Empfohlene Einstellungen für EOP und Microsoft Defender für Office 365 Security

Tipp

Wussten Sie, dass Sie die Features in Microsoft 365 Defender für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender für Office 365-Testversion im Microsoft 365 Defender Portal-Testversionen-Hub. Erfahren Sie hier, wer sich registrieren und testen kann.

Gilt für

Exchange Online Protection (EOP) ist der Kern der Sicherheit für Microsoft 365 Abonnements und trägt dazu bei, dass böswillige E-Mails die Posteingänge Ihrer Mitarbeiter nicht erreichen. Da jedoch täglich neue, komplexere Angriffe entstehen, sind häufig verbesserte Schutzmaßnahmen erforderlich. Microsoft Defender für Office 365 Plan 1 oder Plan 2 enthalten zusätzliche Features, die Administratoren mehr Sicherheits-, Kontroll- und Untersuchungsebenen bieten.

Obwohl wir Sicherheitsadministratoren in die Lage versetzen, ihre Sicherheitseinstellungen anzupassen, gibt es zwei Sicherheitsstufen in EOP und Microsoft Defender für Office 365, die wir empfehlen: Standard und Strict. Obwohl kundenbezogene Umgebungen und Anforderungen unterschiedlich sind, können diese Filterebenen verhindern, dass unerwünschte E-Mails in den meisten Situationen den Posteingang Ihrer Mitarbeiter erreichen.

Informationen zum automatischen Anwenden der Standard- oder Strengen Einstellungen auf Benutzer finden Sie unter "Voreingestellte Sicherheitsrichtlinien" in EOP und Microsoft Defender für Office 365.

In diesem Artikel werden die Standardeinstellungen sowie die empfohlenen Standard- und Strengen Einstellungen beschrieben, um Ihre Benutzer zu schützen. Die Tabellen enthalten die Einstellungen im Microsoft 365 Defender-Portal und powerShell (Exchange Online PowerShell oder eigenständige Exchange Online Protection PowerShell für Organisationen ohne Exchange Online Postfächer).

Hinweis

Das Office 365 Advanced Threat Protection Recommended Configuration Analyzer (ORCA)-Modul für PowerShell kann Ihnen (Administratoren) helfen, die aktuellen Werte dieser Einstellungen zu finden. Insbesondere generiert das Cmdlet "Get-ORCAReport" eine Bewertung der Einstellungen für Antispam, Antiphishing und andere Nachrichtenhygiene. Sie können das ORCA-Modul unter https://www.powershellgallery.com/packages/ORCA/herunterladen.

In Microsoft 365 Organisationen wird empfohlen, den Junk-E-Mail-Filter in Outlook auf "Keine automatische Filterung" festzulegen, um unnötige Konflikte (sowohl positive als auch negative) mit den Spamfilterbewertungen von EOP zu verhindern. Weitere Informationen finden Sie in den folgenden Artikeln:

Antispam-, Antischadsoftware- und Antiphishingschutz in EOP

Antispam, Antischadsoftware und Antiphishing sind EOP-Features, die von Administratoren konfiguriert werden können. Wir empfehlen die folgenden Standard- oder Strict-Konfigurationen.

EOP-Antispamrichtlinieneinstellungen

Informationen zum Erstellen und Konfigurieren von Antispamrichtlinien finden Sie unter Konfigurieren von Antispamrichtlinien in EOP.

Name des Sicherheitsfeatures Standard Standard Streng Kommentar
Schwellenwert für Massen-E-Mails & Spameigenschaften
Schwellenwert für Massen-E-Mails

BulkThreshold

7 6 4 Ausführliche Informationen finden Sie unter Bulk Complaint Level (BCL) in EOP.
MarkAsSpamBulkMail On On On Diese Einstellung ist nur in PowerShell verfügbar.
Erhöhen der Spambewertungseinstellungen Off Off Off Alle diese Einstellungen sind Teil des erweiterten Spamfilters (Advanced Spam Filter, ASF). Weitere Informationen finden Sie im Abschnitt " ASF-Einstellungen in Antispamrichtlinien " in diesem Artikel.
Als Spameinstellungen markieren Off Off Off Die meisten dieser Einstellungen sind Teil von ASF. Weitere Informationen finden Sie im Abschnitt " ASF-Einstellungen in Antispamrichtlinien " in diesem Artikel.
Enthält bestimmte Sprachen

EnableLanguageBlockList

LanguageBlockList

Aus

$false

Leer

Aus

$false

Leer

Aus

$false

Leer

Wir haben keine spezifische Empfehlung für diese Einstellung. Sie können Nachrichten in bestimmten Sprachen basierend auf Ihren geschäftlichen Anforderungen blockieren.
Aus diesen Ländern

EnableRegionBlockList

RegionBlockList

Aus

$false

Leer

Aus

$false

Leer

Aus

$false

Leer

Wir haben keine spezifische Empfehlung für diese Einstellung. Sie können Nachrichten aus bestimmten Ländern basierend auf Ihren Geschäftlichen Anforderungen blockieren.
Testmodus (TestModeAction) Keine Keine Keine Diese Einstellung ist Teil von ASF. Weitere Informationen finden Sie im Abschnitt " ASF-Einstellungen in Antispamrichtlinien " in diesem Artikel.
Aktionen Unabhängig davon, wo Sie die Nachricht "Quarantäne" auswählen, ist ein Feld "Quarantänerichtlinie auswählen " verfügbar. Quarantänerichtlinien definieren, was Benutzer für isolierte Nachrichten tun dürfen.

Standardmäßige und strenge voreingestellte Sicherheitsrichtlinien verwenden die Standardquarantänerichtlinien (AdminOnlyAccessPolicy oder DefaultFullAccessPolicy ohne Quarantänebenachrichtigungen), wie in der folgenden Tabelle beschrieben.

