Probeer Microsoft Defender voor Office 365

Als bestaande Microsoft 365-klant kunt u op de pagina's Proefversies en evaluatie in de Microsoft Defender portal de https://security.microsoft.com functies van Microsoft Defender voor Office 365 Abonnement 2 uitproberen voordat u koopt.

Voordat u Defender voor Office 365 Abonnement 2 probeert, zijn er enkele belangrijke vragen die u uzelf moet stellen:

• Wil ik passief bekijken wat Defender voor Office 365 Abonnement 2 voor mij kan doen (audit)?
• Wil ik dat Defender voor Office 365 Plan 2 direct actie onderneemt bij gedetecteerde problemen (blokkeren)?
• Hoe dan ook, hoe weet ik wat Defender voor Office 365 Abonnement 2 voor mij doet?
• Hoe lang heb ik nog voordat ik de beslissing moet nemen om Defender te behouden voor Office 365 Abonnement 2?

Dit artikel helpt u bij het beantwoorden van deze vragen, zodat u Defender voor Office 365 Abonnement 2 kunt proberen op een manier die het beste voldoet aan de behoeften van uw organisatie.

Zie Gebruikershandleiding voor proefversies: Microsoft Defender voor Office 365 voor een begeleidende handleiding voor het gebruik van uw proefabonnement.

Opmerking

Proefversies en evaluaties van Defender voor Office 365 zijn niet beschikbaar in Amerikaanse overheidsorganisaties (Microsoft 365 GCC, GCC High en DoD) of Microsoft 365 Education organisaties.

Overzicht van Defender voor Office 365

Defender for Office 365 helpt organisaties hun onderneming te beveiligen door een uitgebreide reeks mogelijkheden te bieden. Zie Microsoft Defender voor Office 365 voor meer informatie.

U vindt ook meer informatie over Defender voor Office 365 in deze interactieve handleiding.

Bekijk deze korte video voor meer informatie over hoe u meer gedaan kunt krijgen in minder tijd met Microsoft Defender voor Office 365.

Zie Microsoft Defender voor Office 365 voor prijsinformatie.

Hoe proefversies en evaluaties werken voor Defender voor Office 365

Beleid

Defender voor Office 365 bevat de standaardbeveiliging voor e-mail voor cloudpostvakken en functies die exclusief zijn voor Defender voor Office 365.

De beveiligingsfuncties voor e-mail en samenwerking van Microsoft 365 worden geïmplementeerd met behulp van beleid. Beleidsregels die exclusief zijn voor Defender voor Office 365 worden zo nodig voor u gemaakt:

• Imitatiebeveiliging in antiphishingbeleid
• Veilige bijlagen voor e-mailberichten
• Veilige koppelingen voor e-mailberichten en Microsoft Teams
  • Veilige koppelingen ontploft URL's tijdens de e-mailstroom. Als u wilt voorkomen dat specifieke URL's worden ontplofd, verzendt u de URL's als goede URL's naar Microsoft. Zie Goede URL's rapporteren aan Microsoft voor instructies.
  • Veilige koppelingen verpakt GEEN URL-koppelingen in de hoofdteksten van e-mailberichten.

Als u in aanmerking komt voor een evaluatie of proefversie, hebt u al cloudpostvakken in Microsoft 365, zodat bestaande beleidsregels voor bedreigingen kunnen reageren op berichten (bijvoorbeeld berichten verzenden naar de map Ongewenste Email of in quarantaine plaatsen):

• Anti-malwarebeleid
• Beveiliging tegen binnenkomende spam
• Bescherming tegen adresvervalsing in antiphishingbeleid

Het standaardbeleid voor bedreigingen voor deze functies is altijd ingeschakeld, is van toepassing op alle geadresseerden en wordt altijd als laatste toegepast na aangepast bedreigingsbeleid.

Controlemodus versus blokkeringsmodus voor Defender voor Office 365

Wilt u dat uw Defender voor Office 365 ervaring actief of passief is? De volgende modi zijn beschikbaar:

• Controlemodus: er worden speciale evaluatiebeleidsregels gemaakt voor antiphishing (waaronder bescherming tegen imitatie), veilige bijlagen en veilige koppelingen. Dit evaluatiebeleid is geconfigureerd om alleen bedreigingen te detecteren . Defender voor Office 365 detecteert schadelijke berichten voor rapportage, maar er wordt niet op de berichten gereageerd (gedetecteerde berichten worden bijvoorbeeld niet in quarantaine geplaatst). De instellingen van deze evaluatiebeleidsregels worden beschreven in de sectie Beleid in controlemodus verderop in dit artikel.

  Opmerking

  De volgende beveiligingsfuncties zijn standaard ingeschakeld en kunnen actie ondernemen op items, zelfs in de controlemodus:

  • Veilige koppelingen tijd van klikbeveiliging in niet-e-mailworkloads (bijvoorbeeld Microsoft Teams, SharePoint en OneDrive).
  • Zero-hour auto purge (ZAP) in Microsoft Teams.

  U kunt ook selectief antiphishingbeveiliging (spoofing en imitatie), beveiliging tegen veilige koppelingen en beveiliging van veilige bijlagen in- of uitschakelen. Zie Evaluatie-instellingen beheren voor instructies.

  De controlemodus biedt gespecialiseerde rapporten voor bedreigingen die zijn gedetecteerd door het evaluatiebeleid op de Microsoft Defender voor Office 365 evaluatiepagina op https://security.microsoft.com/atpEvaluation. Deze rapporten worden beschreven in de sectie Rapporten voor controlemodus verderop in dit artikel.

• Blokkeringsmodus: De standaardsjabloon voor vooraf ingesteld beveiligingsbeleid wordt ingeschakeld en gebruikt voor de proefversie. De gebruikers die u opgeeft om op te nemen in de proefversie, worden toegevoegd aan het vooraf ingestelde standaardbeveiligingsbeleid. Defender voor Office 365 detecteert en onderneemt actie op schadelijke berichten (gedetecteerde berichten worden bijvoorbeeld in quarantaine geplaatst).

