Forhåndsinnstilte sikkerhetspolicyer i EOP og Microsoft Defender for Office 365

Tips

Visste du at du kan prøve funksjonene i Microsoft Defender XDR for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Finn ut mer om hvem som kan registrere seg og vilkår for prøveversjonen her.

Forhåndsinnstilte sikkerhetspolicyer lar deg bruke beskyttelsesfunksjoner for brukere basert på våre anbefalte innstillinger. I motsetning til egendefinerte policyer som er uendelig konfigurerbare, er nesten alle innstillingene i forhåndsinnstilte sikkerhetspolicyer ikke konfigurerbare, og er basert på våre observasjoner i datasentrene. Innstillingene i forhåndsinnstilte sikkerhetspolicyer gir en balanse mellom å holde skadelig innhold borte fra brukere, samtidig som du unngår unødvendige forstyrrelser.

Avhengig av organisasjonen gir forhåndsinnstilte sikkerhetspolicyer mange av beskyttelsesfunksjonene som er tilgjengelige i Exchange Online Protection (EOP) og Microsoft Defender for Office 365.

Følgende forhåndsinnstilte sikkerhetspolicyer er tilgjengelige:

  • Standard forhåndsinnstilt sikkerhetspolicy
  • Streng forhåndsinnstilt sikkerhetspolicy
  • Innebygd sikkerhetspolicy for forhåndsinnstilt beskyttelse (standardpolicyer for beskyttelse av klarerte vedlegg og klarerte koblinger i Defender for Office 365)

Hvis du vil ha mer informasjon om disse forhåndsinnstilte sikkerhetspolicyene, kan du se delen Vedlegg på slutten av denne artikkelen.

Resten av denne artikkelen forklarer hvordan du konfigurerer forhåndsinnstilte sikkerhetspolicyer.

Hva må du vite før du begynner?

  • Du åpner Microsoft Defender-portalen på https://security.microsoft.com. Hvis du vil gå direkte til siden for forhåndsinnstilte sikkerhetspolicyer , bruker https://security.microsoft.com/presetSecurityPoliciesdu .

  • Hvis du vil koble til Exchange Online PowerShell, kan du se Koble til Exchange Online PowerShell.

  • Du må være tilordnet tillatelser før du kan utføre prosedyrene i denne artikkelen. Du har følgende alternativer:

    • Microsoft Defender XDR Unified role based access control (RBAC) (påvirker bare Defender-portalen, ikke PowerShell): Autorisasjon og innstillinger/Sikkerhetsinnstillinger/Kjernesikkerhetsinnstillinger (administrere) eller Autorisasjon og innstillinger/Sikkerhetsinnstillinger/Kjernesikkerhetsinnstillinger (lese).
    • Exchange Online tillatelser:
      • Konfigurer forhåndsinnstilte sikkerhetspolicyer: Medlemskap i rollegruppene Organisasjonsadministrasjon eller Sikkerhetsadministrator .
      • Skrivebeskyttet tilgang til forhåndsinnstilte sikkerhetspolicyer: Medlemskap i rollegruppen global leser .
    • Microsoft Entra tillatelser: Medlemskap i rollene global administrator, sikkerhetsadministrator eller global leser gir brukerne de nødvendige tillatelsene og tillatelsene for andre funksjoner i Microsoft 365.

Bruk Microsoft Defender-portalen til å tilordne standard og strenge forhåndsinnstilte sikkerhetspolicyer til brukere

  1. Gå til Policyer for e-& samarbeid>& Policyer>> for trusselreglerforhåndsinnstilte sikkerhetspolicyer i delen Policyer for mal i Microsoft Defender.https://security.microsoft.com Hvis du vil gå direkte til siden for forhåndsinnstilte sikkerhetspolicyer , kan du bruke https://security.microsoft.com/presetSecurityPolicies.

  2. Hvis dette er første gang du er på siden for forhåndsinnstilte sikkerhetspolicyer , er det sannsynlig at standardbeskyttelse og streng beskyttelse er slått av .

    Skyv veksleknappen til den du vil konfigurere til , og velg deretter Administrer beskyttelsesinnstillinger for å starte konfigurasjonsveiviseren.

  3. siden Bruk Exchange Online Protection identifiserer du de interne mottakerne som EOP-beskyttelsene gjelder for (mottakerbetingelser):

    • Alle mottakere

    • Bestemte mottakere: Konfigurer én av følgende mottakerbetingelser som vises:

      • Brukere: De angitte postboksene, e-postbrukerne eller e-postkontaktene.
      • Grupper:
        • Medlemmer av de angitte distribusjonsgruppene eller e-postaktiverte sikkerhetsgruppene (dynamiske distribusjonsgrupper støttes ikke).
        • Den angitte Microsoft 365 Groups.
      • Domener: Alle mottakere i organisasjonen med en primær e-postadresse i det angitte godtatte domenet.

    Klikk i den aktuelle boksen, begynn å skrive inn en verdi, og velg verdien du vil bruke fra resultatene. Gjenta denne prosessen så mange ganger det er nødvendig. Hvis du vil fjerne en eksisterende verdi, velger du ved siden av verdien.

