Veilige bijlagen in Microsoft Defender voor Office 365

Tip

Wist u dat u de functies in Microsoft 365 Defender gratis kunt proberen voor Office 365 Abonnement 2? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de proefversieshub van Microsoft 365 Defender portal. Meer informatie over wie zich hier kan registreren en proefabonnementen kan maken.

Van toepassing op

Veilige bijlagen in Microsoft Defender voor Office 365 biedt een extra beveiligingslaag voor e-mailbijlagen die al zijn gescand door antimalwarebeveiliging in Exchange Online Protection (EOP). Met name veilige bijlagen maken gebruik van een virtuele omgeving om bijlagen in e-mailberichten te controleren voordat ze worden bezorgd bij geadresseerden (een proces dat detonatie wordt genoemd).

Beveiliging van veilige bijlagen voor e-mailberichten wordt beheerd door beleid voor veilige bijlagen. Hoewel er geen standaardbeleid voor veilige bijlagen is, biedt het vooraf ingestelde beveiligingsbeleid voor ingebouwde beveiliging veilige bijlagen voor alle geadresseerden (gebruikers die niet zijn gedefinieerd in het standaard- of strikt vooraf ingestelde beveiligingsbeleid of in aangepaste beleidsregels voor veilige bijlagen). Zie Vooraf ingestelde beveiligingsbeleidsregels in EOP en Microsoft Defender voor Office 365 voor meer informatie. U kunt ook beleidsregels voor veilige bijlagen maken die van toepassing zijn op specifieke gebruikers, groepen of domeinen. Zie Beleid voor veilige bijlagen instellen in Microsoft Defender voor Office 365 voor instructies.

In de volgende tabel worden scenario's beschreven voor veilige bijlagen in Microsoft 365 en Office 365 organisaties die Microsoft Defender voor Office 365 bevatten (met andere woorden, het ontbreken van licenties is nooit een probleem in de voorbeelden).

Scenario Resultaat
Pat's Microsoft 365 E5 organisatie heeft geen beleid voor veilige bijlagen geconfigureerd. Pat wordt beveiligd door veilige bijlagen vanwege het vooraf ingestelde beveiligingsbeleid voor ingebouwde beveiliging dat van toepassing is op alle geadresseerden die niet anders zijn gedefinieerd in het beleid voor veilige bijlagen.
Lee's organisatie heeft een beleid voor veilige bijlagen dat alleen van toepassing is op financiƫle medewerkers. Lee is lid van de verkoopafdeling. Lee en de rest van de verkoopafdeling worden beveiligd door veilige bijlagen vanwege het vooraf ingestelde beveiligingsbeleid voor ingebouwde beveiliging dat van toepassing is op alle geadresseerden die niet anders zijn gedefinieerd in het beleid voor veilige bijlagen.
Gisteren heeft een beheerder in de organisatie van Jean een beleid voor veilige bijlagen gemaakt dat van toepassing is op alle werknemers. Eerder vandaag ontving Jean een e-mailbericht met een bijlage. Jean wordt beveiligd door veilige bijlagen vanwege dat aangepaste beleid voor veilige bijlagen.

Normaal gesproken duurt het ongeveer 30 minuten voordat een nieuw beleid van kracht wordt.
Chris's organisatie heeft een langlopend beleid voor veilige bijlagen voor iedereen in de organisatie. Chris ontvangt een e-mailbericht met een bijlage en stuurt het bericht vervolgens door naar externe geadresseerden. Chis wordt beveiligd door veilige bijlagen.

Als de externe geadresseerden zich in een Microsoft 365-organisatie bevinden, worden de doorgestuurde berichten ook beveiligd door veilige bijlagen.

Het scannen van veilige bijlagen vindt plaats in dezelfde regio waar uw Microsoft 365-gegevens zich bevinden. Zie Waar bevinden uw gegevens zich voor meer informatie over geografie van datacenters?

Notitie

De volgende functies bevinden zich in de algemene instellingen van het beleid voor veilige bijlagen in de Microsoft 365 Defender-portal. Deze instellingen zijn echter wereldwijd in- of uitgeschakeld en vereisen geen beleid voor veilige bijlagen:

Beleidsinstellingen voor veilige bijlagen

In deze sectie worden de instellingen in het beleid voor veilige bijlagen beschreven:

  • Ontvangersfilters: U moet de voorwaarden en uitzonderingen voor geadresseerden opgeven die bepalen op wie het beleid van toepassing is. U kunt deze eigenschappen gebruiken voor voorwaarden en uitzonderingen:

    • Gebruikers
    • Groepen
    • Domeinen

    U kunt een voorwaarde of uitzondering slechts eenmaal gebruiken, maar de voorwaarde of uitzondering kan meerdere waarden bevatten. Meerdere waarden van dezelfde voorwaarde of uitzondering: gebruik OF-logica (bijvoorbeeld: <recipient1> of <recipient2>). Verschillende voorwaarden of uitzonderingen: gebruik EN-logica (bijvoorbeeld: <recipient1> en <member of group 1>).

