Konfigurieren von Anti-Phishing-Richtlinien in EOP

Tipp

Wussten Sie, dass Sie die Features in Microsoft 365 Defender für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender für Office 365-Testversion im Microsoft 365 Defender Portal-Testversionen-Hub. Erfahren Sie hier, wer sich registrieren und testen kann.

Gilt für

In Microsoft 365-Organisationen mit Postfächern in Exchange Online oder eigenständigen Exchange Online Protection (EOP)-Organisationen ohne Exchange Online Postfächern gibt es eine Standardmäßige Antiphishingrichtlinie, die eine begrenzte Anzahl von Antispoofingfeatures enthält, die standardmäßig aktiviert sind. Weitere Informationen finden Sie unter Spoofeinstellungen in Antiphishingrichtlinien.

Administratoren können die Standardmäßige Antiphishingrichtlinie anzeigen, bearbeiten und konfigurieren (aber nicht löschen). Um die Granularität zu erhöhen, können Sie auch benutzerdefinierte Antiphishingrichtlinien erstellen, die für bestimmte Benutzer, Gruppen oder Domänen in Ihrer Organisation gelten. Benutzerdefinierte Richtlinien haben immer Vorrang vor der standardmäßigen Richtlinie, die Priorität (Reihenfolge der Ausführung) Ihrer benutzerdefinierten Richtlinien können Sie jedoch ändern.

Organisationen mit Exchange Online Postfächern können Antiphishingrichtlinien im Microsoft 365 Defender-Portal oder in Exchange Online PowerShell konfigurieren. Eigenständige EOP-Organisationen können nur das Microsoft 365 Defender-Portal verwenden.

Informationen zum Erstellen und Ändern der erweiterten Antiphishingrichtlinien, die in Microsoft Defender for Office 365 verfügbar sind, finden Sie unter Konfigurieren von Antiphishingrichtlinien in Microsoft Defender for Office 365.

Die grundlegenden Elemente einer Antiphishingrichtlinie sind:

  • Die Antiphishingrichtlinie: Gibt die zu aktivierenden oder zu deaktivierenden Phishing-Schutzmaßnahmen und die Aktionen zum Anwenden von Optionen an.
  • Die Antiphishierungsregel: Gibt die Prioritäts- und Empfängerfilter (für die die Richtlinie gilt) für eine Antiphishish-Richtlinie an.

Der Unterschied zwischen diesen beiden Elementen ist nicht offensichtlich, wenn Sie Antiphishingrichtlinien im Microsoft 365 Defender-Portal verwalten:

  • Wenn Sie eine Antiphishingrichtlinie erstellen, erstellen Sie tatsächlich gleichzeitig eine Antiphishingregel und die zugehörige Antiphishingrichtlinie unter demselben Namen für beide.
  • Wenn Sie eine Antiphishingrichtlinie ändern, ändern Einstellungen im Zusammenhang mit dem Namen, der Priorität, aktivierten oder deaktivierten Einstellungen und Empfängerfiltern die Antiphishingregel. Alle anderen Einstellungen ändern die zugeordnete Antiphishish-Richtlinie.
  • Wenn Sie eine Antiphishingrichtlinie entfernen, werden die Antiphishingregel und die zugehörige Antiphishingrichtlinie entfernt.

In Exchange Online PowerShell verwalten Sie die Richtlinie und die Regel separat. Weitere Informationen finden Sie im Abschnitt "Verwenden Exchange Online PowerShell zum Konfigurieren von Antiphishingrichtlinien" weiter unten in diesem Artikel.

Jede Organisation verfügt über eine integrierte Antiphishingrichtlinie mit dem Namen "Office365 AntiPhish Default", die über die folgenden Eigenschaften verfügt:

  • Die Richtlinie wird auf alle Empfänger in der Organisation angewendet, obwohl der Richtlinie keine Antiphishish-Regel (Empfängerfilter) zugeordnet ist.
  • Die Richtlinie hat den benutzerdefinierten Prioritätswert Am Niedrigsten, den Sie nicht ändern können (die Richtlinie wird immer zuletzt angewendet). Alle benutzerdefinierten Richtlinien, die Sie erstellen, haben immer eine höhere Priorität.
  • Die Richtlinie ist die Standardrichtlinie (die IsDefault-Eigenschaft hat den Wert True), und die Standardrichtlinie kann nicht gelöscht werden.

Um die Effektivität des Antiphishingschutzes zu erhöhen, können Sie benutzerdefinierte Antiphishingrichtlinien mit strengeren Einstellungen erstellen, die auf bestimmte Benutzer oder Benutzergruppen angewendet werden.

Was sollten Sie wissen, bevor Sie beginnen?

  • Sie öffnen das Microsoft 365 Defender-Portal unter https://security.microsoft.com. Um direkt zur Antiphishingseite zu wechseln, verwenden Sie https://security.microsoft.com/antiphishing.

