Conseil
Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender XDR pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai sur Try Microsoft Defender pour Office 365.
S’applique à
- Exchange Online Protection
- Microsoft Defender for Office 365 Plan 1 et Plan 2
- Microsoft Defender XDR
Cet article fournit des questions fréquentes et des réponses sur les messages électroniques mis en quarantaine pour les organisations Microsoft 365 avec des boîtes aux lettres dans Exchange Online ou des organisations Exchange Online Protection autonomes (EOP) sans boîtes aux lettres Exchange Online.
Remarque
Dans Microsoft 365 géré par 21Vianet, la mise en quarantaine n’est actuellement pas disponible dans le portail Microsoft Defender. La mise en quarantaine est disponible uniquement dans le Centre d’administration Exchange classique (EAC classique).
Pour les questions et réponses sur la protection anti-courrier indésirable, consultez FAQ sur la protection anti-courrier indésirable.
Pour plus de questions et de réponses sur la protection contre les programmes malveillants, consultez FAQ sur la protection contre les programmes malveillants.
Pour des questions et des réponses sur la protection contre l’usurpation d’identité, consultez FAQ sur la protection contre l’usurpation d’identité.
Comment faire gérer les messages mis en quarantaine pour des programmes malveillants ?
Par défaut, seuls les administrateurs peuvent gérer les messages mis en quarantaine pour les programmes malveillants. Pour plus d’informations, consultez Gérer les messages et les fichiers mis en quarantaine en tant qu’administrateur.
Toutefois, les administrateurs peuvent créer et appliquer des stratégies de mise en quarantaine aux stratégies anti-programme malveillant qui définissent davantage de fonctionnalités pour les utilisateurs. Pour plus d’informations, consultez Créer des stratégies de mise en quarantaine.
Les utilisateurs ne peuvent pas publier leurs propres messages qui ont été mis en quarantaine en tant que programmes malveillants par des stratégies anti-programme malveillant, quelle que soit la façon dont la stratégie de quarantaine est configurée. Si la stratégie permet aux utilisateurs de publier leurs propres messages mis en quarantaine, les utilisateurs sont autorisés à demander la libération de leurs programmes malveillants en quarantaine ou de messages d’hameçonnage à haut niveau de confiance.
Comment faire courrier indésirable en quarantaine ?
Par défaut, les messages classés comme courrier indésirable ou en bloc sont remis et déplacés vers le dossier Email indésirables par les stratégies anti-courrier indésirable suivantes :
- Stratégie anti-courrier indésirable par défaut.
- Stratégies anti-courrier indésirable personnalisées.
- Stratégie de sécurité prédéfinie Standard.
Les administrateurs peuvent configurer les stratégies anti-courrier indésirable ou personnalisées par défaut pour mettre en quarantaine le courrier indésirable ou les messages électroniques en bloc à la place. Si vous souhaitez en savoir plus, consultez l’article Configurer les stratégies anti-courrier indésirable dans EOP.
La stratégie de sécurité prédéfinie Strict met en quarantaine les messages classés comme courrier indésirable ou en bloc.
Si vous souhaitez en savoir plus, consultez les articles suivants :
Comment faire accorder aux utilisateurs l’accès à la mise en quarantaine ?
Un utilisateur doit disposer d’un compte valide pour accéder à ses propres messages en quarantaine. EOP autonome nécessite que les utilisateurs soient représentés en tant qu’utilisateurs de messagerie dans EOP (créés ou créés manuellement via la synchronisation d’annuaires). Pour plus d’informations sur la gestion des utilisateurs dans des environnements EOP autonomes, consultez Gérer les utilisateurs de messagerie dans EOP autonome.
Les stratégies de mise en quarantaine déterminent si les utilisateurs peuvent accéder à leurs messages mis en quarantaine et ce qu’ils sont autorisés à leur faire. Pour plus d’informations, consultez Anatomie d’une stratégie de mise en quarantaine.
