Wiadomości e-mail poddane kwarantannie w ramach EOP i Ochrona usługi Office 365 w usłudze Defender

• Dotyczy:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w Microsoft Defender XDR Office 365 planie 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami dotyczącymi wersji próbnej tutaj.

W organizacjach platformy Microsoft 365 ze skrzynkami pocztowymi w organizacjach Exchange Online lub autonomicznych Exchange Online Protection (EOP) bez Exchange Online skrzynek pocztowych kwarantanna jest dostępna w celu przechowywania potencjalnie niebezpiecznych lub niechcianych wiadomości.

Uwaga

W usłudze Microsoft 365 obsługiwanej przez firmę 21Vianet kwarantanna nie jest obecnie dostępna w portalu Microsoft Defender. Kwarantanna jest dostępna tylko w klasycznym centrum administracyjnym programu Exchange (klasycznym eac).

To, czy wykryty komunikat jest domyślnie poddawany kwarantannie, zależy od następujących czynników:

• Funkcja ochrony, która wykryła komunikat. Na przykład następujące wykrycia są zawsze poddawane kwarantannie:
  • Wykrywanie złośliwego oprogramowania za pomocą zasad ochrony przed złośliwym oprogramowaniem i zasad bezpiecznych załączników, w tym wbudowanej ochrony przed bezpiecznymi załącznikami^*.
  • Wykrywanie wyłudzania informacji o wysokim poziomie zaufania dzięki zasadom ochrony przed spamem.
• Niezależnie od tego, czy używasz standardowych i/lub ścisłych wstępnie ustawionych zasad zabezpieczeń. Profil Ścisły poddaj kwarantannie więcej typów wykrywania niż profil standardowy.

^* Filtrowanie złośliwego oprogramowania jest pomijane w skrzynkach pocztowych Usługi SecOps, które są identyfikowane w zaawansowanych zasadach dostarczania. Aby uzyskać więcej informacji, zobacz Konfigurowanie zaawansowanych zasad dostarczania dla symulacji wyłudzania informacji innych firm i dostarczania wiadomości e-mail do skrzynek pocztowych SecOps.

Akcje domyślne funkcji ochrony w ramach operacji EOP i Ochrona usługi Office 365 w usłudze Defender, w tym wstępnie ustawione zasady zabezpieczeń, zostały opisane w tabelach funkcji w obszarze Zalecane ustawienia dotyczące EOP i zabezpieczeń Ochrona usługi Office 365 w usłudze Microsoft Defender.

W przypadku ochrony przed spamem i ochroną przed wyłudzaniem informacji administratorzy mogą również modyfikować zasady domyślne lub tworzyć zasady niestandardowe w celu kwarantanny komunikatów zamiast dostarczać je do folderu Junk Email. Aby uzyskać instrukcje, zobacz następujące artykuły:

• Konfigurowanie zasad ochrony przed spamem w ramach EOP
• Konfigurowanie zasad ochrony przed wyłudzaniem informacji w usłudze EOP
• Konfigurowanie zasad ochrony przed wyłudzaniem informacji w Ochrona usługi Office 365 w usłudze Microsoft Defender

Zasady ochrony dla obsługiwanych funkcji mają przypisaną co najmniej jedną zasadę kwarantanny (każda akcja w ramach zasad ochrony ma skojarzone przypisanie zasad kwarantanny).

Porada

Wszystkie akcje podejmowane przez administratorów lub użytkowników w komunikatach poddanych kwarantannie są poddawane inspekcji. Aby uzyskać więcej informacji na temat zdarzeń kwarantanny poddanej inspekcji, zobacz Schemat kwarantanny w interfejsie API zarządzania Office 365.

Zasady kwarantanny

Zasady kwarantanny określają, co użytkownicy mogą robić w przypadku komunikatów poddanych kwarantannie i czy użytkownicy otrzymują powiadomienia o kwarantannie dla tych komunikatów. Aby uzyskać więcej informacji, zobacz Anatomia zasad kwarantanny.

