Rekommenderade inställningar för EOP och Microsoft Defender för Office 365 säkerhet
Tips
Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkoren här.
Exchange Online Protection (EOP) är kärnan i säkerheten för Microsoft 365-prenumerationer och hjälper till att förhindra att skadliga e-postmeddelanden når medarbetarens inkorgar. Men med nya, mer sofistikerade attacker som dyker upp varje dag krävs ofta bättre skydd. Microsoft Defender för Office 365 Plan 1 eller Plan 2 innehåller ytterligare funktioner som ger fler lager av säkerhet, kontroll och undersökning.
Även om vi ger säkerhetsadministratörer möjlighet att anpassa sina säkerhetsinställningar finns det två säkerhetsnivåer i EOP och Microsoft Defender för Office 365 som vi rekommenderar: Standard och Strikt. Även om kundmiljöer och behov skiljer sig åt kan dessa nivåer av filtrering förhindra att oönskad e-post når dina anställdas inkorg i de flesta situationer.
Om du vill tillämpa standard- eller strikt-inställningarna automatiskt på användare läser du Förinställda säkerhetsprinciper i EOP och Microsoft Defender för Office 365.
Den här artikeln beskriver standardinställningarna och de rekommenderade standard- och strikta inställningarna för att skydda dina användare. Tabellerna innehåller inställningarna i Microsoft Defender-portalen och PowerShell (Exchange Online PowerShell eller fristående Exchange Online Protection PowerShell för organisationer utan Exchange Online postlådor).
Obs!
Modulen Office 365 Advanced Threat Protection Recommended Configuration Analyzer (ORCA) för PowerShell kan hjälpa administratörer att hitta de aktuella värdena för de här inställningarna. Mer specifikt genererar cmdleten Get-ORCAReport en utvärdering av inställningar för skräppostskydd, skydd mot nätfiske och andra inställningar för meddelandehygien. Du kan ladda ned ORCA-modulen på https://www.powershellgallery.com/packages/ORCA/.
I Microsoft 365-organisationer rekommenderar vi att du lämnar Email skräppostfiltret i Outlook inställt på Ingen automatisk filtrering för att förhindra onödiga konflikter (både positiva och negativa) med utfallet för skräppostfiltrering från EOP. Mer information finns i följande artiklar:
Skydd mot skräppost, skadlig kod och skydd mot nätfiske i EOP
Skräppostskydd, skadlig kod och skydd mot nätfiske är EOP-funktioner som kan konfigureras av administratörer. Vi rekommenderar följande Standard- eller Strict-konfigurationer.
Principinställningar för EOP-skydd mot skadlig kod
Information om hur du skapar och konfigurerar principer för skydd mot skadlig kod finns i Konfigurera principer för skydd mot skadlig kod i EOP.
Karantänprinciper definierar vad användare kan göra för meddelanden i karantän och om användarna får karantänaviseringar. Mer information finns i Anatomi för en karantänprincip.
Principen AdminOnlyAccessPolicy tillämpar historiska funktioner för meddelanden som har satts i karantän som skadlig kod enligt beskrivningen i tabellen här.
Användare kan inte släppa sina egna meddelanden som har satts i karantän som skadlig kod, oavsett hur karantänprincipen konfigureras. Om principen tillåter användare att släppa sina egna meddelanden i karantän får användarna i stället begära att meddelanden om skadlig kod i karantän släpps.
| Namn på säkerhetsfunktion | Standard | Standard | Strikt | Kommentar |
|---|---|---|---|---|
| Skyddsinställningar | ||||
| Aktivera det vanliga filtret för bifogade filer (EnableFileFilter) | Markerad ($true)* |
Markerad ($true) |
Markerad ($true) |
En lista över filtyper i det vanliga filtret för bifogade filer finns i Common attachments filter in anti-malware policies (Vanliga bifogade filer i principer för skydd mot skadlig kod). * Det vanliga filtret för bifogade filer är aktiverat som standard i nya principer för skydd mot skadlig kod som du skapar i Defender-portalen eller i PowerShell, och i standardprincipen för skydd mot skadlig kod i organisationer som skapats efter den 1 december 2023. |
| Vanliga meddelanden om filter för bifogade filer: När dessa filtyper hittas (FileTypeAction) | Avvisa meddelandet med en icke-leveransrapport (NDR) (Reject) |
Avvisa meddelandet med en icke-leveransrapport (NDR) (Reject) |
Avvisa meddelandet med en icke-leveransrapport (NDR) (Reject) |
|
| Aktivera automatisk rensning utan timme för skadlig kod (ZapEnabled) | Markerad ($true) |
Markerad ($true) |
Markerad ($true) |
|
| Karantänprincip (QuarantineTag) | AdminOnlyAccessPolicy | AdminOnlyAccessPolicy | AdminOnlyAccessPolicy | |
| Admin meddelanden | ||||
| Meddela en administratör om meddelanden som inte har levererats från interna avsändare (EnableInternalSenderAdminNotifications och InternalSenderAdminAddress) | Inte markerat ($false) |
Inte markerat ($false) |
Inte markerat ($false) |
Vi har ingen specifik rekommendation för den här inställningen. |
| Meddela en administratör om meddelanden som inte har levererats från externa avsändare (EnableExternalSenderAdminNotifications och ExternalSenderAdminAddress) | Inte markerat ($false) |
Inte markerat ($false) |
Inte markerat ($false) |
Vi har ingen specifik rekommendation för den här inställningen. |
| Anpassa meddelanden | Vi har inga specifika rekommendationer för de här inställningarna. | |||
| Använda anpassad meddelandetext (CustomNotifications) | Inte markerat ($false) |
Inte markerat ($false) |
Inte markerat ($false) |
|
| Från namn (CustomFromName) | Tom | Tom | Tom | |
| Från adress (CustomFromAddress) | Tom | Tom | Tom | |
| Anpassa meddelanden för meddelanden från interna avsändare | De här inställningarna används endast om Meddela en administratör om meddelanden som inte har levererats från interna avsändare har valts . | |||
| Ämne (CustomInternalSubject) | Tom | Tom | Tom | |
| Meddelande (CustomInternalBody) | Tom | Tom | Tom | |
| Anpassa meddelanden för meddelanden från externa avsändare | De här inställningarna används endast om Meddela en administratör om meddelanden som inte har levererats från externa avsändare har valts . | |||
| Ämne (CustomExternalSubject) | Tom | Tom | Tom | |
| Meddelande (CustomExternalBody) | Tom | Tom | Tom |
Principinställningar för EOP-skräppostskydd
Information om hur du skapar och konfigurerar principer för skräppostskydd finns i Konfigurera principer för skräppostskydd i EOP.
