Konfigurera principer för skydd mot nätfiske i Microsoft Defender för Office 365

• Gäller för:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tips

Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkoren här.

I organisationer med Microsoft Defender för Office 365 ger principer för skydd mot nätfiske följande typer av skydd:

• Samma skydd mot förfalskning som är tillgängligt i Exchange Online Protection (EOP). Mer information finns i Förfalskningsinställningar.
• Skydd mot personifiering mot andra typer av nätfiskeattacker. Mer information finns på Exklusiva inställningar i principer för skydd mot nätfiske i Microsoft Defender för Office 365.

Standardprincipen för skydd mot nätfiske gäller automatiskt för alla mottagare. För större kornighet kan du också skapa anpassade principer för skydd mot nätfiske som gäller för specifika användare, grupper eller domäner i din organisation.

Du konfigurerar principer för skydd mot nätfiske i Microsoft Defender-portalen eller i Exchange Online PowerShell.

Anvisningar för principer för skydd mot nätfiske i organisationer utan Defender för Office 365 finns i Konfigurera principer för skydd mot nätfiske i EOP.

Vad behöver jag veta innan jag börjar?

• Du öppnar Microsoft Defender-portalen på https://security.microsoft.com. Om du vill gå direkt till sidan Skydd mot nätfiske använder du https://security.microsoft.com/antiphishing.

• Information om hur du använder Windows PowerShell för att ansluta till Exchange Online finns i artikeln om att ansluta till Exchange Online PowerShell.

• Du måste tilldelas behörigheter innan du kan utföra procedurerna i den här artikeln. Du har följande alternativ:

  • Microsoft Defender XDR Enhetlig rollbaserad åtkomstkontroll (RBAC) (Påverkar endast Defender-portalen, inte PowerShell): Auktorisering och inställningar/Säkerhetsinställningar/Core Security-inställningar (hantera) eller auktorisering och inställningar/Säkerhetsinställningar/Kärnsäkerhetsinställningar (läs).
  • Exchange Online behörigheter:
    • Lägg till, ändra och ta bort principer: Medlemskap i rollgrupperna Organisationshantering eller Säkerhetsadministratör .
    • Skrivskyddad åtkomst till principer: Medlemskap i rollgrupperna Global läsare, Säkerhetsläsare eller Visa endast organisationshantering .
  • Microsoft Entra behörigheter: Medlemskap i rollerna Global administratör, Säkerhetsadministratör, Global läsare eller Säkerhetsläsare ger användarna de behörigheter och behörigheter som krävs för andra funktioner i Microsoft 365.

• Våra rekommenderade inställningar för principer för skydd mot nätfiske i Defender för Office 365 finns i Principer för skydd mot nätfiske i Defender för Office 365 inställningar.

  Tips

  Inställningar i standardprinciperna eller anpassade principer för skydd mot nätfiske ignoreras om en mottagare också ingår i standard- eller strikt förinställda säkerhetsprinciper. Mer information finns i Ordning och prioritet för e-postskydd.

• Det kan ta upp till 30 minuter innan en ny eller uppdaterad princip tillämpas.

Använd Microsoft Defender-portalen för att skapa principer för skydd mot nätfiske

1. I Microsoft Defender-portalen på https://security.microsoft.comgår du till Email & Samarbetsprinciper>& Regler>Hotprinciper>Mot nätfiske i avsnittet Principer. Om du vill gå direkt till sidan Skydd mot nätfiske använder du https://security.microsoft.com/antiphishing.

2. På sidan Skydd mot nätfiske väljer du Skapa för att öppna den nya guiden för principer för skydd mot nätfiske.

3. På sidan Principnamn konfigurerar du följande inställningar:

   • Namn: Ange ett unikt, beskrivande namn på principen.
   • Beskrivning: Ange en valfri beskrivning av principen.

   När du är klar på sidan Principnamn väljer du Nästa.

4. På sidan Användare, grupper och domäner identifierar du de interna mottagare som principen gäller för (mottagarvillkor):

   • Användare: De angivna postlådorna, e-postanvändarna eller e-postkontakterna.
   • Grupper:
     • Medlemmar i de angivna distributionsgrupperna eller e-postaktiverade säkerhetsgrupperna (dynamiska distributionsgrupper stöds inte).
     • Den angivna Microsoft 365-grupper.
   • Domäner: Alla mottagare i organisationen med en primär e-postadress i den angivna godkända domänen.

   Klicka i lämplig ruta, börja skriva in ett värde och välj det värde du vill använda i resultatet. Upprepa det här steget så många gånger som det behövs. Om du vill ta bort ett befintligt värde väljer du bredvid värdet.

   För användare eller grupper kan du använda de flesta identifierare (namn, visningsnamn, alias, e-postadress, kontonamn osv.), men motsvarande visningsnamn visas i resultatet. För användare eller grupper anger du en asterisk (*) för att se alla tillgängliga värden.

   Du kan bara använda ett villkor en gång, men villkoret kan innehålla flera värden:

   • Flera värden för samma villkor använder OR-logik (till exempel <mottagare1> eller <mottagare2>). Om mottagaren matchar något av de angivna värdena tillämpas principen på dem.

   • Olika typer av villkor använder AND-logik. Mottagaren måste matcha alla angivna villkor för att principen ska gälla för dem. Du kan till exempel konfigurera ett villkor med följande värden:

     • Användare: romain@contoso.com
     • Grupper: Chefer

     Principen tillämpas romain@contoso.comendast på om han också är medlem i gruppen Chefer. Annars tillämpas inte policyn på honom.

   • Exkludera dessa användare, grupper och domäner: Om du vill lägga till undantag för de interna mottagarna som principen gäller för (mottagarundantag), väljer du det här alternativet och konfigurerar undantagen.

     Du kan bara använda ett undantag en gång, men undantaget kan innehålla flera värden:

     • Flera värden för samma undantag använder OR-logik (till exempel <mottagare1> eller <mottagare2>). Om mottagaren matchar något av de angivna värdena tillämpas inte principen på dem.
     • Olika typer av undantag använder OR-logik (till exempel <mottagare1> eller <medlem i grupp1> eller <medlem i domän1>). Om mottagaren matchar något av de angivna undantagsvärdena tillämpas inte principen på dem.

