Edytuj

Udostępnij za pośrednictwem

Komunikaty poddane kwarantannie — często zadawane pytania

  • Często zadawane pytania

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w planie Ochrona usługi Office 365 w usłudze Microsoft Defender 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami wersji próbnej w witrynie Try Ochrona usługi Office 365 w usłudze Microsoft Defender.

Dotyczy

Ten artykuł zawiera często zadawane pytania i odpowiedzi dotyczące wiadomości e-mail objętych kwarantanną dla organizacji platformy Microsoft 365 ze skrzynkami pocztowymi w Exchange Online lub autonomicznymi organizacjami Exchange Online Protection (EOP) bez Exchange Online skrzynek pocztowych.

Uwaga

W usłudze Microsoft 365 obsługiwanej przez firmę 21Vianet kwarantanna nie jest obecnie dostępna w portalu Microsoft Defender. Kwarantanna jest dostępna tylko w klasycznym centrum administracyjnym programu Exchange (klasycznym eac).

Aby uzyskać pytania i odpowiedzi dotyczące ochrony przed spamem, zobacz Ochrona przed spamem — często zadawane pytania.

Aby uzyskać pytania i odpowiedzi dotyczące ochrony przed złośliwym oprogramowaniem, zobacz Ochrona przed złośliwym oprogramowaniem — często zadawane pytania.

Aby uzyskać pytania i odpowiedzi dotyczące ochrony przed fałszowaniem, zobacz Ochrona przed fałszowaniem — często zadawane pytania.

Jak mogę zarządzać komunikatami, które zostały poddane kwarantannie w przypadku złośliwego oprogramowania?

Domyślnie tylko administratorzy mogą zarządzać komunikatami, które zostały poddane kwarantannie w przypadku złośliwego oprogramowania. Aby uzyskać więcej informacji, zobacz Zarządzanie komunikatami i plikami poddanymi kwarantannie jako administrator.

Administratorzy mogą jednak tworzyć i stosować zasady kwarantanny do zasad ochrony przed złośliwym oprogramowaniem, które definiują więcej możliwości dla użytkowników. Aby uzyskać więcej informacji, zobacz Tworzenie zasad kwarantanny.

Użytkownicy nie mogą wydawać własnych komunikatów, które zostały poddane kwarantannie jako złośliwe oprogramowanie przez zasady ochrony przed złośliwym oprogramowaniem, niezależnie od sposobu konfigurowania zasad kwarantanny. Jeśli zasady zezwalają użytkownikom na wydawanie własnych komunikatów objętych kwarantanną, zamiast tego użytkownicy mogą zażądać wydania złośliwego oprogramowania poddanego kwarantannie lub wiadomości wyłudzających informacje o wysokim poziomie zaufania.

Jak mogę spam kwarantanny?

Domyślnie wiadomości sklasyfikowane jako spam lub zbiorcze są dostarczane i przenoszone do folderu Junk Email przez następujące zasady ochrony przed spamem:

  • Domyślne zasady ochrony przed spamem.
  • Niestandardowe zasady ochrony przed spamem.
  • Standardowe wstępnie ustawione zasady zabezpieczeń.

Administratorzy mogą zamiast tego skonfigurować domyślne zasady antyspamowe lub niestandardowe do kwarantanny spamu lub zbiorczych wiadomości e-mail. Aby uzyskać więcej informacji, zobacz Konfigurowanie zasad ochrony przed spamem w ramach EOP.

Zasady ścisłego ustawienia zabezpieczeń poddają kwarantannie komunikaty, które są klasyfikowane jako spam lub zbiorcze.

Aby uzyskać więcej informacji, zapoznaj się z następującymi artykułami:

Jak mogę dać użytkownikom dostęp do kwarantanny?

