Karantænemails i EOP og Defender for Office 365

• Gælder for:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tip

Vidste du, at du kan prøve funktionerne i Microsoft Defender XDR til Office 365 Plan 2 gratis? Brug den 90-dages Defender for Office 365 prøveversion på Microsoft Defender portalen med prøveversionshubben. Få mere at vide om, hvem der kan tilmelde sig og om prøvevilkår her.

I Microsoft 365-organisationer med postkasser i Exchange Online eller enkeltstående EOP-organisationer (Exchange Online Protection) uden Exchange Online postkasser er karantæne tilgængelig til at indeholde potentielt farlige eller uønskede meddelelser.

Bemærk!

I Microsoft 365, der drives af 21Vianet, er karantæne i øjeblikket ikke tilgængelig på Microsoft Defender-portalen. Karantæne er kun tilgængelig i det klassiske Exchange Administration (klassisk EAC).

Om en registreret meddelelse er sat i karantæne som standard, afhænger af følgende faktorer:

• Den beskyttelsesfunktion, der registrerede meddelelsen. Følgende registreringer er f.eks. altid sat i karantæne:
  • Malwareregistreringer af politikker for antimalware og politikker for vedhæftede filer, der er tillid til, herunder indbygget beskyttelse af sikre vedhæftede filer^*.
  • Phishingregistreringer med høj genkendelsessikkerhed via politikker til bekæmpelse af spam.
• Uanset om du bruger standard- og/eller strenge forudindstillede sikkerhedspolitikker. Strict-profilen sætter flere typer registreringer i karantæne end Standard-profilen.

^* Filtrering af malware springes over på SecOps-postkasser, der er identificeret i den avancerede leveringspolitik. Du kan få flere oplysninger under Konfigurer den avancerede leveringspolitik for phishing-simuleringer fra tredjepart og levering af mail til SecOps-postkasser.

Standardhandlinger for beskyttelsesfunktioner i EOP og Defender for Office 365, herunder forudindstillede sikkerhedspolitikker, er beskrevet i funktionstabellerne i Anbefalede indstillinger for EOP og Microsoft Defender for Office 365 sikkerhed.

I forbindelse med beskyttelse mod spam og phishing kan administratorer også ændre standardpolitikken eller oprette brugerdefinerede politikker for at sætte meddelelser i karantæne i stedet for at levere dem til mappen Uønsket mail. Du kan finde instruktioner i følgende artikler:

• Konfigurer politikker mod spam i EOP
• Konfigurer politikker for antiphishing i EOP
• Konfigurer politikker til bekæmpelse af phishing i Microsoft Defender for Office 365

Beskyttelsespolitikkerne for understøttede funktioner har en eller flere karantænepolitikker tildelt dem (hver handling i beskyttelsespolitikken har en tilknyttet karantænepolitiktildeling).

Tip

Alle handlinger, der udføres af administratorer eller brugere i karantænemeddelelser, overvåges. Du kan få flere oplysninger om overvågede karantænehændelser i Karantæneskema i API til Office 365 Management.

Karantænepolitik

Karantænepolitikker definerer, hvad brugerne kan gøre eller ikke kan gøre for at sætte meddelelser i karantæne, og om brugerne modtager karantænemeddelelser for disse meddelelser. Du kan få flere oplysninger under Anatomi af en karantænepolitik.

Tip

Du kan oprette tilpassede karantænemeddelelser for forskellige sprog. Du kan også bruge et brugerdefineret logo i karantænemeddelelser.

De standard karantænepolitikker, der er tildelt til beskyttelsesfunktioner, gennemtvinger de historiske funktioner, som brugerne får for deres karantænemeddelelser (meddelelser, hvor de er modtager). Du kan finde flere oplysninger i tabellen i Find og frigiv karantænemeddelelser som bruger i EOP. Det er f.eks. kun administratorer, der kan arbejde med meddelelser, der er sat i karantæne som malware eller phishing med høj sikkerhed. Brugerne kan som standard arbejde med deres meddelelser, der er sat i karantæne som spam, masse, phishing, spoof, brugerpræsentation, domæneidentificerelse eller postkasseintelligens.

Administratorer kan oprette og anvende brugerdefinerede karantænepolitikker, der definerer mindre restriktive eller mere restriktive funktioner for brugere, og aktivere karantænemeddelelser. Du kan få flere oplysninger under Create karantænepolitikker.

Bemærk!

Brugerne kan ikke frigive deres egne meddelelser, der er sat i karantæne som malware af politikker for antimalware eller sikre vedhæftede filer, eller som phishing med høj sikkerhed ved hjælp af politikker til bekæmpelse af spam, uanset hvordan karantænepolitikken er konfigureret. Hvis politikken giver brugerne mulighed for at frigive deres egne karantænemeddelelser, har brugerne i stedet tilladelse til at anmode om frigivelse af deres karantænerede malware eller phishing-meddelelser med høj sikkerhed.

