Aanbevolen instellingen voor EOP- en Microsoft Defender voor Office 365-beveiliging

Tip

Wist u dat u de functies in Microsoft Defender XDR gratis kunt uitproberen voor Office 365 Abonnement 2? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft Defender portal. Meer informatie over wie zich kan registreren en voorwaarden voor proefversies vindt u hier.

Exchange Online Protection (EOP) is de kern van beveiliging voor Microsoft 365-abonnementen en helpt te voorkomen dat schadelijke e-mailberichten de postvakken van uw werknemer bereiken. Maar met nieuwe, geavanceerdere aanvallen die elke dag opduiken, zijn vaak verbeterde beveiligingen vereist. Microsoft Defender voor Office 365 Abonnement 1 of Plan 2 bevatten aanvullende functies die meer beveiligings-, controle- en onderzoekslagen bieden.

Hoewel we beveiligingsbeheerders in staat stellen hun beveiligingsinstellingen aan te passen, zijn er twee beveiligingsniveaus in EOP en Microsoft Defender voor Office 365 die we aanbevelen: Standaard en Strikt. Hoewel de omgevingen en behoeften van klanten verschillen, helpen deze filterniveaus in de meeste situaties voorkomen dat ongewenste e-mail het Postvak IN van uw werknemers bereikt.

Als u de standaard- of strikte instellingen automatisch wilt toepassen op gebruikers, raadpleegt u Vooraf ingesteld beveiligingsbeleid in EOP en Microsoft Defender voor Office 365.

In dit artikel worden de standaardinstellingen beschreven, en ook de aanbevolen standaard- en strikte instellingen om uw gebruikers te beschermen. De tabellen bevatten de instellingen in de Microsoft Defender portal en PowerShell (Exchange Online PowerShell of zelfstandige Exchange Online Protection PowerShell voor organisaties zonder Exchange Online postvakken).

Opmerking

De Office 365 Advanced Threat Protection Recommended Configuration Analyzer (ORCA)-module voor PowerShell kan beheerders helpen de huidige waarden van deze instellingen te vinden. Met name de cmdlet Get-ORCAReport genereert een evaluatie van antispam-, antiphishing- en andere hygiëne-instellingen voor berichten. U kunt de ORCA-module downloaden op https://www.powershellgallery.com/packages/ORCA/.

In Microsoft 365-organisaties raden we u aan om het Filter Email voor ongewenste e-mail in Outlook op Geen automatisch filteren te laten staan om onnodige conflicten (zowel positief als negatief) te voorkomen met de spamfilters van EOP. Zie de volgende artikelen voor meer informatie:

Bescherming tegen spam, antimalware en antiphishing in EOP

Antispam, antimalware en antiphishing zijn EOP-functies die door beheerders kunnen worden geconfigureerd. We raden de volgende standaard- of strikte configuraties aan.

EOP-beleidsinstellingen voor antimalware

Zie Antimalwarebeleid configureren in EOP als u antimalwarebeleid wilt maken en configureren.

Quarantainebeleid bepaalt wat gebruikers kunnen doen met berichten in quarantaine en of gebruikers quarantainemeldingen ontvangen. Zie Anatomie van een quarantainebeleid voor meer informatie.

Het beleid met de naam AdminOnlyAccessPolicy dwingt de historische mogelijkheden af voor berichten die in quarantaine zijn geplaatst als malware, zoals beschreven in de tabel hier.

Gebruikers kunnen hun eigen berichten die als malware in quarantaine zijn geplaatst niet vrijgeven, ongeacht hoe het quarantainebeleid is geconfigureerd. Als het beleid toestaat dat gebruikers hun eigen berichten in quarantaine vrijgeven, mogen gebruikers in plaats daarvan de release van hun in quarantaine geplaatste malwareberichten aanvragen .

Naam van beveiligingsfunctie Standaard Standaard Strikte Opmerking
Beveiligingsinstellingen
Het algemene bijlagefilter inschakelen (EnableFileFilter) Geselecteerd ($true)* Geselecteerd ($true) Geselecteerd ($true) Zie Algemene bijlagenfilters in antimalwarebeleid voor de lijst met bestandstypen in het algemene bijlagefilter.

* Het algemene filter voor bijlagen is standaard ingeschakeld in nieuw antimalwarebeleid dat u maakt in de Defender-portal of in PowerShell, en in het standaard antimalwarebeleid in organisaties die zijn gemaakt na 1 december 2023.
Algemene meldingen voor bijlagefilters: wanneer deze bestandstypen worden gevonden (FileTypeAction) Het bericht weigeren met een rapport over niet-bezorging (NDR) (Reject) Het bericht weigeren met een rapport over niet-bezorging (NDR) (Reject) Het bericht weigeren met een rapport over niet-bezorging (NDR) (Reject)
Zero-hour auto purge inschakelen voor malware (ZapEnabled) Geselecteerd ($true) Geselecteerd ($true) Geselecteerd ($true)
Quarantainebeleid (Quarantainetag) AdminOnlyAccessPolicy AdminOnlyAccessPolicy AdminOnlyAccessPolicy
Beheer meldingen
Een beheerder informeren over niet-bezorgde berichten van interne afzenders (EnableInternalSenderAdminNotifications en InternalSenderAdminAddress) Niet geselecteerd ($false) Niet geselecteerd ($false) Niet geselecteerd ($false) We hebben geen specifieke aanbeveling voor deze instelling.
Een beheerder informeren over niet-bezorgde berichten van externe afzenders (EnableExternalSenderAdminNotifications en ExternalSenderAdminAddress) Niet geselecteerd ($false) Niet geselecteerd ($false) Niet geselecteerd ($false) We hebben geen specifieke aanbeveling voor deze instelling.
Meldingen aanpassen We hebben geen specifieke aanbevelingen voor deze instellingen.
Aangepaste meldingstekst gebruiken (CustomNotifications) Niet geselecteerd ($false) Niet geselecteerd ($false) Niet geselecteerd ($false)
Van naam (CustomFromName) Lege Lege Lege
Van-adres (CustomFromAddress) Lege Lege Lege
Meldingen voor berichten van interne afzenders aanpassen Deze instellingen worden alleen gebruikt als Een beheerder informeren over niet-bezorgde berichten van interne afzenders is geselecteerd.
Onderwerp (CustomInternalSubject) Lege Lege Lege
Bericht (CustomInternalBody) Lege Lege Lege
Meldingen voor berichten van externe afzenders aanpassen Deze instellingen worden alleen gebruikt als Een beheerder informeren over niet-bezorgde berichten van externe afzenders is geselecteerd.
Onderwerp (CustomExternalSubject) Lege Lege Lege
Bericht (CustomExternalBody) Lege Lege Lege

EOP-instellingen voor antispambeleid

Zie Antispambeleid configureren in EOP als u antispambeleid wilt maken en configureren.

