ヒント
Microsoft Defender XDR for Office 365 プラン 2 の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 「Microsoft Defender for Office 365を試す」で、誰がサインアップして試用版の条件を利用できるかについて説明します。
適用対象
この記事では、microsoft 365 組織の検疫済みメール メッセージに関してよく寄せられる質問と回答を示します。メールボックスがExchange Onlineまたはメールボックス Exchange Onlineのないスタンドアロン Exchange Online Protection (EOP) 組織です。
注:
21Vianet が運営する Microsoft 365 では、検疫は現在、Microsoft Defender ポータルでは使用できません。 検疫は、従来の Exchange 管理センター (クラシック EAC) でのみ使用できます。
スパム対策保護に関する質問と回答については、「 スパム対策の FAQ」を参照してください。
マルウェア対策の保護に関する質問と回答については、「 マルウェア対策に関する FAQ」を参照してください。
なりすまし対策保護に関する質問と回答については、「 なりすまし対策保護に関する FAQ」を参照してください。
操作方法マルウェアに対して検疫されたメッセージを管理しますか?
既定では、管理者のみがマルウェアに対して検疫されたメッセージを管理できます。 詳細については、「 検疫されたメッセージとファイルを管理者として管理する」を参照してください。
ただし、管理者は 検疫ポリシー を作成し、ユーザーに対してより多くの機能を定義するマルウェア対策ポリシーに適用できます。 詳細については、「 検疫ポリシーの作成」を参照してください。
検疫ポリシーの構成方法に関係なく、マルウェア対策ポリシーによってマルウェアとして検疫された独自のメッセージをユーザーが解放することはできません。 ポリシーでユーザーが独自の検疫済みメッセージを解放できる場合、ユーザーは代わりに検疫されたマルウェアまたは高信頼フィッシング メッセージのリリースを 要求 できます。
検疫スパムを操作方法しますか?
既定では、スパムまたは一括として分類されたメッセージは、次のスパム対策ポリシーによって配信され、迷惑メール Email フォルダーに移動されます。
- 既定のスパム対策ポリシー。
- カスタムスパム対策ポリシー。
- Standard プリセット セキュリティ ポリシー。
管理者は、スパムまたは一括メール メッセージを検疫するように既定のスパム対策ポリシーまたはカスタム ポリシーを構成できます。 詳細については、「EOP でのスパム対策ポリシーの構成」を参照してください。
厳密な事前設定されたセキュリティ ポリシーは、スパムまたは一括として分類されたメッセージを検疫します。
詳細については、次の記事を参照してください。
ユーザーに検疫へのアクセス権を付与操作方法?
検疫で自分のメッセージにアクセスするには、ユーザーに有効なアカウントが必要です。 スタンドアロン EOP では、ユーザーが EOP のメール ユーザーとして表されている必要があります (ディレクトリ同期を使用して手動で作成または作成されます)。 スタンドアロン EOP 環境でのユーザーの管理の詳細については、「スタンドアロン EOP でメール ユーザーを管理する」を参照してください。
検疫ポリシーは、ユーザーが検疫されたメッセージにアクセスできるかどうか、およびユーザーに対して何を許可されるかを決定します。 詳細については、「 検疫ポリシーの構造」を参照してください。
検疫ポリシーでユーザーがメッセージのリリースを要求する必要がある場合、または管理者がメッセージをリリースする必要がある場合、管理者は、メッセージをユーザーが使用できるようにする前に 、リリース要求を承認 するか 、メッセージを解放 する必要があります。
事前設定されたセキュリティ ポリシーで検疫ポリシーをカスタマイズすることはできません。
エンド ユーザーが検疫でアクセスできるメッセージは何ですか?
検疫ポリシーは、メッセージが検疫された理由に基づいて、検疫されたメッセージにユーザーがアクセスできるかどうかを定義します。
検疫されたメッセージへの既定のアクセスについては、「EOP で検疫されたメッセージをユーザーとして検索して解放する」の表を参照してください。
ユーザーは、検疫ポリシーの構成方法に関係なく、マルウェア対策ポリシーまたは安全な添付ファイル ポリシーによって マルウェア として検疫された独自のメッセージや、スパム対策ポリシーによる 高信頼フィッシング をリリースすることはできません。 ポリシーでユーザーが独自の検疫済みメッセージを解放できる場合、ユーザーは代わりに検疫されたマルウェアまたは高信頼フィッシング メッセージのリリースを 要求 できます。
検疫されたメッセージにユーザーがアクセスできないようにするにはどうすればよいですか?
