Wist u dat u de functies in Microsoft Defender voor Office 365 Abonnement 2 gratis kunt uitproberen? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft Defender portal. Meer informatie over wie zich kan registreren en proefabonnementen kan uitvoeren op Try Microsoft Defender voor Office 365.
Exchange Online Protection (EOP) is de kern van beveiliging voor Microsoft 365-abonnementen en helpt te voorkomen dat schadelijke e-mailberichten de postvakken van uw werknemer bereiken. Maar met nieuwe, geavanceerdere aanvallen die elke dag opduiken, zijn vaak verbeterde beveiligingen vereist.
Microsoft Defender voor Office 365 Abonnement 1 of Plan 2 bevatten aanvullende functies die meer beveiligings-, controle- en onderzoekslagen bieden.
Hoewel we beveiligingsbeheerders in staat stellen hun beveiligingsinstellingen aan te passen, zijn er twee beveiligingsniveaus in EOP en Microsoft Defender voor Office 365 die we aanbevelen: Standaard en Strikt. Hoewel de omgevingen en behoeften van klanten verschillen, helpen deze filterniveaus in de meeste situaties voorkomen dat ongewenste e-mail het Postvak IN van uw werknemers bereikt.
In dit artikel worden de standaardinstellingen beschreven, en ook de aanbevolen standaard- en strikte instellingen om uw gebruikers te beschermen. De tabellen bevatten de instellingen in de Microsoft Defender portal en PowerShell (Exchange Online PowerShell of zelfstandige Exchange Online Protection PowerShell voor organisaties zonder Exchange Online postvakken).
Notitie
De Office 365 Advanced Threat Protection Recommended Configuration Analyzer (ORCA)-module voor PowerShell kan beheerders helpen de huidige waarden van deze instellingen te vinden. Met name de cmdlet Get-ORCAReport genereert een evaluatie van antispam-, antiphishing- en andere hygiëne-instellingen voor berichten. U kunt de ORCA-module downloaden op https://www.powershellgallery.com/packages/ORCA/.
In Microsoft 365-organisaties raden we u aan om het Filter Email voor ongewenste e-mail in Outlook op Geen automatisch filteren te laten staan om onnodige conflicten (zowel positief als negatief) te voorkomen met de spamfilters van EOP. Zie de volgende artikelen voor meer informatie:
Bescherming tegen spam, antimalware en antiphishing in EOP
Antispam, antimalware en antiphishing zijn EOP-functies die door beheerders kunnen worden geconfigureerd. We raden de volgende standaard- of strikte configuraties aan.
Quarantainebeleid bepaalt wat gebruikers kunnen doen met berichten in quarantaine en of gebruikers quarantainemeldingen ontvangen. Zie Anatomie van een quarantainebeleid voor meer informatie.
Het beleid met de naam AdminOnlyAccessPolicy dwingt de historische mogelijkheden af voor berichten die in quarantaine zijn geplaatst als malware, zoals beschreven in de tabel hier.
Gebruikers kunnen hun eigen berichten die als malware in quarantaine zijn geplaatst niet vrijgeven, ongeacht hoe het quarantainebeleid is geconfigureerd. Als het beleid toestaat dat gebruikers hun eigen berichten in quarantaine vrijgeven, mogen gebruikers in plaats daarvan de release van hun in quarantaine geplaatste malwareberichten aanvragen .
Naam van beveiligingsfunctie
Standaard
Standaard
Streng
Opmerking
Beveiligingsinstellingen
Het algemene bijlagefilter inschakelen (EnableFileFilter)
* Het algemene filter voor bijlagen is standaard ingeschakeld in nieuw antimalwarebeleid dat u maakt in de Defender-portal of in PowerShell, en in het standaard antimalwarebeleid in organisaties die zijn gemaakt na 1 december 2023.
Algemene meldingen voor bijlagefilters: wanneer deze bestandstypen worden gevonden (FileTypeAction)
Het bericht weigeren met een rapport over niet-bezorging (NDR) (Reject)
Het bericht weigeren met een rapport over niet-bezorging (NDR) (Reject)
Het bericht weigeren met een rapport over niet-bezorging (NDR) (Reject)
Zero-hour auto purge inschakelen voor malware (ZapEnabled)
Geselecteerd ($true)
Geselecteerd ($true)
Geselecteerd ($true)
Quarantainebeleid (Quarantainetag)
AdminOnlyAccessPolicy
AdminOnlyAccessPolicy
AdminOnlyAccessPolicy
Beheer meldingen
Een beheerder informeren over niet-bezorgde berichten van interne afzenders (EnableInternalSenderAdminNotifications en InternalSenderAdminAddress)
Niet geselecteerd ($false)
Niet geselecteerd ($false)
Niet geselecteerd ($false)
We hebben geen specifieke aanbeveling voor deze instelling.
Een beheerder informeren over niet-bezorgde berichten van externe afzenders (EnableExternalSenderAdminNotifications en ExternalSenderAdminAddress)
Niet geselecteerd ($false)
Niet geselecteerd ($false)
Niet geselecteerd ($false)
We hebben geen specifieke aanbeveling voor deze instelling.
Meldingen aanpassen
We hebben geen specifieke aanbevelingen voor deze instellingen.
