Del via


Karantenepolicyer

Tips

Visste du at du kan prøve funksjonene i Microsoft Defender XDR for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Lær om hvem som kan registrere deg og prøveabonnementer på Prøv Microsoft Defender for Office 365.

I Exchange Online Protection (EOP) og Microsoft Defender for Office 365 tillater karantenepolicyer administratorer å definere brukeropplevelsen for meldinger som er satt i karantene:

  • Hva brukere har lov til å gjøre med sine egne meldinger i karantene (meldinger der de er en mottaker) basert på hvorfor meldingen ble satt i karantene.
  • Om brukere mottar periodiske (hver fjerde time, daglig eller ukentlig) varsler om karantenemeldinger via karantenevarsler.

Brukere har tradisjonelt blitt tillatt eller nektet interaktivitetsnivåer med karantenemeldinger basert på hvorfor meldingen ble satt i karantene. Brukere kan for eksempel vise og frigi meldinger som ble satt i karantene som søppelpost eller bulk, men de kan ikke vise eller frigi meldinger som ble satt i karantene som phishing eller skadelig programvare med høy visshet.

Standard karantenepolicyer håndhever disse historiske brukerfunksjonene, og tilordnes automatisk i støttede beskyttelsesfunksjoner som setter meldinger i karantene.

Hvis du vil ha mer informasjon om elementene i en karantenepolicy, standard karantenepolicyer og individuelle tillatelser, kan du se delen Vedlegg på slutten av denne artikkelen.

Hvis du ikke liker standardbrukerfunksjonene for karantenemeldinger for en bestemt funksjon (inkludert mangel på karantenevarsler), kan du opprette og bruke egendefinerte karantenepolicyer som beskrevet i denne artikkelen.

Du oppretter og tilordner karantenepolicyer i Microsoft Defender-portalen eller i PowerShell (Exchange Online PowerShell for Microsoft 365-organisasjoner med Exchange Online postbokser; frittstående EOP PowerShell i EOP-organisasjoner uten Exchange Online postbokser).

Hva må du vite før du begynner?

  • I Microsoft 365 drevet av 21Vianet er ikke karantene for øyeblikket tilgjengelig i Microsoft Defender-portalen. Karantene er bare tilgjengelig i det klassiske administrasjonssenteret for Exchange (klassisk EAC).

  • Du åpner Microsoft Defender-portalen på https://security.microsoft.com. Hvis du vil gå direkte til siden for karantenepolicyer , bruker https://security.microsoft.com/quarantinePoliciesdu .

  • Hvis du vil koble til Exchange Online PowerShell, kan du se Koble til Exchange Online PowerShell. Hvis du vil koble til frittstående EOP PowerShell, kan du se Koble til Exchange Online Protection PowerShell.

  • Hvis du endrer karantenepolicyen som er tilordnet til en støttet beskyttelsesfunksjon, påvirker endringen meldingen i karantene etter at du har gjort endringen. Meldinger som ble satt i karantene før du gjorde endringen, påvirkes ikke av innstillingene for den nye karantenepolicytilordningen.

  • Hvor lenge meldinger som ble satt i karantene av beskyttelse mot søppelpost og anti-phishing holdes før de utløper, kontrolleres av Behold søppelpost i karantene for dette antallet dager (QuarantineRetentionPeriod) i policyer for søppelpost. Hvis du vil ha mer informasjon, kan du se tabellen i karanteneoppbevaring.

  • Du må være tilordnet tillatelser før du kan utføre prosedyrene i denne artikkelen. Du har følgende alternativer:

    • Microsoft Defender XDR enhetlig rollebasert tilgangskontroll (RBAC) (hvis e-post & samarbeid>Defender for Office 365 tillatelser er aktive. Påvirker bare Defender-portalen, ikke PowerShell): Autorisasjon og innstillinger/Sikkerhetsinnstillinger/Kjernesikkerhetsinnstillinger (administrere) eller Sikkerhetsoperasjoner/Sikkerhetsdata/E-post & karantene for samarbeid (administrer).

    • E-post & samarbeidstillatelser i Microsoft Defender-portalen: Medlemskap i rollegruppene Karanteneadministrator, Sikkerhetsadministrator eller Organisasjonsadministrasjon.

    • Microsoft Entra tillatelser: Medlemskap i rollene som global administrator* eller sikkerhetsadministrator gir brukerne de nødvendige tillatelsene og tillatelsene for andre funksjoner i Microsoft 365.

      Viktig

      * Microsoft anbefaler at du bruker roller med færrest tillatelser. Bruk av kontoer med lavere tillatelser bidrar til å forbedre sikkerheten for organisasjonen. Global administrator er en svært privilegert rolle som bør begrenses til nødscenarioer når du ikke kan bruke en eksisterende rolle.

  • Alle handlinger som utføres av administratorer eller brukere i karantenemeldinger, overvåkes. Hvis du vil ha mer informasjon om overvåkede karantenehendelser, kan du se Karanteneskjema i API-en for Office 365 Management.

Trinn 1: Opprette karantenepolicyer i Microsoft Defender-portalen

  1. Gå til Policyer for e-post & samarbeid>&>> Policyer forkarantenepolicyer for regler i regeldelen i Microsoft Defender portalenhttps://security.microsoft.com. Hvis du vil gå direkte til policysiden for karantene , kan du bruke https://security.microsoft.com/quarantinePolicies.

    Policysiden for karantene i Microsoft Defender-portalen.

  2. Velg Legg til egendefinert policysiden Karantenepolicyer for å starte den nye veiviseren for karantenepolicy.

  3. Skriv inn et kort, men unikt navn i boksen Policynavnsiden Policynavn. Policynavnet kan velges i rullegardinlister i kommende trinn.

    Når du er ferdig på siden Policynavn , velger du Neste.

  4. Velg én av følgende verdier på tilgangssiden for mottakerens melding :

    • Begrenset tilgang: De individuelle tillatelsene som er inkludert i denne tillatelsesgruppen, er beskrevet i tilleggsdelen . Brukere kan i utgangspunktet gjøre hva som helst i karantenemeldinger, bortsett fra å frigi dem fra karantene uten administratorgodkjenning.

    • Angi bestemt tilgang (avansert): Bruk denne verdien til å angi egendefinerte tillatelser. Konfigurer følgende innstillinger som vises:

      • Velg lanseringshandlingsinnstillinger: Velg én av følgende verdier fra rullegardinlisten:
        • Tom: Brukere kan ikke frigi eller be om frigivelse av meldinger fra karantene. Dette er standardverdien.
        • Tillat mottakere å be om at en melding frigis fra karantene
        • Tillat mottakere å frigi en melding fra karantene
      • Velg flere handlinger mottakere kan utføre i karantenemeldinger: Velg noen, alle eller ingen av følgende verdier:
        • Slett
        • Forhåndsvisning
        • Blokker avsender
        • Tillat avsender

    Disse tillatelsene og deres effekt på meldinger i karantene og i karantenevarsler er beskrevet i delen Detaljer om tillatelsesdetaljer for karantenepolicy senere i denne artikkelen.

    Når du er ferdig på tilgangssiden for mottakerens melding , velger du Neste.

  5. Velg Aktiver for å slå på karantenevarsler på varslingssiden for karantene, og velg deretter én av følgende verdier:

    • Inkluder meldinger i karantene fra blokkerte avsenderadresser
    • Ikke inkluder meldinger i karantene fra blokkerte avsenderadresser

    Tips

    Hvis du slår på karantenevarsler for Ingen tilgangstillatelser (på tilgangssiden for mottakerens melding , valgte du Angi bestemt tilgang (Avansert)>Velg utløsingshandlingspreferanse> tom), brukere kan vise meldingene sine i karantene, men den eneste tilgjengelige handlingen for meldingene er Vis meldingshoder.

    Når du er ferdig på varslingssiden for karantene , velger du Neste.

  6. På se gjennom policysiden kan du se gjennom valgene dine. Velg Rediger i hver inndeling for å endre innstillingene i inndelingen. Du kan også velge Tilbake eller den bestemte siden i veiviseren.

