Bezpieczne załączniki w Ochrona usługi Office 365 w usłudze Microsoft Defender

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w Microsoft 365 Defender Office 365 Plan 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnych portalu Microsoft 365 Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami dotyczącymi wersji próbnej tutaj.

Dotyczy

• Usługi Microsoft Defender dla usługi Office 365 (plan 1 i plan 2)
• Microsoft 365 Defender

Bezpieczne załączniki w Ochrona usługi Office 365 w usłudze Microsoft Defender zapewniają dodatkową warstwę ochrony załączników wiadomości e-mail, które zostały już przeskanowane za pomocą ochrony przed złośliwym oprogramowaniem w Exchange Online Protection (EOP). W szczególności bezpieczne załączniki używają środowiska wirtualnego do sprawdzania załączników w wiadomościach e-mail przed ich dostarczeniem do adresatów (proces znany jako detonacja).

Ochrona bezpiecznych załączników dla wiadomości e-mail jest kontrolowana przez zasady bezpiecznych załączników. Mimo że nie ma domyślnych zasad bezpiecznych załączników, wstępnie ustawione zasady zabezpieczeń wbudowanej ochrony zapewniają ochronę bezpiecznych załączników wszystkim adresatom (użytkownikom, którzy nie są zdefiniowani w standardowych lub ścisłych zasadach zabezpieczeń wstępnie ustawionych lub w niestandardowych zasadach bezpiecznych załączników). Aby uzyskać więcej informacji, zobacz Preset security policies in EOP and Ochrona usługi Office 365 w usłudze Microsoft Defender (Ustawienia wstępne zasad zabezpieczeń w usłudze EOP i Ochrona usługi Office 365 w usłudze Microsoft Defender). Można również utworzyć zasady bezpiecznych załączników, które mają zastosowanie do określonych użytkowników, grup lub domen. Aby uzyskać instrukcje, zobacz Konfigurowanie zasad bezpiecznych załączników w Ochrona usługi Office 365 w usłudze Microsoft Defender.

W poniższej tabeli opisano scenariusze dotyczące bezpiecznych załączników w usłudze Microsoft 365 i organizacjach Office 365, które obejmują Ochrona usługi Office 365 w usłudze Microsoft Defender (innymi słowy brak licencji nigdy nie stanowi problemu w przykładach).

Scenariusz	Result (Wynik)
Organizacja Microsoft 365 E5 pata nie ma skonfigurowanych zasad bezpiecznych załączników.	Pat jest chroniony przez bezpieczne załączniki ze względu na wbudowane zasady zabezpieczeń wstępnie ustawione ochrony, które mają zastosowanie do wszystkich adresatów, którzy nie są inaczej zdefiniowane w zasadach bezpiecznych załączników.
Organizacja Lee ma zasady bezpiecznych załączników, które mają zastosowanie tylko do pracowników finansowych. Lee jest członkiem działu sprzedaży.	Lee i reszta działu sprzedaży są chronieni przez bezpieczne załączniki ze względu na wbudowane zasady zabezpieczeń wstępnie ustawione ochrony, które mają zastosowanie do wszystkich adresatów, którzy nie są w inny sposób zdefiniowani w zasadach bezpiecznych załączników.
Wczoraj administrator w organizacji Jean utworzył zasady bezpiecznych załączników, które mają zastosowanie do wszystkich pracowników. Wcześniej dzisiaj Jean otrzymał wiadomość e-mail zawierającą załącznik.	Jean jest chroniony przez bezpieczne załączniki dzięki tym niestandardowym zasadom bezpiecznych załączników. Zwykle zastosowanie nowych zasad zajmuje około 30 minut.
Organizacja Chrisa ma wieloletnie zasady bezpiecznego załącznika dla wszystkich w organizacji. Chris otrzymuje wiadomość e-mail z załącznikiem, a następnie przekazuje wiadomość do zewnętrznych adresatów.	Chris jest chroniony przez bezpieczne załączniki. Jeśli adresaci zewnętrzni znajdują się w organizacji platformy Microsoft 365, przekazywane wiadomości są również chronione przez bezpieczne załączniki.

Skanowanie bezpiecznych załączników odbywa się w tym samym regionie, w którym znajdują się dane platformy Microsoft 365. Aby uzyskać więcej informacji na temat lokalizacji geograficznej centrum danych, zobacz Gdzie znajdują się twoje dane?