   När du är klar på sidan Användare, grupper och domäner väljer du Nästa.

5. På sidan Nätfisketröskel & skydd konfigurerar du följande inställningar:

   • Tröskelvärde för nätfiskemeddelande: Använd skjutreglaget för att välja något av följande värden:

     • 1 – Standard (detta är standardvärdet.)
     • 2 - Aggressiv
     • 3 - Mer aggressiv
     • 4 - Mest aggressiva

     Mer information om den här inställningen finns i Avancerade tröskelvärden för nätfiske i principer för skydd mot nätfiske i Microsoft Defender för Office 365.

   • Personifiering: De här inställningarna är villkor för principen som identifierar specifika avsändare att söka efter (individuellt eller efter domän) i Från-adressen för inkommande meddelanden. Mer information finns i Personifieringsinställningar i principer för skydd mot nätfiske i Microsoft Defender för Office 365.

     • Aktivera användare att skydda: Den här inställningen är inte markerad som standard. Om du vill aktivera skydd mot användarpersonifiering markerar du kryssrutan och väljer sedan länken Hantera (nn) avsändare . Du identifierar åtgärden för identifiering av användarpersonifieringar på nästa sida.

       Du identifierar de interna och externa avsändare som ska skyddas genom kombinationen av deras visningsnamn och e-postadress.

       Välj Lägg till användare. Gör följande i den utfällbara menyn Lägg till användare som öppnas:

       • Interna användare: Klicka i rutan Lägg till ett giltigt e-postmeddelande eller börja skriva användarens e-postadress. Välj e-postadressen i listrutan Föreslagna kontakter som visas. Användarens visningsnamn läggs till i rutan Lägg till ett namn (som du kan ändra). När du är klar med att välja användaren väljer du Lägg till.

       • Externa användare: Skriv den externa användarens fullständiga e-postadress i rutan Lägg till ett giltigt e-postmeddelande och välj sedan e-postadressen i listrutan Föreslagna kontakter som visas. E-postadressen läggs också till i rutan Lägg till ett namn (som du kan ändra till ett visningsnamn).

       De användare som du har lagt till visas i den utfällbara menyn Lägg till användare efter Namn och Email adress. Om du vill ta bort en användare väljer du bredvid posten.

       När du är klar med den utfällbara menyn Lägg till användare väljer du Lägg till.

       Tillbaka i den utfällbara menyn Hantera avsändare för personifieringsskydd visas de användare som du har valt med visningsnamn och avsändarens e-postadress.

       Om du vill ändra listan över poster från normalt till kompakt avstånd väljer du Ändra listavstånd till komprimerat eller normalt och väljer sedan Komprimera lista.

       Använd rutan Search för att hitta poster i den utfällbara menyn.

       Om du vill lägga till poster väljer du Lägg till användare och upprepar föregående steg.

       Gör något av följande steg för att ta bort poster:

       • Markera en eller flera poster genom att markera den runda kryssrutan som visas i det tomma området bredvid visningsnamnets värde.
       • Markera alla poster samtidigt genom att markera den runda kryssrutan som visas i det tomma området bredvid kolumnrubriken Visningsnamn .

       När du är klar med den utfällbara menyn Hantera avsändare för personifieringsskydd väljer du Klar för att återgå till sidan För nätfisketröskel & skydd .

       Obs!

       Du kan ange högst 350 användare för skydd mot användarpersonifiering i varje princip för skydd mot nätfiske.

       Skydd mot personifiering av användare fungerar inte om avsändaren och mottagaren tidigare har kommunicerat via e-post. Om avsändaren och mottagaren aldrig har kommunicerat via e-post kan meddelandet identifieras som ett personifieringsförsök.

       Du kan få felet "E-postadressen finns redan" om du försöker lägga till en användare i användar personifieringsskydd när den e-postadressen redan har angetts för skydd mot användarpersonifiering i en annan princip för skydd mot nätfiske. Det här felet uppstår bara i Defender-portalen. Du får inte felet om du använder motsvarande TargetedUsersToProtect-parameter i cmdletarna New-AntiPhishPolicy eller Set-AntiPhishPolicy i Exchange Online PowerShell.

     • Aktivera domäner att skydda: Den här inställningen är inte markerad som standard. Om du vill aktivera skydd mot domänpersonifiering markerar du kryssrutan och konfigurerar sedan en eller båda av följande inställningar som visas. Du identifierar åtgärden för identifiering av domänpersonifiering på nästa sida.

       • Inkludera de domäner jag äger: Markera kryssrutan om du vill aktivera den här inställningen. Om du vill visa de domäner som du äger väljer du Visa mina domäner.

       • Inkludera anpassade domäner: Om du vill aktivera den här inställningen markerar du kryssrutan och väljer sedan länken Hantera (nn) anpassade domäner . I den utfällbara menyn Hantera anpassade domäner för personifieringsskydd som öppnas gör du följande:

       Välj Lägg till domäner.

       I den utfällbara menyn Lägg till anpassade domäner som visas klickar du i rutan Domän , anger ett domänvärde och väljer sedan det värde som visas under rutan. Upprepa det här steget så många gånger det behövs.

       De domäner som du har lagt till visas i den utfällbara menyn Lägg till anpassade domäner . Om du vill ta bort domänen väljer du bredvid värdet.

       När du är klar med den utfällbara menyn Lägg till anpassade domäner väljer du Lägg till domäner

       Tillbaka i den utfällbara menyn Hantera anpassade domäner för personifieringsskydd visas de domäner som du har angett.

       Om du vill ändra listan över poster från normalt till kompakt avstånd väljer du Ändra listavstånd till komprimerat eller normalt och väljer sedan Komprimera lista.

       Använd rutan Search för att hitta poster i den utfällbara menyn.

       Om du vill lägga till poster väljer du Lägg till domäner och upprepar föregående steg.

       Gör något av följande steg för att ta bort poster:

       • Markera en eller flera poster genom att markera den runda kryssrutan som visas i det tomma området bredvid domänvärdet.
       • Markera alla poster samtidigt genom att markera den runda kryssrutan som visas i det tomma området bredvid kolumnrubriken Domäner .

