[マルウェア対策ポリシー] によりマルウェア判定をおこなっていますが、それでマルウェア判定されずに通過したメールをさらにマルウェアかどうか判定する機能として[安全な添付ファイル]があります。
以下の記事でも紹介しています。
[安全な添付ファイル]では既定の動作では、添付ファイルをマルウェアと判定した場合、検疫に隔離しますので、受信者にはメールは届きません。
[安全な添付ファイル] の "動的配信" では、メール本文のみを先行して受信し添付ファイルのみスキャンをおこないます。
スキャンをおこなっている間、先行して受信したメールの添付ファイルが "Safe Attachments Scan In Proqress" のファイル(msgファイル、または、emlファイル)に置き換わり、スキャンにより問題ないファイルと判定された場合は、実際のファイルに置き換わります。
スキャンによりマルウェアと判定された場合は、メッセージが検疫に隔離されます。
マルウェア判定された場合は、既定の動作と同じく検疫に隔離されますが、スキャン中もメール本文だけ先に確認したい場合などにはいいのかもしれません。
[安全な添付ファイル] は以下のライセンスが Microsoft テナント内にひとつでも存在する場合は、[既定のセキュリティポリシー] の [組み込みの保護] より、すべてのユーザーに [安全な添付ファイル] の組み込みの保護ポリシーが既定で適用されます。
- Microsoft Defender for Office 365 プラン 1
- Microsoft Defender for Office 365 プラン 2
- Microsoft 365 A5/E5/F5/G5 セキュリティ
ただし、[安全な添付ファイル] のフィルタリングの前に[マルウェア対策ポリシー] によりマルウェアと判定された場合は、検疫に隔離されるため、"動的配信" は動作しません。
既定では[組み込みの保護]で[安全な添付ファイル]でマルウェア判定された場合は検疫に隔離されるため、[組み込みの保護]から除外して、別途、ポリシーを作成して [安全な添付ファイル] の "動的配信" を有効化する必要があります。
以下に手順をご紹介したいと思います。
1. 組み込みの保護ポリシーの除外設定手順
- 全体管理者権限を付与したアカウントで、Microsoft Defender (https://security.microsoft.com/) にアクセスします。
- 左側メニューから [ポリシーとルール]、右側画面から [脅威ポリシー] > [既定のセキュリティ ポリシー] をクリックします。
- [組み込みの保護] の [除外の追加 (非推奨)] をクリックします。
- テナント全体で組み込みの保護の除外とする場合は、登録されている承認済みドメインをすべて [ドメイン] で指定します。
- [保存] > [完了] をクリックします。
2. 安全な添付ファイルポリシーの新規作成手順
- 管理者権限を付与したユーザーにて、[Microsoft 365 Defender (https://security.microsoft.com/)] へサインインします。
- 画面左側のメニューより [ポリシーとルール] > [脅威ポリシー] > [安全な添付ファイル] の順に選択します。
- [+作成] をクリックし、新規で安全な添付ファイルポリシーを作成します。
- [名前] に任意でポリシー名を入力し、[次へ] をクリックします。
※ ポリシーの一覧に表示される名前です。
※ 他の項目は任意で設定します (検疫ポリシーは、"AdminOnlyAccessPolicy" を選択することでユーザーでは検疫の解放などを実施できないようできます)
- [次へ] > [送信] をクリックします。
- [完了] をクリックします。
検疫に隔離された場合に通知する場合、以下の記事でご紹介しておりますので参考としてくださいね。