Quarantäne-Richtlinien

Tipp

Wussten Sie, dass Sie die Features in Microsoft 365 Defender für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender für Office 365-Testversion im Microsoft 365 Defender Portal-Testversionen-Hub. Erfahren Sie hier, wer sich registrieren und testen kann.

Gilt für:

Quarantänerichtlinien (früher als Quarantänetags bezeichnet) in Exchange Online Protection (EOP) und Microsoft Defender for Office 365 es Administratoren ermöglichen, zu steuern, was Benutzer mit isolierten Nachrichten tun können, je nachdem, warum die Nachricht unter Quarantäne gesetzt wurde.

Bisher wurden Benutzern die Interaktivitätsstufen für Quarantänenachrichten basierend auf dem Grund, warum die Nachricht unter Quarantäne gestellt wurde, zugelassen oder verweigert. Beispielsweise können Benutzer Nachrichten, die durch Antispamfilterung isoliert wurden, als Spam oder Massennachrichten anzeigen und freigeben, aber sie können keine Nachrichten anzeigen oder freigeben, die als Phishing- oder Schadsoftware mit hoher Vertrauenswürdigkeit isoliert wurden.

Für unterstützte Schutzfeatures geben Quarantänerichtlinien an, was Benutzer mit ihren eigenen Nachrichten (Nachrichten, bei denen sie ein Empfänger sind) in Quarantäne und in Quarantänebenachrichtigungen tun dürfen. Quarantänebenachrichtigungen sind der Ersatz für Endbenutzer-Spambenachrichtigungen. Diese Benachrichtigungen werden jetzt durch Quarantänerichtlinien gesteuert und enthalten Informationen zu isolierten Nachrichten für alle unterstützten Schutzfunktionen (nicht nur Antispamrichtlinie und Antiphishingrichtlinienbewertungen).

Standardquarantänerichtlinien, die die historischen Benutzerfunktionen erzwingen, werden automatisch Aktionen in den unterstützten Schutzfeatures zugewiesen, die Nachrichten unter Quarantäne stellen. Oder Sie können benutzerdefinierte Quarantänerichtlinien erstellen und sie den unterstützten Schutzfeatures zuweisen, um Benutzern das Ausführen bestimmter Aktionen für diese Arten von in Quarantäne befindlichen Nachrichten zu ermöglichen oder zu verhindern.

Die einzelnen Quarantänerichtlinienberechtigungen werden in den folgenden vordefinierten Berechtigungsgruppen kombiniert:

  • Kein Zugriff
  • Eingeschränkter Zugriff
  • Vollzugriff

Die einzelnen Quarantänerichtlinienberechtigungen, die in den vordefinierten Berechtigungsgruppen enthalten sind, werden in der folgenden Tabelle beschrieben:

Berechtigung Kein Zugriff Eingeschränkter Zugriff Vollzugriff
Absender blockieren (PermissionToBlockSender) Häkchen Häkchen
Delete (PermissionToDelete) Häkchen Häkchen
Vorschau (PermissionToPreview) Häkchen Häkchen
Empfängern das Freigeben einer Nachricht aus der Quarantäne gestatten (PermissionToRelease)* Häkchen
Empfängern erlauben, die Freigabe einer Nachricht aus der Quarantäne anzufordern (PermissionToRequestRelease) Häkchen

*Die Berechtigung "Empfängern erlauben, eine Nachricht aus der Quarantäne freizugeben " wird in Antischadsoftwarerichtlinien oder für die Phishingbewertung mit hoher Vertrauenswürdigkeit in Antispamrichtlinien nicht berücksichtigt. Benutzer können keine eigene Schadsoftware oder Phishingnachrichten mit hoher Vertrauenswürdigkeit aus der Quarantäne freigeben. Bestenfalls können Sie die Empfänger zulassen verwenden, um eine Nachricht anzufordern, aus der Quarantäneberechtigung freigegeben zu werden .

Die Standardquarantänerichtlinien, die zugehörigen Berechtigungsgruppen und die Aktivierung von Quarantänebenachrichtigungen werden in der folgenden Tabelle beschrieben:

Standardquarantänerichtlinie Verwendete Berechtigungsgruppe Quarantänebenachrichtigungen aktiviert?
AdminOnlyAccessPolicy Kein Zugriff Nein
DefaultFullAccessPolicy Vollzugriff Nein
NotificationEnabledPolicy* Vollzugriff Ja

Wenn Ihnen die Standardberechtigungen in den vordefinierten Berechtigungsgruppen nicht gefallen oder Wenn Sie Quarantänebenachrichtigungen aktivieren möchten, erstellen und verwenden Sie benutzerdefinierte Quarantänerichtlinien. Weitere Informationen zu den Jeweiligen Berechtigungen finden Sie weiter unten in diesem Artikel im Abschnitt mit den Berechtigungsdetails für Quarantänerichtlinien .

Sie erstellen und weisen Quarantänerichtlinien im Microsoft 365 Defender Portal oder in PowerShell zu (Exchange Online PowerShell für Microsoft 365-Organisationen mit Exchange Online Postfächern; eigenständige EOP PowerShell in EOP-Organisationen ohne Exchange Online Postfächer).

Hinweis

Wie lange isolierte Nachrichten in Quarantäne gehalten werden, bevor sie ablaufen, wird durch die Aufbewahrung von Spam in Quarantäne für diese vielen Tage (QuarantineRetentionPeriod) in Antispamrichtlinien gesteuert. Weitere Informationen finden Sie unter Konfigurieren von Antispamrichtlinien in EOP.

Wenn Sie die Quarantänerichtlinie ändern, die einem unterstützten Schutzfeature zugewiesen ist, wirkt sich die Änderung auf Nachrichten aus, die nach der Änderung unter Quarantäne gestellt werden. Nachrichten, die zuvor von diesem Schutzfeature unter Quarantäne gesetzt wurden, sind von den Einstellungen der neuen Quarantänerichtlinienzuweisung nicht betroffen.

Vollzugriffsberechtigungen und Quarantänebenachrichtigungen

* Die Quarantänerichtlinie mit dem Namen "NotificationEnabledPolicy" ist nicht in allen Umgebungen vorhanden. Sie verfügen über die Quarantänerichtlinie "NotificationEnabledPolicy", wenn Ihre Organisation beide der folgenden Anforderungen erfüllt:

  • Ihre Organisation war vorhanden, bevor das Quarantänerichtlinienfeature aktiviert wurde (Ende Juli/Anfang August 2021).
  • Sie hatten eine oder mehrere Antispamrichtlinien (die Standard-Antispamrichtlinie oder benutzerdefinierte Antispamrichtlinien), bei denen die Einstellung " Spambenachrichtigungen für Endbenutzer aktivieren " aktiviert wurde.

Wie zuvor beschrieben ersetzen Quarantänebenachrichtigungen in Quarantänerichtlinien Spambenachrichtigungen von Endbenutzern, die Sie zum Aktivieren oder Deaktivieren von Antispamrichtlinien verwendet haben. Die integrierte Quarantänerichtlinie mit dem Namen "DefaultFullAccessPolicy" dupliziert die historischen Berechtigungen für isolierte Nachrichten, aber Quarantänebenachrichtigungen sind in der Quarantänerichtlinie nicht aktiviert. Und da Sie die integrierte Richtlinie nicht ändern können, können Sie in DefaultFullAccessPolicy keine Quarantänebenachrichtigungen aktivieren.

Um die Berechtigungen von DefaultFullAccessPolicy bereitzustellen, aber die Quarantänebenachrichtigungen aktiviert zu haben, haben wir die Richtlinie "NotificationEnabledPolicy" erstellt, die anstelle von DefaultFullAccessPolicy für die Organisationen verwendet werden soll, die sie benötigten (Organisationen, in denen Spambenachrichtigungen für Endbenutzer aktiviert waren).

Für neue Organisationen oder ältere Organisationen, für die in Antispamrichtlinien nie Spambenachrichtigungen für Endbenutzer aktiviert waren, wird die Quarantänerichtlinie "NotificationEnabledPolicy" nicht verwendet. Die Möglichkeit zum Aktivieren von Quarantänebenachrichtigungen besteht darin, benutzerdefinierte Quarantänerichtlinien zu erstellen und zu verwenden, in denen Quarantänebenachrichtigungen aktiviert sind.

