Veelgestelde vragen over berichten in quarantaine

Standaard kunnen alleen beheerders berichten beheren die in quarantaine zijn geplaatst voor malware. Zie Berichten en bestanden in quarantaine beheren als beheerder voor meer informatie.

Beheerders kunnen echter quarantainebeleid maken en toepassen op antimalwarebeleidsregels waarmee meer mogelijkheden voor gebruikers worden gedefinieerd. Zie Quarantainebeleid maken voor meer informatie.

Gebruikers kunnen hun eigen berichten die als malware in quarantaine zijn geplaatst door antimalwarebeleid niet vrijgeven, ongeacht hoe het quarantainebeleid is geconfigureerd. Als het beleid toestaat dat gebruikers hun eigen berichten in quarantaine vrijgeven, mogen gebruikers in plaats daarvan de release van hun in quarantaine geplaatste malware of phishingberichten met hoge betrouwbaarheid aanvragen .

Standaard worden berichten die zijn geclassificeerd als spam of bulksgewijs bezorgd en verplaatst naar de map Ongewenste e-mail Email volgens het volgende antispambeleid:

• Het standaard antispambeleid.
• Aangepast antispambeleid.
• Het vooraf ingestelde standaardbeveiligingsbeleid.

Beheerders kunnen het standaard antispam- of aangepaste beleid configureren om spam of bulksgewijs e-mailberichten in quarantaine te plaatsen. Zie Antispambeleid configureren in EOP voor meer informatie.

Met het vooraf ingestelde beveiligingsbeleid strikt worden berichten die zijn geclassificeerd als spam of bulk in quarantaine geplaatst.

Zie de volgende artikelen voor meer informatie:

• EOP-instellingen voor antispambeleid
• Profielen in vooraf ingesteld beveiligingsbeleid

Een gebruiker moet een geldig account hebben om toegang te krijgen tot hun eigen berichten in quarantaine. Zelfstandige EOP vereist dat gebruikers worden weergegeven als e-mailgebruikers in EOP (handmatig gemaakt of gemaakt via adreslijstsynchronisatie). Zie E-mailgebruikers beheren in zelfstandige EOP voor meer informatie over het beheren van gebruikers in zelfstandige EOP-omgevingen.

Quarantainebeleid bepaalt of gebruikers toegang hebben tot hun berichten in quarantaine en wat ze met hen mogen doen. Zie Anatomie van een quarantainebeleid voor meer informatie.

Als het quarantainebeleid vereist dat gebruikers de release van berichten aanvragen of beheerders verplichten om berichten vrij te geven, moet een beheerder de releaseaanvraag goedkeuren of het bericht vrijgeven voordat het bericht beschikbaar is voor gebruikers.

U kunt quarantainebeleid niet aanpassen in vooraf ingesteld beveiligingsbeleid.

Quarantainebeleid bepaalt of gebruikers toegang hebben tot berichten in quarantaine op basis van waarom het bericht in quarantaine is geplaatst.

Zie de tabel in Berichten in quarantaine zoeken en vrijgeven als gebruiker in EOP voor de standaardtoegang tot berichten in quarantaine

Gebruikers kunnen hun eigen berichten die in quarantaine zijn geplaatst als malware niet vrijgeven door antimalware- of safe attachments-beleid, of phishing met hoge betrouwbaarheid door antispambeleid, ongeacht hoe het quarantainebeleid is geconfigureerd. Als het beleid toestaat dat gebruikers hun eigen berichten in quarantaine vrijgeven, mogen gebruikers in plaats daarvan de release van hun in quarantaine geplaatste malware of phishingberichten met hoge betrouwbaarheid aanvragen .

Het standaard quarantainebeleid met de naam AdminOnlyAccessPolicy voorkomt interactie van gebruikers met hun in quarantaine geplaatste berichten. Dit quarantainebeleid wordt standaard gebruikt voor berichten die in quarantaine zijn geplaatst als malware of phishing met hoge betrouwbaarheid. In aangepast beleid of het standaardbeleid voor beveiligingsfuncties die quarantining-berichten ondersteunen, kunnen beheerders de AdminOnlyAccessPolicy opgeven als het quarantainebeleid dat moet worden gebruikt.

U kunt niet voorkomen dat eindgebruikers de quarantainepagina zien of openen op https://security.microsoft.com/quarantine.

De kolom Reden voor quarantaine die beschikbaar is op het tabblad Email van de pagina Quarantaine in de Defender-portal op https://security.microsoft.com/quarantine?viewid=Email. Veelvoorkomende redenen zijn transportregel, bulk, spam, malware, phishing, phishing, phishing met hoge betrouwbaarheid of Beheer actie - blokkering van bestandstype. Zie E-mail in quarantaine weergeven voor meer informatie.

Voordat u hierover een ondersteuningsticket opent, raadpleegt u Zoeken wie een bericht in quarantaine heeft verwijderd.