  De standaard- en aanbevolen selectie is het bereik van Defender voor Office 365-beleid voor alle gebruikers in de organisatie. Maar tijdens of na het instellen van de proefversie kunt u de beleidstoewijzing wijzigen aan specifieke gebruikers, groepen of e-maildomeinen in de Microsoft Defender portal of in Exchange Online PowerShell.

  De reguliere rapporten en onderzoeksfuncties van Defender for Office 365 Plan 2 bevatten informatie over bedreigingen die zijn gedetecteerd door Defender voor Office 365. Deze functies worden beschreven in de sectie Rapporten voor blokkeringsmodus verderop in dit artikel.

De belangrijkste factoren die bepalen welke modi voor u beschikbaar zijn, zijn:

• Of u momenteel defender voor Office 365 (abonnement 1 of abonnement 2) hebt, zoals beschreven in de volgende sectie.

• Hoe e-mail wordt bezorgd bij uw Microsoft 365-organisatie, zoals beschreven in de volgende scenario's:

  • E-mail van internet stroomt rechtstreeks naar Microsoft 365, maar uw huidige abonnement heeft alleen de standaard e-mailbeveiliging voor cloudpostvakken of Defender voor Office 365 Abonnement 1.

    

    In deze omgevingen is de controlemodus of blokkeringsmodus beschikbaar, afhankelijk van uw licentie, zoals wordt uitgelegd in de volgende sectie.

  • U gebruikt momenteel een niet-Microsoft-service of -apparaat voor e-mailbeveiliging van uw cloudpostvakken. E-mail van internet stroomt via de beveiligingsservice voordat deze wordt bezorgd in uw Microsoft 365-organisatie. Microsoft 365-beveiliging is zo laag mogelijk (het is nooit helemaal uitgeschakeld; malwarebeveiliging wordt bijvoorbeeld altijd afgedwongen).

    

    In deze omgevingen is alleen de controlemodus beschikbaar. U hoeft uw e-mailstroom (MX-records) niet te wijzigen om Defender te evalueren voor Office 365 Abonnement 2.

Evaluatie versus proefversie voor Defender voor Office 365

Wat is het verschil tussen een evaluatie en een proefversie van Defender voor Office 365 Abonnement 2? Zijn ze niet hetzelfde? Ja en nee. De licentieverlening in uw Microsoft 365-organisatie maakt het verschil:

• Geen Defender voor Office 365-abonnement 2: u kunt defender voor Office 365 abonnement 2 starten vanaf de volgende locaties in de Microsoft Defender-portal:

  • De pagina microsoft 365-proefversies op https://security.microsoft.com/trialHorizontalHub.
  • De Microsoft Defender voor Office 365 evaluatiepagina op https://security.microsoft.com/atpEvaluation.

  U kunt de controlemodus (evaluatiebeleid) of de blokkeringsmodus (standaard vooraf ingesteld beveiligingsbeleid) selecteren tijdens het instellen van de evaluatie of proefversie.

  Ongeacht de locatie die u gebruikt, worden alle vereiste Defender-licenties voor Office 365 Abonnement 2 automatisch ingericht wanneer u zich inschrijft. Het handmatig ophalen en toewijzen van abonnement 2-licenties in de Microsoft 365-beheercentrum is niet vereist.

  De automatisch ingerichte licenties zijn 90 dagen geldig. Wat deze periode van 90 dagen betekent, is afhankelijk van de bestaande licenties in uw organisatie:

  • Geen Defender voor Office 365 Abonnement 1: Alle functies van Defender voor Office 365 Abonnement 2 (met name bedreigingsbeleid) zijn alleen beschikbaar gedurende de periode van 90 dagen.

  • Defender voor Office 365-abonnement 1: u hebt al hetzelfde bedreigingsbeleid beschikbaar in Defender voor Office 365 Abonnement 2: imitatiebeveiliging in antiphishingbeleid, beleid voor veilige bijlagen en beleidsregels voor veilige koppelingen.

    Het bedreigingsbeleid uit de controlemodus (evaluatiebeleid) of blokkeringsmodus (standaard vooraf ingesteld beveiligingsbeleid) verloopt niet of werkt niet meer na 90 dagen. Wat na 90 dagen eindigt, zijn de automatiserings-, onderzoek-, herstel- en onderwijsmogelijkheden van Defender voor Office 365 Abonnement 2 die niet beschikbaar zijn in Abonnement 1.

  Als u uw evaluatie of proefversie instelt in de controlemodus (evaluatiebeleid), kunt u later converteren naar de blokkeringsmodus (standaard vooraf ingesteld beveiligingsbeleid). Zie de sectie Converteren naar standaardbeveiliging verderop in dit artikel voor instructies.

• Defender voor Office 365 Abonnement 2: Als u Defender voor Office 365 Abonnement 2 al hebt (bijvoorbeeld als onderdeel van een Microsoft 365 E5-abonnement), kunt u Defender voor Office 365 niet selecteren op de pagina Proefversies van Microsoft 365 op https://security.microsoft.com/trialHorizontalHub.

  U kunt alleen een evaluatie van Defender voor Office 365 instellen op de pagina Microsoft Defender voor Office 365 evaluatie op https://security.microsoft.com/atpEvaluation. Bovendien wordt de evaluatie automatisch ingesteld in de controlemodus (evaluatiebeleid).

  Later kunt u converteren naar de blokkeringsmodus (standaard vooraf ingesteld beveiligingsbeleid) met behulp van de actie Converteren naar standaard op de Microsoft Defender voor Office 365 evaluatiepagina of door de evaluatie uit te schakelen op de Microsoft Defender voor Office 365 evaluatie en vervolgens het vooraf ingestelde standaardbeveiligingsbeleid configureren.