    Når du er ferdig på siden Se gjennom policy , velger du Send, og deretter Velger du Ferdig på bekreftelsessiden.

  7. På bekreftelsessiden som vises, kan du bruke koblingene til å se gjennom meldinger i karantene eller gå til siden for søppelpostpolicyer i Defender-portalen .

    Når du er ferdig på siden, velger du Ferdig.

Policyen du opprettet, er nå oppført på siden Karantenepolicy . Du er klar til å tilordne karantenepolicyen til en støttet sikkerhetsfunksjon som beskrevet i trinn 2-delen .

Opprette karantenepolicyer i PowerShell

Tips

Tillatelsen PermissionToAllowSender i karantenepolicyer i PowerShell brukes ikke.

Hvis du heller vil bruke PowerShell til å opprette karantenepolicyer, kobler du til Exchange Online PowerShell eller frittstående Exchange Online Protection PowerShell og bruker følgende syntaks:

New-QuarantinePolicy -Name "<UniqueName>" -EndUserQuarantinePermissionsValue <0 to 236> [-EsnEnabled $true]
  • ESNEnabled-parameteren med verdien $true aktiverer karantenevarsler. Karantenevarsler er deaktivert som standard (standardverdien er $false).

  • Parameteren EndUserQuarantinePermissionsValue bruker en desimalverdi som konverteres fra en binær verdi. Binærverdien tilsvarer de tilgjengelige tillatelsene for karantene for sluttbrukere i en bestemt rekkefølge. For hver tillatelse er verdien 1 lik Sann, og verdien 0 er lik Usann.

    Den nødvendige rekkefølgen og verdiene for hver enkelt tillatelse er beskrevet i tabellen nedenfor:

    Tillatelse Desimalverdi Binærverdi
    PermissionToViewHeader¹ 128 10000000
    PermissionToDownload² 64 01000000
    PermissionToAllowSender 32 00100000
    PermissionToBlockSender 16 00010000
    PermissionToRequestRelease³ 8 00001000
    PermissionToRelease³ 4 00000100
    PermissionToPreview 2 00000010
    PermissionToDelete 1 00000001

    ¹ Verdien 0 for denne tillatelsen skjuler ikke handlingen Vis meldingshode i karantene. Hvis meldingen er synlig for en bruker i karantene, er handlingen alltid tilgjengelig for meldingen.

    ² Denne tillatelsen brukes ikke (verdien 0 eller 1 gjør ingenting).

    ³ Ikke sett begge disse tillatelsesverdiene til 1. Angi én verdi til 1 og den andre verdien til 0, eller angi begge verdiene til 0.

    For begrensede tilgangstillatelser er de nødvendige verdiene:

    Tillatelse Begrenset tilgang
    PermissionToViewHeader 0
    PermissionToDownload 0
    PermissionToAllowSender 1
    PermissionToBlockSender 0
    PermissionToRequestRelease 1
    PermissionToRelease 0
    PermissionToPreview 1
    PermissionToDelete 1
    Binærverdi 00101011
    Desimalverdi som skal brukes 43
  • Hvis du angir ESNEnabled-parameteren til verdien $true når verdien til parameteren EndUserQuarantinePermissionsValue er 0 (Ingen tilgang der alle tillatelser er slått av), kan mottakerne se meldingene i karantene, men den eneste tilgjengelige handlingen for meldingene er Vis meldingshoder.

Dette eksemplet oppretter en ny karantenepolicy med navnet LimitedAccess med karantenevarsler aktivert som tilordner begrensede tilgangstillatelser som beskrevet i forrige tabell.

New-QuarantinePolicy -Name LimitedAccess -EndUserQuarantinePermissionsValue 43 -EsnEnabled $true

For egendefinerte tillatelser bruker du den forrige tabellen til å hente binærverdien som tilsvarer tillatelsene du vil bruke. Konverter binærverdien til en desimalverdi, og bruk desimalverdien for parameteren EndUserQuarantinePermissionsValue .

Tips

Bruk tilsvarende desimalverdi for EndUserQuarantinePermissionsValue. Ikke bruk den rå binærverdien.

Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se New-QuarantinePolicy.

Trinn 2: Tilordne en karantenepolicy til støttede funksjoner

I støttede beskyttelsesfunksjoner som setter e-postmeldinger i karantene, definerer den tilordnede karantenepolicyen hva brukere kan gjøre for å sette meldinger i karantene og om karantenevarsler er aktivert. Beskyttelsesfunksjoner som setter meldinger i karantene og om de støtter karantenepolicyer, beskrives i tabellen nedenfor:

Funksjon Støttes policyer for karantene?
Dommer i policyer for søppelpost
   Søppelpost (SpamAction) Ja (SpamQuarantineTag)
   Søppelpost med høy visshet (HighConfidenceSpamAction) Ja (HighConfidenceSpamQuarantineTag)
   Phishing (PhishSpamAction) Ja (PhishQuarantineTag)
   Phishing med høy visshet (HighConfidencePhishAction) Ja (HighConfidencePhishQuarantineTag)
   Bulk (BulkSpamAction) Ja (BulkQuarantineTag)
Vurderinger i policyer for anti-phishing
   Spoof (AuthenticationFailAction) Ja (SpoofQuarantineTag)
   Brukerrepresentasjon (TargetedUserProtectionAction) Ja (TargetedUserQuarantineTag)
   Domenerepresentasjon (TargetedDomainProtectionAction) Ja (TargetedDomainQuarantineTag)
   Postboks intelligens representasjon (MailboxIntelligenceProtectionAction) Ja (MailboxIntelligenceQuarantineTag)
Policyer mot skadelig programvare Ja (karantenetag)
Beskyttelse mot klarerte vedlegg
   E-postmeldinger med vedlegg som er satt i karantene som skadelig programvare av policyer for klarerte vedlegg (Aktiver og handling) Ja (karantenetag)
   Filer som er satt i karantene som skadelig programvare av klarerte vedlegg for SharePoint, OneDrive og Microsoft Teams Nei
Regler for Exchange-e-postflyt (også kjent som transportregler) med handlingen: «Lever meldingen til den vertsbaserte karantene» (karantene) Nei

Standard karantenepolicyer som brukes av hver beskyttelsesfunksjon, beskrives i de relaterte tabellene i Anbefalte innstillinger for EOP og Microsoft Defender for Office 365 sikkerhet.

Standard karantenepolicyer, forhåndsinnstilte tillatelsesgrupper og tillatelser er beskrevet i tilleggsdelen på slutten av denne artikkelen.

Resten av dette trinnet forklarer hvordan du tilordner karantenepolicyer for støttede filtervurderinger.

Tilordne karantenepolicyer i støttede policyer i Microsoft Defender-portalen

Obs!

Brukere kan ikke frigi sine egne meldinger som ble satt i karantene som skadelig programvare av policyer for beskyttelse mot skadelig programvare eller klarerte vedlegg, eller som phishing med høy konfidens av policyer for søppelpost, uavhengig av hvordan karantenepolicyen er konfigurert. Hvis policyen tillater brukere å frigi sine egne meldinger i karantene, har brukerne i stedet lov til å be om utgivelsen av skadelig programvare som er satt i karantene eller phishing-meldinger med høy visshet.

Policyer mot søppelpost

  1. Gå til Policyer for e-post & samarbeid>& regler>For>søppelpost i policyer-delen i Microsoft Defender-portalenhttps://security.microsoft.com. Hvis du vil gå direkte til siden for søppelpostpolicyer , kan du bruke https://security.microsoft.com/antispam.

  2. Bruk én av følgende metoder på siden Retningslinjer for søppelpost :

    • Velg en eksisterende inngående søppelpostpolicy ved å klikke hvor som helst i raden bortsett fra avmerkingsboksen ved siden av navnet. Gå til Handlinger-delen i undermenyen for policydetaljer som åpnes, og velg deretter Rediger handlinger.
    • Velg Opprett policy, velg Innkommende fra rullegardinlisten for å starte den nye veiviseren for søppelpostpolicy, og gå deretter til Handlinger-siden .
  3. Handlinger-siden eller undermenyen har alle meldinger som er valgt i karantene , også boksen Velg karantenepolicy for å velge en karantenepolicy.

