Share via


Antiphishingbeleid configureren in EOP

Tip

Wist u dat u de functies in Microsoft Defender XDR gratis kunt uitproberen voor Office 365 Abonnement 2? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft Defender portal. Meer informatie over wie zich kan registreren en proefabonnementen kan uitvoeren op Try Microsoft Defender voor Office 365.

In Microsoft 365-organisaties met postvakken in Exchange Online of zelfstandige Exchange Online Protection (EOP)-organisaties zonder Exchange Online postvakken, biedt antiphishingbeleid bescherming tegen adresvervalsing. Zie Instellingen voor adresvervalsing in anti-phishingbeleid voor meer informatie.

Het standaard antiphishingbeleid is automatisch van toepassing op alle geadresseerden. Voor meer granulariteit kunt u ook aangepast antiphishingbeleid maken dat van toepassing is op specifieke gebruikers, groepen of domeinen in uw organisatie.

U configureert antiphishingbeleid in de Microsoft Defender portal of in PowerShell (Exchange Online PowerShell voor Microsoft 365-organisaties met postvakken in Exchange Online; zelfstandige EOP PowerShell voor organisaties zonder Exchange Online postvakken).

Zie Antiphishingbeleidsregels configureren in Microsoft Defender voor Office 365 voor antiphishingbeleidsprocedures in organisaties met Microsoft Defender voor Office 365.

Wat moet u weten voordat u begint?

  • U opent de Microsoft Defender portal op https://security.microsoft.com. Als u rechtstreeks naar de pagina Antiphishing wilt gaan, gebruikt u https://security.microsoft.com/antiphishing.

  • Zie Verbinding maken met Exchange Online PowerShell als u verbinding wilt maken met Exchange Online PowerShell. Zie Verbinding maken met Exchange Online Protection PowerShell als je verbinding wilt maken met zelfstandige EOP PowerShell.

  • Aan u moeten machtigingen zijn toegewezen voordat u de procedures in dit artikel kunt uitvoeren. U beschikt tevens over de volgende opties:

    • Microsoft Defender XDR Op rollen gebaseerd toegangsbeheer (RBAC) (Als Email & samenwerking>Defender voor Office 365 machtigingen actief zijn. Is alleen van invloed op de Defender-portal, niet op PowerShell: Autorisatie en instellingen/Beveiligingsinstellingen/Basisbeveiligingsinstellingen (beheren) of Autorisatie en instellingen/Beveiligingsinstellingen/Kernbeveiligingsinstellingen (lezen).

    • Exchange Online machtigingen:

      • Beleid toevoegen, wijzigen en verwijderen: lidmaatschap van de rolgroepen Organisatiebeheer of Beveiligingsbeheerder .
      • Alleen-lezentoegang tot beleid: lidmaatschap van de rolgroepen Globale lezer, Beveiligingslezer of Alleen-weergeven organisatiebeheer .
    • Microsoft Entra machtigingen: lidmaatschap van de rollen Globale beheerder*, Beveiligingsbeheerder, Globale lezer of Beveiligingslezer geeft gebruikers de vereiste machtigingen en machtigingen voor andere functies in Microsoft 365.

      Belangrijk

      * Microsoft raadt u aan rollen te gebruiken met de minste machtigingen. Het gebruik van accounts met lagere machtigingen helpt de beveiliging voor uw organisatie te verbeteren. Globale beheerder is een zeer bevoorrechte rol die moet worden beperkt tot scenario's voor noodgevallen wanneer u een bestaande rol niet kunt gebruiken.

  • Zie Antiphishingbeleid in Defender voor Office 365-instellingen voor onze aanbevolen instellingen voor antiphishingbeleid in Defender voor Office 365.

    Tip

    Instellingen in het standaard- of aangepaste antiphishingbeleid worden genegeerd als een ontvanger ook is opgenomen in het standaard- of strikt vooraf ingestelde beveiligingsbeleid. Zie Volgorde en prioriteit van e-mailbeveiliging voor meer informatie.

  • Het kan maximaal 30 minuten duren voordat een nieuw of bijgewerkt beleid wordt toegepast.

De Microsoft Defender-portal gebruiken om antiphishingbeleid te maken

  1. Ga in de Microsoft Defender portal op https://security.microsoft.comnaar Email & Samenwerkingsbeleid>& Regels>Bedreigingsbeleid>Antiphishing in de sectie Beleid. Als u rechtstreeks naar de pagina Antiphishing wilt gaan, gebruikt u https://security.microsoft.com/antiphishing.

  2. Selecteer op de pagina Antiphishing de optie Maken om de nieuwe wizard antiphishingbeleid te openen.

  3. Configureer deze instellingen op de pagina Beleidsnaam :

    • Naam: een unieke beschrijvende naam voor het beleid.
    • Beschrijving: voer een optionele beschrijving in voor het beleid.