AdminOnlyAccessPolicy という名前の既定の検疫ポリシーは、検疫されたメッセージに対するユーザーの操作を防ぎます。 既定では、この検疫ポリシーは、マルウェアまたは高信頼フィッシングとして検疫されたメッセージに使用されます。 メッセージの 検疫をサポートする保護機能のカスタム ポリシーまたは既定のポリシーでは、管理者は、使用する検疫ポリシーとして AdminOnlyAccessPolicy を指定できます。
エンド ユーザーがhttps://security.microsoft.com/quarantineの [検疫] ページを表示またはアクセスできないようにすることはできません。
操作方法メッセージが検疫された理由を確認してください。
https://security.microsoft.com/quarantine?viewid=Emailの Defender ポータルの [検疫] ページの [Email] タブで使用できる [検疫理由] 列。 一般的な理由は、トランスポート ルール、一括、スパム、マルウェア、フィッシング、高信頼フィッシング、または 管理 アクション - ファイルの種類ブロックです。 詳細については、「 検疫済みメールを表示する」を参照してください。
メッセージが検疫に含まれていない。 彼らに何が起こったのですか?
このことについてサポート チケットを開く前に、「 検疫されたメッセージを削除したユーザーを検索する」を参照してください。
検疫されたメッセージも期限切れになり、メッセージが検疫された理由に応じて最終的に検疫から削除されます。 詳細については、「 検疫の保持」を参照してください。
マルウェア対策ポリシーの一般的な添付ファイル フィルターは、指定されたファイル拡張子を持つメッセージの添付ファイルを識別します (true 型の照合を使用できます)。 既定のマルウェア対策ポリシーおよび標準および厳密な事前設定されたセキュリティ ポリシーでこれらの検出に対する既定のアクションは、配信不能レポート (NDR またはバウンス メッセージとも呼ばれます) 内のメッセージを拒否することです。 リリースされたメッセージに指定された添付ファイルの種類のいずれかが含まれている場合、メッセージが NDR 内の送信者に返された可能性があります。
検疫からメッセージの有効期限が切れると、回復できません。
既定では、ブロックされた送信者からのメッセージは検疫のビューから非表示になります (検疫は[ ブロックされた送信者を表示しない] でフィルター処理されます)。 すべての送信者からのメッセージを表示するには、[ フィルター ] を選択し、[ すべての送信者を表示] を選択します。
ヒント
送信者がブロックされ 、[ブロックされた送信者を表示しない ] が選択されている場合 (既定値)、それらの送信者からのメッセージは [検疫 ] ページに表示され、[ 送信者アドレスの上書き理由 ] 値が [なし] の場合に検疫通知に含まれます。 この動作は、送信者アドレスのオーバーライド以外の理由でメッセージがブロックされたために発生します。
メッセージは検疫から解放されましたが、元の受信者はそれを見つけることができません。 メッセージに何が起こったのかを判断するにはどうすればよいですか?
サード パーティのウイルス対策ソリューション、セキュリティ サービス、または送信コネクタは、検疫から解放されたメッセージに対して次の問題を引き起こす可能性があります。
- メッセージは、解放された後に検疫されます。
- 受信者の受信トレイに到達する前に、リリースされたメッセージからコンテンツが削除されます。
- リリースされたメッセージが受信者の受信トレイに届くことはありません。
これらの問題に関するサポート チケットを開く前に、サード パーティのフィルター処理を使用していないことを確認します。
サード パーティのフィルターによってメッセージがユーザーの受信トレイに到達できず、最初のリリース試行が機能しなかった場合、管理者は PowerShell Exchange Onlineの Release-QuarantineMessage コマンドレットを Force スイッチで使用してメッセージを解放できます。
[強制] スイッチを使用した Release-QuarantineMessage が機能しない場合、管理者はサード パーティサービスによるフィルター処理がオフになった後、メッセージを別のメールボックスにリリースする必要があります。 強制解放すると、メッセージが複数回解放される可能性があります。
複数のメッセージをすべての受信者に一括でリリースしようとして、いずれかのメッセージで受信者レベルのメッセージの削除が行われた場合、エラーが発生します。 管理者は、検疫からの削除が行われていない受信者にのみ、その特定のメッセージをリリースする必要があります。
受信トレイ ルール (Outlook のユーザー、または PowerShell の *-InboxRule コマンドレットを使用して管理者によって作成) は、受信トレイからメッセージ Exchange Onlineを移動または削除できます。
メッセージを検疫した一部のメール フロー ルールでは、解放されたメッセージが再度検疫される可能性があります。
リリースされた検疫メッセージを onpremises 受信者にルーティングすると、スパム対策ヘッダーが失われる可能性があることを管理者に通知します。これにより、メッセージはリリース後に再び検疫されます。
管理者は 、メッセージ トレース を使用して、リリースされたメッセージが受信者の受信トレイに配信されたかどうかを判断できます。
メッセージは検疫から予期せず解放されます。 これが生じているのはなぜですか?
