Del via


Karantænepolitik

Tip

Vidste du, at du kan prøve funktionerne i Microsoft Defender XDR til Office 365 Plan 2 gratis? Brug den 90-dages Defender for Office 365 prøveversion på Microsoft Defender portalen med prøveversionshubben. Få mere at vide om, hvem der kan tilmelde dig og prøvevilkår i Prøv Microsoft Defender for Office 365.

I Exchange Online Protection (EOP) og Microsoft Defender for Office 365 giver karantænepolitikker administratorer mulighed for at definere brugeroplevelsen for karantænemeddelelser:

  • Det har brugerne tilladelse til at gøre med deres egne karantænemeddelelser (meddelelser, hvor de er modtager) baseret på, hvorfor meddelelsen blev sat i karantæne.
  • Uanset om brugerne modtager periodiske meddelelser (hver fire timer, dagligt eller ugentligt) om deres karantænemeddelelser via karantænemeddelelser.

Brugere har traditionelt fået tilladelse til eller nægtet niveauer af interaktivitet med karantænemeddelelser baseret på, hvorfor meddelelsen blev sat i karantæne. Brugerne kan f.eks. få vist og frigive meddelelser, der er sat i karantæne som spam eller masse, men de kan ikke få vist eller frigive meddelelser, der er sat i karantæne som phishing eller malware med høj sikkerhed.

Standard karantænepolitikker gennemtvinger disse historiske brugeregenskaber og tildeles automatisk i understøttede beskyttelsesfunktioner , der sætter meddelelser i karantæne.

Du kan finde oplysninger om elementerne i en karantænepolitik, standard karantænepolitikker og individuelle tilladelser i afsnittet Appendiks i slutningen af denne artikel.

Hvis du ikke bryder dig om standardbrugeregenskaberne for karantænemeddelelser for en bestemt funktion (herunder manglende karantænemeddelelser), kan du oprette og bruge brugerdefinerede karantænepolitikker som beskrevet i denne artikel.

Du opretter og tildeler karantænepolitikker på Microsoft Defender-portalen eller i PowerShell (Exchange Online PowerShell til Microsoft 365-organisationer med Exchange Online postkasser; enkeltstående EOP PowerShell i EOP-organisationer uden Exchange Online postkasser).

Hvad har du brug for at vide, før du begynder?

  • I Microsoft 365, der drives af 21Vianet, er karantæne i øjeblikket ikke tilgængelig på Microsoft Defender-portalen. Karantæne er kun tilgængelig i det klassiske Exchange Administration (klassisk EAC).

  • Du åbner portalen Microsoft Defender på https://security.microsoft.com. Hvis du vil gå direkte til siden Karantænepolitikker , skal du bruge https://security.microsoft.com/quarantinePolicies.

  • Hvis du vil oprette forbindelse til Exchange Online PowerShell, skal du se Opret forbindelse til Exchange Online PowerShell. Hvis du vil oprette forbindelse til enkeltstående EOP PowerShell, skal du se Opret forbindelse til Exchange Online Protection PowerShell.

  • Hvis du ændrer den karantænepolitik, der er tildelt til en understøttet beskyttelsesfunktion, påvirker ændringen karantænemeddelelsen, når du har foretaget ændringen. Meddelelser, der blev sat i karantæne, før du foretog ændringen, påvirkes ikke af indstillingerne for den nye karantænepolitiktildeling.

  • Hvor længe meddelelser, der blev sat i karantæne af anti-spam og anti-phishing-beskyttelse, opbevares, før de udløber, styres af Opbevaring af spam i karantæne i så mange dage (QuarantineRetentionPeriod) i politikker til bekæmpelse af spam. Du kan få flere oplysninger i tabellen i Karantæneopbevaring.

  • Du skal have tildelt tilladelser, før du kan udføre procedurerne i denne artikel. Du har følgende muligheder:

    • Microsoft Defender XDR Unified-rollebaseret adgangskontrol (RBAC) (Hvis mail & samarbejde>Defender for Office 365 tilladelser er aktive. Påvirker kun Defender-portalen, ikke PowerShell: Godkendelse og indstillinger/Sikkerhedsindstillinger/Kernesikkerhedsindstillinger (administrer) eller Sikkerhedshandlinger/Sikkerhedsdata/Mail & samarbejdskarantæne (administrer).

    • Mail & samarbejdstilladelser på Microsoft Defender portalen: Medlemskab af rollegrupperne Karantæneadministrator, Sikkerhedsadministrator eller Organisationsadministration.

    • Microsoft Entra tilladelser: Medlemskab af rollerne Global administrator* eller Sikkerhedsadministrator giver brugerne de nødvendige tilladelser og tilladelser til andre funktioner i Microsoft 365.

      Vigtigt!

      * Microsoft anbefaler, at du bruger roller med færrest tilladelser. Brug af konti med lavere tilladelser hjælper med at forbedre sikkerheden for din organisation. Global administrator er en yderst privilegeret rolle, der bør være begrænset til nødsituationer, når du ikke kan bruge en eksisterende rolle.

  • Alle handlinger, der udføres af administratorer eller brugere i karantænemeddelelser, overvåges. Du kan få flere oplysninger om overvågede karantænehændelser i Karantæneskema i API til Office 365 Management.

Trin 1: Opret karantænepolitikker på Microsoft Defender-portalen

  1. I Microsoft Defender-portalen på https://security.microsoft.comskal du gå til Mail & samarbejdspolitikker>& Regler>Trusselspolitikker>Karantænepolitik i afsnittet Regler. Du kan også gå direkte til siden Karantænepolitik ved at bruge https://security.microsoft.com/quarantinePolicies.

    Politikside til karantæne på portalen Microsoft Defender.

  2. På siden Karantænepolitikker skal du vælge Tilføj brugerdefineret politik for at starte guiden til ny karantænepolitik.

  3. Angiv et kort, men entydigt navn i feltet Politiknavn på siden Politiknavn . Politiknavnet kan vælges på rullelister i kommende trin.

    Når du er færdig på siden Politiknavn , skal du vælge Næste.

  4. Vælg en af følgende værdier på adgangssiden for modtagermeddelelsen :

    • Begrænset adgang: De individuelle tilladelser, der er inkluderet i denne tilladelsesgruppe, er beskrevet i appendiksafsnittet . Grundlæggende kan brugerne gøre alt for deres karantænemeddelelser, undtagen at frigive dem fra karantæne uden administratorgodkendelse.

    • Angiv specifik adgang (avanceret):Brug denne værdi til at angive brugerdefinerede tilladelser. Konfigurer følgende indstillinger, der vises:

      • Vælg indstillinger for udgivelseshandling: Vælg en af følgende værdier på rullelisten:
        • Tom: Brugerne kan ikke frigive eller anmode om frigivelse af deres meddelelser fra karantæne. Dette er standardværdien.
        • Tillad, at modtagere anmoder om, at en meddelelse frigives fra karantæne
        • Tillad, at modtagere frigiver en meddelelse fra karantæne
      • Vælg yderligere handlinger, som modtagere kan foretage i karantænemeddelelser: Vælg nogle, alle eller ingen af følgende værdier:
        • Slette
        • Preview
        • Afsender af blok
        • Tillad afsender

    Disse tilladelser og deres virkning på karantænemeddelelser og i karantænemeddelelser er beskrevet i afsnittet Oplysninger om tilladelse til karantænepolitik senere i denne artikel.

    Når du er færdig på adgangssiden for modtagermeddelelser , skal du vælge Næste.

  5. På siden Karantænemeddelelse skal du vælge Aktivér for at aktivere karantænemeddelelser og derefter vælge en af følgende værdier:

    • Medtag karantænemeddelelser fra blokerede afsenderadresser
    • Medtag ikke karantænemeddelelser fra blokerede afsenderadresser

    Tip

    Hvis du aktiverer karantænemeddelelser for Ingen adgangstilladelser (på siden Modtagermeddelelsesadgang har du valgt Angiv bestemt adgang (Avanceret)>Vælg indstilling for udgivelseshandling> tom), brugere kan få vist deres meddelelser i karantæne, men den eneste tilgængelige handling for meddelelserne er Vis meddelelsesheadere.

    Når du er færdig på siden Med meddelelser om karantæne , skal du vælge Næste.

  6. På siden Gennemse politik kan du gennemse dine valg. Vælg Rediger i hver sektion for at redigere indstillingerne i sektionen. Du kan også vælge Tilbage eller den specifikke side i guiden.