Oavsett var du väljer Karantänmeddelande som åtgärd för en bedömning av skräppostfilter är rutan Välj karantänprincip tillgänglig. Karantänprinciper definierar vad användare kan göra för meddelanden i karantän och om användarna får karantänaviseringar. Mer information finns i Anatomi för en karantänprincip.
Om du ändrar åtgärden för en bedömning av skräppostfiltrering till Karantänmeddelande när du skapar principer för skräppostskydd i Defender-portalen är rutan Välj karantänprincip tom som standard. Ett tomt värde innebär att standardprincipen för karantän för den utfallet för skräppostfiltrering används. Dessa standardprinciper för karantän tillämpar historiska funktioner för skräppostfiltrets bedömning som satte meddelandet i karantän enligt beskrivningen i tabellen här. När du senare visar eller redigerar principinställningarna för skräppostskydd visas namnet på karantänprincipen.
Administratörer kan skapa eller använda karantänprinciper med mer restriktiva eller mindre restriktiva funktioner. Anvisningar finns i Skapa karantänprinciper i Microsoft Defender-portalen.
| Namn på säkerhetsfunktion | Standard | Standard | Strikt | Kommentar |
|---|---|---|---|---|
| Tröskelvärde för massutskick & egenskaper för skräppost | ||||
| Tröskelvärde för massutskick (BulkThreshold) | 7 | 6 | 5 | Mer information finns i Massklagomålsnivå (BCL) i EOP. |
| Massutskick av skräppost (MarkAsSpamBulkMail) | (On) |
(On) |
(On) |
Den här inställningen är endast tillgänglig i PowerShell. |
| Öka inställningarna för skräppostpoäng | Alla dessa inställningar ingår i ASF (Advanced Spam Filter). Mer information finns i avsnittet ASF-inställningar i principer för skräppostskydd i den här artikeln. | |||
| Markera som skräppostinställningar | De flesta av de här inställningarna ingår i ASF. Mer information finns i avsnittet ASF-inställningar i principer för skräppostskydd i den här artikeln. | |||
| Innehåller specifika språk (EnableLanguageBlockList och LanguageBlockList) | Av ($false och tom) |
Av ($false och tom) |
Av ($false och tom) |
Vi har ingen specifik rekommendation för den här inställningen. Du kan blockera meddelanden på specifika språk baserat på dina affärsbehov. |
| Från dessa länder (EnableRegionBlockList och RegionBlockList) | Av ($false och tom) |
Av ($false och tom) |
Av ($false och tom) |
Vi har ingen specifik rekommendation för den här inställningen. Du kan blockera meddelanden från specifika länder/regioner baserat på dina affärsbehov. |
| Testläge (TestModeAction) | Ingen | Ingen | Ingen | Den här inställningen är en del av ASF. Mer information finns i avsnittet ASF-inställningar i principer för skräppostskydd i den här artikeln. |
| Åtgärder | ||||
| Åtgärd för identifiering av skräppost (SpamAction) | Flytta meddelandet till mappen Skräppost Email (MoveToJmf) |
Flytta meddelandet till mappen Skräppost Email (MoveToJmf) |
Karantänmeddelande (Quarantine) |
|
| Karantänprincip för skräppost (SpamQuarantineTag) | DefaultFullAccessPolicyformati | DefaultFullAccessPolicy | DefaultFullAccessWithNotificationPolicy | Karantänprincipen är bara meningsfull om skräppostidentifieringar sätts i karantän. |
| Skräppostidentifiering med hög konfidens (HighConfidenceSpamAction) | Flytta meddelandet till mappen Skräppost Email (MoveToJmf) |
Karantänmeddelande (Quarantine) |
Karantänmeddelande (Quarantine) |
|
| Karantänprincip för skräppost med hög konfidens (HighConfidenceSpamQuarantineTag) | DefaultFullAccessPolicyformati | DefaultFullAccessWithNotificationPolicy | DefaultFullAccessWithNotificationPolicy | Karantänprincipen är bara meningsfull om skräppostidentifieringar med hög konfidens sätts i karantän. |
| Åtgärd för nätfiskeidentifiering (PhishSpamAction) | Flytta meddelandet till mappen Skräppost Email (MoveToJmf)* |
Karantänmeddelande (Quarantine) |
Karantänmeddelande (Quarantine) |
*Standardvärdet är Flytta meddelande till mappen Skräppost Email i standardprincipen för skräppostskydd och i nya principer för skräppostskydd som du skapar i PowerShell. Standardvärdet är Karantänmeddelande i nya principer för skräppostskydd som du skapar i Defender-portalen. |
| Karantänprincip för nätfiske (PhishQuarantineTag) | DefaultFullAccessPolicyformati | DefaultFullAccessWithNotificationPolicy | DefaultFullAccessWithNotificationPolicy | Karantänprincipen är bara meningsfull om nätfiskeidentifieringar sätts i karantän. |
| Åtgärd för identifiering av nätfiske med hög konfidens (HighConfidencePhishAction) | Karantänmeddelande (Quarantine) |
Karantänmeddelande (Quarantine) |
Karantänmeddelande (Quarantine) |
Användare kan inte släppa sina egna meddelanden som satts i karantän som nätfiske med hög konfidens, oavsett hur karantänprincipen konfigureras. Om principen tillåter användare att släppa sina egna meddelanden i karantän får användarna i stället begära att deras nätfiskemeddelanden med hög konfidens i karantän släpps. |