  Organisaties met Defender voor Office 365 Abonnement 2 hebben per definitie geen extra licenties nodig om Defender te evalueren voor Office 365 Abonnement 2, dus evaluaties in deze organisaties zijn onbeperkt van duur.

De informatie uit de vorige lijst wordt samengevat in de volgende tabel:

Organisatie	Inschrijven vanaf de pagina Proefversies?	Inschrijven vanaf de pagina Evaluatie?	Beschikbare modi	Evaluatie periode
Microsoft 365 E3	Ja	Ja	Controlemodus Blokkeringsmodus¹	90 dagen
Defender voor Office 365 Abonnement 1 Microsoft 365 Business Premium	Ja	Ja	Controlemodus Blokkeringsmodus¹	90 dagen²
Microsoft 365 E5	Nee	Ja	Controlemodus Blokkerende modus¹ ³	Onbegrensd

¹ Zoals eerder beschreven, is de blokkeringsmodus (standaard vooraf ingesteld beveiligingsbeleid) niet beschikbaar als internet-e-mail via een niet-Microsoft-beveiligingsservice of -apparaat stroomt vóór levering aan Microsoft 365.

² Het bedreigingsbeleid van de controlemodus (evaluatiebeleid) of blokkeringsmodus (standaard vooraf ingesteld beveiligingsbeleid) verloopt niet of werkt niet meer na 90 dagen. De mogelijkheden voor automatisering, onderzoek, herstel en onderwijs die exclusief zijn voor Defender for Office 365 Plan 2, werken na 90 dagen niet meer.

³ De evaluatie wordt ingesteld in de controlemodus (evaluatiebeleid). Op elk moment nadat de installatie is voltooid, kunt u converteren naar de blokkeringsmodus (standaard vooraf ingesteld beveiligingsbeleid) zoals beschreven in Converteren naar standaardbeveiliging.

Nu u de verschillen tussen evaluaties, proefversies, controlemodus en blokkeringsmodus begrijpt, kunt u uw evaluatie of proefversie instellen zoals beschreven in de volgende secties.

Een evaluatie of proefversie instellen in de controlemodus

Houd er rekening mee dat wanneer u Defender voor Office 365 in de controlemodus evalueert of probeert, er speciale evaluatiebeleidsregels worden gemaakt voor Defender voor Office 365 om bedreigingen te detecteren. De instellingen van deze evaluatiebeleidsregels worden beschreven in de sectie Beleid in controlemodus verderop in dit artikel.

1. Start de evaluatie op een van de beschikbare locaties in de Microsoft Defender portal op https://security.microsoft.com. Bijvoorbeeld:

   • Selecteer gratis proefversie starten op de banner boven aan een pagina met functies van Defender voor Office 365.
   • Zoek en selecteer Defender voor Office 365 op https://security.microsoft.com/trialHorizontalHubde pagina Microsoft 365-proefversies op.
   • Selecteer op de pagina Microsoft Defender voor Office 365 evaluatie de https://security.microsoft.com/atpEvaluationoptie Evaluatie starten.

2. Het dialoogvenster Beveiliging inschakelen is niet beschikbaar in organisaties met Defender voor Office 365 Abonnement 1 of Abonnement 2.

   Selecteer in het dialoogvenster Beveiliging inschakelende optie Nee, ik wil alleen rapportage en selecteer vervolgens Doorgaan.

3. Configureer in het dialoogvenster Selecteer de gebruikers die u wilt opnemen de volgende instellingen:

   • Alle gebruikers: de standaard- en aanbevolen optie.

   • Specifieke gebruikers: als u deze optie selecteert, moet u de interne ontvangers selecteren waarop de evaluatie van toepassing is:

     • Gebruikers: de opgegeven postvakken, e-mailgebruikers or e-mailcontactpersonen.
     • Groepen:
       • Leden van de opgegeven distributiegroepen of beveiligingsgroepen met e-mail (dynamische distributiegroepen worden niet ondersteund).
       • De opgegeven Microsoft 365 Groepen (dynamische lidmaatschapsgroepen in Microsoft Entra ID worden niet ondersteund).
     • Domeinen: alle geadresseerden in de organisatie met een primair e-mailadres in het opgegeven geaccepteerde domein.

     Tip

     Subdomeinen worden automatisch opgenomen, tenzij u ze specifiek uitsluit. Een beleid met contoso.com bevat bijvoorbeeld ook marketing.contoso.com, tenzij u marketing.contoso.com uitsluit.

     Klik in het vak, begin een waarde te typen en selecteer de waarde in de resultaten onder het vak. Herhaal deze stap zo vaak als nodig is. Als u een bestaande waarde wilt verwijderen, selecteert u naast de waarde in het vak.

     Voor gebruikers of groepen kunt u de meeste id's (naam, weergavenaam, alias, e-mailadres, accountnaam, enzovoort) gebruiken, maar de bijbehorende weergavenaam wordt weergegeven in de resultaten. Voor gebruikers voert u zelf een sterretje (*) in om alle beschikbare waarden weer te geven.

     U kunt een voorwaarde voor een geadresseerde slechts één keer gebruiken, maar de voorwaarde kan meerdere waarden bevatten:

     • Meerdere waarden van dezelfde voorwaarde gebruiken OF-logica (bijvoorbeeld <geadresseerde1> of <geadresseerde2>). Als de ontvanger overeenkomt met een van de opgegeven waarden, wordt het beleid daarop toegepast.

     • Verschillende typen voorwaarden gebruiken AND-logica. De geadresseerde moet voldoen aan alle opgegeven voorwaarden om het beleid op hen toe te passen. U configureert bijvoorbeeld een voorwaarde met de volgende waarden:

       • Gebruikers: romain@contoso.com
       • Groepen: Leidinggevenden

       Het beleid wordt alleen toegepast romain@contoso.com als hij ook lid is van de groep Leidinggevenden. Anders wordt het beleid niet op hem toegepast.

   Wanneer u klaar bent in het dialoogvenster Selecteer de gebruikers die u wilt opnemen , selecteert u Doorgaan.