Was sollten Sie wissen, bevor Sie beginnen?

Schritt 1: Erstellen von Quarantänerichtlinien im Microsoft 365 Defender Portal

  1. Navigieren Sie im Microsoft 365 Defender Portal im Abschnitt "Regeln" zu Email & Richtlinien für die Zusammenarbeit > & Richtlinien für die Bedrohungsbedrohung > von Regeln>. Oder verwenden Sie https://security.microsoft.com/quarantinePolicies, um direkt zur Seite "Quarantänerichtlinien" zu wechseln.

    Quarantänerichtlinienseite im Microsoft 365 Defender-Portal.

  2. Klicken Sie auf der Seite "Quarantänerichtlinien " auf das Symbol "Benutzerdefinierte Richtlinie hinzufügen". Hinzufügen einer benutzerdefinierten Richtlinie.

  3. Der Assistent für neue Richtlinien wird geöffnet. Geben Sie auf der Seite "Richtlinienname " einen kurzen, aber eindeutigen Namen in das Feld "Richtlinienname " ein. In den nächsten Schritten müssen Sie die Quarantänerichtlinie anhand des Namens identifizieren und auswählen. Wenn Sie fertig sind, klicken Sie auf Weiter.

  4. Wählen Sie auf der Seite "Empfängernachrichtenzugriff " einen der folgenden Werte aus:

    • Eingeschränkter Zugriff: Die einzelnen Berechtigungen, die in dieser Berechtigungsgruppe enthalten sind, werden weiter oben in diesem Artikel beschrieben.
    • Festlegen eines bestimmten Zugriffs (erweitert): Verwenden Sie diesen Wert, um benutzerdefinierte Berechtigungen anzugeben. Konfigurieren Sie die folgenden Einstellungen, die angezeigt werden:
      • Wählen Sie die Einstellung "Releaseaktion" aus: Wählen Sie einen der folgenden Werte aus:
        • Leer: Dies ist der Standardwert.
        • Empfängern das Freigeben einer Nachricht aus der Quarantäne gestatten
        • Empfängern erlauben, die Freigabe einer Nachricht aus der Quarantäne anzufordern
      • Wählen Sie zusätzliche Aktionen aus, die Empfänger in Quarantäne befindliche Nachrichten ausführen können: Wählen Sie einige, alle oder keinen der folgenden Werte aus:
        • Löschen
        • Vorschau
        • Absender blockieren

    Diese Berechtigungen und ihre Auswirkungen auf in Quarantäne befindliche Nachrichten und in Quarantänebenachrichtigungen werden im Abschnitt mit den Berechtigungsdetails für Quarantänerichtlinien weiter unten in diesem Artikel beschrieben.

    Wenn Sie fertig sind, klicken Sie auf Weiter.

  5. Wählen Sie auf der Seite " Spambenachrichtigungen für Endbenutzer " die Option "Aktivieren " aus, um Quarantänebenachrichtigungen (früher als Endbenutzer-Spambenachrichtigungen bezeichnet) zu aktivieren. Wenn Sie fertig sind, klicken Sie auf Weiter.

    Hinweis

    Wie zuvor erläutert, sind in den integrierten Richtlinien (AdminOnlyAccessPolicy oder DefaultFullAccessPolicy) keine in Quarantäne befindlichen Benachrichtigungen aktiviert, und Sie können die Richtlinien nicht ändern.

  6. Überprüfen Sie auf der Seite "Richtlinie überprüfen " Ihre Einstellungen. Sie können in jedem Abschnitt Bearbeiten auswählen, um die Einstellungen in diesem Abschnitt zu ändern. Alternativ können Sie auf Zurück klicken oder die entsprechende Seite im Assistenten auswählen.

    Klicken Sie nach Abschluss des Vorgangs auf Senden.

  7. Klicken Sie in der angezeigten Bestätigungsseite auf Fertig.

Jetzt können Sie die Quarantänerichtlinie einem Quarantänefeature zuweisen, wie im Abschnitt "Schritt 2 " beschrieben.

Erstellen von Quarantänerichtlinien in PowerShell

Wenn Sie lieber PowerShell zum Erstellen von Quarantänerichtlinien verwenden möchten, stellen Sie eine Verbindung mit Exchange Online PowerShell oder Exchange Online Protection PowerShell her, und verwenden Sie das Cmdlet New-QuarantinePolicy.

Hinweis

Wenn Sie den PARAMETER ESNEnabled und den Wert $truenicht verwenden, werden die Quarantänebenachrichtigungen deaktiviert.

Verwenden des EndUserQuarantinePermissionsValue-Parameters

Verwenden Sie die folgende Syntax, um eine Quarantänerichtlinie mit dem Parameter "EndUserQuarantinePermissionsValue " zu erstellen:

New-QuarantinePolicy -Name "<UniqueName>" -EndUserQuarantinePermissionsValue <0 to 236> [-EsnEnabled $true]

Der Parameter EndUserQuarantinePermissionsValue verwendet einen Dezimalwert, der aus einem Binärwert konvertiert wird. Der Binärwert entspricht den verfügbaren Endbenutzerquarantäneberechtigungen in einer bestimmten Reihenfolge. Für jede Berechtigung entspricht der Wert 1 "True" und der Wert "0" gleich "False".

Die erforderliche Reihenfolge und werte für jede einzelne Berechtigung werden in der folgenden Tabelle beschrieben:

Berechtigung Dezimalwert Binärwert
PermissionToViewHeader* 128 10000000
PermissionToDownload** 64 01000000
PermissionToAllowSender** 32 00100000
PermissionToBlockSender 16 00010000
PermissionToRequestRelease*** 8 00001000
PermissionToRelease*** 4 00000100
PermissionToPreview 2 00000010
PermissionToDelete 1 00000001

* Der Wert 0 blendet die Schaltfläche " Nachrichtenkopfzeile anzeigen " nicht in den Details der isolierten Nachricht aus (die Schaltfläche ist immer verfügbar).

** Diese Einstellung wird nicht verwendet (der Wert 0 oder 1 macht nichts).

*** Legen Sie nicht beide Werte auf 1 fest. Legen Sie eine auf 1 und die andere auf 0 fest, oder legen Sie beide auf 0 fest.

Für Berechtigungen mit eingeschränktem Zugriff sind die folgenden Werte erforderlich:

Berechtigung Eingeschränkter Zugriff
PermissionToViewHeader 0
PermissionToDownload 0
PermissionToAllowSender 0
PermissionToBlockSender 1
PermissionToRequestRelease 1
PermissionToRelease 0
PermissionToPreview 1
PermissionToDelete 1
Binärwert 00011011
Zu verwendende Dezimalwert 27

In diesem Beispiel wird eine neue Quarantänerichtlinie namens LimitedAccess mit aktivierten Quarantänebenachrichtigungen erstellt, die die Berechtigungen für den eingeschränkten Zugriff zuweist, wie in der vorherigen Tabelle beschrieben.

New-QuarantinePolicy -Name LimitedAccess -EndUserQuarantinePermissionsValue 27 -EsnEnabled $true

Verwenden Sie für benutzerdefinierte Berechtigungen die vorherige Tabelle, um den Binärwert abzurufen, der den gewünschten Berechtigungen entspricht. Konvertieren Sie den Binärwert in einen Dezimalwert, und verwenden Sie den Dezimalwert für den EndUserQuarantinePermissionsValue-Parameter . Verwenden Sie nicht den Binärwert für den Parameterwert.

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-QuarantinePolicy.