Berichten in quarantaine verlopen ook en worden uiteindelijk uit quarantaine verwijderd, afhankelijk van waarom het bericht in quarantaine is geplaatst. Zie Retentie in quarantaine voor meer informatie.

Het algemene filter voor bijlagen in antimalwarebeleid identificeert berichtbijlagen met de opgegeven bestandsextensies (met true type matching was mogelijk). De standaardactie voor deze detecties in het standaard antimalwarebeleid en in het standaard- en strikt vooraf ingestelde beveiligingsbeleid is het weigeren van het bericht in een rapport over niet-bezorging (ook wel een NDR- of niet-bezorgdbericht genoemd). Als het vrijgegeven bericht een van de opgegeven bestandstypen bevat, is het mogelijk dat het bericht is geretourneerd naar de afzender in een NDR.

Wanneer een bericht uit quarantaine verloopt, kunt u het niet herstellen.

Berichten van geblokkeerde afzenders worden standaard verborgen in quarantaine (quarantaine wordt gefilterd op Geblokkeerde afzenders niet weergeven). Als u berichten van alle afzenders wilt zien, selecteert u Filteren en vervolgens Alle afzenders weergeven.

• Antivirusoplossingen van derden, beveiligingsservices of uitgaande connectors kunnen de volgende problemen veroorzaken voor berichten die uit quarantaine worden vrijgegeven:

  • Het bericht wordt in quarantaine geplaatst nadat het is vrijgegeven.
  • Inhoud wordt verwijderd uit het vrijgegeven bericht voordat deze het Postvak IN van de geadresseerde bereikt.
  • Het vrijgegeven bericht komt nooit binnen in het Postvak IN van de geadresseerde.

  Controleer of u geen filters van derden gebruikt voordat u een ondersteuningsticket over deze problemen opent.

  Als een filter van derden niet verhindert dat het bericht het Postvak IN van de gebruiker bereikt en de eerste releasepoging niet werkt, kunnen beheerders proberen de release-QuarantineMessage-cmdlet in Exchange Online PowerShell te gebruiken met de schakeloptie Forceren om het bericht vrij te geven.

  Als Release-QuarantineMessage met de schakeloptie Forceren niet werkt, moeten beheerders proberen het bericht vrij te geven in een alternatief postvak nadat filteren door de service van derden is uitgeschakeld.

• Regels voor Postvak IN (gemaakt door gebruikers in Outlook of door beheerders met behulp van de cmdlets *-InboxRule in Exchange Online PowerShell) kunnen berichten uit het Postvak IN verplaatsen of verwijderen.

Beheerders kunnen berichttracering gebruiken om te bepalen of een vrijgegeven bericht is bezorgd in het Postvak IN van de geadresseerde.

Antivirusoplossingen van derden of beveiligingsservices kunnen willekeurig actieknoppen selecteren in quarantainemeldingen.

Controleer of u geen filters van derden gebruikt voordat u een ondersteuningsticket over dit probleem opent.

In quarantaine geplaatste berichten die zijn vrijgegeven, zijn de statuswaardeVrijgegeven en de eigenschap Vrijgegeven op beschikbaar op de pagina Quarantaine .

Beheerders kunnen ook het auditlogboek gebruiken om te zien wie een bericht heeft vrijgegeven vanuit Quarantaine. Gebruik de waarde Vrijgegeven quarantainebericht in Activiteiten - beschrijvende namen. Zie Zoeken wie een bericht in quarantaine heeft verwijderd voor gerelateerde instructies.

In de Microsoft Defender portal kunt u maximaal 100 berichten tegelijk selecteren en vrijgeven.

Beheerders kunnen de cmdlets Get-QuarantineMessage en Release-QuarantineMessage in Exchange Online PowerShell of zelfstandige EOP PowerShell gebruiken om berichten in quarantaine bulksgewijs te zoeken en vrij te geven en om fout-positieven bulksgewijs te melden.

Zie Actie ondernemen op meerdere in quarantaine geplaatste e-mailberichten voor bulkacties die beschikbaar zijn op de pagina Quarantaine.

Jokertekens worden niet ondersteund in de Microsoft Defender-portal. Als u bijvoorbeeld een afzender zoekt, moet u het volledige e-mailadres opgeven. U kunt echter jokertekens gebruiken in Exchange Online PowerShell of zelfstandige EOP PowerShell.

Kopieer bijvoorbeeld de volgende PowerShell-code naar Kladblok en sla het bestand op als .ps1 op een locatie die u gemakkelijk kunt vinden (bijvoorbeeld C:\Data\QuarantineRelease.ps1).

Nadat u verbinding hebt gemaakt met Exchange Online PowerShell of Exchange Online Protection PowerShell, voert u de volgende opdracht uit om het script uit te voeren:

& C:\Data\QuarantineRelease.ps1

Met het script worden de volgende acties uitgevoerd:

• Zoek niet-uitgebrachte berichten die in quarantaine zijn geplaatst als spam van alle afzenders in het fabrikam-domein. Het maximum aantal resultaten is 50.000 (50 pagina's met 1000 resultaten).
• Sla de resultaten op in een CSV-bestand.
• De overeenkomende berichten in quarantaine vrijgeven aan alle oorspronkelijke geadresseerden.

