Tips
Visste du at du kan prøve funksjonene i Microsoft Defender XDR for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Finn ut mer om hvem som kan registrere seg og vilkår for prøveversjonen her.
Gjelder for
- Exchange Online Protection
- Microsoft Defender for Office 365-pakke 1 og Plan 2
- Microsoft Defender XDR
Denne artikkelen inneholder vanlige spørsmål og svar om e-postmeldinger i karantene for Microsoft 365-organisasjoner med postbokser i Exchange Online eller frittstående Exchange Online Protection (EOP)-organisasjoner uten Exchange Online postbokser.
Obs!
I Microsoft 365 drevet av 21Vianet er ikke karantene for øyeblikket tilgjengelig i Microsoft Defender-portalen. Karantene er bare tilgjengelig i det klassiske administrasjonssenteret for Exchange (klassisk EAC).
Hvis du vil ha spørsmål og svar om beskyttelse mot søppelpost, kan du se Vanlige spørsmål om beskyttelse mot søppelpost.
Hvis du vil ha spørsmål og svar om beskyttelse mot skadelig programvare, kan du se Vanlige spørsmål om beskyttelse mot skadelig programvare.
Hvis du vil ha spørsmål og svar om beskyttelse mot forfalskning, kan du se Vanlige spørsmål om beskyttelse mot forfalskning.
Hvordan behandle meldinger som ble satt i karantene for skadelig programvare?
Som standard er det bare administratorer som kan behandle meldinger som ble satt i karantene for skadelig programvare. Hvis du vil ha mer informasjon, kan du se Behandle meldinger og filer i karantene som administrator.
Administratorer kan imidlertid opprette og bruke karantenepolicyer på policyer for skadelig programvare som definerer flere funksjoner for brukere. Hvis du vil ha mer informasjon, kan du se Opprett karantenepolicyer.
Brukere kan ikke frigi sine egne meldinger som ble satt i karantene som skadelig programvare av policyer for skadelig programvare, uavhengig av hvordan karantenepolicyen er konfigurert. Hvis policyen tillater brukere å frigi sine egne meldinger i karantene, har brukerne i stedet lov til å be om utgivelsen av skadelig programvare som er satt i karantene eller phishing-meldinger med høy visshet.
Hvordan søppelpost i karantene?
Som standard blir meldinger som er klassifisert som søppelpost eller masse, levert og flyttet til Søppelpost-mappen ved hjelp av følgende policyer for søppelpost:
- Standard policy for søppelpost.
- Egendefinerte policyer for søppelpost.
- Standard forhåndsinnstilt sikkerhetspolicy.
Administratorer kan konfigurere standard søppelpost eller egendefinerte policyer til å sette søppelpost i karantene eller masseutsende e-postmeldinger i stedet. Hvis du vil ha mer informasjon kan du se Konfigurer policyer for beskyttelse mot søppelpost i EOP.
Den strenge forhåndsinnstilte sikkerhetspolicyen setter meldinger som er klassifisert som søppelpost eller bulk, i karantene.
Hvis du vil ha mer informasjon, kan du se følgende artikler:
Hvordan gi brukere tilgang til karantene?
En bruker må ha en gyldig konto for å få tilgang til sine egne meldinger i karantene. Frittstående EOP krever at brukere representeres som e-postbrukere i EOP (manuelt opprettet eller opprettet via katalogsynkronisering). Hvis du vil ha mer informasjon om administrasjon av brukere i frittstående EOP-miljøer, kan du se Administrere e-postbrukere i frittstående EOP.
Karantenepolicyer bestemmer om brukere kan få tilgang til meldinger som er satt i karantene, og hva de har tillatelse til å gjøre med dem. Hvis du vil ha mer informasjon, kan du se Anatomi for en karantenepolicy.
Hvis karantenepolicyen krever at brukere ber om frigivelse av meldinger eller krever at administratorer utgir meldinger, må en administrator godkjenne forespørselen om frigivelse eller frigi meldingen før meldingen er tilgjengelig for brukere.
Hvilke meldinger kan sluttbrukere få tilgang til i karantene?
Karantenepolicyer definerer om brukere kan få tilgang til meldinger i karantene basert på hvorfor meldingen ble satt i karantene.
