Tips
Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkoren här.
Gäller för
- Exchange Online Protection
- Microsoft Defender för Office 365 abonnemang 1 och plan 2
- Microsoft Defender XDR
Den här artikeln innehåller vanliga frågor och svar om e-postmeddelanden i karantän för Microsoft 365-organisationer med postlådor i Exchange Online eller fristående Exchange Online Protection organisationer (EOP) utan Exchange Online postlådor.
Obs!
I Microsoft 365 som drivs av 21Vianet är karantän för närvarande inte tillgängligt i Microsoft Defender-portalen. Karantän är endast tillgängligt i det klassiska administrationscentret för Exchange (klassisk EAC).
Frågor och svar om skydd mot skräppost finns i Vanliga frågor och svar om skydd mot skräppost.
Frågor och svar om skydd mot skadlig kod finns i Vanliga frågor och svar om skydd mot skadlig kod.
Frågor och svar om skydd mot förfalskning finns i Vanliga frågor och svar om skydd mot förfalskning.
Hur gör jag för att hantera meddelanden som har satts i karantän för skadlig kod?
Som standard kan endast administratörer hantera meddelanden som har satts i karantän för skadlig kod. Mer information finns i Hantera meddelanden och filer i karantän som administratör.
Men administratörer kan skapa och tillämpa karantänprinciper på principer för skydd mot skadlig kod som definierar fler funktioner för användare. Mer information finns i Skapa karantänprinciper.
Användare kan inte släppa sina egna meddelanden som har satts i karantän som skadlig kod av principer för skydd mot skadlig kod, oavsett hur karantänprincipen konfigureras. Om principen tillåter användare att släppa sina egna meddelanden i karantän får användarna i stället begära att deras skadliga kod i karantän eller nätfiskemeddelanden med hög konfidens släpps.
Hur gör jag för att placera skräppost i karantän?
Som standard levereras meddelanden som klassificeras som skräppost eller massutskick och flyttas till mappen Skräppost Email av följande principer för skräppostskydd:
- Standardprincipen för skräppostskydd.
- Anpassade principer för skräppostskydd.
- Standardförinställningens säkerhetsprincip.
Administratörer kan konfigurera standardprinciperna för skräppostskydd eller anpassade principer för att placera skräppost eller massutskick i karantän i stället. Mer information finns i Konfigurera principer för skräppostskydd i EOP.
Den strikta förinställda säkerhetsprincipen placerar meddelanden som klassificeras som skräppost eller massvis i karantän.
Mer information finns i följande artiklar:
Hur gör jag för att ge användarna åtkomst till karantänen?
En användare måste ha ett giltigt konto för att få åtkomst till sina egna meddelanden i karantän. Fristående EOP kräver att användarna representeras som e-postanvändare i EOP (manuellt skapade eller skapade via katalogsynkronisering). Mer information om hur du hanterar användare i fristående EOP-miljöer finns i Hantera e-postanvändare i fristående EOP.
Karantänprinciper avgör om användare kan komma åt sina meddelanden i karantän och vad de får göra med dem. Mer information finns i Anatomi för en karantänprincip.
Om karantänprincipen kräver att användarna begär att meddelanden ska släppas eller kräver att administratörer släpper meddelanden, måste en administratör godkänna versionsbegäran eller släppa meddelandet innan meddelandet är tillgängligt för användarna.
Vilka meddelanden kan slutanvändarna komma åt i karantän?
Karantänprinciper definierar om användare kan komma åt meddelanden i karantän baserat på varför meddelandet har placerats i karantän.
För standardåtkomst till meddelanden i karantän, se tabellen i Hitta och släppa meddelanden i karantän som en användare i EOP
Användare kan inte släppa sina egna meddelanden som har satts i karantän som skadlig kod av principer för skydd mot skadlig kod eller säkra bifogade filer, eller som nätfiske med hög konfidens av principer för skräppostskydd, oavsett hur karantänprincipen konfigureras. Om principen tillåter användare att släppa sina egna meddelanden i karantän får användarna i stället begära att deras skadliga kod i karantän eller nätfiskemeddelanden med hög konfidens släpps.