Użytkownik musi mieć prawidłowe konto, aby uzyskać dostęp do własnych komunikatów w kwarantannie. Autonomiczna funkcja EOP wymaga, aby użytkownicy reprezentowali użytkowników poczty w ramach operacji EOP (ręcznie utworzonej lub utworzonej za pośrednictwem synchronizacji katalogów). Aby uzyskać więcej informacji na temat zarządzania użytkownikami w autonomicznych środowiskach EOP, zobacz Zarządzanie użytkownikami poczty w autonomicznej operacji EOP.

Zasady kwarantanny określają, czy użytkownicy mogą uzyskiwać dostęp do komunikatów poddanych kwarantannie i co mogą im robić. Aby uzyskać więcej informacji, zobacz Anatomia zasad kwarantanny.

Jeśli zasady kwarantanny wymagają od użytkowników żądania wydania komunikatów lub wymagają od administratorów wydania komunikatów, administrator musi zatwierdzić żądanie wydania lub zwolnić komunikat , zanim wiadomość będzie dostępna dla użytkowników.

Nie można dostosować zasad kwarantanny w wstępnie ustawionych zasadach zabezpieczeń.

Do jakich komunikatów mogą uzyskiwać dostęp użytkownicy końcowi w kwarantannie?

Zasady kwarantanny określają, czy użytkownicy mogą uzyskiwać dostęp do komunikatów poddanych kwarantannie na podstawie przyczyny kwarantanny komunikatu.

Aby uzyskać domyślny dostęp do komunikatów poddanych kwarantannie, zobacz tabelę w temacie Znajdowanie i zwalnianie komunikatów poddanych kwarantannie jako użytkownik w ramach EOP

Użytkownicy nie mogą wydawać własnych komunikatów, które zostały poddane kwarantannie jako złośliwe oprogramowanie przez zasady ochrony przed złośliwym oprogramowaniem lub bezpiecznymi załącznikami, ani wyłudzać informacji z dużą pewnością przez zasady ochrony przed spamem, niezależnie od sposobu konfigurowania zasad kwarantanny. Jeśli zasady zezwalają użytkownikom na wydawanie własnych komunikatów objętych kwarantanną, zamiast tego użytkownicy mogą zażądać wydania złośliwego oprogramowania poddanego kwarantannie lub wiadomości wyłudzających informacje o wysokim poziomie zaufania.

Jak uniemożliwić użytkownikom dostęp do komunikatów objętych kwarantanną?

Domyślne zasady kwarantanny o nazwie AdminOnlyAccessPolicy uniemożliwiają interakcję użytkownika z komunikatami poddanymi kwarantannie. Domyślnie te zasady kwarantanny są używane w przypadku komunikatów, które zostały poddane kwarantannie jako złośliwe oprogramowanie lub wyłudzanie informacji o wysokim poziomie ufności. W zasadach niestandardowych lub domyślnych zasadach funkcji ochrony, które obsługują komunikaty kłócące się, administratorzy mogą określić zasadę AdminOnlyAccessPolicy jako zasady kwarantanny do użycia.

Nie można uniemożliwić użytkownikom końcowym wyświetlania lub uzyskiwania dostępu do strony Kwarantanna w witrynie https://security.microsoft.com/quarantine.

Jak mogę dowiedzieć się, dlaczego komunikat został poddany kwarantannie?

Kolumna Przyczyna kwarantanny dostępna na karcie Email na stronie Kwarantanna w portalu usługi Defender pod adresem https://security.microsoft.com/quarantine?viewid=Email. Typowe przyczyny to: reguła transportu, zbiorcze, spam, złośliwe oprogramowanie, wyłudzanie informacji, wyłudzanie informacji o wysokim poziomie zaufania lub akcja Administracja — blok typów plików. Aby uzyskać więcej informacji, zobacz Wyświetlanie wiadomości e-mail z kwarantanną.

Brak komunikatów w kwarantannie. Co się z nimi stało?

Przed otwarciem biletu pomocy technicznej na ten temat zobacz Znajdowanie, kto usunął komunikat poddany kwarantannie.

