Prøv Microsoft Defender for Office 365

Som en eksisterende Microsoft 365-kunde kan du bruke sidene for prøveversjoner og evaluering i Microsoft Defender-portalen https://security.microsoft.com til å prøve funksjonene i Microsoft Defender for Office 365 Plan 2 før du kjøper.

Før du prøver Defender for Office 365 Plan 2, er det noen viktige spørsmål du må stille deg selv:

• Vil jeg passivt observere hva Defender for Office 365 Plan 2 kan gjøre for meg (revisjon), eller vil jeg at Defender for Office 365 Plan 2 skal iverksette direkte tiltak på problemer som den finner (blokkere)?
• Uansett, hvordan kan jeg se hva Defender for Office 365 Plan 2 gjør for meg?
• Hvor lenge har jeg før jeg må ta beslutningen om å beholde Defender for Office 365 Plan 2?

Denne artikkelen hjelper deg med å svare på disse spørsmålene, slik at du kan prøve Defender for Office 365 Plan 2 på en måte som best oppfyller behovene til organisasjonen.

Hvis du vil ha en veiledning for hvordan du bruker prøveversjonen, kan du se brukerveiledning for prøveversjon: Microsoft Defender for Office 365.

Obs!

Prøveversjoner og evalueringer av Defender for Office 365 er ikke tilgjengelige i organisasjoner for amerikanske myndigheter (Microsoft 365 GCC, GCC High og DoD) eller Microsoft 365 Education organisasjoner.

Oversikt over Defender for Office 365

Defender for Office 365 hjelper organisasjoner med å sikre virksomheten ved å tilby et omfattende utvalg av funksjoner. Hvis du vil ha mer informasjon, kan du se Microsoft Defender for Office 365.

Du kan også finne ut mer om Defender for Office 365 i denne interaktive veiledningen.

Se denne korte videoen for å lære mer om hvordan du kan få mer gjort på kortere tid med Microsoft Defender for Office 365.

Hvis du vil ha informasjon om priser, kan du se Microsoft Defender for Office 365.

Hvordan forsøk og evalueringer fungerer for Defender for Office 365

Retningslinjer

Defender for Office 365 inkluderer funksjonene i Exchange Online Protection (EOP), som finnes i alle Microsoft 365-organisasjoner med Exchange Online postbokser og funksjoner som er eksklusive for Defender for Office 365.

Beskyttelsesfunksjonene til EOP og Defender for Office 365 implementeres ved hjelp av policyer. Policyer som er eksklusive for Defender for Office 365 opprettes etter behov:

• Representasjonsbeskyttelse i policyer for anti-phishing
• Klarerte vedlegg for e-postmeldinger
• Klarerte koblinger for e-postmeldinger og Microsoft Teams
  • Klarerte koblinger detonerer URL-adresser under e-postflyten. Hvis du vil hindre at bestemte url-adresser detoneres, kan du sende nettadressene til Microsoft som gode url-adresser. Hvis du vil ha instruksjoner, kan du se Rapportere gode nettadresser til Microsoft.
  • Klarerte koblinger bryter ikke nettadressekoblinger i meldingstekster i e-postmeldinger.

Din kvalifisering for en evaluering eller prøveversjon betyr at du allerede har EOP. Ingen nye eller spesielle EOP-policyer opprettes for evalueringen eller prøveversjonen av Defender for Office 365 Plan 2. Eksisterende EOP-policyer i Microsoft 365-organisasjonen kan fortsatt handle på meldinger (for eksempel sende meldinger til søppelpostmappen eller til karantene):

• Policyer mot skadelig programvare
• Innkommende beskyttelse mot søppelpost
• Beskyttelse mot forfalskning i anti-phishing-policyer

Standardpolicyene for disse EOP-funksjonene er alltid på, gjelder for alle mottakere og brukes alltid sist etter egendefinerte policyer.

Overvåkingsmodus kontra blokkeringsmodus for Defender for Office 365

Vil du at din Defender for Office 365 opplevelse skal være aktiv eller passiv? Følgende modi er tilgjengelige:

• Overvåkingsmodus: Spesielle evalueringspolicyer opprettes for anti-phishing (som inkluderer representasjonsbeskyttelse), klarerte vedlegg og klarerte koblinger. Disse evalueringspolicyene er konfigurert til bare å oppdage trusler. Defender for Office 365 oppdager skadelige meldinger for rapportering, men meldingene blir ikke behandlet (oppdagede meldinger blir for eksempel ikke satt i karantene). Innstillingene for disse evalueringspolicyene er beskrevet i delen Policyer i overvåkingsmodus senere i denne artikkelen. Vi slår også automatisk på SafeLinks-tidspunktet for klikkbeskyttelse i overvåkingsmodus for arbeidsbelastninger som ikke er e-post (for eksempel Microsoft Teams, SharePoint og OneDrive for Business)

  Du kan også selektivt aktivere eller deaktivere beskyttelse mot phishing (forfalskning og representasjon), beskyttelse mot klarerte koblinger og beskyttelse av klarerte vedlegg. Hvis du vil ha instruksjoner, kan du se Behandle evalueringsinnstillinger.

  Overvåkingsmodus inneholder spesialiserte rapporter for trusler som oppdages av evalueringspolicyene på evalueringssiden Microsoft Defender for Office 365 på https://security.microsoft.com/atpEvaluation. Disse rapportene er beskrevet i delen Rapporter for overvåkingsmodus senere i denne artikkelen.

