Konfigurera principer för skydd mot nätfiske i Microsoft Defender för Office 365

Tips

Visste du att du kan prova funktionerna i Microsoft 365 Defender för Office 365 plan 2 utan kostnad? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft 365 Defender portalens utvärderingshubb. Läs mer om vem som kan registrera dig och utvärderingsvillkoren här.

Gäller för

Principer för skydd mot nätfiske i Microsoft Defender för Office 365 kan skydda din organisation mot skadliga personifieringsbaserade nätfiskeattacker och andra typer av nätfiskeattacker. Mer information om skillnaderna mellan principer för skydd mot nätfiske i Exchange Online Protection (EOP) och principer för skydd mot nätfiske i Microsoft Defender för Office 365 finns i Skydd mot nätfiske.

Administratörer kan visa, redigera och konfigurera (men inte ta bort) standardprincipen för skydd mot nätfiske. För större kornighet kan du också skapa anpassade principer för skydd mot nätfiske som gäller för specifika användare, grupper eller domäner i din organisation. Anpassade principer har alltid företräde framför standardprincipen, men du kan ändra prioriteten (löpande ordning) för dina anpassade principer.

Du kan konfigurera principer för skydd mot nätfiske i Defender för Office 365 i Microsoft 365 Defender-portalen eller i Exchange Online PowerShell.

Information om hur du konfigurerar de mer begränsade principerna för skydd mot nätfiske som är tillgängliga i Exchange Online Protection (dvs. organisationer utan Defender för Office 365) finns i Konfigurera principer för skydd mot nätfiske i EOP.

De grundläggande elementen i en princip för skydd mot nätfiske är:

  • Principen för skydd mot nätfiske: Anger vilka nätfiskeskydd som ska aktiveras eller inaktiveras samt vilka åtgärder som ska tillämpas.
  • Regeln mot nätfiske: Anger prioritets- och mottagarfiltren (som principen gäller för) för en princip mot nätfiske.

Skillnaden mellan dessa två element är inte uppenbar när du hanterar principer för skydd mot nätfiske i Microsoft 365 Defender-portalen:

  • När du skapar en princip skapar du faktiskt en anti-nätfiskeregel och den associerade principen mot nätfiske samtidigt med samma namn för båda.
  • När du ändrar en princip ändrar inställningar relaterade till namn, prioritet, aktiverad eller inaktiverad och mottagarfilter anti-nätfiskeregeln. Alla andra inställningar ändrar den associerade principen för nätfiske.
  • När du tar bort en princip tas anti-nätfiskeregeln och den associerade principen mot nätfiske bort.

I Exchange Online PowerShell hanterar du principen och regeln separat. Mer information finns i avsnittet Använda Exchange Online PowerShell för att konfigurera principer för skydd mot nätfiske längre fram i den här artikeln.

Varje Defender för Office 365 organisation har en inbyggd princip för skydd mot nätfiske med namnet Office 365 AntiPhish Default som har följande egenskaper:

  • Principen tillämpas på alla mottagare i organisationen, även om det inte finns någon regel för skydd mot nätfiske (mottagarfilter) som är associerad med principen.
  • Principen har det anpassade prioritetsvärdet Lägsta som du inte kan ändra (policyn tillämpas alltid sist). Alla anpassade policyer som du skapar har alltid högre prioritet.
  • Politik är standardpolicyn (egenskapen IsDefault har värdet True) och du kan inte ta bort standardpolicyn.

Om du vill öka effektiviteten för skydd mot nätfiske i Defender för Office 365 kan du skapa anpassade principer för skydd mot nätfiske med strängare inställningar som tillämpas på specifika användare eller grupper av användare.

Vad behöver jag veta innan jag börjar?

  • Du kan öppna Microsoft 365 Defender-portalen genom att gå till https://security.microsoft.com. Om du vill gå direkt till sidan Skydd mot nätfiske använder du https://security.microsoft.com/antiphishing.

  • Information om hur du ansluter till Exchange Online PowerShell finns i Anslut till Exchange Online PowerShell.

  • Du måste ha tilldelats behörigheter i Exchange Online innan du kan genomföra procedurerna i den här artikeln:

    • Om du vill lägga till, ändra och ta bort principer för skydd mot nätfiske måste du vara medlem i rollgrupperna Organisationshantering eller Säkerhetsadministratör .
    • För skrivskyddad åtkomst till principer för skydd mot nätfiske måste du vara medlem i rollgrupperna * Global läsare eller Säkerhetsläsare.

    Mer information finns under Behörigheter i Exchange Online.

    Anteckningar:

    • Genom att lägga till användare i motsvarande Azure Active Directory-roll i Administrationscenter för Microsoft 365 får användarna den nödvändiga behörigheten och behörigheter för andra funktioner i Microsoft 365. Mer information finns i Om administratörsroller.
    • Rollgruppen Skrivskyddad organisationshantering i Exchange Online ger också skrivskyddad åtkomst till funktionen.
  • Våra rekommenderade inställningar för principer för skydd mot nätfiske i Defender för Office 365 finns i Principer för skydd mot nätfiske i Defender för Office 365 inställningar.

  • Det kan ta upp till 30 minuter innan en ny eller uppdaterad princip tillämpas.

  • Information om var principer för skydd mot nätfiske tillämpas i filtreringspipelinen finns i Ordning och prioritet för e-postskydd.

