Часто задаваемые вопросы о сообщениях, помещенных в карантин

По умолчанию только администраторы могут управлять сообщениями, помещенными в карантин для вредоносных программ. Дополнительные сведения см. в статье Управление сообщениями и файлами в карантине с правами администратора.

Но администраторы могут создавать и применять политики карантина к политикам защиты от вредоносных программ, которые определяют дополнительные возможности для пользователей. Дополнительные сведения см. в разделе политики карантина Create.

Пользователи не могут выпускать собственные сообщения, которые были помещены в карантин как вредоносные программы политиками защиты от вредоносных программ, независимо от того, как настроена политика карантина. Если политика позволяет пользователям выпускать собственные сообщения, помещенные в карантин, пользователи могут запрашивать выпуск вредоносных программ или фишинговых сообщений с высокой степенью достоверности.

По умолчанию сообщения, классифицированные как спам или массовые, доставляются и перемещаются в папку "Нежелательная Email" с помощью следующих политик защиты от нежелательной почты:

• Политика защиты от нежелательной почты по умолчанию.
• Пользовательские политики защиты от нежелательной почты.
• Стандартная предустановленная политика безопасности.

Администраторы могут настроить политики защиты от нежелательной почты или пользовательские политики по умолчанию для карантина нежелательной почты или массовых сообщений электронной почты. Дополнительные сведения см. в статье Настройка политик защиты от спама в EOP.

Предустановленная политика безопасности строго помещает в карантин сообщения, которые классифицируются как нежелательные или массовые.

Дополнительные сведения см. в следующих статьях:

• Параметры политики защиты от нежелательной почты EOP
• Профили в предустановленных политиках безопасности

Пользователь должен иметь действительную учетную запись для доступа к собственным сообщениям в карантине. Для автономного EOP требуется, чтобы пользователи были представлены в EOP как пользователи почты (созданные вручную или созданные с помощью синхронизации каталогов). Дополнительные сведения об управлении пользователями в автономных средах EOP см. в статье Управление пользователями почты в автономном EOP.

Политики карантина определяют, могут ли пользователи получать доступ к сообщениям, помещенным в карантин, и что им разрешено делать с ними. Дополнительные сведения см. в разделе Анатомия политики карантина.

Если политика карантина требует, чтобы пользователи запрашивали выпуск сообщений или администраторы выпуска сообщений, администратор должен утвердить запрос на выпуск или отпустить сообщение , прежде чем сообщение будет доступно пользователям.

Политики карантина определяют, могут ли пользователи получать доступ к сообщениям, помещенным в карантин, в зависимости от того, почему сообщение было помещено в карантин.

Доступ к сообщениям, помещенным в карантин по умолчанию, см. в таблице в разделе Поиск и освобождение сообщений, помещенных в карантин в качестве пользователя в EOP.

Пользователи не могут выпускать собственные сообщения, которые были помещены в карантин как вредоносные программы с помощью политик защиты от вредоносных программ или безопасных вложений, или как фишинг с высокой достоверностью политиками защиты от нежелательной почты, независимо от того, как настроена политика карантина. Если политика позволяет пользователям выпускать собственные сообщения, помещенные в карантин, пользователи могут запрашивать выпуск вредоносных программ или фишинговых сообщений с высокой степенью достоверности.

Политика карантина по умолчанию с именем AdminOnlyAccessPolicy предотвращает любое взаимодействие пользователя с сообщениями, помещенными в карантин. По умолчанию эта политика карантина используется для сообщений, которые были помещены в карантин как вредоносные программы или фишинг с высокой степенью достоверности. В пользовательских политиках или политике по умолчанию для функций защиты, поддерживающих карантинные сообщения, администраторы могут указать AdminOnlyAccessPolicy в качестве используемой политики карантина.

Столбец Причина карантина, доступный на вкладке Email на странице Карантин на портале Defender по адресу https://security.microsoft.com/quarantine?viewid=Email. Распространенные причины: правило транспорта, массовая рассылка, спам, вредоносные программы, фишинг, фишинг с высокой достоверностью или Администратор действие — блок типа файла. Дополнительные сведения см. в разделе Просмотр электронной почты в карантине.

Прежде чем отправить запрос в службу поддержки по этому поводу, см. статью Поиск пользователей, удаляющих сообщение в карантине.

Сообщения, помещенные в карантин, также истекают и в конечном итоге удаляются из карантина в зависимости от того, почему сообщение было помещено в карантин. Дополнительные сведения см. в разделе Хранение в карантине.

Общий фильтр вложений в политиках защиты от вредоносных программ идентифицирует вложения сообщений с указанными расширениями файлов (было возможно сопоставление с истинным типом). Действие по умолчанию для этих обнаружений в политике защиты от вредоносных программ по умолчанию и в стандартных и строгих предустановленных политиках безопасности заключается в отклонении сообщения в отчете о недоставке (также известном как сообщение о недоставке или отказе). Если выпущенное сообщение содержит один из указанных типов вложения файлов, возможно, сообщение было возвращено отправителю в отчете о недоставке.