Hur kan jag hindra användare från att komma åt meddelanden i karantän?
Standardprincipen för karantän med namnet AdminOnlyAccessPolicy förhindrar användarinteraktion med meddelanden i karantän. Som standard används den här karantänprincipen för meddelanden som satts i karantän som skadlig kod eller nätfiske med hög konfidens. I anpassade principer eller standardprincipen för skyddsfunktioner som stöder kvarhållningsmeddelanden kan administratörer ange AdminOnlyAccessPolicy som den karantänprincip som ska användas.
Hur gör jag för att ta reda på varför ett meddelande sattes i karantän?
Kolumnen Orsak till karantän som är tillgänglig på fliken Email på sidan Karantän i Defender-portalen på https://security.microsoft.com/quarantine?viewid=Email. Vanliga orsaker är transportregel, massutskick, skräppost, skadlig kod, nätfiske, nätfiske med hög konfidens eller Admin åtgärd – block av filtyp. Mer information finns i Visa e-post i karantän.
Meddelanden saknas i karantän. Vad hände med dem?
Innan du öppnar ett supportärende om detta kan du läsa Hitta vem som tog bort ett meddelande i karantän.
Meddelanden i karantän upphör också att gälla och tas så småningom bort från karantänen, beroende på varför meddelandet sattes i karantän. Mer information finns i Kvarhållning av karantän.
Det vanliga filtret för bifogade filer i principer för skydd mot skadlig kod identifierar bifogade filer med de angivna filnamnstilläggen (det gick att använda matchning av sann typ). Standardåtgärden för dessa identifieringar i standardprincipen för skydd mot skadlig kod och i standard- och strikt förinställda säkerhetsprinciper är att avvisa meddelandet i en rapport om utebliven leverans (kallas även för en NDR eller studsmeddelande). Om det utgivna meddelandet innehåller någon av de angivna filbilagorna är det möjligt att meddelandet returnerades till avsändaren i en NDR.
När ett meddelande upphör att gälla från karantänen kan du inte återställa det.
Ett meddelande släpptes från karantänen, men den ursprungliga mottagaren kan inte hitta det. Hur avgör jag vad som hände med meddelandet?
Antiviruslösningar från tredje part, säkerhetstjänster eller utgående anslutningsappar kan orsaka följande problem för meddelanden som släpps från karantänen:
- Meddelandet sätts i karantän när det har släppts.
- Innehållet tas bort från det utgivna meddelandet innan det når mottagarens inkorg.
- Det utgivna meddelandet tas aldrig emot i mottagarens inkorg.
Kontrollera att du inte använder filtrering från tredje part innan du öppnar ett supportärende om dessa problem.
Inkorgsregler (som skapats av användare i Outlook eller av administratörer med cmdletarna *-InboxRule i Exchange Online PowerShell) kan flytta eller ta bort meddelanden från Inkorgen.
Administratörer kan använda meddelandespårning för att avgöra om ett släppt meddelande har levererats till mottagarens inkorg.
Meddelanden släpps oväntat från Karantän. Varför händer det här?
Antiviruslösningar från tredje part eller säkerhetstjänster kan slumpmässigt välja åtgärdsknappar i karantänmeddelanden.
Kontrollera att du inte använder filtrering från tredje part innan du öppnar ett supportärende om det här problemet.
Kan jag släppa eller rapportera fler än ett meddelande i karantän åt gången?
I Microsoft Defender portalen kan du välja och släppa upp till 100 meddelanden åt gången.
Administratörer kan använda cmdletarna Get-QuarantineMessage och Release-QuarantineMessage i Exchange Online PowerShell eller fristående EOP PowerShell för att hitta och släppa meddelanden i karantän i grupp och rapportera falska positiva identifieringar i grupp.
Stöds jokertecken när du söker efter meddelanden i karantän? Kan jag söka efter meddelanden i karantän för en specifik domän?
Jokertecken stöds inte i Microsoft Defender-portalen. När du till exempel söker efter en avsändare måste du ange den fullständiga e-postadressen. Men du kan använda jokertecken i Exchange Online PowerShell eller fristående EOP PowerShell.