    Hvis du endrer handlingen i en dom for søppelpostfiltrering til karantenemelding under oppretting av policyen for søppelpost, er policyboksen Velg karantene tom som standard. En tom verdi betyr at standard karantenepolicy for denne dommen brukes. Når du senere viser eller redigerer policyinnstillingene for søppelpost, vises policynavnet for karantene. Standard karantenepolicyer er oppført i den støttede funksjonstabellen.

    Policyvalgene for karantene i en policy for søppelpost

Fullstendige instruksjoner for oppretting og endring av policyer for søppelpost beskrives i Konfigurer policyer for søppelpost i EOP.

Policyer for søppelpost i PowerShell

Hvis du heller vil bruke PowerShell til å tilordne karantenepolicyer i søppelpostpolicyer, kobler du til Exchange Online PowerShell eller Exchange Online Protection PowerShell og bruker følgende syntaks:

<New-HostedContentFilterPolicy -Name "<Unique name>" | Set-HostedContentFilterPolicy -Identity "<Policy name>"> [-SpamAction Quarantine] [-SpamQuarantineTag <QuarantineTagName>] [-HighConfidenceSpamAction Quarantine] [-HighConfidenceSpamQuarantineTag <QuarantineTagName>] [-PhishSpamAction Quarantine] [-PhishQuarantineTag <QuarantineTagName>] [-HighConfidencePhishQuarantineTag <QuarantineTagName>] [-BulkSpamAction Quarantine] [-BulkQuarantineTag <QuarantineTagName>] ...
  • Karantenepolicyer betyr bare noe når meldinger settes i karantene. Standardverdien for HighConfidencePhishAction-parameteren er Karantene, så du trenger ikke å bruke denne *handlingsparameteren når du oppretter nye policyer for søppelpostfilter i PowerShell. Som standard er ikke alle andre * handlingsparametere i nye policyer for søppelpostfilter satt til verdikarantene.

    Hvis du vil se de viktige parameterverdiene i eksisterende policyer for søppelpost, kjører du følgende kommando:

    Get-HostedContentFilterPolicy | Format-List Name,SpamAction,SpamQuarantineTag,HighConfidenceSpamAction,HighConfidenceSpamQuarantineTag,PhishSpamAction,PhishQuarantineTag,HighConfidencePhishAction,HighConfidencePhishQuarantineTag,BulkSpamAction,BulkQuarantineTag
    
  • Hvis du oppretter en policy for søppelpost uten å angi karantenepolicyen for dommen for søppelpostfiltrering, brukes standard karantenepolicy for denne dommen. Hvis du vil ha informasjon om standard handlingsverdier og anbefalte handlingsverdier for Standard og Strict, kan du se EOP-policyinnstillinger for søppelpost.

    Angi en annen karantenepolicy for å aktivere karantenevarsler eller endre standard sluttbrukerfunksjoner i karantenemeldinger for den bestemte dommen for søppelpostfiltrering.

    Brukere kan ikke frigi sine egne meldinger som ble satt i karantene som phishing med høy visshet, uavhengig av hvordan karantenepolicyen er konfigurert. Hvis policyen tillater brukere å frigi sine egne meldinger i karantene, har brukerne i stedet lov til å be om utgivelsen av phishing-meldinger med høy visshet i karantene.

  • I PowerShell krever en ny policy for søppelpost i PowerShell en policy for søppelpostfilter ved hjelp av cmdleten New-HostedContentFilterPolicy (innstillinger) og en eksklusiv regel for søppelpostfilter ved hjelp av cmdleten New-HostedContentFilterRule (mottakerfiltre). Hvis du vil ha instruksjoner, kan du se Bruke PowerShell til å opprette policyer for søppelpost.

Dette eksemplet oppretter en ny policy for søppelpostfilter med navnet Oppslagsavdeling med følgende innstillinger:

  • Handlingen for alle dommer for filtrering av søppelpost er satt til Karantene.
  • Standard karantenepolicy med navnet AdminOnlyAccessPolicy som tilordner Ingen tilgangstillatelser erstatter standard karantenepolicy som brukes (phishing-meldinger med høy visshet er satt i karantene som standard, og policyen AdminOnlyAccessPolicy-karantene brukes som standard).
New-HostedContentFilterPolicy -Name "Research Department" -SpamAction Quarantine -SpamQuarantineTag AdminOnlyAccessPolicy -HighConfidenceSpamAction Quarantine -HighConfidenceSpamQuarantineTag AdminOnlyAccessPolicy -PhishSpamAction Quarantine -PhishQuarantineTag AdminOnlyAccessPolicy -BulkSpamAction Quarantine -BulkQuarantineTag AdminOnlyAccessPolicy

Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se New-HostedContentFilterPolicy.

Dette eksemplet endrer den eksisterende policyen for søppelpostfilter med navnet Personaladministrasjon. Handlingen for dommen om søppelpostkarantene er satt til Karantene, og policyen for egendefinert karantene kalt ContosoNoAccess er tilordnet.

Set-HostedContentFilterPolicy -Identity "Human Resources" -SpamAction Quarantine -SpamQuarantineTag ContosoNoAccess

Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Set-HostedContentFilterPolicy.

Anti-phishing-policyer

Forfalskningsintelligens er tilgjengelig i EOP og Defender for Office 365. Beskyttelse mot brukerrepresentasjon, beskyttelse av domenerepresentasjon og beskyttelse mot postboksintelligens er bare tilgjengelig i Defender for Office 365. Hvis du vil ha mer informasjon, kan du se Policyer for anti-phishing i Microsoft 365.

  1. Gå til Policyer https://security.microsoft.comfor e-& samarbeid>& regler> Foranti-phishing fortrusselpolicyer> i policyer-delen i Microsoft Defender portalen. Hvis du vil gå direkte til anti-phishing-siden , kan du bruke https://security.microsoft.com/antiphishing.

  2. Bruk én av følgende metoder på anti-phishing-siden :

    • Velg en eksisterende policy for anti-phishing ved å klikke hvor som helst i raden bortsett fra avmerkingsboksen ved siden av navnet. Velg Rediger-koblingen i den aktuelle delen i undermenyen for policydetaljer som åpnes, som beskrevet i de neste trinnene.
    • Velg Opprett for å starte den nye veiviseren for anti-phishing-policy. De relevante sidene beskrives i de neste trinnene.
  3. Kontroller at følgende innstillinger er aktivert og konfigurert etter behov, på Phishing-terskelen & beskyttelsesside eller undermeny:

    • Aktiverte brukere for å beskytte: Angi brukere.
    • Aktiverte domener som skal beskyttes: Velg Inkluder domener jeg eier og/eller Inkluder egendefinerte domener , og angi domenene.
    • Aktiver postboksintelligens
    • Aktiver intelligens for representasjonsbeskyttelse
    • Aktiver forfalskningsintelligens
  4. Handlinger-siden eller undermenyen har alle meldinger som har karantene, også policyboksen Bruk karantene , slik at du kan velge en karantenepolicy.

    Når policyen for anti-phishing opprettes, brukes standard karantenepolicy hvis du ikke velger en karantenepolicy. Når du senere viser eller redigerer policyinnstillingene for anti-phishing, vises policynavnet for karantene. Standard karantenepolicyer er oppført i den støttede funksjonstabellen.

    Karantenepolicyen velges i en policy for anti-phishing.