    For brukere eller grupper kan du bruke de fleste identifikatorer (navn, visningsnavn, alias, e-postadresse, kontonavn osv.), men det tilsvarende visningsnavnet vises i resultatene. For brukere eller grupper skriver du inn en stjerne (*) alene for å se alle tilgjengelige verdier.

    Du kan bare bruke en betingelse én gang, men betingelsen kan inneholde flere verdier:

    • Flere verdier av samme betingelse bruker ELLER-logikk (for eksempel <mottaker1> eller <mottaker2>). Hvis mottakeren samsvarer med noen av de angitte verdiene, brukes policyen på dem.

    • Ulike typer betingelser bruker AND-logikk. Mottakeren må samsvare med alle de angitte betingelsene for at policyen skal gjelde for dem. Du kan for eksempel konfigurere en betingelse med følgende verdier:

      • Brukere: romain@contoso.com
      • Grupper: Ledere

      Policyen gjelder romain@contoso.combare for hvis han også er medlem av Leder-gruppen. Ellers er politikken ikke brukt på ham.

    • Ingen

    • Utelat disse mottakerne: Hvis du valgte Alle mottakere eller bestemte mottakere, velger du dette alternativet for å konfigurere mottakerunntak.

      Du kan bare bruke et unntak én gang, men unntaket kan inneholde flere verdier:

      • Flere verdier for samme unntak bruker ELLER-logikk (for eksempel <mottaker1> eller <mottaker2>). Hvis mottakeren samsvarer med noen av de angitte verdiene, brukes ikke policyen på dem.
      • Ulike typer unntak bruker OR-logikk (for eksempel <mottaker1> eller <medlem av gruppe1> eller <medlem av domene1>). Hvis mottakeren samsvarer med noen av de angitte unntaksverdiene, brukes ikke policyen på dem.

    Når du er ferdig på siden Bruk Exchange Online Protection, velger du Neste.

    Obs!

    Når du velger Neste i organisasjoner uten Defender for Office 365, kommer du til Se gjennom-siden (trinn 9).

  4. siden Bruk Defender for Office 365 beskyttelse identifiserer du de interne mottakerne som Defender for Office 365 beskyttelsene gjelder for (mottakerbetingelser).

    Innstillingene og virkemåten er akkurat som på siden Bruk Exchange Online Protection i forrige trinn.

    Du kan også velge Tidligere valgte mottakere for å bruke de samme mottakerne som du valgte for EOP-beskyttelse på forrige side.

    Når du er ferdig på siden Bruk Defender for Office 365 beskyttelse, velger du Neste.

  5. Velg Nestesiden Representasjonsbeskyttelse.

  6. Legg til e-postadresser som skal flagges når de representeres av angripere - siden, og legg til interne og eksterne avsendere som er beskyttet av beskyttelse mot brukerrepresentasjon.

    Obs!

    Alle mottakere mottar automatisk representasjonsbeskyttelse fra postboksintelligens i forhåndsinnstilte sikkerhetspolicyer.

    Du kan angi maksimalt 350 brukere for beskyttelse av brukerrepresentasjon i standard- eller streng forhåndsinnstilt sikkerhetspolicy.

    Beskyttelse mot brukerrepresentasjon fungerer ikke hvis avsenderen og mottakeren tidligere har kommunisert via e-post. Hvis avsenderen og mottakeren aldri har kommunisert via e-post, kan meldingen identifiseres som et representasjonsforsøk.

    Hver oppføring består av et visningsnavn og en e-postadresse:

    • Interne brukere: Klikk i boksen Legg til en gyldig e-post , eller begynn å skrive inn brukerens e-postadresse. Velg e-postadressen i rullegardinlisten Foreslåtte kontakter som vises. Brukerens visningsnavn legges til i boksen Legg til et navn (som du kan endre). Når du er ferdig med å velge brukeren, velger du Legg til.

    • Eksterne brukere: Skriv inn den eksterne brukerens fullstendige e-postadresse i boksen Legg til en gyldig e-post , og velg deretter e-postadressen i rullegardinlisten Foreslåtte kontakter som vises. E-postadressen legges også til i boksen Legg til et navn (som du kan endre til et visningsnavn).

    Gjenta disse trinnene så mange ganger det er nødvendig.

    Brukerne du har lagt til, er oppført på siden etter visningsnavn og avsenderens e-postadresse. Hvis du vil fjerne en bruker, velger du ved siden av oppføringen.

    Bruk Søk-boksen til å finne oppføringer på siden.

    Når du er ferdig på siden Bruk Defender for Office 365 beskyttelse, velger du Neste.

  7. Legg til domener som skal flagges når de representeres av angripere - siden, og legg til interne og eksterne domener som er beskyttet av beskyttelse mot domenerepresentasjon.

    Obs!

    Alle domener du eier (godtatte domener), mottar automatisk beskyttelse mot domenerepresentasjon i forhåndsinnstilte sikkerhetspolicyer.

    Du kan angi maksimalt 50 egendefinerte domener for beskyttelse av domenerepresentasjon i standard- eller streng forhåndsinnstilt sikkerhetspolicy.

