Często zadawane pytania — komunikaty poddane kwarantannie

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w Microsoft Defender Office 365 Plan 2? Użyj 90-dniowej wersji próbnej usługi Defender for Office 365 w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami wersji próbnej w witrynie Try Microsoft Defender for Office 365.

Dotyczy

• Wbudowane funkcje zabezpieczeń dla wszystkich skrzynek pocztowych w chmurze
• Ochrona usługi Office 365 w usłudze Microsoft Defender (plan 1) i plan 2
• Microsoft Defender XDR

Ten artykuł zawiera często zadawane pytania i odpowiedzi dotyczące wiadomości e-mail z kwarantanną dla organizacji platformy Microsoft 365 ze skrzynkami pocztowymi w chmurze.

Uwaga

W usłudze Microsoft 365 obsługiwanej przez firmę 21Vianet w Chinach kwarantanna nie jest obecnie dostępna w portalu Microsoft Defender. Kwarantanna jest dostępna tylko w klasycznym centrum administracyjnym programu Exchange (klasycznym eac).

Aby uzyskać pytania i odpowiedzi dotyczące ochrony przed spamem, zobacz Często zadawane pytania: Ochrona przed spamem.

Aby uzyskać pytania i odpowiedzi dotyczące ochrony przed złośliwym oprogramowaniem, zobacz Często zadawane pytania: Ochrona przed złośliwym oprogramowaniem.

Aby uzyskać pytania i odpowiedzi dotyczące ochrony przed fałszowaniem, zobacz Ochrona przed fałszowaniem — często zadawane pytania.

Jak mogę zarządzać komunikatami, które zostały poddane kwarantannie w przypadku złośliwego oprogramowania?

Domyślnie tylko administratorzy mogą zarządzać komunikatami, które zostały poddane kwarantannie w przypadku złośliwego oprogramowania. Aby uzyskać więcej informacji, zobacz Zarządzanie komunikatami i plikami poddanymi kwarantannie jako administrator.

Administratorzy mogą jednak tworzyć i stosować zasady kwarantanny do zasad ochrony przed złośliwym oprogramowaniem, które definiują więcej możliwości dla użytkowników. Aby uzyskać więcej informacji, zobacz Tworzenie zasad kwarantanny.

Adresaci nie mogą zwalniać komunikatów poddanych kwarantannie jako złośliwego oprogramowania, niezależnie od sposobu konfigurowania zasad kwarantanny. Jeśli zasady kwarantanny zezwalają adresatom na wydawanie komunikatów, mogą żądać tylko wydania komunikatów poddanych kwarantannie jako złośliwe oprogramowanie.

Jak mogę spam kwarantanny?

Domyślnie wiadomości sklasyfikowane jako spam lub zbiorcze są dostarczane i przenoszone do folderu Junk Email przez następujące zasady ochrony przed spamem:

• Domyślne zasady ochrony przed spamem.
• Niestandardowe zasady ochrony przed spamem.
• Standardowe wstępnie ustawione zasady zabezpieczeń.

Administratorzy mogą skonfigurować domyślne zasady ochrony przed spamem lub niestandardowe zasady ochrony przed spamem w celu kwarantanny spamu lub zbiorczych wiadomości e-mail. Aby uzyskać więcej informacji, zobacz Konfigurowanie zasad ochrony przed spamem.

Zasady ścisłego ustawienia zabezpieczeń poddają kwarantannie komunikaty, które są klasyfikowane jako spam lub zbiorcze.

Aby uzyskać więcej informacji, zapoznaj się z następującymi artykułami:

• Ustawienia zasad ochrony przed spamem
• Profile w wstępnie ustawionych zasadach zabezpieczeń

Jak mogę dać użytkownikom dostęp do kwarantanny?

Użytkownik musi mieć prawidłowe konto, aby uzyskać dostęp do własnych komunikatów w kwarantannie.

Zasady kwarantanny określają, czy użytkownicy mogą uzyskiwać dostęp do komunikatów poddanych kwarantannie i co mogą im robić. Aby uzyskać więcej informacji, zobacz Anatomia zasad kwarantanny.

Jeśli zasady kwarantanny wymagają od użytkowników żądania wydania komunikatów lub wymagają od administratorów wydania komunikatów, administrator musi zatwierdzić żądanie wydania lub zwolnić komunikat , zanim wiadomość będzie dostępna dla użytkowników.

Nie można dostosować zasad kwarantanny w wstępnie ustawionych zasadach zabezpieczeń.

Do jakich komunikatów mogą uzyskiwać dostęp użytkownicy końcowi w kwarantannie?

Zasady kwarantanny określają, czy użytkownicy mogą uzyskiwać dostęp do komunikatów poddanych kwarantannie na podstawie przyczyny kwarantanny komunikatu.

Aby uzyskać domyślny dostęp do komunikatów poddanych kwarantannie, zobacz tabelę w temacie Znajdowanie i zwalnianie komunikatów poddanych kwarantannie jako użytkownik

Adresaci nie mogą zwalniać komunikatów poddanych kwarantannie w następujących scenariuszach, niezależnie od sposobu konfigurowania zasad kwarantanny:

• Komunikaty poddane kwarantannie jako złośliwe oprogramowanie przez zasady ochrony przed złośliwym oprogramowaniem.
• Komunikaty poddane kwarantannie jako złośliwe oprogramowanie lub wyłudzanie informacji według zasad bezpiecznych załączników.
• Komunikaty poddane kwarantannie jako wyłudzanie informacji o wysokim poziomie zaufania przez zasady ochrony przed spamem.

Jeśli zasady kwarantanny zezwalają adresatom na wydawanie komunikatów, mogą zażądać tylko wydania tych komunikatów objętych kwarantanną.

Jak uniemożliwić użytkownikom dostęp do komunikatów objętych kwarantanną?