По истечении срока действия сообщения из карантина его невозможно восстановить.

• Сторонние антивирусные решения, службы безопасности или исходящие соединители могут вызвать следующие проблемы для сообщений, освобожденных из карантина:

  • Сообщение помещается в карантин после освобождения.
  • Содержимое удаляется из выпущенного сообщения до того, как оно достигнет папки "Входящие" получателя.
  • Выпущенное сообщение никогда не поступает в папку "Входящие" получателя.

  Убедитесь, что вы не используете стороннюю фильтрацию, прежде чем отправить запрос в службу поддержки по этим проблемам.

• Правила папки "Входящие" (созданные пользователями в Outlook или администраторами с помощью командлетов *-InboxRule в Exchange Online PowerShell) могут перемещать или удалять сообщения из папки "Входящие".

Администраторы могут использовать трассировку сообщений , чтобы определить, было ли отправлено выпущенное сообщение в папку "Входящие" получателя.

Сторонние антивирусные решения или службы безопасности могут случайным образом выбирать кнопки действий в уведомлениях о карантине.

Убедитесь, что вы не используете стороннюю фильтрацию, прежде чем отправить запрос в службу поддержки по этой проблеме.

На портале Microsoft Defender можно одновременно выбирать и выпускать до 100 сообщений.

Администраторы могут использовать командлеты Get-QuarantineMessage и Release-QuarantineMessage в Exchange Online PowerShell или автономном EOP PowerShell для массового поиска и выпуска сообщений, помещенных в карантин, а также для массового сообщения о ложноположительных результатах.

Подстановочные знаки не поддерживаются на портале Microsoft Defender. Например, при поиске отправителя необходимо указать полный адрес электронной почты. Но вы можете использовать подстановочные знаки в Exchange Online PowerShell или автономном EOP PowerShell.

Например, скопируйте следующий код PowerShell в Блокнот и сохраните файл как .ps1 в расположении, которое легко найти (например, C:\Data\QuarantineRelease.ps1).

Затем после подключения к Exchange Online PowerShell или Exchange Online Protection PowerShell выполните следующую команду, чтобы запустить сценарий:

& C:\Data\QuarantineRelease.ps1

Скрипт выполняет следующие действия:

• Поиск невыпущенных сообщений, которые были помещены в карантин как спам, от всех отправителей в домене fabrikam. Максимальное число результатов — 50 000 (50 страниц из 1000 результатов).
• Сохраните результаты в CSV-файл.
• Отпустите соответствующие сообщения в карантине для всех исходных получателей.

$Page = 1
$List = $null

Do
{
Write-Host "Getting Page " $Page

$List = (Get-QuarantineMessage -Type Spam -PageSize 1000 -Page $Page | where {$_.Released -like "False" -and $_.SenderAddress -like "*fabrikam.com"})
Write-Host "                     " $List.count " rows in this page match"
Write-Host "                                                             Exporting list to appended CSV for logging"
$List | Export-Csv -Path "C:\Data\Quarantined Message Matches.csv" -Append -NoTypeInformation

Write-Host "Releasing page " $Page
$List | foreach {Release-QuarantineMessage -Identity $_.Identity -ReleaseToAll}

$Page = $Page + 1

} Until ($Page -eq 50)

После освобождения сообщения вы не сможете его снова отпустить.

Если уведомления о карантине включены в соответствующей политике карантина, можно настроить отправку уведомлений о карантине каждые четыре часа, ежедневно или еженедельно. Дополнительные сведения см. в разделе Настройка всех уведомлений о карантине.

Если политика карантина, определенная для поддерживаемого действия карантина , не включает уведомления, уведомления о карантине не отправляются.

Дополнительные сведения см. в последней таблице статьи Структура политики карантина и таблицах отдельных компонентов в разделе Рекомендуемые параметры для EOP и Microsoft Defender для Office 365, чтобы узнать, какие политики карантина по умолчанию содержат уведомления о карантине.

Кроме того, политики защиты в предустановленных политиках безопасности всегда применяются перед настраиваемыми политиками защиты. Пользователь, определенный в стандартной или строгой предустановленной политике безопасности, никогда не получит настраиваемую политику защиты, в которой политика карантина настроена для включения уведомлений о карантине. Дополнительные сведения см. в разделе Параметры политики в предустановленных политиках безопасности.

См . раздел Настройка всех уведомлений о карантине.

Сведения о разрешениях см. здесь.

Настраиваемое уведомление о карантине для другого языка отображается пользователям только в том случае, если язык учетной записи или почтового ящика соответствует языку в пользовательском уведомлении о карантине.

Если пользователь удаляет сообщение из клиента Teams, сообщение исчезнет, поэтому предварительная версия для удаленного сообщения недоступна в карантине.