提示
你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。
适用对象
本文提供有关Microsoft 365 个组织(邮箱位于 Exchange Online)或没有Exchange Online邮箱的独立Exchange Online Protection (EOP) 组织的隔离电子邮件的常见问题和解答。
注意
在 由世纪互联运营的 Microsoft 365 中,Microsoft Defender门户中当前不提供隔离。 隔离仅在经典 Exchange 管理中心 (经典 EAC) 可用。
有关反垃圾邮件保护的问题和解答,请参阅 反垃圾邮件保护常见问题解答。
有关反恶意软件保护的问题和解答,请参阅 反恶意软件保护常见问题解答。
有关反欺骗保护的问题和解答,请参阅 反欺骗保护常见问题解答。
如何实现管理已针对恶意软件隔离的邮件?
默认情况下,只有管理员可以管理已针对恶意软件隔离的邮件。 有关详细信息,请参阅 以管理员身份管理隔离的邮件和文件。
但是,管理员可以创建 隔离策略 并将其应用于为用户定义更多功能的反恶意软件策略。 有关详细信息,请参阅 创建隔离策略。
无论如何配置隔离策略,用户都无法释放自己的邮件,这些邮件被反恶意软件策略隔离为恶意软件。 如果策略允许用户释放自己的隔离邮件,则允许用户 请求 释放其隔离的恶意软件或高置信度钓鱼邮件。
如何实现隔离垃圾邮件?
默认情况下,系统会按照以下反垃圾邮件策略传递分类为垃圾邮件或批量的邮件并将其移动到“垃圾邮件Email”文件夹:
- 默认反垃圾邮件策略。
- 自定义反垃圾邮件策略。
- 标准预设安全策略。
管理员可以配置默认的反垃圾邮件或自定义策略来隔离垃圾邮件或批量电子邮件。 有关详细信息,请参阅在 EOP 中配置反垃圾邮件策略。
严格预设安全策略隔离分类为垃圾邮件或批量的邮件。
有关详细信息,请参阅以下文章:
如何实现向用户授予对隔离区的访问权限?
用户必须具有有效的帐户才能在隔离区中访问自己的邮件。 独立 EOP 要求用户表示为 EOP 中的邮件用户, (通过目录同步) 手动创建或创建。 有关在独立 EOP 环境中管理用户的详细信息,请参阅 在独立 EOP 中管理邮件用户。
隔离策略确定用户是否可以访问其隔离的邮件,以及允许他们对他们执行的操作。 有关详细信息,请参阅 隔离策略剖析。
如果隔离策略要求用户请求释放邮件或要求管理员发布邮件,则管理员必须 批准发布请求 或 释放邮件 ,然后用户才能使用邮件。
无法在 预设的安全策略中自定义隔离策略。
最终用户可以在隔离区中访问哪些邮件?
隔离策略根据邮件被隔离的原因定义用户是否可以访问隔离的邮件。
有关对隔离邮件的默认访问权限,请参阅在 EOP 中以用户身份查找和释放隔离邮件中的表
无论如何配置 隔离 策略,用户都无法发布自己的邮件,这些邮件被反恶意软件或安全附件策略隔离为恶意软件,也不能释放反垃圾邮件策略作为 高置信度钓鱼 的邮件。 如果策略允许用户释放自己的隔离邮件,则允许用户 请求 释放其隔离的恶意软件或高置信度钓鱼邮件。
如何阻止用户访问隔离的邮件?
名为 AdminOnlyAccessPolicy 的默认隔离策略可阻止用户与其隔离邮件进行任何交互。 默认情况下,此隔离策略用于隔离为恶意软件或高置信度钓鱼的邮件。 在 支持隔离邮件的自定义策略或保护功能的默认策略中,管理员可以将 AdminOnlyAccessPolicy 指定为要使用的隔离策略。
无法阻止最终用户查看或访问 中的https://security.microsoft.com/quarantine“隔离”页。
如何实现找出邮件被隔离的原因?
Defender 门户中https://security.microsoft.com/quarantine?viewid=Email“隔离”页的“Email”选项卡上提供的“隔离原因”列。 常见原因包括传输规则、批量、垃圾邮件、恶意软件、网络钓鱼、高置信度钓鱼或管理员操作 - 文件类型阻止。 有关详细信息,请参阅 查看隔离的电子邮件。
隔离区中缺少邮件。 他们怎么了?
