Del via


Anbefalte innstillinger for EOP og Microsoft Defender for Office 365 sikkerhet

Tips

Visste du at du kan prøve funksjonene i Microsoft Defender XDR for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Lær om hvem som kan registrere deg og prøveabonnementer på Prøv Microsoft Defender for Office 365.

Exchange Online Protection (EOP) er kjernen i sikkerheten for Microsoft 365-abonnementer og bidrar til å hindre at skadelige e-postmeldinger når innboksene til de ansatte. Men med nye, mer sofistikerte angrep som dukker opp hver dag, kreves det ofte bedre beskyttelse. Microsoft Defender for Office 365 Plan 1 eller Plan 2 inneholder flere funksjoner som gir flere lag med sikkerhet, kontroll og undersøkelse.

Selv om vi gir sikkerhetsadministratorer mulighet til å tilpasse sikkerhetsinnstillingene, finnes det to sikkerhetsnivåer i EOP og Microsoft Defender for Office 365 som vi anbefaler: Standard og streng. Selv om kundemiljøer og behov er forskjellige, bidrar disse filtreringsnivåene til å forhindre at uønskede e-postmeldinger når innboksen til de ansatte i de fleste situasjoner.

Hvis du vil bruke standardinnstillingene eller strenge innstillingene for brukere automatisk, kan du se Forhåndsinnstilte sikkerhetspolicyer i EOP og Microsoft Defender for Office 365.

Denne artikkelen beskriver standardinnstillingene, og også de anbefalte standard- og strenge innstillingene for å beskytte brukerne. Tabellene inneholder innstillingene i Microsoft Defender-portalen og PowerShell (Exchange Online PowerShell eller frittstående Exchange Online Protection PowerShell for organisasjoner uten Exchange Online postbokser).

Obs!

Modulen Office 365 Advanced Threat Protection Recommended Configuration Analyzer (ORCA) for PowerShell kan hjelpe administratorer med å finne de gjeldende verdiene for disse innstillingene. Nærmere bestemt genererer Get-ORCAReport-cmdleten en vurdering av søppelpost, anti-phishing og andre innstillinger for meldingshygiene. Du kan laste ned ORCA-modulen på https://www.powershellgallery.com/packages/ORCA/.

I Microsoft 365-organisasjoner anbefaler vi at du lar søppelpostfilteret i Outlook være satt til Ingen automatisk filtrering for å forhindre unødvendige konflikter (både positive og negative) med dommene for søppelpostfiltrering fra EOP. Hvis du vil ha mer informasjon, kan du se følgende artikler:

Beskyttelse mot søppelpost, skadelig programvare og beskyttelse mot phishing i EOP

Søppelpost, skadelig programvare og anti-phishing er EOP-funksjoner som kan konfigureres av administratorer. Vi anbefaler følgende standardkonfigurasjoner eller strenge konfigurasjoner.

Policyinnstillinger for EOP-beskyttelse mot skadelig programvare

Hvis du vil opprette og konfigurere policyer for skadelig programvare, kan du se Konfigurere policyer for skadelig programvare i EOP.

Karantenepolicyer definerer hva brukere kan gjøre med meldinger som er satt i karantene, og om brukere mottar karantenevarsler. Hvis du vil ha mer informasjon, kan du se Anatomi for en karantenepolicy.

Policyen AdminOnlyAccessPolicy håndhever de historiske egenskapene for meldinger som ble satt i karantene som skadelig programvare, som beskrevet i tabellen her.

Brukere kan ikke frigi sine egne meldinger som ble satt i karantene som skadelig programvare, uavhengig av hvordan karantenepolicyen er konfigurert. Hvis policyen tillater brukere å frigi sine egne meldinger i karantene, har brukerne i stedet lov til å be om utgivelsen av sine meldinger om skadelig programvare som er satt i karantene.

Navn på sikkerhetsfunksjon Standard Standard Streng Kommentar
Beskyttelsesinnstillinger
Aktiver det vanlige vedleggsfilteret (EnableFileFilter) Valgt ($true)* Valgt ($true) Valgt ($true) Hvis du vil se en liste over filtyper i det vanlige vedleggsfilteret, kan du se Vanlige vedlegg-filter i policyer for skadelig programvare.

* Det vanlige vedleggsfilteret er aktivert som standard i nye policyer for skadelig programvare som du oppretter i Defender-portalen eller i PowerShell, og i standardpolicyen mot skadelig programvare i organisasjoner som ble opprettet etter 1. desember 2023.
Vanlige varsler om vedleggsfilter: Når disse filtypene blir funnet (FileTypeAction) Avvis meldingen med en rapport om manglende levering (NDR) (Reject) Avvis meldingen med en rapport om manglende levering (NDR) (Reject) Avvis meldingen med en rapport om manglende levering (NDR) (Reject)
Aktiver nulltimers automatisk tømming for skadelig programvare (ZapEnabled) Valgt ($true) Valgt ($true) Valgt ($true)
Karantenepolicy (QuarantineTag) AdminOnlyAccessPolicy AdminOnlyAccessPolicy AdminOnlyAccessPolicy
Admin varsler
Varsle en administrator om meldinger som ikke leveres fra interne avsendere (EnableInternalSenderAdminNotifications og InternalSenderAdminAddress) Ikke valgt ($false) Ikke valgt ($false) Ikke valgt ($false) Vi har ingen spesifikk anbefaling for denne innstillingen.
Varsle en administrator om meldinger som ikke leveres fra eksterne avsendere (EnableExternalSenderAdminNotifications og ExternalSenderAdminAddress) Ikke valgt ($false) Ikke valgt ($false) Ikke valgt ($false) Vi har ingen spesifikk anbefaling for denne innstillingen.
Tilpasse varsler Vi har ingen spesifikke anbefalinger for disse innstillingene.
Bruk tilpasset varslingstekst (CustomNotifications) Ikke valgt ($false) Ikke valgt ($false) Ikke valgt ($false)
Fra navn (CustomFromName) Blank Blank Blank
Fra-adresse (CustomFromAddress) Blank Blank Blank
Tilpasse varsler for meldinger fra interne avsendere Disse innstillingene brukes bare hvis Varsle en administrator om meldinger som ikke leveres fra interne avsendere , er valgt.
Emne (CustomInternalSubject) Blank Blank Blank
Melding (CustomInternalBody) Blank Blank Blank
Tilpasse varsler for meldinger fra eksterne avsendere Disse innstillingene brukes bare hvis Varsle en administrator om meldinger som ikke leveres fra eksterne avsendere , er valgt.
Emne (CustomExternalSubject) Blank Blank Blank
Melding (CustomExternalBody) Blank Blank Blank