Använd Microsoft 365 Defender-portalen för att skapa principer för skydd mot nätfiske

När du skapar en anpassad princip för skydd mot nätfiske i Microsoft 365 Defender-portalen skapas anti-nätfiskeregeln och den associerade principen för nätfiske samtidigt med samma namn för båda.

  1. I Microsoft 365 Defender-portalen på https://security.microsoft.comgår du till E-post & Samarbetsprinciper > & Regler > Hotprinciper > Mot nätfiske i avsnittet Principer. Om du vill gå direkt till sidan Skydd mot nätfiske använder du https://security.microsoft.com/antiphishing.

  2. På sidan Skydd mot nätfiske klickar du på ikonen Skapa. Skapa.

  3. Principguiden öppnas. På sidan Principnamn konfigurerar du följande inställningar:

    • Namn: Ange ett unikt, beskrivande namn på principen.
    • Beskrivning: Ange en valfri beskrivning av principen.

    Klicka på Nästa när du är klar.

  4. På sidan Användare, grupper och domäner som visas identifierar du de interna mottagare som principen gäller för (mottagarvillkor):

    • Användare: De angivna postlådorna, e-postanvändarna eller e-postkontakterna.
    • Grupper:
      • Medlemmar i de angivna distributionsgrupperna eller e-postaktiverade säkerhetsgrupperna.
      • Den angivna Microsoft 365-grupper.
    • Domäner: Alla mottagare i den angivna godkända domänen i organisationen.

    Klicka i lämplig ruta, börja skriva in ett värde och välj det värde du vill använda i resultatet. Upprepa det här steget så många gånger som det behövs. Om du vill ta bort ett befintligt värde klickar du Ta bort Ta bort-ikonen. bredvid värdet.

    För användare eller grupper kan du använda de flesta identifierare (namn, visningsnamn, alias, e-postadress, kontonamn osv.), men motsvarande visningsnamn visas i resultatet. Om du vill visa alla tillgängliga värden för användare anger du en asterisk (*) för sig själv.

    Använd ELLER-logik (till exempel <recipient1> eller <recipient2>) för flera värden i samma villkor. Använd OCH-logik (till exempel <recipient1> och <member of group 1>) för olika villkor.

    • Exkludera dessa användare, grupper och domäner: Om du vill lägga till undantag för de interna mottagarna som principen gäller för (mottagarundantag), väljer du det här alternativet och konfigurerar undantagen. Inställningarna och beteendet är likadana som villkoren.

    Viktigt

    Flera olika villkor eller undantag är inte additiva; de är inkluderande. Principen tillämpas endast på de mottagare som matchar alla angivna mottagarfilter. Du kan till exempel konfigurera ett mottagarfiltervillkor i principen med följande värden:

    • Mottagaren är: romain@contoso.com
    • Mottagaren är medlem i: Chefer

    Principen tillämpas endast på romain@contoso.com om han också är medlem i grupperna Chefer. Om han inte är medlem i gruppen tillämpas inte policyn på honom.

    Om du använder samma mottagarfilter som ett undantag till principen tillämpas principen inte på romain@contoso.com endast om han också är medlem i grupperna Chefer. Om han inte är medlem i gruppen gäller policyn fortfarande för honom.

    Klicka på Nästa när du är klar.

  5. På sidan Nätfisketröskel & skydd som visas konfigurerar du följande inställningar:

    • Tröskelvärde för nätfiskemeddelande: Använd skjutreglaget för att välja något av följande värden:

      • 1 – Standard (detta är standardvärdet.)
      • 2 - Aggressiv
      • 3 - Mer aggressiv
      • 4 - Mest aggressiva

      Mer information finns i Avancerade tröskelvärden för nätfiske i principer för skydd mot nätfiske i Microsoft Defender för Office 365.

    • Personifiering: De här inställningarna är ett villkor för principen som identifierar specifika avsändare att söka efter (individuellt eller efter domän) i Från-adressen för inkommande meddelanden. Mer information finns i Personifieringsinställningar i principer för skydd mot nätfiske i Microsoft Defender för Office 365.

      Anteckning

      • I varje princip för skydd mot nätfiske kan du ange högst 350 skyddade användare (avsändarens e-postadresser). Du kan inte ange samma skyddade användare i flera principer.
      • Skydd mot personifiering av användare fungerar inte om avsändaren och mottagaren tidigare har kommunicerat via e-post. Om avsändaren och mottagaren aldrig har kommunicerat via e-post identifieras meddelandet som ett personifieringsförsök.
      • Aktivera användare att skydda: Standardvärdet är inaktiverat (inte markerat). Om du vill aktivera den markerar du kryssrutan och klickar sedan på länken Hantera (nn) avsändare som visas.

        I den utfällbara menyn Hantera avsändare för personifieringsskydd som visas gör du följande:

        • Interna avsändare: Klicka på Lägg till intern ikon. Välj intern. I den utfällbara menyn Lägg till interna avsändare som visas klickar du i rutan och väljer en intern användare i listan. Du kan filtrera listan genom att skriva användaren och sedan välja användaren i resultatet. Du kan använda de flesta identifierare (namn, visningsnamn, alias, e-postadress, kontonamn osv.), men motsvarande visningsnamn visas i resultatet.

          Upprepa det här steget så många gånger det behövs. Om du vill ta bort ett befintligt värde klickar du Ta bort Ta bort-ikonen. bredvid värdet.

          När du är klar klickar du på Lägg till

        • Externa avsändare: Klicka på Lägg till extern ikon. Välj externt. I den utfällbara menyn Lägg till externa avsändare som visas anger du ett visningsnamn i rutan Lägg till ett namn och en e-postadress i rutan Lägg till ett vaild-e-postmeddelande och klickar sedan på Lägg till.