Uwaga

Następujące funkcje znajdują się w ustawieniach globalnych zasad bezpiecznych załączników w portalu Microsoft 365 Defender. Jednak te ustawienia są włączone lub wyłączone globalnie i nie wymagają zasad bezpiecznych załączników:

• Bezpieczne załączniki dla programów SharePoint, OneDrive i Microsoft Teams.
• Bezpieczne dokumenty w usłudze Microsoft 365 E5

Ustawienia zasad bezpiecznych załączników

W tej sekcji opisano ustawienia zasad bezpiecznych załączników:

• Filtry adresatów: należy określić warunki i wyjątki adresatów, które określają, do kogo mają zastosowanie zasady. Możesz użyć tych właściwości w przypadku warunków i wyjątków:

  • Użytkownicy
  • Grupy
  • Domeny

  Warunek lub wyjątek można użyć tylko raz, ale warunek lub wyjątek może zawierać wiele wartości. Wiele wartości tego samego warunku lub wyjątku używa logiki OR (na przykład <adresat1> lub <adresat2>). Różne warunki lub wyjątki używają logiki AND (na przykład <adresat1> i <członek grupy 1>).

  Ważna

  Wiele różnych typów warunków lub wyjątków nie są addytywne; są inkluzywne. Zasady są stosowane tylko do tych adresatów, którzy pasują do wszystkich filtrów określonych adresatów. Na przykład należy skonfigurować warunek filtru adresata w zasadach z następującymi wartościami:

  • Użytkowników: romain@contoso.com
  • Grupy: Kadra kierownicza

  Zasady są stosowane romain@contoso.comtylko wtedy, gdy jest on również członkiem grupy Kierownictwo. Jeśli nie jest członkiem grupy, zasady nie są do niego stosowane.

  Podobnie, jeśli używasz tego samego filtru adresata co wyjątek od zasad, zasady nie są stosowane romain@contoso.comtylko wtedy, gdy jest on również członkiem grupy Kadra kierownicza. Jeśli nie jest członkiem grupy, polityka nadal ma do niego zastosowanie.

• Odpowiedź na nieznane złośliwe oprogramowanie w bezpiecznych załącznikach: to ustawienie kontroluje akcję skanowania złośliwego oprogramowania w wiadomościach e-mail za pomocą bezpiecznego załącznika. Dostępne opcje opisano w poniższej tabeli:

  Opcja	Efekt	Użyj, gdy chcesz:
  Wyłączony	Załączniki nie są skanowane pod kątem złośliwego oprogramowania według bezpiecznych załączników. Komunikaty są nadal skanowane pod kątem złośliwego oprogramowania przez ochronę przed złośliwym oprogramowaniem w ramach EOP.	Wyłącz skanowanie dla wybranych adresatów. Zapobiegaj niepotrzebnym opóźnieniom w routingu poczty wewnętrznej. Ta opcja nie jest zalecana dla większości użytkowników. Ta opcja powinna służyć tylko do wyłączania skanowania bezpiecznych załączników dla adresatów, którzy odbierają wiadomości tylko od zaufanych nadawców. Zap nie będzie kwarantanny komunikatów, jeśli bezpieczne załączniki są wyłączone i sygnał złośliwego oprogramowania nie jest odbierany. Aby uzyskać szczegółowe informacje, zobacz Automatyczne przeczyszczanie zerogodzinne
  Monitor	Dostarcza komunikaty z załącznikami, a następnie śledzi, co się dzieje z wykrytym złośliwym oprogramowaniem. Dostarczanie bezpiecznych komunikatów może być opóźnione z powodu skanowania bezpiecznych załączników.	Zobacz, gdzie w twojej organizacji trafia wykryte złośliwe oprogramowanie.
  Blokuj	Zapobiega dostarczaniu komunikatów z wykrytymi załącznikami złośliwego oprogramowania. Komunikaty są poddawane kwarantannie. Domyślnie tylko administratorzy (nie użytkownicy) mogą przeglądać, wydawać lub usuwać komunikaty.¹ Automatycznie blokuje przyszłe wystąpienia komunikatów i załączników. Dostarczanie bezpiecznych komunikatów może być opóźnione z powodu skanowania bezpiecznych załączników.	Chroni organizację przed powtarzającymi się atakami przy użyciu tych samych załączników złośliwego oprogramowania. Jest to wartość domyślna i zalecana wartość w standardowych i ścisłych wstępnie ustawionych zasad zabezpieczeń.
  Zastąpić	Uwaga: ta akcja zostanie wycofana. Aby uzyskać więcej informacji, zobacz MC424901. Usuwa wykryte załączniki złośliwego oprogramowania. Powiadamia adresatów o usunięciu załączników. Komunikaty zawierające złośliwe załączniki są poddawane kwarantannie. Domyślnie tylko administratorzy (nie użytkownicy) mogą przeglądać, wydawać lub usuwać komunikaty.¹ Dostarczanie bezpiecznych komunikatów może być opóźnione z powodu skanowania bezpiecznych załączników.	Zgłoś odbiorcom widoczność, że załączniki zostały usunięte z powodu wykrytego złośliwego oprogramowania.
  Dostarczanie dynamiczne	Dostarcza komunikaty natychmiast, ale zastępuje załączniki symbolami zastępczymi do momentu ukończenia skanowania bezpiecznych załączników. Komunikaty zawierające złośliwe załączniki są poddawane kwarantannie. Domyślnie tylko administratorzy (nie użytkownicy) mogą przeglądać, wydawać lub usuwać komunikaty.¹ Aby uzyskać szczegółowe informacje, zobacz sekcję Zasady dostarczania dynamicznego w zasadach bezpiecznych załączników w dalszej części tego artykułu.	Unikaj opóźnień komunikatów, chroniąc adresatów przed złośliwymi plikami.