       När du är klar med den utfällbara menyn Hantera anpassade domäner för personifieringsskydd väljer du Klar för att återgå till tröskelvärdet för nätfiske & skydd .

     • Lägg till betrodda avsändare och domäner: Ange undantag för personifieringsskydd för principen genom att välja Hantera (nn) betrodda avsändare och domäner. På den utfällbara menyn Hantera anpassade domäner för personifieringsskydd som öppnas anger du avsändare på fliken Avsändare och domäner på fliken Domän .

       Obs!

       Det maximala antalet betrodda avsändare och domänposter är 1024.

       • Fliken Avsändare: Välj Lägg till avsändare.

         I den utfällbara menyn Lägg till betrodda avsändare som öppnas anger du en e-postadress i rutan Lägg till ett giltigt e-postmeddelande och väljer sedan Lägg till. Upprepa det här steget så många gånger det behövs. Om du vill ta bort en befintlig post väljer du för posten.

         När du är klar med den utfällbara menyn Lägg till betrodda avsändare väljer du Lägg till.

         Tillbaka på fliken Avsändare visas de angivna avsändarna.

         Om du vill ändra listan över poster från normalt till kompakt avstånd väljer du Ändra listavstånd till komprimerat eller normalt och väljer sedan Komprimera lista.

         Använd rutan Search för att hitta poster i den utfällbara menyn.

         Om du vill lägga till poster väljer du Lägg till avsändare och upprepar föregående steg.

         Gör något av följande steg för att ta bort poster:

         • Markera en eller flera poster genom att markera den runda kryssrutan som visas i det tomma området bredvid avsändarvärdet.
         • Markera alla poster samtidigt genom att markera den runda kryssrutan som visas i det tomma området bredvid kolumnrubriken Avsändare .

         När du är klar på fliken Avsändare i den utfällbara menyn Hantera anpassade domäner för personifieringsskydd väljer du fliken Domän för att lägga till domäner eller väljer Klar för att återgå till sidan Nätfisketröskel & skydd .

         Tips

         Om Microsoft 365-systemmeddelanden från följande avsändare identifieras som personifieringsförsök kan du lägga till avsändare i listan över betrodda avsändare:

         • noreply@email.teams.microsoft.com
         • noreply@emeaemail.teams.microsoft.com
         • no-reply@sharepointonline.com
         • noreply@planner.office365.com

       • Fliken Domän : Välj Lägg till domäner. I den utfällbara menyn Lägg till betrodda domäner som öppnas anger du domänen i rutan Domän och väljer sedan domänen i listrutan som visas. Upprepa det här steget så många gånger det behövs. Om du vill ta bort en befintlig post väljer du för posten.

         När du är klar med den utfällbara menyn Lägg till betrodda domäner väljer du Lägg till domäner.

         På fliken Domän visas nu de domäner som du har lagt till.

         Om du vill ändra listan över poster från normalt till kompakt avstånd väljer du Ändra listavstånd till komprimerat eller normalt och väljer sedan Komprimera lista.

         Använd rutan Search för att hitta poster på fliken.

         Om du vill lägga till poster väljer du Lägg till domäner och upprepar föregående steg.

         Gör något av följande steg för att ta bort poster:

         • Markera en eller flera poster genom att markera den runda kryssrutan som visas i det tomma området bredvid domänvärdet.
         • Markera alla poster samtidigt genom att markera den runda kryssrutan som visas i det tomma området bredvid kolumnrubriken Domän .

         När du är klar på fliken Domän i den utfällbara menyn Hantera anpassade domäner för personifieringsskydd väljer du fliken Avsändare för att lägga till avsändare eller väljer Klar för att återgå till tröskelvärdet för nätfiske & skyddssidan .

         Obs!

         Betrodda domänposter innehåller inte underdomäner för den angivna domänen. Du måste lägga till en post för varje underdomän.

       När du är klar med den utfällbara menyn Hantera anpassade domäner för personifieringsskydd väljer du Klarför att återgå till tröskelvärdet för nätfiske & skyddssidan .

     • Aktivera postlådeinformation: Den här inställningen är markerad som standard och vi rekommenderar att du låter den vara markerad. Avmarkera kryssrutan om du vill inaktivera postlådeinformation.

     • Aktivera intelligens för personifieringsskydd: Den här inställningen är endast tillgänglig om Aktivera postlådeinformation har valts. Med den här inställningen kan postlådeinformation vidta åtgärder för meddelanden som identifieras som personifieringsförsök. Du anger vilken åtgärd som ska vidtas för identifiering av postlådeinformation på nästa sida.

       Obs!

       Skydd mot postlådeinformation fungerar inte om avsändaren och mottagaren tidigare har kommunicerat via e-post. Om avsändaren och mottagaren aldrig har kommunicerat via e-post kan meddelandet identifieras som ett personifieringsförsök av postlådeinformation.

       Om du vill aktivera skydd mot postlådeinformation markerar du kryssrutan. Du anger åtgärden för identifiering av postlådeinformation på nästa sida.

   • Förfalskningsavsnitt : Använd kryssrutan Aktivera förfalskningsinformation för att aktivera eller inaktivera förfalskningsinformation. Den här inställningen är markerad som standard och vi rekommenderar att du låter den vara markerad. Du anger vilken åtgärd som ska vidtas för meddelanden från blockerade falska avsändare på nästa sida.

     Om du vill inaktivera förfalskningsinformation avmarkerar du kryssrutan.

     Obs!

     Du behöver inte inaktivera förfalskningsinformation om din MX-post inte pekar på Microsoft 365; du aktiverar utökad filtrering för anslutningsappar i stället. Anvisningar finns i Förbättrad filtrering för anslutningsappar i Exchange Online.

   När du är klar med tröskelvärdet för nätfiske & skydd väljer du Nästa.