Domyślne zasady kwarantanny o nazwie AdminOnlyAccessPolicy uniemożliwiają interakcję użytkownika z komunikatami poddanymi kwarantannie. Domyślnie te zasady kwarantanny są używane w przypadku komunikatów, które zostały poddane kwarantannie jako złośliwe oprogramowanie lub wyłudzanie informacji o wysokim poziomie ufności. W niestandardowych zasadach zagrożeń lub domyślnych zasadach zagrożeń dla funkcji ochrony, które obsługują komunikaty powodujące kłótnie, administratorzy mogą określić zasadę AdminOnlyAccessPolicy jako zasady kwarantanny do użycia.

Nie można uniemożliwić użytkownikom końcowym wyświetlania lub uzyskiwania dostępu do strony Kwarantanna w witrynie https://security.microsoft.com/quarantine.

Jak mogę dowiedzieć się, dlaczego komunikat został poddany kwarantannie?

Kolumna Przyczyna kwarantanny dostępna na karcie Email na stronie Kwarantanna w portalu usługi Defender pod adresem https://security.microsoft.com/quarantine?viewid=Email. Typowe przyczyny to: reguła transportu, zbiorcze, spam, złośliwe oprogramowanie, wyłudzanie informacji, wyłudzanie informacji o wysokim poziomie zaufania lub akcja Administracja — blok typów plików. Aby uzyskać więcej informacji, zobacz Wyświetlanie wiadomości e-mail z kwarantanną.

Brak komunikatów w kwarantannie. Co się z nimi stało?

Przed otwarciem biletu pomocy technicznej na ten temat zobacz Znajdowanie, kto usunął komunikat poddany kwarantannie.

Komunikaty poddane kwarantannie również wygasają i są ostatecznie usuwane z kwarantanny, w zależności od tego, dlaczego komunikat został poddany kwarantannie. Aby uzyskać więcej informacji, zobacz Przechowywanie kwarantanny.

Filtr typowych załączników w zasadach ochrony przed złośliwym oprogramowaniem identyfikuje załączniki komunikatów z określonymi rozszerzeniami plików (możliwe było użycie dopasowania typu true). Domyślną akcją dla tych wykryć w domyślnych zasadach ochrony przed złośliwym oprogramowaniem oraz w standardowych i ścisłych zasadach zabezpieczeń wstępnie ustawionych jest odrzucenie komunikatu w raporcie o braku dostarczania (znanym również jako komunikat NDR lub bounce). Jeśli wydana wiadomość zawiera jeden z określonych typów załączników plików, możliwe, że komunikat został zwrócony nadawcy w elemencie NDR.

Gdy komunikat wygaśnie z kwarantanny, nie można go odzyskać.

Domyślnie komunikaty od zablokowanych nadawców są ukryte w kwarantannie (kwarantanna jest filtrowana według pozycji Nie pokazuj zablokowanych nadawców). Aby wyświetlić komunikaty od wszystkich nadawców, wybierz pozycję Filtruj , a następnie wybierz pozycję Pokaż wszystkich nadawców.

Jeśli poprzednia sugestia nie dotyczy Ciebie, otwórz zgłoszenie do pomocy technicznej w ciągu 7 dni od komunikatów, których dotyczy problem, aby uzyskać większą szansę na rozwiązanie problemu.

Porada

Jeśli nadawca jest zablokowany i wybrano opcję Nie pokazuj zablokowanych nadawców (ustawienie domyślne), komunikaty od tych nadawców są wyświetlane na stronie Kwarantanna i są uwzględniane w powiadomieniach o kwarantannie, gdy wartość przyczyny adresu nadawcy to Brak. To zachowanie występuje, ponieważ komunikaty zostały zablokowane z przyczyn innych niż przesłonięcia adresów nadawcy.

Komunikat został zwolniony z kwarantanny, ale pierwotny adresat nie może go znaleźć. Jak mogę określić, co się stało z komunikatem?

• Rozwiązania antywirusowe, usługi zabezpieczeń lub łączniki wychodzące firmy Microsoft mogą powodować następujące problemy w przypadku komunikatów zwolnionych z kwarantanny:

  • Komunikat jest poddawany kwarantannie po wydaniu.
  • Zawartość jest usuwana z wydanej wiadomości, zanim dotrze do skrzynki odbiorczej.
  • Wydana wiadomość nigdy nie dociera do skrzynki odbiorczej odbiorcy.

  Przed otwarciem biletu pomocy technicznej dotyczącego tych problemów sprawdź, czy nie używasz filtrowania spoza firmy Microsoft.

  Jeśli filtr firmy innej niż Microsoft nie uniemożliwia komunikatowi dotarcia do skrzynki odbiorczej użytkownika, a pierwsza próba wydania nie zadziałała, administratorzy mogą spróbować użyć polecenia cmdlet Release-QuarantineMessage w Exchange Online programu PowerShell za pomocą przełącznika wymuszania wydania komunikatu.

  Jeśli polecenie Release-QuarantineMessage z przełącznikiem Wymuszanie nie działa, administratorzy powinni spróbować opublikować wiadomość do alternatywnej skrzynki pocztowej po wyłączeniu filtrowania według usługi innej niż Microsoft. Wymuszone wydanie może spowodować wielokrotne wydawanie komunikatów.

  Jeśli spróbujesz zbiorczo zwolnić wiele komunikatów dla wszystkich adresatów, zostanie wyświetlony błąd, a usunięcie wiadomości na poziomie adresata zostało wykonane w dowolnej wiadomości. Administrator musi wydać tę konkretną wiadomość tylko adresatowi, którego usunięcie z kwarantanny nie miało miejsca.

• Reguły skrzynki odbiorczej (utworzone przez użytkowników w programie Outlook lub przez administratorów korzystających z poleceń cmdlet *-InboxRule w programie Exchange Online programu PowerShell) mogą przenosić lub usuwać komunikaty ze skrzynki odbiorczej.

