Bezpieczne załączniki w Ochrona usługi Office 365 w usłudze Microsoft Defender

• Dotyczy:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w Microsoft Defender XDR Office 365 planie 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami dotyczącymi wersji próbnej tutaj.

Bezpieczne załączniki w Ochrona usługi Office 365 w usłudze Microsoft Defender zapewniają dodatkową warstwę ochrony załączników wiadomości e-mail, które zostały już przeskanowane za pomocą ochrony przed złośliwym oprogramowaniem w Exchange Online Protection (EOP). W szczególności bezpieczne załączniki używają środowiska wirtualnego do sprawdzania załączników w wiadomościach e-mail przed ich dostarczeniem do adresatów (proces znany jako detonacja).

Ochrona bezpiecznych załączników dla wiadomości e-mail jest kontrolowana przez zasady bezpiecznych załączników. Mimo że nie ma domyślnych zasad bezpiecznych załączników, wstępnie ustawione zasady zabezpieczeń wbudowanej ochrony zapewniają ochronę bezpiecznych załączników wszystkim adresatom (użytkownikom, którzy nie są zdefiniowani w standardowych lub ścisłych zasadach zabezpieczeń wstępnie ustawionych lub w niestandardowych zasadach bezpiecznych załączników). Aby uzyskać więcej informacji, zobacz Preset security policies in EOP and Ochrona usługi Office 365 w usłudze Microsoft Defender (Ustawienia wstępne zasad zabezpieczeń w usłudze EOP i Ochrona usługi Office 365 w usłudze Microsoft Defender). Można również utworzyć zasady bezpiecznych załączników, które mają zastosowanie do określonych użytkowników, grup lub domen. Aby uzyskać instrukcje, zobacz Konfigurowanie zasad bezpiecznych załączników w Ochrona usługi Office 365 w usłudze Microsoft Defender.

W poniższej tabeli opisano scenariusze dotyczące bezpiecznych załączników w usłudze Microsoft 365 i organizacjach Office 365, które obejmują Ochrona usługi Office 365 w usłudze Microsoft Defender (innymi słowy brak licencji nigdy nie stanowi problemu w przykładach).

Scenariusz	Result (Wynik)
Organizacja Microsoft 365 E5 pata nie ma skonfigurowanych zasad bezpiecznych załączników.	Pat jest chroniony przez bezpieczne załączniki ze względu na wbudowane zasady zabezpieczeń wstępnie ustawione ochrony, które mają zastosowanie do wszystkich adresatów, którzy w przeciwnym razie nie są zdefiniowane w zasadach bezpiecznych załączników.
Organizacja Lee ma zasady bezpiecznych załączników, które mają zastosowanie tylko do pracowników finansowych. Lee jest członkiem działu sprzedaży.	Lee i reszta działu sprzedaży są chronione przez bezpieczne załączniki ze względu na wbudowane zasady zabezpieczeń wstępnie ustawione ochrony, które mają zastosowanie do wszystkich adresatów, którzy nie są w inny sposób zdefiniowani w zasadach bezpiecznych załączników.
Wczoraj administrator w organizacji Jean utworzył zasady bezpiecznych załączników, które mają zastosowanie do wszystkich pracowników. Wcześniej dzisiaj Jean otrzymał wiadomość e-mail zawierającą załącznik.	Jean jest chroniony przez bezpieczne załączniki dzięki tym niestandardowym zasadom bezpiecznych załączników. Zwykle zastosowanie nowych zasad zajmuje około 30 minut.
Organizacja Chrisa ma wieloletnie zasady bezpiecznego załącznika dla wszystkich w organizacji. Chris otrzymuje wiadomość e-mail z załącznikiem, a następnie przekazuje wiadomość do zewnętrznych adresatów.	Chris jest chroniony przez bezpieczne załączniki. Jeśli adresaci zewnętrzni znajdują się w organizacji platformy Microsoft 365, przekazywane wiadomości są również chronione przez bezpieczne załączniki.

