Tips
Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkor på Try Microsoft Defender för Office 365.
Gäller för
- Exchange Online Protection
- Microsoft Defender för Office 365 abonnemang 1 och plan 2
- Microsoft Defender XDR
Den här artikeln innehåller vanliga frågor och svar om e-postmeddelanden i karantän för Microsoft 365-organisationer med postlådor i Exchange Online eller fristående Exchange Online Protection organisationer (EOP) utan Exchange Online postlådor.
Obs!
I Microsoft 365 som drivs av 21Vianet är karantän för närvarande inte tillgängligt i Microsoft Defender-portalen. Karantän är endast tillgängligt i det klassiska administrationscentret för Exchange (klassisk EAC).
Frågor och svar om skydd mot skräppost finns i Vanliga frågor och svar om skydd mot skräppost.
Frågor och svar om skydd mot skadlig kod finns i Vanliga frågor och svar om skydd mot skadlig kod.
Frågor och svar om skydd mot förfalskning finns i Vanliga frågor och svar om skydd mot förfalskning.
Hur gör jag för att hantera meddelanden som har satts i karantän för skadlig kod?
Som standard kan endast administratörer hantera meddelanden som har satts i karantän för skadlig kod. Mer information finns i Hantera meddelanden och filer i karantän som administratör.
Men administratörer kan skapa och tillämpa karantänprinciper på principer för skydd mot skadlig kod som definierar fler funktioner för användare. Mer information finns i Skapa karantänprinciper.
Användare kan inte släppa sina egna meddelanden som har satts i karantän som skadlig kod av principer för skydd mot skadlig kod, oavsett hur karantänprincipen konfigureras. Om principen tillåter användare att släppa sina egna meddelanden i karantän får användarna i stället begära att deras skadliga kod i karantän eller nätfiskemeddelanden med hög konfidens släpps.
Hur gör jag för att placera skräppost i karantän?
Som standard levereras meddelanden som klassificeras som skräppost eller massutskick och flyttas till mappen Skräppost Email av följande principer för skräppostskydd:
- Standardprincipen för skräppostskydd.
- Anpassade principer för skräppostskydd.
- Standardförinställningens säkerhetsprincip.
Administratörer kan konfigurera standardprinciperna för skräppostskydd eller anpassade principer för att placera skräppost eller massutskick i karantän i stället. Mer information finns i Konfigurera principer för skräppostskydd i EOP.
Den strikta förinställda säkerhetsprincipen placerar meddelanden som klassificeras som skräppost eller massvis i karantän.
Mer information finns i följande artiklar:
Hur gör jag för att ge användarna åtkomst till karantänen?
En användare måste ha ett giltigt konto för att få åtkomst till sina egna meddelanden i karantän. Fristående EOP kräver att användarna representeras som e-postanvändare i EOP (manuellt skapade eller skapade via katalogsynkronisering). Mer information om hur du hanterar användare i fristående EOP-miljöer finns i Hantera e-postanvändare i fristående EOP.
Karantänprinciper avgör om användare kan komma åt sina meddelanden i karantän och vad de får göra med dem. Mer information finns i Anatomi för en karantänprincip.
Om karantänprincipen kräver att användarna begär att meddelanden ska släppas eller kräver att administratörer släpper meddelanden, måste en administratör godkänna versionsbegäran eller släppa meddelandet innan meddelandet är tillgängligt för användarna.
Du kan inte anpassa karantänprinciper i förinställda säkerhetsprinciper.
Vilka meddelanden kan slutanvändarna komma åt i karantän?
Karantänprinciper definierar om användare kan komma åt meddelanden i karantän baserat på varför meddelandet har placerats i karantän.
För standardåtkomst till meddelanden i karantän, se tabellen i Hitta och släppa meddelanden i karantän som en användare i EOP
Användare kan inte släppa sina egna meddelanden som har satts i karantän som skadlig kod av principer för skydd mot skadlig kod eller säkra bifogade filer, eller som nätfiske med hög konfidens av principer för skräppostskydd, oavsett hur karantänprincipen konfigureras. Om principen tillåter användare att släppa sina egna meddelanden i karantän får användarna i stället begära att deras skadliga kod i karantän eller nätfiskemeddelanden med hög konfidens släpps.
Hur kan jag hindra användare från att komma åt meddelanden i karantän?