Fullstendige instruksjoner for oppretting og endring av policyer for anti-phishing er tilgjengelige i følgende artikler:

Anti-phishing-policyer i PowerShell

Hvis du heller vil bruke PowerShell til å tilordne karantenepolicyer i policyer for anti-phishing, kobler du til Exchange Online PowerShell eller Exchange Online Protection PowerShell og bruker følgende syntaks:

<New-AntiPhishPolicy -Name "<Unique name>" | Set-AntiPhishPolicy -Identity "<Policy name>"> [-EnableSpoofIntelligence $true] [-AuthenticationFailAction Quarantine] [-SpoofQuarantineTag <QuarantineTagName>] [-EnableMailboxIntelligence $true] [-EnableMailboxIntelligenceProtection $true] [-MailboxIntelligenceProtectionAction Quarantine] [-MailboxIntelligenceQuarantineTag <QuarantineTagName>] [-EnableOrganizationDomainsProtection $true] [-EnableTargetedDomainsProtection $true] [-TargetedDomainProtectionAction Quarantine] [-TargetedDomainQuarantineTag <QuarantineTagName>] [-EnableTargetedUserProtection $true] [-TargetedUserProtectionAction Quarantine] [-TargetedUserQuarantineTag <QuarantineTagName>] ...
  • Karantenepolicyer betyr bare noe når meldinger settes i karantene. I policyer for anti-phish settes meldinger i karantene når parameterverdien Enable* for funksjonen er $true og den tilsvarende *\Handlingsparameterverdien er karantene. Standardverdien for parameterne EnableMailboxIntelligence og EnableSpoofIntelligence er $true, så du trenger ikke å bruke dem når du oppretter nye policyer for anti-phish i PowerShell. Som standard er det ingen *\ Handlingsparametere som har verdien Karantene.

    Hvis du vil se de viktige parameterverdiene i eksisterende anti-phish-policyer, kjører du følgende kommando:

    Get-AntiPhishPolicy | Format-List EnableSpoofIntelligence,AuthenticationFailAction,SpoofQuarantineTag,EnableTargetedUserProtection,TargetedUserProtectionAction,TargetedUserQuarantineTag,EnableTargetedDomainsProtection,EnableOrganizationDomainsProtection,TargetedDomainProtectionAction,TargetedDomainQuarantineTag,EnableMailboxIntelligence,EnableMailboxIntelligenceProtection,MailboxIntelligenceProtectionAction,MailboxIntelligenceQuarantineTag
    

    Hvis du vil ha informasjon om standard og anbefalte handlingsverdier for standardkonfigurasjoner og strenge konfigurasjoner, kan du se EOP-policyinnstillinger for anti-phishing og representasjonsinnstillinger i policyer for anti-phishing i Microsoft Defender for Office 365.

  • Hvis du oppretter en ny policy for anti-phishing uten å angi karantenepolicyen for anti-phishing-handlingen, brukes standard karantenepolicy for denne handlingen. Standard karantenepolicyer for hver anti-phishing-handling vises i innstillinger for anti-phishing-policyer for EOP og innstillinger for anti-phishing-policy i Microsoft Defender for Office 365.

    Angi en annen karantenepolicy bare hvis du vil endre standard sluttbrukerfunksjoner i karantenemeldinger for den bestemte anti-phishing-handlingen.

  • En ny policy for anti-phishing i PowerShell krever en policy for anti-phish ved hjelp av cmdleten New-AntiPhishPolicy (innstillinger) og en eksklusiv anti-phish-regel ved hjelp av Cmdleten New-AntiPhishRule (mottakerfiltre). Hvis du vil ha instruksjoner, kan du se følgende artikler:

Dette eksemplet oppretter en ny policy for anti-phish kalt Forskningsavdeling med følgende innstillinger:

  • Handlingen for alle dommer for filtrering av søppelpost er satt til Karantene.
  • Standard karantenepolicy med navnet AdminOnlyAccessPolicy som tilordner Ingen tilgangstillatelser erstatter standard karantenepolicy som brukes.
New-AntiPhishPolicy -Name "Research Department" -AuthenticationFailAction Quarantine -SpoofQuarantineTag NoAccess -EnableMailboxIntelligenceProtection $true -MailboxIntelligenceProtectionAction Quarantine -MailboxIntelligenceQuarantineTag NoAccess -EnableOrganizationDomainsProtection $true -EnableTargetedDomainsProtection $true -TargetedDomainProtectionAction Quarantine -TargetedDomainQuarantineTag NoAccess -EnableTargetedUserProtection $true -TargetedUserProtectionAction Quarantine -TargetedUserQuarantineTag NoAccess

Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se New-AntiPhishPolicy.

Dette eksemplet endrer den eksisterende policyen for anti-phish kalt Personaladministrasjon. Handlingen for meldinger som oppdages av brukerrepresentasjon og domenerepresentasjon, er satt til Karantene, og den egendefinerte karantenepolicyen kalt ContosoNoAccess er tilordnet.

Set-AntiPhishPolicy -Identity "Human Resources" -EnableTargetedDomainsProtection $true -TargetedDomainProtectionAction Quarantine -TargetedDomainQuarantineTag ContosoNoAccess -EnableTargetedUserProtection $true -TargetedUserProtectionAction Quarantine -TargetedUserQuarantineTag ContosoNoAccess

Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Set-AntiPhishPolicy.

Policyer mot skadelig programvare

  1. Gå til Policyer for e-& samarbeid>& regler>for> beskyttelse motskadelig programvare i policyer-delen i Microsoft Defender-portalenhttps://security.microsoft.com. Hvis du vil gå direkte til siden for skadelig programvare , kan du bruke https://security.microsoft.com/antimalwarev2.

  2. Bruk én av følgende metoder på siden For skadelig programvare :

    • Velg en eksisterende policy for beskyttelse mot skadelig programvare ved å klikke hvor som helst i raden bortsett fra avmerkingsboksen ved siden av navnet. Gå til delen Innstillinger for beskyttelse i undermenyen for policydetaljer som åpnes, og velg deretter Rediger beskyttelsesinnstillinger.
    • Velg Opprett for å starte den nye veiviseren for retningslinjer mot skadelig programvare, og gå til siden for beskyttelsesinnstillinger .
  3. Vis eller velg en karantenepolicy i boksen Karantenepolicy på siden beskyttelsesinnstillinger eller undermeny.

    Karantenevarsler er deaktivert i policyen AdminOnlyAccessPolicy. Hvis du vil varsle mottakere som har meldinger satt i karantene som skadelig programvare, kan du opprette eller bruke en eksisterende karantenepolicy der karantenevarsler er slått på. Hvis du vil ha instruksjoner, kan du se Opprette karantenepolicyer i Microsoft Defender-portalen.

    Brukere kan ikke frigi sine egne meldinger som ble satt i karantene som skadelig programvare av policyer for skadelig programvare, uavhengig av hvordan karantenepolicyen er konfigurert. Hvis policyen tillater brukere å frigi sine egne meldinger i karantene, har brukerne i stedet lov til å be om utgivelsen av sine meldinger om skadelig programvare som er satt i karantene.

    Policyen karantene velges i en policy for beskyttelse mot skadelig programvare.

Fullstendige instruksjoner for oppretting og endring av policyer for skadelig programvare er tilgjengelige i Konfigurer policyer for beskyttelse mot skadelig programvare.

Policyer for skadelig programvare i PowerShell

Hvis du heller vil bruke PowerShell til å tilordne karantenepolicyer i policyer for skadelig programvare, kobler du til Exchange Online PowerShell eller Exchange Online Protection PowerShell og bruker følgende syntaks:

<New-AntiMalwarePolicy -Name "<Unique name>" | Set-AntiMalwarePolicy -Identity "<Policy name>"> [-QuarantineTag <QuarantineTagName>]
  • Når du oppretter nye policyer for skadelig programvare uten å bruke quarantineTag-parameteren, brukes standard karantenepolicy med navnet AdminOnlyAccessPolicy.

    Brukere kan ikke frigi sine egne meldinger som ble satt i karantene som skadelig programvare, uavhengig av hvordan karantenepolicyen er konfigurert. Hvis policyen tillater brukere å frigi sine egne meldinger i karantene, har brukerne i stedet lov til å be om utgivelsen av sine meldinger om skadelig programvare som er satt i karantene.

