Klarerte vedlegg i Microsoft Defender for Office 365

Tips

Visste du at du kan prøve funksjonene i Microsoft Defender XDR for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Finn ut mer om hvem som kan registrere seg og vilkår for prøveversjonen her.

Klarerte vedlegg i Microsoft Defender for Office 365 gir et ekstra lag med beskyttelse for e-postvedlegg som allerede er skannet av beskyttelse mot skadelig programvare i Exchange Online Protection (EOP). Nærmere bestemt bruker Klarerte vedlegg et virtuelt miljø til å kontrollere vedlegg i e-postmeldinger før de leveres til mottakere (en prosess kjent som nøytralisering).

Beskyttelse av Klarerte vedlegg for e-postmeldinger kontrolleres av policyer for Klarerte vedlegg. Selv om det ikke finnes noen standard policy for klarerte vedlegg, gir den innebygde sikkerhetspolicyen for forhåndsinnstilt beskyttelse av klarerte vedlegg beskyttelse til alle mottakere (brukere som ikke er definert i standard- eller strenge forhåndsinnstilte sikkerhetspolicyer eller i egendefinerte policyer for klarerte vedlegg). Hvis du vil ha mer informasjon, kan du se Forhåndsinnstilte sikkerhetspolicyer i EOP og Microsoft Defender for Office 365. Du kan også opprette policyer for Klarerte vedlegg som gjelder for bestemte brukere, grupper eller domener. Hvis du vil ha instruksjoner, kan du se Konfigurere policyer for Klarerte vedlegg i Microsoft Defender for Office 365.

Tabellen nedenfor beskriver scenarioer for Klarerte vedlegg i Microsoft 365 og Office 365-organisasjoner som inkluderer Microsoft Defender for Office 365 (med andre ord er mangel på lisensiering aldri et problem i eksemplene).

Scenario Resultat
Pat sin Microsoft 365 E5-organisasjon har ingen klarerte vedleggspolicyer konfigurert. Klapp er beskyttet av klarerte vedlegg på grunn av den innebygde sikkerhetspolicyen for beskyttelse som gjelder for alle mottakere som ellers ikke er definert i policyer for klarerte vedlegg.
Lee sin organisasjon har en policy for Klarerte vedlegg som bare gjelder for finansansatte. Lee er medlem av salgsavdelingen. Lee og resten av salgsavdelingen er beskyttet av klarerte vedlegg på grunn av den innebygde sikkerhetspolicyen for forhåndsinnstilt beskyttelse som gjelder for alle mottakere som ellers ikke er definert i policyer for klarerte vedlegg.
I går opprettet en administrator i Jean sin organisasjon en policy for Klarerte vedlegg som gjelder for alle ansatte. Tidligere i dag mottok Jane en e-postmelding som inkluderte et vedlegg. Jean er beskyttet av Klarerte vedlegg på grunn av denne egendefinerte policyen for Klarerte vedlegg.

Vanligvis tar det omtrent 30 minutter før en ny policy trer i kraft.
Chris sin organisasjon har langvarige policyer for Klarerte vedlegg for alle i organisasjonen. Chris mottar en e-postmelding som har et vedlegg, og videresender deretter meldingen til eksterne mottakere. Chris er beskyttet av klarerte vedlegg.

Hvis de eksterne mottakerne tilhører en Microsoft 365-organisasjon, beskyttes også de videresendte meldingene av Klarerte vedlegg.

Skanning av Klarerte vedlegg finner sted i samme område der Microsoft 365 dataene befinner seg. Hvis du vil ha mer informasjon om datasentergeografi, kan du se Hvor er dataene dine plassert?

Obs!

Følgende funksjoner er plassert i de globale innstillingene for policyer for klarerte vedlegg i Microsoft Defender-portalen. Men disse innstillingene er aktivert eller deaktivert globalt, og krever ikke policyer for Klarerte vedlegg:

Policyinnstillinger for Klarerte vedlegg

Denne delen beskriver innstillingene i policyer for Klarerte vedlegg:

  • Mottakerfiltre: Betingelser og unntak for å identifisere de interne mottakerne som policyen gjelder for. Minst én betingelse er nødvendig. Du kan bruke følgende mottakerfiltre for betingelser og unntak:

    • Brukere: Én eller flere postbokser, e-postbrukere eller e-postkontakter i organisasjonen.
    • Grupper:
      • Medlemmer av de angitte distribusjonsgruppene eller e-postaktiverte sikkerhetsgruppene (dynamiske distribusjonsgrupper støttes ikke).
      • Den angitte Microsoft 365 Groups.
    • Domener: Ett eller flere av de konfigurerte godtatte domenene i Microsoft 365. Mottakerens primære e-postadresse er i det angitte domenet.