4. Configureer de volgende opties in het dialoogvenster Help ons inzicht te geven in uw e-mailstroom :

   • Een van de volgende opties wordt automatisch geselecteerd op basis van onze detectie van de MX-record voor uw domein:

     • Ik gebruik een niet-Microsoft- en/of on-premises serviceprovider: de MX-record voor uw domeinpunten ergens anders dan Microsoft 365. Controleer of configureer de volgende instellingen:

       • Service van derden die uw organisatie gebruikt: Controleer of selecteer een van de volgende waarden:

         • Overige: voor deze waarde is ook informatie vereist in Als uw e-mailberichten via meerdere gateways worden doorgegeven, vermeldt u elk IP-adres van de gateway, dat alleen beschikbaar is voor de waarde Overige. Gebruik deze waarde als u een on-premises serviceprovider gebruikt.

           Voer een door komma's gescheiden lijst in van de IP-adressen die worden gebruikt door de niet-Microsoft-beveiligingsservice of het apparaat voor het verzenden van e-mail naar Microsoft 365.

         • Barracuda

         • IronPort

         • Mimecast

         • Controlepunt

         • Sophos

         • Symantec

         • Trend Micro

       • De connector waarop deze evaluatie moet worden toegepast: selecteer de connector die wordt gebruikt voor de e-mailstroom naar Microsoft 365.

         Verbeterde filtering voor connectors (ook wel overslaan genoemd) wordt automatisch geconfigureerd op de connector die u opgeeft.

         Wanneer een niet-Microsoft-service of -apparaat zich voor Microsoft 365 bevindt, gaat u als volgende te werk:

         • Identificeert de bron van internetberichten correct.
         • Verbetert de nauwkeurigheid van Microsoft 365-functies aanzienlijk:
           • Spoof intelligence
           • Mogelijkheden na inbreuk in Threat Explorer en Automated Investigation & Response (AIR) .

     • Ik gebruik alleen Microsoft Exchange Online: De MX-records voor uw domein verwijzen naar Microsoft 365. U hoeft niets meer te configureren, dus selecteer Voltooien.

   • Gegevens delen met Microsoft: deze optie is niet standaard ingeschakeld, maar u kunt het selectievakje desgewenst inschakelen.

   Wanneer u klaar bent in het dialoogvenster Help ons inzicht te geven in uw e-mailstroom , selecteert u Voltooien.

5. Wanneer het instellen is voltooid, krijgt u het dialoogvenster Laat ons u rondlopen . Selecteer Rondleiding starten of Sluiten.

Een evaluatie of proefversie instellen in de blokkeringsmodus

Houd er rekening mee dat wanneer u Defender voor Office 365 in de blokkeringsmodus probeert, de vooraf ingestelde standaardbeveiliging is ingeschakeld en de opgegeven gebruikers (sommige of iedereen) worden opgenomen in het vooraf ingestelde standaardbeveiligingsbeleid. Zie Vooraf ingesteld beveiligingsbeleid voor meer informatie over het vooraf ingestelde standaardbeveiligingsbeleid.

1. Start de proefversie op een van de beschikbare locaties in de Microsoft Defender portal op https://security.microsoft.com. Bijvoorbeeld:

   • Selecteer gratis proefversie starten op de banner boven aan een pagina met functies van Defender voor Office 365.
   • Zoek en selecteer Defender voor Office 365 op https://security.microsoft.com/trialHorizontalHubde pagina Microsoft 365-proefversies op.
   • Selecteer op de pagina Microsoft Defender voor Office 365 evaluatie de https://security.microsoft.com/atpEvaluationoptie Evaluatie starten.

2. Het dialoogvenster Beveiliging inschakelen is niet beschikbaar in organisaties met Defender voor Office 365 Abonnement 1 of Abonnement 2.

   Selecteer in het dialoogvenster Beveiliging inschakelende optie Ja, mijn organisatie beveiligen door bedreigingen te blokkeren en selecteer vervolgens Doorgaan.

3. Configureer in het dialoogvenster Selecteer de gebruikers die u wilt opnemen de volgende instellingen:

   • Alle gebruikers: de standaard- en aanbevolen optie.

   • Gebruikers selecteren: als u deze optie selecteert, moet u de interne geadresseerden selecteren waarop de proefversie van toepassing is:

     • Gebruikers: de opgegeven postvakken, e-mailgebruikers or e-mailcontactpersonen.
     • Groepen:
       • Leden van de opgegeven distributiegroepen of beveiligingsgroepen met e-mail (dynamische distributiegroepen worden niet ondersteund).
       • De opgegeven Microsoft 365 Groepen (dynamische lidmaatschapsgroepen in Microsoft Entra ID worden niet ondersteund).
     • Domeinen: alle geadresseerden in de organisatie met een primair e-mailadres in het opgegeven geaccepteerde domein.

     Tip

     Subdomeinen worden automatisch opgenomen, tenzij u ze specifiek uitsluit. Een beleid met contoso.com bevat bijvoorbeeld ook marketing.contoso.com, tenzij u marketing.contoso.com uitsluit.

     Klik in het vak, begin een waarde te typen en selecteer de waarde in de resultaten onder het vak. Herhaal deze stap zo vaak als nodig is. Als u een bestaande waarde wilt verwijderen, selecteert u naast de waarde in het vak.

     Voor gebruikers of groepen kunt u de meeste id's (naam, weergavenaam, alias, e-mailadres, accountnaam, enzovoort) gebruiken, maar de bijbehorende weergavenaam wordt weergegeven in de resultaten. Voor gebruikers voert u zelf een sterretje (*) in om alle beschikbare waarden weer te geven.

     U kunt een voorwaarde voor een geadresseerde slechts één keer gebruiken, maar de voorwaarde kan meerdere waarden bevatten:

     • Meerdere waarden van dezelfde voorwaarde gebruiken OF-logica (bijvoorbeeld <geadresseerde1> of <geadresseerde2>). Als de ontvanger overeenkomt met een van de opgegeven waarden, wordt het beleid daarop toegepast.

