zur Spamsicherheit aktivieren InlineSafetyTipsEnabled |
Ausgewählt$true |
Ausgewählt$true |
Ausgewählt$true |
|
| Aktivieren der automatischen Bereinigung (Zero-Hour Auto Purge, ZAP) für Phishingnachrichten PhishZapEnabled |
Ausgewählt$true |
Ausgewählt$true |
Ausgewählt$true |
|
| Aktivieren von ZAP für Spamnachrichten SpamZapEnabled |
Ausgewählt$true |
Ausgewählt$true |
Ausgewählt$true |
|
| Zulassungssperrliste & | ||||
| Zulässige Absender AllowedSenders |
Keine | Keine | Keine | |
| Zulässige Absenderdomänen Allowedsenderdomains |
Keine | Keine | Keine | Das Hinzufügen von Domänen zur Liste zulässiger Absender ist eine sehr schlechte Idee. Angreifer könnten Ihnen E-Mails senden, die andernfalls herausgefiltert würden. Verwenden Sie die Erkenntnisse zur Spoofintelligenz und die Mandanten-Zulassungs-/Sperrliste, um alle Absender zu überprüfen, die Absender-E-Mail-Adressen in den E-Mail-Domänen Ihres organization spoofen oder Absender-E-Mail-Adressen in externen Domänen spoofieren. |
| Blockierte Absender BlockedSenders |
Keine | Keine | Keine | |
| Blockierte Absenderdomänen BlockedSenderDomains |
Keine | Keine | Keine |
¹ Wie unter Vollzugriffsberechtigungen und Quarantänebenachrichtigungen beschrieben, kann Ihr organization NotificationEnabledPolicy anstelle von DefaultFullAccessPolicy in der Standardsicherheitsrichtlinie oder in neuen benutzerdefinierten Sicherheitsrichtlinien verwenden, die Sie erstellen. Der einzige Unterschied zwischen diesen beiden Quarantänerichtlinien ist, dass Quarantänebenachrichtigungen in NotificationEnabledPolicy aktiviert und in DefaultFullAccessPolicy deaktiviert sind.
ASF-Einstellungen in Antispamrichtlinien
Weitere Informationen zu den Einstellungen für den erweiterten Spamfilter (Advanced Spam Filter, ASF) in Antispamrichtlinien finden Sie unter Advanced Spam Filter (ASF)-Einstellungen in EOP.
| Name des Sicherheitsfeatures | Default | Empfohlen Standard |
Empfohlen Streng |
Kommentar |
|---|---|---|---|---|
| Bildlinks zu Remotestandorten IncreaseScoreWithImageLinks |
Off | Off | Off | |
| Numerische IP-Adresse in URL IncreaseScoreWithNumericIps |
Off | Off | Off | |
| URL-Umleitung zu anderem Port IncreaseScoreWithRedirectToOtherPort |
Off | Off | Off | |
| Links zu BIZ- oder INFO-Websites IncreaseScoreWithBizOrInfoUrls |
Off | Off | Off | |
| Leere Nachrichten MarkAsSpamEmptyMessages |
Off | Off | Off | |
| Embed-Tags in HTML MarkAsSpamEmbedTagsInHtml |
Off | Off | Off | |
| JavaScript oder VBScript in HTML MarkAsSpamJavaScriptInHtml |
Off | Off | Off | |
| Form-Tags in HTML MarkAsSpamFormTagsInHtml |
Off | Off | Off | |
| Frame- oder iframe-Tags in HTML MarkAsSpamFramesInHtml |
Off | Off | Off | |
| Web-Bugs in HTML MarkAsSpamWebBugsInHtml |
Off | Off | Off | |
| Object-Tags in HTML MarkAsSpamObjectTagsInHtml |
Off | Off | Off | |
| Sensible Wörter MarkAsSpamSensitiveWordList |
Off | Off | Off | |
| SPF-Eintrag: Schwerer Fehler MarkAsSpamSpfRecordHardFail |
Off | Off | Off | |
| Fehler beim Filtern der Absender-ID MarkAsSpamFromAddressAuthFail |
Off | Off | Off | |
| Backscatter MarkAsSpamNdrBackscatter |
Off | Off | Off | |
| Testmodus TestModeAction) |
Keine | Keine | Keine | Für ASF-Einstellungen, die Test als Aktion unterstützen, können Sie die Testmodusaktion auf Keine, X-Header-Standardtext hinzufügen oder Bcc-Nachricht senden (None, AddXHeaderoder BccMessage) konfigurieren. Weitere Informationen finden Sie unter Aktivieren, Deaktivieren oder Testen von ASF-Einstellungen. |
Hinweis
ASF fügt X-CustomSpam: Nachrichten X-Header-Felder hinzu, nachdem die Nachrichten von Exchange-Nachrichtenflussregeln (auch als Transportregeln bezeichnet) verarbeitet wurden, sodass Sie nachrichtenflussregeln nicht verwenden können, um Nachrichten zu identifizieren und darauf zu reagieren, die von ASF gefiltert wurden.
Richtlinieneinstellungen für ausgehenden EOP-Spam
Informationen zum Erstellen und Konfigurieren von Richtlinien für ausgehende Spams finden Sie unter Konfigurieren der Filterung ausgehender Spams in EOP.
Weitere Informationen zu den Standardmäßigen Sendegrenzwerten im Dienst finden Sie unter Sendegrenzwerte.