    Wanneer u klaar bent op de pagina Beleidsnaam , selecteert u Volgende.

  4. Identificeer op de pagina Gebruikers, groepen en domeinen de interne geadresseerden waarop het beleid van toepassing is (voorwaarden voor geadresseerden):

    • Gebruikers: de opgegeven postvakken, e-mailgebruikers or e-mailcontactpersonen.
    • Groepen:
      • Leden van de opgegeven distributiegroepen of beveiligingsgroepen met e-mail (dynamische distributiegroepen worden niet ondersteund).
      • De opgegeven Microsoft 365 Groepen.
    • Domeinen: alle geadresseerden in de organisatie met een primair e-mailadres in het opgegeven geaccepteerde domein.

    Klik in het juiste vak, begin een waarde te typen en selecteer de gewenste waarde in de resultaten. Herhaal deze stap zo vaak als nodig is. Als u een bestaande waarde wilt verwijderen, selecteert u naast de waarde.

    Voor gebruikers of groepen kunt u de meeste id's (naam, weergavenaam, alias, e-mailadres, accountnaam, enzovoort) gebruiken, maar de bijbehorende weergavenaam wordt weergegeven in de resultaten. Voor gebruikers of groepen voert u zelf een sterretje (*) in om alle beschikbare waarden te zien.

    U kunt een voorwaarde slechts één keer gebruiken, maar de voorwaarde kan meerdere waarden bevatten:

    • Meerdere waarden van dezelfde voorwaarde gebruiken OF-logica (bijvoorbeeld <geadresseerde1> of <geadresseerde2>). Als de ontvanger overeenkomt met een van de opgegeven waarden, wordt het beleid daarop toegepast.

    • Verschillende typen voorwaarden gebruiken AND-logica. De geadresseerde moet voldoen aan alle opgegeven voorwaarden om het beleid op hen toe te passen. U configureert bijvoorbeeld een voorwaarde met de volgende waarden:

      • Gebruikers: romain@contoso.com
      • Groepen: Leidinggevenden

      Het beleid wordt alleen toegepast romain@contoso.com als hij ook lid is van de groep Leidinggevenden. Anders wordt het beleid niet op hem toegepast.

    • Deze gebruikers, groepen en domeinen uitsluiten: als u uitzonderingen wilt toevoegen voor de interne ontvangers op wie het beleid van toepassing is (uitzonderingen op ontvangers), selecteert u deze optie en configureert u de uitzonderingen.

      U kunt een uitzondering slechts één keer gebruiken, maar de uitzondering kan meerdere waarden bevatten:

      • Meerdere waarden van dezelfde uitzondering gebruiken OR-logica (bijvoorbeeld <geadresseerde1> of <geadresseerde2>). Als de ontvanger overeenkomt met een van de opgegeven waarden, wordt het beleid niet op deze waarden toegepast.
      • Verschillende soorten uitzonderingen gebruiken OR-logica (bijvoorbeeld <ontvanger1> of <lid van groep1> of <lid van domein1>). Als de ontvanger overeenkomt met een van de opgegeven uitzonderingswaarden, wordt het beleid hierop niet toegepast.

    Wanneer u klaar bent op de pagina Gebruikers, groepen en domeinen , selecteert u Volgende.

  5. Gebruik op de pagina Phishingdrempel & beveiliging het selectievakje Spoof intelligence inschakelen om spoof intelligence in of uit te schakelen. Deze instelling is standaard geselecteerd en we raden u aan deze ingeschakeld te laten. U geeft op de volgende pagina de actie op die moet worden uitgevoerd op berichten van geblokkeerde vervalste afzenders.

    Als u spoof intelligence wilt uitschakelen, schakelt u het selectievakje uit.

    Opmerking

    U hoeft spoof intelligence niet uit te schakelen als uw MX-record niet verwijst naar Microsoft 365; schakelt u in plaats hiervan Uitgebreid filteren voor connectors in. Zie Verbeterde filtering voor connectors in Exchange Online voor instructies.

    Wanneer u klaar bent met de pagina Phishingdrempel & beveiliging , selecteert u Volgende.

  6. Configureer op de pagina Acties de volgende instellingen:

    • Houd rekening met het DMARC-recordbeleid wanneer het bericht wordt gedetecteerd als spoof: deze instelling is standaard geselecteerd en stelt u in staat om te bepalen wat er gebeurt met berichten waarbij de afzender expliciete DMARC-controles mislukt en het DMARC-beleid is ingesteld op p=quarantine of p=reject:

      • Als het bericht wordt gedetecteerd als adresvervalsing en DMARC-beleid is ingesteld als p=quarantaine: Selecteer een van de volgende acties:

        • Het bericht in quarantaine plaatsen: dit is de standaardwaarde.
        • Bericht verplaatsen naar de mappen ongewenste Email van de geadresseerden
      • Als het bericht wordt gedetecteerd als spoof en DMARC-beleid is ingesteld als p=reject: Selecteer een van de volgende acties:

        • Het bericht in quarantaine plaatsen
        • Het bericht weigeren: Dit is de standaardwaarde.