• Niektóre reguły przepływu poczty, które poddały wiadomość kwarantannie, mogą spowodować ponowne poddanie wydanej wiadomości kwarantannie.

• Poinformuj administratorów, że routing wydanych komunikatów kwarantanny do adresatów onpremises może spowodować utratę nagłówków antyspamowych, co sprawia, że komunikaty ponownie lądują w kwarantannie po wydaniu.

Administratorzy mogą użyć śledzenia komunikatów , aby określić, czy wydana wiadomość została dostarczona do skrzynki odbiorczej odbiorcy.

Komunikaty są nieoczekiwanie zwalniane z kwarantanny. Dlaczego tak się dzieje?

Rozwiązania antywirusowe lub usługi zabezpieczeń innych firm mogą losowo wybierać przyciski akcji w powiadomieniach o kwarantannie.

Przed otwarciem biletu pomocy technicznej dotyczącego tego problemu sprawdź, czy nie używasz filtrowania spoza firmy Microsoft.

Komunikaty poddane kwarantannie, które zostały wydane, mają wartość Stanwydana i wydaną przez właściwość dostępną na stronie Kwarantanna .

Administratorzy mogą również użyć dziennika inspekcji, aby zobaczyć, kto wydał komunikat z kwarantanny. Użyj wartości Wydany komunikat kwarantanny w obszarze Działania — przyjazne nazwy. Aby uzyskać powiązane instrukcje, zobacz Znajdowanie, kto usunął komunikat objęty kwarantanną.

Czy mogę jednocześnie wydać lub zgłosić więcej niż jeden komunikat poddany kwarantannie?

W portalu Microsoft Defender można wybrać i zwolnić maksymalnie 100 komunikatów jednocześnie.

Administratorzy mogą używać poleceń cmdlet Get-QuarantineMessage i Release-QuarantineMessage w programie Exchange Online programu PowerShell w celu zbiorczego znajdowania i wydawania komunikatów poddanych kwarantannie oraz zbiorczego zgłaszania fałszywych alarmów.

Akcje zbiorcze dostępne na stronie Kwarantanna można znaleźć w temacie Take action on multiple quarantined email messages (Podjęcie akcji w przypadku wielu wiadomości e-mail objętych kwarantanną).

W usłudze Defender for Office 365 Plan 2 możesz użyć Eksploratora (Eksploratora zagrożeń) do wykonywania większych operacji wydania zbiorczego (maksymalnie 200 000 komunikatów).

Czy symbole wieloznaczne są obsługiwane podczas wyszukiwania komunikatów poddanych kwarantannie? Czy mogę wyszukiwać komunikaty poddane kwarantannie dla określonej domeny?

Symbole wieloznaczne są obsługiwane zarówno w portalu Microsoft Defender, jak i w programie PowerShell Exchange Online. Na przykład możesz użyć jako *@contoso.com filtru adresu nadawcy lub adresu odbiorcy, aby wyszukać komunikaty poddane kwarantannie.

W celu wyszukiwania zbiorczego i wydania skopiuj następujący kod programu PowerShell do Notatnika i zapisz plik jako .ps1 w lokalizacji, która jest łatwa do znalezienia (na przykład C:\Data\QuarantineRelease.ps1).

Następnie po nawiązaniu połączenia z programem Exchange Online programu PowerShell uruchom następujące polecenie, aby uruchomić skrypt:

& C:\Data\QuarantineRelease.ps1

Skrypt wykonuje następujące akcje:

• Znajdź niepublizowane wiadomości, które zostały poddane kwarantannie jako spam od wszystkich nadawców w domenie fabrikam. Maksymalna liczba wyników to 50 000 (50 stron ze 1000 wyników).
• Zapisz wyniki w pliku CSV.
• Zwolnij pasujące komunikaty poddane kwarantannie wszystkim oryginalnym adresatom.

$Page = 1
$List = $null

Do
{
Write-Host "Getting Page " $Page

$List = (Get-QuarantineMessage -Type Spam -PageSize 1000 -Page $Page | where {$_.Released -like "False" -and $_.SenderAddress -like "*fabrikam.com"})
Write-Host "                     " $List.count " rows in this page match"
Write-Host "                                                             Exporting list to appended CSV for logging"
$List | Export-Csv -Path "C:\Data\Quarantined Message Matches.csv" -Append -NoTypeInformation

Write-Host "Releasing page " $Page
$List | foreach {Release-QuarantineMessage -Identity $_.Identity -ReleaseToAll}

$Page = $Page + 1

} Until ($Page -eq 50)

Po wydaniu komunikatu nie można go zwolnić ponownie.

Jak mogę powiadamiać użytkowników końcowych o komunikatach poddanych kwarantannie? Jak często są wysyłane powiadomienia o kwarantannie?

Jeśli powiadomienia o kwarantannie są włączone w skojarzonych zasadach kwarantanny, możesz skonfigurować wysyłanie powiadomień kwarantanny co cztery godziny, codziennie lub co tydzień. Aby uzyskać więcej informacji, zobacz Dostosowywanie wszystkich powiadomień o kwarantannie.

Porada

Najszybszy, najczęstszy dostępny harmonogram powiadomień jest co cztery godziny.

Jeśli wybierzesz opcję co cztery godziny, a komunikat zostanie poddany kwarantannie tuż po ostatnim wygenerowaniu powiadomienia, odbiorca otrzyma powiadomienie o kwarantannie nieco ponad cztery godziny później.

W przypadku komunikatów poddanych kwarantannie przez automatyczne przeczyszczanie o wartości zero godzin (ZAP) powiadomienia o kwarantannie są generowane na podstawie momentu kwarantanny komunikatu, a nie momentu dostarczenia wiadomości do skrzynki pocztowej.