• Blokkeringsmodus: Standardmalen for forhåndsinnstilte sikkerhetspolicyer er aktivert og brukt for prøveversjonen, og brukerne du angir for å inkludere i prøveversjonen, legges til i den forhåndsinnstilte standard sikkerhetspolicyen. Defender for Office 365 oppdager og iverksetter tiltak mot skadelige meldinger (oppdagede meldinger er for eksempel satt i karantene).

  Standardvalget og det anbefalte valget er å begrense disse Defender for Office 365 policyene til alle brukere i organisasjonen. Men under eller etter konfigurasjonen av prøveversjonen kan du endre policytilordningen til bestemte brukere, grupper eller e-postdomener i Microsoft Defender-portalen eller i Exchange Online PowerShell.

  Informasjon om trusler som oppdages av Defender for Office 365, er tilgjengelig i de vanlige rapport- og undersøkelsesfunksjonene i Defender for Office 365 Plan 2, som er beskrevet i avsnittet Rapporter for blokkeringsmodus senere i denne artikkelen.

Nøkkelfaktorene som bestemmer hvilke moduser som er tilgjengelige for deg, er:

• Om du har Defender for Office 365 (Plan 1 eller Plan 2) som beskrevet i neste del.

• Slik leveres e-post til Microsoft 365-organisasjonen, som beskrevet i følgende scenarioer:

  • E-post fra Internett flyter direkte i Microsoft 365, men det gjeldende abonnementet har bare Exchange Online Protection (EOP) eller Defender for Office 365 Plan 1.

    

    I disse miljøene er overvåkingsmodus eller blokkeringsmodus tilgjengelig, avhengig av lisensieringen som forklart i neste del

  • Du bruker for øyeblikket en tredjepartstjeneste eller enhet for e-postbeskyttelse av Microsoft 365-postboksene dine. E-post fra Internett flyter gjennom beskyttelsestjenesten før levering til Microsoft 365-organisasjonen. Microsoft 365-beskyttelsen er så lav som mulig (den er aldri helt deaktivert. Beskyttelse mot skadelig programvare håndheves for eksempel alltid).

    

    I disse miljøene er bare overvåkingsmodus tilgjengelig. Du trenger ikke å endre e-postflyten (MX-poster) for å evaluere Defender for Office 365 Plan 2.

Evaluering kontra prøveversjon for Defender for Office 365

Hva er forskjellen mellom en evaluering og en prøveversjon av Defender for Office 365 Plan 2? Er de ikke det samme? Vel, ja og nei. Lisensieringen i Microsoft 365-organisasjonen utgjør hele forskjellen:

• Ingen Defender for Office 365 Plan 2: Hvis du ikke allerede har Defender for Office 365 Plan 2 (for eksempel har du frittstående EOP, Microsoft 365 E3, Microsoft 365 Business Premium eller a Defender for Office 365 abonnementet plan 1), kan du starte Defender for Office 365 Plan 2-opplevelsen fra følgende plasseringer i Microsoft Defender-portalen:

  • Prøveversjoner-siden for Microsoft 365 på https://security.microsoft.com/trialHorizontalHub.
  • Evalueringssiden for Microsoft Defender for Office 365 på https://security.microsoft.com/atpEvaluation.

  Du kan velge overvåkingsmodus (evalueringspolicyer) eller blokkeringsmodus (standard forhåndsinnstilt sikkerhetspolicy) under oppsettet av evalueringen eller prøveversjonen.

  Uavhengig av hvilken plassering du bruker, klargjør vi automatisk alle nødvendige Defender for Office 365 Plan 2-lisenser når du registrerer deg. Manuell henting og tilordning av plan 2-lisenser i Administrasjonssenter for Microsoft 365 er ikke nødvendig.

  De automatisk klargjorte lisensene er bra i 90 dager. Hva denne perioden på 90 dager betyr, avhenger av eksisterende lisensiering i organisasjonen:

  • Ingen Defender for Office 365 Plan 1: For organisasjoner uten Defender for Office 365 Plan 1 (for eksempel frittstående EOP eller Microsoft 365 E3) alle Defender for Office 365 Plan 2-funksjoner (spesielt sikkerhetspolicyene) er bare tilgjengelige i løpet av 90-dagers perioden.

  • Defender for Office 365 Plan 1: Organisasjoner med Defender for Office 365 Plan 1 (for eksempel Microsoft 365 Business Premium eller tilleggsabonnementer) har allerede de samme sikkerhetspolicyene som er tilgjengelige i Defender for Office 365 Plan 2: representasjonsbeskyttelse i policyer for anti-phishing, policyer for klarerte vedlegg og policyer for klarerte koblinger.

    Sikkerhetspolicyene fra overvåkingsmodus (evalueringspolicyer) eller blokkeringsmodus (standard forhåndsinnstilt sikkerhetspolicy) utløper ikke eller slutter å fungere etter 90 dager. Det som slutter etter 90 dager, er automatiserings-, undersøkelses-, utbedrings- og utdanningsfunksjonene til Defender for Office 365 Plan 2 som ikke er tilgjengelig i plan 1.

  Hvis du konfigurerer evalueringen eller prøveversjonen i overvåkingsmodus (evalueringspolicyer), kan du senere konvertere til blokkeringsmodus (standard forhåndsinnstilt sikkerhetspolicy). Hvis du vil ha instruksjoner, kan du se avsnittet Konverter til standardbeskyttelse senere i denne artikkelen.

• Defender for Office 365 Plan 2: Hvis du allerede har Defender for Office 365 Plan 2 (for eksempel som en del av et Microsoft 365 E5 abonnement), er Defender for Office 365 ikke tilgjengelig for valg i Microsoft 365 prøveversjoner-siden på https://security.microsoft.com/trialHorizontalHub.

