Förinställda säkerhetsprinciper i EOP och Microsoft Defender för Office 365
Tips
Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkor på Try Microsoft Defender för Office 365.
Med förinställda säkerhetsprinciper kan du använda skyddsfunktioner för användare baserat på våra rekommenderade inställningar. Till skillnad från anpassade principer som är oändligt konfigurerbara kan praktiskt taget alla inställningar i förinställda säkerhetsprinciper inte konfigureras och baseras på våra observationer i datacenter. Inställningarna i förinställda säkerhetsprinciper ger en balans mellan att hålla skadligt innehåll borta från användare samtidigt som onödiga störningar undviks.
Beroende på din organisation tillhandahåller förinställda säkerhetsprinciper många av de skyddsfunktioner som är tillgängliga i Exchange Online Protection (EOP) och Microsoft Defender för Office 365.
Följande förinställda säkerhetsprinciper är tillgängliga:
- Standardförinställningssäkerhetsprincip
- Strikt förinställd säkerhetsprincip
- Inbyggd förinställd säkerhetsprincip för skydd (standardprinciper för säkra bifogade filer och skydd mot säkra länkar i Defender för Office 365)
Mer information om dessa förinställda säkerhetsprinciper finns i avsnittet Bilaga i slutet av den här artikeln.
Resten av den här artikeln beskriver hur du konfigurerar förinställda säkerhetsprinciper.
Vad behöver jag veta innan jag börjar?
Du öppnar Microsoft Defender-portalen på https://security.microsoft.com. Om du vill gå direkt till sidan Förinställda säkerhetsprinciper använder du https://security.microsoft.com/presetSecurityPolicies.
Information om hur du använder Windows PowerShell för att ansluta till Exchange Online finns i artikeln om att ansluta till Exchange Online PowerShell.
Du måste tilldelas behörigheter innan du kan utföra procedurerna i den här artikeln. Du har även följande alternativ:
Microsoft Defender XDR Enhetlig rollbaserad åtkomstkontroll (RBAC) (Om Email & samarbete>Defender för Office 365 behörigheter är Aktiva. Påverkar endast Defender-portalen, inte PowerShell): Auktorisering och inställningar/Säkerhetsinställningar/Kärnsäkerhetsinställningar (hantera) eller auktorisering och inställningar/Säkerhetsinställningar/Kärnsäkerhetsinställningar (läs).
-
- Konfigurera förinställda säkerhetsprinciper: Medlemskap i rollgrupperna Organisationshantering eller Säkerhetsadministratör .
- Skrivskyddad åtkomst till förinställda säkerhetsprinciper: Medlemskap i rollgruppen Global läsare .
Microsoft Entra behörigheter: Medlemskap i rollerna Global administratör*, Säkerhetsadministratör eller Global läsare ger användarna de behörigheter och behörigheter som krävs för andra funktioner i Microsoft 365.
Viktigt
* Microsoft rekommenderar att du använder roller med minst behörighet. Genom att använda konton med lägre behörighet kan du förbättra säkerheten för din organisation. Global administratör är en mycket privilegierad roll som bör begränsas till nödsituationsscenarier när du inte kan använda en befintlig roll.
Använd Microsoft Defender-portalen för att tilldela standard- och strikt förinställda säkerhetsprinciper till användare
I Microsoft Defender-portalen på https://security.microsoft.comgår du till Email & Samarbetsprinciper>& Regler>Hotprinciper>Förinställda säkerhetsprinciper i avsnittet Mallade principer. Om du vill gå direkt till sidan Förinställda säkerhetsprinciper använder du https://security.microsoft.com/presetSecurityPolicies.
Om det här är första gången på sidan Förinställda säkerhetsprinciper är det troligt att Standardskydd och Strikt skydd är inaktiverade .
Dra reglaget för den som du vill konfigurera till och välj sedan Hantera skyddsinställningar för att starta konfigurationsguiden.
På sidan Tillämpa Exchange Online Protection identifierar du de interna mottagare som EOP-skydden gäller för (mottagarvillkor):
Alla mottagare
Specifika mottagare: Konfigurera något av följande mottagarvillkor som visas:
- Användare: De angivna postlådorna, e-postanvändarna eller e-postkontakterna.
-
Grupper:
- Medlemmar i de angivna distributionsgrupperna eller e-postaktiverade säkerhetsgrupperna (dynamiska distributionsgrupper stöds inte).
- Den angivna Microsoft 365-grupper.
- Domäner: Alla mottagare i organisationen med en primär e-postadress i den angivna godkända domänen.
Klicka i lämplig ruta, börja skriva in ett värde och välj det värde du vill använda i resultatet. Upprepa det här steget så många gånger som det behövs. Om du vill ta bort ett befintligt värde väljer du bredvid värdet.
För användare eller grupper kan du använda de flesta identifierare (namn, visningsnamn, alias, e-postadress, kontonamn osv.), men motsvarande visningsnamn visas i resultatet. För användare eller grupper anger du en asterisk (*) för att se alla tillgängliga värden.
