零時差自動清除 (#D1EB54173B7B54685870082091D5EB35B 中的 ZAP)

• 適用於:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2

提示

您知道您可以免費試用 Office 365 方案 2 的 Microsoft Defender 全面偵測回應 功能嗎？ 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 在這裡瞭解誰可以註冊和 試用條款。

在具有 Exchange Online 信箱的 Microsoft 365 組織中，零時差自動清除 (ZAP) 是 Exchange Online Protection (EOP) 中的一項保護功能，可追溯偵測並消除已傳遞至 Exchange Online 信箱的惡意網路釣魚、垃圾郵件或惡意代碼訊息。

ZAP 無法在保護內部部署信箱的獨立 EOP 環境中運作。

注意事項

目前處於預覽狀態，ZAP 也能夠追溯偵測 Microsoft Teams 中現有的惡意聊天訊息。

服務中的垃圾郵件和惡意代碼簽章會每天即時更新。 不過，使用者仍然可以收到惡意訊息。 例如：

• 郵件流程期間無法偵測到的零時差惡意代碼。
• 傳遞給用戶之後經過標準化的內容。

ZAP 會持續監視服務中的垃圾郵件和惡意代碼簽章更新，並順暢地為使用者解決這些問題。 ZAP 會尋找並針對已在使用者信箱中的郵件採取自動化動作。 ZAP 的搜尋僅限於過去 48 小時的已傳遞電子郵件。 如果 ZAP 偵測並行動訊息，則不會通知使用者。

觀看這段短片，瞭解 適用於 Office 365 的 Microsoft Defender 中的 ZAP 如何自動偵測並消除電子郵件中的威脅。

電子郵件訊息的零時差自動清除 (ZAP)

惡意代碼的零時 (自動清除 ZAP)

對於在傳遞后發現包含惡意代碼的 讀取或未讀取訊息 ，ZAP 會隔離包含惡意代碼附件的訊息。 根據預設，只有系統管理員才能檢視和管理隔離的惡意程式碼郵件。 但是，系統管理員可以建立並使用 隔離原則 來定義使用者可以執行哪些動作來隔離郵件，以及使用者是否收到隔離通知。 如需詳細資訊， 請參閱隔離原則的結構。

注意事項

不論隔離原則的設定方式為何，使用者都無法釋放自己被隔離為惡意代碼的郵件。 如果原則允許使用者釋放自己的隔離郵件，則會改為允許使用者 要求 釋放其隔離的惡意代碼訊息。

適用於惡意程式碼的 ZAP 在反惡意程式碼原則中預設啟用。 如需詳細資訊， 請參閱在 EOP 中設定反惡意代碼原則。

零時差自動清除 (網路釣魚的 ZAP)

對於識別為網路釣魚的讀取或未讀取訊息， (傳遞后的信賴網路釣魚) 不高，ZAP 結果取決於針對適用的反垃圾郵件原則中的網路釣魚決策所設定的動作。 下列清單說明可用的動作和可能的 ZAP 結果：

• 新增 X-Header、 在主旨行前面加上文字、 將郵件重新導向至電子郵件地址、 刪除郵件：ZAP 不會對郵件採取任何動作。

• 將郵件移至垃圾郵件 Email：ZAP 會將郵件移至 [垃圾郵件] Email資料夾。

  這是預設反垃圾郵件原則中 網路 釣魚決策的默認動作，以及您在PowerShell中建立的自定義反垃圾郵件原則。

• 隔離訊息：ZAP 會隔離訊息。

  這是標準和嚴格預設安全策略中網路釣魚決策的默認動作，以及您在 Defender 入口網站中建立的自定義反垃圾郵件原則中的預設動作。

根據預設，反垃圾郵件原則中會啟用網路釣魚的 ZAP。

如需設定垃圾郵件篩選決策的詳細資訊，請參閱 在 Microsoft 365 中設定反垃圾郵件原則。

高信賴度網路釣魚的零時差自動清除 (ZAP)

對於在傳遞後識別為高信賴度網路釣魚的讀取或未讀取訊息，ZAP 會隔離訊息。 根據預設，只有系統管理員可以檢視和管理隔離的高信賴度網路釣魚訊息。 但是，系統管理員可以建立並使用 隔離原則 來定義使用者可以執行哪些動作來隔離郵件，以及使用者是否收到隔離通知。 如需詳細資訊， 請參閱隔離原則的結構。

注意事項

不論隔離原則的設定方式為何，使用者都無法釋放被隔離為高信賴度網路釣魚的郵件。 如果原則允許用戶釋放自己的隔離郵件，則會改為允許使用者 要求 釋放其隔離的高信賴度網路釣魚訊息。

默認會啟用高信賴度網路釣魚的 ZAP。 如需詳細資訊，請參閱 Office 365 中預設的安全。

垃圾郵件的零時 (自動清除 ZAP)

對於在傳遞后識別為垃圾郵件或高信賴度垃圾郵件的未讀取郵件，ZAP 結果取決於針對適用的反垃圾郵件原則中的垃圾郵件或高信賴度垃圾郵件決策所設定的動作。 下列清單說明可用的動作和可能的 ZAP 結果：

