Konfigurere policyer for klarerte vedlegg i Microsoft Defender for Office 365
Tips
Visste du at du kan prøve funksjonene i Microsoft Defender XDR for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Lær om hvem som kan registrere deg og prøveabonnementer på Prøv Microsoft Defender for Office 365.
Viktig
Denne artikkelen er beregnet på bedriftskunder som har Microsoft Defender for Office 365. Hvis du er hjemmebruker som leter etter informasjon om skanning av vedlegg i Outlook, kan du se Avansert Outlook.com sikkerhet.
I organisasjoner med Microsoft Defender for Office 365 er klarerte vedlegg et ekstra lag med beskyttelse mot skadelig programvare i meldinger. Når meldingsvedlegg skannes av beskyttelse mot skadelig programvare i Exchange Online Protection (EOP), åpner klarerte vedlegg filer i et virtuelt miljø for å se hva som skjer (en prosess kjent som detonasjon) før meldingene leveres til mottakerne. Hvis du vil ha mer informasjon, kan du se Klarerte vedlegg i Microsoft Defender for Office 365.
Selv om det ikke finnes noen standard policy for klarerte vedlegg, gir den innebygde sikkerhetspolicyen for forhåndsinnstilt beskyttelse av klarerte vedlegg beskyttelse til alle mottakere som standard. Mottakere som er angitt i standard- eller strenge forhåndsinnstilte sikkerhetspolicyer eller i egendefinerte policyer for klarerte vedlegg, påvirkes ikke. Hvis du vil ha mer informasjon, kan du se Forhåndsinnstilte sikkerhetspolicyer i EOP og Microsoft Defender for Office 365.
Hvis du vil ha større detaljnivå, kan du også bruke fremgangsmåtene i denne artikkelen til å opprette policyer for klarerte vedlegg som gjelder for bestemte brukere, grupper eller domener.
Du konfigurerer policyer for klarerte vedlegg i Microsoft Defender-portalen eller i Exchange Online PowerShell.
Obs!
I de globale innstillingene for innstillinger for klarerte vedlegg konfigurerer du funksjoner som ikke er avhengige av policyer for klarerte vedlegg. Hvis du vil ha instruksjoner, kan du se Slå på klarerte vedlegg for SharePoint, OneDrive og Microsoft Teams og Klarerte dokumenter i Microsoft 365 E5.
Hva må du vite før du begynner?
Du åpner Microsoft Defender-portalen på https://security.microsoft.com. Hvis du vil gå direkte til siden Klarerte vedlegg , bruker https://security.microsoft.com/safeattachmentv2du .
Hvis du vil koble til Exchange Online PowerShell, kan du se Koble til Exchange Online PowerShell.
Du må være tilordnet tillatelser før du kan utføre prosedyrene i denne artikkelen. Du har følgende alternativer:
Microsoft Defender XDR enhetlig rollebasert tilgangskontroll (RBAC) (hvis e-post & samarbeid>Defender for Office 365 tillatelser er aktive. Påvirker bare Defender-portalen, ikke PowerShell): Autorisasjon og innstillinger/Sikkerhetsinnstillinger/Kjernesikkerhetsinnstillinger (administrere) eller Autorisasjon og innstillinger/Sikkerhetsinnstillinger/Kjernesikkerhetsinnstillinger (lese).
E-post & samarbeidstillatelser i Microsoft Defender-portalen og Exchange Online tillatelser:
- Opprette, endre og slette policyer: Medlemskap i rollegruppene organisasjonsadministrasjon eller sikkerhetsadministrator i e-post & samarbeidstillatelser og medlemskap i rollegruppen organisasjonsadministrasjon i Exchange Online tillatelser.
-
Skrivebeskyttet tilgang til policyer: Medlemskap i én av følgende rollegrupper:
- Global leser eller sikkerhetsleser i e-post & samarbeidstillatelser.
- Vis bare organisasjonsadministrasjon i Exchange Online tillatelser.
Microsoft Entra tillatelser: Medlemskap i rollene global administrator*, sikkerhetsadministrator, global leser eller sikkerhetsleser gir brukerne de nødvendige tillatelsene og tillatelsene for andre funksjoner i Microsoft 365.
Viktig
* Microsoft anbefaler at du bruker roller med færrest tillatelser. Bruk av kontoer med lavere tillatelser bidrar til å forbedre sikkerheten for organisasjonen. Global administrator er en svært privilegert rolle som bør begrenses til nødscenarioer når du ikke kan bruke en eksisterende rolle.
