FAQ sobre mensagens em quarentena

Por predefinição, apenas os administradores podem gerir mensagens que foram colocadas em quarentena para software maligno. Para obter mais informações, veja Gerir mensagens e ficheiros em quarentena como administrador.

No entanto, os administradores podem criar e aplicar políticas de quarentena a políticas antimalware que definem mais capacidades para os utilizadores. Para obter mais informações, veja Criar políticas de quarentena.

Os utilizadores não podem divulgar as suas próprias mensagens que foram colocadas em quarentena como software maligno por políticas antimalware, independentemente da forma como a política de quarentena está configurada. Se a política permitir que os utilizadores divulguem as suas próprias mensagens em quarentena, os utilizadores podem, em vez disso, pedir a libertação do software maligno em quarentena ou mensagens de phishing de alta confiança.

Por predefinição, as mensagens classificadas como spam ou em massa são entregues e movidas para a pasta Email de Lixo pelas seguintes políticas antisspam:

• A política antiss spam predefinida.
• Políticas antisspam personalizadas.
• A política de segurança predefinida Padrão.

Os administradores podem configurar as políticas antisspam ou personalizadas predefinidas para colocar em quarentena mensagens de correio eletrónico em massa ou spam. Para obter mais informações, consulte Configurar políticas anti-spam no EOP.

A política de segurança estritamente predefinida coloca em quarentena mensagens classificadas como spam ou em massa.

Para mais informações, consulte os seguintes artigos:

• Definições de política anti-spam da EOP
• Perfis em políticas de segurança predefinidas

Um utilizador tem de ter uma conta válida para aceder às suas próprias mensagens em quarentena. A EOP autónoma requer que os utilizadores sejam representados como utilizadores de e-mail na EOP (criados ou criados manualmente através da sincronização de diretórios). Para obter mais informações sobre a gestão de utilizadores em ambientes EOP autónomos, consulte Gerir utilizadores de e-mail na EOP autónoma.

As políticas de quarentena determinam se os utilizadores podem aceder às mensagens em quarentena e o que lhes é permitido fazer. Para obter mais informações, veja Anatomia de uma política de quarentena.

Se a política de quarentena exigir que os utilizadores solicitem a divulgação de mensagens ou exigir que os administradores libertem mensagens, um administrador tem de aprovar o pedido de lançamento ou divulgar a mensagem antes de a mensagem estar disponível para os utilizadores.

Não pode personalizar políticas de quarentena em políticas de segurança predefinidas.

As políticas de quarentena definem se os utilizadores podem aceder a mensagens em quarentena com base no motivo pelo qual a mensagem foi colocada em quarentena.

Para obter o acesso predefinido às mensagens em quarentena, consulte a tabela em Localizar e libertar mensagens em quarentena como um utilizador na EOP

Os utilizadores não podem divulgar as suas próprias mensagens que foram colocadas em quarentena como software maligno por políticas antimalware ou Anexos Seguros ou como phishing de alta confiança por políticas antisspam, independentemente da forma como a política de quarentena está configurada. Se a política permitir que os utilizadores divulguem as suas próprias mensagens em quarentena, os utilizadores podem, em vez disso, pedir a libertação do software maligno em quarentena ou mensagens de phishing de alta confiança.

A política de quarentena predefinida denominada AdminOnlyAccessPolicy impede qualquer interação do utilizador com as mensagens em quarentena. Por predefinição, esta política de quarentena é utilizada para mensagens que foram colocadas em quarentena como software maligno ou phishing de alta confiança. Nas políticas personalizadas ou na política predefinida para funcionalidades de proteção que suportam a colocação em quarentena de mensagens, os administradores podem especificar AdminOnlyAccessPolicy como a política de quarentena a utilizar.

Não pode impedir que os utilizadores finais vejam ou acedam à página Quarentena em https://security.microsoft.com/quarantine.

A coluna Motivo da quarentena que está disponível no separador Email da página Quarentena no portal do Defender em https://security.microsoft.com/quarantine?viewid=Email. Os motivos comuns são a regra de transporte, Em massa, Spam, Software Maligno, Phishing, phishing de alta confiança ou Administração ação – Bloco de tipo de ficheiro. Para obter mais informações, consulte Ver e-mail em quarentena.

Antes de abrir um pedido de suporte, consulte Localizar quem eliminou uma mensagem em quarentena.

As mensagens em quarentena também expiram e são eventualmente removidas da quarentena, consoante o motivo pelo qual a mensagem foi colocada em quarentena. Para obter mais informações, veja Retenção de quarentena.