Hinweis
Ausgehende Spamrichtlinien sind nicht Teil der voreingestellten Sicherheitsrichtlinien "Standard" oder "Strict". Die Werte Standard und Strict geben unsere empfohlenen Werte in der Standardrichtlinie für ausgehende Spams oder in benutzerdefinierten ausgehenden Spamrichtlinien an, die Sie erstellen.
| Name des Sicherheitsfeatures | Default | Empfohlen Standard |
Empfohlen Streng |
Kommentar |
|---|---|---|---|---|
| Festlegen eines Grenzwerts für externe Nachrichten RecipientLimitExternalPerHour |
0 | 500 | 400 | Der Standardwert 0 bedeutet, dass die Dienststandardwerte verwendet werden. |
| Festlegen eines internen Nachrichtenlimits RecipientLimitInternalPerHour |
0 | 1000 | 800 | Der Standardwert 0 bedeutet, dass die Dienststandardwerte verwendet werden. |
| Festlegen eines täglichen Nachrichtenlimits RecipientLimitPerDay |
0 | 1000 | 800 | Der Standardwert 0 bedeutet, dass die Dienststandardwerte verwendet werden. |
| Einschränkung für Benutzer, die das Nachrichtenlimit erreichen ActionWhenThresholdReached |
Benutzer vom Senden von E-Mails bis zum folgenden Tag einschränken BlockUserForToday |
Benutzer am Senden von E-Mails hindern BlockUser |
Benutzer am Senden von E-Mails hindern BlockUser |
|
| Regeln für die automatische Weiterleitung AutoForwardingMode |
Automatisch – Systemgesteuert Automatic |
Automatisch – Systemgesteuert Automatic |
Automatisch – Systemgesteuert Automatic |
|
| Senden einer Kopie ausgehender Nachrichten, die diese Grenzwerte überschreiten, an diese Benutzer und Gruppen BccSuspiciousOutboundMail BccSuspiciousOutboundAdditionalRecipients |
Nicht ausgewählt$false Leer |
Nicht ausgewählt$false Leer |
Nicht ausgewählt$false Leer |
Es gibt keine spezifische Empfehlung für diese Einstellung. Diese Einstellung funktioniert nur in der Standardrichtlinie für ausgehenden Spam. Es funktioniert nicht in benutzerdefinierten ausgehenden Spam-Richtlinien, die Sie erstellen. |
| Benachrichtigen sie diese Benutzer und Gruppen, wenn ein Absender aufgrund von ausgehendem Spam blockiert wird NotifyOutboundSpam NotifyOutboundSpamRecipients |
Nicht ausgewählt$false Leer |
Nicht ausgewählt$false Leer |
Nicht ausgewählt$false Leer |
Die Standardwarnungsrichtlinie mit dem Namen Benutzer, der auf das Senden von E-Mails beschränkt ist, sendet bereits E-Mail-Benachrichtigungen an Mitglieder der Gruppe TenantAdmins (Globale Administratoren), wenn Benutzer aufgrund der Überschreitung der Grenzwerte in der Richtlinie blockiert werden. Es wird dringend empfohlen, die Warnungsrichtlinie anstelle dieser Einstellung in der Richtlinie für ausgehende Spams zu verwenden, um Administratoren und andere Benutzer zu benachrichtigen. Anweisungen finden Sie unter Überprüfen der Warnungseinstellungen für eingeschränkte Benutzer. |
EOP-Richtlinieneinstellungen für Antischadsoftware
Informationen zum Erstellen und Konfigurieren von Antischadsoftwarerichtlinien finden Sie unter Konfigurieren von Antischadsoftwarerichtlinien in EOP.
Quarantänerichtlinien definieren, was Benutzer mit unter Quarantäne gestellten Nachrichten tun können, und ob Benutzer Nachrichten erhalten, wenn eine Nachricht unter Quarantäne gestellt wurde. Weitere Informationen finden Sie unter Anatomie einer Quarantänerichtlinie.
Die Richtlinie mit dem Namen AdminOnlyAccessPolicy erzwingt die Verlaufsfunktionen für Nachrichten, die als Schadsoftware unter Quarantäne standen, wie in der tabelle hier beschrieben.
Benutzer können ihre eigenen Nachrichten, die als Schadsoftware unter Quarantäne standen, nicht freigeben, unabhängig davon, wie die Quarantänerichtlinie konfiguriert ist. Wenn die Richtlinie benutzern erlaubt, ihre eigenen unter Quarantäne gestellten Nachrichten freizugeben, können Benutzer stattdessen die Veröffentlichung ihrer in Quarantäne befindlichen Schadsoftwarenachrichten anfordern .
| Name des Sicherheitsfeatures | Standard | Standard | Streng | Kommentar |
|---|---|---|---|---|
| Schutzeinstellungen | ||||
| Aktivieren des Allgemeinen Anlagenfilters EnableFileFilter |
Ausgewählt$true* |
Ausgewählt$true |
Ausgewählt$true |
Eine Liste der Dateitypen im allgemeinen Anlagenfilter finden Sie unter Antimalware-Richtlinien. *Der Allgemeine Anlagenfilter ist in neuen Antischadsoftwarerichtlinien, die Sie im Microsoft 365 Defender-Portal erstellen, standardmäßig aktiviert. Der Allgemeine Anlagenfilter ist in der Standardmäßigen Antischadsoftwarerichtlinie und in neuen Richtlinien, die Sie in PowerShell erstellen, standardmäßig deaktiviert. |
| Allgemeine Anlagenfilterbenachrichtigungen (wenn diese Dateitypen gefunden werden) FileTypeAction |
Ablehnen der Nachricht mit einem Nichtzustellbarkeitsbericht (Non-Delivery Report, NDR) Reject |
Ablehnen der Nachricht mit einem Nichtzustellbarkeitsbericht (Non-Delivery Report, NDR) Reject |
Ablehnen der Nachricht mit einem Nichtzustellbarkeitsbericht (Non-Delivery Report, NDR) Reject |
|
| Aktivieren der automatischen Null-Stunden-Bereinigung für Schadsoftware ZapEnabled |
Ausgewählt$true |
Ausgewählt$true |
Ausgewählt$true |
|
| Quarantänerichtlinie QuarantineTag |
