Ofte stillede spørgsmål om karantænemeddelelser

Tip

Vidste du, at du kan prøve funktionerne i Microsoft Defender XDR til Office 365 Plan 2 gratis? Brug den 90-dages Defender for Office 365 prøveversion på Microsoft Defender portalen med prøveversionshubben. Få mere at vide om, hvem der kan tilmelde sig og om prøvevilkår her.

Gælder for

Denne artikel indeholder ofte stillede spørgsmål og svar om e-mails i karantæne til Microsoft 365-organisationer med postkasser i Exchange Online eller enkeltstående Exchange Online Protection organisationer (EOP) uden Exchange Online postkasser.

Bemærk!

I Microsoft 365, der drives af 21Vianet, er karantæne i øjeblikket ikke tilgængelig på Microsoft Defender-portalen. Karantæne er kun tilgængelig i det klassiske Exchange Administration (klassisk EAC).

Du kan finde spørgsmål og svar om beskyttelse mod spam under Ofte stillede spørgsmål om beskyttelse mod spam.

Du kan finde spørgsmål og svar om beskyttelse mod malware under Ofte stillede spørgsmål om beskyttelse mod skadelig software.

Du kan finde spørgsmål og svar om beskyttelse mod spoofing under Ofte stillede spørgsmål om beskyttelse mod spoofing.

Hvordan gør jeg administrere meddelelser, der er sat i karantæne for malware?

Som standard er det kun administratorer, der kan administrere meddelelser, der er sat i karantæne for malware. Du kan få flere oplysninger under Administrer karantænemeddelelser og filer som administrator.

Men administratorer kan oprette og anvende karantænepolitikker på politikker for antimalware, der definerer flere funktioner for brugerne. Du kan få flere oplysninger under Create karantænepolitikker.

Brugerne kan ikke frigive deres egne meddelelser, der blev sat i karantæne som malware af politikker for antimalware, uanset hvordan karantænepolitikken er konfigureret. Hvis politikken giver brugerne mulighed for at frigive deres egne karantænemeddelelser, har brugerne i stedet tilladelse til at anmode om frigivelse af deres karantænerede malware eller phishing-meddelelser med høj sikkerhed.

Hvordan gør jeg sætte spam i karantæne?

Meddelelser, der er klassificeret som spam eller masse, leveres som standard og flyttes til mappen Uønsket mail ved hjælp af følgende politikker til bekæmpelse af spam:

  • Standardpolitikken for spam.
  • Brugerdefinerede politikker mod spam.
  • Den forudindstillede standardsikkerhedspolitik.

Administratorer kan konfigurere standardpolitikker for spam eller brugerdefinerede politikker til at sætte spam eller massemailmeddelelser i karantæne i stedet for. Du kan få flere oplysninger under Konfigurer politikker til bekæmpelse af spam i EOP.

Den strenge forudindstillede sikkerhedspolitik sætter meddelelser, der er klassificeret som spam eller masse, i karantæne.

Du kan finde flere oplysninger i følgende artikler:

Hvordan gør jeg give brugerne adgang til karantænen?

En bruger skal have en gyldig konto for at få adgang til sine egne meddelelser i karantæne. Enkeltstående EOP kræver, at brugerne er repræsenteret som mailbrugere i EOP (manuelt oprettet eller oprettet via katalogsynkronisering). Du kan få flere oplysninger om administration af brugere i separate EOP-miljøer under Administrer mailbrugere i enkeltstående EOP.

Karantænepolitikker bestemmer, om brugerne kan få adgang til deres karantænemeddelelser, og hvad de har tilladelse til at gøre mod dem. Du kan få flere oplysninger under Anatomi af en karantænepolitik.

Hvis karantænepolitikken kræver, at brugerne anmoder om udgivelse af meddelelser eller kræver, at administratorer frigiver meddelelser, skal en administrator godkende frigivelsesanmodningen eller frigive meddelelsen , før meddelelsen er tilgængelig for brugerne.

Hvilke meddelelser kan slutbrugerne få adgang til i karantæne?

Karantænepolitikker definerer, om brugerne kan få adgang til karantænemeddelelser baseret på, hvorfor meddelelsen blev sat i karantæne.

Hvis du vil have standardadgang til karantænemeddelelser, skal du se tabellen i Find og frigiv karantænemeddelelser som en bruger i EOP

Brugerne kan ikke frigive deres egne meddelelser, der er sat i karantæne som malware af politikker for antimalware eller sikre vedhæftede filer, eller som phishing med høj sikkerhed ved hjælp af politikker til bekæmpelse af spam, uanset hvordan karantænepolitikken er konfigureret. Hvis politikken giver brugerne mulighed for at frigive deres egne karantænemeddelelser, har brugerne i stedet tilladelse til at anmode om frigivelse af deres karantænerede malware eller phishing-meddelelser med høj sikkerhed.

