Совет
Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте, кто может зарегистрироваться и использовать условия пробной версии на пробной Microsoft Defender для Office 365.
Область применения
- Exchange Online Protection
- Microsoft Defender для Office 365 (план 1) и план 2
- Microsoft Defender XDR
В этой статье содержатся часто задаваемые вопросы и ответы о сообщениях электронной почты, помещенных в карантин, для организаций Microsoft 365 с почтовыми ящиками в Exchange Online или автономных Exchange Online Protection организаций без Exchange Online почтовых ящиков.
Примечание.
В Microsoft 365 под управлением 21Vianet карантин в настоящее время недоступен на портале Microsoft Defender. Карантин доступен только в классическом Центре администрирования Exchange (классический Центр администрирования Exchange).
Вопросы и ответы о защите от нежелательной почты см. в разделе Часто задаваемые вопросы о защите от нежелательной почты.
Вопросы и ответы о защите от вредоносных программ см. в разделе Часто задаваемые вопросы о защите от вредоносных программ.
Вопросы и ответы о защите от спуфингов см. в статье Защита от спуфингом: вопросы и ответы.
Разделы справки управлять сообщениями, помещенными в карантин для вредоносных программ?
По умолчанию только администраторы могут управлять сообщениями, помещенными в карантин для вредоносных программ. Дополнительные сведения см. в статье Управление сообщениями и файлами в карантине с правами администратора.
Но администраторы могут создавать и применять политики карантина к политикам защиты от вредоносных программ, которые определяют дополнительные возможности для пользователей. Дополнительные сведения см. в статье Создание политик карантина.
Пользователи не могут выпускать собственные сообщения, которые были помещены в карантин как вредоносные программы политиками защиты от вредоносных программ, независимо от того, как настроена политика карантина. Если политика позволяет пользователям выпускать собственные сообщения, помещенные в карантин, пользователи могут запрашивать выпуск вредоносных программ или фишинговых сообщений с высокой степенью достоверности.
Разделы справки карантин спама?
По умолчанию сообщения, классифицированные как спам или массовые, доставляются и перемещаются в папку "Нежелательная Email" с помощью следующих политик защиты от нежелательной почты:
- Политика защиты от нежелательной почты по умолчанию.
- Пользовательские политики защиты от нежелательной почты.
- Стандартная предустановленная политика безопасности.
Администраторы могут настроить политики защиты от нежелательной почты или пользовательские политики по умолчанию для карантина нежелательной почты или массовых сообщений электронной почты. Дополнительные сведения см. в статье Настройка политик защиты от спама в EOP.
Предустановленная политика безопасности строго помещает в карантин сообщения, которые классифицируются как нежелательные или массовые.
Дополнительные сведения см. в следующих статьях:
Разделы справки предоставить пользователям доступ к карантину?
Пользователь должен иметь действительную учетную запись для доступа к собственным сообщениям в карантине. Для автономного EOP требуется, чтобы пользователи были представлены в EOP как пользователи почты (созданные вручную или созданные с помощью синхронизации каталогов). Дополнительные сведения об управлении пользователями в автономных средах EOP см. в статье Управление пользователями почты в автономном EOP.
Политики карантина определяют, могут ли пользователи получать доступ к сообщениям, помещенным в карантин, и что им разрешено делать с ними. Дополнительные сведения см. в разделе Анатомия политики карантина.
Если политика карантина требует, чтобы пользователи запрашивали выпуск сообщений или администраторы выпуска сообщений, администратор должен утвердить запрос на выпуск или отпустить сообщение , прежде чем сообщение будет доступно пользователям.
Вы не можете настроить политики карантина в предустановленных политиках безопасности.
Какие сообщения могут получить конечные пользователи в карантине?
Политики карантина определяют, могут ли пользователи получать доступ к сообщениям, помещенным в карантин, в зависимости от того, почему сообщение было помещено в карантин.
Доступ к сообщениям, помещенным в карантин по умолчанию, см. в таблице в разделе Поиск и освобождение сообщений, помещенных в карантин в качестве пользователя в EOP.