    Belangrijk

    Meerdere verschillende typen voorwaarden of uitzonderingen zijn niet additief, maar inclusief. Het beleid wordt alleen toegepast op geadresseerden die overeenkomen met alle opgegeven filters voor geadresseerden. U configureert bijvoorbeeld een filtervoorwaarde voor geadresseerden in het beleid met de volgende waarden:

    • Gebruikers: romain@contoso.com
    • Groepen: leidinggevenden

    Het beleid wordt alleen toegepast op romain@contoso.com als hij ook lid is van de groep Leidinggevenden. Als hij geen lid is van de groep, wordt het beleid niet op hem toegepast.

    Als u hetzelfde filter voor ontvangers gebruikt als een uitzondering op het beleid, wordt het beleid niet alleen toegepast op romain@contoso.com als hij ook lid is van de groep Leidinggevenden. Als hij geen lid is van de groep, is het beleid nog steeds van toepassing op hem.

  • Reactie op onbekende malware voor veilige bijlagen: met deze instelling bepaalt u de actie voor het scannen van malware voor veilige bijlagen in e-mailberichten. De beschikbare opties worden beschreven in de volgende tabel:

    Optie Effect Gebruik deze als u het volgende wilt doen:
    Uit Bijlagen worden niet gescand op malware door veilige bijlagen. Berichten worden nog steeds gescand op malware door antimalwarebeveiliging in EOP. Scannen uitschakelen voor geselecteerde geadresseerden.

    Voorkom onnodige vertragingen bij het routeren van interne e-mail.

    Deze optie wordt niet aanbevolen voor de meeste gebruikers. Gebruik deze optie alleen om het scannen van veilige bijlagen uit te schakelen voor geadresseerden die alleen berichten van vertrouwde afzenders ontvangen. ZAP plaatst geen berichten in quarantaine als Veilige bijlagen is uitgeschakeld en er geen malwaresignaal wordt ontvangen. Zie Zero-hour auto purge (Automatisch opschonen) voor meer informatie
    Monitor Bezorgt berichten met bijlagen en houdt vervolgens bij wat er gebeurt met gedetecteerde malware.

    De bezorging van veilige berichten kan worden vertraagd vanwege het scannen van veilige bijlagen.
    Kijk waar gedetecteerde malware in uw organisatie terechtkomt.
    Blokkeren Hiermee voorkomt u dat berichten met gedetecteerde malwarebijlagen worden bezorgd.

    Berichten worden in quarantaine geplaatst. Standaard kunnen alleen beheerders (niet gebruikers) de berichten controleren, vrijgeven of verwijderen.*

    Hiermee worden toekomstige exemplaren van de berichten en bijlagen automatisch geblokkeerd.

    De bezorging van veilige berichten kan worden vertraagd vanwege het scannen van veilige bijlagen.
    Beschermt uw organisatie tegen herhaalde aanvallen met dezelfde malware-bijlagen.

    Dit is de standaardwaarde en de aanbevolen waarde in standaard en strikt vooraf ingesteld beveiligingsbeleid.
    Vervangen Opmerking: deze actie wordt afgeschaft. Zie MC424901 voor meer informatie.

    Hiermee verwijdert u gedetecteerde malware-bijlagen.

    Hiermee worden geadresseerden informeert dat bijlagen zijn verwijderd.

    Berichten die schadelijke bijlagen bevatten, worden in quarantaine geplaatst. Standaard kunnen alleen beheerders (niet gebruikers) de berichten controleren, vrijgeven of verwijderen.*

    De bezorging van veilige berichten kan worden vertraagd vanwege het scannen van veilige bijlagen.
    Zichtbaarheid vergroten voor geadresseerden die bijlagen zijn verwijderd vanwege gedetecteerde malware.
    Dynamische levering Bezorgt berichten onmiddellijk, maar vervangt bijlagen door tijdelijke aanduidingen totdat het scannen van veilige bijlagen is voltooid.

    Berichten die schadelijke bijlagen bevatten, worden in quarantaine geplaatst. Standaard kunnen alleen beheerders (niet gebruikers) de berichten controleren, vrijgeven of verwijderen.*

    Zie de sectie Dynamisch bezorgen in beleid voor veilige bijlagen verderop in dit artikel voor meer informatie.
    Vermijd berichtvertragingen tijdens het beveiligen van geadresseerden tegen schadelijke bestanden.

    *Quarantainebeleid: beheerders kunnen quarantainebeleid maken en toewijzen in beleid voor veilige bijlagen waarmee wordt gedefinieerd wat gebruikers mogen doen met berichten in quarantaine. Zie Quarantainebeleid voor meer informatie.