    Klikk i boksen Legg til domener , skriv inn en domeneverdi, trykk ENTER-tasten eller velg verdien som vises under boksen. Hvis du vil fjerne et domene fra boksen og starte på nytt, velger du ved siden av domenet. Når du er klar til å legge til domenet, velger du Legg til. Gjenta dette trinnet så mange ganger det er nødvendig.

    Domenene du har lagt til, er oppført på siden. Hvis du vil fjerne domenet, velger du ved siden av verdien.

    Domenene du har lagt til, er oppført på siden. Hvis du vil fjerne et domene, velger du ved siden av oppføringen.

    Hvis du vil fjerne en eksisterende oppføring fra listen, velger du ved siden av oppføringen.

    Når du er ferdig med å legge til domener som skal flagges når de representeres av angripere, velger du Neste.

  8. Skriv inn avsenderens e-postadresser og domener som du skal utelate fra representasjonsbeskyttelse, på siden Legg til klarerte e-postadresser og domener for ikke å flagge som representasjon . Meldinger fra disse avsenderne flagges aldri som et representasjonsangrep, men avsenderne kan fremdeles skannes av andre filtre i EOP og Defender for Office 365.

    Obs!

    Klarerte domeneoppføringer inkluderer ikke underdomener for det angitte domenet. Du må legge til en oppføring for hvert underdomene.

    Skriv inn e-postadressen eller domenet i boksen, og trykk deretter ENTER-tasten eller velg verdien som vises under boksen. Hvis du vil fjerne en verdi fra boksen og starte på nytt, velger du ved siden av verdien. Når du er klar til å legge til brukeren eller domenet, velger du Legg til. Gjenta dette trinnet så mange ganger det er nødvendig.

    Brukerne og domenene du har lagt til, er oppført på siden etter navn og type. Hvis du vil fjerne en oppføring, velger du ved siden av oppføringen.

    Når du er ferdig med å legge til klarerte e-postadresser og domener for ikke å flagge som representasjonsside , velger du Neste.

  9. Se gjennom innstillingene på siden Se gjennom og bekreft endringene . Du kan velge Tilbake eller den bestemte siden i veiviseren for å endre innstillingene.

    Når du er ferdig med å se gjennom og bekrefte endringene , velger du Bekreft.

  10. Velg Ferdig på den oppdaterte eller oppdatertestandardbeskyttelsen.

Bruk Microsoft Defender-portalen til å endre tilordningene av standard og strenge forhåndsinnstilte sikkerhetspolicyer

Trinnene for å endre tilordningen av standardbeskyttelsen eller den forhåndsinnstilte sikkerhetspolicyen for streng beskyttelse er de samme som da du først tilordnet de forhåndsinnstilte sikkerhetspolicyene til brukere.

Hvis du vil deaktivere sikkerhetspolicyer for standardbeskyttelse eller streng beskyttelse , samtidig som eksisterende betingelser og unntak beholdes, skyver du veksleknappen til . Hvis du vil aktivere policyene, skyver du veksleknappen til .

Bruk Microsoft Defender-portalen til å legge til utelatelser i den innebygde sikkerhetspolicyen for forhåndsinnstilt beskyttelse

Tips

Den innebygde sikkerhetspolicyen for forhåndsinnstilt beskyttelse brukes for alle brukere i organisasjoner med en hvilken som helst mengde lisenser for Defender for Microsoft 365. Dette programmet er i ånden av å sikre det bredeste settet med brukere inntil administratorer spesifikt konfigurerer Defender for Office 365 beskyttelse. Fordi innebygd beskyttelse er aktivert som standard, trenger ikke kunder å bekymre seg for brudd på lisensvilkårene for produktet. Vi anbefaler imidlertid at du kjøper nok Defender for Office 365 lisenser for å sikre at innebygd beskyttelse fortsetter for alle brukere.

Den innebygde sikkerhetspolicyen for forhåndsinnstilt beskyttelse påvirker ikke mottakere som er definert i standard - eller strenge forhåndsinnstilte sikkerhetspolicyer, eller i egendefinerte policyer for klarerte koblinger eller klarerte vedlegg. Derfor anbefaler vi vanligvis ikke unntak fra den innebygde sikkerhetspolicyen for forhåndsinnstilt beskyttelse.

  1. Gå til Policyer for e-& samarbeid>& Policyer>> for trusselreglerforhåndsinnstilte sikkerhetspolicyer i delen Policyer for mal i Microsoft Defender.https://security.microsoft.com Hvis du vil gå direkte til siden for forhåndsinnstilte sikkerhetspolicyer , kan du bruke https://security.microsoft.com/presetSecurityPolicies.

  2. Velg Legg til utelatelser (anbefales ikke) i inndelingen Innebygd beskyttelse på siden Forhåndsinnstilte sikkerhetspolicyer.

