Messaggi di posta elettronica in quarantena in EOP e Defender per Office 365

• Si applica a:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Consiglio

Sapevi che puoi provare le funzionalità in Microsoft Defender XDR gratuitamente per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni su chi può iscriversi e sulle condizioni di valutazione in Prova Microsoft Defender per Office 365.

Nelle organizzazioni di Microsoft 365 con cassette postali in organizzazioni Exchange Online o autonome Exchange Online Protection (EOP) senza cassette postali Exchange Online, la quarantena è disponibile per contenere messaggi potenzialmente pericolosi o indesiderati.

Nota

In Microsoft 365 gestito da 21Vianet, la quarantena non è attualmente disponibile nel portale di Microsoft Defender. La quarantena è disponibile solo nell'interfaccia di amministrazione classica di Exchange (interfaccia di amministrazione di Exchange classica).

Se un messaggio rilevato viene messo in quarantena per impostazione predefinita dipende dai fattori seguenti:

• Funzionalità di protezione che ha rilevato il messaggio. Ad esempio, i rilevamenti seguenti vengono sempre messi in quarantena:
  • Rilevamenti di malware da criteri antimalware e criteri allegati sicuri, inclusa la protezione predefinita per gli allegati^* sicuri.
  • Rilevamenti di phishing ad alta attendibilità da parte dei criteri di protezione dalla posta indesiderata.
• Se si usano i criteri di sicurezza predefiniti Standard e/o Strict. Il profilo Strict mette in quarantena più tipi di rilevamenti rispetto al profilo Standard.

^* Il filtro malware viene ignorato nelle cassette postali SecOps identificate nei criteri di recapito avanzati. Per altre informazioni, vedere Configurare i criteri di recapito avanzati per simulazioni di phishing di terze parti e recapito di posta elettronica alle cassette postali SecOps.

Le azioni predefinite per le funzionalità di protezione in EOP e Defender per Office 365, inclusi i criteri di sicurezza predefiniti, sono descritte nelle tabelle delle funzionalità in Impostazioni consigliate per EOP e sicurezza Microsoft Defender per Office 365.

Per la protezione da posta indesiderata e anti-phishing, gli amministratori possono anche modificare i criteri predefiniti o creare criteri personalizzati per mettere in quarantena i messaggi invece di recapitarli alla cartella Junk Email. Per istruzioni, vedere gli articoli seguenti:

• Configurare criteri di protezione dalla posta indesiderata in EOP
• Configurare i criteri anti-phishing in Exchange Online Protection
• Configurare i criteri anti-phishing in Microsoft Defender per Office 365

Ai criteri di protezione per le funzionalità supportate sono assegnati uno o più criteri di quarantena (a ogni azione all'interno dei criteri di protezione è associata un'assegnazione di criteri di quarantena).

Consiglio

Tutte le azioni eseguite dagli amministratori o dagli utenti nei messaggi in quarantena vengono controllate. Per altre informazioni sugli eventi di quarantena controllati, vedere Schema di quarantena nell'API di gestione Office 365.

Criteri di quarantena

I criteri di quarantena definiscono le operazioni che gli utenti possono eseguire o meno per i messaggi in quarantena e se gli utenti ricevono notifiche di quarantena per tali messaggi. Per altre informazioni, vedere Anatomia dei criteri di quarantena.

Consiglio

È possibile creare notifiche di quarantena personalizzate per lingue diverse. È anche possibile usare un logo personalizzato nelle notifiche di quarantena.

I criteri di quarantena predefiniti assegnati ai verdetti delle funzionalità di protezione applicano le funzionalità cronologiche che gli utenti ottengono per i messaggi in quarantena (messaggi in cui sono destinatari). Per altre informazioni, vedere la tabella in Trovare e rilasciare i messaggi in quarantena come utente in EOP. Ad esempio, solo gli amministratori possono usare i messaggi messi in quarantena come malware o phishing ad alta attendibilità. Per impostazione predefinita, gli utenti possono usare i propri messaggi messi in quarantena come posta indesiderata, bulk, phishing, spoof, rappresentazione utente, rappresentazione del dominio o intelligence per le cassette postali.

Gli amministratori possono creare e applicare criteri di quarantena personalizzati che definiscono funzionalità meno restrittive o più restrittive per gli utenti e attivare anche le notifiche di quarantena. Per altre informazioni, vedere Creare criteri di quarantena.

Nota

Gli utenti non possono rilasciare i propri messaggi messi in quarantena come malware da criteri antimalware o allegati sicuri o come phishing ad alta attendibilità da criteri di protezione dalla posta indesiderata, indipendentemente dalla configurazione dei criteri di quarantena. Se il criterio consente agli utenti di rilasciare i propri messaggi in quarantena, gli utenti sono invece autorizzati a richiedere il rilascio del malware in quarantena o messaggi di phishing ad alta attendibilità.

