M365-Quarantäne in Sophos Central zentral verwalten
M365-Quarantäne in Sophos Central zentral verwalten
Sophos erweitert Sophos Email um eine praktische Funktion für Microsoft-365-Umgebungen: Mit der M365-Quarantäne können Nachrichten, die von Microsoft 365 in Quarantäne verschoben wurden, direkt in Sophos Central angezeigt und verwaltet werden.
Das bringt vor allem eines: mehr Übersicht. Denn in vielen Unternehmen arbeiten Sophos Email und Microsoft 365 gemeinsam am Schutz der E-Mail-Kommunikation. Während Sophos Email Bedrohungen wie Phishing, Malware, Spam, gefährliche Anhänge und Business Email Compromise erkennt, kann auch Microsoft 365 eigene Nachrichten in Quarantäne verschieben.
Bisher bedeutete das für Administratoren häufig: In Sophos Central prüfen, danach ins Microsoft 365 Defender Portal wechseln, dort weiter suchen und anschließend wieder zurück. Das funktioniert zwar – fühlt sich aber ungefähr so elegant an wie ein Serverneustart per Zuruf.
Mit der neuen M365-Quarantäne wird dieser Prozess deutlich komfortabler.
Was ist die M365-Quarantäne?
Die M365-Quarantäne erweitert den Bereich E-Mails in Quarantäne in Sophos Central um eine zusätzliche Registerkarte. Dort werden Nachrichten angezeigt, die von Microsoft 365 für die jeweilige Domäne in Quarantäne verschoben wurden.
Der Bereich befindet sich in Sophos Central unter:
Meine Produkte > Email Security > E-Mails in Quarantäne
Dort erscheint die neue Registerkarte M365-Quarantäne.
Über diese Ansicht können Administratoren Microsoft-365-quarantänisierte Nachrichten zentral prüfen, suchen, freigeben oder löschen. Damit wird Sophos Central zur einheitlicheren Oberfläche für Quarantäneereignisse aus Sophos Email, dem Schutz nach der Zustellung und Microsoft 365.
Warum ist das für Unternehmen interessant?
In der Praxis entsteht häufig genau an dieser Stelle Aufwand: Ein Benutzer wartet auf eine wichtige E-Mail, diese kommt aber nicht im Postfach an. In Sophos Central ist sie zunächst nicht auffindbar, weil Microsoft 365 sie bereits vorher in Quarantäne verschoben hat.
Mit der neuen M365-Quarantäne können Administratoren schneller nachvollziehen, ob eine Nachricht durch Microsoft 365 zurückgehalten wurde. Dadurch lassen sich Supportanfragen schneller bearbeiten und E-Mail-Prozesse transparenter gestalten.
Besonders in größeren Microsoft-365-Umgebungen kann das spürbar Zeit sparen.
Die wichtigsten Vorteile
Die M365-Quarantäne in Sophos Central bietet mehrere Vorteile für Administratoren und Benutzer:
- Zentrale Anzeige von Microsoft-365-quarantänisierten Nachrichten in Sophos Central
- Weniger Wechsel zwischen Sophos Central und Microsoft 365
- Schnellere Prüfung vermisster oder blockierter E-Mails
- Suche, Detailansicht, Freigabe und Löschung direkt in Sophos Central
- Anzeige im Sophos Central Self Service Portal möglich
- Berücksichtigung in der Quarantäne-Übersicht per E-Mail
- Bessere Nachvollziehbarkeit, ob Sophos oder Microsoft 365 eine Nachricht quarantänisiert hat.
Gerade bei regelmäßigem E-Mail-Support ist diese zentrale Sicht ein echter Vorteil. Administratoren müssen nicht mehr mühsam zwischen unterschiedlichen Portalen prüfen, sondern erhalten die relevanten Informationen direkt in Sophos Central.
Einrichtung der M365-Quarantäne
Die Einrichtung erfolgt über die E-Mail-Domäneneinstellungen in Sophos Central.
Der Pfad lautet:
Meine Produkte > Email Security > Einstellungen > E-Mail-Domäneneinrichtung
Dort wählen Sie je nach eingesetztem Modus entweder:
Gateway-Domänen oder M365-Nachrichtenflussdomänen
In der Domänenübersicht kann anschließend die Funktion M365-Quarantäne für die gewünschte Domäne aktiviert werden.
Wichtig: Falls der Schutz nach der Zustellung noch nicht aktiviert ist, wird dieser im Rahmen der Einrichtung ebenfalls aktiviert. Sophos weist während des Vorgangs entsprechend darauf hin.
Microsoft-Berechtigungen und Popups beachten
Während der Einrichtung muss ein Microsoft-365-Administratorkonto die erforderlichen Berechtigungen erteilen. Sophos benötigt diese Zustimmung, um Quarantänedaten aus Microsoft 365 abrufen und in Sophos Central anzeigen zu können.
Dabei fragt Microsoft unter anderem Berechtigungen zur Verwaltung von Exchange als Anwendung sowie zum Lesen und Schreiben bestimmter RBAC-Einstellungen ab. Diese Berechtigungen müssen bestätigt werden, damit die M365-Quarantäne ordnungsgemäß funktioniert.
Außerdem wichtig: Der Browser muss während der Einrichtung Microsoft-Popups zulassen. Sind Popup-Blocker aktiv, kann der Einrichtungsprozess fehlschlagen oder hängen bleiben. Administratoren sollten daher vor der Einrichtung prüfen, ob Popups für Microsoft-365-Dienste erlaubt sind.
Typische Fehler bei der Einrichtung
Wenn die Verbindung zwischen Sophos Central und Microsoft 365 nicht hergestellt werden kann, liegen die Ursachen meist in einem der folgenden Punkte:
- Die Microsoft-Sitzung ist abgelaufen.