6. På sidan Åtgärder konfigurerar du följande inställningar:

   • Avsnittet Meddelandeåtgärder : Konfigurera följande åtgärder:

     • Om ett meddelande identifieras som användarpersonifiering: Den här inställningen är endast tillgänglig om du har valt Aktivera användare att skydda på föregående sida. Välj någon av följande åtgärder i listrutan:

       • Tillämpa ingen åtgärd (standard)

       • Omdirigera meddelandet till andra e-postadresser

       • Flytta meddelandet till mottagarnas skräppostmappar Email

       • Placera meddelandet i karantän: Om du väljer den här åtgärden visas rutan Tillämpa karantänprincip där du väljer den karantänprincip som gäller för meddelanden som har placerats i karantän av användar personifieringsskydd. Karantänprinciper definierar vad användare kan göra för meddelanden i karantän och om användarna får karantänaviseringar. Mer information om karantänprinciper finns i Anatomi för en karantänprincip.

         Om du inte väljer en karantänprincip används standardprincipen för karantän för identifiering av användarpersonifiering (DefaultFullAccessPolicy). När du senare visar eller redigerar principinställningarna för skydd mot nätfiske visas namnet på karantänprincipen.

       • Leverera meddelandet och lägg till andra adresser på hemlig kopia

       • Ta bort meddelandet innan det levereras

     • Om meddelandet identifieras som en personifierad domän: Den här inställningen är endast tillgänglig om du har valt Aktivera domäner att skydda på föregående sida. Välj någon av följande åtgärder i listrutan:

       • Tillämpa ingen åtgärd (standard)

       • Omdirigera meddelandet till andra e-postadresser

       • Flytta meddelandet till mottagarnas skräppostmappar Email

       • Placera meddelandet i karantän: Om du väljer den här åtgärden visas rutan Tillämpa karantänprincip där du väljer den karantänprincip som gäller för meddelanden som har placerats i karantän av domänimitationsskydd.

         Om du inte väljer en karantänprincip används standardprincipen för karantän för identifiering av domänpersonifiering (DefaultFullAccessPolicy). När du senare visar eller redigerar principinställningarna för skydd mot nätfiske visas namnet på karantänprincipen.

       • Leverera meddelandet och lägg till andra adresser på hemlig kopia

       • Ta bort meddelandet innan det levereras

     • Om postlådeinformation identifierar en personifierad användare: Den här inställningen är endast tillgänglig om du har valt Aktivera intelligens för personifieringsskydd på föregående sida. Välj någon av följande åtgärder i listrutan:

       • Tillämpa ingen åtgärd (standard)

       • Omdirigera meddelandet till andra e-postadresser

       • Flytta meddelandet till mottagarnas skräppostmappar Email

       • Placera meddelandet i karantän: Om du väljer den här åtgärden visas rutan Tillämpa karantänprincip där du väljer den karantänprincip som gäller för meddelanden som placeras i karantän av postlådeskydd.

         Om du inte väljer en karantänprincip används standardprincipen för karantän för identifiering av postlådeinformation (DefaultFullAccessPolicy). När du senare visar eller redigerar principinställningarna för skydd mot nätfiske visas namnet på karantänprincipen.

       • Leverera meddelandet och lägg till andra adresser på hemlig kopia

       • Ta bort meddelandet innan det levereras

     • Respektera DMARC-postprincip när meddelandet identifieras som förfalskning: Den här inställningen är markerad som standard och gör att du kan styra vad som händer med meddelanden där avsändaren misslyckas med explicita DMARC-kontroller och DMARC-principen är inställd på p=quarantine eller p=reject:

       • Om meddelandet identifieras som förfalskning och DMARC-principen anges som p=quarantine: Välj någon av följande åtgärder:

         • Placera meddelandet i karantän: Det här är standardvärdet.
         • Flytta meddelandet till mottagarnas skräppostmappar Email

       • Om meddelandet identifieras som förfalskning och DMARC-principen anges som p=reject: Välj någon av följande åtgärder:

         • Placera meddelandet i karantän
         • Avvisa meddelandet: Det här är standardvärdet.

       Mer information finns i Spoof protection and sender DMARC policies (Förfalskningsskydd och DMARC-principer för avsändare).

     • Om meddelandet identifieras som förfalskning av förfalskningsinformation: Den här inställningen är endast tillgänglig om du har valt Aktivera förfalskningsinformation på föregående sida. Välj någon av följande åtgärder i listrutan för meddelanden från blockerade falska avsändare:

       • Flytta meddelandet till mottagarnas skräppostmappar Email (standard)

       • Placera meddelandet i karantän: Om du väljer den här åtgärden visas rutan Tillämpa karantänprincip där du väljer den karantänprincip som gäller för meddelanden som har placerats i karantän av skydd mot förfalskningsinformation.

         Om du inte väljer en karantänprincip används standardprincipen för karantän för identifiering av förfalskningsinformation (DefaultFullAccessPolicy). När du senare visar eller redigerar principinställningarna för skydd mot nätfiske visas namnet på karantänprincipen.

   • Avsnittet Säkerhetstips & indikatorer : Konfigurera följande inställningar:

     • Visa säkerhetstips för första kontakt: Mer information finns i Första kontaktsäkerhetstipset.
     • Visa säkerhetstips för användarpersonifiering: Den här inställningen är endast tillgänglig om du har valt Aktivera användare att skydda på föregående sida.
     • Visa säkerhetstips för domänpersonifiering: Den här inställningen är endast tillgänglig om du har valt Aktivera domäner att skydda på föregående sida.
     • Visa säkerhetstips för ovanliga tecken för användarimitation Den här inställningen är endast tillgänglig om du har valt Aktivera användare att skydda eller Aktivera domäner att skydda på föregående sida.
     • Visa (?) för oautentiserade avsändare för förfalskning: Den här inställningen är endast tillgänglig om du har valt Aktivera förfalskningsinformation på föregående sida. Lägger till ett frågetecken (?) i avsändarens foto i rutan Från i Outlook om meddelandet inte klarar SPF- eller DKIM-kontroller och meddelandet inte klarar DMARC eller sammansatt autentisering. Den här inställningen är markerad som standard.
     • Visa "via"-tagg: Den här inställningen är endast tillgänglig om du har valt Aktivera förfalskningsinformation på föregående sida. Lägger till taggen med namnet via (chris@contoso.com via fabrikam.com) till Från-adressen om den skiljer sig från domänen i DKIM-signaturen eller MAIL FROM-adressen . Den här inställningen är markerad som standard.

     Om du vill aktivera en inställning markerar du kryssrutan. Avmarkera kryssrutan om du vill inaktivera den.

