E-postmeldinger satt i karantene i EOP og Defender for Office 365

• Gjelder for:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tips

Visste du at du kan prøve funksjonene i Microsoft Defender XDR for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Finn ut mer om hvem som kan registrere seg og vilkår for prøveversjonen her.

I Microsoft 365-organisasjoner med postbokser i Exchange Online eller frittstående Exchange Online Protection (EOP)-organisasjoner uten Exchange Online postbokser, er karantene tilgjengelig for potensielt farlige eller uønskede meldinger.

Obs!

I Microsoft 365 drevet av 21Vianet er ikke karantene for øyeblikket tilgjengelig i Microsoft Defender-portalen. Karantene er bare tilgjengelig i det klassiske administrasjonssenteret for Exchange (klassisk EAC).

Hvorvidt en oppdaget melding er satt i karantene som standard, avhenger av følgende faktorer:

• Beskyttelsesfunksjonen som oppdaget meldingen. Følgende oppdagelser er for eksempel alltid i karantene:
  • Gjenkjenning av skadelig programvare etter policyer for skadelig programvare og policyer for klarerte vedlegg, inkludert innebygd beskyttelse for klarerte^* vedlegg.
  • Phishing-gjenkjenninger med høy visshet etter policyer for søppelpost.
• Enten du bruker standard- og/eller strenge forhåndsinnstilte sikkerhetspolicyer. Den strenge profilen setter flere typer gjenkjenninger i karantene enn standardprofilen.

^* Filtrering av skadelig programvare hoppes over i SecOps-postbokser som identifiseres i den avanserte leveringspolicyen. Hvis du vil ha mer informasjon, kan du se Konfigurere den avanserte leveringspolicyen for tredjeparts phishing-simuleringer og e-postlevering til SecOps-postbokser.

Standardhandlingene for beskyttelsesfunksjoner i EOP og Defender for Office 365, inkludert forhåndsinnstilte sikkerhetspolicyer, er beskrevet i funksjonstabellene i Anbefalte innstillinger for EOP og Microsoft Defender for Office 365 sikkerhet.

For beskyttelse mot søppelpost og beskyttelse mot phishing kan administratorer også endre standardpolicyen eller opprette egendefinerte policyer for å sette meldinger i karantene i stedet for å levere dem til Søppelpost-mappen. Hvis du vil ha instruksjoner, kan du se følgende artikler:

• Konfigurer policyer for søppelpost i EOP
• Konfigurer policyer for anti-phishing i EOP
• Konfigurer policyer for anti-phishing i Microsoft Defender for Office 365

Beskyttelsespolicyene for støttede funksjoner har én eller flere tilordnede karantenepolicyer (hver handling i beskyttelsespolicyen har en tilknyttet karantenepolicytilordning).

Tips

Alle handlinger som utføres av administratorer eller brukere i karantenemeldinger, overvåkes. Hvis du vil ha mer informasjon om overvåkede karantenehendelser, kan du se Karanteneskjema i API-en for Office 365 Management.

Karantenepolicyer

Karantenepolicyer definerer hva brukere kan gjøre eller ikke gjør med meldinger som er satt i karantene, og om brukere mottar karantenevarsler for disse meldingene. Hvis du vil ha mer informasjon, kan du se Anatomi for en karantenepolicy.

Tips

Du kan opprette tilpassede karantenevarsler for forskjellige språk. Du kan også bruke en egendefinert logo i karantenevarsler.

Standard karantenepolicyer som er tilordnet til beskyttelsesfunksjonsvurderinger, håndhever de historiske egenskapene som brukerne får for sine karantenemeldinger (meldinger der de er en mottaker). Hvis du vil ha mer informasjon, kan du se tabellen i Finn og frigi meldinger som er satt i karantene som en bruker i EOP. Det er for eksempel bare administratorer som kan arbeide med meldinger som ble satt i karantene som skadelig programvare eller phishing med høy visshet. Brukere kan som standard arbeide med meldinger som ble satt i karantene som søppelpost, masseutsendelse, phishing, forfalskning, brukerrepresentasjon, domenerepresentasjon eller postboksintelligens.

Administratorer kan opprette og bruke egendefinerte karantenepolicyer som definerer mindre restriktive eller mer restriktive funksjoner for brukere, og også aktivere karantenevarsler. Hvis du vil ha mer informasjon, kan du se Opprett karantenepolicyer.

Obs!

Brukere kan ikke frigi sine egne meldinger som ble satt i karantene som skadelig programvare av policyer for beskyttelse mot skadelig programvare eller klarerte vedlegg, eller som phishing med høy konfidens av policyer for søppelpost, uavhengig av hvordan karantenepolicyen er konfigurert. Hvis policyen tillater brukere å frigi sine egne meldinger i karantene, har brukerne i stedet lov til å be om utgivelsen av skadelig programvare som er satt i karantene eller phishing-meldinger med høy visshet.