  3. I undermenyen Utelat fra innebygd beskyttelse som åpnes, identifiserer du de interne mottakerne som er ekskludert fra den innebygde beskyttelsen av klarerte koblinger og klarerte vedlegg:

    • Brukere
    • Grupper:
      • Medlemmer av de angitte distribusjonsgruppene eller e-postaktiverte sikkerhetsgruppene (dynamiske distribusjonsgrupper støttes ikke).
      • Den angitte Microsoft 365 Groups.
    • Domener

    Klikk i den aktuelle boksen, begynn å skrive inn en verdi, og velg deretter verdien som vises under boksen. Gjenta denne prosessen så mange ganger det er nødvendig. Hvis du vil fjerne en eksisterende verdi, velger du ved siden av verdien.

    For brukere eller grupper kan du bruke de fleste identifikatorer (navn, visningsnavn, alias, e-postadresse, kontonavn osv.), men det tilsvarende visningsnavnet vises i resultatene. For brukere skriver du inn en stjerne (*) alene for å se alle tilgjengelige verdier.

    Du kan bare bruke et unntak én gang, men unntaket kan inneholde flere verdier:

    • Flere verdier for samme unntak bruker ELLER-logikk (for eksempel <mottaker1> eller <mottaker2>). Hvis mottakeren samsvarer med noen av de angitte verdiene, brukes ikke policyen på dem.
    • Ulike typer unntak bruker OR-logikk (for eksempel <mottaker1> eller <medlem av gruppe1> eller <medlem av domene1>). Hvis mottakeren samsvarer med noen av de angitte unntaksverdiene, brukes ikke policyen på dem.

  4. Når du er ferdig i undermenyen Utelat fra innebygd beskyttelse , velger du Lagre.

Hvordan vet du at disse prosedyrene fungerte?

Hvis du vil bekrefte at du har tilordnet sikkerhetspolicyen standardbeskyttelse eller streng beskyttelse til en bruker, kan du bruke en beskyttelsesinnstilling der standardverdien er forskjellig fra standardbeskyttelsesinnstillingen , som er forskjellig fra innstillingen Nøyaktig beskyttelse .

For e-post som oppdages som søppelpost (ikke søppelpost med høy visshet), må du for eksempel kontrollere at meldingen leveres til søppelpostmappen for standard beskyttelsesbrukere og satt i karantene for brukere med streng beskyttelse .

For masseutsendelse av e-post må du også kontrollere at BCL-verdien 6 eller høyere leverer meldingen til søppelpostmappen for standardbeskyttelsesbrukere , og BCL-verdien 5 eller høyere setter meldingen i karantene for brukere med streng beskyttelse .

Forhåndsinnstilte sikkerhetspolicyer i Exchange Online PowerShell

Forhåndsinnstilte sikkerhetspolicyer i PowerShell består av følgende elementer:

Avsnittene nedenfor beskriver hvordan du bruker disse cmdletene i støttede scenarioer.

Hvis du vil koble til Exchange Online PowerShell, kan du se Koble til Exchange Online PowerShell.

Bruk PowerShell til å vise individuelle sikkerhetspolicyer for forhåndsinnstilte sikkerhetspolicyer

Husk at hvis du aldri har aktivert den forhåndsinnstilte standard sikkerhetspolicyen eller den strenge forhåndsinnstilte sikkerhetspolicyen i Microsoft Defender-portalen, finnes ikke de tilknyttede sikkerhetspolicyene for den forhåndsinnstilte sikkerhetspolicyen.

  • Innebygd sikkerhetspolicy for forhåndsinnstilt beskyttelse: De tilknyttede policyene kalles Built-In Beskyttelsespolicy. Egenskapsverdien IsBuiltInProtection er Sann for disse policyene.

    Hvis du vil vise de individuelle sikkerhetspolicyene for den innebygde sikkerhetspolicyen for beskyttelse, kjører du følgende kommando:

    Write-Output -InputObject ("`r`n"*3),"Built-in protection Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy -Identity "Built-In Protection Policy" | Format-List; Write-Output -InputObject ("`r`n"*3),"Built-in protection Safe Links policy",("-"*79);Get-SafeLinksPolicy -Identity "Built-In Protection Policy" | Format-List

  • Standard forhåndsinnstilt sikkerhetspolicy: De tilknyttede policyene kalles Standard Preset Security Policy<13-digit number>. For eksempel Standard Preset Security Policy1622650008019. Egenskapsverdien RecommendPolicyType for policyene er Standard.

    • Hvis du vil vise de individuelle sikkerhetspolicyene for standard forhåndsinnstilt sikkerhetspolicy bare i organisasjoner med EOP, kjører du følgende kommando:

      Write-Output -InputObject ("`r`n"*3),"Standard anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"

    • Hvis du vil vise de individuelle sikkerhetspolicyene for standard forhåndsinnstilt sikkerhetspolicy i organisasjoner med Defender for Office 365, kjører du følgende kommando:

      Write-Output -InputObject ("`r`n"*3),"Standard anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"

  • Streng forhåndsinnstilt sikkerhetspolicy: De tilknyttede policyene kalles Strict Preset Security Policy<13-digit number>. For eksempel Strict Preset Security Policy1642034872546. Egenskapsverdien RecommendPolicyType for policyene er Streng.