Hvis du vil se våre anbefalte innstillinger for policyer for klarerte vedlegg, kan du se Innstillinger for klarerte vedlegg.
Tips
Unntak fra innebygd beskyttelse for klarerte vedlegg eller innstillinger i egendefinerte policyer for klarerte vedlegg ignoreres hvis en mottaker også er inkludert i standard- eller strenge forhåndsinnstilte sikkerhetspolicyer. Hvis du vil ha mer informasjon, kan du se Ordre og prioritet for e-postbeskyttelse.
Tillat opptil 30 minutter før en ny eller oppdatert policy brukes.
Hvis du vil ha mer informasjon om lisensieringskrav, kan du se Lisensieringsvilkår.
Bruke Microsoft Defender-portalen til å opprette policyer for klarerte vedlegg
Gå til Policyer for e-post & samarbeid>& Policyer> fortrusselregler>Klarerte vedlegg i policyer-delen i Microsoft Defender-portalen https://security.microsoft.com. Hvis du vil gå direkte til siden Klarerte vedlegg, kan du bruke https://security.microsoft.com/safeattachmentv2.
Velg Opprett på siden Klarerte vedlegg for å starte den nye policyveiviseren for klarerte vedlegg.
Konfigurer disse innstillingene på siden Gi navn til policyen :
- Navn: Skriv inn et unikt, beskrivende navn for policyen.
- Beskrivelse: Angi en valgfri beskrivelse for policyen.
Når du er ferdig på siden Gi navn til policyen , velger du Neste.
På siden Brukere og domener identifiserer du de interne mottakerne som policyen gjelder for (mottakerbetingelser):
- Brukere: De angitte postboksene, e-postbrukerne eller e-postkontaktene.
-
Grupper:
- Medlemmer av de angitte distribusjonsgruppene eller e-postaktiverte sikkerhetsgruppene (dynamiske distribusjonsgrupper støttes ikke).
- Den angitte Microsoft 365 Groups.
- Domener: Alle mottakere i organisasjonen med en primær e-postadresse i det angitte godtatte domenet.
Klikk i den aktuelle boksen, begynn å skrive inn en verdi, og velg verdien du vil bruke fra resultatene. Gjenta denne prosessen så mange ganger det er nødvendig. Hvis du vil fjerne en eksisterende verdi, velger du ved siden av verdien.
For brukere eller grupper kan du bruke de fleste identifikatorer (navn, visningsnavn, alias, e-postadresse, kontonavn osv.), men det tilsvarende visningsnavnet vises i resultatene. For brukere skriver du inn en stjerne (*) alene for å se alle tilgjengelige verdier.
Du kan bare bruke en betingelse én gang, men betingelsen kan inneholde flere verdier:
Flere verdier av samme betingelse bruker ELLER-logikk (for eksempel <mottaker1> eller <mottaker2>). Hvis mottakeren samsvarer med noen av de angitte verdiene, brukes policyen på dem.
Ulike typer betingelser bruker AND-logikk. Mottakeren må samsvare med alle de angitte betingelsene for at policyen skal gjelde for dem. Du kan for eksempel konfigurere en betingelse med følgende verdier:
- Brukere:
romain@contoso.com
- Grupper: Ledere
Policyen gjelder
romain@contoso.com
bare for hvis han også er medlem av Leder-gruppen. Ellers er politikken ikke brukt på ham.- Brukere:
Utelat disse brukerne, gruppene og domenene: Hvis du vil legge til unntak for de interne mottakerne som policyen gjelder for (mottakerunntak), velger du dette alternativet og konfigurerer unntakene.
Du kan bare bruke et unntak én gang, men unntaket kan inneholde flere verdier:
- Flere verdier for samme unntak bruker ELLER-logikk (for eksempel <mottaker1> eller <mottaker2>). Hvis mottakeren samsvarer med noen av de angitte verdiene, brukes ikke policyen på dem.
- Ulike typer unntak bruker OR-logikk (for eksempel <mottaker1> eller <medlem av gruppe1> eller <medlem av domene1>). Hvis mottakeren samsvarer med noen av de angitte unntaksverdiene, brukes ikke policyen på dem.
Når du er ferdig på siden Brukere og domener , velger du Neste.