在打开有关此消息的支持票证之前,请参阅 查找删除隔离邮件的人员。
隔离邮件也会过期,最终会从隔离区中删除,具体取决于隔离邮件的原因。 有关详细信息,请参阅 隔离保留。
反恶意软件策略中的常见附件筛选器标识具有指定文件扩展名的邮件附件, (可以使用 true 类型匹配) 。 在默认反恶意软件策略和标准和严格预设安全策略中,这些检测的默认操作是拒绝未送达报告中的邮件 (也称为 NDR 或退回邮件) 。 如果已发布的邮件包含指定的文件附件类型之一,则邮件可能已返回到 NDR 中的发件人。
当邮件从隔离区过期时,无法恢复它。
默认情况下,来自阻止发件人的邮件在隔离区中隐藏, (隔离区按 “不显示阻止的发件人) 进行筛选。 若要查看来自所有发件人的邮件,请选择“筛选”,然后选择“显示所有发件人”。
提示
如果发件人被阻止,并且默认) (选择了“ 不显示阻止的发件人 ”,则来自这些发件人的邮件将显示在 “隔离 ”页上,并且当 发件人地址替代原因 值为 “无”时,这些发件人的邮件将包含在隔离通知中。 出现此行为的原因是,邮件因发件人地址替代以外的原因而被阻止。
邮件已从隔离区释放,但原始收件人找不到它。 如何确定消息发生了什么情况?
第三方防病毒解决方案、安全服务或出站连接器可能会导致从隔离区释放的邮件出现以下问题:
- 消息在释放后被隔离。
- 内容在到达收件人的收件箱之前从已发布的邮件中删除。
- 已发布的邮件永远不会到达收件人的收件箱。
在打开有关这些问题的支持票证之前,请验证是否未使用第三方筛选。
如果第三方筛选器未阻止邮件到达用户的收件箱,并且第一次发布尝试不起作用,管理员可以尝试在 PowerShell Exchange Online PowerShell 中使用 Release-QuarantineMessage cmdlet 和 Force 开关来释放邮件。
如果带强制开关的 Release-QuarantineMessage 不起作用,则管理员应在关闭第三方服务筛选后尝试将邮件释放到备用邮箱。 强制释放可能会导致消息多次释放。
如果尝试向所有收件人批量发布多封邮件,并且对任何邮件执行了收件人级邮件删除操作,则会收到错误。 管理员需要仅向未发生从隔离区中删除的收件人释放该特定邮件。
(由 Outlook 中的用户或管理员使用 PowerShell Exchange Online PowerShell 中的 *-InboxRule cmdlet 创建的收件箱规则) 可以从收件箱中移动或删除邮件。
隔离邮件的某些邮件流规则可能会导致再次隔离已发布的邮件。
通知管理员,将已发布的隔离邮件路由到本地收件人可能会导致邮件丢失反垃圾邮件标头,这会使邮件在释放后再次进入隔离区。
管理员可以使用 邮件跟踪 来确定已发布的邮件是否已传递到收件人的收件箱。
消息意外从隔离区中释放。 这是什么原因?
第三方防病毒解决方案或安全服务可以随机选择 隔离通知中的操作按钮。
在打开有关此问题的支持票证之前,请验证是否未使用第三方筛选。
已发布的隔离邮件具有“状态”值“已发布”,“隔离”页上的“发布者”属性可用。
管理员还可以使用审核日志来查看谁从隔离区发布了消息。 使用“活动 - 友好名称”中的值“已发布隔离邮件”。 有关相关说明,请参阅 查找删除隔离邮件的人员。
是否可以一次释放或报告多个隔离邮件?
在Microsoft Defender门户中,一次最多可以选择并释放 100 条消息。
管理员可以使用 Exchange Online PowerShell 或独立 EOP PowerShell 中的 Get-QuarantineMessage 和 Release-QuarantineMessage cmdlet 批量查找和释放隔离邮件,并批量报告误报。
有关“ 隔离” 页上可用的批量操作,请参阅 对多个隔离的电子邮件执行操作。
在 Defender for Office 365 计划 2 中,可以使用资源管理器 (威胁资源管理器) 执行更大的批量发布操作, () 最多 200,000 条消息。
搜索隔离邮件时是否支持通配符? 是否可以搜索特定域的隔离邮件?