Innstillinger for søppelpostpolicy for EOP

Hvis du vil opprette og konfigurere policyer for søppelpost, kan du se Konfigurere policyer for søppelpost i EOP.

Uansett hvor du velger Karantenemelding som handling for en dom for søppelpostfilter, er det en Velg karantenepolicy-boks tilgjengelig. Karantenepolicyer definerer hva brukere kan gjøre med meldinger som er satt i karantene, og om brukere mottar karantenevarsler. Hvis du vil ha mer informasjon, kan du se Anatomi for en karantenepolicy.

Hvis du endrer handlingen for en dom for søppelpostfiltrering til karantenemelding når du oppretter policyer for søppelpost i Defender-portalen, er boksen Velg karantenepolicy tom som standard. En tom verdi betyr at standard karantenepolicy for denne dommen for søppelpostfiltrering brukes. Disse standard karantenepolicyene håndhever de historiske egenskapene for dommen for søppelpostfilteret som satte meldingen i karantene, som beskrevet i tabellen her. Når du senere viser eller redigerer policyinnstillingene for søppelpost, vises policynavnet for karantene.

Administratorer kan opprette eller bruke karantenepolicyer med mer restriktive eller mindre restriktive funksjoner. Hvis du vil ha instruksjoner, kan du se Opprette karantenepolicyer i Microsoft Defender-portalen.

Navn på sikkerhetsfunksjon Standard Standard Streng Kommentar
Terskelen for masseutsletting av e-post & søppelpostegenskaper
Masse-e-postterskel (BulkThreshold) 7 6 5 Hvis du vil ha mer informasjon, kan du se Masseklagenivå (BCL) i EOP.
Søppelpost for masseutsletting (MarkAsSpamBulkMail) (On) (On) (On) Denne innstillingen er bare tilgjengelig i PowerShell.
Øke innstillingene for søppelpostpoengsum Alle disse innstillingene er en del av avansert søppelpostfilter (ASF). Hvis du vil ha mer informasjon, kan du se ASF-innstillingene i delen retningslinjer for søppelpost i denne artikkelen.
Merke som søppelpostinnstillinger De fleste av disse innstillingene er en del av ASF. Hvis du vil ha mer informasjon, kan du se ASF-innstillingene i delen retningslinjer for søppelpost i denne artikkelen.
Inneholder bestemte språk (EnableLanguageBlockList og LanguageBlockList) Av ($false og Tom) Av ($false og Tom) Av ($false og Tom) Vi har ingen spesifikk anbefaling for denne innstillingen. Du kan blokkere meldinger på bestemte språk basert på dine forretningsbehov.
Fra disse landene (EnableRegionBlockList og RegionBlockList) Av ($false og Tom) Av ($false og Tom) Av ($false og Tom) Vi har ingen spesifikk anbefaling for denne innstillingen. Du kan blokkere meldinger fra bestemte land/områder basert på dine forretningsbehov.
Testmodus (TestModeAction) Ingen Ingen Ingen Denne innstillingen er en del av ASF. Hvis du vil ha mer informasjon, kan du se ASF-innstillingene i delen retningslinjer for søppelpost i denne artikkelen.
Handlinger
Søppelpostregistreringshandling (SpamAction) Flytt melding til Søppelpost-mappen (MoveToJmf) Flytt melding til Søppelpost-mappen (MoveToJmf) Karantenemelding (Quarantine)
Karantenepolicy for søppelpost (SpamQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessPolicy DefaultFullAccessWithNotificationPolicy Karantenepolicyen gir mening bare hvis søppelpostregistreringer settes i karantene.
Søppelpostregistrering med høy visshet (HighConfidenceSpamAction) Flytt melding til Søppelpost-mappen (MoveToJmf) Karantenemelding (Quarantine) Karantenemelding (Quarantine)
Karantenepolicy for søppelpost med høy visshet (HighConfidenceSpamQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessWithNotificationPolicy DefaultFullAccessWithNotificationPolicy Karantenepolicyen gir mening bare hvis søppelpostregistreringer med høy konfidens er satt i karantene.
Phishing-gjenkjenningshandling (PhishSpamAction) Flytt melding til Søppelpost-mappen (MoveToJmf)* Karantenemelding (Quarantine) Karantenemelding (Quarantine) * Standardverdien er Flytt melding til søppelpost-mappen i standard søppelpostpolicy og i nye policyer for søppelpost som du oppretter i PowerShell. Standardverdien er karantenemeldingen i nye policyer for søppelpost som du oppretter i Defender-portalen.
Karantenepolicy for Phishing (PhishQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessWithNotificationPolicy DefaultFullAccessWithNotificationPolicy Karantenepolicyen gir mening bare hvis phishing-gjenkjenning er satt i karantene.
Phishing-gjenkjenningshandling med høy visshet (HighConfidencePhishAction) Karantenemelding (Quarantine) Karantenemelding (Quarantine) Karantenemelding (Quarantine) Brukere kan ikke frigi sine egne meldinger som ble satt i karantene som phishing med høy visshet, uavhengig av hvordan karantenepolicyen er konfigurert. Hvis policyen tillater brukere å frigi sine egne meldinger i karantene, har brukerne i stedet lov til å be om utgivelsen av phishing-meldinger med høy visshet i karantene.
Karantenepolicy for phishing med høy visshet (HighConfidencePhishQuarantineTag) AdminOnlyAccessPolicy AdminOnlyAccessPolicy AdminOnlyAccessPolicy
Bulkkompatibelt nivå (BCL) oppfylt eller overskredet (BulkSpamAction) Flytt melding til Søppelpost-mappen (MoveToJmf) Flytt melding til Søppelpost-mappen (MoveToJmf) Karantenemelding (Quarantine)
Karantenepolicy for bulkkompatibelt nivå (BCL) oppfylt eller overskredet (BulkQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessPolicy DefaultFullAccessWithNotificationPolicy Karantenepolicyen gir mening bare hvis masseregistreringer er satt i karantene.
Intra-organizational meldinger som skal utføres handling på (IntraOrgFilterState) Standard (standard) Standard (standard) Standard (standard) Verdien Standard er den samme som å velge phishing-meldinger med høy visshet. For øyeblikket, i us Government-organisasjoner (Microsoft 365 GCC, GCC High og DoD), er verdien Standard den samme som å velge Ingen.
Behold søppelpost i karantene i så mange dager (QuarantineRetentionPeriod) 15 dager 30 dager 30 dager Denne verdien påvirker også meldinger som er satt i karantene av policyer for anti-phishing. Hvis du vil ha mer informasjon, kan du se Oppbevaring av karantene.
Aktiver tips for søppelpostsikkerhet (InlineSafetyTipsEnabled) Valgt ($true) Valgt ($true) Valgt ($true)
Aktiver nulltimers automatisk tømming (ZAP) for phishing-meldinger (PhishZapEnabled) Valgt ($true) Valgt ($true) Valgt ($true)
Aktiver ZAP for søppelpostmeldinger (SpamZapEnabled) Valgt ($true) Valgt ($true) Valgt ($true)
Tillat & blokkeringsliste
Tillatte avsendere (AllowedSenders) Ingen Ingen Ingen
Tillatte avsenderdomener (AllowedSenderDomains) Ingen Ingen Ingen Det er svært lurt å legge til domener i listen over tillatte domener. Angripere kan sende deg e-post som ellers ville blitt filtrert ut.