  • Wie Sie eine Verbindung mit Exchange Online PowerShell herstellen, finden Sie unter Herstellen einer Verbindung mit Exchange Online PowerShell.

    Antiphishingrichtlinien können in der eigenständigen EOP PowerShell nicht verwaltet werden.

  • Sie müssen in Exchange Online Berechtigungen erhalten, bevor Sie die in diesem Artikel beschriebenen Schritte ausführen können:

    • Zum Hinzufügen, Ändern und Löschen von Antiphishingrichtlinien müssen Sie Mitglied der Rollengruppen "Organisationsverwaltung " oder " Sicherheitsadministrator " sein.
    • Für den schreibgeschützten Zugriff auf Antiphishingrichtlinien müssen Sie Mitglied der Rollengruppen "Globaler Leser " oder " Sicherheitsleser " sein.

    Weitere Informationen finden Sie unter Berechtigungen in Exchange Online.

    Hinweise:

    • Durch Hinzufügen von Benutzern zur entsprechenden Azure Active Directory-Rolle im Microsoft 365 Admin Center erhalten Benutzer die erforderlichen Berechtigungen und Berechtigungen für andere Features in Microsoft 365. Weitere Informationen finden Sie unter Informationen zu Administratorrollen.
    • Die Rollengruppe "Nur anzeigende Organisation" in Exchange Online bietet auch schreibgeschützten Zugriff auf das Feature *.
  • Unsere empfohlenen Einstellungen für Antiphishingrichtlinien finden Sie unter EOP-Einstellungen für Antiphishingrichtlinien.

  • Es kann bis zu 30 Minuten dauern, bis die aktualisierte Richtlinie angewendet wird.

  • Informationen dazu, wo Antiphishingrichtlinien in der Filterpipeline angewendet werden, finden Sie unter "Reihenfolge und Rangfolge des E-Mail-Schutzes".

Verwenden des Microsoft 365 Defender Portals zum Erstellen von Antiphishingrichtlinien

Durch das Erstellen einer benutzerdefinierten Antiphishingrichtlinie im Microsoft 365 Defender Portal werden die Antiphishingregel und die zugehörige Antiphishingrichtlinie gleichzeitig mit demselben Namen für beide Erstellt.

  1. Wechseln Sie im Microsoft 365 Defender Portal unter https://security.microsoft.comzu Email & Richtlinien für die Zusammenarbeit > & Richtlinien > zur Regelbedrohung > – Antiphishing im Abschnitt "Richtlinien". Um direkt zur Antiphishingseite zu wechseln, verwenden Sie https://security.microsoft.com/antiphishing.

  2. Klicken Sie auf der Seite "Antiphishing " auf das Symbol " Erstellen". Erstellen.

  3. Der Richtlinienassistent wird geöffnet. Konfigurieren Sie auf der Seite " Richtlinienname " die folgenden Einstellungen:

    • Name: Geben Sie einen eindeutigen, aussagekräftigen Namen für die Richtlinie ein.
    • Beschreibung: Geben Sie eine optionale Beschreibung für die Richtlinie ein.

    Wenn Sie fertig sind, klicken Sie auf Weiter.

  4. Auf der dann angezeigten Seite Benutzer, Gruppen und Domänen identifizieren Sie die internen Empfänger, für welche die Richtlinie gilt (Empfängerbedingungen):

    • Benutzer: Die angegebenen Postfächer, E-Mail-Benutzer oder E-Mail-Kontakte.
    • Gruppen:
      • Mitglieder der angegebenen Verteilergruppen oder E-Mail-aktivierten Sicherheitsgruppen.
      • Die angegebene Microsoft 365-Gruppen.
    • Domänen: Alle Empfänger in der angegebenen akzeptierten Domäne in Ihrer Organisation.

    Klicken Sie auf das entsprechende Feld, beginnen Sie mit der Eingabe eines Wertes, und wählen Sie den gewünschten Wert aus den Ergebnissen aus. Wiederholen Sie diesen Vorgang so oft wie nötig. Um einen vorhandenen Wert zu entfernen, klicken Sie auf das Symbol „Entfernen“. neben dem Wert.

    Für Benutzer oder Gruppen können Sie die meisten Bezeichner verwenden (Name, Anzeigename, Alias, E-Mail-Adresse, Kontoname usw.), aber in den Ergebnissen wird der entsprechende Anzeigename angezeigt. Geben Sie für Benutzer einen einzelnen Stern (*) ein, um alle verfügbaren Werte anzuzeigen.

    Mehreren Werten in der gleichen Bedingung verwenden die „ODER“-Logik (z. B. <recipient1> ODER <recipient2>). Unterschiedlichen Bedingungen verwenden die „UND“-Logik (z. B. <recipient1> UND <member of group 1>).