   När du är klar på sidan Åtgärder väljer du Nästa.

7. Granska inställningarna på sidan Granska . Du kan välja Redigera i varje avsnitt om du vill ändra inställningarna i avsnittet. Eller så kan du välja Tillbaka eller den specifika sidan i guiden.

   När du är klar på sidan Granska väljer du Skicka.

8. På sidan Ny princip för skydd mot nätfiske som skapats kan du välja länkarna för att visa principen, visa principer för skydd mot nätfiske och lära dig mer om principer för skydd mot nätfiske.

   När du är klar på sidan Ny princip för skydd mot nätfiske som skapats väljer du Klar.

   Tillbaka på sidan Skydd mot nätfiske visas den nya principen.

Använd Microsoft Defender-portalen för att visa information om principer för skydd mot nätfiske

I Microsoft Defender-portalen går du till Email & Samarbetsprinciper>& Regler>Hotprinciper>Skydd mot nätfiske i avsnittet Principer. Om du vill gå direkt till sidan Skydd mot nätfiske använder du https://security.microsoft.com/antiphishing.

På sidan Skydd mot nätfiske visas följande egenskaper i listan över principer för skydd mot nätfiske:

• Namn
• Status: Värden är:
  • Alltid på för standardprincipen för skydd mot nätfiske.
  • På eller av för andra principer för skräppostskydd.
• Prioritet: Mer information finns i avsnittet Ange prioritet för anpassade principer för skräppostskydd . Om du vill ändra listan över principer från normalt till kompakt avstånd väljer du Ändra listavstånd till kompakt eller normal och väljer sedan Komprimera lista.

Välj Filtrera för att filtrera principerna efter tidsintervall (skapandedatum) eller Status.

Använd rutan Search och ett motsvarande värde för att hitta specifika principer för skydd mot nätfiske.

Använd Exportera för att exportera listan över principer till en CSV-fil.

Markera en princip genom att klicka någonstans på raden förutom kryssrutan bredvid namnet för att öppna den utfällbara menyn med information för principen.

Tips

Om du vill se information om andra principer för skydd mot nätfiske utan att lämna utfällbara information använder du Föregående objekt och Nästa objekt överst i den utfällbara menyn.

Använd Microsoft Defender-portalen för att vidta åtgärder mot nätfiskeprinciper

1. I Microsoft Defender-portalen går du till Email & Samarbetsprinciper>& Regler>Hotprinciper>Skydd mot nätfiske i avsnittet Principer. Om du vill gå direkt till sidan Skydd mot nätfiske använder du https://security.microsoft.com/antiphishing.

2. På sidan Skydd mot nätfiske väljer du principen för skydd mot nätfiske med någon av följande metoder:

   • Markera principen i listan genom att markera kryssrutan bredvid namnet. Följande åtgärder är tillgängliga i listrutan Fler åtgärder som visas:

     • Aktivera valda principer.
     • Inaktivera valda principer.
     • Ta bort markerade principer.

     

   • Markera principen i listan genom att klicka någonstans på raden förutom kryssrutan bredvid namnet. Vissa eller alla följande åtgärder är tillgängliga i den utfällbara menyn med information som öppnas:

     • Ändra principinställningar genom att välja Redigera i varje avsnitt (anpassade principer eller standardprincipen)
     • Aktivera eller inaktivera (endast anpassade principer)
     • Öka prioritet eller Minska prioritet (endast anpassade principer)
     • Ta bort princip (endast anpassade principer)

     

Åtgärderna beskrivs i följande underavsnitt.

Använd Microsoft Defender-portalen för att ändra principer för skydd mot nätfiske

När du har valt standardprincipen för skydd mot nätfiske eller en anpassad princip genom att klicka var som helst på raden, förutom kryssrutan bredvid namnet, visas principinställningarna i den utfällbara menyn med information som öppnas. Välj Redigera i varje avsnitt för att ändra inställningarna i avsnittet. Mer information om inställningarna finns i avsnittet skapa principer för skydd mot nätfiske tidigare i den här artikeln.

För standardprincipen kan du inte ändra namnet på principen och det finns inga mottagarfilter att konfigurera (principen gäller för alla mottagare). Men du kan ändra alla andra inställningar i principen.

För principer för skydd mot nätfiske med namnet StandardFörinställningssäkerhetsprincip och Strikt förinställd säkerhetsprincip som är associerade med förinställda säkerhetsprinciper kan du inte ändra principinställningarna i den utfällbara menyn med information. I stället väljer du Visa förinställda säkerhetsprinciper i den utfällbara menyn information för att gå till sidan Förinställda säkerhetsprinciper för https://security.microsoft.com/presetSecurityPolicies att ändra de förinställda säkerhetsprinciperna.

Använd Microsoft Defender-portalen för att aktivera eller inaktivera anpassade principer för skydd mot nätfiske

Du kan inte inaktivera standardprincipen för skydd mot nätfiske (den är alltid aktiverad).

Du kan inte aktivera eller inaktivera de principer för skydd mot nätfiske som är associerade med standard- och strikt förinställda säkerhetsprinciper. Du aktiverar eller inaktiverar standard- eller strikt förinställda säkerhetsprinciper på sidan Förinställda säkerhetsprinciper på https://security.microsoft.com/presetSecurityPolicies.

När du har valt en aktiverad anpassad princip för skydd mot nätfiske ( statusvärdet är På) använder du någon av följande metoder för att inaktivera den:

• På sidan Skydd mot nätfiske: Välj Fler åtgärder>Inaktivera valda principer.
• I den utfällbara menyn med information om principen: Välj Inaktivera överst i den utfällbara menyn.

När du har valt en inaktiverad anpassad princip för skydd mot nätfiske ( statusvärdet är Av) använder du någon av följande metoder för att aktivera den:

• På sidan Skydd mot nätfiske: Välj Fler åtgärder>Aktivera valda principer.
• I den utfällbara menyn med information om principen: Välj Aktivera överst i den utfällbara menyn.

På sidan Skydd mot nätfiske är statusvärdet för principen nu På eller Av.