Overal waar u Quarantainebericht selecteert als actie voor een spamfilterbeoordeling, is het vak Quarantainebeleid selecteren beschikbaar. Quarantainebeleid bepaalt wat gebruikers kunnen doen met berichten in quarantaine en of gebruikers quarantainemeldingen ontvangen. Zie Anatomie van een quarantainebeleid voor meer informatie.
Als u de actie van een spamfilterbeoordeling wijzigt in Bericht in quarantaine wanneer u antispambeleid maakt in de Defender-portal, is het vak Quarantainebeleid selecteren standaard leeg. Een lege waarde betekent dat het standaardquarantainebeleid voor dat spamfilterbeoordeling wordt gebruikt. Met deze standaardquarantainebeleidsregels worden de historische mogelijkheden afgedwongen voor het spamfilteroordeel dat het bericht in quarantaine heeft geplaatst, zoals beschreven in de tabel hier. Wanneer u de instellingen voor het antispambeleid later weergeeft of bewerkt, wordt de naam van het quarantainebeleid weergegeven.
Deze instelling is alleen beschikbaar in PowerShell.
Instellingen voor spamscore verhogen
Al deze instellingen maken deel uit van het geavanceerde spamfilter (ASF). Zie de sectie ASF-instellingen in antispambeleid in dit artikel voor meer informatie.
Markeren als spam-instellingen
De meeste van deze instellingen maken deel uit van ASF. Zie de sectie ASF-instellingen in antispambeleid in dit artikel voor meer informatie.
Bevat specifieke talen (EnableLanguageBlockList en LanguageBlockList)
Uit ($false en Leeg)
Uit ($false en Leeg)
Uit ($false en Leeg)
We hebben geen specifieke aanbeveling voor deze instelling. U kunt berichten in specifieke talen blokkeren op basis van uw bedrijfsbehoeften.
Vanuit deze landen (EnableRegionBlockList en RegionBlockList)
Uit ($false en Leeg)
Uit ($false en Leeg)
Uit ($false en Leeg)
We hebben geen specifieke aanbeveling voor deze instelling. U kunt berichten uit specifieke landen/regio's blokkeren op basis van uw bedrijfsbehoeften.
Bericht verplaatsen naar de map Ongewenste Email (MoveToJmf)
Bericht verplaatsen naar de map Ongewenste Email (MoveToJmf)
Quarantainebericht (Quarantine)
Quarantainebeleid voor spam (SpamQuarantineTag)
DefaultFullAccessPolicy¹
DefaultFullAccessPolicy
DefaultFullAccessWithNotificationPolicy
Het quarantainebeleid is alleen zinvol als spamdetecties in quarantaine worden geplaatst.
Spamdetectieactie met hoge betrouwbaarheid (HighConfidenceSpamAction)
Bericht verplaatsen naar de map Ongewenste Email (MoveToJmf)
Quarantainebericht (Quarantine)
Quarantainebericht (Quarantine)
Quarantainebeleid voor spam met hoge betrouwbaarheid (HighConfidenceSpamQuarantineTag)
DefaultFullAccessPolicy¹
DefaultFullAccessWithNotificationPolicy
DefaultFullAccessWithNotificationPolicy
Het quarantainebeleid is alleen zinvol als spamdetecties met een hoge betrouwbaarheid in quarantaine worden geplaatst.
Phishingdetectieactie (PhishSpamAction)
Bericht verplaatsen naar de map Ongewenste Email (MoveToJmf)*
Quarantainebericht (Quarantine)
Quarantainebericht (Quarantine)
*De standaardwaarde is Bericht verplaatsen naar ongewenste e-mail Email map in het standaard antispambeleid en in nieuwe antispambeleidsregels die u maakt in PowerShell. De standaardwaarde is Quarantainebericht in nieuw antispambeleid dat u maakt in de Defender-portal.
Quarantainebeleid voor phishing (PhishQuarantineTag)
DefaultFullAccessPolicy¹
DefaultFullAccessWithNotificationPolicy
DefaultFullAccessWithNotificationPolicy
Het quarantainebeleid is alleen zinvol als phishingdetecties in quarantaine worden geplaatst.
Detectieactie voor phishing met hoge betrouwbaarheid (HighConfidencePhishAction)
Quarantainebericht (Quarantine)
Quarantainebericht (Quarantine)
Quarantainebericht (Quarantine)
Gebruikers kunnen hun eigen berichten die in quarantaine zijn geplaatst niet vrijgeven als phishing met hoge betrouwbaarheid, ongeacht hoe het quarantainebeleid is geconfigureerd. Als het beleid toestaat dat gebruikers hun eigen berichten in quarantaine vrijgeven, mogen gebruikers in plaats daarvan de release van hun phishingberichten met hoge betrouwbaarheid in quarantaine aanvragen .
Quarantainebeleid voor phishing met hoge betrouwbaarheid (HighConfidencePhishQuarantineTag)
AdminOnlyAccessPolicy
AdminOnlyAccessPolicy
AdminOnlyAccessPolicy
BCL (Bulk Compliant Level) is bereikt of overschreden (BulkSpamAction)
Bericht verplaatsen naar de map Ongewenste Email (MoveToJmf)
Bericht verplaatsen naar de map Ongewenste Email (MoveToJmf)
Quarantainebericht (Quarantine)
Quarantainebeleid voor bulkconform niveau (BCL) bereikt of overschreden (BulkQuarantineTag)
DefaultFullAccessPolicy¹
DefaultFullAccessPolicy
DefaultFullAccessWithNotificationPolicy
Het quarantainebeleid is alleen zinvol als bulkdetecties in quarantaine worden geplaatst.
