Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In nieuwe Microsoft 365-organisaties met Microsoft Defender voor Office 365 (opgenomen of als een invoegtoepassingsabonnement) worden in dit artikel de configuratiestappen beschreven die u in de vroegste dagen van uw organisatie moet uitvoeren.
Hoewel uw Microsoft 365-organisatie een standaardbeveiligingsniveau bevat vanaf het moment dat u deze maakt (of Defender voor Office 365 eraan toevoegt), bieden de stappen in dit artikel u een uitvoerbaar plan om de volledige beveiligingsmogelijkheden van Defender voor Office 365 te benutten. Nadat u de stappen hebt voltooid, kunt u dit artikel ook gebruiken om het management te laten zien dat u uw investering in Microsoft 365 maximeert.
Tip
Zie de volgende artikelen voor meer informatie over het configureren van beveiliging voor Microsoft Teams:
De stappen voor het configureren van Defender voor Office 365 worden beschreven in het volgende diagram:
Tip
Als aanvulling op dit artikel raadpleegt u onze Microsoft Defender voor Office 365 installatiehandleiding voor het controleren van best practices en ter bescherming tegen e-mail-, koppelings- en samenwerkingsbedreigingen. Functies zijn onder andere Veilige koppelingen, Veilige bijlagen en meer. Voor een aangepaste ervaring op basis van uw omgeving hebt u toegang tot de handleiding Microsoft Defender voor Office 365 geautomatiseerde installatie in de Microsoft 365-beheercentrum.
Vereisten
Standaard e-mailbeveiligingen zijn opgenomen in alle Microsoft 365-abonnementen met cloudpostvakken. Defender voor Office 365 bevat meer beveiligingsfuncties. Zie Microsoft Defender voor Office 365 overzicht voor gedetailleerde functievergelijkingen.
Rollen en machtigingen
Voor configuratie zijn machtigingen vereist. De volgende tabel bevat de machtigingen die u nodig hebt om de stappen in dit artikel uit te voeren (één is voldoende; u hebt ze niet allemaal nodig).
| Rol of rollengroep | Meer informatie |
|---|---|
| Globale beheerder in Microsoft Entra* | ingebouwde rollen Microsoft Entra |
| Organisatiebeheer in Email & samenwerkingsrollengroepen | Rolgroepen in Microsoft Defender voor Office 365 |
| Beveiligingsbeheerder in Microsoft Entra | ingebouwde rollen Microsoft Entra |
| Beveiligingsbeheerder in Email & samenwerkingsrolgroepen | Email & samenwerkingsmachtigingen in Microsoft Defender voor Office 365 |
| Exchange Online Organisatiebeheer | Machtigingen in Exchange Online |
Belangrijk
* Microsoft is sterk voorstander van het principe van minimale bevoegdheden. Als u accounts alleen de minimale machtigingen toewijst die nodig zijn om hun taken uit te voeren, vermindert u beveiligingsrisico's en wordt de algehele beveiliging van uw organisatie versterkt. Globale beheerder is een zeer bevoorrechte rol die u moet beperken tot scenario's voor noodgevallen of wanneer u geen andere rol kunt gebruiken.
Stap 1: e-mailverificatie configureren voor uw Microsoft 365-domeinen
Samenvatting: Configureer SPF-, DKIM- en DMARC-records (in die volgorde) voor alle aangepaste Microsoft 365-domeinen (inclusief geparkeerde domeinen en subdomeinen). Configureer zo nodig alle vertrouwde ARC-sealers.
Details:
Email verificatie (ook wel e-mailvalidatie genoemd) is een groep standaarden om te controleren of e-mailberichten legitiem en ongewijzigd zijn en afkomstig zijn van verwachte bronnen voor het e-maildomein van de afzender. Zie Email verificatie voor meer informatie.
We gaan ervan uit dat u een of meer aangepaste domeinen in Microsoft 365 gebruikt voor e-mail (bijvoorbeeld contoso.com), dus moet u specifieke DNS-records voor e-mailverificatie maken voor elk aangepast e-maildomein.
Maak de volgende DNS-records voor e-mailverificatie bij uw DNS-registrar of DNS-hostingservice voor elk aangepast domein dat u gebruikt voor e-mail in Microsoft 365:
Sender Policy Framework (SPF): de SPF TXT-record identificeert geldige e-mailbronnen van afzenders in het domein. Zie SPF instellen om geldige e-mailbronnen voor uw aangepaste clouddomeinen te identificeren voor instructies.