| Karantänprincip för nätfiske med hög konfidens (HighConfidencePhishQuarantineTag) | AdminOnlyAccessPolicy | AdminOnlyAccessPolicy | AdminOnlyAccessPolicy | |
| Gruppkompatibel nivå (BCL) uppfyllde eller överskreds (BulkSpamAction) | Flytta meddelandet till mappen Skräppost Email (MoveToJmf) |
Flytta meddelandet till mappen Skräppost Email (MoveToJmf) |
Karantänmeddelande (Quarantine) |
|
| Karantänprincip för BCL (Bulk Compliant Level) uppfyllde eller överskred (BulkQuarantineTag) | DefaultFullAccessPolicyformati | DefaultFullAccessPolicy | DefaultFullAccessWithNotificationPolicy | Karantänprincipen är bara meningsfull om massidentifieringar sätts i karantän. |
| Intra-Organisatoriska meddelanden att vidta åtgärder på (IntraOrgFilterState) | Standard (standard) | Standard (standard) | Standard (standard) | Värdet Standard är detsamma som att välja Nätfiskemeddelanden med hög konfidens. För närvarande i amerikanska myndigheter (Microsoft 365 GCC, GCC High och DoD) är värdet Standard detsamma som att välja Ingen. |
| Behåll skräppost i karantän under så här många dagar (QuarantineRetentionPeriod) | 15 dagar | 30 dagar | 30 dagar | Det här värdet påverkar även meddelanden som sätts i karantän av principer för skydd mot nätfiske. Mer information finns i Kvarhållning av karantän. |
| Aktivera säkerhetstips för skräppost (InlineSafetyTipsEnabled) | Markerad ($true) |
Markerad ($true) |
Markerad ($true) |
|
| Aktivera automatisk rensning utan timme (ZAP) för nätfiskemeddelanden (PhishZapEnabled) | Markerad ($true) |
Markerad ($true) |
Markerad ($true) |
|
| Aktivera ZAP för skräppostmeddelanden (SpamZapEnabled) | Markerad ($true) |
Markerad ($true) |
Markerad ($true) |
|
| Tillåt & blockeringslista | ||||
| Tillåtna avsändare (AllowedSenders) | Inga | Inga | Inga | |
| Tillåtna avsändardomäner (AllowedSenderDomains) | Inga | Inga | Inga | Att lägga till domäner i listan över tillåtna domäner är en mycket dålig idé. Angripare skulle kunna skicka e-post till dig som annars skulle filtreras bort. Använd insikten om förfalskningsinformation och listan Tillåt/blockera klientorganisation för att granska alla avsändare som förfalskar e-postadresser för avsändare i organisationens e-postdomäner eller förfalskning av avsändarens e-postadresser i externa domäner. |
| Blockerade avsändare (blockerade avsändare) | Inga | Inga | Inga | |
| Blockerade avsändardomäner (BlockedSenderDomains) | Inga | Inga | Inga |
² Enligt beskrivningen i Fullständiga åtkomstbehörigheter och karantänaviseringar kan din organisation använda NotificationEnabledPolicy i stället för DefaultFullAccessPolicy i standardsäkerhetsprincipen eller i nya anpassade säkerhetsprinciper som du skapar. Den enda skillnaden mellan dessa två karantänprinciper är att karantänmeddelanden är aktiverade i NotificationEnabledPolicy och inaktiveras i DefaultFullAccessPolicy.
ASF-inställningar i principer för skräppostskydd
Mer information om INSTÄLLNINGAR för avancerat skräppostfilter (ASF) i principer för skräppostskydd finns i Inställningar för avancerat skräppostfilter (ASF) i EOP.
| Namn på säkerhetsfunktion | Standard | Rekommenderas Standard |
Rekommenderas Strikt |
Kommentar |
|---|---|---|---|---|
| Bildlänkar till fjärrplatser (IncreaseScoreWithImageLinks) | Av | Av | Av | |
| Numerisk IP-adress i URL (IncreaseScoreWithNumericIps) | Av | Av | Av | |
| URL-omdirigering till annan port (IncreaseScoreWithRedirectToOtherPort) | Av | Av | Av | |
| Länkar till .biz- eller .info-webbplatser (IncreaseScoreWithBizOrInfoUrls) | Av | Av | Av | |
| Tomma meddelanden (MarkAsSpamEmptyMessages) | Av | Av | Av | |
| Bädda in taggar i HTML (MarkAsSpamEmbedTagsInHtml) | Av | Av | Av | |
| JavaScript eller VBScript i HTML (MarkAsSpamJavaScriptInHtml) | Av | Av | Av | |
| Formulärtaggar i HTML (MarkAsSpamFormTagsInHtml) | Av | Av | Av | |
| Ram- eller iframe-taggar i HTML (MarkAsSpamFramesInHtml) | Av | Av | Av | |
| Webbbuggar i HTML (MarkAsSpamWebBugsInHtml) | Av | Av | Av | |
| Objekttaggar i HTML (MarkAsSpamObjectTagsInHtml) | Av | Av | Av | |
| Känsliga ord (MarkAsSpamSensitiveWordList) | Av | Av | Av | |
| SPF-post: hårt fel (MarkAsSpamSpfRecordHardFail) | Av | Av | Av | |
| Hård filtrering av avsändar-ID (MarkAsSpamFromAddressAuthFail) | Av | Av | Av | |
| Backscatter (MarkAsSpamNdrBackscatter) | Av | Av | Av | |
| Testläge (TestModeAction) | Inga | Inga | Inga | För ASF-inställningar som stöder Test som en åtgärd kan du konfigurera testlägesåtgärden till Ingen, Lägg till standardtext för X-header eller Skicka hemlig kopia (None, AddXHeadereller BccMessage). Mer information finns i Aktivera, inaktivera eller testa ASF-inställningar. |
Obs!
ASF lägger till X-CustomSpam: X-header-fält i meddelanden när meddelandena har bearbetats av Exchange-e-postflödesregler (kallas även transportregler), så du kan inte använda e-postflödesregler för att identifiera och agera på meddelanden som har filtrerats av ASF.