          Upprepa det här steget så många gånger det behövs. Om du vill ta bort ett befintligt värde klickar du Ta bort Ta bort-ikonen. bredvid värdet.

          När du är klar klickar du på Lägg till

        Tillbaka på den utfällbara menyn Hantera avsändare för personifiering kan du ta bort poster genom att välja en eller flera poster i listan. Du kan söka efter poster med hjälp av sökikonen . Sökruta .

        När du har valt minst en post , ikonen Ta bort valda användare. Ikonen Ta bort markerade användare visas, som du kan använda för att ta bort de markerade posterna.

        Klicka på Klar när du är klar.

      • Aktivera domäner att skydda: Standardvärdet är inaktiverat (inte markerat). Om du vill aktivera den markerar du kryssrutan och konfigurerar sedan en eller båda av följande inställningar som visas:

        • Inkludera de domäner jag äger: Markera kryssrutan om du vill aktivera den här inställningen. Om du vill visa de domäner som du äger klickar du på Visa mina domäner.

        • Inkludera anpassade domäner: Om du vill aktivera den här inställningen markerar du kryssrutan och klickar sedan på länken Hantera (nn) anpassade domäner som visas. I den utfällbara menyn Hantera anpassade domäner för personifieringsskydd som visas klickar du på ikonen Lägg till domäner. Lägg till domäner.

          I den utfällbara menyn Lägg till anpassade domäner som visas klickar du i rutan Domän , anger ett värde och trycker sedan på Retur eller väljer det värde som visas under rutan. Upprepa det här steget så många gånger det behövs. Om du vill ta bort ett befintligt värde klickar du Ta bort Ta bort-ikonen. bredvid värdet.

          När du är klar klickar du på Lägg till domäner

          Anteckning

          Du kan ha högst 50 domäner i alla principer för skydd mot nätfiske.

        Tillbaka på den utfällbara menyn Hantera anpassade domäner för personifiering kan du ta bort poster genom att välja en eller flera poster i listan. Du kan söka efter poster med hjälp av sökikonen . Sökruta .

        När du har valt minst en post , ikonen Ta bort domäner. Ikonen Ta bort visas, som du kan använda för att ta bort de markerade posterna.

    • Lägg till betrodda avsändare och domäner: : Ange undantag för personifieringsskydd för principen genom att klicka på Hantera (nn) betrodda avsändare och domäner. I den utfällbara menyn Hantera anpassade domäner för personifieringsskydd som visas konfigurerar du följande inställningar:

      • Avsändare: Kontrollera att fliken Avsändare är markerad och klicka på ikonen Lägg till avsändare.. I den utfällbara menyn Lägg till betrodda avsändare som visas anger du en e-postadress i rutan och klickar sedan på Lägg till. Upprepa det här steget så många gånger det behövs. Om du vill ta bort en befintlig post klickar du på ikonen Ta bort för posten.

        När du är klar klickar du på Lägg till.

      • Domäner: Välj fliken Domän och klicka på ikonen Lägg till domäner..

        I den utfällbara menyn Lägg till betrodda domäner som visas klickar du i rutan Domän , anger ett värde och trycker sedan på Retur eller väljer det värde som visas under rutan. Upprepa det här steget så många gånger det behövs. Om du vill ta bort ett befintligt värde klickar du Ta bort Ta bort-ikonen. bredvid värdet.

        När du är klar klickar du på Lägg till.

      Tillbaka på den utfällbara menyn Hantera anpassade domäner för personifiering kan du ta bort poster från flikarna Avsändare och Domän genom att välja en eller flera poster i listan. Du kan söka efter poster med hjälp av sökikonen . Sökruta .

      När du har valt minst en post visas ikonen Ta bort , som du kan använda för att ta bort de markerade posterna.

      Klicka på Klar när du är klar.

      Anteckning

      Det maximala antalet avsändare och domänposter är 1024.

    • Aktivera postlådeinformation: Standardvärdet är på (valt) och vi rekommenderar att du lämnar det på. Avmarkera kryssrutan om du vill inaktivera den.

      • Aktivera intelligensbaserat personifieringsskydd: Den här inställningen är endast tillgänglig om Aktivera postlådeinformation är aktiverat (valt). Med den här inställningen kan postlådeinformation vidta åtgärder för meddelanden som identifieras som personifieringsförsök. Du anger vilken åtgärd som ska vidtas i inställningen Om postlådeinformation identifierar en personifierad användare på nästa sida.

        Vi rekommenderar att du aktiverar den här inställningen genom att markera kryssrutan. Avmarkera kryssrutan om du vill inaktivera den här inställningen.

    • Förfalskning: I det här avsnittet använder du kryssrutan Aktivera förfalskningsinformation för att aktivera eller inaktivera förfalskningsinformation. Standardvärdet är på (markerat) och vi rekommenderar att du lämnar det på. Du anger vilken åtgärd som ska vidtas för meddelanden från blockerade falska avsändare i inställningen Om meddelandet identifieras som förfalskning på nästa sida.

      Om du vill inaktivera förfalskningsinformation avmarkerar du kryssrutan.

      Anteckning

      Du behöver inte inaktivera skydd mot förfalskning om MX-posten inte pekar på Microsoft 365. Du aktiverar utökad filtrering för anslutningsappar i stället. Anvisningar finns i Förbättrad filtrering för anslutningsappar i Exchange Online.