    Hvis du vil se de viktige parameterverdiene i eksisterende anti-phish-policyer, kjører du følgende kommando:

    Get-MalwareFilterPolicy | Format-Table Name,QuarantineTag
    
  • En ny policy for skadelig programvare i PowerShell krever en filterpolicy for skadelig programvare ved hjelp av cmdleten New-MalwareFilterPolicy (innstillinger) og en eksklusiv filterregel for skadelig programvare ved hjelp av cmdleten New-MalwareFilterRule (mottakerfiltre). Hvis du vil ha instruksjoner, kan du se Bruk Exchange Online PowerShell eller frittstående EOP PowerShell til å konfigurere policyer for skadelig programvare.

Dette eksemplet oppretter en filterpolicy for skadelig programvare kalt Oppslagsavdeling som bruker policyen for egendefinert karantene kalt ContosoNoAccess, som tilordner ingen tilgangstillatelser til meldingene som er satt i karantene.

New-MalwareFilterPolicy -Name "Research Department" -QuarantineTag ContosoNoAccess

Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se New-MalwareFilterPolicy.

Dette eksemplet endrer den eksisterende filterpolicyen for skadelig programvare kalt Personaladministrasjon for å bruke policyen for egendefinert karantene kalt ContosoNoAccess, som ikke tilordner tilgangstillatelser til meldingene som er satt i karantene.

New-MalwareFilterPolicy -Identity "Human Resources" -QuarantineTag ContosoNoAccess

Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Set-MalwareFilterPolicy.

Policyer for klarerte vedlegg i Defender for Office 365

  1. Gå til Policyer for e-& samarbeid>& regler>For> sikrevedlegg i policyer-deleni Microsoft Defender-portalen.https://security.microsoft.com Hvis du vil gå direkte til siden Klarerte vedlegg , kan du bruke https://security.microsoft.com/safeattachmentv2.

  2. Bruk én av følgende metoder på siden Klarerte vedlegg :

    • Velg en eksisterende policy for klarerte vedlegg ved å klikke hvor som helst i raden bortsett fra avmerkingsboksen ved siden av navnet. Velg koblingen Rediger innstillinger i Innstillinger-delen i undermenyen for policydetaljer som åpnes.
    • Velg Opprett for å starte den nye policyveiviseren for klarerte vedlegg, og gå til Innstillinger-siden .
  3. Vis eller velg en karantenepolicy i boksen KarantenepolicyInnstillinger-siden eller undermenyen.

    Brukere kan ikke frigi sine egne meldinger som ble satt i karantene som skadelig programvare av policyer for klarerte vedlegg, uavhengig av hvordan karantenepolicyen er konfigurert. Hvis policyen tillater brukere å frigi sine egne meldinger i karantene, har brukerne i stedet lov til å be om utgivelsen av sine meldinger om skadelig programvare som er satt i karantene.

    Policyen karantene velges i en policy for klarerte vedlegg.

Fullstendige instruksjoner for oppretting og endring av policyer for klarerte vedlegg er beskrevet i Policyer for konfigurasjon av klarerte vedlegg i Microsoft Defender for Office 365.

Policyer for klarerte vedlegg i PowerShell

Hvis du heller vil bruke PowerShell til å tilordne karantenepolicyer i policyer for klarerte vedlegg, kobler du til Exchange Online PowerShell eller Exchange Online Protection PowerShell og bruker følgende syntaks:

<New-SafeAttachmentPolicy -Name "<Unique name>" | Set-SafeAttachmentPolicy -Identity "<Policy name>"> -Enable $true -Action <Block | DynamicDelivery> [-QuarantineTag <QuarantineTagName>]
  • Handlingsparameterverdiene Block eller DynamicDelivery kan resultere i karantenemeldinger (verdien Tillat setter ikke meldinger i karantene). Verdien til handlingsparameteren gir mening bare når verdien til Aktiver-parameteren er $true.

  • Når du oppretter nye policyer for klarerte vedlegg uten å bruke parameteren QuarantineTag , brukes standard karantenepolicy med navnet AdminOnlyAccessPolicy for gjenkjenning av skadelig programvare av klarerte vedlegg.

    Brukere kan ikke frigi sine egne meldinger som ble satt i karantene som skadelig programvare, uavhengig av hvordan karantenepolicyen er konfigurert. Hvis policyen tillater brukere å frigi sine egne meldinger i karantene, har brukerne i stedet lov til å be om utgivelsen av sine meldinger om skadelig programvare som er satt i karantene.

    Hvis du vil se de viktige parameterverdiene, kjører du følgende kommando:

    Get-SafeAttachmentPolicy | Format-List Name,Enable,Action,QuarantineTag
    
  • En ny policy for klarerte vedlegg i PowerShell krever en sikker vedleggspolicy ved hjelp av Cmdleten New-SafeAttachmentPolicy (innstillinger) og en eksklusiv regel for sikker vedlegg ved hjelp av cmdleten New-SafeAttachmentRule (mottakerfiltre). Hvis du vil ha instruksjoner, kan du se Bruke Exchange Online PowerShell til å konfigurere policyer for klarerte vedlegg.

Dette eksemplet oppretter en sikker vedleggspolicy kalt Oppslagsavdeling som blokkerer oppdagede meldinger og bruker policyen for egendefinert karantene kalt ContosoNoAccess som tilordner ingen tilgangstillatelser til de karantenemeldingene.

New-SafeAttachmentPolicy -Name "Research Department" -Enable $true -Action Block -QuarantineTag NoAccess

Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se New-MalwareFilterPolicy.

Dette eksemplet endrer den eksisterende policyen for sikker vedlegg kalt Personaladministrasjon for å bruke den egendefinerte karantenepolicyen ContosoNoAccess som tilordner ingen tilgangstillatelser .

Set-SafeAttachmentPolicy -Identity "Human Resources" -QuarantineTag ContosoNoAccess

Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Set-MalwareFilterPolicy.

Konfigurer globale varslingsinnstillinger for karantene i Microsoft Defender-portalen

De globale innstillingene for karantenepolicyer lar deg tilpasse karantenevarslene som sendes til mottakere av karantenemeldinger hvis karantenevarsler er aktivert i karantenepolicyen. Hvis du vil ha mer informasjon om varsler om karantene, kan du se varsler om karantene.

Tilpass karantenevarsler for ulike språk

Meldingsteksten for karantenevarsler er allerede lokalisert basert på språkinnstillingen for mottakerens skybaserte postboks.

Du kan bruke fremgangsmåtene i denne delen til å tilpasse verdiene for avsenderens visningsnavn, emne og ansvarsfraskrivelse som brukes i karantenevarsler basert på språkinnstillingen for mottakerens skybaserte postboks:

  • Visningsnavnet for avsenderen som vist i følgende skjermbilde:

    Et tilpasset visningsnavn for avsender i et karantenevarsel.

  • Emne-feltet i varslingsmeldinger om karantene.

  • Ansvarsfraskrivelsesteksten som legges til nederst i karantenevarslene (maksimalt 200 tegn). Den lokaliserte teksten, en ansvarsfraskrivelse fra organisasjonen: inkluderes alltid først, etterfulgt av teksten du angir som vist i følgende skjermbilde:

En egendefinert ansvarsfraskrivelse nederst i et karantenevarsel.

Tips

Karantenevarsler er ikke lokalisert for lokale postbokser.

Et egendefinert karantenevarsel for et bestemt språk vises bare for brukere når postboksspråket samsvarer med språket i det egendefinerte karantenevarselet.

Verdien English_USA gjelder bare for amerikanske engelske klienter. Verdien English_Great Storbritannia gjelder for alle andre engelske klienter (Storbritannia, Canada, Australia osv.).

Språkene norsk og norsk (Nynorsk) er tilgjengelige. Norsk (Bokmål) er ikke tilgjengelig.

Gjør følgende for å opprette tilpassede karantenevarsler for opptil tre språk:

  1. I Microsoft Defender-portalen på https://security.microsoft.comgår du til Policyer for e-& samarbeid>& regler>Om>policyer for karantene i regler-delen. Hvis du vil gå direkte til siden for karantenepolicyer , kan du bruke https://security.microsoft.com/quarantinePolicies.