DomainKeys Identified Mail (DKIM): DKIM ondertekent uitgaande berichten en slaat de handtekening op in de berichtkop die het doorsturen van berichten overleeft. Zie DKIM instellen om e-mail te ondertekenen vanuit uw clouddomein voor instructies.
Domeingebaseerde berichtverificatie, rapportage en naleving (DMARC): DMARC helpt doel-e-mailservers te bepalen wat ze moeten doen met berichten van het aangepaste domein die niet voldoen aan SPF- en DKIM-controles. Zorg ervoor dat u het DMARC-beleid (
p=rejectofp=quarantine) en DE DMARC-rapportbestemmingen (statistische en forensische rapporten) opneemt in de DMARC-records. Zie DMARC instellen om het van-adresdomein te valideren voor cloudafzenders voor instructies.Geverifieerde ontvangen keten (ARC): als een niet-Microsoft-service binnenkomende berichten wijzigt voordat ze worden bezorgd bij Microsoft 365, kunt u de service identificeren als een vertrouwde ARC-sealer (als de service dit ondersteunt). Vertrouwde ARC-sealers bewaren ongewijzigde e-mailgegevens, zodat de gewijzigde berichten niet automatisch mislukken voor e-mailverificatiecontroles in Microsoft 365. Zie Vertrouwde ARC-sealers configureren voor instructies.
Als u het domein *.onmicrosoft.com gebruikt voor e-mail (ook wel bekend als het Microsoft Online Email Routeringsadres of MOERA-domein), hoeft u niet zoveel te doen:
- SPF: er is al een SPF-record geconfigureerd voor het domein *.onmicrosoft.com.
- DKIM: DKIM-ondertekening is al geconfigureerd voor uitgaande e-mail met behulp van het domein *.onmicrosoft.com, maar u kunt deze ook handmatig aanpassen.
- DMARC: U moet de DMARC-record handmatig instellen voor het domein *.onmicrosoft.com, zoals hier wordt beschreven.
Stap 2: bedreigingsbeleid configureren
Samenvatting: Schakel het standaard- en/of strikt vooraf ingestelde beveiligingsbeleid voor alle geadresseerden in en gebruik deze. Als het bedrijf dit vereist, maakt en gebruikt u in plaats daarvan aangepast bedreigingsbeleid, maar controleert u deze regelmatig met behulp van de configuratieanalyse.
Details:
Zoals u zich waarschijnlijk kunt voorstellen, zijn er veel bedreigingsbeleidsregels voor e-mail- en samenwerkingsbeveiliging beschikbaar in Microsoft 365. Er zijn drie basistypen beleidsregels:
Standaardbeleid voor bedreigingen: deze beleidsregels bestaan vanaf het moment dat de organisatie wordt gemaakt. Ze zijn van toepassing op alle geadresseerden in de organisatie, u kunt het beleid niet uitschakelen en u kunt niet wijzigen op wie het beleid van toepassing is. Maar u kunt de beveiligingsinstellingen in het beleid wijzigen, net als aangepast bedreigingsbeleid. De instellingen in het standaard bedreigingsbeleid worden beschreven in de tabellen in Aanbevolen instellingen voor e-mail en samenwerkingsbeleid voor bedreigingen voor cloudorganisaties.
Vooraf ingesteld beveiligingsbeleid: vooraf ingesteld beveiligingsbeleid is eigenlijk profielen die de meeste beschikbare beleidsregels voor bedreigingen in Defender voor Office 365 bevatten met instellingen die zijn afgestemd op specifieke beveiligingsniveaus. Het vooraf ingestelde beveiligingsbeleid is:
- Het vooraf ingestelde beveiligingsbeleid strikt.
- Het vooraf ingestelde standaardbeveiligingsbeleid.
- Ingebouwde beveiliging.
Het standaard- en strikt vooraf ingestelde beveiligingsbeleid worden standaard uitgeschakeld totdat u ze inschakelt. U geeft voorwaarden en uitzonderingen voor geadresseerden op (gebruikers, groepsleden, domeinen of alle geadresseerden) voor standaard e-mailbeveiligingsfuncties voor cloudpostvakken en beveiligingsfuncties in Defender voor Office 365 binnen het vooraf ingestelde standaard- en strikte beveiligingsbeleid.
Ingebouwde beveiliging in Defender voor Office 365 is standaard ingeschakeld om basisbeveiliging voor veilige bijlagen en veilige koppelingen te bieden voor alle geadresseerden. U kunt uitzonderingen voor geadresseerden opgeven om gebruikers te identificeren die geen bescherming krijgen.