      Zie Spoof-beveiliging en DMARC-beleid voor afzenders voor meer informatie.

    • Als het bericht wordt gedetecteerd als spoof door spoof intelligence: deze instelling is alleen beschikbaar als u Spoof intelligence inschakelen hebt geselecteerd op de vorige pagina. Selecteer een van de volgende acties in de vervolgkeuzelijst voor berichten van geblokkeerde vervalste afzenders:

      • Het bericht verplaatsen naar de mappen ongewenste Email van de geadresseerden (standaard)

      • Het bericht in quarantaine plaatsen: als u deze actie selecteert, wordt het vak Quarantainebeleid toepassen weergegeven waarin u het quarantainebeleid selecteert dat van toepassing is op berichten die in quarantaine zijn geplaatst door beveiliging tegen spoof-informatie.

        Als u geen quarantainebeleid selecteert, wordt het standaard quarantainebeleid voor detecties van adresvervalsingsinformatie gebruikt (DefaultFullAccessPolicy). Wanneer u de instellingen voor antiphishingbeleid later weergeeft of bewerkt, wordt de naam van het quarantainebeleid weergegeven.

    • Veiligheidstips & sectie indicatoren : Configureer de volgende instellingen:

      • Veiligheidstip voor eerste contact weergeven: Zie Eerste contact veiligheidstip voor meer informatie.
      • Weergeven (?) voor niet-geverifieerde afzenders voor spoof: deze instelling is alleen beschikbaar als u Spoof intelligence inschakelen hebt geselecteerd op de vorige pagina. Hiermee voegt u een vraagteken (?) toe aan de foto van de afzender in het vak Van in Outlook als het bericht niet door de SPF- of DKIM-controles komt en het bericht niet door DMARC of samengestelde verificatie komt. Deze instelling is standaard geselecteerd.
      • Tag 'via' weergeven: deze instelling is alleen beschikbaar als u Spoof intelligence inschakelen hebt geselecteerd op de vorige pagina. Voegt tag met de naam via (chris@contoso.com via fabrikam.com) toe aan het Van-adres als deze verschilt van het domein in de DKIM-handtekening of het MAIL FROM-adres . Deze instelling is standaard geselecteerd.

      Als u een instelling wilt inschakelen, schakelt u het selectievakje in. Als u dit wilt uitschakelen, schakelt u het selectievakje uit.

    Wanneer u klaar bent op de pagina Acties , selecteert u Volgende.

  7. Controleer uw instellingen op de pagina Controleren . U kunt in elke sectie Bewerken selecteren om de instellingen in de sectie te wijzigen. U kunt ook Vorige of de specifieke pagina in de wizard selecteren.

    Wanneer u klaar bent op de pagina Controleren , selecteert u Verzenden.

  8. Op de pagina Nieuw antiphishingbeleid dat is gemaakt , kunt u de koppelingen selecteren om het beleid weer te geven, antiphishingbeleid te bekijken en meer te weten te komen over antiphishingbeleid.

    Wanneer u klaar bent op de pagina Nieuw antiphishingbeleid, selecteert u Gereed.

    Op de pagina Antiphishing wordt het nieuwe beleid weergegeven.

De Microsoft Defender-portal gebruiken om details van antiphishingbeleid weer te geven

Ga in de Microsoft Defender-portal naar Email & Samenwerkingsbeleid>& Regels>Bedreigingsbeleid>Antiphishing in de sectie Beleid. Of gebruik https://security.microsoft.com/antiphishingom rechtstreeks naar de antiphishingpagina te gaan.

Op de pagina Antiphishing worden de volgende eigenschappen weergegeven in de lijst met antiphishingbeleidsregels:

Als u de lijst met beleidsregels wilt wijzigen van normale in compacte afstand, selecteert u Lijstafstand wijzigen in compact of normaal en selecteert u vervolgens Lijst comprimeren.

Gebruik Filter om het beleid te filteren op tijdsbereik (aanmaakdatum) of status.

Gebruik het vak Zoeken en een bijbehorende waarde om specifieke antiphishingbeleidsregels te vinden.

Gebruik Exporteren om de lijst met beleidsregels te exporteren naar een CSV-bestand.

Selecteer een beleid door op een andere plaats in de rij dan het selectievakje naast de naam te klikken om de flyout met details voor het beleid te openen.

