E-postmeddelanden i karantän i EOP och Defender för Office 365

• Gäller för:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tips

Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkoren här.

I Microsoft 365-organisationer med postlådor i Exchange Online eller fristående Exchange Online Protection organisationer (EOP) utan Exchange Online postlådor är karantän tillgänglig för att lagra potentiellt farliga eller oönskade meddelanden.

Obs!

I Microsoft 365 som drivs av 21Vianet är karantän för närvarande inte tillgängligt i Microsoft Defender-portalen. Karantän är endast tillgängligt i det klassiska administrationscentret för Exchange (klassisk EAC).

Om ett identifierat meddelande sätts i karantän som standard beror på följande faktorer:

• Skyddsfunktionen som identifierade meddelandet. Följande identifieringar placeras till exempel alltid i karantän:
  • Identifiering av skadlig kod genom principer för skydd mot skadlig kod och principer för säkra bifogade filer, inklusive inbyggt skydd för säkra bifogade filer^*.
  • Nätfiskeidentifiering med hög konfidens genom principer för skräppostskydd.
• Oavsett om du använder standard- och/eller strikt förinställda säkerhetsprinciper. Profilen Strikt placerar fler typer av identifieringar i karantän än standardprofilen.

^* Filtrering av skadlig kod hoppas över på SecOps-postlådor som identifieras i den avancerade leveransprincipen. Mer information finns i Konfigurera den avancerade leveransprincipen för nätfiskesimuleringar från tredje part och e-postleverans till SecOps-postlådor.

Standardåtgärderna för skyddsfunktioner i EOP och Defender för Office 365, inklusive förinställda säkerhetsprinciper, beskrivs i funktionstabellerna i Rekommenderade inställningar för EOP och Microsoft Defender för Office 365 säkerhet.

För skydd mot skräppost och skydd mot nätfiske kan administratörer också ändra standardprincipen eller skapa anpassade principer för att placera meddelanden i karantän i stället för att leverera dem till mappen Skräppost Email. Anvisningar finns i följande artiklar:

• Konfigurera principer för skräppostskydd i EOP
• Konfigurera principer för skydd mot nätfiske i EOP
• Konfigurera principer för skydd mot nätfiske i Microsoft Defender för Office 365

Skyddsprinciperna för funktioner som stöds har en eller flera tilldelade karantänprinciper (varje åtgärd i skyddsprincipen har en associerad tilldelning av karantänprinciper).

Tips

Alla åtgärder som vidtas av administratörer eller användare på meddelanden i karantän granskas. Mer information om granskade karantänhändelser finns i Karantänschema i api:et för Office 365 Management.

Karantänprinciper

Karantänprinciper definierar vad användare kan göra eller inte göra för meddelanden i karantän och om användarna får karantänaviseringar för dessa meddelanden. Mer information finns i Anatomi för en karantänprincip.

Tips

Du kan skapa anpassade karantänmeddelanden för olika språk. Du kan också använda en anpassad logotyp i karantänmeddelanden.

Standardprinciperna för karantän som tilldelas skyddsfunktionens utlåtanden tillämpar de historiska funktioner som användarna får för sina meddelanden i karantän (meddelanden där de är mottagare). Mer information finns i tabellen i Hitta och släppa meddelanden i karantän som användare i EOP. Till exempel kan endast administratörer arbeta med meddelanden som har satts i karantän som skadlig kod eller nätfiske med hög konfidens. Som standard kan användarna arbeta med sina meddelanden som satts i karantän som skräppost, massfiske, nätfiske, förfalskning, användarpersonifiering, domänpersonifiering eller postlådeinformation.

Administratörer kan skapa och tillämpa anpassade karantänprinciper som definierar mindre restriktiva eller mer restriktiva funktioner för användare och även aktivera karantänaviseringar. Mer information finns i Skapa karantänprinciper.

Obs!

Användare kan inte släppa sina egna meddelanden som har satts i karantän som skadlig kod av principer för skydd mot skadlig kod eller säkra bifogade filer, eller som nätfiske med hög konfidens av principer för skräppostskydd, oavsett hur karantänprincipen konfigureras. Om principen tillåter användare att släppa sina egna meddelanden i karantän får användarna i stället begära att deras skadliga kod i karantän eller nätfiskemeddelanden med hög konfidens släpps.