  2. Velg Globale innstillingersiden Karantenepolicyer.

  3. I undermenyen for varslingsinnstillinger for karantene som åpnes, gjør du følgende:

    1. Velg språk fra velg språk-boksen . Standardverdien er English_USA.

      Selv om denne boksen ikke er den første innstillingen, må du konfigurere den først. Hvis du skriver inn verdier i boksene Avsenderens visningsnavn, Emne eller Ansvarsfraskrivelse før du velger språket, forsvinner disse verdiene.

    2. Når du har valgt språket, skriver du inn verdier for avsenderens visningsnavn, emne og ansvarsfraskrivelse. Verdiene må være unike for hvert språk. Hvis du prøver å bruke en verdi på nytt på et annet språk, får du en feilmelding når du velger Lagre.

    3. Velg Legg til-knappen i nærheten av Velg språk-boksen .

      Når du har valgt Legg til, vises de konfigurerte innstillingene for språket i boksen Klikk på språket for å vise boksen for tidligere konfigurerte innstillinger . Hvis du vil laste inn innstillingene på nytt, klikker du på språknavnet. Hvis du vil fjerne språket, velger du .

      De valgte språkene i de globale innstillingene for karantenevarsling for karantenepolicyer.

    4. Gjenta de forrige trinnene for å opprette maksimalt tre tilpassede karantenevarsler basert på mottakerens språk.

  4. Når du er ferdig på undermenyen for karantenevarsler , velger du Lagre.

    Undermeny for varslingsinnstillinger for karantene i Microsoft Defender-portalen.

Hvis du vil ha informasjon om Angi avsenderadresse

Tilpass alle karantenevarsler

Selv om du ikke tilpasser karantenevarsler for forskjellige språk, er innstillingene tilgjengelige i undermenyen for karantenevarsler for å tilpasse alle karantenevarsler. Du kan også konfigurere innstillingene før, under eller etter at du har tilpasset karantenevarsler for forskjellige språk (disse innstillingene gjelder for alle språk):

  • Angi avsenderadresse: Velg en eksisterende bruker for avsenderens e-postadresse for karantenevarsler. Standard avsender er quarantine@messaging.microsoft.com.

  • Bruk firmalogoen min: Velg dette alternativet for å erstatte standard Microsoft-logoen som brukes øverst i karantenevarsler. Før du gjør dette trinnet, må du følge instruksjonene i Tilpass Microsoft 365-temaet for organisasjonen for å laste opp den egendefinerte logoen.

    En egendefinert logo i et karantenevarsel vises i følgende skjermbilde:

    En egendefinert logo i et karantenevarsel

  • Send søppelpostvarsel for sluttbrukere hver (dag): Velg hyppigheten for karantenevarsler. Du kan velge innen 4 timer, daglig eller ukentlig.

    Tips

    Hvis du velger hver fjerde time, og en melding settes i karantene like etter siste varslingsgenerering, vil mottakeren motta karantenevarselet litt mer enn fire timer senere.

Når du er ferdig i undermenyen for karantenevarsler, velger du Lagre.

Bruk PowerShell til å konfigurere varslingsinnstillinger for global karantene

Hvis du heller vil bruke PowerShell til å konfigurere globale varslingsinnstillinger for karantene, kobler du til Exchange Online PowerShell eller Exchange Online Protection PowerShell og bruker følgende syntaks:

Get-QuarantinePolicy -QuarantinePolicyType GlobalQuarantinePolicy | Set-QuarantinePolicy -MultiLanguageSetting ('Language1','Language2','Language3') -MultiLanguageCustomDisclaimer ('Language1 Disclaimer','Language2 Disclaimer','Language3 Disclaimer') -ESNCustomSubject ('Language1 Subject','Language2 Subject','Language3 Subject') -MultiLanguageSenderName ('Language1 Sender Display Name','Language2 Sender Display Name','Language3 Sender Display Name') [-EndUserSpamNotificationCustomFromAddress <InternalUserEmailAddress>] [-OrganizationBrandingEnabled <$true | $false>] [-EndUserSpamNotificationFrequency <04:00:00 | 1.00:00:00 | 7.00:00:00>]
  • Du kan angi maksimalt tre tilgjengelige språk. Verdien Default er en-US. Verdien engelsk er alt annet (en-GB, en-CA, en-AU osv.).
  • For hvert språk må du angi unike verdier for MultiLanguageCustomDisclaimer, ESNCustomSubject og MultiLanguageSenderName .
  • Hvis noen av tekstverdiene inneholder anførselstegn, må du fjerne anførselstegnet med et ekstra anførselstegn. Du kan for eksempel endre d'assistance til d''assistance.

Dette eksemplet konfigurerer følgende innstillinger:

  • Tilpassede karantenevarsler for amerikansk engelsk og spansk.
  • E-postadressen til avsenderen av karantenevarslingen er satt til michelle@contoso.onmicrosoft.com.
Get-QuarantinePolicy -QuarantinePolicyType GlobalQuarantinePolicy | Set-QuarantinePolicy -MultiLanguageSetting ('Default','Spanish') -MultiLanguageCustomDisclaimer ('For more information, contact the Help Desk.','Para obtener más información, comuníquese con la mesa de ayuda.') -ESNCustomSubject ('You have quarantined messages','Tienes mensajes en cuarentena') -MultiLanguageSenderName ('Contoso administrator','Administradora de contoso') -EndUserSpamNotificationCustomFromAddress michelle@contoso.onmicrosoft.com

Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Set-QuarantinePolicy.

Vis karantenepolicyer i Microsoft Defender-portalen

  1. I Microsoft Defender-portalen på https://security.microsoft.comgår du til Policyer for e-& samarbeid>& regler>Om>policyer for karantene i regler-delen. Hvis du vil gå direkte til siden for karantenepolicyer , kan du bruke https://security.microsoft.com/quarantinePolicies.

  2. Siden karantenepolicyer viser listen over policyer etter policynavn og dato/klokkeslett for sist oppdatert .

  3. Hvis du vil vise innstillingene for standardpolicyer eller egendefinerte karantenepolicyer, velger du policyen ved å klikke hvor som helst i raden bortsett fra avmerkingsboksen ved siden av navnet. Detaljer er tilgjengelige i undermenyen som åpnes.

  4. Hvis du vil vise de globale innstillingene, velger du Globale innstillinger

Vis karantenepolicyer i PowerShell

Hvis du heller vil bruke PowerShell til å vise karantenepolicyer, gjør du ett av følgende:

  • Hvis du vil vise en sammendragsliste over alle standardpolicyer eller egendefinerte policyer, kjører du følgende kommando:

    Get-QuarantinePolicy | Format-Table Name
    
  • Hvis du vil vise innstillingene for standardpolicyer eller egendefinerte karantenepolicyer, erstatter <du QuarantinePolicyName> med navnet på karantenepolicyen og kjører følgende kommando:

    Get-QuarantinePolicy -Identity "<QuarantinePolicyName>"
    
  • Hvis du vil vise de globale innstillingene for karantenevarsler, kjører du følgende kommando:

    Get-QuarantinePolicy -QuarantinePolicyType GlobalQuarantinePolicy
    

Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Get-HostedContentFilterPolicy.

Endre karantenepolicyer i Microsoft Defender-portalen

Du kan ikke endre standard karantenepolicyer med navnet AdminOnlyAccessPolicy, DefaultFullAccessPolicy eller DefaultFullAccessWithNotificationPolicy.

  1. I Microsoft Defender-portalen på https://security.microsoft.comgår du til Policyer for e-& samarbeid>& regler>Om>policyer for karantene i regler-delen. Hvis du vil gå direkte til siden for karantenepolicyer , kan du bruke https://security.microsoft.com/quarantinePolicies.