AdminOnlyAccessPolicy | AdminOnlyAccessPolicy | AdminOnlyAccessPolicy | |
| Admin Benachrichtigungen | ||||
| Benachrichtigen eines Administrators über nicht zugestellte Nachrichten von internen Absendern EnableInternalSenderAdminNotifications InternalSenderAdminAddress |
Nicht ausgewählt$false |
Nicht ausgewählt$false |
Nicht ausgewählt$false |
Es gibt keine spezifische Empfehlung für diese Einstellung. |
| Benachrichtigen eines Administrators über nicht zugestellte Nachrichten von externen Absendern EnableExternalSenderAdminNotifications ExternalSenderAdminAddress |
Nicht ausgewählt$false |
Nicht ausgewählt$false |
Nicht ausgewählt$false |
Es gibt keine spezifische Empfehlung für diese Einstellung. |
| Anpassen von Benachrichtigungen | Wir haben keine spezifischen Empfehlungen für diese Einstellungen. | |||
| Verwenden von benutzerdefiniertem Benachrichtigungstext CustomNotifications |
Nicht ausgewählt$false |
Nicht ausgewählt$false |
Nicht ausgewählt$false |
|
| Von Name CustomFromName |
Leer$null |
Leer$null |
Leer$null |
|
| "Von"-Adresse CustomFromAddress |
Leer$null |
Leer$null |
Leer$null |
|
| Anpassen von Benachrichtigungen für Nachrichten von internen Absendern | Diese Einstellungen werden nur verwendet, wenn Administrator über nicht zugestellte Nachrichten von internen Absendern benachrichtigen ausgewählt ist. | |||
| Betreff CustomInternalSubject |
Leer$null |
Leer$null |
Leer$null |
|
| Meldung CustomInternalBody |
Leer$null |
Leer$null |
Leer$null |
|
| Anpassen von Benachrichtigungen für Nachrichten von externen Absendern | Diese Einstellungen werden nur verwendet, wenn Administrator über nicht zugestellte Nachrichten von externen Absendern benachrichtigen ausgewählt ist. | |||
| Betreff CustomExternalSubject |
Leer$null |
Leer$null |
Leer$null |
|
| Meldung CustomExternalBody |
Leer$null |
Leer$null |
Leer$null |
Einstellungen für EOP-Antiphishing-Richtlinien
Weitere Informationen zu diesen Einstellungen finden Sie unter Spoofeinstellungen. Informationen zum Konfigurieren dieser Einstellungen finden Sie unter Konfigurieren von Antiphishingrichtlinien in EOP.
Die Spoofeinstellungen sind miteinander verknüpft, aber die Sicherheitstipp für den ersten Kontakt anzeigen hat keine Abhängigkeit von Spoofeinstellungen.
Quarantänerichtlinien definieren, was Benutzer mit unter Quarantäne gestellten Nachrichten tun können, und ob Benutzer Nachrichten erhalten, wenn eine Nachricht unter Quarantäne gestellt wurde. Weitere Informationen finden Sie unter Anatomie einer Quarantänerichtlinie.
Obwohl der Wert Quarantänerichtlinie anwenden beim Erstellen einer Antiphishingrichtlinie im Defender-Portal nicht ausgewählt wird, wird die Quarantänerichtlinie mit dem Namen DefaultFullAccessPolicy¹ verwendet, wenn Sie keine Quarantänerichtlinie auswählen. Diese Richtlinie erzwingt die Verlaufsfunktionen für Nachrichten, die als Spoof isoliert wurden, wie in der tabelle hier beschrieben. Wenn Sie später die Einstellungen der Quarantänerichtlinie anzeigen oder bearbeiten, wird der Name der Quarantänerichtlinie angezeigt.
Administratoren können Quarantänerichtlinien mit restriktiveren oder weniger restriktiven Funktionen erstellen oder verwenden. Anweisungen finden Sie unter Erstellen von Quarantänerichtlinien im Microsoft 365 Defender-Portal.
| Name des Sicherheitsfeatures | Standard | Standard | Streng | Kommentar |
|---|---|---|---|---|
| Schutz vor Phishing-Schwellenwerten & | ||||
| Aktivieren von Spoofintelligenz EnableSpoofIntelligence |
Ausgewählt$true |
Ausgewählt$true |
Ausgewählt$true |
|
| Aktionen | ||||
| Berücksichtigen der DMARC-Datensatzrichtlinie, wenn die Nachricht als Spoof erkannt wird HonorDmarcPolicy |
Nicht ausgewählt$false |
Nicht ausgewählt$false |
Nicht ausgewählt$false |
Diese Einstellung befindet sich derzeit in der Vorschauphase. Wenn diese Einstellung aktiviert ist, steuern Sie, was mit Nachrichten geschieht, bei denen der Absender explizite DMARC-Überprüfungen fehlschlägt, wenn die Richtlinienaktion im DMARC TXT-Eintrag auf p=quarantine oder p=rejectfestgelegt ist. Weitere Informationen finden Sie unter Spoofschutz und DMARC-Richtlinien für Absender. |
| Wenn die Nachricht als Spoof erkannt wird und die DMARC-Richtlinie auf p=quarantine festgelegt ist DmarcQuarantineAction |
Quarantäne der Nachricht Quarantäne |
Quarantäne der Nachricht Quarantäne |
Quarantäne der Nachricht Quarantäne |
Diese Einstellung befindet sich derzeit in der Vorschauphase. Diese Aktion ist nur dann sinnvoll, wenn die DMARC-Datensatzrichtlinie honoriert wird, wenn die Nachricht aktiviert ist, wenn die Nachricht als Spoof erkannt wird. |
| Wenn die Nachricht als Spoof erkannt wird und die DMARC-Richtlinie auf p=reject festgelegt ist DmarcRejectAction |
Quarantäne der Nachricht Quarantäne |
Quarantäne der Nachricht Quarantäne |
Quarantäne der Nachricht Quarantäne |
Diese Einstellung befindet sich derzeit in der Vorschauphase. Diese Aktion ist nur dann sinnvoll, wenn die DMARC-Datensatzrichtlinie honoriert wird, wenn die Nachricht aktiviert ist, wenn die Nachricht als Spoof erkannt wird. |