Berichten binnen de organisatie waarop actie moet worden ondernomen (IntraOrgFilterState)
Standaard (standaard)
Standaard (standaard)
Standaard (standaard)
De waarde Standaard is hetzelfde als het selecteren van phishingberichten met hoge betrouwbaarheid. Momenteel is in Amerikaanse overheidsorganisaties (Microsoft 365 GCC, GCC High en DoD) de waarde Standaard hetzelfde als het selecteren van Geen.
Bewaar spam in quarantaine voor dit aantal dagen (QuarantineRetentionPeriod)
15 dagen
30 dagen
30 dagen
Deze waarde is ook van invloed op berichten die in quarantaine zijn geplaatst door antiphishingbeleid. Zie Retentie in quarantaine voor meer informatie.
Het toevoegen van domeinen aan de lijst met toegestane domeinen is een heel slecht idee. Aanvallers kunnen u e-mail sturen die anders zou worden gefilterd.
Gebruik het inzicht in adresvervalsingsinformatie en de lijst voor toestaan/blokkeren van tenants om alle afzenders te controleren die e-mailadressen van afzenders spoofen in de e-maildomeinen van uw organisatie of adresvervalsing van afzenders in externe domeinen.
¹ Zoals beschreven in Volledige toegangsmachtigingen en quarantainemeldingen, kan uw organisatie NotificationEnabledPolicy gebruiken in plaats van DefaultFullAccessPolicy in het standaardbeveiligingsbeleid of in nieuwe aangepaste beveiligingsbeleidsregels die u maakt. Het enige verschil tussen deze twee quarantainebeleidsregels is dat quarantainemeldingen zijn ingeschakeld in NotificationEnabledPolicy en uitgeschakeld in DefaultFullAccessPolicy.
Het filteren van afzender-id's mislukt (MarkAsSpamFromAddressAuthFail)
Uit
Uit
Uit
Backscatter (MarkAsSpamNdrBackscatter)
Uit
Uit
Uit
Testmodus (TestModeAction)
Geen
Geen
Geen
Voor ASF-instellingen die Testen als een actie ondersteunen, kunt u de actie testmodus configureren op Geen, Standaard X-Header-tekst toevoegen of BCC-bericht verzenden (None, AddXHeaderof BccMessage). Zie ASF-instellingen inschakelen, uitschakelen of testen voor meer informatie.
Notitie
ASF voegt X-headervelden toe X-CustomSpam: aan berichten nadat de berichten zijn verwerkt door Exchange-e-mailstroomregels (ook wel transportregels genoemd), zodat u geen e-mailstroomregels kunt gebruiken om berichten te identificeren en erop te reageren die zijn gefilterd op ASF.
Zie Verzendlimieten voor meer informatie over de standaard verzendlimieten in de service.
Notitie
Uitgaand spambeleid maakt geen deel uit van standaard- of strikt vooraf ingesteld beveiligingsbeleid. De standaard - en strikte waarden geven de aanbevolen waarden aan in het standaardbeleid voor uitgaande spam of in het aangepaste uitgaande spambeleid dat u maakt.
Naam van beveiligingsfunctie
Standaard
Aanbevolen Standaard
Aanbevolen Streng
Opmerking
Een limiet voor extern bericht instellen (RecipientLimitExternalPerHour)
0
500
400
De standaardwaarde 0 betekent dat u de standaardinstellingen van de service gebruikt.
Een interne berichtlimiet instellen (RecipientLimitInternalPerHour)
0
1000
800
De standaardwaarde 0 betekent dat u de standaardinstellingen van de service gebruikt.
Een dagelijkse berichtlimiet instellen (RecipientLimitPerDay)
0
1000
800
De standaardwaarde 0 betekent dat u de standaardinstellingen van de service gebruikt.
Beperking voor gebruikers die de berichtlimiet hebben bereikt (ActionWhenThresholdReached)
De gebruiker beperken om e-mail te verzenden tot de volgende dag (BlockUserForToday)
De gebruiker beperken om e-mail te verzenden (BlockUser)
De gebruiker beperken om e-mail te verzenden (BlockUser)
Regels voor automatisch doorsturen (AutoForwardingMode)
Verzend een kopie van uitgaande berichten die deze limieten overschrijden naar deze gebruikers en groepen (BccSuspiciousOutboundMail en BccSuspiciousOutboundAdditionalRecipients)
Niet geselecteerd ($false en Leeg)
Niet geselecteerd ($false en Leeg)
Niet geselecteerd ($false en Leeg)
Deze instelling werkt alleen in het standaardbeleid voor uitgaande spam. Dit werkt niet in aangepast uitgaand spambeleid dat u maakt.
De microsoft SecureScore-aanbeveling Ervoor zorgen Exchange Online spambeleid is ingesteld op beheerders, stelt voor dat u deze waarde configureert.