Du kan bara använda ett villkor en gång, men villkoret kan innehålla flera värden:
Flera värden för samma villkor använder OR-logik (till exempel <mottagare1> eller <mottagare2>). Om mottagaren matchar något av de angivna värdena tillämpas principen på dem.
Olika typer av villkor använder AND-logik. Mottagaren måste matcha alla angivna villkor för att principen ska gälla för dem. Du kan till exempel konfigurera ett villkor med följande värden:
- Användare:
romain@contoso.com
- Grupper: Chefer
Principen tillämpas
romain@contoso.com
endast på om han också är medlem i gruppen Chefer. Annars tillämpas inte policyn på honom.- Användare:
Ingen
Exkludera dessa mottagare: Om du har valt Alla mottagare eller Specifika mottagare väljer du det här alternativet för att konfigurera mottagar undantag.
Du kan bara använda ett undantag en gång, men undantaget kan innehålla flera värden:
- Flera värden för samma undantag använder OR-logik (till exempel <mottagare1> eller <mottagare2>). Om mottagaren matchar något av de angivna värdena tillämpas inte principen på dem.
- Olika typer av undantag använder OR-logik (till exempel <mottagare1> eller <medlem i grupp1> eller <medlem i domän1>). Om mottagaren matchar något av de angivna undantagsvärdena tillämpas inte principen på dem.
När du är klar på sidan Använd Exchange Online Protection väljer du Nästa.
Obs!
Om du väljer Nästa i organisationer utan Defender för Office 365 kommer du till sidan Granska (steg 9).
På sidan Tillämpa Defender för Office 365 skydd identifierar du de interna mottagare som Defender för Office 365 skydd gäller för (mottagarvillkor).
Inställningarna och beteendet är precis som på sidan Tillämpa Exchange Online Protection i föregående steg.
Du kan också välja Tidigare valda mottagare för att använda samma mottagare som du valde för EOP-skydd på föregående sida.
När du är klar på sidan Tillämpa Defender för Office 365 skydd väljer du Nästa.
På sidan Personifieringsskydd väljer du Nästa.
På sidan Lägg till e-postadresser som ska flaggas när de personifieras av angripare lägger du till interna och externa avsändare som skyddas av användarimitationsskydd.
Obs!
Alla mottagare får automatiskt personifieringsskydd från postlådeinformation i förinställda säkerhetsprinciper.
Du kan ange högst 350 användare för användarpersonifieringsskydd i standard- eller strikt förinställda säkerhetsprincip.
Skydd mot personifiering av användare fungerar inte om avsändaren och mottagaren tidigare har kommunicerat via e-post. Om avsändaren och mottagaren aldrig har kommunicerat via e-post kan meddelandet identifieras som ett personifieringsförsök.
Varje post består av ett visningsnamn och en e-postadress:
Interna användare: Klicka i rutan Lägg till ett giltigt e-postmeddelande eller börja skriva användarens e-postadress. Välj e-postadressen i listrutan Föreslagna kontakter som visas. Användarens visningsnamn läggs till i rutan Lägg till ett namn (som du kan ändra). När du är klar med att välja användaren väljer du Lägg till.
Externa användare: Skriv den externa användarens fullständiga e-postadress i rutan Lägg till ett giltigt e-postmeddelande och välj sedan e-postadressen i listrutan Föreslagna kontakter som visas. E-postadressen läggs också till i rutan Lägg till ett namn (som du kan ändra till ett visningsnamn).
Upprepa de här stegen så många gånger det behövs.
De användare som du har lagt till visas på sidan med visningsnamn och e-postadress för avsändare. Om du vill ta bort en användare väljer du bredvid posten.
Använd sökrutan för att hitta poster på sidan.
När du är klar på sidan Tillämpa Defender för Office 365 skydd väljer du Nästa.
På sidan Lägg till domäner som ska flaggas när de personifieras av angripare lägger du till interna och externa domäner som skyddas av domänimitationsskydd.
Obs!
Alla domäner som du äger (godkända domäner) får automatiskt skydd mot domänimitation i förinställda säkerhetsprinciper.
Du kan ange högst 50 anpassade domäner för domän personifieringsskydd i standard- eller strikt förinställda säkerhetsprincip.
Klicka i rutan Lägg till domäner , ange ett domänvärde, tryck på RETUR eller välj det värde som visas under rutan. Om du vill ta bort en domän från rutan och börja om väljer du bredvid domänen. När du är redo att lägga till domänen väljer du Lägg till. Upprepa det här steget så många gånger det behövs.
De domäner som du har lagt till visas på sidan. Om du vill ta bort domänen väljer du bredvid värdet.
De domäner som du har lagt till visas på sidan. Om du vill ta bort en domän väljer du bredvid posten.
Om du vill ta bort en befintlig post från listan väljer du bredvid posten.
När du är klar med flaggan Lägg till domäner som ska flaggas när den personifieras av angripare väljer du Nästa.