Schritt 2: Zuweisen einer Quarantänerichtlinie zu unterstützten Features

In unterstützten Schutzfunktionen, die E-Mail-Nachrichten unter Quarantäne stellen, können Sie den verfügbaren Quarantäneaktionen eine Quarantänerichtlinie zuweisen. Features, die Nachrichten in Quarantäne stellen, und die Verfügbarkeit von Quarantänerichtlinien werden in der folgenden Tabelle beschrieben:

Feature Quarantänerichtlinien unterstützt? Verwendete Standardquarantänerichtlinien
Antispamrichtlinien:
  • Spam (SpamAction)
  • Spam mit hoher Vertrauenswürdigkeit (HighConfidenceSpamAction)
  • Phishing (PhishSpamAction)
  • Phishing mit hoher Vertrauenswürdigkeit (HighConfidencePhishAction)
  • Bulk (BulkSpamAction)
Ja
  • DefaultFullAccessPolicy* (Vollzugriff)
  • DefaultFullAccessPolicy* (Vollzugriff)
  • DefaultFullAccessPolicy* (Vollzugriff)
  • AdminOnlyAccessPolicy (Kein Zugriff)
  • DefaultFullAccessPolicy* (Vollzugriff)
Antiphishingrichtlinien:
  • Schutz vor Spoofintelligenz (AuthenticationFailAction)
  • Identitätswechselschutz in Defender for Office 365:
    • Wenn die Nachricht als imitierter Benutzer erkannt wird (TargetedUserProtectionAction)
    • Wenn die Nachricht als imitierte Domäne erkannt wird (TargetedDomainProtectionAction)
    • Wenn Postfachintelligenz benutzeridentitierte Benutzer erkennt und diese imitiert (MailboxIntelligenceProtectionAction)
Ja
  • DefaultFullAccessPolicy* (Vollzugriff)
  • Identitätswechselschutz:
    • DefaultFullAccessPolicy* (Vollzugriff)
    • DefaultFullAccessPolicy* (Vollzugriff)
    • DefaultFullAccessPolicy* (Vollzugriff)
Antischadsoftwarerichtlinien: Alle erkannten Nachrichten werden immer unter Quarantäne gesetzt. Ja AdminOnlyAccessPolicy (Kein Zugriff)
Schutz sicherer Anlagen:
  • Ja
  • Nein
  • AdminOnlyAccessPolicy (Kein Zugriff)
  • n/v
Nachrichtenflussregeln (auch als Transportregeln bezeichnet) mit der Aktion: Übermitteln der Nachricht in die gehostete Quarantäne (Quarantäne). Nein n/v

* Wie zuvor in diesem Artikel beschrieben, verwendet Ihre Organisation möglicherweise NotificationEnabledPolicy anstelle von DefaultFullAccessPolicy. Der einzige Unterschied zwischen diesen beiden Quarantänerichtlinien besteht darin, dass Quarantänebenachrichtigungen in NotificationEnabledPolicy aktiviert und in DefaultFullAccessPolicy deaktiviert sind.

Die Standardquarantänerichtlinien, voreingestellten Berechtigungsgruppen und Berechtigungen werden am Anfang dieses Artikels und weiter unten in diesem Artikel beschrieben.

Hinweis

Wenn Sie mit den standardmäßigen Endbenutzerberechtigungen und Quarantänebenachrichtigungen zufrieden sind, die von den Standardquarantänerichtlinien bereitgestellt (oder nicht bereitgestellt) werden, müssen Sie nichts tun. Wenn Sie Endbenutzerfunktionen (die verfügbaren Schaltflächen) für in Quarantäne befindliche Benutzernachrichten hinzufügen oder entfernen oder Quarantänebenachrichtigungen aktivieren und dieselben Funktionen in Quarantänebenachrichtigungen hinzufügen oder entfernen möchten, können Sie der Quarantäneaktion eine andere Quarantänerichtlinie zuweisen.

Zuweisen von Quarantänerichtlinien in unterstützten Richtlinien im Microsoft 365 Defender-Portal

Hinweis

Benutzer können ihre eigenen Nachrichten, die als Schadsoftware (Antischadsoftwarerichtlinien) oder Phishing mit hoher Vertrauenswürdigkeit (Antispamrichtlinien) isoliert wurden, unabhängig davon, wie die Quarantänerichtlinie konfiguriert ist, nicht freigeben. Administratoren können die Quarantänerichtlinie bestenfalls so konfigurieren, dass Benutzer die Freigabe ihrer in Quarantäne befindlichen Schadsoftware oder Phishingnachrichten mit hoher Vertrauenswürdigkeit anfordern können.

Antispamrichtlinien

  1. Wechseln Sie im Microsoft 365 Defender-Portal im Abschnitt "Richtlinien" zu Email & Richtlinien für die Zusammenarbeit > & Regeln > zum Antispam von Bedrohungsrichtlinien>.

    Oder verwenden Sie https://security.microsoft.com/antispam, um direkt zur Seite "Ant-Spam-Richtlinien" zu wechseln.

  2. Führen Sie auf der Seite "Antispamrichtlinien " einen der folgenden Schritte aus:

    • Suchen und Auswählen einer vorhandenen eingehenden Antispamrichtlinie.
    • Erstellen Sie eine neue eingehende Antispamrichtlinie.
  3. Führen Sie einen der folgenden Schritte aus:

    • Vorhandene bearbeiten: Wählen Sie die Richtlinie aus, indem Sie auf den Namen der Richtlinie klicken. Wechseln Sie im Flyout "Richtliniendetails" zum Abschnitt "Aktionen" , und klicken Sie dann auf "Aktionen bearbeiten".
    • Neu erstellen: Rufen Sie im Assistenten für neue Richtlinien die Seite "Aktionen" auf.
  4. Auf der Seite "Aktionen" wird für jede Bewertung mit der Nachricht "Quarantäne "-Aktion auch das Feld "Quarantänerichtlinie auswählen " angezeigt, in dem Sie eine entsprechende Quarantänerichtlinie auswählen können.

    Hinweis: Wenn Sie eine neue Richtlinie erstellen, gibt ein leerer Select-Quarantänerichtlinienwert an, dass die Standardquarantänerichtlinie für diese Bewertung verwendet wird. Wenn Sie die Richtlinie später bearbeiten, werden die leeren Werte durch die tatsächlichen Standardnamen der Quarantänerichtlinien ersetzt, wie in der vorherigen Tabelle beschrieben.

    Auswahl der Quarantänerichtlinie in einer Antispamrichtlinie

Vollständige Anweisungen zum Erstellen und Ändern von Antispamrichtlinien finden Sie unter Konfigurieren von Antispamrichtlinien in EOP.

Antispamrichtlinien in PowerShell

Wenn Sie lieber PowerShell zum Zuweisen von Quarantänerichtlinien in Antispamrichtlinien verwenden möchten, stellen Sie eine Verbindung mit Exchange Online PowerShell oder Exchange Online Protection PowerShell her, und verwenden Sie die folgende Syntax:

<New-HostedContentFilterPolicy -Name "<Unique name>" | Set-HostedContentFilterPolicy -Identity "<Policy name>"> [-SpamAction Quarantine] [-SpamQuarantineTag <QuarantineTagName>] [-HighConfidenceSpamAction Quarantine] [-HighConfidenceSpamQuarantineTag <QuarantineTagName>] [-PhishSpamAction Quarantine] [-PhishQuarantineTag <QuarantineTagName>] [-HighConfidencePhishQuarantineTag <QuarantineTagName>] [-BulkSpamAction Quarantine] [-BulkQuarantineTag <QuarantineTagName>] ...

Hinweise:

  • Der Standardwert für die Parameter PhishSpamAction und HighConfidencePhishAction lautet "Quarantine", sodass Sie diese Parameter nicht verwenden müssen, wenn Sie neue Spamfilterrichtlinien in PowerShell erstellen. Für die Parameter SpamAction, HighConfidenceSpamAction und BulkSpamAction in neuen oder vorhandenen Antispamrichtlinien ist die Quarantänerichtlinie nur wirksam, wenn der Wert "Quarantine" lautet.

    Führen Sie den folgenden Befehl aus, um die wichtigen Parameterwerte in vorhandenen Antispamrichtlinien anzuzeigen:

    Get-HostedContentFilterPolicy | Format-List Name,*SpamAction,HighConfidencePhishAction,*QuarantineTag
    

    Informationen zu den Standardaktionswerten und den empfohlenen Aktionswerten für "Standard" und "Streng" finden Sie unter EOP-Antispamrichtlinieneinstellungen.

  • Wenn Sie neue Antispamrichtlinien erstellen, bedeutet eine Spamfilterbewertung ohne einen entsprechenden Quarantänerichtlinienparameter, dass die Standardquarantänerichtlinie für diese Bewertung verwendet wird.

    Sie müssen eine Standardquarantänerichtlinie nur dann durch eine benutzerdefinierte Quarantänerichtlinie ersetzen, wenn Sie die Standard-Endbenutzerfunktionen für isolierte Nachrichten für diese bestimmte Spamfilterbewertung ändern möchten.