In Standaard- en strikt vooraf ingesteld beveiligingsbeleid in Defender voor Office 365 organisaties moet u vermeldingen en optionele uitzonderingen configureren voor beveiliging tegen gebruikers- en domeinimitatie. Alle andere instellingen zijn vergrendeld in onze aanbevolen standaard- en strikte waarden (waarvan veel hetzelfde zijn). U ziet de standaard- en strikte waarden in de tabellen in Aanbevolen beleidsinstellingen voor e-mail en samenwerkingsbeleid voor cloudorganisaties en u ziet hier de verschillen tussen Standaard en Strikt.
Naarmate er nieuwe beveiligingsmogelijkheden worden toegevoegd aan Defender voor Office 365 en als het beveiligingslandschap verandert, worden de instellingen in vooraf ingesteld beveiligingsbeleid automatisch bijgewerkt naar de aanbevolen instellingen.
Aangepast bedreigingsbeleid: Voor de meeste beschikbare beleidsregels kunt u een willekeurig aantal aangepaste beleidsregels voor bedreigingen maken. U kunt het beleid toepassen op gebruikers met behulp van voorwaarden en uitzonderingen voor geadresseerden (gebruikers, groepsleden of domeinen) en u kunt de instellingen aanpassen.
De vorige informatie en het betrokken bedreigingsbeleid worden samengevat in de volgende tabel:
| Standaardbeleid voor bedreigingen | Beveiligingsbeleid vooraf instellen | Aangepast bedreigingsbeleid | |
|---|---|---|---|
| Bedreigingsbeleid in standaard e-mailbeveiligingen voor cloudpostvakken: | |||
| Antimalware | ✔ | ✔ | ✔ |
| Antispam | ✔ | ✔ | ✔ |
| Antiphishing (bescherming tegen adresvervalsing) | ✔ | ✔ | ✔ |
| Uitgaande spam | ✔ | ✔ | |
| Verbindingsfiltering | ✔¹ | ||
| Bedreigingsbeleid in Defender voor Office 365: | |||
| Antiphishing (bescherming tegen adresvervalsing) plus: | ✔² | ✔² | ✔ |
| Veilige koppelingen | ³ | ✔ | ✔ |
| Veilige bijlagen | ³ | ✔ | ✔ |
| Algemeen gedrag | |||
| Beveiliging standaard ingeschakeld? | ✔ | ⁴ | |
| Voorwaarden/uitzonderingen voor beveiliging configureren? | ✔⁵ | ✔ | |
| Beveiligingsinstellingen aanpassen? | ✔ | ⁶ | ✔ |
| Beveiligingsinstellingen automatisch bijgewerkt? | ✔ |
¹ Er zijn geen standaardvermeldingen in de lijst met toegestane IP-adressen of ip-blokkeringen, dus het standaardbeleid voor verbindingsfilters doet niets, tenzij u de instellingen aanpast.
² Er zijn geen vermeldingen of optionele uitzonderingen voor beveiliging tegen gebruikersimitatie of domeinimitatie in Defender voor Office 365 totdat u deze configureert.
³ Hoewel er geen standaardbeleid voor Veilige bijlagen of Veilige koppelingen is in Defender voor Office 365, biedt het vooraf ingestelde beveiligingsbeleid voor ingebouwde beveiliging basisbeveiliging veilige bijlagen en veilige koppelingen die altijd zijn ingeschakeld.
⁴ Het vooraf ingestelde beveiligingsbeleid voor ingebouwde beveiliging (beveiliging voor veilige bijlagen en veilige koppelingen in Defender voor Office 365) is het enige vooraf ingestelde beveiligingsbeleid dat standaard is ingeschakeld.
⁵ Voor het standaard- en strikte vooraf ingestelde beveiligingsbeleid kunt u afzonderlijke voorwaarden voor geadresseerden en optionele uitzonderingen configureren voor de standaard e-mailbeveiliging voor alle cloudpostvakken en -beveiligingen in Defender voor Office 365. Voor ingebouwde beveiliging in Defender voor Office 365 kunt u alleen uitzonderingen voor geadresseerden configureren vanuit beveiliging.
⁶ De enige aanpasbare beveiligingsinstellingen in vooraf ingesteld beveiligingsbeleid zijn de vermeldingen en optionele uitzonderingen voor beveiliging tegen gebruikersimitatie en beveiliging tegen domeinimitatie in het standaard- en strikt vooraf ingestelde beveiligingsbeleid in Defender voor Office 365.
