検疫済みメッセージに関する FAQ

既定では、管理者のみがマルウェアに対して検疫されたメッセージを管理できます。 詳細については、「 検疫されたメッセージとファイルを管理者として管理する」を参照してください。

ただし、管理者は 検疫ポリシー を作成し、ユーザーに対してより多くの機能を定義するマルウェア対策ポリシーに適用できます。 詳細については、「検疫ポリシーのCreate」を参照してください。

検疫ポリシーの構成方法に関係なく、マルウェア対策ポリシーによってマルウェアとして検疫された独自のメッセージをユーザーが解放することはできません。 ポリシーでユーザーが独自の検疫済みメッセージを解放できる場合、ユーザーは代わりに検疫されたマルウェアまたは高信頼フィッシング メッセージのリリースを 要求 できます。

既定では、スパムまたは一括として分類されたメッセージは、次のスパム対策ポリシーによって配信され、迷惑メール Email フォルダーに移動されます。

• 既定のスパム対策ポリシー。
• カスタムスパム対策ポリシー。
• Standard プリセット セキュリティ ポリシー。

管理者は、スパムまたは一括メール メッセージを検疫するように既定のスパム対策ポリシーまたはカスタム ポリシーを構成できます。 詳細については、「EOP でのスパム対策ポリシーの構成」を参照してください。

厳密な事前設定されたセキュリティ ポリシーは、スパムまたは一括として分類されたメッセージを検疫します。

詳細については、次の記事を参照してください。

• 「EOP のスパム対策ポリシーの設定」
• 事前設定されたセキュリティ ポリシーのプロファイル

検疫で自分のメッセージにアクセスするには、ユーザーに有効なアカウントが必要です。 スタンドアロン EOP では、ユーザーが EOP のメール ユーザーとして表されている必要があります (ディレクトリ同期を使用して手動で作成または作成されます)。 スタンドアロン EOP 環境でのユーザーの管理の詳細については、「スタンドアロン EOP でメール ユーザーを管理する」を参照してください。

検疫ポリシーは、ユーザーが検疫されたメッセージにアクセスできるかどうか、およびユーザーに対して何を許可されるかを決定します。 詳細については、「 検疫ポリシーの構造」を参照してください。

検疫ポリシーでユーザーがメッセージのリリースを要求する必要がある場合、または管理者がメッセージをリリースする必要がある場合、管理者は、メッセージをユーザーが使用できるようにする前に 、リリース要求を承認 するか 、メッセージを解放 する必要があります。

検疫ポリシーは、メッセージが検疫された理由に基づいて、検疫されたメッセージにユーザーがアクセスできるかどうかを定義します。

検疫されたメッセージへの既定のアクセスについては、「EOP で検疫されたメッセージをユーザーとして検索して解放する」の表を参照してください。

ユーザーは、検疫ポリシーの構成方法に関係なく、マルウェア対策ポリシーまたは安全な添付ファイル ポリシーによって マルウェア として検疫された独自のメッセージや、スパム対策ポリシーによる 高信頼フィッシング をリリースすることはできません。 ポリシーでユーザーが独自の検疫済みメッセージを解放できる場合、ユーザーは代わりに検疫されたマルウェアまたは高信頼フィッシング メッセージのリリースを 要求 できます。

AdminOnlyAccessPolicy という名前の既定の検疫ポリシーは、検疫されたメッセージに対するユーザーの操作を防ぎます。 既定では、この検疫ポリシーは、マルウェアまたは高信頼フィッシングとして検疫されたメッセージに使用されます。 メッセージの 検疫をサポートする保護機能のカスタム ポリシーまたは既定のポリシーでは、管理者は、使用する検疫ポリシーとして AdminOnlyAccessPolicy を指定できます。

Defender ポータルhttps://security.microsoft.com/quarantine?viewid=Emailの [検疫] ページの [Email] タブにある [検疫理由] 列。 一般的な理由は、トランスポート ルール、一括、スパム、マルウェア、フィッシング、高信頼フィッシング、または 管理 アクション - ファイルの種類ブロックです。 詳細については、「 検疫済みメールを表示する」を参照してください。

このことについてサポート チケットを開く前に、「 検疫されたメッセージを削除したユーザーを検索する」を参照してください。

検疫されたメッセージも期限切れになり、メッセージが検疫された理由に応じて最終的に検疫から削除されます。 詳細については、「 検疫の保持」を参照してください。

マルウェア対策ポリシーの一般的な添付ファイル フィルターは、指定されたファイル拡張子を持つメッセージの添付ファイルを識別します (true 型の照合を使用できます)。 既定のマルウェア対策ポリシーおよび標準および厳密な事前設定されたセキュリティ ポリシーでこれらの検出に対する既定のアクションは、配信不能レポート (NDR またはバウンス メッセージとも呼ばれます) 内のメッセージを拒否することです。 リリースされたメッセージに指定された添付ファイルの種類のいずれかが含まれている場合、メッセージが NDR 内の送信者に返された可能性があります。

