Eliminazione automatica a zero ore (ZAP) in Microsoft Defender per Office 365

Si applica a

Consiglio

Sapevi che puoi provare gratuitamente le funzionalità in Microsoft 365 Defender per Office 365 Piano 2? Usare la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft 365 Defender. Informazioni su chi può iscriversi e sulle condizioni di valutazione qui.

Nozioni di base su ZAP (Auto Purge) a zero ore

Nelle organizzazioni di Microsoft 365 con cassette postali Exchange Online e in Microsoft Teams, l'eliminazione automatica a zero ore (ZAP) è una funzionalità di protezione che rileva e neutralizza in modo retroattivo i messaggi dannosi di phishing, posta indesiderata o malware che sono già stati recapitati alle cassette postali Exchange Online o tramite chat di Teams.

ZAP non funziona in ambienti Exchange Online Protection autonomi (EOP) che proteggono le cassette postali di Exchange locali.

Eliminazione automatica a zero ore (ZAP) in Exchange Online

Le firme di posta indesiderata e malware vengono aggiornate nel servizio in tempo reale su base giornaliera. Tuttavia, gli utenti possono comunque ricevere messaggi dannosi per diversi motivi, tra cui se il contenuto viene armato dopo essere stato recapitato agli utenti. ZAP risolve questo problema monitorando continuamente gli aggiornamenti delle firme di posta indesiderata e malware nel servizio. ZAP può trovare ed eseguire azioni automatizzate sui messaggi già presenti nella cassetta postale di un utente fino a 48 ore dopo il recapito.

L'azione di ZAP è facile per gli utenti che non ricevono alcuna notifica se viene rilevato e spostato un messaggio.

Elenchi mittenti sicuri, regole del flusso di posta (note anche come regole di trasporto), regole di posta in arrivo o filtri aggiuntivi hanno la precedenza su ZAP. Analogamente a quanto accade nel flusso di posta, ciò significa che anche se il servizio determina che il messaggio recapitato richiede ZAP, il messaggio non viene attivato a causa della configurazione dei mittenti sicuri. Questo è un altro motivo per cui prestare attenzione alla configurazione dei messaggi per ignorare il filtro.

Guardare questo breve video per informazioni su come ZAP in Microsoft Defender per Office 365 rileva e neutralizza automaticamente le minacce nella posta elettronica.

Eliminazione automatica a zero ore (ZAP) per il malware

Per i messaggi letti o non letti che contengono malware dopo il recapito, ZAP mette in quarantena il messaggio che contiene l'allegato malware. Per impostazione predefinita, solo gli amministratori possono visualizzare e gestire i messaggi malware in quarantena. Tuttavia, gli amministratori possono creare e usare criteri di quarantena per definire le operazioni che gli utenti possono eseguire per i messaggi in quarantena e se gli utenti ricevono notifiche di quarantena. Per altre informazioni, vedere Anatomia dei criteri di quarantena.

Nota

Gli utenti non possono rilasciare i propri messaggi messi in quarantena come malware, indipendentemente dalla configurazione dei criteri di quarantena. Se i criteri consentono agli utenti di rilasciare i propri messaggi in quarantena, gli utenti possono invece richiedere il rilascio dei messaggi malware in quarantena.

ZAP per malware è abilitato per impostazione predefinita nei criteri antimalware. Per altre informazioni, vedere Configurare i criteri antimalware in EOP.

Eliminazione automatica a zero ore (ZAP) per il phishing

Per i messaggi letti o non letti identificati come phishing dopo il recapito, il risultato ZAP dipende dall'azione configurata per un verdetto di filtro della posta elettronica di phishing nei criteri di protezione dalla posta indesiderata applicabili. Le azioni del verdetto del filtro disponibili per il phishing e i possibili risultati di ZAP sono descritti nell'elenco seguente:

Per impostazione predefinita, ZAP per il phishing è abilitato nei criteri di protezione dalla posta indesiderata e l'azione predefinita per il verdetto filtro posta elettronica di phishing è Messaggio di quarantena, ovvero ZAP per il phishing mette in quarantena il messaggio per impostazione predefinita.

Per altre informazioni sulla configurazione dei verdetti di filtro della posta indesiderata, vedere Configurare i criteri di protezione dalla posta indesiderata in Microsoft 365.

