Vanlige spørsmål om meldinger i karantene

Som standard er det bare administratorer som kan behandle meldinger som ble satt i karantene for skadelig programvare. Hvis du vil ha mer informasjon, kan du se Behandle meldinger og filer i karantene som administrator.

Administratorer kan imidlertid opprette og bruke karantenepolicyer på policyer for skadelig programvare som definerer flere funksjoner for brukere. Hvis du vil ha mer informasjon, kan du se Opprette karantenepolicyer.

Brukere kan ikke frigi sine egne meldinger som ble satt i karantene som skadelig programvare av policyer for skadelig programvare, uavhengig av hvordan karantenepolicyen er konfigurert. Hvis policyen tillater brukere å frigi sine egne meldinger i karantene, har brukerne i stedet lov til å be om utgivelsen av skadelig programvare som er satt i karantene eller phishing-meldinger med høy visshet.

Som standard blir meldinger som er klassifisert som søppelpost eller masse, levert og flyttet til Søppelpost-mappen ved hjelp av følgende policyer for søppelpost:

• Standard policy for søppelpost.
• Egendefinerte policyer for søppelpost.
• Den Standard forhåndsinnstilte sikkerhetspolicyen.

Administratorer kan konfigurere standard søppelpost eller egendefinerte policyer til å sette søppelpost i karantene eller masseutsende e-postmeldinger i stedet. Hvis du vil ha mer informasjon kan du se Konfigurer policyer for beskyttelse mot søppelpost i EOP.

Den strenge forhåndsinnstilte sikkerhetspolicyen setter meldinger som er klassifisert som søppelpost eller bulk, i karantene.

Hvis du vil ha mer informasjon, kan du se følgende artikler:

• Innstillinger for søppelpostpolicy for EOP
• Profiler i forhåndsinnstilte sikkerhetspolicyer

En bruker må ha en gyldig konto for å få tilgang til sine egne meldinger i karantene. Frittstående EOP krever at brukere representeres som e-postbrukere i EOP (manuelt opprettet eller opprettet via katalogsynkronisering). Hvis du vil ha mer informasjon om administrasjon av brukere i frittstående EOP-miljøer, kan du se Administrere e-postbrukere i frittstående EOP.

Karantenepolicyer bestemmer om brukere kan få tilgang til meldinger som er satt i karantene, og hva de har tillatelse til å gjøre med dem. Hvis du vil ha mer informasjon, kan du se Anatomi for en karantenepolicy.

Hvis karantenepolicyen krever at brukere ber om frigivelse av meldinger eller krever at administratorer utgir meldinger, må en administrator godkjenne forespørselen om frigivelse eller frigi meldingen før meldingen er tilgjengelig for brukere.

Du kan ikke tilpasse karantenepolicyer i forhåndsinnstilte sikkerhetspolicyer.

Karantenepolicyer definerer om brukere kan få tilgang til meldinger i karantene basert på hvorfor meldingen ble satt i karantene.

Hvis du vil ha standardtilgang til meldinger i karantene, kan du se tabellen i Søk etter og frigi meldinger som er satt i karantene som en bruker i EOP

Brukere kan ikke frigi sine egne meldinger som ble satt i karantene som skadelig programvare av policyer for beskyttelse mot skadelig programvare eller klarerte vedlegg, eller som phishing med høy konfidens av policyer for søppelpost, uavhengig av hvordan karantenepolicyen er konfigurert. Hvis policyen tillater brukere å frigi sine egne meldinger i karantene, har brukerne i stedet lov til å be om utgivelsen av skadelig programvare som er satt i karantene eller phishing-meldinger med høy visshet.

Standard karantenepolicy med navnet AdminOnlyAccessPolicy hindrer all brukermedvirkning i karantenemeldinger. Som standard brukes denne karantenepolicyen for meldinger som ble satt i karantene som skadelig programvare eller phishing med høy visshet. I egendefinerte policyer eller standardpolicyen for beskyttelsesfunksjoner som støtter kvarantining-meldinger, kan administratorer angi AdminOnlyAccessPolicy som karantenepolicy som skal brukes.

Du kan ikke hindre sluttbrukere i å se eller få tilgang til karantenesiden på https://security.microsoft.com/quarantine.

Kolonnen for karanteneårsak som er tilgjengelig på E-post-fanen på Karantene-siden i Defender-portalen på https://security.microsoft.com/quarantine?viewid=Email. Vanlige årsaker er transportregel, massesøppel, søppelpost, skadelig programvare, Phishing, phishing med høy visshet eller Admin handling – filtypeblokk. Hvis du vil ha mer informasjon, kan du se Vis e-post i karantene.

Før du åpner en støtteforespørsel om dette, kan du se Finn hvem som slettet en melding i karantene.

Meldinger i karantene utløper også og fjernes til slutt fra karantene, avhengig av hvorfor meldingen ble satt i karantene. Hvis du vil ha mer informasjon, kan du se Oppbevaring av karantene.