Principinställningar för eOP-utgående skräppost
Information om hur du skapar och konfigurerar principer för utgående skräppost finns i Konfigurera utgående skräppostfiltrering i EOP.
Mer information om standardgränserna för sändning i tjänsten finns i Skicka gränser.
Obs!
Principer för utgående skräppost ingår inte i standard- eller strikt förinställda säkerhetsprinciper. Värdena Standard och Strict anger våra rekommenderade värden i standardprincipen för utgående skräppost eller anpassade principer för utgående skräppost som du skapar.
| Namn på säkerhetsfunktion | Standard | Rekommenderas Standard |
Rekommenderas Strikt |
Kommentar |
|---|---|---|---|---|
| Ange en extern meddelandegräns (RecipientLimitExternalPerHour) | 0 | 500 | 400 | Standardvärdet 0 innebär att tjänstens standardvärden används. |
| Ange en intern meddelandegräns (RecipientLimitInternalPerHour) | 0 | 1000 | 800 | Standardvärdet 0 innebär att tjänstens standardvärden används. |
| Ange en daglig meddelandegräns (RecipientLimitPerDay) | 0 | 1000 | 800 | Standardvärdet 0 innebär att tjänstens standardvärden används. |
| Begränsning för användare som når meddelandegränsen (ActionWhenThresholdReached) | Begränsa användaren från att skicka e-post till följande dag (BlockUserForToday) |
Begränsa användaren från att skicka e-post (BlockUser) |
Begränsa användaren från att skicka e-post (BlockUser) |
|
| Regler för automatisk vidarebefordring (AutoForwardingMode) | Automatisk – Systemkontrollerad (Automatic) |
Automatisk – Systemkontrollerad (Automatic) |
Automatisk – Systemkontrollerad (Automatic) |
|
| Skicka en kopia av utgående meddelanden som överskrider dessa gränser för dessa användare och grupper (BccSuspiciousOutboundMail och BccSuspiciousOutboundAdditionalRecipients) | Inte markerad ($false och Tom) |
Inte markerad ($false och Tom) |
Inte markerad ($false och Tom) |
Vi har ingen specifik rekommendation för den här inställningen. Den här inställningen fungerar bara i standardprincipen för utgående skräppost. Det fungerar inte i anpassade principer för utgående skräppost som du skapar. |
| Meddela dessa användare och grupper om en avsändare blockeras på grund av utgående skräppost (NotifyOutboundSpam och NotifyOutboundSpamRecipients) | Inte markerad ($false och Tom) |
Inte markerad ($false och Tom) |
Inte markerad ($false och Tom) |
Standardaviseringsprincipen med namnet Användare som inte kan skicka e-post skickar redan e-postaviseringar till medlemmar i gruppen TenantAdmins (globala administratörer) när användare blockeras på grund av att gränserna i principen överskrids. Vi rekommenderar starkt att du använder aviseringsprincipen i stället för den här inställningen i principen för utgående skräppost för att meddela administratörer och andra användare. Anvisningar finns i Verifiera aviseringsinställningarna för begränsade användare. |
Principinställningar för EOP-skydd mot nätfiske
Mer information om de här inställningarna finns i Förfalskningsinställningar. Information om hur du konfigurerar de här inställningarna finns i Konfigurera principer för skydd mot nätfiske i EOP.
Förfalskningsinställningarna är sammankopplade, men inställningen Visa första kontaktsäkerhetstips är inte beroende av falska inställningar.
Karantänprinciper definierar vad användare kan göra för meddelanden i karantän och om användarna får karantänaviseringar. Mer information finns i Anatomi för en karantänprincip.
Även om värdet Tillämpa karantänprincip visas omarkerat när du skapar en princip för skydd mot nätfiske i Defender-portalen, används karantänprincipen Med namnet DefaultFullAccessPolicyII om du inte väljer en karantänprincip. Den här principen tillämpar historiska funktioner för meddelanden som placerats i karantän som falska enligt beskrivningen i tabellen här. När du senare visar eller redigerar inställningarna för karantänprincipen visas namnet på karantänprincipen.
Administratörer kan skapa eller använda karantänprinciper med mer restriktiva eller mindre restriktiva funktioner. Anvisningar finns i Skapa karantänprinciper i Microsoft Defender-portalen.
| Namn på säkerhetsfunktion | Standard | Standard | Strikt | Kommentar |
|---|---|---|---|---|
| Tröskelvärde för nätfiske & skydd | ||||
| Aktivera förfalskningsinformation (EnableSpoofIntelligence) | Markerad ($true) |
Markerad ($true) |
Markerad ($true) |
|
| Åtgärder | ||||
| Respektera DMARC-postprincip när meddelandet identifieras som förfalskning (HonorDmarcPolicy) | Markerad ($true) |
Markerad ($true) |
Markerad ($true) |
När den här inställningen är aktiverad styr du vad som händer med meddelanden där avsändaren misslyckas med explicita DMARC-kontroller när principåtgärden i DMARC TXT-posten är inställd på p=quarantine eller p=reject. Mer information finns i Spoof protection and sender DMARC policies (Förfalskningsskydd och DMARC-principer för avsändare). |
| Om meddelandet identifieras som förfalskning och DMARC-principen anges som p=quarantine (DmarcQuarantineAction) | Placera meddelandet i karantän (Quarantine) |
Placera meddelandet i karantän (Quarantine) |
Placera meddelandet i karantän (Quarantine) |
Den här åtgärden är bara meningsfull när honor DMARC-postprincip när meddelandet identifieras som förfalskning är aktiverat. |
| Om meddelandet identifieras som förfalskning och DMARC-principen anges som p=reject (DmarcRejectAction) | Avvisa meddelandet (Reject) |
Avvisa meddelandet (Reject) |
Avvisa meddelandet (Reject) |
Den här åtgärden är bara meningsfull när honor DMARC-postprincip när meddelandet identifieras som förfalskning är aktiverat. |
| Om meddelandet identifieras som förfalskning av förfalskningsinformation (AuthenticationFailAction) | Flytta meddelandet till mottagarnas skräppostmappar Email (MoveToJmf) |
Flytta meddelandet till mottagarnas skräppostmappar Email (MoveToJmf) |