| Wenn die Nachricht als Spoof erkannt wird und die DMARC-Richtlinie auf p=reject festgelegt ist DmarcRejectAction |
Quarantäne der Nachricht Quarantäne |
Quarantäne der Nachricht Quarantäne |
Quarantäne der Nachricht Quarantäne |
Diese Einstellung befindet sich derzeit in der Vorschauphase. Diese Aktion ist nur dann sinnvoll, wenn die DMARC-Datensatzrichtlinie honoriert wird, wenn die Nachricht aktiviert ist, wenn die Nachricht als Spoof erkannt wird. |
| Wenn die Nachricht von spoof intelligence als Spoof erkannt wird AuthenticationFailAction |
Verschieben der Nachricht in die Junk-Email Ordner der Empfänger MoveToJmf |
Verschieben der Nachricht in die Junk-Email Ordner der Empfänger MoveToJmf |
Quarantäne der Nachricht Quarantine |
Diese Einstellung gilt für spoofte Absender, die automatisch wie in der Spoofintelligenz-Erkenntnis oder manuell in der Mandanten-Zulassungs-/Sperrliste blockiert wurden. Wenn Sie die Nachricht als Aktion für die Spoof-Bewertung unter Quarantäne stellen auswählen, ist das Feld Quarantänerichtlinie anwenden verfügbar. |
| Quarantänerichtlinie für Spoof SpoofQuarantineTag |
DefaultFullAccessPolicy¹ | DefaultFullAccessPolicy | DefaultFullAccessWithNotificationPolicy | Die Quarantänerichtlinie ist nur dann sinnvoll, wenn Spooferkennungen unter Quarantäne stehen. |
| Sicherheitstipp für ersten Kontakt anzeigen EnableFirstContactSafetyTips |
Nicht ausgewählt$false |
Nicht ausgewählt$false |
Nicht ausgewählt$false |
Weitere Informationen finden Sie unter Sicherheitstipps für den ersten Kontakt. |
| Show (?) for unauthenticated senders for spoof (show (?) for unauthenticated senders for spoofs (?) for unauthenticated senders for spoof ( EnableUnauthenticatedSender |
Ausgewählt$true |
Ausgewählt$true |
Ausgewählt$true |
Fügt dem Foto des Absenders in Outlook für nicht identifizierte spoofierte Absender ein Fragezeichen (?) hinzu. Weitere Informationen finden Sie unter Indikatoren für nicht authentifizierte Absender. |
| Tag "via" anzeigen EnableViaTag |
Ausgewählt$true |
Ausgewählt$true |
Ausgewählt$true |
Fügt der From-Adresse ein Übertag (chris@contoso.com über fabrikam.com) hinzu, wenn es sich von der Domäne in der DKIM-Signatur oder der MAIL FROM-Adresse unterscheidet. Weitere Informationen finden Sie unter Indikatoren für nicht authentifizierte Absender. |
¹ Wie unter Vollzugriffsberechtigungen und Quarantänebenachrichtigungen beschrieben, kann Ihr organization NotificationEnabledPolicy anstelle von DefaultFullAccessPolicy in der Standardsicherheitsrichtlinie oder in neuen benutzerdefinierten Sicherheitsrichtlinien verwenden, die Sie erstellen. Der einzige Unterschied zwischen diesen beiden Quarantänerichtlinien ist, dass Quarantänebenachrichtigungen in NotificationEnabledPolicy aktiviert und in DefaultFullAccessPolicy deaktiviert sind.
Microsoft Defender for Office 365 Sicherheit
Ein Microsoft Defender for Office 365-Abonnement bietet zusätzliche Sicherheitsvorteile. Die neuesten Nachrichten und Informationen finden Sie unter Neuigkeiten in Defender for Office 365.
Wichtig
Die Standardmäßige Antiphishingrichtlinie in Microsoft Defender for Office 365 bietet Spoofschutz und Postfachintelligenz für alle Empfänger. Die anderen verfügbaren Features für den Identitätswechselschutz und die erweiterten Einstellungen sind jedoch in der Standardrichtlinie nicht konfiguriert oder aktiviert. Verwenden Sie eine der folgenden Methoden, um alle Schutzfunktionen zu aktivieren:
Aktivieren und verwenden Sie die voreingestellten Sicherheitsrichtlinien Standard und/oder Strict, und konfigurieren Sie dort den Identitätswechselschutz.
Ändern Sie die Standardmäßige Antiphishingrichtlinie.
Erstellen Sie zusätzliche Antiphishingrichtlinien.
Obwohl es keine Standardrichtlinie für sichere Anlagen oder eine Richtlinie für sichere Links gibt, bietet die integrierte Sicherheitsrichtlinie schutzvoreingestellten Schutz schutz für alle Empfänger (Benutzer, die nicht in den voreingestellten Sicherheitsrichtlinien Standard oder Strict oder in benutzerdefinierten Richtlinien für sichere Anlagen oder Richtlinien für sichere Links definiert sind). Weitere Informationen finden Sie unter Voreingestellte Sicherheitsrichtlinien in EOP und Microsoft Defender for Office 365.
Der Schutz sicherer Anlagen für SharePoint, OneDrive und Microsoft Teams sowie der Schutz sicherer Dokumente sind nicht von Richtlinien für sichere Links abhängig.
Wenn Ihr Abonnement Microsoft Defender for Office 365 enthält oder Sie Defender for Office 365 als Add-On erworben haben, legen Sie die folgenden Standard- oder Strict-Konfigurationen fest.
Antiphishingrichtlinieneinstellungen in Microsoft Defender for Office 365
EOP-Kunden erhalten grundlegende Antiphishings, wie zuvor beschrieben, aber Defender for Office 365 enthält mehr Features und Kontrolle, um Angriffe zu verhindern, zu erkennen und zu beheben. Informationen zum Erstellen und Konfigurieren dieser Richtlinien finden Sie unter Konfigurieren von Antiphishingrichtlinien in Defender for Office 365.