Si la stratégie de mise en quarantaine exige que les utilisateurs demandent la publication des messages ou que les administrateurs publient des messages, un administrateur doit approuver la demande de mise en production ou libérer le message avant que le message ne soit disponible pour les utilisateurs.
Vous ne pouvez pas personnaliser les stratégies de quarantaine dans les stratégies de sécurité prédéfinies.
Quels messages les utilisateurs finaux peuvent-ils accéder en quarantaine ?
Les stratégies de mise en quarantaine définissent si les utilisateurs peuvent accéder aux messages mis en quarantaine en fonction de la raison pour laquelle le message a été mis en quarantaine.
Pour obtenir l’accès par défaut aux messages mis en quarantaine, consultez le tableau dans Rechercher et libérer des messages mis en quarantaine en tant qu’utilisateur dans EOP
Les utilisateurs ne peuvent pas publier leurs propres messages qui ont été mis en quarantaine en tant que programmes malveillants par des stratégies anti-programme malveillant ou pièces jointes fiables, ou en tant que hameçonnage à haut niveau de confiance par des stratégies anti-courrier indésirable, quelle que soit la façon dont la stratégie de quarantaine est configurée. Si la stratégie permet aux utilisateurs de publier leurs propres messages mis en quarantaine, les utilisateurs sont autorisés à demander la libération de leurs programmes malveillants en quarantaine ou de messages d’hameçonnage à haut niveau de confiance.
Comment empêcher les utilisateurs d’accéder aux messages mis en quarantaine ?
La stratégie de mise en quarantaine par défaut nommée AdminOnlyAccessPolicy empêche toute interaction de l’utilisateur avec ses messages mis en quarantaine. Par défaut, cette stratégie de mise en quarantaine est utilisée pour les messages mis en quarantaine en tant que programmes malveillants ou hameçonnage à haut niveau de confiance. Dans les stratégies personnalisées ou la stratégie par défaut pour les fonctionnalités de protection qui prennent en charge la mise en quarantaine des messages, les administrateurs peuvent spécifier adminOnlyAccessPolicy comme stratégie de mise en quarantaine à utiliser.
Vous ne pouvez pas empêcher les utilisateurs finaux de voir ou d’accéder à la page Quarantaine à l’adresse https://security.microsoft.com/quarantine.
Comment faire savoir pourquoi un message a été mis en quarantaine ?
Colonne Raison de la quarantaine disponible sous l’onglet Email de la page Quarantaine dans le portail Defender à l’adresse https://security.microsoft.com/quarantine?viewid=Email. Les raisons courantes sont : Règle de transport, Bloc, Courrier indésirable, Programme malveillant, Hameçonnage, Hameçonnage à haut niveau de confiance ou action Administration - Bloc de type de fichier. Pour plus d’informations, consultez Afficher les e-mails mis en quarantaine.
Les messages sont absents de la mise en quarantaine. Qu’est-il arrivé à eux ?
Avant d’ouvrir un ticket de support à ce sujet, consultez Rechercher qui a supprimé un message mis en quarantaine.
Les messages mis en quarantaine expirent également et sont finalement supprimés de la quarantaine, selon la raison pour laquelle le message a été mis en quarantaine. Pour plus d’informations, consultez Rétention en quarantaine.
Le filtre des pièces jointes courantes dans les stratégies anti-programme malveillant identifie les pièces jointes de message avec les extensions de fichier spécifiées (il était possible d’utiliser la correspondance de type vrai). L’action par défaut pour ces détections dans la stratégie anti-programme malveillant par défaut et dans les stratégies de sécurité prédéfinies standard et strictes consiste à rejeter le message dans un rapport de non-remise (également appelé message de remise ou de rebond). Si le message publié contient l’un des types de pièces jointes spécifiés, il est possible que le message ait été retourné à l’expéditeur dans une remise.
Lorsqu’un message expire de la quarantaine, vous ne pouvez pas le récupérer.