Hvordan kan jeg forhindre brugere i at få adgang til karantænemeddelelser?

Standard karantænepolitikken med navnet AdminOnlyAccessPolicy forhindrer enhver brugerinteraktion med deres karantænemeddelelser. Denne karantænepolitik bruges som standard til meddelelser, der er sat i karantæne som malware eller phishing med høj genkendelsessikkerhed. I brugerdefinerede politikker eller standardpolitikken for beskyttelsesfunktioner, der understøtter quarantining-meddelelser, kan administratorer angive AdminOnlyAccessPolicy som den karantænepolitik, der skal bruges.

Hvordan gør jeg finde ud af, hvorfor en meddelelse blev sat i karantæne?

Kolonnen Karantæneårsag , der er tilgængelig under fanen Mail på siden Karantæne på Defender-portalen på https://security.microsoft.com/quarantine?viewid=Email. Almindelige årsager er transportregel, masse, spam, malware, phishing, phishing, phishing med høj tillid eller Administration handling – filtypeblokering. Du kan få flere oplysninger under Få vist karantænemail.

Meddelelser mangler i karantæne. Hvad skete der med dem?

Før du åbner en supportanmodning om dette, skal du se Find ud af, hvem der har slettet en meddelelse i karantæne.

Karantænemeddelelser udløber også og fjernes til sidst fra karantæne, afhængigt af hvorfor meddelelsen blev sat i karantæne. Du kan få flere oplysninger under Opbevaring af karantæne.

Det almindelige filter for vedhæftede filer i politikker for antimalware identificerer vedhæftede filer i meddelelser med de angivne filtypenavne (det var muligt at bruge true typematchning). Standardhandlingen for disse registreringer i standardpolitikken for antimalware og i Standard og strenge forudindstillede sikkerhedspolitikker er at afvise meddelelsen i en rapport, der ikke leveres (også kendt som en NDR eller bounce-meddelelse). Hvis den frigivne meddelelse indeholder en af de angivne filtyper for vedhæftede filer, er det muligt, at meddelelsen blev returneret til afsenderen i en NDR.

Når en meddelelse udløber fra karantæne, kan du ikke gendanne den.

En meddelelse blev frigivet fra karantæne, men den oprindelige modtager kan ikke finde den. Hvordan kan jeg afgøre, hvad der er sket med meddelelsen?

  • Antivirusløsninger, sikkerhedstjenester eller udgående connectors fra tredjepart kan medføre følgende problemer for meddelelser, der er frigivet fra karantæne:

    • Meddelelsen er sat i karantæne, efter at den er blevet frigivet.
    • Indholdet fjernes fra den frigivne meddelelse, før det når modtagerens indbakke.
    • Den frigivne meddelelse modtages aldrig i modtagerens indbakke.

    Kontrollér, at du ikke bruger filtrering fra tredjepart, før du åbner en supportanmodning om disse problemer.

  • Indbakkeregler (oprettet af brugere i Outlook eller administratorer ved hjælp af *-InboxRule-cmdlet'er i Exchange Online PowerShell) kan flytte eller slette meddelelser fra indbakken.

Administratorer kan bruge meddelelsessporing til at afgøre, om en frigivet meddelelse blev leveret til modtagerens indbakke.

Meddelelser frigives uventet fra karantæne. Hvorfor sker det?

Antivirusløsninger eller sikkerhedstjenester fra tredjepart kan tilfældigt vælge handlingsknapper i karantænemeddelelser.

Kontrollér, at du ikke bruger filtrering fra tredjepart, før du åbner en supportanmodning om dette problem.

Kan jeg frigive eller rapportere mere end én karantænemeddelelse ad gangen?

På Microsoft Defender-portalen kan du vælge og frigive op til 100 meddelelser ad gangen.

Administratorer kan bruge Get-QuarantineMessage- og Release-QuarantineMessage-cmdlet'er i Exchange Online PowerShell eller enkeltstående EOP PowerShell til at finde og frigive karantænede meddelelser samlet og til at rapportere falske positiver samlet.

Understøttes jokertegn, når der søges efter karantænemeddelelser? Kan jeg søge efter karantænemeddelelser for et bestemt domæne?

Jokertegn understøttes ikke på Microsoft Defender-portalen. Når du f.eks. søger efter en afsender, skal du angive den fulde mailadresse. Men du kan bruge jokertegn i Exchange Online PowerShell eller enkeltstående EOP PowerShell.