Erweiterte Einstellungen in Antiphishingrichtlinien in Microsoft Defender for Office 365
Weitere Informationen zu dieser Einstellung finden Sie unter Erweiterte Phishingschwellenwerte in Antiphishingrichtlinien in Microsoft Defender for Office 365. Informationen zum Konfigurieren dieser Einstellung finden Sie unter Konfigurieren von Antiphishingrichtlinien in Defender for Office 365.
| Name des Sicherheitsfeatures | Standard | Standard | Streng | Kommentar |
|---|---|---|---|---|
| Schwellenwert für Phishing-E-Mails PhishThresholdLevel |
1 – Standard 1 |
3 – Aggressiver 3 |
4 – Am aggressivsten 4 |
Identitätswechseleinstellungen in Antiphishingrichtlinien in Microsoft Defender for Office 365
Weitere Informationen zu diesen Einstellungen finden Sie unter Identitätswechseleinstellungen in Antiphishingrichtlinien in Microsoft Defender for Office 365. Informationen zum Konfigurieren dieser Einstellungen finden Sie unter Konfigurieren von Antiphishingrichtlinien in Defender for Office 365.
Unabhängig davon, wo Sie Die Nachricht unter Quarantäne stellen als Aktion für ein Identitätswechselurteil auswählen, ist das Feld Quarantänerichtlinie anwenden verfügbar. Quarantänerichtlinien definieren, was Benutzer mit unter Quarantäne gestellten Nachrichten tun können, und ob Benutzer Nachrichten erhalten, wenn eine Nachricht unter Quarantäne gestellt wurde. Weitere Informationen finden Sie unter Anatomie einer Quarantänerichtlinie.
Obwohl der Wert Quarantänerichtlinie anwenden beim Erstellen einer Antiphishingrichtlinie im Defender-Portal nicht ausgewählt wird, wird die Quarantänerichtlinie mit dem Namen DefaultFullAccessPolicy verwendet, wenn Sie keine Quarantänerichtlinie auswählen. Diese Richtlinie erzwingt die Verlaufsfunktionen für Nachrichten, die als Identitätswechsel unter Quarantäne gesetzt wurden, wie in der tabelle hier beschrieben. Wenn Sie später die Einstellungen der Quarantänerichtlinie anzeigen oder bearbeiten, wird der Name der Quarantänerichtlinie angezeigt.
Administratoren können Quarantänerichtlinien mit restriktiveren oder weniger restriktiven Funktionen erstellen oder verwenden. Anweisungen finden Sie unter Erstellen von Quarantänerichtlinien im Microsoft 365 Defender-Portal.
| Name des Sicherheitsfeatures | Standard | Standard | Streng | Kommentar |
|---|---|---|---|---|
| Schutz vor Phishing-Schwellenwerten & | ||||
| Schützen von Benutzern aktivieren (Schutz von Benutzern mit Identitätswechsel) EnableTargetedUserProtection TargetedUsersToProtect |
Nicht ausgewählt$false keine |
Ausgewählt$true <Liste der Benutzer> |
Ausgewählt$true <Liste der Benutzer> |
Es wird empfohlen, Benutzer (Nachrichtensender) in Schlüsselrollen hinzuzufügen. Intern können geschützte Absender Ihr CEO, CFO und andere leitende Führungskräfte sein. Extern können geschützte Absender Ratsmitglieder oder Ihr Verwaltungsrat sein. |
| Zu schützende Domänen aktivieren (Schutz für identitätswechselnde Domänen) | Nicht ausgewählt | Ausgewählt | Ausgewählt | |
| Domänen einschließen, die ich besitze EnableOrganizationDomainsProtection |
Aus$false |
Ausgewählt$true |
Ausgewählt$true |
|
| Einschließen benutzerdefinierter Domänen EnableTargetedDomainsProtection TargetedDomainsToProtect |
Aus$false keine |
Ausgewählt$true <Liste der Domänen> |
Ausgewählt$true <Liste der Domänen> |
Es wird empfohlen, Domänen (Absenderdomänen) hinzuzufügen, die Sie nicht besitzen, aber häufig mit ihnen interagieren. |
| Vertrauenswürdige Absender und Domänen hinzufügen ExcludedSenders ExcludedDomains |
Keine | Keine | Keine | Je nach organization empfehlen wir das Hinzufügen von Absendern oder Domänen, die fälschlicherweise als Identitätswechselversuche identifiziert wurden. |
| Mailbox Intelligence aktivieren EnableMailboxIntelligence |
Ausgewählt$true |
Ausgewählt$true |
Ausgewählt$true |
|
| Aktivieren der Intelligenz für den Identitätswechselschutz EnableMailboxIntelligenceProtection |
Aus$false |
Ausgewählt$true |
Ausgewählt$true |
Diese Einstellung ermöglicht die angegebene Aktion für Identitätswechselerkennungen durch Postfachintelligenz. |
| Aktionen | ||||
| Wenn eine Nachricht als Benutzeridentitätswechsel erkannt wird TargetedUserProtectionAction |
Keine Aktion anwenden NoAction |
Quarantäne der Nachricht Quarantine |
Quarantäne der Nachricht Quarantine |
|
| Quarantänerichtlinie für Benutzeridentitätswechsel TargetedUserQuarantineTag |
DefaultFullAccessPolicy¹ | DefaultFullAccessWithNotificationPolicy | DefaultFullAccessWithNotificationPolicy | Die Quarantänerichtlinie ist nur sinnvoll, wenn Erkennungen von Benutzeridentitätswechseln unter Quarantäne stehen. |
| Wenn eine Nachricht als Domänenidentitätswechsel erkannt wird TargetedDomainProtectionAction |
Keine Aktion anwenden NoAction |
Quarantäne der Nachricht Quarantine |
Quarantäne der Nachricht Quarantine |
|
| Quarantänerichtlinie für Domänenidentitätswechsel TargetedDomainQuarantineTag |
DefaultFullAccessPolicy¹ | DefaultFullAccessWithNotificationPolicy | DefaultFullAccessWithNotificationPolicy | Die Quarantänerichtlinie ist nur dann sinnvoll, wenn Erkennungen von Domänenidentitätswechseln unter Quarantäne stehen. |
| Wenn Postfachintelligenz einen benutzeridentitätswechsel erkennt MailboxIntelligenceProtectionAction |
Keine Aktion anwenden NoAction |
Verschieben der Nachricht in die Junk-Email Ordner der Empfänger MoveToJmf |
Quarantäne der Nachricht Quarantine |
|
| Quarantänerichtlinie für Identitätswechsel der Postfachintelligenz MailboxIntelligenceQuarantineTag |
DefaultFullAccessPolicy¹ | DefaultFullAccessPolicy | DefaultFullAccessWithNotificationPolicy | Die Quarantänerichtlinie ist nur sinnvoll, wenn Die Erkennung von Postfachintelligenz unter Quarantäne steht. |
| Sicherheitstipp zum Anzeigen des Benutzeridentitätswechsels EnableSimilarUsersSafetyTips |
Aus$false |
Ausgewählt$true |
Ausgewählt$true |
|
| Sicherheitstipp zum Anzeigen des Domänenidentitätswechsels EnableSimilarDomainsSafetyTips |
Aus$false |
Ausgewählt$true |
Ausgewählt$true |
|
| Sicherheitstipp zum Anzeigen des Benutzeridentitätswechsels mit ungewöhnlichen Zeichen EnableUnusualCharactersSafetyTips |
Aus$false |
Ausgewählt$true |
Ausgewählt$true |
¹ Wie unter Vollzugriffsberechtigungen und Quarantänebenachrichtigungen beschrieben, kann Ihr organization NotificationEnabledPolicy anstelle von DefaultFullAccessPolicy in der Standardsicherheitsrichtlinie oder in neuen benutzerdefinierten Sicherheitsrichtlinien verwenden, die Sie erstellen. Der einzige Unterschied zwischen diesen beiden Quarantänerichtlinien ist, dass Quarantänebenachrichtigungen in NotificationEnabledPolicy aktiviert und in DefaultFullAccessPolicy deaktiviert sind.
