Porada
Czy wiesz, że możesz bezpłatnie wypróbować funkcje w Microsoft Defender XDR Office 365 planie 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami dotyczącymi wersji próbnej tutaj.
Dotyczy
- Exchange Online Protection
- Ochrona usługi Office 365 w usłudze Microsoft Defender (plan 1) i plan 2
- Microsoft Defender XDR
Ten artykuł zawiera często zadawane pytania i odpowiedzi dotyczące wiadomości e-mail objętych kwarantanną dla organizacji platformy Microsoft 365 ze skrzynkami pocztowymi w Exchange Online lub autonomicznymi organizacjami Exchange Online Protection (EOP) bez Exchange Online skrzynek pocztowych.
Uwaga
W usłudze Microsoft 365 obsługiwanej przez firmę 21Vianet kwarantanna nie jest obecnie dostępna w portalu Microsoft Defender. Kwarantanna jest dostępna tylko w klasycznym centrum administracyjnym programu Exchange (klasycznym eac).
Aby uzyskać pytania i odpowiedzi dotyczące ochrony przed spamem, zobacz Ochrona przed spamem — często zadawane pytania.
Aby uzyskać pytania i odpowiedzi dotyczące ochrony przed złośliwym oprogramowaniem, zobacz Ochrona przed złośliwym oprogramowaniem — często zadawane pytania.
Aby uzyskać pytania i odpowiedzi dotyczące ochrony przed fałszowaniem, zobacz Ochrona przed fałszowaniem — często zadawane pytania.
Jak mogę zarządzać komunikatami, które zostały poddane kwarantannie w przypadku złośliwego oprogramowania?
Domyślnie tylko administratorzy mogą zarządzać komunikatami, które zostały poddane kwarantannie w przypadku złośliwego oprogramowania. Aby uzyskać więcej informacji, zobacz Zarządzanie komunikatami i plikami poddanymi kwarantannie jako administrator.
Administratorzy mogą jednak tworzyć i stosować zasady kwarantanny do zasad ochrony przed złośliwym oprogramowaniem, które definiują więcej możliwości dla użytkowników. Aby uzyskać więcej informacji, zobacz Twórca zasad kwarantanny.
Użytkownicy nie mogą wydawać własnych komunikatów, które zostały poddane kwarantannie jako złośliwe oprogramowanie przez zasady ochrony przed złośliwym oprogramowaniem, niezależnie od sposobu konfigurowania zasad kwarantanny. Jeśli zasady zezwalają użytkownikom na wydawanie własnych komunikatów objętych kwarantanną, zamiast tego użytkownicy mogą zażądać wydania złośliwego oprogramowania poddanego kwarantannie lub wiadomości wyłudzających informacje o wysokim poziomie zaufania.
Jak mogę spam kwarantanny?
Domyślnie wiadomości sklasyfikowane jako spam lub zbiorcze są dostarczane i przenoszone do folderu Junk Email przez następujące zasady ochrony przed spamem:
- Domyślne zasady ochrony przed spamem.
- Niestandardowe zasady ochrony przed spamem.
- Standardowe wstępnie ustawione zasady zabezpieczeń.
Administratorzy mogą zamiast tego skonfigurować domyślne zasady antyspamowe lub niestandardowe do kwarantanny spamu lub zbiorczych wiadomości e-mail. Aby uzyskać więcej informacji, zobacz Konfigurowanie zasad ochrony przed spamem w ramach EOP.
Zasady ścisłego ustawienia zabezpieczeń poddają kwarantannie komunikaty, które są klasyfikowane jako spam lub zbiorcze.
Aby uzyskać więcej informacji, zapoznaj się z następującymi artykułami:
Jak mogę dać użytkownikom dostęp do kwarantanny?
Użytkownik musi mieć prawidłowe konto, aby uzyskać dostęp do własnych komunikatów w kwarantannie. Autonomiczna funkcja EOP wymaga, aby użytkownicy reprezentowali użytkowników poczty w ramach operacji EOP (ręcznie utworzonej lub utworzonej za pośrednictwem synchronizacji katalogów). Aby uzyskać więcej informacji na temat zarządzania użytkownikami w autonomicznych środowiskach EOP, zobacz Zarządzanie użytkownikami poczty w autonomicznej operacji EOP.