  • Eine neue Antispamrichtlinie in PowerShell erfordert eine Spamfilterrichtlinie (Einstellungen) mithilfe des Cmdlets "New-HostedContentFilterPolicy " und eine exklusive Spamfilterregel (Empfängerfilter) mithilfe des Cmdlets "New-HostedContentFilterRule ". Anweisungen finden Sie unter Verwenden von PowerShell zum Erstellen von Antispamrichtlinien.

In diesem Beispiel wird eine neue Spamfilterrichtlinie namens "Research Department" mit den folgenden Einstellungen erstellt:

  • Die Aktion für alle Spamfilterbewertungen ist auf "Quarantäne" festgelegt.
  • Die benutzerdefinierte Quarantänerichtlinie mit dem Namen "NoAccess", die keine Zugriffsberechtigungen zuweist, ersetzt alle Standardquarantänerichtlinien, die standardmäßig noch keine Zugriffsberechtigungen zuweisen.
New-HostedContentFilterPolicy -Name "Research Department" -SpamAction Quarantine -SpamQuarantineTag NoAccess -HighConfidenceSpamAction Quarantine -HighConfidenceSpamQuarantineTag NoAction -PhishSpamAction Quarantine -PhishQuarantineTag NoAction -BulkSpamAction Quarantine -BulkQuarantineTag NoAccess

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-HostedContentFilterPolicy.

In diesem Beispiel wird die vorhandene Spamfilterrichtlinie mit dem Namen "Personalwesen" geändert. Die Aktion für die Spamquarantänebewertung ist auf "Quarantäne" festgelegt, und die benutzerdefinierte Quarantänerichtlinie mit dem Namen "NoAccess" wird zugewiesen.

Set-HostedContentFilterPolicy -Identity "Human Resources" -SpamAction Quarantine -SpamQuarantineTag NoAccess

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-HostedContentFilterPolicy.

Antiphishing-Richtlinien

Spoofintelligenz ist in EOP und Defender for Office 365 verfügbar. Benutzeridentitätsschutz, Domänenidentitätsschutz und Postfachintelligenz sind nur in Defender for Office 365 verfügbar. Weitere Informationen finden Sie unter Anti-Phishing-Richtlinien in Microsoft 365.

  1. Wechseln Sie im Microsoft 365 Defender Portal im Abschnitt "Richtlinien" zu Email & Richtlinien für die Zusammenarbeit > & Regeln > zur Antiphishing-Bedrohungsrichtlinien >.

    Oder verwenden Sie https://security.microsoft.com/antiphishing, um direkt zur Seite "Ant-Spam-Richtlinien" zu wechseln.

  2. Führen Sie auf der Seite "Antiphishing " einen der folgenden Schritte aus:

    • Suchen sie eine vorhandene Antiphishingrichtlinie, und wählen Sie sie aus.
    • Erstellen Sie eine neue Antiphishingrichtlinie.
  3. Führen Sie einen der folgenden Schritte aus:

    • Vorhandene bearbeiten: Wählen Sie die Richtlinie aus, indem Sie auf den Namen der Richtlinie klicken. Wechseln Sie im Flyout "Richtliniendetails" zum Abschnitt "Schutzeinstellungen" , und klicken Sie dann auf "Schutzeinstellungen bearbeiten".
    • Neu erstellen: Rufen Sie im Assistenten für neue Richtlinien die Seite "Aktionen" auf.
  4. Überprüfen Sie auf der Seite "Schutzeinstellungen ", ob die folgenden Einstellungen aktiviert und bei Bedarf konfiguriert sind:

    • Aktivierte Benutzer zum Schutz: Benutzer angeben.
    • Zu schützenden Domänen aktiviert: Wählen Sie "Domänen einschließen" aus, die ich besitze , und/oder benutzerdefinierte Domänen einschließen und geben Sie die Domänen an.
    • Mailbox Intelligence aktivieren
    • Aktivieren von Intelligenz für identitätswechselschutz
    • Spoofingintelligenz aktivieren
  5. Führen Sie einen der folgenden Schritte aus:

    • Vorhandene bearbeiten: Wechseln Sie im Flyout "Richtliniendetails" zum Abschnitt "Aktionen" , und klicken Sie dann auf "Aktionen bearbeiten".
    • Neu erstellen: Rufen Sie im Assistenten für neue Richtlinien die Seite "Aktionen" auf.
  6. Auf der Seite "Aktionen" wird für jede Bewertung, die die Nachricht unter Quarantäne stellt, auch das Feld "Quarantänerichtlinie anwenden " angezeigt, damit Sie eine entsprechende Quarantänerichtlinie auswählen können.

    Hinweis: Wenn Sie eine neue Richtlinie erstellen, gibt ein leerer Wert für die Richtlinie "Quarantäne anwenden " an, dass die Standardquarantänerichtlinie für diese Aktion verwendet wird. Wenn Sie die Richtlinie später bearbeiten, werden die leeren Werte durch die tatsächlichen Standardnamen der Quarantänerichtlinien ersetzt, wie in der vorherigen Tabelle beschrieben.

    Auswahl der Quarantänerichtlinie in einer Antiphishingrichtlinie

Vollständige Anweisungen zum Erstellen und Ändern von Antiphishingrichtlinien finden Sie in den folgenden Themen:

Antiphishingrichtlinien in PowerShell

Wenn Sie lieber PowerShell zum Zuweisen von Quarantänerichtlinien in Antiphishingrichtlinien verwenden möchten, stellen Sie eine Verbindung mit Exchange Online PowerShell oder Exchange Online Protection PowerShell her, und verwenden Sie die folgende Syntax:

<New-AntiPhishPolicy -Name "<Unique name>" | Set-AntiPhishPolicy -Identity "<Policy name>"> [-EnableSpoofIntelligence $true] [-AuthenticationFailAction Quarantine] [-SpoofQuarantineTag <QuarantineTagName>] [-EnableMailboxIntelligence $true] [-EnableMailboxIntelligenceProtection $true] [-MailboxIntelligenceProtectionAction Quarantine] [-MailboxIntelligenceQuarantineTag <QuarantineTagName>] [-EnableOrganizationDomainsProtection $true] [-EnableTargetedDomainsProtection $true] [-TargetedDomainProtectionAction Quarantine] [-TargetedDomainQuarantineTag <QuarantineTagName>] [-EnableTargetedUserProtection $true] [-TargetedUserProtectionAction Quarantine] [-TargetedUserQuarantineTag <QuarantineTagName>] ...

Hinweise:

  • Die Parameter "Aktivieren"* sind erforderlich, um die spezifischen Schutzfeatures zu aktivieren. Der Standardwert für die Parameter "EnableMailboxIntelligence " und "EnableSpoofIntelligence " ist $true, sodass Sie diese Parameter nicht verwenden müssen, wenn Sie neue Antiphishish-Richtlinien in PowerShell erstellen. Alle anderen Enable-Parameter* müssen über den Wert $true verfügen, damit Sie den Wert "Quarantäne" in den entsprechenden Aktionsparametern * festlegen können, um dann eine Quarantänerichtlinie zuzuweisen. Keiner der *\Action-Parameter hat den Standardwert "Quarantine".

    Führen Sie den folgenden Befehl aus, um die wichtigen Parameterwerte in vorhandenen Antiphishish-Richtlinien anzuzeigen:

    Get-AntiPhishPolicy | Format-List Name,Enable*Intelligence,Enable*Protection,*Action,*QuarantineTag
    

    Informationen zu den Standardaktionswerten und den empfohlenen Aktionswerten für Standard und Streng finden Sie unter EOP-Antiphishingrichtlinieneinstellungen und Identitätswechseleinstellungen in Antiphishingrichtlinien in Microsoft Defender for Office 365.

  • Wenn Sie Antiphishingrichtlinien erstellen, bedeutet eine Antiphishingaktion ohne einen entsprechenden Quarantänerichtlinienparameter, dass die Standardquarantänerichtlinie für diese Bewertung verwendet wird.

    Sie müssen eine Standardquarantänerichtlinie nur dann durch eine benutzerdefinierte Quarantänerichtlinie ersetzen, wenn Sie die Standard-Endbenutzerfunktionen für isolierte Nachrichten für diese bestimmte Bewertung ändern möchten.