    Klicka på Nästa när du är klar.

  6. På sidan Åtgärder som visas kan du konfigurera följande inställningar:

    • Meddelandeåtgärder: Konfigurera följande åtgärder i det här avsnittet:

      • Om meddelandet identifieras som en personifierad användare: Den här inställningen är endast tillgänglig om du har valt Aktivera användare att skydda på föregående sida. Välj någon av följande åtgärder i listrutan för meddelanden där avsändaren är en av de skyddade användare som du angav på föregående sida:

        • Tillämpa ingen åtgärd

        • Omdirigera meddelande till andra e-postadresser

        • Flytta meddelandet till mottagarnas skräppostmappar

        • Placera meddelandet i karantän: Om du väljer den här åtgärden visas rutan Tillämpa karantänprincip där du väljer den karantänprincip som gäller för meddelanden som har placerats i karantän av användar personifieringsskydd. Karantänprinciper definierar vad användare kan göra för meddelanden i karantän och om användarna får karantänaviseringar. Mer information finns i Karantänprinciper.

          Ett tomt Tillämpa karantänprincipvärde innebär att standardprincipen för karantän används (DefaultFullAccessPolicy för identifiering av användarpersonifiering). När du senare redigerar principen för skydd mot nätfiske eller visar inställningarna visas standardnamnet för karantänprincipen.

        • Leverera meddelandet och lägg till andra adresser på hemlig kopia

        • Ta bort meddelandet innan det levereras

      • Om meddelandet identifieras som en personifierad domän: Den här inställningen är endast tillgänglig om du har valt Aktivera domäner att skydda på föregående sida. Välj någon av följande åtgärder i listrutan för meddelanden där avsändarens e-postadress finns i någon av de skyddade domäner som du angav på föregående sida:

        • Tillämpa ingen åtgärd

        • Omdirigera meddelande till andra e-postadresser

        • Flytta meddelandet till mottagarnas skräppostmappar

        • Placera meddelandet i karantän: Om du väljer den här åtgärden visas rutan Tillämpa karantänprincip där du väljer den karantänprincip som gäller för meddelanden som har placerats i karantän av domänimitationsskydd.

          Ett tomt Tillämpa karantänprincipvärde innebär att standardprincipen för karantän används (DefaultFullAccessPolicy för identifiering av domänpersonifiering). När du senare redigerar principen för skydd mot nätfiske eller visar inställningarna visas standardnamnet för karantänprincipen.

        • Leverera meddelandet och lägg till andra adresser på hemlig kopia

        • Ta bort meddelandet innan det levereras

      • Om postlådeinformation identifierar en personifierad användare: Den här inställningen är endast tillgänglig om du har valt Aktivera intelligens för personifieringsskydd på föregående sida. Välj någon av följande åtgärder i listrutan för meddelanden som identifierades som personifieringsförsök av postlådeinformation:

        • Tillämpa ingen åtgärd

        • Omdirigera meddelande till andra e-postadresser

        • Flytta meddelandet till mottagarnas skräppostmappar

        • Placera meddelandet i karantän: Om du väljer den här åtgärden visas rutan Tillämpa karantänprincip där du väljer den karantänprincip som gäller för meddelanden som placeras i karantän av postlådeskydd. Karantänprinciper definierar vad användare kan göra för meddelanden i karantän och om användarna får karantänaviseringar. Mer information finns i Karantänprinciper.

          Ett tomt Tillämpa karantänprincipvärde innebär att standardprincipen för karantän används (DefaultFullAccessPolicy för identifiering av postlådeinformation). När du senare redigerar principen för skydd mot nätfiske eller visar inställningarna visas standardnamnet för karantänprincipen.

        • Leverera meddelandet och lägg till andra adresser på hemlig kopia

        • Ta bort meddelandet innan det levereras

      • Om meddelandet identifieras som förfalskning: Den här inställningen är endast tillgänglig om du har valt Aktivera förfalskningsinformation på föregående sida. Välj någon av följande åtgärder i listrutan för meddelanden från blockerade falska avsändare:

        • Flytta meddelandet till mottagarnas skräppostmappar

        • Placera meddelandet i karantän: Om du väljer den här åtgärden visas rutan Tillämpa karantänprincip där du väljer den karantänprincip som gäller för meddelanden som har placerats i karantän av skydd mot förfalskningsinformation. Karantänprinciper definierar vad användare kan göra för meddelanden i karantän och om användarna får karantänaviseringar. Mer information finns i Karantänprinciper.

          Ett tomt Tillämpa karantänprincipvärde innebär att standardprincipen för karantän används (DefaultFullAccessPolicy för identifiering av förfalskningsinformation). När du senare redigerar principen för skydd mot nätfiske eller visar inställningarna visas standardnamnet för karantänprincipen.