Bruk forfalskingsintelligensinnsikten og leierens tillatelses-/blokkeringsliste til å se gjennom alle avsendere som forfalsker avsenderens e-postadresser i organisasjonens e-postdomener eller forfalsking av avsenderens e-postadresser i eksterne domener.
Blokkerte avsendere (blockedSenders) Ingen Ingen Ingen
Blokkerte avsenderdomener (BlockedSenderDomains) Ingen Ingen Ingen

¹ Som beskrevet i Tillatelser for full tilgang og karantenevarsler, kan organisasjonen bruke NotificationEnabledPolicy i stedet for DefaultFullAccessPolicy i standard sikkerhetspolicy eller i nye egendefinerte sikkerhetspolicyer som du oppretter. Den eneste forskjellen mellom disse to karantenepolicyene er at karantenevarsler er aktivert i NotificationEnabledPolicy og slått av i DefaultFullAccessPolicy.

ASF-innstillinger i søppelpostpolicyer

Hvis du vil ha mer informasjon om avanserte innstillinger for søppelpostfilter (ASF) i policyer for søppelpost, kan du se Innstillingene for Avansert søppelpostfilter (ASF) i EOP.

Navn på sikkerhetsfunksjon Standard Anbefalt
Standard
Anbefalt
Streng
Kommentar
Bildekoblinger til eksterne nettsteder (IncreaseScoreWithImageLinks) Av Av Av
Numerisk IP-adresse i URL-adresse (IncreaseScoreWithNumericIps) Av Av Av
Omadresser URL-adresse til annen port (IncreaseScoreWithRedirectToOtherPort) Av Av Av
Koblinger til .biz- eller .info-nettsteder (IncreaseScoreWithBizOrInfoUrls) Av Av Av
Tomme meldinger (MarkAsSpamEmptyMessages) Av Av Av
Bygg inn koder i HTML (MarkAsSpamEmbedTagsInHtml) Av Av Av
JavaScript eller VBScript i HTML (MarkAsSpamJavaScriptInHtml) Av Av Av
Skjemakoder i HTML (MarkAsSpamFormTagsInHtml) Av Av Av
Ramme- eller iframe-koder i HTML (MarkAsSpamFramesInHtml) Av Av Av
Nettfeil i HTML (MarkAsSpamWebBugsInHtml) Av Av Av
Objektkoder i HTML (MarkAsSpamObjectTagsInHtml) Av Av Av
Sensitive ord (MarkAsSpamSensitiveWordList) Av Av Av
SPF-post: hard fail (MarkAsSpamSpfRecordHardFail) Av Av Av
Hard avsender-ID-filtrering (MarkAsSpamFromAddressAuthFail) Av Av Av
Backscatter (MarkAsSpamNdrBackscatter) Av Av Av
Testmodus (TestModeAction) Ingen Ingen Ingen For ASF-innstillinger som støtter Test som en handling, kan du konfigurere handlingen testmodus til Ingen, Legge til standard X-topptekst eller Send blindkopimelding (None, AddXHeadereller BccMessage). Hvis du vil ha mer informasjon, kan du se Aktivere, deaktivere eller teste ASF-innstillinger.