     • Verschillende typen voorwaarden gebruiken AND-logica. De geadresseerde moet voldoen aan alle opgegeven voorwaarden om het beleid op hen toe te passen. U configureert bijvoorbeeld een voorwaarde met de volgende waarden:

       • Gebruikers: romain@contoso.com
       • Groepen: Leidinggevenden

       Het beleid wordt alleen toegepast romain@contoso.com als hij ook lid is van de groep Leidinggevenden. Anders wordt het beleid niet op hem toegepast.

   Wanneer u klaar bent in het dialoogvenster Selecteer de gebruikers die u wilt opnemen , selecteert u Doorgaan.

4. Er wordt een voortgangsdialoogvenster weergegeven wanneer uw evaluatie is ingesteld. Wanneer de installatie is voltooid, selecteert u Gereed.

Uw evaluatie of proefversie van Defender voor Office 365 beheren

Nadat u uw evaluatie of proefversie hebt ingesteld in de controlemodus, is de Microsoft Defender voor Office 365 evaluatiepagina op https://security.microsoft.com/atpEvaluation uw centrale locatie voor de resultaten van het uitproberen van Defender voor Office 365 Abonnement 2.

Ga in de Microsoft Defender portal op https://security.microsoft.comnaar Email & samenwerkingsbeleid>& regels>Bedreigingsbeleid> de optie Evaluatiemodus in de sectie Overige. U kunt ook rechtstreeks naar de Microsoft Defender voor Office 365 evaluatiepagina gaanhttps://security.microsoft.com/atpEvaluation.

De acties die beschikbaar zijn op de Microsoft Defender voor Office 365 evaluatiepagina worden beschreven in de volgende subsecties.

Evaluatie-instellingen beheren

Selecteer op de pagina Microsoft Defender voor Office 365 evaluatie de https://security.microsoft.com/atpEvaluationoptie Evaluatie-instellingen beheren.

In de flyout MDO-evaluatie-instellingen beheren die wordt geopend, zijn de volgende informatie en instellingen beschikbaar:

• Of de evaluatie is ingeschakeld, wordt boven aan de flyout weergegeven (Evaluatie aan of Evaluatie uit). Deze informatie is ook beschikbaar op de pagina Microsoft Defender voor Office 365 evaluatie.

  Met de actie Uitschakelen of Inschakelen kunt u het evaluatiebeleid uitschakelen of inschakelen.

• Hoeveel dagen er nog in de evaluatie zijn, wordt boven aan de flyout weergegeven (nn dagen resterend).

• Sectie Detectiemogelijkheden: gebruik de wisselknoppen om de volgende Defender in of uit te schakelen voor Office 365-beveiligingen:

  • Veilige koppelingen
  • Veilige bijlagen
  • Antiphishing

• Sectie Gebruikers, groepen en domeinen : selecteer Gebruikers, groepen en domeinen bewerken om te wijzigen op wie de evaluatie of proefversie van toepassing is, zoals eerder is beschreven in Een evaluatie of proefversie instellen in auditmodus.

• Sectie Imitatie-instellingen :

  • Als imitatiebeveiliging niet is geconfigureerd in het evaluatiebeleid voor antiphishing, selecteert u Imitatiebeveiliging toepassen om imitatiebeveiliging te configureren:

    • Interne en externe afzenders die bescherming voor gebruikersimitatie krijgen.
    • Aangepaste domeinen die domein-imitatiebeveiliging krijgen.
    • Vertrouwde afzenders en domeinen die moeten worden uitgesloten van imitatiebeveiliging.

    De stappen zijn in wezen hetzelfde als beschreven in de sectie Imitatie in stap 5 bij De Microsoft Defender portal gebruiken om antiphishingbeleid te maken.

  • Als imitatiebeveiliging is geconfigureerd in het antiphishing-evaluatiebeleid, worden in deze sectie de beveiligingsinstellingen voor imitatie weergegeven voor:

    • Beveiliging tegen gebruikersimitatie
    • Beveiliging tegen domeinimitatie
    • Vertrouwde geïmiteerde afzenders en domeinen

    Als u de instellingen wilt wijzigen, selecteert u Imitatie-instellingen bewerken.

Wanneer u klaar bent in de flyout MDO-evaluatie-instellingen beheren , selecteert u Sluiten.

Converteren naar Standard-beveiliging

Voor uw evaluatie of proefversie kunt u op een van de volgende manieren overschakelen van de controlemodus (evaluatiebeleid) naar de blokkeringsmodus (standaard vooraf ingesteld beveiligingsbeleid):

• Selecteer op de pagina Microsoft Defender voor Office 365 evaluatiede optie Converteren naar standaardbeveiliging
• Selecteer in de flyout MDO-evaluatie-instellingen beheren: op de pagina Microsoft Defender voor Office 365 evaluatiede optie Evaluatie-instellingen beheren. Selecteer converteren naar standaardbeveiliging in de flyout details die wordt geopend.

Nadat u Converteren naar standaardbeveiliging hebt geselecteerd, leest u de informatie in het dialoogvenster dat wordt geopend en selecteert u vervolgens Doorgaan.

U gaat naar de wizard Standaardbeveiliging toepassen op de pagina Vooraf ingesteld beveiligingsbeleid . De lijst met geadresseerden die zijn opgenomen en uitgesloten van de evaluatie of proefversie worden gekopieerd naar het vooraf ingestelde standaardbeveiligingsbeleid. Zie Use the Microsoft Defender portal to assign Standard and Strict preset security policies to users (De Microsoft Defender portal gebruiken om standaard- en strikt vooraf ingesteld beveiligingsbeleid toe te wijzen aan gebruikers) voor meer informatie.