Eliminazione automatica a zero ore (ZAP) per il phishing con attendibilità elevata

Per i messaggi letti o non letti identificati come phishing con attendibilità elevata dopo il recapito, ZAP mette in quarantena il messaggio. Per impostazione predefinita, solo gli amministratori possono visualizzare e gestire i messaggi phish con attendibilità elevata in quarantena. Tuttavia, gli amministratori possono creare e usare criteri di quarantena per definire le operazioni che gli utenti possono eseguire per i messaggi in quarantena e se gli utenti ricevono notifiche di quarantena. Per altre informazioni, vedere Anatomia dei criteri di quarantena.

Nota

Gli utenti non possono rilasciare i propri messaggi messi in quarantena come phishing con attendibilità elevata, indipendentemente dalla configurazione dei criteri di quarantena. Se i criteri consentono agli utenti di rilasciare i propri messaggi in quarantena, gli utenti possono invece richiedere il rilascio dei messaggi di phishing ad alta attendibilità in quarantena.

ZAP per messaggi ad alta probabilità di phishing è abilitato per impostazione predefinita. Per altre informazioni, vedere Proteggere per impostazione predefinita in Office 365.

Eliminazione automatica a zero ore (ZAP) per la posta indesiderata

Per i messaggi non letti identificati come posta indesiderata dopo il recapito, il risultato zap dipende dall'azione configurata per il verdetto filtro posta indesiderata nei criteri di protezione dalla posta indesiderata applicabili. Le azioni del verdetto del filtro disponibili per la posta indesiderata e i possibili risultati di ZAP sono descritti nell'elenco seguente:

  • Aggiungere X-Header, Anteporre la riga dell'oggetto con testo, Reindirizzare il messaggio all'indirizzo di posta elettronica, Eliminare il messaggio: ZAP non esegue alcuna azione sul messaggio.

  • Spostare il messaggio in Junk Email: ZAP sposta il messaggio nella cartella Junk Email. Per altre informazioni, vedere Configurare le impostazioni della posta indesiderata nelle cassette postali Exchange Online in Microsoft 365.

  • Messaggio di quarantena: ZAP mette in quarantena il messaggio. Per impostazione predefinita, gli utenti finali possono visualizzare e gestire i messaggi di posta indesiderata in quarantena in cui sono destinatari. Tuttavia, gli amministratori possono creare e usare criteri di quarantena per definire le operazioni che gli utenti possono eseguire per i messaggi in quarantena e se gli utenti ricevono notifiche di quarantena. Per altre informazioni, vedere Anatomia dei criteri di quarantena.

Per impostazione predefinita, zap di posta indesiderata è abilitato nei criteri di protezione dalla posta indesiderata e l'azione predefinita per il verdetto filtro posta indesiderata è Sposta messaggio nella cartella Posta indesiderata Email, il che significa che zap posta indesiderata sposta i messaggi non letti nella cartella Posta indesiderata Email per impostazione predefinita.

Per altre informazioni sulla configurazione dei verdetti di filtro della posta indesiderata, vedere Configurare i criteri di protezione dalla posta indesiderata in Microsoft 365.

Come verificare se ZAP ha spostato il messaggio

Per determinare se ZAP ha spostato il messaggio, sono disponibili le opzioni seguenti:

Nota

ZAP non viene registrato nei log di controllo delle cassette postali di Exchange come azione di sistema.

Considerazioni sull'eliminazione automatica a zero ore (ZAP) per Microsoft Defender per Office 365

ZAP non mette in quarantena alcun messaggio in corso di analisi dei criteri recapito dinamico in allegati sicuri. Se viene ricevuto un segnale di phishing o posta indesiderata per i messaggi in questo stato e il verdetto di filtro nei criteri di protezione dalla posta indesiderata è impostato per eseguire alcune azioni sul messaggio (Sposta indesiderata, Reindirizza, Elimina o Quarantena), per impostazione predefinita ZAP eseguirà un'azione "Sposta indesiderata".

Eliminazione automatica a zero ore (ZAP) in Microsoft Teams

Nota

Questa sezione elenca le nuove funzionalità attualmente disponibili in anteprima.

Quando un messaggio di chat viene identificato come potenzialmente phishing o dannoso in Microsoft Teams, ZAP blocca il messaggio e lo mette in quarantena. Questo messaggio è bloccato sia per il destinatario che per il mittente. Si noti che questa funzionalità di protezione si applica solo ai messaggi in una chat o in una riunione all'interno dell'organizzazione.