Placera meddelandet i karantän (Quarantine) |
Den här inställningen gäller för falska avsändare som har blockerats automatiskt enligt förfalskningsinformationsinsikten eller manuellt blockerats i listan Tillåt/blockera klientorganisation. Om du väljer Placera meddelandet i karantän som åtgärd för förfalskningsutfallet finns rutan Tillämpa karantänprincip tillgänglig. |
| Karantänprincip för förfalskning (SpoofQuarantineTag) | DefaultFullAccessPolicyformati | DefaultFullAccessPolicy | DefaultFullAccessWithNotificationPolicy | Karantänprincipen är bara meningsfull om förfalskningsidentifieringar sätts i karantän. |
| Visa säkerhetstips för första kontakten (EnableFirstContactSafetyTips) | Inte markerat ($false) |
Markerad ($true) |
Markerad ($true) |
Mer information finns i Säkerhetstips för första kontakten. |
| Visa (?) för oautentiserade avsändare för förfalskning (EnableUnauthenticatedSender) | Markerad ($true) |
Markerad ($true) |
Markerad ($true) |
Lägger till ett frågetecken (?) i avsändarens foto i Outlook för oidentifierade falska avsändare. Mer information finns i Indikatorer för oautentiserad avsändare. |
| Visa taggen "via" (EnableViaTag) | Markerad ($true) |
Markerad ($true) |
Markerad ($true) |
Lägger till en via-tagg (chris@contoso.com via fabrikam.com) till Från-adressen om den skiljer sig från domänen i DKIM-signaturen eller MAIL FROM-adressen . Mer information finns i Indikatorer för oautentiserad avsändare. |
² Enligt beskrivningen i Fullständiga åtkomstbehörigheter och karantänaviseringar kan din organisation använda NotificationEnabledPolicy i stället för DefaultFullAccessPolicy i standardsäkerhetsprincipen eller i nya anpassade säkerhetsprinciper som du skapar. Den enda skillnaden mellan dessa två karantänprinciper är att karantänmeddelanden är aktiverade i NotificationEnabledPolicy och inaktiveras i DefaultFullAccessPolicy.
Microsoft Defender för Office 365 säkerhet
Ytterligare säkerhetsfördelar levereras med en Microsoft Defender för Office 365-prenumeration. De senaste nyheterna och informationen finns i Nyheter i Defender för Office 365.
Viktigt
Standardprincipen för skydd mot nätfiske i Microsoft Defender för Office 365 ger förfalskningsskydd och postlådeinformation för alla mottagare. De andra tillgängliga personifieringsskyddsfunktionerna och de avancerade inställningarna är dock inte konfigurerade eller aktiverade i standardprincipen. Om du vill aktivera alla skyddsfunktioner använder du någon av följande metoder:
- Aktivera och använd standard- och/eller strikt förinställda säkerhetsprinciper och konfigurera personifieringsskydd där.
- Ändra standardprincipen för skydd mot nätfiske.
- Skapa ytterligare principer för skydd mot nätfiske.
Även om det inte finns någon standardprincip för säkra bifogade filer eller principer för säkra länkar, ger den förinställda säkerhetsprincipen för inbyggt skydd skydd säkra bifogade filer och skydd mot säkra länkar till alla mottagare som inte har definierats i standardförinställningens säkerhetsprincip, den strikta förinställda säkerhetsprincipen eller i anpassade principer för säkra bifogade filer eller säkra länkar). Mer information finns i Förinställda säkerhetsprinciper i EOP och Microsoft Defender för Office 365.
Säkra bifogade filer för SharePoint, OneDrive och Microsoft Teams skydd och skydd av säkra dokument har inga beroenden för principer för säkra länkar.
Om din prenumeration innehåller Microsoft Defender för Office 365 eller om du har köpt Defender för Office 365 som ett tillägg anger du följande Standard- eller Strikt-konfigurationer.
Principinställningar för skydd mot nätfiske i Microsoft Defender för Office 365
EOP-kunder får grundläggande skydd mot nätfiske enligt tidigare beskrivning, men Defender för Office 365 innehåller fler funktioner och kontroll för att förhindra, identifiera och åtgärda attacker. Information om hur du skapar och konfigurerar dessa principer finns i Konfigurera principer för skydd mot nätfiske i Defender för Office 365.
Avancerade inställningar i principer för skydd mot nätfiske i Microsoft Defender för Office 365
Mer information om den här inställningen finns i Avancerade tröskelvärden för nätfiske i principer för skydd mot nätfiske i Microsoft Defender för Office 365. Information om hur du konfigurerar den här inställningen finns i Konfigurera principer för skydd mot nätfiske i Defender för Office 365.
| Namn på säkerhetsfunktion | Standard | Standard | Strikt | Kommentar |
|---|---|---|---|---|
| Tröskelvärde för nätfiskemeddelande (PhishThresholdLevel) | 1 – Standard (1) |
3 - Mer aggressiv (3) |
4 - Mest aggressiva (4) |
Personifieringsinställningar i principer för skydd mot nätfiske i Microsoft Defender för Office 365
Mer information om de här inställningarna finns i Personifieringsinställningar i principer för skydd mot nätfiske i Microsoft Defender för Office 365. Information om hur du konfigurerar de här inställningarna finns i Konfigurera principer för skydd mot nätfiske i Defender för Office 365.
Oavsett var du väljer Placera meddelandet i karantän som åtgärd för en personifieringsutslag är rutan Tillämpa karantänprincip tillgänglig. Karantänprinciper definierar vad användare kan göra för meddelanden i karantän och om användarna får karantänaviseringar. Mer information finns i Anatomi för en karantänprincip.
Även om värdet Tillämpa karantänprincip visas omarkerat när du skapar en princip för skydd mot nätfiske i Defender-portalen, används karantänprincipen med namnet DefaultFullAccessPolicy om du inte väljer en karantänprincip. Den här principen tillämpar historiska funktioner för meddelanden som har placerats i karantän som personifiering enligt beskrivningen i tabellen här. När du senare visar eller redigerar inställningarna för karantänprincipen visas namnet på karantänprincipen.