Wenn Sie eine neue Antispamrichtlinie erstellen, bedeutet ein leerer Wert, dass die Standardquarantänerichtlinie verwendet wird, um die historischen Funktionen für Nachrichten zu definieren, die von dieser bestimmten Bewertung isoliert wurden (AdminOnlyAccessPolicy ohne Quarantänebenachrichtigungen für Phishing mit hoher Vertrauenswürdigkeit; DefaultFullAccessPolicy ohne Quarantänebenachrichtigungen für alles andere).

Administratoren können benutzerdefinierte Quarantänerichtlinien erstellen und auswählen, die restriktivere oder weniger restriktive Funktionen für Benutzer in den Standard- oder benutzerdefinierten Antispamrichtlinien definieren. Weitere Informationen finden Sie unter Quarantänerichtlinien.

Spamerkennungsaktion

SpamAction

Nachricht in Junk-E-Mail-Ordner verschieben

MoveToJmf

Nachricht in Junk-E-Mail-Ordner verschieben

MoveToJmf

Nachricht in Quarantäne verschieben

Quarantine

Spamerkennungsaktion mit hoher Vertrauenswürdigkeit

HighConfidenceSpamAction

Nachricht in Junk-E-Mail-Ordner verschieben

MoveToJmf

Nachricht in Quarantäne verschieben

Quarantine

Nachricht in Quarantäne verschieben

Quarantine

Phishingerkennungsaktion

PhishSpamAction

Verschieben einer Nachricht in den Junk-E-Mail-Ordner*

MoveToJmf

Nachricht in Quarantäne verschieben

Quarantine

Nachricht in Quarantäne verschieben

Quarantine

* Der Standardwert ist "Nachricht in Junk-E-Mail-Ordner verschieben " in der Standard-Antispamrichtlinie und in neuen Antispamrichtlinien, die Sie in PowerShell erstellen. Der Standardwert ist die Quarantänenachricht in neuen Antispamrichtlinien, die Sie im Microsoft 365 Defender Portal erstellen.
Phishingerkennungsaktion mit hoher Vertrauenswürdigkeit

HighConfidencePhishAction

Nachricht in Quarantäne verschieben

Quarantine

Nachricht in Quarantäne verschieben

Quarantine

Nachricht in Quarantäne verschieben

Quarantine

Massenerkennungsaktion

BulkSpamAction

Nachricht in Junk-E-Mail-Ordner verschieben

MoveToJmf

Nachricht in Junk-E-Mail-Ordner verschieben

MoveToJmf

Nachricht in Quarantäne verschieben

Quarantine

Aufbewahren von Spam in Quarantäne für diese vielen Tage

QuarantineRetentionPeriod

15 Tage* 30 Tage 30 Tage * Der Standardwert ist 15 Tage in der Standard-Antispamrichtlinie und in neuen Antispamrichtlinien, die Sie in PowerShell erstellen. Der Standardwert ist 30 Tage in den neuen Antispamrichtlinien, die Sie im Microsoft 365 Defender-Portal erstellen.

Dieser Wert wirkt sich auch auf Nachrichten aus, die durch Antiphishingrichtlinien unter Quarantäne gesetzt werden. Weitere Informationen finden Sie unter E-Mail-Nachrichten in Quarantäne in EOP.

Aktivieren von Tipps zur Spamsicherheit

InlineSafetyTipsEnabled

Ausgewählt

$true

Ausgewählt

$true

Ausgewählt

$true

Aktivieren der automatischen Bereinigung (Zero-Hour Auto Purge, ZAP) für Phishingnachrichten

PhishZapEnabled

Ausgewählt

$true

Ausgewählt

$true

Ausgewählt

$true

Aktivieren von ZAP für Spamnachrichten

SpamZapEnabled

Ausgewählt

$true

Ausgewählt

$true

Ausgewählt

$true

& Blockliste zulassen
Zulässige Absender

AllowedSenders

Keine Keine Keine
Zulässige Absenderdomänen

Allowedsenderdomains

Keine Keine Keine Das Hinzufügen von Domänen zur Liste zulässiger Absender ist eine sehr schlechte Idee. Angreifer könnten Ihnen E-Mails senden, die andernfalls herausgefiltert würden.

Verwenden Sie den Einblick in die Spoofintelligenz und die Mandanten-Zulassungs-/Sperrliste , um alle Absender zu überprüfen, die E-Mail-Adressen von Absendern in den E-Mail-Domänen Ihrer Organisation spoofieren oder E-Mail-Adressen von Absendern in externen Domänen spoofieren.

Blockierte Absender

BlockedSenders

Keine Keine Keine
Blockierte Absenderdomänen

BlockedSenderDomains

Keine Keine Keine

ASF-Einstellungen in Antispamrichtlinien

In der Tabelle in diesem Abschnitt werden die ASF-Einstellungen (Advanced Spam Filter) beschrieben, die in Antispamrichtlinien verfügbar sind. Alle diese Einstellungen sind für die Standard- und strict-Ebene deaktiviert. Weitere Informationen zu ASF-Einstellungen finden Sie unter Advanced Spam Filter (ASF) settings in EOP.

Name des Sicherheitsfeatures Kommentar
Bildlinks zu Remotewebsites (IncreaseScoreWithImageLinks)
Numerische IP-Adresse in URL (IncreaseScoreWithNumericIps)
URL-Umleitung an anderen Port (IncreaseScoreWithRedirectToOtherPort)
Links zu .biz- oder .info-Websites (IncreaseScoreWithBizOrInfoUrls)
Leere Nachrichten (MarkAsSpamEmptyMessages)
Einbetten von Tags in HTML (MarkAsSpamEmbedTagsInHtml)
JavaScript oder VBScript in HTML (MarkAsSpamJavaScriptInHtml)
Formulartags in HTML (MarkAsSpamFormTagsInHtml)
Frame- oder iframe-Tags in HTML (MarkAsSpamFramesInHtml)
Webfehler in HTML (MarkAsSpamWebBugsInHtml)
Objekttags in HTML (MarkAsSpamObjectTagsInHtml)
Vertrauliche Wörter (MarkAsSpamSensitiveWordList)
SPF-Eintrag: harter Fehler (MarkAsSpamSpfRecordHardFail)
Fehler beim Filtern der Absender-ID (MarkAsSpamFromAddressAuthFail)
Backscatter (MarkAsSpamNdrBackscatter)
Testmodus (TestModeAction) Für ASF-Einstellungen, die Test als Aktion unterstützen, können Sie die Testmodusaktion auf "Keine" konfigurieren, standardmäßigen X-Header-Text hinzufügen oder Bcc-Nachricht senden (None, AddXHeaderoder BccMessage). Weitere Informationen finden Sie unter Aktivieren, Deaktivieren oder Testen von ASF-Einstellungen.

