Часто задаваемые вопросы о сообщениях, помещенных в карантин

По умолчанию только администраторы могут управлять сообщениями, помещенными в карантин для вредоносных программ. Дополнительные сведения см. в статье Управление сообщениями и файлами в карантине с правами администратора.

Но администраторы могут создавать и применять политики карантина к политикам защиты от вредоносных программ, которые определяют дополнительные возможности для пользователей. Дополнительные сведения см. в статье Создание политик карантина.

Пользователи не могут выпускать собственные сообщения, которые были помещены в карантин как вредоносные программы политиками защиты от вредоносных программ, независимо от того, как настроена политика карантина. Если политика позволяет пользователям выпускать собственные сообщения, помещенные в карантин, пользователи могут запрашивать выпуск вредоносных программ или фишинговых сообщений с высокой степенью достоверности.

По умолчанию сообщения, которые классифицируются как нежелательные или массовые, доставляются и перемещаются в папку Нежелательная почта с помощью следующих политик защиты от нежелательной почты:

• Политика защиты от нежелательной почты по умолчанию.
• Пользовательские политики защиты от нежелательной почты.
• Стандартная предустановленная политика безопасности.

Администраторы могут настроить политики защиты от нежелательной почты или пользовательские политики по умолчанию для карантина нежелательной почты или массовых сообщений электронной почты. Дополнительные сведения см. в статье Настройка политик защиты от спама в EOP.

Предустановленная политика безопасности строго помещает в карантин сообщения, которые классифицируются как нежелательные или массовые.

Дополнительные сведения см. в следующих статьях:

• Параметры политики защиты от нежелательной почты EOP
• Профили в предустановленных политиках безопасности

Пользователь должен иметь действительную учетную запись для доступа к собственным сообщениям в карантине. Для автономного EOP требуется, чтобы пользователи были представлены в EOP как пользователи почты (созданные вручную или созданные с помощью синхронизации каталогов). Дополнительные сведения об управлении пользователями в автономных средах EOP см. в статье Управление пользователями почты в автономном EOP.

Политики карантина определяют, могут ли пользователи получать доступ к сообщениям, помещенным в карантин, и что им разрешено делать с ними. Дополнительные сведения см. в разделе Анатомия политики карантина.

Если политика карантина требует, чтобы пользователи запрашивали выпуск сообщений или администраторы выпуска сообщений, администратор должен утвердить запрос на выпуск или отпустить сообщение , прежде чем сообщение будет доступно пользователям.

Вы не можете настроить политики карантина в предустановленных политиках безопасности.

Политики карантина определяют, могут ли пользователи получать доступ к сообщениям, помещенным в карантин, в зависимости от того, почему сообщение было помещено в карантин.

Доступ к сообщениям, помещенным в карантин по умолчанию, см. в таблице в разделе Поиск и освобождение сообщений, помещенных в карантин в качестве пользователя в EOP.

Пользователи не могут выпускать собственные сообщения, которые были помещены в карантин как вредоносные программы с помощью политик защиты от вредоносных программ или безопасных вложений, или как фишинг с высокой достоверностью политиками защиты от нежелательной почты, независимо от того, как настроена политика карантина. Если политика позволяет пользователям выпускать собственные сообщения, помещенные в карантин, пользователи могут запрашивать выпуск вредоносных программ или фишинговых сообщений с высокой степенью достоверности.

Политика карантина по умолчанию с именем AdminOnlyAccessPolicy предотвращает любое взаимодействие пользователя с сообщениями, помещенными в карантин. По умолчанию эта политика карантина используется для сообщений, которые были помещены в карантин как вредоносные программы или фишинг с высокой степенью достоверности. В пользовательских политиках или политике по умолчанию для функций защиты, поддерживающих карантинные сообщения, администраторы могут указать AdminOnlyAccessPolicy в качестве используемой политики карантина.

Вы не можете запретить конечным пользователям просматривать страницу карантина или получать доступ к ней по адресу https://security.microsoft.com/quarantine.

Столбец Причина карантина , доступный на вкладке Электронная почта на странице Карантин на портале Defender по адресу https://security.microsoft.com/quarantine?viewid=Email. Распространенные причины: правило транспорта, массовая рассылка, спам, вредоносные программы, фишинг, фишинг с высокой достоверностью или действие администратора — блок типа файла. Дополнительные сведения см. в разделе Просмотр электронной почты в карантине.