    Når du er færdig på siden Gennemse politik , skal du vælge Send og derefter vælge Udført på bekræftelsessiden.

  7. På den bekræftelsesside, der vises, kan du bruge linkene til at gennemse meddelelser, der er sat i karantæne, eller gå til siden Politikker mod spam på Defender-portalen .

    Når du er færdig på siden, skal du vælge Udført.

Tilbage på siden Karantænepolitik vises den politik, du har oprettet, nu. Du er klar til at tildele karantænepolitikken til en understøttet sikkerhedsfunktion som beskrevet i afsnittet Trin 2 .

Opret karantænepolitikker i PowerShell

Tip

Tilladelsen PermissionToAllowSender i karantænepolitikker i PowerShell bruges ikke.

Hvis du hellere vil bruge PowerShell til at oprette karantænepolitikker, skal du oprette forbindelse til Exchange Online PowerShell eller enkeltstående Exchange Online Protection PowerShell og bruge følgende syntaks:

New-QuarantinePolicy -Name "<UniqueName>" -EndUserQuarantinePermissionsValue <0 to 236> [-EsnEnabled $true]
  • Parameteren ESNEnabled med værdien $true aktiverer karantænemeddelelser. Karantænemeddelelser er som standard slået fra (standardværdien er $false).

  • Parameteren EndUserQuarantinePermissionsValue bruger en decimalværdi, der konverteres fra en binær værdi. Den binære værdi svarer til de tilgængelige tilladelser til slutbrugerens karantæne i en bestemt rækkefølge. For hver tilladelse er værdien 1 lig med True, og værdien 0 er lig med False.

    Den påkrævede rækkefølge og de påkrævede værdier for hver enkelt tilladelse er beskrevet i følgende tabel:

    Tilladelse Decimalværdi Binær værdi
    PermissionToViewHeader¹ 128 10000000
    PermissionToDownload² 64 01000000
    PermissionToAllowSender 32 00100000
    PermissionToBlockSender 16 00010000
    PermissionToRequestRelease³ 8 00001000
    PermissionToRelease³ 4 00000100
    PermissionToPreview 2 00000010
    PermissionToDelete 1 00000001

    ¹ Værdien 0 for denne tilladelse skjuler ikke handlingen Vis meddelelsesheader i karantæne. Hvis meddelelsen er synlig for en bruger i karantæne, er handlingen altid tilgængelig for meddelelsen.

    ² Denne tilladelse bruges ikke (værdien 0 eller 1 gør ingenting).

    ³ Angiv ikke begge disse tilladelsesværdier til 1. Angiv én værdi til 1 og den anden værdi til 0, eller angiv begge værdier til 0.

    For begrænsede adgangstilladelser er de påkrævede værdier:

    Tilladelse Begrænset adgang
    PermissionToViewHeader 0
    PermissionToDownload 0
    PermissionToAllowSender 1
    PermissionToBlockSender 0
    PermissionToRequestRelease 1
    PermissionToRelease 0
    PermissionToPreview 1
    PermissionToDelete 1
    Binær værdi 00101011
    Decimalværdi, der skal bruges 43
  • Hvis du angiver parameteren ESNEnabled til værdien $true , når værdien af parameteren EndUserQuarantinePermissionsValue er 0 (ingen adgang , hvor alle tilladelser er slået fra), kan modtagerne se deres meddelelser i karantæne, men den eneste tilgængelige handling for meddelelserne er Vis brevhoveder.

I dette eksempel oprettes der en ny karantænepolitik med navnet LimitedAccess, hvor karantænemeddelelser er slået til, og som tildeler tilladelserne begrænset adgang som beskrevet i den forrige tabel.

New-QuarantinePolicy -Name LimitedAccess -EndUserQuarantinePermissionsValue 43 -EsnEnabled $true

I forbindelse med brugerdefinerede tilladelser skal du bruge den forrige tabel til at få den binære værdi, der svarer til de ønskede tilladelser. Konvertér den binære værdi til en decimalværdi, og brug decimalværdien for parameteren EndUserQuarantinePermissionsValue .

Tip

Brug den tilsvarende decimalværdi for EndUserQuarantinePermissionsValue. Brug ikke den rå binære værdi.

Du kan finde detaljerede oplysninger om syntaks og parametre under New-QuarantinePolicy.

Trin 2: Tildel en karantænepolitik til understøttede funktioner

I understøttede beskyttelsesfunktioner, der sætter mails i karantæne, definerer den tildelte karantænepolitik, hvad brugerne kan gøre for at sætte meddelelser i karantæne, og om karantænemeddelelser er slået til. Beskyttelsesfunktioner, der sætter meddelelser i karantæne, og om de understøtter karantænepolitikker, er beskrevet i følgende tabel:

Funktion Understøttes karantænepolitikker?
Domme i anti-spam-politikker
   Spam (SpamAction) Ja (SpamQuarantineTag)
   Spam med høj genkendelsessikkerhed (HighConfidenceSpamAction) Ja (HighConfidenceSpamQuarantineTag)
   Phishing (PhishSpamAction) Ja (PhishQuarantineTag)
   Phishing med høj genkendelsessikkerhed (HighConfidencePhishAction) Ja (HighConfidencePhishQuarantineTag)
   Masse (BulkSpamAction) Ja (BulkQuarantineTag)
Domme i anti-phishing-politikker
   Spoof (AuthenticationFailAction) Ja (SpoofQuarantineTag)
   Bruger repræsentering (TargetedUserProtectionAction) Ja (TargetedUserQuarantineTag)
   Repræsentation af domæne (TargetedDomainProtectionAction) Ja (TargetedDomainQuarantineTag)
   Repræsentation af mailbox intelligence (MailboxIntelligenceProtectionAction) Ja (MailboxIntelligenceQuarantineTag)
Politikker for antimalware Ja (QuarantineTag)
Beskyttelse mod vedhæftede filer
   Mails med vedhæftede filer, der er sat i karantæne som malware af politikker for sikre vedhæftede filer (Aktivér og handling) Ja (QuarantineTag)
   Filer, der er sat i karantæne som malware af Sikre vedhæftede filer til SharePoint, OneDrive og Microsoft Teams Nej
Exchange-regler for mailflow (også kendt som transportregler) med handlingen: 'Levér meddelelsen til den hostede karantæne' (karantæne) Nej

De standard karantænepolitikker, der bruges af hver enkelt beskyttelsesfunktion, er beskrevet i de relaterede tabeller under Anbefalede indstillinger for EOP og Microsoft Defender for Office 365 sikkerhed.

Standard karantænepolitikker, forudindstillede tilladelsesgrupper og tilladelser er beskrevet i afsnittet Appendiks sidst i denne artikel.

Resten af dette trin forklarer, hvordan du tildeler karantænepolitikker for understøttede filterafsigelser.

Tildel karantænepolitikker i understøttede politikker på portalen Microsoft Defender

Bemærk!

Brugerne kan ikke frigive deres egne meddelelser, der er sat i karantæne som malware af politikker for antimalware eller sikre vedhæftede filer, eller som phishing med høj sikkerhed ved hjælp af politikker til bekæmpelse af spam, uanset hvordan karantænepolitikken er konfigureret. Hvis politikken giver brugerne mulighed for at frigive deres egne karantænemeddelelser, har brugerne i stedet tilladelse til at anmode om frigivelse af deres karantænerede malware eller phishing-meddelelser med høj sikkerhed.

Politikker til bekæmpelse af spam

  1. På portalen Microsoft Defender på https://security.microsoft.comskal du gå til Mail & samarbejdspolitikker>& regler>Trusselspolitikker>Anti-spam i afsnittet Politikker. Du kan også gå direkte til siden Politikker for bekæmpelse af spam ved at bruge https://security.microsoft.com/antispam.

  2. Brug en af følgende metoder på siden Politikker mod spam :

    • Vælg en eksisterende indgående politik for spam ved at klikke et vilkårligt sted i rækken ud for afkrydsningsfeltet ud for navnet. I pop op-vinduet med politikoplysninger, der åbnes, skal du gå til afsnittet Handlinger og derefter vælge Rediger handlinger.
    • Vælg Opret politik, vælg Indgående på rullelisten for at starte den nye guide til politik mod spam, og gå derefter til siden Handlinger .
  3. På siden Handlinger eller pop op-vinduet har alle domme, hvor handlingen Karantænemeddelelse er valgt, også feltet Vælg karantænepolitik , hvor du kan vælge en karantænepolitik.