    • Ausschließen dieser Benutzer, Gruppen und Domänen: Um Ausnahmen für die internen Empfänger hinzuzufügen, für welche die Richtlinie gilt (Empfängerausnahmen), wählen Sie diese Option und konfigurieren Sie die Ausnahmen. Die Einstellungen und das Verhalten entsprechen genau den Bedingungen.

    Wichtig

    Mehrere verschiedene Arten von Bedingungen oder Ausnahmen sind nicht additiv; sie sind inklusiv. Die Richtlinie wird nur auf die Empfänger angewendet, die mit allen angegebenen Empfängerfiltern übereinstimmen. Beispielsweise konfigurieren Sie eine Empfängerfilterbedingung in der Richtlinie mit den folgenden Werten:

    • Der Empfänger ist: romain@contoso.com
    • Der Empfänger ist Mitglied von: Executives

    Die Richtlinie wird nur dann auf romain@contoso.com angewendet, wenn er auch Mitglied der Gruppe Executives ist. Wenn er kein Mitglied der Gruppe ist, wird die Richtlinie nicht auf ihn angewendet.

    Wenn Sie denselben Empfängerfilter als Ausnahme von der Richtlinie verwenden, wird die Richtlinie nur dann nicht auf romain@contoso.com angewendet, wenn er auch Mitglied der Gruppe Executives ist. Wenn er kein Mitglied der Gruppe ist, gilt die Richtlinie dennoch für ihn.

    Wenn Sie fertig sind, klicken Sie auf Weiter.

  5. Aktivieren oder deaktivieren Sie auf der angezeigten Seite " Phishingschwellenwert & Schutz " das Kontrollkästchen Spoofingintelligenz aktivieren oder deaktivieren. Der Standardwert ist aktiviert (ausgewählt), und es wird empfohlen, ihn aktiviert zu lassen. Sie konfigurieren die Aktion für blockierte gefälschte Nachrichten auf der nächsten Seite.

    Deaktivieren Sie das Kontrollkästchen, um die Spoofintelligenz zu deaktivieren.

    Hinweis

    Sie müssen den Schutz vor Spoofing nicht deaktivieren, wenn Ihr MX-Eintrag nicht auf Microsoft 365 verweist. aktivieren Sie stattdessen die erweiterte Filterung für Connectors. Anweisungen hierzu finden Sie unter "Erweiterte Filterung für Connectors" in Exchange Online.

    Wenn Sie fertig sind, klicken Sie auf Weiter.

  6. Konfigurieren Sie auf der angezeigten Seite Aktionen die folgenden Einstellungen:

    • Wenn Nachricht als Spoofing erkannt wird: Diese Einstellung ist nur verfügbar, wenn Sie auf der vorherigen Seite " Spoofintelligenz aktivieren" ausgewählt haben. Wählen Sie eine der folgenden Aktionen in der Dropdownliste für Nachrichten von blockierten gefälschten Absendern aus:

      • Verschieben einer Nachricht in die Junk-Email Ordner der Empfänger

      • Nachricht unter Quarantäne stellen: Wenn Sie diese Aktion auswählen, wird ein Feld "Quarantänerichtlinie anwenden " angezeigt, in dem Sie die Quarantänerichtlinie auswählen, die für Nachrichten gilt, die durch Spoofing Intelligence Protection unter Quarantäne gesetzt werden. Quarantänerichtlinien definieren, was Benutzer für isolierte Nachrichten tun können und ob Benutzer Quarantänebenachrichtigungen erhalten. Weitere Informationen finden Sie unter Quarantänerichtlinien.

        Ein leerer Wert für die Richtlinie "Quarantäne anwenden " bedeutet, dass die Standardquarantänerichtlinie verwendet wird (DefaultFullAccessPolicy für Spoofing-Intelligence-Erkennungen). Wenn Sie später die Antiphishingrichtlinie bearbeiten oder die Einstellungen anzeigen, wird der Standardname der Quarantänerichtlinie angezeigt. Weitere Informationen zu Standardquarantänerichtlinien, die für unterstützte Schutzfilterbewertungen verwendet werden, finden Sie in dieser Tabelle.

    • Sicherheitstipps & Indikatoren:

      • Ersten Kontaktsicherheitstipp anzeigen: Weitere Informationen finden Sie unter Sicherheitstipp für den ersten Kontakt.
      • Show (?) for unauthenticated senders for spoof*: Adds a question mark (?) to the sender's photo in the From box in Outlook if the message does not pass SPF or DKIM checks and the message does not pass DMARC or composite authentication.
      • Tag *"über" anzeigen: Fügt der Absenderadresse ein Via-Tag (chris@contoso.com über fabrikam.com) hinzu, wenn es sich von der Domäne in der DKIM-Signatur oder der MAIL FROM-Adresse unterscheidet.

      Um eine Einstellung zu aktivieren, aktivieren Sie das Kontrollkästchen. Deaktivieren Sie das Kontrollkästchen, um es zu deaktivieren.