Obs!

ASF legger til X-CustomSpam: X-overskriftsfelt i meldinger etter at meldingene er behandlet av regler for Exchange-e-postflyt (også kalt transportregler), slik at du ikke kan bruke regler for e-postflyt til å identifisere og handle på meldinger som ble filtrert etter ASF.

Innstillinger for utgående søppelpostpolicy for EOP

Hvis du vil opprette og konfigurere utgående søppelpostpolicyer, kan du se Konfigurere utgående søppelpostfiltrering i EOP.

Hvis du vil ha mer informasjon om standard grense for sending i tjenesten, kan du se Sendegrenser.

Obs!

Utgående søppelpostpolicyer er ikke en del av standard- eller strenge forhåndsinnstilte sikkerhetspolicyer. Standard- og Strenge-verdiene angir våre anbefalte verdier i standard policy for utgående søppelpost eller egendefinerte utgående søppelpostpolicyer som du oppretter.

Navn på sikkerhetsfunksjon Standard Anbefalt
Standard
Anbefalt
Streng
Kommentar
Angi en ekstern meldingsgrense (RecipientLimitExternalPerHour) 0 500 400 Standardverdien 0 betyr bruk tjenestestandardene.
Angi en intern meldingsgrense (RecipientLimitInternalPerHour) 0 1000 800 Standardverdien 0 betyr bruk tjenestestandardene.
Angi en daglig meldingsgrense (RecipientLimitPerDay) 0 1000 800 Standardverdien 0 betyr bruk tjenestestandardene.
Begrensninger for brukere som når meldingsgrensen (ActionWhenThresholdReached) Begrense brukeren fra å sende e-post til neste dag (BlockUserForToday) Begrense brukeren fra å sende e-post (BlockUser) Begrense brukeren fra å sende e-post (BlockUser)
Automatisk videresending av regler (AutoForwardingMode) Automatisk - Systemstyrt (Automatic) Automatisk - Systemstyrt (Automatic) Automatisk - Systemstyrt (Automatic)
Send en kopi av utgående meldinger som overskrider disse grensene for disse brukerne og gruppene (BccSuspiciousOutboundMail og BccSuspiciousOutboundAdditionalRecipients) Ikke valgt ($false og Tom) Ikke valgt ($false og Tom) Ikke valgt ($false og Tom) Vi har ingen spesifikk anbefaling for denne innstillingen.

Denne innstillingen fungerer bare i standard policy for utgående søppelpost. Det fungerer ikke i egendefinerte utgående søppelpostpolicyer som du oppretter.
Varsle disse brukerne og gruppene hvis en avsender er blokkert på grunn av sending av utgående søppelpost (NotifyOutboundSpam og NotifyOutboundSpamRecipients) Ikke valgt ($false og Tom) Ikke valgt ($false og Tom) Ikke valgt ($false og Tom) Standard varslingspolicy med navnet Bruker som er begrenset fra å sende e-post , sender allerede e-postvarsler til medlemmer av TenantAdmins-gruppen (globale administratormedlemmer ) når brukere blokkeres på grunn av at de overskrider grensene i policyen. Vi anbefaler på det sterkeste at du bruker varslingspolicyen i stedet for denne innstillingen i policyen for utgående søppelpost til å varsle administratorer og andre brukere. Hvis du vil ha instruksjoner, kan du se Kontrollere varselinnstillingene for begrensede brukere.

Innstillinger for anti-phishing-policy for EOP

Hvis du vil ha mer informasjon om disse innstillingene, kan du se Innstillinger for forfalskning. Hvis du vil konfigurere disse innstillingene, kan du se Konfigurere policyer for anti-phishing i EOP.

Innstillingene for forfalskning er inter-relaterte, men innstillingen Vis første kontaktsikkerhetstips er ikke avhengig av innstillinger for forfalskning.

Karantenepolicyer definerer hva brukere kan gjøre med meldinger som er satt i karantene, og om brukere mottar karantenevarsler. Hvis du vil ha mer informasjon, kan du se Anatomi for en karantenepolicy.

Selv om policyverdien Bruk karantene ikke er valgt når du oppretter en policy for anti-phishing i Defender-portalen, brukes karantenepolicyen DefaultFullAccessPolicy¹ hvis du ikke velger en karantenepolicy. Denne policyen fremtvinger historiske funksjoner for meldinger som ble satt i karantene som forfalskning, som beskrevet i tabellen her. Når du senere viser eller redigerer policyinnstillingene for karantene, vises policynavnet for karantene.

Administratorer kan opprette eller bruke karantenepolicyer med mer restriktive eller mindre restriktive funksjoner. Hvis du vil ha instruksjoner, kan du se Opprette karantenepolicyer i Microsoft Defender-portalen.

