FAQ sur les messages mis en quarantaine

Par défaut, seuls les administrateurs peuvent gérer les messages mis en quarantaine pour les programmes malveillants. Pour plus d’informations, consultez Gérer les messages et les fichiers mis en quarantaine en tant qu’administrateur.

Toutefois, les administrateurs peuvent créer et appliquer des stratégies de mise en quarantaine aux stratégies anti-programme malveillant qui définissent davantage de fonctionnalités pour les utilisateurs. Pour plus d’informations, consultez Créer des stratégies de mise en quarantaine.

Les utilisateurs ne peuvent pas publier leurs propres messages qui ont été mis en quarantaine en tant que programmes malveillants par des stratégies anti-programme malveillant, quelle que soit la façon dont la stratégie de quarantaine est configurée. Si la stratégie permet aux utilisateurs de publier leurs propres messages mis en quarantaine, les utilisateurs sont autorisés à demander la libération de leurs programmes malveillants en quarantaine ou de messages d’hameçonnage à haut niveau de confiance.

Par défaut, les messages classés comme courrier indésirable ou en bloc sont remis et déplacés vers le dossier Email indésirables par les stratégies anti-courrier indésirable suivantes :

• Stratégie anti-courrier indésirable par défaut.
• Stratégies anti-courrier indésirable personnalisées.
• Stratégie de sécurité prédéfinie Standard.

Les administrateurs peuvent configurer les stratégies anti-courrier indésirable ou personnalisées par défaut pour mettre en quarantaine le courrier indésirable ou les messages électroniques en bloc à la place. Si vous souhaitez en savoir plus, consultez l’article Configurer les stratégies anti-courrier indésirable dans EOP.

La stratégie de sécurité prédéfinie Strict met en quarantaine les messages classés comme courrier indésirable ou en bloc.

Si vous souhaitez en savoir plus, consultez les articles suivants :

• Paramètres de stratégie anti-courrier indésirable EOP
• Profils dans les stratégies de sécurité prédéfinies

Un utilisateur doit disposer d’un compte valide pour accéder à ses propres messages en quarantaine. EOP autonome nécessite que les utilisateurs soient représentés en tant qu’utilisateurs de messagerie dans EOP (créés ou créés manuellement via la synchronisation d’annuaires). Pour plus d’informations sur la gestion des utilisateurs dans des environnements EOP autonomes, consultez Gérer les utilisateurs de messagerie dans EOP autonome.

Les stratégies de mise en quarantaine déterminent si les utilisateurs peuvent accéder à leurs messages mis en quarantaine et ce qu’ils sont autorisés à leur faire. Pour plus d’informations, consultez Anatomie d’une stratégie de mise en quarantaine.

Si la stratégie de mise en quarantaine exige que les utilisateurs demandent la publication des messages ou que les administrateurs publient des messages, un administrateur doit approuver la demande de mise en production ou libérer le message avant que le message ne soit disponible pour les utilisateurs.

Vous ne pouvez pas personnaliser les stratégies de quarantaine dans les stratégies de sécurité prédéfinies.

Les stratégies de mise en quarantaine définissent si les utilisateurs peuvent accéder aux messages mis en quarantaine en fonction de la raison pour laquelle le message a été mis en quarantaine.

Pour obtenir l’accès par défaut aux messages mis en quarantaine, consultez le tableau dans Rechercher et libérer des messages mis en quarantaine en tant qu’utilisateur dans EOP

Les utilisateurs ne peuvent pas publier leurs propres messages qui ont été mis en quarantaine en tant que programmes malveillants par des stratégies anti-programme malveillant ou pièces jointes fiables, ou en tant que hameçonnage à haut niveau de confiance par des stratégies anti-courrier indésirable, quelle que soit la façon dont la stratégie de quarantaine est configurée. Si la stratégie permet aux utilisateurs de publier leurs propres messages mis en quarantaine, les utilisateurs sont autorisés à demander la libération de leurs programmes malveillants en quarantaine ou de messages d’hameçonnage à haut niveau de confiance.