Overal waar u Quarantainebericht selecteert als actie voor een spamfilterbeoordeling, is het vak Quarantainebeleid selecteren beschikbaar. Quarantainebeleid bepaalt wat gebruikers kunnen doen met berichten in quarantaine en of gebruikers quarantainemeldingen ontvangen. Zie Anatomie van een quarantainebeleid voor meer informatie.

Als u de actie van een spamfilterbeoordeling wijzigt in Bericht in quarantaine wanneer u antispambeleid maakt in de Defender-portal, is het vak Quarantainebeleid selecteren standaard leeg. Een lege waarde betekent dat het standaardquarantainebeleid voor dat spamfilterbeoordeling wordt gebruikt. Met deze standaardquarantainebeleidsregels worden de historische mogelijkheden afgedwongen voor het spamfilteroordeel dat het bericht in quarantaine heeft geplaatst, zoals beschreven in de tabel hier. Wanneer u de instellingen voor het antispambeleid later weergeeft of bewerkt, wordt de naam van het quarantainebeleid weergegeven.

Beheerders kunnen quarantainebeleid maken of gebruiken met meer of minder beperkende mogelijkheden. Zie Quarantainebeleid maken in de Microsoft Defender-portal voor instructies.

Naam van beveiligingsfunctie Standaard Standaard Strikte Opmerking
Drempelwaarde voor bulksgewijs e-mail & spameigenschappen
Drempelwaarde voor bulk-e-mail (BulkThreshold) 7 6 5 Zie Bulkklachtniveau (BCL) in EOP voor meer informatie.
Bulkspam van e-mail (MarkAsSpamBulkMail) (On) (On) (On) Deze instelling is alleen beschikbaar in PowerShell.
Instellingen voor spamscore verhogen Al deze instellingen maken deel uit van het geavanceerde spamfilter (ASF). Zie de sectie ASF-instellingen in antispambeleid in dit artikel voor meer informatie.
Markeren als spam-instellingen De meeste van deze instellingen maken deel uit van ASF. Zie de sectie ASF-instellingen in antispambeleid in dit artikel voor meer informatie.
Bevat specifieke talen (EnableLanguageBlockList en LanguageBlockList) Uit ($false en Leeg) Uit ($false en Leeg) Uit ($false en Leeg) We hebben geen specifieke aanbeveling voor deze instelling. U kunt berichten in specifieke talen blokkeren op basis van uw bedrijfsbehoeften.
Vanuit deze landen (EnableRegionBlockList en RegionBlockList) Uit ($false en Leeg) Uit ($false en Leeg) Uit ($false en Leeg) We hebben geen specifieke aanbeveling voor deze instelling. U kunt berichten uit specifieke landen/regio's blokkeren op basis van uw bedrijfsbehoeften.
Testmodus (TestModeAction) Geen Geen Geen Deze instelling maakt deel uit van ASF. Zie de sectie ASF-instellingen in antispambeleid in dit artikel voor meer informatie.
Acties
Spamdetectieactie (SpamAction) Bericht verplaatsen naar de map Ongewenste Email (MoveToJmf) Bericht verplaatsen naar de map Ongewenste Email (MoveToJmf) Quarantainebericht (Quarantine)
Quarantainebeleid voor spam (SpamQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessPolicy DefaultFullAccessWithNotificationPolicy Het quarantainebeleid is alleen zinvol als spamdetecties in quarantaine worden geplaatst.
Spamdetectieactie met hoge betrouwbaarheid (HighConfidenceSpamAction) Bericht verplaatsen naar de map Ongewenste Email (MoveToJmf) Quarantainebericht (Quarantine) Quarantainebericht (Quarantine)
Quarantainebeleid voor spam met hoge betrouwbaarheid (HighConfidenceSpamQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessWithNotificationPolicy DefaultFullAccessWithNotificationPolicy Het quarantainebeleid is alleen zinvol als spamdetecties met een hoge betrouwbaarheid in quarantaine worden geplaatst.
Phishingdetectieactie (PhishSpamAction) Bericht verplaatsen naar de map Ongewenste Email (MoveToJmf)* Quarantainebericht (Quarantine) Quarantainebericht (Quarantine) *De standaardwaarde is Bericht verplaatsen naar ongewenste e-mail Email map in het standaard antispambeleid en in nieuwe antispambeleidsregels die u maakt in PowerShell. De standaardwaarde is Quarantainebericht in nieuw antispambeleid dat u maakt in de Defender-portal.
Quarantainebeleid voor phishing (PhishQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessWithNotificationPolicy DefaultFullAccessWithNotificationPolicy Het quarantainebeleid is alleen zinvol als phishingdetecties in quarantaine worden geplaatst.
Detectieactie voor phishing met hoge betrouwbaarheid (HighConfidencePhishAction) Quarantainebericht (Quarantine) Quarantainebericht (Quarantine) Quarantainebericht (Quarantine) Gebruikers kunnen hun eigen berichten die in quarantaine zijn geplaatst niet vrijgeven als phishing met hoge betrouwbaarheid, ongeacht hoe het quarantainebeleid is geconfigureerd. Als het beleid toestaat dat gebruikers hun eigen berichten in quarantaine vrijgeven, mogen gebruikers in plaats daarvan de release van hun phishingberichten met hoge betrouwbaarheid in quarantaine aanvragen .
Quarantainebeleid voor phishing met hoge betrouwbaarheid (HighConfidencePhishQuarantineTag) AdminOnlyAccessPolicy AdminOnlyAccessPolicy AdminOnlyAccessPolicy
BCL (Bulk Compliant Level) is bereikt of overschreden (BulkSpamAction) Bericht verplaatsen naar de map Ongewenste Email (MoveToJmf) Bericht verplaatsen naar de map Ongewenste Email (MoveToJmf) Quarantainebericht (Quarantine)
Quarantainebeleid voor bulkconform niveau (BCL) bereikt of overschreden (BulkQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessPolicy DefaultFullAccessWithNotificationPolicy Het quarantainebeleid is alleen zinvol als bulkdetecties in quarantaine worden geplaatst.
Berichten binnen de organisatie waarop actie moet worden ondernomen (IntraOrgFilterState) Standaard (standaard) Standaard (standaard) Standaard (standaard) De waarde Standaard is hetzelfde als het selecteren van phishingberichten met hoge betrouwbaarheid. Momenteel is in Amerikaanse overheidsorganisaties (Microsoft 365 GCC, GCC High en DoD) de waarde Standaard hetzelfde als het selecteren van Geen.
Bewaar spam in quarantaine voor dit aantal dagen (QuarantineRetentionPeriod) 15 dagen 30 dagen 30 dagen Deze waarde is ook van invloed op berichten die in quarantaine zijn geplaatst door antiphishingbeleid. Zie Retentie in quarantaine voor meer informatie.
Spam veiligheidstips inschakelen (InlineSafetyTipsEnabled) Geselecteerd ($true) Geselecteerd ($true) Geselecteerd ($true)
Zero-Hour Auto Purge (ZAP) inschakelen voor phishingberichten (PhishZapEnabled) Geselecteerd ($true) Geselecteerd ($true) Geselecteerd ($true)
ZAP inschakelen voor spamberichten (SpamZapEnabled) Geselecteerd ($true) Geselecteerd ($true) Geselecteerd ($true)
& blokkeringslijst toestaan
Toegestane afzenders (AllowedSenders) Geen Geen Geen
Toegestane afzenderdomeinen (AllowedSenderDomains) Geen Geen Geen Het toevoegen van domeinen aan de lijst met toegestane domeinen is een heel slecht idee. Aanvallers kunnen u e-mail sturen die anders zou worden gefilterd.