    • Hvis du vil vise de individuelle sikkerhetspolicyene for den strenge forhåndsinnstilte sikkerhetspolicyen bare i organisasjoner med EOP, kjører du følgende kommando:

      Write-Output -InputObject ("`r`n"*3),"Strict anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"

    • Hvis du vil vise de individuelle sikkerhetspolicyene for den strenge forhåndsinnstilte sikkerhetspolicyen i organisasjoner med Defender for Office 365, kjører du følgende kommando:

      Write-Output -InputObject ("`r`n"*3),"Strict anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"

Bruk PowerShell til å vise regler for forhåndsinnstilte sikkerhetspolicyer

Husk at hvis du aldri har aktivert den forhåndsinnstilte standard sikkerhetspolicyen eller den strenge forhåndsinnstilte sikkerhetspolicyen i Microsoft Defender-portalen, finnes ikke de tilknyttede reglene for disse policyene.

  • Innebygd sikkerhetspolicy for forhåndsinnstilt beskyttelse: Det finnes bare én regel kalt ATP Built-In Protection Rule.

    Hvis du vil vise regelen som er knyttet til den innebygde sikkerhetspolicyen for beskyttelse, kjører du følgende kommando:

    Get-ATPBuiltInProtectionRule

  • Standard forhåndsinnstilt sikkerhetspolicy: De tilknyttede reglene kalles standard forhåndsinnstilt sikkerhetspolicy.

    Bruk følgende kommandoer til å vise reglene som er knyttet til standard forhåndsinnstilt sikkerhetspolicy:

    • Hvis du vil vise regelen som er knyttet til EOP-beskyttelse i standard forhåndsinnstilt sikkerhetspolicy, kjører du følgende kommando:

      Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"

    • Hvis du vil vise regelen som er knyttet til Defender for Office 365 beskyttelser i standard forhåndsinnstilt sikkerhetspolicy, kjører du følgende kommando:

      Get-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"

    • Hvis du vil vise begge reglene samtidig, kjører du følgende kommando:

      Write-Output -InputObject ("`r`n"*3),"EOP rule - Standard preset security policy",("-"*79);Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"; Write-Output -InputObject ("`r`n"*3),"Defender for Office 365 rule - Standard preset security policy",("-"*79);Get-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"

  • Streng forhåndsinnstilt sikkerhetspolicy: De tilknyttede reglene heter Streng forhåndsinnstilt sikkerhetspolicy.

    Bruk følgende kommandoer til å vise reglene som er knyttet til den strenge forhåndsinnstilte sikkerhetspolicyen:

    • Hvis du vil vise regelen som er knyttet til EOP-beskyttelser i policyen for streng forhåndsinnstilt sikkerhet, kjører du følgende kommando:

      Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"

    • Hvis du vil vise regelen som er knyttet til Defender for Office 365 beskyttelser i den strenge forhåndsinnstilte sikkerhetspolicyen, kjører du følgende kommando:

      Get-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"

    • Hvis du vil vise begge reglene samtidig, kjører du følgende kommando:

      Write-Output -InputObject ("`r`n"*3),"EOP rule - Strict preset security policy",("-"*79);Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"; Write-Output -InputObject ("`r`n"*3),"Defender for Office 365 rule - Strict preset security policy",("-"*79);Get-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"

Bruk PowerShell til å aktivere eller deaktivere forhåndsinnstilte sikkerhetspolicyer

Hvis du vil aktivere eller deaktivere standard- eller strenge forhåndsinnstilte sikkerhetspolicyer i PowerShell, aktiverer eller deaktiverer du reglene som er knyttet til policyen. Egenskapsverdien for delstat for regelen viser om regelen er aktivert eller deaktivert.

Hvis organisasjonen bare har EOP, deaktiverer eller aktiverer du regelen for EOP-beskyttelse.

Hvis organisasjonen har Defender for Office 365, aktiverer eller deaktiverer du regelen for EOP-beskyttelse og regelen for Defender for Office 365 beskyttelse (aktiver eller deaktiver begge reglene).

  • Organisasjoner med bare EOP:

    • Kjør følgende kommando for å finne ut om reglene for standard- og strenge forhåndsinnstilte sikkerhetspolicyer er aktivert eller deaktivert:

      Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50); Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50); Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy" | Format-Table Name,State

    • Kjør følgende kommando for å deaktivere standard forhåndsinnstilt sikkerhetspolicy hvis den er aktivert:

      Disable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"

    • Kjør følgende kommando for å deaktivere den strenge forhåndsinnstilte sikkerhetspolicyen hvis den er aktivert:

      Disable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"

    • Kjør følgende kommando for å aktivere standard forhåndsinnstilt sikkerhetspolicy hvis den er slått av:

      Enable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"

    • Kjør følgende kommando for å aktivere den strenge forhåndsinnstilte sikkerhetspolicyen hvis den er slått av:

      Enable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"

  • Organisasjoner med Defender for Office 365:

    • Kjør følgende kommando for å finne ut om reglene for standard- og strenge forhåndsinnstilte sikkerhetspolicyer er aktivert eller deaktivert:

      Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50);Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject `r`n,"Defender for Office 365 protection rule",("-"*50);Get-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50);Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject `r`n,"Defender for Office 365 protection rule",("-"*50);Get-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy" | Format-Table Name,State

    • Kjør følgende kommando for å deaktivere standard forhåndsinnstilt sikkerhetspolicy hvis den er aktivert:

      Disable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"; Disable-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"

    • Kjør følgende kommando for å deaktivere den strenge forhåndsinnstilte sikkerhetspolicyen hvis den er aktivert:

      Disable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"; Disable-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"

    • Kjør følgende kommando for å aktivere standard forhåndsinnstilt sikkerhetspolicy hvis den er slått av:

      Enable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"; Enable-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"

    • Kjør følgende kommando for å aktivere den strenge forhåndsinnstilte sikkerhetspolicyen hvis den er slått av:

      Enable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"; Enable-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"

Bruk PowerShell til å angi mottakerbetingelser og unntak for forhåndsinnstilte sikkerhetspolicyer

Du kan bruke en mottakerbetingelse eller et unntak bare én gang, men betingelsen eller unntaket kan inneholde flere verdier:

  • Flere verdier av samme betingelse eller unntak bruker ELLER logikk (for eksempel <mottaker1> eller <mottaker2>):

    • Betingelser: Hvis mottakeren samsvarer med noen av de angitte verdiene, brukes policyen på dem.
    • Unntak: Hvis mottakeren samsvarer med noen av de angitte verdiene, brukes ikke policyen for dem.

  • Ulike typer unntak bruker OR-logikk (for eksempel <mottaker1> eller <medlem av gruppe1> eller <medlem av domene1>). Hvis mottakeren samsvarer med noen av de angitte unntaksverdiene, brukes ikke policyen på dem.

  • Ulike typer betingelser bruker AND-logikk. Mottakeren må samsvare med alle de angitte betingelsene for at policyen skal gjelde for dem. Du kan for eksempel konfigurere en betingelse med følgende verdier:

    • Brukere: romain@contoso.com
    • Grupper: Ledere

    Policyen gjelder romain@contoso.combare for hvis han også er medlem av Leder-gruppen. Ellers er politikken ikke brukt på ham.

For den innebygde sikkerhetspolicyen for beskyttelse som er forhåndsinnstilt, kan du bare angi mottakerunntak. Hvis alle parameterverdiene for unntak er tomme ($null), finnes det ingen unntak fra policyen.

For standard og strenge forhåndsinnstilte sikkerhetspolicyer kan du angi mottakerbetingelser og unntak for EOP-beskyttelse og Defender for Office 365 beskyttelse. Hvis alle betingelser og unntaksparameterverdier er tomme ($null), finnes det ingen mottakerbetingelser eller unntak fra standard- eller strenge forhåndsinnstilte sikkerhetspolicyer.

  • Innebygd sikkerhetspolicy for forhåndsinnstilt beskyttelse:

    Bruk følgende syntaks:

    Set-ATPBuiltInProtectionRule -Identity "ATP Built-In Protection Rule" -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null>

    Dette eksemplet fjerner alle mottakerunntak fra den innebygde sikkerhetspolicyen for forhåndsinnstilt beskyttelse.

    Set-ATPBuiltInProtectionRule -Identity "ATP Built-In Protection Rule" -ExceptIfRecipientDomainIs $null -ExceptIfSentTo $null -ExceptIfSentToMemberOf $null

    Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Set-ATPBuiltInProtectionRule.

  • Standard eller strenge forhåndsinnstilte sikkerhetspolicyer

    Bruk følgende syntaks:

    <Set-EOPProtectionPolicyRule | SetAtpProtectionPolicyRule> -Identity "<Standard Preset Security Policy | Strict Preset Security Policy>" -SentTo <"user1","user2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -SentToMemberOf <"group1","group2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null> -RecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null>

    Dette eksemplet konfigurerer unntak fra EOP-beskyttelsene i standard forhåndsinnstilt sikkerhetspolicy for medlemmer av distribusjonsgruppen kalt Ledere.

    Set-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy" -ExceptIfSentToMemberOf Executives

    Dette eksemplet konfigurerer unntak fra Defender for Office 365-beskyttelsene i den strenge forhåndsinnstilte sikkerhetspolicyen for de angitte sikkerhetsoperasjoner (SecOps)-postboksene.

    Set-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy" -ExceptIfSentTo "SecOps1","SecOps2"

    Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Set-EOPProtectionPolicyRule og Set-ATPProtectionPolicyRule.

Tillegg

Forhåndsinnstilte sikkerhetspolicyer består av følgende elementer:

Disse elementene er beskrevet i avsnittene nedenfor.

I tillegg er det viktig å forstå hvordan forhåndsinnstilte sikkerhetspolicyer passer i prioritetsrekkefølgen med andre policyer.

Profiler i forhåndsinnstilte sikkerhetspolicyer

En profil bestemmer beskyttelsesnivået. Følgende profiler er tilgjengelige for forhåndsinnstilte sikkerhetspolicyer:

  • Standardbeskyttelse: En grunnlinjeprofil som passer for de fleste brukere.
  • Streng beskyttelse: En mer aggressiv profil for utvalgte brukere (høyverdimål eller prioriterte brukere).
  • Innebygd beskyttelse (bare Microsoft Defender for Office 365): Gir effektivt standardpolicyer bare for klarerte koblinger og klarerte vedlegg.