    Hvis du ændrer handlingen for en dom for filtrering af spam til Karantæne under oprettelsen af politikken til bekæmpelse af spam, er feltet Vælg karantænepolitik som standard tomt. En tom værdi betyder, at standard karantænepolitikken for den pågældende dom bruges. Når du senere får vist eller redigerer indstillingerne for politik til bekæmpelse af spam, vises navnet på karantænepolitikken. Standardkartantatpolitikkerne er angivet i tabellen med understøttede funktioner.

    Valg af karantænepolitik i en politik mod spam

Komplette instruktioner til oprettelse og ændring af politikker til bekæmpelse af spam er beskrevet i Konfigurer politikker til bekæmpelse af spam i EOP.

Politikker mod spam i PowerShell

Hvis du hellere vil bruge PowerShell til at tildele karantænepolitikker i politikker til bekæmpelse af spam, skal du oprette forbindelse til Exchange Online PowerShell eller Exchange Online Protection PowerShell og bruge følgende syntaks:

<New-HostedContentFilterPolicy -Name "<Unique name>" | Set-HostedContentFilterPolicy -Identity "<Policy name>"> [-SpamAction Quarantine] [-SpamQuarantineTag <QuarantineTagName>] [-HighConfidenceSpamAction Quarantine] [-HighConfidenceSpamQuarantineTag <QuarantineTagName>] [-PhishSpamAction Quarantine] [-PhishQuarantineTag <QuarantineTagName>] [-HighConfidencePhishQuarantineTag <QuarantineTagName>] [-BulkSpamAction Quarantine] [-BulkQuarantineTag <QuarantineTagName>] ...
  • Karantænepolitikker er kun vigtige, når meddelelser er sat i karantæne. Standardværdien for parameteren HighConfidencePhishAction er Quarantine, så du behøver ikke at bruge parameteren *Action , når du opretter nye politikker for spamfilter i PowerShell. Alle andre *handlingsparametre i nye politikker for spamfiltre er som standard ikke angivet til værdien Karantæne.

    Hvis du vil se de vigtige parameterværdier i eksisterende politikker mod spam, skal du køre følgende kommando:

    Get-HostedContentFilterPolicy | Format-List Name,SpamAction,SpamQuarantineTag,HighConfidenceSpamAction,HighConfidenceSpamQuarantineTag,PhishSpamAction,PhishQuarantineTag,HighConfidencePhishAction,HighConfidencePhishQuarantineTag,BulkSpamAction,BulkQuarantineTag
    
  • Hvis du opretter en politik til bekæmpelse af spam uden at angive karantænepolitikken for dom for filtrering af spam, bruges standardkarantænepolitikken for den dom. Du kan få oplysninger om standardværdierne for handlingen og de anbefalede handlingsværdier for Standard og Strict under Politikindstillinger for EOP-antispam.

    Angiv en anden karantænepolitik for at aktivere karantænemeddelelser eller ændre standardegenskaberne for slutbrugere i karantænemeddelelser for den pågældende dom for filtrering af spam.

    Brugerne kan ikke frigive deres egne meddelelser, der er sat i karantæne som phishing med høj tillid, uanset hvordan karantænepolitikken er konfigureret. Hvis politikken giver brugerne mulighed for at frigive deres egne karantænemeddelelser, har brugerne i stedet tilladelse til at anmode om frigivelse af deres phishing-meddelelser med høj genkendelsessikkerhed i karantæne.

  • I PowerShell kræver en ny politik til bekæmpelse af spam i PowerShell en politik for spamfilter ved hjælp af cmdlet'en New-HostedContentFilterPolicy (indstillinger) og en eksklusiv regel for spamfilter ved hjælp af New-HostedContentFilterRule-cmdlet'en (modtagerfiltre). Du kan finde instruktioner under Brug PowerShell til at oprette politikker til bekæmpelse af spam.

I dette eksempel oprettes en ny politik for spamfilter med navnet Forskningsafdeling med følgende indstillinger:

  • Handlingen for alle spamfiltreringsdomme er indstillet til Karantæne.
  • Standard karantænepolitikken med navnet AdminOnlyAccessPolicy, der tildeler ingen adgangstilladelser , erstatter den standard karantænepolitik, der bruges (phishing-meddelelser med høj sikkerhed er sat i karantæne som standard, og Karantænepolitik for AdminOnlyAccessPolicy bruges som standard).
New-HostedContentFilterPolicy -Name "Research Department" -SpamAction Quarantine -SpamQuarantineTag AdminOnlyAccessPolicy -HighConfidenceSpamAction Quarantine -HighConfidenceSpamQuarantineTag AdminOnlyAccessPolicy -PhishSpamAction Quarantine -PhishQuarantineTag AdminOnlyAccessPolicy -BulkSpamAction Quarantine -BulkQuarantineTag AdminOnlyAccessPolicy

Du kan finde detaljerede oplysninger om syntaks og parametre under New-HostedContentFilterPolicy.

I dette eksempel ændres den eksisterende politik for spamfilter med navnet HR. Handlingen for dom for spam karantæne er indstillet til Karantæne, og den brugerdefinerede karantænepolitik med navnet ContosoNoAccess er tildelt.

Set-HostedContentFilterPolicy -Identity "Human Resources" -SpamAction Quarantine -SpamQuarantineTag ContosoNoAccess

Du kan finde detaljerede oplysninger om syntaks og parametre under Set-HostedContentFilterPolicy.

Politikker for antiphishing

Spoof intelligence er tilgængelig i EOP og Defender for Office 365. Beskyttelse mod repræsentation af brugere, beskyttelse mod repræsentation af domæner og beskyttelse af postkasseintelligens er kun tilgængelige i Defender for Office 365. Du kan få flere oplysninger under Politikker til bekæmpelse af phishing i Microsoft 365.

  1. I Microsoft Defender-portalen på https://security.microsoft.comskal du gå til Mail & samarbejdspolitikker>& regler>Trusselspolitikker>Anti-phishing i afsnittet Politikker. Du kan også gå direkte til siden Anti-phishing ved at bruge https://security.microsoft.com/antiphishing.

  2. Brug en af følgende metoder på siden Anti-phishing :

    • Vælg en eksisterende anti-phishing-politik ved at klikke et vilkårligt sted i rækken ud for afkrydsningsfeltet ud for navnet. I pop op-vinduet med politikoplysninger, der åbnes, skal du vælge linket Rediger i det relevante afsnit som beskrevet i de næste trin.
    • Vælg Opret for at starte den nye guide til anti-phishing-politik. De relevante sider er beskrevet i de næste trin.
  3. tærsklen for phishing & beskyttelsesside eller pop op-vindue skal du kontrollere, at følgende indstillinger er slået til og konfigureret efter behov:

    • Aktiverede brugere til at beskytte: Angiv brugere.
    • Aktiverede domæner, der skal beskyttes: Vælg Medtag domæner, jeg ejer og/eller Medtag brugerdefinerede domæner , og angiv domænerne.
    • Aktivér postkasseintelligens
    • Aktivér intelligens til repræsentationsbeskyttelse
    • Aktivér spoof intelligence
  4. På siden Handlinger eller pop op-vinduet har alle domme, der har handlingen Sæt meddelelsen i karantæne , også feltet Anvend karantænepolitik , så du kan vælge en karantænepolitik.

    Hvis du ikke vælger en karantænepolitik under oprettelsen af politikken til bekæmpelse af phishing, bruges standardkarantænepolitikken. Når du senere får vist eller redigerer indstillingerne for anti-phishing-politik, vises navnet på karantænepolitikken. Standardkartantatpolitikkerne er angivet i tabellen med understøttede funktioner.

    Valg af karantænepolitik i en anti-phishing-politik.

