隔離的郵件常見問題

根據預設，只有系統管理員可以管理因惡意代碼而隔離的訊息。 如需詳細資訊，請 參閱以系統管理員身分管理隔離的郵件和檔案。

但是，系統管理員可以建立 隔離原則 ，並將其套用至反惡意代碼原則，以定義更多使用者功能。 如需詳細資訊，請 參閱建立隔離原則。

不論隔離原則的設定方式為何，使用者都無法釋出自己被反惡意代碼原則隔離為惡意代碼的郵件。 如果原則允許使用者釋放自己的隔離郵件，則會改為允許使用者 要求 釋放其隔離的惡意代碼或高信賴度網路釣魚訊息。

根據預設，分類為垃圾郵件或大量郵件的郵件會透過下列反垃圾郵件原則傳遞並移至垃圾郵件 Email資料夾：

• 預設的反垃圾郵件原則。
• 自定義反垃圾郵件原則。
• 標準預設安全策略。

系統管理員可以設定預設的反垃圾郵件或自定義原則，改為隔離垃圾郵件或大量電子郵件訊息。 如需詳細資訊，請參閱在 EOP 中設定反垃圾郵件原則。

嚴格預設安全策略會隔離分類為垃圾郵件或大量郵件的郵件。

如需詳細資訊，請參閱下列文章：

• EOP 反垃圾郵件原則設定
• 預設安全策略中的配置檔

用戶必須有有效的帳戶，才能在隔離區中存取自己的訊息。 獨立 EOP 要求使用者在 EOP 中以郵件使用者表示， (透過目錄同步處理) 手動建立或建立。 如需在獨立 EOP 環境中管理使用者的詳細資訊，請參閱 在獨立 EOP 中管理郵件使用者。

隔離原則會決定使用者是否可以存取其隔離的郵件，以及允許他們對其執行的動作。 如需詳細資訊， 請參閱隔離原則的結構。

如果隔離原則要求使用者要求釋放訊息，或要求系統管理員釋放訊息，系統管理員必須 先核准發行要求 或 釋放訊息 ，使用者才能使用訊息。

您無法在 預設安全策略中自定義隔離原則。

隔離原則會根據郵件遭到隔離的原因，定義使用者是否可以存取隔離的郵件。

如需隔離郵件的預設存取權，請參閱在 EOP 中以使用者身分尋找和釋放隔離郵件中的數據表

不論隔離原則的設定方式為何，使用者都無法釋出自己被反惡意代碼或安全附件原則隔離為 惡意 代碼的郵件，或是反垃圾郵件原則的高 信賴度網路 釣魚。 如果原則允許使用者釋放自己的隔離郵件，則會改為允許使用者 要求 釋放其隔離的惡意代碼或高信賴度網路釣魚訊息。

名為 AdminOnlyAccessPolicy 的預設隔離原則可防止任何使用者與其隔離的郵件互動。 根據預設，此隔離原則會用於被隔離為惡意代碼或高信賴度網路釣魚的郵件。 在支援隔離 訊息之保護功能的自定義原則或默認原則中，系統管理員可以指定 AdminOnlyAccessPolicy 作為要使用的隔離原則。

您無法防止終端使用者在 看到或存取 [隔離 ] 頁面 https://security.microsoft.com/quarantine。

可在 Defender 入口網站中 [隔離] 頁面的 [Email] 索引卷標上的 [隔離原因] 資料行，位於 https://security.microsoft.com/quarantine?viewid=Email。 常見原因包括傳輸規則、大量、垃圾郵件、惡意代碼、網路釣魚、高信賴度網路釣魚或 管理員 動作 - 檔案類型區塊。 如需詳細資訊，請 參閱檢視隔離的電子郵件。

開啟支援票證之前，請參閱 尋找誰刪除了隔離的郵件。

隔離的郵件也會過期，並最終從隔離中移除，視郵件遭到隔離的原因而定。 如需詳細資訊，請參閱 隔離保留。

反惡意代碼原則中的常見附件篩選器會識別具有指定擴展名的訊息附件， (可能) 使用真正的類型比對。 在預設反惡意代碼原則和標準和嚴格預設安全策略中，這些偵測的默認動作是拒絕非傳遞報表中的訊息， (也稱為 NDR 或退回的訊息) 。 如果發行的訊息包含其中一個指定的檔案附件類型，則訊息可能會傳回 NDR 中的寄件者。