Volgorde van prioriteit voor bedreigingsbeleid
Hoe bedreigingsbeleid wordt toegepast, is een belangrijke overweging wanneer u bepaalt hoe u beveiligingsinstellingen voor gebruikers configureert. De belangrijkste punten om te onthouden zijn:
- Beveiligingsfuncties hebben een niet-configureerbare verwerkingsvolgorde. Inkomende berichten worden bijvoorbeeld altijd vóór spam geëvalueerd op malware.
- Het bedreigingsbeleid van een specifieke functie (antispam, antimalware, antiphishing, enzovoort) wordt toegepast in een specifieke volgorde van prioriteit (meer over de volgorde van prioriteit later).
- Als een gebruiker opzettelijk of onbedoeld wordt opgenomen in meerdere beleidsregels van een specifieke functie, bepaalt het eerste toepasselijke bedreigingsbeleid voor die functie (op basis van de volgorde van prioriteit) wat er met het item gebeurt (een bericht, bestand, URL, enzovoort).
- Zodra het eerste bedreigingsbeleid is toegepast op een specifiek item voor een gebruiker, stopt de beleidsverwerking voor die functie. Er worden geen bedreigingsbeleid voor die functie meer geëvalueerd voor die gebruiker en dat specifieke item.
De volgorde van prioriteit wordt in detail uitgelegd in Volgorde van prioriteit voor vooraf ingesteld beveiligingsbeleid en andere beleidsregels, maar wordt hier kort samengevat:
- Bedreigingsbeleid in vooraf ingesteld beveiligingsbeleid:
- Het vooraf ingestelde beveiligingsbeleid strikt.
- Het vooraf ingestelde standaardbeveiligingsbeleid.
- Aangepast bedreigingsbeleid voor een specifieke functie (bijvoorbeeld antimalwarebeleid). Elk aangepast beleid heeft een prioriteitswaarde die bepaalt in welke volgorde het beleid wordt toegepast ten opzichte van andere bedreigingsbeleidsregels voor dezelfde functie:
- Een aangepast bedreigingsbeleid met de prioriteitswaarde 0.
- Een aangepast bedreigingsbeleid met de prioriteitswaarde 1.
- Enzovoort.
- Het standaardbedreigingsbeleid van een specifieke functie (bijvoorbeeld antimalware) of het vooraf ingestelde beveiligingsbeleid voor ingebouwde beveiliging in Defender voor Office 365 (veilige koppelingen en veilige bijlagen).
Raadpleeg de vorige tabel om te zien hoe een specifiek bedreigingsbeleid wordt weergegeven in de prioriteitsvolgorde. Antimalwarebeleid is bijvoorbeeld aanwezig op elk niveau. Uitgaand spambeleid is beschikbaar op de niveaus aangepast beleid en standaardbeleid. Het verbindingsfilterbeleid is alleen beschikbaar op het standaardbeleidsniveau.
Gebruik de volgende richtlijnen om verwarring en onbedoelde toepassing van beleid te voorkomen:
- Gebruik ondubbelzinnige groepen of lijsten met geadresseerden op elk niveau. Gebruik bijvoorbeeld verschillende groepen of lijsten met geadresseerden voor het vooraf ingestelde standaard- en strikte beveiligingsbeleid.
- Configureer naar behoefte uitzonderingen op elk niveau. Configureer bijvoorbeeld ontvangers die aangepast bedreigingsbeleid nodig hebben als uitzonderingen op het vooraf ingestelde standaard- en strikte beveiligingsbeleid.
- Alle resterende geadresseerden die niet worden geïdentificeerd op de hogere niveaus, krijgen het standaardbeleid voor bedreigingen of ingebouwde beveiliging in Defender voor Office 365 (veilige koppelingen en veilige bijlagen).
Gewapend met deze informatie kunt u bepalen wat de beste manier is om bedreigingsbeleid in de organisatie te implementeren.
Uw strategie voor bedreigingsbeleid bepalen
Nu u weet wat de verschillende typen bedreigingsbeleid zijn en hoe deze worden toegepast, kunt u bepalen hoe u de gebruikers in uw organisatie wilt beschermen. Uw beslissing valt onvermijdelijk binnen het volgende spectrum:
- Gebruik alleen het vooraf ingestelde standaardbeveiligingsbeleid.
- Gebruik het standaard- en strikt vooraf ingestelde beveiligingsbeleid.
- Gebruik vooraf ingesteld beveiligingsbeleid en aangepast bedreigingsbeleid.
- Gebruik alleen aangepast bedreigingsbeleid.
