Empfohlene Einstellungen für EOP und Microsoft Defender für Office 365 Security
Tipp
Wussten Sie, dass Sie die Features in Microsoft 365 Defender für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender für Office 365-Testversion im Microsoft 365 Defender Portal-Testversionen-Hub. Erfahren Sie hier, wer sich registrieren und testen kann.
Gilt für
- Exchange Online Protection
- Microsoft Defender für Office 365 Plan 1 und Plan 2
- Microsoft 365 Defender
Exchange Online Protection (EOP) ist der Kern der Sicherheit für Microsoft 365 Abonnements und trägt dazu bei, dass böswillige E-Mails die Posteingänge Ihrer Mitarbeiter nicht erreichen. Da jedoch täglich neue, komplexere Angriffe entstehen, sind häufig verbesserte Schutzmaßnahmen erforderlich. Microsoft Defender für Office 365 Plan 1 oder Plan 2 enthalten zusätzliche Features, die Administratoren mehr Sicherheits-, Kontroll- und Untersuchungsebenen bieten.
Obwohl wir Sicherheitsadministratoren in die Lage versetzen, ihre Sicherheitseinstellungen anzupassen, gibt es zwei Sicherheitsstufen in EOP und Microsoft Defender für Office 365, die wir empfehlen: Standard und Strict. Obwohl kundenbezogene Umgebungen und Anforderungen unterschiedlich sind, können diese Filterebenen verhindern, dass unerwünschte E-Mails in den meisten Situationen den Posteingang Ihrer Mitarbeiter erreichen.
Informationen zum automatischen Anwenden der Standard- oder Strengen Einstellungen auf Benutzer finden Sie unter "Voreingestellte Sicherheitsrichtlinien" in EOP und Microsoft Defender für Office 365.
In diesem Artikel werden die Standardeinstellungen sowie die empfohlenen Standard- und Strengen Einstellungen beschrieben, um Ihre Benutzer zu schützen. Die Tabellen enthalten die Einstellungen im Microsoft 365 Defender-Portal und powerShell (Exchange Online PowerShell oder eigenständige Exchange Online Protection PowerShell für Organisationen ohne Exchange Online Postfächer).
Hinweis
Das Office 365 Advanced Threat Protection Recommended Configuration Analyzer (ORCA)-Modul für PowerShell kann Ihnen (Administratoren) helfen, die aktuellen Werte dieser Einstellungen zu finden. Insbesondere generiert das Cmdlet "Get-ORCAReport" eine Bewertung der Einstellungen für Antispam, Antiphishing und andere Nachrichtenhygiene. Sie können das ORCA-Modul unter https://www.powershellgallery.com/packages/ORCA/herunterladen.
In Microsoft 365 Organisationen wird empfohlen, den Junk-E-Mail-Filter in Outlook auf "Keine automatische Filterung" festzulegen, um unnötige Konflikte (sowohl positive als auch negative) mit den Spamfilterbewertungen von EOP zu verhindern. Weitere Informationen finden Sie in den folgenden Artikeln:
Antispam-, Antischadsoftware- und Antiphishingschutz in EOP
Antispam, Antischadsoftware und Antiphishing sind EOP-Features, die von Administratoren konfiguriert werden können. Wir empfehlen die folgenden Standard- oder Strict-Konfigurationen.
EOP-Antispamrichtlinieneinstellungen
Informationen zum Erstellen und Konfigurieren von Antispamrichtlinien finden Sie unter Konfigurieren von Antispamrichtlinien in EOP.
| Name des Sicherheitsfeatures | Standard | Standard | Streng | Kommentar |
|---|---|---|---|---|
| Schwellenwert für Massen-E-Mails & Spameigenschaften | ||||
| Schwellenwert für Massen-E-Mails BulkThreshold |
7 | 6 | 4 | Ausführliche Informationen finden Sie unter Bulk Complaint Level (BCL) in EOP. |
| MarkAsSpamBulkMail | On |
On |
On |
Diese Einstellung ist nur in PowerShell verfügbar. |
| Erhöhen der Spambewertungseinstellungen | Off | Off | Off | Alle diese Einstellungen sind Teil des erweiterten Spamfilters (Advanced Spam Filter, ASF). Weitere Informationen finden Sie im Abschnitt " ASF-Einstellungen in Antispamrichtlinien " in diesem Artikel. |
| Als Spameinstellungen markieren | Off | Off | Off | Die meisten dieser Einstellungen sind Teil von ASF. Weitere Informationen finden Sie im Abschnitt " ASF-Einstellungen in Antispamrichtlinien " in diesem Artikel. |
| Enthält bestimmte Sprachen EnableLanguageBlockList LanguageBlockList |
Aus Leer |
Aus Leer |
Aus Leer |
Wir haben keine spezifische Empfehlung für diese Einstellung. Sie können Nachrichten in bestimmten Sprachen basierend auf Ihren geschäftlichen Anforderungen blockieren. |
| Aus diesen Ländern EnableRegionBlockList RegionBlockList |
Aus Leer |
Aus Leer |
Aus Leer |
Wir haben keine spezifische Empfehlung für diese Einstellung. Sie können Nachrichten aus bestimmten Ländern basierend auf Ihren Geschäftlichen Anforderungen blockieren. |
| Testmodus (TestModeAction) | Keine | Keine | Keine | Diese Einstellung ist Teil von ASF. Weitere Informationen finden Sie im Abschnitt " ASF-Einstellungen in Antispamrichtlinien " in diesem Artikel. |
| Aktionen | Unabhängig davon, wo Sie die Nachricht "Quarantäne" auswählen, ist ein Feld "Quarantänerichtlinie auswählen " verfügbar. Quarantänerichtlinien definieren, was Benutzer für isolierte Nachrichten tun dürfen. Standardmäßige und strenge voreingestellte Sicherheitsrichtlinien verwenden die Standardquarantänerichtlinien (AdminOnlyAccessPolicy oder DefaultFullAccessPolicy ohne Quarantänebenachrichtigungen), wie in der folgenden Tabelle beschrieben. Wenn Sie eine neue Antispamrichtlinie erstellen, bedeutet ein leerer Wert, dass die Standardquarantänerichtlinie verwendet wird, um die historischen Funktionen für Nachrichten zu definieren, die von dieser bestimmten Bewertung isoliert wurden (AdminOnlyAccessPolicy ohne Quarantänebenachrichtigungen für Phishing mit hoher Vertrauenswürdigkeit; DefaultFullAccessPolicy ohne Quarantänebenachrichtigungen für alles andere). Administratoren können benutzerdefinierte Quarantänerichtlinien erstellen und auswählen, die restriktivere oder weniger restriktive Funktionen für Benutzer in den Standard- oder benutzerdefinierten Antispamrichtlinien definieren. Weitere Informationen finden Sie unter Quarantänerichtlinien. |
