Microsoft Defender for Office 365での 0 時間自動消去 (ZAP)
ヒント
Microsoft Defender for Office 365プラン2の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 「Microsoft Defender for Office 365を試す」で、誰がサインアップして試用版の条件を利用できるかについて説明します。
Exchange Online メールボックスを持つ Microsoft 365 組織では、0 時間自動消去 (ZAP) は、Exchange Online Protection (EOP) の保護機能であり、既にExchange Onlineメールボックスに配信されている悪意のあるフィッシング、スパム、またはマルウェア メッセージをさかのぼって検出して中和します。
ZAP は、オンプレミスのメールボックスを保護するスタンドアロン EOP 環境では機能しません。
注:
現在プレビュー段階では、ZAP は、Microsoft Teams内の既存の悪意のあるチャット メッセージをさかのぼって検出することもできます。
サービス内のスパムとマルウェアの署名は、毎日リアルタイムで更新されます。 ただし、ユーザーは引き続き悪意のあるメッセージを受け取ることができます。 以下に例を示します。
- メール フロー中に検出できなかった 0 日間のマルウェア。
- ユーザーに配信された後に武器化されたコンテンツ。
ZAP は、サービス内のスパムとマルウェア署名の更新プログラムを継続的に監視することで、これらの問題に対処し、ユーザーにとってシームレスです。 ZAP は、ユーザーのメールボックスに既に存在するメッセージに対して自動アクションを検出して実行します。 ZAP の検索は、配信されたメールの過去 48 時間に制限されます。 ZAP がメッセージを検出して移動した場合、ユーザーには通知されません。
この短いビデオを見て、Microsoft Defender for Office 365のZAPが電子メールの脅威を自動的に検出して中和する方法について説明します。
メール メッセージの 0 時間自動消去 (ZAP)
マルウェアの 0 時間自動消去 (ZAP)
配信後にマルウェアが含まれていると検出された 読み取りメッセージまたは未読メッセージ の場合、ZAP はマルウェアの添付ファイルを含むメッセージを検疫します。 既定では、隔離されたマルウェア メッセージを表示および管理できるのは管理者だけです。 ただし、管理者は 検疫ポリシー を作成して使用して、検疫されたメッセージに対してユーザーが実行できる操作と、ユーザーが検疫通知を受け取るかどうかを定義できます。 詳細については、「 検疫ポリシーの構造」を参照してください。
注:
検疫ポリシーの構成方法に関係なく、ユーザーはマルウェアとして検疫された独自のメッセージを解放できません。 ポリシーでユーザーが独自の検疫済みメッセージを解放できる場合、ユーザーは代わりに検疫されたマルウェア メッセージのリリースを 要求 できます。
マルウェアの ZAP は、マルウェア対策ポリシーで既定で有効になっています。 詳細については、「EOP でのマルウェア対策ポリシーの構成」を参照してください。
フィッシングの 0 時間自動消去 (ZAP)
配信後にフィッシング (高信頼度のフィッシングではない) として識別される読み取りメッセージまたは未読メッセージの場合、ZAP の結果は、該当するスパム対策ポリシーでフィッシング判定用に構成されたアクションによって異なります。 次の一覧では、使用可能なアクションと考えられる ZAP 結果について説明します。
X-Header の追加、 件名行の先頭にテキストを追加する、 メール アドレスにメッセージをリダイレクトする、 メッセージを削除する: ZAP はメッセージに対してアクションを実行しません。
[メッセージを迷惑メール Emailに移動する]: ZAP は、メッセージを [迷惑メール] Email フォルダーに移動します。
これは、PowerShell で作成した既定のスパム対策ポリシーとカスタムスパム対策ポリシーの フィッシング 判定の既定のアクションです。
検疫メッセージ: ZAP はメッセージを検疫します。
これは、Standardと厳格な事前設定されたセキュリティ ポリシーと、Defender ポータルで作成したカスタムスパム対策ポリシーでのフィッシング判定の既定のアクションです。
既定では、フィッシングに対する ZAP はスパム対策ポリシーで有効になっています。
スパム フィルター判定の構成の詳細については、「 Microsoft 365 でスパム対策ポリシーを構成する」を参照してください。
信頼度の高いフィッシングのための 0 時間自動消去 (ZAP)