EOP-Richtlinieneinstellungen für ausgehende Spamnachrichten

Informationen zum Erstellen und Konfigurieren ausgehender Spamrichtlinien finden Sie unter Konfigurieren der Filterung ausgehender Spamnachrichten in EOP.

Weitere Informationen zu den standardmäßigen Sendegrenzwerten im Dienst finden Sie unter Sendegrenzwerte.

Hinweis

Ausgehende Spamrichtlinien sind nicht Teil der standard- oder streng voreingestellten Sicherheitsrichtlinien. Die Werte "Standard " und " Streng " geben unsere empfohlenen Werte in der standardmäßigen ausgehenden Spamrichtlinie oder benutzerdefinierten ausgehenden Spamrichtlinien an, die Sie erstellen.

Name des Sicherheitsfeatures Default Empfohlen
Standard
Empfohlen
Streng
Kommentar
Festlegen eines Grenzwerts für externe Nachrichten

RecipientLimitExternalPerHour

0 500 400 Der Standardwert 0 bedeutet, dass die Dienststandardwerte verwendet werden.
Festlegen eines internen Nachrichtenlimits

RecipientLimitInternalPerHour

0 1000 800 Der Standardwert 0 bedeutet, dass die Dienststandardwerte verwendet werden.
Festlegen eines täglichen Nachrichtenlimits

RecipientLimitPerDay

0 1000 800 Der Standardwert 0 bedeutet, dass die Dienststandardwerte verwendet werden.
Einschränkung für Benutzer, die das Nachrichtenlimit erreichen

ActionWhenThresholdReached

Einschränken des Sendens von E-Mails durch den Benutzer bis zum folgenden Tag

BlockUserForToday

Benutzer am Senden von E-Mails hindern

BlockUser

Benutzer am Senden von E-Mails hindern

BlockUser

Regeln für die automatische Weiterleitung

AutoForwardingMode

Automatisch - Systemgesteuert

Automatic

Automatisch - Systemgesteuert

Automatic

Automatisch - Systemgesteuert

Automatic

Senden einer Kopie ausgehender Nachrichten, die diese Grenzwerte überschreiten, an diese Benutzer und Gruppen

BccSuspiciousOutboundMail

BccSuspiciousOutboundAdditionalRecipients

Nicht ausgewählt

$false

Leer

Nicht ausgewählt

$false

Leer

Nicht ausgewählt

$false

Leer

Wir haben keine spezifische Empfehlung für diese Einstellung.

Diese Einstellung funktioniert nur in der standardmäßigen ausgehenden Spamrichtlinie. Es funktioniert nicht in benutzerdefinierten ausgehenden Spamrichtlinien, die Sie erstellen.

Diese Benutzer und Gruppen benachrichtigen, wenn ein Absender aufgrund des Sendens von ausgehendem Spam blockiert ist

NotifyOutboundSpam

NotifyOutboundSpamRecipients

Nicht ausgewählt

$false

Leer

Nicht ausgewählt

$false

Leer

Nicht ausgewählt

$false

Leer

Die Standardbenachrichtigungsrichtlinie mit dem Namen "Benutzer, der auf das Senden von E-Mails beschränkt ist" sendet bereits E-Mail-Benachrichtigungen an Mitglieder der Gruppe TenantAdmins (Globale Administratoren), wenn Benutzer aufgrund der Überschreitung der Grenzwerte in der Richtlinie blockiert werden. Es wird dringend empfohlen, die Warnungsrichtlinie anstelle dieser Einstellung in der ausgehenden Spamrichtlinie zu verwenden, um Administratoren und andere Benutzer zu benachrichtigen. Anweisungen finden Sie unter Überprüfen der Warnungseinstellungen für eingeschränkte Benutzer.

EOP-Richtlinieneinstellungen für Antischadsoftware

Informationen zum Erstellen und Konfigurieren von Antischadsoftwarerichtlinien finden Sie unter Konfigurieren von Antischadsoftwarerichtlinien in EOP.

Name des Sicherheitsfeatures Standard Standard Streng Kommentar
Schutzeinstellungen
Aktivieren des Filters für allgemeine Anlagen

EnableFileFilter

Nicht ausgewählt

$false

Ausgewählt

$true

Ausgewählt

$true

Diese Einstellung isoliert Nachrichten, die ausführbare Anlagen basierend auf dem Dateityp enthalten, unabhängig vom Anlageninhalt.
Aktivieren der automatischen Bereinigung zur Nullstunde für Schadsoftware

ZapEnabled

Ausgewählt

$true

Ausgewählt

$true

Ausgewählt

$true

Quarantänerichtlinie AdminOnlyAccessPolicy AdminOnlyAccessPolicy AdminOnlyAccessPolicy Wenn Sie eine neue Antischadsoftwarerichtlinie erstellen, bedeutet ein leerer Wert, dass die Standardquarantänerichtlinie verwendet wird, um die historischen Funktionen für Nachrichten zu definieren, die als Schadsoftware isoliert wurden (AdminOnlyAccessPolicy ohne Quarantänebenachrichtigungen).