På sidan Lägg till betrodda e-postadresser och domäner som inte ska flaggas som personifiering anger du avsändarens e-postadresser och domäner som du ska undanta från personifieringsskydd. Meddelanden från dessa avsändare flaggas aldrig som en personifieringsattack, men avsändare kan fortfarande genomsökas av andra filter i EOP och Defender för Office 365.
Obs!
Betrodda domänposter innehåller inte underdomäner för den angivna domänen. Du måste lägga till en post för varje underdomän.
Ange e-postadressen eller domänen i rutan och tryck sedan på RETUR eller välj det värde som visas under rutan. Om du vill ta bort ett värde från rutan och börja om väljer du bredvid värdet. När du är redo att lägga till användaren eller domänen väljer du Lägg till. Upprepa det här steget så många gånger det behövs.
De användare och domäner som du har lagt till visas på sidan efter Namn och Typ. Om du vill ta bort en post väljer du bredvid posten.
När du är klar på sidan Lägg till betrodda e-postadresser och domäner som inte ska flaggas som personifiering väljer du Nästa.
Granska inställningarna på sidan Granska och bekräfta ändringarna . Du kan välja Tillbaka eller den specifika sidan i guiden för att ändra inställningarna.
När du är klar på sidan Granska och bekräfta ändringarna väljer du Bekräfta.
På sidan Standardskydd uppdaterat eller Strikt skydd uppdaterat väljer du Klar.
Använd Microsoft Defender-portalen för att ändra tilldelningarna av standard- och strikt förinställda säkerhetsprinciper
Stegen för att ändra tilldelningen av standardskyddet eller den förinställda säkerhetsprincipen strikt skydd är desamma som när du ursprungligen tilldelade förinställda säkerhetsprinciper till användare.
Om du vill inaktivera standardskyddsprinciperna eller de förinställda säkerhetsprinciperna för strikt skydd samtidigt som befintliga villkor och undantag bevaras skjuter du växlingsknappen till . Aktivera principerna genom att dra växlingsknappen till .
Använd Microsoft Defender-portalen för att lägga till undantag i den förinställda säkerhetsprincipen för inbyggt skydd
Tips
Den förinställda säkerhetsprincipen för inbyggt skydd tillämpas på alla användare i organisationer med alla licenser för Defender för Microsoft 365. Det här programmet är i en anda av att skydda den bredaste uppsättningen användare tills administratörer specifikt konfigurerar Defender för Office 365 skydd. Eftersom inbyggt skydd är aktiverat som standard behöver kunderna inte bekymra sig om att bryta mot produktlicensvillkor. Vi rekommenderar dock att du köper tillräckligt med Defender för Office 365 licenser för att säkerställa att det inbyggda skyddet fortsätter för alla användare.
Den förinställda säkerhetsprincipen för inbyggt skydd påverkar inte mottagare som definieras i standard - eller strikt förinställda säkerhetsprinciper, eller i anpassade principer för säkra länkar eller säkra bifogade filer. Därför rekommenderar vi vanligtvis inte undantag till den förinställda säkerhetsprincipen för inbyggt skydd .
I Microsoft Defender-portalen på https://security.microsoft.comgår du till Email & Samarbetsprinciper>& Regler>Hotprinciper>Förinställda säkerhetsprinciper i avsnittet Mallade principer. Om du vill gå direkt till sidan Förinställda säkerhetsprinciper använder du https://security.microsoft.com/presetSecurityPolicies.
På sidan Förinställda säkerhetsprinciper väljer du Lägg till undantag (rekommenderas inte)i avsnittet Inbyggt skydd .
I den utfällbara menyn Undanta från inbyggt skydd som öppnas identifierar du de interna mottagare som är undantagna från det inbyggda skyddet säkra länkar och säkra bifogade filer:
- Användare
-
Grupper:
- Medlemmar i de angivna distributionsgrupperna eller e-postaktiverade säkerhetsgrupperna (dynamiska distributionsgrupper stöds inte).
- Den angivna Microsoft 365-grupper.
- Domäner
Klicka i lämplig ruta, börja skriva ett värde och välj sedan det värde som visas under rutan. Upprepa det här steget så många gånger som det behövs. Om du vill ta bort ett befintligt värde väljer du bredvid värdet.
För användare eller grupper kan du använda de flesta identifierare (namn, visningsnamn, alias, e-postadress, kontonamn osv.), men motsvarande visningsnamn visas i resultatet. För användare anger du en asterisk (*) för att se alla tillgängliga värden.
Du kan bara använda ett undantag en gång, men undantaget kan innehålla flera värden:
- Flera värden för samma undantag använder OR-logik (till exempel <mottagare1> eller <mottagare2>). Om mottagaren matchar något av de angivna värdena tillämpas inte principen på dem.
- Olika typer av undantag använder OR-logik (till exempel <mottagare1> eller <medlem i grupp1> eller <medlem i domän1>). Om mottagaren matchar något av de angivna undantagsvärdena tillämpas inte principen på dem.