Powiadomienia o kwarantannie można również skonfigurować dla komunikatów wewnętrznych (wewnątrz organizacji) tylko w zasadach kwarantanny.

Dlaczego użytkownicy nie otrzymują powiadomień o komunikatach poddanych kwarantannie?

Najpierw użyj śledzenia komunikatów , aby potwierdzić, że adresat nie otrzymał powiadomienia o kwarantannie:

• Nadawca: Quarantine@messaging.microsoft.com lub niestandardowy adres nadawcy.
• Adresat: adres e-mail adresata.

Po potwierdzeniu, że powiadomienia o kwarantannie nie zostały wysłane, postępuj zgodnie z poniższymi wskazówkami.

Jeśli zasady kwarantanny zdefiniowane dla obsługiwanej akcji kwarantanny nie mają włączonych powiadomień, powiadomienia o kwarantannie nie są wysyłane.

Aby uzyskać więcej informacji, zobacz ostatnią tabelę w sekcji Anatomia zasad kwarantanny oraz poszczególne tabele funkcji w obszarze Zalecane ustawienia zasad zabezpieczeń poczty e-mail i współpracy dla organizacji w chmurze , aby zobaczyć, które domyślne zasady kwarantanny mają włączone powiadomienia o kwarantannie.

Ponadto zasady poszczególnych zagrożeń w wstępnie ustawionych zasadach zabezpieczeń są zawsze stosowane przed niestandardowymi zasadami zagrożeń. Użytkownik zdefiniowany w standardowych lub ścisłych zasadach zabezpieczeń wstępnie ustawionych nigdy nie otrzymuje dostosowanych zasad zagrożeń, w których zasady kwarantanny są dostosowywane do włączania powiadomień kwarantanny. Aby uzyskać więcej informacji, zobacz Ustawienia zasad w wstępnie ustawionych zasadach zabezpieczeń.

Powiadomienia kwarantanny nie są włączone dla wiadomości poddanych kwarantannie przez reguły przepływu poczty programu Exchange (reguły transportu) ani zapobieganie utracie danych (DLP). Te komunikaty mają zasady kwarantanny AdminOnly. Powiadomienia kwarantanny nie są również generowane dla komunikatów z zasadami kwarantanny DefaultFullAccess.

Jak mogę dostosować powiadomienia o kwarantannie, aby dodać logo niestandardowe?

Zobacz Dostosowywanie wszystkich powiadomień o kwarantannie.

Jakie uprawnienia są wymagane, aby administratorzy pobierali lub zwalniali komunikaty z kwarantanny?

Zobacz wpis uprawnień tutaj.

Uwaga

Obecnie role przypisane za pośrednictwem Azure Privileged Identity Management nie są obsługiwane w kwarantannie. Aby uzyskać więcej informacji na temat usługi PIM, zobacz Privileged Identity Management (PIM) i dlaczego warto używać jej z Microsoft Defender dla Office 365.

Możliwość zarządzania komunikatami poddanymi kwarantannie przy użyciu uprawnień Exchange Online zakończyła się w lutym 2023 r. na MC447339.

Administratorzy gości z innych organizacji nie mogą zarządzać komunikatami poddanymi kwarantannie. Administrator musi znajdować się w tej samej organizacji co adresaci.

Utworzono niestandardowe powiadomienie o kwarantannie dla określonego języka, ale użytkownicy go nie widzą. Co się dzieje?

Powiadomienie o kwarantannie niestandardowej dla innego języka jest wyświetlane użytkownikom tylko wtedy, gdy ich język konta/skrzynki pocztowej jest zgodny z językiem w powiadomieniu o kwarantannie niestandardowej.

Nie mogę wyświetlić podglądu komunikatu usługi Microsoft Teams poddanej kwarantannie. Co się dzieje?

Jeśli użytkownik usunie komunikat z klienta usługi Teams, komunikat zniknął, więc wersja zapoznawcza nie jest dostępna w kwarantannie dla usuniętej wiadomości.

Nie widzę przycisku **Blokuj nadawcę** w powiadomieniach o kwarantannie lub na stronie **Kwarantanna**. Nie widzę również przycisku **Zatwierdź wydanie** na stronie **Kwarantanna**. Co się dzieje?

Nadawca bloku jest domyślnie wyłączony dla komunikatów poddanych kwarantannie.

W przypadku użytkowników końcowych administratorzy mogą tworzyć i przypisywać niestandardowe zasady kwarantanny, które obejmują akcję Blokuj nadawcę . Aby uzyskać więcej informacji, zobacz Zasady kwarantanny.

Administratorzy widzą opcję Blokuj nadawcę tylko wtedy, gdy filtrują wyniki kwarantanny według tylko adresata>, zamiast wartości domyślnej Wszyscy użytkownicy.

Wersja Zatwierdź została wycofana i jest teraz uwzględniona w wersji.

Przycisk **Blokuj nadawcę** w powiadomieniach o kwarantannie lub na stronie **Kwarantanna** nie działa. Co się dzieje?

Akcja Blokuj nadawcę nie jest możliwa dla folderów publicznych.

Foldery publiczne w programie Exchange nie mają ustawień konfiguracji wiadomości-śmieci, takich jak poszczególne skrzynki pocztowe. Polecenie Set-MailboxJunkEmailConfiguration cmdlet konfiguruje ustawienia wiadomości-śmieci dla skrzynek pocztowych, a nie folderów publicznych.

**Filtr** i **Wyszukiwanie** nie działają. Co się dzieje?

Pole Wyszukiwania ma zastosowanie do widocznych wyników kwarantanny. Domyślnie tylko pierwsze 100 wpisów jest wyświetlanych do momentu przewinięcia w dół listy, co spowoduje załadowanie większej liczby wyników.