Tip

Als u details wilt bekijken over andere antiphishingbeleidsregels zonder de flyout details te verlaten, gebruikt u Vorige item en Volgend item boven aan de flyout.

De Microsoft Defender-portal gebruiken om actie te ondernemen tegen antiphishingbeleid

  1. Ga in de Microsoft Defender-portal naar Email & Samenwerkingsbeleid>& Regels>Bedreigingsbeleid>Antiphishing in de sectie Beleid. Of gebruik https://security.microsoft.com/antiphishingom rechtstreeks naar de antiphishingpagina te gaan.

  2. Selecteer op de pagina Antiphishing het antiphishingbeleid met behulp van een van de volgende methoden:

    • Selecteer het beleid in de lijst door het selectievakje naast de naam in te schakelen. De volgende acties zijn beschikbaar in de vervolgkeuzelijst Meer acties die wordt weergegeven:

      • Schakel geselecteerde beleidsregels in.
      • Geselecteerde beleidsregels uitschakelen.
      • Geselecteerde beleidsregels verwijderen.

      De pagina Antiphishing met een beleid geselecteerd en het besturingselement Meer acties uitgevouwen.

    • Selecteer het beleid in de lijst door op een andere plaats in de rij dan het selectievakje naast de naam te klikken. Sommige of alle volgende acties zijn beschikbaar in de flyout met details die wordt geopend:

      • Wijzig beleidsinstellingen door in elke sectie op Bewerken te klikken (aangepast beleid of het standaardbeleid)
      • In- of uitschakelen (alleen aangepast beleid)
      • Prioriteit verhogen of Prioriteit verlagen (alleen aangepast beleid)
      • Beleid verwijderen (alleen aangepaste beleidsregels)

      De details van een aangepast antiphishingbeleid.

De acties worden beschreven in de volgende subsecties.

De Microsoft Defender portal gebruiken om antiphishingbeleid te wijzigen

Nadat u het standaard antiphishingbeleid of een aangepast beleid hebt geselecteerd door ergens in de rij te klikken, behalve het selectievakje naast de naam, worden de beleidsinstellingen weergegeven in de flyout met details die wordt geopend. Selecteer Bewerken in elke sectie om de instellingen in de sectie te wijzigen. Zie de sectie Antiphishingbeleid maken eerder in dit artikel voor meer informatie over de instellingen.

Voor het standaardbeleid kunt u de naam van het beleid niet wijzigen en zijn er geen ontvangersfilters die moeten worden geconfigureerd (het beleid is van toepassing op alle geadresseerden). U kunt echter alle andere instellingen in het beleid wijzigen.

Voor het antiphishingbeleid met de naam Standard Preset Security Policy en Strict Preset Security Policy die zijn gekoppeld aan vooraf ingesteld beveiligingsbeleid, kunt u de beleidsinstellingen niet wijzigen in de flyout details. In plaats daarvan selecteert u Vooraf ingesteld beveiligingsbeleid weergeven in de flyout details om naar de pagina Vooraf ingesteld beveiligingsbeleid te gaan op https://security.microsoft.com/presetSecurityPolicies om het vooraf ingestelde beveiligingsbeleid te wijzigen.

Gebruik de Microsoft Defender portal om aangepast antiphishingbeleid in of uit te schakelen

U kunt het standaard antiphishingbeleid niet uitschakelen (dit is altijd ingeschakeld).

U kunt het antiphishingbeleid dat is gekoppeld aan standaard- en strikt vooraf ingestelde beveiligingsbeleidsregels, niet in- of uitschakelen. U kunt het standaard- of strikt vooraf ingestelde beveiligingsbeleid op de pagina Vooraf ingesteld beveiligingsbeleid op https://security.microsoft.com/presetSecurityPoliciesin- of uitschakelen.

Nadat u een ingeschakeld aangepast antiphishingbeleid hebt geselecteerd (de statuswaarde is Aan), gebruikt u een van de volgende methoden om dit uit te schakelen:

  • Op de pagina Antiphishing: Selecteer Meer acties>Geselecteerde beleidsregels uitschakelen.
  • In de flyout met details van het beleid: selecteer Uitschakelen bovenaan de flyout.

Nadat u een uitgeschakeld aangepast antiphishingbeleid hebt geselecteerd (de statuswaarde is Uit), gebruikt u een van de volgende methoden om dit in te schakelen:

  • Op de pagina Antiphishing: Selecteer Meer acties>Geselecteerde beleidsregels inschakelen.
  • Selecteer in de flyout details van het beleid de optie Inschakelen bovenaan de flyout.

Op de pagina Antiphishing is de statuswaarde van het beleid nu Aan of Uit.