Пользователи не могут выпускать собственные сообщения, которые были помещены в карантин как вредоносные программы с помощью политик защиты от вредоносных программ или безопасных вложений, или как фишинг с высокой достоверностью политиками защиты от нежелательной почты, независимо от того, как настроена политика карантина. Если политика позволяет пользователям выпускать собственные сообщения, помещенные в карантин, пользователи могут запрашивать выпуск вредоносных программ или фишинговых сообщений с высокой степенью достоверности.
Как запретить пользователям доступ к сообщениям, помещенным в карантин?
Политика карантина по умолчанию с именем AdminOnlyAccessPolicy предотвращает любое взаимодействие пользователя с сообщениями, помещенными в карантин. По умолчанию эта политика карантина используется для сообщений, которые были помещены в карантин как вредоносные программы или фишинг с высокой степенью достоверности. В пользовательских политиках или политике по умолчанию для функций защиты, поддерживающих карантинные сообщения, администраторы могут указать AdminOnlyAccessPolicy в качестве используемой политики карантина.
Вы не можете запретить конечным пользователям просматривать страницу карантина или получать доступ к ней по адресу https://security.microsoft.com/quarantine.
Разделы справки узнать, почему сообщение было помещено в карантин?
Столбец Причина карантина, доступный на вкладке Email на странице Карантин на портале Defender по адресу https://security.microsoft.com/quarantine?viewid=Email. Распространенные причины: правило транспорта, массовая рассылка, спам, вредоносные программы, фишинг, фишинг с высокой достоверностью или Администратор действие — блок типа файла. Дополнительные сведения см. в разделе Просмотр электронной почты в карантине.
Сообщения отсутствуют в карантине. Что с ними случилось?
Прежде чем отправить запрос в службу поддержки по этому поводу, см. статью Поиск пользователей, удаляющих сообщение в карантине.
Сообщения, помещенные в карантин, также истекают и в конечном итоге удаляются из карантина в зависимости от того, почему сообщение было помещено в карантин. Дополнительные сведения см. в разделе Хранение в карантине.
Общий фильтр вложений в политиках защиты от вредоносных программ идентифицирует вложения сообщений с указанными расширениями файлов (было возможно сопоставление с истинным типом). Действие по умолчанию для этих обнаружений в политике защиты от вредоносных программ по умолчанию и в стандартных и строгих предустановленных политиках безопасности заключается в отклонении сообщения в отчете о недоставке (также известном как сообщение о недоставке или отказе). Если выпущенное сообщение содержит один из указанных типов вложения файлов, возможно, сообщение было возвращено отправителю в отчете о недоставке.
По истечении срока действия сообщения из карантина его невозможно восстановить.
По умолчанию сообщения от заблокированных отправителей скрыты из просмотра в карантине (карантин фильтруется по параметру Не показывать заблокированных отправителей). Чтобы просмотреть сообщения от всех отправителей, выберите Фильтр , а затем — Показать всех отправителей.
Совет
Если отправитель заблокирован и выбран параметр Не показывать заблокированных отправителей (по умолчанию), сообщения от этих отправителей отображаются на странице Карантин и включаются в уведомления о карантине, когда значение причины переопределения адреса отправителя равно Нет. Это происходит из-за того, что сообщения были заблокированы по причинам, отличным от переопределений адресов отправителя.
Сообщение было освобождено из карантина, но исходный получатель не может найти его. Как определить, что произошло с сообщением?
Сторонние антивирусные решения, службы безопасности или исходящие соединители могут вызвать следующие проблемы для сообщений, освобожденных из карантина:
- Сообщение помещается в карантин после освобождения.
- Содержимое удаляется из выпущенного сообщения до того, как оно достигнет папки "Входящие" получателя.
- Выпущенное сообщение никогда не поступает в папку "Входящие" получателя.
Убедитесь, что вы не используете стороннюю фильтрацию, прежде чем отправить запрос в службу поддержки по этим проблемам.
Если сторонний фильтр не мешает сообщению попасть в папку "Входящие" пользователя и первая попытка выпуска не сработала, администраторы могут попробовать использовать командлет Release-QuarantineMessage в Exchange Online PowerShell с параметром Force, чтобы освободить сообщение.
Если Release-QuarantineMessage с параметром Force не работает, администраторы должны попытаться отправить сообщение в альтернативный почтовый ящик после отключения фильтрации сторонней службой.
