Share via


E-mailberichten in quarantaine in EOP en Defender voor Office 365

Tip

Wist u dat u de functies in Microsoft Defender XDR gratis kunt uitproberen voor Office 365 Abonnement 2? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft Defender portal. Meer informatie over wie zich kan registreren en proefabonnementen kan uitvoeren op Try Microsoft Defender voor Office 365.

In Microsoft 365-organisaties met postvakken in Exchange Online of zelfstandige Exchange Online Protection -organisaties (EOP) zonder Exchange Online postvakken, is quarantaine beschikbaar voor het opslaan van mogelijk gevaarlijke of ongewenste berichten.

Opmerking

In Microsoft 365 beheerd door 21Vianet is quarantaine momenteel niet beschikbaar in de Microsoft Defender portal. Quarantaine is alleen beschikbaar in het klassieke Exchange-beheercentrum (klassieke EAC).

Of een gedetecteerd bericht standaard in quarantaine wordt geplaatst, is afhankelijk van de volgende factoren:

* Malwarefilters worden overgeslagen op SecOps-postvakken die zijn geïdentificeerd in het geavanceerde leveringsbeleid. Zie Het geavanceerde leveringsbeleid configureren voor phishingsimulaties van derden en e-mailbezorging naar SecOps-postvakken voor meer informatie.

De standaardacties voor beveiligingsfuncties in EOP en Defender voor Office 365, inclusief vooraf ingesteld beveiligingsbeleid, worden beschreven in de functietabellen in Aanbevolen instellingen voor EOP en Microsoft Defender voor Office 365 beveiliging.

Voor antispam- en antiphishingbeveiliging kunnen beheerders ook het standaardbeleid wijzigen of aangepaste beleidsregels maken om berichten in quarantaine te plaatsen in plaats van ze te bezorgen in de map Ongewenste Email. Zie de volgende artikelen voor instructies:

Aan het beveiligingsbeleid voor ondersteunde functies zijn een of meer quarantainebeleidsregels toegewezen (elke actie binnen het beveiligingsbeleid heeft een toewijzing van quarantainebeleid).

Tip

Alle acties die door beheerders of gebruikers op in quarantaine geplaatste berichten worden uitgevoerd, worden gecontroleerd. Zie Quarantaineschema in de Office 365 Management-API voor meer informatie over gecontroleerde quarantainegebeurtenissen.

Quarantainebeleidsregels

Quarantainebeleid definieert wat gebruikers wel of niet kunnen doen met berichten in quarantaine en of gebruikers quarantainemeldingen voor die berichten ontvangen. Zie Anatomie van een quarantainebeleid voor meer informatie.

Het standaardquarantainebeleid dat is toegewezen aan beveiligingsfuncties, dwingt de historische mogelijkheden af die gebruikers krijgen voor hun in quarantaine geplaatste berichten (berichten waarin ze een ontvanger zijn). Zie de tabel in Berichten in quarantaine zoeken en vrijgeven als gebruiker in EOP voor meer informatie. Alleen beheerders kunnen bijvoorbeeld werken met berichten die in quarantaine zijn geplaatst als malware of phishing met hoge betrouwbaarheid. Standaard kunnen gebruikers werken met hun berichten die in quarantaine zijn geplaatst als spam, bulk, phishing, spoof, gebruikersimitatie, domeinimitatie of postvakintelligentie.

Beheerders kunnen aangepast quarantainebeleid maken en toepassen dat minder beperkende of meer beperkende mogelijkheden voor gebruikers definieert, en ook quarantainemeldingen inschakelen. Zie Quarantainebeleid maken voor meer informatie.

Opmerking

Gebruikers kunnen hun eigen berichten die in quarantaine zijn geplaatst als malware niet vrijgeven door antimalware- of safe attachments-beleid, of phishing met hoge betrouwbaarheid door antispambeleid, ongeacht hoe het quarantainebeleid is geconfigureerd. Als het beleid toestaat dat gebruikers hun eigen berichten in quarantaine vrijgeven, mogen gebruikers in plaats daarvan de release van hun in quarantaine geplaatste malware of phishingberichten met hoge betrouwbaarheid aanvragen .

Zowel gebruikers als beheerders kunnen werken met berichten in quarantaine:

Retentie in quarantaine

Hoe lang berichten of bestanden in quarantaine worden bewaard voordat ze verlopen, is afhankelijk van waarom het bericht of bestand in quarantaine is geplaatst. Functies en de bijbehorende bewaarperioden worden beschreven in de volgende tabel:

Reden van quarantaine Standaardretentieperiode Aanpasbare? Opmerkingen
Berichten die door antispambeleid in quarantaine worden geplaatst als spam, spam met hoge betrouwbaarheid, phishing, phishing of bulksgewijs. 15 dagen
  • In het standaard antispambeleid.
  • In antispambeleidsregels dat u maakt in PowerShell.

30 dagen
Ja* U kunt de waarde van 1 tot 30 dagen configureren in het standaard antispambeleid en in aangepast antispambeleid. Zie de instelling Spam in quarantaine houden voor dit aantal dagen (QuarantineRetentionPeriod) in Antispambeleid configureren voor meer informatie.

*U kunt de waarde niet wijzigen in het standaard- of strikt vooraf ingestelde beveiligingsbeleid.
Berichten die in quarantaine zijn geplaatst door antiphishingbeleid:
  • EOP: Spoof intelligence.
  • Defender voor Office 365: Beveiliging tegen gebruikersimitatie, beveiliging tegen domeinimitatie en beveiliging van postvakinformatie.
15 dagen of 30 dagen Ja* Deze bewaarperiode wordt ook bepaald door de instelling Spam in quarantaine houden voor dit aantal dagen (QuarantineRetentionPeriod) in antispambeleid . De gebruikte bewaarperiode is de waarde van het eerste overeenkomende antispambeleid waarin de ontvanger is gedefinieerd.
Berichten die in quarantaine zijn geplaatst op antimalwarebeleid (malwareberichten). 30 dagen Nee Als u het algemene bijlagenfilter inschakelt in antimalwarebeleidsregels (in het standaardbeleid of in aangepaste beleidsregels), worden bestandsbijlagen in e-mailberichten naar de betrokken geadresseerden als malware behandeld op basis van de bestandsextensie met behulp van true type matching. Standaard wordt een vooraf gedefinieerde lijst met voornamelijk uitvoerbare bestandstypen gebruikt, maar u kunt de lijst aanpassen. Zie Algemene bijlagen filteren in antimalwarebeleid voor meer informatie.
Berichten die in quarantaine zijn geplaatst op basis van regels voor e-mailstromen, waarbij de actie Het bericht bezorgen aan de gehoste quarantaine (Quarantaine) is. 30 dagen Nee
Berichten die in quarantaine zijn geplaatst door het beleid voor veilige bijlagen in Defender voor Office 365 (malwareberichten). 30 dagen Nee
Bestanden in quarantaine geplaatst door veilige bijlagen voor SharePoint, OneDrive en Microsoft Teams (malwarebestanden). 30 dagen Nee Bestanden die in quarantaine zijn geplaatst in SharePoint of OneDrive, worden na 30 dagen uit quarantaine verwijderd, maar de geblokkeerde bestanden blijven in SharePoint of OneDrive geblokkeerd.
Berichten in chats en kanalen die in quarantaine zijn geplaatst door zero-hour auto protection (ZAP) voor Microsoft Teams in Defender voor Office 365 30 dagen Nee

Wanneer een bericht uit quarantaine verloopt, kunt u het niet herstellen.

Zie Veelgestelde vragen over quarantaine voor meer informatie over quarantaine.