Generelt sett har Streng beskyttelse-profilen en tendens til å sette mindre skadelig e-post i karantene (for eksempel masse- og søppelpost) enn standard beskyttelsesprofil , men mange av innstillingene i begge profilene er de samme (spesielt for utvilsomt skadelig e-post som skadelig programvare eller phishing). Hvis du vil ha en sammenligning av innstillingsforskjellene, kan du se tabellene i neste del.

Før du aktiverer profilene og tilordner brukere til dem, tilordnes standard og strenge forhåndsinnstilte sikkerhetspolicyer til ingen. Den innebygde sikkerhetspolicyen for forhåndsinnstilt beskyttelse er derimot tilordnet alle mottakere som standard, men du kan konfigurere unntak.

Viktig

Med mindre du konfigurerer unntak fra den innebygde sikkerhetspolicyen for beskyttelse, får alle mottakere i organisasjonen beskyttelse mot klarerte koblinger og klarerte vedlegg.

Policyer i forhåndsinnstilte sikkerhetspolicyer

Forhåndsinnstilte sikkerhetspolicyer bruker spesielle versjoner av de individuelle beskyttelsespolicyene som er tilgjengelige i EOP og Microsoft Defender for Office 365. Disse policyene opprettes når du tilordner standardbeskyttelse eller strenge sikkerhetspolicyer for beskyttelse til brukere.

  • EOP-policyer: Disse policyene er i alle Microsoft 365-organisasjoner med Exchange Online postbokser og frittstående EOP-organisasjoner uten Exchange Online postbokser:

    Obs!

    Utgående søppelpostpolicyer er ikke en del av forhåndsinnstilte sikkerhetspolicyer. Standard policy for utgående søppelpost beskytter automatisk medlemmer av forhåndsinnstilte sikkerhetspolicyer. Du kan også opprette egendefinerte utgående søppelpostpolicyer for å tilpasse beskyttelsen for medlemmer av forhåndsinnstilte sikkerhetspolicyer. Hvis du vil ha mer informasjon, kan du se Konfigurere utgående søppelpostfiltrering i EOP.

  • Microsoft Defender for Office 365 policyer: Disse policyene er i organisasjoner med Microsoft 365 E5 eller Defender for Office 365 tilleggsabonnementer:

Som tidligere beskrevet kan du bruke EOP-beskyttelse for andre brukere enn Defender for Office 365 beskyttelse, eller du kan bruke EOP og Defender for Office 365 beskyttelse for de samme mottakerne.

Policyinnstillinger i forhåndsinnstilte sikkerhetspolicyer

I bunn og grunn kan du ikke endre de individuelle policyinnstillingene i beskyttelsesprofilene. Tilpassing av tilsvarende standardpolicy eller oppretting av en ny egendefinert policy har ingen virkning på grunn av prioritetsrekkefølgen når samme bruker (mottaker) er definert i flere policyer (standard- og strenge forhåndsinnstilte sikkerhetspolicyer brukes alltid først).

Men du må konfigurere individuelle brukere (avsendere) og domener for å motta representasjonsbeskyttelse i Defender for Office 365. Ellers konfigurerer forhåndsinnstilte sikkerhetspolicyer automatisk følgende typer representasjonsbeskyttelse:

Forskjellene i meningsfulle policyinnstillinger i den forhåndsinnstilte standard sikkerhetspolicyen og policyen for nøyaktig forhåndsinnstilt sikkerhet oppsummeres i tabellen nedenfor:

  Standard Strenge
Policy for beskyttelse mot skadelig programvare Ingen forskjell Ingen forskjell
Policy for antisøppelpost
  Bulkkompatibelt nivå (BCL) har oppfylt eller overskredetgjenkjenningshandling (BulkSpamAction) Flytt melding til Søppelpost-mappen (MoveToJmf) Karantenemelding (Quarantine)
  Masse-e-postterskel (BulkThreshold) 6 5
   Søppelpostregistreringshandling (SpamAction) Flytt melding til Søppelpost-mappen (MoveToJmf) Karantenemelding (Quarantine)
Anti-phishing-policy
  Hvis meldingen oppdages som forfalskning av forfalskningsintelligens (AuthenticationFailAction) Flytt melding til Søppelpost-mappen (MoveToJmf) Karantenemelding (Quarantine)
Vis første kontaktsikkerhetstips (EnableFirstContactSafetyTips) Valgt ($true) Valgt ($true)
  Hvis postboksintelligens oppdager en representert bruker (MailboxIntelligenceProtectionAction) Flytt melding til Søppelpost-mappen (MoveToJmf) Karantenemelding (Quarantine)
  Phishing-e-postterskel (PhishThresholdLevel) 3 - Mer aggressiv (3) 4 - Mest aggressive (4)
Policy for klarerte vedlegg Ingen forskjell Ingen forskjell
Policy for klarerte koblinger Ingen forskjell Ingen forskjell