La stratégie de mise en quarantaine par défaut nommée AdminOnlyAccessPolicy empêche toute interaction de l’utilisateur avec ses messages mis en quarantaine. Par défaut, cette stratégie de mise en quarantaine est utilisée pour les messages mis en quarantaine en tant que programmes malveillants ou hameçonnage à haut niveau de confiance. Dans les stratégies personnalisées ou la stratégie par défaut pour les fonctionnalités de protection qui prennent en charge la mise en quarantaine des messages, les administrateurs peuvent spécifier adminOnlyAccessPolicy comme stratégie de mise en quarantaine à utiliser.

Vous ne pouvez pas empêcher les utilisateurs finaux de voir ou d’accéder à la page Quarantaine à l’adresse https://security.microsoft.com/quarantine.

Colonne Raison de la quarantaine disponible sous l’onglet Email de la page Quarantaine dans le portail Defender à l’adresse https://security.microsoft.com/quarantine?viewid=Email. Les raisons courantes sont : Règle de transport, Bloc, Courrier indésirable, Programme malveillant, Hameçonnage, Hameçonnage à haut niveau de confiance ou action Administration - Bloc de type de fichier. Pour plus d’informations, consultez Afficher les e-mails mis en quarantaine.

Avant d’ouvrir un ticket de support à ce sujet, consultez Rechercher qui a supprimé un message mis en quarantaine.

Les messages mis en quarantaine expirent également et sont finalement supprimés de la quarantaine, selon la raison pour laquelle le message a été mis en quarantaine. Pour plus d’informations, consultez Rétention en quarantaine.

Le filtre des pièces jointes courantes dans les stratégies anti-programme malveillant identifie les pièces jointes de message avec les extensions de fichier spécifiées (il était possible d’utiliser la correspondance de type vrai). L’action par défaut pour ces détections dans la stratégie anti-programme malveillant par défaut et dans les stratégies de sécurité prédéfinies standard et strictes consiste à rejeter le message dans un rapport de non-remise (également appelé message de remise ou de rebond). Si le message publié contient l’un des types de pièces jointes spécifiés, il est possible que le message ait été retourné à l’expéditeur dans une remise.

Lorsqu’un message expire de la quarantaine, vous ne pouvez pas le récupérer.

Par défaut, les messages provenant d’expéditeurs bloqués sont masqués en quarantaine (la quarantaine est filtrée par Ne pas afficher les expéditeurs bloqués). Pour afficher les messages de tous les expéditeurs, sélectionnez Filtrer , puis Afficher tous les expéditeurs.

• Les solutions antivirus tierces, les services de sécurité ou les connecteurs sortants peuvent provoquer les problèmes suivants pour les messages qui sont libérés de la quarantaine :

  • Le message est mis en quarantaine après sa libération.
  • Le contenu est supprimé du message publié avant qu’il n’atteigne la boîte de réception du destinataire.
  • Le message libéré n’arrive jamais dans la boîte de réception du destinataire.

  Vérifiez que vous n’utilisez pas le filtrage tiers avant d’ouvrir un ticket de support concernant ces problèmes.

  Si un filtre tiers n’empêche pas le message d’atteindre la boîte de réception de l’utilisateur et que la première tentative de publication n’a pas fonctionné, les administrateurs peuvent essayer d’utiliser l’applet de commande Release-QuarantineMessage dans Exchange Online PowerShell avec le commutateur Force pour libérer le message.

  Si Release-QuarantineMessage avec le commutateur Force ne fonctionne pas, les administrateurs doivent essayer de publier le message dans une autre boîte aux lettres après la désactivation du filtrage par le service tiers. La mise en production forcée peut entraîner la publication de messages plusieurs fois.

  Vous recevez une erreur si vous essayez de libérer plusieurs messages en bloc pour tous les destinataires et qu’une suppression de message au niveau du destinataire a été effectuée sur l’un des messages. L’administrateur doit publier ce message spécifique uniquement au destinataire pour lequel la suppression de la mise en quarantaine n’a pas eu lieu.