• Bedreigingsbeleid in het vooraf ingestelde standaardbeveiligingsbeleid heeft een hogere prioriteit dan evaluatiebeleid. Bedreigingsbeleid in de vooraf ingestelde standaardbeveiliging wordt altijd toegepast vóór het evaluatiebeleid, zelfs als beide aanwezig zijn en zijn ingeschakeld.
• Er is geen automatische manier om van de blokkeringsmodus naar de controlemodus te gaan. De handmatige stappen zijn:

  1. Schakel het vooraf ingestelde standaardbeveiligingsbeleid uit op de pagina Vooraf ingesteld beveiligingsbeleid op https://security.microsoft.com/presetSecurityPolicies.

  2. Controleer op de Microsoft Defender voor Office 365 evaluatiepagina op https://security.microsoft.com/atpEvaluationof de waarde Evaluatie op wordt weergegeven.

     Als Evaluatie uit wordt weergegeven, selecteert u Evaluatie-instellingen beheren. Selecteer in de flyout MDO-evaluatie-instellingen beheren die wordt geopend de optie Inschakelen.

  3. Selecteer Evaluatie-instellingen beheren om te controleren op welke gebruikers de evaluatie van toepassing is in de sectie Gebruikers, groepen en domeinen in de flyout MDO-evaluatie-instellingen beheren die wordt geopend.

Rapporten voor uw evaluatie of proefversie van Defender voor Office 365

In deze sectie worden de rapporten beschreven die beschikbaar zijn in de controlemodus en blokkeringsmodus.

Rapporten voor blokkeringsmodus

Er worden geen speciale rapporten gemaakt voor de blokkeringsmodus, dus gebruik de standaardrapporten in Defender voor Office 365. Gebruik bestaande rapporten die alleen van toepassing zijn op Defender voor Office 365-functies of die Defender voor Office 365-filters bevatten:

• De weergave Mailflow voor het statusrapport van Mailflow:

  • Berichten die zijn gedetecteerd als gebruikersimitatie of domeinimitatie door antiphishingbeleid, worden weergegeven in het imitatieblok.
  • Berichten die zijn gedetecteerd tijdens bestands- of URL-detonatie door beleid voor veilige bijlagen of veilige koppelingen, worden weergegeven in het detonatieblok.

• Het rapport Bedreigingsbeveiligingsstatus:

  U kunt veel van de weergaven in het rapport Bedreigingsbeveiligingsstatus filteren op de MDO-waardeBeveiligd door om de effecten van Defender voor Office 365 te zien.

  • Gegevens weergeven op overzicht

  • Gegevens weergeven per Email > phish en grafiek uitsplitsing op detectietechnologie

    • Berichten die door campagnes zijn gedetecteerd, worden weergegeven in Campagne.
    • Berichten die zijn gedetecteerd door veilige bijlagen, worden weergegeven in Bestandsonttoning en Reputatie van bestandsonttoning.
    • Berichten die zijn gedetecteerd door gebruikersimitatiebeveiliging in antiphishingbeleid, worden weergegeven in Imitatiedomein, Imitatiegebruiker en Postvakinformatie-imitatie.
    • Berichten die zijn gedetecteerd door veilige koppelingen, worden weergegeven in URL-detonatie en URL-detonatiereputatie.

  • Gegevens weergeven per Email > malware en uitsplitsing van grafieken op detectietechnologie

    • Berichten die door campagnes zijn gedetecteerd, worden weergegeven in Campagne.
    • Berichten die zijn gedetecteerd door veilige bijlagen, worden weergegeven in Bestandsonttoning en Reputatie van bestandsonttoning.
    • Berichten die zijn gedetecteerd door veilige koppelingen, worden weergegeven in URL-detonatie en URL-detonatiereputatie.

  • Gegevens weergeven per Email > Spam en Grafiek uitgesplitst op detectietechnologie

    Berichten die zijn gedetecteerd door veilige koppelingen, worden weergegeven in de URL schadelijke reputatie.

  • Grafiekuitsplitsing per beleidstype

    Berichten die zijn gedetecteerd door veilige bijlagen, worden weergegeven in Veilige bijlagen

  • Gegevens weergeven op inhoudsmalware >

    Schadelijke bestanden die zijn gedetecteerd door veilige bijlagen voor SharePoint, OneDrive en Microsoft Teams, worden weergegeven in MDO-detonatie.

• Het rapport Belangrijkste afzenders en geadresseerden

  Gegevens weergeven voor MDO (Top malware recipients) en Show data for Top phish recipients (MDO).

• Het URL-beveiligingsrapport

Rapporten voor controlemodus

In de controlemodus zoekt u naar rapporten die detecties weergeven door het evaluatiebeleid, zoals beschreven in de volgende lijst:

• De pagina Email entiteit toont de volgende banner in berichtdetectiedetails op het tabblad Analyse voor ongeldige bijlage, spam-URL + malware, Phish-URL en imitatieberichten die zijn gedetecteerd door de Defender voor Office 365 evaluatie:

  

• De Microsoft Defender voor Office 365 evaluatiepagina op https://security.microsoft.com/atpEvaluation consolideert de detecties van de standaardrapporten die beschikbaar zijn in Defender voor Office 365. De rapporten op deze pagina worden voornamelijk gefilterd op Evaluatie: Ja om alleen detecties weer te geven op basis van het evaluatiebeleid, maar de meeste rapporten gebruiken ook andere verduidelijkende filters.

  Standaard bevatten de rapportsamenvattingen op de pagina gegevens voor de afgelopen 30 dagen, maar u kunt het datumbereik filteren door 30 dagen te selecteren en een van de volgende waarden te selecteren die minder dan 30 dagen zijn:

  • 24 uur
  • 7 dagen
  • 14 dagen
  • Aangepast datumbereik

  Het datumbereikfilter is van invloed op de gegevens die worden weergegeven in de rapportsamenvattingen op de pagina en in het hoofdrapport wanneer u Details in een kaart weergeven selecteert.

  Selecteer Downloaden om de grafiekgegevens te downloaden naar een .csv-bestand.