|||
| Spamerkennungsaktion SpamAction |
Nachricht in Junk-E-Mail-Ordner verschieben |
Nachricht in Junk-E-Mail-Ordner verschieben |
Nachricht in Quarantäne verschieben |
|
| Spamerkennungsaktion mit hoher Vertrauenswürdigkeit HighConfidenceSpamAction |
Nachricht in Junk-E-Mail-Ordner verschieben |
Nachricht in Quarantäne verschieben |
Nachricht in Quarantäne verschieben |
|
| Phishingerkennungsaktion PhishSpamAction |
Verschieben einer Nachricht in den Junk-E-Mail-Ordner* |
Nachricht in Quarantäne verschieben |
Nachricht in Quarantäne verschieben |
* Der Standardwert ist "Nachricht in Junk-E-Mail-Ordner verschieben " in der Standard-Antispamrichtlinie und in neuen Antispamrichtlinien, die Sie in PowerShell erstellen. Der Standardwert ist die Quarantänenachricht in neuen Antispamrichtlinien, die Sie im Microsoft 365 Defender Portal erstellen. |
| Phishingerkennungsaktion mit hoher Vertrauenswürdigkeit HighConfidencePhishAction |
Nachricht in Quarantäne verschieben |
Nachricht in Quarantäne verschieben |
Nachricht in Quarantäne verschieben |
|
| Massenerkennungsaktion BulkSpamAction |
Nachricht in Junk-E-Mail-Ordner verschieben |
Nachricht in Junk-E-Mail-Ordner verschieben |
Nachricht in Quarantäne verschieben |
|
| Aufbewahren von Spam in Quarantäne für diese vielen Tage QuarantineRetentionPeriod |
15 Tage* | 30 Tage | 30 Tage | * Der Standardwert ist 15 Tage in der Standard-Antispamrichtlinie und in neuen Antispamrichtlinien, die Sie in PowerShell erstellen. Der Standardwert ist 30 Tage in den neuen Antispamrichtlinien, die Sie im Microsoft 365 Defender-Portal erstellen. Dieser Wert wirkt sich auch auf Nachrichten aus, die durch Antiphishingrichtlinien unter Quarantäne gesetzt werden. Weitere Informationen finden Sie unter E-Mail-Nachrichten in Quarantäne in EOP. |
| Aktivieren von Tipps zur Spamsicherheit InlineSafetyTipsEnabled |
Ausgewählt |
Ausgewählt |
Ausgewählt |
|
| Aktivieren der automatischen Bereinigung (Zero-Hour Auto Purge, ZAP) für Phishingnachrichten PhishZapEnabled |
Ausgewählt |
Ausgewählt |
Ausgewählt |
|
| Aktivieren von ZAP für Spamnachrichten SpamZapEnabled |
Ausgewählt |
Ausgewählt |
Ausgewählt |
|
| & Blockliste zulassen | ||||
| Zulässige Absender AllowedSenders |
Keine | Keine | Keine | |
| Zulässige Absenderdomänen Allowedsenderdomains |
Keine | Keine | Keine | Das Hinzufügen von Domänen zur Liste zulässiger Absender ist eine sehr schlechte Idee. Angreifer könnten Ihnen E-Mails senden, die andernfalls herausgefiltert würden. Verwenden Sie den Einblick in die Spoofintelligenz und die Mandanten-Zulassungs-/Sperrliste , um alle Absender zu überprüfen, die E-Mail-Adressen von Absendern in den E-Mail-Domänen Ihrer Organisation spoofieren oder E-Mail-Adressen von Absendern in externen Domänen spoofieren. |
| Blockierte Absender BlockedSenders |
Keine | Keine | Keine | |
| Blockierte Absenderdomänen BlockedSenderDomains |
Keine | Keine | Keine |
ASF-Einstellungen in Antispamrichtlinien
In der Tabelle in diesem Abschnitt werden die ASF-Einstellungen (Advanced Spam Filter) beschrieben, die in Antispamrichtlinien verfügbar sind. Alle diese Einstellungen sind für die Standard- und strict-Ebene deaktiviert. Weitere Informationen zu ASF-Einstellungen finden Sie unter Advanced Spam Filter (ASF) settings in EOP.
| Name des Sicherheitsfeatures | Kommentar |
|---|---|
| Bildlinks zu Remotewebsites (IncreaseScoreWithImageLinks) | |
| Numerische IP-Adresse in URL (IncreaseScoreWithNumericIps) | |
| URL-Umleitung an anderen Port (IncreaseScoreWithRedirectToOtherPort) | |
| Links zu .biz- oder .info-Websites (IncreaseScoreWithBizOrInfoUrls) | |
| Leere Nachrichten (MarkAsSpamEmptyMessages) | |
| Einbetten von Tags in HTML (MarkAsSpamEmbedTagsInHtml) | |
| JavaScript oder VBScript in HTML (MarkAsSpamJavaScriptInHtml) | |
| Formulartags in HTML (MarkAsSpamFormTagsInHtml) | |
| Frame- oder iframe-Tags in HTML (MarkAsSpamFramesInHtml) | |
| Webfehler in HTML (MarkAsSpamWebBugsInHtml) | |
| Objekttags in HTML (MarkAsSpamObjectTagsInHtml) | |
| Vertrauliche Wörter (MarkAsSpamSensitiveWordList) | |
| SPF-Eintrag: harter Fehler (MarkAsSpamSpfRecordHardFail) | |
| Fehler beim Filtern der Absender-ID (MarkAsSpamFromAddressAuthFail) | |
| Backscatter (MarkAsSpamNdrBackscatter) | |
| Testmodus (TestModeAction) | Für ASF-Einstellungen, die Test als Aktion unterstützen, können Sie die Testmodusaktion auf "Keine" konfigurieren, standardmäßigen X-Header-Text hinzufügen oder Bcc-Nachricht senden (None, AddXHeaderoder BccMessage). Weitere Informationen finden Sie unter Aktivieren, Deaktivieren oder Testen von ASF-Einstellungen. |
EOP-Richtlinieneinstellungen für ausgehende Spamnachrichten
Informationen zum Erstellen und Konfigurieren ausgehender Spamrichtlinien finden Sie unter Konfigurieren der Filterung ausgehender Spamnachrichten in EOP.