Par défaut, les messages provenant d’expéditeurs bloqués sont masqués en quarantaine (la quarantaine est filtrée par Ne pas afficher les expéditeurs bloqués). Pour afficher les messages de tous les expéditeurs, sélectionnez Filtrer , puis Afficher tous les expéditeurs.
Conseil
Si un expéditeur est bloqué et que l’option Ne pas afficher les expéditeurs bloqués est sélectionnée (par défaut), les messages de ces expéditeurs sont affichés sur la page Quarantaine et sont inclus dans les notifications de mise en quarantaine lorsque la valeur de raison de remplacement de l’adresse de l’expéditeur est None. Ce comportement se produit parce que les messages ont été bloqués pour des raisons autres que les remplacements d’adresse de l’expéditeur.
Un message a été libéré de la quarantaine, mais le destinataire d’origine ne peut pas le trouver. Comment puis-je déterminer ce qui est arrivé au message ?
Les solutions antivirus tierces, les services de sécurité ou les connecteurs sortants peuvent provoquer les problèmes suivants pour les messages qui sont libérés de la quarantaine :
- Le message est mis en quarantaine après sa libération.
- Le contenu est supprimé du message publié avant qu’il n’atteigne la boîte de réception du destinataire.
- Le message libéré n’arrive jamais dans la boîte de réception du destinataire.
Vérifiez que vous n’utilisez pas le filtrage tiers avant d’ouvrir un ticket de support concernant ces problèmes.
Si un filtre tiers n’empêche pas le message d’atteindre la boîte de réception de l’utilisateur et que la première tentative de publication n’a pas fonctionné, les administrateurs peuvent essayer d’utiliser l’applet de commande Release-QuarantineMessage dans Exchange Online PowerShell avec le commutateur Force pour libérer le message.
Si Release-QuarantineMessage avec le commutateur Force ne fonctionne pas, les administrateurs doivent essayer de publier le message dans une autre boîte aux lettres après la désactivation du filtrage par le service tiers.
Les règles de boîte de réception (créées par des utilisateurs dans Outlook ou par des administrateurs à l’aide des applets de commande *-InboxRule dans Exchange Online PowerShell) peuvent déplacer ou supprimer des messages de la boîte de réception.
Les administrateurs peuvent utiliser le suivi des messages pour déterminer si un message libéré a été remis à la boîte de réception du destinataire.
Les messages sont libérés de manière inattendue de la mise en quarantaine. Que se passe-t-il ?
Les solutions antivirus tierces ou les services de sécurité peuvent sélectionner de manière aléatoire des boutons d’action dans les notifications de mise en quarantaine.
Vérifiez que vous n’utilisez pas le filtrage tiers avant d’ouvrir un ticket de support concernant ce problème.
Les messages mis en quarantaine qui ont été libérés ont la valeur ÉtatLibéré et la propriété Libéré par sont disponibles dans la page Quarantaine .
Les administrateurs peuvent également utiliser le journal d’audit pour voir qui a libéré un message de la mise en quarantaine. Utilisez la valeur Message mis en quarantaine libéré dans Activités - noms conviviaux. Pour obtenir des instructions connexes, consultez Rechercher qui a supprimé un message mis en quarantaine.
Est-ce que je peux libérer ou signaler plusieurs messages mis en quarantaine à la fois ?
Dans le portail Microsoft Defender, vous pouvez sélectionner et publier jusqu’à 100 messages à la fois.
Les administrateurs peuvent utiliser les applets de commande Get-QuarantineMessage et Release-QuarantineMessage dans Exchange Online PowerShell ou EOP PowerShell autonome pour rechercher et publier des messages mis en quarantaine en bloc, et pour signaler les faux positifs en bloc.
Pour connaître les actions en bloc disponibles sur la page Quarantaine , consultez Agir sur plusieurs messages électroniques mis en quarantaine.
Les caractères génériques sont-ils pris en charge lors de la recherche de messages mis en quarantaine ? Puis-je rechercher des messages mis en quarantaine pour un domaine spécifique ?