Hvis du vil ha standardtilgang til meldinger i karantene, kan du se tabellen i Søk etter og frigi meldinger som er satt i karantene som en bruker i EOP
Brukere kan ikke frigi sine egne meldinger som ble satt i karantene som skadelig programvare av policyer for beskyttelse mot skadelig programvare eller klarerte vedlegg, eller som phishing med høy konfidens av policyer for søppelpost, uavhengig av hvordan karantenepolicyen er konfigurert. Hvis policyen tillater brukere å frigi sine egne meldinger i karantene, har brukerne i stedet lov til å be om utgivelsen av skadelig programvare som er satt i karantene eller phishing-meldinger med høy visshet.
Hvordan kan jeg hindre brukere i å få tilgang til meldinger som er satt i karantene?
Standard karantenepolicy med navnet AdminOnlyAccessPolicy hindrer all brukermedvirkning i karantenemeldinger. Som standard brukes denne karantenepolicyen for meldinger som ble satt i karantene som skadelig programvare eller phishing med høy visshet. I egendefinerte policyer eller standardpolicyen for beskyttelsesfunksjoner som støtter kvarantining-meldinger, kan administratorer angi AdminOnlyAccessPolicy som karantenepolicy som skal brukes.
Hvordan finne ut hvorfor en melding ble satt i karantene?
Kolonnen for karanteneårsak som er tilgjengelig på E-post-fanen på Karantene-siden i Defender-portalen på https://security.microsoft.com/quarantine?viewid=Email. Vanlige årsaker er transportregel, massesøppel, søppelpost, skadelig programvare, Phishing, phishing med høy visshet eller Admin handling – filtypeblokk. Hvis du vil ha mer informasjon, kan du se Vis e-post i karantene.
Meldinger mangler i karantene. Hva skjedde med dem?
Før du åpner en støtteforespørsel om dette, kan du se Finn hvem som slettet en melding i karantene.
Meldinger i karantene utløper også og fjernes til slutt fra karantene, avhengig av hvorfor meldingen ble satt i karantene. Hvis du vil ha mer informasjon, kan du se Oppbevaring av karantene.
Det vanlige vedleggsfilteret i policyer for skadelig programvare identifiserer meldingsvedlegg med de angitte filtypene (bruk av sann typesamsvar var mulig). Standardhandlingen for disse gjenkjenningene i standardpolicyen mot skadelig programvare og i standard og strenge forhåndsinnstilte sikkerhetspolicyer er å avvise meldingen i en rapport om manglende levering (også kjent som en NDR- eller returmelding). Hvis den utgitte meldingen inneholder en av de angitte filtypene, er det mulig at meldingen ble returnert til avsenderen i en NDR.
Når en melding utløper fra karantene, kan du ikke gjenopprette den.
En melding ble frigitt fra karantene, men den opprinnelige mottakeren finner den ikke. Hvordan kan jeg finne ut hva som skjedde med meldingen?
Tredjeparts antivirusløsninger, sikkerhetstjenester eller utgående koblinger kan forårsake følgende problemer for meldinger som frigis fra karantene:
- Meldingen settes i karantene etter at den er frigitt.
- Innhold fjernes fra den utgitte meldingen før det når mottakerens innboks.
- Den utgitte meldingen kommer aldri til mottakerens innboks.
Kontroller at du ikke bruker tredjepartsfiltrering før du åpner en støtteforespørsel om disse problemene.
Innboksregler (opprettet av brukere i Outlook eller av administratorer ved hjelp av *-InboxRule-cmdleter i Exchange Online PowerShell) kan flytte eller slette meldinger fra innboksen.
Administratorer kan bruke meldingssporing til å avgjøre om en melding ble levert til mottakerens innboks.
Meldinger frigis uventet fra karantene. Hvorfor skjer dette?
Tredjeparts antivirusløsninger eller sikkerhetstjenester kan tilfeldig velge handlingsknapper i karantenevarsler.
Kontroller at du ikke bruker tredjepartsfiltrering før du åpner en støtteforespørsel om dette problemet.
Kan jeg frigi eller rapportere mer enn én karantenemelding om gangen?
I Microsoft Defender-portalen kan du velge og frigi opptil 100 meldinger om gangen.
Administratorer kan bruke cmdletene Get-QuarantineMessage og Release-QuarantineMessage i Exchange Online PowerShell eller frittstående EOP PowerShell til å finne og frigi karantenemeldinger i bulk, og til å rapportere falske positiver i bulk.
Støttes jokertegn når du søker etter meldinger i karantene? Kan jeg søke etter meldinger i karantene for et bestemt domene?
Jokertegn støttes ikke i Microsoft Defender-portalen. Når du for eksempel søker etter en avsender, må du angi hele e-postadressen. Du kan imidlertid bruke jokertegn i Exchange Online PowerShell eller frittstående EOP PowerShell.