  Det eneste alternativet er å konfigurere en evaluering av Defender for Office 365 på evalueringssiden for Microsoft Defender for Office 365 på https://security.microsoft.com/atpEvaluation. I tillegg konfigureres evalueringen automatisk i overvåkingsmodus (evalueringspolicyer).

  Senere kan du konvertere til blokkeringsmodus (standard forhåndsinnstilt sikkerhetspolicy) ved hjelp av handlingen Konverter til standard på evalueringssiden for Microsoft Defender for Office 365 eller ved å deaktivere evalueringen på evalueringssiden for Microsoft Defender for Office 365 og deretter konfigurere standard forhåndsinnstilt sikkerhetspolicy.

  Per definisjon krever ikke organisasjoner med Defender for Office 365 Plan 2 flere lisenser for å evaluere Defender for Office 365 Plan 2, så evalueringer i disse organisasjonene er ubegrenset i varighet.

Informasjonen fra den forrige listen oppsummeres i følgende tabell:

Organisasjon	Registrer fra prøveversjoner-siden?	Registrer fra Evalueringssiden?	Tilgjengelige modi	Evaluering Periode
Frittstående EOP (ingen Exchange Online postbokser) Microsoft 365 E3	Ja	Ja	Overvåkingsmodus Blokkeringsmodus¹	90 dager
Defender for Office 365 plan 1 Microsoft 365 Business Premium	Ja	Ja	Overvåkingsmodus Blokkeringsmodus¹	90 dager²
Microsoft 365 E5	Nei	Ja	Overvåkingsmodus Blokkeringsmodus¹ ³	Ubegrenset

¹ Som tidligere beskrevet, er ikke blokkeringsmodus (standard forhåndsinnstilt sikkerhetspolicy) tilgjengelig hvis Internett-e-post flyter gjennom en tredjeparts beskyttelsestjeneste eller enhet før levering til Microsoft 365.

² Sikkerhetspolicyene fra overvåkingsmodus (evalueringspolicyer) eller blokkeringsmodus (standard forhåndsinnstilt sikkerhetspolicy) utløper ikke eller slutter å fungere etter 90 dager. Automatiserings-, undersøkelses-, utbedrings- og utdanningsfunksjonene som er eksklusive for å Defender for Office 365 Plan 2 slutter å fungere etter 90 dager.

³ Evalueringen er konfigurert i overvåkingsmodus (evalueringspolicyer). Når som helst etter at installasjonen er fullført, kan du konvertere til blokkeringsmodus (standard forhåndsinnstilt sikkerhetspolicy) som beskrevet i Konverter til standardbeskyttelse.

Nå som du forstår forskjellene mellom evalueringer, prøveversjoner, overvåkingsmodus og blokkeringsmodus, er du klar til å konfigurere evalueringen eller prøveversjonen som beskrevet i de neste avsnittene.

Konfigurere en evaluering eller prøveversjon i overvåkingsmodus

Husk at når du evaluerer eller prøver Defender for Office 365 i overvåkingsmodus, opprettes spesielle evalueringspolicyer slik at Defender for Office 365 kan oppdage trusler. Innstillingene for disse evalueringspolicyene er beskrevet i delen Policyer i overvåkingsmodus senere i denne artikkelen.

1. Start evalueringen på hvilken som helst av de tilgjengelige plasseringene i Microsoft Defender-portalen på https://security.microsoft.com. Eksempel:

   • Velg Start gratis prøveversjon på banneret øverst på en Defender for Office 365 funksjonsside.
   • Finn og velg Defender for Office 365 på siden prøveversjoner for Microsoft 365 på https://security.microsoft.com/trialHorizontalHub.
   • Velg Start evaluering på Microsoft Defender for Office 365 evalueringssiden på https://security.microsoft.com/atpEvaluation.

2. Dialogboksen Slå på beskyttelse er ikke tilgjengelig i organisasjoner med Defender for Office 365 Plan 1 eller Plan 2.

   Velg Nei, jeg vil bare ha rapportering i dialogboksen Slå på beskyttelse, og velg deretter Fortsett.

3. Konfigurer følgende innstillinger i dialogboksen Velg brukerne du vil inkludere :

   • Alle brukere: Dette er standard og anbefalt alternativ.

   • Bestemte brukere: Hvis du velger dette alternativet, må du velge de interne mottakerne som evalueringen gjelder for:

     • Brukere: De angitte postboksene, e-postbrukerne eller e-postkontaktene.
     • Grupper:
       • Medlemmer av de angitte distribusjonsgruppene eller e-postaktiverte sikkerhetsgruppene (dynamiske distribusjonsgrupper støttes ikke).
       • Den angitte Microsoft 365 Groups.
     • Domener: Alle mottakere i organisasjonen med en primær e-postadresse i det angitte godtatte domenet.

     Klikk i boksen, begynn å skrive inn en verdi, og velg verdien fra resultatene under boksen. Gjenta denne prosessen så mange ganger det er nødvendig. Hvis du vil fjerne en eksisterende verdi, velger du ved siden av verdien i boksen.

     For brukere eller grupper kan du bruke de fleste identifikatorer (navn, visningsnavn, alias, e-postadresse, kontonavn osv.), men det tilsvarende visningsnavnet vises i resultatene. For brukere skriver du inn en stjerne (*) alene for å se alle tilgjengelige verdier.

     Du kan bare bruke en mottakerbetingelse én gang, men betingelsen kan inneholde flere verdier:

     • Flere verdier av samme betingelse bruker ELLER-logikk (for eksempel <mottaker1> eller <mottaker2>). Hvis mottakeren samsvarer med noen av de angitte verdiene, brukes policyen på dem.

