Письма, помещенные в карантин в EOP и Defender для Office 365
Совет
Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте, кто может зарегистрироваться и использовать условия пробной версии на пробной Microsoft Defender для Office 365.
В организациях Microsoft 365 с почтовыми ящиками в Exchange Online или автономных Exchange Online Protection организациях без Exchange Online почтовых ящиков карантин доступен для хранения потенциально опасных или нежелательных сообщений.
Примечание.
В Microsoft 365 под управлением 21Vianet карантин в настоящее время недоступен на портале Microsoft Defender. Карантин доступен только в классическом Центре администрирования Exchange (классический Центр администрирования Exchange).
Будет ли обнаружено сообщение помещено в карантин по умолчанию, зависит от следующих факторов:
- Функция защиты, обнаруживающая сообщение. Например, следующие обнаружения всегда помещаются в карантин:
- Обнаружение вредоносных программ политиками защиты от вредоносных программ и политиками безопасных вложений, включая встроенную защиту для безопасных* вложений.
- Обнаружение фишинга с высокой степенью достоверности политиками защиты от нежелательной почты.
- Используете ли вы стандартные и (или) строгие предустановленные политики безопасности. Строгий профиль помещает в карантин больше типов обнаружения, чем стандартный профиль.
* Фильтрация вредоносных программ пропускается в почтовых ящиках SecOps, определенных в расширенной политике доставки. Дополнительные сведения см. в статье Настройка расширенной политики доставки для моделирования фишинга сторонних разработчиков и доставки электронной почты в почтовые ящики SecOps.
Действия по умолчанию для функций защиты в EOP и Defender для Office 365, включая предустановленные политики безопасности, описаны в таблицах компонентов в разделе Рекомендуемые параметры для EOP и Microsoft Defender для Office 365 безопасности.
Для защиты от нежелательной почты и фишинга администраторы также могут изменить политику по умолчанию или создать настраиваемые политики для карантина сообщений, а не доставлять их в папку "Нежелательная Email". Инструкции см. в следующих статьях:
- Настройка политик защиты от спама в EOP
- Настройка политик защиты от фишинга в EOP
- Настройка политик защиты от фишинга в Microsoft Defender для Office 365
Политикам защиты для поддерживаемых функций назначена одна или несколько политик карантина (каждое действие в политике защиты имеет связанное назначение политики карантина).
Совет
Все действия, выполняемые администраторами или пользователями в сообщениях, помещенных в карантин, проверяются. Дополнительные сведения о событиях аудита карантина см. в статье Схема карантина в API управления Office 365.
Политики карантина
Политики карантина определяют, что пользователи могут делать или не делать с сообщениями, помещенными в карантин, и получают ли пользователи уведомления о карантине для этих сообщений. Дополнительные сведения см. в разделе Анатомия политики карантина.
Совет
Вы можете создавать настраиваемые уведомления о карантине для разных языков. Вы также можете использовать настраиваемый логотип в уведомлениях о карантине.
Политики карантина по умолчанию, назначенные вердиктам функций защиты, обеспечивают исторические возможности, которые пользователи получают для своих сообщений в карантине (сообщений, где они являются получателями). Дополнительные сведения см. в таблице в разделе Поиск и выпуск сообщений в карантине в качестве пользователя в EOP. Например, только администраторы могут работать с сообщениями, которые были помещены в карантин как вредоносные программы или фишинг с высокой степенью достоверности. По умолчанию пользователи могут работать со своими сообщениями, которые были помещены в карантин как спам, массовый, фишинг, спуфинга, олицетворение пользователя, олицетворение домена или аналитика почтовых ящиков.
Администраторы могут создавать и применять пользовательские политики карантина, которые определяют менее строгие или более строгие возможности для пользователей, а также включать уведомления о карантине. Дополнительные сведения см. в статье Создание политик карантина.
Примечание.
Пользователи не могут выпускать собственные сообщения, которые были помещены в карантин как вредоносные программы с помощью политик защиты от вредоносных программ или безопасных вложений, или как фишинг с высокой достоверностью политиками защиты от нежелательной почты, независимо от того, как настроена политика карантина. Если политика позволяет пользователям выпускать собственные сообщения, помещенные в карантин, пользователи могут запрашивать выпуск вредоносных программ или фишинговых сообщений с высокой степенью достоверности.