Gebruik de Microsoft Defender portal om de prioriteit van aangepast antiphishingbeleid in te stellen

Antiphishingbeleidsregels worden verwerkt in de volgorde waarin ze worden weergegeven op de pagina Antiphishing :

  • Het antiphishingbeleid met de naam Strikt vooraf ingesteld beveiligingsbeleid dat is gekoppeld aan het vooraf ingestelde beveiligingsbeleid strikt wordt altijd eerst toegepast (als het vooraf ingestelde beveiligingsbeleid strikt is ingeschakeld).
  • Het antiphishingbeleid met de naam Standaard vooraf ingesteld beveiligingsbeleid dat is gekoppeld aan het vooraf ingestelde standaardbeveiligingsbeleid wordt altijd daarna toegepast (als het vooraf ingestelde standaardbeveiligingsbeleid is ingeschakeld).
  • Aangepast antiphishingbeleid wordt vervolgens toegepast in prioriteitsvolgorde (als dit is ingeschakeld):
    • Een lagere prioriteitswaarde geeft een hogere prioriteit aan (0 is de hoogste).
    • Standaard wordt een nieuw beleid gemaakt met een prioriteit die lager is dan het laagste bestaande aangepaste beleid (het eerste is 0, het volgende is 1, enzovoort).
    • Geen twee beleidsregels kunnen dezelfde prioriteitswaarde hebben.
  • Het standaard antiphishingbeleid heeft altijd de prioriteitswaarde Laagste en u kunt dit niet wijzigen.

Antiphishingbeveiliging stopt voor een geadresseerde nadat het eerste beleid is toegepast (het beleid met de hoogste prioriteit voor die geadresseerde). Zie Volgorde en prioriteit van e-mailbeveiliging voor meer informatie.

Nadat u het aangepaste antiphishingbeleid hebt geselecteerd door op een andere plaats in de rij dan het selectievakje naast de naam te klikken, kunt u de prioriteit van het beleid verhogen of verlagen in de flyout met details die wordt geopend:

  • Het aangepaste beleid met de prioriteitswaarde 0 op de pagina Antiphishing heeft de actie Prioriteit verlagen bovenaan de flyout met details.
  • Het aangepaste beleid met de laagste prioriteit (hoogste prioriteitswaarde; bijvoorbeeld 3) heeft de actie Prioriteit verhogen bovenaan de flyout met details.
  • Als u drie of meer beleidsregels hebt, hebben de beleidsregels tussen Prioriteit 0 en de laagste prioriteit zowel de acties Prioriteit verhogen als Prioriteit verlagen bovenaan de flyout details.

Wanneer u klaar bent in de flyout met beleidsdetails, selecteert u Sluiten.

Op de pagina Antiphishing komt de volgorde van het beleid in de lijst overeen met de bijgewerkte prioriteitswaarde .

De Microsoft Defender-portal gebruiken om aangepast antiphishingbeleid te verwijderen

U kunt het standaard antiphishingbeleid of het antiphishingbeleid met de naam Standaard vooraf ingesteld beveiligingsbeleid en Strikt vooraf ingesteld beveiligingsbeleid dat is gekoppeld aan vooraf ingesteld beveiligingsbeleid, niet verwijderen.

Nadat u het aangepaste antiphishingbeleid hebt geselecteerd, gebruikt u een van de volgende methoden om het te verwijderen:

  • Op de pagina Antiphishing: Selecteer Meer acties>Geselecteerde beleidsregels verwijderen.
  • Selecteer in de flyout details van het beleid de optie Beleid verwijderen bovenaan de flyout.

Selecteer Ja in het waarschuwingsvenster dat wordt geopend.

Op de pagina Antiphishing wordt het verwijderde beleid niet meer weergegeven.

Exchange Online PowerShell gebruiken om antiphishingbeleid te configureren

In PowerShell zijn de basiselementen van een antiphishingbeleid:

  • Het anti-phish-beleid: hiermee geeft u de phishingbeveiligingen op die moeten worden in- of uitgeschakeld, de acties die moeten worden toegepast op deze beveiligingen en andere opties.
  • De anti-phish-regel: hiermee geeft u de prioriteits- en ontvangerfilters op (op wie het beleid van toepassing is) voor het bijbehorende anti-phish-beleid.

Het verschil tussen deze twee elementen is niet duidelijk wanneer u antiphishingbeleid beheert in de Microsoft Defender portal:

  • Wanneer u een beleid maakt in de Defender-portal, maakt u eigenlijk een anti-phish-regel en het bijbehorende anti-phish-beleid met dezelfde naam voor beide.
  • Wanneer u een beleid wijzigt in de Defender-portal, wijzigen instellingen met betrekking tot de naam, prioriteit, in- of uitgeschakelde instellingen en geadresseerdenfilters de anti-phishregel. Alle andere instellingen wijzigen het bijbehorende anti-phish-beleid.
  • Wanneer u een beleid verwijdert in de Defender-portal, worden de antiphish-regel en het bijbehorende antiphish-beleid tegelijkertijd verwijderd.