  • De volgende rapporten op de Microsoft Defender voor Office 365 evaluatiepagina bevatten gefilterde informatie uit specifieke weergaven in het rapport Status van bedreigingsbeveiliging:

    • Email koppelingen:
      • Rapportweergave: Gegevens weergeven per Email > phish en grafiek uitsplitsing op detectietechnologie
      • Detectiefilters : reputatie van URL-detonatie en URL-detonatie.
    • Bijlagen in e-mail:
      • Rapportweergave: Gegevens weergeven per Email > phish en grafiek uitsplitsing op detectietechnologie
      • Detectiefilters : bestandsonttoning en reputatie van bestandsonttoning.
    • Imitatie
      • Rapportweergave: Gegevens weergeven per Email > phish en grafiek uitsplitsing op detectietechnologie
      • Detectiefilters : imitatiegebruiker, imitatiedomein en postvakinformatie-imitatie.
    • Bijlagekoppelingen
      • Rapportweergave: Gegevens weergeven per Email > malware en uitsplitsing van grafieken op detectietechnologie
      • Detectiefilters : REPUTATIE van URL-detonatie en URL-detonatie.
    • Ingesloten malware
      • Rapportweergave: Gegevens weergeven per Email > malware en uitsplitsing van grafieken op detectietechnologie
      • Detectiefilters : bestandsonttoning en reputatie van bestandsonttoning.
    • Vervalste afzenders:
      • Rapportweergave: Gegevens weergeven per Email > phish en grafiek uitsplitsing op detectietechnologie
      • Detectiefilters : Spoof intra-org, Spoof external domain en Spoof DMARC.

  • Realtime-URL-klikbeveiliging maakt gebruik van de actie Gegevens weergeven op URL-klikbeveiliging in het URL-beveiligingsrapport dat wordt gefilterd op Evaluatie: Ja.

    Hoewel gegevens weergeven op URL-klik op toepassing in het URL-beveiligingsrapport niet wordt weergegeven op de Microsoft Defender voor Office 365 evaluatiepagina, kan deze ook worden gefilterd op Evaluatie: Ja.

Vereiste machtigingen

De volgende machtigingen zijn vereist in Microsoft Entra ID om een evaluatie of proefversie van Defender voor Microsoft 365 in te stellen:

• Een evaluatie of proefversie maken, wijzigen of verwijderen: lidmaatschap van de rol Beveiligingsbeheerder of Globale beheerder^* .
• Evaluatiebeleid en -rapporten weergeven in de controlemodus: lidmaatschap van de rol Beveiligingsbeheerder of Beveiligingslezer .

Zie Microsoft Entra rollen in de Microsoft Defender portal voor meer informatie over Microsoft Entra machtigingen in de Microsoft Defender-portal

Belangrijk

^* Microsoft is sterk voorstander van het principe van minimale bevoegdheden. Als u accounts alleen de minimale machtigingen toewijst die nodig zijn om hun taken uit te voeren, vermindert u beveiligingsrisico's en wordt de algehele beveiliging van uw organisatie versterkt. Globale beheerder is een zeer bevoorrechte rol die u moet beperken tot scenario's voor noodgevallen of wanneer u geen andere rol kunt gebruiken.

Veelgestelde vragen

V: Moet ik handmatig proeflicenties verkrijgen of activeren?

A: Nee. De proefversie richt automatisch Defender voor Office 365 Abonnement 2-licenties in als u deze nodig hebt, zoals eerder beschreven.

V: Hoe kan ik de proefversie verlengen?

A: Zie Uw proefversie verlengen.

V: Wat gebeurt er met mijn gegevens nadat de proefversie is verlopen?

A: Nadat uw proefabonnement is verlopen, hebt u gedurende 30 dagen toegang tot uw proefgegevens (gegevens van functies in Defender voor Office 365 die u eerder niet had). Na deze periode van 30 dagen worden alle beleidsregels en gegevens die zijn gekoppeld aan de proefversie van Defender voor Office 365 verwijderd.

V: Hoe vaak kan ik de proefversie van Defender voor Office 365 in mijn organisatie gebruiken?

A: Maximaal twee keer. Als uw eerste proefversie verloopt, moet u ten minste 30 dagen na de vervaldatum wachten voordat u zich opnieuw kunt inschrijven voor de proefversie van Defender voor Office 365. Na uw tweede proefabonnement kunt u zich niet inschrijven voor een andere proefversie.

V: Zijn er in de controlemodus scenario's waarin Defender voor Office 365 op berichten reageert?

A: Ja. Voor de bescherming van de service kan niemand in een programma of abonnement Microsoft 365-actie uitschakelen of omzeilen op berichten die zijn geclassificeerd als malware of phishing met hoge betrouwbaarheid.

V: In welke volgorde worden beleidsregels geëvalueerd?

A: Zie Volgorde van prioriteit voor vooraf ingesteld beveiligingsbeleid en ander beleid.

Beleidsinstellingen die zijn gekoppeld aan Defender voor Office 365 evaluaties en proefversies

Beleid in de controlemodus

Waarschuwing

Probeer niet het afzonderlijke bedreigingsbeleid te maken, te wijzigen of te verwijderen dat is gekoppeld aan de evaluatie van Defender voor Office 365. De enige ondersteunde methode voor het maken van het afzonderlijke bedreigingsbeleid voor de evaluatie is om de evaluatie of proefversie voor het eerst in de controlemodus te starten in de Microsoft Defender portal.

Zoals eerder beschreven, wordt bij het kiezen van de controlemodus voor uw evaluatie of proefversie automatisch evaluatiebeleid met de vereiste instellingen gemaakt om berichten te observeren, maar geen actie te ondernemen.