Kopiera till exempel följande PowerShell-kod till Anteckningar och spara filen som .ps1 på en plats som är enkel att hitta (till exempel C:\Data\QuarantineRelease.ps1).
När du sedan har anslutit till Exchange Online PowerShell eller Exchange Online Protection PowerShell kör du följande kommando för att köra skriptet:
& C:\Data\QuarantineRelease.ps1
Skriptet utför följande åtgärder:
- Hitta outgivna meddelanden som har satts i karantän som skräppost från alla avsändare i fabrikam-domänen. Det maximala antalet resultat är 50 000 (50 sidor med 1 000 resultat).
- Spara resultatet i en CSV-fil.
- Släpp matchande meddelanden i karantän till alla ursprungliga mottagare.
$Page = 1
$List = $null
Do
{
Write-Host "Getting Page " $Page
$List = (Get-QuarantineMessage -Type Spam -PageSize 1000 -Page $Page | where {$_.Released -like "False" -and $_.SenderAddress -like "*fabrikam.com"})
Write-Host " " $List.count " rows in this page match"
Write-Host " Exporting list to appended CSV for logging"
$List | Export-Csv -Path "C:\Data\Quarantined Message Matches.csv" -Append -NoTypeInformation
Write-Host "Releasing page " $Page
$List | foreach {Release-QuarantineMessage -Identity $_.Identity -ReleaseToAll}
$Page = $Page + 1
} Until ($Page -eq 50)
När du har släppt ett meddelande kan du inte släppa det igen.
Hur gör jag för att meddela slutanvändarna om deras meddelanden i karantän? Hur ofta skickas karantänmeddelanden?
Om karantänmeddelanden är aktiverade i den associerade karantänprincipen kan du konfigurera karantänmeddelanden så att de skickas var fjärde timme, varje dag eller varje vecka. Mer information finns i Anpassa alla karantänmeddelanden.
Tips
Det snabbaste och vanligaste aviseringsschemat som är tillgängligt är var fjärde timme.
Om du väljer var fjärde timme och ett meddelande sätts i karantän strax efter den senaste meddelandegenereringen får mottagaren karantänaviseringen drygt fyra timmar senare.
Varför får inte användare meddelanden om sina meddelanden i karantän?
Om karantänprincipen som har definierats för karantänåtgärden som stöds inte har aktiverat meddelanden skickas inte karantänmeddelandena.
Mer information finns i den sista tabellen i Anatomi för en karantänprincip och de enskilda funktionstabellerna i Rekommenderade inställningar för EOP och Microsoft Defender för Office 365 för att se vilka standardprinciper för karantän som har karantänmeddelanden aktiverade.
Dessutom tillämpas skyddsprinciperna i förinställda säkerhetsprinciper alltid före anpassade skyddsprinciper. En användare som har definierats i standard- eller strikt förinställd säkerhetsprincip får aldrig en anpassad skyddsprincip där karantänprincipen är anpassad för att aktivera karantänmeddelanden. Mer information finns i Principinställningar i förinställda säkerhetsprinciper
Hur gör jag för att anpassa karantänmeddelanden för att lägga till en anpassad logotyp?
Vilka behörigheter krävs för att administratörer ska kunna ladda ned eller släppa meddelanden från karantänen?
Se behörighetsposten här.
Tips
Möjligheten att hantera meddelanden i karantän med Exchange Online behörigheter upphörde i februari 2023 per MC447339.
Gästadministratörer från andra organisationer kan inte hantera meddelanden i karantän. Administratören måste vara i samma organisation som mottagarna.
Jag har skapat ett anpassat karantänmeddelande för ett visst språk, men användarna ser det inte. Vad är det som händer?
Ett anpassat karantänmeddelande för ett annat språk visas endast för användarna när deras konto-/postlådespråk matchar språket i det anpassade karantänmeddelandet.
Jag kan inte förhandsgranska ett Microsoft Teams-meddelande i karantän. Vad är det som händer?
Om en användare tar bort meddelandet från Teams-klienten är meddelandet borta, så förhandsversionen är inte tillgänglig i karantän för det borttagna meddelandet.