Безопасные вложения в Microsoft Defender для Office 365

Совет

Знаете ли вы, что вы можете попробовать функции в Microsoft 365 Defender для Office 365 план 2 бесплатно? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft 365 Defender. Сведения о том, кто может зарегистрироваться и условия пробной версии , см. здесь.

Область применения

• Microsoft Defender для Office 365 (план 1 и план 2)
• Microsoft 365 Defender

Безопасные вложения в Microsoft Defender для Office 365 обеспечивают дополнительный уровень защиты для вложений электронной почты, которые уже были проверены защитой от вредоносных программ в Exchange Online Protection (EOP). В частности, безопасные вложения используют виртуальную среду для проверки вложений в сообщениях электронной почты перед их доставкой получателям (процесс называется детонацией).

Защита с помощью "Безопасных вложений" для сообщений электронной почты контролируется политиками "Безопасных вложений". Хотя политика безопасных вложений по умолчанию отсутствует, встроенная предустановленная политика безопасности защиты обеспечивает защиту безопасных вложений для всех получателей (пользователей, которые не определены в стандартных или строгих предустановленных политиках безопасности или в настраиваемых политиках безопасного вложения). Дополнительные сведения см. в разделе Предустановленные политики безопасности в EOP и Microsoft Defender для Office 365. Вы также можете создавать политики безопасных вложений, применяемые к определенным пользователям, группам или доменам. Инструкции см. в статье Настройка политик безопасных вложений в Microsoft Defender для Office 365.

В следующей таблице описаны сценарии безопасных вложений в Microsoft 365 и Office 365 организаций, которые включают Microsoft Defender для Office 365 (иными словами, отсутствие лицензирования никогда не является проблемой в примерах).

Сценарий	Result
В организации Петра Microsoft 365 E5 не настроены политики безопасных вложений.	Pat защищен безопасными вложениями из-за встроенной предустановленной политики безопасности защиты, которая применяется ко всем получателям, которые не определены в политиках безопасных вложений.
В организации Леонида действует политика безопасных вложений, которая распространяется только на финансовых сотрудников. Леонид является сотрудником отдела продаж.	Ли и остальная часть отдела продаж защищены безопасными вложениями из-за встроенной предустановленной политики безопасности защиты, которая применяется ко всем получателям, которые не определены в политиках безопасных вложений.
Вчера администратор организации Дианы создал политику безопасных вложений, которая применяется ко всем сотрудникам. Ранее сегодня Диана получила сообщение электронной почты с вложением.	Диана защищена безопасными вложениями благодаря этой настраиваемой политике безопасных вложений. Обычно для вступления новой политики в силу требуется около 30 минут.
В организации Кости давно действуют политики безопасных вложений для всех сотрудников организации. Костя получает сообщение электронной почты с вложением, а затем пересылает сообщение внешним получателям.	Костя защищен безопасными вложениями. Если внешние получатели находятся в организации Microsoft 365, переадресованные сообщения также защищены безопасными вложениями.

Сканирование с помощью "Безопасных вложений" происходит в том же регионе, где находятся ваши данные Microsoft 365. Дополнительные сведения о географическом расположении центра обработки данных см. в разделе Где находятся данные?

Примечание.

Следующие функции находятся в глобальных параметрах политик безопасных вложений на портале Microsoft 365 Defender. Но эти параметры включены или отключены глобально и не требуют политик безопасных вложений:

• Безопасные вложения для SharePoint, OneDrive и Microsoft Teams.
• Безопасные документы в Microsoft 365 E5

Параметры политики безопасных вложений

В этом разделе описаны параметры политик безопасных вложений:

• Фильтры получателей. Необходимо указать условия и исключения получателей, которые определяют, к кому применяется политика. Для условий и исключений можно использовать следующие свойства:

  • пользователи;
  • Группы
  • Домены

  Условие или исключение можно использовать только один раз, но оно может содержать несколько значений. Указать несколько значений в одном условии или исключении можно с помощью оператора OR (например, <получатель1> or <получатель2>). Между разными условиями и исключениями используется оператор AND (например, <получатель1> and <участник группы 1>).

  Важно!