Onthoud dat standaardbedreigingsbeleid (en het vooraf ingestelde beveiligingsbeleid voor ingebouwde beveiliging in Defender voor Office 365) automatisch alle ontvangers in de organisatie beveiligen (iedereen die niet is gedefinieerd in het standaard- of strikt vooraf ingestelde beveiligingsbeleid of in aangepaste beleidsregels voor bedreigingen). Dus zelfs als u niets doet, krijgen alle geadresseerden in de organisatie de standaardbeveiliging zoals beschreven in Aanbevolen instellingen voor e-mail- en samenwerkingsrisicobeleid voor cloudorganisaties.
Het is ook belangrijk om te beseffen dat je niet voor altijd vastzit aan je eerste beslissing. De informatie in de tabellen met aanbevolen instellingen en de vergelijkingstabel voor Standard en Strict moet u in staat stellen een weloverwogen beslissing te nemen. Maar als de behoeften, resultaten of omstandigheden veranderen, is het niet moeilijk om later over te schakelen naar een andere strategie.
Zonder een overtuigende zakelijke behoefte die anders aangeeft, raden we u aan te beginnen met het vooraf ingestelde standaardbeveiligingsbeleid voor alle gebruikers in uw organisatie. Vooraf ingestelde beveiligingsbeleidsregels worden geconfigureerd met instellingen op basis van jaren van observaties in de Microsoft 365-datacenters en moeten de juiste keuze zijn voor de meeste organisaties. En de beleidsregels worden automatisch bijgewerkt zodat deze overeenkomen met de bedreigingen van het beveiligingslandschap.
In vooraf ingesteld beveiligingsbeleid kunt u de optie Alle geadresseerden selecteren om eenvoudig beveiliging toe te passen op alle geadresseerden in de organisatie.
Als u sommige gebruikers wilt opnemen in het vooraf ingestelde beveiligingsbeleid strikt en de resterende gebruikers in het vooraf ingestelde standaardbeveiligingsbeleid, moet u rekening houden met de volgorde van prioriteit zoals eerder in dit artikel is beschreven met de volgende methoden:
Gebruik ondubbelzinnige groepen of lijsten met geadresseerden in elk vooraf ingesteld beveiligingsbeleid.
of
Configureer ontvangers die de instellingen van het vooraf ingestelde standaardbeveiligingsbeleid moeten krijgen als uitzonderingen in het beveiligingsbeleid strikt vooraf ingesteld.
Houd er rekening mee dat de volgende configuraties van beveiligingsfuncties niet worden beïnvloed door vooraf ingesteld beveiligingsbeleid (u kunt vooraf ingesteld beveiligingsbeleid gebruiken en deze beveiligingsinstellingen ook onafhankelijk configureren):
- Uitgaand spambeleid (aangepast en standaard)
- Het standaardbeleid voor verbindingsfilters (IP-acceptatielijst en IP-blokkeringslijst)
- Veilige bijlagen globaal inschakelen voor SharePoint, OneDrive en Microsoft Teams
- Veilige documenten globaal inschakelen en configureren (alleen beschikbaar en zinvol met licenties die niet zijn opgenomen in Defender voor Office 365 (bijvoorbeeld Microsoft 365 A5 of Microsoft Defender Suite))
Zie Vooraf ingesteld beveiligingsbeleid om vooraf ingesteld beveiligingsbeleid in te schakelen en te configureren.
De beslissing om aangepast bedreigingsbeleid te gebruiken in plaats van of in aanvulling op vooraf ingesteld beveiligingsbeleid komt uiteindelijk neer op de volgende zakelijke vereisten:
- Gebruikers hebben beveiligingsinstellingen nodig die afwijken van de niet-aanpasbare instellingen in vooraf ingesteld beveiligingsbeleid (ongewenste e-mail versus quarantaine of omgekeerd, geen veiligheidstips, aangepaste geadresseerden op de hoogte stellen, enzovoort).
- Gebruikers hebben instellingen nodig die niet zijn geconfigureerd in vooraf ingesteld beveiligingsbeleid (bijvoorbeeld het blokkeren van e-mail uit specifieke landen of in specifieke talen in antispambeleid).
- Gebruikers hebben een quarantaine-ervaring nodig die verschilt van de niet-aanpasbare instellingen in vooraf ingesteld beveiligingsbeleid. Quarantainebeleid definieert wat gebruikers kunnen doen met hun berichten in quarantaine op basis van waarom het bericht in quarantaine is geplaatst en of geadresseerden op de hoogte worden gesteld van hun berichten in quarantaine. De standaard quarantaine-ervaring voor eindgebruikers wordt samengevat in de tabel in dit artikel en de quarantainebeleidsregels die worden gebruikt in standaard en strikt vooraf ingesteld beveiligingsbeleid, worden beschreven in de tabellen in dit artikel.
