Nejčastější dotazy ke zprávm v karanténě

Ve výchozím nastavení můžou zprávy, které byly kvůli malwaru v karanténě, spravovat jenom správci. Další informace najdete v tématu Správa zpráv a souborů v karanténě jako správce.

Správci ale můžou vytvářet a používat zásady karantény u antimalwarových zásad, které definují více možností pro uživatele. Další informace najdete v tématu Vytvoření zásad karantény.

Uživatelé nemůžou vydávat vlastní zprávy, které byly antimalwarovými zásadami v karanténě, bez ohledu na to, jak jsou zásady karantény nakonfigurované. Pokud zásady umožňují uživatelům vydávat vlastní zprávy v karanténě, můžou uživatelé místo toho požádat o vydání malwaru v karanténě nebo vysoce důvěryhodných phishingových zpráv.

Ve výchozím nastavení se zprávy klasifikované jako spam nebo hromadně doručují a přesouvají do složky Nevyžádaná Email pošta podle následujících zásad ochrany proti spamu:

• Výchozí antispamová zásada.
• Vlastní zásady ochrany proti spamu.
• Standardní přednastavené zásady zabezpečení.

Správci můžou nakonfigurovat výchozí antispamové nebo vlastní zásady tak, aby místo toho spam nebo hromadné e-mailové zprávy byly v karanténě. Další informace najdete v tématu Konfigurace zásad ochrany proti spamu v EOP.

Přísné přednastavené zásady zabezpečení umístí zprávy, které jsou klasifikovány jako spam nebo hromadně, do karantény.

Další informace najdete v následujících článcích:

• Nastavení zásad ochrany proti spamu EOP
• Profily v přednastavených zásadách zabezpečení

Uživatel musí mít platný účet pro přístup k vlastním zprávám v karanténě. Samostatná EOP vyžaduje, aby uživatelé v EOP (ručně vytvořené nebo vytvořené prostřednictvím synchronizace adresářů) představovali uživatele pošty. Další informace o správě uživatelů v samostatných prostředích EOP najdete v tématu Správa uživatelů pošty v samostatné EOP.

Zásady karantény určují, jestli uživatelé mají přístup ke svým zprávám v karanténě a co jim můžou dělat. Další informace najdete v tématu Anatomie zásad karantény.

Pokud zásady karantény vyžadují, aby uživatelé požádali o vydání zpráv, nebo vyžaduje, aby zprávy vydávali správci, musí správce žádost o vydání schválit nebo zprávu uvolnit , než bude zpráva uživatelům k dispozici.

V přednastavených zásadách zabezpečení nemůžete přizpůsobit zásady karantény.

Zásady karantény definují, jestli uživatelé mají přístup ke zprávám v karanténě na základě toho, proč byla zpráva v karanténě.

Výchozí přístup ke zprávům v karanténě najdete v tabulce Hledání a uvolnění zpráv v karanténě jako uživatel v EOP.

Uživatelé nemůžou vydávat své vlastní zprávy, které byly v karanténě antimalwarovým softwarem nebo zásadami bezpečných příloh, ani jako vysoce spolehlivé phishingové zásady antispamů, bez ohledu na to, jak jsou zásady karantény nakonfigurované. Pokud zásady umožňují uživatelům vydávat vlastní zprávy v karanténě, můžou uživatelé místo toho požádat o vydání malwaru v karanténě nebo vysoce důvěryhodných phishingových zpráv.

Výchozí zásady karantény s názvem AdminOnlyAccessPolicy brání jakékoli interakci uživatelů se zprávami v karanténě. Ve výchozím nastavení se tyto zásady karantény používají pro zprávy, které byly v karanténě uložené jako malware nebo vysoce důvěryhodný phishing. Ve vlastních zásadách nebo výchozích zásadách pro funkce ochrany, které podporují karanténní zprávy, můžou správci jako zásadu karantény zadat AdminOnlyAccessPolicy, kterou se mají použít.

Koncovým uživatelům nemůžete zabránit v zobrazení nebo přístupu ke stránce Karanténa na adrese https://security.microsoft.com/quarantine.

Sloupec Důvod karantény, který je k dispozici na kartě Email na stránce Karanténa na portálu Defender na adrese https://security.microsoft.com/quarantine?viewid=Email. Mezi běžné důvody patří pravidlo přenosu, hromadná pošta, spam, malware, phishing, vysoce důvěryhodný útok phishing nebo Správa akce – blokování typu souboru. Další informace najdete v tématu Zobrazení e-mailů v karanténě.

Než k tomu otevřete lístek podpory, přečtěte si téma Zjištění, kdo odstranil zprávu v karanténě.

Platnost zpráv v karanténě také vyprší a nakonec se z karantény odeberou v závislosti na tom, proč byla zpráva v karanténě. Další informace najdete v tématu Karanténní uchovávání.