Waarschuw deze gebruikers en groepen als een afzender is geblokkeerd vanwege het verzenden van uitgaande spam (NotifyOutboundSpam en NotifyOutboundSpamRecipients)
Hoewel u wordt aangeraden het waarschuwingsbeleid te gebruiken in plaats van deze instelling in het beleid voor uitgaande spam om beheerders en andere gebruikers op de hoogte te stellen, raadt de Microsoft SecureScore-aanbeveling Ervoor zorgen Exchange Online spambeleid zijn ingesteld op beheerders, aan dat u deze waarde configureert.
De spoof-instellingen zijn onderling gerelateerd, maar de instelling Eerste contacttip weergeven heeft geen afhankelijkheid van spoof-instellingen.
Quarantainebeleid bepaalt wat gebruikers kunnen doen met berichten in quarantaine en of gebruikers quarantainemeldingen ontvangen. Zie Anatomie van een quarantainebeleid voor meer informatie.
Hoewel de waarde Quarantainebeleid toepassen niet is geselecteerd wanneer u een antiphishingbeleid maakt in de Defender-portal, wordt het quarantainebeleid met de naam DefaultFullAccessPolicy¹ gebruikt als u geen quarantainebeleid selecteert. Dit beleid dwingt de historische mogelijkheden af voor berichten die in quarantaine zijn geplaatst als adresvervalsing, zoals beschreven in de tabel hier. Wanneer u de instellingen voor het quarantainebeleid later weergeeft of bewerkt, wordt de naam van het quarantainebeleid weergegeven.
DmARC-recordbeleid honoreert wanneer het bericht wordt gedetecteerd als adresvervalsing (HonorDmarcPolicy)
Geselecteerd ($true)
Geselecteerd ($true)
Geselecteerd ($true)
Wanneer deze instelling is ingeschakeld, bepaalt u wat er gebeurt met berichten waarbij de afzender expliciete DMARC-controles mislukt wanneer de beleidsactie in de DMARC TXT-record is ingesteld op p=quarantine of p=reject. Zie Spoof-beveiliging en DMARC-beleid voor afzenders voor meer informatie.
Als het bericht wordt gedetecteerd als spoof en DMARC-beleid is ingesteld als p=quarantine (DmarcQuarantineAction)
Het bericht in quarantaine plaatsen (Quarantine)
Het bericht in quarantaine plaatsen (Quarantine)
Het bericht in quarantaine plaatsen (Quarantine)
Deze actie is alleen zinvol wanneer HET DMARC-recordbeleid honoreert wanneer het bericht wordt gedetecteerd als adresvervalsing is ingeschakeld.
Als het bericht wordt gedetecteerd als spoof en DMARC-beleid is ingesteld als p=reject (DmarcRejectAction)
Het bericht weigeren (Reject)
Het bericht weigeren (Reject)
Het bericht weigeren (Reject)
Deze actie is alleen zinvol wanneer HET DMARC-recordbeleid honoreert wanneer het bericht wordt gedetecteerd als adresvervalsing is ingeschakeld.
Als het bericht wordt gedetecteerd als spoof door spoof intelligence (AuthenticationFailAction)
Het bericht verplaatsen naar de mappen ongewenste Email van de geadresseerden (MoveToJmf)
Het bericht verplaatsen naar de mappen ongewenste Email van de geadresseerden (MoveToJmf)
Weergeven (?) voor niet-geverifieerde afzenders voor adresvervalsing (EnableUnauthenticatedSender)
Geselecteerd ($true)
Geselecteerd ($true)
Geselecteerd ($true)
Hiermee wordt een vraagteken (?) toegevoegd aan de foto van de afzender in Outlook voor niet-geïdentificeerde vervalste afzenders. Zie Niet-geverifieerde afzenderindicatoren voor meer informatie.
Via-tag weergeven (EnableViaTag)
Geselecteerd ($true)
Geselecteerd ($true)
Geselecteerd ($true)
Voegt een via-tag (chris@contoso.com via fabrikam.com) toe aan het Van-adres als deze verschilt van het domein in de DKIM-handtekening of het MAIL FROM-adres .
¹ Zoals beschreven in Volledige toegangsmachtigingen en quarantainemeldingen, kan uw organisatie NotificationEnabledPolicy gebruiken in plaats van DefaultFullAccessPolicy in het standaardbeveiligingsbeleid of in nieuwe aangepaste beveiligingsbeleidsregels die u maakt. Het enige verschil tussen deze twee quarantainebeleidsregels is dat quarantainemeldingen zijn ingeschakeld in NotificationEnabledPolicy en uitgeschakeld in DefaultFullAccessPolicy.
Microsoft Defender voor Office 365 beveiliging
Extra beveiligingsvoordelen worden geleverd met een Microsoft Defender voor Office 365-abonnement. Zie Wat is er nieuw in Defender voor Office 365 voor het laatste nieuws en informatie.
Belangrijk
Het standaard antiphishingbeleid in Microsoft Defender voor Office 365 biedt bescherming tegen adresvervalsing en postvakinformatie voor alle geadresseerden. De andere beschikbare imitatiebeveiligingsfuncties en geavanceerde instellingen zijn echter niet geconfigureerd of ingeschakeld in het standaardbeleid. Gebruik een van de volgende methoden om alle beveiligingsfuncties in te schakelen:
Schakel het vooraf ingestelde standaard - en/of strikte beveiligingsbeleid in en gebruik deze en configureer de imitatiebeveiliging daar.