Administratörer kan skapa eller använda karantänprinciper med mer restriktiva eller mindre restriktiva funktioner. Anvisningar finns i Skapa karantänprinciper i Microsoft Defender-portalen.
| Namn på säkerhetsfunktion | Standard | Standard | Strikt | Kommentar |
|---|---|---|---|---|
| Tröskelvärde för nätfiske & skydd | ||||
| Skydd mot användarpersonifiering: Gör det möjligt för användare att skydda (EnableTargetedUserProtection och TargetedUsersToProtect) | Inte markerat ($false och inget) |
Markerad ($true och <lista över användare>) |
Markerad ($true och <lista över användare>) |
Vi rekommenderar att du lägger till användare (meddelandeavsändare) i nyckelroller. Internt kan skyddade avsändare vara din VD, ekonomichef och andra ledande ledare. Externt kan skyddade avsändare inkludera rådsmedlemmar eller din styrelse. |
| Skydd mot domänpersonifiering: Aktivera domäner att skydda | Inte markerat | Markerade | Markerade | |
| Inkludera domäner som jag äger (EnableOrganizationDomainsProtection) | Av ($false) |
Markerad ($true) |
Markerad ($true) |
|
| Inkludera anpassade domäner (EnableTargetedDomainsProtection och TargetedDomainsToProtect) | Av ($false och ingen) |
Markerad ($true och <lista över domäner>) |
Markerad ($true och <lista över domäner>) |
Vi rekommenderar att du lägger till domäner (avsändardomäner) som du inte äger, men som du ofta interagerar med. |
| Lägg till betrodda avsändare och domäner (ExcludedSenders och ExcludedDomains) | Inga | Inga | Inga | Beroende på din organisation rekommenderar vi att du lägger till avsändare eller domäner som felaktigt identifieras som personifieringsförsök. |
| Aktivera postlådeinformation (EnableMailboxIntelligence) | Markerad ($true) |
Markerad ($true) |
Markerad ($true) |
|
| Aktivera intelligens för personifieringsskydd (EnableMailboxIntelligenceProtection) | Av ($false) |
Markerad ($true) |
Markerad ($true) |
Den här inställningen tillåter den angivna åtgärden för personifieringsidentifieringar av postlådeinformation. |
| Åtgärder | ||||
| Om ett meddelande identifieras som användarpersonifiering (TargetedUserProtectionAction) | Tillämpa ingen åtgärd (NoAction) |
Placera meddelandet i karantän (Quarantine) |
Placera meddelandet i karantän (Quarantine) |
|
| Karantänprincip för användarpersonifiering (TargetedUserQuarantineTag) | DefaultFullAccessPolicyformati | DefaultFullAccessWithNotificationPolicy | DefaultFullAccessWithNotificationPolicy | Karantänprincipen är bara meningsfull om identifieringar av användarpersonifieringar sätts i karantän. |
| Om ett meddelande identifieras som domänpersonifiering (TargetedDomainProtectionAction) | Tillämpa ingen åtgärd (NoAction) |
Placera meddelandet i karantän (Quarantine) |
Placera meddelandet i karantän (Quarantine) |
|
| Karantänprincip för domänpersonifiering (TargetedDomainQuarantineTag) | DefaultFullAccessPolicyformati | DefaultFullAccessWithNotificationPolicy | DefaultFullAccessWithNotificationPolicy | Karantänprincipen är bara meningsfull om identifieringar av domänpersonifiering sätts i karantän. |
| Om postlådeinformation identifierar en personifierad användare (MailboxIntelligenceProtectionAction) | Tillämpa ingen åtgärd (NoAction) |
Flytta meddelandet till mottagarnas skräppostmappar Email (MoveToJmf) |
Placera meddelandet i karantän (Quarantine) |
|
| Karantänprincip för personifiering av postlådeinformation (MailboxIntelligenceQuarantineTag) | DefaultFullAccessPolicyformati | DefaultFullAccessPolicy | DefaultFullAccessWithNotificationPolicy | Karantänprincipen är bara meningsfull om identifieringar av postlådeinformation sätts i karantän. |
| Visa säkerhetstips för användarpersonifiering (EnableSimilarUsersSafetyTips) | Av ($false) |
Markerad ($true) |
Markerad ($true) |
|
| Visa säkerhetstips för domänpersonifiering (EnableSimilarDomainsSafetyTips) | Av ($false) |
Markerad ($true) |
Markerad ($true) |
|
| Visa säkerhetstips för ovanliga tecken för användarimitation (EnableUnusualCharactersSafetyTips) | Av ($false) |
Markerad ($true) |
Markerad ($true) |
² Enligt beskrivningen i Fullständiga åtkomstbehörigheter och karantänaviseringar kan din organisation använda NotificationEnabledPolicy i stället för DefaultFullAccessPolicy i standardsäkerhetsprincipen eller i nya anpassade säkerhetsprinciper som du skapar. Den enda skillnaden mellan dessa två karantänprinciper är att karantänmeddelanden är aktiverade i NotificationEnabledPolicy och inaktiveras i DefaultFullAccessPolicy.
Principinställningar för EOP-skydd mot nätfiske i Microsoft Defender för Office 365
Det här är samma inställningar som är tillgängliga i principinställningarna för skräppostskydd i EOP.
Inställningar för säkra bifogade filer
Säkra bifogade filer i Microsoft Defender för Office 365 innehåller globala inställningar som inte har någon relation till principer för säkra bifogade filer och inställningar som är specifika för varje princip för säkra länkar. Mer information finns i Säkra bifogade filer i Defender för Office 365.
Även om det inte finns någon standardprincip för säkra bifogade filer ger den förinställda säkerhetsprincipen för inbyggt skydd skydd säkra bifogade filer till alla mottagare som inte har definierats i standard- eller strikt förinställda säkerhetsprinciper eller i anpassade principer för säkra bifogade filer. Mer information finns i Förinställda säkerhetsprinciper i EOP och Microsoft Defender för Office 365.
Globala inställningar för säkra bifogade filer
Obs!