Прежде чем отправить запрос в службу поддержки по этому поводу, см. статью Поиск пользователей, удаляющих сообщение в карантине.

Сообщения, помещенные в карантин, также истекают и в конечном итоге удаляются из карантина в зависимости от того, почему сообщение было помещено в карантин. Дополнительные сведения см. в разделе Хранение в карантине.

Общий фильтр вложений в политиках защиты от вредоносных программ идентифицирует вложения сообщений с указанными расширениями файлов (было возможно сопоставление с истинным типом). Действие по умолчанию для этих обнаружений в политике защиты от вредоносных программ по умолчанию и в стандартных и строгих предустановленных политиках безопасности заключается в отклонении сообщения в отчете о недоставке (также известном как сообщение о недоставке или отказе). Если выпущенное сообщение содержит один из указанных типов вложения файлов, возможно, сообщение было возвращено отправителю в отчете о недоставке.

По истечении срока действия сообщения из карантина его невозможно восстановить.

По умолчанию сообщения от заблокированных отправителей скрыты из просмотра в карантине (карантин фильтруется по параметру Не показывать заблокированных отправителей). Чтобы просмотреть сообщения от всех отправителей, выберите Фильтр , а затем — Показать всех отправителей.

• Сторонние антивирусные решения, службы безопасности или исходящие соединители могут вызвать следующие проблемы для сообщений, освобожденных из карантина:

  • Сообщение помещается в карантин после освобождения.
  • Содержимое удаляется из выпущенного сообщения до того, как оно достигнет папки "Входящие" получателя.
  • Выпущенное сообщение никогда не поступает в папку "Входящие" получателя.

  Убедитесь, что вы не используете стороннюю фильтрацию, прежде чем отправить запрос в службу поддержки по этим проблемам.

  Если сторонний фильтр не препятствует получению сообщения в папке "Входящие" пользователя и первая попытка выпуска не сработала, администраторы могут попытаться использовать командлет Release-QuarantineMessage в Exchange Online PowerShell с параметром Force , чтобы освободить сообщение.

  Если Release-QuarantineMessage с параметром Force не работает, администраторы должны попытаться отправить сообщение в альтернативный почтовый ящик после отключения фильтрации сторонней службой.

• Правила папки "Входящие" (созданные пользователями в Outlook или администраторами с помощью командлетов *-InboxRule в Exchange Online PowerShell) могут перемещать или удалять сообщения из папки "Входящие".

Администраторы могут использовать трассировку сообщений , чтобы определить, было ли отправлено выпущенное сообщение в папку "Входящие" получателя.

Сторонние антивирусные решения или службы безопасности могут случайным образом выбирать кнопки действий в уведомлениях о карантине.

Убедитесь, что вы не используете стороннюю фильтрацию, прежде чем отправить запрос в службу поддержки по этой проблеме.

Сообщения, помещенные в карантин, имеют значение СостояниеОсвобождено и Свойство Освобождено , доступное на странице Карантин .

Администраторы также могут использовать журнал аудита, чтобы узнать, кто выпустил сообщение из карантина. Используйте значение Освобожденное сообщение карантина в разделе Действия — понятные имена. Дополнительные инструкции см. в разделе Поиск пользователей, удаливших сообщение в карантине.

На портале Microsoft Defender можно одновременно выбирать и выпускать до 100 сообщений.

Администраторы могут использовать командлеты Get-QuarantineMessage и Release-QuarantineMessage в Exchange Online PowerShell или автономный EOP PowerShell для массового поиска и выпуска сообщений в карантине, а также для массового сообщения о ложноположительных результатах.

Сведения о массовых действиях, доступных на странице Карантин , см. в статье Выполнение действий с несколькими сообщениями электронной почты, помещенными в карантин.

Подстановочные знаки не поддерживаются на портале Microsoft Defender. Например, при поиске отправителя необходимо указать полный адрес электронной почты. Но вы можете использовать подстановочные знаки в Exchange Online PowerShell или автономном EOP PowerShell.

Например, скопируйте следующий код PowerShell в Блокнот и сохраните файл как .ps1 в расположении, которое легко найти (например, C:\Data\QuarantineRelease.ps1).