  • Eine neue Antiphishingrichtlinie in PowerShell erfordert eine Antiphishingrichtlinie (Einstellungen) mit dem Cmdlet "New-AntiPhishPolicy " und eine exklusive Antiphishingregel (Empfängerfilter) mit dem Cmdlet "New-AntiPhishRule ". Anweisungen finden Sie in den folgenden Themen:

In diesem Beispiel wird eine neue Antiphishish-Richtlinie mit dem Namen "Research Department" mit den folgenden Einstellungen erstellt:

  • Die Aktion für alle Spamfilterbewertungen ist auf "Quarantäne" festgelegt.
  • Die benutzerdefinierte Quarantänerichtlinie mit dem Namen "NoAccess", die keine Zugriffsberechtigungen zuweist, ersetzt alle Standardquarantänerichtlinien, die standardmäßig noch keine Zugriffsberechtigungen zuweisen.
New-AntiPhishPolicy -Name "Research Department" -AuthenticationFailAction Quarantine -SpoofQuarantineTag NoAccess -EnableMailboxIntelligenceProtection $true -MailboxIntelligenceProtectionAction Quarantine -MailboxIntelligenceQuarantineTag NoAccess -EnableOrganizationDomainsProtection $true -EnableTargetedDomainsProtection $true -TargetedDomainProtectionAction Quarantine -TargetedDomainQuarantineTag NoAccess -EnableTargetedUserProtection $true -TargetedUserProtectionAction Quarantine -TargetedUserQuarantineTag NoAccess

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-AntiPhishPolicy.

In diesem Beispiel wird die vorhandene Antiphishish-Richtlinie mit dem Namen "Human Resources" geändert. Die Aktion für Nachrichten, die von Benutzeridentitäts- und Domänenidentitätswechsel erkannt wurden, ist auf "Quarantäne" festgelegt, und die benutzerdefinierte Quarantänerichtlinie mit dem Namen "NoAccess" wird zugewiesen.

Set-AntiPhishPolicy -Identity "Human Resources" -EnableTargetedDomainsProtection $true -TargetedDomainProtectionAction Quarantine -TargetedDomainQuarantineTag NoAccess -EnableTargetedUserProtection $true -TargetedUserProtectionAction Quarantine -TargetedUserQuarantineTag NoAccess

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-AntiPhishPolicy.

Antischadsoftwarerichtlinien

  1. Wechseln Sie im Microsoft 365 Defender-Portal im Abschnitt "Richtlinien" zu Email & Richtlinien für die Zusammenarbeit > & Regeln > für Bedrohungsrichtlinien > .

    Oder verwenden Sie https://security.microsoft.com/antimalwarev2, um direkt zur Seite "Antischadsoftware" zu wechseln.

  2. Führen Sie auf der Seite "Antischadsoftware " einen der folgenden Schritte aus:

    • Suchen Sie eine vorhandene Antischadsoftwarerichtlinie, und wählen Sie sie aus.
    • Erstellen Sie eine neue Antischadsoftwarerichtlinie.
  3. Führen Sie einen der folgenden Schritte aus:

    • Vorhandene bearbeiten: Wählen Sie die Richtlinie aus, indem Sie auf den Namen der Richtlinie klicken. Wechseln Sie im Flyout "Richtliniendetails" zum Abschnitt "Schutzeinstellungen" , und klicken Sie dann auf "Schutzeinstellungen bearbeiten".
    • Neu erstellen: Rufen Sie im Assistenten für neue Richtlinien die Seite "Aktionen" auf.
  4. Wählen Sie auf der Seite "Schutzeinstellungen" im Feld " Quarantänerichtlinie " eine Quarantänerichtlinie aus.

    Hinweis: Wenn Sie eine neue Richtlinie erstellen, gibt ein leerer Quarantänerichtlinienwert die verwendete Standardquarantänerichtlinie an. Wenn Sie die Richtlinie später bearbeiten, wird der leere Wert durch den tatsächlichen Standardnamen der Quarantänerichtlinie ersetzt, wie in der vorherigen Tabelle beschrieben.

Antischadsoftwarerichtlinien in PowerShell

Wenn Sie lieber PowerShell zum Zuweisen von Quarantänerichtlinien in Antischadsoftwarerichtlinien verwenden möchten, stellen Sie eine Verbindung mit Exchange Online PowerShell oder Exchange Online Protection PowerShell her, und verwenden Sie die folgende Syntax:

<New-AntiMalwarePolicy -Name "<Unique name>" | Set-AntiMalwarePolicy -Identity "<Policy name>"> [-QuarantineTag <QuarantineTagName>]

Hinweise:

  • Wenn Sie neue Antischadsoftwarerichtlinien erstellen, ohne beim Erstellen einer neuen Antischadsoftwarerichtlinie den Parameter QuarantineTag zu verwenden, wird die Standardquarantänerichtlinie für Schadsoftwareerkennungen verwendet (AdminOnlyAccessPolicy).

    Sie müssen die Standardquarantänerichtlinie nur dann durch eine benutzerdefinierte Quarantänerichtlinie ersetzen, wenn Sie die Standard-Endbenutzerfunktionen für Nachrichten ändern möchten, die als Schadsoftware isoliert werden.

    Führen Sie den folgenden Befehl aus, um die wichtigen Parameterwerte in vorhandenen Antiphishish-Richtlinien anzuzeigen:

    Get-MalwareFilterPolicy | Format-Table Name,QuarantineTag
    
  • Eine neue Antischadsoftwarerichtlinie in PowerShell erfordert eine Schadsoftwarefilterrichtlinie (Einstellungen) mithilfe des Cmdlets "New-MalwareFilterPolicy " und eine exklusive Schadsoftwarefilterregel (Empfängerfilter) mit dem Cmdlet "New-MalwareFilterRule ". Anweisungen finden Sie unter Verwenden von Exchange Online PowerShell oder eigenständiger EOP PowerShell zum Konfigurieren von Antischadsoftwarerichtlinien.

In diesem Beispiel wird eine Schadsoftwarefilterrichtlinie namens "Research Department" erstellt, die die benutzerdefinierte Quarantänerichtlinie "NoAccess" verwendet, die den isolierten Nachrichten keine Zugriffsberechtigungen zuweist.

New-MalwareFilterPolicy -Name "Research Department" -QuarantineTag NoAccess

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-MalwareFilterPolicy.

In diesem Beispiel wird die vorhandene Schadsoftwarefilterrichtlinie mit dem Namen "Personalwesen" geändert, indem die benutzerdefinierte Quarantänerichtlinie "NoAccess" zugewiesen wird, die den isolierten Nachrichten keine Zugriffsberechtigungen zuweist.

New-MalwareFilterPolicy -Identity "Human Resources" -QuarantineTag NoAccess

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-MalwareFilterPolicy.

Richtlinien für sichere Anlagen in Defender for Office 365

  1. Navigieren Sie im Microsoft 365 Defender Portal im Abschnitt "Richtlinien" zu Email & Richtlinien für die Zusammenarbeit > & Regeln > für bedrohungssichere > Anlagen.

    Oder verwenden Sie https://security.microsoft.com/safeattachmentv2, um direkt zur Seite "Sichere Anlagen" zu wechseln.

  2. Führen Sie auf der Seite "Sichere Anlagen " einen der folgenden Schritte aus:

    • Suchen sie eine vorhandene Richtlinie für sichere Anlagen, und wählen Sie sie aus.
    • Erstellen Sie eine neue Richtlinie für sichere Anlagen.
  3. Führen Sie einen der folgenden Schritte aus:

    • Vorhandene bearbeiten: Wählen Sie die Richtlinie aus, indem Sie auf den Namen der Richtlinie klicken. Wechseln Sie im Flyout "Richtliniendetails" zum Abschnitt "Einstellungen" , und klicken Sie dann auf "Einstellungen bearbeiten".
    • Neu erstellen: Rufen Sie im Assistenten für neue Richtlinien die Seite "Einstellungen" auf.
  4. Führen Sie auf der Seite "Einstellungen" die folgenden Schritte aus:

    1. Unbekannte Schadsoftwareantwort für sichere Anlagen: Wählen Sie "Blockieren", "Ersetzen" oder " Dynamische Übermittlung" aus.
    2. Wählen Sie im Feld "Quarantänerichtlinie " eine Quarantänerichtlinie aus.