Zasady kwarantanny określają, czy użytkownicy mogą uzyskiwać dostęp do komunikatów poddanych kwarantannie i co mogą im robić. Aby uzyskać więcej informacji, zobacz Anatomia zasad kwarantanny.
Jeśli zasady kwarantanny wymagają od użytkowników żądania wydania komunikatów lub wymagają od administratorów wydania komunikatów, administrator musi zatwierdzić żądanie wydania lub zwolnić komunikat , zanim wiadomość będzie dostępna dla użytkowników.
Do jakich komunikatów mogą uzyskiwać dostęp użytkownicy końcowi w kwarantannie?
Zasady kwarantanny określają, czy użytkownicy mogą uzyskiwać dostęp do komunikatów poddanych kwarantannie na podstawie przyczyny kwarantanny komunikatu.
Aby uzyskać domyślny dostęp do komunikatów poddanych kwarantannie, zobacz tabelę w temacie Znajdowanie i zwalnianie komunikatów poddanych kwarantannie jako użytkownik w ramach EOP
Użytkownicy nie mogą wydawać własnych komunikatów, które zostały poddane kwarantannie jako złośliwe oprogramowanie przez zasady ochrony przed złośliwym oprogramowaniem lub bezpiecznymi załącznikami, ani wyłudzać informacji z dużą pewnością przez zasady ochrony przed spamem, niezależnie od sposobu konfigurowania zasad kwarantanny. Jeśli zasady zezwalają użytkownikom na wydawanie własnych komunikatów objętych kwarantanną, zamiast tego użytkownicy mogą zażądać wydania złośliwego oprogramowania poddanego kwarantannie lub wiadomości wyłudzających informacje o wysokim poziomie zaufania.
Jak uniemożliwić użytkownikom dostęp do komunikatów objętych kwarantanną?
Domyślne zasady kwarantanny o nazwie AdminOnlyAccessPolicy uniemożliwiają interakcję użytkownika z komunikatami poddanymi kwarantannie. Domyślnie te zasady kwarantanny są używane w przypadku komunikatów, które zostały poddane kwarantannie jako złośliwe oprogramowanie lub wyłudzanie informacji o wysokim poziomie ufności. W zasadach niestandardowych lub domyślnych zasadach funkcji ochrony, które obsługują komunikaty kłócące się, administratorzy mogą określić zasadę AdminOnlyAccessPolicy jako zasady kwarantanny do użycia.
Jak mogę dowiedzieć się, dlaczego komunikat został poddany kwarantannie?
Kolumna Przyczyna kwarantanny dostępna na karcie Email na stronie Kwarantanna w portalu usługi Defender pod adresem https://security.microsoft.com/quarantine?viewid=Email. Typowe przyczyny to: reguła transportu, zbiorcze, spam, złośliwe oprogramowanie, wyłudzanie informacji, wyłudzanie informacji o wysokim poziomie zaufania lub akcja Administracja — blok typów plików. Aby uzyskać więcej informacji, zobacz Wyświetlanie wiadomości e-mail z kwarantanną.
Brak komunikatów w kwarantannie. Co się z nimi stało?
Przed otwarciem biletu pomocy technicznej na ten temat zobacz Znajdowanie, kto usunął komunikat poddany kwarantannie.
Komunikaty poddane kwarantannie również wygasają i są ostatecznie usuwane z kwarantanny, w zależności od tego, dlaczego komunikat został poddany kwarantannie. Aby uzyskać więcej informacji, zobacz Przechowywanie kwarantanny.
Filtr typowych załączników w zasadach ochrony przed złośliwym oprogramowaniem identyfikuje załączniki komunikatów z określonymi rozszerzeniami plików (możliwe było użycie dopasowania typu true). Domyślną akcją dla tych wykryć w domyślnych zasadach ochrony przed złośliwym oprogramowaniem oraz w standardowych i ścisłych zasadach zabezpieczeń wstępnie ustawionych jest odrzucenie komunikatu w raporcie o braku dostarczania (znanym również jako komunikat NDR lub bounce). Jeśli wydana wiadomość zawiera jeden z określonych typów załączników plików, możliwe, że komunikat został zwrócony nadawcy w elemencie NDR.