Weitere Informationen zu den standardmäßigen Sendegrenzwerten im Dienst finden Sie unter Sendegrenzwerte.
Hinweis
Ausgehende Spamrichtlinien sind nicht Teil der standard- oder streng voreingestellten Sicherheitsrichtlinien. Die Werte "Standard " und " Streng " geben unsere empfohlenen Werte in der standardmäßigen ausgehenden Spamrichtlinie oder benutzerdefinierten ausgehenden Spamrichtlinien an, die Sie erstellen.
| Name des Sicherheitsfeatures | Default | Empfohlen Standard |
Empfohlen Streng |
Kommentar |
|---|---|---|---|---|
| Festlegen eines Grenzwerts für externe Nachrichten RecipientLimitExternalPerHour |
0 | 500 | 400 | Der Standardwert 0 bedeutet, dass die Dienststandardwerte verwendet werden. |
| Festlegen eines internen Nachrichtenlimits RecipientLimitInternalPerHour |
0 | 1000 | 800 | Der Standardwert 0 bedeutet, dass die Dienststandardwerte verwendet werden. |
| Festlegen eines täglichen Nachrichtenlimits RecipientLimitPerDay |
0 | 1000 | 800 | Der Standardwert 0 bedeutet, dass die Dienststandardwerte verwendet werden. |
| Einschränkung für Benutzer, die das Nachrichtenlimit erreichen ActionWhenThresholdReached |
Einschränken des Sendens von E-Mails durch den Benutzer bis zum folgenden Tag |
Benutzer am Senden von E-Mails hindern |
Benutzer am Senden von E-Mails hindern |
|
| Regeln für die automatische Weiterleitung AutoForwardingMode |
Automatisch - Systemgesteuert |
Automatisch - Systemgesteuert |
Automatisch - Systemgesteuert |
|
| Senden einer Kopie ausgehender Nachrichten, die diese Grenzwerte überschreiten, an diese Benutzer und Gruppen BccSuspiciousOutboundMail BccSuspiciousOutboundAdditionalRecipients |
Nicht ausgewählt Leer |
Nicht ausgewählt Leer |
Nicht ausgewählt Leer |
Wir haben keine spezifische Empfehlung für diese Einstellung. Diese Einstellung funktioniert nur in der standardmäßigen ausgehenden Spamrichtlinie. Es funktioniert nicht in benutzerdefinierten ausgehenden Spamrichtlinien, die Sie erstellen. |
| Diese Benutzer und Gruppen benachrichtigen, wenn ein Absender aufgrund des Sendens von ausgehendem Spam blockiert ist NotifyOutboundSpam NotifyOutboundSpamRecipients |
Nicht ausgewählt Leer |
Nicht ausgewählt Leer |
Nicht ausgewählt Leer |
Die Standardbenachrichtigungsrichtlinie mit dem Namen "Benutzer, der auf das Senden von E-Mails beschränkt ist" sendet bereits E-Mail-Benachrichtigungen an Mitglieder der Gruppe TenantAdmins (Globale Administratoren), wenn Benutzer aufgrund der Überschreitung der Grenzwerte in der Richtlinie blockiert werden. Es wird dringend empfohlen, die Warnungsrichtlinie anstelle dieser Einstellung in der ausgehenden Spamrichtlinie zu verwenden, um Administratoren und andere Benutzer zu benachrichtigen. Anweisungen finden Sie unter Überprüfen der Warnungseinstellungen für eingeschränkte Benutzer. |
EOP-Richtlinieneinstellungen für Antischadsoftware
Informationen zum Erstellen und Konfigurieren von Antischadsoftwarerichtlinien finden Sie unter Konfigurieren von Antischadsoftwarerichtlinien in EOP.
| Name des Sicherheitsfeatures | Standard | Standard | Streng | Kommentar |
|---|---|---|---|---|
| Schutzeinstellungen | ||||
| Aktivieren des Filters für allgemeine Anlagen EnableFileFilter |
Nicht ausgewählt |
Ausgewählt |
Ausgewählt |
Diese Einstellung isoliert Nachrichten, die ausführbare Anlagen basierend auf dem Dateityp enthalten, unabhängig vom Anlageninhalt. |
| Aktivieren der automatischen Bereinigung zur Nullstunde für Schadsoftware ZapEnabled |
Ausgewählt |
Ausgewählt |
Ausgewählt |
|
| Quarantänerichtlinie | AdminOnlyAccessPolicy | AdminOnlyAccessPolicy | AdminOnlyAccessPolicy | Wenn Sie eine neue Antischadsoftwarerichtlinie erstellen, bedeutet ein leerer Wert, dass die Standardquarantänerichtlinie verwendet wird, um die historischen Funktionen für Nachrichten zu definieren, die als Schadsoftware isoliert wurden (AdminOnlyAccessPolicy ohne Quarantänebenachrichtigungen). Standardmäßige und strenge voreingestellte Sicherheitsrichtlinien verwenden die Standardquarantänerichtlinie (AdminOnlyAccessPolicy ohne Quarantänebenachrichtigungen), wie in der folgenden Tabelle beschrieben. Administratoren können benutzerdefinierte Quarantänerichtlinien erstellen und auswählen, die weitere Funktionen für Benutzer in den Standard- oder benutzerdefinierten Antischadsoftwarerichtlinien definieren. Weitere Informationen finden Sie unter Quarantänerichtlinien. |
| Empfängerbenachrichtigungen | ||||
| Benachrichtigen von Empfängern, wenn Nachrichten als Schadsoftware in Quarantäne gesetzt werden Aktion |
Nicht ausgewählt DeleteMessage |
Nicht ausgewählt DeleteMessage |
Nicht ausgewählt DeleteMessage |
Wenn Schadsoftware in einer E-Mail-Anlage erkannt wird, wird die Nachricht unter Quarantäne gesetzt und kann nur von einem Administrator freigegeben werden. |
| Absenderbenachrichtigungen | ||||
| Benachrichtigen interner Absender, wenn Nachrichten als Schadsoftware in Quarantäne gesetzt werden EnableInternalSenderNotifications |
Nicht ausgewählt |
Nicht ausgewählt |
Nicht ausgewählt |
|
| Benachrichtigen externer Absender, wenn Nachrichten als Schadsoftware isoliert werden EnableExternalSenderNotifications |