Sia gli utenti che gli amministratori possono usare i messaggi in quarantena:

• Gli amministratori possono usare tutti i tipi di messaggi in quarantena per tutti gli utenti, inclusi i messaggi messi in quarantena come malware, phishing ad alta attendibilità o come risultato di regole del flusso di posta (note anche come regole di trasporto). Per altre informazioni, vedere Gestione dei messaggi e dei file in quarantena come amministratore in EOP.

  Consiglio

  Per le autorizzazioni necessarie per scaricare e rilasciare tutti i messaggi dalla quarantena, vedere la voce delle autorizzazioni qui.

• Gli utenti possono usare i messaggi in quarantena in base alla funzionalità di protezione che ha messo in quarantena il messaggio e all'impostazione nei criteri di quarantena corrispondenti. Per altre informazioni, vedere Trovare e rilasciare messaggi in quarantena come utente in EOP.

• Gli amministratori possono segnalare falsi positivi a Microsoft dalla quarantena. Per altre informazioni, vedere Eseguire azioni sui messaggi di posta elettronica in quarantena e Intervenire sui file in quarantena.

• Gli utenti possono anche segnalare falsi positivi a Microsoft dalla quarantena, a seconda del valore dell'impostazione Report da quarantena nelle impostazioni segnalate dall'utente.

Conservazione della quarantena

Per quanto tempo i messaggi o i file in quarantena vengono mantenuti in quarantena prima della scadenza dipende dal motivo per cui il messaggio o il file è stato messo in quarantena. Le funzionalità e i relativi periodi di conservazione corrispondenti sono descritti nella tabella seguente:

Motivo della quarantena	Periodo di conservazione predefinito	Personalizzabile?	Commenti
Messaggi messi in quarantena dai criteri di protezione dalla posta indesiderata come posta indesiderata, posta indesiderata ad alta attendibilità, phishing ad alta attendibilità o bulk.	15 giorni Nei criteri di protezione dalla posta indesiderata predefiniti. Nei criteri di protezione dalla posta indesiderata creati in PowerShell. 30 giorni Nei criteri di protezione dalla posta indesiderata creati nel portale di Microsoft Defender. Nei criteri di sicurezza predefiniti Standard e Strict	Sì*	È possibile configurare il valore da 1 a 30 giorni nei criteri di protezione dalla posta indesiderata predefiniti e nei criteri di protezione dalla posta indesiderata personalizzati. Per altre informazioni, vedere l'impostazione Mantieni posta indesiderata in quarantena per questo numero di giorni (QuarantineRetentionPeriod) in Configurare i criteri di protezione dalla posta indesiderata. *Non è possibile modificare il valore nei criteri di sicurezza predefiniti Standard o Strict.
Messaggi messi in quarantena dai criteri anti-phishing: EOP: Spoof intelligence. Defender per Office 365: protezione della rappresentazione utente, protezione della rappresentazione del dominio e protezione dell'intelligence per le cassette postali.	15 giorni o 30 giorni	Sì*	Questo periodo di conservazione è controllato anche dall'impostazione Mantieni posta indesiderata in quarantena per questo numero di giorni (QuarantineRetentionPeriod) nei criteri di protezione dalla posta indesiderata . Il periodo di conservazione usato è il valore del primo criterio di protezione dalla posta indesiderata corrispondente in cui è definito il destinatario.
Messaggi messi in quarantena dai criteri antimalware (messaggi malware).	30 giorni	No	Se si attiva il filtro degli allegati comuni nei criteri antimalware (nei criteri predefiniti o nei criteri personalizzati), i file allegati nei messaggi di posta elettronica ai destinatari interessati vengono considerati come malware esclusivamente in base all'estensione del file usando la corrispondenza di tipo true. Per impostazione predefinita viene usato un elenco predefinito di tipi di file per lo più eseguibili, ma è possibile personalizzarlo. Per altre informazioni, vedere Filtro degli allegati comuni nei criteri antimalware.
Messaggi messi in quarantena dalle regole del flusso di posta in cui l'azione è Recapita il messaggio alla quarantena ospitata (quarantena).	30 giorni	No
Messaggi messi in quarantena dai criteri allegati sicuri in Defender per Office 365 (messaggi malware).	30 giorni	No
File messi in quarantena da Allegati sicuri per SharePoint, OneDrive e Microsoft Teams (file malware).	30 giorni	No	I file messi in quarantena in SharePoint o OneDrive vengono rimossi dalla quarantena dopo 30 giorni, ma i file bloccati rimangono in SharePoint o OneDrive nello stato bloccato.
Messaggi in chat e canali messi in quarantena dalla protezione automatica a zero ore (ZAP) per Microsoft Teams in Defender per Office 365	30 giorni	No

Quando un messaggio scade dalla quarantena, non è possibile recuperarlo.

Per altre informazioni sulla quarantena, vedere Domande frequenti sulla quarantena.