• Les règles de boîte de réception (créées par des utilisateurs dans Outlook ou par des administrateurs à l’aide des applets de commande *-InboxRule dans Exchange Online PowerShell) peuvent déplacer ou supprimer des messages de la boîte de réception.

• Certaines règles de flux de messagerie qui ont mis en quarantaine un message peuvent entraîner la mise en quarantaine du message libéré.

• Informez les administrateurs que le routage des messages mis en quarantaine vers des destinataires pré-actifs peut entraîner la perte des en-têtes anti-courrier indésirable, ce qui les place à nouveau en quarantaine après leur publication.

Les administrateurs peuvent utiliser le suivi des messages pour déterminer si un message libéré a été remis à la boîte de réception du destinataire.

Les solutions antivirus tierces ou les services de sécurité peuvent sélectionner de manière aléatoire des boutons d’action dans les notifications de mise en quarantaine.

Vérifiez que vous n’utilisez pas le filtrage tiers avant d’ouvrir un ticket de support concernant ce problème.

Les messages mis en quarantaine qui ont été libérés ont la valeur ÉtatLibéré et la propriété Libéré par sont disponibles dans la page Quarantaine .

Les administrateurs peuvent également utiliser le journal d’audit pour voir qui a libéré un message de la mise en quarantaine. Utilisez la valeur Message mis en quarantaine libéré dans Activités - noms conviviaux. Pour obtenir des instructions connexes, consultez Rechercher qui a supprimé un message mis en quarantaine.

Dans le portail Microsoft Defender, vous pouvez sélectionner et publier jusqu’à 100 messages à la fois.

Les administrateurs peuvent utiliser les applets de commande Get-QuarantineMessage et Release-QuarantineMessage dans Exchange Online PowerShell ou EOP PowerShell autonome pour rechercher et publier des messages mis en quarantaine en bloc, et pour signaler les faux positifs en bloc.

Pour connaître les actions en bloc disponibles sur la page Quarantaine , consultez Agir sur plusieurs messages électroniques mis en quarantaine.

Dans Defender for Office 365 Plan 2, vous pouvez utiliser Explorer (threat Explorer) pour effectuer des opérations de mise en production en bloc plus importantes (un maximum de 200 000 messages).

Les caractères génériques ne sont pas pris en charge dans le portail Microsoft Defender. Par exemple, lorsque vous recherchez un expéditeur, vous devez spécifier l’adresse e-mail complète. Toutefois, vous pouvez utiliser des caractères génériques dans Exchange Online PowerShell ou EOP PowerShell autonome.

Par exemple, copiez le code PowerShell suivant dans le Bloc-notes et enregistrez le fichier en tant que .ps1 dans un emplacement facile à trouver (par exemple, C:\Data\QuarantineRelease.ps1).

Ensuite, après vous être connecté à Exchange Online PowerShell ou Exchange Online Protection PowerShell, exécutez la commande suivante pour exécuter le script :

& C:\Data\QuarantineRelease.ps1

Le script effectue les actions suivantes :

• Recherchez les messages non mis en quarantaine en tant que courrier indésirable de tous les expéditeurs du domaine fabrikam. Le nombre maximal de résultats est de 50 000 (50 pages de 1 000 résultats).
• Enregistrez les résultats dans un fichier CSV.
• Libérez les messages mis en quarantaine correspondants à tous les destinataires d’origine.

$Page = 1
$List = $null

Do
{
Write-Host "Getting Page " $Page

$List = (Get-QuarantineMessage -Type Spam -PageSize 1000 -Page $Page | where {$_.Released -like "False" -and $_.SenderAddress -like "*fabrikam.com"})
Write-Host "                     " $List.count " rows in this page match"
Write-Host "                                                             Exporting list to appended CSV for logging"
$List | Export-Csv -Path "C:\Data\Quarantined Message Matches.csv" -Append -NoTypeInformation

Write-Host "Releasing page " $Page
$List | foreach {Release-QuarantineMessage -Identity $_.Identity -ReleaseToAll}

$Page = $Page + 1

} Until ($Page -eq 50)

Une fois que vous avez publié un message, vous ne pouvez plus le libérer à nouveau.