Nicht ausgewählt |
Nicht ausgewählt |
Nicht ausgewählt |
|
| Admin Benachrichtigungen | ||||
| Benachrichtigen eines Administrators über nicht zugestellte Nachrichten von internen Absendern EnableInternalSenderAdminNotifications InternalSenderAdminAddress |
Nicht ausgewählt |
Nicht ausgewählt |
Nicht ausgewählt |
Wir haben keine spezifische Empfehlung für diese Einstellung. |
| Benachrichtigen eines Administrators über nicht zugestellte Nachrichten von externen Absendern EnableExternalSenderAdminNotifications ExternalSenderAdminAddress |
Nicht ausgewählt |
Nicht ausgewählt |
Nicht ausgewählt |
Wir haben keine spezifische Empfehlung für diese Einstellung. |
| Anpassen von Benachrichtigungen | Wir haben keine spezifischen Empfehlungen für diese Einstellungen. | |||
| Verwenden von benutzerdefiniertem Benachrichtigungstext CustomNotifications |
Nicht ausgewählt |
Nicht ausgewählt |
Nicht ausgewählt |
|
| Von Name CustomFromName |
Leer |
Leer |
Leer |
|
| "Von"-Adresse CustomFromAddress |
Leer |
Leer |
Leer |
|
| Anpassen von Benachrichtigungen für Nachrichten von internen Absendern | Diese Einstellungen werden nur verwendet, wenn interne Absender benachrichtigt werden, wenn Nachrichten als Schadsoftware isoliert werden , oder wenn ein Administrator über nicht zugestellte Nachrichten von internen Absendern benachrichtigt wird. | |||
| Betreff CustomInternalSubject |
Leer |
Leer |
Leer |
|
| Nachricht CustomInternalBody |
Leer |
Leer |
Leer |
|
| Anpassen von Benachrichtigungen für Nachrichten von externen Absendern | Diese Einstellungen werden nur verwendet, wenn externe Absender benachrichtigt werden, wenn Nachrichten als Schadsoftware isoliert werden , oder wenn ein Administrator über nicht zugestellte Nachrichten von externen Absendern benachrichtigt wird. | |||
| Betreff CustomExternalSubject |
Leer |
Leer |
Leer |
|
| Nachricht CustomExternalBody |
Leer |
Leer |
Leer |
Einstellungen für EOP-Antiphishingrichtlinien
Weitere Informationen zu diesen Einstellungen finden Sie unter Spoof-Einstellungen. Informationen zum Konfigurieren dieser Einstellungen finden Sie unter Konfigurieren von Antiphishingrichtlinien in EOP.
Die Spoof-Einstellungen sind interreligiöse, aber die Einstellung "Ersten Kontakt anzeigen Sicherheitstipp" ist nicht von Spoof-Einstellungen abhängig.
| Name des Sicherheitsfeatures | Standard | Standard | Streng | Kommentar |
|---|---|---|---|---|
| Phishingschwellenwert & Schutz | ||||
| Spoofingintelligenz aktivieren EnableSpoofIntelligence |
Ausgewählt |
Ausgewählt |
Ausgewählt |
|
| Aktionen | ||||
| Wenn Nachricht als Spoof erkannt wird AuthenticationFailAction |
Verschieben einer Nachricht in die Junk-E-Mail-Ordner der Empfänger |
Verschieben einer Nachricht in die Junk-E-Mail-Ordner der Empfänger |
Quarantäne der Nachricht |
Diese Einstellung gilt für spoofierte Absender, die automatisch blockiert wurden, wie im Einblick in die Spoofintelligenz gezeigt oder manuell in der Zulassungs-/Sperrliste des Mandanten blockiert wurden. Wenn Sie die Nachricht unter Quarantäne stellen, ist ein Feld "Quarantänerichtlinie anwenden " verfügbar, um die Quarantänerichtlinie auszuwählen, die definiert, was Benutzer mit Nachrichten tun dürfen, die als Spoofing unter Quarantäne gestellt werden. Wenn Sie eine neue Antiphishingrichtlinie erstellen, bedeutet ein leerer Wert, dass die Standardquarantänerichtlinie verwendet wird, um die historischen Funktionen für Nachrichten zu definieren, die als Spoofing isoliert wurden (DefaultFullAccessPolicy ohne Quarantänebenachrichtigungen). Standardmäßige und strenge voreingestellte Sicherheitsrichtlinien verwenden die Standardquarantänerichtlinie (DefaultFullAccessPolicy ohne Quarantänebenachrichtigungen), wie in der folgenden Tabelle beschrieben. Administratoren können benutzerdefinierte Quarantänerichtlinien erstellen und auswählen, die restriktivere oder weniger restriktive Funktionen für Benutzer in den Standard- oder benutzerdefinierten Antiphishingrichtlinien definieren. Weitere Informationen finden Sie unter Quarantänerichtlinien. |
| Ersten Kontakt anzeigen Sicherheitstipp EnableFirstContactSafetyTips |
Nicht ausgewählt |
Nicht ausgewählt |
Nicht ausgewählt |
Weitere Informationen finden Sie unter "First contact Sicherheitstipp". |
| Anzeigen (?) für nicht authentifizierte Absender für Spoof EnableUnauthenticatedSender |
Ausgewählt |
Ausgewählt |
Ausgewählt |
Fügt dem Foto des Absenders in Outlook für nicht identifizierte gefälschte Absender ein Fragezeichen (?) hinzu. Weitere Informationen finden Sie unter Indikatoren für nicht authentifizierte Absender. |
| Tag "via" anzeigen EnableViaTag |
Ausgewählt |
Ausgewählt |
Ausgewählt |
Fügt der Absenderadresse ein Via-Tag (chris@contoso.com über fabrikam.com) hinzu, wenn es sich von der Domäne in der DKIM-Signatur oder der MAIL FROM-Adresse unterscheidet. Weitere Informationen finden Sie unter Indikatoren für nicht authentifizierte Absender. |
Microsoft Defender für Office 365 Sicherheit
Zusätzliche Sicherheitsvorteile bieten ein Microsoft Defender für Office 365-Abonnement. Die neuesten Neuigkeiten und Informationen finden Sie unter Neuigkeiten in Defender für Office 365.