      * Diese Einstellung ist nur verfügbar, wenn Sie auf der vorherigen Seite " Spoofintelligenz aktivieren" ausgewählt haben. Weitere Informationen finden Sie unter Indikatoren für nicht authentifizierte Absender.

    Wenn Sie fertig sind, klicken Sie auf Weiter.

  7. Überprüfen Sie auf der angezeigten Seite Überprüfung Ihre Einstellungen. Sie können in jedem Abschnitt Bearbeiten auswählen, um die Einstellungen in diesem Abschnitt zu ändern. Alternativ können Sie auf Zurück klicken oder die entsprechende Seite im Assistenten auswählen.

    Klicken Sie nach Abschluss des Vorgangs auf Senden.

  8. Klicken Sie in der angezeigten Bestätigungsseite auf Fertig.

Verwenden des Microsoft 365 Defender Portals zum Anzeigen von Antiphishingrichtlinien

  1. Wechseln Sie im Microsoft 365 Defender Portal unter https://security.microsoft.comzu Email & Richtlinien für die Zusammenarbeit > & Richtlinien > zur Regelbedrohung > – Antiphishing im Abschnitt "Richtlinien". Um direkt zur Antiphishingseite zu wechseln, verwenden Sie https://security.microsoft.com/antiphishing.

  2. Auf der Seite "Antiphishing " werden die folgenden Eigenschaften in der Liste der Richtlinien angezeigt:

    • Name
    • Status
    • Priorität
    • Zuletzt geändert
  3. Wenn Sie eine Richtlinie auswählen, indem Sie auf den Namen klicken, werden die Richtlinieneinstellungen in einem Flyout angezeigt.

Verwenden des Microsoft 365 Defender Portals zum Ändern von Antiphishingrichtlinien

  1. Wechseln Sie im Microsoft 365 Defender Portal unter https://security.microsoft.comzu Email & Richtlinien für die Zusammenarbeit > & Richtlinien > zur Regelbedrohung > – Antiphishing im Abschnitt "Richtlinien". Um direkt zur Antiphishingseite zu wechseln, verwenden Sie https://security.microsoft.com/antiphishing.

  2. Wählen Sie auf der Seite "Antiphishing " eine Richtlinie aus der Liste aus, indem Sie auf den Namen klicken.

  3. Wählen Sie im angezeigten Flyout für die Richtliniendetails in jedem Abschnitt die Option Bearbeiten aus, um die Einstellungen innerhalb des Abschnitts zu ändern. Weitere Informationen zu den Einstellungen finden Sie weiter oben in diesem Artikel im Abschnitt "Verwenden des Microsoft 365 Defender Portals zum Erstellen von Antiphishingrichtlinien.For more information about the settings, see the Use the Microsoft 365 Defender portal to create anti-phishing policies section earlier in this article.

    Für die Standardmäßige Antiphishingrichtlinie ist der Abschnitt "Benutzer", "Gruppen" und "Domänen " nicht verfügbar (die Richtlinie gilt für alle Benutzer), und Sie können die Richtlinie nicht umbenennen.

Informationen zum Aktivieren oder Deaktivieren einer Richtlinie oder zum Festlegen der Reihenfolge der Richtlinienpriorität finden Sie in den folgenden Abschnitten.

Aktivieren oder Deaktivieren von benutzerdefinierten Antiphishingrichtlinien

Sie können die Standardmäßige Antiphishingrichtlinie nicht deaktivieren.

  1. Wechseln Sie im Microsoft 365 Defender Portal unter https://security.microsoft.comzu Email & Richtlinien für die Zusammenarbeit > & Richtlinien > zur Regelbedrohung > – Antiphishing im Abschnitt "Richtlinien". Um direkt zur Antiphishingseite zu wechseln, verwenden Sie https://security.microsoft.com/antiphishing.

  2. Wählen Sie auf der Seite "Antiphishing " eine benutzerdefinierte Richtlinie aus der Liste aus, indem Sie auf den Namen klicken.

  3. Ganz oben im angezeigten Flyout der Richtliniendetails werden Sie einen der folgenden Werte sehen:

    • Richtlinie deaktiviert: Um die Richtlinie zu aktivieren, klicken Sie auf Symbol „Aktivieren“. Aktivieren.
    • Richtlinie aktiviert: Um die Richtlinie zu deaktivieren, klicken Sie auf Symbol „Deaktivieren“. Deaktivieren.
  4. Klicken Sie im angezeigten Bestätigungsdialog auf Aktivieren oder Deaktivieren.

  5. Klicken Sie im Flyout der Richtliniendetails auf Schließen.

Zurück auf der Richtlinien-Hauptseite wird der Wert Status der Richtlinie Aktiviert oder Deaktiviert sein.