Komplette instruktioner til oprettelse og ændring af anti-phishing-politikker er tilgængelige i følgende artikler:

Anti-phishing-politikker i PowerShell

Hvis du hellere vil bruge PowerShell til at tildele karantænepolitikker i politikker til bekæmpelse af phishing, skal du oprette forbindelse til Exchange Online PowerShell eller Exchange Online Protection PowerShell og bruge følgende syntaks:

<New-AntiPhishPolicy -Name "<Unique name>" | Set-AntiPhishPolicy -Identity "<Policy name>"> [-EnableSpoofIntelligence $true] [-AuthenticationFailAction Quarantine] [-SpoofQuarantineTag <QuarantineTagName>] [-EnableMailboxIntelligence $true] [-EnableMailboxIntelligenceProtection $true] [-MailboxIntelligenceProtectionAction Quarantine] [-MailboxIntelligenceQuarantineTag <QuarantineTagName>] [-EnableOrganizationDomainsProtection $true] [-EnableTargetedDomainsProtection $true] [-TargetedDomainProtectionAction Quarantine] [-TargetedDomainQuarantineTag <QuarantineTagName>] [-EnableTargetedUserProtection $true] [-TargetedUserProtectionAction Quarantine] [-TargetedUserQuarantineTag <QuarantineTagName>] ...
  • Karantænepolitikker er kun vigtige, når meddelelser er sat i karantæne. I anti-phish-politikker er meddelelser sat i karantæne, når parameterværdien Enable* for funktionen $true , og den tilsvarende *\Action-parameterværdi er Quarantine. Standardværdien for parametrene EnableMailboxIntelligence og EnableSpoofIntelligence er $true, så du behøver ikke at bruge dem, når du opretter nye anti-phish-politikker i PowerShell. Som standard har ingen *\Action-parametre værdien Quarantine.

    Hvis du vil se de vigtige parameterværdier i eksisterende anti-phish-politikker, skal du køre følgende kommando:

    Get-AntiPhishPolicy | Format-List EnableSpoofIntelligence,AuthenticationFailAction,SpoofQuarantineTag,EnableTargetedUserProtection,TargetedUserProtectionAction,TargetedUserQuarantineTag,EnableTargetedDomainsProtection,EnableOrganizationDomainsProtection,TargetedDomainProtectionAction,TargetedDomainQuarantineTag,EnableMailboxIntelligence,EnableMailboxIntelligenceProtection,MailboxIntelligenceProtectionAction,MailboxIntelligenceQuarantineTag
    

    Du kan få oplysninger om de standard- og anbefalede handlingsværdier for Standard- og Strict-konfigurationer under EOP-politikindstillinger for anti-phishing og Repræsentationsindstillinger i politikker til bekæmpelse af phishing i Microsoft Defender for Office 365.

  • Hvis du opretter en ny politik til anti-phishing uden at angive karantænepolitikken for den anti-phishing-handling, bruges standardkarneationspolitikken for den pågældende handling. Standard karantænepolitikkerne for hver phishing-handling vises i indstillinger for EOP-politik for anti-phishing og Indstillinger for politik for anti-phishing i Microsoft Defender for Office 365.

    Angiv kun en anden karantænepolitik, hvis du vil ændre standardegenskaberne for slutbrugere i karantænemeddelelser for den pågældende anti-phishing-handling.

  • En ny anti-phishing-politik i PowerShell kræver en anti-phish-politik ved hjælp af New-AntiPhishPolicy cmdlet (indstillinger) og en eksklusiv anti-phish-regel ved hjælp af New-AntiPhishRule-cmdlet 'en (modtagerfiltre). Du kan finde instruktioner i følgende artikler:

I dette eksempel oprettes en ny anti-phish-politik med navnet Forskningsafdeling med følgende indstillinger:

  • Handlingen for alle spamfiltreringsdomme er indstillet til Karantæne.
  • Standard karantænepolitikken med navnet AdminOnlyAccessPolicy, der tildeler tilladelser uden adgang , erstatter den standard karantænepolitik, der bruges.
New-AntiPhishPolicy -Name "Research Department" -AuthenticationFailAction Quarantine -SpoofQuarantineTag NoAccess -EnableMailboxIntelligenceProtection $true -MailboxIntelligenceProtectionAction Quarantine -MailboxIntelligenceQuarantineTag NoAccess -EnableOrganizationDomainsProtection $true -EnableTargetedDomainsProtection $true -TargetedDomainProtectionAction Quarantine -TargetedDomainQuarantineTag NoAccess -EnableTargetedUserProtection $true -TargetedUserProtectionAction Quarantine -TargetedUserQuarantineTag NoAccess

Du kan finde detaljerede oplysninger om syntaks og parametre under New-AntiPhishPolicy.

I dette eksempel ændres den eksisterende anti-phish-politik med navnet Human Resources. Handlingen for meddelelser, der registreres af bruger repræsentation og domæne repræsentation, er angivet til Karantæne, og den brugerdefinerede karantænepolitik med navnet ContosoNoAccess tildeles.

Set-AntiPhishPolicy -Identity "Human Resources" -EnableTargetedDomainsProtection $true -TargetedDomainProtectionAction Quarantine -TargetedDomainQuarantineTag ContosoNoAccess -EnableTargetedUserProtection $true -TargetedUserProtectionAction Quarantine -TargetedUserQuarantineTag ContosoNoAccess

Du kan finde detaljerede oplysninger om syntaks og parametre under Set-AntiPhishPolicy.

Politikker for antimalware

  1. I portalen Microsoft Defender på https://security.microsoft.comskal du gå til Mail & samarbejdspolitikker>& regler>Trusselspolitikker>Antimalware i afsnittet Politikker. Du kan også gå direkte til siden Anti-malware ved at bruge https://security.microsoft.com/antimalwarev2.

  2. Brug en af følgende metoder på siden Antimalware :

    • Vælg en eksisterende antimalwarepolitik ved at klikke et vilkårligt sted i rækken ud for afkrydsningsfeltet ud for navnet. I pop op-vinduet med politikoplysninger, der åbnes, skal du gå til afsnittet Beskyttelsesindstillinger og derefter vælge Rediger beskyttelsesindstillinger.
    • Vælg Opret for at starte den nye guide til antimalwarepolitik og gå til siden Beskyttelsesindstillinger .
  3. På siden Beskyttelsesindstillinger eller i pop op-vinduet kan du få vist eller vælge en karantænepolitik i feltet Karantænepolitik .

    Karantænemeddelelser er deaktiveret i politikken med navnet AdminOnlyAccessPolicy. Hvis du vil give modtagere, der har meddelelser i karantæne som malware, skal du oprette eller bruge en eksisterende karantænepolitik, hvor karantænemeddelelser er slået til. Du kan finde instruktioner under Opret karantænepolitikker på Microsoft Defender-portalen.

    Brugerne kan ikke frigive deres egne meddelelser, der blev sat i karantæne som malware af politikker for antimalware, uanset hvordan karantænepolitikken er konfigureret. Hvis politikken giver brugerne mulighed for at frigive deres egne karantænemeddelelser, har brugerne i stedet tilladelse til at anmode om frigivelse af deres karantænelagrede malwaremeddelelser.

    Valg af karantænepolitik i en antimalwarepolitik.

Du kan finde komplette instruktioner til oprettelse og ændring af politikker for antimalware under Konfigurer politikker for antimalware.

Antimalwarepolitikker i PowerShell

Hvis du hellere vil bruge PowerShell til at tildele karantænepolitikker i politikker til antimalware, skal du oprette forbindelse til Exchange Online PowerShell eller Exchange Online Protection PowerShell og bruge følgende syntaks:

<New-AntiMalwarePolicy -Name "<Unique name>" | Set-AntiMalwarePolicy -Identity "<Policy name>"> [-QuarantineTag <QuarantineTagName>]
  • Når du opretter nye antimalwarepolitikker uden at bruge parameteren QuarantineTag , bruges standardkarantænepolitikken med navnet AdminOnlyAccessPolicy.

    Brugerne kan ikke frigive deres egne meddelelser, der er sat i karantæne som malware, uanset hvordan karantænepolitikken er konfigureret. Hvis politikken giver brugerne mulighed for at frigive deres egne karantænemeddelelser, har brugerne i stedet tilladelse til at anmode om frigivelse af deres karantænelagrede malwaremeddelelser.

    Hvis du vil se de vigtige parameterværdier i eksisterende anti-phish-politikker, skal du køre følgende kommando:

    Get-MalwareFilterPolicy | Format-Table Name,QuarantineTag
    
  • En ny antimalwarepolitik i PowerShell kræver en politik for malwarefilter ved hjælp af New-MalwareFilterPolicy-cmdlet (indstillinger) og en eksklusiv regel for malwarefilter ved hjælp af cmdlet'en New-MalwareFilterRule (modtagerfiltre). Du kan finde instruktioner under Brug Exchange Online PowerShell eller enkeltstående EOP PowerShell til at konfigurere politikker for antimalware.