Konfigurer følgende innstillinger på Innstillinger-siden :
Ukjent svar på ukjent skadelig programvare for klarerte vedlegg: Velg én av følgende verdier:
- Av
- Skjerm
- Blokk: Dette er standardverdien, og den anbefalte verdien i standard- og strenge forhåndsinnstilte sikkerhetspolicyer.
- Dynamisk levering (forhåndsvisningsmeldinger)
Disse verdiene forklares i policyinnstillingene for klarerte vedlegg.
Karantenepolicy: Velg karantenepolicyen som gjelder for meldinger som er satt i karantene av klarerte vedlegg (blokk eller dynamisk levering). Karantenepolicyer definerer hva brukere kan gjøre med meldinger som er satt i karantene, og om brukere mottar karantenevarsler. Hvis du vil ha mer informasjon, kan du se Anatomi for en karantenepolicy.
Som standard brukes karantenepolicyen AdminOnlyAccessPolicy for gjenkjenning av skadelig programvare av policyer for klarerte vedlegg. Hvis du vil ha mer informasjon om denne karantenepolicyen, kan du se Anatomi for en karantenepolicy.
Obs!
Karantenevarsler er deaktivert i policyen AdminOnlyAccessPolicy. Hvis du vil varsle mottakere som har meldinger satt i karantene som skadelig programvare av klarerte vedlegg, kan du opprette eller bruke en eksisterende karantenepolicy der karantenevarsler er slått på. Hvis du vil ha instruksjoner, kan du se Opprette karantenepolicyer i Microsoft Defender-portalen.
Brukere kan ikke frigi sine egne meldinger som ble satt i karantene som skadelig programvare av policyer for klarerte vedlegg, uavhengig av hvordan karantenepolicyen er konfigurert. Hvis policyen tillater brukere å frigi sine egne meldinger i karantene, har brukerne i stedet lov til å be om utgivelsen av sine meldinger om skadelig programvare som er satt i karantene.
Omadresser meldinger med oppdagede vedlegg: Hvis du velger Aktiver omdirigering, kan du angi en e-postadresse i boksen Send meldinger som inneholder overvåkede vedlegg til den angitte e-postadressen , for å sende meldinger som inneholder vedlegg til skadelig programvare for analyse og undersøkelse.
Obs!
Omdirigering er bare tilgjengelig for overvåkingshandlingen . Hvis du vil ha mer informasjon, kan du se MC424899.
Når du er ferdig på Innstillinger-siden , velger du Neste.
Se gjennom innstillingene på Se gjennom-siden . Du kan velge Rediger i hver inndeling for å endre innstillingene i inndelingen. Du kan også velge Tilbake eller den bestemte siden i veiviseren.
Når du er ferdig på Se gjennom-siden, velger du Send.
På siden Nye klarerte vedlegg-policyen kan du velge koblingene for å vise policyen, vise policyer for klarerte vedlegg og lære mer om policyer for klarerte vedlegg.
Når du er ferdig med å opprette policyen for nye klarerte vedlegg , velger du Ferdig.
Tilbake på siden Klarerte vedlegg er den nye policyen oppført.
Bruk Microsoft Defender-portalen til å vise policydetaljer for klarerte vedlegg
Gå til Policyer for e-post & samarbeid>& Policyer> fortrusselregler>Klarerte vedlegg i policyer-delen i Microsoft Defender-portalen https://security.microsoft.com. Hvis du vil gå direkte til siden Klarerte vedlegg , bruker https://security.microsoft.com/safeattachmentv2du .
På siden Klarerte vedlegg vises følgende egenskaper i listen over policyer:
- Navn
- Status: Verdiene er på eller av.
- Prioritet: Hvis du vil ha mer informasjon, kan du se delen Angi prioritet for policyer for klarerte vedlegg .
Hvis du vil endre listen over policyer fra normal til kompakt avstand, velger du Endre listeavstand til kompakt eller normal, og deretter velger du Komprimer liste.
Bruk søkeboksen og en tilsvarende verdi til å finne bestemte policyer for klarerte vedlegg.
Bruk Eksporter til å eksportere listen over policyer til en CSV-fil.
Bruk Vis rapporter til å åpne statusrapporten trusselbeskyttelse.
Velg en policy ved å klikke hvor som helst i raden bortsett fra avmerkingsboksen ved siden av navnet for å åpne detaljenes undermeny for policyen.