Festlegen der Priorität von benutzerdefinierten Antiphishingrichtlinien

Standardmäßig erhalten Antiphishingrichtlinien eine Priorität, die auf der Reihenfolge basiert, in der sie erstellt wurden (neuere Richtlinien haben eine niedrigere Priorität als ältere Richtlinien). Eine niedrigere Prioritätsnummer gibt eine höhere Priorität für die Richtlinie an (0 ist die höchste), und Richtlinien werden in der Reihenfolge der Priorität verarbeitet (Richtlinien mit einer höheren Priorität werden vor Richtlinien mit einer niedrigeren Priorität verarbeitet). Keine zwei Richtlinien können die gleiche Priorität aufweisen, und die Richtlinienverarbeitung endet, nachdem die erste Richtlinie angewendet wurde.

Um die Priorität einer Richtlinie zu ändern, klicken Sie in den Eigenschaften einer Richtlinie auf Priorität erhöhen oder Priorität verringern (Sie können den Zahlenwert der Priorität im Microsoft 365 Defender-Portal nicht direkt modifizieren). Die Priorität einer Richtlinie zu verändern macht nur Sinn, wenn Sie mehrere Richtlinien haben.

Anmerkungen:

  • Im Microsoft 365 Defender Portal können Sie die Priorität der Antiphishingrichtlinie erst ändern, nachdem Sie sie erstellt haben. In PowerShell können Sie die Standardpriorität überschreiben, wenn Sie die Antiphishierregel erstellen (was sich auf die Priorität vorhandener Regeln auswirken kann).
  • Antiphishingrichtlinien werden in der Reihenfolge verarbeitet, in der sie angezeigt werden (die erste Richtlinie hat den Prioritätswert 0). Die Standardmäßige Antiphishingrichtlinie hat den Prioritätswert "Niedrigste", und Sie können sie nicht ändern.
  1. Wechseln Sie im Microsoft 365 Defender Portal unter https://security.microsoft.comzu Email & Richtlinien für die Zusammenarbeit > & Richtlinien > zur Regelbedrohung > – Antiphishing im Abschnitt "Richtlinien". Um direkt zur Antiphishingseite zu wechseln, verwenden Sie https://security.microsoft.com/antiphishing.

  2. Wählen Sie auf der Seite "Antiphishing " eine benutzerdefinierte Richtlinie aus der Liste aus, indem Sie auf den Namen klicken.

  3. Ganz oben im angezeigten Flyout der Richtliniendetails werden Sie Priorität erhöhen oder Priorität verringern sehen, abhängig vom aktuellen Prioritätswert und der Anzahl der benutzerdefinierten Richtlinien:

    • Für die Richtlinie mit dem Prioritätswert 0 ist nur die Option "Priorität verringern" verfügbar.
    • Für die Richtlinie mit dem niedrigsten Prioritätswert (z. B. 3) ist nur die Option "Priorität erhöhen " verfügbar.
    • Wenn Sie über drei oder mehr Richtlinien verfügen, stehen für die Richtlinien zwischen dem höchsten und dem niedrigsten Prioritätswert die Optionen "Priorität erhöhen " und "Priorität verringern" zur Verfügung.

    Klicken Sie auf Symbol „Priorität erhöhen“. Priorität erhöhen oder Symbol „Priorität verringern“ Priorität verringern, um den Prioritätswert zu ändern.

  4. Wenn Sie den Vorgang abgeschlossen haben, klicken Sie im Flyout der Richtliniendetails auf Schließen.

Verwenden des Microsoft 365 Defender Portals zum Entfernen benutzerdefinierter Antiphishingrichtlinien

Wenn Sie das Microsoft 365 Defender Portal verwenden, um eine benutzerdefinierte Antiphishingrichtlinie zu entfernen, werden sowohl die Antiphishingregel als auch die entsprechende Antiphishingrichtlinie gelöscht. Sie können die Standardmäßige Antiphishingrichtlinie nicht entfernen.

  1. Wechseln Sie im Microsoft 365 Defender Portal unter https://security.microsoft.comzu Email & Richtlinien für die Zusammenarbeit > & Richtlinien > zur Regelbedrohung > – Antiphishing im Abschnitt "Richtlinien". Um direkt zur Antiphishingseite zu wechseln, verwenden Sie https://security.microsoft.com/antiphishing.

  2. Wählen Sie auf der Seite "Antiphishing " eine benutzerdefinierte Richtlinie aus der Liste aus, indem Sie auf den Namen klicken.

  3. Ganz oben auf dem angezeigten Flyout der Richtliniendetails klicken Sie auf Symbol „Weiter Aktionen“. Weitere Aktionen > Symbol „Richtlinie löschen“ Richtlinie löschen.

  4. Klicken Sie im angezeigten Bestätigungsdialog auf Ja.

Verwenden Exchange Online PowerShell zum Konfigurieren von Antiphishingrichtlinien

Wie zuvor beschrieben, besteht eine Antiphishingrichtlinie aus einer Antiphishingrichtlinie und einer Antiphishingregel.