• 新增 X-Header、 在主旨行前面加上文字、 將郵件重新導向至電子郵件地址、 刪除郵件：ZAP 不會對郵件採取任何動作。

• 將郵件移至垃圾郵件 Email：ZAP 會將郵件移至 [垃圾郵件] Email資料夾。

  針對 垃圾郵件 決策，這是預設反垃圾郵件原則、新的自定義反垃圾郵件原則和 標準預設安全策略中的默認動作。

  針對 高信賴度垃圾郵件 決策，這是預設反垃圾郵件原則和新自定義反垃圾郵件原則中的默認動作。

• 隔離訊息：ZAP 會隔離訊息。

  針對 垃圾郵件 決策，這是 嚴格預設安全策略中的默認動作。

  針對 高信賴度垃圾郵件 決策，這是 標準和嚴格預設安全策略中的默認動作。

根據預設，使用者可以檢視和管理被隔離為垃圾郵件或高信賴度垃圾郵件的郵件，而這些郵件是收件者。 但是，系統管理員可以建立並使用 隔離原則 來定義使用者可以執行哪些動作來隔離郵件，以及使用者是否收到隔離通知。 如需詳細資訊， 請參閱隔離原則的結構。

根據預設，垃圾郵件的 ZAP 會在反垃圾郵件原則中啟用。

如需設定垃圾郵件篩選決策的詳細資訊，請參閱 在 Microsoft 365 中設定反垃圾郵件原則。

如何查看 ZAP 是否已移動您的郵件

若要確定 ZAP 是否移動了您的郵件，您有以下選項：

• 訊息數目：使用 郵件流程狀態報告中的 [郵件流程 ] 檢視，查看指定日期範圍的 ZAP 受影響訊息數目。
• 訊息詳細數據：使用威脅總管 (或即時偵測) 依 [其他動作] 資料行的值 ZAP 篩選所有電子郵件事件。

注意事項

ZAP 不會以系統動作的方式記錄在 Exchange 信箱稽核記錄中。

#D57639819CA9A421C84E590FDF60DC6B4 中安全附件的零時差自動清除 (ZAP) 考慮

ZAP 不會隔離正在進行安全附件中 動態傳遞 原則掃描的訊息。 如果針對處於此狀態的郵件收到網路釣魚或垃圾郵件訊號，且反垃圾郵件原則中的篩選決策設定為對郵件採取一些動作， (移至垃圾郵件、重新導向、刪除或隔離) ，ZAP 會還原為「移至垃圾郵件」動作。

Microsoft Teams 中 ZAP) 的零時 (自動清除

提示

適用於 Microsoft Teams 的 ZAP 僅適用於具有 Microsoft 365 E5 或 適用於 Office 365 的 Microsoft Defender 方案 2 訂閱的客戶。 若要設定 TEAMS 保護的 ZAP，請參閱 適用於 Office 365 的 Microsoft Defender Microsoft Teams 的方案 2 支援。

Teams 聊天中的 ZAP

ZAP 適用於 Teams 聊天中識別為惡意代碼或高信賴度網路釣魚的內部訊息。 目前不支援外部訊息。

Teams 與電子郵件不同，因為 Teams 聊天中的每個人都會同時收到相同的訊息復本， (沒有訊息循環) 。 當 ZAP for Teams 保護封鎖訊息時，會封鎖聊天中每個人的訊息。 初始區塊會在傳遞之後立即發生，但 ZAP 會在傳遞後最多 48 小時發生。

Teams 聊天中適用於 Teams 保護的 ZAP 排除對郵件 收件者而言很重要，而非郵件 寄件者。 若要設定 Teams 聊天的例外狀況，請參閱在方案 2 中設定 TEAMS 保護的 ZAP 適用於 Office 365 的 Defender。

如果聊天中的任何收件者並未從 TEAMS 保護的 ZAP 中排除，則適用於 Teams 保護的 ZAP 能夠對聊天中所有收件者的郵件採取動作。 只有當聊天中 的所有 收件者都排除在 TEAMS 保護的 ZAP 之外時，ZAP 才會對郵件採取動作。 下表說明這些案例：

案例	結果
與收件者 A、B、C 和 D 進行群組聊天。 Teams 保護的 ZAP 中會排除收件者 A、B、C 和 D。	ZAP 不會封鎖傳送至群組聊天的訊息。
與收件者 A、B、C 和 D 進行群組聊天。 只有收件者 A、B 和 C 會從 TEAMS 保護的 ZAP 中排除。	ZAP 能夠封鎖傳送至所有收件者群組聊天的訊息。
與收件者 A、B、C 和 D 進行群組聊天。 Teams 保護的 ZAP 不會排除收件者 A、B、C 和 D。 Sender X 會從 TEAMS 保護的 ZAP 中排除，並將訊息傳送至群組聊天。	ZAP 能夠封鎖傳送至所有收件者群組聊天的訊息。