Tips
Hvis du vil se detaljer om andre policyer for klarerte vedlegg uten å forlate undermenyen for detaljer, kan du bruke Forrige element og Neste-elementet øverst i undermenyen.
Bruk Microsoft Defender-portalen til å utføre handlinger på policyer for klarerte vedlegg
Gå til Policyer for e-post & samarbeid>& Policyer> fortrusselregler>Klarerte vedlegg i policyer-delen i Microsoft Defender-portalen https://security.microsoft.com. Hvis du vil gå direkte til siden Klarerte vedlegg , bruker https://security.microsoft.com/safeattachmentv2du .
Velg policyen klarerte vedlegg på siden Klarerte vedlegg ved hjelp av én av følgende metoder:
Velg policyen fra listen ved å merke av i avmerkingsboksen ved siden av navnet. Følgende handlinger er tilgjengelige i rullegardinlisten Flere handlinger som vises:
- Aktiver valgte policyer.
- Deaktiver valgte policyer.
- Slett valgte policyer.
Velg policyen fra listen ved å klikke hvor som helst i raden bortsett fra avmerkingsboksen ved siden av navnet. Noen eller alle følgende handlinger er tilgjengelige i undermenyen for detaljer som åpnes:
- Endre policyinnstillinger ved å klikke Rediger i hver inndeling (egendefinerte policyer eller standardpolicyen)
- Aktivere eller deaktivere (bare egendefinerte policyer)
- Øk prioritet eller Reduser prioritet (bare egendefinerte policyer)
- Slett policy (bare egendefinerte policyer)
Handlingene er beskrevet i følgende underområder.
Bruk Microsoft Defender-portalen til å endre egendefinerte policyer for klarerte vedlegg
Når du har valgt en egendefinert policy for klarerte vedlegg ved å klikke hvor som helst i raden annet enn avmerkingsboksen ved siden av navnet, vises policyinnstillingene i undermenyen detaljer som åpnes. Velg Rediger i hver inndeling for å endre innstillingene i inndelingen. Hvis du vil ha mer informasjon om innstillingene, kan du se avsnittet Opprette policyer for klarerte vedlegg tidligere i denne artikkelen.
Du kan ikke endre policyene for klarerte vedlegg med navnet Standard forhåndsinnstilt sikkerhetspolicy, streng forhåndsinnstilt sikkerhetspolicy eller innebygd beskyttelse (Microsoft) som er knyttet til forhåndsinnstilte sikkerhetspolicyer i undermenyen for policydetaljer. I stedet velger du Vis forhåndsinnstilte sikkerhetspolicyer i detaljmenyen for å gå til siden for forhåndsinnstilte sikkerhetspolicyer på https://security.microsoft.com/presetSecurityPolicies for å endre de forhåndsinnstilte sikkerhetspolicyene.
Bruke Microsoft Defender-portalen til å aktivere eller deaktivere egendefinerte policyer for klarerte vedlegg
Du kan ikke aktivere eller deaktivere policyene for klarerte vedlegg med navnet Standard forhåndsinnstilt sikkerhetspolicy, streng forhåndsinnstilt sikkerhetspolicy eller innebygd beskyttelse (Microsoft) som er knyttet til forhåndsinnstilte sikkerhetspolicyer her. Du aktiverer eller deaktiverer forhåndsinnstilte sikkerhetspolicyer på siden Forhåndsinnstilte sikkerhetspolicyer på https://security.microsoft.com/presetSecurityPolicies.
Når du har valgt en aktivert egendefinert policy for klarerte vedlegg ( statusverdien er på), kan du bruke én av følgende metoder til å deaktivere den:
- På siden Klarerte vedlegg: Velg Flere handlinger>Deaktiver valgte policyer.
- Undermeny for detaljer for policyen: Velg Deaktiver øverst i undermenyen.
Når du har valgt en deaktivert egendefinert policy for klarerte vedlegg ( statusverdien er av), bruker du én av følgende metoder for å aktivere den:
- Velg Flere handlinger>Aktiver valgte policyer på siden Klarerte vedlegg.
- Undermeny for detaljer i policyen: Velg Aktiver øverst i undermenyen.
Statusverdien for policyen er nå påeller av på siden Klarerte vedlegg.