    • Säkerhetstips & indikatorer: Konfigurera följande inställningar:

      • Visa första kontakt säkerhetstips: Mer information finns i Första kontakten säkerhetstips.
      • Visa användarpersonifiering säkerhetstips: Den här inställningen är endast tillgänglig om du har valt Aktivera användare att skydda på föregående sida.
      • Visa domänpersonifiering säkerhetstips: Den här inställningen är endast tillgänglig om du har valt Aktivera domäner att skydda på föregående sida.
      • Visa ovanliga tecken för användarpersonifiering säkerhetstips Den här inställningen är endast tillgänglig om du har valt Aktivera användare att skydda eller Aktivera domäner att skydda på föregående sida.
      • Visa (?) för oautentiserade avsändare för förfalskning: Den här inställningen är endast tillgänglig om du har valt Aktivera förfalskningsinformation på föregående sida. Lägger till ett frågetecken (?) i avsändarens foto i rutan Från i Outlook om meddelandet inte klarar SPF- eller DKIM-kontroller och meddelandet inte klarar DMARC eller sammansatt autentisering.
      • Visa "via"-tagg: Den här inställningen är endast tillgänglig om du har valt Aktivera förfalskningsinformation på föregående sida. Lägger till en via-tagg (chris@contoso.com via fabrikam.com) till Från-adressen om den skiljer sig från domänen i DKIM-signaturen eller MAIL FROM-adressen . Standardvärdet är på (markerat). Avmarkera kryssrutan om du vill inaktivera den.

      Om du vill aktivera en inställning markerar du kryssrutan. Avmarkera kryssrutan om du vill inaktivera den.

    Klicka på Nästa när du är klar.

  7. Granska inställningarna på sidan Granska som visas. Du kan välja Redigera i varje avsnitt om du vill ändra inställningarna i avsnittet. Eller så kan du klicka på Föregående eller välj den specifika sidan i guiden.

    Klicka på Skicka in när du är klar.

  8. På bekräftelsesidan som visas klickar du på Klar.

Använd Microsoft 365 Defender-portalen för att visa principer för skydd mot nätfiske

  1. I Microsoft 365 Defender-portalen går du till E-post & Samarbetsprinciper > & Regler > Hotprinciper > Mot nätfiske i avsnittet Principer.

  2. På sidan Skydd mot nätfiske visas följande egenskaper i listan över principer för skydd mot nätfiske:

    • Namn
    • Status
    • Prioritet
    • Senast ändrad
  3. När du väljer en princip genom att klicka på namnet visas principinställningarna i en utfälld meny.

Använd Microsoft 365 Defender-portalen för att ändra principer för skydd mot nätfiske

  1. I Microsoft 365 Defender-portalen på https://security.microsoft.comgår du till E-post & Samarbetsprinciper > & Regler > Hotprinciper > Mot nätfiske i avsnittet Principer. Om du vill gå direkt till sidan Skydd mot nätfiske använder du https://security.microsoft.com/antiphishing.

  2. På sidan Skydd mot nätfiske väljer du en princip i listan genom att klicka på namnet.

  3. I den utfällda menyn för principinformationen kan du välja Redigera i varje avsnitt om du vill ändra inställningarna i avsnittet. Mer information om inställningarna finns i avsnittet Använda Microsoft 365 Defender-portalen för att skapa principer för skydd mot nätfiske tidigare i den här artikeln.

    För standardprincipen för skydd mot nätfiske är avsnittet Användare, grupper och domäner inte tillgängligt (principen gäller för alla) och du kan inte byta namn på principen.

Information om att aktivera eller inaktivera en princip eller ange prioritetsordningen för principen finns i följande avsnitt.

Aktivera eller inaktivera anpassade principer för skydd mot nätfiske

Du kan inte inaktivera standardprincipen för skydd mot nätfiske.

  1. I Microsoft 365 Defender-portalen på https://security.microsoft.comgår du till E-post & Samarbetsprinciper > & Regler > Hotprinciper > Mot nätfiske i avsnittet Principer. Om du vill gå direkt till sidan Skydd mot nätfiske använder du https://security.microsoft.com/antiphishing.

  2. På sidan Skydd mot nätfiske väljer du en anpassad princip i listan genom att klicka på namnet.

  3. Högst upp i den utfällda menyn principinformation ser du något av följande värden:

    • Princip inaktiverad: Om du vill aktivera principen klickar du påikonen Aktivera Aktivera.
    • Princip aktiverad: Om du vill inaktivera principen klickar du påikonen Inaktivera Inaktivera.
  4. I bekräftelsedialogrutan som visas klickar du på Aktivera eller Inaktivera.

  5. Klicka Stäng i den utfällda menyn principinformation.

Tillbaka på huvudsidan kommer värdet Status för principen att vara eller Av.

Ange prioriteten för anpassade principer för skydd mot nätfiske

Som standard ges principer för skydd mot nätfiske en prioritet som baseras på den ordning de skapades i (nyare principer har lägre prioritet än äldre principer). Ett lägre prioritetsnummer innebär att principen har högre prioritet (0 är det högsta), och principerna bearbetas i prioritetsordning (principer med högre prioritet bearbetas före principer med lägre prioritet). Inga två policyer kan ha samma prioritet, och policyhantering stannar efter att den första policyn har tillämpats.

Om du vill ändra prioriteten för en princip klickar du på Öka prioritet eller Minska prioritet i egenskaperna för principen (du kan inte direkt ändra numret för Prioritet i Microsoft 365 Defender-portalen). Det är bara meningsfullt att ändra prioritet för en princip om du har flera principer.

Anmärkningar:

  • I Microsoft 365 Defender portalen kan du bara ändra prioriteten för principen för skydd mot nätfiske när du har skapat den. I PowerShell kan du åsidosätta standardprioriteten när du skapar regeln mot nätfiske (vilket kan påverka prioriteten för befintliga regler).
  • Principer för skydd mot nätfiske bearbetas i den ordning som de visas (den första principen har prioritetsvärdet 0). Standardprincipen för skydd mot nätfiske har prioritetsvärdet Lägsta och du kan inte ändra det.
  1. I Microsoft 365 Defender-portalen på https://security.microsoft.comgår du till E-post & Samarbetsprinciper > & Regler > Hotprinciper > Mot nätfiske i avsnittet Principer. Om du vill gå direkt till sidan Skydd mot nätfiske använder du https://security.microsoft.com/antiphishing.