サード パーティのウイルス対策ソリューションまたはセキュリティ サービスは、 検疫通知のアクション ボタンをランダムに選択できます。
この問題に関するサポート チケットを開く前に、サード パーティのフィルター処理を使用していないことを確認します。
解放された検疫済みメッセージには、[状態] 値 [リリース済み] と [検疫] ページで [リリース済み] プロパティが使用できます。
管理者は、監査ログを使用して、検疫からメッセージをリリースしたユーザーを確認することもできます。 [アクティビティ - フレンドリ名] の値 Released Quarantine メッセージを使用します。 関連する手順については、「 検疫済みメッセージを削除したユーザーを検索する」を参照してください。
一度に複数の検疫メッセージを解放または報告できますか。
Microsoft Defender ポータルでは、一度に最大 100 個のメッセージを選択して解放できます。
管理者は、PowerShell またはスタンドアロン EOP PowerShell Exchange Online の Get-QuarantineMessage コマンドレットと Release-QuarantineMessage コマンドレットを使用して、検疫されたメッセージを一括で検索して解放したり、誤検知を一括で報告したりできます。
[検疫] ページで使用できる一括アクションについては、「検疫された複数のメール メッセージに対するアクションの実行」を参照してください。
プラン 2 Defender for Office 365では、エクスプローラー (Threat エクスプローラー) を使用して、大規模な一括リリース操作 (最大 200,000 メッセージ) を実行できます。
隔離されたメッセージを検索する場合にワイルドカードはサポートされますか。 特定のドメインの隔離されたメッセージを検索できますか。
ワイルドカードは、Microsoft Defender ポータルではサポートされていません。 たとえば、送信者を検索するときは、完全なメール アドレスを指定する必要があります。 ただし、Exchange Online PowerShell またはスタンドアロン EOP PowerShell ではワイルドカードを使用できます。
たとえば、次の PowerShell コードを NotePad にコピーし、ファイルを見つけやすい場所 (たとえば、C:\Data\QuarantineRelease.ps1) に .ps1 として保存します。
次に、PowerShell Exchange Onlineまたは PowerShellExchange Online Protectionに接続した後、次のコマンドを実行してスクリプトを実行します。
& C:\Data\QuarantineRelease.ps1
スクリプトは次のアクションを実行します。
- fabrikam ドメイン内のすべての送信者からスパムとして検疫された未リリースのメッセージを検索します。 結果の最大数は 50,000 (1000 件の結果の 50 ページ) です。
- 結果を CSV ファイルに保存します。
- 一致する検疫済みメッセージを元のすべての受信者にリリースします。
$Page = 1
$List = $null
Do
{
Write-Host "Getting Page " $Page
$List = (Get-QuarantineMessage -Type Spam -PageSize 1000 -Page $Page | where {$_.Released -like "False" -and $_.SenderAddress -like "*fabrikam.com"})
Write-Host " " $List.count " rows in this page match"
Write-Host " Exporting list to appended CSV for logging"
$List | Export-Csv -Path "C:\Data\Quarantined Message Matches.csv" -Append -NoTypeInformation
Write-Host "Releasing page " $Page
$List | foreach {Release-QuarantineMessage -Identity $_.Identity -ReleaseToAll}
$Page = $Page + 1
} Until ($Page -eq 50)
メッセージをリリースした後は、もう一度解放することはできません。
操作方法検疫されたメッセージについてエンド ユーザーに通知しますか? 検疫通知はどのくらいの頻度で送信されますか?
関連付けられている検疫ポリシーで検疫通知が有効になっている場合は、検疫通知を 4 時間ごと、毎日、または毎週送信するように構成できます。 詳細については、「 すべての検疫通知をカスタマイズする」を参照してください。
ヒント
利用可能な最も高速で最も頻繁な通知スケジュールは、4 時間ごとに行われます。
4 時間おきに選択し、最後の通知生成 直後 にメッセージが検疫された場合、受信者は 4 時間以上後に検疫通知 を 受け取ります。
0 時間自動消去 (ZAP) によって検疫されたメッセージの場合、メッセージがメールボックスに配信されたときではなく、メッセージが検疫された時刻に基づいて検疫通知が生成されます。
検疫ポリシーでのみ、内部 (organization内) メッセージの検疫通知を設定することもできます。
検疫されたメッセージに関する通知をユーザーが受信しないのはなぜですか?