Wijzig het standaard antiphishingbeleid.
Aanvullende antiphishingbeleidsregels maken.
Hoewel er geen standaardbeleid voor veilige bijlagen of veilige koppelingen is, biedt het vooraf ingestelde beveiligingsbeleid voor ingebouwde beveiliging veilige bijlagen en veilige koppelingen beveiliging voor alle geadresseerden die niet zijn gedefinieerd in het vooraf ingestelde standaardbeveiligingsbeleid, het vooraf ingestelde beveiligingsbeleid strikt vooraf ingesteld beveiligingsbeleid of in aangepast beleid voor veilige bijlagen of veilige koppelingen). Zie Vooraf ingesteld beveiligingsbeleid in EOP en Microsoft Defender voor Office 365 voor meer informatie.
Als uw abonnement Microsoft Defender voor Office 365 bevat of als u Defender voor Office 365 hebt aangeschaft als invoegtoepassing, stelt u de volgende standaard- of strikte configuraties in.
Instellingen voor antiphishingbeleid in Microsoft Defender voor Office 365
EOP-klanten krijgen eenvoudige antiphishing zoals eerder beschreven, maar Defender voor Office 365 bevat meer functies en controle om aanvallen te voorkomen, te detecteren en te herstellen. Zie Antiphishingbeleid configureren in Defender voor Office 365 om dit beleid te maken en te configureren.
Geavanceerde instellingen in antiphishingbeleid in Microsoft Defender voor Office 365
Overal waar u Het bericht in quarantaine plaatsen selecteert als de actie voor een imitatiebeoordeling, is het vak Quarantainebeleid toepassen beschikbaar. Quarantainebeleid bepaalt wat gebruikers kunnen doen met berichten in quarantaine en of gebruikers quarantainemeldingen ontvangen. Zie Anatomie van een quarantainebeleid voor meer informatie.
Hoewel de waarde quarantainebeleid toepassen niet is geselecteerd wanneer u een antiphishingbeleid maakt in de Defender-portal, wordt het quarantainebeleid met de naam DefaultFullAccessPolicy gebruikt als u geen quarantainebeleid selecteert. Dit beleid dwingt de historische mogelijkheden af voor berichten die in quarantaine zijn geplaatst als imitatie, zoals beschreven in de tabel hier. Wanneer u de instellingen voor het quarantainebeleid later weergeeft of bewerkt, wordt de naam van het quarantainebeleid weergegeven.
Beveiliging voor gebruikersimitatie: gebruikers in staat stellen om te beveiligen (EnableTargetedUserProtection en TargetedUsersToProtect)
Niet geselecteerd ($false en geen)
Geselecteerd ($true en <lijst met gebruikers>)
Geselecteerd ($true en <lijst met gebruikers>)
We raden u aan gebruikers (afzenders van berichten) toe te voegen in belangrijke rollen. Intern kunnen beveiligde afzenders uw CEO, CFO en andere senior leiders zijn. Externe, beschermde afzenders kunnen raadsleden of uw raad van bestuur zijn.
Beveiliging voor domeinimitatie: domeinen inschakelen om te beveiligen
Niet geselecteerd
Uitverkoren
Uitverkoren
Domeinen opnemen die ik bezit (EnableOrganizationDomainsProtection)
Uit ($false)
Geselecteerd ($true)
Geselecteerd ($true)
Aangepaste domeinen opnemen (EnableTargetedDomainsProtection en TargetedDomainsToProtect)
Uit ($false en geen)
Geselecteerd ($true en <lijst met domeinen>)
Geselecteerd ($true en <lijst met domeinen>)
We raden u aan domeinen (afzenderdomeinen) toe te voegen die u niet bezit, maar waarmee u regelmatig communiceert.
Vertrouwde afzenders en domeinen toevoegen (ExcludedSenders en ExcludedDomains)
Geen
Geen
Geen
Afhankelijk van uw organisatie raden we u aan afzenders of domeinen toe te voegen die onjuist zijn geïdentificeerd als imitatiepogingen.
Intelligence inschakelen voor imitatiebeveiliging (EnableMailboxIntelligenceProtection)
Uit ($false)
Geselecteerd ($true)
Geselecteerd ($true)
Met deze instelling kan de opgegeven actie worden uitgevoerd voor detectie van imitatie op basis van postvakinformatie.
Acties
Als een bericht wordt gedetecteerd als gebruikersimitatie (TargetedUserProtectionAction)
Geen actie toepassen (NoAction)
Het bericht in quarantaine plaatsen (Quarantine)
Het bericht in quarantaine plaatsen (Quarantine)
Quarantainebeleid voor gebruikersimitatie (TargetedUserQuarantineTag)
DefaultFullAccessPolicy¹
DefaultFullAccessWithNotificationPolicy
DefaultFullAccessWithNotificationPolicy
Het quarantainebeleid is alleen zinvol als detecties van gebruikersimitatie in quarantaine worden geplaatst.