    Hinweis: Wenn Sie eine neue Richtlinie erstellen, gibt ein leerer Quarantänerichtlinienwert an, dass die Standardquarantänerichtlinie verwendet wird. Wenn Sie die Richtlinie später bearbeiten, wird der leere Wert durch den tatsächlichen Standardnamen der Quarantänerichtlinie ersetzt, wie in der vorherigen Tabelle beschrieben.

Vollständige Anweisungen zum Erstellen und Ändern von Richtlinien für sichere Anlagen werden unter Einrichten von Richtlinien für sichere Anlagen in Microsoft Defender for Office 365 beschrieben.

Richtlinien für sichere Anlagen in PowerShell

Wenn Sie lieber PowerShell zum Zuweisen von Quarantänerichtlinien in Richtlinien für sichere Anlagen verwenden möchten, stellen Sie eine Verbindung mit Exchange Online PowerShell oder Exchange Online Protection PowerShell her, und verwenden Sie die folgende Syntax:

<New-SafeAttachmentPolicy -Name "<Unique name>" | Set-SafeAttachmentPolicy -Identity "<Policy name>"> -Enable $true -Action <Block | Replace | DynamicDelivery> [-QuarantineTag <QuarantineTagName>]

Hinweise:

  • Die Aktionsparameterwerte "Block", "Replace" oder "DynamicDelivery" können zu in Quarantäne befindlichen Nachrichten führen (der Wert "Zulassen" isoliert keine Nachrichten). Der Wert des Action-Parameters ist nur dann aussagekräftig, wenn der Wert des Enable -Parameters lautet $true.

  • Wenn Sie neue Richtlinien für sichere Anlagen erstellen, ohne den Parameter QuarantineTag zu verwenden, wird die Standardquarantänerichtlinie für Erkennungen sicherer Anlagen in E-Mails verwendet (AdminOnlyAccessPolicy).

    Sie müssen die Standardquarantänerichtlinie nur dann durch eine benutzerdefinierte Quarantänerichtlinie ersetzen, wenn Sie die Standard-Endbenutzerfunktionen für E-Mail-Nachrichten ändern möchten, die durch Richtlinien für sichere Anlagen isoliert werden.

    Führen Sie den folgenden Befehl aus, um die wichtigen Parameterwerte anzuzeigen:

    Get-SafeAttachmentPolicy | Format-List Name,Enable,Action,QuarantineTag
    
  • Eine neue Richtlinie für sichere Anlagen in PowerShell erfordert eine Richtlinie für sichere Anlagen (Einstellungen) mit dem Cmdlet "New-SafeAttachmentPolicy " und eine exklusive Regel für sichere Anlagen (Empfängerfilter) mithilfe des Cmdlets "New-SafeAttachmentRule ". Anweisungen finden Sie unter Verwenden von Exchange Online PowerShell oder eigenständiger EOP PowerShell zum Konfigurieren von Richtlinien für sichere Anlagen.

In diesem Beispiel wird eine Richtlinie für sichere Anlagen mit dem Namen "Forschungsabteilung" erstellt, die erkannte Nachrichten blockiert, und die benutzerdefinierte Quarantänerichtlinie "NoAccess" verwendet, die den isolierten Nachrichten keine Zugriffsberechtigungen zuweist.

New-SafeAttachmentPolicy -Name "Research Department" -Enable $true -Action Block -QuarantineTag NoAccess

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-MalwareFilterPolicy.

In diesem Beispiel wird die vorhandene Richtlinie für sichere Anlagen mit dem Namen "Personalwesen" geändert, indem die benutzerdefinierte Quarantänerichtlinie "NoAccess" zugewiesen wird, die keine Zugriffsberechtigungen zuweist.

Set-SafeAttachmentPolicy -Identity "Human Resources" -QuarantineTag NoAccess

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-MalwareFilterPolicy.

Konfigurieren der Einstellungen für globale Quarantänebenachrichtigungen im Microsoft 365 Defender-Portal

Mit den globalen Einstellungen für Quarantänerichtlinien können Sie die Quarantänebenachrichtigungen anpassen, die an Empfänger von isolierten Nachrichten gesendet werden, wenn Quarantänebenachrichtigungen in der Quarantänerichtlinie aktiviert sind. Weitere Informationen zu diesen Benachrichtigungen finden Sie unter Quarantänebenachrichtigungen.

  1. Wechseln Sie im Microsoft 365 Defender Portal im Abschnitt "Regeln" zu Email & Richtlinien für die Zusammenarbeit > & Regeln > für Quarantänerichtlinien > für Bedrohungen. Oder verwenden Sie https://security.microsoft.com/quarantinePolicies, um direkt zur Seite "Quarantänerichtlinien" zu wechseln.

  2. Wählen Sie auf der Seite "Quarantänerichtlinien " die Option "Globale Einstellungen" aus.

  3. Konfigurieren Sie im daraufhin geöffneten Flyout "Quarantänebenachrichtigungseinstellungen " die folgenden Einstellungen:

    • Anpassen von Quarantänebenachrichtigungen basierend auf der Sprache des Empfängers:

      • Der Anzeigename des Absenders, der in Quarantänebenachrichtigungen verwendet wird, wie im folgenden Screenshot dargestellt.

        Ein benutzerdefinierter Absenderanzeigename in einer Quarantänebenachrichtigung.

      • Der Haftungsausschlusstext , der am Ende der Quarantänebenachrichtigungen hinzugefügt wird. Der lokalisierte Text, ein Haftungsausschluss ihrer Organisation: ist immer zuerst enthalten, gefolgt von dem Text, den Sie im folgenden Screenshot als anzeigen angeben:

        Ein benutzerdefinierter Haftungsausschluss am Ende einer Quarantänebenachrichtigung.

      • Der Sprachbezeichner für die Werte "Anzeigename" und "Haftungsausschluss ". Quarantänebenachrichtigungen sind bereits basierend auf den Spracheinstellungen des Empfängers lokalisiert. Die Werte "Anzeigename" und "Haftungsausschluss" werden in Quarantänebenachrichtigungen verwendet, die für die Sprache des Empfängers gelten.

        Wählen Sie die Sprache im Feld "Sprache auswählen" aus, bevor Sie Werte in die Felder "Anzeigename" und "Haftungsausschluss " eingeben. Wenn Sie den Wert im Feld "Sprache auswählen" ändern, werden die Werte in den Feldern "Anzeigename" und " Haftungsausschluss " geleert.

      Führen Sie die folgenden Schritte aus, um Quarantänebenachrichtigungen basierend auf der Sprache des Empfängers anzupassen:

      1. Wählen Sie die Sprache im Feld "Sprache auswählen " aus. Der Standardwert ist "Default", was die Standardsprache für die Microsoft 365-Organisation bedeutet. Weitere Informationen finden Sie unter Festlegen von Sprach- und Regionseinstellungen für Microsoft 365.

      2. Geben Sie Werte für Anzeigename und Haftungsausschluss ein. Die Werte müssen für jede Sprache eindeutig sein. Wenn Sie versuchen, einen Anzeigenamen oder Haftungsausschlusswert für mehrere Sprachen wiederzuverwenden, wird beim Klicken auf "Speichern" eine Fehlermeldung angezeigt.

      3. Klicken Sie auf die Schaltfläche Hinzufügen.

      4. Wiederholen Sie die vorherigen Schritte, um maximal drei angepasste Quarantänebenachrichtigungen basierend auf der Sprache des Empfängers zu erstellen. In einem feld ohne Bezeichnung werden die von Ihnen konfigurierten Sprachen angezeigt:

        Die ausgewählten Sprachen in den Einstellungen für globale Quarantänebenachrichtigungen von Quarantänerichtlinien.

    • Verwenden Sie mein Firmenlogo: Wählen Sie diese Option aus, um das standardmäßige Microsoft-Logo zu ersetzen, das oben in Quarantänebenachrichtigungen verwendet wird. Bevor Sie diesen Schritt ausführen, müssen Sie die Anweisungen unter Anpassen des Microsoft 365-Designs für Ihre Organisation befolgen, um Ihr benutzerdefiniertes Logo hochzuladen.

      Der folgende Screenshot zeigt ein benutzerdefiniertes Logo in einer Quarantänebenachrichtigung:

      Ein benutzerdefiniertes Logo in einer Quarantänebenachrichtigung

    • Spambenachrichtigung für Endbenutzer alle (Tage) senden: Wählen Sie die Häufigkeit für Quarantänebenachrichtigungen aus. Der Standardwert ist 3 Tage, Aber Sie können 1 bis 15 Tage auswählen.