Komunikaty poddane kwarantannie również wygasają i są ostatecznie usuwane z kwarantanny, w zależności od tego, dlaczego komunikat został poddany kwarantannie. Aby uzyskać więcej informacji, zobacz Przechowywanie kwarantanny.

Filtr typowych załączników w zasadach ochrony przed złośliwym oprogramowaniem identyfikuje załączniki komunikatów z określonymi rozszerzeniami plików (możliwe było użycie dopasowania typu true). Domyślną akcją dla tych wykryć w domyślnych zasadach ochrony przed złośliwym oprogramowaniem oraz w standardowych i ścisłych zasadach zabezpieczeń wstępnie ustawionych jest odrzucenie komunikatu w raporcie o braku dostarczania (znanym również jako komunikat NDR lub bounce). Jeśli wydana wiadomość zawiera jeden z określonych typów załączników plików, możliwe, że komunikat został zwrócony nadawcy w elemencie NDR.

Gdy komunikat wygaśnie z kwarantanny, nie można go odzyskać.

Domyślnie komunikaty od zablokowanych nadawców są ukryte w kwarantannie (kwarantanna jest filtrowana według pozycji Nie pokazuj zablokowanych nadawców). Aby wyświetlić komunikaty od wszystkich nadawców, wybierz pozycję Filtruj , a następnie wybierz pozycję Pokaż wszystkich nadawców.

Porada

Jeśli nadawca jest zablokowany i wybrano opcję Nie pokazuj zablokowanych nadawców (ustawienie domyślne), komunikaty od tych nadawców są wyświetlane na stronie Kwarantanna i są uwzględniane w powiadomieniach o kwarantannie, gdy wartość przyczyny adresu nadawcy to Brak. To zachowanie występuje, ponieważ komunikaty zostały zablokowane z przyczyn innych niż przesłonięcia adresów nadawcy.

Komunikat został zwolniony z kwarantanny, ale pierwotny adresat nie może go znaleźć. Jak mogę określić, co się stało z komunikatem?

  • Rozwiązania antywirusowe innych firm, usługi zabezpieczeń lub łączniki wychodzące mogą powodować następujące problemy w przypadku komunikatów zwolnionych z kwarantanny:

    • Komunikat jest poddawany kwarantannie po wydaniu.
    • Zawartość jest usuwana z wydanej wiadomości, zanim dotrze do skrzynki odbiorczej.
    • Wydana wiadomość nigdy nie dociera do skrzynki odbiorczej odbiorcy.

    Przed otwarciem biletu pomocy technicznej dotyczącego tych problemów sprawdź, czy nie używasz filtrowania innych firm.

    Jeśli filtr innej firmy nie uniemożliwia komunikatowi dotarcia do skrzynki odbiorczej użytkownika, a pierwsza próba wydania nie zadziałała, administratorzy mogą spróbować użyć polecenia cmdlet Release-QuarantineMessage w Exchange Online programu PowerShell za pomocą przełącznika Wymuszaj, aby zwolnić komunikat.

    Jeśli polecenie Release-QuarantineMessage z przełącznikiem Wymuszanie nie działa, administratorzy powinni spróbować opublikować wiadomość do alternatywnej skrzynki pocztowej po wyłączeniu filtrowania według usługi innej firmy. Wymuszone wydanie może spowodować wielokrotne wydawanie komunikatów.

    Jeśli spróbujesz zbiorczo zwolnić wiele komunikatów dla wszystkich adresatów, zostanie wyświetlony błąd, a usunięcie wiadomości na poziomie adresata zostało wykonane w dowolnej wiadomości. Administrator musi wydać ten konkretny komunikat tylko adresatowi, którego usunięcie z kwarantanny nie miało miejsca.

  • Reguły skrzynki odbiorczej (utworzone przez użytkowników w programie Outlook lub przez administratorów korzystających z poleceń cmdlet *-InboxRule w programie Exchange Online programu PowerShell) mogą przenosić lub usuwać komunikaty ze skrzynki odbiorczej.