Aby filtrować komunikaty poddane kwarantannie według identyfikatora komunikatu internetowego, wartość musi zawierać nawiasy kątowe (<>), nawet w programie PowerShell.

Komunikaty o wydanej kwarantannie nadal są wyświetlane w kwarantannie. Co się dzieje?

Wydane komunikaty pozostają widoczne w kwarantannie z wydaną wartością Stan do:

• Okres przechowywania kwarantanny wygaśnie, a komunikat zostanie automatycznie usunięty.

  lub

• Komunikat zostanie ręcznie usunięty z kwarantanny.

Alerty żądania wydania nie są generowane. Co się dzieje?

Rejestrowanie inspekcji musi być włączone (domyślnie jest włączone). Aby uzyskać więcej informacji, zobacz Włączanie lub wyłączanie inspekcji.

Do tego samego użytkownika są wysyłane zduplikowane lub wiele powiadomień kwarantanny.

Wiele lub zduplikowane powiadomienia kwarantanny są wysyłane do tego samego użytkownika, jeśli parametr SendFromAliasEnabled w poleceniu cmdlet Set-OrganizationConfig w Exchange Online program PowerShell jest ustawiony na wartość $true.

Nie widzę wszystkich adresatów wiadomości poddanej kwarantannie. Co się dzieje?

Administratorzy mogą wyświetlić pełną listę adresatów za pomocą komunikatu w wersji zapoznawczej lub nagłówka wyświetlenia wiadomości .

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w Microsoft Defender Office 365 Plan 2? Użyj 90-dniowej wersji próbnej usługi Defender for Office 365 w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami wersji próbnej w witrynie Try Microsoft Defender for Office 365.

Dotyczy

• Wbudowane funkcje zabezpieczeń dla wszystkich skrzynek pocztowych w chmurze
• Ochrona usługi Office 365 w usłudze Microsoft Defender (plan 1) i plan 2
• Microsoft Defender XDR

Ten artykuł zawiera często zadawane pytania i odpowiedzi dotyczące wiadomości e-mail z kwarantanną dla organizacji platformy Microsoft 365 ze skrzynkami pocztowymi w chmurze.

Uwaga

W usłudze Microsoft 365 obsługiwanej przez firmę 21Vianet w Chinach kwarantanna nie jest obecnie dostępna w portalu Microsoft Defender. Kwarantanna jest dostępna tylko w klasycznym centrum administracyjnym programu Exchange (klasycznym eac).

Aby uzyskać pytania i odpowiedzi dotyczące ochrony przed spamem, zobacz Często zadawane pytania: Ochrona przed spamem.

Aby uzyskać pytania i odpowiedzi dotyczące ochrony przed złośliwym oprogramowaniem, zobacz Często zadawane pytania: Ochrona przed złośliwym oprogramowaniem.

Aby uzyskać pytania i odpowiedzi dotyczące ochrony przed fałszowaniem, zobacz Ochrona przed fałszowaniem — często zadawane pytania.

Domyślnie tylko administratorzy mogą zarządzać komunikatami, które zostały poddane kwarantannie w przypadku złośliwego oprogramowania. Aby uzyskać więcej informacji, zobacz Zarządzanie komunikatami i plikami poddanymi kwarantannie jako administrator.

Administratorzy mogą jednak tworzyć i stosować zasady kwarantanny do zasad ochrony przed złośliwym oprogramowaniem, które definiują więcej możliwości dla użytkowników. Aby uzyskać więcej informacji, zobacz Tworzenie zasad kwarantanny.

Adresaci nie mogą zwalniać komunikatów poddanych kwarantannie jako złośliwego oprogramowania, niezależnie od sposobu konfigurowania zasad kwarantanny. Jeśli zasady kwarantanny zezwalają adresatom na wydawanie komunikatów, mogą żądać tylko wydania komunikatów poddanych kwarantannie jako złośliwe oprogramowanie.

Domyślnie wiadomości sklasyfikowane jako spam lub zbiorcze są dostarczane i przenoszone do folderu Junk Email przez następujące zasady ochrony przed spamem:

• Domyślne zasady ochrony przed spamem.
• Niestandardowe zasady ochrony przed spamem.
• Standardowe wstępnie ustawione zasady zabezpieczeń.

Administratorzy mogą skonfigurować domyślne zasady ochrony przed spamem lub niestandardowe zasady ochrony przed spamem w celu kwarantanny spamu lub zbiorczych wiadomości e-mail. Aby uzyskać więcej informacji, zobacz Konfigurowanie zasad ochrony przed spamem.

Zasady ścisłego ustawienia zabezpieczeń poddają kwarantannie komunikaty, które są klasyfikowane jako spam lub zbiorcze.

Aby uzyskać więcej informacji, zapoznaj się z następującymi artykułami:

• Ustawienia zasad ochrony przed spamem
• Profile w wstępnie ustawionych zasadach zabezpieczeń

Użytkownik musi mieć prawidłowe konto, aby uzyskać dostęp do własnych komunikatów w kwarantannie.

Zasady kwarantanny określają, czy użytkownicy mogą uzyskiwać dostęp do komunikatów poddanych kwarantannie i co mogą im robić. Aby uzyskać więcej informacji, zobacz Anatomia zasad kwarantanny.

Jeśli zasady kwarantanny wymagają od użytkowników żądania wydania komunikatów lub wymagają od administratorów wydania komunikatów, administrator musi zatwierdzić żądanie wydania lub zwolnić komunikat , zanim wiadomość będzie dostępna dla użytkowników.

Nie można dostosować zasad kwarantanny w wstępnie ustawionych zasadach zabezpieczeń.

Zasady kwarantanny określają, czy użytkownicy mogą uzyskiwać dostęp do komunikatów poddanych kwarantannie na podstawie przyczyny kwarantanny komunikatu.