Gebruik de informatie in Aanbevolen beleidsinstellingen voor e-mail en samenwerking voor cloudorganisaties om de beschikbare instellingen in aangepast bedreigingsbeleid of standaardbeleid voor bedreigingen te vergelijken met wat is geconfigureerd in het vooraf ingestelde standaard- en strikte beveiligingsbeleid.
Ontwerprichtlijnen voor meerdere aangepaste beleidsregels voor bedreigingen voor een specifieke functie (bijvoorbeeld antimalwarebeleid) omvatten:
- Gebruikers in aangepast bedreigingsbeleid kunnen niet worden opgenomen in het vooraf ingestelde standaard- of strikte beveiligingsbeleid vanwege de volgorde van prioriteit.
- Wijs minder gebruikers toe aan beleid met een hogere prioriteit en meer gebruikers aan beleidsregels met lagere prioriteit.
- Configureer beleid met een hogere prioriteit om strengere of meer gespecialiseerde instellingen te hebben dan beleidsregels met een lagere prioriteit (inclusief het standaardbeleid).
Als u besluit om aangepast bedreigingsbeleid te gebruiken, gebruikt u configuratieanalyse om de instellingen in uw beleid periodiek te vergelijken met de aanbevolen instellingen in het vooraf ingestelde standaard- en strikte beveiligingsbeleid.
Stap 3: machtigingen toewijzen aan beheerders
Samenvatting: wijs de rol beveiligingsbeheerder in Microsoft Entra toe aan andere beheerders, specialisten en helpdeskmedewerkers, zodat ze beveiligingstaken kunnen uitvoeren in Defender voor Office 365.
Details:
U gebruikt waarschijnlijk al het eerste account dat u hebt gebruikt om u in te schrijven bij Microsoft 365 om al het werk in deze implementatiehandleiding uit te voeren. Dat account is overal in Microsoft 365 een beheerder (het is met name lid van de rol Globale beheerder in Microsoft Entra) en stelt u in staat om vrijwel alles te doen. De vereiste machtigingen zijn eerder in dit artikel beschreven in Rollen en machtigingen.
Maar het doel van deze stap is om andere beheerders te configureren om u te helpen de functies Defender voor Office 365 in de toekomst te beheren. Wat u niet wilt, zijn veel mensen met de macht van globale beheerder die deze niet nodig hebben. Moeten ze bijvoorbeeld echt accounts verwijderen/maken of andere gebruikers globale beheerders maken? Het concept van minimale bevoegdheden (alleen de vereiste machtigingen toewijzen om de taak uit te voeren en niets meer) is een goede procedure om te volgen.
Als het gaat om het toewijzen van machtigingen voor taken defender voor Office 365, zijn de volgende opties beschikbaar:
- Microsoft Entra machtigingen: deze machtigingen zijn van toepassing op alle workloads in Microsoft 365 (Exchange Online, SharePoint, Microsoft Teams, enzovoort).
- Exchange Online machtigingen: de meeste taken in Defender voor Office 365 zijn beschikbaar met behulp van Exchange Online machtigingen. Alleen machtigingen toewijzen in Exchange Online voorkomt beheerderstoegang in andere Microsoft 365-workloads.
- Email & samenwerkingsmachtigingen in de Microsoft Defender-portal: Beheer van sommige beveiligingsfuncties in Defender voor Office 365 is beschikbaar met Email & samenwerkingsmachtigingen. Bijvoorbeeld:
Voor het gemak raden we u aan de rol Beveiligingsbeheerder in Microsoft Entra te gebruiken voor anderen die instellingen moeten configureren in Defender voor Office 365.
Zie Microsoft Entra rollen toewijzen aan gebruikers en Toegang tot Microsoft Defender XDR beheren met Microsoft Entra globale rollen voor instructies.
Stap 4: Prioriteitsaccounts en gebruikerstags
Samenvatting: Identificeer en tag de juiste gebruikers in uw organisatie als prioriteitsaccounts voor eenvoudigere identificatie in rapporten en onderzoeken en om prioriteitsaccountbeveiliging te ontvangen in Defender voor Office 365. Overweeg aangepaste gebruikerstags te maken en toe te passen in Defender voor Office 365 Abonnement 2.
Details:
In Defender voor Office 365 kunt u met prioriteitsaccounts maximaal 250 hoogwaardige gebruikers taggen voor eenvoudige identificatie in rapporten en onderzoeken. Deze prioriteitsrekening ontvangt ook extra heuristieken die niet ten goede komen aan reguliere werknemers. Zie Prioriteitsaccounts beheren en bewaken enPrioriteitsaccountbeveiliging configureren en controleren in Microsoft Defender voor Office 365 voor meer informatie.