Visualizzazione mittente:

Immagine che mostra il funzionamento dell'eliminazione automatica a zero ore per il mittente.

Visualizzazione destinatario:

Immagine che mostra il funzionamento dell'eliminazione automatica a zero ore per il destinatario.

Gli amministratori possono visualizzare e gestire questi messaggi in quarantena in Microsoft Teams. Per altre informazioni, vedere Gestire i messaggi e i file in quarantena come amministratore. Si noti che se non si è un amministratore, non sarà possibile visualizzare o gestire i messaggi in quarantena per questa versione.

Nota

L'eliminazione automatica a zero ore (ZAP) in Microsoft Teams è disponibile solo per i clienti con abbonamenti Microsoft Defender per Office 365 E5 e Defender per Office P2.

Eliminazione automatica zero ore (ZAP) per il phishing con attendibilità elevata in Teams

Per i messaggi identificati come phishing con attendibilità elevata dopo il recapito, ZAP blocca e mette in quarantena il messaggio. Per impostazione predefinita, solo gli amministratori possono visualizzare e gestire i messaggi di phishing con attendibilità elevata in quarantena.

Eliminazione automatica a zero ore (ZAP) per il malware in Teams

Per i messaggi identificati come malware, ZAP blocca e mette in quarantena il messaggio. Per impostazione predefinita, solo gli amministratori possono visualizzare e gestire i messaggi malware in quarantena.

Si noti che per questa versione ZAP è disponibile solo per i messaggi identificati come phishing o malware ad alta attendibilità.

Esaminare i messaggi bloccati in Teams

Per scoprire se ZAP ha bloccato il messaggio, vedere Gestire i messaggi e i file in quarantena come amministratore.

Domande frequenti sulla rimozione automatica a zero ore (ZAP)

Cosa accade se un messaggio legittimo viene spostato nella cartella Posta indesiderata Email?

È consigliabile seguire il normale processo di creazione di report per i falsi positivi. L'unico motivo per cui il messaggio viene spostato dalla cartella Posta in arrivo alla cartella Posta indesiderata Email è dovuto al fatto che il servizio ha determinato che il messaggio è stato indesiderato o dannoso.

Cosa accade se si usa la cartella Quarantena anziché la cartella Posta indesiderata?

ZAP interviene su un messaggio in base alla configurazione dei criteri di protezione dalla posta indesiderata, come descritto in precedenza in questo articolo.

Cosa accade se si usano mittenti sicuri, regole del flusso di posta o elenchi di mittenti consentiti/bloccati?

Mittenti sicuri, regole del flusso di posta o bloccano e consentono le impostazioni dell'organizzazione hanno la precedenza. Questi messaggi sono esclusi da ZAP perché il servizio esegue le operazioni configurate. Questo è un altro motivo per cui prestare attenzione alla configurazione dei messaggi per ignorare il filtro.

Quali sono i requisiti di licenza per il funzionamento dell'eliminazione automatica a zero ore (ZAP)?

Non esistono limitazioni sulle licenze. ZAP funziona in tutte le cassette postali ospitate in Exchange Online. ZAP non funziona in ambienti Exchange Online Protection autonomi (EOP) che proteggono le cassette postali di Exchange locali.

Cosa succede se un messaggio viene spostato in un'altra cartella (ad esempio, regole posta in arrivo)?

L'eliminazione automatica a zero ore continua a funzionare finché il messaggio non è stato eliminato o finché non è già stata applicata la stessa azione o un'azione più efficace. Ad esempio, se il criterio anti-phishing è impostato su quarantena e il messaggio è già in posta indesiderata Email, ZAP prenderà provvedimenti per mettere in quarantena il messaggio.

In che modo ZAP influisce sulle cassette postali in attesa?

L'eliminazione automatica a zero ore mette in quarantena i messaggi dalle cassette postali in attesa. ZAP può spostare i messaggi nella cartella Junk Email in base all'azione configurata per un verdetto di posta indesiderata o phishing nei criteri di protezione dalla posta indesiderata.

Per altre informazioni sui blocchi in Exchange Online, vedere Blocco sul posto e Blocco per controversia legale in Exchange Online.