Både brukere og administratorer kan arbeide med meldinger i karantene:

• Administratorer kan arbeide med alle typer meldinger i karantene for alle brukere, inkludert meldinger som ble satt i karantene som skadelig programvare, phishing med høy visshet eller som følge av regler for e-postflyt (også kjent som transportregler). For mer informasjon kan du se Administrere meldinger og filer i karantene som administrator i EOP.

  Tips

  Hvis du vil ha tillatelsene som kreves for å laste ned og frigi meldinger fra karantene, kan du se tillatelsesoppføringen her.

• Brukere kan arbeide med sine karantenemeldinger basert på beskyttelsesfunksjonen som satte meldingen i karantene, og innstillingen i tilsvarende karantenepolicy. Hvis du vil ha mer informasjon, kan du se Finne og frigi meldinger i karantene som en bruker i EOP.

• Administratorer kan rapportere falske positiver til Microsoft fra karantene. Hvis du vil ha mer informasjon, kan du se Ta affære på e-post som er satt i karantene og iverksette tiltak mot filer som er satt i karantene.

• Brukere kan også rapportere falske positiver til Microsoft fra karantene, avhengig av verdien av innstillingen Rapportering fra karantene i brukerrapporterte innstillinger.

Oppbevaring i karantene

Hvor lenge meldinger eller filer i karantene holdes i karantene før de utløper, avhenger av hvorfor meldingen eller filen ble satt i karantene. Funksjoner og tilhørende oppbevaringsperioder er beskrevet i tabellen nedenfor:

Årsak til karantene	Standard oppbevaringsperiode	Tilpasses?	Kommentarer
Meldinger som er satt i karantene av søppelpostpolicyer som søppelpost, søppelpost med høy visshet, phishing med høy visshet eller masseforsøk.	15 dager I standard policy for søppelpost. I søppelpostpolicyer som du oppretter i PowerShell. 30 dager I søppelpostpolicyer som du oppretter i Microsoft Defender-portalen. I standard og strenge forhåndsinnstilte sikkerhetspolicyer	Ja*	Du kan konfigurere verdien fra 1 til 30 dager i standard policy for søppelpost og i egendefinerte policyer for søppelpost. Hvis du vil ha mer informasjon, kan du se innstillingen Behold søppelpost i karantene for dette antallet dager (QuarantineRetentionPeriod) i Konfigurer policyer for søppelpost. *Du kan ikke endre verdien i standard- eller strenge forhåndsinnstilte sikkerhetspolicyer.
Meldinger som er satt i karantene av policyer for anti-phishing: Forfalskningsintelligens. Defender for Office 365: Beskyttelse mot brukerrepresentasjon, beskyttelse av domenerepresentasjon og beskyttelse mot postboksintelligens.	15 dager eller 30 dager	Ja*	Denne oppbevaringsperioden kontrolleres også av innstillingen Behold søppelpost i karantene for dette antallet dager (QuarantineRetentionPeriod) i policyer for søppelpost . Oppbevaringsperioden som brukes, er verdien fra den første samsvarende søppelpostpolicyen som mottakeren er definert i.
Meldinger som er satt i karantene av policyer for skadelig programvare (meldinger om skadelig programvare).	30 dager	Nei	Hvis du aktiverer det vanlige vedleggsfilteret i policyer for skadelig programvare (i standardpolicyen eller i egendefinerte policyer), behandles filvedlegg i e-postmeldinger til de berørte mottakerne som skadelig programvare basert utelukkende på filtypen ved hjelp av sann typesamsvar. En forhåndsdefinert liste over filtyper som hovedsakelig kan kjøres, brukes som standard, men du kan tilpasse listen. Hvis du vil ha mer informasjon, kan du se Vanlige vedlegg-filter i policyer for skadelig programvare.
Meldinger som er satt i karantene av e-postflytregler der handlingen er Lever meldingen til den vertsbaserte karantene (karantene).	30 dager	Nei
Meldinger som er satt i karantene av policyer for klarerte vedlegg i Defender for Office 365 (meldinger om skadelig programvare).	30 dager	Nei
Filer som er satt i karantene av klarerte vedlegg for SharePoint, OneDrive og Microsoft Teams (filer med skadelig programvare).	30 dager	Nei	Filer som er satt i karantene i SharePoint eller OneDrive, fjernes fra karantene etter 30 dager, men de blokkerte filene forblir i SharePoint eller OneDrive i blokkert tilstand.
Meldinger i chatter og kanaler som er satt i karantene av nulltimers automatisk beskyttelse (ZAP) for Microsoft Teams i Defender for Office 365	30 dager	Nei

Når en melding utløper fra karantene, kan du ikke gjenopprette den.

Hvis du vil ha mer informasjon om karantene, kan du se Vanlige spørsmål om karantene.