Bruk Microsoft Defender-portalen til å angi prioritet for egendefinerte policyer for klarerte vedlegg
Policyer for klarerte vedlegg behandles i den rekkefølgen de vises på siden Klarerte vedlegg :
- Policyen for klarerte vedlegg med navnet Streng forhåndsinnstilt sikkerhetspolicy som er knyttet til den strenge forhåndsinnstilte sikkerhetspolicyen, brukes alltid først (hvis den strenge forhåndsinnstilte sikkerhetspolicyen er aktivert).
- Policyen for klarerte vedlegg med navnet Standard forhåndsinnstilt sikkerhetspolicy som er knyttet til standard forhåndsinnstilt sikkerhetspolicy, brukes alltid neste gang (hvis standard forhåndsinnstilt sikkerhetspolicy er aktivert).
- Policyer for egendefinerte klarerte vedlegg brukes i neste prioritetsrekkefølge (hvis de er aktivert):
- En lavere prioritetsverdi angir en høyere prioritet (0 er den høyeste).
- Som standard opprettes en ny policy med en prioritet som er lavere enn den laveste eksisterende egendefinerte policyen (den første er 0, den neste er 1 osv.).
- Ingen policyer kan ha samme prioritetsverdi.
- Policyen for klarerte vedlegg med navnet Innebygd beskyttelse (Microsoft) som er knyttet til innebygd beskyttelse, har alltid den laveste prioritetsverdien, og du kan ikke endre den.
Beskyttelse mot klarerte vedlegg stopper for en mottaker etter at den første policyen er brukt (policyen med høyest prioritet for denne mottakeren). Hvis du vil ha mer informasjon, kan du se Ordre og prioritet for e-postbeskyttelse.
Når du har valgt den egendefinerte policyen for klarerte vedlegg ved å klikke hvor som helst i raden bortsett fra avmerkingsboksen ved siden av navnet, kan du øke eller redusere prioriteten for policyen i detaljer-undermenyen som åpnes:
- Den egendefinerte policyen med prioritetsverdien0 på siden Klarerte vedlegg har reduser prioritetshandlingen øverst i detaljer-undermenyen.
- Den egendefinerte policyen med lavest prioritet (høyeste prioritetsverdi, for eksempel 3), har handlingen Øk prioritet øverst i detaljer-undermenyen.
- Hvis du har tre eller flere policyer, har policyene mellom prioritet 0 og lavest prioritet både øk prioritet og reduser prioritetshandlinger øverst i detaljer-undermenyen.
Når du er ferdig med undermenyen for policydetaljer, velger du Lukk.
Tilbake på siden Klarerte vedlegg samsvarer rekkefølgen på policyen i listen med den oppdaterte prioritetsverdien .
Bruke Microsoft Defender-portalen til å fjerne egendefinerte policyer for klarerte vedlegg
Du kan ikke fjerne policyene for klarerte vedlegg med navnet Standard forhåndsinnstilt sikkerhetspolicy, streng forhåndsinnstilt sikkerhetspolicy eller innebygd beskyttelse (Microsoft) som er knyttet til forhåndsinnstilte sikkerhetspolicyer.
Når du har valgt policyen for egendefinerte klarerte vedlegg, kan du bruke én av følgende metoder for å fjerne den:
- På siden Klarerte vedlegg: Velg Flere handlinger>Slett valgte policyer.
- Undermeny for detaljer i policyen: Velg Slett policy øverst i undermenyen.
Velg Ja i advarselsdialogboksen som åpnes.
Tilbake på siden Klarerte vedlegg er ikke lenger den fjernede policyen oppført.
Bruke Exchange Online PowerShell til å konfigurere policyer for klarerte vedlegg
I PowerShell er de grunnleggende elementene i en policy for klarerte vedlegg:
- Policyen for sikker vedlegg: Angir handlingene for gjenkjenning av ukjent skadelig programvare, om du vil sende meldinger med vedlegg til skadelig programvare til en angitt e-postadresse, og om du vil levere meldinger hvis skanning av klarerte vedlegg ikke kan fullføres.
- Regelen for sikkert vedlegg: Angir prioritets- og mottakerfiltrene (hvem policyen gjelder for).
Forskjellen mellom disse to elementene er ikke åpenbar når du administrerer policyer for klarerte vedlegg i Microsoft Defender-portalen:
- Når du oppretter en policy for klarerte vedlegg i Defender-portalen, oppretter du faktisk en regel for sikker vedlegg og den tilknyttede policyen for sikker vedlegg samtidig med samme navn for begge.