Skanowanie bezpiecznych załączników odbywa się w tym samym regionie, w którym znajdują się dane platformy Microsoft 365. Aby uzyskać więcej informacji na temat lokalizacji geograficznej centrum danych, zobacz Gdzie znajdują się twoje dane?

Uwaga

Następujące funkcje znajdują się w ustawieniach globalnych zasad bezpiecznych załączników w portalu Microsoft Defender. Jednak te ustawienia są włączone lub wyłączone globalnie i nie wymagają zasad bezpiecznych załączników:

• Bezpieczne załączniki dla programów SharePoint, OneDrive i Microsoft Teams.
• Bezpieczne dokumenty w usłudze Microsoft 365 E5

Ustawienia zasad bezpiecznych załączników

W tej sekcji opisano ustawienia zasad bezpiecznych załączników:

• Filtry adresatów: Warunki i wyjątki umożliwiające zidentyfikowanie wewnętrznych adresatów, których dotyczą zasady. Wymagany jest co najmniej jeden warunek. W przypadku warunków i wyjątków można użyć następujących filtrów adresatów:

  • Użytkownicy: co najmniej jedna skrzynka pocztowa, użytkownicy poczty lub kontakty pocztowe w organizacji.
  • Grupy:
    • Członkowie określonych grup dystrybucyjnych lub grup zabezpieczeń z obsługą poczty (dynamiczne grupy dystrybucyjne nie są obsługiwane).
    • Określona Grupy Microsoft 365.
  • Domeny: co najmniej jedna ze skonfigurowanych zaakceptowanych domen na platformie Microsoft 365. Podstawowy adres e-mail adresata znajduje się w określonej domenie.

  Warunek lub wyjątek można użyć tylko raz, ale warunek lub wyjątek może zawierać wiele wartości:

  • Wiele wartościtego samego warunku lub wyjątku używa logiki OR (na przykład <adresat1> lub <adresat2>):

    • Warunki: jeśli adresat pasuje do dowolnej z określonych wartości, zasady są do nich stosowane.
    • Wyjątki: jeśli adresat pasuje do dowolnej z określonych wartości, zasady nie są do nich stosowane.

  • Różne typy wyjątków używają logiki OR (na przykład <adresat1> lub <członek grupy1> lub <członek domeny domain1>). Jeśli adresat pasuje do żadnej z określonych wartości wyjątku, zasady nie są do nich stosowane.

  • Różne typy warunków używają logiki AND. Adresat musi spełniać wszystkie określone warunki, aby zasady były do nich stosowane. Na przykład należy skonfigurować warunek z następującymi wartościami:

  • Użytkowników: romain@contoso.com

  • Grupy: Kadra kierownicza

    Zasady są stosowane romain@contoso.comtylko wtedy, gdy jest on również członkiem grupy Kierownictwo. W przeciwnym razie zasady nie są do niego stosowane.

• Odpowiedź na nieznane złośliwe oprogramowanie w bezpiecznych załącznikach: to ustawienie kontroluje akcję skanowania złośliwego oprogramowania w wiadomościach e-mail za pomocą bezpiecznego załącznika. Dostępne opcje opisano w poniższej tabeli:

  Opcja	Efekt	Użyj, gdy chcesz:
  Wyłączony	Załączniki nie są skanowane pod kątem złośliwego oprogramowania według bezpiecznych załączników. Komunikaty są nadal skanowane pod kątem złośliwego oprogramowania przez ochronę przed złośliwym oprogramowaniem w ramach EOP.	Wyłącz skanowanie dla wybranych adresatów. Zapobiegaj niepotrzebnym opóźnieniom w routingu poczty wewnętrznej. Ta opcja nie jest zalecana dla większości użytkowników. Ta opcja powinna służyć tylko do wyłączania skanowania bezpiecznych załączników dla adresatów, którzy odbierają wiadomości tylko od zaufanych nadawców. Zap nie będzie kwarantanny komunikatów, jeśli bezpieczne załączniki są wyłączone i sygnał złośliwego oprogramowania nie jest odbierany. Aby uzyskać szczegółowe informacje, zobacz Automatyczne przeczyszczanie zerogodzinne
  Monitor	Dostarcza komunikaty z załącznikami, a następnie śledzi, co się dzieje z wykrytym złośliwym oprogramowaniem. Dostarczanie bezpiecznych komunikatów może być opóźnione z powodu skanowania bezpiecznych załączników.	Zobacz, gdzie w twojej organizacji trafia wykryte złośliwe oprogramowanie.
  Blokuj	Zapobiega dostarczaniu komunikatów z wykrytymi załącznikami złośliwego oprogramowania. Komunikaty są poddawane kwarantannie. Domyślnie tylko administratorzy (nie użytkownicy) mogą przeglądać, wydawać lub usuwać komunikaty.¹ Automatycznie blokuje przyszłe wystąpienia komunikatów i załączników. Dostarczanie bezpiecznych komunikatów może być opóźnione z powodu skanowania bezpiecznych załączników.	Chroni organizację przed powtarzającymi się atakami przy użyciu tych samych załączników złośliwego oprogramowania. Jest to wartość domyślna i zalecana wartość w standardowych i ścisłych wstępnie ustawionych zasad zabezpieczeń.
  Dostarczanie dynamiczne	Dostarcza komunikaty natychmiast, ale zastępuje załączniki symbolami zastępczymi do momentu ukończenia skanowania bezpiecznych załączników. Komunikaty zawierające złośliwe załączniki są poddawane kwarantannie. Domyślnie tylko administratorzy (nie użytkownicy) mogą przeglądać, wydawać lub usuwać komunikaty.¹ Aby uzyskać szczegółowe informacje, zobacz sekcję Zasady dostarczania dynamicznego w zasadach bezpiecznych załączników w dalszej części tego artykułu.	Unikaj opóźnień komunikatów, chroniąc adresatów przed złośliwymi plikami.

  ¹ Zasady kwarantanny określają, co użytkownicy mogą robić w przypadku komunikatów poddanych kwarantannie oraz czy użytkownicy otrzymują powiadomienia o kwarantannie. Aby uzyskać więcej informacji, zobacz Anatomia zasad kwarantanny. Użytkownicy nie mogą wydawać własnych komunikatów, które zostały poddane kwarantannie jako złośliwe oprogramowanie przez bezpieczne załączniki, niezależnie od sposobu konfigurowania zasad kwarantanny. Jeśli zasady zezwalają użytkownikom na wydawanie własnych komunikatów objętych kwarantanną, zamiast tego użytkownicy mogą zażądać wydania komunikatów o złośliwym oprogramowaniu poddanych kwarantannie.

• Przekierowywanie komunikatów z wykrytymi załącznikami: włącz przekierowanie i wysyłanie wiadomości zawierających monitorowane załączniki do określonego adresu e-mail: tylko w przypadku akcji Monitorowanie wyślij wiadomości zawierające załączniki złośliwego oprogramowania do określonego wewnętrznego lub zewnętrznego adresu e-mail w celu przeprowadzenia analizy i zbadania.

  Zalecenia dotyczące standardowych i ścisłych ustawień zasad to włączenie przekierowania. Aby uzyskać więcej informacji, zobacz Ustawienia bezpiecznych załączników.

• Priorytet: jeśli tworzysz wiele zasad, możesz określić kolejność ich stosowania. Żadne dwie zasady nie mogą mieć takiego samego priorytetu, a przetwarzanie zasad zostanie zatrzymane po zastosowaniu pierwszych zasad (zasady o najwyższym priorytecie dla tego adresata).

  Aby uzyskać więcej informacji na temat kolejności pierwszeństwa oraz sposobu oceniania i stosowania wielu zasad, zobacz Kolejność i pierwszeństwo ochrony poczty e-mail.

Dynamiczne dostarczanie w zasadach bezpiecznych załączników

Uwaga

Dynamiczne dostarczanie działa tylko w przypadku skrzynek pocztowych Exchange Online.