Les caractères génériques ne sont pas pris en charge dans le portail Microsoft Defender. Par exemple, lorsque vous recherchez un expéditeur, vous devez spécifier l’adresse e-mail complète. Toutefois, vous pouvez utiliser des caractères génériques dans Exchange Online PowerShell ou EOP PowerShell autonome.
Par exemple, copiez le code PowerShell suivant dans le Bloc-notes et enregistrez le fichier en tant que .ps1 dans un emplacement facile à trouver (par exemple, C:\Data\QuarantineRelease.ps1).
Ensuite, après vous être connecté à Exchange Online PowerShell ou Exchange Online Protection PowerShell, exécutez la commande suivante pour exécuter le script :
& C:\Data\QuarantineRelease.ps1
Le script effectue les actions suivantes :
- Recherchez les messages non mis en quarantaine en tant que courrier indésirable de tous les expéditeurs du domaine fabrikam. Le nombre maximal de résultats est de 50 000 (50 pages de 1 000 résultats).
- Enregistrez les résultats dans un fichier CSV.
- Libérez les messages mis en quarantaine correspondants à tous les destinataires d’origine.
$Page = 1
$List = $null
Do
{
Write-Host "Getting Page " $Page
$List = (Get-QuarantineMessage -Type Spam -PageSize 1000 -Page $Page | where {$_.Released -like "False" -and $_.SenderAddress -like "*fabrikam.com"})
Write-Host " " $List.count " rows in this page match"
Write-Host " Exporting list to appended CSV for logging"
$List | Export-Csv -Path "C:\Data\Quarantined Message Matches.csv" -Append -NoTypeInformation
Write-Host "Releasing page " $Page
$List | foreach {Release-QuarantineMessage -Identity $_.Identity -ReleaseToAll}
$Page = $Page + 1
} Until ($Page -eq 50)
Une fois que vous avez publié un message, vous ne pouvez plus le libérer à nouveau.
Comment faire informer les utilisateurs finaux de leurs messages mis en quarantaine ? À quelle fréquence les notifications de quarantaine sont-elles envoyées ?
Si les notifications de mise en quarantaine sont activées dans la stratégie de mise en quarantaine associée, vous pouvez configurer les notifications de quarantaine à envoyer toutes les quatre heures, tous les jours ou toutes les semaines. Pour plus d’informations, consultez Personnaliser toutes les notifications de mise en quarantaine.
Conseil
La planification de notification la plus rapide et la plus fréquente disponible est toutes les quatre heures.
Si vous sélectionnez toutes les quatre heures et qu’un message est mis en quarantaine juste après la dernière génération de notification, le destinataire reçoit la notification de mise en quarantaine un peu plus de quatre heures plus tard.
Pourquoi les utilisateurs ne reçoivent-ils pas de notifications sur leurs messages mis en quarantaine ?
Si la stratégie de quarantaine définie pour l’action de mise en quarantaine prise en charge n’a pas de notifications activées, les notifications de quarantaine ne sont pas envoyées.
Pour plus d’informations, consultez le dernier tableau dans Anatomie d’une stratégie de mise en quarantaine et les tables de fonctionnalités individuelles dans Paramètres recommandés pour EOP et Microsoft Defender pour Office 365 pour voir quelles stratégies de quarantaine par défaut les notifications de mise en quarantaine sont activées.
En outre, les stratégies de protection dans les stratégies de sécurité prédéfinies sont toujours appliquées avant les stratégies de protection personnalisées. Un utilisateur qui est défini dans la stratégie de sécurité prédéfinie Standard ou Strict n’obtiendra jamais de stratégie de protection personnalisée où la stratégie de quarantaine est personnalisée pour activer les notifications de quarantaine. Pour plus d’informations, consultez Paramètres de stratégie dans les stratégies de sécurité prédéfinies
Les notifications de mise en quarantaine ne sont pas activées pour les messages mis en quarantaine par les règles de flux de messagerie Exchange (règles de transport) ou la protection contre la perte de données (DLP). Ces messages ont la stratégie de mise en quarantaine AdminOnly. Les notifications de mise en quarantaine ne sont pas non plus générées pour les messages avec la stratégie de mise en quarantaine DefaultFullAccess.