In Exchange Online PowerShell is het verschil tussen antiphish-beleid en anti-phish-regels duidelijk. U beheert anti-phish-beleid met behulp van de cmdlets *-AntiPhishPolicy en u beheert anti-phish-regels met behulp van de *-AntiPhishRule-cmdlets .

  • In PowerShell maakt u eerst het anti-phish-beleid en vervolgens de anti-phish-regel, waarmee het bijbehorende beleid wordt geïdentificeerd waarop de regel van toepassing is.
  • In PowerShell wijzigt u de instellingen in het anti-phish-beleid en de anti-phish-regel afzonderlijk.
  • Wanneer u een anti-phish-beleid uit PowerShell verwijdert, wordt de bijbehorende anti-phish-regel niet automatisch verwijderd en omgekeerd.

PowerShell gebruiken om antiphishingbeleid te maken

Het maken van een antiphishingbeleid in PowerShell bestaat uit twee stappen:

  1. Maak het anti-phish-beleid.
  2. Maak de anti-phish-regel waarmee het anti-phish-beleid wordt opgegeven waarop de regel van toepassing is.

Opmerkingen:

  • U kunt een nieuwe anti-phish-regel maken en er een bestaand, niet-gekoppeld anti-phish-beleid aan toewijzen. Een anti-phish-regel kan niet worden gekoppeld aan meer dan één anti-phish-beleid.

  • U kunt de volgende instellingen configureren voor nieuwe anti-phish-beleidsregels in PowerShell die pas beschikbaar zijn in de Microsoft Defender portal nadat u het beleid hebt gemaakt:

    • Maak het nieuwe beleid als uitgeschakeld (ingeschakeld$false op de cmdlet New-AntiPhishRule ).
    • Stel de prioriteit van het beleid in tijdens het maken (prioriteitsnummer<>) op de cmdlet New-AntiPhishRule).
  • Een nieuw anti-phish-beleid dat u in PowerShell maakt, is pas zichtbaar in de Microsoft Defender portal totdat u het beleid toewijst aan een anti-phish-regel.

Stap 1: PowerShell gebruiken om een anti-phish-beleid te maken

Gebruik deze syntaxis om een anti-phish-beleid te maken:

New-AntiPhishPolicy -Name "<PolicyName>" [-AdminDisplayName "<Comments>"] [-EnableSpoofIntelligence <$true | $false>] [-AuthenticationFailAction <MoveToJmf | Quarantine>] [-HonorDmarcPolicy <$true | $false>] [-DmarcQuarantineAction <MoveToJmf | Quarantine>] [-DmarcRejectAction <Quarantine | Reject>] [-EnableUnauthenticatedSender <$true | $false>] [-EnableViaTag <$true | $false>] [-SpoofQuarantineTag <QuarantineTagName>]

In dit voorbeeld wordt een anti-phish-beleid gemaakt met de naam Research Quarantine met de volgende instellingen:

  • De beschrijving is: Onderzoek afdelingsbeleid.
  • Wijzigt de standaardactie voor adresvervalsingsdetecties in Quarantaine en gebruikt het standaard quarantainebeleid voor de in quarantaine geplaatste berichten (we gebruiken de parameter SpoofQuarantineTag niet).
  • DmARC-beleid voor het honoreren p=quarantine en p=reject inschakelen van afzenders is standaard ingeschakeld (we gebruiken de parameter HonorDmarcPolicy niet en de standaardwaarde is $true).
    • Berichten die mislukken met DMARC waarbij het DMARC-beleid van de afzender zich bevindt p=quarantine , worden in quarantaine geplaatst (we gebruiken de parameter DmarcQuarantineAction niet en de standaardwaarde is Quarantaine).
    • Berichten die mislukken met DMARC waarbij het DMARC-beleid van de afzender is p=reject , worden geweigerd (we gebruiken de parameter DmarcRejectAction niet en de standaardwaarde is Weigeren).
New-AntiPhishPolicy -Name "Monitor Policy" -AdminDisplayName "Research department policy" -AuthenticationFailAction Quarantine

Zie New-AntiPhishPolicy voor gedetailleerde syntaxis- en parameterinformatie.