  2. På sidan Skydd mot nätfiske väljer du en anpassad princip i listan genom att klicka på namnet.

  3. Högst upp i den utfällda menyn principinformation som visas ser du Öka prioritet eller Minska prioritet baserat på det aktuella prioritetsvärdet och antalet anpassade principer:

    • Principen med prioritetsvärdet 0 har bara alternativet Minska prioritet tillgängligt.
    • Principen med det lägsta prioritetsvärdet (till exempel 3) har bara alternativet Öka prioritet tillgängligt.
    • Om du har tre eller flera principer har principerna mellan de högsta och lägsta prioritetsvärdena både alternativen Öka prioritet och Minska prioritet tillgängliga.

    Klicka på ikonen Öka prioritet. Öka prioritet eller Ikonen Minska prioritet Minska prioritet om du vill ändra värdet Prioritet.

  4. Klicka Stäng i den utfällda menyn principinformation när du är klar.

Använd Microsoft 365 Defender-portalen för att ta bort anpassade principer för skydd mot nätfiske

När du använder Microsoft 365 Defender-portalen för att ta bort en anpassad princip för skydd mot nätfiske tas både regeln mot nätfiske och motsvarande princip för nätfiske bort. Du kan inte ta bort standardprincipen för skydd mot nätfiske.

  1. I Microsoft 365 Defender-portalen på https://security.microsoft.comgår du till E-post & Samarbetsprinciper > & Regler > Hotprinciper > Mot nätfiske i avsnittet Principer. Om du vill gå direkt till sidan Skydd mot nätfiske använder du https://security.microsoft.com/antiphishing.

  2. På sidan Skydd mot nätfiske väljer du en anpassad princip i listan genom att klicka på namnet på principen.

  3. Klicka på ikonen Fler åtgärder längst upp i den utfällbara menyn med principinformation som visas. Fler åtgärder > Ikonen Ta bort princip Ta bort princip.

  4. I bekräftelsedialogrutan som visas klickar du på Ja.

Använd Exchange Online PowerShell för att konfigurera principer för skydd mot nätfiske

Som tidigare beskrivits består en princip för skräppostskydd av en princip mot nätfiske och en regel mot nätfiske.

I Exchange Online PowerShell är skillnaden mellan anti-nätfiskeprinciper och regler mot nätfiske uppenbar. Du hanterar principer mot nätfiske med hjälp *av cmdletarna -AntiPhishPolicy och du hanterar regler mot nätfiske med hjälp *av cmdletarna -AntiPhishRule .

  • I PowerShell skapar du först principen mot nätfiske och sedan skapar du den anti-nätfiskeregel som identifierar principen som regeln gäller för.
  • I PowerShell ändrar du inställningarna i principen för skydd mot nätfiske och regeln för nätfiske separat.
  • När du tar bort en princip mot nätfiske från PowerShell tas inte motsvarande regel mot nätfiske bort automatiskt, och vice versa.

Använda PowerShell för att skapa principer för skydd mot nätfiske

Att skapa en princip för skydd mot nätfiske i PowerShell är en tvåstegsprocess:

  1. Skapa principen för skydd mot nätfiske.
  2. Skapa den anti-nätfiskeregel som anger den anti-nätfiskeprincip som regeln gäller för.

Anteckningar:

  • Du kan skapa en ny anti-nätfiskeregel och tilldela en befintlig, oassocierad anti-nätfiskeprincip till den. En anti-nätfiskeregel kan inte associeras med mer än en princip mot nätfiske.
  • Du kan konfigurera följande inställningar för nya principer för nätfiske i PowerShell som inte är tillgängliga i Microsoft 365 Defender-portalen förrän du har skapat principen:
    • Skapa den nya principen som inaktiverad (aktiverad $false i cmdleten New-AntiPhishRule ).
    • Ange prioriteten för principen vid skapande (Prioritet <Number>) på cmdleten New-AntiPhishRule ).
  • En ny princip mot nätfiske som du skapar i PowerShell visas inte i Microsoft 365 Defender-portalen förrän du tilldelar principen till en anti-nätfiskeregel.

Steg 1: Använda PowerShell för att skapa en princip mot nätfiske

Om du vill skapa en princip mot nätfiske använder du den här syntaxen:

New-AntiPhishPolicy -Name "<PolicyName>" [-AdminDisplayName "<Comments>"] <Additional Settings>

Det här exemplet skapar en princip mot nätfiske med namnet Research Quarantine med följande inställningar:

  • Principen är aktiverad (vi använder inte parametern Enabled och standardvärdet är $true).
  • Beskrivningen är: Forskningsavdelningens policy.
  • Ändrar standardåtgärden för förfalskningsidentifieringar till Karantän och använder standardprincipen för karantän för meddelanden i karantän (vi använder inte parametern SpoofQuarantineTag ).
  • Aktiverar skydd av organisationsdomäner för alla godkända domäner och måldomänskydd för fabrikam.com.
  • Anger Karantän som åtgärd för identifiering av domänpersonifiering och använder standardprincipen för karantän för meddelanden i karantän (vi använder inte parametern TargetedDomainQuarantineTag ).
  • Anger Mai Fujito (mfujito@fabrikam.com) som den användare som ska skyddas från personifiering.
  • Anger Karantän som åtgärd för identifiering av användarpersonifieringar och använder standardprincipen för karantän för meddelanden i karantän (vi använder inte parametern TargetedUserQuarantineTag ).
  • Aktiverar postlådeinformation (EnableMailboxIntelligence), tillåter att postlådeinformationsskydd vidtar åtgärder för meddelanden (EnableMailboxIntelligenceProtection), anger Karantän som åtgärd för identifierade meddelanden och använder standardprincipen för karantän för meddelanden i karantän (vi använder inte parametern MailboxIntelligenceQuarantineTag ).
  • Aktiverar alla säkerhetstips.
New-AntiPhishPolicy -Name "Monitor Policy" -AdminDisplayName "Research department policy" -AuthenticationFailAction Quarantine -EnableOrganizationDomainsProtection $true -EnableTargetedDomainsProtection $true -TargetedDomainsToProtect fabrikam.com -TargetedDomainProtectionAction Quarantine -EnableTargetedUserProtection $true -TargetedUsersToProtect "Mai Fujito;mfujito@fabrikam.com" -TargetedUserProtectionAction Quarantine -EnableMailboxIntelligence $true -EnableMailboxIntelligenceProtection $true -MailboxIntelligenceProtectionAction Quarantine -EnableSimilarUsersSafetyTips $true -EnableSimilarDomainsSafetyTips $true -EnableUnusualCharactersSafetyTips $true

Detaljerad information om syntax och parametrar finns i New-AntiPhishPolicy.

Anteckning

Detaljerade anvisningar för att ange karantänprinciper som ska användas i en princip mot nätfiske finns i Använda PowerShell för att ange karantänprincipen i principer för skydd mot nätfiske.

Steg 2: Använda PowerShell för att skapa en anti-nätfiskeregel

Om du vill skapa en regel mot nätfiske använder du den här syntaxen:

New-AntiPhishRule -Name "<RuleName>" -AntiPhishPolicy "<PolicyName>" <Recipient filters> [<Recipient filter exceptions>] [-Comments "<OptionalComments>"]

Det här exemplet skapar en anti-nätfiskeregel med namnet Research Department med följande villkor:

  • The rule is associated with the anti-phish policy named Research Quarantine.
  • Regeln gäller för medlemmar i gruppen med namnet Research Department.
  • Eftersom vi inte använder parametern Prioritet används standardprioriteten.
New-AntiPhishRule -Name "Research Department" -AntiPhishPolicy "Research Quarantine" -SentToMemberOf "Research Department"

Detaljerad information om syntax och parametrar finns i New-AntiPhishRule.

Använda PowerShell för att visa principer för skydd mot nätfiske

Om du vill visa befintliga principer för nätfiske använder du följande syntax:

Get-AntiPhishPolicy [-Identity "<PolicyIdentity>"] [| <Format-Table | Format-List> <Property1,Property2,...>]

Det här exemplet returnerar en sammanfattningslista över alla principer för skydd mot nätfiske tillsammans med de angivna egenskaperna.

Get-AntiPhishPolicy | Format-Table Name,IsDefault

Det här exemplet returnerar alla egenskapsvärden för principen mot nätfiske med namnet Chefer.

Get-AntiPhishPolicy -Identity "Executives"

Detaljerad information om syntax och parametrar finns i Get-AntiPhishPolicy.

Använda PowerShell för att visa regler mot nätfiske

Om du vill visa befintliga regler mot nätfiske använder du följande syntax:

Get-AntiPhishRule [-Identity "<RuleIdentity>"] [-State <Enabled | Disabled] [| <Format-Table | Format-List> <Property1,Property2,...>]

Det här exemplet returnerar en sammanfattningslista över alla regler mot nätfiske tillsammans med de angivna egenskaperna.

Get-AntiPhishRule | Format-Table Name,Priority,State

Om du vill filtrera listan efter aktiverade eller inaktiverade regler kör du följande kommandon:

Get-AntiPhishRule -State Disabled | Format-Table Name,Priority
Get-AntiPhishRule -State Enabled | Format-Table Name,Priority

Det här exemplet returnerar alla egenskapsvärden för regeln mot nätfiske med namnet Contoso Executives.

Get-AntiPhishRule -Identity "Contoso Executives"

Detaljerad information om syntax och parametrar finns i Get-AntiPhishRule.

Använda PowerShell för att ändra principer för nätfiske

Förutom följande objekt är samma inställningar tillgängliga när du ändrar en princip mot nätfiske i PowerShell som när du skapar principen enligt beskrivningen i avsnittet Steg 1: Använd PowerShell för att skapa en princip mot nätfiske tidigare i den här artikeln.

  • MakeDefault-växeln som omvandlar den angivna principen till standardprincipen (tillämpas på alla, alltid Lägsta prioritet och du kan inte ta bort den) är bara tillgänglig när du ändrar en princip mot nätfiske i PowerShell.

  • Du kan inte byta namn på en anti-nätfiskeprincip (cmdleten Set-AntiPhishPolicy har ingen namnparameter ). När du byter namn på en princip för skydd mot nätfiske i Microsoft 365 Defender-portalen byter du bara namn på regeln mot nätfiske.

Om du vill ändra en princip mot nätfiske använder du den här syntaxen:

Set-AntiPhishPolicy -Identity "<PolicyName>" <Settings>

Detaljerad information om syntax och parametrar finns i Set-AntiPhishPolicy.