Använd Microsoft Defender-portalen för att ange prioriteten för anpassade principer för skydd mot nätfiske

Principer för skydd mot nätfiske bearbetas i den ordning som de visas på sidan Skydd mot nätfiske :

• Principen för skydd mot nätfiske med namnet Strikt förinställd säkerhetsprincip som är associerad med den strikta förinställda säkerhetsprincipen tillämpas alltid först (om den strikta förinställda säkerhetsprincipen är aktiverad).
• Principen för skydd mot nätfiske med namnet StandardFörinställningssäkerhetsprincip som är associerad med standardförinställningens säkerhetsprincip tillämpas alltid härnäst (om standardförinställningens säkerhetsprincip är aktiverad).
• Anpassade principer för skydd mot nätfiske tillämpas härnäst i prioritetsordning (om de är aktiverade):
  • Ett lägre prioritetsvärde anger en högre prioritet (0 är den högsta).
  • Som standard skapas en ny princip med en prioritet som är lägre än den lägsta befintliga anpassade principen (den första är 0, nästa är 1 osv.).
  • Inga två principer kan ha samma prioritetsvärde.
• Standardprincipen för skydd mot nätfiske har alltid prioritetsvärdet Lägsta och du kan inte ändra det.

Skydd mot nätfiske stoppas för en mottagare när den första principen har tillämpats (den högsta prioritetsprincipen för mottagaren). Mer information finns i Ordning och prioritet för e-postskydd.

När du har valt den anpassade principen för skydd mot nätfiske genom att klicka någon annanstans på raden än kryssrutan bredvid namnet kan du öka eller minska prioriteten för principen i den utfällbara menyn med information som öppnas:

• Den anpassade principen med prioritetsvärdet0 på sidan Skydd mot nätfiske har åtgärden Minska prioritet överst i den utfällbara menyn med information.
• Den anpassade principen med lägst prioritet (högsta prioritetsvärde, till exempel 3) har åtgärden Öka prioritet överst i den utfällbara menyn med information.
• Om du har tre eller flera principer har principerna mellan Prioritet 0 och den lägsta prioriteten både åtgärderna Öka prioritet och Minska prioritet högst upp i den utfällbara menyn.

När du är klar med den utfällbara menyn principinformation väljer du Stäng.

På sidan Skydd mot nätfiske matchar ordningen på principen i listan det uppdaterade prioritetsvärdet .

Använd Microsoft Defender-portalen för att ta bort anpassade principer för skydd mot nätfiske

Du kan inte ta bort standardprincipen för skydd mot nätfiske eller principer för skydd mot nätfiske med namnet StandardFörinställningssäkerhetsprincip och Strikt förinställd säkerhetsprincip som är associerade med förinställda säkerhetsprinciper.

När du har valt den anpassade principen för skydd mot nätfiske använder du någon av följande metoder för att ta bort den:

• På sidan Skydd mot nätfiske: Välj Fler åtgärder>Ta bort valda principer.
• I den utfällbara menyn med information om principen: Välj Ta bort princip överst i den utfällbara menyn.

Välj Ja i varningsdialogrutan som öppnas.

På sidan Skydd mot nätfiske visas inte längre den borttagna principen.

Använd Exchange Online PowerShell för att konfigurera principer för skydd mot nätfiske

I PowerShell är de grundläggande elementen i en princip för skydd mot nätfiske:

• Principen för skydd mot nätfiske: Anger vilka nätfiskeskydd som ska aktiveras eller inaktiveras, vilka åtgärder som ska tillämpas för dessa skydd och andra alternativ.
• Regeln för skydd mot nätfiske: Anger prioritets- och mottagarfilter (som principen gäller för) för den associerade principen för nätfiske.

Skillnaden mellan dessa två element är inte uppenbar när du hanterar principer för skydd mot nätfiske i Microsoft Defender-portalen:

• När du skapar en princip i Defender-portalen skapar du faktiskt en anti-nätfiskeregel och den associerade principen mot nätfiske samtidigt med samma namn för båda.
• När du ändrar en princip i Defender-portalen ändrar inställningar relaterade till namn, prioritet, aktiverad eller inaktiverad och mottagarfilter anti-nätfiskeregeln. Alla andra inställningar ändrar den associerade principen för nätfiske.
• När du tar bort en princip i Defender-portalen tas anti-nätfiskeregeln och den associerade principen mot nätfiske bort samtidigt.

I Exchange Online PowerShell är skillnaden mellan anti-nätfiskeprinciper och regler mot nätfiske uppenbar. Du hanterar principer mot nätfiske med hjälp av cmdletarna *-AntiPhishPolicy och du hanterar regler mot nätfiske med hjälp av cmdletarna *-AntiPhishRule .

• I PowerShell skapar du först principen mot nätfiske och sedan skapar du regeln mot nätfiske, som identifierar den associerade princip som regeln gäller för.
• I PowerShell ändrar du inställningarna i principen för skydd mot nätfiske och regeln för nätfiske separat.
• När du tar bort en princip mot nätfiske från PowerShell tas inte motsvarande regel mot nätfiske bort automatiskt, och vice versa.

Använda PowerShell för att skapa principer för skydd mot nätfiske

Att skapa en princip för skydd mot nätfiske i PowerShell är en tvåstegsprocess:

1. Skapa principen för skydd mot nätfiske.
2. Skapa den anti-nätfiskeregel som anger den anti-nätfiskeprincip som regeln gäller för.

Anmärkningar:

• Du kan skapa en ny anti-nätfiskeregel och tilldela en befintlig, oassocierad anti-nätfiskeprincip till den. En anti-nätfiskeregel kan inte associeras med mer än en princip mot nätfiske.
• Du kan konfigurera följande inställningar för nya principer för skydd mot nätfiske i PowerShell som inte är tillgängliga i Microsoft Defender-portalen förrän du har skapat principen:
  • Skapa den nya principen som inaktiverad (aktiverad$false i cmdleten New-AntiPhishRule ).
  • Ange prioriteten för principen vid skapande (prioritetsnummer<>) på cmdleten New-AntiPhishRule).
• En ny princip mot nätfiske som du skapar i PowerShell visas inte i Microsoft Defender-portalen förrän du tilldelar principen till en anti-nätfiskeregel.