Gebruik het inzicht in adresvervalsingsinformatie en de lijst voor toestaan/blokkeren van tenants om alle afzenders te controleren die e-mailadressen van afzenders spoofen in de e-maildomeinen van uw organisatie of adresvervalsing van afzenders in externe domeinen.
Geblokkeerde afzenders (BlockedSenders) Geen Geen Geen
Geblokkeerde afzenderdomeinen (BlockedSenderDomains) Geen Geen Geen

¹ Zoals beschreven in Volledige toegangsmachtigingen en quarantainemeldingen, kan uw organisatie NotificationEnabledPolicy gebruiken in plaats van DefaultFullAccessPolicy in het standaardbeveiligingsbeleid of in nieuwe aangepaste beveiligingsbeleidsregels die u maakt. Het enige verschil tussen deze twee quarantainebeleidsregels is dat quarantainemeldingen zijn ingeschakeld in NotificationEnabledPolicy en uitgeschakeld in DefaultFullAccessPolicy.

ASF-instellingen in antispambeleid

Zie Advanced Spam Filter (ASF)-instellingen in EOP voor meer informatie over geavanceerde instellingen voor spamfilters (ASF) in antispambeleid.

Naam van beveiligingsfunctie Standaard Aanbevolen
Standaard
Aanbevolen
Strikte
Opmerking
Afbeeldingskoppelingen naar externe sites (IncreaseScoreWithImageLinks) Uit Uit Uit
Numeriek IP-adres in URL (IncreaseScoreWithNumericIps) Uit Uit Uit
URL-omleiding naar andere poort (IncreaseScoreWithRedirectToOtherPort) Uit Uit Uit
Koppelingen naar .biz- of .info-websites (IncreaseScoreWithBizOrInfoUrls) Uit Uit Uit
Lege berichten (MarkAsSpamEmptyMessages) Uit Uit Uit
Tags insluiten in HTML (MarkAsSpamEmbedTagsInHtml) Uit Uit Uit
JavaScript of VBScript in HTML (MarkAsSpamJavaScriptInHtml) Uit Uit Uit
Formuliertags in HTML (MarkAsSpamFormTagsInHtml) Uit Uit Uit
Frame- of iframetags in HTML (MarkAsSpamFramesInHtml) Uit Uit Uit
Webfouten in HTML (MarkAsSpamWebBugsInHtml) Uit Uit Uit
Objecttags in HTML (MarkAsSpamObjectTagsInHtml) Uit Uit Uit
Gevoelige woorden (MarkAsSpamSensitiveWordList) Uit Uit Uit
SPF-record: harde fout (MarkAsSpamSpfRecordHardFail) Uit Uit Uit
Het filteren van afzender-id's mislukt (MarkAsSpamFromAddressAuthFail) Uit Uit Uit
Backscatter (MarkAsSpamNdrBackscatter) Uit Uit Uit
Testmodus (TestModeAction) Geen Geen Geen Voor ASF-instellingen die Testen als een actie ondersteunen, kunt u de actie testmodus configureren op Geen, Standaard X-Header-tekst toevoegen of BCC-bericht verzenden (None, AddXHeaderof BccMessage). Zie ASF-instellingen inschakelen, uitschakelen of testen voor meer informatie.

Opmerking

ASF voegt X-headervelden toe X-CustomSpam: aan berichten nadat de berichten zijn verwerkt door Exchange-e-mailstroomregels (ook wel transportregels genoemd), zodat u geen e-mailstroomregels kunt gebruiken om berichten te identificeren en erop te reageren die zijn gefilterd op ASF.