當郵件從隔離區過期時，您就無法復原。

根據預設，封鎖的寄件者的郵件會隱藏在隔離區中檢視 (隔離是依 [不要顯示封鎖的寄件者 ]) 來篩選。 若要查看來自所有寄件者的訊息，請選取 [ 篩選 ]，然後選取 [顯示所有寄件者]。

• 第三方防病毒軟體解決方案、安全性服務或輸出連接器可能會對從隔離區釋放的訊息造成下列問題：

  • 訊息在釋放之後會遭到隔離。
  • 內容會在到達收件者的收件匣之前，從已發行的郵件中移除。
  • 已發行的郵件永遠不會送達收件者的收件匣。

  在開啟有關這些問題的支援票證之前，請先確認您未使用第三方篩選。

  如果第三方篩選條件無法讓訊息到達使用者的 [收件匣]，而且第一次發行嘗試無法運作，系統管理員可以嘗試在 Exchange Online PowerShell 中使用 Release-QuarantineMessage Cmdlet 搭配 Force 參數來釋放訊息。

  如果使用 Force 參數的 Release-QuarantineMessage 無法運作，則系統管理員應該在關閉第三方服務的篩選之後，嘗試將郵件釋出至替代信箱。 強制發行可能會導致訊息發行多次。

  如果您嘗試將多個訊息大量釋放給所有收件者，而且已在任何郵件上刪除收件者層級的郵件，就會收到錯誤。 系統管理員只需要將該特定訊息釋出給未從隔離區刪除的收件者。

• 由 Outlook 中的使用者或系統管理員使用 Exchange Online PowerShell 中的 *-InboxRule Cmdlet 建立的收件匣 (規則) 可以從 [收件匣] 移動或刪除訊息。

• 某些隔離郵件的郵件流程規則可能會再次隔離已發行的郵件。

• 通知系統管理員，將釋出的隔離郵件路由傳送給內部部署收件者可能會導致郵件遺失反垃圾郵件標頭，這會讓郵件在釋放后再次進入隔離狀態。

系統管理員可以使用 訊息追蹤 來判斷已發行的郵件是否已傳遞至收件者的收件匣。

第三方防病毒軟體解決方案或安全性服務可以隨機選取 隔離通知中的動作按鈕。

開啟關於此問題的支援票證之前，請確認您未使用第三方篩選。

已釋出的隔離郵件的 [狀態 ] 值為 [ 已釋放 ]，而 [已 釋放者 ] 屬性可在 [ 隔離 ] 頁面上取得。

系統管理員也可以使用稽核記錄來查看誰從隔離區釋出訊息。 使用 [活動 - 易記名稱] 中的 [釋出隔離郵件] 值。 如需相關指示，請 參閱尋找刪除隔離郵件的人員。

在 Microsoft Defender 入口網站中，您一次最多可以選取和發行 100 則訊息。

系統管理員可以在 PowerShell 或獨立 EOP PowerShell Exchange Online 中使用 Get-QuarantineMessage 和 Release-QuarantineMessage Cmdlet 來尋找和釋放大量隔離的郵件，以及大量報告誤判。

如需 [ 隔離 ] 頁面上可用的大量動作，請參 閱對多個隔離的電子郵件訊息採取動作。

在 適用於 Office 365 的 Defender 方案 2 中，您可以使用 Explorer (Threat Explorer) 來執行較大的大量發行作業， (最多 200,000 則訊息) 。

Microsoft Defender 入口網站不支援通配符。 例如，搜尋寄件者時，您必須指定完整的電子郵件位址。 但是，您可以在 Exchange Online PowerShell 或獨立 EOP PowerShell 中使用通配符。

例如，將下列 PowerShell 程式代碼複製到記事本，並將檔案儲存為 .ps1 在您很容易找到 (的位置，例如，C:\Data\QuarantineRelease.ps1) 。

然後，在您連線到 Exchange Online PowerShell 或 Exchange Online Protection PowerShell 之後，執行下列命令以執行腳本：