$Page = 1
$List = $null

Do
{
Write-Host "Getting Page " $Page

$List = (Get-QuarantineMessage -Type Spam -PageSize 1000 -Page $Page | where {$_.Released -like "False" -and $_.SenderAddress -like "*fabrikam.com"})
Write-Host "                     " $List.count " rows in this page match"
Write-Host "                                                             Exporting list to appended CSV for logging"
$List | Export-Csv -Path "C:\Data\Quarantined Message Matches.csv" -Append -NoTypeInformation

Write-Host "Releasing page " $Page
$List | foreach {Release-QuarantineMessage -Identity $_.Identity -ReleaseToAll}

$Page = $Page + 1

} Until ($Page -eq 50)

Nadat u een bericht hebt vrijgegeven, kunt u het niet meer vrijgeven.

Als quarantainemeldingen zijn ingeschakeld in het bijbehorende quarantainebeleid, kunt u instellen dat quarantainemeldingen elke vier uur, dagelijks of wekelijks, worden verzonden. Zie Alle quarantainemeldingen aanpassen voor meer informatie.

Als voor het quarantainebeleid dat is gedefinieerd voor de ondersteunde quarantaineactie geen meldingen zijn ingeschakeld, worden de quarantainemeldingen niet verzonden.

Zie de laatste tabel in Anatomie van een quarantainebeleid en de afzonderlijke functietabellen in Aanbevolen instellingen voor EOP en Microsoft Defender voor Office 365 om te zien op welke standaardquarantainebeleidsregels quarantainemeldingen zijn ingeschakeld.

Bovendien worden de beveiligingsbeleidsregels in vooraf ingesteld beveiligingsbeleid altijd toegepast vóór aangepast beveiligingsbeleid. Een gebruiker die is gedefinieerd in het standaard- of strikt vooraf ingestelde beveiligingsbeleid, krijgt nooit een aangepast beveiligingsbeleid waarbij het quarantainebeleid is aangepast om quarantainemeldingen in te schakelen. Zie Beleidsinstellingen in vooraf ingesteld beveiligingsbeleid voor meer informatie

Quarantainemeldingen zijn niet ingeschakeld voor berichten die in quarantaine zijn geplaatst door Exchange-e-mailstroomregels (transportregels) of preventie van gegevensverlies (DLP). Deze berichten hebben het quarantainebeleid AdminOnly. Quarantainemeldingen worden ook niet gegenereerd voor berichten met het quarantainebeleid DefaultFullAccess.

Zie Alle quarantainemeldingen aanpassen.

Zie de machtigingsvermelding hier.

Een aangepaste quarantainemelding voor een andere taal wordt alleen weergegeven aan gebruikers wanneer de taal van hun account/postvak overeenkomt met de taal in de aangepaste quarantainemelding.

Als een gebruiker het bericht uit de Teams-client verwijdert, is het bericht verdwenen, zodat preview niet beschikbaar is in quarantaine voor het verwijderde bericht.

Afzender blokkeren is standaard uitgeschakeld voor berichten in quarantaine.

Voor eindgebruikers kunnen beheerders een aangepast quarantainebeleid maken en toewijzen dat de actie Afzender blokkeren bevat. Zie [Quarantainebeleid](quarantainebeleid) voor meer informatie.

Beheerders zien Afzender blokkeren alleen als ze de quarantaineresultaten filteren op Ontvanger>Alleen ik in plaats van de standaardwaarde Alle gebruikers.

De release goedkeuren is buiten gebruik gesteld en is nu opgenomen in Release.

Het vak Zoeken is van toepassing op de zichtbare resultaten in quarantaine. Standaard worden alleen de eerste 100 vermeldingen weergegeven totdat u omlaag schuift naar de onderkant van de lijst, waardoor er meer resultaten worden geladen.

Als u berichten in quarantaine wilt filteren op internetbericht-id, moet de waarde hoekhaken () bevatten,<> zelfs in PowerShell.

Vrijgegeven berichten blijven zichtbaar in quarantaine met de statuswaardeVrijgegeven, totdat:

• De retentieperiode voor quarantaine verloopt en het bericht wordt automatisch verwijderd.

  of

• Het bericht wordt handmatig uit quarantaine verwijderd.

Auditlogboekregistratie moet zijn ingeschakeld (dit is standaard ingeschakeld). Zie Controle in- of uitschakelen voor meer informatie.

Er worden meerdere of dubbele quarantainemeldingen verzonden naar dezelfde gebruiker als de parameter SendFromAliasEnabled op de cmdlet Set-OrganizationConfig in Exchange Online PowerShell is ingesteld op de waarde $true.

Beheerders kunnen voorbeeld van bericht of Berichtkop weergeven gebruiken om de volledige lijst met geadresseerden te bekijken.