    Du kan bare bruke en betingelse eller et unntak én gang, men betingelsen eller unntaket kan inneholde flere verdier:

    • Flere verdier av samme betingelse eller unntak bruker ELLER logikk (for eksempel <mottaker1> eller <mottaker2>):

      • Betingelser: Hvis mottakeren samsvarer med noen av de angitte verdiene, brukes policyen på dem.
      • Unntak: Hvis mottakeren samsvarer med noen av de angitte verdiene, brukes ikke policyen for dem.

    • Ulike typer unntak bruker OR-logikk (for eksempel <mottaker1> eller <medlem av gruppe1> eller <medlem av domene1>). Hvis mottakeren samsvarer med noen av de angitte unntaksverdiene, brukes ikke policyen på dem.

    • Ulike typer betingelser bruker AND-logikk. Mottakeren må samsvare med alle de angitte betingelsene for at policyen skal gjelde for dem. Du kan for eksempel konfigurere en betingelse med følgende verdier:

    • Brukere: romain@contoso.com

    • Grupper: Ledere

      Policyen gjelder romain@contoso.combare for hvis han også er medlem av Leder-gruppen. Ellers er politikken ikke brukt på ham.

  • Klarerte vedlegg respons på ukjent skadelig programvare: Denne innstillingen styrer handlingen for skanning av skadelig programvare for Klarerte vedlegg i e-postmeldinger. De tilgjengelige alternativene er beskrevet i følgende tabell:

    Alternativ Effekt Brukes når du vil:
    Av Vedlegg skannes ikke for skadelig programvare av Klarerte vedlegg. Meldinger skannes fortsatt etter skadelig programvare avbeskyttelse mot skadelig programvare i EOP. Deaktiver skanning for valgte mottakere.

    Forhindre unødvendige forsinkelser i ruting av intern e-post.

    Dette alternativet anbefales ikke for de fleste brukere. Du bør bare bruke dette alternativet til å deaktivere skanning av klarerte vedlegg for mottakere som bare mottar meldinger fra klarerte avsendere. ZAP setter ikke meldinger i karantene hvis klarerte vedlegg er slått av og et signal om skadelig programvare ikke mottas. Hvis du vil ha mer informasjon, kan du se Nulltimers automatisk tømming
    Skjerm Leverer meldinger med vedlegg og spor deretter hva som skjer med oppdaget skadelig programvare.

    Levering av sikre meldinger kan bli forsinket på grunn av skanning av Klarerte vedlegg.    		 Se hvor oppdaget skadelig programvare befinner seg i organisasjonen.
    Blokker Hindrer at meldinger med oppdagede vedlegg med skadelig programvare leveres.

    Meldinger er i karantene. Som standard er det bare administratorer (ikke brukere) som kan se gjennom, frigi eller slette meldingene.¹

    Blokkerer automatisk fremtidige forekomster av meldinger og vedlegg.

    Levering av sikre meldinger kan bli forsinket på grunn av skanning av Klarerte vedlegg.    		 Beskytter organisasjonen mot gjentatte angrep ved hjelp av de samme vedleggene med skadelig programvare.

    Dette er standardverdien, og den anbefalte verdien i Standard og Streng forhåndsinnstilte sikkerhetspolicyer.
    Dynamisk levering Leverer meldinger umiddelbart, men erstatter vedlegg med plassholdere til skanningen av Klarerte vedlegg er fullført.

    Meldinger som inneholder skadelige vedlegg, settes i karantene. Som standard er det bare administratorer (ikke brukere) som kan se gjennom, frigi eller slette meldingene.¹

    Hvis du vil ha mer informasjon, kan du se delen Dynamisk levering i policyer for Klarerte vedlegg senere i denne artikkelen.    		 Unngå meldingsforsinkelser mens du beskytter mottakere mot skadelige filer.