  Несколько различных типов условий или исключений не являются аддитивными; они являются инклюзивными. Политика применяется только к тем получателям, которые соответствуют всем указанным фильтрам получателей. Например, вы настраиваете условие фильтра получателя в политике со следующими значениями:

  • Пользователей: romain@contoso.com
  • Группы: руководители

  Политика применяется только в romain@contoso.com том случае, если он также является членом группы руководителей. Если он не является членом группы, политика к нему не применяется.

  Аналогичным образом, если вы используете тот же фильтр получателей в качестве исключения для политики, политика не применяется только в romain@contoso.com том случае, если он также является членом группы руководителей. Если он не является членом группы, политика все-таки применяется к нему.

• Неизвестный ответ на вредоносные программы безопасных вложений. Этот параметр управляет действием проверки вредоносных программ безопасных вложений в сообщениях электронной почты. Доступные варианты описаны в следующей таблице:

  Вариант	Эффект	Используйте, когда хотите:
  Выкл.	Безопасные вложения не сканируются на наличие вредоносных программ. Сообщения по-прежнему проверяются на наличие вредоносных программ с помощью защиты от вредоносных программ в EOP.	Отключить сканирование для выбранных получателей. Предотвратить ненужные задержки при маршрутизации внутренней почты. Этот параметр не рекомендуется для большинства пользователей. Этот параметр следует использовать только для отключения сканирования безопасных вложений для получателей, получающих сообщения только от доверенных отправителей. ZaP не помещает сообщения в карантин, если безопасные вложения отключены и сигнал вредоносного ПО не получен. Дополнительные сведения см. в разделе Автоматическая очистка нулевого часа.
  Мониторинг	Доставляет сообщения с вложениями, а затем отслеживает, что происходит с обнаруженным вредоносным ПО. Доставка безопасных сообщений может быть отложена из-за проверки безопасных вложений.	Узнайте, куда попадает обнаруженное вредоносное ПО в вашей организации.
  Блокировка	Предотвращает доставку сообщений с обнаруженными вредоносными вложениями. Сообщения помещаются на карантин. По умолчанию только администраторы (не пользователи) могут просматривать, разблокировать или удалять сообщения.* Автоматически блокирует будущие экземпляры сообщений и вложений. Доставка безопасных сообщений может быть отложена из-за проверки безопасных вложений.	Защищает организацию от повторных атак с использованием одних и тех же вредоносных вложений. Это значение по умолчанию и рекомендуемое значение в стандартных и строгих предустановленных политиках безопасности.
  Replace	Примечание. Это действие будет не рекомендуется. Дополнительные сведения см. в статье MC424901. Удаляет обнаруженные вредоносные вложения. Уведомляет получателей об удалении вложений. Сообщения, содержащие вредоносные вложения, помещаются на карантин. По умолчанию только администраторы (не пользователи) могут просматривать, разблокировать или удалять сообщения.* Доставка безопасных сообщений может быть отложена из-за проверки безопасных вложений.	Повысьте для получателей уровень видимости того, что вложения были удалены из-за обнаруженного вредоносного ПО.
  Динамическая доставка	Немедленно доставляет сообщения, но заменяет вложения заполнителями до завершения сканирования безопасных вложений. Сообщения, содержащие вредоносные вложения, помещаются на карантин. По умолчанию только администраторы (не пользователи) могут просматривать, разблокировать или удалять сообщения.* Дополнительные сведения см. в разделе Динамическая доставка в политиках безопасных вложений далее в этой статье.	Избегайте задержек сообщений, защищая получателей от вредоносных файлов.

  ^*Политика карантина. Администраторы могут создавать и назначать политики карантина в политиках безопасных вложений, которые определяют, что пользователям разрешено делать с сообщениями, помещенным в карантин. Дополнительные сведения см. в статье Политики карантина.

• Перенаправление сообщений с обнаруженными вложениями. Включите перенаправление и Отправка сообщений, содержащих заблокированные, отслеживаемые или замененные вложения, на указанный адрес электронной почты. Для действий блокировать, монитора или замены отправлять сообщения, содержащие вредоносные вложения, на указанный внутренний или внешний адрес электронной почты для анализа и исследования.

