E-Mail-Nachrichten in Quarantäne in EOP und Defender für Office 365.
Tipp
Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Informationen dazu, wer sich registrieren und testen kann, finden Sie unter Try Microsoft Defender for Office 365.
In Microsoft 365-Organisationen mit Postfächern in Exchange Online oder eigenständigen Exchange Online Protection (EOP)-Organisationen ohne Exchange Online Postfächern ist Quarantäne verfügbar, um potenziell gefährliche oder unerwünschte Nachrichten zu halten.
Hinweis
In Microsoft 365, betrieben von 21Vianet, ist quarantäne derzeit nicht im Microsoft Defender-Portal verfügbar. Quarantäne ist nur im klassischen Exchange Admin Center (klassisches EAC) verfügbar.
Ob eine erkannte Nachricht standardmäßig unter Quarantäne steht, hängt von den folgenden Faktoren ab:
- Das Schutzfeature, das die Nachricht erkannt hat. Beispielsweise werden die folgenden Erkennungen immer unter Quarantäne gesetzt:
- Erkennung von Schadsoftware durch Antischadsoftwarerichtlinien und Richtlinien für sichere Anlagen, einschließlich des integrierten Schutzes für sichere Anlagen*.
- Phishingerkennungen mit hoher Zuverlässigkeit durch Antispamrichtlinien.
- Unabhängig davon, ob Sie die voreingestellten Sicherheitsrichtlinien Standard und/oder Strict verwenden. Das Strict-Profil isoliert mehr Arten von Erkennungen als das Standardprofil.
* Die Filterung von Schadsoftware wird für SecOps-Postfächer übersprungen, die in der erweiterten Übermittlungsrichtlinie identifiziert werden. Weitere Informationen finden Sie unter Konfigurieren der erweiterten Übermittlungsrichtlinie für Phishingsimulationen von Drittanbietern und E-Mail-Übermittlung an SecOps-Postfächer.
Die Standardaktionen für Schutzfunktionen in EOP und Defender for Office 365, einschließlich voreingestellter Sicherheitsrichtlinien, werden in den Featuretabellen unter Empfohlene Einstellungen für EOP und Microsoft Defender for Office 365 Sicherheit beschrieben.
Für den Schutz vor Spam und Phishing können Administratoren auch die Standardrichtlinie ändern oder benutzerdefinierte Richtlinien erstellen, um Nachrichten unter Quarantäne zu stellen, anstatt sie an den Junk-Email-Ordner zu übermitteln. Anweisungen finden Sie in den folgenden Artikeln:
- Konfigurieren von Antispamrichtlinien in EOP
- Konfigurieren von Anti-Phishing-Richtlinien in EOP
- Konfigurieren von Antiphishingrichtlinien in Microsoft Defender for Office 365
Den Schutzrichtlinien für unterstützte Features sind mindestens eine Quarantänerichtlinie zugewiesen (jede Aktion innerhalb der Schutzrichtlinie verfügt über eine zugeordnete Quarantänerichtlinienzuweisung).
Tipp
Alle Aktionen, die von Administratoren oder Benutzern für unter Quarantäne gestellte Nachrichten ausgeführt werden, werden überwacht. Weitere Informationen zu überwachten Quarantäneereignissen finden Sie unter Quarantäneschema in der Office 365 Management-API.
Quarantäne-Richtlinien
Quarantänerichtlinien definieren, was Benutzer mit unter Quarantäne betreffenden Nachrichten tun können oder nicht, und ob Benutzer Quarantänebenachrichtigungen für diese Nachrichten erhalten. Weitere Informationen finden Sie unter Anatomie einer Quarantänerichtlinie.
Tipp
Sie können benutzerdefinierte Quarantänebenachrichtigungen für verschiedene Sprachen erstellen. Sie können auch ein benutzerdefiniertes Logo in Quarantänebenachrichtigungen verwenden.
Die Standardquarantänerichtlinien, die den Bewertungen von Schutzfeatures zugewiesen sind, erzwingen die verlaufsbezogenen Funktionen, die Benutzer für ihre unter Quarantäne liegenden Nachrichten erhalten (Nachrichten, bei denen sie empfänger sind). Weitere Informationen finden Sie in der Tabelle unter Suchen und Freigeben von in Quarantäne befindlichen Nachrichten als Benutzer in EOP. Beispielsweise können nur Administratoren mit Nachrichten arbeiten, die als Schadsoftware oder Phishing mit hoher Zuverlässigkeit unter Quarantäne standen. Standardmäßig können Benutzer mit ihren Nachrichten arbeiten, die als Spam, Massen, Phishing, Spoof, Benutzeridentitätswechsel, Domänenidentitätswechsel oder Postfachintelligenz unter Quarantäne gesetzt wurden.
Administratoren können benutzerdefinierte Quarantänerichtlinien erstellen und anwenden, die weniger restriktive oder restriktivere Funktionen für Benutzer definieren, und auch Quarantänebenachrichtigungen aktivieren. Weitere Informationen finden Sie unter Erstellen von Quarantänerichtlinien.
Hinweis
Benutzer können ihre eigenen Nachrichten nicht freigeben, die als Schadsoftware durch Antischadsoftware- oder Sichere Anlagen-Richtlinien oder als Phishing mit hoher Zuverlässigkeit durch Antispamrichtlinien isoliert wurden, unabhängig davon, wie die Quarantänerichtlinie konfiguriert ist. Wenn die Richtlinie es Benutzern ermöglicht, ihre eigenen unter Quarantäne gestellten Nachrichten freizugeben, können Benutzer stattdessen die Freigabe ihrer in Quarantäne befindlichen Schadsoftware oder phishing-Nachrichten mit hoher Zuverlässigkeit anfordern .