Wichtig
Die standardmäßige Antiphishingrichtlinie in Microsoft Defender für Office 365 bietet Spoofingschutz und Postfachintelligenz für alle Empfänger. Die anderen verfügbaren Identitätswechselschutzfeatures und erweiterten Einstellungen sind jedoch in der Standardrichtlinie nicht konfiguriert oder aktiviert. Um alle Schutzfunktionen zu aktivieren, ändern Sie die Standard-Antiphishingrichtlinie, oder erstellen Sie zusätzliche Antiphishingrichtlinien.
Obwohl es keine Standardrichtlinie für Tresor Anlagen oder Tresor Links gibt, bietet die vordefinierte Sicherheitsrichtlinie für integrierten Schutz Tresor Anlagenschutz und Tresor Linksschutz für Empfänger, die noch nicht in benutzerdefinierten Richtlinien für Tresor Anlagen oder Tresor Links enthalten sind. Weitere Informationen finden Sie unter "Voreingestellte Sicherheitsrichtlinien" in EOP und Microsoft Defender für Office 365.
Tresor Anlagen für SharePoint, OneDrive und Microsoft Teams- und Tresor Dokumentschutz sind nicht von Tresor Linksrichtlinien abhängig.
Wenn Ihr Abonnement Microsoft Defender für Office 365 enthält oder Sie Defender für Office 365 als Add-On erworben haben, legen Sie die folgenden Standard- oder Strict-Konfigurationen fest.
Antiphishingrichtlinieneinstellungen in Microsoft Defender für Office 365
EOP-Kunden erhalten grundlegendes Antiphishing wie zuvor beschrieben, aber Defender für Office 365 umfasst mehr Features und Kontrolle, um Angriffe zu verhindern, zu erkennen und zu beheben. Informationen zum Erstellen und Konfigurieren dieser Richtlinien finden Sie unter Konfigurieren von Antiphishingrichtlinien in Defender für Office 365.
Erweiterte Einstellungen in Antiphishingrichtlinien in Microsoft Defender für Office 365
Weitere Informationen zu dieser Einstellung finden Sie unter Advanced phishing thresholds in anti-phishing policies in Microsoft Defender für Office 365. Informationen zum Konfigurieren dieser Einstellung finden Sie unter Konfigurieren von Antiphishingrichtlinien in Defender für Office 365.
| Name des Sicherheitsfeatures | Standard | Standard | Streng | Kommentar |
|---|---|---|---|---|
| Phishing-E-Mail-Schwellenwert PhishThresholdLevel |
1 - Standard |
2 - Aggressiv |
3 - Aggressiver |
Identitätswechseleinstellungen in Antiphishingrichtlinien in Microsoft Defender für Office 365
Weitere Informationen zu diesen Einstellungen finden Sie unter Identitätswechseleinstellungen in Antiphishingrichtlinien in Microsoft Defender für Office 365. Informationen zum Konfigurieren dieser Einstellungen finden Sie unter Konfigurieren von Antiphishingrichtlinien in Defender für Office 365.
| Name des Sicherheitsfeatures | Standard | Standard | Streng | Kommentar |
|---|---|---|---|---|
| Phishingschwellenwert & Schutz | ||||
| Aktivieren des Schutzes von Benutzern (Schutz durch identitätswechselliche Benutzer) EnableTargetedUserProtection TargetedUsersToProtect |
Nicht ausgewählt Keine |
Ausgewählt <list of users> |
Ausgewählt <list of users> |
Es wird empfohlen, Benutzer (Nachrichtensender) in Schlüsselrollen hinzuzufügen. Intern können geschützte Absender Ihr CEO, CFO und andere leitende Führungskräfte sein. Extern könnten geschützte Absender Mitglieder des Rates oder Ihr Verwaltungsrat umfassen. |
| Aktivieren des Schutzes von Domänen (Schutz durch imitierte Domäne) | Nicht ausgewählt | Ausgewählt | Ausgewählt | |
| Domänen einschließen, die ich besitze EnableOrganizationDomainsProtection |
Off |
Ausgewählt |
Ausgewählt |
|
| Benutzerdefinierte Domänen einschließen EnableTargetedDomainsProtection TargetedDomainsToProtect |
Off keine |
Ausgewählt <list of domains> |
Ausgewählt <list of domains> |
Es wird empfohlen, Domänen (Absenderdomänen) hinzuzufügen, die Sie nicht besitzen, aber häufig mit ihnen interagieren. |
| Vertrauenswürdige Absender und Domänen hinzufügen ExcludedSenders ExcludedDomains |
Keine | Keine | Keine | Je nach Organisation wird empfohlen, Absender oder Domänen hinzuzufügen, die fälschlicherweise als Identitätswechselversuche identifiziert wurden. |
| Aktivieren der Postfachintelligenz EnableMailboxIntelligence |
Ausgewählt |
Ausgewählt |
Ausgewählt |
|
| Aktivieren von Intelligenz für identitätswechselschutz EnableMailboxIntelligenceProtection |
Off |
Ausgewählt |
Ausgewählt |
Diese Einstellung ermöglicht die angegebene Aktion für Identitätswechselerkennungen nach Postfachintelligenz. |