     • Ulike typer betingelser bruker AND-logikk. Mottakeren må samsvare med alle de angitte betingelsene for at policyen skal gjelde for dem. Du kan for eksempel konfigurere en betingelse med følgende verdier:

       • Brukere: romain@contoso.com
       • Grupper: Ledere

       Policyen gjelder romain@contoso.combare for hvis han også er medlem av Leder-gruppen. Ellers er politikken ikke brukt på ham.

   Når du er ferdig i dialogboksen Velg brukerne du vil inkludere , velger du Fortsett.

4. Konfigurer følgende alternativer i dialogboksen Hjelp oss med å forstå e-postflyten :

   • Ett av følgende alternativer velges automatisk basert på vår gjenkjenning av MX-posten for domenet ditt:

     • Jeg bruker en tredjepartsleverandør og/eller lokal tjenesteleverandør: MX-posten for domenet peker et annet sted enn Microsoft 365. Kontroller eller konfigurer følgende innstillinger:

       • Tredjepartstjeneste organisasjonen bruker: Kontroller eller velg én av følgende verdier:

         • Annet: Denne verdien krever også informasjon i Hvis e-postmeldingene dine går gjennom flere gatewayer, må du føre opp hver GATEWAY IP-adresse, som bare er tilgjengelig for verdien Annet. Bruk denne verdien hvis du bruker en lokal tjenesteleverandør.

           Skriv inn en kommadelt liste over IP-adressene som brukes av tredjeparts beskyttelsestjeneste eller enhet til å sende e-post til Microsoft 365.

         • Barracuda

         • IronPort

         • Mimecast

         • Korrekturpunkt

         • Sophos

         • Symantec

         • Trend Micro

       • Koblingen du vil bruke denne evalueringen på: Velg koblingen som brukes for e-postflyt til Microsoft 365.

         Forbedret filtrering for koblinger (også kjent som hopp over oppføring) konfigureres automatisk på koblingen du angir.

         Når en tredjepartstjeneste eller enhet sitter foran e-post som flyter inn i Microsoft 365, identifiserer forbedret filtrering for koblinger kilden til Internett-meldinger på riktig måte og forbedrer nøyaktigheten til Microsoft-filtreringsstakken (spesielt spoof-intelligens, samt funksjoner etter brudd i Threat Explorer og Automatisert undersøkelse & Response (AIR).

     • Jeg bruker bare Microsoft Exchange Online: MX-postene for domenet peker til Microsoft 365. Det er ingenting igjen å konfigurere, så velg Fullfør.

   • Del data med Microsoft: Dette alternativet er ikke valgt som standard, men du kan merke av for dette alternativet hvis du vil.

   Når du er ferdig i dialogboksen Hjelp oss med å forstå e-postflyten , velger du Fullfør.

5. Når konfigureringen er fullført, får du en La oss vise deg rundt dialogboksen. Velg Start innføring eller Avvis.

Konfigurere en evaluering eller prøveversjon i blokkeringsmodus

Husk at når du prøver Defender for Office 365 i blokkeringsmodus, er standard forhåndsinnstilt sikkerhet aktivert, og de angitte brukerne (noen eller alle) er inkludert i standard forhåndsinnstilt sikkerhetspolicy. Hvis du vil ha mer informasjon om den forhåndsinnstilte standard sikkerhetspolicyen, kan du se Forhåndsinnstilte sikkerhetspolicyer.

1. Start prøveversjonen på en av de tilgjengelige plasseringene i Microsoft Defender-portalen på https://security.microsoft.com. Eksempel:

   • Velg Start gratis prøveversjon på banneret øverst på en Defender for Office 365 funksjonsside.
   • Finn og velg Defender for Office 365 på siden prøveversjoner for Microsoft 365 på https://security.microsoft.com/trialHorizontalHub.
   • Velg Start evaluering på Microsoft Defender for Office 365 evalueringssiden på https://security.microsoft.com/atpEvaluation.

2. Dialogboksen Slå på beskyttelse er ikke tilgjengelig i organisasjoner med Defender for Office 365 Plan 1 eller Plan 2.

   Velg Ja i dialogboksen Slå på beskyttelse, beskytt organisasjonen ved å blokkere trusler, og velg deretter Fortsett.

3. Konfigurer følgende innstillinger i dialogboksen Velg brukerne du vil inkludere :

   • Alle brukere: Dette er standard og anbefalt alternativ.

   • Velg brukere: Hvis du velger dette alternativet, må du velge de interne mottakerne som prøveversjonen gjelder for:

     • Brukere: De angitte postboksene, e-postbrukerne eller e-postkontaktene.
     • Grupper:
       • Medlemmer av de angitte distribusjonsgruppene eller e-postaktiverte sikkerhetsgruppene (dynamiske distribusjonsgrupper støttes ikke).
       • Den angitte Microsoft 365 Groups.
     • Domener: Alle mottakere i organisasjonen med en primær e-postadresse i det angitte godtatte domenet.

     Klikk i boksen, begynn å skrive inn en verdi, og velg verdien fra resultatene under boksen. Gjenta denne prosessen så mange ganger det er nødvendig. Hvis du vil fjerne en eksisterende verdi, velger du ved siden av verdien i boksen.

     For brukere eller grupper kan du bruke de fleste identifikatorer (navn, visningsnavn, alias, e-postadresse, kontonavn osv.), men det tilsvarende visningsnavnet vises i resultatene. For brukere skriver du inn en stjerne (*) alene for å se alle tilgjengelige verdier.

     Du kan bare bruke en mottakerbetingelse én gang, men betingelsen kan inneholde flere verdier:

     • Flere verdier av samme betingelse bruker ELLER-logikk (for eksempel <mottaker1> eller <mottaker2>). Hvis mottakeren samsvarer med noen av de angitte verdiene, brukes policyen på dem.