  Для стандартных и строгих параметров политики рекомендуется включить перенаправление. Дополнительные сведения см. в статье Параметры безопасных вложений.

  Примечание.

  Перенаправление скоро станет доступно только для действия Монитор . Дополнительные сведения см. в статье MC424899.

• Примените ответ на обнаружение безопасных вложений, если проверка не может завершиться (время ожидания или ошибки). Действие, указанное в ответе на неизвестные вредоносные программы безопасных вложений , выполняется с сообщениями, даже если проверка безопасных вложений не может завершиться. Всегда выбирайте этот параметр, если выбран параметр Включить перенаправление. В противном случае сообщения могут быть потеряны.

• Приоритет. При создании нескольких политик можно указать порядок их применения. Никакие две политики не могут иметь одинаковый приоритет, и обработка политики прекращается после применения первой политики.

  Дополнительные сведения о приоритетах, а также оценке и применении нескольких политик см. в статье Порядок и приоритет защиты электронной почты.

Динамическая доставка в политиках безопасных вложений

Примечание.

Динамическая доставка работает только для Exchange Online почтовых ящиков.

Действие Динамической доставки в политиках безопасных вложений позволяет устранить все задержки доставки электронной почты, которые могут быть вызваны проверкой безопасных вложений. Текст сообщения электронной почты доставляется получателю с заполнителем для каждого вложения. Заполнитель остается до тех пор, пока вложение не будет найдено в безопасности, а затем вложение станет доступным для открытия или скачивания.

Если вложение является вредоносным, сообщение помещается в карантин.

Большинство PDF-файлов и документов Office можно просмотреть в безопасном режиме во время сканирования безопасных вложений. Если вложение несовместимо с предварительным просмотром динамической доставки, получатели будут видеть заполнитель для вложения до завершения сканирования безопасных вложений.

Если вы используете мобильное устройство и PDF-файлы не отображаются в средстве предварительного просмотра динамической доставки на мобильном устройстве, попробуйте открыть сообщение в Outlook в Интернете (ранее — Outlook Web App) с помощью мобильного браузера.

Ниже приведены некоторые рекомендации по динамической доставке и пересылаемых сообщений.

• Если перенаправленный получатель защищен политикой безопасных вложений, которая использует параметр динамической доставки, получатель видит заполнитель с возможностью предварительного просмотра совместимых файлов.
• Если переадресованный получатель не защищен политикой безопасных вложений, сообщение и вложения будут доставлены без проверки безопасных вложений или заполнителей вложений.

Существуют сценарии, в которых динамическая доставка не может заменить вложения в сообщениях. Это происходит в описанных ниже случаях.

• Сообщения в общедоступных папках.
• Сообщения, которые направляются из и обратно в почтовый ящик пользователя с помощью пользовательских правил.
• Сообщения, которые перемещаются (автоматически или вручную) из облачных почтовых ящиков в другие расположения, включая архивные папки.
• Правила папки "Входящие" перемещают сообщение из папки "Входящие" в другую папку.
• Удаленные сообщения.
• Папка поиска почтового ящика пользователя находится в состоянии ошибки.
• Exchange Online организаций, в которых включен exclaimer. Чтобы устранить эту проблему, см . статью KB4014438.
• S/MIME) зашифрованные сообщения.
• Вы настроили действие динамической доставки в политике безопасных вложений, но получатель не поддерживает динамическую доставку (например, получатель является почтовым ящиком в локальной организации Exchange). Однако безопасные ссылки в Microsoft Defender для Office 365 могут проверять вложения файлов Office, содержащие URL-адреса (если проверка безопасных ссылок для приложений Office включена в соответствующей политике безопасных ссылок).

Отправка файлов для анализа вредоносных программ

• Если вы получили файл, который вы хотите отправить в Корпорацию Майкрософт для анализа, см. раздел Отправка вредоносных программ и не вредоносных программ в корпорацию Майкрософт для анализа.
• Если вы получили сообщение электронной почты (с вложением или без нее), которое вы хотите отправить в Корпорацию Майкрософт для анализа, см. статью Отправка сообщений и файлов в корпорацию Майкрософт.