  • Berichten met gedetecteerde bijlagen omleiden: Schakel omleiding en berichten verzenden in die geblokkeerde, bewaakte of vervangen bijlagen bevatten naar het opgegeven e-mailadres: Voor acties Blokkeren, Controleren of Vervangen verzendt u berichten die malwarebijlagen bevatten naar het opgegeven interne of externe e-mailadres voor analyse en onderzoek.

    De aanbeveling voor standaard- en strikte beleidsinstellingen is omleiding in te schakelen. Zie de instellingen voor veilige bijlagen voor meer informatie.

    Notitie

    Omleiding is binnenkort alleen beschikbaar voor de actie Controleren . Zie MC424899 voor meer informatie.

  • Pas het detectie-antwoord voor veilige bijlagen toe als het scannen niet kan worden voltooid (time-out of fouten): de actie die is opgegeven door onbekende malware-respons voor veilige bijlagen wordt uitgevoerd op berichten, zelfs wanneer het scannen van veilige bijlagen niet kan worden voltooid. Selecteer deze optie altijd als u Omleiding inschakelen selecteert. Anders kunnen berichten verloren gaan.

  • Prioriteit: Als u meerdere beleidsregels maakt, kunt u de volgorde opgeven waarin ze worden toegepast. Twee beleidsregels kunnen niet dezelfde prioriteit hebben en de verwerking van het beleid stopt nadat het eerste beleid is toegepast.

    Voor meer informatie over de prioriteitvolgorde en het evalueren en toepassen van een beleid, raadpleegt u volgorde en prioriteit van e-mailbeveiliging.

Beleid voor dynamische bezorging in veilige bijlagen

Notitie

Dynamische bezorging werkt alleen voor Exchange Online postvakken.

Met de actie Dynamische bezorging in het beleid voor veilige bijlagen worden vertragingen in e-mailbezorging voorkomen die kunnen worden veroorzaakt door het scannen van veilige bijlagen. De hoofdtekst van het e-mailbericht wordt aan de geadresseerde bezorgd met een tijdelijke aanduiding voor elke bijlage. De tijdelijke aanduiding blijft bestaan totdat de bijlage veilig is en de bijlage vervolgens beschikbaar is om te openen of te downloaden.

Als een bijlage schadelijk blijkt te zijn, wordt het bericht in quarantaine geplaatst.

De meeste PDF-bestanden en Office-documenten kunnen in de veilige modus worden bekeken terwijl er wordt gescand op veilige bijlagen. Als een bijlage niet compatibel is met de preview-versie van dynamische bezorging, zien de geadresseerden een tijdelijke aanduiding voor de bijlage totdat het scannen van veilige bijlagen is voltooid.

Als u een mobiel apparaat gebruikt en PDF-bestanden niet worden weergegeven in de preview-versie van dynamische bezorging op uw mobiele apparaat, opent u het bericht in webversie van Outlook (voorheen bekend als Outlook Web App) met uw mobiele browser.

Hier zijn enkele overwegingen voor dynamische bezorging en doorgestuurde berichten:

  • Als de doorgestuurde geadresseerde wordt beveiligd door een beleid voor veilige bijlagen dat gebruikmaakt van de optie Dynamische bezorging, ziet de ontvanger de tijdelijke aanduiding, met de mogelijkheid om een voorbeeld van compatibele bestanden te bekijken.
  • Als de doorgestuurde geadresseerde niet wordt beveiligd door een beleid voor veilige bijlagen, worden het bericht en de bijlagen geleverd zonder dat er veilige bijlagen of tijdelijke aanduidingen voor bijlagen hoeven te worden gescand.

Er zijn scenario's waarin dynamische bezorging bijlagen in berichten niet kan vervangen. Deze scenario's zijn onder andere:

  • Berichten in openbare mappen.
  • Berichten die met behulp van aangepaste regels naar het postvak van een gebruiker worden doorgestuurd.
  • Berichten die (automatisch of handmatig) uit postvakken in de cloud worden verplaatst naar andere locaties, waaronder archiefmappen.
  • Regels voor Postvak IN verplaatsen het bericht uit het Postvak IN naar een andere map.
  • Verwijderde berichten.
  • De zoekmap van het postvak van de gebruiker heeft een foutstatus.
  • Exchange Online organisaties waarvoor Exclaimer is ingeschakeld. Zie KB4014438 om dit probleem op te lossen.
  • S/MIME) versleutelde berichten.
  • U hebt de actie Dynamische bezorging geconfigureerd in een beleid voor veilige bijlagen, maar de ontvanger biedt geen ondersteuning voor dynamische bezorging (de geadresseerde is bijvoorbeeld een postvak in een on-premises Exchange-organisatie). Veilige koppelingen in Microsoft Defender voor Office 365 kunnen echter Office-bestandsbijlagen scannen die URL's bevatten (als het scannen van veilige koppelingen van ondersteunings-Office-apps is ingeschakeld in het toepasselijke beleid voor veilige koppelingen).

Bestanden indienen voor analyse van malware