O filtro de anexos comuns em políticas antimalware identifica anexos de mensagens com as extensões de ficheiro especificadas (era possível utilizar correspondências de tipos verdadeiros). A ação predefinida para estas deteções na política antimalware predefinida e nas políticas de segurança predefinidas e padrão é rejeitar a mensagem num relatório de entrega sem êxito (também conhecido como NDR ou mensagem de devolução). Se a mensagem lançada contiver um dos tipos de anexo de ficheiro especificados, é possível que a mensagem tenha sido devolvida ao remetente num NDR.

Quando uma mensagem expira da quarentena, não pode recuperá-la.

Por predefinição, as mensagens de remetentes bloqueados estão ocultas da vista em quarentena (a quarentena é filtrada por Não mostrar remetentes bloqueados). Para ver mensagens de todos os remetentes, selecione Filtrar e, em seguida, selecione Mostrar todos os remetentes.

• Soluções antivírus, serviços de segurança ou conectores de saída de terceiros podem causar os seguintes problemas para mensagens que são libertadas da quarentena:

  • A mensagem é colocada em quarentena depois de ser lançada.
  • O conteúdo é removido da mensagem lançada antes de chegar à Caixa de Entrada do destinatário.
  • A mensagem lançada nunca chega à Caixa de Entrada do destinatário.

  Verifique se não está a utilizar a filtragem de terceiros antes de abrir um pedido de suporte sobre estes problemas.

  Se um filtro de terceiros não estiver a impedir que a mensagem chegue à Caixa de Entrada do utilizador e a primeira tentativa de lançamento não funcionar, os administradores podem tentar utilizar o cmdlet Release-QuarantineMessage no Exchange Online PowerShell com o comutador Forçar para libertar a mensagem.

  Se Release-QuarantineMessage com o comutador Force não funcionar, os administradores devem tentar lançar a mensagem para uma caixa de correio alternativa depois de a filtragem pelo serviço de terceiros estar desativada.

• As regras da caixa de entrada (criadas por utilizadores no Outlook ou por administradores que utilizem os cmdlets *-InboxRule no Exchange Online PowerShell) podem mover ou eliminar mensagens da Caixa de Entrada.

Os administradores podem utilizar o rastreio de mensagens para determinar se uma mensagem lançada foi entregue na Caixa de Entrada do destinatário.

As soluções antivírus de terceiros ou os serviços de segurança podem selecionar aleatoriamente botões de ação em notificações de quarentena.

Verifique se não está a utilizar a filtragem de terceiros antes de abrir um pedido de suporte sobre este problema.

As mensagens em quarentena que foram lançadas têm o valor EstadoLibertado e a propriedade Libertado por disponível na página Quarentena .

Os administradores também podem utilizar o registo de auditoria para ver quem lançou uma mensagem da Quarentena. Utilize a mensagem de Quarentena Lançada de valor em Atividades – nomes amigáveis. Para obter instruções relacionadas, consulte Localizar quem eliminou uma mensagem em quarentena.

No portal Microsoft Defender, pode selecionar e libertar até 100 mensagens de cada vez.

Os administradores podem utilizar os cmdlets Get-QuarantineMessage e Release-QuarantineMessage no Exchange Online PowerShell ou eOP autónomo do PowerShell para localizar e libertar mensagens em quarentena em massa e para comunicar falsos positivos em massa.

Para ações em massa que estão disponíveis na página Quarentena , consulte Tomar medidas em várias mensagens de e-mail em quarentena.

Os carateres universais não são suportados no portal Microsoft Defender. Por exemplo, ao procurar um remetente, tem de especificar o endereço de e-mail completo. No entanto, pode utilizar carateres universais no Exchange Online PowerShell ou no PowerShell de EOP autónomo.

Por exemplo, copie o seguinte código do PowerShell para o Bloco de Notas e guarde o ficheiro como .ps1 numa localização que seja fácil de encontrar (por exemplo, C:\Data\QuarantineRelease.ps1).

Em seguida, depois de ligar ao Exchange Online PowerShell ou Proteção do Exchange Online PowerShell, execute o seguinte comando para executar o script:

& C:\Data\QuarantineRelease.ps1

O script faz as seguintes ações:

• Encontre mensagens não publicadas que foram colocadas em quarentena como spam de todos os remetentes no domínio fabrikam. O número máximo de resultados é 50 000 (50 páginas de 1000 resultados).
• Guarde os resultados num ficheiro CSV.
• Liberte as mensagens em quarentena correspondentes a todos os destinatários originais.