Steg 1: Använda PowerShell för att skapa en princip mot nätfiske

Om du vill skapa en princip mot nätfiske använder du den här syntaxen:

New-AntiPhishPolicy -Name "<PolicyName>" [-AdminDisplayName "<Comments>"] <Additional Settings>

Det här exemplet skapar en princip mot nätfiske med namnet Research Quarantine med följande inställningar:

• Principen är aktiverad (vi använder inte parametern Enabled och standardvärdet är $true).
• Beskrivningen är: Forskningsavdelningens policy.
• Aktiverar skydd av organisationsdomäner för alla godkända domäner och måldomänskydd för fabrikam.com.
• Anger Karantän som åtgärd för identifiering av domänpersonifiering och använder standardprincipen för karantän för meddelanden i karantän (vi använder inte parametern TargetedDomainQuarantineTag ).
• Anger Mai Fujito (mfujito@fabrikam.com) som användare för att skydda mot personifiering.
• Anger Karantän som åtgärd för identifiering av användarpersonifieringar och använder standardprincipen för karantän för meddelanden i karantän (vi använder inte parametern TargetedUserQuarantineTag ).
• Aktiverar postlådeinformation (EnableMailboxIntelligence), tillåter att postlådeinformationsskydd vidtar åtgärder för meddelanden (EnableMailboxIntelligenceProtection), anger Karantän som åtgärd för identifierade meddelanden och använder standardprincipen för karantän för meddelanden i karantän (vi använder inte parametern MailboxIntelligenceQuarantineTag ).
• Ändrar standardåtgärden för förfalskningsidentifieringar till Karantän och använder standardprincipen för karantän för meddelanden i karantän (vi använder inte parametern SpoofQuarantineTag ).
• DMARC-principer för avsändare är aktiverade p=quarantinep=reject som standard (vi använder inte parametern HonorDmarcPolicy och standardvärdet är $true).
  • Meddelanden som inte klarar DMARC där avsändarens DMARC-princip är p=quarantine i karantän (vi använder inte parametern DmarcQuarantineAction och standardvärdet är Karantän).
  • Meddelanden som misslyckas med DMARC där avsändarens DMARC-princip p=reject avvisas (vi använder inte parametern DmarcRejectAction och standardvärdet är Avvisa).
• Aktiverar alla säkerhetstips.

New-AntiPhishPolicy -Name "Monitor Policy" -AdminDisplayName "Research department policy" -EnableOrganizationDomainsProtection $true -EnableTargetedDomainsProtection $true -TargetedDomainsToProtect fabrikam.com -TargetedDomainProtectionAction Quarantine -EnableTargetedUserProtection $true -TargetedUsersToProtect "Mai Fujito;mfujito@fabrikam.com" -TargetedUserProtectionAction Quarantine -EnableMailboxIntelligence $true -EnableMailboxIntelligenceProtection $true -MailboxIntelligenceProtectionAction -AuthenticationFailAction Quarantine -EnableSimilarUsersSafetyTips $true -EnableSimilarDomainsSafetyTips $true -EnableUnusualCharactersSafetyTips $true

Detaljerad information om syntax och parametrar finns i New-AntiPhishPolicy.

Tips

Detaljerade anvisningar för att ange karantänprinciper som ska användas i en princip mot nätfiske finns i Använda PowerShell för att ange karantänprincipen i principer för skydd mot nätfiske.

Steg 2: Använda PowerShell för att skapa en anti-nätfiskeregel

Om du vill skapa en regel mot nätfiske använder du den här syntaxen:

New-AntiPhishRule -Name "<RuleName>" -AntiPhishPolicy "<PolicyName>" <Recipient filters> [<Recipient filter exceptions>] [-Comments "<OptionalComments>"]

Det här exemplet skapar en anti-nätfiskeregel med namnet Research Department med följande villkor:

• The rule is associated with the anti-phish policy named Research Quarantine.
• Regeln gäller för medlemmar i gruppen med namnet Forskningsavdelning.
• Eftersom vi inte använder parametern Prioritet används standardprioriteten.

New-AntiPhishRule -Name "Research Department" -AntiPhishPolicy "Research Quarantine" -SentToMemberOf "Research Department"

Detaljerad information om syntax och parametrar finns i New-AntiPhishRule.

Använda PowerShell för att visa principer för skydd mot nätfiske

Om du vill visa befintliga principer för nätfiske använder du följande syntax:

Get-AntiPhishPolicy [-Identity "<PolicyIdentity>"] [| <Format-Table | Format-List> <Property1,Property2,...>]

Det här exemplet returnerar en sammanfattningslista över alla principer för skydd mot nätfiske tillsammans med de angivna egenskaperna.

Get-AntiPhishPolicy | Format-Table Name,IsDefault

Det här exemplet returnerar alla egenskapsvärden för principen mot nätfiske med namnet Chefer.

Get-AntiPhishPolicy -Identity "Executives"

Detaljerad information om syntax och parametrar finns i Get-AntiPhishPolicy.

Använda PowerShell för att visa regler mot nätfiske

Om du vill visa befintliga regler mot nätfiske använder du följande syntax:

Get-AntiPhishRule [-Identity "<RuleIdentity>"] [-State <Enabled | Disabled] [| <Format-Table | Format-List> <Property1,Property2,...>]

Det här exemplet returnerar en sammanfattningslista över alla regler mot nätfiske tillsammans med de angivna egenskaperna.

Get-AntiPhishRule | Format-Table Name,Priority,State

Om du vill filtrera listan efter aktiverade eller inaktiverade regler kör du följande kommandon:

Get-AntiPhishRule -State Disabled | Format-Table Name,Priority

Get-AntiPhishRule -State Enabled | Format-Table Name,Priority

Det här exemplet returnerar alla egenskapsvärden för regeln mot nätfiske med namnet Contoso Executives.

Get-AntiPhishRule -Identity "Contoso Executives"

Detaljerad information om syntax och parametrar finns i Get-AntiPhishRule.

Använda PowerShell för att ändra principer för nätfiske

Förutom följande objekt är samma inställningar tillgängliga när du ändrar en princip mot nätfiske i PowerShell som när du skapar principen enligt beskrivningen i avsnittet Steg 1: Använd PowerShell för att skapa en princip mot nätfiske tidigare i den här artikeln.