- Når du endrer en policy for klarerte vedlegg i Defender-portalen, endrer innstillinger som er relatert til navn, prioritet, aktivert eller deaktivert, og mottakerfiltre regelen for klarert vedlegg. Alle andre innstillinger endrer den tilknyttede policyen for sikker vedlegg.
- Når du fjerner en policy for klarerte vedlegg fra Defender-portalen, fjernes regelen for klarerte vedlegg og den tilknyttede policyen for sikker vedlegg.
Forskjellen mellom klarerte vedleggspolicyer og klarerte vedleggsregler er tydelig i PowerShell. Du administrerer klarerte vedleggspolicyer ved hjelp av cmdletene *-SafeAttachmentPolicy , og du administrerer klarerte vedleggsregler ved hjelp av cmdletene *-SafeAttachmentRule .
- I PowerShell oppretter du policyen for sikker vedlegg først, og deretter oppretter du regelen for sikker vedlegg, som identifiserer den tilknyttede policyen som regelen gjelder for.
- I PowerShell endrer du innstillingene i policyen for sikker vedlegg og regelen for sikker vedlegg separat.
- Når du fjerner en sikker vedleggspolicy fra PowerShell, fjernes ikke den tilsvarende regelen for klarert vedlegg automatisk, og omvendt.
Bruke PowerShell til å opprette policyer for klarerte vedlegg
Oppretting av policy for klarerte vedlegg i PowerShell er en totrinnsprosess:
- Opprett policyen for sikker vedlegg.
- Opprett regelen for klarert vedlegg som angir policyen for sikker vedlegg som regelen gjelder for.
Notater:
Du kan opprette en ny regel for sikker vedlegg og tilordne en eksisterende, ikke-tilknyttet sikker vedleggspolicy til den. En regel for sikker vedlegg kan ikke knyttes til mer enn én sikker vedleggspolicy.
Du kan konfigurere følgende innstillinger for nye klarerte vedleggspolicyer i PowerShell som ikke er tilgjengelige i Microsoft Defender-portalen før etter at du har opprettet policyen:
- Opprett den nye policyen som deaktivert (aktivert på cmdleten
$false
New-SafeAttachmentRule ). - Angi prioritet for policyen under oppretting (prioritetsnummer<>) på cmdleten New-SafeAttachmentRule).
- Opprett den nye policyen som deaktivert (aktivert på cmdleten
En ny policy for sikker vedlegg som du oppretter i PowerShell, er ikke synlig i Microsoft Defender-portalen før du tilordner policyen til en regel for sikker vedlegg.
Trinn 1: Bruke PowerShell til å opprette en sikker vedleggspolicy
Hvis du vil opprette en sikker vedleggspolicy, bruker du denne syntaksen:
New-SafeAttachmentPolicy -Name "<PolicyName>" -Enable $true [-AdminDisplayName "<Comments>"] [-Action <Allow | Block | DynamicDelivery>] [-Redirect <$true | $false>] [-RedirectAddress <SMTPEmailAddress>] [-QuarantineTag <QuarantinePolicyName>]
Dette eksemplet oppretter en sikker vedleggspolicy kalt Contoso All med følgende verdier:
- Blokker meldinger som finnes for å inneholde skadelig programvare, ved å skanne klarerte dokumenter (vi bruker ikke handlingsparameteren, og standardverdien er
Block
). - Standard karantenepolicy brukes (AdminOnlyAccessPolicy), fordi vi ikke bruker quarantineTag-parameteren.
New-SafeAttachmentPolicy -Name "Contoso All" -Enable $true
Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se New-SafeAttachmentPolicy.
Tips
Hvis du vil ha detaljerte instruksjoner om hvordan du angir karantenepolicyen som skal brukes i en policy for sikker vedlegg, kan du se Bruke PowerShell til å angi karantenepolicyen i policyene for klarerte vedlegg.
Trinn 2: Bruke PowerShell til å opprette en regel for sikker vedlegg
Hvis du vil opprette en regel for sikkert vedlegg, bruker du denne syntaksen:
New-SafeAttachmentRule -Name "<RuleName>" -SafeAttachmentPolicy "<PolicyName>" <Recipient filters> [<Recipient filter exceptions>] [-Comments "<OptionalComments>"] [-Enabled <$true | $false>]
Dette eksemplet oppretter en regel for klarert vedlegg med navnet Contoso All med følgende betingelser:
- Regelen er knyttet til policyen for sikker vedlegg med navnet Contoso All.