Aby uzyskać domyślny dostęp do komunikatów poddanych kwarantannie, zobacz tabelę w temacie Znajdowanie i zwalnianie komunikatów poddanych kwarantannie jako użytkownik

Adresaci nie mogą zwalniać komunikatów poddanych kwarantannie w następujących scenariuszach, niezależnie od sposobu konfigurowania zasad kwarantanny:

• Komunikaty poddane kwarantannie jako złośliwe oprogramowanie przez zasady ochrony przed złośliwym oprogramowaniem.
• Komunikaty poddane kwarantannie jako złośliwe oprogramowanie lub wyłudzanie informacji według zasad bezpiecznych załączników.
• Komunikaty poddane kwarantannie jako wyłudzanie informacji o wysokim poziomie zaufania przez zasady ochrony przed spamem.

Jeśli zasady kwarantanny zezwalają adresatom na wydawanie komunikatów, mogą zażądać tylko wydania tych komunikatów objętych kwarantanną.

Domyślne zasady kwarantanny o nazwie AdminOnlyAccessPolicy uniemożliwiają interakcję użytkownika z komunikatami poddanymi kwarantannie. Domyślnie te zasady kwarantanny są używane w przypadku komunikatów, które zostały poddane kwarantannie jako złośliwe oprogramowanie lub wyłudzanie informacji o wysokim poziomie ufności. W niestandardowych zasadach zagrożeń lub domyślnych zasadach zagrożeń dla funkcji ochrony, które obsługują komunikaty powodujące kłótnie, administratorzy mogą określić zasadę AdminOnlyAccessPolicy jako zasady kwarantanny do użycia.

Nie można uniemożliwić użytkownikom końcowym wyświetlania lub uzyskiwania dostępu do strony Kwarantanna w witrynie https://security.microsoft.com/quarantine.

Kolumna Przyczyna kwarantanny dostępna na karcie Email na stronie Kwarantanna w portalu usługi Defender pod adresem https://security.microsoft.com/quarantine?viewid=Email. Typowe przyczyny to: reguła transportu, zbiorcze, spam, złośliwe oprogramowanie, wyłudzanie informacji, wyłudzanie informacji o wysokim poziomie zaufania lub akcja Administracja — blok typów plików. Aby uzyskać więcej informacji, zobacz Wyświetlanie wiadomości e-mail z kwarantanną.

Przed otwarciem biletu pomocy technicznej na ten temat zobacz Znajdowanie, kto usunął komunikat poddany kwarantannie.

Komunikaty poddane kwarantannie również wygasają i są ostatecznie usuwane z kwarantanny, w zależności od tego, dlaczego komunikat został poddany kwarantannie. Aby uzyskać więcej informacji, zobacz Przechowywanie kwarantanny.

Filtr typowych załączników w zasadach ochrony przed złośliwym oprogramowaniem identyfikuje załączniki komunikatów z określonymi rozszerzeniami plików (możliwe było użycie dopasowania typu true). Domyślną akcją dla tych wykryć w domyślnych zasadach ochrony przed złośliwym oprogramowaniem oraz w standardowych i ścisłych zasadach zabezpieczeń wstępnie ustawionych jest odrzucenie komunikatu w raporcie o braku dostarczania (znanym również jako komunikat NDR lub bounce). Jeśli wydana wiadomość zawiera jeden z określonych typów załączników plików, możliwe, że komunikat został zwrócony nadawcy w elemencie NDR.

Gdy komunikat wygaśnie z kwarantanny, nie można go odzyskać.

Domyślnie komunikaty od zablokowanych nadawców są ukryte w kwarantannie (kwarantanna jest filtrowana według pozycji Nie pokazuj zablokowanych nadawców). Aby wyświetlić komunikaty od wszystkich nadawców, wybierz pozycję Filtruj , a następnie wybierz pozycję Pokaż wszystkich nadawców.

Jeśli poprzednia sugestia nie dotyczy Ciebie, otwórz zgłoszenie do pomocy technicznej w ciągu 7 dni od komunikatów, których dotyczy problem, aby uzyskać większą szansę na rozwiązanie problemu.

Porada

Jeśli nadawca jest zablokowany i wybrano opcję Nie pokazuj zablokowanych nadawców (ustawienie domyślne), komunikaty od tych nadawców są wyświetlane na stronie Kwarantanna i są uwzględniane w powiadomieniach o kwarantannie, gdy wartość przyczyny adresu nadawcy to Brak. To zachowanie występuje, ponieważ komunikaty zostały zablokowane z przyczyn innych niż przesłonięcia adresów nadawcy.

• Rozwiązania antywirusowe, usługi zabezpieczeń lub łączniki wychodzące firmy Microsoft mogą powodować następujące problemy w przypadku komunikatów zwolnionych z kwarantanny:

  • Komunikat jest poddawany kwarantannie po wydaniu.
  • Zawartość jest usuwana z wydanej wiadomości, zanim dotrze do skrzynki odbiorczej.
  • Wydana wiadomość nigdy nie dociera do skrzynki odbiorczej odbiorcy.

  Przed otwarciem biletu pomocy technicznej dotyczącego tych problemów sprawdź, czy nie używasz filtrowania spoza firmy Microsoft.

  Jeśli filtr firmy innej niż Microsoft nie uniemożliwia komunikatowi dotarcia do skrzynki odbiorczej użytkownika, a pierwsza próba wydania nie zadziałała, administratorzy mogą spróbować użyć polecenia cmdlet Release-QuarantineMessage w Exchange Online programu PowerShell za pomocą przełącznika wymuszania wydania komunikatu.

  Jeśli polecenie Release-QuarantineMessage z przełącznikiem Wymuszanie nie działa, administratorzy powinni spróbować opublikować wiadomość do alternatywnej skrzynki pocztowej po wyłączeniu filtrowania według usługi innej niż Microsoft. Wymuszone wydanie może spowodować wielokrotne wydawanie komunikatów.