• MakeDefault-växeln som omvandlar den angivna principen till standardprincipen (tillämpas på alla, alltid Lägsta prioritet och du kan inte ta bort den) är bara tillgänglig när du ändrar en princip mot nätfiske i PowerShell.

• Du kan inte byta namn på en anti-nätfiskeprincip (cmdleten Set-AntiPhishPolicy har ingen namnparameter ). När du byter namn på en princip för skydd mot nätfiske i Microsoft Defender-portalen byter du bara namn på regeln mot nätfiske.

Om du vill ändra en princip mot nätfiske använder du den här syntaxen:

Set-AntiPhishPolicy -Identity "<PolicyName>" <Settings>

Detaljerad information om syntax och parametrar finns i Set-AntiPhishPolicy.

Tips

Detaljerade anvisningar för att ange karantänprinciper som ska användas i en princip mot nätfiske finns i Använda PowerShell för att ange karantänprincipen i principer för skydd mot nätfiske.

Använda PowerShell för att ändra regler mot nätfiske

Den enda inställningen som inte är tillgänglig när du ändrar en regel mot nätfiske i PowerShell är parametern Enabled som gör att du kan skapa en inaktiverad regel. Information om hur du aktiverar eller inaktiverar befintliga regler mot nätfiske finns i nästa avsnitt.

Annars är inga ytterligare inställningar tillgängliga när du ändrar en regel mot nätfiske i PowerShell. Samma inställningar är tillgängliga när du skapar en regel enligt beskrivningen i avsnittet Steg 2: Använd PowerShell för att skapa en regel mot nätfiske tidigare i den här artikeln.

Om du vill ändra en anti-nätfiskeregel använder du den här syntaxen:

Set-AntiPhishRule -Identity "<RuleName>" <Settings>

Detaljerad information om syntax och parametrar finns i Set-AntiPhishRule.

Använda PowerShell för att aktivera eller inaktivera regler mot nätfiske

Om du aktiverar eller inaktiverar en anti-nätfiskeregel i PowerShell aktiveras eller inaktiveras hela principen för skydd mot nätfiske (regeln mot nätfiske och den tilldelade principen för nätfiske). Du kan inte aktivera eller inaktivera standardprincipen för skydd mot nätfiske (den tillämpas alltid på alla mottagare).

Om du vill aktivera eller inaktivera en anti-nätfiskeregel i PowerShell använder du den här syntaxen:

<Enable-AntiPhishRule | Disable-AntiPhishRule> -Identity "<RuleName>"

Det här exemplet inaktiverar regeln mot nätfiske med namnet Marknadsföringsavdelning.

Disable-AntiPhishRule -Identity "Marketing Department"

I det här exemplet aktiveras samma regel.

Enable-AntiPhishRule -Identity "Marketing Department"

Detaljerad information om syntax och parametrar finns i Enable-AntiPhishRule och Disable-AntiPhishRule.

Använd PowerShell för att ange prioriteten för regler mot nätfiske

Det högsta prioritetsvärde du kan ange för en regel är 0. Det lägsta värde du kan ange beror på antalet regler. Om du till exempel har fem regler kan du använda prioritetsvärden från 0 till 4. Om du ändrar prioriteten för en befintlig regel kan det ha en dominoeffekt på andra regler. Om du till exempel har fem anpassade regler (prioriteterna 0 till 4) och du ändrar prioriteten för en regel till 2 ändras den befintliga regeln med prioritet 2 till prioritet 3, och regeln med prioritet 3 ändras till prioritet 4.

Om du vill ange prioriteten för en anti-nätfiskeregel i PowerShell använder du följande syntax:

Set-AntiPhishRule -Identity "<RuleName>" -Priority <Number>

I det här exemplet anges prioriteten för regeln med namnet Marketing Department till 2. Alla befintliga regler som har en prioritet som är mindre än eller lika med 2 minskas med 1 (deras prioritetsnummer ökas med 1).’

Set-AntiPhishRule -Identity "Marketing Department" -Priority 2

Anmärkningar:

• Om du vill ange prioriteten för en ny regel när du skapar den använder du parametern Prioritet i cmdleten New-AntiPhishRule i stället.
• Standardprincipen för skydd mot nätfiske har ingen motsvarande regel mot nätfiske och har alltid det omodifierbara prioritetsvärdet Lägsta.

Använda PowerShell för att ta bort principer för nätfiske

När du använder PowerShell för att ta bort en princip mot nätfiske tas inte motsvarande regel mot nätfiske bort.

Om du vill ta bort en princip mot nätfiske i PowerShell använder du den här syntaxen:

Remove-AntiPhishPolicy -Identity "<PolicyName>"

Det här exemplet tar bort principen mot nätfiske med namnet Marknadsföringsavdelning.

Remove-AntiPhishPolicy -Identity "Marketing Department"

Detaljerad information om syntax och parametrar finns i Remove-AntiPhishPolicy.

Använda PowerShell för att ta bort regler mot nätfiske

När du använder PowerShell för att ta bort en anti-nätfiskeregel tas inte motsvarande princip mot nätfiske bort.

Om du vill ta bort en regel mot nätfiske i PowerShell använder du den här syntaxen:

Remove-AntiPhishRule -Identity "<PolicyName>"

Det här exemplet tar bort regeln mot nätfiske med namnet Marknadsföringsavdelning.

Remove-AntiPhishRule -Identity "Marketing Department"

Detaljerad information om syntax och parametrar finns i Remove-AntiPhishRule.

Hur vet jag att de här procedurerna fungerade?

Gör något av följande för att kontrollera att du har konfigurerat principer för skydd mot nätfiske i Defender för Office 365:

• På sidan Skydd mot nätfiske i Microsoft Defender-portalen på https://security.microsoft.com/antiphishingkontrollerar du listan över principer, deras statusvärden och deras prioritetsvärden. Om du vill visa mer information markerar du principen i listan genom att klicka var som helst på raden förutom kryssrutan bredvid namnet och visa informationen i den utfällbara menyn som visas.

• I Exchange Online PowerShell ersätter du <Namn> med namnet på principen eller regeln och kör följande kommando och kontrollerar inställningarna:

  Get-AntiPhishPolicy -Identity "<Name>"
  

  Get-AntiPhishRule -Identity "<Name>"