Porada

Możesz tworzyć niestandardowe powiadomienia kwarantanny dla różnych języków. Możesz również użyć logo niestandardowego w powiadomieniach o kwarantannie.

Domyślne zasady kwarantanny, które są przypisane do werdyktów funkcji ochrony, wymuszają historyczne możliwości, które użytkownicy otrzymują za wiadomości poddane kwarantannie (wiadomości, w których są adresatami). Aby uzyskać więcej informacji, zobacz tabelę w temacie Znajdowanie i zwalnianie komunikatów poddanych kwarantannie jako użytkownik w ramach EOP. Na przykład tylko administratorzy mogą pracować z komunikatami, które zostały poddane kwarantannie jako złośliwe oprogramowanie lub wyłudzanie informacji o wysokim poziomie zaufania. Domyślnie użytkownicy mogą pracować ze swoimi wiadomościami, które zostały poddane kwarantannie jako spam, zbiorcze, wyłudzanie informacji, fałszowanie, personifikacja użytkowników, personifikacja domeny lub analiza skrzynki pocztowej.

Administratorzy mogą tworzyć i stosować niestandardowe zasady kwarantanny, które definiują mniej restrykcyjne lub bardziej restrykcyjne możliwości dla użytkowników, a także włączać powiadomienia o kwarantannie. Aby uzyskać więcej informacji, zobacz Tworzenie zasad kwarantanny.

Uwaga

Użytkownicy nie mogą wydawać własnych komunikatów, które zostały poddane kwarantannie jako złośliwe oprogramowanie przez zasady ochrony przed złośliwym oprogramowaniem lub bezpiecznymi załącznikami, ani wyłudzać informacji z dużą pewnością przez zasady ochrony przed spamem, niezależnie od sposobu konfigurowania zasad kwarantanny. Jeśli zasady zezwalają użytkownikom na wydawanie własnych komunikatów objętych kwarantanną, zamiast tego użytkownicy mogą zażądać wydania złośliwego oprogramowania poddanego kwarantannie lub wiadomości wyłudzających informacje o wysokim poziomie zaufania.

Zarówno użytkownicy, jak i administratorzy mogą pracować z komunikatami poddanymi kwarantannie:

• Administratorzy mogą pracować ze wszystkimi typami komunikatów objętych kwarantanną dla wszystkich użytkowników, w tym wiadomościami, które zostały poddane kwarantannie jako złośliwe oprogramowanie, wyłudzanie informacji o wysokim poziomie zaufania lub w wyniku reguł przepływu poczty (nazywanych również regułami transportu). Aby uzyskać więcej informacji, zobacz Manage quarantined messages and files as an admin in EOP (Zarządzanie komunikatami i plikami poddanymi kwarantannie jako administrator w ramach EOP).

  Porada

  Aby uzyskać uprawnienia wymagane do pobrania i wydania komunikatów z kwarantanny, zobacz wpis uprawnień tutaj.

• Użytkownicy mogą pracować ze swoimi komunikatami poddanymi kwarantannie na podstawie funkcji ochrony, która poddała komunikat kwarantannie, oraz ustawienia w odpowiednich zasadach kwarantanny. Aby uzyskać więcej informacji, zobacz Znajdowanie i wydawanie komunikatów poddanych kwarantannie jako użytkownik w ramach EOP.

• Administratorzy mogą zgłaszać firmie Microsoft wyniki fałszywie dodatnie z kwarantanny. Aby uzyskać więcej informacji, zobacz Podjęcie akcji w przypadku wiadomości e-mail poddanych kwarantannie i Podjęcie akcji w przypadku plików poddanych kwarantannie.

• Użytkownicy mogą również zgłaszać firmie Microsoft wyniki fałszywie dodatnie z kwarantanny, w zależności od wartości ustawienia Raportowanie z kwarantanny w ustawieniach zgłoszonych przez użytkownika.