Правила папки "Входящие" (созданные пользователями в Outlook или администраторами с помощью командлетов *-InboxRule в Exchange Online PowerShell) могут перемещать или удалять сообщения из папки "Входящие".
Администраторы могут использовать трассировку сообщений , чтобы определить, было ли отправлено выпущенное сообщение в папку "Входящие" получателя.
Сообщения неожиданно освобождаются из карантина. С чем это связано?
Сторонние антивирусные решения или службы безопасности могут случайным образом выбирать кнопки действий в уведомлениях о карантине.
Убедитесь, что вы не используете стороннюю фильтрацию, прежде чем отправить запрос в службу поддержки по этой проблеме.
Сообщения, помещенные в карантин, имеют значение СостояниеОсвобождено и Свойство Освобождено , доступное на странице Карантин .
Администраторы также могут использовать журнал аудита, чтобы узнать, кто выпустил сообщение из карантина. Используйте значение Освобожденное сообщение карантина в разделе Действия — понятные имена. Дополнительные инструкции см. в разделе Поиск пользователей, удаливших сообщение в карантине.
Можно ли освободить одновременно несколько сообщений, помещенных на карантин, или сообщить о них?
На портале Microsoft Defender можно одновременно выбирать и выпускать до 100 сообщений.
Администраторы могут использовать командлеты Get-QuarantineMessage и Release-QuarantineMessage в Exchange Online PowerShell или автономном EOP PowerShell для массового поиска и выпуска сообщений, помещенных в карантин, а также для массового сообщения о ложноположительных результатах.
Сведения о массовых действиях, доступных на странице Карантин , см. в статье Выполнение действий с несколькими сообщениями электронной почты, помещенными в карантин.
Поддерживаются ли подстановочные знаки при поиске сообщений, помещенных на карантин? Можно ли искать помещенные на карантин сообщения для определенного домена?
Подстановочные знаки не поддерживаются на портале Microsoft Defender. Например, при поиске отправителя необходимо указать полный адрес электронной почты. Но вы можете использовать подстановочные знаки в Exchange Online PowerShell или автономном EOP PowerShell.
Например, скопируйте следующий код PowerShell в Блокнот и сохраните файл как .ps1 в расположении, которое легко найти (например, C:\Data\QuarantineRelease.ps1).
Затем после подключения к Exchange Online PowerShell или Exchange Online Protection PowerShell выполните следующую команду, чтобы запустить сценарий:
& C:\Data\QuarantineRelease.ps1
Скрипт выполняет следующие действия:
- Поиск невыпущенных сообщений, которые были помещены в карантин как спам, от всех отправителей в домене fabrikam. Максимальное число результатов — 50 000 (50 страниц из 1000 результатов).
- Сохраните результаты в CSV-файл.
- Отпустите соответствующие сообщения в карантине для всех исходных получателей.
$Page = 1
$List = $null
Do
{
Write-Host "Getting Page " $Page
$List = (Get-QuarantineMessage -Type Spam -PageSize 1000 -Page $Page | where {$_.Released -like "False" -and $_.SenderAddress -like "*fabrikam.com"})
Write-Host " " $List.count " rows in this page match"
Write-Host " Exporting list to appended CSV for logging"
$List | Export-Csv -Path "C:\Data\Quarantined Message Matches.csv" -Append -NoTypeInformation
Write-Host "Releasing page " $Page
$List | foreach {Release-QuarantineMessage -Identity $_.Identity -ReleaseToAll}
$Page = $Page + 1
} Until ($Page -eq 50)
После освобождения сообщения вы не сможете его снова отпустить.
Разделы справки уведомлять пользователей о сообщениях, помещенных в карантин? Как часто отправляются уведомления о карантине?
Если уведомления о карантине включены в соответствующей политике карантина, можно настроить отправку уведомлений о карантине каждые четыре часа, ежедневно или еженедельно. Дополнительные сведения см. в разделе Настройка всех уведомлений о карантине.
Совет
Самое быстрое и частое расписание уведомлений, доступное каждые четыре часа.
Если выбрать параметр каждые четыре часа и сообщение помещается в карантин сразу после последнего создания уведомления, получатель получит уведомление о карантине чуть более чем через четыре часа.
Почему пользователи не получают уведомления о своих сообщениях, помещенных в карантин?