Navn på sikkerhetsfunksjon Standard Standard Streng Kommentar
Phishing-terskel & beskyttelse
Aktiver forfalskningsintelligens (EnableSpoofIntelligence) Valgt ($true) Valgt ($true) Valgt ($true)
Handlinger
Overtred DMARC-postpolicy når meldingen oppdages som forfalskning (HonorDmarcPolicy) Valgt ($true) Valgt ($true) Valgt ($true) Når denne innstillingen er aktivert, kontrollerer du hva som skjer med meldinger der avsenderen mislykkes eksplisitte DMARC-kontroller når policyhandlingen i DMARC TXT-posten er satt til p=quarantine eller p=reject. Hvis du vil ha mer informasjon, kan du se Policyer for forfalskningsbeskyttelse og DMARC-policyer for avsender.
Hvis meldingen oppdages som forfalskning og DMARC-policy er angitt som p=karantene (DmarcQuarantineAction) Karantene meldingen (Quarantine) Karantene meldingen (Quarantine) Karantene meldingen (Quarantine) Denne handlingen gir mening bare når policyen For å overholde DMARC-poster når meldingen oppdages som forfalskning er aktivert.
Hvis meldingen oppdages som forfalskning og DMARC-policy er angitt som p=reject (DmarcRejectAction) Avvis meldingen (Reject) Avvis meldingen (Reject) Avvis meldingen (Reject) Denne handlingen gir mening bare når policyen For å overholde DMARC-poster når meldingen oppdages som forfalskning er aktivert.
Hvis meldingen oppdages som forfalskning av forfalskningsintelligens (AuthenticationFailAction) Flytt meldingen til mottakernes søppelpostmapper (MoveToJmf) Flytt meldingen til mottakernes søppelpostmapper (MoveToJmf) Karantene meldingen (Quarantine) Denne innstillingen gjelder for forfalskede avsendere som automatisk ble blokkert som vist i falsk intelligens-innsikt eller manuelt blokkert i leierens tillatelses-/blokkeringsliste.

Hvis du velger å sette meldingen i karantene som handling for forfalskingen, er det tilgjengelig en brukspolicyboks for karantene .
Karantenepolicy for forfalskning (SpoofQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessPolicy DefaultFullAccessWithNotificationPolicy Karantenepolicyen gir mening bare hvis forfalskningsgjenkjenning er satt i karantene.
Vis første kontaktsikkerhetstips (EnableFirstContactSafetyTips) Ikke valgt ($false) Valgt ($true) Valgt ($true) Hvis du vil ha mer informasjon, kan du se Sikkerhetstips for første kontakt.
Vis (?) for uautoriserte avsendere for forfalskning (EnableUnauthenticatedSender) Valgt ($true) Valgt ($true) Valgt ($true) Legger til et spørsmålstegn (?) i avsenderens bilde i Outlook for uidentifiserte falske avsendere. Hvis du vil ha mer informasjon, kan du se indikatorer for uautorisert avsender.
Vis «via»-kode (EnableViaTag) Valgt ($true) Valgt ($true) Valgt ($true) Legger til en via-kode (chris@contoso.com via fabrikam.com) i Fra-adressen hvis den er forskjellig fra domenet i DKIM-signaturen eller MAIL FROM-adressen .

Hvis du vil ha mer informasjon, kan du se indikatorer for uautorisert avsender.

¹ Som beskrevet i Tillatelser for full tilgang og karantenevarsler, kan organisasjonen bruke NotificationEnabledPolicy i stedet for DefaultFullAccessPolicy i standard sikkerhetspolicy eller i nye egendefinerte sikkerhetspolicyer som du oppretter. Den eneste forskjellen mellom disse to karantenepolicyene er at karantenevarsler er aktivert i NotificationEnabledPolicy og slått av i DefaultFullAccessPolicy.

Microsoft Defender for Office 365 sikkerhet

Ekstra sikkerhetsfordeler leveres med et Microsoft Defender for Office 365 abonnement. Hvis du vil ha de siste nyhetene og informasjonen, kan du se Nyheter i Defender for Office 365.

Viktig

Hvis abonnementet omfatter Microsoft Defender for Office 365, eller hvis du har kjøpt Defender for Office 365 som et tillegg, angir du følgende Standard- eller Strict-konfigurasjoner.

Innstillinger for anti-phishing-policy i Microsoft Defender for Office 365

EOP-kunder får grunnleggende anti-phishing som beskrevet tidligere, men Defender for Office 365 inneholder flere funksjoner og kontroll for å forhindre, oppdage og utbedre mot angrep. Hvis du vil opprette og konfigurere disse policyene, kan du se Konfigurere policyer for anti-phishing i Defender for Office 365.

Avanserte innstillinger i policyer for anti-phishing i Microsoft Defender for Office 365

Hvis du vil ha mer informasjon om denne innstillingen, kan du se Avanserte phishing-terskler i policyer for anti-phishing i Microsoft Defender for Office 365. Hvis du vil konfigurere denne innstillingen, kan du se Konfigurere policyer for anti-phishing i Defender for Office 365.

Navn på sikkerhetsfunksjon Standard Standard Streng Kommentar
Phishing-e-postterskel (PhishThresholdLevel) 1 - Standard (1) 3 - Mer aggressiv (3) 4 - Mest aggressive (4)

Representasjonsinnstillinger i policyer for anti-phishing i Microsoft Defender for Office 365

Hvis du vil ha mer informasjon om disse innstillingene, kan du se Innstillinger for representasjon i policyer for anti-phishing i Microsoft Defender for Office 365. Hvis du vil konfigurere disse innstillingene, kan du se Konfigurere policyer for anti-phishing i Defender for Office 365.

Uansett hvor du velger karantenemeldingen som handling for en etterligningsdom, er en bruk karantenepolicyboks tilgjengelig. Karantenepolicyer definerer hva brukere kan gjøre med meldinger som er satt i karantene, og om brukere mottar karantenevarsler. Hvis du vil ha mer informasjon, kan du se Anatomi for en karantenepolicy.

Selv om policyverdien Bruk karantene ikke er valgt når du oppretter en policy for anti-phishing i Defender-portalen, brukes karantenepolicyen DefaultFullAccessPolicy hvis du ikke velger en karantenepolicy. Denne policyen fremtvinger historiske funksjoner for meldinger som ble satt i karantene som representasjon, som beskrevet i tabellen her. Når du senere viser eller redigerer policyinnstillingene for karantene, vises policynavnet for karantene.

Administratorer kan opprette eller bruke karantenepolicyer med mer restriktive eller mindre restriktive funksjoner. Hvis du vil ha instruksjoner, kan du se Opprette karantenepolicyer i Microsoft Defender-portalen.