Filtr společných příloh v antimalwarových zásadách identifikuje přílohy zpráv se zadanými příponami souborů (bylo možné použít shodu typu true). Výchozí akcí pro tyto detekce ve výchozích antimalwarových zásadách a ve standardních a striktních přednastavených zásadách zabezpečení je odmítnutí zprávy v oznámení o nedoručení (označované také jako oznámení o nedoručení nebo nedoručení). Pokud vydaná zpráva obsahuje jeden ze zadaných typů příloh souborů, je možné, že se zpráva vrátila odesílateli v oznámení o nedoručení.

Když zpráva vyprší z karantény, nemůžete ji obnovit.

Ve výchozím nastavení jsou zprávy od blokovaných odesílatelů skryté v zobrazení v karanténě (karanténa je filtrovaná podle nezozorovat blokované odesílatele). Pokud chcete zobrazit zprávy od všech odesílatelů, vyberte Filtr a pak vyberte Zobrazit všechny odesílatele.

• Antivirová řešení třetích stran, služby zabezpečení nebo odchozí konektory můžou způsobit následující problémy u zpráv uvolněných z karantény:

  • Zpráva se po vydání umístí do karantény.
  • Obsah se z vydané zprávy odebere předtím, než dorazí do složky Doručená pošta příjemce.
  • Uvolněná zpráva nikdy nedorazí do doručené pošty příjemce.

  Před otevřením lístku podpory o těchto problémech ověřte, že nepoužíváte filtrování třetích stran.

  Pokud filtr třetí strany nebrání tomu, aby se zpráva dostala do složky Doručená pošta uživatele a první pokus o vydání nefungoval, správci můžou zkusit použít rutinu Release-QuarantineMessage v Exchange Online PowerShellu s přepínačem Vynutit, aby se zpráva uvolnila.

  Pokud Release-QuarantineMessage s přepínačem Force nefunguje, správci by měli po vypnutí filtrování službou třetí strany zkusit zprávu uvolnit do alternativní poštovní schránky. Vynucené uvolnění může způsobit, že se zprávy uvolní vícekrát.

  Pokud se pokusíte hromadně uvolnit více zpráv pro všechny příjemce a u některé ze zpráv bylo provedeno odstranění zprávy na úrovni příjemce, zobrazí se chyba. Správce musí tuto konkrétní zprávu vydat jenom příjemci, u kterého nedošlo k odstranění z karantény.

• Pravidla doručené pošty (vytvořená uživateli v Outlooku nebo správci pomocí rutin *-InboxRule v Exchange Online PowerShellu) můžou zprávy ze složky Doručená pošta přesouvat nebo odstraňovat.

• Některá pravidla toku pošty, která zprávu umístí do karantény, můžou způsobit, že se uvolněná zpráva znovu umístí do karantény.

• Informujte správce, že směrování uvolněných zpráv o karanténě na příjemce v místním prostředí může způsobit ztrátu hlavičky antispamy, což způsobí, že zprávy po vydání znovu přijdou do karantény.

Správci můžou pomocí trasování zpráv určit, jestli byla uvolněná zpráva doručena do složky Doručená pošta příjemce.

Antivirová řešení nebo bezpečnostní služby třetích stran můžou náhodně vybírat tlačítka akcí v oznámeních o karanténě.

Než otevřete lístek podpory týkající se tohoto problému, ověřte, že nepoužíváte filtrování třetích stran.

Zprávy v karanténě, které byly uvolněny, mají hodnotu Stavuvolněno a vlastnost Uvolněno k dispozici na stránce Karanténa .

Správci můžou také pomocí protokolu auditu zjistit, kdo zprávu z karantény vydal. V části Aktivity použijte hodnotu Zpráva o uvolnění karantény– popisné názvy. Související pokyny najdete v tématu Zjištění, kdo odstranil zprávu v karanténě.

Na portálu Microsoft Defender můžete vybrat a vydat až 100 zpráv najednou.

Správci můžou použít rutiny Get-QuarantineMessage a Release-QuarantineMessage ve Exchange Online PowerShellu nebo samostatném Prostředí PowerShellu EOP k hromadnému hledání a vydávání zpráv v karanténě a k hromadnému hlášení falešně pozitivních výsledků.

Hromadné akce, které jsou k dispozici na stránce Karanténa , najdete v tématu Provedení akce u několika e-mailových zpráv v karanténě.

V Defender pro Office 365 Plan 2 můžete pomocí Průzkumníka (Průzkumníka hrozeb) provádět větší operace hromadného vydání (maximálně 200 000 zpráv).

Na portálu Microsoft Defender nejsou podporované zástupné é znakůchch.. Například při hledání odesílatele musíte zadat celou e-mailovou adresu. Zástupné é dokumentace ale můžete použít v Exchange Online PowerShellu nebo v samostatném PowerShellu EOP.

Zkopírujte například následující kód PowerShellu do Poznámkového bloku a uložte soubor jako .ps1 do umístění, které můžete snadno najít (například C:\Data\QuarantineRelease.ps1).