配信後に信頼度の高いフィッシングとして識別される読み取りメッセージまたは未読メッセージの場合、ZAP はメッセージを検疫します。 既定では、管理者のみが検疫された信頼度の高いフィッシング メッセージを表示および管理できます。 ただし、管理者は 検疫ポリシー を作成して使用して、検疫されたメッセージに対してユーザーが実行できる操作と、ユーザーが検疫通知を受け取るかどうかを定義できます。 詳細については、「 検疫ポリシーの構造」を参照してください。
注:
検疫ポリシーの構成方法に関係なく、高信頼フィッシングとして検疫された独自のメッセージをユーザーが解放することはできません。 ポリシーでユーザーが独自の検疫済みメッセージを解放できる場合、ユーザーは代わりに検疫された信頼度の高いフィッシング メッセージのリリースを 要求 できます。
高信頼フィッシングの ZAP は、既定で有効になっています。 詳細については、「Office 365の既定でセキュリティで保護する」を参照してください。
スパムの 0 時間自動消去 (ZAP)
配信後にスパムまたは高信頼スパムとして識別される未読メッセージの場合、ZAP の結果は、該当するスパム対策ポリシーでスパムまたは信頼度の高いスパム判定に対して構成されたアクションによって異なります。 次の一覧では、使用可能なアクションと考えられる ZAP 結果について説明します。
X-Header の追加、 件名行の先頭にテキストを追加する、 メール アドレスにメッセージをリダイレクトする、 メッセージを削除する: ZAP はメッセージに対してアクションを実行しません。
[メッセージを迷惑メール Emailに移動する]: ZAP は、メッセージを [迷惑メール] Email フォルダーに移動します。
スパム判定の場合、これは既定のスパム対策ポリシー、新しいカスタムスパム対策ポリシー、Standard事前設定されたセキュリティ ポリシーの既定のアクションです。
信頼度の高いスパム判定の場合、これは既定のスパム対策ポリシーと新しいカスタムスパム対策ポリシーの既定のアクションです。
検疫メッセージ: ZAP はメッセージを検疫します。
スパム判定の場合、これは厳密な事前設定されたセキュリティ ポリシーの既定のアクションです。
信頼度の高いスパム判定の場合、これは、Standardと厳格な事前設定されたセキュリティ ポリシーの既定のアクションです。
既定では、ユーザーは、受信者であるスパムまたは高信頼スパムとして検疫されたメッセージを表示および管理できます。 ただし、管理者は 検疫ポリシー を作成して使用して、検疫されたメッセージに対してユーザーが実行できる操作と、ユーザーが検疫通知を受け取るかどうかを定義できます。 詳細については、「 検疫ポリシーの構造」を参照してください。
既定では、スパム対策ポリシーではスパムに対する ZAP が有効になっています。
スパム フィルター判定の構成の詳細については、「 Microsoft 365 でスパム対策ポリシーを構成する」を参照してください。
ZAP がメッセージを移動したかどうかを確認する方法
ZAP がメッセージを移動したかどうかを判断するには、次のオプションがあります:
- メッセージの数: メールフロー状態レポートの [メールフロー] ビューを 使用して、指定した日付範囲の ZAP に影響を受けるメッセージの数を確認します。
- メッセージの詳細: Threat エクスプローラー (またはリアルタイム検出) を使用して、[追加アクション] 列の値 ZAP によってすべての電子メール イベントをフィルター処理します。
注:
ZAP は、Exchange メールボックス監査ログにシステム アクションとして記録されません。
Microsoft Defender for Office 365の安全な添付ファイルに関する 0 時間自動消去 (ZAP) に関する考慮事項
ZAP は、添付ファイルの安全なポリシー スキャンで 動的配信 の処理中のメッセージを検疫しません。 この状態のメッセージに対してフィッシングまたはスパムシグナルが受信され、スパム対策ポリシーのフィルタリング判定がメッセージに対して何らかのアクションを実行するように設定されている場合 ([迷惑メールに移動]、[リダイレクト]、[削除]、または [検疫] )、ZAP は [迷惑メールに移動] アクションに戻ります。
Microsoft Teamsでの 0 時間自動消去 (ZAP)
ヒント
Microsoft Teamsの ZAP は、Microsoft 365 E5 または Microsoft Defender for Office 365 プラン 2 サブスクリプションをお持ちのお客様のみが使用できます。 Teams 保護の ZAP を構成するには、「Microsoft Teamsのプラン 2 のサポートMicrosoft Defender for Office 365」を参照してください。
Teams チャットでの ZAP
ZAP は、マルウェアまたは高信頼フィッシングとして識別される Teams チャットの内部メッセージで使用できます。 現在、外部メッセージはサポートされていません。