- Regelen gjelder for alle mottakere i det contoso.com domenet.
- Fordi vi ikke bruker prioritetsparameteren, brukes standard prioritet.
- Regelen er aktivert (vi bruker ikke parameteren Enabled , og standardverdien er
$true
).
New-SafeAttachmentRule -Name "Contoso All" -SafeAttachmentPolicy "Contoso All" -RecipientDomainIs contoso.com
Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se New-SafeAttachmentRule.
Bruke PowerShell til å vise klarerte vedleggspolicyer
Hvis du vil vise eksisterende policyer for klarerte vedlegg, bruker du følgende syntaks:
Get-SafeAttachmentPolicy [-Identity "<PolicyIdentity>"] [| <Format-Table | Format-List> <Property1,Property2,...>]
Dette eksemplet returnerer en sammendragsliste over alle klarerte vedleggspolicyer.
Get-SafeAttachmentPolicy
Dette eksemplet returnerer detaljert informasjon for den sikre vedleggspolicyen kalt Contoso Executives.
Get-SafeAttachmentPolicy -Identity "Contoso Executives" | Format-List
Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Get-SafeAttachmentPolicy.
Bruke PowerShell til å vise klarerte vedleggsregler
Hvis du vil vise eksisterende klarerte vedleggsregler, bruker du følgende syntaks:
Get-SafeAttachmentRule [-Identity "<RuleIdentity>"] [-State <Enabled | Disabled>] [| <Format-Table | Format-List> <Property1,Property2,...>]
Dette eksemplet returnerer en sammendragsliste over alle klarerte vedleggsregler.
Get-SafeAttachmentRule
Hvis du vil filtrere listen etter aktiverte eller deaktiverte regler, kjører du følgende kommandoer:
Get-SafeAttachmentRule -State Disabled
Get-SafeAttachmentRule -State Enabled
Dette eksemplet returnerer detaljert informasjon for regelen for klarerte vedlegg kalt Contoso-ledere.
Get-SafeAttachmentRule -Identity "Contoso Executives" | Format-List
Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Get-SafeAttachmentRule.
Bruke PowerShell til å endre klarerte vedleggspolicyer
Du kan ikke gi nytt navn til en sikker vedleggspolicy i PowerShell (Cmdleten Set-SafeAttachmentPolicy har ingen Navn-parameter). Når du gir nytt navn til en policy for klarerte vedlegg i Microsoft Defender-portalen, gir du bare nytt navn til regelen for klarert vedlegg.
Ellers er de samme innstillingene tilgjengelige når du oppretter en policy for sikker vedleggspolicy som beskrevet i trinn 1: Bruk PowerShell til å opprette en sikker vedleggspolicyinndeling tidligere i denne artikkelen.
Hvis du vil endre en policy for sikker vedlegg, bruker du denne syntaksen:
Set-SafeAttachmentPolicy -Identity "<PolicyName>" <Settings>
Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Set-SafeAttachmentPolicy.
Tips
Hvis du vil ha detaljerte instruksjoner om hvordan du angir karantenepolicyen som skal brukes i en policy for sikker vedlegg, kan du se Bruke PowerShell til å angi karantenepolicyen i policyene for klarerte vedlegg.
Bruke PowerShell til å endre klarerte vedleggsregler
Den eneste innstillingen som ikke er tilgjengelig når du endrer en regel for sikkert vedlegg i PowerShell, er den aktiverte parameteren som lar deg opprette en deaktivert regel. Hvis du vil aktivere eller deaktivere eksisterende klarerte vedleggsregler, kan du se neste del.
Ellers er de samme innstillingene tilgjengelige når du oppretter en regel som beskrevet i trinn 2: Bruk PowerShell til å opprette en regelinndeling for klarerte vedlegg tidligere i denne artikkelen.
Hvis du vil endre en regel for klarert vedlegg, bruker du denne syntaksen:
Set-SafeAttachmentRule -Identity "<RuleName>" <Settings>
Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Set-SafeAttachmentRule.
Bruke PowerShell til å aktivere eller deaktivere klarerte vedleggsregler
Aktivering eller deaktivering av en regel for sikker vedlegg i PowerShell aktiverer eller deaktiverer hele policyen for klarerte vedlegg (regelen for klarert vedlegg og den tilordnede klarerte vedleggspolicyen).