  2. Merk policyen på siden Karantenepolicyer ved å klikke avmerkingsboksen ved siden av navnet.

  3. Velg Handlingen Rediger policy som vises.

Policyveiviseren åpnes med innstillingene og verdiene for den valgte karantenepolicyen. Trinnene er nesten de samme som beskrevet i delen Opprett karantenepolicyer i Microsoft Defender portal. Hovedforskjellen er: Du kan ikke gi nytt navn til en eksisterende policy.

Endre karantenepolicyer i PowerShell

Hvis du heller vil bruke PowerShell til å endre en egendefinert karantenepolicy, erstatter <du QuarantinePolicyName> med navnet på karantenepolicyen og bruker følgende syntaks:

Set-QuarantinePolicy -Identity "<QuarantinePolicyName>" [Settings]

De tilgjengelige innstillingene er de samme som beskrevet for oppretting av karantenepolicyer tidligere i denne artikkelen.

Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Set-QuarantinePolicy.

Fjerne karantenepolicyer i Microsoft Defender-portalen

Obs!

Ikke fjern en karantenepolicy før du bekrefter at den ikke brukes. Kjør for eksempel følgende kommando i PowerShell:

Write-Output -InputObject "Anti-spam policies",("-"*25);Get-HostedContentFilterPolicy | Format-List Name,*QuarantineTag; Write-Output -InputObject "Anti-phishing policies",("-"*25);Get-AntiPhishPolicy | Format-List Name,*QuarantineTag; Write-Output -InputObject "Anti-malware policies",("-"*25);Get-MalwareFilterPolicy | Format-List Name,QuarantineTag; Write-Output -InputObject "Safe Attachments policies",("-"*25);Get-SafeAttachmentPolicy | Format-List Name,QuarantineTag

Hvis karantenepolicyen brukes, må du erstatte den tilordnede karantenepolicyen før du fjerner den for å unngå den potensielle forstyrrelsen i karantenevarsler.

Du kan ikke fjerne standard karantenepolicyer kalt AdminOnlyAccessPolicy, DefaultFullAccessPolicy eller DefaultFullAccessWithNotificationPolicy.

  1. I Microsoft Defender-portalen på https://security.microsoft.comgår du til Policyer for e-& samarbeid>& regler>Om>policyer for karantene i regler-delen. Hvis du vil gå direkte til siden for karantenepolicyer , kan du bruke https://security.microsoft.com/quarantinePolicies.

  2. Merk policyen på siden Karantenepolicyer ved å klikke avmerkingsboksen ved siden av navnet.

  3. Velg handlingen Slett policy som vises.

  4. Velg Fjern policy i bekreftelsesdialogboksen.

Fjerne karantenepolicyer i PowerShell

Hvis du heller vil bruke PowerShell til å fjerne en egendefinert karantenepolicy, erstatter <du QuarantinePolicyName> med navnet på karantenepolicyen og kjører følgende kommando:

Remove-QuarantinePolicy -Identity "<QuarantinePolicyName>"

Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Remove-QuarantinePolicy.

Systemvarsler for forespørsler om utgivelse av karantene

Standard varslingspolicy med navnet Bruker som ber om å frigi en karantenemelding , genererer automatisk et informasjonsvarsel og sender et varsel til Organisasjonsadministrasjon (global administrator) når en bruker ber om å få en melding i karantene:

Administratorer kan tilpasse e-postvarslingsmottakerne eller opprette en egendefinert varslingspolicy for flere alternativer.

Hvis du vil ha mer informasjon om varslingspolicyer, kan du se Varselpolicyer i Microsoft Defender-portalen.

Tillegg

Anatomi i en karantenepolicy

En karantenepolicy inneholder tillatelser som kombineres i forhåndsinnstilte tillatelsesgrupper. De forhåndsinnstilte tillatelsesgruppene er:

  • Ingen tilgang
  • Begrenset tilgang
  • Full tilgang

Som tidligere beskrevet håndhever standard karantenepolicyer historiske brukerfunksjoner i karantenemeldinger, og tilordnes automatisk til handlinger i støttede beskyttelsesfunksjoner som setter meldinger i karantene.

Standard policyer for karantene er:

  • AdminOnlyAccessPolicy
  • DefaultFullAccessPolicy
  • DefaultFullAccessWithNotificationPolicy
  • NotificationEnabledPolicy (i enkelte organisasjoner)

Karantenepolicyer kontrollerer også om brukere mottar karantenevarsler om meldinger som ble satt i karantene i stedet for levert til dem. Karantenevarsler gjør to ting:

  • Informer brukeren om at meldingen er i karantene.
  • Tillat brukere å vise og utføre handlinger på den karantenemeldingen fra karantenevarslingen. Tillatelser kontrollerer hva brukeren kan gjøre i karantenevarslingen, som beskrevet i delen Detaljer om tillatelsesdetaljer for karantenepolicyen .

Relasjonen mellom tillatelser, tillatelsesgrupper og standard karantenepolicyer er beskrevet i følgende tabeller:

Tillatelse Ingen tilgang Begrenset tilgang Full tilgang
(PermissionToViewHeader
Tillat avsender (PermissionToAllowSender)
Blokker avsender (PermissionToBlockSender)
Slett (PermissionToDelete)
Forhåndsvisning (PermissionToPreview
Tillat mottakere å frigi en melding fra karantene (PermissionToRelease
Tillat mottakere å be om at en melding frigis fra karantene (PermissionToRequestRelease)
Standard karantenepolicy Tillatelsesgruppe brukt Er varslinger i karantene aktivert?
AdminOnlyAccessPolicy Ingen tilgang Nei
DefaultFullAccessPolicy Full tilgang Nei
DefaultFullAccessWithNotificationPolicy⁴ Full tilgang Ja
NotificationEnabledPolicy⁵ Full tilgang Ja

¹ Denne tillatelsen er ikke tilgjengelig i Defender-portalen. Hvis du deaktiverer tillatelsen i PowerShell, påvirkes ikke tilgjengeligheten av vis meldingshodehandlingen i karantenemeldinger. Hvis meldingen er synlig for en bruker i karantene, er vis meldingshodet alltid tilgjengelig for meldingen.

² Forhåndsvisningstillatelsen er ikke relatert til handlingen Se gjennom melding som er tilgjengelig i karantenevarsler.

³ Tillat mottakere å frigi en melding fra karantene , overholdes ikke for meldinger som ble satt i karantene som skadelig programvare av policyer for beskyttelse mot skadelig programvare eller policyer for klarerte vedlegg, eller som phishing med høy konfidens av policyer for søppelpost.

⁴ Denne policyen brukes i forhåndsinnstilte sikkerhetspolicyer for å aktivere karantenevarsler i stedet for policyen som heter DefaultFullAccessPolicy, der varslinger er slått av.

⁵ Organisasjonen har kanskje ikke policyen NotificationEnabledPolicy som beskrevet i neste del.

Full tilgangstillatelser og karantenevarsler

Standard karantenepolicy med navnet DefaultFullAccessPolicy dupliserer de historiske tillatelsene for mindre skadelige meldinger i karantene, men karantenevarsler er ikke aktivert i karantenepolicyen. Der DefaultFullAccessPolicy brukes som standard, beskrives i funksjonstabellene i Anbefalte innstillinger for EOP og Microsoft Defender for Office 365 sikkerhet.

For å gi organisasjoner tillatelsene til DefaultFullAccessPolicy med karantenevarsler aktivert, inkluderte vi selektivt en standardpolicy kalt NotificationEnabledPolicy basert på følgende kriterier:

  • Organisasjonen eksisterte før innføringen av karantenepolicyer (juli-august 2021).

    og

  • Innstillingen Aktiver søppelpostvarsler for sluttbrukere ble aktivert i én eller flere policyer for søppelpost. Før innføringen av karantenepolicyer, avgjorde denne innstillingen om brukere mottok varsler om karantenemeldinger.

Nyere organisasjoner eller eldre organisasjoner som aldri har aktivert søppelpostvarsler for sluttbrukere, har ikke policyen NotificationEnabledPolicy.