$Page = 1
$List = $null

Do
{
Write-Host "Getting Page " $Page

$List = (Get-QuarantineMessage -Type Spam -PageSize 1000 -Page $Page | where {$_.Released -like "False" -and $_.SenderAddress -like "*fabrikam.com"})
Write-Host "                     " $List.count " rows in this page match"
Write-Host "                                                             Exporting list to appended CSV for logging"
$List | Export-Csv -Path "C:\Data\Quarantined Message Matches.csv" -Append -NoTypeInformation

Write-Host "Releasing page " $Page
$List | foreach {Release-QuarantineMessage -Identity $_.Identity -ReleaseToAll}

$Page = $Page + 1

} Until ($Page -eq 50)

Depois de lançar uma mensagem, não poderá soltá-la novamente.

Se as notificações de quarentena estiverem ativadas na política de quarentena associada, pode configurar as notificações de quarentena para serem enviadas a cada quatro horas, diariamente ou semanalmente. Para obter mais informações, veja Personalizar todas as notificações de quarentena.

Se a política de quarentena definida para a ação de quarentena suportada não tiver as notificações ativadas, as notificações de quarentena não são enviadas.

Para obter mais informações, consulte a última tabela em Anatomia de uma política de quarentena e as tabelas de funcionalidades individuais em Definições recomendadas para eOP e Microsoft Defender para Office 365 para ver que políticas de quarentena predefinidas têm notificações de quarentena ativadas.

Além disso, as políticas de proteção nas políticas de segurança predefinidas são sempre aplicadasantes das políticas de proteção personalizadas. Um utilizador que esteja definido na política de segurança predefinida Padrão ou Estrita nunca obterá uma política de proteção personalizada em que a política de quarentena é personalizada para ativar as notificações de quarentena. Para obter mais informações, veja Definições de política em políticas de segurança predefinidas

As notificações de quarentena não estão ativadas para mensagens colocadas em quarentena por regras de fluxo de correio do Exchange (regras de transporte) ou prevenção de perda de dados (DLP). Estas mensagens têm a política de quarentena AdminOnly. As notificações de quarentena também não são geradas para mensagens com a política de quarentena DefaultFullAccess.

Veja Personalizar todas as notificações de quarentena.

Veja a entrada de permissões aqui.

Uma notificação de quarentena personalizada para um idioma diferente só é apresentada aos utilizadores quando o idioma da conta/caixa de correio corresponde ao idioma na notificação de quarentena personalizada.

Se um utilizador eliminar a mensagem do cliente do Teams, a mensagem desaparece, pelo que a Pré-visualização não está disponível em quarentena para a mensagem eliminada.

O remetente de blocos está desativado por predefinição para mensagens em quarentena.

Para os utilizadores finais, os administradores podem criar e atribuir uma política de quarentena personalizada que inclua a ação Bloquear remetente . Para obter mais informações, veja [Políticas de quarentena](políticas de quarentena).

Os administradores só veem Bloquear remetente se filtrarem os resultados de quarentena por Destinatário>Apenas eu em vez do valor predefinido Todos os utilizadores.

A versão de aprovação foi descontinuada e está agora incluída no Lançamento.

A caixa Procurar aplica-se aos resultados visíveis na quarentena. Por predefinição, apenas as primeiras 100 entradas são apresentadas até se deslocar para baixo até à parte inferior da lista, que carrega mais resultados.

Para filtrar mensagens em quarentena por ID de Mensagem da Internet, o valor tem de incluir parênteses angulares (<>), mesmo no PowerShell.

As mensagens divulgadas permanecem visíveis em quarentena com o valor EstadoLibertado, até:

• O período de retenção de quarentena expira e a mensagem é eliminada automaticamente.

  ou

• A mensagem é eliminada manualmente da quarentena.

O registo de auditoria tem de estar ativado (está ativado por predefinição). Para obter mais informações, consulte Ativar ou desativar a auditoria.

São enviadas várias ou duplicadas notificações de quarentena para o mesmo utilizador se o parâmetro SendFromAliasEnabled no cmdlet Set-OrganizationConfig no Exchange Online PowerShell estiver definido como o valor $true.

Os administradores podem utilizar a mensagem de Pré-visualização ou Ver cabeçalho da mensagem para ver a lista completa de destinatários.