När du är klar med utfällbara menyn Exkludera från inbyggt skydd väljer du Spara.
Hur vet jag att de här procedurerna fungerade?
Om du vill kontrollera att du har tilldelat säkerhetsprincipen Standardskydd eller Strikt skydd till en användare använder du en skyddsinställning där standardvärdet skiljer sig från standardskyddsinställningen , vilket skiljer sig från inställningen Strikt skydd .
För e-post som har identifierats som skräppost (inte skräppost med hög konfidens) kontrollerar du till exempel att meddelandet levereras till mappen Skräppost Email för standardskyddsanvändare och sätts i karantän för strikt skyddsanvändare.
Eller för massutskick kontrollerar du att BCL-värdet 6 eller högre levererar meddelandet till mappen Junk Email för Standard Protection-användare, och BCL-värdet 5 eller högre placerar meddelandet i karantän för strikt skyddsanvändare.
Förinställda säkerhetsprinciper i Exchange Online PowerShell
I PowerShell består förinställda säkerhetsprinciper av följande element:
Enskilda säkerhetsprinciper: Till exempel principer för skydd mot skadlig kod, principer för skräppostskydd, principer för skydd mot nätfiske, principer för säkra länkar och principer för säkra bifogade filer. Dessa principer visas med hjälp av cmdletar för standardprinciphantering i Exchange Online PowerShell:
-
EOP-principer:
- Get-AntiPhishPolicy
- Get-HostedContentFilterPolicy (principer för skräppostskydd)
- Get-MalwareFilterPolicy
- Defender för Office 365 principer:
Varning
Försök inte skapa, ändra eller ta bort de enskilda säkerhetsprinciper som är associerade med förinställda säkerhetsprinciper. Den enda metod som stöds för att skapa enskilda säkerhetsprinciper för standard- eller strikt förinställda säkerhetsprinciper är att aktivera den förinställda säkerhetsprincipen i Microsoft Defender-portalen för första gången.
-
EOP-principer:
Regler: Separata regler används för den förinställda standardsäkerhetsprincipen, den strikta förinställda säkerhetsprincipen och den förinställda säkerhetsprincipen för inbyggt skydd. Reglerna definierar mottagarvillkoren och undantagen för principerna (vem principerna gäller för). Du hanterar dessa regler med hjälp av följande cmdletar i Exchange Online PowerShell:
- Regler för Exchange Online Protection(EOP)-skydd:
- Regler för Defender för Office 365 skydd:
- Regeln för den förinställda säkerhetsprincipen för inbyggt skydd:
För standard- och strikt förinställda säkerhetsprinciper skapas dessa regler första gången du aktiverar den förinställda säkerhetsprincipen i Microsoft Defender-portalen. Om du aldrig har aktiverat den förinställda säkerhetsprincipen finns inte de associerade reglerna. Om du inaktiverar den förinställda säkerhetsprincipen tas inte associerade regler bort.
I följande avsnitt beskrivs hur du använder dessa cmdletar i scenarier som stöds.
Information om hur du använder Windows PowerShell för att ansluta till Exchange Online finns i artikeln om att ansluta till Exchange Online PowerShell.
Använda PowerShell för att visa enskilda säkerhetsprinciper för förinställda säkerhetsprinciper
Kom ihåg att om du aldrig har aktiverat den förinställda standardsäkerhetsprincipen eller den strikta förinställda säkerhetsprincipen i Microsoft Defender-portalen finns inte de associerade säkerhetsprinciperna för den förinställda säkerhetsprincipen.
Inbyggd säkerhetsprincip för förinställt skydd: De associerade principerna heter Built-In Protection Policy. Egenskapsvärdet IsBuiltInProtection är Sant för dessa principer.
Om du vill visa enskilda säkerhetsprinciper för den förinställda säkerhetsprincipen för inbyggt skydd kör du följande kommando:
Write-Output -InputObject ("`r`n"*3),"Built-in protection Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy -Identity "Built-In Protection Policy" | Format-List; Write-Output -InputObject ("`r`n"*3),"Built-in protection Safe Links policy",("-"*79);Get-SafeLinksPolicy -Identity "Built-In Protection Policy" | Format-List
Standardförinställningssäkerhetsprincip: De associerade principerna heter
Standard Preset Security Policy<13-digit number>
. Till exempelStandard Preset Security Policy1622650008019
. Egenskapsvärdet RecommendPolicyType för principerna är Standard.Om du vill visa enskilda säkerhetsprinciper för standardförinställningens säkerhetsprincip i organisationer med endast EOP kör du följande kommando:
Write-Output -InputObject ("`r`n"*3),"Standard anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"
Om du vill visa de enskilda säkerhetsprinciperna för standardförinställningens säkerhetsprincip i organisationer med Defender för Office 365 kör du följande kommando:
Write-Output -InputObject ("`r`n"*3),"Standard anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"
Strikt förinställd säkerhetsprincip: De associerade principerna heter
Strict Preset Security Policy<13-digit number>
. Till exempelStrict Preset Security Policy1642034872546
. Egenskapsvärdet RecommendPolicyType för principerna är Strikt.Om du vill visa enskilda säkerhetsprinciper för strikt förinställd säkerhetsprincip i organisationer med endast EOP kör du följande kommando:
Write-Output -InputObject ("`r`n"*3),"Strict anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"
Om du vill visa enskilda säkerhetsprinciper för den strikta förinställda säkerhetsprincipen i organisationer med Defender för Office 365 kör du följande kommando:
Write-Output -InputObject ("`r`n"*3),"Strict anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"
Använda PowerShell för att visa regler för förinställda säkerhetsprinciper
Kom ihåg att om du aldrig har aktiverat den förinställda standardsäkerhetsprincipen eller den strikta förinställda säkerhetsprincipen i Microsoft Defender-portalen finns inte de associerade reglerna för dessa principer.