- Die Zustimmung für den API-Zugriff wurde nicht erteilt.
- Die Zustimmung für den Datenzugriff wurde nicht erteilt.
- Die Domänen in Sophos Email und Microsoft 365 stimmen nicht überein.
- Es wurde nicht das passende Microsoft-365-Administratorkonto verwendet.
- Microsoft-Popups wurden durch den Browser blockiert.
- Die angeforderten Berechtigungen wurden nicht vollständig bestätigt.
Besonders wichtig ist die Domänenübereinstimmung. Die betroffene Domäne muss sowohl in Sophos Email als auch in Microsoft 365 korrekt vorhanden sein. Stimmen die Domänen nicht überein, kann Sophos die Microsoft-365-Quarantänedaten nicht korrekt abrufen.
Synchronisierung mit Microsoft 365
Nach erfolgreicher Einrichtung synchronisiert Sophos Central regelmäßig die Quarantänedaten aus Microsoft 365. Bei der ersten Synchronisierung werden die Daten der letzten sieben Tage abgerufen. Anschließend sammelt Sophos weiterhin Daten und hält dabei einen maximalen Zeitraum von 30 Tagen vor.
Da die Synchronisierung periodisch erfolgt, werden aktuelle Änderungen möglicherweise nicht sofort angezeigt. Bei Bedarf kann eine On-Demand-Synchronisierung angestoßen werden, um die aktuellsten Daten aus Microsoft 365 abzurufen.
Anzeige im Self Service Portal
Von Microsoft 365 quarantänisierte Nachrichten können auch im Sophos Central Self Service Portal angezeigt werden. Voraussetzung ist, dass in den Benutzereinstellungen die Freigabe von E-Mails aus der M365-Quarantäne erlaubt wurde.
Danach sehen Benutzer die betroffenen Nachrichten im Self Service Portal auf der Registerkarte M365-Quarantäne. Benutzer können dort Nachrichtendetails einsehen und – sofern erlaubt – Nachrichten selbst freigeben.
Das kann den administrativen Aufwand reduzieren, sollte aber bewusst gesteuert werden. Nicht jede Nachrichtenart sollte automatisch durch Benutzer freigegeben werden dürfen. Gerade bei sicherheitsrelevanten Treffern sollte die Prüfung weiterhin durch Administratoren erfolgen.
Quarantäne-Übersicht per E-Mail
Auch in den E-Mails mit der Quarantänezusammenfassung werden Microsoft-365-quarantänisierte Nachrichten berücksichtigt. Neben dem Feld Grund erscheint der Hinweis Microsoft-Quarantäne.
Dadurch erkennen Benutzer und Administratoren, dass die Nachricht durch Microsoft 365 und nicht direkt durch Sophos in Quarantäne verschoben wurde.
Das verbessert die Transparenz und reduziert Rückfragen, warum eine Nachricht nicht wie erwartet im Postfach angekommen ist.
Worauf sollten Administratoren achten?
Die M365-Quarantäne ersetzt keine saubere E-Mail-Sicherheitskonfiguration. Sie verbessert vor allem die Sichtbarkeit und Verwaltung von Microsoft-365-Quarantäneereignissen innerhalb von Sophos Central.
Vor der Aktivierung sollten Administratoren folgende Punkte prüfen:
- Ist Sophos Email für die betroffene Domäne korrekt eingerichtet?
- Wird Gateway Mode oder M365 Mailflow Mode verwendet?
- Stimmt die Domäne in Sophos Email mit der Microsoft-365-Domäne überein?
- Steht ein Microsoft-365-Administratorkonto bereit?
- Sind Microsoft-Popups im Browser erlaubt?
- Soll die Anzeige im Self Service Portal aktiviert werden?
- Welche Benutzer dürfen M365-quarantänisierte Nachrichten selbst freigeben?
- Ist der Schutz nach der Zustellung gewünscht und korrekt aktiviert?
Besonders die Benutzerfreigabe sollte mit Bedacht konfiguriert werden. Für harmlose oder klar erkennbare Nachrichten kann Self Service sinnvoll sein. Bei sicherheitskritischen Kategorien sollte die Freigabe weiterhin administrativ geprüft werden.
Unsere Empfehlung
Unternehmen mit Microsoft 365 und Sophos Email sollten die neue M365-Quarantänefunktion prüfen und gezielt aktivieren. Besonders in Umgebungen mit vielen Benutzern, regelmäßigem Supportaufkommen oder sensibler E-Mail-Kommunikation bietet die zentrale Ansicht einen klaren Mehrwert.
Wir empfehlen, die Funktion zunächst kontrolliert für ausgewählte Domänen zu aktivieren. Anschließend sollten Administratoren testen, wie Microsoft-365-quarantänisierte Nachrichten in Sophos Central, im Self Service Portal und in den Quarantäne-Zusammenfassungen dargestellt werden.
So lässt sich sicherstellen, dass Berechtigungen, Benutzerfreigaben und Sicherheitsrichtlinien sauber zusammenpassen.
Passende Lösung im UTMshop
Pishing, Malware, Spam, gefährlichen Links, Business Email Compromise und Bedrohungen nach der Zustellung.
Mit der M365-Quarantäne wird die Verwaltung von Microsoft-365-quarantänisierten Nachrichten direkt in Sophos Central integriert. Das verbessert die Übersicht, vereinfacht die Administration und sorgt für mehr Transparenz im täglichen E-Mail-Betrieb.
Benötigen Sie Unterstützung bei der Bewertung oder Einrichtung von Sophos Email in Verbindung mit Microsoft 365? Unser Vertrieb und unser technisch geschultes Team unterstützen Sie gern bei der passenden Lösung für Ihre Umgebung.