EOP-instellingen voor uitgaand spambeleid

Zie Uitgaande spamfilters configureren in EOP voor het maken en configureren van beleid voor uitgaande spam.

Zie Verzendlimieten voor meer informatie over de standaard verzendlimieten in de service.

Opmerking

Uitgaand spambeleid maakt geen deel uit van standaard- of strikt vooraf ingesteld beveiligingsbeleid. De standaard - en strikte waarden geven de aanbevolen waarden aan in het standaardbeleid voor uitgaande spam of in het aangepaste uitgaande spambeleid dat u maakt.

Naam van beveiligingsfunctie Standaard Aanbevolen
Standaard
Aanbevolen
Strikte
Opmerking
Een limiet voor extern bericht instellen (RecipientLimitExternalPerHour) 0 500 400 De standaardwaarde 0 betekent dat u de standaardinstellingen van de service gebruikt.
Een interne berichtlimiet instellen (RecipientLimitInternalPerHour) 0 1000 800 De standaardwaarde 0 betekent dat u de standaardinstellingen van de service gebruikt.
Een dagelijkse berichtlimiet instellen (RecipientLimitPerDay) 0 1000 800 De standaardwaarde 0 betekent dat u de standaardinstellingen van de service gebruikt.
Beperking voor gebruikers die de berichtlimiet hebben bereikt (ActionWhenThresholdReached) De gebruiker beperken om e-mail te verzenden tot de volgende dag (BlockUserForToday) De gebruiker beperken om e-mail te verzenden (BlockUser) De gebruiker beperken om e-mail te verzenden (BlockUser)
Regels voor automatisch doorsturen (AutoForwardingMode) Automatisch - Systeemgestuurd (Automatic) Automatisch - Systeemgestuurd (Automatic) Automatisch - Systeemgestuurd (Automatic)
Verzend een kopie van uitgaande berichten die deze limieten overschrijden naar deze gebruikers en groepen (BccSuspiciousOutboundMail en BccSuspiciousOutboundAdditionalRecipients) Niet geselecteerd ($false en Leeg) Niet geselecteerd ($false en Leeg) Niet geselecteerd ($false en Leeg) We hebben geen specifieke aanbeveling voor deze instelling.

Deze instelling werkt alleen in het standaardbeleid voor uitgaande spam. Dit werkt niet in aangepast uitgaand spambeleid dat u maakt.
Waarschuw deze gebruikers en groepen als een afzender is geblokkeerd vanwege het verzenden van uitgaande spam (NotifyOutboundSpam en NotifyOutboundSpamRecipients) Niet geselecteerd ($false en Leeg) Niet geselecteerd ($false en Leeg) Niet geselecteerd ($false en Leeg) Het standaardwaarschuwingsbeleid met de naam Gebruiker beperkt voor het verzenden van e-mail verzendt al e-mailmeldingen naar leden van de groep TenantAdmins (globale beheerders) wanneer gebruikers worden geblokkeerd vanwege het overschrijden van de limieten in het beleid. We raden u ten zeerste aan het waarschuwingsbeleid te gebruiken in plaats van deze instelling in het uitgaande spambeleid om beheerders en andere gebruikers op de hoogte te stellen. Zie De waarschuwingsinstellingen voor beperkte gebruikers controleren voor instructies.

EOP-instellingen voor antiphishingbeleid

Zie Instellingen voor adresvervalsing voor meer informatie over deze instellingen. Zie Antiphishingbeleid configureren in EOP om deze instellingen te configureren.

De spoof-instellingen zijn onderling gerelateerd, maar de instelling Eerste contacttip weergeven heeft geen afhankelijkheid van spoof-instellingen.

Quarantainebeleid bepaalt wat gebruikers kunnen doen met berichten in quarantaine en of gebruikers quarantainemeldingen ontvangen. Zie Anatomie van een quarantainebeleid voor meer informatie.

Hoewel de waarde Quarantainebeleid toepassen niet is geselecteerd wanneer u een antiphishingbeleid maakt in de Defender-portal, wordt het quarantainebeleid met de naam DefaultFullAccessPolicy¹ gebruikt als u geen quarantainebeleid selecteert. Dit beleid dwingt de historische mogelijkheden af voor berichten die in quarantaine zijn geplaatst als adresvervalsing, zoals beschreven in de tabel hier. Wanneer u de instellingen voor het quarantainebeleid later weergeeft of bewerkt, wordt de naam van het quarantainebeleid weergegeven.

Beheerders kunnen quarantainebeleid maken of gebruiken met meer of minder beperkende mogelijkheden. Zie Quarantainebeleid maken in de Microsoft Defender-portal voor instructies.

Naam van beveiligingsfunctie Standaard Standaard Strikte Opmerking
Phishingdrempel & beveiliging
Spoof intelligence inschakelen (EnableSpoofIntelligence) Geselecteerd ($true) Geselecteerd ($true) Geselecteerd ($true)
Acties
DmARC-recordbeleid honoreert wanneer het bericht wordt gedetecteerd als adresvervalsing (HonorDmarcPolicy) Geselecteerd ($true) Geselecteerd ($true) Geselecteerd ($true) Wanneer deze instelling is ingeschakeld, bepaalt u wat er gebeurt met berichten waarbij de afzender expliciete DMARC-controles mislukt wanneer de beleidsactie in de DMARC TXT-record is ingesteld op p=quarantine of p=reject. Zie Spoof-beveiliging en DMARC-beleid voor afzenders voor meer informatie.
Als het bericht wordt gedetecteerd als spoof en DMARC-beleid is ingesteld als p=quarantine (DmarcQuarantineAction) Het bericht in quarantaine plaatsen (Quarantine) Het bericht in quarantaine plaatsen (Quarantine) Het bericht in quarantaine plaatsen (Quarantine) Deze actie is alleen zinvol wanneer HET DMARC-recordbeleid honoreert wanneer het bericht wordt gedetecteerd als adresvervalsing is ingeschakeld.
Als het bericht wordt gedetecteerd als spoof en DMARC-beleid is ingesteld als p=reject (DmarcRejectAction) Het bericht weigeren (Reject) Het bericht weigeren (Reject) Het bericht weigeren (Reject) Deze actie is alleen zinvol wanneer HET DMARC-recordbeleid honoreert wanneer het bericht wordt gedetecteerd als adresvervalsing is ingeschakeld.
Als het bericht wordt gedetecteerd als spoof door spoof intelligence (AuthenticationFailAction) Het bericht verplaatsen naar de mappen ongewenste Email van de geadresseerden (MoveToJmf) Het bericht verplaatsen naar de mappen ongewenste Email van de geadresseerden (MoveToJmf) Het bericht in quarantaine plaatsen (Quarantine) Deze instelling is van toepassing op vervalste afzenders die automatisch zijn geblokkeerd zoals wordt weergegeven in het inzicht in spoof intelligence of die handmatig zijn geblokkeerd in de lijst Tenant toestaan/blokkeren.