| Aktionen | Überall dort, wo Sie die Nachricht unter Quarantäne stellen, ist ein Feld "Quarantänerichtlinie auswählen " verfügbar. Quarantänerichtlinien definieren, was Benutzer für isolierte Nachrichten tun dürfen. Standardmäßige und strenge voreingestellte Sicherheitsrichtlinien verwenden die Standardquarantänerichtlinie (DefaultFullAccessPolicy ohne Quarantänebenachrichtigungen), wie in der folgenden Tabelle beschrieben. Wenn Sie eine neue Antiphishingrichtlinie erstellen, bedeutet ein leerer Wert, dass die Standardquarantänerichtlinie verwendet wird, um die historischen Funktionen für Nachrichten zu definieren, die von dieser Bewertung isoliert wurden (DefaultFullAccessPolicy für alle Identitätswechselerkennungstypen). Administratoren können benutzerdefinierte Quarantänerichtlinien erstellen und auswählen, die weniger restriktive oder restriktivere Funktionen für Benutzer in den Standard- oder benutzerdefinierten Antiphishingrichtlinien definieren. Weitere Informationen finden Sie unter Quarantänerichtlinien. |
|||
| Wenn die Nachricht als imitierter Benutzer erkannt wird TargetedUserProtectionAction |
Keine Aktion anwenden |
Quarantäne der Nachricht |
Quarantäne der Nachricht |
|
| Wenn die Nachricht als imitierte Domäne erkannt wird TargetedDomainProtectionAction |
Keine Aktion anwenden |
Quarantäne der Nachricht |
Quarantäne der Nachricht |
|
| Wenn Postfachintelligenz benutzeridentitierte Benutzer erkennt und imitiert MailboxIntelligenceProtectionAction |
Keine Aktion anwenden |
Verschieben einer Nachricht in die Junk-E-Mail-Ordner der Empfänger |
Quarantäne der Nachricht |
|
| Benutzeridentitätswechsel anzeigen Sicherheitstipp EnableSimilarUsersSafetyTips |
Off |
Ausgewählt |
Ausgewählt |
|
| Sicherheitstipp für Domänenidentitätswechsel anzeigen EnableSimilarDomainsSafetyTips |
Off |
Ausgewählt |
Ausgewählt |
|
| Anzeigen ungewöhnlicher Zeichen des Benutzeridentitätswechsels Sicherheitstipp EnableUnusualCharactersSafetyTips |
Off |
Ausgewählt |
Ausgewählt |
EOP-Antiphishingrichtlinieneinstellungen in Microsoft Defender für Office 365
Dies sind die gleichen Einstellungen, die in den Antispamrichtlinieneinstellungen in EOP verfügbar sind.
Einstellungen für Tresor Anlagen
Tresor Anlagen in Microsoft Defender für Office 365 enthält globale Einstellungen, die keine Beziehung zu Tresor Anlagenrichtlinien haben, sowie Einstellungen, die für jede Tresor Linksrichtlinie spezifisch sind. Weitere Informationen finden Sie unter Tresor Anlagen in Defender für Office 365.
Obwohl es keine Standardrichtlinie für Tresor Anlagen gibt, bietet die voreingestellte Sicherheitsrichtlinie für integrierten Schutz allen Empfängern, die noch nicht in benutzerdefinierten Tresor Anlagenrichtlinien enthalten sind, Tresor Anlagenschutz. Weitere Informationen finden Sie unter "Voreingestellte Sicherheitsrichtlinien" in EOP und Microsoft Defender für Office 365.
Globale Einstellungen für Tresor Anlagen
Hinweis
Die globalen Einstellungen für Tresor Anlagen werden durch die vordefinierte Sicherheitsrichtlinie für integrierten Schutz festgelegt, jedoch nicht durch die voreingestellten Standard- oder Strengen Sicherheitsrichtlinien. In beiden Fällen können Administratoren diese einstellungen für globale Tresor Anlagen jederzeit ändern.
In der Spalte "Standard" werden die Werte vor dem Vorhandensein der vordefinierten Sicherheitsrichtlinie für integrierten Schutz angezeigt. In der Spalte " Integrierter Schutz " werden die Werte angezeigt, die von der vordefinierten Sicherheitsrichtlinie für integrierten Schutz festgelegt werden. Dies sind auch unsere empfohlenen Werte.
Informationen zum Konfigurieren dieser Einstellungen finden Sie unter Aktivieren Tresor Anlagen für SharePoint, OneDrive und Microsoft Teams und Tresor von Dokumenten in Microsoft 365 E5.
In PowerShell verwenden Sie das Cmdlet Set-AtpPolicyForO365 für diese Einstellungen.
| Name des Sicherheitsfeatures | Default | Integrierter Schutz | Kommentar |
|---|---|---|---|
| Defender für Office 365 für SharePoint, OneDrive und Microsoft Teams aktivieren EnableATPForSPOTeamsODB |
Off |
Ein |
Informationen zum Verhindern, dass Benutzer schädliche Dateien herunterladen, finden Sie unter Verwenden von SharePoint Online PowerShell, um zu verhindern, dass Benutzer schädliche Dateien herunterladen. |
| Aktivieren Tresor Dokumente für Office Clients EnableSafeDocs |
Off |
Ein |
Dieses Feature ist nur für Lizenzen verfügbar und aussagekräftig, die nicht in Defender für Office 365 enthalten sind (z. B. Microsoft 365 E5 oder Microsoft 365 E5 Security). Weitere Informationen finden Sie unter Tresor Dokumente in Microsoft 365 E5. |
| Zulassen, dass Personen durch die geschützte Ansicht klicken, auch wenn Tresor Dokumente die Datei als bösartig identifiziert haben AllowSafeDocsOpen |
Off |
Off |
Diese Einstellung bezieht sich auf Tresor Dokumente. |
Richtlinieneinstellungen für Tresor Anlagen
Informationen zum Konfigurieren dieser Einstellungen finden Sie unter Einrichten Tresor Anlagenrichtlinien in Defender für Office 365.
In PowerShell verwenden Sie die Cmdlets New-SafeAttachmentPolicy und Set-SafeAttachmentPolicy für diese Einstellungen.
Hinweis
Wie weiter oben beschrieben, gibt es keine Standardmäßige Tresor Anlagenrichtlinie, aber Tresor Anlagenschutz wird allen Empfängern durch die vordefinierte Sicherheitsrichtlinie für integrierten Schutz zugewiesen.