For å gi brukere full tilgang til tillatelser og karantenevarsler, har organisasjoner som ikke har policyen NotificationEnabledPolicy følgende alternativer:

  • Bruk standardpolicyen DefaultFullAccessWithNotificationPolicy.
  • Opprett og bruk egendefinerte karantenepolicyer med Full tilgang-tillatelser og karantenevarsler aktivert.

Detaljer om tillatelse for karantenepolicy

Avsnittene nedenfor beskriver effekten av forhåndsinnstilte tillatelsesgrupper og individuelle tillatelser for brukere i karantenemeldinger og i karantenevarsler.

Obs!

Som forklart tidligere er karantenevarsler aktivert bare i standardpolicyene som heter DefaultFullAccessWithNotificationPolicy eller (hvis organisasjonen er gammel nok) NotificationEnabledPolicy.

Forhåndsinnstilte tillatelsesgrupper

De individuelle tillatelsene som er inkludert i forhåndsinnstilte tillatelsesgrupper er beskrevet i anatomien til en karantenepolicyinndeling .

Ingen tilgang

Effekten av ingen tilgangstillatelser (administratortilgang) på brukerfunksjoner avhenger av statusen for karantenevarsler i karantenepolicyen:

  • Karantenevarsler slått av:

    • På karantenesiden: Meldinger i karantene er ikke synlige for brukere.
    • I karantenevarsler: Brukere mottar ikke karantenevarsler for meldingene.
  • Karantenevarsler aktivert:

    • På karantenesiden: Meldinger i karantene er synlige for brukere, men den eneste tilgjengelige handlingen er Vis meldingshoder.
    • I karantenevarsler: Brukere mottar karantenevarsler, men den eneste tilgjengelige handlingen er Gjennomgangsmelding.
Begrenset tilgang

Hvis karantenepolicyen tilordner begrensede tilgangstillatelser , får brukerne følgende funksjoner:

Full tilgang

Hvis karantenepolicyen tilordner tillatelser for full tilgang (alle tilgjengelige tillatelser), får brukerne følgende funksjoner:

  • På karantenesiden og i meldingsdetaljene i karantene: Følgende handlinger er tilgjengelige:

  • I karantenevarsler: Følgende handlinger er tilgjengelige:

    • Se gjennom melding
    • Utgivelse (forskjellen fra begrensede tilgangstillatelser )

Individuelle tillatelser

Tillat avsendertillatelse

Tillatelsen Tillat avsender (PermissionToAllowSender) gjør det mulig for brukere å legge til meldingsavsenderen i listen over klarerte avsendere i postboksen.

Hvis tillatelsen Tillat avsender er aktivert:

  • Tillat avsender er tilgjengelig på karantenesiden og i meldingsdetaljene i karantene.

Hvis tillatelsen Tillat avsender er deaktivert, kan ikke brukere tillate avsendere fra karantene (handlingen er ikke tilgjengelig).

Hvis du vil ha mer informasjon om listen over klarerte avsendere, kan du se Legge til mottakere av e-postmeldingene mine i listen over klarerte avsendere og bruke Exchange Online PowerShell til å konfigurere samlingen av klarerte lister i en postboks.

Blokker avsendertillatelse

Blokker avsendertillatelse (PermissionToBlockSender) gjør det mulig for brukere å legge til meldingsavsenderen i listen over blokkerte avsendere i postboksen.

Hvis Blokker avsendertillatelsen er aktivert:

Hvis Blokker avsendertillatelsen er deaktivert, kan ikke brukere blokkere avsendere fra karantene eller i karantenevarsler (handlingen er ikke tilgjengelig).

Hvis du vil ha mer informasjon om listen over blokkerte avsendere, kan du se Blokkere meldinger fra noen og bruke Exchange Online PowerShell til å konfigurere samlingen av klarerte lister i en postboks.

Tips

Organisasjonen kan fortsatt motta e-post fra den blokkerte avsenderen. Meldinger fra avsenderen leveres til brukerens søppelpostmapper eller til karantene avhengig av policyprioritet som beskrevet i brukertillatelser og -blokker. Hvis du vil slette meldinger fra avsenderen ved ankomst, kan du bruke regler for e-postflyt (også kalt transportregler) til å blokkere meldingen.

Slettingstillatelse

Slettetillatelsen (PermissionToDelete) gjør det mulig for brukere å slette sine egne meldinger fra karantene (meldinger der de er en mottaker).

Hvis Slett-tillatelsen er aktivert:

  • Sletting er tilgjengelig på karantenesiden og i meldingsdetaljene i karantene.
  • Ingen virkning i karantenevarsler. Det er ikke mulig å slette en melding i karantene fra karantenevarslingen.

Hvis Slett-tillatelsen er deaktivert, kan ikke brukere slette sine egne meldinger fra karantene (handlingen er ikke tilgjengelig).

Tips

Administratorer kan finne ut hvem som slettet en melding i karantene ved å søke i overvåkingsloggen for administratorer. Hvis du vil ha instruksjoner, kan du se Finn hvem som slettet en melding i karantene. Administratorer kan bruke meldingssporing til å finne ut hva som skjedde med en utgitt melding hvis den opprinnelige mottakeren ikke finner den.

Forhåndsvisningstillatelse

Forhåndsvisningstillatelsen (PermissionToPreview) gjør det mulig for brukere å forhåndsvise meldingene i karantene.

Hvis forhåndsvisningstillatelsen er aktivert:

  • Forhåndsvisningsmeldingen er tilgjengelig på karantenesiden og i meldingsdetaljene i karantene.
  • Ingen virkning i karantenevarsler. Det er ikke mulig å forhåndsvise en melding i karantene fra karantenevarslingen. Handlingen Se gjennom melding i karantene varsler tar brukerne til detaljer undermenyen av meldingen i karantene der de kan forhåndsvise meldingen.

Hvis forhåndsvisningstillatelsen er deaktivert, kan ikke brukere forhåndsvise sine egne meldinger i karantene (handlingen er ikke tilgjengelig).

Tillat mottakere å frigi en melding fra karantenetillatelse

Obs!

Som forklart tidligere, er ikke denne tillatelsen godkjent for meldinger som ble satt i karantene som skadelig programvare av policyer for beskyttelse mot skadelig programvare eller klarerte vedlegg, eller som phishing med høy konfidens av policyer for søppelpost. Hvis karantenepolicyen gir brukerne denne tillatelsen, har brukerne i stedet lov til å be om løslatelse av skadelig programvare i karantene eller phishing-meldinger med høy visshet.

Tillat mottakere å frigi en melding fra karantenetillatelse (PermissionToRelease) gjør det mulig for brukere å frigi sine egne meldinger i karantene uten administratorgodkjenning.

Hvis tillatelsen Tillat mottakere å frigi en melding fra karantene er aktivert:

  • Utgivelse er tilgjengelig på karantenesiden og i meldingsdetaljene i karantene.
  • Utgivelse er tilgjengelig i karantenevarsler.

Hvis tillat mottakere å frigi en melding fra karantenetillatelsen er deaktivert, kan ikke brukere frigi sine egne meldinger fra karantene eller i karantenevarsler (handlingen er ikke tilgjengelig).

Tillat mottakere å be om at en melding frigis fra karantenetillatelse

Tillat mottakere å be om at en melding frigis fra karantenetillatelse (PermissionToRequestRelease) gjør det mulig for brukere å be om frigivelse av sine karantenemeldinger. Meldinger utgis først etter at en administrator godkjenner forespørselen.

Hvis tillatelsen Tillat mottakere å be om at en melding frigis fra karantene , er aktivert:

  • Forespørsel om frigivelse er tilgjengelig på karantenesiden og i meldingsdetaljene i karantene.
  • Forespørsel om frigivelse er tilgjengelig i karantenevarsler.

Hvis tillat mottakere å be om at en melding frigis fra karantenetillatelse er deaktivert, kan ikke brukere be om å frigi sine egne meldinger fra karantene eller i karantenevarsler (handlingen er ikke tilgjengelig).