Si les notifications de mise en quarantaine sont activées dans la stratégie de mise en quarantaine associée, vous pouvez configurer les notifications de quarantaine à envoyer toutes les quatre heures, tous les jours ou toutes les semaines. Pour plus d’informations, consultez Personnaliser toutes les notifications de mise en quarantaine.

Vous pouvez également configurer des notifications de mise en quarantaine pour les messages internes (intra-organization) uniquement dans les stratégies de quarantaine.

Si la stratégie de quarantaine définie pour l’action de mise en quarantaine prise en charge n’a pas de notifications activées, les notifications de quarantaine ne sont pas envoyées.

Pour plus d’informations, consultez le dernier tableau dans Anatomie d’une stratégie de mise en quarantaine et les tables de fonctionnalités individuelles dans Paramètres recommandés pour EOP et Microsoft Defender pour Office 365 pour voir quelles stratégies de quarantaine par défaut les notifications de mise en quarantaine sont activées.

En outre, les stratégies de protection dans les stratégies de sécurité prédéfinies sont toujours appliquées avant les stratégies de protection personnalisées. Un utilisateur qui est défini dans la stratégie de sécurité prédéfinie Standard ou Strict n’obtiendra jamais de stratégie de protection personnalisée où la stratégie de quarantaine est personnalisée pour activer les notifications de quarantaine. Pour plus d’informations, consultez Paramètres de stratégie dans les stratégies de sécurité prédéfinies

Les notifications de mise en quarantaine ne sont pas activées pour les messages mis en quarantaine par les règles de flux de messagerie Exchange (règles de transport) ou la protection contre la perte de données (DLP). Ces messages ont la stratégie de mise en quarantaine AdminOnly. Les notifications de mise en quarantaine ne sont pas non plus générées pour les messages avec la stratégie de mise en quarantaine DefaultFullAccess.

Consultez Personnaliser toutes les notifications de mise en quarantaine.

Consultez l’entrée d’autorisations ici.

Une notification de mise en quarantaine personnalisée pour une autre langue est présentée aux utilisateurs uniquement lorsque la langue de leur compte/boîte aux lettres correspond à la langue de la notification de mise en quarantaine personnalisée.

Si un utilisateur supprime le message du client Teams, le message a disparu. La préversion n’est donc pas disponible en quarantaine pour le message supprimé.

Bloquer l’expéditeur est désactivé par défaut pour les messages mis en quarantaine.

Pour les utilisateurs finaux, les administrateurs peuvent créer et affecter une stratégie de mise en quarantaine personnalisée qui inclut l’action Bloquer l’expéditeur . Pour plus d’informations, consultez [Stratégies de mise en quarantaine](stratégies de mise en quarantaine).

Les administrateurs voient Bloquer l’expéditeur uniquement s’ils filtrent les résultats de la mise en quarantaine par Destinataire>seul moi au lieu de la valeur par défaut Tous les utilisateurs.

La version d’approbation a été retirée et est désormais incluse dans la version.

La zone De recherche s’applique aux résultats visibles en quarantaine. Par défaut, seules les 100 premières entrées sont affichées jusqu’à ce que vous faites défiler vers le bas de la liste, ce qui charge davantage de résultats.

Pour filtrer les messages mis en quarantaine par ID de message Internet, la valeur doit inclure des crochets angulaires (<>), même dans PowerShell.

Les messages libérés restent visibles en quarantaine avec la valeur ÉtatLibéré, jusqu’à ce que :

• La période de rétention de la quarantaine expire et le message est automatiquement supprimé.

  ou

• Le message est supprimé manuellement de la quarantaine.

La journalisation d’audit doit être activée (elle est activée par défaut). Pour plus d’informations, consultez Activer ou désactiver l’audit.

Des notifications de mise en quarantaine multiples ou en double sont envoyées au même utilisateur si le paramètre SendFromAliasEnabled de l’applet de commande Set-OrganizationConfig dans Exchange Online PowerShell est défini sur la valeur $true.

Les administrateurs peuvent utiliser l’aperçu du message ou Afficher l’en-tête de message pour afficher la liste complète des destinataires.