  4. Klicken Sie nach Abschluss des Vorgangs auf Speichern.

    Flyout &quot;Einstellungen für Quarantänebenachrichtigungen&quot; im Microsoft 365 Defender-Portal.

Anzeigen von Quarantänerichtlinien im Microsoft 365 Defender-Portal

  1. Wechseln Sie im Microsoft 365 Defender Portal im Abschnitt "Regeln" zu Email & Richtlinien für die Zusammenarbeit > & Regeln > für Quarantänerichtlinien > für Bedrohungen. Oder verwenden Sie https://security.microsoft.com/quarantinePolicies, um direkt zur Seite "Quarantänerichtlinien" zu wechseln.

  2. Auf der Seite "Quarantänerichtlinien " wird die Liste der Richtlinien nach Name und Datum der letzten Aktualisierung angezeigt .

  3. Um die Einstellungen der integrierten oder benutzerdefinierten Quarantänerichtlinien anzuzeigen, wählen Sie die Quarantänerichtlinie aus der Liste aus, indem Sie auf den Namen klicken.

  4. Um die globalen Einstellungen anzuzeigen, klicken Sie auf "Globale Einstellungen".

Anzeigen von Quarantänerichtlinien in PowerShell

Wenn Sie lieber PowerShell zum Anzeigen von Quarantänerichtlinien verwenden möchten, führen Sie einen der folgenden Schritte aus:

  • Führen Sie den folgenden Befehl aus, um eine Zusammenfassungsliste aller integrierten oder benutzerdefinierten Richtlinien anzuzeigen:

    Get-QuarantinePolicy | Format-Table Name
    
  • Um die Einstellungen der integrierten oder benutzerdefinierten Quarantänerichtlinien anzuzeigen, ersetzen Sie <QuarantinePolicyName> sie durch den Namen der Quarantänerichtlinie, und führen Sie den folgenden Befehl aus:

    Get-QuarantinePolicy -Identity "<QuarantinePolicyName>"
    
  • Führen Sie den folgenden Befehl aus, um die globalen Einstellungen für Quarantänebenachrichtigungen anzuzeigen:

    Get-QuarantinePolicy -QuarantinePolicyType GlobalQuarantinePolicy
    

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-HostedContentFilterPolicy.

Ändern von Quarantänerichtlinien im Microsoft 365 Defender-Portal

Sie können die integrierten Quarantänerichtlinien mit dem Namen "AdminOnlyAccessPolicy" oder "DefaultFullAccessPolicy" nicht ändern. Sie können die integrierte Richtlinie namens NotificationEnabledPolicy (sofern vorhanden) und benutzerdefinierte Quarantänerichtlinien ändern.

  1. Wechseln Sie im Microsoft 365 Defender Portal im Abschnitt "Regeln" zu Email & Richtlinien für die Zusammenarbeit > & Regeln > für Quarantänerichtlinien > für Bedrohungen. Oder verwenden Sie https://security.microsoft.com/quarantinePolicies, um direkt zur Seite "Quarantänerichtlinien" zu wechseln.

  2. Wählen Sie auf der Seite "Quarantänerichtlinien " die Richtlinie aus, indem Sie auf den Namen klicken.

  3. Nachdem Sie die Richtlinie ausgewählt haben, klicken Sie auf das Symbol "Richtlinie bearbeiten". Angezeigtes Symbol "Richtlinie bearbeiten".

  4. Der geöffnete Assistent zum Bearbeiten von Richtlinien ist praktisch identisch mit dem Assistenten für neue Richtlinien, wie im Abschnitt zum Erstellen von Quarantänerichtlinien im Abschnitt Microsoft 365 Defender Portal weiter oben in diesem Artikel beschrieben.

    Der Hauptunterschied besteht darin, dass Sie eine vorhandene Richtlinie nicht umbenennen können.

  5. Wenn Sie die Änderung der Richtlinie abgeschlossen haben, wechseln Sie zur Seite "Zusammenfassung ", und klicken Sie auf "Absenden".

Ändern von Quarantänerichtlinien in PowerShell

Wenn Sie lieber PowerShell zum Ändern einer benutzerdefinierten Quarantänerichtlinie verwenden möchten, ersetzen <QuarantinePolicyName> Sie sie durch den Namen der Quarantänerichtlinie, und verwenden Sie die folgende Syntax:

Set-QuarantinePolicy -Identity "<QuarantinePolicyName>" [Settings]

Die verfügbaren Einstellungen entsprechen den Einstellungen, die zum Erstellen von Quarantänerichtlinien weiter oben in diesem Artikel beschrieben wurden.

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-QuarantinePolicy.

Entfernen von Quarantänerichtlinien im Microsoft 365 Defender-Portal

Hinweise:

  • Sie können die integrierten Quarantänerichtlinien mit dem Namen "AdminOnlyAccessPolicy" oder "DefaultFullAccessPolicy" nicht entfernen. Sie können die integrierte Richtlinie namens NotificationEnabledPolicy (sofern vorhanden) und benutzerdefinierte Quarantänerichtlinien entfernen.

  • Bevor Sie eine Quarantänerichtlinie entfernen, stellen Sie sicher, dass sie nicht verwendet wird. Führen Sie z. B. den folgenden Befehl in PowerShell aus:

    Write-Output -InputObject "Anti-spam policies","----------------------";Get-HostedContentFilterPolicy | Format-List Name,*QuarantineTag; Write-Output -InputObject "Anti-phishing policies","----------------------";Get-AntiPhishPolicy | Format-List Name,*QuarantineTag; Write-Output -InputObject "Anti-malware policies","----------------------";Get-MalwareFilterPolicy | Format-List Name,QuarantineTag; Write-Output -InputObject "Safe Attachments policies","---------------------------";Get-SafeAttachmentPolicy | Format-List Name,QuarantineTag
    

    Wenn die Quarantänerichtlinie verwendet wird, ersetzen Sie die zugewiesene Quarantänerichtlinie , bevor Sie sie entfernen.

  1. Wechseln Sie im Microsoft 365 Defender Portal im Abschnitt "Regeln" zu Email & Richtlinien für die Zusammenarbeit > & Regeln > für Quarantänerichtlinien > für Bedrohungen. Oder verwenden Sie https://security.microsoft.com/quarantinePolicies, um direkt zur Seite "Quarantänerichtlinien" zu wechseln.

  2. Wählen Sie auf der Seite "Quarantänerichtlinien " die benutzerdefinierte Quarantänerichtlinie aus, die Sie entfernen möchten, indem Sie auf den Namen klicken.

  3. Nachdem Sie die Richtlinie ausgewählt haben, klicken Sie auf das Symbol "Richtlinie löschen". Symbol "Richtlinie löschen ", das angezeigt wird.

  4. Klicken Sie im daraufhin angezeigten Bestätigungsdialogfeld auf "Richtlinie entfernen ".

Entfernen von Quarantänerichtlinien in PowerShell

Wenn Sie lieber PowerShell verwenden möchten, um eine benutzerdefinierte Quarantänerichtlinie zu entfernen, ersetzen Sie <QuarantinePolicyName> sie durch den Namen der Quarantänerichtlinie, und führen Sie den folgenden Befehl aus:

Remove-QuarantinePolicy -Identity "<QuarantinePolicyName>"

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Remove-QuarantinePolicy.

Systemwarnungen für Quarantänefreigabeanforderungen

Standardmäßig generiert die Standardbenachrichtigungsrichtlinie namens "Benutzer", die aufgefordert wird, eine isolierte Nachricht freizugeben , automatisch eine Informationsbenachrichtigung und sendet Benachrichtigungen an Mitglieder der folgenden Rollengruppen, wenn ein Benutzer die Freigabe einer in Quarantäne befindlichen Nachricht anfordert:

  • Quarantäneadministrator
  • Sicherheitsadministrator
  • Organisationsverwaltung (globaler Administrator)

Administratoren können die Empfänger von E-Mail-Benachrichtigungen anpassen oder eine benutzerdefinierte Benachrichtigungsrichtlinie für weitere Optionen erstellen.

Weitere Informationen über Benachrichtigungsrichtlinien finden Sie unter Benachrichtigungsrichtlinien in Microsoft 365.