  • Niektóre reguły przepływu poczty, które poddały wiadomość kwarantannie, mogą spowodować ponowne poddanie wydanej wiadomości kwarantannie.

  • Poinformuj administratorów, że routing wydanych komunikatów kwarantanny do adresatów onpremises może spowodować utratę nagłówków antyspamowych, co sprawia, że komunikaty ponownie lądują w kwarantannie po wydaniu.

Administratorzy mogą użyć śledzenia komunikatów , aby określić, czy wydana wiadomość została dostarczona do skrzynki odbiorczej odbiorcy.

Komunikaty są nieoczekiwanie zwalniane z kwarantanny. Dlaczego tak się dzieje?

Rozwiązania antywirusowe innych firm lub usługi zabezpieczeń mogą losowo wybierać przyciski akcji w powiadomieniach o kwarantannie.

Przed otwarciem biletu pomocy technicznej dotyczącego tego problemu sprawdź, czy nie używasz filtrowania innych firm.

Komunikaty poddane kwarantannie, które zostały wydane, mają wartość Stanwydana i wydaną przez właściwość dostępną na stronie Kwarantanna .

Administratorzy mogą również użyć dziennika inspekcji, aby zobaczyć, kto wydał komunikat z kwarantanny. Użyj wartości Wydany komunikat kwarantanny w obszarze Działania — przyjazne nazwy. Aby uzyskać powiązane instrukcje, zobacz Znajdowanie, kto usunął komunikat objęty kwarantanną.

Czy mogę jednocześnie wydać lub zgłosić więcej niż jeden komunikat poddany kwarantannie?

W portalu Microsoft Defender można wybrać i zwolnić maksymalnie 100 komunikatów jednocześnie.

Administratorzy mogą używać poleceń cmdlet Get-QuarantineMessage i Release-QuarantineMessage w programie Exchange Online programie PowerShell lub autonomicznym programie PowerShell EOP w celu zbiorczego znajdowania i wydawania komunikatów poddanych kwarantannie oraz zbiorczego zgłaszania fałszywych alarmów.

Akcje zbiorcze dostępne na stronie Kwarantanna można znaleźć w temacie Take action on multiple quarantined email messages (Podjęcie akcji w przypadku wielu wiadomości e-mail objętych kwarantanną).

W Ochrona usługi Office 365 w usłudze Defender planie 2 możesz użyć Eksploratora (Eksploratora zagrożeń) do wykonywania większych operacji wydania zbiorczego (maksymalnie 200 000 komunikatów).

Czy symbole wieloznaczne są obsługiwane podczas wyszukiwania komunikatów poddanych kwarantannie? Czy mogę wyszukiwać komunikaty poddane kwarantannie dla określonej domeny?

Symbole wieloznaczne nie są obsługiwane w portalu Microsoft Defender. Na przykład podczas wyszukiwania nadawcy należy określić pełny adres e-mail. Można jednak używać symboli wieloznacznych w programie Exchange Online programie PowerShell lub autonomicznym programie PowerShell EOP.

Na przykład skopiuj następujący kod programu PowerShell do Notatnika i zapisz plik jako .ps1 w łatwej do znalezienia lokalizacji (na przykład C:\Data\QuarantineRelease.ps1).