I dette eksempel oprettes en filterpolitik for malware med navnet Research Department, der bruger den brugerdefinerede karantænepolitik med navnet ContosoNoAccess, som tildeler ingen adgangstilladelser til de karantænerede meddelelser.

New-MalwareFilterPolicy -Name "Research Department" -QuarantineTag ContosoNoAccess

Du kan finde detaljerede oplysninger om syntaks og parametre under New-MalwareFilterPolicy.

I dette eksempel ændres den eksisterende politik for malwarefilter med navnet HR, så den bruger den brugerdefinerede karantænepolitik med navnet ContosoNoAccess, der tildeler ingen adgangstilladelser til de karantænelagrede meddelelser.

New-MalwareFilterPolicy -Identity "Human Resources" -QuarantineTag ContosoNoAccess

Du kan finde detaljerede oplysninger om syntaks og parametre under Set-MalwareFilterPolicy.

Politikker for vedhæftede filer, der er tillid til, i Defender for Office 365

  1. På Microsoft Defender-portalen på https://security.microsoft.comskal du gå til Mail & samarbejdspolitikker>& regler>Trusselspolitikker>Sikre vedhæftede filer i afsnittet Politikker. Du kan også gå direkte til siden Vedhæftede filer, der er tillid til, ved at bruge https://security.microsoft.com/safeattachmentv2.

  2. Brug en af følgende metoder på siden Vedhæftede filer, der er tillid til:

    • Vælg en eksisterende politik for vedhæftede filer, der er tillid til, ved at klikke et vilkårligt sted i rækken ud for afkrydsningsfeltet ud for navnet. I pop op-vinduet med politikoplysninger, der åbnes, skal du vælge linket Rediger indstillinger i afsnittet Indstillinger .
    • Vælg Opret for at starte den nye guide til politik for vedhæftede filer, og gå til siden Indstillinger .
  3. På siden Indstillinger eller i pop op-vinduet kan du få vist eller vælge en karantænepolitik i feltet Karantænepolitik .

    Brugerne kan ikke frigive deres egne meddelelser, der er sat i karantæne som malware af politikker for sikre vedhæftede filer, uanset hvordan karantænepolitikken er konfigureret. Hvis politikken giver brugerne mulighed for at frigive deres egne karantænemeddelelser, har brugerne i stedet tilladelse til at anmode om frigivelse af deres karantænelagrede malwaremeddelelser.

    Valg af karantænepolitik i en politik for vedhæftede filer, der er tillid til.

Komplette instruktioner til oprettelse og ændring af politikker for vedhæftede filer, der er tillid til, er beskrevet i Konfigurer politikker for vedhæftede filer i Microsoft Defender for Office 365.

Politikker for sikre vedhæftede filer i PowerShell

Hvis du hellere vil bruge PowerShell til at tildele karantænepolitikker i politikker for sikre vedhæftede filer, skal du oprette forbindelse til Exchange Online PowerShell eller Exchange Online Protection PowerShell og bruge følgende syntaks:

<New-SafeAttachmentPolicy -Name "<Unique name>" | Set-SafeAttachmentPolicy -Identity "<Policy name>"> -Enable $true -Action <Block | DynamicDelivery> [-QuarantineTag <QuarantineTagName>]
  • Parameterværdierne Block eller DynamicDelivery kan resultere i karantænemeddelelser (værdien Tillad sætter ikke meddelelser i karantæne). Værdien af handlingsparameteren giver kun mening, når værdien af parameteren Enable er $true.

  • Når du opretter nye politikker for sikre vedhæftede filer uden at bruge parameteren QuarantineTag , bruges standardkarantænepolitikken med navnet AdminOnlyAccessPolicy til malwareregistreringer af Sikre vedhæftede filer.

    Brugerne kan ikke frigive deres egne meddelelser, der er sat i karantæne som malware, uanset hvordan karantænepolitikken er konfigureret. Hvis politikken giver brugerne mulighed for at frigive deres egne karantænemeddelelser, har brugerne i stedet tilladelse til at anmode om frigivelse af deres karantænelagrede malwaremeddelelser.

    Kør følgende kommando for at se de vigtige parameterværdier:

    Get-SafeAttachmentPolicy | Format-List Name,Enable,Action,QuarantineTag
    
  • En ny politik for sikre vedhæftede filer i PowerShell kræver en politik for sikker vedhæftede filer ved hjælp af New-SafeAttachmentPolicy-cmdlet'en (indstillinger) og en eksklusiv regel for sikre vedhæftede filer ved hjælp af New-SafeAttachmentRule-cmdlet'en (modtagerfiltre). Du kan finde instruktioner under Brug Exchange Online PowerShell til at konfigurere politikker for sikre vedhæftede filer.

I dette eksempel oprettes der en politik for sikker vedhæftede filer med navnet Research Department, der blokerer registrerede meddelelser og bruger den brugerdefinerede karantænepolitik med navnet ContosoNoAccess, der tildeler ingen adgangstilladelser til de karantænelagrede meddelelser.

New-SafeAttachmentPolicy -Name "Research Department" -Enable $true -Action Block -QuarantineTag NoAccess

Du kan finde detaljerede oplysninger om syntaks og parametre under New-MalwareFilterPolicy.

I dette eksempel ændres den eksisterende politik for sikre vedhæftede filer med navnet HR, så den bruger den brugerdefinerede karantænepolitik med navnet ContosoNoAccess, der tildeler ingen adgangstilladelser .

Set-SafeAttachmentPolicy -Identity "Human Resources" -QuarantineTag ContosoNoAccess

Du kan finde detaljerede oplysninger om syntaks og parametre under Set-MalwareFilterPolicy.

Konfigurer globale indstillinger for karantænebeskeder på Microsoft Defender-portalen

De globale indstillinger for karantænepolitikker giver dig mulighed for at tilpasse de karantænemeddelelser, der sendes til modtagere af karantænemeddelelser, hvis karantænemeddelelser er slået til i karantænepolitikken. Du kan få flere oplysninger om karantænemeddelelser under Karantænemeddelelser.

Tilpas karantænemeddelelser til forskellige sprog

Meddelelsesteksten i karantænemeddelelser er allerede lokaliseret på baggrund af sprogindstillingen for modtagerens skybaserede postkasse.

Du kan bruge procedurerne i dette afsnit til at tilpasse værdierne For afsenders viste navn, Emne og Ansvarsfraskrivelse , der bruges i karantænemeddelelser baseret på sprogindstillingen for modtagerens skybaserede postkasse:

  • Det viste navn for Afsender som vist på følgende skærmbillede:

    Et brugerdefineret afsendervisningsnavn i en karantænemeddelelse.

  • Feltet Emne i meddelelser om karantæne.

  • Teksten Ansvarsfraskrivelse , der er føjet til bunden af karantænemeddelelser (maks. 200 tegn). Den lokaliserede tekst , En ansvarsfraskrivelse fra din organisation: inkluderes altid først efterfulgt af den tekst, du angiver som vist på følgende skærmbillede:

En brugerdefineret ansvarsfraskrivelse nederst i en karantænemeddelelse.

Tip

Karantænemeddelelser lokaliseres ikke for postkasser i det lokale miljø.

Brugerne får kun vist en brugerdefineret karantænemeddelelse for et bestemt sprog, når deres postkassesprog svarer til sproget i den brugerdefinerede karantænemeddelelse.

Værdien English_USA gælder kun for engelsksprogede klienter i USA. Værdien English_Great Storbritannien gælder for alle andre engelske klienter (Storbritannien, Canada, Australien osv.).

Sprogene norsk og norsk (Nynorsk) er tilgængelige. Norsk (Bokmål) er ikke tilgængeligt.

Benyt følgende fremgangsmåde for at oprette tilpassede karantænemeddelelser for op til tre sprog:

  1. I Microsoft Defender-portalen på https://security.microsoft.comskal du gå til Mail & samarbejdspolitikker>& regler>Trusselspolitikker>Karantænepolitikker i afsnittet Regler. Du kan også gå direkte til siden Karantænepolitikker ved at bruge https://security.microsoft.com/quarantinePolicies.

  2. På siden Karantænepolitikker skal du vælge Globale indstillinger.

  3. I pop op-vinduet Indstillinger for karantænemeddelelse , der åbnes, skal du gøre følgende:

    1. Vælg sproget i feltet Vælg sprog . Standardværdien er English_USA.

      Selvom dette felt ikke er den første indstilling, skal du konfigurere den først. Hvis du angiver værdier i felterne Afsenders viste navn, Emne eller Ansvarsfraskrivelse , før du vælger sproget, forsvinder disse værdier.