Stap 2: PowerShell gebruiken om een anti-phish-regel te maken

Als u een anti-phish-regel wilt maken, gebruikt u deze syntaxis:

New-AntiPhishRule -Name "<RuleName>" -AntiPhishPolicy "<PolicyName>" <Recipient filters> [<Recipient filter exceptions>] [-Comments "<OptionalComments>"]

In dit voorbeeld wordt een anti-phish-regel met de naam Research Department gemaakt met de volgende voorwaarden:

  • De regel is gekoppeld aan het anti-phish-beleid met de naam Research Quarantine.
  • De regel is van toepassing op leden van de groep met de naam Onderzoeksafdeling.
  • Omdat we de parameter Priority niet gebruiken, wordt de standaardprioriteit gebruikt.
New-AntiPhishRule -Name "Research Department" -AntiPhishPolicy "Research Quarantine" -SentToMemberOf "Research Department"

Zie New-AntiPhishRule voor gedetailleerde syntaxis- en parameterinformatie.

PowerShell gebruiken om anti-phish-beleid weer te geven

Gebruik de volgende syntaxis om bestaande anti-phish-beleidsregels weer te geven:

Get-AntiPhishPolicy [-Identity "<PolicyIdentity>"] [| <Format-Table | Format-List> <Property1,Property2,...>]

In dit voorbeeld wordt een overzichtslijst geretourneerd van alle anti-phish-beleidsregels, samen met de opgegeven eigenschappen.

Get-AntiPhishPolicy | Format-Table Name,IsDefault

In dit voorbeeld worden alle eigenschapswaarden geretourneerd voor het anti-phish-beleid met de naam Executives.

Get-AntiPhishPolicy -Identity "Executives"

Zie Get-AntiPhishPolicy voor gedetailleerde syntaxis- en parameterinformatie.

PowerShell gebruiken om antiphish-regels weer te geven

Gebruik de volgende syntaxis om bestaande anti-phishregels weer te geven:

Get-AntiPhishRule [-Identity "<RuleIdentity>"] [-State <Enabled | Disabled] [| <Format-Table | Format-List> <Property1,Property2,...>]

In dit voorbeeld wordt een overzichtslijst geretourneerd van alle anti-phishregels, samen met de opgegeven eigenschappen.

Get-AntiPhishRule | Format-Table Name,Priority,State

Voer de volgende opdrachten uit om de lijst te filteren op ingeschakelde en uitgeschakelde regels:

Get-AntiPhishRule -State Disabled | Format-Table Name,Priority
Get-AntiPhishRule -State Enabled | Format-Table Name,Priority

In dit voorbeeld worden alle eigenschapswaarden geretourneerd voor de anti-phish-regel met de naam Contoso Executives.

Get-AntiPhishRule -Identity "Contoso Executives"

Zie Get-AntiPhishRule voor gedetailleerde syntaxis- en parameterinformatie.

PowerShell gebruiken om anti-phish-beleid te wijzigen

Afgezien van de volgende items zijn dezelfde instellingen beschikbaar wanneer u een anti-phish-beleid wijzigt in PowerShell als wanneer u een beleid maakt, zoals beschreven in Stap 1: PowerShell gebruiken om een anti-phish-beleid te maken eerder in dit artikel.

  • De schakeloptie MakeDefault waarmee het opgegeven beleid wordt omgezet in het standaardbeleid (toegepast op iedereen, altijd laagste prioriteit en u kunt het niet verwijderen) is alleen beschikbaar wanneer u een anti-phish-beleid wijzigt in PowerShell.
  • U kunt de naam van een anti-phish-beleid niet wijzigen (de cmdlet Set-AntiPhishPolicy heeft geen naamparameter ). Wanneer u de naam van een antiphish-beleid wijzigt in de Microsoft Defender portal, wijzigt u alleen de naam van de antiphish-regel.

Als u een anti-phish-beleid wilt wijzigen, gebruikt u deze syntaxis:

Set-AntiPhishPolicy -Identity "<PolicyName>" <Settings>

Zie Set-AntiPhishPolicy voor gedetailleerde syntaxis- en parameterinformatie.

PowerShell gebruiken om anti-phish-regels te wijzigen

De enige instelling die niet beschikbaar is wanneer u een antiphish-regel wijzigt in PowerShell, is de parameter Ingeschakeld waarmee u een uitgeschakelde regel kunt maken. Als u bestaande antiphish-regels wilt in- of uitschakelen, raadpleegt u de volgende sectie.

Anders zijn dezelfde instellingen beschikbaar wanneer u een regel maakt, zoals beschreven in de sectie Stap 2: PowerShell gebruiken om een antiphish-regel te maken eerder in dit artikel.

Als u een antiphish-regel wilt wijzigen, gebruikt u deze syntaxis:

Set-AntiPhishRule -Identity "<RuleName>" <Settings>

Zie Set-AntiPhishRule voor gedetailleerde syntaxis- en parameterinformatie.