Standardmäßige und strenge voreingestellte Sicherheitsrichtlinien verwenden die Standardquarantänerichtlinie (AdminOnlyAccessPolicy ohne Quarantänebenachrichtigungen), wie in der folgenden Tabelle beschrieben.

Administratoren können benutzerdefinierte Quarantänerichtlinien erstellen und auswählen, die weitere Funktionen für Benutzer in den Standard- oder benutzerdefinierten Antischadsoftwarerichtlinien definieren. Weitere Informationen finden Sie unter Quarantänerichtlinien.

Empfängerbenachrichtigungen
Benachrichtigen von Empfängern, wenn Nachrichten als Schadsoftware in Quarantäne gesetzt werden

Aktion

Nicht ausgewählt

DeleteMessage

Nicht ausgewählt

DeleteMessage

Nicht ausgewählt

DeleteMessage

Wenn Schadsoftware in einer E-Mail-Anlage erkannt wird, wird die Nachricht unter Quarantäne gesetzt und kann nur von einem Administrator freigegeben werden.
Absenderbenachrichtigungen
Benachrichtigen interner Absender, wenn Nachrichten als Schadsoftware in Quarantäne gesetzt werden

EnableInternalSenderNotifications

Nicht ausgewählt

$false

Nicht ausgewählt

$false

Nicht ausgewählt

$false

Benachrichtigen externer Absender, wenn Nachrichten als Schadsoftware isoliert werden

EnableExternalSenderNotifications

Nicht ausgewählt

$false

Nicht ausgewählt

$false

Nicht ausgewählt

$false

Admin Benachrichtigungen
Benachrichtigen eines Administrators über nicht zugestellte Nachrichten von internen Absendern

EnableInternalSenderAdminNotifications

InternalSenderAdminAddress

Nicht ausgewählt

$false

Nicht ausgewählt

$false

Nicht ausgewählt

$false

Wir haben keine spezifische Empfehlung für diese Einstellung.
Benachrichtigen eines Administrators über nicht zugestellte Nachrichten von externen Absendern

EnableExternalSenderAdminNotifications

ExternalSenderAdminAddress

Nicht ausgewählt

$false

Nicht ausgewählt

$false

Nicht ausgewählt

$false

Wir haben keine spezifische Empfehlung für diese Einstellung.
Anpassen von Benachrichtigungen Wir haben keine spezifischen Empfehlungen für diese Einstellungen.
Verwenden von benutzerdefiniertem Benachrichtigungstext

CustomNotifications

Nicht ausgewählt

$false

Nicht ausgewählt

$false

Nicht ausgewählt

$false

Von Name

CustomFromName

Leer

$null

Leer

$null

Leer

$null

"Von"-Adresse

CustomFromAddress

Leer

$null

Leer

$null

Leer

$null

Anpassen von Benachrichtigungen für Nachrichten von internen Absendern Diese Einstellungen werden nur verwendet, wenn interne Absender benachrichtigt werden, wenn Nachrichten als Schadsoftware isoliert werden , oder wenn ein Administrator über nicht zugestellte Nachrichten von internen Absendern benachrichtigt wird.
Betreff

CustomInternalSubject

Leer

$null

Leer

$null

Leer

$null

Nachricht

CustomInternalBody

Leer

$null

Leer

$null

Leer

$null

Anpassen von Benachrichtigungen für Nachrichten von externen Absendern Diese Einstellungen werden nur verwendet, wenn externe Absender benachrichtigt werden, wenn Nachrichten als Schadsoftware isoliert werden , oder wenn ein Administrator über nicht zugestellte Nachrichten von externen Absendern benachrichtigt wird.
Betreff

CustomExternalSubject

Leer

$null

Leer

$null

Leer

$null

Nachricht

CustomExternalBody

Leer

$null

Leer

$null

Leer

$null

Einstellungen für EOP-Antiphishingrichtlinien

Weitere Informationen zu diesen Einstellungen finden Sie unter Spoof-Einstellungen. Informationen zum Konfigurieren dieser Einstellungen finden Sie unter Konfigurieren von Antiphishingrichtlinien in EOP.

Die Spoof-Einstellungen sind interreligiöse, aber die Einstellung "Ersten Kontakt anzeigen Sicherheitstipp" ist nicht von Spoof-Einstellungen abhängig.

Name des Sicherheitsfeatures Standard Standard Streng Kommentar
Phishingschwellenwert & Schutz
Spoofingintelligenz aktivieren

EnableSpoofIntelligence

Ausgewählt

$true

Ausgewählt

$true

Ausgewählt

$true

Aktionen
Wenn Nachricht als Spoof erkannt wird

AuthenticationFailAction

Verschieben einer Nachricht in die Junk-E-Mail-Ordner der Empfänger

MoveToJmf

Verschieben einer Nachricht in die Junk-E-Mail-Ordner der Empfänger

MoveToJmf

Quarantäne der Nachricht

Quarantine

Diese Einstellung gilt für spoofierte Absender, die automatisch blockiert wurden, wie im Einblick in die Spoofintelligenz gezeigt oder manuell in der Zulassungs-/Sperrliste des Mandanten blockiert wurden.

Wenn Sie die Nachricht unter Quarantäne stellen, ist ein Feld "Quarantänerichtlinie anwenden " verfügbar, um die Quarantänerichtlinie auszuwählen, die definiert, was Benutzer mit Nachrichten tun dürfen, die als Spoofing unter Quarantäne gestellt werden. Wenn Sie eine neue Antiphishingrichtlinie erstellen, bedeutet ein leerer Wert, dass die Standardquarantänerichtlinie verwendet wird, um die historischen Funktionen für Nachrichten zu definieren, die als Spoofing isoliert wurden (DefaultFullAccessPolicy ohne Quarantänebenachrichtigungen).

Standardmäßige und strenge voreingestellte Sicherheitsrichtlinien verwenden die Standardquarantänerichtlinie (DefaultFullAccessPolicy ohne Quarantänebenachrichtigungen), wie in der folgenden Tabelle beschrieben.