Voer de volgende opdracht uit in Exchange Online PowerShell om deze beleidsregels en de bijbehorende instellingen te bekijken:

Write-Output -InputObject ("`r`n"*3),"Evaluation anti-phishing policy",("-"*79); Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"; Write-Output -InputObject ("`r`n"*3),"Evaluation Safe Attachments policy",("-"*79); Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"; Write-Output -InputObject ("`r`n"*3),"Evaluation Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"

De instellingen worden ook beschreven in de volgende tabellen.

Instellingen voor evaluatiebeleid voor antiphishing

Instelling	Waarde
Naam	Evaluatiebeleid
AdminDisplayName	Evaluatiebeleid
AuthenticationFailAction	MoveToJmf
DmarcQuarantineAction	Quarantaine
DmarcRejectAction	Verwerpen
Ingeschakeld	Waar
EnableFirstContactSafetyTips	False
EnableMailboxIntelligence	Waar
EnableMailboxIntelligenceProtection	Waar
EnableOrganizationDomainsProtection	False
EnableSimilarDomainsSafetyTips	False
EnableSimilarUsersSafetyTips	False
EnableSpoofIntelligence	Waar
EnableSuspiciousSafetyTip	False
EnableTargetedDomainsProtection	False
EnableTargetedUserProtection	False
EnableUnauthenticatedSender	Waar
EnableUnusualCharactersSafetyTips	False
EnableViaTag	Waar
ExcludedDomains	{}
ExcludedSenders	{}
ExcludedSubDomains	{}
HonorDmarcPolicy	Waar
ImpersonationProtectionState	Handmatig
IsDefault	False
MailboxIntelligenceProtectionAction	NoAction
MailboxIntelligenceProtectionActionRecipients	{}
MailboxIntelligenceQuarantineTag	DefaultFullAccessPolicy
PhishThresholdLevel	3
Beleidstag
RecommendedPolicyType	Evaluatie
SpoofQuarantineTag	DefaultFullAccessPolicy
TargetedDomainActionRecipients	{}
TargetedDomainProtectionAction	NoAction
TargetedDomainQuarantineTag	DefaultFullAccessPolicy
TargetedDomainsToProtect	{}
TargetedUserActionRecipients	{}
TargetedUserProtectionAction	NoAction
TargetedUserQuarantineTag	DefaultFullAccessPolicy
TargetedUsersToProtect	{}

Evaluatiebeleidsinstellingen voor veilige bijlagen

Instelling	Waarde
Naam	Evaluatiebeleid
Actie	Toestaan
AdminDisplayName	Evaluatiebeleid
Inschakelen	Waar
EnableOrganizationBranding	False
IsBuiltInProtection	False
IsDefault	False
QuarantineTag	AdminOnlyAccessPolicy
RecommendedPolicyType	Evaluatie
Redirect	False
RedirectAddress

Instellingen voor evaluatiebeleid voor Veilige koppelingen

Instelling	Waarde
Naam	Evaluatiebeleid
AdminDisplayName	Evaluatiebeleid
AllowClickThrough	Waar
CustomNotificationText
DeliverMessageAfterScan	Waar
DisableUrlRewrite	Waar
DoNotRewriteUrls	{}
EnableForInternalSenders	False
EnableOrganizationBranding	False
EnableSafeLinksForEmail	Waar
EnableSafeLinksForOffice	False
EnableSafeLinksForTeams	False
IsBuiltInProtection	False
LocalizedNotificationTextList	{}
RecommendedPolicyType	Evaluatie
ScanUrls	Waar
TrackClicks	Waar

PowerShell gebruiken om voorwaarden en uitzonderingen voor de evaluatie of proefversie van de ontvanger te configureren in de controlemodus

Een regel die is gekoppeld aan het evaluatiebeleid van Defender voor Office 365 bepaalt de voorwaarden van de ontvanger en uitzonderingen op de evaluatie.

Als u de regel wilt weergeven die is gekoppeld aan de evaluatie, voert u de volgende opdracht uit in Exchange Online PowerShell:

Get-ATPEvaluationRule

Als u Exchange Online PowerShell wilt gebruiken om te wijzigen op wie de evaluatie van toepassing is, gebruikt u de volgende syntaxis:

Set-ATPEvaluationRule -Identity "Evaluation Rule" -SentTo <"user1","user2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -SentToMemberOf <"group1","group2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null> -RecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null>

In dit voorbeeld worden uitzonderingen van de evaluatie geconfigureerd voor de opgegeven SecOps-postvakken (Security Operations).

Set-ATPEvaluationRule -Identity "Evaluation Rule" -ExceptIfSentTo "SecOps1","SecOps2"

PowerShell gebruiken om de evaluatie of proefversie in of uit te schakelen in de controlemodus

Als u de evaluatie wilt in- of uitschakelen in de controlemodus, schakelt u de regel die aan de evaluatie is gekoppeld in of uit. De waarde van de eigenschap Status van de evaluatieregel geeft aan of de regel is ingeschakeld of uitgeschakeld.

Voer de volgende opdracht uit om te bepalen of de evaluatie momenteel is ingeschakeld of uitgeschakeld:

Get-ATPEvaluationRule -Identity "Evaluation Rule" | Format-Table Name,State

Voer de volgende opdracht uit om de evaluatie uit te schakelen:

Disable-ATPEvaluationRule -Identity "Evaluation Rule"

Voer de volgende opdracht uit om de evaluatie in te schakelen:

Enable-ATPEvaluationRule -Identity "Evaluation Rule"

Beleid in de blokkeringsmodus

Zoals eerder beschreven, worden beleidsregels voor de blokkeringsmodus gemaakt met behulp van de standaardsjabloon voor vooraf ingesteld beveiligingsbeleid.

Zie Vooraf ingesteld beveiligingsbeleid in Exchange Online PowerShell als u Exchange Online PowerShell wilt gebruiken om het afzonderlijke bedreigingsbeleid weer te geven dat is gekoppeld aan het vooraf ingestelde beveiligingsbeleid en om de voorwaarden en uitzonderingen van de ontvanger voor het vooraf ingestelde beveiligingsbeleid weer te geven en te configureren.