Hvis du vil aktivere eller deaktivere en regel for sikker vedlegg i PowerShell, bruker du denne syntaksen:
<Enable-SafeAttachmentRule | Disable-SafeAttachmentRule> -Identity "<RuleName>"
Dette eksemplet deaktiverer regelen for klarerte vedlegg kalt Markedsføringsavdeling.
Disable-SafeAttachmentRule -Identity "Marketing Department"
Dette eksemplet aktiverer samme regel.
Enable-SafeAttachmentRule -Identity "Marketing Department"
Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Enable-SafeAttachmentRule og Disable-SafeAttachmentRule.
Bruk PowerShell til å angi prioritet for klarerte vedleggsregler
Den høyeste prioritetsverdien du kan angi for en regel, er 0. Den laveste verdien du kan angi, avhenger av antall regler. Hvis du for eksempel har fem regler, kan du bruke prioritetsverdiene 0 til og med 4. Hvis du endrer prioriteten til en eksisterende regel, kan det ha en gjennomgripende effekt på andre regler. Hvis du for eksempel har fem egendefinerte regler (prioritet 0 til 4), og du endrer prioriteten for en regel til 2, endres den eksisterende regelen med prioritet 2 til prioritet 3, og regelen med prioritet 3 endres til prioritet 4.
Bruk følgende syntaks for å angi prioritet for en regel for sikkert vedlegg i PowerShell:
Set-SafeAttachmentRule -Identity "<RuleName>" -Priority <Number>
Dette eksemplet angir prioriteten for regelen som heter Markedsføringsavdeling, til 2. Alle eksisterende regler som har en prioritet som er mindre enn eller lik 2, reduseres med 1 (prioritetstallene økes med 1).
Set-SafeAttachmentRule -Identity "Marketing Department" -Priority 2
Obs! Hvis du vil angi prioritet for en ny regel når du oppretter den, bruker du prioritetsparameteren på cmdleten New-SafeAttachmentRule i stedet.
Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Set-SafeAttachmentRule.
Bruke PowerShell til å fjerne klarerte vedleggspolicyer
Når du bruker PowerShell til å fjerne en sikker vedleggspolicy, fjernes ikke den tilsvarende regelen for klarert vedlegg.
Hvis du vil fjerne en sikker vedleggspolicy i PowerShell, bruker du denne syntaksen:
Remove-SafeAttachmentPolicy -Identity "<PolicyName>"
Dette eksemplet fjerner policyen for sikker vedlegg, kalt Markedsføringsavdeling.
Remove-SafeAttachmentPolicy -Identity "Marketing Department"
Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Remove-SafeAttachmentPolicy.
Bruke PowerShell til å fjerne klarerte vedleggsregler
Når du bruker PowerShell til å fjerne en regel for sikker vedlegg, fjernes ikke den tilsvarende sikre vedleggspolicyen.
Hvis du vil fjerne en regel for sikkert vedlegg i PowerShell, bruker du denne syntaksen:
Remove-SafeAttachmentRule -Identity "<PolicyName>"
Dette eksemplet fjerner regelen for klarerte vedlegg med navnet Markedsføringsavdeling.
Remove-SafeAttachmentRule -Identity "Marketing Department"
Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Remove-SafeAttachmentRule.
Hvordan vet du at disse prosedyrene fungerte?
Gjør ett av følgende for å bekrefte at du har opprettet, endret eller fjernet policyer for klarerte vedlegg:
På siden Klarerte vedlegg i Microsoft Defender-portalen på https://security.microsoft.com/safeattachmentv2bekrefter du listen over policyer, statusverdier og prioritetsverdier . Hvis du vil vise flere detaljer, velger du policyen fra listen ved å klikke på navnet og vise detaljene i undermenyen.
Erstatt <navn> med navnet på policyen eller regelen i Exchange Online PowerShell, kjør følgende kommando og kontroller innstillingene:
Get-SafeAttachmentPolicy -Identity "<Name>" | Format-List
Get-SafeAttachmentRule -Identity "<Name>" | Format-List
Hvis du vil kontrollere at klarerte vedlegg skanner meldinger, kan du se de tilgjengelige Defender for Office 365-rapportene. Hvis du vil ha mer informasjon, kan du se Vise rapporter for Defender for Office 365 og Bruke Explorer i Microsoft Defender-portalen.