サポートされている検疫アクションに対して定義されている検疫ポリシーで通知が有効になっていない場合、検疫通知は送信されません。
詳細については、「検疫ポリシーの構造」の最後の表を参照し、「EOP と Microsoft Defender for Office 365 の推奨設定」の個々の機能テーブルを参照して、検疫通知が有効になっている既定の検疫ポリシーを確認します。
また、 事前設定されたセキュリティ ポリシーの保護ポリシーは、カスタム保護ポリシー の前に常に 適用されます。 Standard または Strict の事前設定されたセキュリティ ポリシーで定義されているユーザーは、検疫ポリシーをカスタマイズして検疫通知を有効にするようにカスタマイズされた保護ポリシーを取得することはありません。 詳細については、「事前設定されたセキュリティ ポリシーのポリシー設定」を参照してください。
検疫通知は、Exchange メール フロー ルール (トランスポート ルール) またはデータ損失防止 (DLP) によって検疫されたメッセージに対して有効になっていません。 これらのメッセージには、AdminOnly 検疫ポリシーがあります。 また、DefaultFullAccess 検疫ポリシーを使用したメッセージに対しても、検疫通知は生成されません。
検疫通知操作方法カスタマイズしてカスタム ロゴを追加しますか?
「すべての検疫通知をカスタマイズする」を参照してください。
管理者が検疫からメッセージをダウンロードまたは解放するために必要なアクセス許可は何ですか?
アクセス許可エントリについては 、こちらを参照してください。
ヒント
Exchange Onlineアクセス許可を使用して検疫されたメッセージを管理する機能は、MC447339ごとに 2023 年 2 月に終了しました。
他の組織のゲスト管理者は、検疫されたメッセージを管理できません。 管理者は、受信者と同じorganizationに存在する必要があります。
特定の言語のカスタム検疫通知を作成しましたが、ユーザーには表示されません。 何が起こっているのでしょうか?
アカウント/メールボックスの言語がカスタム検疫通知の言語と一致する場合にのみ、別の言語のカスタム検疫通知がユーザーに表示されます。
検疫されたMicrosoft Teamsメッセージをプレビューできません。 何が起こっているのでしょうか?
ユーザーが Teams クライアントからメッセージを削除した場合、メッセージは削除されるため、削除されたメッセージの検疫ではプレビューを使用できません。
検疫通知または **検疫ページ** に [送信者のブロック] ボタンが表示されません。 [検疫] ページに [リリースの承認] ボタンも表示されません。 何が起こっているのでしょうか?
検疫されたメッセージでは、送信者のブロックは既定で無効になっています。
エンド ユーザーの場合、管理者は [送信者のブロック ] アクションを含むカスタム検疫ポリシーを作成して割り当てることができます。 詳細については、「[検疫ポリシー](検疫ポリシー)」を参照してください。
管理者は、既定の値 [すべてのユーザー] ではなく [受信者>Only me で検疫結果をフィルター処理する場合にのみ送信者をブロックする] を表示します。
承認リリース は廃止され、 Release に含まれるようになりました。
**Filter** と **Search** が機能しません。 何が起こっているのでしょうか?
[ 検索 ] ボックスは、検疫で表示される結果に適用されます。 既定では、リストの一番下まで下にスクロールするまで、最初の 100 個のエントリのみが表示され、より多くの結果が読み込まれます。
インターネット メッセージ ID で検疫されたメッセージをフィルター処理するには、PowerShell でも、値に山かっこ (<>
) を含める必要があります。
[検疫] に、解放された検疫メッセージが引き続き表示されます。 何が起こっているのでしょうか?
解放されたメッセージは、次のまで [状態] 値 [ リリース済み] と共に検疫に表示されたままです。
検疫の保持期間が期限切れになり、メッセージが自動的に削除されます。
または
メッセージは検疫から手動で削除されます。
リリース要求アラートが生成されていません。 何が起こっているのでしょうか?
監査ログを有効にする必要があります (既定ではオンになっています)。 詳細については、「監査のオンとオフを切り替える」を参照してください。
重複または複数の検疫通知が同じユーザーに送信されます。
PowerShell の Set-OrganizationConfig Exchange Online コマンドレットの SendFromAliasEnabled パラメーターが$true値に設定されている場合、複数または重複する検疫通知が同じユーザーに送信されます。
検疫済みメッセージのすべての受信者が表示されるわけではありません。 何が起こっているのでしょうか?
管理者は、 プレビュー メッセージ または メッセージ ヘッダーの表示 を使用して、受信者の完全な一覧を表示できます。