Письма, помещенные в карантин в EOP и Defender для Office 365

• Применяется к:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Совет

Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Сведения о том, кто может зарегистрироваться и условия пробной версии , см. здесь.

В организациях Microsoft 365 с почтовыми ящиками в Exchange Online или автономных Exchange Online Protection организациях без Exchange Online почтовых ящиков карантин доступен для хранения потенциально опасных или нежелательных сообщений.

Примечание.

В Microsoft 365 под управлением 21Vianet карантин в настоящее время недоступен на портале Microsoft Defender. Карантин доступен только в классическом Центре администрирования Exchange (классический Центр администрирования Exchange).

Будет ли обнаружено сообщение помещено в карантин по умолчанию, зависит от следующих факторов:

• Функция защиты, обнаруживающая сообщение. Например, следующие обнаружения всегда помещаются в карантин:
  • Обнаружение вредоносных программ политиками защиты от вредоносных программ и политиками безопасных вложений, включая встроенную защиту для безопасных^* вложений.
  • Обнаружение фишинга с высокой степенью достоверности политиками защиты от нежелательной почты.
• Используете ли вы стандартные и (или) строгие предустановленные политики безопасности. Строгий профиль помещает в карантин больше типов обнаружения, чем стандартный профиль.

^* Фильтрация вредоносных программ пропускается в почтовых ящиках SecOps, определенных в расширенной политике доставки. Дополнительные сведения см. в статье Настройка расширенной политики доставки для моделирования фишинга сторонних разработчиков и доставки электронной почты в почтовые ящики SecOps.

Действия по умолчанию для функций защиты в EOP и Defender для Office 365, включая предустановленные политики безопасности, описаны в таблицах компонентов в разделе Рекомендуемые параметры для EOP и Microsoft Defender для Office 365 безопасности.

Для защиты от нежелательной почты и фишинга администраторы также могут изменить политику по умолчанию или создать настраиваемые политики для карантина сообщений, а не доставлять их в папку "Нежелательная Email". Инструкции см. в следующих статьях:

• Настройка политик защиты от спама в EOP
• Настройка политик защиты от фишинга в EOP
• Настройка политик защиты от фишинга в Microsoft Defender для Office 365

Политикам защиты для поддерживаемых функций назначена одна или несколько политик карантина (каждое действие в политике защиты имеет связанное назначение политики карантина).

Совет

Все действия, выполняемые администраторами или пользователями в сообщениях, помещенных в карантин, проверяются. Дополнительные сведения о событиях аудита карантина см. в статье Схема карантина в API управления Office 365.

Политики карантина

Политики карантина определяют, что пользователи могут делать или не делать с сообщениями, помещенными в карантин, и получают ли пользователи уведомления о карантине для этих сообщений. Дополнительные сведения см. в разделе Анатомия политики карантина.

Совет

Вы можете создавать настраиваемые уведомления о карантине для разных языков. Вы также можете использовать настраиваемый логотип в уведомлениях о карантине.

Политики карантина по умолчанию, назначенные вердиктам функций защиты, обеспечивают исторические возможности, которые пользователи получают для своих сообщений в карантине (сообщений, где они являются получателями). Дополнительные сведения см. в таблице в разделе Поиск и выпуск сообщений в карантине в качестве пользователя в EOP. Например, только администраторы могут работать с сообщениями, которые были помещены в карантин как вредоносные программы или фишинг с высокой степенью достоверности. По умолчанию пользователи могут работать со своими сообщениями, которые были помещены в карантин как спам, массовый, фишинг, спуфинга, олицетворение пользователя, олицетворение домена или аналитика почтовых ящиков.

Администраторы могут создавать и применять пользовательские политики карантина, которые определяют менее строгие или более строгие возможности для пользователей, а также включать уведомления о карантине. Дополнительные сведения см. в разделе политики карантина Create.

Примечание.

Пользователи не могут выпускать собственные сообщения, которые были помещены в карантин как вредоносные программы с помощью политик защиты от вредоносных программ или безопасных вложений, или как фишинг с высокой достоверностью политиками защиты от нежелательной почты, независимо от того, как настроена политика карантина. Если политика позволяет пользователям выпускать собственные сообщения, помещенные в карантин, пользователи могут запрашивать выпуск вредоносных программ или фишинговых сообщений с высокой степенью достоверности.