De globala inställningarna för säkra bifogade filer anges av den förinställda säkerhetsprincipen för inbyggt skydd , men inte av standard- eller strikt förinställda säkerhetsprinciper. Hur som helst kan administratörer ändra dessa globala inställningar för säkra bifogade filer när som helst.
Kolumnen Standard visar värdena före förekomsten av den förinställda säkerhetsprincipen för inbyggt skydd . Kolumnen Inbyggt skydd visar de värden som anges av den förinställda säkerhetsprincipen för inbyggt skydd , som också är våra rekommenderade värden.
Information om hur du konfigurerar de här inställningarna finns i Aktivera säkra bifogade filer för SharePoint, OneDrive och Microsoft Teams och Säkra dokument i Microsoft 365 E5.
I PowerShell använder du cmdleten Set-AtpPolicyForO365 för de här inställningarna.
| Namn på säkerhetsfunktion | Standard | Inbyggt skydd | Kommentar |
|---|---|---|---|
| Aktivera Defender för Office 365 för SharePoint, OneDrive och Microsoft Teams (EnableATPForSPOTeamsODB) | Av ($false) |
På ($true) |
Information om hur du förhindrar användare från att ladda ned skadliga filer finns i Använda SharePoint Online PowerShell för att förhindra att användare laddar ned skadliga filer. |
| Aktivera säkra dokument för Office-klienter (EnableSafeDocs) | Av ($false) |
På ($true) |
Den här funktionen är endast tillgänglig och meningsfull med licenser som inte ingår i Defender för Office 365 (till exempel Microsoft 365 A5 eller Microsoft 365 E5 Security). Mer information finns i Säkra dokument i Microsoft 365 A5 eller E5 Security. |
| Tillåt att personer klickar på Skyddad vy även om säkra dokument har identifierat filen som skadlig (AllowSafeDocsOpen) | Av ($false) |
Av ($false) |
Den här inställningen är relaterad till säkra dokument. |
Principinställningar för säkra bifogade filer
Information om hur du konfigurerar de här inställningarna finns i Konfigurera principer för säkra bifogade filer i Defender för Office 365.
I PowerShell använder du cmdletarna New-SafeAttachmentPolicy och Set-SafeAttachmentPolicy för dessa inställningar.
Obs!
Som vi beskrev tidigare, även om det inte finns någon standardprincip för säkra bifogade filer, ger den förinställda säkerhetsprincipen för inbyggt skydd skydd säkra bifogade filer till alla mottagare som inte har definierats i standardprincipen för förinställd säkerhet, den strikta förinställda säkerhetsprincipen eller i anpassade principer för säkra bifogade filer.
Kolumnen Standard i anpassad refererar till standardvärdena i nya principer för säkra bifogade filer som du skapar. De återstående kolumnerna anger (om inget annat anges) de värden som har konfigurerats i motsvarande förinställda säkerhetsprinciper.
Karantänprinciper definierar vad användare kan göra för meddelanden i karantän och om användarna får karantänaviseringar. Mer information finns i Anatomi för en karantänprincip.
Principen AdminOnlyAccessPolicy tillämpar historiska funktioner för meddelanden som har satts i karantän som skadlig kod enligt beskrivningen i tabellen här.
Användare kan inte släppa sina egna meddelanden som satts i karantän som skadlig kod av säkra bifogade filer, oavsett hur karantänprincipen konfigureras. Om principen tillåter användare att släppa sina egna meddelanden i karantän får användarna i stället begära att meddelanden om skadlig kod i karantän släpps.
| Namn på säkerhetsfunktion | Standard i anpassade | Inbyggt skydd | Standard | Strikt | Kommentar |
|---|---|---|---|---|---|
| Svar på säker bifogade filer med okänd skadlig kod (aktivera och åtgärd) | Av (-Enable $false och -Action Block) |
Blockera (-Enable $true och -Action Block) |
Blockera (-Enable $true och -Action Block) |
Blockera (-Enable $true och -Action Block) |
När parametern Aktivera är $false spelar värdet för parametern Action ingen roll. |
| Karantänprincip (QuarantineTag) | AdminOnlyAccessPolicy | AdminOnlyAccessPolicy | AdminOnlyAccessPolicy | AdminOnlyAccessPolicy | |
| Omdirigering av bifogad fil med identifierade bifogade filer : Aktivera omdirigering (omdirigering och omdirigeringAdress) | Inte markerad och ingen e-postadress har angetts. (-Redirect $false och RedirectAddress är tom) |
Inte markerad och ingen e-postadress har angetts. (-Redirect $false och RedirectAddress är tom) |
Inte markerad och ingen e-postadress har angetts. (-Redirect $false och RedirectAddress är tom) |
Inte markerad och ingen e-postadress har angetts. (-Redirect $false och RedirectAddress är tom) |
Omdirigering av meddelanden är endast tillgängligt när svarsvärdet för säkra bifogade filer med okänd skadlig kod är Övervaka (-Enable $true och -Action Allow). |
Principinställningar för säkra länkar
Mer information om skydd av säkra länkar finns i Säkra länkar i Defender för Office 365.
Även om det inte finns någon standardprincip för säkra länkar ger den förinställda säkerhetsprincipen för inbyggt skydd skydd säkra länkar till alla mottagare som inte har definierats i standardförinställningens säkerhetsprincip, den strikta förinställda säkerhetsprincipen eller i anpassade principer för säkra länkar. Mer information finns i Förinställda säkerhetsprinciper i EOP och Microsoft Defender för Office 365.
Information om hur du konfigurerar principinställningar för säkra länkar finns i Konfigurera principer för säkra länkar i Microsoft Defender för Office 365.
I PowerShell använder du cmdletarna New-SafeLinksPolicy och Set-SafeLinksPolicy för principinställningar för säkra länkar.
Obs!
