Сообщения электронной почты, помещенные в карантин в облачных организациях

Совет

Знаете ли вы, что можете бесплатно опробовать возможности Microsoft Defender для Office 365 Plan 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте о том, кто может зарегистрироваться и использовать условия пробной версии на Microsoft Defender для Office 365.

Во всех организациях с облачными почтовыми ящиками карантин доступен для хранения потенциально опасных или нежелательных сообщений.

Примечание.

В Microsoft 365, управляемой компанией 21Vianet в Китае, карантин в настоящее время недоступен на портале Microsoft Defender. Карантин доступен только в классическом центре администрирования Exchange (EAC).

Полностью отключить карантин в Microsoft 365 невозможно. Вредоносные и фишинговые сообщения с высоким уровнем достоверности всегда помещаются в карантин для защиты службы. Администраторы могут уменьшить количество сообщений, помещенных в карантин, изменив действия по доставке сообщений в папку "Нежелательная Email" вместо карантина в политиках защиты от нежелательной почты и в политиках защиты от фишинга.

Будет ли обнаружено сообщение помещено в карантин по умолчанию, зависит от следующих факторов:

* Фильтрация вредоносных программ не выполняется для почтовых ящиков SecOps, указанных в расширенной политике доставки. Дополнительные сведения см. в статье Настройка расширенной политики доставки для моделирования фишинга сторонних поставщиков и доставки электронной почты в почтовые ящики SecOps.

Действия по умолчанию для функций защиты электронной почты в Microsoft 365, включая предустановленные политики безопасности, описаны в таблицах функций в разделе Рекомендуемые параметры политики угроз электронной почты и совместной работы для облачных организаций.

Для защиты от нежелательной почты и фишинга администраторы также могут изменить политику угроз по умолчанию или создать настраиваемые политики угроз для карантина сообщений вместо их доставки в папку "Нежелательная Email". Инструкции см. в следующих статьях:

Политикам угроз для поддерживаемых функций назначена одна или несколько политик карантина (каждое действие в политике угроз имеет связанное назначение политики карантина).

Совет

Все действия, выполняемые администраторами или пользователями в сообщениях, помещенных в карантин, проверяются. Дополнительные сведения о событиях аудита карантина см. в статье Схема карантина в API управления Office 365.

Политики карантина

Политики карантина определяют, что пользователи могут или не могут делать с сообщениями, помещенными в карантин, и получают ли пользователи уведомления о карантине для этих сообщений. Дополнительные сведения см. в разделе Анатомия политики карантина.

Политики карантина по умолчанию, назначенные решениям функций защиты, сохраняют прежние возможности, доступные пользователям для их помещённых в карантин сообщений (то есть сообщений, получателями которых они являются). Дополнительные сведения см. в таблице в разделе Поиск и освобождение сообщений из карантина пользователем.

Например, только администраторы могут работать с сообщениями, которые были помещены в карантин как вредоносные программы или фишинг с высокой степенью достоверности. По умолчанию пользователи могут работать с сообщениями, помещенными в карантин как спам, массовая рассылка, фишинговые, поддельные, имитация пользователя, имитация домена или аналитика почтового ящика.

Администраторы могут создавать и применять пользовательские политики карантина, которые определяют менее строгие или более строгие возможности для пользователей, а также включать уведомления о карантине. Дополнительные сведения см. в статье Создание политик карантина.

С сообщениями, помещенными в карантин, могут работать как пользователи, так и администраторы:

  • Администраторы могут работать со всеми типами сообщений, помещенных в карантин для всех пользователей, включая сообщения, помещенные в карантин как вредоносные программы, фишинг с высокой степенью достоверности или в результате правил потока обработки почты (также известных как правила транспорта). Дополнительные сведения см. в статье Управление сообщениями и файлами в карантине с правами администратора.

    Совет

    Разрешения, необходимые для скачивания и освобождения всех сообщений из карантина, см. в статье Что необходимо знать, прежде чем приступить к работе? статьи Управление сообщениями и файлами в карантине в качестве администратора.

  • Пользователи могут работать со своими сообщениями, помещенными в карантин, на основе функции защиты, которая помещла сообщение в карантин, и параметра в соответствующей политике карантина. Дополнительные сведения см. в статье Поиск и освобождение сообщений из карантина пользователем.

    Примечание.