Gdy komunikat wygaśnie z kwarantanny, nie można go odzyskać.
Komunikat został zwolniony z kwarantanny, ale pierwotny adresat nie może go znaleźć. Jak mogę określić, co się stało z komunikatem?
Rozwiązania antywirusowe innych firm, usługi zabezpieczeń lub łączniki wychodzące mogą powodować następujące problemy w przypadku komunikatów zwolnionych z kwarantanny:
- Komunikat jest poddawany kwarantannie po wydaniu.
- Zawartość jest usuwana z wydanej wiadomości, zanim dotrze do skrzynki odbiorczej.
- Wydana wiadomość nigdy nie dociera do skrzynki odbiorczej odbiorcy.
Przed otwarciem biletu pomocy technicznej dotyczącego tych problemów sprawdź, czy nie używasz filtrowania innych firm.
Reguły skrzynki odbiorczej (utworzone przez użytkowników w programie Outlook lub przez administratorów korzystających z poleceń cmdlet *-InboxRule w programie Exchange Online programu PowerShell) mogą przenosić lub usuwać komunikaty ze skrzynki odbiorczej.
Administratorzy mogą użyć śledzenia komunikatów , aby określić, czy wydana wiadomość została dostarczona do skrzynki odbiorczej odbiorcy.
Komunikaty są nieoczekiwanie zwalniane z kwarantanny. Dlaczego tak się dzieje?
Rozwiązania antywirusowe innych firm lub usługi zabezpieczeń mogą losowo wybierać przyciski akcji w powiadomieniach o kwarantannie.
Przed otwarciem biletu pomocy technicznej dotyczącego tego problemu sprawdź, czy nie używasz filtrowania innych firm.
Czy mogę jednocześnie wydać lub zgłosić więcej niż jeden komunikat poddany kwarantannie?
W portalu Microsoft Defender można wybrać i zwolnić maksymalnie 100 komunikatów jednocześnie.
Administratorzy mogą używać poleceń cmdlet Get-QuarantineMessage i Release-QuarantineMessage w programie Exchange Online programie PowerShell lub autonomicznym programie PowerShell EOP w celu zbiorczego znajdowania i wydawania komunikatów poddanych kwarantannie oraz zbiorczego zgłaszania fałszywych alarmów.
Czy symbole wieloznaczne są obsługiwane podczas wyszukiwania komunikatów poddanych kwarantannie? Czy mogę wyszukiwać komunikaty poddane kwarantannie dla określonej domeny?
Symbole wieloznaczne nie są obsługiwane w portalu Microsoft Defender. Na przykład podczas wyszukiwania nadawcy należy określić pełny adres e-mail. Można jednak używać symboli wieloznacznych w programie Exchange Online programie PowerShell lub autonomicznym programie PowerShell EOP.
Na przykład skopiuj następujący kod programu PowerShell do Notatnika i zapisz plik jako .ps1 w łatwej do znalezienia lokalizacji (na przykład C:\Data\QuarantineRelease.ps1).
Następnie po nawiązaniu połączenia z programem Exchange Online programu PowerShell lub Exchange Online Protection programu PowerShell uruchom następujące polecenie, aby uruchomić skrypt:
& C:\Data\QuarantineRelease.ps1
Skrypt wykonuje następujące akcje:
- Znajdź niepublizowane wiadomości, które zostały poddane kwarantannie jako spam od wszystkich nadawców w domenie fabrikam. Maksymalna liczba wyników to 50 000 (50 stron ze 1000 wyników).
- Zapisz wyniki w pliku CSV.
- Zwolnij pasujące komunikaty poddane kwarantannie wszystkim oryginalnym adresatom.