寄件人檢視：

收件者檢視：

Teams 頻道中的 ZAP

ZAP for Teams 保護支援下列類型的 Teams 頻道：

• 標準通道：ZAP 適用於內部訊息。 目前不支援外部訊息。
• 共用通道：ZAP 適用於內部和外部訊息。

目前，ZAP 無法在私人通道中使用。

若要為 Teams 頻道設定 ZAP 保護的例外狀況，您需要收件者電子郵件位址。 此位址與 Teams 用戶端中的通道電子郵件位址不同。

若要取得用於 Teams 頻道保護例外狀況的收件者電子郵件位址，請使用 Teams 訊息實體面板 [頻道詳細數據] 區段中的 [名稱] 和 [電子郵件] 值。 如需詳細資訊，請參閱 適用於 Office 365 的 Microsoft Defender 中的Teams訊息實體面板。

若要設定 Teams 頻道的例外狀況，請參閱在方案 2 中設定 Teams 保護的 ZAP 適用於 Office 365 的 Defender。

Teams 中高信賴度網路釣魚訊息的零時差自動清除 (ZAP)

對於在傳遞後識別為高信賴度網路釣魚的郵件，適用於Teams的 ZAP 保護會封鎖並隔離訊息。 若要設定在 ZAP for Teams 中用於高信賴度網路釣魚偵測的隔離原則，請參閱 適用於 Office 365 的 Microsoft Defender Microsoft Teams 的方案 2 支援。

Teams 訊息中惡意代碼的零時差自動清除 (ZAP)

對於識別為惡意代碼的訊息，適用於Teams的 ZAP 保護會封鎖並隔離訊息。 若要設定 ZAP for Teams 中用於惡意代碼偵測的隔離原則，請參閱 適用於 Office 365 的 Microsoft Defender Microsoft Teams 的方案 2 支援。

如何查看 ZAP 是否封鎖 Teams 訊息

目前，只有系統管理員可以檢視和管理 ZAP 針對 Teams 保護隔離的訊息。 如需詳細資訊，請參閱使用 Microsoft Defender 入口網站來管理 Microsoft Teams 隔離的郵件。

ZAP) 常見問題 (零時段自動清除

如果 ZAP 將合法訊息移至 [垃圾郵件] Email 資料夾，會發生什麼事？

遵循向 Microsoft 回報誤判的一般程式。 只有當服務判斷郵件是垃圾郵件或惡意郵件時，ZAP 才會將郵件從 [收件匣] 資料夾移至 [垃圾郵件] Email資料夾。

如果我使用 [隔離] 資料夾而非 [垃圾郵件] 資料夾，該怎麼辦？

ZAP 會根據反垃圾郵件原則的設定對郵件採取動作，如本文稍早所述。

ZAP 如何受到 EOP 和 適用於 Office 365 的 Defender 中保護功能的例外狀況影響？

安全 寄件者清單、Exchange 郵件流程規則 (傳輸規則) ，以及其他組織封鎖和允許設定可能會覆寫 ZAP 動作。 不過，針對惡意代碼和高信賴度網路釣魚決策，在極少數情況下，ZAP 不會對訊息採取行動來保護使用者：

• 進階傳遞原則中識別的第三方網路釣魚模擬 URL (高信賴度網路釣魚) 。
• 進階傳遞原則中識別的 SecOps 信箱 (惡意代碼和高信賴度網路釣魚) 。
• Microsoft 365 網域的 MX 記錄指向另一個服務或裝置，而您會使用郵件流程規則來 略過垃圾郵件篩選 ， (高信賴度網路釣魚) 。
• 管理員 向 Microsoft 提交誤判。 根據預設，允許網域和電子郵件位址、檔案和URL的專案存在30天， (惡意代碼和高信賴度網路釣魚) 。

請務必仔細考慮略過篩選的影響，因為這可能會危害組織的安全性狀態。

ZAP 的授權需求為何？

針對惡意代碼、垃圾郵件和網路釣魚，ZAP 沒有特殊授權需求。 ZAP 適用於裝載於 Exchange Online 中的所有信箱。 ZAP 不適用於受獨立 EOP 保護的內部部署信箱。

適用於 Teams 的 ZAP 保護需要 Microsoft 365 E5 或 適用於 Office 365 的 Microsoft Defender 方案 2 授權。

ZAP 是否適用於信箱中其他資料夾中的郵件 (例如收件匣規則所移動的郵件) ？

只要訊息尚未刪除，或只要尚未套用相同或更強的動作，ZAP 仍可運作。 例如，如果郵件位於 [垃圾郵件 Email] 資料夾中，且適用之防網路釣魚原則中的動作是隔離，ZAP 就會隔離郵件。

ZAP 如何影響保留信箱？

ZAP 會隔離保留信箱中的郵件。 ZAP 可以根據針對垃圾郵件或反垃圾郵件原則中的網路釣魚決策所設定的動作，將郵件移至垃圾郵件 Email資料夾。

如需有關保留 Exchange Online 的詳細資訊，請參閱 Exchange Online 中的就地保留和訴訟保留。