In Exchange Online PowerShell ist der Unterschied zwischen Antiphishish-Richtlinien und Antiphishish-Regeln offensichtlich. Sie verwalten Antiphishish-Richtlinien mithilfe der *Cmdlets "-AntiPhishPolicy " und Antiphishish-Regeln mithilfe der *Cmdlets "-AntiPhishRule ".

  • In PowerShell erstellen Sie zuerst die Antiphishish-Richtlinie und dann die Antiphishish-Regel, die die Richtlinie identifiziert, auf die die Regel angewendet wird.
  • In PowerShell ändern Sie die Einstellungen in der Antiphishish-Richtlinie und der Antiphishish-Regel separat.
  • Wenn Sie eine Antiphishish-Richtlinie aus PowerShell entfernen, wird die entsprechende Antiphishierregel nicht automatisch entfernt und umgekehrt.

Hinweis

Die folgenden PowerShell-Verfahren sind in eigenständigen EOP-Organisationen, die Exchange Online Protection PowerShell verwenden, nicht verfügbar.

Verwenden von PowerShell zum Erstellen von Antiphishingrichtlinien

Das Erstellen einer Antiphishingrichtlinie in PowerShell besteht aus zwei Schritten:

  1. Erstellen Sie die Antiphishish-Richtlinie.
  2. Erstellen Sie die Antiphishish-Regel, die die Antiphishish-Richtlinie angibt, auf die die Regel angewendet wird.

Hinweise:

  • Sie können eine neue Antiphishish-Regel erstellen und ihr eine vorhandene, nicht zugeordnete Antiphishish-Richtlinie zuweisen. Eine Antiphishish-Regel kann nicht mehr als einer Antiphishish-Richtlinie zugeordnet werden.

  • Sie können die folgenden Einstellungen für neue Antiphishish-Richtlinien in PowerShell konfigurieren, die erst nach dem Erstellen der Richtlinie im Microsoft 365 Defender-Portal verfügbar sind:

    • Erstellen Sie die neue Richtlinie als deaktiviert (aktiviert $false für das Cmdlet "New-AntiPhishRule ").
    • Legen Sie die Priorität der Richtlinie während der Erstellung (Priorität_<Number>_) für das Cmdlet New-AntiPhishRule fest.
  • Eine neue Antiphishish-Richtlinie, die Sie in PowerShell erstellen, wird erst im Microsoft 365 Defender Portal angezeigt, wenn Sie die Richtlinie einer Antiphishishregel zuweisen.

Schritt 1: Verwenden von PowerShell zum Erstellen einer Antiphishish-Richtlinie

Verwenden Sie zum Erstellen einer Antiphishish-Richtlinie die folgende Syntax:

New-AntiPhishPolicy -Name "<PolicyName>" [-AdminDisplayName "<Comments>"] [-EnableSpoofIntelligence <$true | $false>] [-AuthenticationFailAction <MoveToJmf | Quarantine>] [-EnableUnauthenticatedSender <$true | $false>] [-EnableViaTag <$true | $false>] [-SpoofQuarantineTag <QuarantineTagName>]

In diesem Beispiel wird eine Antiphishish-Richtlinie namens "Forschungsquarantäne" mit den folgenden Einstellungen erstellt:

  • Die Beschreibung lautet: Forschungsabteilungsrichtlinie.
  • Ändert die Standardaktion für Spoofingerkennungen in Quarantäne und verwendet die Standardquarantänerichtlinie für die isolierten Nachrichten (wir verwenden nicht den Parameter SpoofQuarantineTag ).
New-AntiPhishPolicy -Name "Monitor Policy" -AdminDisplayName "Research department policy" -AuthenticationFailAction Quarantine

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-AntiPhishPolicy.

Hinweis

Ausführliche Anweisungen zum Angeben der Quarantänerichtlinien , die in einer Antiphishingrichtlinie verwendet werden sollen, finden Sie unter Verwenden von PowerShell, um die Quarantänerichtlinie in Antiphishingrichtlinien anzugeben.

Schritt 2: Verwenden von PowerShell zum Erstellen einer Antiphishish-Regel

Verwenden Sie die folgende Syntax, um eine Antiphishyntax zu erstellen:

New-AntiPhishRule -Name "<RuleName>" -AntiPhishPolicy "<PolicyName>" <Recipient filters> [<Recipient filter exceptions>] [-Comments "<OptionalComments>"]

In diesem Beispiel wird eine Antiphishish-Regel namens "Research Department" mit den folgenden Bedingungen erstellt:

  • Die Regel ist der Antiphishish-Richtlinie namens "Forschungsquarantäne" zugeordnet.
  • Die Regel gilt für Mitglieder der Gruppe „Research Department“.
  • Da wir den Parameter Priority nicht verwenden, wird die Standardpriorität verwendet.
New-AntiPhishRule -Name "Research Department" -AntiPhishPolicy "Research Quarantine" -SentToMemberOf "Research Department"

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-AntiPhishRule.