  ¹ Zasady kwarantanny określają, co użytkownicy mogą robić w przypadku komunikatów poddanych kwarantannie oraz czy użytkownicy otrzymują powiadomienia o kwarantannie. Aby uzyskać więcej informacji, zobacz Anatomia zasad kwarantanny. Użytkownicy nie mogą wydawać własnych komunikatów, które zostały poddane kwarantannie jako złośliwe oprogramowanie przez bezpieczne załączniki, niezależnie od sposobu konfigurowania zasad kwarantanny. Jeśli zasady zezwalają użytkownikom na wydawanie własnych komunikatów objętych kwarantanną, zamiast tego użytkownicy mogą zażądać wydania komunikatów o złośliwym oprogramowaniu poddanych kwarantannie.

• Przekierowywanie wiadomości z wykrytymi załącznikami: włącz przekierowywanie i wysyłanie komunikatów zawierających zablokowane, monitorowane lub zamienione załączniki na określony adres e-mail: w przypadku akcji Blokuj, Monitoruj lub Zastąp wysyłaj wiadomości zawierające załączniki złośliwego oprogramowania do określonego wewnętrznego lub zewnętrznego adresu e-mail na potrzeby analizy i badania.

  Zalecenia dotyczące standardowych i ścisłych ustawień zasad to włączenie przekierowania. Aby uzyskać więcej informacji, zobacz Ustawienia bezpiecznych załączników.

  Uwaga

  Przekierowanie będzie wkrótce dostępne tylko dla akcji Monitorowanie . Aby uzyskać więcej informacji, zobacz MC424899.

• Zastosuj odpowiedź wykrywania bezpiecznych załączników, jeśli skanowanie nie może zakończyć się (przekroczenie limitu czasu lub błędy): Akcja określona przez nieznane złośliwe oprogramowanie w bezpiecznych załącznikach jest wykonywana w przypadku komunikatów, nawet jeśli skanowanie bezpiecznych załączników nie jest możliwe. Zawsze wybieraj tę opcję, jeśli wybierzesz pozycję Włącz przekierowanie. W przeciwnym razie komunikaty mogą zostać utracone.

• Priorytet: jeśli tworzysz wiele zasad, możesz określić kolejność ich stosowania. Żadne dwie zasady nie mogą mieć takiego samego priorytetu, a przetwarzanie zasad zostanie zatrzymane po zastosowaniu pierwszych zasad (zasady o najwyższym priorytecie dla tego adresata).