Als u Het bericht in quarantaine plaatsen selecteert als actie voor de spoof-uitspraak, is het vak Quarantainebeleid toepassen beschikbaar.
Quarantainebeleid voor Spoof (SpoofQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessPolicy DefaultFullAccessWithNotificationPolicy Het quarantainebeleid is alleen zinvol als adresvervalsingsdetecties in quarantaine worden geplaatst.
Veiligheidstip voor eerste contact weergeven (EnableFirstContactSafetyTips) Niet geselecteerd ($false) Geselecteerd ($true) Geselecteerd ($true) Zie Veiligheidstip bij eerste contact voor meer informatie.
Weergeven (?) voor niet-geverifieerde afzenders voor adresvervalsing (EnableUnauthenticatedSender) Geselecteerd ($true) Geselecteerd ($true) Geselecteerd ($true) Hiermee wordt een vraagteken (?) toegevoegd aan de foto van de afzender in Outlook voor niet-geïdentificeerde vervalste afzenders. Zie Niet-geverifieerde afzenderindicatoren voor meer informatie.
Via-tag weergeven (EnableViaTag) Geselecteerd ($true) Geselecteerd ($true) Geselecteerd ($true) Voegt een via-tag (chris@contoso.com via fabrikam.com) toe aan het Van-adres als deze verschilt van het domein in de DKIM-handtekening of het MAIL FROM-adres .

Zie Niet-geverifieerde afzenderindicatoren voor meer informatie.

¹ Zoals beschreven in Volledige toegangsmachtigingen en quarantainemeldingen, kan uw organisatie NotificationEnabledPolicy gebruiken in plaats van DefaultFullAccessPolicy in het standaardbeveiligingsbeleid of in nieuwe aangepaste beveiligingsbeleidsregels die u maakt. Het enige verschil tussen deze twee quarantainebeleidsregels is dat quarantainemeldingen zijn ingeschakeld in NotificationEnabledPolicy en uitgeschakeld in DefaultFullAccessPolicy.

Microsoft Defender voor Office 365 beveiliging

Extra beveiligingsvoordelen worden geleverd met een Microsoft Defender voor Office 365-abonnement. Zie Wat is er nieuw in Defender voor Office 365 voor het laatste nieuws en informatie.

Belangrijk

Als uw abonnement Microsoft Defender voor Office 365 bevat of als u Defender voor Office 365 hebt aangeschaft als invoegtoepassing, stelt u de volgende standaard- of strikte configuraties in.

Instellingen voor antiphishingbeleid in Microsoft Defender voor Office 365

EOP-klanten krijgen eenvoudige antiphishing zoals eerder beschreven, maar Defender voor Office 365 bevat meer functies en controle om aanvallen te voorkomen, te detecteren en te herstellen. Zie Antiphishingbeleid configureren in Defender voor Office 365 om dit beleid te maken en te configureren.

Geavanceerde instellingen in antiphishingbeleid in Microsoft Defender voor Office 365

Zie Geavanceerde drempelwaarden voor phishing in antiphishingbeleid in Microsoft Defender voor Office 365 voor meer informatie over deze instelling. Zie Antiphishingbeleid configureren in Defender voor Office 365 om deze instelling te configureren.

Naam van beveiligingsfunctie Standaard Standaard Strikte Opmerking
Drempelwaarde voor phishing-e-mail (PhishThresholdLevel) 1 - Standaard (1) 3 - Agressiever (3) 4 - Meest agressieve (4)

Imitatie-instellingen in antiphishingbeleid in Microsoft Defender voor Office 365

Zie Imitatie-instellingen in antiphishingbeleid in Microsoft Defender voor Office 365 voor meer informatie over deze instellingen. Zie Antiphishingbeleid configureren in Defender voor Office 365 om deze instellingen te configureren.

Overal waar u Het bericht in quarantaine plaatsen selecteert als de actie voor een imitatiebeoordeling, is het vak Quarantainebeleid toepassen beschikbaar. Quarantainebeleid bepaalt wat gebruikers kunnen doen met berichten in quarantaine en of gebruikers quarantainemeldingen ontvangen. Zie Anatomie van een quarantainebeleid voor meer informatie.

Hoewel de waarde quarantainebeleid toepassen niet is geselecteerd wanneer u een antiphishingbeleid maakt in de Defender-portal, wordt het quarantainebeleid met de naam DefaultFullAccessPolicy gebruikt als u geen quarantainebeleid selecteert. Dit beleid dwingt de historische mogelijkheden af voor berichten die in quarantaine zijn geplaatst als imitatie, zoals beschreven in de tabel hier. Wanneer u de instellingen voor het quarantainebeleid later weergeeft of bewerkt, wordt de naam van het quarantainebeleid weergegeven.

Beheerders kunnen quarantainebeleid maken of gebruiken met meer of minder beperkende mogelijkheden. Zie Quarantainebeleid maken in de Microsoft Defender-portal voor instructies.