Inbyggd säkerhetsprincip för förinställt skydd: Det finns bara en regel med namnet ATP Built-In Protection Rule.
Om du vill visa regeln som är associerad med den förinställda säkerhetsprincipen för inbyggt skydd kör du följande kommando:
Get-ATPBuiltInProtectionRule
Standardförinställningssäkerhetsprincip: De associerade reglerna heter Standard Preset Security Policy (Standardförinställningssäkerhetsprincip).
Använd följande kommandon för att visa de regler som är associerade med standardprincipen för förinställd säkerhet:
Om du vill visa regeln som är associerad med EOP-skydd i standardinställningens säkerhetsprincip kör du följande kommando:
Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"
Kör följande kommando för att visa regeln som är associerad med Defender för Office 365 skydd i standardinställningens säkerhetsprincip:
Get-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"
Om du vill visa båda reglerna samtidigt kör du följande kommando:
Write-Output -InputObject ("`r`n"*3),"EOP rule - Standard preset security policy",("-"*79);Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"; Write-Output -InputObject ("`r`n"*3),"Defender for Office 365 rule - Standard preset security policy",("-"*79);Get-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"
Strikt förinställd säkerhetsprincip: De associerade reglerna heter Strikt förinställd säkerhetsprincip.
Använd följande kommandon för att visa de regler som är associerade med den strikta förinställda säkerhetsprincipen:
Om du vill visa regeln som är associerad med EOP-skydd i den strikta förinställda säkerhetsprincipen kör du följande kommando:
Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"
Om du vill visa regeln som är associerad med Defender för Office 365 skydd i den strikta förinställda säkerhetsprincipen kör du följande kommando:
Get-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"
Om du vill visa båda reglerna samtidigt kör du följande kommando:
Write-Output -InputObject ("`r`n"*3),"EOP rule - Strict preset security policy",("-"*79);Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"; Write-Output -InputObject ("`r`n"*3),"Defender for Office 365 rule - Strict preset security policy",("-"*79);Get-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"
Använda PowerShell för att aktivera eller inaktivera förinställda säkerhetsprinciper
Om du vill aktivera eller inaktivera standard- eller strikt förinställda säkerhetsprinciper i PowerShell aktiverar eller inaktiverar du de regler som är associerade med principen. Egenskapsvärdet Tillstånd för regeln visar om regeln är Aktiverad eller Inaktiverad.
Om din organisation bara har EOP inaktiverar eller aktiverar du regeln för EOP-skydd.
Om din organisation har Defender för Office 365 aktiverar eller inaktiverar du regeln för EOP-skydd och regeln för Defender för Office 365 skydd (aktivera eller inaktivera båda reglerna).
Endast organisationer med EOP:
Kör följande kommando för att avgöra om reglerna för standard- och strikt förinställda säkerhetsprinciper för närvarande är aktiverade eller inaktiverade:
Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50); Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50); Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy" | Format-Table Name,State
Kör följande kommando för att inaktivera standardprincipen för förinställd säkerhet om den är aktiverad:
Disable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"
Kör följande kommando för att inaktivera den strikta förinställda säkerhetsprincipen om den är aktiverad:
Disable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"
Kör följande kommando för att aktivera standardinställningens säkerhetsprincip om den är inaktiverad:
Enable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"
Kör följande kommando för att aktivera den strikta förinställda säkerhetsprincipen om den är inaktiverad:
Enable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"
Organisationer med Defender för Office 365:
Kör följande kommando för att avgöra om reglerna för standard- och strikt förinställda säkerhetsprinciper för närvarande är aktiverade eller inaktiverade:
Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50);Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject `r`n,"Defender for Office 365 protection rule",("-"*50);Get-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50);Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject `r`n,"Defender for Office 365 protection rule",("-"*50);Get-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy" | Format-Table Name,State
Kör följande kommando för att inaktivera standardprincipen för förinställd säkerhet om den är aktiverad:
Disable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"; Disable-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"
Kör följande kommando för att inaktivera den strikta förinställda säkerhetsprincipen om den är aktiverad:
Disable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"; Disable-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"
Kör följande kommando för att aktivera standardinställningens säkerhetsprincip om den är inaktiverad:
Enable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"; Enable-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"
Kör följande kommando för att aktivera den strikta förinställda säkerhetsprincipen om den är inaktiverad:
Enable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"; Enable-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"
Använd PowerShell för att ange mottagarvillkor och undantag för förinställda säkerhetsprinciper
Du kan bara använda ett mottagarvillkor eller undantag en gång, men villkoret eller undantaget kan innehålla flera värden:
Flera värden för samma villkor eller undantag använder OR-logik (till exempel <mottagare1> eller <mottagare2>):
- Villkor: Om mottagaren matchar något av de angivna värdena tillämpas principen på dem.