     • Ulike typer betingelser bruker AND-logikk. Mottakeren må samsvare med alle de angitte betingelsene for at policyen skal gjelde for dem. Du kan for eksempel konfigurere en betingelse med følgende verdier:

       • Brukere: romain@contoso.com
       • Grupper: Ledere

       Policyen gjelder romain@contoso.combare for hvis han også er medlem av Leder-gruppen. Ellers er politikken ikke brukt på ham.

   Når du er ferdig i dialogboksen Velg brukerne du vil inkludere , velger du Fortsett.

4. En fremdriftsdialogboks vises når evalueringen er konfigurert. Når installasjonen er fullført, velger du Ferdig.

Administrer evalueringen eller prøveversjonen av Defender for Office 365

Når du har konfigurert evalueringen eller prøveversjonen i overvåkingsmodus, er den Microsoft Defender for Office 365 evalueringssiden den https://security.microsoft.com/atpEvaluation sentrale plasseringen for resultatene av å prøve Defender for Office 365 Plan 2.

Gå til Policyer for e-post & samarbeid>& regler>Trusselpolicyer> velger evalueringsmodus under Andre i Microsoft Defender portalenhttps://security.microsoft.com. Hvis du vil gå direkte til evalueringssiden for Microsoft Defender for Office 365, kan du bruke https://security.microsoft.com/atpEvaluation.

Handlingene som er tilgjengelige på evalueringssiden for Microsoft Defender for Office 365 beskrives i følgende underområder.

Behandle evalueringsinnstillinger

Velg Behandle evalueringsinnstillinger på Microsoft Defender for Office 365 evalueringssiden på https://security.microsoft.com/atpEvaluation.

I undermenyen Behandle MDO evalueringsinnstillinger som åpnes, er følgende informasjon og innstillinger tilgjengelige:

• Om evalueringen er på, vises øverst på undermenyen (evaluering på eller evaluering av). Denne informasjonen er også tilgjengelig på evalueringssiden for Microsoft Defender for Office 365.

  Med handlingen Slå av eller slå på kan du deaktivere eller aktivere evalueringspolicyene.

• Hvor mange dager som gjenstår i evalueringen, vises øverst i undermenyen (nn dager igjen).

• Inndeling for gjenkjenningsfunksjoner: Bruk vekslene til å aktivere eller deaktivere følgende Defender for Office 365 beskyttelser:

  • Klarerte koblinger
  • Klarerte vedlegg
  • Anti-phishing

• Inndelingen Brukere, grupper og domener : Velg Rediger brukere, grupper og domener for å endre hvem evalueringen eller prøveversjonen gjelder for, som beskrevet tidligere i Konfigurer en evaluering eller prøveversjon i overvåkingsmodus.

• Inndeling for representasjonsinnstillinger :

  • Hvis representasjonsbeskyttelse ikke er konfigurert i policyen for evaluering av anti-phishing, velger du Bruk representasjonsbeskyttelse for å konfigurere representasjonsbeskyttelse:

    • Interne og eksterne brukere (avsendere) for beskyttelse mot brukerrepresentasjon.
    • Egendefinerte domener for beskyttelse mot domenerepresentasjon.
    • Klarerte avsendere og domener som skal utelates fra representasjonsbeskyttelse.

    Trinnene er i hovedsak de samme som beskrevet i representasjonsdelen i trinn 5 i Bruk Microsoft Defender-portalen til å opprette policyer for anti-phishing.

  • Hvis representasjonsbeskyttelse er konfigurert i evalueringspolicyen for anti-phishing, viser denne delen innstillingene for representasjonsbeskyttelse for:

    • Beskyttelse mot brukerrepresentasjon
    • Beskyttelse mot domenerepresentasjon
    • Klarerte representerte avsendere og domener

    Hvis du vil endre innstillingene, velger du Rediger representasjonsinnstillinger.

Når du er ferdig med undermenyen Behandle MDO evalueringsinnstillinger, velger du Lukk.

Konverter til standardbeskyttelse

For evalueringen eller prøveversjonen kan du bytte fra overvåkingsmodus (evalueringspolicyer) til blokkeringsmodus (standard forhåndsinnstilt sikkerhetspolicy) ved hjelp av én av følgende metoder:

• På evalueringssiden for Microsoft Defender for Office 365: Velg Konverter til standardbeskyttelse
• Velg Behandle evalueringsinnstillinger på undermenyen Behandle MDO evalueringsinnstillinger: Velg Behandle evalueringsinnstillinger på Microsoft Defender for Office 365 evalueringssiden. Velg Konverter til standardbeskyttelse i undermenyen for detaljer som åpnes.

Når du har valgt Konverter til standardbeskyttelse, kan du lese informasjonen i dialogboksen som åpnes, og deretter velge Fortsett.

Du blir tatt med til veiviseren bruk av standard beskyttelse på siden Forhåndsinnstilte sikkerhetspolicyer . Listen over mottakere som er inkludert og ekskludert fra evalueringen eller prøveversjonen, kopieres til standard forhåndsinnstilt sikkerhetspolicy. Hvis du vil ha mer informasjon, kan du se Bruke Microsoft Defender-portalen til å tilordne standard og strenge forhåndsinnstilte sikkerhetspolicyer til brukere.