Po připojení k Exchange Online PowerShellu nebo Exchange Online Protection PowerShellu spusťte skript spuštěním následujícího příkazu:

& C:\Data\QuarantineRelease.ps1

Skript provede následující akce:

• Vyhledejte nevydané zprávy, které byly v karanténě jako spam od všech odesílatelů v doméně fabrikam. Maximální počet výsledků je 50 000 (50 stránek z 1000 výsledků).
• Uložte výsledky do souboru CSV.
• Uvolněte odpovídající zprávy v karanténě všem původním příjemcům.

$Page = 1
$List = $null

Do
{
Write-Host "Getting Page " $Page

$List = (Get-QuarantineMessage -Type Spam -PageSize 1000 -Page $Page | where {$_.Released -like "False" -and $_.SenderAddress -like "*fabrikam.com"})
Write-Host "                     " $List.count " rows in this page match"
Write-Host "                                                             Exporting list to appended CSV for logging"
$List | Export-Csv -Path "C:\Data\Quarantined Message Matches.csv" -Append -NoTypeInformation

Write-Host "Releasing page " $Page
$List | foreach {Release-QuarantineMessage -Identity $_.Identity -ReleaseToAll}

$Page = $Page + 1

} Until ($Page -eq 50)

Jakmile zprávu uvolníte, nebudete ji moct znovu uvolnit.

Pokud jsou v přidružených zásadách karantény povolená oznámení o karanténě, můžete nakonfigurovat odesílání oznámení o karanténě každé čtyři hodiny, denně nebo týdně. Další informace najdete v tématu Přizpůsobení všech oznámení o karanténě.

Oznámení o karanténě pro interní zprávy (v rámci organizace) můžete také nastavit pouze v zásadách karantény.

Pokud zásada karantény definovaná pro podporovanou akci karantény nemá zapnutá oznámení, oznámení o karanténě se neodesílají.

Další informace najdete v poslední tabulce v části Anatomie zásad karantény a v tabulkách jednotlivých funkcí v části Doporučené nastavení pro EOP a Microsoft Defender pro Office 365, kde zjistíte, které výchozí zásady karantény mají zapnutá oznámení o karanténě.

Zásady ochrany v přednastavených zásadách zabezpečení se také vždy použijí před vlastními zásadami ochrany. Uživatel, který je definován v přednastavených zásadách zabezpečení Standard nebo Strict, nikdy nedostane přizpůsobené zásady ochrany, pokud je zásada karantény přizpůsobená tak, aby zapnula oznámení o karanténě. Další informace najdete v tématu Nastavení zásad v přednastavených zásadách zabezpečení.

Oznámení o karanténě nejsou povolená pro zprávy, které jsou v karanténě pomocí pravidel toku pošty Exchange (pravidla přenosu) nebo ochrany před únikem informací (DLP). Tyto zprávy mají zásadu karantény AdminOnly. Oznámení o karanténě se negenerují ani pro zprávy se zásadami karantény DefaultFullAccess.

Viz Přizpůsobení všech oznámení o karanténě.

Informace o oprávněních najdete tady.

Oznámení o vlastní karanténě pro jiný jazyk se uživatelům zobrazí jenom v případě, že jazyk jejich účtu nebo poštovní schránky odpovídá jazyku v oznámení o vlastní karanténě.

Pokud uživatel odstraní zprávu z klienta Teams, zpráva je pryč, takže náhled není pro odstraněnou zprávu k dispozici v karanténě.

Blokovat odesílatele je ve výchozím nastavení zakázané pro zprávy v karanténě.

Pro koncové uživatele můžou správci vytvořit a přiřadit vlastní zásady karantény, které zahrnují akci Blokovat odesílatele . Další informace najdete v tématu [Zásady karantény](zásady karantény).

Správci uvidí blokovat odesílatele jenom v případě, že filtrují výsledky karantény podle příjemce>Pouze já místo výchozí hodnoty Všichni uživatelé.

Schválení vydané verze bylo vyřazeno a je nyní součástí vydané verze.

Vyhledávací pole se vztahuje na viditelné výsledky v karanténě. Ve výchozím nastavení se zobrazí jenom prvních 100 položek, dokud se nestisknete dolů na konec seznamu, čímž se načte další výsledky.

Pokud chcete filtrovat zprávy v karanténě podle ID internetové zprávy, musí hodnota obsahovat hranaté závorky (<>) i v PowerShellu.

Vydané zprávy zůstanou viditelné v karanténě s hodnotou Stavuvolněno, dokud:

• Doba uchovávání v karanténě vyprší a zpráva se automaticky odstraní.

  nebo

• Zpráva se ručně odstraní z karantény.

Protokolování auditu musí být zapnuté (ve výchozím nastavení je zapnuté). Další informace najdete v tématu Zapnutí nebo vypnutí auditování.

Pokud je parametr SendFromAliasEnabled v rutině Set-OrganizationConfig v Exchange Online PowerShellu nastavený na hodnotu $true, odešle se stejnému uživateli více nebo duplicitních oznámení o karanténě.

Správci můžou použít náhled zprávy nebo zobrazit záhlaví zprávy a zobrazit tak úplný seznam příjemců.