Dela via


E-postmeddelanden i karantän i EOP och Defender för Office 365

Tips

Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkoren här.

I Microsoft 365-organisationer med postlådor i Exchange Online eller fristående Exchange Online Protection organisationer (EOP) utan Exchange Online postlådor är karantän tillgänglig för att lagra potentiellt farliga eller oönskade meddelanden.

Obs!

I Microsoft 365 som drivs av 21Vianet är karantän för närvarande inte tillgängligt i Microsoft Defender-portalen. Karantän är endast tillgängligt i det klassiska administrationscentret för Exchange (klassisk EAC).

Om ett identifierat meddelande sätts i karantän som standard beror på följande faktorer:

* Filtrering av skadlig kod hoppas över på SecOps-postlådor som identifieras i den avancerade leveransprincipen. Mer information finns i Konfigurera den avancerade leveransprincipen för nätfiskesimuleringar från tredje part och e-postleverans till SecOps-postlådor.

Standardåtgärderna för skyddsfunktioner i EOP och Defender för Office 365, inklusive förinställda säkerhetsprinciper, beskrivs i funktionstabellerna i Rekommenderade inställningar för EOP och Microsoft Defender för Office 365 säkerhet.

För skydd mot skräppost och skydd mot nätfiske kan administratörer också ändra standardprincipen eller skapa anpassade principer för att placera meddelanden i karantän i stället för att leverera dem till mappen Skräppost Email. Anvisningar finns i följande artiklar:

Skyddsprinciperna för funktioner som stöds har en eller flera tilldelade karantänprinciper (varje åtgärd i skyddsprincipen har en associerad tilldelning av karantänprinciper).

Tips

Alla åtgärder som vidtas av administratörer eller användare på meddelanden i karantän granskas. Mer information om granskade karantänhändelser finns i Karantänschema i api:et för Office 365 Management.

Karantänprinciper

Karantänprinciper definierar vad användare kan göra eller inte göra för meddelanden i karantän och om användarna får karantänaviseringar för dessa meddelanden. Mer information finns i Anatomi för en karantänprincip.

Standardprinciperna för karantän som tilldelas skyddsfunktionens utlåtanden tillämpar de historiska funktioner som användarna får för sina meddelanden i karantän (meddelanden där de är mottagare). Mer information finns i tabellen i Hitta och släppa meddelanden i karantän som användare i EOP. Till exempel kan endast administratörer arbeta med meddelanden som har satts i karantän som skadlig kod eller nätfiske med hög konfidens. Som standard kan användarna arbeta med sina meddelanden som satts i karantän som skräppost, massfiske, nätfiske, förfalskning, användarpersonifiering, domänpersonifiering eller postlådeinformation.

Administratörer kan skapa och tillämpa anpassade karantänprinciper som definierar mindre restriktiva eller mer restriktiva funktioner för användare och även aktivera karantänaviseringar. Mer information finns i Skapa karantänprinciper.

Obs!

Användare kan inte släppa sina egna meddelanden som har satts i karantän som skadlig kod av principer för skydd mot skadlig kod eller säkra bifogade filer, eller som nätfiske med hög konfidens av principer för skräppostskydd, oavsett hur karantänprincipen konfigureras. Om principen tillåter användare att släppa sina egna meddelanden i karantän får användarna i stället begära att deras skadliga kod i karantän eller nätfiskemeddelanden med hög konfidens släpps.

Både användare och administratörer kan arbeta med meddelanden i karantän:

Kvarhållning av karantän

Hur länge meddelanden eller filer i karantän hålls i karantän innan de upphör att gälla beror på varför meddelandet eller filen har placerats i karantän. Funktioner och deras motsvarande kvarhållningsperioder beskrivs i följande tabell:

Orsak till karantän Standardkvarhållningsperiod Anpassningsbara? Kommentarer
Meddelanden i karantän av principer för skräppostskydd som skräppost, skräppost med hög konfidens, nätfiske, nätfiske med hög konfidens eller massutskick. 15 dagar
  • I standardprincipen för skräppostskydd.
  • I principer för skräppostskydd som du skapar i PowerShell.

30 dagar
Ja* Du kan konfigurera värdet från 1 till 30 dagar i standardprincipen för skräppostskydd och i anpassade principer för skräppostskydd. Mer information finns i inställningen Behåll skräppost i karantän under så här många dagar (QuarantineRetentionPeriod) i Konfigurera principer för skräppostskydd.

*Du kan inte ändra värdet i standard- eller strikt förinställda säkerhetsprinciper.
Meddelanden i karantän av principer för skydd mot nätfiske:
  • EOP: Förfalskningsinformation.
  • Defender för Office 365: Skydd mot användarpersonifiering, skydd mot domänpersonifiering och skydd mot postlådeinformation.
15 dagar eller 30 dagar Ja* Den här kvarhållningsperioden styrs också av inställningen Behåll skräppost i karantän under så här många dagar (QuarantineRetentionPeriod) i principer för skräppostskydd . Kvarhållningsperioden som används är värdet från den första matchande principen för skräppostskydd som mottagaren definieras i.
Meddelanden i karantän av principer för skydd mot skadlig kod (meddelanden om skadlig kod). 30 dagar Nej Om du aktiverar det gemensamma filtret för bifogade filer i principer för skydd mot skadlig kod (i standardprincipen eller i anpassade principer) behandlas filbilagor i e-postmeddelanden till de berörda mottagarna som skadlig kod enbart baserat på filtillägget med matchning av sann typ. En fördefinierad lista över mestadels körbara filtyper används som standard, men du kan anpassa listan. Mer information finns i Common attachments filter in anti-malware policies (Vanliga bifogade filer filtrerar i principer för skydd mot skadlig kod).
Meddelanden i karantän av e-postflödesregler där åtgärden är Leverera meddelandet till den värdbaserade karantänen (Karantän). 30 dagar Nej
Meddelanden i karantän av principer för säkra bifogade filer i Defender för Office 365 (meddelanden om skadlig kod). 30 dagar Nej
Filer i karantän av säkra bifogade filer för SharePoint, OneDrive och Microsoft Teams (filer med skadlig kod). 30 dagar Nej Filer i karantän i SharePoint eller OneDrive tas bort från karantänen efter 30 dagar, men de blockerade filerna förblir i SharePoint eller OneDrive i blockerat tillstånd.
Meddelanden i chattar och kanaler i karantän med automatiskt skydd utan timme (ZAP) för Microsoft Teams i Defender för Office 365 30 dagar Nej

När ett meddelande upphör att gälla från karantänen kan du inte återställa det.

Mer information om karantän finns i Vanliga frågor och svar om karantän.