Verwenden von PowerShell zum Anzeigen von Antiphishish-Richtlinien

Verwenden Sie zum Anzeigen vorhandener Antiphishish-Richtlinien die folgende Syntax:

Get-AntiPhishPolicy [-Identity "<PolicyIdentity>"] [| <Format-Table | Format-List> <Property1,Property2,...>]

In diesem Beispiel wird eine Zusammenfassungsliste aller Antiphishish-Richtlinien zusammen mit den angegebenen Eigenschaften zurückgegeben.

Get-AntiPhishPolicy | Format-Table Name,IsDefault

In diesem Beispiel werden alle Eigenschaftswerte für die Antiphishish-Richtlinie namens "Executives" zurückgegeben.

Get-AntiPhishPolicy -Identity "Executives"

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-AntiPhishPolicy.

Verwenden von PowerShell zum Anzeigen von Antiphishish-Regeln

Verwenden Sie die folgende Syntax, um vorhandene Antiphishish-Regeln anzuzeigen:

Get-AntiPhishRule [-Identity "<RuleIdentity>"] [-State <Enabled | Disabled] [| <Format-Table | Format-List> <Property1,Property2,...>]

In diesem Beispiel wird eine Zusammenfassungsliste aller Antiphishish-Regeln zusammen mit den angegebenen Eigenschaften zurückgegeben.

Get-AntiPhishRule | Format-Table Name,Priority,State

Führen Sie die folgenden Befehle aus, um die Liste nach aktivierten oder deaktivierten Regeln zu filtern:

Get-AntiPhishRule -State Disabled | Format-Table Name,Priority
Get-AntiPhishRule -State Enabled | Format-Table Name,Priority

In diesem Beispiel werden alle Eigenschaftswerte für die Antiphishieregel namens Contoso Executives zurückgegeben.

Get-AntiPhishRule -Identity "Contoso Executives"

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-AntiPhishRule.

Verwenden von PowerShell zum Ändern von Antiphishish-Richtlinien

Abgesehen von den folgenden Elementen stehen dieselben Einstellungen zur Verfügung, wenn Sie eine Antiphishish-Richtlinie in PowerShell ändern, wie beim Erstellen einer Richtlinie, wie in Schritt 1 beschrieben: Verwenden von PowerShell zum Erstellen einer Antiphishish-Richtlinie weiter oben in diesem Artikel.

  • Der MakeDefault-Switch , der die angegebene Richtlinie in die Standardrichtlinie verwandelt (auf alle Angewendet, immer niedrigste Priorität, und Sie können sie nicht löschen) ist nur verfügbar, wenn Sie eine Antiphishish-Richtlinie in PowerShell ändern.
  • Sie können eine Antiphishish-Richtlinie nicht umbenennen (das Cmdlet "Set-AntiPhishPolicy " hat keinen Name-Parameter ). Wenn Sie eine Antiphishingrichtlinie im Microsoft 365 Defender-Portal umbenennen, benennen Sie nur die Antiphishingregel um.

Verwenden Sie die folgende Syntax, um eine Antiphishish-Richtlinie zu ändern:

Set-AntiPhishPolicy -Identity "<PolicyName>" <Settings>

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-AntiPhishPolicy.

Hinweis

Ausführliche Anweisungen zum Angeben der Quarantänerichtlinie , die in einer Antiphishingrichtlinie verwendet werden soll, finden Sie unter Verwenden von PowerShell, um die Quarantänerichtlinie in Antiphishingrichtlinien anzugeben.

Verwenden von PowerShell zum Ändern von Antiphishish-Regeln

Die einzige Einstellung, die nicht verfügbar ist, wenn Sie eine Antiphishish-Regel in PowerShell ändern, ist der Enabled-Parameter, mit dem Sie eine deaktivierte Regel erstellen können. Informationen zum Aktivieren oder Deaktivieren vorhandener Antiphishish-Regeln finden Sie im nächsten Abschnitt.

Andernfalls sind dieselben Einstellungen verfügbar, wenn Sie eine Regel erstellen, wie in Schritt 2 beschrieben: Verwenden von PowerShell zum Erstellen eines Antiphishish-Regelabschnitts weiter oben in diesem Artikel.

Verwenden Sie die folgende Syntax, um eine Antiphishyntax zu ändern:

Set-AntiPhishRule -Identity "<RuleName>" <Settings>

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-AntiPhishRule.