    Получатели не могут освобождать сообщения, помещенные в карантин, в следующих сценариях независимо от того, как настроена политика карантина:

    • Сообщения, помещенные в карантин как вредоносные программы политиками защиты от вредоносных программ.
    • Сообщения, помещенные в карантин политиками безопасных вложений из-за наличия вредоносного ПО или фишинга.
    • Сообщения, помещённые в карантин политиками защиты от спама как фишинг с высокой степенью достоверности.

    Если политика карантина позволяет получателям выпускать сообщения, они могут запрашивать только освобождение этих сообщений, помещенных в карантин.

  • Администраторы могут сообщать майкрософт о ложноположительных результатах из карантина. Дополнительные сведения см. в разделах Действие по электронной почте в карантине и Действие с файлами, помещенным в карантин.

  • Пользователи также могут сообщать майкрософт о ложноположительных результатах из карантина на основе параметра Отчеты из карантина в параметрах, сообщаемых пользователем.

Хранение в карантине

Срок хранения сообщений или файлов, помещенных в карантин до истечения срока их действия, зависит от того, почему сообщение или файл были помещены в карантин. Компоненты и соответствующие им сроки хранения описаны в следующей таблице:

Причина помещения на карантин Период хранения по умолчанию Настраиваемые? Комментарии
Сообщения, помещенные в карантин политиками защиты от нежелательной почты, как спам, спам с высоким уровнем достоверности, фишинг, фишинг с высокой достоверностью или массовый. 15 дней
  • Политика защиты от нежелательной почты по умолчанию.
  • Политики защиты от нежелательной почты, создаваемые в PowerShell или на портале Microsoft Defender.

30 дней
Да* Вы можете настроить значение от 1 до 30 дней в политике защиты от нежелательной почты по умолчанию и в пользовательских политиках защиты от нежелательной почты. Дополнительные сведения см. в разделе Сохранение нежелательной почты в карантине в течение этого количества дней (QuarantineRetentionPeriod) статьи Настройка политик защиты от нежелательной почты.

*Вы не можете изменить значение в Standard или строгих предустановленных политиках безопасности.
Сообщения, помещенные в карантин политиками защиты от фишинга:
  • Политики защиты от фишинга для всех облачных почтовых ящиков: анализ спуфинга.
  • Политики защиты от фишинга в Defender для Office 365: защита олицетворения пользователя, защита от олицетворения домена и защита от аналитики почтовых ящиков.
15 дней или 30 дней Да* Этот период хранения также контролируется параметром Хранить спам в карантине в течение этого количества дней (QuarantineRetentionPeriod) в политиках защиты от нежелательной почты . Период хранения — это значение из первой соответствующей политики защиты от нежелательной почты , в которую определен получатель.
Сообщения, помещенные в карантин политиками защиты от вредоносных программ (сообщения о вредоносных программах). 30 дней Нет Если включить фильтр общих вложений в политиках защиты от вредоносных программ (в политике по умолчанию или в пользовательских политиках), вложения файлов в сообщениях электронной почты затронутым получателям будут рассматриваться как вредоносные программы исключительно на основе расширения файла с использованием истинного сопоставления типов. По умолчанию используется предопределенный список в основном исполняемых типов файлов, но список можно настроить. Дополнительные сведения см. в разделе Общие фильтры вложений в политиках защиты от вредоносных программ.
Сообщения, помещенные в карантин по правилам потока обработки почты, где действие — Доставить сообщение в размещенный карантин (карантин). 30 дней Нет
Сообщения, помещенные в карантин политиками безопасных вложений в Defender для Office 365 (вредоносные или фишинговые сообщения). 30 дней Нет
Файлы, помещённые в карантин функцией «Безопасные вложения» для SharePoint, OneDrive и Microsoft Teams (вредоносные файлы). 30 дней Нет Files, помещенные в карантин в SharePoint или OneDrive, удаляются из карантина через 30 дней, но заблокированные файлы остаются в SharePoint или OneDrive в заблокированном состоянии.
Сообщения в чатах и каналах, помещенные в карантин автоматической защитой в момент обнаружения (ZAP) для Microsoft Teams в Microsoft Defender для Office 365 30 дней Нет

Когда срок хранения сообщений в карантине истекает, сообщения безвозвратно удаляются, и их невозможно восстановить.

Дополнительные сведения о карантине см. в разделе Часто задаваемые вопросы о карантине.