• Sikkerhetspolicyene i den forhåndsinnstilte standard sikkerhetspolicyen har høyere prioritet enn evalueringspolicyene, noe som betyr at policyene i den forhåndsinnstilte standardsikkerheten alltid brukes før evalueringspolicyene, selv om begge er til stede og slått på.
• Det er ingen automatisk måte å gå fra blokkeringsmodus til overvåkingsmodus på. De manuelle trinnene er:

  1. Slå av standard forhåndsinnstilt sikkerhetspolicy på siden Forhåndsinnstilte sikkerhetspolicyer på https://security.microsoft.com/presetSecurityPolicies.

  2. Kontroller at verdien Evaluering på vises på https://security.microsoft.com/atpEvaluationevalueringssiden for Microsoft Defender for Office 365 på .

     Hvis evalueringen ikke vises, velger du Administrer evalueringsinnstillinger. Velg Aktiver i undermenyen Behandle MDO evalueringsinnstillinger som åpnes.

  3. Velg Administrer evalueringsinnstillinger for å bekrefte brukerne som evalueringen gjelder for, i delen Brukere, grupper og domener i undermenyen Behandle MDO evalueringsinnstillinger som åpnes.

Rapporter for evaluering eller prøveversjon av Defender for Office 365

Denne delen beskriver rapportene som er tilgjengelige i overvåkingsmodus og blokkeringsmodus.

Rapporter for blokkeringsmodus

Ingen spesielle rapporter opprettes for blokkeringsmodus, så bruk standardrapportene som er tilgjengelige i Defender for Office 365. Nærmere bestemt ser du etter rapporter som bare gjelder for Defender for Office 365 funksjoner (for eksempel klarerte koblinger eller klarerte vedlegg) eller rapporter som kan filtreres etter Defender for Office 365 gjenkjenninger som beskrevet i listen nedenfor:

• E-postflyt-visningen for statusrapporten for e-postflyt:

  • Meldinger som oppdages som brukerrepresentasjon eller domenerepresentasjon av anti-phishing-policyer, vises i representasjonsblokken.
  • Meldinger som oppdages under fil- eller nettadressedetonasjon av policyer for klarerte vedlegg eller policyer for klarerte koblinger, vises i detonasjonsblokken.

• Statusrapporten trusselbeskyttelse:

  Du kan filtrere mange av visningene i statusrapporten trusselbeskyttelse etter beskyttet av verdi MDO for å se effektene av Defender for Office 365.

  • Vis data etter oversikt

  • Vis data etter e-postfish > og diagramoversikt etter oppdagelsesteknologi

    • Meldinger som oppdages av kampanjer , vises i Kampanje.
    • Meldinger som oppdages av klarerte vedlegg, vises i fildetonasjon og omdømme for fildetonasjon.
    • Meldinger som oppdages av beskyttelse mot brukerrepresentasjon i policyer for anti-phishing, vises i representasjonsdomene, representasjonsbruker og etterligning av postboksintelligens.
    • Meldinger som oppdages av klarerte koblinger, vises i omdømme for nettadressedetonasjon og nettadressedetonasjon.

  • Vis data etter e-post– skadelig programvare > og diagramoversikt etter gjenkjenningsteknologi

    • Meldinger som oppdages av kampanjer , vises i Kampanje.
    • Meldinger som oppdages av klarerte vedlegg, vises i fildetonasjon og omdømme for fildetonasjon.
    • Meldinger som oppdages av klarerte koblinger, vises i omdømme for nettadressedetonasjon og nettadressedetonasjon.

  • Vis data etter fordeling av søppelpost > og diagram etter oppdagelsesteknologi

    Meldinger som oppdages av klarerte koblinger, vises i skadelig omdømme for NETTADRESSE.

  • Diagramfordeling etter policytype

    Meldinger som oppdages av klarerte vedlegg, vises i klarerte vedlegg

  • Vis data etter innholds-skadelig > programvare

    Skadelige filer som oppdages av klarerte vedlegg for SharePoint, OneDrive og Microsoft Teams, vises i MDO detonasjon.

• Rapporten Over avsendere og mottakere

  Vis data for mottakere av topp skadelig programvare (MDO) og Vis data for de beste phish-mottakerne (MDO).

• Rapporten om beskyttelse av NETTADRESSE

Rapporter for overvåkingsmodus

I overvåkingsmodus ser du etter rapporter som viser gjenkjenninger av evalueringspolicyene, som beskrevet i følgende liste:

• Siden for e-postenheten viser følgende banner i meldingsgjenkjenningsdetaljer på Analyse-fanen for ugyldig vedlegg, nettadresse for søppelpost + skadelig programvare, Phish-nettadresse og representasjonsmeldinger som ble oppdaget av Defender for Office 365 evalueringen:

  

• Evalueringssiden for Microsoft Defender for Office 365 konsoliderer https://security.microsoft.com/atpEvaluation gjenkjenningene fra standardrapportene som er tilgjengelige i Defender for Office 365. Rapportene på denne siden er hovedsakelig filtrert etter evaluering: Ja for å vise oppdagelser bare etter evalueringspolicyene, men de fleste rapporter bruker også ytterligere oppklarende filtre.

  Som standard viser rapportsammendragene på siden data for de siste 30 dagene, men du kan filtrere datoområdet ved å velge 30 dager og velge blant følgende tilleggsverdier som er mindre enn 30 dager:

  • 24 timer
  • 7 dager
  • 14 dager
  • Egendefinert datointervall

  Datointervallfilteret påvirker dataene som vises i rapportsammendragene på siden og i hovedrapporten når du velger Vis detaljer på et kort.

  Velg Last ned for å laste ned diagramdataene til en .csv fil.