Administratoren können benutzerdefinierte Quarantänerichtlinien erstellen und auswählen, die restriktivere oder weniger restriktive Funktionen für Benutzer in den Standard- oder benutzerdefinierten Antiphishingrichtlinien definieren. Weitere Informationen finden Sie unter Quarantänerichtlinien.

Ersten Kontakt anzeigen Sicherheitstipp

EnableFirstContactSafetyTips

Nicht ausgewählt

$false

Nicht ausgewählt

$false

Nicht ausgewählt

$false

Weitere Informationen finden Sie unter "First contact Sicherheitstipp".
Anzeigen (?) für nicht authentifizierte Absender für Spoof

EnableUnauthenticatedSender

Ausgewählt

$true

Ausgewählt

$true

Ausgewählt

$true

Fügt dem Foto des Absenders in Outlook für nicht identifizierte gefälschte Absender ein Fragezeichen (?) hinzu. Weitere Informationen finden Sie unter Indikatoren für nicht authentifizierte Absender.
Tag "via" anzeigen

EnableViaTag

Ausgewählt

$true

Ausgewählt

$true

Ausgewählt

$true

Fügt der Absenderadresse ein Via-Tag (chris@contoso.com über fabrikam.com) hinzu, wenn es sich von der Domäne in der DKIM-Signatur oder der MAIL FROM-Adresse unterscheidet.

Weitere Informationen finden Sie unter Indikatoren für nicht authentifizierte Absender.

Microsoft Defender für Office 365 Sicherheit

Zusätzliche Sicherheitsvorteile bieten ein Microsoft Defender für Office 365-Abonnement. Die neuesten Neuigkeiten und Informationen finden Sie unter Neuigkeiten in Defender für Office 365.

Wichtig

Wenn Ihr Abonnement Microsoft Defender für Office 365 enthält oder Sie Defender für Office 365 als Add-On erworben haben, legen Sie die folgenden Standard- oder Strict-Konfigurationen fest.

Antiphishingrichtlinieneinstellungen in Microsoft Defender für Office 365

EOP-Kunden erhalten grundlegendes Antiphishing wie zuvor beschrieben, aber Defender für Office 365 umfasst mehr Features und Kontrolle, um Angriffe zu verhindern, zu erkennen und zu beheben. Informationen zum Erstellen und Konfigurieren dieser Richtlinien finden Sie unter Konfigurieren von Antiphishingrichtlinien in Defender für Office 365.

Erweiterte Einstellungen in Antiphishingrichtlinien in Microsoft Defender für Office 365

Weitere Informationen zu dieser Einstellung finden Sie unter Advanced phishing thresholds in anti-phishing policies in Microsoft Defender für Office 365. Informationen zum Konfigurieren dieser Einstellung finden Sie unter Konfigurieren von Antiphishingrichtlinien in Defender für Office 365.

Name des Sicherheitsfeatures Standard Standard Streng Kommentar
Phishing-E-Mail-Schwellenwert

PhishThresholdLevel

1 - Standard

1

2 - Aggressiv

2

3 - Aggressiver

3

Identitätswechseleinstellungen in Antiphishingrichtlinien in Microsoft Defender für Office 365

Weitere Informationen zu diesen Einstellungen finden Sie unter Identitätswechseleinstellungen in Antiphishingrichtlinien in Microsoft Defender für Office 365. Informationen zum Konfigurieren dieser Einstellungen finden Sie unter Konfigurieren von Antiphishingrichtlinien in Defender für Office 365.

Name des Sicherheitsfeatures Standard Standard Streng Kommentar
Phishingschwellenwert & Schutz
Aktivieren des Schutzes von Benutzern (Schutz durch identitätswechselliche Benutzer)

EnableTargetedUserProtection

TargetedUsersToProtect

Nicht ausgewählt

$false

Keine

Ausgewählt

$true

<list of users>

Ausgewählt

$true

<list of users>

Es wird empfohlen, Benutzer (Nachrichtensender) in Schlüsselrollen hinzuzufügen. Intern können geschützte Absender Ihr CEO, CFO und andere leitende Führungskräfte sein. Extern könnten geschützte Absender Mitglieder des Rates oder Ihr Verwaltungsrat umfassen.
Aktivieren des Schutzes von Domänen (Schutz durch imitierte Domäne) Nicht ausgewählt Ausgewählt Ausgewählt
Domänen einschließen, die ich besitze

EnableOrganizationDomainsProtection

Off

$false

Ausgewählt

$true

Ausgewählt

$true

Benutzerdefinierte Domänen einschließen

EnableTargetedDomainsProtection

TargetedDomainsToProtect

Off

$false

keine

Ausgewählt

$true

<list of domains>

Ausgewählt

$true

<list of domains>

Es wird empfohlen, Domänen (Absenderdomänen) hinzuzufügen, die Sie nicht besitzen, aber häufig mit ihnen interagieren.
Vertrauenswürdige Absender und Domänen hinzufügen

ExcludedSenders

ExcludedDomains

Keine Keine Keine Je nach Organisation wird empfohlen, Absender oder Domänen hinzuzufügen, die fälschlicherweise als Identitätswechselversuche identifiziert wurden.
Aktivieren der Postfachintelligenz

EnableMailboxIntelligence

Ausgewählt

$true

Ausgewählt

$true

Ausgewählt

$true

Aktivieren von Intelligenz für identitätswechselschutz

EnableMailboxIntelligenceProtection

Off

$false

Ausgewählt

$true

Ausgewählt

$true

Diese Einstellung ermöglicht die angegebene Aktion für Identitätswechselerkennungen nach Postfachintelligenz.
Aktionen Überall dort, wo Sie die Nachricht unter Quarantäne stellen, ist ein Feld "Quarantänerichtlinie auswählen " verfügbar. Quarantänerichtlinien definieren, was Benutzer für isolierte Nachrichten tun dürfen.