Einstellungen für EOP-Antiphishingrichtlinien in Microsoft Defender for Office 365
Dies sind die gleichen Einstellungen, die in den Antispamrichtlinieneinstellungen in EOP verfügbar sind.
Einstellungen für sichere Anlagen
Sichere Anlagen in Microsoft Defender for Office 365 umfasst globale Einstellungen, die keine Beziehung zu Richtlinien für sichere Anlagen haben, und Einstellungen, die für jede Richtlinie für sichere Links spezifisch sind. Weitere Informationen finden Sie unter Sichere Anlagen in Defender for Office 365.
Obwohl es keine Standardrichtlinie für sichere Anlagen gibt, bietet die integrierte sicherheitsvoreingestellte Sicherheitsrichtlinie Schutz für sichere Anlagen für alle Empfänger (Benutzer, die nicht in den voreingestellten Sicherheitsrichtlinien Standard oder Strict oder in benutzerdefinierten Richtlinien für sichere Anlagen definiert sind). Weitere Informationen finden Sie unter Voreingestellte Sicherheitsrichtlinien in EOP und Microsoft Defender for Office 365.
Globale Einstellungen für sichere Anlagen
Hinweis
Die globalen Einstellungen für sichere Anlagen werden durch die sicherheitsvoreingestellte Sicherheitsrichtlinie "Integrierter Schutz " festgelegt, nicht jedoch durch die voreingestellten Sicherheitsrichtlinien "Standard " oder " Strict ". In beiden Fällen können Administratoren diese globalen Einstellungen für sichere Anlagen jederzeit ändern.
Die Spalte Standard zeigt die Werte vor dem Vorhandensein der voreingestellten Sicherheitsrichtlinie für integrierten Schutz an. In der Spalte Integrierter Schutz werden die Werte angezeigt, die von der sicherheitsvoreingestellten Sicherheitsrichtlinie "Integrierter Schutz " festgelegt werden. Dies sind auch unsere empfohlenen Werte.
Informationen zum Konfigurieren dieser Einstellungen finden Sie unter Aktivieren von sicheren Anlagen für SharePoint, OneDrive und Microsoft Teams und sichere Dokumente in Microsoft 365 E5.
In PowerShell verwenden Sie das Cmdlet Set-AtpPolicyForO365 für diese Einstellungen.
| Name des Sicherheitsfeatures | Default | Integrierter Schutz | Kommentar |
|---|---|---|---|
| Defender für Office 365 für SharePoint, OneDrive und Microsoft Teams aktivieren EnableATPForSPOTeamsODB |
Off$false |
Ein$true |
Informationen zum Verhindern, dass Benutzer schädliche Dateien herunterladen, finden Sie unter Verwenden von SharePoint Online PowerShell, um zu verhindern, dass Benutzer schädliche Dateien herunterladen. |
| Aktivieren von sicheren Dokumenten für Office-Clients EnableSafeDocs |
Off$false |
Ein$true |
Dieses Feature ist nur für Lizenzen verfügbar und sinnvoll, die nicht in Defender for Office 365 enthalten sind (z. B. Microsoft 365 A5 oder Microsoft 365 E5 Security). Weitere Informationen finden Sie unter Sichere Dokumente in Microsoft 365 A5 oder E5 Sicherheit. |
| Benutzern das Klicken durch die geschützte Ansicht erlauben, auch wenn sichere Dokumente die Datei als bösartig erkannt haben AllowSafeDocsOpen |
Off$false |
Off$false |
Diese Einstellung bezieht sich auf sichere Dokumente. |
Einstellungen der Richtlinie für sichere Anhänge
Informationen zum Konfigurieren dieser Einstellungen finden Sie unter Einrichten von Richtlinien für sichere Anlagen in Defender for Office 365.
In PowerShell verwenden Sie die Cmdlets New-SafeAttachmentPolicy und Set-SafeAttachmentPolicy für diese Einstellungen.
Hinweis
Wie weiter oben beschrieben, gibt es keine Standardrichtlinie für sichere Anlagen, aber der Schutz sicherer Anlagen wird allen Empfängern durch die voreingestellte Sicherheitsrichtlinie "Integrierter Schutz" zugewiesen (Benutzer, die nicht in Richtlinien für sichere Anlagen definiert sind).
Die Spalte Default in custom verweist auf die Standardwerte in den neuen Richtlinien für sichere Anlagen, die Sie erstellen. Die verbleibenden Spalten geben (sofern nicht anders angegeben) die Werte an, die in den entsprechenden voreingestellten Sicherheitsrichtlinien konfiguriert sind.