Både användare och administratörer kan arbeta med meddelanden i karantän:

• Administratörer kan arbeta med alla typer av meddelanden i karantän för alla användare, inklusive meddelanden som satts i karantän som skadlig kod, nätfiske med hög konfidens eller som ett resultat av e-postflödesregler (även kallade transportregler). Mer information finns i Hantera meddelanden och filer i karantän som administratör i EOP.

  Tips

  De behörigheter som krävs för att ladda ned och släppa meddelanden från karantän finns i behörighetsposten här.

• Användare kan arbeta med sina meddelanden i karantän baserat på skyddsfunktionen som satte meddelandet i karantän och inställningen i motsvarande karantänprincip. Mer information finns i Hitta och släppa meddelanden i karantän som en användare i EOP.

• Administratörer kan rapportera falska positiva identifieringar till Microsoft från karantän. Mer information finns i Vidta åtgärder för e-post i karantän och Vidta åtgärder för filer i karantän.

• Användare kan också rapportera falska positiva identifieringar till Microsoft från karantän, beroende på värdet för inställningen Rapportering från karantän i användarrapporterade inställningar.

Kvarhållning av karantän

Hur länge meddelanden eller filer i karantän hålls i karantän innan de upphör att gälla beror på varför meddelandet eller filen har placerats i karantän. Funktioner och deras motsvarande kvarhållningsperioder beskrivs i följande tabell:

Orsak till karantän	Standardkvarhållningsperiod	Anpassningsbara?	Kommentarer
Meddelanden i karantän av principer för skräppostskydd som skräppost, skräppost med hög konfidens, nätfiske, nätfiske med hög konfidens eller massutskick.	15 dagar I standardprincipen för skräppostskydd. I principer för skräppostskydd som du skapar i PowerShell. 30 dagar I principer för skräppostskydd som du skapar i Microsoft Defender-portalen. I standard- och strikt förinställda säkerhetsprinciper	Ja*	Du kan konfigurera värdet från 1 till 30 dagar i standardprincipen för skräppostskydd och i anpassade principer för skräppostskydd. Mer information finns i inställningen Behåll skräppost i karantän under så här många dagar (QuarantineRetentionPeriod) i Konfigurera principer för skräppostskydd. *Du kan inte ändra värdet i standard- eller strikt förinställda säkerhetsprinciper.
Meddelanden i karantän av principer för skydd mot nätfiske: EOP: Förfalskningsinformation. Defender för Office 365: Skydd mot användarpersonifiering, skydd mot domänpersonifiering och skydd mot postlådeinformation.	15 dagar eller 30 dagar	Ja*	Den här kvarhållningsperioden styrs också av inställningen Behåll skräppost i karantän under så här många dagar (QuarantineRetentionPeriod) i principer för skräppostskydd . Kvarhållningsperioden som används är värdet från den första matchande principen för skräppostskydd som mottagaren definieras i.
Meddelanden i karantän av principer för skydd mot skadlig kod (meddelanden om skadlig kod).	30 dagar	Nej	Om du aktiverar det gemensamma filtret för bifogade filer i principer för skydd mot skadlig kod (i standardprincipen eller i anpassade principer) behandlas filbilagor i e-postmeddelanden till de berörda mottagarna som skadlig kod enbart baserat på filtillägget med matchning av sann typ. En fördefinierad lista över mestadels körbara filtyper används som standard, men du kan anpassa listan. Mer information finns i Common attachments filter in anti-malware policies (Vanliga bifogade filer filtrerar i principer för skydd mot skadlig kod).
Meddelanden i karantän av e-postflödesregler där åtgärden är Leverera meddelandet till den värdbaserade karantänen (Karantän).	30 dagar	Nej
Meddelanden i karantän av principer för säkra bifogade filer i Defender för Office 365 (meddelanden om skadlig kod).	30 dagar	Nej
Filer i karantän av säkra bifogade filer för SharePoint, OneDrive och Microsoft Teams (filer med skadlig kod).	30 dagar	Nej	Filer i karantän i SharePoint eller OneDrive tas bort från karantänen efter 30 dagar, men de blockerade filerna förblir i SharePoint eller OneDrive i blockerat tillstånd.
Meddelanden i chattar och kanaler i karantän med automatiskt skydd utan timme (ZAP) för Microsoft Teams i Defender för Office 365	30 dagar	Nej

När ett meddelande upphör att gälla från karantänen kan du inte återställa det.

Mer information om karantän finns i Vanliga frågor och svar om karantän.