Standardprincipen för karantän med namnet AdminOnlyAccessPolicy förhindrar användarinteraktion med meddelanden i karantän. Som standard används den här karantänprincipen för meddelanden som satts i karantän som skadlig kod eller nätfiske med hög konfidens. I anpassade principer eller standardprincipen för skyddsfunktioner som stöder kvarhållningsmeddelanden kan administratörer ange AdminOnlyAccessPolicy som den karantänprincip som ska användas.
Du kan inte hindra slutanvändare från att se eller komma åt sidan Karantän på https://security.microsoft.com/quarantine.
Hur gör jag för att ta reda på varför ett meddelande sattes i karantän?
Kolumnen Orsak till karantän som är tillgänglig på fliken Email på sidan Karantän i Defender-portalen på https://security.microsoft.com/quarantine?viewid=Email. Vanliga orsaker är transportregel, massutskick, skräppost, skadlig kod, nätfiske, nätfiske med hög konfidens eller Admin åtgärd – block av filtyp. Mer information finns i Visa e-post i karantän.
Meddelanden saknas i karantän. Vad hände med dem?
Innan du öppnar ett supportärende om detta kan du läsa Hitta vem som tog bort ett meddelande i karantän.
Meddelanden i karantän upphör också att gälla och tas så småningom bort från karantänen, beroende på varför meddelandet sattes i karantän. Mer information finns i Kvarhållning av karantän.
Det vanliga filtret för bifogade filer i principer för skydd mot skadlig kod identifierar bifogade filer med de angivna filnamnstilläggen (det gick att använda matchning av sann typ). Standardåtgärden för dessa identifieringar i standardprincipen för skydd mot skadlig kod och i standard- och strikt förinställda säkerhetsprinciper är att avvisa meddelandet i en rapport om utebliven leverans (kallas även för en NDR eller studsmeddelande). Om det utgivna meddelandet innehåller någon av de angivna filbilagorna är det möjligt att meddelandet returnerades till avsändaren i en NDR.
När ett meddelande upphör att gälla från karantänen kan du inte återställa det.
Som standard döljs meddelanden från blockerade avsändare från vyn i karantän (karantän filtreras efter Visa inte blockerade avsändare). Om du vill se meddelanden från alla avsändare väljer du Filtrera och sedan Visa alla avsändare.
Tips
Om en avsändare är blockerad och Visa inte blockerade avsändare är markerat (standard) visas meddelanden från avsändare på sidan Karantän och tas med i karantänmeddelanden när avsändarens adress åsidosätter orsaksvärdetIngen. Det här beteendet beror på att meddelandena har blockerats på grund av andra orsaker än åsidosättningar av avsändaradress.
Ett meddelande släpptes från karantänen, men den ursprungliga mottagaren kan inte hitta det. Hur avgör jag vad som hände med meddelandet?
Antiviruslösningar från tredje part, säkerhetstjänster eller utgående anslutningsappar kan orsaka följande problem för meddelanden som släpps från karantänen:
- Meddelandet sätts i karantän när det har släppts.
- Innehållet tas bort från det utgivna meddelandet innan det når mottagarens inkorg.
- Det utgivna meddelandet tas aldrig emot i mottagarens inkorg.
Kontrollera att du inte använder filtrering från tredje part innan du öppnar ett supportärende om dessa problem.
Om ett filter från tredje part inte hindrar meddelandet från att nå användarens inkorg och det första versionsförsöket inte fungerade kan administratörer försöka använda cmdleten Release-QuarantineMessage i Exchange Online PowerShell med växeln Tvinga för att släppa meddelandet.
Om Release-QuarantineMessage med force-växeln inte fungerar bör administratörer försöka släppa meddelandet till en alternativ postlåda när filtreringen av tredjepartstjänsten har inaktiverats. Framtvingad frisläppning kan leda till att meddelanden släpps flera gånger.
Du får ett felmeddelande om du försöker massutläsa flera meddelanden till alla mottagare och en meddelandeborttagning på mottagarnivå har tagits bort på något av meddelandena. Administratören behöver bara släppa det specifika meddelandet till mottagaren där borttagning från karantän inte har inträffat.
Inkorgsregler (som skapats av användare i Outlook eller av administratörer med cmdletarna *-InboxRule i Exchange Online PowerShell) kan flytta eller ta bort meddelanden från Inkorgen.
Vissa regler för e-postflöde som har placerat ett meddelande i karantän kan göra att det utgivna meddelandet sätts i karantän igen.
Informera administratörer om att routning av släppta karantänmeddelanden till lokala mottagare kan leda till att meddelanden förlorar skräppostskyddshuvuden, vilket gör att meddelandena hamnar i karantän igen efter lanseringen.