Du kan for eksempel kopiere følgende PowerShell-kode til Notisblokk og lagre filen som .ps1 på en plassering som er enkel å finne (for eksempel C:\Data\QuarantineRelease.ps1).
Deretter, når du har koblet til Exchange Online PowerShell eller Exchange Online Protection PowerShell, kjører du følgende kommando for å kjøre skriptet:
& C:\Data\QuarantineRelease.ps1
Skriptet gjør følgende handlinger:
- Finn uutgitte meldinger som ble satt i karantene som søppelpost fra alle avsendere i fabrikam-domenet. Maksimalt antall resultater er 50 000 (50 sider med 1000 resultater).
- Lagre resultatene i en CSV-fil.
- Frigi samsvarende meldinger i karantene til alle opprinnelige mottakere.
$Page = 1
$List = $null
Do
{
Write-Host "Getting Page " $Page
$List = (Get-QuarantineMessage -Type Spam -PageSize 1000 -Page $Page | where {$_.Released -like "False" -and $_.SenderAddress -like "*fabrikam.com"})
Write-Host " " $List.count " rows in this page match"
Write-Host " Exporting list to appended CSV for logging"
$List | Export-Csv -Path "C:\Data\Quarantined Message Matches.csv" -Append -NoTypeInformation
Write-Host "Releasing page " $Page
$List | foreach {Release-QuarantineMessage -Identity $_.Identity -ReleaseToAll}
$Page = $Page + 1
} Until ($Page -eq 50)
Når du har sluppet en melding, kan du ikke slippe den på nytt.
Hvordan varsle sluttbrukere om meldinger som er satt i karantene? Hvor ofte sendes karantenevarsler?
Hvis karantenevarsler er aktivert i den tilknyttede karantenepolicyen, kan du konfigurere karantenevarsler som skal sendes hver fjerde time, daglig eller ukentlig. Hvis du vil ha mer informasjon, kan du se Tilpasse alle karantenevarsler.
Tips
Den raskeste og hyppigste varslingsplanen som er tilgjengelig, er hver fjerde time.
Hvis du velger hver fjerde time, og en melding settes i karantene like etter siste varslingsgenerering, vil mottakeren motta karantenevarselet litt mer enn fire timer senere.
Hvorfor mottar ikke brukere varsler om meldinger som er satt i karantene?
Hvis karantenepolicyen som er definert for den støttede karantenehandlingen ikke har varsler aktivert, sendes ikke karantenevarslene.
Hvis du vil ha mer informasjon, kan du se den siste tabellen i Anatomi for en karantenepolicy og de individuelle funksjonstabellene i anbefalte innstillinger for EOP og Microsoft Defender for Office 365 for å se hvilke standard karantenepolicyer som har karantenevarsler slått på.
Beskyttelsespolicyene i forhåndsinnstilte sikkerhetspolicyer brukes også alltid før egendefinerte beskyttelsespolicyer. En bruker som er definert i standard- eller streng forhåndsinnstilt sikkerhetspolicy, får aldri en tilpasset beskyttelsespolicy der karantenepolicyen er tilpasset for å slå på karantenevarsler. Hvis du vil ha mer informasjon, kan du se Policyinnstillinger i forhåndsinnstilte sikkerhetspolicyer
Hvordan tilpasse karantenevarsler for å legge til en egendefinert logo?
Hvilke tillatelser kreves for at administratorer skal kunne laste ned eller frigi meldinger fra karantene?
Se tillatelsesoppføringen her.
Tips
Muligheten til å behandle meldinger i karantene ved hjelp av Exchange Online tillatelser ble avsluttet i februar 2023 per MC447339.
Gjesteadministratorer fra andre organisasjoner kan ikke behandle meldinger i karantene. Administratoren må være i samme organisasjon som mottakerne.
Jeg opprettet et egendefinert karantenevarsel for et bestemt språk, men brukerne ser det ikke. Hva er det som foregår?
Et egendefinert karantenevarsel for et annet språk vises bare for brukere når språket for kontoen/postboksen samsvarer med språket i det egendefinerte karantenevarselet.
Jeg kan ikke forhåndsvise en microsoft Teams-melding i karantene. Hva er det som foregår?
Hvis en bruker sletter meldingen fra Teams-klienten, er meldingen borte, slik at forhåndsvisning ikke er tilgjengelig i karantene for den slettede meldingen.