Sowohl Benutzer als auch Administratoren können mit isolierten Nachrichten arbeiten:
Administratoren können mit allen Arten von in Quarantäne befindlichen Nachrichten für alle Benutzer arbeiten, einschließlich Nachrichten, die als Schadsoftware, Phishing mit hoher Zuverlässigkeit oder als Ergebnis von Nachrichtenflussregeln (auch als Transportregeln bezeichnet) unter Quarantäne standen. Weitere Informationen finden Sie unter Verwalten von isolierten Nachrichten und Dateien als Administrator in EOP.
Tipp
Informationen zu den Berechtigungen, die zum Herunterladen und Freigeben von Nachrichten aus der Quarantäne erforderlich sind, finden Sie hier im Berechtigungseintrag.
Benutzer können basierend auf dem Schutzfeature, durch das die Nachricht unter Quarantäne gesetzt wurde, und der Einstellung in der entsprechenden Quarantänerichtlinie mit ihren in Quarantäne befindlichen Nachrichten arbeiten. Weitere Informationen finden Sie unter Suchen und Freigeben von in Quarantäne befindlichen Nachrichten als Benutzer in EOP.
Administratoren können aus der Quarantäne false positive Ergebnisse an Microsoft melden. Weitere Informationen finden Sie unter Ergreifen von Maßnahmen für unter Quarantäne gestellte E-Mails und Ergreifen von Maßnahmen für unter Quarantäne gestellte Dateien.
Benutzer können auch falsch positive Ergebnisse aus der Quarantäne an Microsoft melden, abhängig vom Wert der Einstellung Berichterstellung aus Quarantäne in den vom Benutzer gemeldeten Einstellungen.
Quarantäneaufbewahrung
Wie lange nachrichten oder dateien unter Quarantäne gestellt werden, bevor sie ablaufen, hängt davon ab, warum die Nachricht oder Datei unter Quarantäne gestellt wurde. Features und die entsprechenden Aufbewahrungszeiträume werden in der folgenden Tabelle beschrieben:
Quarantänegrund | Standardaufbewahrungszeitraum | Anpassbar? | Kommentare |
---|---|---|---|
Nachrichten, die von Antispamrichtlinien als Spam, Spam mit hoher Zuverlässigkeit, Phishing, Phishing mit hohem Vertrauen oder Massen unter Quarantäne gesetzt wurden. | 15 Tage
30 Tage
|
Ja* | Sie können den Wert zwischen 1 und 30 Tagen in der Standard-Antispamrichtlinie und in benutzerdefinierten Antispamrichtlinien konfigurieren. Weitere Informationen finden Sie unter Beibehalten von Spam in Quarantäne für diese vielen Tage (QuarantineRetentionPeriod) unter Konfigurieren von Antispamrichtlinien. *Sie können den Wert in den voreingestellten Sicherheitsrichtlinien Standard oder Strict nicht ändern. |
Nachrichten, die durch Antiphishingrichtlinien unter Quarantäne gesetzt wurden:
|
15 Tage oder 30 Tage | Ja* | Dieser Aufbewahrungszeitraum wird auch durch die Einstellung Spam in Quarantäne für diese vielen Tage beibehalten (QuarantineRetentionPeriod) in Antispamrichtlinien gesteuert. Der verwendete Aufbewahrungszeitraum ist der Wert der ersten übereinstimmenden Antispamrichtlinie , in der der Empfänger definiert ist. |
Nachrichten, die durch Antischadsoftwarerichtlinien (Schadsoftwarenachrichten) unter Quarantäne gesetzt werden. | 30 Tage | Nein | Wenn Sie den Filter für allgemeine Anlagen in Antischadsoftwarerichtlinien (in der Standardrichtlinie oder in benutzerdefinierten Richtlinien) aktivieren, werden Dateianlagen in E-Mail-Nachrichten an die betroffenen Empfänger als Schadsoftware behandelt, die ausschließlich auf der Dateierweiterung basiert und den richtigen Typabgleich verwendet. Standardmäßig wird eine vordefinierte Liste mit meist ausführbaren Dateitypen verwendet, aber Sie können die Liste anpassen. Weitere Informationen finden Sie unter Allgemeine Anlagenfilter in Antischadsoftwarerichtlinien. |
Nachrichten, die nach Nachrichtenflussregeln unter Quarantäne stehen, wobei die Aktion Die Nachricht in die gehostete Quarantäne übermitteln (Quarantäne) lautet. | 30 Tage | Nein | |
Nachrichten, die von Richtlinien für sichere Anlagen in Defender for Office 365 (Schadsoftwarenachrichten) unter Quarantäne gesetzt wurden. | 30 Tage | Nein | |
Dateien werden von sicheren Anlagen für SharePoint, OneDrive und Microsoft Teams (Schadsoftwaredateien) unter Quarantäne gesetzt. | 30 Tage | Nein | Dateien, die in SharePoint oder OneDrive unter Quarantäne stehen, werden nach 30 Tagen aus der Quarantäne entfernt, aber die blockierten Dateien verbleiben in SharePoint oder OneDrive im blockierten Zustand. |
Nachrichten in Chats und Kanälen, die von Zap (Zero-Hour Auto Protection) für Microsoft Teams in Defender for Office 365 | 30 Tage | Nein |
Wenn eine Nachricht aus der Quarantäne abläuft, können Sie sie nicht wiederherstellen.
Weitere Informationen zur Quarantäne finden Sie unter Häufig gestellte Fragen zur Quarantäne.