Administratörer kan använda meddelandespårning för att avgöra om ett släppt meddelande har levererats till mottagarens inkorg.
Meddelanden släpps oväntat från Karantän. Varför händer det här?
Antiviruslösningar från tredje part eller säkerhetstjänster kan slumpmässigt välja åtgärdsknappar i karantänmeddelanden.
Kontrollera att du inte använder filtrering från tredje part innan du öppnar ett supportärende om det här problemet.
Meddelanden i karantän som har släppts har statusvärdetFrisläppt och egenskapen Frisläppt av på sidan Karantän .
Administratörer kan också använda granskningsloggen för att se vem som släppte ett meddelande från Karantän. Använd värdet Frisläppt karantänmeddelande i Aktiviteter – egna namn. Relaterade instruktioner finns i Hitta vem som tog bort ett meddelande i karantän.
Kan jag släppa eller rapportera fler än ett meddelande i karantän åt gången?
I Microsoft Defender portalen kan du välja och släppa upp till 100 meddelanden åt gången.
Administratörer kan använda cmdletarna Get-QuarantineMessage och Release-QuarantineMessage i Exchange Online PowerShell eller fristående EOP PowerShell för att hitta och släppa meddelanden i karantän i grupp och rapportera falska positiva identifieringar i grupp.
Massåtgärder som är tillgängliga på sidan Karantän finns i Vidta åtgärder för flera e-postmeddelanden i karantän.
I Defender för Office 365 plan 2 kan du använda Explorer (Threat Explorer) för att utföra större masspubliceringsåtgärder (högst 200 000 meddelanden).
Stöds jokertecken när du söker efter meddelanden i karantän? Kan jag söka efter meddelanden i karantän för en specifik domän?
Jokertecken stöds inte i Microsoft Defender-portalen. När du till exempel söker efter en avsändare måste du ange den fullständiga e-postadressen. Men du kan använda jokertecken i Exchange Online PowerShell eller fristående EOP PowerShell.
Kopiera till exempel följande PowerShell-kod till Anteckningar och spara filen som .ps1 på en plats som är enkel att hitta (till exempel C:\Data\QuarantineRelease.ps1).
När du sedan har anslutit till Exchange Online PowerShell eller Exchange Online Protection PowerShell kör du följande kommando för att köra skriptet:
& C:\Data\QuarantineRelease.ps1
Skriptet utför följande åtgärder:
- Hitta outgivna meddelanden som har satts i karantän som skräppost från alla avsändare i fabrikam-domänen. Det maximala antalet resultat är 50 000 (50 sidor med 1 000 resultat).
- Spara resultatet i en CSV-fil.
- Släpp matchande meddelanden i karantän till alla ursprungliga mottagare.
$Page = 1
$List = $null
Do
{
Write-Host "Getting Page " $Page
$List = (Get-QuarantineMessage -Type Spam -PageSize 1000 -Page $Page | where {$_.Released -like "False" -and $_.SenderAddress -like "*fabrikam.com"})
Write-Host " " $List.count " rows in this page match"
Write-Host " Exporting list to appended CSV for logging"
$List | Export-Csv -Path "C:\Data\Quarantined Message Matches.csv" -Append -NoTypeInformation
Write-Host "Releasing page " $Page
$List | foreach {Release-QuarantineMessage -Identity $_.Identity -ReleaseToAll}
$Page = $Page + 1
} Until ($Page -eq 50)
När du har släppt ett meddelande kan du inte släppa det igen.
Hur gör jag för att meddela slutanvändarna om deras meddelanden i karantän? Hur ofta skickas karantänmeddelanden?
Om karantänmeddelanden är aktiverade i den associerade karantänprincipen kan du konfigurera karantänmeddelanden så att de skickas var fjärde timme, varje dag eller varje vecka. Mer information finns i Anpassa alla karantänmeddelanden.
Tips
Det snabbaste och vanligaste aviseringsschemat som är tillgängligt är var fjärde timme.
Om du väljer var fjärde timme och ett meddelande sätts i karantän strax efter den senaste meddelandegenereringen får mottagaren karantänaviseringen drygt fyra timmar senare.
För meddelanden i karantän med automatisk rensning på nolltimmar (ZAP) genereras karantänmeddelanden baserat på när meddelandet sattes i karantän, inte när meddelandet levererades till postlådan.