Der Standardwert in der benutzerdefinierten Spalte bezieht sich auf die Standardwerte in neuen Tresor Anlagenrichtlinien, die Sie erstellen. Die verbleibenden Spalten geben (sofern nicht anders angegeben) die Werte an, die in den entsprechenden voreingestellten Sicherheitsrichtlinien konfiguriert sind.
| Name des Sicherheitsfeatures | Standard in "Benutzerdefiniert" | Integrierter Schutz | Standard | Streng | Kommentar |
|---|---|---|---|---|---|
| Tresor Anlagen unbekannte Schadsoftwareantwort Aktivieren und Aktion |
Aus |
Blockieren |
Blockieren |
Blockieren |
Wenn der Parameter "Enable" $false ist, spielt der Wert des Action-Parameters keine Rolle. |
| Quarantänerichtlinie (QuarantineTag) | AdminOnlyAccessPolicy | AdminOnlyAccessPolicy | AdminOnlyAccessPolicy | AdminOnlyAccessPolicy | Standardmäßige und strenge voreingestellte Sicherheitsrichtlinien verwenden die Standardquarantänerichtlinie (AdminOnlyAccessPolicy ohne Quarantänebenachrichtigungen), wie in der folgenden Tabelle beschrieben. Wenn Sie eine neue Tresor Anlagenrichtlinie erstellen, bedeutet ein leerer Wert, dass die Standardquarantänerichtlinie verwendet wird, um die historischen Funktionen für Nachrichten zu definieren, die von Tresor Anlagen isoliert wurden (AdminOnlyAccessPolicy ohne Quarantänebenachrichtigungen). Administratoren können benutzerdefinierte Quarantänerichtlinien erstellen und auswählen, die weitere Funktionen für Benutzer definieren. Weitere Informationen finden Sie unter Quarantänerichtlinien. |
| Umleitungsanlage mit erkannten Anlagen : Umleitung aktivieren Redirect RedirectAddress |
Nicht ausgewählt und keine E-Mail-Adresse angegeben. RedirectAddress ist leer ( |
Nicht ausgewählt und keine E-Mail-Adresse angegeben. RedirectAddress ist leer ( |
Ausgewählt, und geben Sie eine E-Mail-Adresse an. eine E-Mail-Adresse |
Ausgewählt, und geben Sie eine E-Mail-Adresse an. eine E-Mail-Adresse |
Leiten Sie Nachrichten zur Überprüfung an einen Sicherheitsadministrator um. Hinweis: Diese Einstellung ist in den voreingestellten Sicherheitsrichtlinien "Standard", " Streng" oder " Integrierter Schutz " nicht konfiguriert. Die Werte "Standard" und "Streng" geben unsere empfohlenen Werte in neuen Tresor Anlagenrichtlinien an, die Sie erstellen. |
| Anwenden der Erkennungsantwort für Tresor Anlagen, wenn die Überprüfung nicht abgeschlossen werden kann (Timeout oder Fehler) ActionOnError |
Ausgewählt |
Ausgewählt |
Ausgewählt |
Ausgewählt |
Linkseinstellungen Tresor
Tresor Links in Defender für Office 365 enthält globale Einstellungen, die für alle Benutzer gelten, die in aktiven Tresor Links-Richtlinien enthalten sind, sowie Einstellungen, die für jede Tresor Links-Richtlinie spezifisch sind. Weitere Informationen finden Sie unter Tresor Links in Defender für Office 365.
Obwohl es keine Standardrichtlinie für Tresor Links gibt, bietet die vordefinierte Sicherheitsrichtlinie für den integrierten Schutz Tresor Links-Schutz für alle Empfänger (Benutzer, die nicht in benutzerdefinierten Tresor Links-Richtlinien definiert sind). Weitere Informationen finden Sie unter "Voreingestellte Sicherheitsrichtlinien" in EOP und Microsoft Defender für Office 365.
Globale Einstellungen für Tresor Links
Hinweis
Die globalen Einstellungen für Tresor Links werden durch die voreingestellte Sicherheitsrichtlinie für integrierten Schutz festgelegt, jedoch nicht durch die voreingestellten Standard- oder Strengen Sicherheitsrichtlinien. In beiden Fällen können Administratoren diese einstellungen für globale Tresor Links jederzeit ändern.
In der Spalte "Standard" werden die Werte vor dem Vorhandensein der vordefinierten Sicherheitsrichtlinie für integrierten Schutz angezeigt. In der Spalte " Integrierter Schutz " werden die Werte angezeigt, die von der vordefinierten Sicherheitsrichtlinie für integrierten Schutz festgelegt werden. Dies sind auch unsere empfohlenen Werte.
Informationen zum Konfigurieren dieser Einstellungen finden Sie unter Konfigurieren globaler Einstellungen für Tresor Links in Defender für Office 365.
In PowerShell verwenden Sie das Cmdlet Set-AtpPolicyForO365 für diese Einstellungen.
| Name des Sicherheitsfeatures | Default | Integrierter Schutz | Kommentar |
|---|---|---|---|
| Blockieren der folgenden URLs ExcludedUrls |
Leer |
Leer |
Wir haben keine spezifische Empfehlung für diese Einstellung. Weitere Informationen finden Sie in der Liste "Blockieren der folgenden URLs" für Tresor Links. |
| Verwenden Tresor Links in Office 365-Apps EnableSafeLinksForO365Clients |
Ein |
Ein |
Verwenden Sie Tresor Links in unterstützten Office 365 Desktop- und mobilen Apps (iOS und Android). Weitere Informationen finden Sie unter Tresor Linkseinstellungen für Office 365 Apps. |
| Nicht nachverfolgen, wenn Benutzer in Office 365 Apps auf geschützte Links klicken TrackClicks |
Ein |
Off |
Durch Deaktivieren dieser Einstellung (Festlegen von TrackClicks auf $true) werden Benutzerklicks in unterstützten Office 365 Apps nachverfolgt. |
| Benutzer dürfen in Office 365 Apps nicht auf die ursprüngliche URL klicken. AllowClickThrough |
Ein |
Ein |
Wenn Sie diese Einstellung aktivieren (allowClickThrough auf $falsefestlegen), wird verhindert, dass Sie in unterstützten Office 365 Apps auf die ursprüngliche URL klicken. |
Richtlinieneinstellungen für Sichere Links
Informationen zum Konfigurieren dieser Einstellungen finden Sie unter Einrichten Tresor Linksrichtlinien in Microsoft Defender für Office 365.
In PowerShell verwenden Sie die Cmdlets New-SafeLinksPolicy und Set-SafeLinksPolicy für diese Einstellungen.