    2. Når du har valgt sproget, skal du angive værdier for Afsenders viste navn, Emne og Ansvarsfraskrivelse. Værdierne skal være entydige for hvert sprog. Hvis du forsøger at genbruge en værdi på et andet sprog, får du vist en fejl, når du vælger Gem.

    3. Vælg knappen Tilføj i nærheden af feltet Vælg sprog .

      Når du har valgt Tilføj, vises de konfigurerede indstillinger for sproget i feltet Klik på sproget for at få vist de tidligere konfigurerede indstillinger . Klik på sprognavnet for at genindlæse indstillingerne. Hvis du vil fjerne sproget, skal du vælge .

      De valgte sprog i de globale indstillinger for karantænebeskeder for karantænepolitikker.

    4. Gentag de forrige trin for at oprette maksimalt tre tilpassede karantænemeddelelser baseret på modtagerens sprog.

  4. Når du er færdig med pop op-vinduet Med karantænemeddelelser , skal du vælge Gem.

    Pop op-vinduet Indstillinger for karantænebeskeder på Microsoft Defender-portalen.

Du kan finde oplysninger om angiv afsenderadresse

Tilpas alle karantænemeddelelser

Selvom du ikke tilpasser karantænemeddelelser for forskellige sprog, er der indstillinger tilgængelige i pop op-vinduet Karantænemeddelelser for at tilpasse alle karantænemeddelelser. Du kan også konfigurere indstillingerne før, under eller efter, at du tilpasser karantænemeddelelser for forskellige sprog (disse indstillinger gælder for alle sprog):

  • Angiv afsenderadresse: Vælg en eksisterende bruger til afsendermailadressen for karantænemeddelelser. Standardsender er quarantine@messaging.microsoft.com.

  • Brug mit firmalogo: Vælg denne indstilling for at erstatte det Microsoft-standardlogo, der bruges øverst i karantænemeddelelser. Før du udfører dette trin, skal du følge vejledningen i Tilpas Microsoft 365-temaet for din organisation for at uploade dit brugerdefinerede logo.

    Der vises et brugerdefineret logo i en karantænemeddelelse på følgende skærmbillede:

    Et brugerdefineret logo i en karantænemeddelelse

  • Send slutbrugerens spammeddelelse hver (dag): Vælg hyppigheden for karantænemeddelelser. Du kan vælge Inden for 4 timer, Dagligt eller Ugentligt.

    Tip

    Hvis du vælger hver fjerde time, og en meddelelse er sat i karantæne lige efter den sidste meddelelsesoprettelse, modtager modtageren karantænemeddelelsen lidt mere end fire timer senere.

Når du er færdig i pop op-vinduet Med karantænemeddelelser, skal du vælge Gem.

Brug PowerShell til at konfigurere globale indstillinger for karantænemeddelelser

Hvis du hellere vil bruge PowerShell til at konfigurere globale indstillinger for karantænemeddelelser, skal du oprette forbindelse til Exchange Online PowerShell eller Exchange Online Protection PowerShell og bruge følgende syntaks:

Get-QuarantinePolicy -QuarantinePolicyType GlobalQuarantinePolicy | Set-QuarantinePolicy -MultiLanguageSetting ('Language1','Language2','Language3') -MultiLanguageCustomDisclaimer ('Language1 Disclaimer','Language2 Disclaimer','Language3 Disclaimer') -ESNCustomSubject ('Language1 Subject','Language2 Subject','Language3 Subject') -MultiLanguageSenderName ('Language1 Sender Display Name','Language2 Sender Display Name','Language3 Sender Display Name') [-EndUserSpamNotificationCustomFromAddress <InternalUserEmailAddress>] [-OrganizationBrandingEnabled <$true | $false>] [-EndUserSpamNotificationFrequency <04:00:00 | 1.00:00:00 | 7.00:00:00>]
  • Du kan maksimalt angive tre tilgængelige sprog. Værdien Default er en-US. Værdien Engelsk er alt andet (en-GB, en-CA, en-AU osv.).
  • For hvert sprog skal du angive entydige værdier for MultiLanguageCustomDisclaimer, ESNCustomSubject og MultiLanguageSenderName .
  • Hvis nogen af tekstværdierne indeholder anførselstegn, skal du undgå anførselstegnet med et ekstra anførselstegn. Skift f.eks d'assistance . til d''assistance.

I dette eksempel konfigureres følgende indstillinger:

  • Tilpassede karantænemeddelelser for engelsk og spansk i USA.
  • Afsenderens mailadresse til karantænemeddelelsen er angivet til michelle@contoso.onmicrosoft.com.
Get-QuarantinePolicy -QuarantinePolicyType GlobalQuarantinePolicy | Set-QuarantinePolicy -MultiLanguageSetting ('Default','Spanish') -MultiLanguageCustomDisclaimer ('For more information, contact the Help Desk.','Para obtener más información, comuníquese con la mesa de ayuda.') -ESNCustomSubject ('You have quarantined messages','Tienes mensajes en cuarentena') -MultiLanguageSenderName ('Contoso administrator','Administradora de contoso') -EndUserSpamNotificationCustomFromAddress michelle@contoso.onmicrosoft.com

Du kan finde detaljerede syntaks- og parameteroplysninger under Set-QuarantinePolicy.

Få vist karantænepolitikker på Microsoft Defender-portalen

  1. I Microsoft Defender-portalen på https://security.microsoft.comskal du gå til Mail & samarbejdspolitikker>& regler>Trusselspolitikker>Karantænepolitikker i afsnittet Regler. Du kan også gå direkte til siden Karantænepolitikker ved at bruge https://security.microsoft.com/quarantinePolicies.

  2. På siden Karantænepolitikker vises en liste over politikker efter Politiknavn og Dato/klokkeslæt for seneste opdatering .

  3. Hvis du vil have vist indstillingerne for standard- eller brugerdefinerede karantænepolitikker, skal du vælge politikken ved at klikke et vilkårligt sted i rækken ud for afkrydsningsfeltet ud for navnet. Detaljer er tilgængelige i det pop op-vindue, der åbnes.

  4. Hvis du vil have vist de globale indstillinger, skal du vælge Globale indstillinger

Få vist karantænepolitikker i PowerShell

Hvis du hellere vil bruge PowerShell til at få vist karantænepolitikker, skal du gøre et af følgende trin:

  • Kør følgende kommando for at få vist en oversigtsliste over alle standardpolitikker eller brugerdefinerede politikker:

    Get-QuarantinePolicy | Format-Table Name
    
  • Hvis du vil have vist indstillingerne for standard- eller brugerdefinerede karantænepolitikker, skal du erstatte <QuarantinePolicyName> med navnet på karantænepolitikken og køre følgende kommando:

    Get-QuarantinePolicy -Identity "<QuarantinePolicyName>"
    
  • Kør følgende kommando for at få vist de globale indstillinger for karantænemeddelelser:

    Get-QuarantinePolicy -QuarantinePolicyType GlobalQuarantinePolicy
    

Du kan finde detaljerede oplysninger om syntaks og parametre under Get-HostedContentFilterPolicy.

Rediger karantænepolitikker på Microsoft Defender-portalen

Du kan ikke ændre standard karantænepolitikkerne med navnet AdminOnlyAccessPolicy, DefaultFullAccessPolicy eller DefaultFullAccessWithNotificationPolicy.

  1. I Microsoft Defender-portalen på https://security.microsoft.comskal du gå til Mail & samarbejdspolitikker>& regler>Trusselspolitikker>Karantænepolitikker i afsnittet Regler. Du kan også gå direkte til siden Karantænepolitikker ved at bruge https://security.microsoft.com/quarantinePolicies.

  2. På siden Karantænepolitikker skal du vælge politikken ved at klikke på afkrydsningsfeltet ud for navnet.

  3. Vælg handlingen Rediger politik , der vises.

Politikguiden åbnes med indstillingerne og værdierne for den valgte karantænepolitik. Trinnene er stort set de samme som beskrevet i afsnittet Opret karantænepolitikker i afsnittet Microsoft Defender portal. Den største forskel er: Du kan ikke omdøbe en eksisterende politik.