Als een bericht wordt gedetecteerd als domeinimitatie (TargetedDomainProtectionAction)
Geen actie toepassen (NoAction)
Het bericht in quarantaine plaatsen (Quarantine)
Het bericht in quarantaine plaatsen (Quarantine)
Quarantainebeleid voor domeinimitatie (TargetedDomainQuarantineTag)
DefaultFullAccessPolicy¹
DefaultFullAccessWithNotificationPolicy
DefaultFullAccessWithNotificationPolicy
Het quarantainebeleid is alleen zinvol als domein-imitatiedetecties in quarantaine zijn geplaatst.
Als postvakinformatie een geïmiteerde gebruiker detecteert (MailboxIntelligenceProtectionAction)
Geen actie toepassen (NoAction)
Het bericht verplaatsen naar de mappen ongewenste Email van de geadresseerden (MoveToJmf)
Het bericht in quarantaine plaatsen (Quarantine)
Quarantainebeleid voor imitatie van postvakinformatie (MailboxIntelligenceQuarantineTag)
DefaultFullAccessPolicy¹
DefaultFullAccessPolicy
DefaultFullAccessWithNotificationPolicy
Het quarantainebeleid is alleen zinvol als detecties van postvakinformatie in quarantaine worden geplaatst.
Veiligheidstip voor imitatie van gebruiker weergeven (EnableSimilarUsersSafetyTips)
Uit ($false)
Geselecteerd ($true)
Geselecteerd ($true)
Veiligheidstip voor domeinimitatie weergeven (EnableSimilarDomainsSafetyTips)
Uit ($false)
Geselecteerd ($true)
Geselecteerd ($true)
Veiligheidstip voor gebruikersimitatie van ongebruikelijke tekens weergeven (EnableUnusualCharactersSafetyTips)
Uit ($false)
Geselecteerd ($true)
Geselecteerd ($true)
¹ Zoals beschreven in Volledige toegangsmachtigingen en quarantainemeldingen, kan uw organisatie NotificationEnabledPolicy gebruiken in plaats van DefaultFullAccessPolicy in het standaardbeveiligingsbeleid of in nieuwe aangepaste beveiligingsbeleidsregels die u maakt. Het enige verschil tussen deze twee quarantainebeleidsregels is dat quarantainemeldingen zijn ingeschakeld in NotificationEnabledPolicy en uitgeschakeld in DefaultFullAccessPolicy.
EOP-beleidsinstellingen voor antiphishing in Microsoft Defender voor Office 365
Veilige bijlagen in Microsoft Defender voor Office 365 bevat globale instellingen die geen relatie hebben met het beleid voor veilige bijlagen en instellingen die specifiek zijn voor elk beleid voor veilige koppelingen. Zie Veilige bijlagen in Defender voor Office 365 voor meer informatie.
Hoewel er geen standaardbeleid voor veilige bijlagen is, biedt het vooraf ingestelde beveiligingsbeleid voor ingebouwde beveiliging veilige bijlagen voor alle geadresseerden die niet zijn gedefinieerd in het standaard- of strikt vooraf ingestelde beveiligingsbeleid of in aangepaste beleidsregels voor veilige bijlagen. Zie Vooraf ingesteld beveiligingsbeleid in EOP en Microsoft Defender voor Office 365 voor meer informatie.
Algemene instellingen voor veilige bijlagen
Notitie
De algemene instellingen voor veilige bijlagen worden ingesteld door het vooraf ingestelde beveiligingsbeleid voor ingebouwde beveiliging, maar niet door het standaard - of strikt vooraf ingestelde beveiligingsbeleid. In beide gevallen kunnen beheerders deze algemene instellingen voor veilige bijlagen op elk gewenst moment wijzigen.
In de kolom Standaard ziet u de waarden vóór het bestaan van het vooraf ingestelde beveiligingsbeleid voor ingebouwde beveiliging. In de kolom Ingebouwde beveiliging ziet u de waarden die zijn ingesteld door het vooraf ingestelde beveiligingsbeleid voor ingebouwde beveiliging . Dit zijn ook de aanbevolen waarden.
Veilige documenten voor Office-clients inschakelen (EnableSafeDocs)
Uit ($false)
Op ($true)
Deze functie is alleen beschikbaar en zinvol met licenties die niet zijn opgenomen in Defender voor Office 365 (bijvoorbeeld Microsoft 365 A5 of Microsoft 365 E5 Security). Raadpleeg Veilige documenten in Microsoft 365 A5- of E5-beveiliging voor meer informatie.
Personen toestaan door beveiligde weergave te klikken, zelfs als Veilige documenten het bestand als schadelijk hebben geïdentificeerd (AllowSafeDocsOpen)
Uit ($false)
Uit ($false)
Deze instelling is gerelateerd aan Veilige documenten.
Zoals eerder beschreven, is er geen standaardbeleid voor veilige bijlagen, maar biedt het vooraf ingestelde beveiligingsbeleid voor ingebouwde beveiliging veilige bijlagen voor alle geadresseerden die niet zijn gedefinieerd in het vooraf ingestelde standaardbeveiligingsbeleid, het vooraf ingestelde beveiligingsbeleid strikt of in aangepaste beleidsregels voor veilige bijlagen.