Anteckning

Detaljerade anvisningar för att ange karantänprinciper som ska användas i en princip mot nätfiske finns i Använda PowerShell för att ange karantänprincipen i principer för skydd mot nätfiske.

Använda PowerShell för att ändra regler mot nätfiske

Den enda inställningen som inte är tillgänglig när du ändrar en regel mot nätfiske i PowerShell är parametern Enabled som gör att du kan skapa en inaktiverad regel. Information om hur du aktiverar eller inaktiverar befintliga regler mot nätfiske finns i nästa avsnitt.

Annars är inga ytterligare inställningar tillgängliga när du ändrar en regel mot nätfiske i PowerShell. Samma inställningar är tillgängliga när du skapar en regel enligt beskrivningen i avsnittet Steg 2: Använd PowerShell för att skapa en regel mot nätfiske tidigare i den här artikeln.

Om du vill ändra en anti-nätfiskeregel använder du den här syntaxen:

Set-AntiPhishRule -Identity "<RuleName>" <Settings>

Detaljerad information om syntax och parametrar finns i Set-AntiPhishRule.

Använda PowerShell för att aktivera eller inaktivera regler mot nätfiske

Om du aktiverar eller inaktiverar en anti-nätfiskeregel i PowerShell aktiveras eller inaktiveras hela principen för skydd mot nätfiske (regeln mot nätfiske och den tilldelade principen för nätfiske). Du kan inte aktivera eller inaktivera standardprincipen för skydd mot nätfiske (den tillämpas alltid på alla mottagare).

Om du vill aktivera eller inaktivera en anti-nätfiskeregel i PowerShell använder du den här syntaxen:

<Enable-AntiPhishRule | Disable-AntiPhishRule> -Identity "<RuleName>"

Det här exemplet inaktiverar regeln mot nätfiske med namnet Marknadsföringsavdelning.

Disable-AntiPhishRule -Identity "Marketing Department"

I det här exemplet aktiveras samma regel.

Enable-AntiPhishRule -Identity "Marketing Department"

Detaljerad information om syntax och parametrar finns i Enable-AntiPhishRule och Disable-AntiPhishRule.

Använd PowerShell för att ange prioriteten för regler mot nätfiske

Det högsta prioritetsvärde du kan ange för en regel är 0. Det lägsta värde du kan ange beror på antalet regler. Om du till exempel har fem regler kan du använda prioritetsvärden från 0 till 4. Om du ändrar prioriteten för en befintlig regel kan det ha en dominoeffekt på andra regler. Om du till exempel har fem anpassade regler (prioriteterna 0 till 4) och du ändrar prioriteten för en regel till 2 ändras den befintliga regeln med prioritet 2 till prioritet 3, och regeln med prioritet 3 ändras till prioritet 4.

Om du vill ange prioriteten för en anti-nätfiskeregel i PowerShell använder du följande syntax:

Set-AntiPhishRule -Identity "<RuleName>" -Priority <Number>

I det här exemplet anges prioriteten för regeln med namnet Marketing Department till 2. Alla befintliga regler som har en prioritet som är mindre än eller lika med 2 minskas med 1 (deras prioritetsnummer ökas med 1).’

Set-AntiPhishRule -Identity "Marketing Department" -Priority 2

Anmärkningar:

  • Om du vill ange prioriteten för en ny regel när du skapar den använder du parametern Prioritet i cmdleten New-AntiPhishRule i stället.

  • Standardprincipen för skydd mot nätfiske har ingen motsvarande regel mot nätfiske och har alltid det omodifierbara prioritetsvärdet Lägsta.

Använda PowerShell för att ta bort principer för nätfiske

När du använder PowerShell för att ta bort en princip mot nätfiske tas inte motsvarande regel mot nätfiske bort.

Om du vill ta bort en princip mot nätfiske i PowerShell använder du den här syntaxen:

Remove-AntiPhishPolicy -Identity "<PolicyName>"

Det här exemplet tar bort principen mot nätfiske med namnet Marknadsföringsavdelning.

Remove-AntiPhishPolicy -Identity "Marketing Department"

Detaljerad information om syntax och parametrar finns i Remove-AntiPhishPolicy.

Använda PowerShell för att ta bort regler mot nätfiske

När du använder PowerShell för att ta bort en anti-nätfiskeregel tas inte motsvarande princip mot nätfiske bort.

Om du vill ta bort en regel mot nätfiske i PowerShell använder du den här syntaxen:

Remove-AntiPhishRule -Identity "<PolicyName>"

Det här exemplet tar bort regeln mot nätfiske med namnet Marknadsföringsavdelning.

Remove-AntiPhishRule -Identity "Marketing Department"

Detaljerad information om syntax och parametrar finns i Remove-AntiPhishRule.

Hur vet jag att de här procedurerna fungerade?

Gör något av följande för att kontrollera att du har konfigurerat principer för skydd mot nätfiske i Defender för Office 365:

  • På sidan Skydd mot nätfiske i Microsoft 365 Defender-portalen på https://security.microsoft.com/antiphishingkontrollerar du listan över principer, deras statusvärden och deras prioritetsvärden. Om du vill visa mer information väljer du principen i listan genom att klicka på namnet och visa informationen i den utfällbara menyn som visas.

  • I Exchange Online PowerShell ersätter du <Name> med namnet på principen eller regeln och kör följande kommando och kontrollerar inställningarna:

    Get-AntiPhishPolicy -Identity "<Name>"
    
    Get-AntiPhishRule -Identity "<Name>"