  • Følgende rapporter på evalueringssiden for Microsoft Defender for Office 365 inneholder filtrert informasjon fra bestemte visninger i statusrapporten trusselbeskyttelse:

    • E-postkoblinger:
      • Rapportvisning: Vis data etter e-postfish > og diagramoversikt etter oppdagelsesteknologi
      • Gjenkjenningsfiltre : omdømme for nettadressedetonasjon og nettadressedetonasjon.
    • Vedlegg i e-post:
      • Rapportvisning: Vis data etter e-postfish > og diagramoversikt etter oppdagelsesteknologi
      • Gjenkjenningsfiltre : Fildetonasjon og omdømme for fildetonasjon.
    • Representasjon
      • Rapportvisning: Vis data etter e-postfish > og diagramoversikt etter oppdagelsesteknologi
      • Gjenkjenningsfiltre : Representasjonsbruker, representasjonsdomene og etterligning av postboksintelligens.
    • Vedleggskoblinger
      • Rapportvisning: Vis data etter e-post– > skadelig programvare og diagramoversikt etter gjenkjenningsteknologi
      • Gjenkjenningsfiltre : omdømme for nettadressedetonasjon og nettadressedetonasjon.
    • Innebygd skadelig programvare
      • Rapportvisning: Vis data etter e-post– > skadelig programvare og diagramoversikt etter gjenkjenningsteknologi
      • Gjenkjenningsfiltre : Fildetonasjon og omdømme for fildetonasjon.
    • Falske avsendere:
      • Rapportvisning: Vis data etter e-postfish > og diagramoversikt etter oppdagelsesteknologi
      • Gjenkjenningsfiltre : Spoof intra-org, Spoof eksternt domene og Spoof DMARC.

  • Klikkbeskyttelse for nettadresse i sanntid bruker vis data ved hjelp av url-klikkbeskyttelseshandlingen i rapporten for beskyttelse av nettadresse som er filtrert etter evaluering: Ja.

    Selv om vis data etter NETTADRESSE klikk etter program i rapporten for beskyttelse av nettadressen ikke vises på evalueringssiden for Microsoft Defender for Office 365, kan den også filtreres etter evaluering: Ja.

Nødvendige tillatelser

Følgende tillatelser kreves i Microsoft Entra ID for å konfigurere en evaluering eller prøveversjon av Defender for Microsoft 365:

• Opprette, endre eller slette en evaluering eller prøveversjon: Medlemskap i rollene som sikkerhetsadministrator eller global administrator .
• Vis evalueringspolicyer og rapporter i overvåkingsmodus: Medlemskap i rollene sikkerhetsadministrator eller sikkerhetsleser .

Hvis du vil ha mer informasjon om Microsoft Entra tillatelser i Microsoft Defender-portalen, kan du se Microsoft Entra roller i Microsoft Defender-portalen

Vanlige spørsmål

Spørsmål: Må jeg hente eller aktivere prøveversjonslisenser manuelt?

Sv.: Nei. Prøveversjonen klargjør automatisk Defender for Office 365 plan 2-lisenser hvis du trenger dem som beskrevet tidligere.

Spørsmål: Hvordan forlenge prøveperioden?

Svar: Se Forlenge prøveperioden.

Spørsmål: Hva skjer med dataene mine etter at prøveversjonen utløper?

Svar: Når prøveperioden utløper, har du tilgang til prøveversjonen (data fra funksjoner i Defender for Office 365 som du ikke har hatt tidligere) på 30 dager. Etter denne perioden på 30 dager slettes alle policyer og data som var knyttet til Defender for Office 365 prøveversjon.

Spørsmål: Hvor mange ganger kan jeg bruke Defender for Office 365 prøveversjon i organisasjonen?

Svar: Maksimalt to ganger. Hvis den første prøveversjonen utløper, må du vente minst 30 dager etter utløpsdatoen før du kan registrere deg for Defender for Office 365 prøveversjon på nytt. Etter den andre prøveperioden kan du ikke registrere deg for en ny prøveversjon.

Spørsmål: I overvåkingsmodus finnes det scenarioer der Defender for Office 365 fungerer på meldinger?

Sv.: Ja. For beskyttelse av tjenesten kan ingen i noe program eller SKU slå av eller omgå handling på meldinger som er klassifisert som skadelig programvare eller phishing med høy visshet av tjenesten.

Spørsmål: I hvilken rekkefølge evalueres policyer?

Svar: Se Prioritetsrekkefølgen for forhåndsinnstilte sikkerhetspolicyer og andre policyer.

Policyinnstillinger som er knyttet til Defender for Office 365 evalueringer og prøveversjoner

Policyer i overvåkingsmodus

Advarsel

Ikke prøv å opprette, endre eller fjerne de individuelle sikkerhetspolicyene som er knyttet til evalueringen av Defender for Office 365. Den eneste støttede metoden for å opprette de individuelle sikkerhetspolicyene for evalueringen, er å starte evalueringen eller prøveversjonen i overvåkingsmodus i Microsoft Defender-portalen for første gang.

Som tidligere beskrevet, når du velger overvåkingsmodus for evalueringen eller prøveversjonen, opprettes evalueringspolicyer med de nødvendige innstillingene for å observere, men ikke utføre handlinger på meldinger, automatisk.

Hvis du vil se disse policyene og innstillingene, kjører du følgende kommando i Exchange Online PowerShell:

Write-Output -InputObject ("`r`n"*3),"Evaluation anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"; Write-Output -InputObject ("`r`n"*3),"Evaluation Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"; Write-Output -InputObject ("`r`n"*3),"Evaluation Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"

Innstillingene er også beskrevet i tabellene nedenfor.