De kolom Standaard in aangepaste kolom verwijst naar de standaardwaarden in het nieuwe beleid voor veilige bijlagen dat u maakt. De resterende kolommen geven (tenzij anders vermeld) de waarden aan die zijn geconfigureerd in het bijbehorende vooraf ingestelde beveiligingsbeleid.
Quarantainebeleid bepaalt wat gebruikers kunnen doen met berichten in quarantaine en of gebruikers quarantainemeldingen ontvangen. Zie Anatomie van een quarantainebeleid voor meer informatie.
Het beleid met de naam AdminOnlyAccessPolicy dwingt de historische mogelijkheden af voor berichten die in quarantaine zijn geplaatst als malware, zoals beschreven in de tabel hier.
Gebruikers kunnen hun eigen berichten die als malware in quarantaine zijn geplaatst door Veilige bijlagen niet vrijgeven, ongeacht hoe het quarantainebeleid is geconfigureerd. Als het beleid toestaat dat gebruikers hun eigen berichten in quarantaine vrijgeven, mogen gebruikers in plaats daarvan de release van hun in quarantaine geplaatste malwareberichten aanvragen .
Naam van beveiligingsfunctie
Standaardinstelling in aangepast
Ingebouwde beveiliging
Standaard
Streng
Opmerking
Onbekende reactie op veilige bijlagen (inschakelen en actie)
Uit (-Enable $false en -Action Block)
Blok (-Enable $true en -Action Block)
Blok (-Enable $true en -Action Block)
Blok (-Enable $true en -Action Block)
Wanneer de parameter Inschakelen is $false, maakt de waarde van de actieparameter niet uit.
Quarantainebeleid (Quarantainetag)
AdminOnlyAccessPolicy
AdminOnlyAccessPolicy
AdminOnlyAccessPolicy
AdminOnlyAccessPolicy
Omleidingsbijlage met gedetecteerde bijlagen : omleiding inschakelen (Omleiding en OmleidingAdres)
Niet geselecteerd en geen e-mailadres opgegeven. (-Redirect $false en RedirectAddress is leeg)
Niet geselecteerd en geen e-mailadres opgegeven. (-Redirect $false en RedirectAddress is leeg)
Niet geselecteerd en geen e-mailadres opgegeven. (-Redirect $false en RedirectAddress is leeg)
Niet geselecteerd en geen e-mailadres opgegeven. (-Redirect $false en RedirectAddress is leeg)
Het omleiden van berichten is alleen beschikbaar wanneer de waarde voor het onbekende malware-antwoord van Veilige bijlagenMonitor (-Enable $true en -Action Allow) is.
Hoewel er geen standaardbeleid voor Veilige koppelingen is, biedt het vooraf ingestelde beveiligingsbeleid voor ingebouwde beveiliging veilige koppelingen voor alle geadresseerden die niet zijn gedefinieerd in het standaard vooraf ingestelde beveiligingsbeleid, het vooraf ingestelde beveiligingsbeleid strikt of in aangepaste beleidsregels voor veilige koppelingen. Zie Vooraf ingesteld beveiligingsbeleid in EOP en Microsoft Defender voor Office 365 voor meer informatie.
De kolom Standaard in aangepaste kolom verwijst naar de standaardwaarden in het nieuwe beleid voor veilige koppelingen dat u maakt. De resterende kolommen geven (tenzij anders vermeld) de waarden aan die zijn geconfigureerd in het bijbehorende vooraf ingestelde beveiligingsbeleid.
Naam van beveiligingsfunctie
Standaardinstelling in aangepast
Ingebouwde beveiliging
Standaard
Streng
Opmerking
Instellingen voor URL-& klikbeveiliging
E-mail
De instellingen in deze sectie zijn van invloed op het herschrijven van URL's en de tijd van klikbeveiliging in e-mailberichten.
Aan: Veilige koppelingen controleert een lijst met bekende, schadelijke koppelingen wanneer gebruikers op koppelingen in e-mail klikken. URL's worden standaard herschreven. (EnableSafeLinksForEmail)
Geselecteerd ($true)
Geselecteerd ($true)
Geselecteerd ($true)
Geselecteerd ($true)
Veilige koppelingen toepassen op e-mailberichten die binnen de organisatie worden verzonden (EnableForInternalSenders)
Geselecteerd ($true)
Niet geselecteerd ($false)
Geselecteerd ($true)
Geselecteerd ($true)
Realtime URL-scannen toepassen op verdachte koppelingen en koppelingen die naar bestanden verwijzen (ScanUrls)
Geselecteerd ($true)
Geselecteerd ($true)
Geselecteerd ($true)
Geselecteerd ($true)
Wacht tot het scannen van URL's is voltooid voordat het bericht wordt verzonden (DeliverMessageAfterScan)
Geselecteerd ($true)
Geselecteerd ($true)
Geselecteerd ($true)
Geselecteerd ($true)
URL's niet herschrijven, alleen controles uitvoeren via de Safe Links-API (DisableURLRewrite)
Geselecteerd ($false)*
Geselecteerd ($true)
Niet geselecteerd ($false)
Niet geselecteerd ($false)
* In het nieuwe beleid voor veilige koppelingen dat u maakt in de Defender-portal, is deze instelling standaard geselecteerd. In het nieuwe beleid voor veilige koppelingen dat u in PowerShell maakt, is $falsede standaardwaarde van de parameter DisableURLRewrite .