$Page = 1
$List = $null
Do
{
Write-Host "Getting Page " $Page
$List = (Get-QuarantineMessage -Type Spam -PageSize 1000 -Page $Page | where {$_.Released -like "False" -and $_.SenderAddress -like "*fabrikam.com"})
Write-Host " " $List.count " rows in this page match"
Write-Host " Exporting list to appended CSV for logging"
$List | Export-Csv -Path "C:\Data\Quarantined Message Matches.csv" -Append -NoTypeInformation
Write-Host "Releasing page " $Page
$List | foreach {Release-QuarantineMessage -Identity $_.Identity -ReleaseToAll}
$Page = $Page + 1
} Until ($Page -eq 50)
Po wydaniu komunikatu nie można go zwolnić ponownie.
Jak mogę powiadamiać użytkowników końcowych o komunikatach poddanych kwarantannie? Jak często są wysyłane powiadomienia o kwarantannie?
Jeśli powiadomienia o kwarantannie są włączone w skojarzonych zasadach kwarantanny, możesz skonfigurować wysyłanie powiadomień kwarantanny co cztery godziny, codziennie lub co tydzień. Aby uzyskać więcej informacji, zobacz Dostosowywanie wszystkich powiadomień o kwarantannie.
Porada
Najszybszy, najczęstszy dostępny harmonogram powiadomień jest co cztery godziny.
Jeśli wybierzesz opcję co cztery godziny, a komunikat zostanie poddany kwarantannie tuż po ostatnim wygenerowaniu powiadomienia, odbiorca otrzyma powiadomienie o kwarantannie nieco ponad cztery godziny później.
Dlaczego użytkownicy nie otrzymują powiadomień o komunikatach poddanych kwarantannie?
Jeśli zasady kwarantanny zdefiniowane dla obsługiwanej akcji kwarantanny nie mają włączonych powiadomień, powiadomienia o kwarantannie nie są wysyłane.
Aby uzyskać więcej informacji, zobacz ostatnią tabelę w sekcji Anatomia zasad kwarantanny oraz poszczególne tabele funkcji w obszarze Zalecane ustawienia dla EOP i Ochrona usługi Office 365 w usłudze Microsoft Defender, aby zobaczyć, które domyślne zasady kwarantanny mają włączone powiadomienia o kwarantannie.
Ponadto zasady ochrony w wstępnie ustawionych zasadach zabezpieczeń są zawsze stosowane przed niestandardowymi zasadami ochrony. Użytkownik zdefiniowany w standardowych lub ścisłych zasadach zabezpieczeń wstępnie ustawionych nigdy nie otrzyma dostosowanych zasad ochrony, w których zasady kwarantanny są dostosowane do włączania powiadomień o kwarantannie. Aby uzyskać więcej informacji, zobacz Ustawienia zasad w wstępnie ustawionych zasadach zabezpieczeń
Jak mogę dostosować powiadomienia o kwarantannie, aby dodać logo niestandardowe?
Jakie uprawnienia są wymagane, aby administratorzy pobierali lub zwalniali komunikaty z kwarantanny?
Zobacz wpis uprawnień tutaj.
Porada
Możliwość zarządzania komunikatami poddanymi kwarantannie przy użyciu uprawnień Exchange Online zakończyła się w lutym 2023 r. na MC447339.
Administratorzy gości z innych organizacji nie mogą zarządzać komunikatami poddanymi kwarantannie. Administrator musi znajdować się w tej samej organizacji co adresaci.
Utworzono niestandardowe powiadomienie o kwarantannie dla określonego języka, ale użytkownicy go nie widzą. Co się dzieje?
Powiadomienie o kwarantannie niestandardowej dla innego języka jest wyświetlane użytkownikom tylko wtedy, gdy ich język konta/skrzynki pocztowej jest zgodny z językiem w powiadomieniu o kwarantannie niestandardowej.
Nie mogę wyświetlić podglądu komunikatu usługi Microsoft Teams poddanej kwarantannie. Co się dzieje?
Jeśli użytkownik usunie komunikat z klienta usługi Teams, komunikat zniknął, więc wersja zapoznawcza nie jest dostępna w kwarantannie dla usuniętej wiadomości.