С сообщениями, помещенными в карантин, могут работать как пользователи, так и администраторы:
Администраторы могут работать со всеми типами сообщений, помещенных в карантин для всех пользователей, включая сообщения, помещенные в карантин как вредоносные программы, фишинг с высокой степенью достоверности или в результате правил потока обработки почты (также известных как правила транспорта). Дополнительные сведения см. в разделе Управление сообщениями и файлами на карантине в качестве администратора в EOP.
Совет
Разрешения, необходимые для скачивания и освобождения сообщений из карантина, см. здесь.
Пользователи могут работать со своими сообщениями, помещенными в карантин, на основе функции защиты, которая помещла сообщение в карантин, и параметра в соответствующей политике карантина. Дополнительные сведения см. в статье Поиск и освобождение сообщений в карантине в качестве пользователя в EOP.
Администраторы могут сообщать майкрософт о ложноположительных результатах из карантина. Дополнительные сведения см. в разделах Действие по электронной почте в карантине и Действие с файлами, помещенным в карантин.
Пользователи также могут сообщать майкрософт о ложноположительных срабатываниях из карантина в зависимости от значения параметра Отчеты из карантина в параметрах, сообщаемых пользователем.
Хранение в карантине
Срок хранения сообщений или файлов, помещенных в карантин, до истечения срока их действия зависит от того, почему сообщение или файл были помещены в карантин. Компоненты и соответствующие им сроки хранения описаны в следующей таблице:
Причина помещения на карантин | Период хранения по умолчанию | Настраиваемые? | Comments |
---|---|---|---|
Сообщения, помещенные в карантин политиками защиты от нежелательной почты, как спам, спам с высоким уровнем достоверности, фишинг, фишинг с высокой достоверностью или массовый. | 15 дней
30 дней
|
Да* | Вы можете настроить значение от 1 до 30 дней в политике защиты от нежелательной почты по умолчанию и в пользовательских политиках защиты от нежелательной почты. Дополнительные сведения см. в разделе Сохранение нежелательной почты в карантине в течение этого количества дней (QuarantineRetentionPeriod) статьи Настройка политик защиты от нежелательной почты. *Изменить значение в стандартных или строгих предустановленных политиках безопасности нельзя. |
Сообщения, помещенные в карантин политиками защиты от фишинга:
|
15 дней или 30 дней | Да* | Этот период хранения также контролируется параметром Хранить спам в карантине в течение этого количества дней (QuarantineRetentionPeriod) в политиках защиты от нежелательной почты . Используемый период хранения — это значение из первой соответствующей политики защиты от нежелательной почты , в которую определен получатель. |
Сообщения, помещенные в карантин политиками защиты от вредоносных программ (сообщения о вредоносных программах). | 30 дней | Нет | Если включить фильтр общих вложений в политиках защиты от вредоносных программ (в политике по умолчанию или в пользовательских политиках), вложения файлов в сообщениях электронной почты затронутым получателям будут рассматриваться как вредоносные программы исключительно на основе расширения файла с использованием истинного сопоставления типов. По умолчанию используется предопределенный список в основном исполняемых типов файлов, но список можно настроить. Дополнительные сведения см. в разделе Общие фильтры вложений в политиках защиты от вредоносных программ. |
Сообщения, помещенные в карантин по правилам потока обработки почты, где действие — Доставить сообщение в размещенный карантин (карантин). | 30 дней | Нет | |
Сообщения, помещенные в карантин политиками безопасных вложений в Defender для Office 365 (сообщения о вредоносных программах). | 30 дней | Нет | |
Файлы, помещенные в карантин безопасными вложениями для SharePoint, OneDrive и Microsoft Teams (файлы вредоносных программ). | 30 дней | Нет | Файлы, помещенные в карантин в SharePoint или OneDrive, удаляются из карантина через 30 дней, но заблокированные файлы остаются в SharePoint или OneDrive в заблокированном состоянии. |
Сообщения в чатах и каналах, помещенные в карантин с автоматической защитой (ZAP) для Microsoft Teams в Defender для Office 365 | 30 дней | Нет |
По истечении срока действия сообщения из карантина его невозможно восстановить.
Дополнительные сведения о карантине см. в разделе Часто задаваемые вопросы о карантине.