Verwenden von PowerShell zum Aktivieren oder Deaktivieren von Antiphishish-Regeln

Durch Aktivieren oder Deaktivieren einer Antiphishingregel in PowerShell wird die gesamte Antiphishingrichtlinie (die Antiphishingregel und die zugewiesene Antiphishingrichtlinie) aktiviert oder deaktiviert. Sie können die Standardmäßige Antiphishingrichtlinie nicht aktivieren oder deaktivieren (sie wird immer auf alle Empfänger angewendet).

Verwenden Sie die folgende Syntax, um eine Antiphishish-Regel in PowerShell zu aktivieren oder zu deaktivieren:

<Enable-AntiPhishRule | Disable-AntiPhishRule> -Identity "<RuleName>"

In diesem Beispiel wird die Antiphishish-Regel mit dem Namen "Marketingabteilung" deaktiviert.

Disable-AntiPhishRule -Identity "Marketing Department"

In diesem Beispiel wird dieselbe Regel aktiviert.

Enable-AntiPhishRule -Identity "Marketing Department"

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Enable-AntiPhishRule und Disable-AntiPhishRule.

Verwenden von PowerShell zum Festlegen der Priorität von Antiphishish-Regeln

Der höchste Prioritätswert, den Sie für eine Regel festlegen können, ist 0. Der niedrigste Wert, den Sie festlegen können, hängt von der Anzahl von Regeln ab. Wenn Sie z. B. fünf Regeln haben, können Sie die Prioritätswerte 0 bis 4 verwenden. Das Ändern der Priorität einer vorhandenen Regel kann sich entsprechend auf andere Regeln auswirken. Wenn Sie z. B. fünf benutzerdefinierte Regeln haben (Priorität 0 bis 4) und die Priorität einer Regel in 2 ändern, erhält die vorhandene Regel mit Priorität 2 die Priorität 3, und die Regel mit Priorität 3 erhält Priorität 4.

Verwenden Sie die folgende Syntax, um die Priorität einer Antiphishierungsregel in PowerShell festzulegen:

Set-AntiPhishRule -Identity "<RuleName>" -Priority <Number>

In diesem Beispiel wird die Priorität der Regel namens „Marketing Department“ auf 2 festgelegt. Alle vorhandenen Regeln mit Priorität kleiner oder gleich 2 werden um 1 verringert (die Prioritätswerte werden um 1 erhöht).

Set-AntiPhishRule -Identity "Marketing Department" -Priority 2

Hinweise:

  • Verwenden Sie zum Festlegen der Priorität einer neuen Regel beim Erstellen stattdessen den Parameter "Priority " im Cmdlet "New-AntiPhishRule ".
  • Die Standardmäßige Antiphishish-Richtlinie verfügt nicht über eine entsprechende Antiphishierregel und hat immer den unveränderlichen Prioritätswert Lowest.

Verwenden von PowerShell zum Entfernen von Antiphishish-Richtlinien

Wenn Sie PowerShell verwenden, um eine Antiphishish-Richtlinie zu entfernen, wird die entsprechende Antiphishierregel nicht entfernt.

Verwenden Sie die folgende Syntax, um eine Antiphishish-Richtlinie in PowerShell zu entfernen:

Remove-AntiPhishPolicy -Identity "<PolicyName>"

In diesem Beispiel wird die Antiphishish-Richtlinie mit dem Namen "Marketingabteilung" entfernt.

Remove-AntiPhishPolicy -Identity "Marketing Department"

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Remove-AntiPhishPolicy.

Verwenden von PowerShell zum Entfernen von Antiphishish-Regeln

Wenn Sie PowerShell zum Entfernen einer Antiphishierregel verwenden, wird die entsprechende Antiphishish-Richtlinie nicht entfernt.

Verwenden Sie die folgende Syntax, um eine Antiphishynregel in PowerShell zu entfernen:

Remove-AntiPhishRule -Identity "<PolicyName>"

In diesem Beispiel wird die Antiphishish-Regel mit dem Namen "Marketingabteilung" entfernt.

Remove-AntiPhishRule -Identity "Marketing Department"

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Remove-AntiPhishRule.

Wie können Sie feststellen, dass diese Verfahren erfolgreich waren?

Führen Sie einen der folgenden Schritte aus, um zu überprüfen, ob Sie Antiphishingrichtlinien in EOP erfolgreich konfiguriert haben:

  • Überprüfen Sie auf der Seite "Antiphishing" im Microsoft 365 Defender Portal unter https://security.microsoft.com/antiphishingdie Liste der Richtlinien, deren Statuswerte und Prioritätswerte. Um weitere Details anzuzeigen, wählen Sie die Richtlinie aus der Liste aus, indem Sie auf den Namen klicken und die Details im angezeigten Flyout anzeigen.

  • Ersetzen Sie <Name> in Exchange Online PowerShell durch den Namen der Richtlinie oder Regel, führen Sie den folgenden Befehl aus, und überprüfen Sie die Einstellungen:

    Get-AntiPhishPolicy -Identity "<Name>"
    
    Get-AntiPhishRule -Identity "<Name>"