  Jeśli spróbujesz zbiorczo zwolnić wiele komunikatów dla wszystkich adresatów, zostanie wyświetlony błąd, a usunięcie wiadomości na poziomie adresata zostało wykonane w dowolnej wiadomości. Administrator musi wydać tę konkretną wiadomość tylko adresatowi, którego usunięcie z kwarantanny nie miało miejsca.

• Reguły skrzynki odbiorczej (utworzone przez użytkowników w programie Outlook lub przez administratorów korzystających z poleceń cmdlet *-InboxRule w programie Exchange Online programu PowerShell) mogą przenosić lub usuwać komunikaty ze skrzynki odbiorczej.

• Niektóre reguły przepływu poczty, które poddały wiadomość kwarantannie, mogą spowodować ponowne poddanie wydanej wiadomości kwarantannie.

• Poinformuj administratorów, że routing wydanych komunikatów kwarantanny do adresatów onpremises może spowodować utratę nagłówków antyspamowych, co sprawia, że komunikaty ponownie lądują w kwarantannie po wydaniu.

Administratorzy mogą użyć śledzenia komunikatów , aby określić, czy wydana wiadomość została dostarczona do skrzynki odbiorczej odbiorcy.

Rozwiązania antywirusowe lub usługi zabezpieczeń innych firm mogą losowo wybierać przyciski akcji w powiadomieniach o kwarantannie.

Przed otwarciem biletu pomocy technicznej dotyczącego tego problemu sprawdź, czy nie używasz filtrowania spoza firmy Microsoft.

Komunikaty poddane kwarantannie, które zostały wydane, mają wartość Stanwydana i wydaną przez właściwość dostępną na stronie Kwarantanna .

Administratorzy mogą również użyć dziennika inspekcji, aby zobaczyć, kto wydał komunikat z kwarantanny. Użyj wartości Wydany komunikat kwarantanny w obszarze Działania — przyjazne nazwy. Aby uzyskać powiązane instrukcje, zobacz Znajdowanie, kto usunął komunikat objęty kwarantanną.

W portalu Microsoft Defender można wybrać i zwolnić maksymalnie 100 komunikatów jednocześnie.

Administratorzy mogą używać poleceń cmdlet Get-QuarantineMessage i Release-QuarantineMessage w programie Exchange Online programu PowerShell w celu zbiorczego znajdowania i wydawania komunikatów poddanych kwarantannie oraz zbiorczego zgłaszania fałszywych alarmów.

Akcje zbiorcze dostępne na stronie Kwarantanna można znaleźć w temacie Take action on multiple quarantined email messages (Podjęcie akcji w przypadku wielu wiadomości e-mail objętych kwarantanną).

W usłudze Defender for Office 365 Plan 2 możesz użyć Eksploratora (Eksploratora zagrożeń) do wykonywania większych operacji wydania zbiorczego (maksymalnie 200 000 komunikatów).

Symbole wieloznaczne są obsługiwane zarówno w portalu Microsoft Defender, jak i w programie PowerShell Exchange Online. Na przykład możesz użyć jako *@contoso.com filtru adresu nadawcy lub adresu odbiorcy, aby wyszukać komunikaty poddane kwarantannie.

W celu wyszukiwania zbiorczego i wydania skopiuj następujący kod programu PowerShell do Notatnika i zapisz plik jako .ps1 w lokalizacji, która jest łatwa do znalezienia (na przykład C:\Data\QuarantineRelease.ps1).

Następnie po nawiązaniu połączenia z programem Exchange Online programu PowerShell uruchom następujące polecenie, aby uruchomić skrypt:

& C:\Data\QuarantineRelease.ps1

Skrypt wykonuje następujące akcje:

• Znajdź niepublizowane wiadomości, które zostały poddane kwarantannie jako spam od wszystkich nadawców w domenie fabrikam. Maksymalna liczba wyników to 50 000 (50 stron ze 1000 wyników).
• Zapisz wyniki w pliku CSV.
• Zwolnij pasujące komunikaty poddane kwarantannie wszystkim oryginalnym adresatom.

$Page = 1
$List = $null

Do
{
Write-Host "Getting Page " $Page

$List = (Get-QuarantineMessage -Type Spam -PageSize 1000 -Page $Page | where {$_.Released -like "False" -and $_.SenderAddress -like "*fabrikam.com"})
Write-Host "                     " $List.count " rows in this page match"
Write-Host "                                                             Exporting list to appended CSV for logging"
$List | Export-Csv -Path "C:\Data\Quarantined Message Matches.csv" -Append -NoTypeInformation

Write-Host "Releasing page " $Page
$List | foreach {Release-QuarantineMessage -Identity $_.Identity -ReleaseToAll}

$Page = $Page + 1

} Until ($Page -eq 50)

Po wydaniu komunikatu nie można go zwolnić ponownie.

Jeśli powiadomienia o kwarantannie są włączone w skojarzonych zasadach kwarantanny, możesz skonfigurować wysyłanie powiadomień kwarantanny co cztery godziny, codziennie lub co tydzień. Aby uzyskać więcej informacji, zobacz Dostosowywanie wszystkich powiadomień o kwarantannie.

Porada

Najszybszy, najczęstszy dostępny harmonogram powiadomień jest co cztery godziny.

Jeśli wybierzesz opcję co cztery godziny, a komunikat zostanie poddany kwarantannie tuż po ostatnim wygenerowaniu powiadomienia, odbiorca otrzyma powiadomienie o kwarantannie nieco ponad cztery godziny później.

W przypadku komunikatów poddanych kwarantannie przez automatyczne przeczyszczanie o wartości zero godzin (ZAP) powiadomienia o kwarantannie są generowane na podstawie momentu kwarantanny komunikatu, a nie momentu dostarczenia wiadomości do skrzynki pocztowej.