& C:\Data\QuarantineRelease.ps1

文稿會執行下列動作：

• 尋找已從 fabrikam 網域中的所有寄件者隔離為垃圾郵件的未發行郵件。 結果數目上限為 50,000 (1000 個結果) 的 50 頁。
• 將結果儲存至 CSV 檔案。
• 將相符的隔離郵件釋出給所有原始收件者。

$Page = 1
$List = $null

Do
{
Write-Host "Getting Page " $Page

$List = (Get-QuarantineMessage -Type Spam -PageSize 1000 -Page $Page | where {$_.Released -like "False" -and $_.SenderAddress -like "*fabrikam.com"})
Write-Host "                     " $List.count " rows in this page match"
Write-Host "                                                             Exporting list to appended CSV for logging"
$List | Export-Csv -Path "C:\Data\Quarantined Message Matches.csv" -Append -NoTypeInformation

Write-Host "Releasing page " $Page
$List | foreach {Release-QuarantineMessage -Identity $_.Identity -ReleaseToAll}

$Page = $Page + 1

} Until ($Page -eq 50)

在您發行訊息之後，就無法再發行一次。

如果在相關聯的隔離原則中啟用隔離通知，您可以將隔離通知設定為每四小時、每天或每周傳送一次。 如需詳細資訊，請參閱 自定義所有隔離通知。

您也可以針對內部 (組織內部) 郵件，只在隔離原則中設定隔離通知。

如果針對 支援的隔離動作 所定義的隔離原則未開啟通知，則不會傳送隔離通知。

如需詳細資訊，請參閱隔離原則結構中的最後一個數據表，以及 EOP 和 適用於 Office 365 的 Microsoft Defender 的建議設定中的個別功能數據表，以查看哪些預設隔離原則已開啟隔離通知。

此外， 預設安全 策略中的保護原則一律會在自定義保護原則 之前 套用。 在標準或嚴格預設安全策略中定義的用戶永遠不會取得自定義的保護原則，其中隔離原則會自定義為開啟隔離通知。 如需詳細資訊，請參閱 預設安全策略中的原則設定

未針對 Exchange 郵件流程規則 (傳輸規則) 或數據外洩防護 (DLP) 隔離的郵件啟用隔離通知。 這些訊息具有 AdminOnly 隔離原則。 對於具有DefaultFullAccess隔離原則的郵件，也不會產生隔離通知。

請參閱 自定義所有隔離通知。

請參閱 這裡的許可權專案。

只有當使用者的帳戶/信箱語言符合自定義隔離通知中的語言時，才會向用戶顯示不同語言的自定義隔離通知。

如果使用者從 Teams 用戶端刪除訊息，訊息就會消失，因此已刪除的郵件無法在隔離中使用預覽。

隔離郵件的封鎖發件者預設為停用。

對於終端使用者，系統管理員可以建立並指派包含 封鎖寄件人動作的 自定義隔離原則。 如需詳細資訊，請參閱 [隔離原則] (隔離原則) 。

只有當系統管理員依 [僅收件>者我] 而不是預設值 [所有使用者] 篩選隔離結果時，才會看到 [封鎖寄件人]。

核准版本 已淘汰，現在已包含在 Release 中。

[搜尋] 方塊會套用至隔離中的可見結果。 根據預設，只會顯示前 100 個專案，直到您向下捲動到清單底部，這會載入更多結果。

若要依因特網訊息標識符篩選隔離的郵件，該值必須包含角括號 (<>) ，即使在PowerShell中也一般。

釋放的郵件在隔離區中仍會顯示 [ 狀態 ] 值 [ 已釋放]，直到：

• 隔離保留期限到期，訊息會自動刪除。

  或

• 訊息會手動從隔離區中刪除。

稽核記錄必須開啟 (預設會開啟) 。 如需詳細資訊， 請參閱開啟或關閉稽核。

如果 PowerShell 中 Set-OrganizationConfig Cmdlet 上的 SendFromAliasEnabled 參數設定為值 Exchange Online$true，則會將多個或重複的隔離通知傳送給相同的使用者。

系統管理員可以使用 預覽訊息 或 檢視郵件標頭 來查看收件者的完整清單。