Rediger karantænepolitikker i PowerShell

Hvis du hellere vil bruge PowerShell til at ændre en brugerdefineret karantænepolitik, skal du erstatte <QuarantinePolicyName> med navnet på karantænepolitikken og bruge følgende syntaks:

Set-QuarantinePolicy -Identity "<QuarantinePolicyName>" [Settings]

De tilgængelige indstillinger er de samme som beskrevet for oprettelse af karantænepolitikker tidligere i denne artikel.

Du kan finde detaljerede syntaks- og parameteroplysninger under Set-QuarantinePolicy.

Fjern karantænepolitikker på Microsoft Defender-portalen

Bemærk!

Fjern ikke en karantænepolitik, før du har bekræftet, at den ikke bruges. Kør f.eks. følgende kommando i PowerShell:

Write-Output -InputObject "Anti-spam policies",("-"*25);Get-HostedContentFilterPolicy | Format-List Name,*QuarantineTag; Write-Output -InputObject "Anti-phishing policies",("-"*25);Get-AntiPhishPolicy | Format-List Name,*QuarantineTag; Write-Output -InputObject "Anti-malware policies",("-"*25);Get-MalwareFilterPolicy | Format-List Name,QuarantineTag; Write-Output -InputObject "Safe Attachments policies",("-"*25);Get-SafeAttachmentPolicy | Format-List Name,QuarantineTag

Hvis karantænepolitikken bruges, skal du erstatte den tildelte karantænepolitik , før du fjerner den, for at undgå den potentielle afbrydelse i karantænemeddelelser.

Du kan ikke fjerne standard karantænepolitikker med navnet AdminOnlyAccessPolicy, DefaultFullAccessPolicy eller DefaultFullAccessWithNotificationPolicy.

  1. I Microsoft Defender-portalen på https://security.microsoft.comskal du gå til Mail & samarbejdspolitikker>& regler>Trusselspolitikker>Karantænepolitikker i afsnittet Regler. Du kan også gå direkte til siden Karantænepolitikker ved at bruge https://security.microsoft.com/quarantinePolicies.

  2. På siden Karantænepolitikker skal du vælge politikken ved at klikke på afkrydsningsfeltet ud for navnet.

  3. Vælg handlingen Slet politik , der vises.

  4. Vælg Fjern politik i bekræftelsesdialogboksen.

Fjern karantænepolitikker i PowerShell

Hvis du hellere vil bruge PowerShell til at fjerne en brugerdefineret karantænepolitik, skal du erstatte <QuarantinePolicyName> med navnet på karantænepolitikken og køre følgende kommando:

Remove-QuarantinePolicy -Identity "<QuarantinePolicyName>"

Du kan finde detaljerede syntaks- og parameteroplysninger under Remove-QuarantinePolicy.

Systembeskeder for anmodninger om karantænefrigivelse

Standardbeskedpolitikken med navnet Bruger anmodede som standard om at frigive en karantænemeddelelse og genererer automatisk en informationsbesked og sender en meddelelse til Organisationsadministration (global administrator), når en bruger anmoder om frigivelse af en meddelelse i karantæne:

Administratorer kan tilpasse modtagerne af mailmeddelelser eller oprette en brugerdefineret beskedpolitik for at få flere indstillinger.

Du kan få flere oplysninger om politikker for beskeder under Beskedpolitikker på portalen Microsoft Defender.

Tillæg

Anatomi af en karantænepolitik

En karantænepolitik indeholder tilladelser , der kombineres i forudindstillede tilladelsesgrupper. De forudindstillede tilladelsesgrupper er:

  • Ingen adgang
  • Begrænset adgang
  • Fuld adgang

Som tidligere beskrevet gennemtvinger standard karantænepolitikker historiske brugerfunktioner i karantænemeddelelser og tildeles automatisk til handlinger i understøttede beskyttelsesfunktioner , der sætter meddelelser i karantæne.

Standardpolitikkerne for karantæne er:

  • AdminOnlyAccessPolicy
  • DefaultFullAccessPolicy
  • DefaultFullAccessWithNotificationPolicy
  • NotificationEnabledPolicy (i nogle organisationer)

Karantænepolitikker styrer også, om brugerne modtager karantænemeddelelser om meddelelser, der er sat i karantæne i stedet for leveret til dem. Karantænemeddelelser gør to ting:

  • Giv brugeren besked om, at meddelelsen er i karantæne.
  • Tillad brugere at få vist og udføre handlinger på den karantænerede meddelelse fra karantænemeddelelsen. Tilladelser styrer, hvad brugeren kan gøre i karantænemeddelelsen som beskrevet i afsnittet Oplysninger om tilladelse til karantænepolitik .

Relationen mellem tilladelser, tilladelsesgrupper og standardkarantatpolitikker er beskrevet i følgende tabeller:

Tilladelse Ingen adgang Begrænset adgang Fuld adgang
(PermissionToViewHeader
Tillad afsender (PermissionToAllowSender)
Bloker afsender (PermissionToBlockSender)
Slet (PermissionToDelete)
Eksempel (PermissionToPreview
Tillad, at modtagere frigiver en meddelelse fra karantæne (PermissionToRelease
Tillad, at modtagere anmoder om, at en meddelelse frigives fra karantæne (PermissionToRequestRelease)
Standard karantænepolitik Tilladelsesgruppe brugt Er karantænemeddelelser aktiveret?
AdminOnlyAccessPolicy Ingen adgang Nej
DefaultFullAccessPolicy Fuld adgang Nej
DefaultFullAccessWithNotificationPolicy⁴ Fuld adgang Ja
NotificationEnabledPolicy⁵ Fuld adgang Ja

¹ Denne tilladelse er ikke tilgængelig på Defender-portalen. Hvis du deaktiverer tilladelsen i PowerShell, påvirker det ikke tilgængeligheden af handlingen Vis meddelelsesheader i karantænemeddelelser. Hvis meddelelsen er synlig for en bruger i karantæne, er Vis brevhoved altid tilgængelig for meddelelsen.

² Tilladelsen Eksempel er ikke relateret til handlingen Gennemse meddelelse , der er tilgængelig i karantænemeddelelser.

³ Tillad, at modtagerne frigiver en meddelelse fra karantæne anvendes ikke til meddelelser, der er sat i karantæne som malware af politikker for antimalware eller politikker for sikre vedhæftede filer, eller som phishing med høj tillid af politikker for anti-spam.

⁴ Denne politik bruges i forudindstillede sikkerhedspolitikker til at aktivere karantænemeddelelser i stedet for politikken med navnet DefaultFullAccessPolicy, hvor meddelelser er slået fra.

⁵ Organisationen har muligvis ikke politikken med navnet NotificationEnabledPolicy som beskrevet i næste afsnit.

Fuld adgangstilladelser og karantænemeddelelser

Standard karantænepolitikken med navnet DefaultFullAccessPolicy duplikerer de historiske tilladelser for mindre skadelige karantænemeddelelser, men karantænemeddelelser er ikke slået til i karantænepolitikken. Hvor DefaultFullAccessPolicy bruges som standard, er beskrevet i funktionstabellerne i Anbefalede indstillinger for EOP og Microsoft Defender for Office 365 sikkerhed.

For at give organisationer tilladelserne til DefaultFullAccessPolicy, hvor karantænemeddelelser er slået til, har vi selektivt inkluderet en standardpolitik med navnet NotificationEnabledPolicy baseret på følgende kriterier:

  • Organisationen fandtes før introduktionen af karantænepolitikker (juli-august 2021).

    og

  • Indstillingen Aktivér meddelelser om uønsket post fra slutbrugere er slået til i en eller flere politikker mod spam. Før introduktionen af karantænepolitikker bestemte denne indstilling, om brugerne modtog meddelelser om deres karantænemeddelelser.

Nyere organisationer eller ældre organisationer, der aldrig har slået spammeddelelser fra slutbrugere til, har ikke politikken NotificationEnabledPolicy.

Organisationer, der ikke har politikken NotificationEnabledPolicy, har følgende muligheder for at give brugere fuld adgangog karantænemeddelelser :

  • Brug standardpolitikken med navnet DefaultFullAccessWithNotificationPolicy.
  • Opret og brug brugerdefinerede karantænepolitikker med fuld adgangstilladelser og karantænemeddelelser slået til.

Oplysninger om tilladelse til karantænepolitik

I følgende afsnit beskrives effekten af forudindstillede tilladelsesgrupper og individuelle tilladelser for brugere i karantænemeddelelser og i karantænemeddelelser.

Bemærk!

Som beskrevet tidligere er karantænemeddelelser kun slået til i standardpolitikkerne med navnet DefaultFullAccessWithNotificationPolicy eller (hvis din organisation er gammel nok) NotificationEnabledPolicy.