Teams チャットのすべてのユーザーが同時に同じメッセージのコピーを受信するため、Teams はメールとは異なります (メッセージの分岐はありません)。 ZAP for Teams 保護がメッセージをブロックすると、チャット内のすべてのユーザーに対してメッセージがブロックされます。 最初のブロックは配信直後に発生しますが、ZAP は配信後最大 48 時間後に発生します。
Teams チャットでの Teams 保護に対する ZAP の除外は、メッセージの送信者ではなく、メッセージ受信者にとって重要です。 Teams チャットの例外を構成するには、Defender for Office 365 プラン 2 の「Teams 保護の ZAP を構成する」を参照してください。
ZAP for Teams 保護は、チャット内の受信者が Teams 保護のために ZAP から除外されていない場合、チャット内のすべての受信者のメッセージに対してアクションを実行できます。 チャット 内のすべての 受信者が ZAP for Teams 保護から除外されている場合にのみ、ZAP はメッセージに対してアクションを実行しません。 これらのシナリオを次の表に示します。
シナリオ | 結果 |
---|---|
受信者 A、B、C、D とのグループ チャット。 受信者 A、B、C、D は、Teams 保護のために ZAP から除外されます。 |
ZAP は、グループ チャットに送信されたメッセージをブロックしません。 |
受信者 A、B、C、D とのグループ チャット。 Teams 保護のために ZAP から除外されるのは、受信者 A、B、C のみです。 |
ZAP は、すべての受信者に対してグループ チャットに送信されるメッセージをブロックできます。 |
受信者 A、B、C、D とのグループ チャット。 受信者 A、B、C、D は、Teams 保護の ZAP から除外されません。 送信者 X は、Teams 保護の ZAP から除外され、グループ チャットにメッセージを送信します。 |
ZAP は、すべての受信者に対してグループ チャットに送信されるメッセージをブロックできます。 |
送信者ビュー:
受信者ビュー:
Teams チャネルでの ZAP
ZAP for Teams 保護では、次の種類の Teams チャネルがサポートされています。
- Standard チャネル: ZAP は内部メッセージに使用できます。 現在、外部メッセージはサポートされていません。
- 共有チャネル: ZAP は、内部メッセージと外部メッセージに使用できます。
現時点では、ZAP はプライベート チャネルでは使用できません。
Teams チャネルの ZAP 保護の例外を構成するには、受信者のメール アドレスが必要です。 このアドレスは、Teams クライアントのチャネルのメール アドレスとは異なります。
Teams チャネル保護の例外に使用する受信者のメール アドレスを取得するには、Teams メッセージ エンティティ パネルの [チャネルの詳細] セクションにある [名前] と [電子メール] の値を使用します。 詳細については、「Microsoft Defender for Office 365の Teams メッセージ エンティティ パネル」を参照してください。
Teams チャネルの例外を構成するには、「プラン 2 Defender for Office 365で Teams 保護の ZAP を構成する」を参照してください。
Teams での高信頼フィッシング メッセージの 0 時間自動消去 (ZAP)
配信後に信頼度の高いフィッシングとして識別されるメッセージの場合、Teams 保護用 ZAP はメッセージをブロックして検疫します。 ZAP for Teams での信頼度の高いフィッシング検出に使用される検疫ポリシーを設定するには、「Microsoft Teamsのプラン 2 のサポートMicrosoft Defender for Office 365」を参照してください。
Teams メッセージ内のマルウェアの 0 時間自動消去 (ZAP)
マルウェアとして識別されたメッセージの場合は、Teams 保護用 ZAP によってメッセージがブロックされ、検疫されます。 TEAMS 用 ZAP のマルウェア検出に使用される検疫ポリシーを設定するには、「Microsoft Teamsのプラン 2 のサポートMicrosoft Defender for Office 365」を参照してください。
ZAP が Teams メッセージをブロックしたかどうかを確認する方法
現時点では、管理者のみが、ZAP for Teams 保護によって検疫されたメッセージを表示および管理できます。 詳細については、「Microsoft Defender ポータルを使用して検疫されたメッセージMicrosoft Teams管理する」を参照してください。
0 時間自動消去 (ZAP) に関する FAQ
ZAP が正当なメッセージを迷惑メール Email フォルダーに移動した場合はどうなりますか?