Quarantänerichtlinien definieren, was Benutzer mit unter Quarantäne gestellten Nachrichten tun können, und ob Benutzer Nachrichten erhalten, wenn eine Nachricht unter Quarantäne gestellt wurde. Weitere Informationen finden Sie unter Anatomie einer Quarantänerichtlinie.
Die Richtlinie mit dem Namen AdminOnlyAccessPolicy erzwingt die Verlaufsfunktionen für Nachrichten, die als Schadsoftware unter Quarantäne standen, wie in der tabelle hier beschrieben.
Benutzer können ihre eigenen Nachrichten, die von sicheren Anlagen als Schadsoftware isoliert wurden, nicht freigeben, unabhängig davon, wie die Quarantänerichtlinie konfiguriert ist. Wenn die Richtlinie benutzern erlaubt, ihre eigenen unter Quarantäne gestellten Nachrichten freizugeben, können Benutzer stattdessen die Veröffentlichung ihrer in Quarantäne befindlichen Schadsoftwarenachrichten anfordern .
| Name des Sicherheitsfeatures | Standard in "benutzerdefiniert" | Integrierter Schutz | Standard | Streng | Kommentar |
|---|---|---|---|---|---|
| Sichere Anlagen: Unbekannte Schadsoftwareantwort Aktivieren und Aktion |
Aus -Enable $false und -Action Block |
Block -Enable $true und -Action Block |
Blockieren -Enable $true und -Action Block |
Blockieren -Enable $true und -Action Block |
Wenn der Parameter Enable $false ist, spielt der Wert des Action-Parameters keine Rolle. |
| Quarantänerichtlinie QuarantineTag |
AdminOnlyAccessPolicy | AdminOnlyAccessPolicy | AdminOnlyAccessPolicy | AdminOnlyAccessPolicy | |
| Umleiten von Anlagen mit erkannten Anlagen : Umleitung aktivieren Redirect RedirectAddress |
Nicht ausgewählt und keine E-Mail-Adresse angegeben. -Redirect $false RedirectAddress ist leer ( $null) |
Nicht ausgewählt und keine E-Mail-Adresse angegeben. -Redirect $false RedirectAddress ist leer ( $null) |
Wählen Sie aus, und geben Sie eine E-Mail-Adresse an. $true eine E-Mail-Adresse |
Wählen Sie aus, und geben Sie eine E-Mail-Adresse an. $true eine E-Mail-Adresse |
Leiten Sie Nachrichten zur Überprüfung an einen Sicherheitsadministrator um. Hinweis: Diese Einstellung ist in den sicherheitsvoreingestellten Sicherheitsrichtlinien Standard, Strict oder Built-in protection nicht konfiguriert. Die Werte Standard und Strict geben unsere empfohlenen Werte in den neuen Richtlinien für sichere Anlagen an, die Sie erstellen. |
| Wenden Sie die Erkennungsantwort für sichere Anlagen an, wenn die Überprüfung nicht abgeschlossen werden kann (Timeout oder Fehler). ActionOnError |
Ausgewählt$true |
Ausgewählt$true |
Ausgewählt$true |
Ausgewählt$true |
Richtlinieneinstellungen für Sichere Links
Weitere Informationen zum Schutz sicherer Links finden Sie unter Sichere Links in Defender for Office 365.
Obwohl es keine Standardrichtlinie für sichere Links gibt, bietet die integrierte Sicherheitsrichtlinie schutzvoreingestellten Schutz für alle Empfänger (Benutzer, die nicht in den voreingestellten Sicherheitsrichtlinien Standard oder Strict oder in benutzerdefinierten Richtlinien für sichere Links definiert sind). Weitere Informationen finden Sie unter Voreingestellte Sicherheitsrichtlinien in EOP und Microsoft Defender for Office 365.
Informationen zum Konfigurieren der Richtlinieneinstellungen für Sae-Links finden Sie unter Einrichten von Richtlinien für sichere Links in Microsoft Defender for Office 365.
In PowerShell verwenden Sie die Cmdlets New-SafeLinksPolicy und Set-SafeLinksPolicy für Richtlinieneinstellungen für sichere Links.
Hinweis
Die Spalte Default in custom verweist auf die Standardwerte in den neuen Richtlinien für sichere Links, die Sie erstellen. Die verbleibenden Spalten geben (sofern nicht anders angegeben) die Werte an, die in den entsprechenden voreingestellten Sicherheitsrichtlinien konfiguriert sind.