De volgende URL's niet herschrijven in e-mail (DoNotRewriteUrls)
Blanco
Blanco
Blanco
Blanco
We hebben geen specifieke aanbeveling voor deze instelling.
Opmerking: vermeldingen in de lijst 'De volgende URL's niet herschrijven' worden niet gescand of verpakt door veilige koppelingen tijdens de e-mailstroom. Rapporteer de URL zoals ik heb bevestigd dat deze schoon is en selecteer vervolgens Deze URL toestaan om een acceptatievermelding toe te voegen aan de lijst Tenant toestaan/blokkeren, zodat de URL niet wordt gescand of verpakt door veilige koppelingen tijdens de e-mailstroom en tijdens het klikken. Zie Goede URL's rapporteren aan Microsoft voor instructies.
Teams
De instelling in deze sectie is van invloed op de tijd van klikbeveiliging in Microsoft Teams.
Aan: Veilige koppelingen controleert een lijst met bekende, schadelijke koppelingen wanneer gebruikers op koppelingen in Microsoft Teams klikken. URL's worden niet herschreven. (EnableSafeLinksForTeams)
Geselecteerd ($true)
Geselecteerd ($true)
Geselecteerd ($true)
Geselecteerd ($true)
apps Office 365
De instelling in deze sectie is van invloed op de tijd van klikbeveiliging in Office-apps.
Aan: Veilige koppelingen controleert een lijst met bekende, schadelijke koppelingen wanneer gebruikers op koppelingen in Microsoft Office-apps klikken. URL's worden niet herschreven. (EnableSafeLinksForOffice)
Gebruikers laten doorklikken naar de oorspronkelijke URL (AllowClickThrough)
Geselecteerd ($false)*
Geselecteerd ($true)
Niet geselecteerd ($false)
Niet geselecteerd ($false)
* In het nieuwe beleid voor veilige koppelingen dat u maakt in de Defender-portal, is deze instelling standaard geselecteerd. In het nieuwe beleid voor veilige koppelingen dat u in PowerShell maakt, is $falsede standaardwaarde van de parameter AllowClickThrough .
De huisstijl van de organisatie weergeven op meldings- en waarschuwingspagina's (EnableOrganizationBranding)
Niet geselecteerd ($false)
Niet geselecteerd ($false)
Niet geselecteerd ($false)
Niet geselecteerd ($false)
We hebben geen specifieke aanbeveling voor deze instelling.
Hoe wilt u uw gebruikers op de hoogte stellen? (CustomNotificationText en UseTranslatedNotificationText)
Gebruik de standaardmeldingstekst (Leeg en $false)
Gebruik de standaardmeldingstekst (Leeg en $false)
Gebruik de standaardmeldingstekst (Leeg en $false)
Gebruik de standaardmeldingstekst (Leeg en $false)
We hebben geen specifieke aanbeveling voor deze instelling.
U kunt Aangepaste meldingstekst gebruiken (-CustomNotificationText "<Custom text>") selecteren om aangepaste meldingstekst in te voeren en te gebruiken. Als u aangepaste tekst opgeeft, kunt u ook Microsoft Translator gebruiken voor automatische lokalisatie (-UseTranslatedNotificationText $true) selecteren om de tekst automatisch te vertalen in de taal van de gebruiker.
Beheerders en gebruikers kunnen fout-positieven (goede e-mail gemarkeerd als slecht) en fout-negatieven (slechte e-mail toegestaan) verzenden naar Microsoft voor analyse. Zie voor meer informatie berichten en bestanden rapporteren aan Microsoft.
This module examines how Microsoft Defender for Office 365 extends EOP protection through various tools, including Safe Attachments, Safe Links, spoofed intelligence, spam filtering policies, and the Tenant Allow/Block List.
Demonstreert de basisprincipes van gegevensbeveiliging, levenscyclusbeheer, informatiebeveiliging en naleving om een Microsoft 365-implementatie te beschermen.
Beheerders kunnen leren hoe u standaard- en strikte beleidsinstellingen kunt toepassen op de beveiligingsfuncties van Exchange Online Protection (EOP) en Microsoft Defender voor Office 365
Beheerders kunnen leren hoe ze de configuratieanalyse kunnen gebruiken om beveiligingsbeleidsregels te vinden en op te lossen die minder veilig zijn dan Standaardbeveiliging en Strikte beveiliging in vooraf ingesteld beveiligingsbeleid.
Beheerders kunnen meer te weten komen over het antiphishingbeleid dat beschikbaar is in Exchange Online Protection (EOP) en Microsoft Defender voor Office 365.
Stap voor het instellen van vooraf ingesteld beveiligingsbeleid in Microsoft Defender voor Office 365 zodat u de beveiliging hebt die door het product wordt aanbevolen. Met vooraf ingesteld beleid wordt een beveiligingsprofiel ingesteld van *Standaard* of *Strikt*. Stel deze en Microsoft Defender voor Office 365 deze beveiligingscontroles voor u beheert en onderhoudt.
Beheerders kunnen in Exchange Online Protection (EOP) meer informatie vinden over antimalwarebeveiliging en antimalwarebeleid dat bescherming biedt tegen virussen, spyware en ransomware.