検疫からメッセージの有効期限が切れると、回復できません。

• サード パーティのウイルス対策ソリューション、セキュリティ サービス、または送信コネクタは、検疫から解放されたメッセージに対して次の問題を引き起こす可能性があります。

  • メッセージは、解放された後に検疫されます。
  • 受信者の受信トレイに到達する前に、リリースされたメッセージからコンテンツが削除されます。
  • リリースされたメッセージが受信者の受信トレイに届くことはありません。

  これらの問題に関するサポート チケットを開く前に、サード パーティのフィルター処理を使用していないことを確認します。

• 受信トレイ ルール (Outlook のユーザー、または PowerShell の *-InboxRule コマンドレットを使用して管理者によって作成) は、受信トレイからメッセージ Exchange Onlineを移動または削除できます。

管理者は 、メッセージ トレース を使用して、リリースされたメッセージが受信者の受信トレイに配信されたかどうかを判断できます。

サード パーティのウイルス対策ソリューションまたはセキュリティ サービスは、 検疫通知のアクション ボタンをランダムに選択できます。

この問題に関するサポート チケットを開く前に、サード パーティのフィルター処理を使用していないことを確認します。

Microsoft Defender ポータルでは、一度に最大 100 個のメッセージを選択して解放できます。

管理者は、PowerShell またはスタンドアロン EOP PowerShell Exchange Online の Get-QuarantineMessage コマンドレットと Release-QuarantineMessage コマンドレットを使用して、検疫されたメッセージを一括で検索して解放したり、誤検知を一括で報告したりできます。

ワイルドカードは、Microsoft Defender ポータルではサポートされていません。 たとえば、送信者を検索するときは、完全なメール アドレスを指定する必要があります。 ただし、Exchange Online PowerShell またはスタンドアロン EOP PowerShell ではワイルドカードを使用できます。

たとえば、次の PowerShell コードを NotePad にコピーし、ファイルを見つけやすい場所 (たとえば、C:\Data\QuarantineRelease.ps1) に .ps1 として保存します。

次に、PowerShell Exchange Onlineまたは PowerShellExchange Online Protectionに接続した後、次のコマンドを実行してスクリプトを実行します。

& C:\Data\QuarantineRelease.ps1

スクリプトは次のアクションを実行します。

• fabrikam ドメイン内のすべての送信者からスパムとして検疫された未リリースのメッセージを検索します。 結果の最大数は 50,000 (1000 件の結果の 50 ページ) です。
• 結果を CSV ファイルに保存します。
• 一致する検疫済みメッセージを元のすべての受信者にリリースします。

$Page = 1
$List = $null

Do
{
Write-Host "Getting Page " $Page

$List = (Get-QuarantineMessage -Type Spam -PageSize 1000 -Page $Page | where {$_.Released -like "False" -and $_.SenderAddress -like "*fabrikam.com"})
Write-Host "                     " $List.count " rows in this page match"
Write-Host "                                                             Exporting list to appended CSV for logging"
$List | Export-Csv -Path "C:\Data\Quarantined Message Matches.csv" -Append -NoTypeInformation

Write-Host "Releasing page " $Page
$List | foreach {Release-QuarantineMessage -Identity $_.Identity -ReleaseToAll}

$Page = $Page + 1

} Until ($Page -eq 50)

メッセージをリリースした後は、もう一度解放することはできません。

関連付けられている検疫ポリシーで検疫通知が有効になっている場合は、検疫通知を 4 時間ごと、毎日、または毎週送信するように構成できます。 詳細については、「 すべての検疫通知をカスタマイズする」を参照してください。

サポートされている検疫アクションに対して定義されている検疫ポリシーで通知が有効になっていない場合、検疫通知は送信されません。

詳細については、「検疫ポリシーの構造」の最後の表を参照し、「EOP と Microsoft Defender for Office 365 の推奨設定」の個々の機能テーブルを参照して、検疫通知が有効になっている既定の検疫ポリシーを確認します。

また、 事前設定されたセキュリティ ポリシーの保護ポリシーは、カスタム保護ポリシー の前に常に 適用されます。 Standard または Strict の事前設定されたセキュリティ ポリシーで定義されているユーザーは、検疫ポリシーをカスタマイズして検疫通知を有効にするようにカスタマイズされた保護ポリシーを取得することはありません。 詳細については、「事前設定されたセキュリティ ポリシーのポリシー設定」を参照してください。

「すべての検疫通知をカスタマイズする」を参照してください。

アクセス許可エントリについては 、こちらを参照してください。

アカウント/メールボックスの言語がカスタム検疫通知の言語と一致する場合にのみ、別の言語のカスタム検疫通知がユーザーに表示されます。

ユーザーが Teams クライアントからメッセージを削除した場合、メッセージは削除されるため、削除されたメッセージの検疫ではプレビューを使用できません。