Det vanlige vedleggsfilteret i policyer for skadelig programvare identifiserer meldingsvedlegg med de angitte filtypene (bruk av sann typesamsvar var mulig). Standardhandlingen for disse gjenkjenningene i standardpolicyen mot skadelig programvare og i Standard og strenge forhåndsinnstilte sikkerhetspolicyer er å avvise meldingen i en rapport om manglende levering (også kjent som en NDR- eller returmelding). Hvis den utgitte meldingen inneholder en av de angitte filtypene, er det mulig at meldingen ble returnert til avsenderen i en NDR.

Når en melding utløper fra karantene, kan du ikke gjenopprette den.

Som standard skjules meldinger fra blokkerte avsendere i karantene (karantene filtreres av Ikke vis blokkerte avsendere). Hvis du vil se meldinger fra alle avsendere, velger du Filtrer og deretter Vis alle avsendere.

• Tredjeparts antivirusløsninger, sikkerhetstjenester eller utgående koblinger kan forårsake følgende problemer for meldinger som frigis fra karantene:

  • Meldingen settes i karantene etter at den er frigitt.
  • Innhold fjernes fra den utgitte meldingen før det når mottakerens innboks.
  • Den utgitte meldingen kommer aldri til mottakerens innboks.

  Kontroller at du ikke bruker tredjepartsfiltrering før du åpner en støtteforespørsel om disse problemene.

  Hvis et tredjepartsfilter ikke hindrer meldingen i å nå brukerens innboks og det første utgivelsesforsøket ikke fungerte, kan administratorer prøve å bruke cmdleten Release-QuarantineMessage i Exchange Online PowerShell med Force-bryteren for å frigi meldingen.

  Hvis Release-QuarantineMessage med Force-bryteren ikke fungerer, bør administratorer prøve å slippe meldingen til en alternativ postboks etter at filtrering av tredjepartstjenesten er slått av. Tvungen utgivelse kan føre til at meldinger utgis flere ganger.

  Du får en feilmelding hvis du prøver å masseutsende flere meldinger til alle mottakere, og en meldingssletting på mottakernivå ble gjort i alle meldingene. Administratoren må frigi den bestemte meldingen bare til mottakeren der sletting fra karantene ikke har oppstått.

• Innboksregler (opprettet av brukere i Outlook eller av administratorer ved hjelp av *-InboxRule-cmdleter i Exchange Online PowerShell) kan flytte eller slette meldinger fra innboksen.

• Noen regler for e-postflyt som satte en melding i karantene, kan føre til at den frigitte meldingen settes i karantene igjen.

• Informer administratorer om at distribusjon av frigitte karantenemeldinger til mottakere kan føre til at meldinger mister søppelposthoder, noe som gjør at meldingene havner i karantene igjen etter utgivelsen.

Administratorer kan bruke meldingssporing til å avgjøre om en melding ble levert til mottakerens innboks.

Tredjeparts antivirusløsninger eller sikkerhetstjenester kan tilfeldig velge handlingsknapper i karantenevarsler.

Kontroller at du ikke bruker tredjepartsfiltrering før du åpner en støtteforespørsel om dette problemet.

Meldinger som er satt i karantene, har statusverdienFrigitt og Utgitt av-egenskapen som er tilgjengelig på karantenesiden .

Administratorer kan også bruke overvåkingsloggen til å se hvem som publiserte en melding fra karantene. Bruk meldingen Frigide karanteneverdier i Aktiviteter – egendefinerte navn. Hvis du vil ha relaterte instruksjoner, kan du se Finn hvem som slettet en melding i karantene.

I Microsoft Defender-portalen kan du velge og frigi opptil 100 meldinger om gangen.

Administratorer kan bruke cmdletene Get-QuarantineMessage og Release-QuarantineMessage i Exchange Online PowerShell eller frittstående EOP PowerShell til å finne og frigi karantenemeldinger i bulk, og til å rapportere falske positiver i bulk.

Hvis du vil ha massehandlinger som er tilgjengelige på karantenesiden , kan du se Utføre handlinger på flere e-postmeldinger som er satt i karantene.

I Defender for Office 365 Plan 2 kan du bruke Explorer (Trusselutforsker) til å utføre større masseutløsingsoperasjoner (maksimalt 200 000 meldinger).

Jokertegn støttes ikke i Microsoft Defender-portalen. Når du for eksempel søker etter en avsender, må du angi hele e-postadressen. Du kan imidlertid bruke jokertegn i Exchange Online PowerShell eller frittstående EOP PowerShell.

Du kan for eksempel kopiere følgende PowerShell-kode til Notisblokk og lagre filen som .ps1 på en plassering som er enkel å finne (for eksempel C:\Data\QuarantineRelease.ps1).

Deretter, når du har koblet til Exchange Online PowerShell eller Exchange Online Protection PowerShell, kjører du følgende kommando for å kjøre skriptet:

& C:\Data\QuarantineRelease.ps1

Skriptet gjør følgende handlinger:

• Finn uutgitte meldinger som ble satt i karantene som søppelpost fra alle avsendere i fabrikam-domenet. Maksimalt antall resultater er 50 000 (50 sider med 1000 resultater).
• Lagre resultatene i en CSV-fil.
• Frigi samsvarende meldinger i karantene til alle opprinnelige mottakere.