  Aby uzyskać więcej informacji na temat kolejności pierwszeństwa oraz sposobu oceniania i stosowania wielu zasad, zobacz Kolejność i pierwszeństwo ochrony poczty e-mail.

Dynamiczne dostarczanie w zasadach bezpiecznych załączników

Uwaga

Dynamiczne dostarczanie działa tylko w przypadku skrzynek pocztowych Exchange Online.

Akcja dynamicznego dostarczania w zasadach bezpiecznych załączników ma na celu wyeliminowanie wszelkich opóźnień dostarczania wiadomości e-mail, które mogą być spowodowane skanowaniem bezpiecznych załączników. Treść wiadomości e-mail jest dostarczana do adresata z symbolem zastępczym dla każdego załącznika. Symbol zastępczy pozostaje do momentu, gdy załącznik zostanie uznany za bezpieczny, a następnie załącznik będzie dostępny do otwarcia lub pobrania.

Jeśli załącznik zostanie uznany za złośliwy, komunikat zostanie poddany kwarantannie.

Większość plików PDF i dokumentów pakietu Office można wyświetlić w trybie awaryjnym, podczas gdy skanowanie bezpiecznych załączników jest w toku. Jeśli załącznik nie jest zgodny z podglądem dynamicznego dostarczania, adresaci zobaczą symbol zastępczy załącznika do momentu ukończenia skanowania bezpiecznych załączników.

Jeśli używasz urządzenia przenośnego, a pliki PDF nie są renderowane w podglądzie dynamicznego dostarczania na urządzeniu przenośnym, spróbuj otworzyć komunikat w Outlook w sieci Web (dawniej nazywanym Outlook Web App) przy użyciu przeglądarki mobilnej.

Poniżej przedstawiono niektóre zagadnienia dotyczące dostarczania dynamicznego i przekazywanych dalej komunikatów:

• Jeśli przesłany dalej adresat jest chroniony przez zasady bezpieczne załączniki korzystające z opcji Dynamiczne dostarczanie, odbiorca zobaczy symbol zastępczy z możliwością podglądu zgodnych plików.
• Jeśli przesłany dalej adresat nie jest chroniony przez zasady bezpiecznych załączników, wiadomość i załączniki zostaną dostarczone bez skanowania bezpiecznych załączników ani symboli zastępczych załączników.

Istnieją scenariusze, w których usługa Dynamic Delivery nie może zastąpić załączników w komunikatach. Te scenariusze obejmują:

• Komunikaty w folderach publicznych.
• Wiadomości, które są kierowane poza, a następnie z powrotem do skrzynki pocztowej użytkownika przy użyciu reguł niestandardowych.
• Wiadomości, które są przenoszone (automatycznie lub ręcznie) ze skrzynek pocztowych w chmurze do innych lokalizacji, w tym folderów archiwum.
• Reguły skrzynki odbiorczej przenoszą komunikat ze skrzynki odbiorczej do innego folderu.
• Usunięte komunikaty.
• Folder wyszukiwania skrzynki pocztowej użytkownika jest w stanie błędu.
• Exchange Online organizacji, w których włączono funkcję wykrzykującego. Aby rozwiązać ten problem, zobacz KB4014438.
• S/MIME) zaszyfrowanych wiadomości.
• Akcja dynamicznego dostarczania została skonfigurowana w zasadach bezpiecznych załączników, ale adresat nie obsługuje dostarczania dynamicznego (na przykład adresat jest skrzynką pocztową w lokalnej organizacji programu Exchange). Jednak bezpieczne linki w Ochrona usługi Office 365 w usłudze Microsoft Defender mogą skanować załączniki plików pakietu Office zawierające adresy URL (jeśli skanowanie bezpiecznych linków w aplikacjach pakietu Office pomocy technicznej jest włączone w odpowiednich zasadach bezpiecznych łączy).

Przesyłanie plików do analizy złośliwego oprogramowania

• Jeśli otrzymasz plik, który chcesz wysłać do firmy Microsoft w celu analizy, zobacz Przesyłanie złośliwego oprogramowania i nie złośliwego oprogramowania do firmy Microsoft w celu analizy.
• Jeśli otrzymasz wiadomość e-mail (z załącznikiem lub bez niej), którą chcesz przesłać do firmy Microsoft w celu analizy, zobacz Raport wiadomości i pliki do firmy Microsoft.