Forudindstillede tilladelsesgrupper

De individuelle tilladelser, der er inkluderet i forudindstillede tilladelsesgrupper, er beskrevet i afsnittet Anatomi for en karantænepolitik .

Ingen adgang

Effekten af Ingen adgangstilladelser (kun administratoradgang) på brugeregenskaber afhænger af tilstanden for karantænemeddelelser i karantænepolitikken:

  • Karantænemeddelelser slået fra:

    • På siden Karantæne: Karantænemeddelelser er ikke synlige for brugerne.
    • I karantænemeddelelser: Brugerne modtager ikke karantænemeddelelser for meddelelserne.
  • Karantænemeddelelser slået til:

    • På siden Karantæne: Karantænemeddelelser er synlige for brugerne, men den eneste tilgængelige handling er Vis brevhoveder.
    • I karantænemeddelelser: Brugerne modtager karantænemeddelelser, men den eneste tilgængelige handling er Gennemse meddelelse.
Begrænset adgang

Hvis karantænepolitikken tildeler begrænsede adgangstilladelser , får brugerne følgende funktioner:

  • På siden Karantæne og i meddelelsesoplysningerne i karantæne: Følgende handlinger er tilgængelige:

  • I karantænemeddelelser: Følgende handlinger er tilgængelige:

    • Gennemse meddelelse
    • Anmodning om frigivelse (forskellen fra tilladelser med fuld adgang )
Fuld adgang

Hvis karantænepolitikken tildeler tilladelsen Fuld adgang (alle tilgængelige tilladelser), får brugerne følgende funktioner:

  • På siden Karantæne og i meddelelsesoplysningerne i karantæne: Følgende handlinger er tilgængelige:

  • I karantænemeddelelser: Følgende handlinger er tilgængelige:

    • Gennemse meddelelse
    • Version ( forskellen fra tilladelser med begrænset adgang )

Individuelle tilladelser

Tillad afsendertilladelse

Tilladelsen Tillad afsender (PermissionToAllowSender) giver brugerne mulighed for at føje meddelelsens afsender til listen Afsendere, der er tillid til i deres postkasse.

Hvis tilladelsen Tillad afsender er aktiveret:

  • Tillad afsender er tilgængelig på siden Karantæne og i meddelelsesoplysningerne i karantæne.

Hvis tilladelsen Tillad afsender er deaktiveret, kan brugerne ikke tillade afsendere fra karantæne (handlingen er ikke tilgængelig).

Du kan få flere oplysninger om listen Afsendere, der er tillid til under Føj modtagere af mine mails til listen Afsendere, der er tillid til og Brug Exchange Online PowerShell til at konfigurere samlingen af sikre lister i en postkasse.

Bloker afsendertilladelse

Tilladelsen Bloker afsender (PermissionToBlockSender) giver brugerne mulighed for at føje meddelelsens afsender til listen Over blokerede afsendere i deres postkasse.

Hvis tilladelsen Bloker afsender er aktiveret:

  • Afsenderblok er tilgængelig på siden Karantæne og i meddelelsesoplysningerne i karantæne.

  • Blokeret afsender er tilgængelig i karantænemeddelelser.

    Hvis denne tilladelse skal fungere korrekt i karantænemeddelelser, skal brugerne være aktiveret til fjern-PowerShell. Du kan finde instruktioner under Aktivér eller deaktiver adgang til Exchange Online PowerShell.

Hvis tilladelsen Bloker afsender er deaktiveret, kan brugerne ikke blokere afsendere fra karantæne eller i karantænemeddelelser (handlingen er ikke tilgængelig).

Du kan finde flere oplysninger om listen over blokerede afsendere under Bloker meddelelser fra en person og Brug Exchange Online PowerShell til at konfigurere samlingen af sikre lister i en postkasse.

Tip

Organisationen kan stadig modtage mail fra den blokerede afsender. Meddelelser fra afsenderen leveres til brugerens mapper med uønsket mail eller til karantæne, afhængigt af den politikrækkefølge, der er beskrevet i Bruger tillader og blokerer. Hvis du vil slette meddelelser fra afsenderen ved ankomsten, skal du bruge regler for mailflow (også kaldet transportregler) til at blokere meddelelsen.

Slet tilladelse

Tilladelsen Delete (PermissionToDelete) giver brugerne mulighed for at slette deres egne meddelelser fra karantæne (meddelelser, hvor de er modtager).

Hvis tilladelsen Slet er aktiveret:

  • Sletning er tilgængelig på siden Karantæne og i meddelelsesoplysningerne i karantæne.
  • Ingen effekt i karantænemeddelelser. Det er ikke muligt at slette en karantænemeddelelse fra karantænemeddelelsen.

Hvis tilladelsen Slet er deaktiveret, kan brugerne ikke slette deres egne meddelelser fra karantæne (handlingen er ikke tilgængelig).

Tip

Administratorer kan finde ud af, hvem der har slettet en meddelelse i karantæne, ved at søge i administratorens overvågningslog. Du kan finde instruktioner under Find ud af, hvem der har slettet en meddelelse i karantæne. Administratorer kan bruge meddelelsessporing til at finde ud af, hvad der er sket med en frigivet meddelelse, hvis den oprindelige modtager ikke kan finde den.

Tilladelse til eksempelvisning

Tilladelsen Eksempel (PermissionToPreview) giver brugerne mulighed for at få vist deres meddelelser i karantæne.

Hvis tilladelsen Eksempel er aktiveret:

  • Eksempelmeddelelsen er tilgængelig på siden Karantæne og i meddelelsesoplysningerne i karantæne.
  • Ingen effekt i karantænemeddelelser. Det er ikke muligt at få forhåndsvist en karantænemeddelelse fra karantænemeddelelsen. Handlingen Gennemse meddelelse i karantænemeddelelser fører brugerne til pop op-vinduet med detaljer for meddelelsen i karantæne, hvor de kan få vist meddelelsen.

Hvis tilladelsen Prøveversion er deaktiveret, kan brugerne ikke få vist deres egne meddelelser i karantæne (handlingen er ikke tilgængelig).

Tillad, at modtagere frigiver en meddelelse fra karantænetilladelsen

Bemærk!

Som tidligere forklaret anvendes denne tilladelse ikke til meddelelser, der er sat i karantæne som malware af politikker for antimalware eller sikre vedhæftede filer, eller som phishing med høj tillid ved hjælp af politikker for anti-spam. Hvis karantænepolitikken giver brugerne denne tilladelse, har brugerne i stedet tilladelse til at anmode om frigivelse af deres karantænelagrede malware eller phishing-meddelelser med høj genkendelsessikkerhed.

Tillad, at modtagerne frigiver en meddelelse fra karantænetilladelsen (PermissionToRelease) giver brugerne mulighed for at frigive deres egne karantænemeddelelser uden administratorgodkendelse.

Hvis tilladelsen Tillad, at modtagerne frigiver en meddelelse fra karantæne er aktiveret:

  • Frigivelse er tilgængelig på siden Karantæne og i meddelelsesoplysningerne i karantæne.
  • Frigivelse er tilgængelig i karantænemeddelelser.

Hvis tilladelsen Tillad, at modtagerne frigiver en meddelelse fra karantæne er deaktiveret, kan brugerne ikke frigive deres egne meddelelser fra karantæne- eller karantænemeddelelser (handlingen er ikke tilgængelig).

Tillad, at modtagere anmoder om, at en meddelelse frigives fra karantænetilladelse

Tillad, at modtagerne anmoder om, at en meddelelse frigives fra karantænetilladelsen (PermissionToRequestRelease), giver brugerne mulighed for at anmode om frigivelse af deres karantænemeddelelser. Meddelelser frigives først, når en administrator har godkendt anmodningen.

Hvis tilladelsen Tillad, at modtagerne kan anmode om at få en meddelelse frigivet fra karantæne er aktiveret:

  • Anmodning om frigivelse er tilgængelig på siden Karantæne og i meddelelsesoplysningerne i karantæne.
  • Anmodning om frigivelse er tilgængelig i karantænemeddelelser.

Hvis tillad, at modtagerne anmoder om at få en meddelelse frigivet fra karantænetilladelsen er deaktiveret, kan brugerne ikke anmode om frigivelse af deres egne meddelelser fra karantæne- eller karantænemeddelelser (handlingen er ikke tilgængelig).