Затем, после подключения к Exchange Online PowerShell или Exchange Online Protection PowerShell, выполните следующую команду, чтобы запустить сценарий:

& C:\Data\QuarantineRelease.ps1

Скрипт выполняет следующие действия:

• Поиск невыпущенных сообщений, которые были помещены в карантин как спам, от всех отправителей в домене fabrikam. Максимальное число результатов — 50 000 (50 страниц из 1000 результатов).
• Сохраните результаты в CSV-файл.
• Отпустите соответствующие сообщения в карантине для всех исходных получателей.

$Page = 1
$List = $null

Do
{
Write-Host "Getting Page " $Page

$List = (Get-QuarantineMessage -Type Spam -PageSize 1000 -Page $Page | where {$_.Released -like "False" -and $_.SenderAddress -like "*fabrikam.com"})
Write-Host "                     " $List.count " rows in this page match"
Write-Host "                                                             Exporting list to appended CSV for logging"
$List | Export-Csv -Path "C:\Data\Quarantined Message Matches.csv" -Append -NoTypeInformation

Write-Host "Releasing page " $Page
$List | foreach {Release-QuarantineMessage -Identity $_.Identity -ReleaseToAll}

$Page = $Page + 1

} Until ($Page -eq 50)

После освобождения сообщения вы не сможете его снова отпустить.

Если уведомления о карантине включены в соответствующей политике карантина, можно настроить отправку уведомлений о карантине каждые четыре часа, ежедневно или еженедельно. Дополнительные сведения см. в разделе Настройка всех уведомлений о карантине.

Если политика карантина, определенная для поддерживаемого действия карантина , не включает уведомления, уведомления о карантине не отправляются.

Дополнительные сведения см. в последней таблице раздела Анатомия политики карантина и таблицах отдельных компонентов в разделе Рекомендуемые параметры для EOP и Microsoft Defender для Office 365 , чтобы узнать, какие политики карантина по умолчанию содержат уведомления о карантине.

Кроме того, политики защиты в предустановленных политиках безопасности всегда применяются перед настраиваемыми политиками защиты. Пользователь, определенный в стандартной или строгой предустановленной политике безопасности, никогда не получит настраиваемую политику защиты, в которой политика карантина настроена для включения уведомлений о карантине. Дополнительные сведения см. в разделе Параметры политики в предустановленных политиках безопасности.

Уведомления о карантине не включены для сообщений, помещенных в карантин правилами потока обработки почты Exchange (правилами транспорта) или защитой от потери данных (DLP). Эти сообщения имеют политику карантина AdminOnly. Уведомления о карантине также не создаются для сообщений с политикой карантина DefaultFullAccess.

См . раздел Настройка всех уведомлений о карантине.

Сведения о разрешениях см. здесь.

Настраиваемое уведомление о карантине для другого языка отображается пользователям только в том случае, если язык учетной записи или почтового ящика соответствует языку в пользовательском уведомлении о карантине.

Если пользователь удаляет сообщение из клиента Teams, сообщение исчезнет, поэтому предварительная версия для удаленного сообщения недоступна в карантине.

Блокировка отправителя отключена по умолчанию для сообщений, помещенных в карантин.

Для конечных пользователей администраторы могут создать и назначить настраиваемую политику карантина, которая включает действие Блокировать отправителя . Дополнительные сведения см. в разделе [Политики карантина](политики карантина).

Администраторы см . в разделе Блокировать отправителя , только если они фильтруют результаты карантина по получателю>только я вместо значения по умолчанию Все пользователи.

Выпуск утверждения снят с учета и теперь включен в выпуск.

Поле Поиск применяется к видимым результатам в карантине. По умолчанию отображаются только первые 100 записей, пока вы не прокрутите вниз до нижней части списка, который загрузит дополнительные результаты.

Чтобы отфильтровать сообщения в карантине по идентификатору сообщений Интернета, значение должно включать угловые скобки (<>) даже в PowerShell.

Освобожденные сообщения остаются видимыми в карантине со значением СостояниеОсвобождено до тех пор, пока:

• Срок хранения карантина истекает, и сообщение автоматически удаляется.

  или

• Сообщение удаляется из карантина вручную.

Ведение журнала аудита должно быть включено (оно включено по умолчанию). Дополнительные сведения см. в разделе Включение и отключение аудита.

Несколько или повторяющиеся уведомления о карантине отправляются одному и тому же пользователю, если для параметра SendFromAliasEnabledкомандлета Set-OrganizationConfig в Exchange Online PowerShell задано значение $true.

Администраторы могут использовать предварительный просмотр сообщения или просмотр заголовка сообщения , чтобы просмотреть полный список получателей.