Kolumnen Standard i anpassad refererar till standardvärdena i nya principer för säkra länkar som du skapar. De återstående kolumnerna anger (om inget annat anges) de värden som har konfigurerats i motsvarande förinställda säkerhetsprinciper.
| Namn på säkerhetsfunktion | Standard i anpassade | Inbyggt skydd | Standard | Strikt | Kommentar |
|---|---|---|---|---|---|
| URL & klicka på skyddsinställningar | |||||
| E-post | Inställningarna i det här avsnittet påverkar url-omskrivning och tid för klickskydd i e-postmeddelanden. | ||||
| På: Säkra länkar kontrollerar en lista över kända, skadliga länkar när användare klickar på länkar i e-post. URL:er skrivs om som standard. (EnableSafeLinksForEmail) | Markerad ($true) |
Markerad ($true) |
Markerad ($true) |
Markerad ($true) |
|
| Använd säkra länkar för e-postmeddelanden som skickas inom organisationen (EnableForInternalSenders) | Markerad ($true) |
Inte markerat ($false) |
Markerad ($true) |
Markerad ($true) |
|
| Använd URL-genomsökning i realtid för misstänkta länkar och länkar som pekar på filer (ScanUrls) | Markerad ($true) |
Markerad ($true) |
Markerad ($true) |
Markerad ($true) |
|
| Vänta tills URL-genomsökningen har slutförts innan meddelandet levereras (DeliverMessageAfterScan) | Markerad ($true) |
Markerad ($true) |
Markerad ($true) |
Markerad ($true) |
|
| Skriv inte om URL:er, gör kontroller endast via API för säkra länkar (DisableURLRewrite) | Markerad ($false)* |
Markerad ($true) |
Inte markerat ($false) |
Inte markerat ($false) |
* I nya principer för säkra länkar som du skapar i Defender-portalen är den här inställningen markerad som standard. I nya principer för säkra länkar som du skapar i PowerShell är $falsestandardvärdet för parametern DisableURLRewrite . |
| Skriv inte om följande URL:er via e-post (DoNotRewriteUrls) | Tom | Tom | Tom | Tom | Vi har ingen specifik rekommendation för den här inställningen. Obs! Poster i listan "Skriv inte om följande URL:er" genomsöks inte eller omsluts inte av säkra länkar under e-postflödet. Rapportera URL:en som Borde inte ha blockerats (Falskt positivt) och välj Tillåt den här URL:en att lägga till en tillåten post i listan Tillåt/blockera klientorganisation så att URL:en inte genomsöks eller omsluts av säkra länkar under e-postflödet och vid tidpunkten för klickningen. Anvisningar finns i Rapportera bra URL:er till Microsoft. |
| Teams | Inställningen i det här avsnittet påverkar tiden för klickskydd i Microsoft Teams. | ||||
| På: Säkra länkar kontrollerar en lista över kända skadliga länkar när användare klickar på länkar i Microsoft Teams. URL:er skrivs inte om. (EnableSafeLinksForTeams) | Markerad ($true) |
Markerad ($true) |
Markerad ($true) |
Markerad ($true) |
|
| Office 365 appar | Inställningen i det här avsnittet påverkar tiden för klickskydd i Office-appar. | ||||
| På: Säkra länkar kontrollerar en lista över kända, skadliga länkar när användare klickar på länkar i Microsoft Office-appar. URL:er skrivs inte om. (EnableSafeLinksForOffice) | Markerad ($true) |
Markerad ($true) |
Markerad ($true) |
Markerad ($true) |
Använd säkra länkar i Office 365 skrivbords- och mobilappar (iOS och Android) som stöds. Mer information finns i Inställningar för säkra länkar för Office-appar. |
| Klicka på skyddsinställningar | |||||
| Spåra användarens klick (TrackClicks) | Markerad ($true) |
Markerad ($true) |
Markerad ($true) |
Markerad ($true) |
|
| Låt användarna klicka vidare till den ursprungliga URL:en (AllowClickThrough) | Markerad ($false)* |
Markerad ($true) |
Inte markerat ($false) |
Inte markerat ($false) |
* I nya principer för säkra länkar som du skapar i Defender-portalen är den här inställningen markerad som standard. I nya principer för säkra länkar som du skapar i PowerShell är $falsestandardvärdet för parametern AllowClickThrough . |
| Visa organisationens varumärkesanpassning på meddelande- och varningssidor (EnableOrganizationBranding) | Inte markerat ($false) |
Inte markerat ($false) |
Inte markerat ($false) |
Inte markerat ($false) |
Vi har ingen specifik rekommendation för den här inställningen. Innan du aktiverar den här inställningen måste du följa anvisningarna i Anpassa Microsoft 365-temat för din organisation för att ladda upp företagets logotyp. |
| Anmälan | |||||
| Hur vill du meddela användarna? (CustomNotificationText och UseTranslatedNotificationText) | Använd standardmeddelandetexten (Tom och $false) |
Använd standardmeddelandetexten (Tom och $false) |
Använd standardmeddelandetexten (Tom och $false) |
Använd standardmeddelandetexten (Tom och $false) |
Vi har ingen specifik rekommendation för den här inställningen. Du kan välja Använd anpassad meddelandetext ( -CustomNotificationText "<Custom text>") för att ange och använda anpassad meddelandetext. Om du anger anpassad text kan du också välja Använd Microsoft Translator för automatisk lokalisering (-UseTranslatedNotificationText $true) för att automatiskt översätta texten till användarens språk. |
Relaterade artiklar
Letar du efter metodtips för e-postflödesregler i Exchange (kallas även transportregler)? Se Metodtips för att konfigurera e-postflödesregler i Exchange Online.
Administratörer och användare kan skicka falska positiva identifieringar (bra e-post som markerats som dåligt) och falska negativa (dålig e-post tillåts) till Microsoft för analys. Mer informations finns i Anmäla meddelanden och filer till Microsoft.
Säkerhetsbaslinjer för Windows finns här: Var hittar jag säkerhetsbaslinjerna? för grupprincipobjekt/lokala alternativ och Använd säkerhetsbaslinjer för att konfigurera Windows-enheter i Intune för Intune-baserad säkerhet. Slutligen finns en jämförelse mellan Microsoft Defender för Endpoint och Microsoft Intune säkerhetsbaslinjer i Jämför säkerhetsbaslinjerna för Microsoft Defender för Endpoint och Windows Intune.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för