$Page = 1
$List = $null

Do
{
Write-Host "Getting Page " $Page

$List = (Get-QuarantineMessage -Type Spam -PageSize 1000 -Page $Page | where {$_.Released -like "False" -and $_.SenderAddress -like "*fabrikam.com"})
Write-Host "                     " $List.count " rows in this page match"
Write-Host "                                                             Exporting list to appended CSV for logging"
$List | Export-Csv -Path "C:\Data\Quarantined Message Matches.csv" -Append -NoTypeInformation

Write-Host "Releasing page " $Page
$List | foreach {Release-QuarantineMessage -Identity $_.Identity -ReleaseToAll}

$Page = $Page + 1

} Until ($Page -eq 50)

Når du har sluppet en melding, kan du ikke slippe den på nytt.

Hvis karantenevarsler er aktivert i den tilknyttede karantenepolicyen, kan du konfigurere karantenevarsler som skal sendes hver fjerde time, daglig eller ukentlig. Hvis du vil ha mer informasjon, kan du se Tilpasse alle karantenevarsler.

Du kan også konfigurere karantenevarsler for interne (intraorganisasjon) meldinger bare i karantenepolicyer.

Først bruker du meldingssporing for å bekrefte at mottakeren ikke mottok et karantenevarsel:

• Avsender: Quarantine@messaging.microsoft.com eller en egendefinert avsenderadresse.
• Mottaker: Mottakerens e-postadresse.

Når du har bekreftet at karantenevarslene ikke ble sendt, fortsetter du med følgende veiledning.

Hvis karantenepolicyen som er definert for den støttede karantenehandlingen ikke har varsler aktivert, sendes ikke karantenevarslene.

Hvis du vil ha mer informasjon, kan du se den siste tabellen i Anatomi for en karantenepolicy og de individuelle funksjonstabellene i anbefalte innstillinger for EOP og Microsoft Defender for Office 365 for å se hvilke standard karantenepolicyer som har karantenevarsler slått på.

Beskyttelsespolicyene i forhåndsinnstilte sikkerhetspolicyer brukes også alltid før egendefinerte beskyttelsespolicyer. En bruker som er definert i Standard eller streng forhåndsinnstilt sikkerhetspolicy, får aldri en tilpasset beskyttelsespolicy der karantenepolicyen er tilpasset for å slå på karantenevarsler. Hvis du vil ha mer informasjon, kan du se Policyinnstillinger i forhåndsinnstilte sikkerhetspolicyer

Karantenevarsler er ikke aktivert for meldinger som er satt i karantene av Exchange-regler for e-postflyt (transportregler) eller hindring av datatap (DLP). Disse meldingene har policyen adminonly karantene. Karantenevarsler genereres heller ikke for meldinger med karantenepolicyen DefaultFullAccess.

Se Tilpasse alle karantenevarsler.

Se tillatelsesoppføringen her.

Et egendefinert karantenevarsel for et annet språk vises bare for brukere når språket for kontoen/postboksen samsvarer med språket i det egendefinerte karantenevarselet.

Hvis en bruker sletter meldingen fra Teams-klienten, er meldingen borte, slik at forhåndsvisning ikke er tilgjengelig i karantene for den slettede meldingen.

Blokker avsender er deaktivert som standard for meldinger som er satt i karantene.

For sluttbrukere kan administratorer opprette og tilordne en egendefinert karantenepolicy som inkluderer handlingen Blokker avsender . Hvis du vil ha mer informasjon kan du se Karantenepolicyer.

Administratorer ser bare Blokker avsender hvis de filtrerer karanteneresultatene etter Bare mottaker>meg i stedet for standardverdien Alle brukere.

Godkjenn utgivelsen er trukket tilbake og er nå inkludert i Release.

Handlingen Blokker avsender er ikke mulig for fellesmapper.

Fellesmapper i Exchange har ikke innstillinger for konfigurasjon av søppelpost, for eksempel individuelle postbokser. Set-MailboxJunkEmailConfiguration Cmdleten konfigurerer innstillinger for søppelpost for postbokser, ikke fellesmapper.

Søkeboksen gjelder for de synlige resultatene i karantene. Som standard vises bare de første 100 oppføringene til du ruller ned til bunnen av listen, noe som laster inn flere resultater.

Hvis du vil filtrere meldinger i karantene etter Internett-meldings-ID, må verdien inneholde vinkelparenteser (<>), selv i PowerShell.

Utgitte meldinger forblir synlige i karantene med statusverdienutgitt til:

• Oppbevaringsperioden for karantene utløper, og meldingen slettes automatisk.

  eller

• Meldingen slettes manuelt fra karantene.

Overvåkingslogging må være aktivert (den er aktivert som standard). Hvis du vil ha mer informasjon, kan du se Aktivere eller deaktivere overvåking.

Flere eller dupliserte karantenevarsler sendes til samme bruker hvis SendFromAliasEnabled-parameteren på Set-OrganizationConfig-cmdleten i Exchange Online PowerShell er satt til verdien $true.

Administratorer kan bruke forhåndsvisningsmelding eller vis meldingshode for å se hele listen over mottakere.