Standardmäßige und strenge voreingestellte Sicherheitsrichtlinien verwenden die Standardquarantänerichtlinie (DefaultFullAccessPolicy ohne Quarantänebenachrichtigungen), wie in der folgenden Tabelle beschrieben.

Wenn Sie eine neue Antiphishingrichtlinie erstellen, bedeutet ein leerer Wert, dass die Standardquarantänerichtlinie verwendet wird, um die historischen Funktionen für Nachrichten zu definieren, die von dieser Bewertung isoliert wurden (DefaultFullAccessPolicy für alle Identitätswechselerkennungstypen).

Administratoren können benutzerdefinierte Quarantänerichtlinien erstellen und auswählen, die weniger restriktive oder restriktivere Funktionen für Benutzer in den Standard- oder benutzerdefinierten Antiphishingrichtlinien definieren. Weitere Informationen finden Sie unter Quarantänerichtlinien.

Wenn die Nachricht als imitierter Benutzer erkannt wird

TargetedUserProtectionAction

Keine Aktion anwenden

NoAction

Quarantäne der Nachricht

Quarantine

Quarantäne der Nachricht

Quarantine

Wenn die Nachricht als imitierte Domäne erkannt wird

TargetedDomainProtectionAction

Keine Aktion anwenden

NoAction

Quarantäne der Nachricht

Quarantine

Quarantäne der Nachricht

Quarantine

Wenn Postfachintelligenz benutzeridentitierte Benutzer erkennt und imitiert

MailboxIntelligenceProtectionAction

Keine Aktion anwenden

NoAction

Verschieben einer Nachricht in die Junk-E-Mail-Ordner der Empfänger

MoveToJmf

Quarantäne der Nachricht

Quarantine

Benutzeridentitätswechsel anzeigen Sicherheitstipp

EnableSimilarUsersSafetyTips

Off

$false

Ausgewählt

$true

Ausgewählt

$true

Sicherheitstipp für Domänenidentitätswechsel anzeigen

EnableSimilarDomainsSafetyTips

Off

$false

Ausgewählt

$true

Ausgewählt

$true

Anzeigen ungewöhnlicher Zeichen des Benutzeridentitätswechsels Sicherheitstipp

EnableUnusualCharactersSafetyTips

Off

$false

Ausgewählt

$true

Ausgewählt

$true

EOP-Antiphishingrichtlinieneinstellungen in Microsoft Defender für Office 365

Dies sind die gleichen Einstellungen, die in den Antispamrichtlinieneinstellungen in EOP verfügbar sind.

Einstellungen für Tresor Anlagen

Tresor Anlagen in Microsoft Defender für Office 365 enthält globale Einstellungen, die keine Beziehung zu Tresor Anlagenrichtlinien haben, sowie Einstellungen, die für jede Tresor Linksrichtlinie spezifisch sind. Weitere Informationen finden Sie unter Tresor Anlagen in Defender für Office 365.

Obwohl es keine Standardrichtlinie für Tresor Anlagen gibt, bietet die voreingestellte Sicherheitsrichtlinie für integrierten Schutz allen Empfängern, die noch nicht in benutzerdefinierten Tresor Anlagenrichtlinien enthalten sind, Tresor Anlagenschutz. Weitere Informationen finden Sie unter "Voreingestellte Sicherheitsrichtlinien" in EOP und Microsoft Defender für Office 365.

Globale Einstellungen für Tresor Anlagen

Hinweis

Die globalen Einstellungen für Tresor Anlagen werden durch die vordefinierte Sicherheitsrichtlinie für integrierten Schutz festgelegt, jedoch nicht durch die voreingestellten Standard- oder Strengen Sicherheitsrichtlinien. In beiden Fällen können Administratoren diese einstellungen für globale Tresor Anlagen jederzeit ändern.

In der Spalte "Standard" werden die Werte vor dem Vorhandensein der vordefinierten Sicherheitsrichtlinie für integrierten Schutz angezeigt. In der Spalte " Integrierter Schutz " werden die Werte angezeigt, die von der vordefinierten Sicherheitsrichtlinie für integrierten Schutz festgelegt werden. Dies sind auch unsere empfohlenen Werte.

Informationen zum Konfigurieren dieser Einstellungen finden Sie unter Aktivieren Tresor Anlagen für SharePoint, OneDrive und Microsoft Teams und Tresor von Dokumenten in Microsoft 365 E5.

In PowerShell verwenden Sie das Cmdlet Set-AtpPolicyForO365 für diese Einstellungen.

Name des Sicherheitsfeatures Default Integrierter Schutz Kommentar
Defender für Office 365 für SharePoint, OneDrive und Microsoft Teams aktivieren

EnableATPForSPOTeamsODB

Off

$false

Ein

$true

Informationen zum Verhindern, dass Benutzer schädliche Dateien herunterladen, finden Sie unter Verwenden von SharePoint Online PowerShell, um zu verhindern, dass Benutzer schädliche Dateien herunterladen.
Aktivieren Tresor Dokumente für Office Clients

EnableSafeDocs

Off

$false

Ein

$true

Dieses Feature ist nur für Lizenzen verfügbar und aussagekräftig, die nicht in Defender für Office 365 enthalten sind (z. B. Microsoft 365 E5 oder Microsoft 365 E5 Security). Weitere Informationen finden Sie unter Tresor Dokumente in Microsoft 365 E5.
Zulassen, dass Personen durch die geschützte Ansicht klicken, auch wenn Tresor Dokumente die Datei als bösartig identifiziert haben

AllowSafeDocsOpen

Off

$false

Off

$false

Diese Einstellung bezieht sich auf Tresor Dokumente.

Richtlinieneinstellungen für Tresor Anlagen

Informationen zum Konfigurieren dieser Einstellungen finden Sie unter Einrichten Tresor Anlagenrichtlinien in Defender für Office 365.