In Defender voor Office 365 Abonnement 2 hebt u ook toegang om aangepaste gebruikerstags te maken en toe te passen om eenvoudig specifieke groepen gebruikers in rapporten en onderzoeken te identificeren. Zie Gebruikerstags in Microsoft Defender voor Office 365 voor meer informatie.
Identificeer de juiste gebruikers om te taggen als prioriteitsaccounts en bepaal of u aangepaste gebruikerstags moet maken en toepassen.
Stap 5: Door de gebruiker gerapporteerde berichtinstellingen controleren en configureren
Samenvatting: Gebruik de ingebouwde knop Rapport in Outlook of een ondersteund niet-Microsoft-hulpprogramma , zodat gebruikers fout-positieven en fout-negatieven kunnen rapporteren in Outlook, zodat deze gerapporteerde berichten beschikbaar zijn voor beheerders op het tabblad Door gebruiker gerapporteerd van de pagina Inzendingen in de Defender-portal. Configureer de organisatie zodat gerapporteerde berichten naar een opgegeven rapportagepostvak, naar Microsoft of beide gaan.
Details:
De mogelijkheid van gebruikers om goede berichten te melden die zijn gemarkeerd als slecht (fout-positief) of als slechte berichten toegestaan (fout-negatieven) is belangrijk voor u om beveiligingsinstellingen in Defender voor Office 365 te bewaken en aan te passen.
De belangrijke onderdelen van de rapportage van gebruikersberichten zijn:
Hoe rapporteren gebruikers berichten?: zorg ervoor dat clients een van de volgende methoden gebruiken, zodat gerapporteerde berichten worden weergegeven op het tabblad Door gebruiker gerapporteerd van de pagina Inzendingen in de Defender-portal op https://security.microsoft.com/reportsubmission?viewid=user:
De ingebouwde knop Rapport in webversie van Outlook (voorheen bekend als Outlook Web App of OWA).
Niet-Microsoft-rapportageprogramma's die gebruikmaken van de ondersteunde indeling voor het verzenden van berichten.
Waar gaan door de gebruiker gerapporteerde berichten heen?: U hebt de volgende opties:
- Naar een aangewezen rapportagepostvak en naar Microsoft (deze waarde is de standaardwaarde).
- Alleen naar een aangewezen rapportagepostvak.
- Alleen voor Microsoft.
Het standaardpostvak dat wordt gebruikt om door de gebruiker gerapporteerde berichten te verzamelen, is het postvak van de globale beheerder (het eerste account in de organisatie). Als u wilt dat door de gebruiker gerapporteerde berichten naar een rapportagepostvak in uw organisatie gaan, moet u een exclusief postvak maken en configureren voor gebruik.
Het is aan u of u wilt dat door de gebruiker gerapporteerde berichten ook naar Microsoft gaan voor analyse (exclusief of samen met bezorging in uw aangewezen rapportagepostvak).
Als u wilt dat door de gebruiker gerapporteerde berichten alleen naar uw aangewezen rapportagepostvak gaan, moeten beheerders handmatig door de gebruiker gerapporteerde berichten naar Microsoft verzenden voor analyse vanaf het tabblad Gebruiker gerapporteerd van de pagina Inzendingen in de Defender-portal op https://security.microsoft.com/reportsubmission?viewid=user.
Het verzenden van door de gebruiker gerapporteerde berichten naar Microsoft is belangrijk om onze filters te laten leren en verbeteren.
Zie Door de gebruiker gerapporteerde instellingen voor volledige informatie over door de gebruiker gerapporteerde berichtinstellingen.
Stap 6: Vermeldingen blokkeren en toestaan
Samenvatting: Maak uzelf vertrouwd met de procedures voor het blokkeren en toestaan van berichten, bestanden en URL's in Defender for Office 365.
Details:
U moet vertrouwd raken met het blokkeren en (tijdelijk) toestaan van afzenders, bestanden en URL's van berichten op de volgende locaties in de Defender-portal:
- De lijst tenant toestaan/blokkeren op https://security.microsoft.com/tenantAllowBlockList.
- De pagina Inzendingen op https://security.microsoft.com/reportsubmission.
- De pagina Spoof intelligence insight op https://security.microsoft.com/spoofintelligence.