Następnie po nawiązaniu połączenia z programem Exchange Online programu PowerShell lub Exchange Online Protection programu PowerShell uruchom następujące polecenie, aby uruchomić skrypt:

& C:\Data\QuarantineRelease.ps1

Skrypt wykonuje następujące akcje:

  • Znajdź niepublizowane wiadomości, które zostały poddane kwarantannie jako spam od wszystkich nadawców w domenie fabrikam. Maksymalna liczba wyników to 50 000 (50 stron ze 1000 wyników).
  • Zapisz wyniki w pliku CSV.
  • Zwolnij pasujące komunikaty poddane kwarantannie wszystkim oryginalnym adresatom.
$Page = 1
$List = $null

Do
{
Write-Host "Getting Page " $Page

$List = (Get-QuarantineMessage -Type Spam -PageSize 1000 -Page $Page | where {$_.Released -like "False" -and $_.SenderAddress -like "*fabrikam.com"})
Write-Host "                     " $List.count " rows in this page match"
Write-Host "                                                             Exporting list to appended CSV for logging"
$List | Export-Csv -Path "C:\Data\Quarantined Message Matches.csv" -Append -NoTypeInformation

Write-Host "Releasing page " $Page
$List | foreach {Release-QuarantineMessage -Identity $_.Identity -ReleaseToAll}

$Page = $Page + 1

} Until ($Page -eq 50)

Po wydaniu komunikatu nie można go zwolnić ponownie.

Jak mogę powiadamiać użytkowników końcowych o komunikatach poddanych kwarantannie? Jak często są wysyłane powiadomienia o kwarantannie?

Jeśli powiadomienia o kwarantannie są włączone w skojarzonych zasadach kwarantanny, możesz skonfigurować wysyłanie powiadomień kwarantanny co cztery godziny, codziennie lub co tydzień. Aby uzyskać więcej informacji, zobacz Dostosowywanie wszystkich powiadomień o kwarantannie.

Porada

Najszybszy, najczęstszy dostępny harmonogram powiadomień jest co cztery godziny.

Jeśli wybierzesz opcję co cztery godziny, a komunikat zostanie poddany kwarantannie tuż po ostatnim wygenerowaniu powiadomienia, odbiorca otrzyma powiadomienie o kwarantannie nieco ponad cztery godziny później.

W przypadku komunikatów poddanych kwarantannie przez automatyczne przeczyszczanie o wartości zero godzin (ZAP) powiadomienia o kwarantannie są generowane na podstawie momentu kwarantanny komunikatu, a nie momentu dostarczenia wiadomości do skrzynki pocztowej.

Powiadomienia o kwarantannie można również skonfigurować dla komunikatów wewnętrznych (wewnątrz organizacji) tylko w zasadach kwarantanny.

Dlaczego użytkownicy nie otrzymują powiadomień o komunikatach poddanych kwarantannie?

Jeśli zasady kwarantanny zdefiniowane dla obsługiwanej akcji kwarantanny nie mają włączonych powiadomień, powiadomienia o kwarantannie nie są wysyłane.

Aby uzyskać więcej informacji, zobacz ostatnią tabelę w sekcji Anatomia zasad kwarantanny oraz poszczególne tabele funkcji w obszarze Zalecane ustawienia dla EOP i Ochrona usługi Office 365 w usłudze Microsoft Defender, aby zobaczyć, które domyślne zasady kwarantanny mają włączone powiadomienia o kwarantannie.

Ponadto zasady ochrony w wstępnie ustawionych zasadach zabezpieczeń są zawsze stosowane przed niestandardowymi zasadami ochrony. Użytkownik zdefiniowany w standardowych lub ścisłych zasadach zabezpieczeń wstępnie ustawionych nigdy nie otrzyma dostosowanych zasad ochrony, w których zasady kwarantanny są dostosowane do włączania powiadomień o kwarantannie. Aby uzyskać więcej informacji, zobacz Ustawienia zasad w wstępnie ustawionych zasadach zabezpieczeń

Powiadomienia kwarantanny nie są włączone dla wiadomości poddanych kwarantannie przez reguły przepływu poczty programu Exchange (reguły transportu) ani zapobieganie utracie danych (DLP). Te komunikaty mają zasady kwarantanny AdminOnly. Powiadomienia kwarantanny nie są również generowane dla komunikatów z zasadami kwarantanny DefaultFullAccess.

Jak mogę dostosować powiadomienia o kwarantannie, aby dodać logo niestandardowe?