In PowerShell verwenden Sie die Cmdlets New-SafeAttachmentPolicy und Set-SafeAttachmentPolicy für diese Einstellungen.

Hinweis

Wie weiter oben beschrieben, gibt es keine Standardmäßige Tresor Anlagenrichtlinie, aber Tresor Anlagenschutz wird allen Empfängern durch die vordefinierte Sicherheitsrichtlinie für integrierten Schutz zugewiesen.

Der Standardwert in der benutzerdefinierten Spalte bezieht sich auf die Standardwerte in neuen Tresor Anlagenrichtlinien, die Sie erstellen. Die verbleibenden Spalten geben (sofern nicht anders angegeben) die Werte an, die in den entsprechenden voreingestellten Sicherheitsrichtlinien konfiguriert sind.

Name des Sicherheitsfeatures Standard in "Benutzerdefiniert" Integrierter Schutz Standard Streng Kommentar
Tresor Anlagen unbekannte Schadsoftwareantwort

Aktivieren und Aktion

Aus

-Enable $false und -Action Block

Blockieren

-Enable $true und -Action Block

Blockieren

-Enable $true und -Action Block

Blockieren

-Enable $true und -Action Block

Wenn der Parameter "Enable" $false ist, spielt der Wert des Action-Parameters keine Rolle.
Quarantänerichtlinie (QuarantineTag) AdminOnlyAccessPolicy AdminOnlyAccessPolicy AdminOnlyAccessPolicy AdminOnlyAccessPolicy

Standardmäßige und strenge voreingestellte Sicherheitsrichtlinien verwenden die Standardquarantänerichtlinie (AdminOnlyAccessPolicy ohne Quarantänebenachrichtigungen), wie in der folgenden Tabelle beschrieben.

Wenn Sie eine neue Tresor Anlagenrichtlinie erstellen, bedeutet ein leerer Wert, dass die Standardquarantänerichtlinie verwendet wird, um die historischen Funktionen für Nachrichten zu definieren, die von Tresor Anlagen isoliert wurden (AdminOnlyAccessPolicy ohne Quarantänebenachrichtigungen).

Administratoren können benutzerdefinierte Quarantänerichtlinien erstellen und auswählen, die weitere Funktionen für Benutzer definieren. Weitere Informationen finden Sie unter Quarantänerichtlinien.

Umleitungsanlage mit erkannten Anlagen : Umleitung aktivieren

Redirect

RedirectAddress

Nicht ausgewählt und keine E-Mail-Adresse angegeben.

-Redirect $false

RedirectAddress ist leer ($null)

Nicht ausgewählt und keine E-Mail-Adresse angegeben.

-Redirect $false

RedirectAddress ist leer ($null)

Ausgewählt, und geben Sie eine E-Mail-Adresse an.

$true

eine E-Mail-Adresse

Ausgewählt, und geben Sie eine E-Mail-Adresse an.

$true

eine E-Mail-Adresse

Leiten Sie Nachrichten zur Überprüfung an einen Sicherheitsadministrator um.

Hinweis: Diese Einstellung ist in den voreingestellten Sicherheitsrichtlinien "Standard", " Streng" oder " Integrierter Schutz " nicht konfiguriert. Die Werte "Standard" und "Streng" geben unsere empfohlenen Werte in neuen Tresor Anlagenrichtlinien an, die Sie erstellen.

Anwenden der Erkennungsantwort für Tresor Anlagen, wenn die Überprüfung nicht abgeschlossen werden kann (Timeout oder Fehler)

ActionOnError

Ausgewählt

$true

Ausgewählt

$true

Ausgewählt

$true

Ausgewählt

$true

Tresor Links in Defender für Office 365 enthält globale Einstellungen, die für alle Benutzer gelten, die in aktiven Tresor Links-Richtlinien enthalten sind, sowie Einstellungen, die für jede Tresor Links-Richtlinie spezifisch sind. Weitere Informationen finden Sie unter Tresor Links in Defender für Office 365.

Obwohl es keine Standardrichtlinie für Tresor Links gibt, bietet die vordefinierte Sicherheitsrichtlinie für den integrierten Schutz Tresor Links-Schutz für alle Empfänger (Benutzer, die nicht in benutzerdefinierten Tresor Links-Richtlinien definiert sind). Weitere Informationen finden Sie unter "Voreingestellte Sicherheitsrichtlinien" in EOP und Microsoft Defender für Office 365.

Hinweis

Die globalen Einstellungen für Tresor Links werden durch die voreingestellte Sicherheitsrichtlinie für integrierten Schutz festgelegt, jedoch nicht durch die voreingestellten Standard- oder Strengen Sicherheitsrichtlinien. In beiden Fällen können Administratoren diese einstellungen für globale Tresor Links jederzeit ändern.

In der Spalte "Standard" werden die Werte vor dem Vorhandensein der vordefinierten Sicherheitsrichtlinie für integrierten Schutz angezeigt. In der Spalte " Integrierter Schutz " werden die Werte angezeigt, die von der vordefinierten Sicherheitsrichtlinie für integrierten Schutz festgelegt werden. Dies sind auch unsere empfohlenen Werte.

Informationen zum Konfigurieren dieser Einstellungen finden Sie unter Konfigurieren globaler Einstellungen für Tresor Links in Defender für Office 365.

In PowerShell verwenden Sie das Cmdlet Set-AtpPolicyForO365 für diese Einstellungen.

Name des Sicherheitsfeatures Default Integrierter Schutz Kommentar
Blockieren der folgenden URLs

ExcludedUrls

Leer

$null

Leer

$null

Wir haben keine spezifische Empfehlung für diese Einstellung.

Weitere Informationen finden Sie in der Liste "Blockieren der folgenden URLs" für Tresor Links.