- Undantag: Om mottagaren matchar något av de angivna värdena tillämpas inte principen på dem.
Olika typer av undantag använder OR-logik (till exempel <mottagare1> eller <medlem i grupp1> eller <medlem i domän1>). Om mottagaren matchar något av de angivna undantagsvärdena tillämpas inte principen på dem.
Olika typer av villkor använder AND-logik. Mottagaren måste matcha alla angivna villkor för att principen ska gälla för dem. Du kan till exempel konfigurera ett villkor med följande värden:
- Användare:
romain@contoso.com
- Grupper: Chefer
Principen tillämpas
romain@contoso.com
endast på om han också är medlem i gruppen Chefer. Annars tillämpas inte policyn på honom.- Användare:
För den förinställda säkerhetsprincipen för inbyggt skydd kan du bara ange mottagarfel. Om alla undantagsparametervärden är tomma ($null
) finns det inga undantag till principen.
För standard- och strikt förinställda säkerhetsprinciper kan du ange mottagarvillkor och undantag för EOP-skydd och Defender för Office 365 skydd. Om alla villkor och undantagsparametervärden är tomma ($null
) finns det inga mottagarvillkor eller undantag från standard- eller strikt förinställda säkerhetsprinciper.
Inbyggd säkerhetsprincip för förinställt skydd:
Använd följande syntax:
Set-ATPBuiltInProtectionRule -Identity "ATP Built-In Protection Rule" -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null>
Det här exemplet tar bort alla mottagarfel från den förinställda säkerhetsprincipen för inbyggt skydd.
Set-ATPBuiltInProtectionRule -Identity "ATP Built-In Protection Rule" -ExceptIfRecipientDomainIs $null -ExceptIfSentTo $null -ExceptIfSentToMemberOf $null
Detaljerad information om syntax och parametrar finns i Set-ATPBuiltInProtectionRule.
Standard- eller strikt förinställda säkerhetsprinciper
Använd följande syntax:
<Set-EOPProtectionPolicyRule | SetAtpProtectionPolicyRule> -Identity "<Standard Preset Security Policy | Strict Preset Security Policy>" -SentTo <"user1","user2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -SentToMemberOf <"group1","group2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null> -RecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null>
Det här exemplet konfigurerar undantag från EOP-skydd i standardförinställningens säkerhetsprincip för medlemmar i distributionsgruppen med namnet Chefer.
Set-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy" -ExceptIfSentToMemberOf Executives
I det här exemplet konfigureras undantag från Defender för Office 365-skydd i den strikta förinställda säkerhetsprincipen för de angivna säkerhetsåtgärderna (SecOps).
Set-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy" -ExceptIfSentTo "SecOps1","SecOps2"
Detaljerad information om syntax och parametrar finns i Set-EOPProtectionPolicyRule och Set-ATPProtectionPolicyRule.
Bilaga
Förinställda säkerhetsprinciper består av följande element:
De här elementen beskrivs i följande avsnitt.
Dessutom är det viktigt att förstå hur förinställda säkerhetsprinciper passar i prioritetsordning med andra principer.
Profiler i förinställda säkerhetsprinciper
En profil avgör skyddsnivån. Följande profiler är tillgängliga för förinställda säkerhetsprinciper:
- Standardskydd: En baslinjeprofil som passar de flesta användare.
- Strikt skydd: En mer aggressiv profil för utvalda användare (högt värderade mål eller prioriterade användare).
- Inbyggt skydd (endast Microsoft Defender för Office 365): Tillhandahåller i praktiken standardprinciper endast för säkra länkar och säkra bifogade filer.
I allmänhet tenderar profilen strikt skydd att placera mindre skadlig e-post i karantän (till exempel massutskick och skräppost) än standardskyddsprofilen , men många av inställningarna i båda profilerna är desamma (särskilt för odiskutabelt skadliga e-postmeddelanden som skadlig kod eller nätfiske). En jämförelse av inställningsskillnaderna finns i tabellerna i nästa avsnitt.
Tills du aktiverar profilerna och tilldelar användare till dem tilldelas standard- och strikt förinställda säkerhetsprinciper inte till någon. Den förinställda säkerhetsprincipen för inbyggt skydd tilldelas däremot till alla mottagare som standard, men du kan konfigurera undantag.
Viktigt
Om du inte konfigurerar undantag till den förinställda säkerhetsprincipen för inbyggt skydd får alla mottagare i organisationen skydd mot säkra länkar och säkra bifogade filer.
