MDOの検疫ポリシーについて
検疫ポリシーとは
マルウェア、スパム、フィッシングなどと判定されたメールは、ユーザメールボックスから検疫(隔離)されます。
検疫ポリシーは、検疫されたメールに対して、受信者がどのような操作をできるか(検疫から解放する、検疫されたメールを削除する等)を定義できます。
全体像
①で検疫ポリシーを作り、②の各ポリシーの中でカスタムポリシーを作る際に、①で作成した検疫ポリシーを利用するイメージです。
たとえば、以下は、マルウェア対策のカスタムポリシーにおける設定項目ですが、検疫ポリシーを選択する項目があります。
検疫されたメールの解放手順
管理者にて実施する場合
1. Microsoft Defender XDRポータルから
メールとコラボレーション > 確認 > 検疫 と進みます。
2. 対象の検疫メールを選択し、表示された右ウィンドウ内の [解放] ボタンよりメールを解放します
メール受信者(検疫されていない場合に、そのメールを受信するはずだった人)にて実施する方法
受信者に届く検疫通知メール内の [解放] ボタンより対象のメールを解放します。
注意点
検疫ポリシーにて、「受信者にて検疫メールを解放できる」設定していた場合でも、受信者にて検疫メールを解放できない場合がある
受信者側で検疫解放できず、管理者へ解放依頼をしなくてはいけないシナリオについて以下の公開情報でまとめられています。
以下の公開情報に記載されているシナリオで脅威判定されたメールについては、甚大な被害を及ぼし得る可能性のあるメールと位置づけられており、受信者の判断のみで解放するのではなく、管理者にて対象のメールが問題ないことを確認した上で、管理者にて解放するような仕様になっています。
~~~~~ 引用 ここから ~~~~~
Note
次のシナリオでは、検疫ポリシーの構成方法に関係なく、ユーザーは独自の検疫済みメッセージを解放できません。
・マルウェア対策ポリシーによってマルウェアとして検疫されたメッセージ。
・安全な添付ファイル ポリシーによってマルウェアまたはフィッシングとして検疫されたメッセージ。
・スパム対策ポリシーによって高信頼フィッシングとして検疫されたメッセージ。
ユーザーがこれらの検疫されたメッセージを解放するようにポリシーが構成されている場合、ユーザーは代わりに、これらの検疫されたメッセージのリリースを 要求 できます。
~~~~~ 引用 ここまで ~~~~~
Microsoft Defender ポータルでサポートされているポリシーで検疫ポリシーを割り当てる
その他
検疫ポリシー設定で分かりづらい箇所(”受信許可”について)
以下は検疫ポリシーの設定画面ですが、受信者が検疫メールに対して行える操作項目設定の中に「受信許可」という項目があります。「検疫メールの解放」操作との違いがわからなかったので確認してみました。
「受信許可」は当該メール送信者を受信者の Outlook クライアントの設定である 「信頼できる差出人リスト」に追加する動作です。
例えば取引先からのメールが意図せず脅威検知されている場合は、受信許可を押下することで 「信頼できる差出人リスト」に送信者アドレスを追加することができます。
公開情報:
検疫からのメール送信者を許可する