Naam van beveiligingsfunctie Standaard Standaard Strikte Opmerking
Phishingdrempel & beveiliging
Beveiliging voor gebruikersimitatie: gebruikers in staat stellen om te beveiligen (EnableTargetedUserProtection en TargetedUsersToProtect) Niet geselecteerd ($false en geen) Geselecteerd ($true en <lijst met gebruikers>) Geselecteerd ($true en <lijst met gebruikers>) We raden u aan gebruikers (afzenders van berichten) toe te voegen in belangrijke rollen. Intern kunnen beveiligde afzenders uw CEO, CFO en andere senior leiders zijn. Externe, beschermde afzenders kunnen raadsleden of uw raad van bestuur zijn.
Beveiliging voor domeinimitatie: domeinen inschakelen om te beveiligen Niet geselecteerd Geselecteerde Geselecteerde
Domeinen opnemen die ik bezit (EnableOrganizationDomainsProtection) Uit ($false) Geselecteerd ($true) Geselecteerd ($true)
Aangepaste domeinen opnemen (EnableTargetedDomainsProtection en TargetedDomainsToProtect) Uit ($false en geen) Geselecteerd ($true en <lijst met domeinen>) Geselecteerd ($true en <lijst met domeinen>) We raden u aan domeinen (afzenderdomeinen) toe te voegen die u niet bezit, maar waarmee u regelmatig communiceert.
Vertrouwde afzenders en domeinen toevoegen (ExcludedSenders en ExcludedDomains) Geen Geen Geen Afhankelijk van uw organisatie raden we u aan afzenders of domeinen toe te voegen die onjuist zijn geïdentificeerd als imitatiepogingen.
Postvakintelligentie inschakelen (EnableMailboxIntelligence) Geselecteerd ($true) Geselecteerd ($true) Geselecteerd ($true)
Intelligence inschakelen voor imitatiebeveiliging (EnableMailboxIntelligenceProtection) Uit ($false) Geselecteerd ($true) Geselecteerd ($true) Met deze instelling kan de opgegeven actie worden uitgevoerd voor detectie van imitatie op basis van postvakinformatie.
Acties
Als een bericht wordt gedetecteerd als gebruikersimitatie (TargetedUserProtectionAction) Geen actie toepassen (NoAction) Het bericht in quarantaine plaatsen (Quarantine) Het bericht in quarantaine plaatsen (Quarantine)
Quarantainebeleid voor gebruikersimitatie (TargetedUserQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessWithNotificationPolicy DefaultFullAccessWithNotificationPolicy Het quarantainebeleid is alleen zinvol als detecties van gebruikersimitatie in quarantaine worden geplaatst.
Als een bericht wordt gedetecteerd als domeinimitatie (TargetedDomainProtectionAction) Geen actie toepassen (NoAction) Het bericht in quarantaine plaatsen (Quarantine) Het bericht in quarantaine plaatsen (Quarantine)
Quarantainebeleid voor domeinimitatie (TargetedDomainQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessWithNotificationPolicy DefaultFullAccessWithNotificationPolicy Het quarantainebeleid is alleen zinvol als domein-imitatiedetecties in quarantaine zijn geplaatst.
Als postvakinformatie een geïmiteerde gebruiker detecteert (MailboxIntelligenceProtectionAction) Geen actie toepassen (NoAction) Het bericht verplaatsen naar de mappen ongewenste Email van de geadresseerden (MoveToJmf) Het bericht in quarantaine plaatsen (Quarantine)
Quarantainebeleid voor imitatie van postvakinformatie (MailboxIntelligenceQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessPolicy DefaultFullAccessWithNotificationPolicy Het quarantainebeleid is alleen zinvol als detecties van postvakinformatie in quarantaine worden geplaatst.
Veiligheidstip voor imitatie van gebruiker weergeven (EnableSimilarUsersSafetyTips) Uit ($false) Geselecteerd ($true) Geselecteerd ($true)
Veiligheidstip voor domeinimitatie weergeven (EnableSimilarDomainsSafetyTips) Uit ($false) Geselecteerd ($true) Geselecteerd ($true)
Veiligheidstip voor gebruikersimitatie van ongebruikelijke tekens weergeven (EnableUnusualCharactersSafetyTips) Uit ($false) Geselecteerd ($true) Geselecteerd ($true)

¹ Zoals beschreven in Volledige toegangsmachtigingen en quarantainemeldingen, kan uw organisatie NotificationEnabledPolicy gebruiken in plaats van DefaultFullAccessPolicy in het standaardbeveiligingsbeleid of in nieuwe aangepaste beveiligingsbeleidsregels die u maakt. Het enige verschil tussen deze twee quarantainebeleidsregels is dat quarantainemeldingen zijn ingeschakeld in NotificationEnabledPolicy en uitgeschakeld in DefaultFullAccessPolicy.

EOP-beleidsinstellingen voor antiphishing in Microsoft Defender voor Office 365

Dit zijn dezelfde instellingen die beschikbaar zijn in de instellingen voor antispambeleid in EOP.

Instellingen voor veilige bijlagen

Veilige bijlagen in Microsoft Defender voor Office 365 bevat globale instellingen die geen relatie hebben met het beleid voor veilige bijlagen en instellingen die specifiek zijn voor elk beleid voor veilige koppelingen. Zie Veilige bijlagen in Defender voor Office 365 voor meer informatie.

Hoewel er geen standaardbeleid voor veilige bijlagen is, biedt het vooraf ingestelde beveiligingsbeleid voor ingebouwde beveiliging veilige bijlagen voor alle geadresseerden die niet zijn gedefinieerd in het standaard- of strikt vooraf ingestelde beveiligingsbeleid of in aangepaste beleidsregels voor veilige bijlagen. Zie Vooraf ingesteld beveiligingsbeleid in EOP en Microsoft Defender voor Office 365 voor meer informatie.

Algemene instellingen voor veilige bijlagen

Opmerking

De algemene instellingen voor veilige bijlagen worden ingesteld door het vooraf ingestelde beveiligingsbeleid voor ingebouwde beveiliging, maar niet door het standaard - of strikt vooraf ingestelde beveiligingsbeleid. In beide gevallen kunnen beheerders deze algemene instellingen voor veilige bijlagen op elk gewenst moment wijzigen.