Principer i förinställda säkerhetsprinciper
Förinställda säkerhetsprinciper använder särskilda versioner av de enskilda skyddsprinciper som är tillgängliga i EOP och Microsoft Defender för Office 365. Dessa principer skapas när du har tilldelat standardskydds - eller strikt skydd förinställda säkerhetsprinciper till användare.
EOP-principer: Dessa principer finns i alla Microsoft 365-organisationer med Exchange Online postlådor och fristående EOP-organisationer utan Exchange Online postlådor:
- Principer för skräppostskydd med namnet StandardFörinställningssäkerhetsprincip och Strikt förinställd säkerhetsprincip.
- Principer för skydd mot skadlig kod med namnet StandardFörinställningssäkerhetsprincip och Strikt förinställd säkerhetsprincip.
- Principer för skydd mot nätfiske (förfalskningsskydd) med namnet Standard Preset Security Policy och Strict Preset Security Policy (förfalskningsinställningar).
Obs!
Principer för utgående skräppost ingår inte i förinställda säkerhetsprinciper. Standardprincipen för utgående skräppost skyddar automatiskt medlemmar i förinställda säkerhetsprinciper. Eller så kan du skapa anpassade principer för utgående skräppost för att anpassa skyddet för medlemmar i förinställda säkerhetsprinciper. Mer information finns i Konfigurera utgående skräppostfiltrering i EOP.
Microsoft Defender för Office 365 principer: Dessa principer finns i organisationer med Microsoft 365 E5 eller Defender för Office 365 tilläggsprenumerationer:
- Principer för skydd mot nätfiske i Defender för Office 365 med namnet StandardFörinställningssäkerhetsprincip och Strikt förinställd säkerhetsprincip, bland annat:
- Samma förfalskningsinställningar som är tillgängliga i EOP:s principer för skydd mot nätfiske.
- Personifieringsinställningar
- Avancerade tröskelvärden för nätfiske
- Principer för säkra länkar med namnet StandardFörinställningssäkerhetsprincip, Strikt förinställd säkerhetsprincip och inbyggd skyddsprincip.
- Principer för säkra bifogade filer med namnet StandardFörinställningssäkerhetsprincip, Strikt förinställd säkerhetsprincip och inbyggd skyddsprincip.
- Principer för skydd mot nätfiske i Defender för Office 365 med namnet StandardFörinställningssäkerhetsprincip och Strikt förinställd säkerhetsprincip, bland annat:
Som tidigare beskrivits kan du använda EOP-skydd för andra användare än Defender för Office 365 skydd, eller så kan du använda EOP och Defender för Office 365 skydd för samma mottagare.
Principinställningar i förinställda säkerhetsprinciper
I grunden kan du inte ändra de enskilda principinställningarna i skyddsprofilerna. Att anpassa motsvarande standardprincip eller skapa en ny anpassad princip har ingen effekt på grund av prioritetsordningen när samma användare (mottagare) definieras i flera principer (standard- och strikt förinställda säkerhetsprinciper tillämpas alltid först).
- Standard-, Strict- och Inbyggda skyddsprincipvärden, inklusive associerade karantänprinciper, visas i funktionstabellerna i Rekommenderade inställningar för EOP och Microsoft Defender för Office 365 säkerhet.
- Du kan också använda Exchange Online PowerShell för att snabbt se alla principinställningsvärden enligt beskrivningen tidigare i den här artikeln.
Men du måste konfigurera enskilda användare (avsändare) och domäner för att få personifieringsskydd i Defender för Office 365. Annars konfigurerar förinställda säkerhetsprinciper automatiskt följande typer av personifieringsskydd:
- Skydd mot domänpersonifiering för alla domäner som du äger (godkända domäner).
- Skydd mot postlådeinformation (kontaktdiagram).