Zobacz Dostosowywanie wszystkich powiadomień o kwarantannie.

Jakie uprawnienia są wymagane, aby administratorzy pobierali lub zwalniali komunikaty z kwarantanny?

Zobacz wpis uprawnień tutaj.

Porada

Możliwość zarządzania komunikatami poddanymi kwarantannie przy użyciu uprawnień Exchange Online zakończyła się w lutym 2023 r. na MC447339.

Administratorzy gości z innych organizacji nie mogą zarządzać komunikatami poddanymi kwarantannie. Administrator musi znajdować się w tej samej organizacji co adresaci.

Utworzono niestandardowe powiadomienie o kwarantannie dla określonego języka, ale użytkownicy go nie widzą. Co się dzieje?

Powiadomienie o kwarantannie niestandardowej dla innego języka jest wyświetlane użytkownikom tylko wtedy, gdy ich język konta/skrzynki pocztowej jest zgodny z językiem w powiadomieniu o kwarantannie niestandardowej.

Nie mogę wyświetlić podglądu komunikatu usługi Microsoft Teams poddanej kwarantannie. Co się dzieje?

Jeśli użytkownik usunie komunikat z klienta usługi Teams, komunikat zniknął, więc wersja zapoznawcza nie jest dostępna w kwarantannie dla usuniętej wiadomości.

Nie widzę przycisku **Blokuj nadawcę** w powiadomieniach o kwarantannie lub na stronie **Kwarantanna**. Nie widzę również przycisku **Zatwierdź wydanie** na stronie **Kwarantanna**. Co się dzieje?

Nadawca bloku jest domyślnie wyłączony dla komunikatów poddanych kwarantannie.

W przypadku użytkowników końcowych administratorzy mogą tworzyć i przypisywać niestandardowe zasady kwarantanny, które obejmują akcję Blokuj nadawcę . Aby uzyskać więcej informacji, zobacz [Zasady kwarantanny](zasady kwarantanny).

Administratorzy widzą opcję Blokuj nadawcę tylko wtedy, gdy filtrują wyniki kwarantanny według tylko adresata>, zamiast wartości domyślnej Wszyscy użytkownicy.

Wersja Zatwierdź została wycofana i jest teraz uwzględniona w wersji.

**Filtr** i **Wyszukiwanie** nie działają. Co się dzieje?

Pole Wyszukiwania ma zastosowanie do widocznych wyników kwarantanny. Domyślnie tylko pierwsze 100 wpisów jest wyświetlanych do momentu przewinięcia w dół listy, co spowoduje załadowanie większej liczby wyników.

Aby filtrować komunikaty poddane kwarantannie według identyfikatora komunikatu internetowego, wartość musi zawierać nawiasy kątowe (<>), nawet w programie PowerShell.

Komunikaty o wydanej kwarantannie nadal są wyświetlane w kwarantannie. Co się dzieje?

Wydane komunikaty pozostają widoczne w kwarantannie z wydaną wartością Stan do:

Alerty żądania wydania nie są generowane. Co się dzieje?

Rejestrowanie inspekcji musi być włączone (domyślnie jest włączone). Aby uzyskać więcej informacji, zobacz Włączanie lub wyłączanie inspekcji.

Do tego samego użytkownika są wysyłane zduplikowane lub wiele powiadomień kwarantanny.

Wiele lub zduplikowane powiadomienia kwarantanny są wysyłane do tego samego użytkownika, jeśli parametr SendFromAliasEnabled w poleceniu cmdlet Set-OrganizationConfig w Exchange Online program PowerShell jest ustawiony na wartość $true.

Nie widzę wszystkich adresatów wiadomości poddanej kwarantannie. Co się dzieje?

Administratorzy mogą wyświetlić pełną listę adresatów za pomocą komunikatu w wersji zapoznawczej lub nagłówka wyświetlenia wiadomości .