Details zu Quarantänerichtlinienberechtigungen

In den folgenden Abschnitten werden die Auswirkungen von voreingestellten Berechtigungsgruppen und einzelnen Berechtigungen in den Details von isolierten Nachrichten und in Quarantänebenachrichtigungen beschrieben.

Voreingestellte Berechtigungsgruppen

Die einzelnen Berechtigungen, die in vordefinierten Berechtigungsgruppen enthalten sind, werden in der Tabelle am Anfang dieses Artikels aufgeführt.

Kein Zugriff

Wenn die Quarantänerichtlinie die Berechtigungen "Kein Zugriff " zuweist (nur Administratorzugriff), können Benutzer die nachrichten, die unter Quarantäne stehen, nicht sehen:

  • Details zu isolierten Nachrichten: In der Endbenutzeransicht werden keine Nachrichten angezeigt.
  • Quarantänebenachrichtigungen: Für diese Nachrichten werden keine Benachrichtigungen gesendet.

Eingeschränkter Zugriff

Wenn die Quarantänerichtlinie die Berechtigungen für eingeschränkten Zugriff zuweist, erhalten Benutzer die folgenden Funktionen:

  • Details zu isolierten Nachrichten: Die folgenden Schaltflächen sind verfügbar:

    • Release anfordern
    • Nachrichtenköpfe anzeigen
    • Nachrichtenvorschau
    • Aus Quarantäne entfernen:
    • Absender blockieren

    Die verfügbaren Schaltflächen in den Details zu isolierten Nachrichten, wenn die Quarantänerichtlinie dem Benutzer eingeschränkte Zugriffsberechtigungen gewährt

  • Quarantänebenachrichtigungen: Die folgenden Schaltflächen sind verfügbar:

    • Absender blockieren
    • Release anfordern
    • Überprüfung

    Die verfügbaren Schaltflächen in der Quarantänebenachrichtigung, wenn die Quarantänerichtlinie dem Benutzer eingeschränkte Zugriffsberechtigungen gewährt

Vollzugriff

Wenn die Quarantänerichtlinie die Vollzugriffsberechtigungen (alle verfügbaren Berechtigungen) zuweist, erhalten Benutzer die folgenden Funktionen:

  • Details zu isolierten Nachrichten: Die folgenden Schaltflächen sind verfügbar:

    • Veröffentlichungsnachricht
    • Nachrichtenköpfe anzeigen
    • Nachrichtenvorschau
    • Aus Quarantäne entfernen:
    • Absender blockieren

    Die verfügbaren Schaltflächen in den Details zu isolierten Nachrichten, wenn die Quarantänerichtlinie dem Benutzer vollzugriffsberechtigungen gewährt

  • Quarantänebenachrichtigungen: Die folgenden Schaltflächen sind verfügbar:

    • Absender blockieren
    • Freigabe
    • Überprüfung

    Die verfügbaren Schaltflächen in der Quarantänebenachrichtigung, wenn die Quarantänerichtlinie dem Benutzer Vollzugriffsberechtigungen gewährt

Hinweis

Wie weiter oben erläutert, sind Quarantänebenachrichtigungen in der Standardquarantänerichtlinie "DefaultFullAccessPolicy" deaktiviert, obwohl dieser Quarantänerichtlinie die Berechtigungsgruppe "Vollzugriff " zugewiesen ist. Quarantänebenachrichtigungen sind nur in benutzerdefinierten Quarantänerichtlinien verfügbar, die Sie erstellen, oder in der Standard-Quarantänezugriffsrichtlinie namens NotificationEnabledPolicy (wenn diese Richtlinie in Ihrer Organisation verfügbar ist).

Individuelle Berechtigungen

Absenderberechtigung blockieren

Die Berechtigung " Absender blockieren " (PermissionToBlockSender) steuert den Zugriff auf die Schaltfläche, mit der Benutzer den Absender der isolierten Nachricht bequem zu ihrer Liste blockierter Absender hinzufügen können.

  • Nachrichtendetails in Quarantäne:

    • Berechtigung "Absender blockieren" aktiviert: Die Schaltfläche "Absender blockieren" ist verfügbar.
    • Berechtigung "Absender blockieren" deaktiviert: Die Schaltfläche "Absender blockieren" ist nicht verfügbar.
  • Quarantänebenachrichtigungen:

    • Berechtigung "Absender blockieren" aktiviert: Die Schaltfläche "Absender blockieren" ist verfügbar.
    • Berechtigung "Absender blockieren" deaktiviert: Die Schaltfläche "Absender blockieren" ist nicht verfügbar.

Weitere Informationen zur Liste blockierter Absender finden Sie unter "Blockieren von Nachrichten von jemandem" und "Verwenden von Exchange Online PowerShell zum Konfigurieren der Sammlung sicherer Listen in einem Postfach".

Löschen

Die Berechtigung "Löschen" (PermissionToDelete) steuert die Möglichkeit von Benutzern, ihre Nachrichten (Nachrichten, bei denen der Benutzer ein Empfänger ist) aus der Quarantäne zu löschen.

  • Nachrichtendetails in Quarantäne:

    • Löschberechtigung aktiviert: Die Schaltfläche " Aus Quarantäne entfernen " ist verfügbar.
    • Löschberechtigung deaktiviert: Die Schaltfläche " Aus Quarantäne entfernen " ist nicht verfügbar.
  • Quarantänebenachrichtigungen: Keine Auswirkung.

Vorschauberechtigung

Die Berechtigung "Vorschau" (PermissionToPreview) steuert die Möglichkeit von Benutzern, eine Vorschau ihrer Nachrichten in Quarantäne anzuzeigen.

  • Nachrichtendetails in Quarantäne:

    • Vorschauberechtigung aktiviert: Die Schaltfläche " Vorschaunachricht " ist verfügbar.
    • Vorschauberechtigung deaktiviert: Die Schaltfläche " Vorschaunachricht " ist nicht verfügbar.
  • Quarantänebenachrichtigungen: Keine Auswirkung.

Empfängern das Freigeben einer Nachricht aus der Quarantäneberechtigung gestatten

Hinweis

Diese Berechtigung wird in Antischadsoftwarerichtlinien oder für die Phishingbewertung mit hoher Vertrauenswürdigkeit in Antispamrichtlinien nicht berücksichtigt. Benutzer können keine eigene Schadsoftware oder Phishingnachrichten mit hoher Vertrauenswürdigkeit aus der Quarantäne freigeben. Bestenfalls können Sie die Empfänger zulassen verwenden, um eine Nachricht anzufordern, aus der Berechtigung "Quarantäne" freigegeben zu werden .

Die Option "Empfängern erlauben, eine Nachricht von der Quarantäneberechtigung (PermissionToRelease) freizugeben" steuert die Möglichkeit von Benutzern, ihre in Quarantäne befindlichen Nachrichten direkt und ohne Genehmigung eines Administrators freizugeben.

  • Nachrichtendetails in Quarantäne:

    • Berechtigung aktiviert: Die Schaltfläche " Nachricht freigeben " ist verfügbar.
    • Berechtigung deaktiviert: Die Schaltfläche " Nachricht freigeben " ist nicht verfügbar.
  • Quarantänebenachrichtigungen:

    • Berechtigung aktiviert: Die Schaltfläche " Freigeben " ist verfügbar.
    • Berechtigung deaktiviert: Die Schaltfläche " Freigeben " ist nicht verfügbar.

Empfängern erlauben, die Freigabe einer Nachricht aus der Quarantäneberechtigung anzufordern

Die Option " Empfängern die Freigabe einer Nachricht aus der Quarantäneberechtigung erlauben" (PermissionToRequestRelease) steuert die Möglichkeit von Benutzern, die Freigabe ihrer in Quarantäne befindlichen Nachrichten anzufordern . Die Nachricht wird erst freigegeben, nachdem ein Administrator die Anforderung genehmigt hat.

  • Nachrichtendetails in Quarantäne:

    • Berechtigung aktiviert: Die Schaltfläche " Freigabe anfordern " ist verfügbar.
    • Berechtigung deaktiviert: Die Schaltfläche " Freigabe anfordern " ist nicht verfügbar.
  • Quarantänebenachrichtigungen:

    • Berechtigung aktiviert: Die Schaltfläche " Freigabe anfordern " ist verfügbar.
    • Berechtigung deaktiviert: Die Schaltfläche " Freigabe anfordern " ist nicht verfügbar.