Skillnaderna i meningsfulla principinställningar i den förinställda standardsäkerhetsprincipen och den strikta förinställda säkerhetsprincipen sammanfattas i följande tabell:
Standard | Sträng | |
---|---|---|
Princip för skydd mot skadlig programvara | Ingen skillnad | Ingen skillnad |
Princip för skräppostskydd | ||
Masskompatibel nivå (BCL) uppfyllde eller överskred identifieringsåtgärden (BulkSpamAction) |
Flytta meddelandet till mappen Skräppost Email (MoveToJmf ) |
Karantänmeddelande (Quarantine ) |
Tröskelvärde för massutskick (BulkThreshold) | 6 | 5 |
Åtgärd för identifiering av skräppost (SpamAction) |
Flytta meddelandet till mappen Skräppost Email (MoveToJmf ) |
Karantänmeddelande (Quarantine ) |
Princip för skydd mot nätfiske | ||
Om meddelandet identifieras som förfalskning av förfalskningsinformation (AuthenticationFailAction) |
Flytta meddelandet till mappen Skräppost Email (MoveToJmf ) |
Karantänmeddelande (Quarantine ) |
Visa säkerhetstips för första kontakten (EnableFirstContactSafetyTips) | Markerad ($true ) |
Markerad ($true ) |
Om postlådeinformation identifierar en personifierad användare (MailboxIntelligenceProtectionAction) |
Flytta meddelandet till mappen Skräppost Email (MoveToJmf ) |
Karantänmeddelande (Quarantine ) |
Tröskelvärde för nätfiskemeddelande (PhishThresholdLevel) |
3 - Mer aggressiv (3 ) |
4 - Mest aggressiva (4 ) |
Princip för säkra bifogade filer | Ingen skillnad | Ingen skillnad |
Princip för säkra länkar | Ingen skillnad | Ingen skillnad |
Skillnaderna i principinställningar för säkra bifogade filer och säkra länkar i den förinställda säkerhetsprincipen för inbyggt skydd och i standard- och strikt förinställda säkerhetsprinciper sammanfattas i följande tabell:
Inbyggt skydd | Standard och strikt | |
---|---|---|
Princip för säkra bifogade filer | Ingen skillnad | Ingen skillnad |
Princip för säkra länkar | ||
Låt användarna klicka vidare till den ursprungliga URL:en (AllowClickThrough) | Markerad ($true ) |
Inte markerat ($false ) |
Skriv inte om URL:er, gör kontroller endast via API för säkra länkar (DisableURLRewrite) | Markerad ($true ) |
Inte markerat ($false ) |
Använd säkra länkar för e-postmeddelanden som skickas inom organisationen (EnableForInternalSenders) | Inte markerat ($false ) |
Markerad ($true ) |
Mer information om de här inställningarna finns i funktionstabellerna i Rekommenderade inställningar för EOP och Microsoft Defender för Office 365 säkerhet.
Prioritetsordning för förinställda säkerhetsprinciper och andra principer
När en mottagare definieras i flera principer tillämpas principerna i följande ordning:
- Den strikta förinställda säkerhetsprincipen.
- Standardförinställningens säkerhetsprincip.
- Anpassade principer baserat på principens prioritet (ett lägre tal anger en högre prioritet).
- Defender för Office 365 utvärderingsprinciper
- Den förinställda säkerhetsprincipen för inbyggt skydd för säkra länkar och säkra bifogade filer. standardprinciperna för skydd mot skadlig kod, skräppostskydd och skydd mot nätfiske.
Med andra ord åsidosätter inställningarna för den strikta förinställda säkerhetsprincipen inställningarna för standardförinställningssäkerhetsprincipen, som åsidosätter inställningarna från alla utvärderingsprinciper för skydd mot nätfiske, säkra länkar eller säkra bifogade filer, som åsidosätter inställningarna för den förinställda säkerhetsprincipen för inbyggt skydd för säkra länkar och säkra bifogade filer. och standardprinciperna för skräppostskydd, skadlig kod och skydd mot nätfiske.
Den här ordningen visas på sidorna för de enskilda säkerhetsprinciperna i Defender-portalen (principerna tillämpas i den ordning de visas på sidan).
En administratör konfigurerar till exempel standardprincipen för förinställd säkerhet och en anpassad princip för skräppostskydd med samma mottagare. Principinställningarna för skräppostskydd från standardinställningens säkerhetsprincip tillämpas på användaren i stället för det som konfigureras i den anpassade principen för skräppostskydd eller i standardprincipen för skräppostskydd.
Överväg att tillämpa standard- eller strikt förinställda säkerhetsprinciper på en delmängd användare och tillämpa anpassade principer på andra användare i din organisation för att uppfylla specifika behov. Tänk på följande metoder för att uppfylla det här kravet:
- Använd entydiga grupper eller listor med mottagare i standardförinställningens säkerhetsprincip, strikt förinställd säkerhet och i anpassade principer så att undantag inte krävs. Med den här metoden behöver du inte ta hänsyn till flera principer som gäller för samma användare och effekterna av prioritetsordningen.
- Om du inte kan undvika att flera principer tillämpas på samma användare använder du följande strategier:
- Konfigurera mottagare som ska få inställningarna för standardförinställningens säkerhetsprincip och anpassade principer som undantag i den strikta förinställda säkerhetsprincipen.
- Konfigurera mottagare som ska få inställningarna för anpassade principer som undantag i den förinställda standardsäkerhetsprincipen.
- Konfigurera mottagare som ska få inställningarna för den förinställda säkerhetsprincipen för inbyggt skydd eller standardprinciper som undantag till anpassade principer.
Den förinställda säkerhetsprincipen för inbyggt skydd påverkar inte mottagarna i befintliga principer för säkra länkar eller säkra bifogade filer. Om du redan har konfigurerat principer för standardskydd, strikt skydd eller anpassade säkra länkar eller säkra bifogade filer tillämpas dessa principer alltidföredet inbyggda skyddet, så det påverkar inte mottagarna som redan har definierats i de befintliga förinställda eller anpassade principerna.
Mer information finns i Ordning och prioritet för e-postskydd.