Microsoft Defender门户中不支持通配符。 例如,搜索发件人时,需要指定完整的电子邮件地址。 但是,可以在 Exchange Online PowerShell 或独立 EOP PowerShell 中使用通配符。
例如,将以下 PowerShell 代码复制到记事本中,并将文件另存为 .ps1,以便于查找 (,例如,C:\Data\QuarantineRelease.ps1) 。
然后,连接到 Exchange Online PowerShell 或Exchange Online Protection PowerShell 后,运行以下命令以运行脚本:
& C:\Data\QuarantineRelease.ps1
该脚本执行以下操作:
- 查找来自 fabrikam 域中所有发件人的未发布邮件,这些邮件被隔离为垃圾邮件。 最大结果数为 50,000 (50 页,) 1000 个结果。
- 将结果保存到 CSV 文件。
- 向所有原始收件人释放匹配的隔离邮件。
$Page = 1
$List = $null
Do
{
Write-Host "Getting Page " $Page
$List = (Get-QuarantineMessage -Type Spam -PageSize 1000 -Page $Page | where {$_.Released -like "False" -and $_.SenderAddress -like "*fabrikam.com"})
Write-Host " " $List.count " rows in this page match"
Write-Host " Exporting list to appended CSV for logging"
$List | Export-Csv -Path "C:\Data\Quarantined Message Matches.csv" -Append -NoTypeInformation
Write-Host "Releasing page " $Page
$List | foreach {Release-QuarantineMessage -Identity $_.Identity -ReleaseToAll}
$Page = $Page + 1
} Until ($Page -eq 50)
释放消息后,无法再次释放它。
如何实现通知最终用户有关其隔离邮件的信息? 隔离通知的发送频率如何?
如果在关联的隔离策略中启用了隔离通知,则可以将隔离通知配置为每隔四小时、每天或每周发送一次。 有关详细信息,请参阅 自定义所有隔离通知。
提示
最快、最频繁的通知计划是每四小时一次。
如果选择每四小时一次,并且邮件在最后一次通知生成 后立即 被隔离,则收件人将在四小时 后收到 隔离通知。
对于被零小时自动清除隔离的邮件 (ZAP) ,隔离通知基于邮件被隔离的时间,而不是邮件传递到邮箱的时间。
还可以仅在隔离策略中为内部 (组织内部) 邮件设置隔离通知。
为什么用户未收到有关其隔离邮件的通知?
如果为 支持的隔离操作定义的隔离 策略未打开通知,则不会发送隔离通知。
有关详细信息,请参阅隔离策略剖析中的最后一个表,以及 EOP 和Microsoft Defender for Office 365的建议设置中的单个功能表,以查看哪些默认隔离策略已启用隔离通知。
此外, 预设安全 策略中的保护策略始终在自定义保护策略 之前 应用。 在标准或严格预设安全策略中定义的用户永远不会获得自定义保护策略,其中隔离策略已自定义为启用隔离通知。 有关详细信息,请参阅 预设安全策略中的策略设置
不为 Exchange 邮件流规则隔离的邮件启用隔离通知, (传输规则) 或数据丢失防护 (DLP) 。 这些邮件具有 AdminOnly 隔离策略。 使用 DefaultFullAccess 隔离策略的邮件也不会生成隔离通知。
如何实现自定义隔离通知以添加自定义徽标?
请参阅 自定义所有隔离通知。
管理员需要哪些权限才能从隔离区下载或释放邮件?
请参阅 此处的权限条目。
我为特定语言创建了自定义隔离通知,但用户看不到它。 What's going on?
仅当用户的帐户/邮箱语言与自定义隔离通知中的语言匹配时,才会向用户显示其他语言的自定义隔离通知。
我无法预览隔离Microsoft Teams 邮件。 What's going on?
如果用户从 Teams 客户端中删除邮件,该邮件将消失,因此预览版在隔离区中不适用于已删除的邮件。
我在隔离通知或“隔离页”中看不到“阻止发件人”按钮。 我也没有在“隔离”页上看到“批准发布”按钮。 What's going on?
默认情况下,对隔离邮件禁用阻止发件人。
对于最终用户,管理员可以创建并分配包含 “阻止发件人” 操作的自定义隔离策略。 有关详细信息,请参阅 [隔离策略] (隔离策略) 。
管理员仅当按“仅收件人我”而不是默认值“所有用户”>筛选隔离结果时,才会看到“阻止发件人”。
批准发布已停用,现已包含在“发布”中。
“筛选器”和“搜索”不起作用。 What's going on?
“搜索”框适用于隔离中的可见结果。 默认情况下,仅显示前 100 个条目,直到向下滚动到列表底部,这会加载更多结果。
若要按 Internet 消息 ID 筛选隔离的邮件,该值必须包含尖括号 (<>
) ,即使在 PowerShell 中也是如此。
已发布的隔离邮件仍显示在“隔离”中。 What's going on?
已发布的邮件在隔离区中保持可见,状态值已发布,直到:
隔离保留期过期,邮件会自动删除。
或
将从隔离区手动删除邮件。
未生成发布请求警报。 What's going on?
默认情况下,需要打开审核日志记录, (它处于打开状态) 。 有关详细信息,请参阅 打开或关闭审核。
重复或多个隔离通知将发送给同一用户。
如果将 PowerShell 中 Set-OrganizationConfig cmdlet 上的 SendFromAliasEnabled 参数设置为值 Exchange Online$true,则会向同一用户发送多个或重复的隔离通知。