Du kan f.eks. kopiere følgende PowerShell-kode til Notesblok og gemme filen som .ps1 på en placering, der er nem at finde (f.eks. C:\Data\QuarantineRelease.ps1).

Når du derefter har oprettet forbindelse til Exchange Online PowerShell eller Exchange Online Protection PowerShell, skal du køre følgende kommando for at køre scriptet:

& C:\Data\QuarantineRelease.ps1

Scriptet udfører følgende handlinger:

  • Find ikke-frigivne meddelelser, der er sat i karantæne som spam fra alle afsendere i fabrikam-domænet. Det maksimale antal resultater er 50.000 (50 sider med 1000 resultater).
  • Gem resultaterne i en CSV-fil.
  • Frigiv de matchende karantænemeddelelser til alle oprindelige modtagere.
$Page = 1
$List = $null

Do
{
Write-Host "Getting Page " $Page

$List = (Get-QuarantineMessage -Type Spam -PageSize 1000 -Page $Page | where {$_.Released -like "False" -and $_.SenderAddress -like "*fabrikam.com"})
Write-Host "                     " $List.count " rows in this page match"
Write-Host "                                                             Exporting list to appended CSV for logging"
$List | Export-Csv -Path "C:\Data\Quarantined Message Matches.csv" -Append -NoTypeInformation

Write-Host "Releasing page " $Page
$List | foreach {Release-QuarantineMessage -Identity $_.Identity -ReleaseToAll}

$Page = $Page + 1

} Until ($Page -eq 50)

Når du har udgivet en meddelelse, kan du ikke udgive den igen.

Hvordan gør jeg give slutbrugerne besked om deres karantænemeddelelser? Hvor ofte sendes karantænemeddelelser?

Hvis karantænemeddelelser er aktiveret i den tilknyttede karantænepolitik, kan du konfigurere, at karantænemeddelelser sendes hver fjerde time, dagligt eller ugentligt. Du kan få flere oplysninger under Tilpas alle karantænemeddelelser.

Tip

Den hurtigste og mest hyppige meddelelsesplan, der er tilgængelig, er hver fjerde time.

Hvis du vælger hver fjerde time, og en meddelelse er sat i karantæne lige efter den sidste meddelelsesoprettelse, modtager modtageren karantænemeddelelsen lidt mere end fire timer senere.

Hvorfor modtager brugerne ikke meddelelser om deres karantænemeddelelser?

Hvis den karantænepolitik, der er defineret for den understøttede karantænehandling , ikke har aktiveret meddelelser, sendes karantænemeddelelserne ikke.

Du kan få flere oplysninger i den sidste tabel i anatomien for en karantænepolitik og de individuelle funktionstabeller under Anbefalede indstillinger for EOP og Microsoft Defender for Office 365 for at se, hvilke standard karantænepolitikker der har karantænemeddelelser slået til.

Beskyttelsespolitikkerne i forudindstillede sikkerhedspolitikker anvendes også altid før brugerdefinerede beskyttelsespolitikker. En bruger, der er defineret i den forudindstillede sikkerhedspolitik Standard eller Strict, får aldrig en tilpasset beskyttelsespolitik, hvor karantænepolitikken er tilpasset til at aktivere karantænemeddelelser. Du kan få flere oplysninger under Politikindstillinger i forudindstillede sikkerhedspolitikker

Hvordan gør jeg du tilpasse karantænemeddelelser for at tilføje et brugerdefineret logo?

Hvilke tilladelser kræves, for at administratorer kan downloade eller frigive meddelelser fra karantæne?

Se tilladelsesposten her.

Tip

Muligheden for at administrere karantænemeddelelser ved hjælp af Exchange Online tilladelser ophørte i februar 2023 pr. MC447339.

Gæsteadministratorer fra andre organisationer kan ikke administrere meddelelser i karantæne. Administratoren skal være i samme organisation som modtagerne.

Jeg har oprettet en brugerdefineret karantænemeddelelse for et bestemt sprog, men brugerne kan ikke se den. Hvad sker der?

Brugerne får kun vist en brugerdefineret karantænemeddelelse for et andet sprog, når deres konto-/postkassesprog svarer til sproget i den brugerdefinerede karantænemeddelelse.

Jeg kan ikke få vist en microsoft Teams-meddelelse, der er sat i karantæne. Hvad sker der?

Hvis en bruger sletter meddelelsen fra Teams-klienten, er meddelelsen væk, så Eksempelvisningen er ikke tilgængelig i karantæne for den slettede meddelelse.