In de kolom Standaard ziet u de waarden vóór het bestaan van het vooraf ingestelde beveiligingsbeleid voor ingebouwde beveiliging. In de kolom Ingebouwde beveiliging ziet u de waarden die zijn ingesteld door het vooraf ingestelde beveiligingsbeleid voor ingebouwde beveiliging . Dit zijn ook de aanbevolen waarden.

Zie Veilige bijlagen inschakelen voor SharePoint, OneDrive en Microsoft Teams enVeilige documenten in Microsoft 365 E5 om deze instellingen te configureren.

In PowerShell gebruikt u de cmdlet Set-AtpPolicyForO365 voor deze instellingen.

Naam van beveiligingsfunctie Standaard Ingebouwde beveiliging Opmerking
Schakel Defender voor Office 365 in voor SharePoint, OneDrive en Microsoft Teams (EnableATPForSPOTeamsODB) Uit ($false) Op ($true) Zie SharePoint Online PowerShell gebruiken om te voorkomen dat gebruikers schadelijke bestanden downloaden om te voorkomen dat gebruikers schadelijke bestanden downloaden.
Veilige documenten voor Office-clients inschakelen (EnableSafeDocs) Uit ($false) Op ($true) Deze functie is alleen beschikbaar en zinvol met licenties die niet zijn opgenomen in Defender voor Office 365 (bijvoorbeeld Microsoft 365 A5 of Microsoft 365 E5 Security). Raadpleeg Veilige documenten in Microsoft 365 A5- of E5-beveiliging voor meer informatie.
Personen toestaan door beveiligde weergave te klikken, zelfs als Veilige documenten het bestand als schadelijk hebben geïdentificeerd (AllowSafeDocsOpen) Uit ($false) Uit ($false) Deze instelling is gerelateerd aan Veilige documenten.

Beleidsinstellingen voor veilige bijlagen

Zie Beleid voor veilige bijlagen instellen in Defender voor Office 365 om deze instellingen te configureren.

In PowerShell gebruikt u de cmdlets New-SafeAttachmentPolicy en Set-SafeAttachmentPolicy voor deze instellingen.

Opmerking

Zoals eerder beschreven, is er geen standaardbeleid voor veilige bijlagen, maar biedt het vooraf ingestelde beveiligingsbeleid voor ingebouwde beveiliging veilige bijlagen voor alle geadresseerden die niet zijn gedefinieerd in het vooraf ingestelde standaardbeveiligingsbeleid, het vooraf ingestelde beveiligingsbeleid strikt of in aangepaste beleidsregels voor veilige bijlagen.

De kolom Standaard in aangepaste kolom verwijst naar de standaardwaarden in het nieuwe beleid voor veilige bijlagen dat u maakt. De resterende kolommen geven (tenzij anders vermeld) de waarden aan die zijn geconfigureerd in het bijbehorende vooraf ingestelde beveiligingsbeleid.

Quarantainebeleid bepaalt wat gebruikers kunnen doen met berichten in quarantaine en of gebruikers quarantainemeldingen ontvangen. Zie Anatomie van een quarantainebeleid voor meer informatie.

Het beleid met de naam AdminOnlyAccessPolicy dwingt de historische mogelijkheden af voor berichten die in quarantaine zijn geplaatst als malware, zoals beschreven in de tabel hier.

Gebruikers kunnen hun eigen berichten die als malware in quarantaine zijn geplaatst door Veilige bijlagen niet vrijgeven, ongeacht hoe het quarantainebeleid is geconfigureerd. Als het beleid toestaat dat gebruikers hun eigen berichten in quarantaine vrijgeven, mogen gebruikers in plaats daarvan de release van hun in quarantaine geplaatste malwareberichten aanvragen .

Naam van beveiligingsfunctie Standaardinstelling in aangepast Ingebouwde beveiliging Standaard Strikte Opmerking
Onbekende reactie op veilige bijlagen (inschakelen en actie) Uit (-Enable $false en -Action Block) Blok (-Enable $true en -Action Block) Blok (-Enable $true en -Action Block) Blok (-Enable $true en -Action Block) Wanneer de parameter Inschakelen is $false, maakt de waarde van de actieparameter niet uit.
Quarantainebeleid (Quarantainetag) AdminOnlyAccessPolicy AdminOnlyAccessPolicy AdminOnlyAccessPolicy AdminOnlyAccessPolicy
Omleidingsbijlage met gedetecteerde bijlagen : omleiding inschakelen (Omleiding en OmleidingAdres) Niet geselecteerd en geen e-mailadres opgegeven. (-Redirect $false en RedirectAddress is leeg) Niet geselecteerd en geen e-mailadres opgegeven. (-Redirect $false en RedirectAddress is leeg) Niet geselecteerd en geen e-mailadres opgegeven. (-Redirect $false en RedirectAddress is leeg) Niet geselecteerd en geen e-mailadres opgegeven. (-Redirect $false en RedirectAddress is leeg) Het omleiden van berichten is alleen beschikbaar wanneer de waarde voor het onbekende malware-antwoord van Veilige bijlagenMonitor (-Enable $true en -Action Allow) is.

Zie Veilige koppelingen in Defender voor Office 365 voor meer informatie over beveiliging van veilige koppelingen.

Hoewel er geen standaardbeleid voor Veilige koppelingen is, biedt het vooraf ingestelde beveiligingsbeleid voor ingebouwde beveiliging veilige koppelingen voor alle geadresseerden die niet zijn gedefinieerd in het standaard vooraf ingestelde beveiligingsbeleid, het vooraf ingestelde beveiligingsbeleid strikt of in aangepaste beleidsregels voor veilige koppelingen. Zie Vooraf ingesteld beveiligingsbeleid in EOP en Microsoft Defender voor Office 365 voor meer informatie.

Zie Beleidsregels voor veilige koppelingen instellen in Microsoft Defender voor Office 365 als u beleidsinstellingen voor veilige koppelingen wilt configureren.

In PowerShell gebruikt u de cmdlets New-SafeLinksPolicy en Set-SafeLinksPolicy voor beleidsinstellingen voor veilige koppelingen.