С сообщениями, помещенными в карантин, могут работать как пользователи, так и администраторы:

• Администраторы могут работать со всеми типами сообщений, помещенных в карантин для всех пользователей, включая сообщения, помещенные в карантин как вредоносные программы, фишинг с высокой степенью достоверности или в результате правил потока обработки почты (также известных как правила транспорта). Дополнительные сведения см. в разделе Управление сообщениями и файлами на карантине в качестве администратора в EOP.

  Совет

  Разрешения, необходимые для скачивания и освобождения сообщений из карантина, см. здесь.

• Пользователи могут работать со своими сообщениями, помещенными в карантин, на основе функции защиты, которая помещла сообщение в карантин, и параметра в соответствующей политике карантина. Дополнительные сведения см. в статье Поиск и освобождение сообщений в карантине в качестве пользователя в EOP.

• Администраторы могут сообщать майкрософт о ложноположительных результатах из карантина. Дополнительные сведения см. в разделах Действие по электронной почте в карантине и Действие с файлами, помещенным в карантин.

• Пользователи также могут сообщать майкрософт о ложноположительных срабатываниях из карантина в зависимости от значения параметра Отчеты из карантина в параметрах, сообщаемых пользователем.

Хранение в карантине

Срок хранения сообщений или файлов, помещенных в карантин, до истечения срока их действия зависит от того, почему сообщение или файл были помещены в карантин. Компоненты и соответствующие им сроки хранения описаны в следующей таблице:

Причина помещения на карантин	Период хранения по умолчанию	Настраиваемые?	Comments
Сообщения, помещенные в карантин политиками защиты от нежелательной почты, как спам, спам с высоким уровнем достоверности, фишинг, фишинг с высокой достоверностью или массовый.	15 дней В политике защиты от нежелательной почты по умолчанию. В политиках защиты от нежелательной почты, создаваемых в PowerShell. 30 дней В политиках защиты от нежелательной почты, создаваемых на портале Microsoft Defender. В стандартных и строгих предустановленных политиках безопасности	Да*	Вы можете настроить значение от 1 до 30 дней в политике защиты от нежелательной почты по умолчанию и в пользовательских политиках защиты от нежелательной почты. Дополнительные сведения см. в разделе Сохранение нежелательной почты в карантине в течение этого количества дней (QuarantineRetentionPeriod) статьи Настройка политик защиты от нежелательной почты. *Изменить значение в стандартных или строгих предустановленных политиках безопасности нельзя.
Сообщения, помещенные в карантин политиками защиты от фишинга: EOP: подделательная аналитика. Defender для Office 365: защита олицетворения пользователя, защита олицетворения домена и защита от аналитики почтовых ящиков.	15 дней или 30 дней	Да*	Этот период хранения также контролируется параметром Хранить спам в карантине в течение этого количества дней (QuarantineRetentionPeriod) в политиках защиты от нежелательной почты . Используемый период хранения — это значение из первой соответствующей политики защиты от нежелательной почты , в которую определен получатель.
Сообщения, помещенные в карантин политиками защиты от вредоносных программ (сообщения о вредоносных программах).	30 дней	Нет	Если включить фильтр общих вложений в политиках защиты от вредоносных программ (в политике по умолчанию или в пользовательских политиках), вложения файлов в сообщениях электронной почты затронутым получателям будут рассматриваться как вредоносные программы исключительно на основе расширения файла с использованием истинного сопоставления типов. По умолчанию используется предопределенный список в основном исполняемых типов файлов, но список можно настроить. Дополнительные сведения см. в разделе Общие фильтры вложений в политиках защиты от вредоносных программ.
Сообщения, помещенные в карантин по правилам потока обработки почты, где действие — Доставить сообщение в размещенный карантин (карантин).	30 дней	Нет
Сообщения, помещенные в карантин политиками безопасных вложений в Defender для Office 365 (сообщения о вредоносных программах).	30 дней	Нет
Файлы, помещенные в карантин безопасными вложениями для SharePoint, OneDrive и Microsoft Teams (файлы вредоносных программ).	30 дней	Нет	Файлы, помещенные в карантин в SharePoint или OneDrive, удаляются из карантина через 30 дней, но заблокированные файлы остаются в SharePoint или OneDrive в заблокированном состоянии.
Сообщения в чатах и каналах, помещенные в карантин с автоматической защитой (ZAP) для Microsoft Teams в Defender для Office 365	30 дней	Нет

По истечении срока действия сообщения из карантина его невозможно восстановить.

Дополнительные сведения о карантине см. в разделе Часто задаваемые вопросы о карантине.