Przechowywanie kwarantanny

Czas przechowywania komunikatów lub plików poddanych kwarantannie przed ich wygaśnięciem zależy od tego, dlaczego komunikat lub plik został poddany kwarantannie. Funkcje i odpowiadające im okresy przechowywania są opisane w poniższej tabeli:

Przyczyna kwarantanny	Domyślny okres przechowywania	Konfigurowalny?	Komentarze
Wiadomości poddane kwarantannie przez zasady ochrony przed spamem jako spam, spam o wysokim poziomie zaufania, wyłudzanie informacji, wyłudzanie informacji o wysokim poziomie zaufania lub zbiorcze.	15 dni W domyślnych zasadach ochrony przed spamem. W zasadach ochrony przed spamem utworzonych w programie PowerShell. 30 dni W zasadach ochrony przed spamem tworzonych w portalu Microsoft Defender. W standardowych i ścisłych zasadach zabezpieczeń wstępnie ustawionych	Tak*	Wartość można skonfigurować z zakresu od 1 do 30 dni w domyślnych zasadach ochrony przed spamem oraz w niestandardowych zasadach ochrony przed spamem. Aby uzyskać więcej informacji, zobacz ustawienie Zachowaj spam w kwarantannie przez tyle dni (QuarantineRetentionPeriod) w temacie Konfigurowanie zasad ochrony przed spamem. *Nie można zmienić wartości w standardowych ani ścisłych zasadach zabezpieczeń wstępnie ustawionych.
Komunikaty poddane kwarantannie przez zasady ochrony przed wyłudzaniem informacji: EOP: Fałszowanie inteligencji. Ochrona usługi Office 365 w usłudze Defender: ochrona przed personifikacją użytkowników, ochrona przed personifikacją domeny i ochrona przed inteligencją skrzynki pocztowej.	15 dni lub 30 dni	Tak*	Ten okres przechowywania jest również kontrolowany przez ustawienie Zachowaj spam w kwarantannie przez tyle dni (QuarantineRetentionPeriod) w zasadach ochrony przed spamem . Używany okres przechowywania jest wartością z pierwszych zgodnych zasad ochrony przed spamem , w których zdefiniowano adresata.
Komunikaty poddane kwarantannie przez zasady ochrony przed złośliwym oprogramowaniem (komunikaty o złośliwym oprogramowaniu).	30 dni	Nie	Jeśli włączysz filtr typowych załączników w zasadach ochrony przed złośliwym oprogramowaniem (w zasadach domyślnych lub zasadach niestandardowych), załączniki plików w wiadomościach e-mail do adresatów, których dotyczy problem, są traktowane jako złośliwe oprogramowanie oparte wyłącznie na rozszerzeniu pliku przy użyciu dopasowania typu true. Domyślnie używana jest wstępnie zdefiniowana lista typów plików wykonywalnych, ale można ją dostosować. Aby uzyskać więcej informacji, zobacz Common attachments filter in anti-malware policies (Filtr typowych załączników w zasadach ochrony przed złośliwym oprogramowaniem).
Wiadomości poddane kwarantannie przez reguły przepływu poczty, w których akcja to Dostarczanie wiadomości do hostowanej kwarantanny (Kwarantanna).	30 dni	Nie
Komunikaty poddane kwarantannie przez zasady bezpiecznych załączników w Ochrona usługi Office 365 w usłudze Defender (komunikaty o złośliwym oprogramowaniu).	30 dni	Nie
Pliki poddane kwarantannie przez bezpieczne załączniki dla programów SharePoint, OneDrive i Microsoft Teams (pliki złośliwego oprogramowania).	30 dni	Nie	Pliki poddane kwarantannie w programie SharePoint lub OneDrive są usuwane z kwarantanny po 30 dniach, ale zablokowane pliki pozostają w programie SharePoint lub OneDrive w stanie zablokowanym.
Wiadomości w czatach i kanałach poddanych kwarantannie przez automatyczną ochronę (ZAP) o wartości zero godzin dla usługi Microsoft Teams w Ochrona usługi Office 365 w usłudze Defender	30 dni	Nie

Gdy komunikat wygaśnie z kwarantanny, nie można go odzyskać.

Aby uzyskać więcej informacji na temat kwarantanny, zobacz Kwarantanna — często zadawane pytania.