PowerShell gebruiken om anti-phish-regels in of uit te schakelen

Als u een antiphish-regel inschakelt of uitschakelt in PowerShell, wordt het hele antiphish-beleid (de antiphish-regel en het toegewezen antiphish-beleid) in- of uitgeschakeld. U kunt het standaard antiphishingbeleid niet in- of uitschakelen (het wordt altijd toegepast op alle geadresseerden).

Gebruik deze syntaxis om een anti-phish-regel in of uit te schakelen in PowerShell:

<Enable-AntiPhishRule | Disable-AntiPhishRule> -Identity "<RuleName>"

In dit voorbeeld wordt de anti-phish-regel met de naam Marketing Department uitgeschakeld.

Disable-AntiPhishRule -Identity "Marketing Department"

In dit voorbeeld wordt dezelfde regel ingeschakeld.

Enable-AntiPhishRule -Identity "Marketing Department"

Zie Enable-AntiPhishRule en Disable-AntiPhishRule voor gedetailleerde syntaxis- en parameterinformatie.

PowerShell gebruiken om de prioriteit van anti-phish-regels in te stellen

De hoogste prioriteit die u in kunt stellen op een regel is 0. De laagste prioriteit die u kunt instellen is afhankelijk van het aantal regels. Als u bijvoorbeeld vijf regels hebt, kunt u de waarden 0 t/m 4 gebruiken. Het wijzigen van de prioriteit van een bestaande regel kan een domino-effect hebben op andere regels. Als u bijvoorbeeld vijf aangepaste regels hebt (prioriteiten 0 t/m 4) en u wijzigt de prioriteit van een regel in 2, dan wordt de bestaande regel met prioriteit 2 gewijzigd in 3 en de regel met prioriteit 3 wordt gewijzigd in 4.

Gebruik de volgende syntaxis om de prioriteit van een anti-phish-regel in PowerShell in te stellen:

Set-AntiPhishRule -Identity "<RuleName>" -Priority <Number>

In dit voorbeeld wordt de prioriteit van de regel met de naam Marketing Department ingesteld op 2. Alle bestaande regels die een prioriteit hebben die minder of gelijk is aan 2, worden verlaagd met 1 (hun prioriteitsnummers worden verhoogd met 1).

Set-AntiPhishRule -Identity "Marketing Department" -Priority 2

Opmerkingen:

  • Als u de prioriteit van een nieuwe regel wilt instellen wanneer u deze maakt, gebruikt u in plaats daarvan de parameter Priority op de cmdlet New-AntiPhishRule .
  • Het standaard anti-phish-beleid heeft geen bijbehorende anti-phish-regel en heeft altijd de niet-aanpasbare prioriteitswaarde Laagste.

PowerShell gebruiken om anti-phish-beleid te verwijderen

Wanneer u PowerShell gebruikt om een anti-phish-beleid te verwijderen, wordt de bijbehorende anti-phish-regel niet verwijderd.

Als u een anti-phish-beleid in PowerShell wilt verwijderen, gebruikt u deze syntaxis:

Remove-AntiPhishPolicy -Identity "<PolicyName>"

In dit voorbeeld wordt het anti-phish-beleid met de naam Marketing Department verwijderd.

Remove-AntiPhishPolicy -Identity "Marketing Department"

Zie Remove-AntiPhishPolicy voor gedetailleerde syntaxis- en parameterinformatie.

PowerShell gebruiken om anti-phish-regels te verwijderen

Wanneer u PowerShell gebruikt om een anti-phish-regel te verwijderen, wordt het bijbehorende anti-phish-beleid niet verwijderd.

Gebruik deze syntaxis om een anti-phish-regel in PowerShell te verwijderen:

Remove-AntiPhishRule -Identity "<PolicyName>"

In dit voorbeeld wordt de anti-phish-regel met de naam Marketing Department verwijderd.

Remove-AntiPhishRule -Identity "Marketing Department"

Zie Remove-AntiPhishRule voor gedetailleerde syntaxis- en parameterinformatie.

Hoe weet ik of deze procedures zijn geslaagd?

Voer een van de volgende stappen uit om te controleren of u antiphishingbeleid hebt geconfigureerd in EOP:

  • Controleer op de pagina Antiphishing in de Microsoft Defender portal op https://security.microsoft.com/antiphishingde lijst met beleidsregels, de statuswaarden en de prioriteitswaarden. Als u meer details wilt weergeven, selecteert u het beleid in de lijst door op de naam te klikken en de details weer te geven in de flyout die wordt weergegeven.

  • Vervang in Exchange Online PowerShell Naam> door <de naam van het beleid of de regel, voer de volgende opdracht uit en controleer de instellingen:

    Get-AntiPhishPolicy -Identity "<Name>"
    
    Get-AntiPhishRule -Identity "<Name>"