誤検知を Microsoft に報告するには、通常のプロセスに従います。 ZAP は、サービスがメッセージがスパムまたは悪意があると判断した場合にのみ、受信トレイ フォルダーから迷惑メール Email フォルダーにメッセージを移動します。
迷惑メール フォルダーの代わりに検疫フォルダーを使用した場合はどうすればよいですか?
ZAP は、この記事で前述したように、スパム対策ポリシーの構成に基づいてメッセージに対してアクションを実行します。
ZAP は、EOP とDefender for Office 365の保護機能に対する例外の影響を受けるでしょうか。
ZAP アクションは、 差出人セーフ リスト、Exchange メール フロー ルール (トランスポート ルール)、その他の組織ブロックと許可設定によってオーバーライドされる場合があります。 ただし、マルウェアと信頼度の高いフィッシング判定の場合、ZAP がユーザーを保護するためにメッセージに対して動作しないシナリオはほとんどありません。
- 高度な配信ポリシー (高信頼フィッシング) で識別されるサード パーティ 製のフィッシング シミュレーション URL。
- 高度な配信ポリシー (マルウェアと高信頼フィッシング) で識別される SecOps メールボックス。
- Microsoft 365 ドメインの MX レコードは別のサービスまたはデバイスを指しており、メール フロー ルールを使用して スパム フィルター処理 (高信頼フィッシング) をバイパスします。
- microsoft への誤検知の提出を管理します。 既定では、ドメインとメール アドレス、ファイル、URL のエントリが 30 日間存在することを許可します (マルウェアと信頼度の高いフィッシング)。
組織のセキュリティ体制が損なわれる可能性があるため、フィルター処理をバイパスすることの影響を慎重に検討することが重要です。
ZAP のライセンス要件は何ですか?
マルウェア、スパム、フィッシングに対する ZAP の特別なライセンス要件はありません。 ZAP は、Exchange Onlineでホストされているすべてのメールボックスで動作します。 ZAP は、スタンドアロン EOP によって保護されているオンプレミスのメールボックスでは機能しません。
Teams 保護用 ZAP には、Microsoft 365 E5またはプラン 2 のライセンスをMicrosoft Defender for Office 365する必要があります。
ZAP は、メールボックス内の他のフォルダー (受信トレイ ルールによって移動されたメッセージなど) のメッセージに対して機能しますか?
ZAP は、メッセージが削除されていない限り、または同じアクションまたはより強力なアクションがまだ適用されていない限り、引き続き機能します。 たとえば、メッセージが [迷惑メール] Email フォルダーにあり、該当するフィッシング対策ポリシーのアクションが検疫されている場合、ZAP はメッセージを検疫します。
ZAP は保留中のメールボックスにどのような影響を与えるのですか?
ZAP は、保留中のメールボックスからメッセージを検疫します。 ZAP は、スパム対策ポリシーのスパムまたはフィッシング判定に対して構成されたアクションに基づいて、迷惑メール Email フォルダーにメッセージを移動できます。
Exchange Onlineの保留の詳細については、「Exchange Onlineでのインプレースホールドと訴訟ホールド」を参照してください。