Navn på sikkerhetsfunksjon Standard Standard Streng Kommentar
Phishing-terskel & beskyttelse
Beskyttelse for brukerrepresentasjon: Aktiver brukere for å beskytte (EnableTargetedUserProtection og TargetedUsersToProtect) Ikke valgt ($false og ingen) Valgt ($true og <liste over brukere>) Valgt ($true og <liste over brukere>) Vi anbefaler at du legger til brukere (meldingsavsendere) i nøkkelroller. Internt kan beskyttede avsendere være administrerende direktør, økonomidirektør og andre toppledere. Eksternt kan beskyttede avsendere inkludere rådsmedlemmer eller styret.
Beskyttelse mot domenerepresentasjon: Aktiver domener for å beskytte Ikke valgt Utvalgt Utvalgt
Inkluder domener jeg eier (EnableOrganizationDomainsProtection) Av ($false) Valgt ($true) Valgt ($true)
Inkluder egendefinerte domener (EnableTargetedDomainsProtection og TargetedDomainsToProtect) Av ($false og ingen) Valgt ($true og <liste over domener>) Valgt ($true og <liste over domener>) Vi anbefaler at du legger til domener (avsenderdomener) som du ikke eier, men som du ofte samhandler med.
Legg til klarerte avsendere og domener (ExcludedSenders og ExcludedDomains) Ingen Ingen Ingen Avhengig av organisasjonen anbefaler vi at du legger til avsendere eller domener som feilaktig identifiseres som representasjonsforsøk.
Aktiver postboksintelligens (EnableMailboxIntelligence) Valgt ($true) Valgt ($true) Valgt ($true)
Aktiver intelligens for representasjonsbeskyttelse (EnableMailboxIntelligenceProtection) Av ($false) Valgt ($true) Valgt ($true) Denne innstillingen tillater den angitte handlingen for gjenkjenning av representasjoner av postboksintelligens.
Handlinger
Hvis en melding oppdages som brukerrepresentasjon (TargetedUserProtectionAction) Ikke bruk noen handling (NoAction) Karantene meldingen (Quarantine) Karantene meldingen (Quarantine)
Karantenepolicy for brukerrepresentasjon (TargetedUserQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessWithNotificationPolicy DefaultFullAccessWithNotificationPolicy Karantenepolicyen gir mening bare hvis gjenkjenning av brukerrepresentasjon er satt i karantene.
Hvis en melding oppdages som domenerepresentasjon (TargetedDomainProtectionAction) Ikke bruk noen handling (NoAction) Karantene meldingen (Quarantine) Karantene meldingen (Quarantine)
Karantenepolicy for domenerepresentasjon (TargetedDomainQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessWithNotificationPolicy DefaultFullAccessWithNotificationPolicy Karantenepolicyen gir mening bare hvis gjenkjenning av domenere er satt i karantene.
Hvis postboksintelligens oppdager en representert bruker (MailboxIntelligenceProtectionAction) Ikke bruk noen handling (NoAction) Flytt meldingen til mottakernes søppelpostmapper (MoveToJmf) Karantene meldingen (Quarantine)
Karantenepolicy for postboksetterretningsrepresentasjon (MailboxIntelligenceQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessPolicy DefaultFullAccessWithNotificationPolicy Karantenepolicyen gir mening bare hvis gjenkjenning av postboksintelligens er satt i karantene.
Vis sikkerhetstips for brukerrepresentasjon (EnableSimilarUsersSafetyTips) Av ($false) Valgt ($true) Valgt ($true)
Vis sikkerhetstips for domenerepresentasjon (EnableSimilarDomainsSafetyTips) Av ($false) Valgt ($true) Valgt ($true)
Vis sikkerhetstips for brukerrepresentasjon av uvanlige tegn (EnableUnusualCharactersSafetyTips) Av ($false) Valgt ($true) Valgt ($true)

¹ Som beskrevet i Tillatelser for full tilgang og karantenevarsler, kan organisasjonen bruke NotificationEnabledPolicy i stedet for DefaultFullAccessPolicy i standard sikkerhetspolicy eller i nye egendefinerte sikkerhetspolicyer som du oppretter. Den eneste forskjellen mellom disse to karantenepolicyene er at karantenevarsler er aktivert i NotificationEnabledPolicy og slått av i DefaultFullAccessPolicy.

Innstillinger for anti-phishing-policy for EOP i Microsoft Defender for Office 365

Dette er de samme innstillingene som er tilgjengelige i innstillinger for søppelpostpolicyer i EOP.

Innstillinger for klarerte vedlegg

Klarerte vedlegg i Microsoft Defender for Office 365 inneholder globale innstillinger som ikke har noen relasjon til policyer for klarerte vedlegg, og innstillinger som er spesifikke for hver policy for klarerte koblinger. Hvis du vil ha mer informasjon, kan du se Klarerte vedlegg i Defender for Office 365.

Selv om det ikke finnes noen standard policy for klarerte vedlegg, gir den innebygde sikkerhetspolicyen for forhåndsinnstilt beskyttelse av klarerte vedlegg beskyttelse til alle mottakere som ikke er definert i standard- eller strenge forhåndsinnstilte sikkerhetspolicyer eller i egendefinerte policyer for klarerte vedlegg. Hvis du vil ha mer informasjon, kan du se Forhåndsinnstilte sikkerhetspolicyer i EOP og Microsoft Defender for Office 365.

Globale innstillinger for klarerte vedlegg

Obs!

De globale innstillingene for klarerte vedlegg angis av den innebygde sikkerhetspolicyen for beskyttelse, men ikke av standard ellerstrenge forhåndsinnstilte sikkerhetspolicyer. Uansett kan administratorer endre disse globale innstillingene for klarerte vedlegg når som helst.