Over het algemeen is het gemakkelijker om blokken te maken dan is toegestaan, omdat onnodige vermeldingen uw organisatie blootstellen aan schadelijke e-mail die anders door het systeem zou worden gefilterd.
Blokkeren:
U kunt blokvermeldingen maken voor domeinen en e-mailadressen, bestanden en URL's op de bijbehorende tabbladen in de lijst Tenant toestaan/blokkeren en door de items naar Microsoft te verzenden voor analyse vanaf de pagina Inzendingen . Wanneer u een item naar Microsoft verzendt, worden bijbehorende blokvermeldingen ook gemaakt in de lijst Tenant toestaan/blokkeren.
Tip
Gebruikers in de organisatie kunnen ook geen e-mail verzenden naar domeinen of e-mailadressen die zijn opgegeven in blokvermeldingen in de lijst Tenant toestaan/blokkeren.
Berichten die worden geblokkeerd door spoof intelligence , worden weergegeven op de pagina Spoof intelligence . Als u een toegestane vermelding wijzigt in een blokvermelding, wordt de afzender een handmatige blokkeringsvermelding op het tabblad Vervalste afzenders in de lijst Tenant toestaan/blokkeren. U kunt ook proactief blokvermeldingen maken voor nog niet aangetroffen vervalste afzenders op het tabblad Vervalste afzenders .
Toestaan:
U kunt toegestane vermeldingen maken voor domeinen en e-mailadressen en URL's op de bijbehorende tabbladen in de lijst Tenant toestaan/blokkeren om de volgende uitspraken te overschrijven:
- Bulk
- Spam
- Spam met hoge betrouwbaarheid
- Phishing (geen hoge phishingwaarschijnlijkheid)
U kunt geen toegestane vermeldingen rechtstreeks maken in de lijst Tenant toestaan/blokkeren voor de volgende items:
- Malware of phishing-evaluaties met hoge betrouwbaarheid voor domeinen en e-mailadressen of URL's.
- Eventuele vonnissen voor bestanden.
In plaats daarvan gebruikt u de pagina Inzendingen om de items aan Microsoft te rapporteren. Nadat u Ik heb bevestigd dat het is opgeschoond hebt geselecteerd, kunt u vervolgens Dit bericht toestaan, Deze URL toestaan of Toestaan dat dit bestand een overeenkomstige tijdelijke machtigingsvermelding maakt selecteren in de lijst Tenant toestaan/blokkeren.
Berichten die zijn toegestaan door spoof intelligence , worden weergegeven op de pagina Spoof intelligence . Als u een blokvermelding wijzigt in een toegestane vermelding, wordt de afzender een handmatige vermelding voor toestaan op het tabblad Vervalste afzenders in de lijst Tenant toestaan/blokkeren. U kunt ook proactief toegestane vermeldingen maken voor nog niet aangetroffen vervalste afzenders op het tabblad Vervalste afzenders .
Zie de volgende artikelen voor volledige informatie:
- E-mail toestaan of blokkeren met behulp van de lijst met toestaan/blokkeren van tenants
- Bestanden toestaan of blokkeren met behulp van de acceptatie-/blokkeringslijst voor tenants
- URL's toestaan of blokkeren met behulp van de acceptatie-/blokkeringslijst voor tenants
- Gebruik de pagina Inzendingen om verdachte spam, phishing, URL's, legitieme e-mail die wordt geblokkeerd en e-mailbijlagen naar Microsoft te verzenden
- Het spoof intelligence-oordeel overschrijven
Stap 7: phishingsimulaties starten met behulp van training voor aanvalssimulatie
In Defender voor Office 365 Abonnement 2 kunt u met training voor aanvalssimulatie gesimuleerde phishingberichten verzenden naar gebruikers en training toewijzen op basis van hoe ze reageren. De volgende opties zijn beschikbaar:
- Afzonderlijke simulaties met behulp van ingebouwde of aangepaste nettoladingen.
- Simulatieautomatiseringen die afkomstig zijn van phishingaanvallen in de praktijk met behulp van meerdere nettoladingen en geautomatiseerde planning.
- Alleen trainingscampagnes waarbij u geen campagne hoeft te starten en wacht tot gebruikers op koppelingen klikken of bijlagen downloaden in de gesimuleerde phishingberichten voordat trainingen worden toegewezen.
Zie Aan de slag met training voor aanvalssimulatie voor meer informatie.
Stap 8: Onderzoeken en reageren
Nu uw eerste installatie is voltooid, gebruikt u de informatie in de handleiding Microsoft Defender voor Office 365 Beveiligingsbewerkingen om bedreigingen in de organisatie te bewaken en te onderzoeken.