Policyinnstillinger for evaluering av anti-phishing

Innstilling	Verdi
Navn	Evalueringspolicy
AdminDisplayName	Evalueringspolicy
AuthenticationFailAction	MoveToJmf
DmarcQuarantineAction	Karantene
DmarcRejectAction	Avvise
Aktivert	Sant
EnableFirstContactSafetyTips	Falsk
EnableMailboxIntelligence	Sant
EnableMailboxIntelligenceProtection	Sant
EnableOrganizationDomainsProtection	Falsk
EnableSimilarDomainsSafetyTips	Falsk
EnableSimilarUsersSafetyTips	Falsk
EnableSpoofIntelligence	Sant
EnableSuspiciousSafetyTip	Falsk
EnableTargetedDomainsProtection	Falsk
EnableTargetedUserProtection	Falsk
EnableUnauthenticatedSender	Sant
EnableUnusualCharactersSafetyTips	Falsk
EnableViaTag	Sant
ExcludedDomains	{}
Ekskludertesendere	{}
HonorDmarcPolicy	Sant
ImpersonationProtectionState	Manuell
IsDefault	Falsk
MailboxIntelligenceProtectionAction	NoAction
MailboxIntelligenceProtectionActionRecipients	{}
MailboxIntelligenceQuarantineTag	DefaultFullAccessPolicy
PhishThresholdLevel	1
PolicyTag	Tom
RecommendedPolicyType	Evaluering
SpoofQuarantineTag	DefaultFullAccessPolicy
TargetedDomainActionRecipients	{}
TargetedDomainProtectionAction	NoAction
TargetedDomainQuarantineTag	DefaultFullAccessPolicy
TargetedDomainsToProtect	{}
TargetedUserActionRecipients	{}
TargetedUserProtectionAction	NoAction
TargetedUserQuarantineTag	DefaultFullAccessPolicy
TargetedUsersToProtect	{}

Policyinnstillinger for evaluering av klarerte vedlegg

Innstilling	Verdi
Navn	Evalueringspolicy
Handling	Tillat
ActionOnError	Sant*
AdminDisplayName	Evalueringspolicy
ConfidenceLevelThreshold	80
Aktiverer	Sant
EnableOrganizationBranding	Falsk
IsBuiltInProtection	Falsk
IsDefault	Falsk
OperationMode	Forsinkelse
QuarantineTag	AdminOnlyAccessPolicy
RecommendedPolicyType	Evaluering
Omdirigere	Falsk
RedirectAddress	Tom
ScanTimeout	30

^* Denne parameteren er avskrevet og brukes ikke lenger.

Policyinnstillinger for evaluering av klarerte koblinger

Innstilling	Verdi
Navn	Evalueringspolicy
AdminDisplayName	Evalueringspolicy
AllowClickThrough	Sant
CustomNotificationText	Tom
DeliverMessageAfterScan	Sant
DisableUrlRewrite	Sant
DoNotRewriteUrls	{}
EnableForInternalSenders	Falsk
EnableOrganizationBranding	Falsk
EnableSafeLinksForEmail	Sant
EnableSafeLinksForOffice	Sant
EnableSafeLinksForTeams	Sant
IsBuiltInProtection	Falsk
LocalizedNotificationTextList	{}
RecommendedPolicyType	Evaluering
ScanUrls	Sant
TrackClicks	Sant

Bruk PowerShell til å konfigurere mottakerbetingelser og unntak for evalueringen eller prøveversjonen i overvåkingsmodus

En regel som er knyttet til Defender for Office 365 evalueringspolicyer, kontrollerer mottakerbetingelsene og unntakene for evalueringen.

Hvis du vil vise regelen som er knyttet til evalueringen, kjører du følgende kommando i Exchange Online PowerShell:

Get-ATPEvaluationRule

Hvis du vil bruke Exchange Online PowerShell til å endre hvem evalueringen gjelder for, bruker du følgende syntaks:

Set-ATPEvaluationRule -Identity "Evaluation Rule" -SentTo <"user1","user2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -SentToMemberOf <"group1","group2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null> -RecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null>

Dette eksemplet konfigurerer unntak fra evalueringen for de angitte sikkerhetsoperasjoner (SecOps)-postboksene.

Set-ATPEvaluationRule -Identity "Evaluation Rule" -ExceptIfSentTo "SecOps1","SecOps2"

Bruke PowerShell til å aktivere eller deaktivere evalueringen eller prøveversjonen i overvåkingsmodus

Hvis du vil aktivere eller deaktivere evalueringen i overvåkingsmodus, aktiverer eller deaktiverer du regelen som er knyttet til evalueringen. Verdien for statusegenskapen for evalueringsregelen viser om regelen er aktivert eller deaktivert.

Kjør følgende kommando for å finne ut om evalueringen er aktivert eller deaktivert:

Get-ATPEvaluationRule -Identity "Evaluation Rule" | Format-Table Name,State

Kjør følgende kommando for å deaktivere evalueringen hvis den er aktivert:

Disable-ATPEvaluationRule -Identity "Evaluation Rule"

Kjør følgende kommando for å aktivere evalueringen hvis den er deaktivert:

Enable-ATPEvaluationRule -Identity "Evaluation Rule"

Policyer i blokkeringsmodus

Som tidligere beskrevet opprettes policyer for blokkeringsmodus ved hjelp av standardmalen for forhåndsinnstilte sikkerhetspolicyer.

Hvis du vil bruke Exchange Online PowerShell til å vise de individuelle sikkerhetspolicyene som er knyttet til standard forhåndsinnstilt sikkerhetspolicy, og for å vise og konfigurere mottakerbetingelser og unntak for den forhåndsinnstilte sikkerhetspolicyen, kan du se Forhåndsinnstilte sikkerhetspolicyer i Exchange Online PowerShell.