Hinweis
Wie weiter oben beschrieben, gibt es keine Standardrichtlinie für Tresor Links, aber Tresor Links-Schutz wird allen Empfängern durch die vordefinierte Sicherheitsrichtlinie für integrierten Schutz zugewiesen.
Der Standardwert in der benutzerdefinierten Spalte bezieht sich auf die Standardwerte in neuen Tresor Richtlinien, die Sie erstellen. Die verbleibenden Spalten geben (sofern nicht anders angegeben) die Werte an, die in den entsprechenden voreingestellten Sicherheitsrichtlinien konfiguriert sind.
| Name des Sicherheitsfeatures | Standard in "Benutzerdefiniert" | Integrierter Schutz | Standard | Streng | Kommentar |
|---|---|---|---|---|---|
| URL & Klicken auf Schutzeinstellungen | |||||
| Aktion für potenziell böswillige URLs in E-Mails | |||||
| Ein: Tresor Links überprüft eine Liste bekannter, bösartiger Links, wenn Benutzer auf Links in einer E-Mail klicken EnableSafeLinksForEmail |
Nicht ausgewählt |
Ausgewählt |
Ausgewählt |
Ausgewählt |
|
| Anwenden Tresor Links auf innerhalb der Organisation gesendete E-Mail-Nachrichten EnableForInternalSenders |
Nicht ausgewählt |
Ausgewählt |
Ausgewählt |
Ausgewählt |
|
| Anwenden einer Echtzeit-URL-Überprüfung auf verdächtige Links und Links, die auf Dateien verweisen ScanUrls |
Nicht ausgewählt |
Ausgewählt |
Ausgewählt |
Ausgewählt |
|
| Warten Sie auf den Abschluss des URL-Scans, bevor Sie die Nachricht zustellen DeliverMessageAfterScan |
Nicht ausgewählt |
Ausgewählt |
Ausgewählt |
Ausgewählt |
|
| UrLs nicht neu schreiben, Prüfungen nur über Tresor Links-API durchführen DisableURLRewrite |
Nicht ausgewählt |
Ausgewählt |
Nicht ausgewählt |
Nicht ausgewählt |
|
| Die folgenden URLs in E-Mails nicht neu schreiben DoNotRewriteUrls |
Nicht ausgewählt leer |
Nicht ausgewählt leer |
Nicht ausgewählt leer |
Nicht ausgewählt leer |
Wir haben keine spezifische Empfehlung für diese Einstellung. Weitere Informationen finden Sie in den Listen "Die folgenden URLs nicht neu schreiben" in Tresor Linksrichtlinien. |
| Aktion für potenziell schädliche URLs in Microsoft Teams | |||||
| On: Tresor Links checks a list of known, malicious links when users click links in Microsoft Teams EnableSafeLinksForTeams |
Nicht ausgewählt |
Ausgewählt |
Ausgewählt |
Ausgewählt |
|
| Klicken Sie auf "Schutzeinstellungen". | |||||
| Nachverfolgen von Benutzerklicks TrackUserClicks |
Ausgewählt |
Ausgewählt |
Ausgewählt |
Ausgewählt |
|
| Zulassen, dass Benutzer auf die ursprüngliche URL klicken AllowClickThrough |
Ausgewählt |
Ausgewählt |
Nicht ausgewählt |
Nicht ausgewählt |
Durch Deaktivieren dieser Einstellung ( Festlegen von AllowClickThrough auf $false) wird das Durchklicken auf die ursprüngliche URL verhindert. |
| Anzeigen des Organisationsbrandings auf Benachrichtigungs- und Warnseiten EnableOrganizationBranding |
Nicht ausgewählt |
Nicht ausgewählt |
Nicht ausgewählt |
Nicht ausgewählt |
Wir haben keine spezifische Empfehlung für diese Einstellung. Bevor Sie diese Einstellung aktivieren, müssen Sie die Anweisungen unter Anpassen des Microsoft 365 Designs für Ihre Organisation befolgen, um Ihr Firmenlogo hochzuladen. |
| Benachrichtigung | |||||
| Wie möchten Sie Ihre Benutzer benachrichtigen? | Verwenden des Standardbenachrichtigungstexts | Verwenden des Standardbenachrichtigungstexts | Verwenden des Standardbenachrichtigungstexts | Verwenden des Standardbenachrichtigungstexts | Wir haben keine spezifische Empfehlung für diese Einstellung. Sie können benutzerdefinierten Benachrichtigungstext (CustomNotificationText) verwenden auswählen, um benutzerdefinierten Benachrichtigungstext einzugeben. Sie können auch Microsoft Translator für die automatische Lokalisierung (UseTranslatedNotificationText) auswählen, um den benutzerdefinierten Benachrichtigungstext in die Sprache des Benutzers zu übersetzen. |
Verwandte Artikel
Suchen Sie nach bewährten Methoden für Exchange Nachrichtenflussregeln (auch als Transportregeln bezeichnet)? Siehe Bewährte Methoden zum Konfigurieren von Nachrichtenflussregeln in Exchange Online.
Administratoren und Benutzer können falsch positive Ergebnisse (gute E-Mails, die als schlecht gekennzeichnet sind) und falsch negative Ergebnisse (ungültige E-Mails sind zulässig) zur Analyse an Microsoft übermitteln. Weitere Informationen finden Sie unter Melden von Nachrichten und Dateien an Microsoft.
Verwenden Sie diese Links, um Informationen dazu zu erhalten, wie Sie Ihren EOP-Dienst einrichten und Microsoft Defender für Office 365 konfigurieren. Vergessen Sie nicht die hilfreichen Anweisungen in "Schutz vor Bedrohungen in Office 365".
Sicherheitsbaselines für Windows finden Sie hier: Wo erhalte ich die Sicherheitsbaselines? für GPO/lokale Optionen und verwenden Sie Sicherheitsbaselines, um Windows Geräte in Intune für Intune-basierte Sicherheit zu konfigurieren. Schließlich steht ein Vergleich zwischen Microsoft Defender für Endpunkt und Microsoft Intune Sicherheitsbaselines unter "Vergleichen der Microsoft Defender für Endpunkt und der Windows Intune Sicherheit" zur Verfügung. Basispläne.