Opmerking

De kolom Standaard in aangepaste kolom verwijst naar de standaardwaarden in het nieuwe beleid voor veilige koppelingen dat u maakt. De resterende kolommen geven (tenzij anders vermeld) de waarden aan die zijn geconfigureerd in het bijbehorende vooraf ingestelde beveiligingsbeleid.

Naam van beveiligingsfunctie Standaardinstelling in aangepast Ingebouwde beveiliging Standaard Strikte Opmerking
Instellingen voor URL-& klikbeveiliging
E-mail De instellingen in deze sectie zijn van invloed op het herschrijven van URL's en de tijd van klikbeveiliging in e-mailberichten.
Aan: Veilige koppelingen controleert een lijst met bekende, schadelijke koppelingen wanneer gebruikers op koppelingen in e-mail klikken. URL's worden standaard herschreven. (EnableSafeLinksForEmail) Geselecteerd ($true) Geselecteerd ($true) Geselecteerd ($true) Geselecteerd ($true)
Veilige koppelingen toepassen op e-mailberichten die binnen de organisatie worden verzonden (EnableForInternalSenders) Geselecteerd ($true) Niet geselecteerd ($false) Geselecteerd ($true) Geselecteerd ($true)
Realtime URL-scannen toepassen op verdachte koppelingen en koppelingen die naar bestanden verwijzen (ScanUrls) Geselecteerd ($true) Geselecteerd ($true) Geselecteerd ($true) Geselecteerd ($true)
Wacht tot het scannen van URL's is voltooid voordat het bericht wordt verzonden (DeliverMessageAfterScan) Geselecteerd ($true) Geselecteerd ($true) Geselecteerd ($true) Geselecteerd ($true)
URL's niet herschrijven, alleen controles uitvoeren via de Safe Links-API (DisableURLRewrite) Geselecteerd ($false)* Geselecteerd ($true) Niet geselecteerd ($false) Niet geselecteerd ($false) * In het nieuwe beleid voor veilige koppelingen dat u maakt in de Defender-portal, is deze instelling standaard geselecteerd. In het nieuwe beleid voor veilige koppelingen dat u in PowerShell maakt, is $falsede standaardwaarde van de parameter DisableURLRewrite .
De volgende URL's niet herschrijven in e-mail (DoNotRewriteUrls) Lege Lege Lege Lege We hebben geen specifieke aanbeveling voor deze instelling.

Opmerking: vermeldingen in de lijst 'De volgende URL's niet herschrijven' worden niet gescand of verpakt door veilige koppelingen tijdens de e-mailstroom. Rapporteer de URL als Moet niet geblokkeerd zijn (fout-positief) en selecteer Toestaan dat deze URL een toegestane vermelding toevoegt aan de lijst Tenant toestaan/blokkeren, zodat de URL niet wordt gescand of verpakt door veilige koppelingen tijdens de e-mailstroom en tijdens het klikken. Zie Goede URL's rapporteren aan Microsoft voor instructies.
Teams De instelling in deze sectie is van invloed op de tijd van klikbeveiliging in Microsoft Teams.
Aan: Veilige koppelingen controleert een lijst met bekende, schadelijke koppelingen wanneer gebruikers op koppelingen in Microsoft Teams klikken. URL's worden niet herschreven. (EnableSafeLinksForTeams) Geselecteerd ($true) Geselecteerd ($true) Geselecteerd ($true) Geselecteerd ($true)
apps Office 365 De instelling in deze sectie is van invloed op de tijd van klikbeveiliging in Office-apps.
Aan: Veilige koppelingen controleert een lijst met bekende, schadelijke koppelingen wanneer gebruikers op koppelingen in Microsoft Office-apps klikken. URL's worden niet herschreven. (EnableSafeLinksForOffice) Geselecteerd ($true) Geselecteerd ($true) Geselecteerd ($true) Geselecteerd ($true) Gebruik Veilige koppelingen in ondersteunde Office 365 desktop- en mobiele apps (iOS en Android). Zie Instellingen voor veilige koppelingen voor Office-apps voor meer informatie.
Klik op beveiligingsinstellingen
Gebruikersklikken bijhouden (TrackClicks) Geselecteerd ($true) Geselecteerd ($true) Geselecteerd ($true) Geselecteerd ($true)
Gebruikers laten doorklikken naar de oorspronkelijke URL (AllowClickThrough) Geselecteerd ($false)* Geselecteerd ($true) Niet geselecteerd ($false) Niet geselecteerd ($false) * In het nieuwe beleid voor veilige koppelingen dat u maakt in de Defender-portal, is deze instelling standaard geselecteerd. In het nieuwe beleid voor veilige koppelingen dat u in PowerShell maakt, is $falsede standaardwaarde van de parameter AllowClickThrough .
De huisstijl van de organisatie weergeven op meldings- en waarschuwingspagina's (EnableOrganizationBranding) Niet geselecteerd ($false) Niet geselecteerd ($false) Niet geselecteerd ($false) Niet geselecteerd ($false) We hebben geen specifieke aanbeveling voor deze instelling.

Voordat u deze instelling inschakelt, moet u de instructies volgen in Het Microsoft 365-thema aanpassen voor uw organisatie om uw bedrijfslogo te uploaden.
Kennisgeving
Hoe wilt u uw gebruikers op de hoogte stellen? (CustomNotificationText en UseTranslatedNotificationText) Gebruik de standaardmeldingstekst (Leeg en $false) Gebruik de standaardmeldingstekst (Leeg en $false) Gebruik de standaardmeldingstekst (Leeg en $false) Gebruik de standaardmeldingstekst (Leeg en $false) We hebben geen specifieke aanbeveling voor deze instelling.

U kunt Aangepaste meldingstekst gebruiken (-CustomNotificationText "<Custom text>") selecteren om aangepaste meldingstekst in te voeren en te gebruiken. Als u aangepaste tekst opgeeft, kunt u ook Microsoft Translator gebruiken voor automatische lokalisatie (-UseTranslatedNotificationText $true) selecteren om de tekst automatisch te vertalen in de taal van de gebruiker.