Forskjellene i policyinnstillingene for klarerte vedlegg og klarerte koblinger i den innebygde sikkerhetspolicyen for forhåndsinnstilt beskyttelse og i standard- og strenge forhåndsinnstilte sikkerhetspolicyer oppsummeres i tabellen nedenfor:

  Innebygd beskyttelse Standard og streng
Policy for klarerte vedlegg Ingen forskjell Ingen forskjell
Policy for klarerte koblinger
  La brukere klikke seg gjennom til den opprinnelige nettadressen (AllowClickThrough) Valgt ($true) Ikke valgt ($false)
  Ikke skriv url-adresser på nytt. Kontroller bare via API for klarerte koblinger (DisableURLRewrite) Valgt ($true) Ikke valgt ($false)
  Bruk klarerte koblinger på e-postmeldinger som sendes i organisasjonen (EnableForInternalSenders) Ikke valgt ($false) Valgt ($true)

Hvis du vil ha mer informasjon om disse innstillingene, kan du se funksjonstabellene i Anbefalte innstillinger for EOP og Microsoft Defender for Office 365 sikkerhet.

Prioritetsrekkefølge for forhåndsinnstilte sikkerhetspolicyer og andre policyer

Når en mottaker er definert i flere policyer, brukes policyene i følgende rekkefølge:

  1. Den strenge forhåndsinnstilte sikkerhetspolicyen.
  2. Standard forhåndsinnstilt sikkerhetspolicy.
  3. Defender for Office 365 evalueringspolicyer
  4. Egendefinerte policyer basert på prioriteten til policyen (et lavere tall angir en høyere prioritet).
  5. Den innebygde sikkerhetspolicyen for forhåndsinnstilt beskyttelse for klarerte koblinger og klarerte vedlegg. standardpolicyene for skadelig programvare, søppelpost og anti-phishing.

Med andre ord overstyrer innstillingene for den strenge forhåndsinnstilte sikkerhetspolicyen innstillingene for standard forhåndsinnstilt sikkerhetspolicy, som overstyrer innstillingene fra policyer for evaluering av anti-phishing, klarerte koblinger eller klarerte vedlegg, som overstyrer innstillingene fra eventuelle egendefinerte policyer, som overstyrer innstillingene for den innebygde sikkerhetspolicyen for forhåndsinnstilte sikkerhetspolicyer for klarerte koblinger og klarerte vedlegg, og standardpolicyene for søppelpost, skadelig programvare og anti-phishing.

Denne rekkefølgen vises på sidene i de individuelle sikkerhetspolicyene i Defender-portalen (policyene brukes i den rekkefølgen de vises på siden).

En administrator konfigurerer for eksempel den forhåndsinnstilte standard sikkerhetspolicyen og en egendefinert policy for søppelpost med samme mottaker. Innstillingene for søppelpostpolicyer fra standardpolicyen for forhåndsinnstilte standarder brukes for brukeren i stedet for det som er konfigurert i den egendefinerte policyen for søppelpost eller i standardpolicyen for søppelpost.

Vurder å bruke standard eller strenge forhåndsinnstilte sikkerhetspolicyer for et delsett av brukere, og bruk egendefinerte policyer for andre brukere i organisasjonen for å dekke bestemte behov. Vurder følgende metoder for å oppfylle dette kravet:

  • Bruk entydige grupper eller lister over mottakere i den forhåndsinnstilte standard sikkerhetspolicyen, den strenge forhåndsinnstilte sikkerheten og i egendefinerte policyer, slik at unntak ikke kreves. Ved hjelp av denne metoden trenger du ikke å ta hensyn til flere policyer som gjelder for de samme brukerne og effektene av prioritetsrekkefølgen.
  • Hvis du ikke kan unngå at flere policyer gjelder for de samme brukerne, kan du bruke følgende strategier:
    • Konfigurer mottakere som skal få innstillingene for standard forhåndsinnstilt sikkerhetspolicy og egendefinerte policyer som unntak i den strenge forhåndsinnstilte sikkerhetspolicyen.
    • Konfigurer mottakere som skal få innstillingene for egendefinerte policyer som unntak i den forhåndsinnstilte standard sikkerhetspolicyen.
    • Konfigurer mottakere som skal få innstillingene for den innebygde sikkerhetspolicyen for beskyttelse, eller standardpolicyer som unntak fra egendefinerte policyer.

Den innebygde sikkerhetspolicyen for forhåndsinnstilt beskyttelse påvirker ikke mottakere i eksisterende policyer for klarerte koblinger eller klarerte vedlegg. Hvis du allerede har konfigurert policyer for standardbeskyttelse, streng beskyttelse eller egendefinerte klarerte koblinger eller klarerte vedlegg, brukes disse policyene alltidførinnebygd beskyttelse, så det er ingen innvirkning på mottakerne som allerede er definert i de eksisterende forhåndsinnstilte eller egendefinerte policyene.

Hvis du vil ha mer informasjon, kan du se Ordre og prioritet for e-postbeskyttelse.