    ¹ Karantenepolicyer definerer hva brukere kan gjøre med karantenemeldinger, og om brukere mottar karantenevarsler. Hvis du vil ha mer informasjon, kan du se Anatomi for en karantenepolicy. Brukere kan ikke frigi sine egne meldinger som ble satt i karantene som skadelig programvare av klarerte vedlegg, uavhengig av hvordan karantenepolicyen er konfigurert. Hvis policyen tillater brukere å frigi sine egne meldinger i karantene, har brukerne i stedet lov til å be om utgivelsen av sine meldinger om skadelig programvare som er satt i karantene.

  • Omadresser meldinger med oppdagede vedlegg: Aktiver omdirigering og Send meldinger som inneholder overvåkede vedlegg til den angitte e-postadressen: Send meldinger som inneholder vedlegg til skadelig programvare til den angitte interne eller eksterne e-postadressen for analyse og undersøkelse, for overvåkingshandlingen.

    Anbefalingen for standardinnstillinger og strenge policyinnstillinger er å aktivere omadressering. Hvis du vil ha mer informasjon, kan du se innstillinger for Klarerte vedlegg.

  • Prioritet: Hvis du oppretter flere policyer, kan du angi rekkefølgen de skal brukes i. Ingen policyer kan ha samme prioritet, og policybehandlingen stopper etter at den første policyen er brukt (policyen med høyest prioritet for denne mottakeren).

    Hvis du vil ha mer informasjon om prioritetsrekkefølgen og hvordan flere policyer evalueres og brukes, kan du se Rekkefølge og prioritet for e-postbeskyttelse.

Dynamisk levering i policyer for Klarerte vedlegg

Obs!

Dynamisk levering fungerer bare for Exchange Online-postbokser.

Dynamisk levering-handlingen i policyer for Klarerte vedlegg forsøker å eliminere eventuelle forsinkelser for levering av e-post som kan skyldes skanning av Klarerte vedlegg. Brødteksten i e-postmeldingen leveres til mottakeren med en plassholder for hvert vedlegg. Plassholderen forblir til vedlegget er klarert, og deretter blir vedlegget tilgjengelig for åpning eller nedlasting.

Hvis et vedlegg er skadelig, settes meldingen i karantene.

De fleste PDF-filer og Office-dokumenter kan forhåndsvises i sikkermodus mens skanning av Klarerte vedlegg pågår. Hvis et vedlegg ikke er kompatibelt med forhåndsvisningsprogrammet for dynamisk levering, vil mottakerne se en plassholder for vedlegget til skanningen av Klarerte vedlegg er fullført.

Hvis du bruker en mobil enhet, og PDF-filer ikke gjengis i forhåndsvisningsprogrammet for dynamisk levering på den mobile enheten, kan du prøve å åpne meldingen i Outlook på nettet (tidligere kjent som Outlook Web App) ved hjelp av mobilnettleseren.

Her er noen vurderinger for dynamisk levering og videresendte meldinger:

  • Hvis den videresendte mottakeren er beskyttet av en policy for Klarerte vedlegg som bruker alternativet dynamisk levering, ser mottakeren plassholderen, med muligheten til å forhåndsvise kompatible filer.
  • Hvis den videresendte mottakeren ikke er beskyttet av en policy for Klarerte vedlegg leveres meldingen og vedleggene uten at det skannes eller plassholdere for Klarerte vedlegg.

Det finnes scenarioer der dynamisk levering ikke kan erstatte vedlegg i meldinger. Disse scenariene er:

  • Meldinger i fellesmapper.
  • Meldinger som rutes ut av og deretter tilbake til en brukers postboks ved hjelp av egendefinerte regler.
  • Meldinger som flyttes (automatisk eller manuelt) ut av postbokser i skyen til andre plasseringer, inkludert arkivmapper.
  • Innboksregler flytter meldingen ut av innboksen til en annen mappe.
  • Slettede meldinger.
  • Brukerens postbokssøkemappe er i en feiltilstand.
  • Exchange Online-organisasjoner der Exclaimer er aktivert. Hvis du vil løse dette problemet, kan du se KB4014438.
  • S/MIME) krypterte meldinger.
  • Du har konfigurert handlingen Dynamisk levering i en policy for Klarerte vedlegg, men mottakeren støtter ikke dynamisk levering (mottakeren er for eksempel en postboks i en lokal Exchange-organisasjon). Klarerte koblinger i Microsoft Defender for Office 365 kan imidlertid skanne Office-filvedlegg som inneholder nettadresser (hvis skanning av Klarerte koblinger for støtte for Office-apper er aktivert i gjeldende policy for Klarerte koblinger).

Sende inn filer for analyse av skadelig programvare