Standardkolonnen viser verdiene før den innebygde sikkerhetspolicyen for beskyttelse eksisterer. Den innebygde beskyttelseskolonnen viser verdiene som angis av den innebygde sikkerhetspolicyen for forhåndsinnstilt beskyttelse, som også er våre anbefalte verdier.

Hvis du vil konfigurere disse innstillingene, kan du se Slå på klarerte vedlegg for SharePoint, OneDrive og Microsoft Teams og Klarerte dokumenter i Microsoft 365 E5.

I PowerShell bruker du Set-AtpPolicyForO365 cmdlet for disse innstillingene.

Navn på sikkerhetsfunksjon Standard Innebygd beskyttelse Kommentar
Slå på Defender for Office 365 for SharePoint, OneDrive og Microsoft Teams (EnableATPForSPOTeamsODB) Av ($false) På ($true) Hvis du vil hindre brukere i å laste ned skadelige filer, kan du se Bruke SharePoint Online PowerShell til å hindre brukere i å laste ned skadelige filer.
Slå på klarerte dokumenter for Office-klienter (EnableSafeDocs) Av ($false) På ($true) Denne funksjonen er bare tilgjengelig og meningsfull med lisenser som ikke er inkludert i Defender for Office 365 (for eksempel Microsoft 365 A5 eller Microsoft 365 E5 Security). Hvis du vil ha mer informasjon, kan du se Klarerte dokumenter i Microsoft 365 A5 eller E5 Security.
Tillat personer å klikke gjennom beskyttet visning selv om klarerte dokumenter identifiserte filen som skadelig (AllowSafeDocsOpen) Av ($false) Av ($false) Denne innstillingen er relatert til klarerte dokumenter.

Policyinnstillinger for Klarerte vedlegg

Hvis du vil konfigurere disse innstillingene, kan du se Konfigurere policyer for klarerte vedlegg i Defender for Office 365.

I PowerShell bruker du cmdletene New-SafeAttachmentPolicy og Set-SafeAttachmentPolicy for disse innstillingene.

Obs!

Som beskrevet tidligere, selv om det ikke finnes noen standard policy for klarerte vedlegg, gir den forhåndsinnstilte sikkerhetspolicyen for innebygd beskyttelse beskyttelse av klarerte vedlegg til alle mottakere som ikke er definert i den forhåndsinnstilte sikkerhetspolicyen Standard, den strenge forhåndsinnstilte sikkerhetspolicyen eller i egendefinerte policyer for klarerte vedlegg.

Standard i egendefinert kolonne refererer til standardverdiene i nye policyer for klarerte vedlegg som du oppretter. De gjenværende kolonnene angir (med mindre annet er angitt) verdiene som er konfigurert i de tilsvarende forhåndsinnstilte sikkerhetspolicyene.

Karantenepolicyer definerer hva brukere kan gjøre med meldinger som er satt i karantene, og om brukere mottar karantenevarsler. Hvis du vil ha mer informasjon, kan du se Anatomi for en karantenepolicy.

Policyen AdminOnlyAccessPolicy håndhever de historiske egenskapene for meldinger som ble satt i karantene som skadelig programvare, som beskrevet i tabellen her.

Brukere kan ikke frigi sine egne meldinger som ble satt i karantene som skadelig programvare av klarerte vedlegg, uavhengig av hvordan karantenepolicyen er konfigurert. Hvis policyen tillater brukere å frigi sine egne meldinger i karantene, har brukerne i stedet lov til å be om utgivelsen av sine meldinger om skadelig programvare som er satt i karantene.

Navn på sikkerhetsfunksjon Standard i egendefinert Innebygd beskyttelse Standard Streng Kommentar
Klarerte vedlegg ukjent respons på skadelig programvare (Aktiver og handling) Av (-Enable $false og -Action Block) Blokk (-Enable $true og -Action Block) Blokk (-Enable $true og -Action Block) Blokk (-Enable $true og -Action Block) Når Aktiver-parameteren er $false, spiller ikke verdien for handlingsparameteren noen rolle.
Karantenepolicy (QuarantineTag) AdminOnlyAccessPolicy AdminOnlyAccessPolicy AdminOnlyAccessPolicy AdminOnlyAccessPolicy
Omadresser vedlegg med oppdagede vedlegg : Aktiver omadressering (Omadresser og RedirectAddress) Ikke valgt, og ingen e-postadresse er angitt. (-Redirect $false og RedirectAddress er tom) Ikke valgt, og ingen e-postadresse er angitt. (-Redirect $false og RedirectAddress er tom) Ikke valgt, og ingen e-postadresse er angitt. (-Redirect $false og RedirectAddress er tom) Ikke valgt, og ingen e-postadresse er angitt. (-Redirect $false og RedirectAddress er tom) Omadressering av meldinger er bare tilgjengelig når den ukjente responsverdien for skadelig programvare er Monitor (-Enable $true and -Action Allow).

Hvis du vil ha mer informasjon om beskyttelse av klarerte koblinger, kan du se Klarerte koblinger i Defender for Office 365.

Selv om det ikke finnes noen standard policy for klarerte koblinger, gir den innebygde sikkerhetspolicyen forhåndsinnstilte sikkerhetspolicyen klarerte koblinger beskyttelse til alle mottakere som ikke er definert i den forhåndsinnstilte sikkerhetspolicyen Standard, den strenge forhåndsinnstilte sikkerhetspolicyen eller i egendefinerte policyer for klarerte koblinger. Hvis du vil ha mer informasjon, kan du se Forhåndsinnstilte sikkerhetspolicyer i EOP og Microsoft Defender for Office 365.