Если политика карантина, определенная для поддерживаемого действия карантина , не включает уведомления, уведомления о карантине не отправляются.
Дополнительные сведения см. в последней таблице статьи Структура политики карантина и таблицах отдельных компонентов в разделе Рекомендуемые параметры для EOP и Microsoft Defender для Office 365, чтобы узнать, какие политики карантина по умолчанию содержат уведомления о карантине.
Кроме того, политики защиты в предустановленных политиках безопасности всегда применяются перед настраиваемыми политиками защиты. Пользователь, определенный в стандартной или строгой предустановленной политике безопасности, никогда не получит настраиваемую политику защиты, в которой политика карантина настроена для включения уведомлений о карантине. Дополнительные сведения см. в разделе Параметры политики в предустановленных политиках безопасности.
Уведомления о карантине не включены для сообщений, помещенных в карантин правилами потока обработки почты Exchange (правилами транспорта) или защитой от потери данных (DLP). Эти сообщения имеют политику карантина AdminOnly. Уведомления о карантине также не создаются для сообщений с политикой карантина DefaultFullAccess.
Разделы справки настроить уведомления о карантине для добавления пользовательского логотипа?
Какие разрешения требуются администраторам для скачивания или выпуска сообщений из карантина?
Сведения о разрешениях см. здесь.
Совет
Возможность управления сообщениями, помещенными в карантин, с помощью разрешений Exchange Online закончилась в феврале 2023 г. на MC447339.
Гостевые администраторы из других организаций не могут управлять сообщениями, помещенными в карантин. Администратор должен находиться в той же организации, что и получатели.
Я создал настраиваемое уведомление о карантине для определенного языка, но пользователи не видят его. Почему?
Настраиваемое уведомление о карантине для другого языка отображается пользователям только в том случае, если язык учетной записи или почтового ящика соответствует языку в пользовательском уведомлении о карантине.
Не удается просмотреть сообщение Microsoft Teams, помещенное в карантин. Почему?
Если пользователь удаляет сообщение из клиента Teams, сообщение исчезнет, поэтому предварительная версия для удаленного сообщения недоступна в карантине.
Кнопка **Блокировать отправителя** не отображается в уведомлениях о карантине или на странице **Карантин**. Я также не вижу кнопку **Утвердить выпуск** на странице **Карантин**. Почему?
Блокировка отправителя отключена по умолчанию для сообщений, помещенных в карантин.
Для конечных пользователей администраторы могут создать и назначить настраиваемую политику карантина, которая включает действие Блокировать отправителя . Дополнительные сведения см. в разделе [Политики карантина](политики карантина).
Администраторы см . в разделе Блокировать отправителя , только если они фильтруют результаты карантина по получателю>только я вместо значения по умолчанию Все пользователи.
Выпуск утверждения снят с учета и теперь включен в выпуск.
**Фильтр** и **Поиск** не работают. Почему?
Поле Поиск применяется к видимым результатам в карантине. По умолчанию отображаются только первые 100 записей, пока вы не прокрутите вниз до нижней части списка, который загрузит дополнительные результаты.
Чтобы отфильтровать сообщения в карантине по идентификатору сообщений Интернета, значение должно включать угловые скобки (<>
) даже в PowerShell.
Освобожденные сообщения карантина по-прежнему отображаются в карантине. Почему?
Освобожденные сообщения остаются видимыми в карантине со значением СостояниеОсвобождено до тех пор, пока:
Срок хранения карантина истекает, и сообщение автоматически удаляется.
или
Сообщение удаляется из карантина вручную.
Оповещения о запросах на выпуск не создаются. Почему?
Ведение журнала аудита должно быть включено (оно включено по умолчанию). Дополнительные сведения см. в разделе Включение и отключение аудита.
Одному и тому же пользователю отправляются повторяющиеся или несколько уведомлений о карантине.
Одному и тому же пользователю отправляется несколько или повторяющихся уведомлений о карантине, если для параметра SendFromAliasEnabledкомандлета Set-OrganizationConfigв Exchange Online PowerShell задано значение $true.
Я не вижу всех получателей сообщения, помещенного в карантин. Почему?
Администраторы могут использовать предварительный просмотр сообщения или просмотр заголовка сообщения , чтобы просмотреть полный список получателей.