Du kan också konfigurera karantänaviseringar för interna meddelanden (inom organisationen) endast i karantänprinciper.
Varför får inte användare meddelanden om sina meddelanden i karantän?
Om karantänprincipen som har definierats för karantänåtgärden som stöds inte har aktiverat meddelanden skickas inte karantänmeddelandena.
Mer information finns i den sista tabellen i Anatomi för en karantänprincip och de enskilda funktionstabellerna i Rekommenderade inställningar för EOP och Microsoft Defender för Office 365 för att se vilka standardprinciper för karantän som har karantänmeddelanden aktiverade.
Dessutom tillämpas skyddsprinciperna i förinställda säkerhetsprinciper alltid före anpassade skyddsprinciper. En användare som har definierats i standard- eller strikt förinställd säkerhetsprincip får aldrig en anpassad skyddsprincip där karantänprincipen är anpassad för att aktivera karantänmeddelanden. Mer information finns i Principinställningar i förinställda säkerhetsprinciper
Karantänaviseringar är inte aktiverade för meddelanden i karantän av Exchange-e-postflödesregler (transportregler) eller dataförlustskydd (DLP). Dessa meddelanden har principen AdminOnly quarantine. Karantänmeddelanden genereras inte heller för meddelanden med karantänprincipen DefaultFullAccess.
Hur gör jag för att anpassa karantänmeddelanden för att lägga till en anpassad logotyp?
Vilka behörigheter krävs för att administratörer ska kunna ladda ned eller släppa meddelanden från karantänen?
Se behörighetsposten här.
Tips
Möjligheten att hantera meddelanden i karantän med Exchange Online behörigheter upphörde i februari 2023 per MC447339.
Gästadministratörer från andra organisationer kan inte hantera meddelanden i karantän. Administratören måste vara i samma organisation som mottagarna.
Jag har skapat ett anpassat karantänmeddelande för ett visst språk, men användarna ser det inte. Vad är det som händer?
Ett anpassat karantänmeddelande för ett annat språk visas endast för användarna när deras konto-/postlådespråk matchar språket i det anpassade karantänmeddelandet.
Jag kan inte förhandsgranska ett Microsoft Teams-meddelande i karantän. Vad är det som händer?
Om en användare tar bort meddelandet från Teams-klienten är meddelandet borta, så förhandsversionen är inte tillgänglig i karantän för det borttagna meddelandet.
Jag ser inte knappen **Blockera avsändare** i karantänmeddelanden eller på sidan **Karantän**. Jag ser inte heller knappen **Godkänn version** på sidan **Karantän**. Vad är det som händer?
Blockera avsändare är inaktiverat som standard för meddelanden i karantän.
För slutanvändare kan administratörer skapa och tilldela en anpassad karantänprincip som innehåller åtgärden Blockera avsändare . Mer information finns i [Karantänprinciper](karantänprinciper).
Administratörer ser endast Blockera avsändare om de filtrerar karantänresultaten efter Endast mottagare>i stället för standardvärdet Alla användare.
Godkänn versionen har dragits tillbaka och ingår nu i Versionen.
**Filter** och **Search** fungerar inte. Vad är det som händer?
Sökrutan gäller för synliga resultat i karantän. Som standard visas endast de första 100 posterna tills du rullar ned till slutet av listan, vilket läser in fler resultat.
Om du vill filtrera meddelanden i karantän efter Internet-meddelande-ID måste värdet innehålla vinkelparenteser (<>
), även i PowerShell.
Utgivna karantänmeddelanden visas fortfarande i karantän. Vad är det som händer?
Utgivna meddelanden förblir synliga i karantän med statusvärdetFrisläppt tills:
Kvarhållningsperioden för karantän upphör och meddelandet tas bort automatiskt.
eller
Meddelandet tas bort manuellt från karantänen.
Aviseringar för versionsbegäran genereras inte. Vad är det som händer?
Granskningsloggning måste vara aktiverat (det är aktiverat som standard). Mer information finns i Aktivera eller inaktivera granskning.
Duplicerade eller flera karantänmeddelanden skickas till samma användare.
Flera eller duplicerade karantänmeddelanden skickas till samma användare om parametern SendFromAliasEnabled i cmdleten Set-OrganizationConfig i Exchange Online PowerShell har angetts till värdet $true.
Jag kan inte se alla mottagare av ett meddelande i karantän. Vad är det som händer?
Administratörer kan använda förhandsgranskningsmeddelandet eller visa meddelanderubriken för att se den fullständiga listan över mottagare.