Verwenden Tresor Links in Office 365-Apps

EnableSafeLinksForO365Clients

Ein

$true

Ein

$true

Verwenden Sie Tresor Links in unterstützten Office 365 Desktop- und mobilen Apps (iOS und Android). Weitere Informationen finden Sie unter Tresor Linkseinstellungen für Office 365 Apps.
Nicht nachverfolgen, wenn Benutzer in Office 365 Apps auf geschützte Links klicken

TrackClicks

Ein

$false

Off

$true

Durch Deaktivieren dieser Einstellung (Festlegen von TrackClicks auf $true) werden Benutzerklicks in unterstützten Office 365 Apps nachverfolgt.
Benutzer dürfen in Office 365 Apps nicht auf die ursprüngliche URL klicken.

AllowClickThrough

Ein

$false

Ein

$false

Wenn Sie diese Einstellung aktivieren (allowClickThrough auf $falsefestlegen), wird verhindert, dass Sie in unterstützten Office 365 Apps auf die ursprüngliche URL klicken.

Informationen zum Konfigurieren dieser Einstellungen finden Sie unter Einrichten Tresor Linksrichtlinien in Microsoft Defender für Office 365.

In PowerShell verwenden Sie die Cmdlets New-SafeLinksPolicy und Set-SafeLinksPolicy für diese Einstellungen.

Hinweis

Wie weiter oben beschrieben, gibt es keine Standardrichtlinie für Tresor Links, aber Tresor Links-Schutz wird allen Empfängern durch die vordefinierte Sicherheitsrichtlinie für integrierten Schutz zugewiesen.

Der Standardwert in der benutzerdefinierten Spalte bezieht sich auf die Standardwerte in neuen Tresor Richtlinien, die Sie erstellen. Die verbleibenden Spalten geben (sofern nicht anders angegeben) die Werte an, die in den entsprechenden voreingestellten Sicherheitsrichtlinien konfiguriert sind.

Name des Sicherheitsfeatures Standard in "Benutzerdefiniert" Integrierter Schutz Standard Streng Kommentar
URL & Klicken auf Schutzeinstellungen
Aktion für potenziell böswillige URLs in E-Mails
Ein: Tresor Links überprüft eine Liste bekannter, bösartiger Links, wenn Benutzer auf Links in einer E-Mail klicken

EnableSafeLinksForEmail

Nicht ausgewählt

$false

Ausgewählt

$true

Ausgewählt

$true

Ausgewählt

$true

Anwenden Tresor Links auf innerhalb der Organisation gesendete E-Mail-Nachrichten

EnableForInternalSenders

Nicht ausgewählt

$false

Ausgewählt

$true

Ausgewählt

$true

Ausgewählt

$true

Anwenden einer Echtzeit-URL-Überprüfung auf verdächtige Links und Links, die auf Dateien verweisen

ScanUrls

Nicht ausgewählt

$false

Ausgewählt

$true

Ausgewählt

$true

Ausgewählt

$true

Warten Sie auf den Abschluss des URL-Scans, bevor Sie die Nachricht zustellen

DeliverMessageAfterScan

Nicht ausgewählt

$false

Ausgewählt

$true

Ausgewählt

$true

Ausgewählt

$true

UrLs nicht neu schreiben, Prüfungen nur über Tresor Links-API durchführen

DisableURLRewrite

Nicht ausgewählt

$false

Ausgewählt

$true

Nicht ausgewählt

$false

Nicht ausgewählt

$false

Die folgenden URLs in E-Mails nicht neu schreiben

DoNotRewriteUrls

Nicht ausgewählt

leer

Nicht ausgewählt

leer

Nicht ausgewählt

leer

Nicht ausgewählt

leer

Wir haben keine spezifische Empfehlung für diese Einstellung. Weitere Informationen finden Sie in den Listen "Die folgenden URLs nicht neu schreiben" in Tresor Linksrichtlinien.
Aktion für potenziell schädliche URLs in Microsoft Teams
On: Tresor Links checks a list of known, malicious links when users click links in Microsoft Teams

EnableSafeLinksForTeams

Nicht ausgewählt

$false

Ausgewählt

$true

Ausgewählt

$true

Ausgewählt

$true

Klicken Sie auf "Schutzeinstellungen".
Nachverfolgen von Benutzerklicks

TrackUserClicks

Ausgewählt

$true

Ausgewählt

$true

Ausgewählt

$true

Ausgewählt

$true

Zulassen, dass Benutzer auf die ursprüngliche URL klicken

AllowClickThrough

Ausgewählt

$true

Ausgewählt

$true

Nicht ausgewählt

$false

Nicht ausgewählt

$false

Durch Deaktivieren dieser Einstellung ( Festlegen von AllowClickThrough auf $false) wird das Durchklicken auf die ursprüngliche URL verhindert.
Anzeigen des Organisationsbrandings auf Benachrichtigungs- und Warnseiten

EnableOrganizationBranding

Nicht ausgewählt

$false

Nicht ausgewählt

$false

Nicht ausgewählt

$false

Nicht ausgewählt

$false

Wir haben keine spezifische Empfehlung für diese Einstellung.

Bevor Sie diese Einstellung aktivieren, müssen Sie die Anweisungen unter Anpassen des Microsoft 365 Designs für Ihre Organisation befolgen, um Ihr Firmenlogo hochzuladen.

Benachrichtigung
Wie möchten Sie Ihre Benutzer benachrichtigen? Verwenden des Standardbenachrichtigungstexts Verwenden des Standardbenachrichtigungstexts Verwenden des Standardbenachrichtigungstexts Verwenden des Standardbenachrichtigungstexts Wir haben keine spezifische Empfehlung für diese Einstellung.

Sie können benutzerdefinierten Benachrichtigungstext (CustomNotificationText) verwenden auswählen, um benutzerdefinierten Benachrichtigungstext einzugeben. Sie können auch Microsoft Translator für die automatische Lokalisierung (UseTranslatedNotificationText) auswählen, um den benutzerdefinierten Benachrichtigungstext in die Sprache des Benutzers zu übersetzen.