| Name des Sicherheitsfeatures | Standard in "benutzerdefiniert" | Integrierter Schutz | Standard | Streng | Kommentar |
|---|---|---|---|---|---|
| URL-Klickschutzeinstellungen & | |||||
| Die Einstellungen in diesem Abschnitt wirken sich auf das Umschreiben von URLs und den Zeitpunkt des Klickschutzes in E-Mail-Nachrichten aus. | |||||
| Ein: „Sichere Links“ überprüft eine Liste bekannter, bösartiger Links, wenn Benutzer auf Links in E-Mails klicken. URLs werden standardmäßig neu geschrieben. EnableSafeLinksForEmail |
Ausgewählt$true |
Ausgewählt$true |
Ausgewählt$true |
Ausgewählt$true |
|
| Anwenden von Sichere Links auf E-Mail-Nachrichten, die innerhalb der Organisation gesendet werden EnableForInternalSenders |
Ausgewählt$true |
Nicht ausgewählt$false |
Ausgewählt$true |
Ausgewählt$true |
|
| Anwenden der Echtzeit-URL-Überprüfung auf verdächtige Links und Links, die auf Dateien verweisen ScanUrls |
Ausgewählt$true |
Ausgewählt$true |
Ausgewählt$true |
Ausgewählt$true |
|
| Warten Sie auf den Abschluss des URL-Scans, bevor Sie die Nachricht zustellen DeliverMessageAfterScan |
Ausgewählt$true |
Ausgewählt$true |
Ausgewählt$true |
Ausgewählt$true |
|
| URLs nicht umschreiben, nur über Sichere Links-API überprüfen DisableURLRewrite |
Ausgewählt* $true |
Ausgewählt$true |
Nicht ausgewählt$false |
Nicht ausgewählt$false |
* In neuen Richtlinien für sichere Links, die Sie im Defender-Portal erstellen, ist diese Einstellung standardmäßig ausgewählt. In neuen Richtlinien für sichere Links, die Sie in PowerShell erstellen, lautet $falseder Standardwert des Parameters DisableURLRewrite. |
| Folgende URLs nicht in E-Mail umschreiben DoNotRewriteUrls |
Leer$null |
Leer$null |
Leer$null |
Leer$null |
Es gibt keine spezifische Empfehlung für diese Einstellung. Hinweis: Einträge in der Liste "Die folgenden URLs nicht neu schreiben" werden während des Nachrichtenflusses nicht durch sichere Links gescannt oder umschlossen. Verwenden Sie Zulässige URL-Einträge in der Mandanten-Zulassungs-/Sperrliste , damit URLs während des E-Mail-Flusses und zum Zeitpunkt des Klickens nicht durch sichere Links gescannt oder umschlossen werden. |
| Microsoft Teams | Die Einstellung in diesem Abschnitt wirkt sich auf den Zeitpunkt des Klickschutzes in Microsoft Teams aus. | ||||
| Ein: Sichere Links überprüft eine Liste bekannter, schädlicher Links, wenn Benutzer in Microsoft Teams auf Links klicken. URLs werden nicht umgeschrieben. EnableSafeLinksForTeams |
Ausgewählt$true |
Ausgewählt$true |
Ausgewählt$true |
Ausgewählt$true |
|
| Office 365-Apps | Die Einstellung in diesem Abschnitt wirkt sich auf den Zeitpunkt des Klickschutzes in Office-Apps aus. | ||||
| Ein: Sichere Links überprüft eine Liste bekannter, schädlicher Links, wenn Benutzer in Microsoft Office-Apps auf Links klicken. URLs werden nicht umgeschrieben. EnableSafeLinksForOffice |
Ausgewählt$true |
Ausgewählt$true |
Ausgewählt$true |
Ausgewählt$true |
Verwenden Sie sichere Links in unterstützten Office 365 Desktop- und mobilen Apps (iOS und Android). Weitere Informationen finden Sie unter Einstellungen für sichere Links für Office-Apps. |
| Klick-Schutzeinstellungen | |||||
| Nachverfolgen von Benutzerklicks TrackClicks |
Ausgewählt$true |
Ausgewählt$true |
Ausgewählt$true |
Ausgewählt$true |
|
| Erlauben, dass sich Benutzer zur ursprünglichen URL durchklicken AllowClickThrough |
Ausgewählt* $true |
Ausgewählt$true |
Nicht ausgewählt$false |
Nicht ausgewählt$false |
* In neuen Richtlinien für sichere Links, die Sie im Defender-Portal erstellen, ist diese Einstellung standardmäßig ausgewählt. In neuen Richtlinien für sichere Links, die Sie in PowerShell erstellen, lautet $falseder Standardwert des AllowClickThrough-Parameters . |
| Anzeigen des organization Brandings auf Benachrichtigungs- und Warnseiten EnableOrganizationBranding |
Nicht ausgewählt$false |
Nicht ausgewählt$false |
Nicht ausgewählt$false |
Nicht ausgewählt$false |
Es gibt keine spezifische Empfehlung für diese Einstellung. Bevor Sie diese Einstellung aktivieren, müssen Sie die Anweisungen unter Anpassen des Microsoft 365-Designs für Ihre organization befolgen, um Ihr Unternehmenslogo hochzuladen. |
| Benachrichtigung | |||||
| Wie möchten Sie Ihre Benutzer benachrichtigen? CustomNotificationText UseTranslatedNotificationText |
Standardbenachrichtigungstext verwenden Leer ( $null)$false |
Standardbenachrichtigungstext verwenden Leer ( $null)$false |
Standardbenachrichtigungstext verwenden Leer ( $null)$false |
Standardbenachrichtigungstext verwenden Leer ( $null)$false |
Es gibt keine spezifische Empfehlung für diese Einstellung. Sie können Benutzerdefinierten Benachrichtigungstext verwenden ( -CustomNotificationText "<Custom text>") auswählen, um benutzerdefinierten Benachrichtigungstext einzugeben und zu verwenden. Wenn Sie benutzerdefinierten Text angeben, können Sie auch Microsoft Translator für die automatische Lokalisierung verwenden (-UseTranslatedNotificationText $true) auswählen, um den Text automatisch in die Sprache des Benutzers zu übersetzen. |
Verwandte Artikel
Suchen Sie nach bewährten Methoden für Exchange-Nachrichtenflussregeln (auch als Transportregeln bezeichnet)? Weitere Informationen finden Sie unter Bewährte Methoden zum Konfigurieren von Nachrichtenflussregeln in Exchange Online.
Administratoren und Benutzer können falsch positive Ergebnisse (gute E-Mails, die als schlecht gekennzeichnet sind) und falsch negative (ungültige E-Mails zulässig) zur Analyse an Microsoft übermitteln. Weitere Informationen finden Sie unter Melden von Nachrichten und Dateien an Microsoft.
Verwenden Sie diese Links, um Informationen zum Einrichten Ihres EOP-Diensts und zum Konfigurierenvon Microsoft Defender for Office 365 zu erhalten. Vergessen Sie nicht die hilfreichen Anweisungen unter "Schutz vor Bedrohungen in Office 365".
Sicherheitsbaselines für Windows finden Sie hier: Wo erhalte ich die Sicherheitsbaselines? für GPO-/lokale Optionen und Verwenden von Sicherheitsbaselines zum Konfigurieren von Windows-Geräten in Intune für Intune-basierte Sicherheit. Schließlich finden Sie einen Vergleich zwischen Microsoft Defender for Endpoint und Microsoft Intune Sicherheitsbaselines unter Vergleichen der Microsoft Defender for Endpoint und der Windows Intune-Sicherheitsbaselines.