Comment faire personnaliser les notifications de mise en quarantaine pour ajouter un logo personnalisé ?
Quelles sont les autorisations requises pour permettre aux administrateurs de télécharger ou de publier des messages de mise en quarantaine ?
Consultez l’entrée d’autorisations ici.
Conseil
La possibilité de gérer les messages mis en quarantaine à l’aide des autorisations Exchange Online a pris fin en février 2023 par MC447339.
Les administrateurs invités d’autres organisations ne peuvent pas gérer les messages mis en quarantaine. L’administrateur doit être dans la même organization que les destinataires.
J’ai créé une notification de mise en quarantaine personnalisée pour une langue spécifique, mais les utilisateurs ne la voient pas. Que se passe-t-il ?
Une notification de mise en quarantaine personnalisée pour une autre langue est présentée aux utilisateurs uniquement lorsque la langue de leur compte/boîte aux lettres correspond à la langue de la notification de mise en quarantaine personnalisée.
Je ne parviens pas à afficher un aperçu d’un message Microsoft Teams mis en quarantaine. Que se passe-t-il ?
Si un utilisateur supprime le message du client Teams, le message a disparu. La préversion n’est donc pas disponible en quarantaine pour le message supprimé.
Je ne vois pas le bouton **Bloquer l’expéditeur** dans les notifications de mise en quarantaine ou dans la page **Quarantaine**. Je ne vois pas non plus le bouton **Approuver la mise en production** sur la page **Quarantaine**. Que se passe-t-il ?
Bloquer l’expéditeur est désactivé par défaut pour les messages mis en quarantaine.
Pour les utilisateurs finaux, les administrateurs peuvent créer et affecter une stratégie de mise en quarantaine personnalisée qui inclut l’action Bloquer l’expéditeur . Pour plus d’informations, consultez [Stratégies de mise en quarantaine](stratégies de mise en quarantaine).
Les administrateurs voient Bloquer l’expéditeur uniquement s’ils filtrent les résultats de la mise en quarantaine par Destinataire>seul moi au lieu de la valeur par défaut Tous les utilisateurs.
La version d’approbation a été retirée et est désormais incluse dans la version.
**Filter** et **Search** ne fonctionnent pas. Que se passe-t-il ?
La zone De recherche s’applique aux résultats visibles en quarantaine. Par défaut, seules les 100 premières entrées sont affichées jusqu’à ce que vous faites défiler vers le bas de la liste, ce qui charge davantage de résultats.
Pour filtrer les messages mis en quarantaine par ID de message Internet, la valeur doit inclure des crochets angulaires (<>
), même dans PowerShell.
Les messages de mise en quarantaine libérés s’affichent toujours dans Quarantaine. Que se passe-t-il ?
Les messages libérés restent visibles en quarantaine avec la valeur ÉtatLibéré, jusqu’à ce que :
La période de rétention de la quarantaine expire et le message est automatiquement supprimé.
ou
Le message est supprimé manuellement de la quarantaine.
Les alertes de demande de mise en production ne sont pas générées. Que se passe-t-il ?
La journalisation d’audit doit être activée (elle est activée par défaut). Pour plus d’informations, consultez Activer ou désactiver l’audit.
Des notifications en double ou plusieurs mises en quarantaine sont envoyées au même utilisateur.
Des notifications de mise en quarantaine multiples ou en double sont envoyées au même utilisateur si le paramètre SendFromAliasEnabled de l’applet de commande Set-OrganizationConfig dans Exchange Online PowerShell est défini sur la valeur $true.
Je ne vois pas tous les destinataires d’un message mis en quarantaine. Que se passe-t-il ?
Les administrateurs peuvent utiliser l’aperçu du message ou Afficher l’en-tête de message pour afficher la liste complète des destinataires.