Både brugere og administratorer kan arbejde med meddelelser i karantæne:

• Administratorer kan arbejde med alle typer af karantænemeddelelser for alle brugere, herunder meddelelser, der er sat i karantæne som malware, phishing med høj sikkerhed eller som et resultat af regler for mailflow (også kendt som transportregler). Du kan få flere oplysninger under Administrer karantænerede meddelelser og filer som administrator i EOP.

  Tip

  Du kan se de tilladelser, der kræves for at downloade og frigive meddelelser fra karantæne, i tilladelsesposten her.

• Brugerne kan arbejde med deres karantænemeddelelser baseret på den beskyttelsesfunktion, der har sat meddelelsen i karantæne, og indstillingen i den tilsvarende karantænepolitik. Du kan finde flere oplysninger under Find og frigiv karantænemeddelelser som bruger i EOP.

• Administratorer kan rapportere falske positiver til Microsoft fra karantæne. Du kan få flere oplysninger under Udfør handling på karantænerede mails og Udfør handlinger på filer, der er sat i karantæne.

• Brugerne kan også rapportere falske positiver til Microsoft fra karantæne, afhængigt af værdien af indstillingen Rapportering fra karantæne i brugerrapporterede indstillinger.

Opbevaring af karantæne

Hvor længe karantænemeddelelser eller filer holdes i karantæne, før de udløber, afhænger af, hvorfor meddelelsen eller filen blev sat i karantæne. Funktioner og deres tilsvarende opbevaringsperioder er beskrevet i følgende tabel:

Årsag til karantæne	Standardopbevaringsperiode	Tilpasselig?	Kommentarer
Meddelelser, der er sat i karantæne af politikker til bekæmpelse af spam som spam, spam med høj tillid, phishing, phishing med høj tillid eller masse.	15 dage I standardpolitikken for spam. I politikker til bekæmpelse af spam, som du opretter i PowerShell. 30 dage I politikker til bekæmpelse af spam, som du opretter på Microsoft Defender-portalen. I Standard- og Strict-forudindstillede sikkerhedspolitikker	Ja*	Du kan konfigurere værdien fra 1 til 30 dage i standardpolitikken for spam og i brugerdefinerede politikker mod spam. Du kan få flere oplysninger under indstillingen Bevar spam i karantæne i så mange dage (QuarantineRetentionPeriod) under Konfigurer politikker for spam. *Du kan ikke ændre værdien i standard- eller strenge forudindstillede sikkerhedspolitikker.
Meddelelser, der er sat i karantæne af politikker til bekæmpelse af phishing: EOP: Spoof intelligence. Defender for Office 365: Beskyttelse af brugeridentificeret repræsentation, beskyttelse mod repræsentation af domæner og beskyttelse af postkasseintelligens.	15 dage eller 30 dage	Ja*	Denne opbevaringsperiode styres også af indstillingen Bevar spam i karantæne i dette antal dage (QuarantineRetentionPeriod) i politikker for bekæmpelse af spam . Den opbevaringsperiode, der bruges, er værdien fra den første matchende politik for spam , som modtageren er defineret i.
Meddelelser, der er sat i karantæne af politikker for antimalware (malwaremeddelelser).	30 dage	Nej	Hvis du slår filteret for almindelige vedhæftede filer til i politikker for antimalware (i standardpolitikken eller i brugerdefinerede politikker), behandles vedhæftede filer i mails til de berørte modtagere som malware udelukkende baseret på filtypenavnet ved hjælp af sand typematchning. En foruddefineret liste over de fleste eksekverbare filtyper bruges som standard, men du kan tilpasse listen. Du kan få flere oplysninger under Filter for almindelige vedhæftede filer i politikker til antimalware.
Meddelelser, der er sat i karantæne efter regler for mailflow, hvor handlingen er Levér meddelelsen til den hostede karantæne (karantæne).	30 dage	Nej
Meddelelser, der er sat i karantæne af politikker for sikre vedhæftede filer i Defender for Office 365 (malwaremeddelelser).	30 dage	Nej
Filer, der er sat i karantæne af Sikre vedhæftede filer til SharePoint, OneDrive og Microsoft Teams (malwarefiler).	30 dage	Nej	Filer, der er sat i karantæne i SharePoint eller OneDrive, fjernes fra karantæne efter 30 dage, men de blokerede filer forbliver i SharePoint eller OneDrive i blokeret tilstand.
Meddelelser i chats og kanaler er sat i karantæne af ZAP (automatisk beskyttelse på nul timer) for Microsoft Teams i Defender for Office 365	30 dage	Nej

Når en meddelelse udløber fra karantæne, kan du ikke gendanne den.

Du kan få flere oplysninger om karantæne under Ofte stillede spørgsmål om karantæne.