Powiadomienia o kwarantannie można również skonfigurować dla komunikatów wewnętrznych (wewnątrz organizacji) tylko w zasadach kwarantanny.

Najpierw użyj śledzenia komunikatów , aby potwierdzić, że adresat nie otrzymał powiadomienia o kwarantannie:

• Nadawca: Quarantine@messaging.microsoft.com lub niestandardowy adres nadawcy.
• Adresat: adres e-mail adresata.

Po potwierdzeniu, że powiadomienia o kwarantannie nie zostały wysłane, postępuj zgodnie z poniższymi wskazówkami.

Jeśli zasady kwarantanny zdefiniowane dla obsługiwanej akcji kwarantanny nie mają włączonych powiadomień, powiadomienia o kwarantannie nie są wysyłane.

Aby uzyskać więcej informacji, zobacz ostatnią tabelę w sekcji Anatomia zasad kwarantanny oraz poszczególne tabele funkcji w obszarze Zalecane ustawienia zasad zabezpieczeń poczty e-mail i współpracy dla organizacji w chmurze , aby zobaczyć, które domyślne zasady kwarantanny mają włączone powiadomienia o kwarantannie.

Ponadto zasady poszczególnych zagrożeń w wstępnie ustawionych zasadach zabezpieczeń są zawsze stosowane przed niestandardowymi zasadami zagrożeń. Użytkownik zdefiniowany w standardowych lub ścisłych zasadach zabezpieczeń wstępnie ustawionych nigdy nie otrzymuje dostosowanych zasad zagrożeń, w których zasady kwarantanny są dostosowywane do włączania powiadomień kwarantanny. Aby uzyskać więcej informacji, zobacz Ustawienia zasad w wstępnie ustawionych zasadach zabezpieczeń.

Powiadomienia kwarantanny nie są włączone dla wiadomości poddanych kwarantannie przez reguły przepływu poczty programu Exchange (reguły transportu) ani zapobieganie utracie danych (DLP). Te komunikaty mają zasady kwarantanny AdminOnly. Powiadomienia kwarantanny nie są również generowane dla komunikatów z zasadami kwarantanny DefaultFullAccess.

Zobacz Dostosowywanie wszystkich powiadomień o kwarantannie.

Zobacz wpis uprawnień tutaj.

Uwaga

Obecnie role przypisane za pośrednictwem Azure Privileged Identity Management nie są obsługiwane w kwarantannie. Aby uzyskać więcej informacji na temat usługi PIM, zobacz Privileged Identity Management (PIM) i dlaczego warto używać jej z Microsoft Defender dla Office 365.

Możliwość zarządzania komunikatami poddanymi kwarantannie przy użyciu uprawnień Exchange Online zakończyła się w lutym 2023 r. na MC447339.

Administratorzy gości z innych organizacji nie mogą zarządzać komunikatami poddanymi kwarantannie. Administrator musi znajdować się w tej samej organizacji co adresaci.

Powiadomienie o kwarantannie niestandardowej dla innego języka jest wyświetlane użytkownikom tylko wtedy, gdy ich język konta/skrzynki pocztowej jest zgodny z językiem w powiadomieniu o kwarantannie niestandardowej.

Jeśli użytkownik usunie komunikat z klienta usługi Teams, komunikat zniknął, więc wersja zapoznawcza nie jest dostępna w kwarantannie dla usuniętej wiadomości.

Nadawca bloku jest domyślnie wyłączony dla komunikatów poddanych kwarantannie.

W przypadku użytkowników końcowych administratorzy mogą tworzyć i przypisywać niestandardowe zasady kwarantanny, które obejmują akcję Blokuj nadawcę . Aby uzyskać więcej informacji, zobacz Zasady kwarantanny.

Administratorzy widzą opcję Blokuj nadawcę tylko wtedy, gdy filtrują wyniki kwarantanny według tylko adresata>, zamiast wartości domyślnej Wszyscy użytkownicy.

Wersja Zatwierdź została wycofana i jest teraz uwzględniona w wersji.

Akcja Blokuj nadawcę nie jest możliwa dla folderów publicznych.

Foldery publiczne w programie Exchange nie mają ustawień konfiguracji wiadomości-śmieci, takich jak poszczególne skrzynki pocztowe. Polecenie Set-MailboxJunkEmailConfiguration cmdlet konfiguruje ustawienia wiadomości-śmieci dla skrzynek pocztowych, a nie folderów publicznych.

Pole Wyszukiwania ma zastosowanie do widocznych wyników kwarantanny. Domyślnie tylko pierwsze 100 wpisów jest wyświetlanych do momentu przewinięcia w dół listy, co spowoduje załadowanie większej liczby wyników.

Aby filtrować komunikaty poddane kwarantannie według identyfikatora komunikatu internetowego, wartość musi zawierać nawiasy kątowe (<>), nawet w programie PowerShell.

Wydane komunikaty pozostają widoczne w kwarantannie z wydaną wartością Stan do:

• Okres przechowywania kwarantanny wygaśnie, a komunikat zostanie automatycznie usunięty.

  lub

• Komunikat zostanie ręcznie usunięty z kwarantanny.

Rejestrowanie inspekcji musi być włączone (domyślnie jest włączone). Aby uzyskać więcej informacji, zobacz Włączanie lub wyłączanie inspekcji.

Wiele lub zduplikowane powiadomienia kwarantanny są wysyłane do tego samego użytkownika, jeśli parametr SendFromAliasEnabled w poleceniu cmdlet Set-OrganizationConfig w Exchange Online program PowerShell jest ustawiony na wartość $true.

Administratorzy mogą wyświetlić pełną listę adresatów za pomocą komunikatu w wersji zapoznawczej lub nagłówka wyświetlenia wiadomości .