Akcja dynamicznego dostarczania w zasadach bezpiecznych załączników ma na celu wyeliminowanie wszelkich opóźnień dostarczania wiadomości e-mail, które mogą być spowodowane skanowaniem bezpiecznych załączników. Treść wiadomości e-mail jest dostarczana do adresata z symbolem zastępczym dla każdego załącznika. Symbol zastępczy pozostaje do momentu, gdy załącznik zostanie uznany za bezpieczny, a następnie załącznik będzie dostępny do otwarcia lub pobrania.

Jeśli załącznik zostanie uznany za złośliwy, komunikat zostanie poddany kwarantannie.

Większość plików PDF i dokumentów pakietu Office można wyświetlić w trybie awaryjnym, podczas gdy skanowanie bezpiecznych załączników jest w toku. Jeśli załącznik nie jest zgodny z podglądem dynamicznego dostarczania, adresaci zobaczą symbol zastępczy załącznika do momentu ukończenia skanowania bezpiecznych załączników.

Jeśli używasz urządzenia przenośnego, a pliki PDF nie są renderowane w podglądzie dynamicznego dostarczania na urządzeniu przenośnym, spróbuj otworzyć komunikat w Outlook w sieci Web (dawniej nazywanym Outlook Web App) przy użyciu przeglądarki mobilnej.

Poniżej przedstawiono niektóre zagadnienia dotyczące dostarczania dynamicznego i przekazywanych dalej komunikatów:

• Jeśli przesłany dalej adresat jest chroniony przez zasady bezpieczne załączniki korzystające z opcji Dynamiczne dostarczanie, odbiorca zobaczy symbol zastępczy z możliwością podglądu zgodnych plików.
• Jeśli przesłany dalej adresat nie jest chroniony przez zasady bezpiecznych załączników, wiadomość i załączniki zostaną dostarczone bez skanowania bezpiecznych załączników ani symboli zastępczych załączników.

Istnieją scenariusze, w których usługa Dynamic Delivery nie może zastąpić załączników w komunikatach. Te scenariusze obejmują:

• Komunikaty w folderach publicznych.
• Wiadomości, które są kierowane poza, a następnie z powrotem do skrzynki pocztowej użytkownika przy użyciu reguł niestandardowych.
• Wiadomości, które są przenoszone (automatycznie lub ręcznie) ze skrzynek pocztowych w chmurze do innych lokalizacji, w tym folderów archiwum.
• Reguły skrzynki odbiorczej przenoszą komunikat ze skrzynki odbiorczej do innego folderu.
• Usunięte komunikaty.
• Folder wyszukiwania skrzynki pocztowej użytkownika jest w stanie błędu.
• Exchange Online organizacji, w których włączono funkcję wykrzykującego. Aby rozwiązać ten problem, zobacz KB4014438.
• S/MIME) zaszyfrowanych wiadomości.
• Akcja dynamicznego dostarczania została skonfigurowana w zasadach bezpiecznych załączników, ale adresat nie obsługuje dostarczania dynamicznego (na przykład adresat jest skrzynką pocztową w lokalnej organizacji programu Exchange). Jednak bezpieczne linki w Ochrona usługi Office 365 w usłudze Microsoft Defender mogą skanować załączniki plików pakietu Office zawierające adresy URL (jeśli skanowanie bezpiecznych linków w aplikacjach pakietu Office pomocy technicznej jest włączone w odpowiednich zasadach bezpiecznych łączy).

Przesyłanie plików do analizy złośliwego oprogramowania

• Jeśli otrzymasz plik, który chcesz wysłać do firmy Microsoft w celu analizy, zobacz Przesyłanie złośliwego oprogramowania i nie złośliwego oprogramowania do firmy Microsoft w celu analizy.
• Jeśli otrzymasz wiadomość e-mail (z załącznikiem lub bez niej), którą chcesz przesłać do firmy Microsoft w celu analizy, zobacz Raport wiadomości i pliki do firmy Microsoft.