Hvis du vil konfigurere policyinnstillinger for klarerte koblinger, kan du se Konfigurere policyer for klarerte koblinger i Microsoft Defender for Office 365.

I PowerShell bruker du cmdletene New-SafeLinksPolicy og Set-SafeLinksPolicy for policyinnstillinger for klarerte koblinger.

Obs!

Standard i egendefinert kolonne refererer til standardverdiene i nye policyer for klarerte koblinger som du oppretter. De gjenværende kolonnene angir (med mindre annet er angitt) verdiene som er konfigurert i de tilsvarende forhåndsinnstilte sikkerhetspolicyene.

Navn på sikkerhetsfunksjon Standard i egendefinert Innebygd beskyttelse Standard Streng Kommentar
Innstillinger for url-& klikk beskyttelse
E-post Innstillingene i denne delen påvirker omskriving av URL-adressen og tidspunktet for klikkbeskyttelse i e-postmeldinger.
På: Klarerte koblinger kontrollerer en liste over kjente, ondsinnede koblinger når brukere klikker koblinger i e-post. URL-adresser skrives om som standard. (EnableSafeLinksForEmail) Valgt ($true) Valgt ($true) Valgt ($true) Valgt ($true)
Bruk klarerte koblinger på e-postmeldinger som sendes i organisasjonen (EnableForInternalSenders) Valgt ($true) Ikke valgt ($false) Valgt ($true) Valgt ($true)
Bruk nettadresseskanning i sanntid for mistenkelige koblinger og koblinger som peker til filer (ScanUrls) Valgt ($true) Valgt ($true) Valgt ($true) Valgt ($true)
Vent til nettadresseskanningen fullføres før du leverer meldingen (DeliverMessageAfterScan) Valgt ($true) Valgt ($true) Valgt ($true) Valgt ($true)
Ikke skriv url-adresser på nytt. Kontroller bare via API for klarerte koblinger (DisableURLRewrite) Valgt ($false)* Valgt ($true) Ikke valgt ($false) Ikke valgt ($false) * I nye policyer for klarerte koblinger som du oppretter i Defender-portalen, velges denne innstillingen som standard. I nye policyer for klarerte koblinger som du oppretter i PowerShell, er $falsestandardverdien for parameteren DisableURLRewrite .
Ikke skriv om følgende URL-adresser i e-post (DoNotRewriteUrls) Blank Blank Blank Blank Vi har ingen spesifikk anbefaling for denne innstillingen.

Obs! Oppføringer i listen «Ikke skriv om følgende nettadresser» skannes eller brytes ikke av klarerte koblinger under e-postflyten. Rapporter nettadressen slik jeg har bekreftet at den er ren , og velg deretter Tillat denne URL-adressen å legge til en tillatelsesoppføring i tillatelses-/blokkeringslisten for leieren, slik at nettadressen ikke skannes eller brytes av klarerte koblinger under e-postflyten og ved klikk. Hvis du vil ha instruksjoner, kan du se Rapportere gode nettadresser til Microsoft.
Team Innstillingen i denne delen påvirker tidspunktet for klikkbeskyttelse i Microsoft Teams.
På: Klarerte koblinger kontrollerer en liste over kjente, ondsinnede koblinger når brukere klikker koblinger i Microsoft Teams. URL-adresser skrives ikke på nytt. (EnableSafeLinksForTeams) Valgt ($true) Valgt ($true) Valgt ($true) Valgt ($true)
Office 365 apper Innstillingen i denne delen påvirker tidspunktet for klikkbeskyttelse i Office-apper.
På: Klarerte koblinger kontrollerer en liste over kjente, skadelige koblinger når brukere klikker koblinger i Microsoft Office-apper. URL-adresser skrives ikke på nytt. (EnableSafeLinksForOffice) Valgt ($true) Valgt ($true) Valgt ($true) Valgt ($true) Bruk klarerte koblinger i støttede Office 365 skrivebords- og mobilapper (iOS og Android). Hvis du vil ha mer informasjon, kan du se Innstillinger for klarerte koblinger for Office-apper.
Klikk beskyttelsesinnstillinger
Spore brukerklikk (TrackClicks) Valgt ($true) Valgt ($true) Valgt ($true) Valgt ($true)
La brukere klikke seg gjennom til den opprinnelige nettadressen (AllowClickThrough) Valgt ($false)* Valgt ($true) Ikke valgt ($false) Ikke valgt ($false) * I nye policyer for klarerte koblinger som du oppretter i Defender-portalen, velges denne innstillingen som standard. I nye policyer for klarerte koblinger som du oppretter i PowerShell, er $falsestandardverdien for Parameteren AllowClickThrough .
Vise organisasjonens varemerking på varslings- og advarselssider (EnableOrganizationBranding) Ikke valgt ($false) Ikke valgt ($false) Ikke valgt ($false) Ikke valgt ($false) Vi har ingen spesifikk anbefaling for denne innstillingen.

Før du aktiverer denne innstillingen, må du følge instruksjonene i Tilpass Microsoft 365-temaet for organisasjonen for å laste opp firmalogoen.
Varsling
Hvordan vil du varsle brukerne? (CustomNotificationText og UseTranslatedNotificationText) Bruk standard varslingstekst (Tom og $false) Bruk standard varslingstekst (Tom og $false) Bruk standard varslingstekst (Tom og $false) Bruk standard varslingstekst (Tom og $false) Vi har ingen spesifikk anbefaling for denne innstillingen.

Du kan velge Bruk egendefinert varslingstekst (-CustomNotificationText "<Custom text>") for å skrive inn og bruke tilpasset varslingstekst. Hvis du angir egendefinert tekst, kan du også velge Bruk Microsoft Translator for automatisk lokalisering (-UseTranslatedNotificationText $true) for automatisk oversetting av teksten til brukerens språk.