よく寄せられる質問 - 検疫されたメッセージ

既定では、管理者のみがマルウェアに対して検疫されたメッセージを管理できます。 詳細については、「 検疫されたメッセージとファイルを管理者として管理する」を参照してください。

ただし、管理者は 検疫ポリシー を作成し、ユーザーに対してより多くの機能を定義するマルウェア対策ポリシーに適用できます。 詳細については、「 検疫ポリシーの作成」を参照してください。

検疫ポリシーの構成方法に関係なく、ユーザーはマルウェア対策ポリシーによってマルウェアとして検疫された独自のメッセージを解放できません。 ユーザーがこれらの検疫されたメッセージを解放するようにポリシーが構成されている場合、ユーザーは代わりに、これらの検疫されたメッセージのリリースを 要求 できます。

既定では、スパムまたは一括として分類されたメッセージは、次のスパム対策ポリシーによって配信され、迷惑メール Email フォルダーに移動されます。

• 既定のスパム対策ポリシー。
• カスタムスパム対策ポリシー。
• Standard事前設定されたセキュリティ ポリシー。

管理者は、既定のスパム対策ポリシーまたはカスタムスパム対策ポリシーを構成して、代わりにスパムまたは一括メール メッセージを検疫できます。 詳細については、「スパム対策ポリシーの構成」を参照してください。

厳密な事前設定されたセキュリティ ポリシーは、スパムまたは一括として分類されたメッセージを検疫します。

詳細については、次の記事を参照してください。

• スパム対策ポリシー設定
• 事前設定されたセキュリティ ポリシーのプロファイル

検疫で自分のメッセージにアクセスするには、ユーザーに有効なアカウントが必要です。

検疫ポリシーは、ユーザーが検疫されたメッセージにアクセスできるかどうか、およびユーザーに対して何を許可されるかを決定します。 詳細については、「 検疫ポリシーの構造」を参照してください。

検疫ポリシーでユーザーがメッセージのリリースを要求する必要がある場合、または管理者がメッセージをリリースする必要がある場合、管理者は、メッセージをユーザーが使用できるようにする前に 、リリース要求を承認 するか 、メッセージを解放 する必要があります。

事前設定されたセキュリティ ポリシーで検疫ポリシーをカスタマイズすることはできません。

検疫ポリシーは、メッセージが検疫された理由に基づいて、検疫されたメッセージにユーザーがアクセスできるかどうかを定義します。

検疫されたメッセージへの既定のアクセスについては、「検疫されたメッセージをユーザーとして検索して解放する」の表を参照してください。

次のシナリオでは、検疫ポリシーの構成方法に関係なく、ユーザーは独自の検疫済みメッセージを解放できません。

• マルウェア対策ポリシーによってマルウェアとして検疫されたメッセージ。
• 安全な添付ファイル ポリシーによってマルウェアまたはフィッシングとして検疫されたメッセージ。
• スパム対策ポリシーによって高信頼フィッシングとして検疫されたメッセージ。

ユーザーがこれらの検疫されたメッセージを解放するようにポリシーが構成されている場合、ユーザーは代わりに、これらの検疫されたメッセージのリリースを 要求 できます。

AdminOnlyAccessPolicy という名前の既定の検疫ポリシーは、検疫されたメッセージに対するユーザーの操作を防ぎます。 既定では、この検疫ポリシーは、マルウェアまたは高信頼フィッシングとして検疫されたメッセージに使用されます。 メッセージの検疫をサポートする保護機能のカスタム脅威ポリシーまたは既定の脅威ポリシーでは、管理者は、使用する検疫ポリシーとして AdminOnlyAccessPolicy を指定できます。

エンド ユーザーがhttps://security.microsoft.com/quarantineの [検疫] ページを表示またはアクセスできないようにすることはできません。

https://security.microsoft.com/quarantine?viewid=Emailの Defender ポータルの [検疫] ページの [Email] タブで使用できる [検疫理由] 列。 一般的な理由は、トランスポート ルール、一括、スパム、マルウェア、フィッシング、高信頼フィッシング、または 管理 アクション - ファイルの種類ブロックです。 詳細については、「 検疫済みメールを表示する」を参照してください。

このことについてサポート チケットを開く前に、「 検疫されたメッセージを削除したユーザーを検索する」を参照してください。

検疫されたメッセージも期限切れになり、メッセージが検疫された理由に応じて最終的に検疫から削除されます。 詳細については、「 検疫の保持」を参照してください。

マルウェア対策ポリシーの一般的な添付ファイル フィルターは、指定されたファイル拡張子を持つメッセージの添付ファイルを識別します (true 型の照合を使用できます)。 既定のマルウェア対策ポリシーおよびStandardおよび厳密な事前設定されたセキュリティ ポリシーでこれらの検出に対する既定のアクションは、配信不能レポート (NDR またはバウンス メッセージとも呼ばれます) 内のメッセージを拒否することです。 リリースされたメッセージに指定された添付ファイルの種類のいずれかが含まれている場合、メッセージが NDR 内の送信者に返された可能性があります。

検疫からメッセージの有効期限が切れると、回復できません。

既定では、ブロックされた送信者からのメッセージは検疫のビューから非表示になります (検疫は[ ブロックされた送信者を表示しない] でフィルター処理されます)。 すべての送信者からのメッセージを表示するには、[ フィルター ] を選択し、[ すべての送信者を表示] を選択します。

前の提案が適用されない場合は、影響を受けるメッセージから 7 日以内にサポート ケースを開き、問題を解決する可能性を高めます。

• Microsoft 以外のウイルス対策ソリューション、セキュリティ サービス、または送信コネクタでは、検疫から解放されたメッセージに対して次の問題が発生する可能性があります。

  • メッセージは、解放された後に検疫されます。
  • 受信者の受信トレイに到達する前に、リリースされたメッセージからコンテンツが削除されます。
  • リリースされたメッセージが受信者の受信トレイに届くことはありません。

  これらの問題に関するサポート チケットを開く前に、Microsoft 以外のフィルター処理を使用していないことを確認します。

  Microsoft 以外のフィルターによってメッセージがユーザーの受信トレイに到達できず、最初のリリース試行が機能しなかった場合、管理者は PowerShell Exchange Onlineの Release-QuarantineMessage コマンドレットを Force スイッチで使用してメッセージを解放できます。

  [強制] スイッチを使用した Release-QuarantineMessage が機能しない場合、管理者は、Microsoft 以外のサービスによるフィルター処理がオフになった後に、別のメールボックスにメッセージを解放する必要があります。 強制解放すると、メッセージが複数回解放される可能性があります。

  複数のメッセージをすべての受信者に一括でリリースしようとして、いずれかのメッセージで受信者レベルのメッセージの削除が行われた場合、エラーが発生します。 管理者は、検疫からの削除が行われていない受信者にのみ、その特定のメッセージをリリースする必要があります。

• 受信トレイ ルール (Outlook のユーザー、または PowerShell の *-InboxRule コマンドレットを使用して管理者によって作成) は、受信トレイからメッセージ Exchange Onlineを移動または削除できます。

• メッセージを検疫した一部のメール フロー ルールでは、解放されたメッセージが再度検疫される可能性があります。

• リリースされた検疫メッセージを onpremises 受信者にルーティングすると、スパム対策ヘッダーが失われる可能性があることを管理者に通知します。これにより、メッセージはリリース後に再び検疫されます。

管理者は 、メッセージ トレース を使用して、リリースされたメッセージが受信者の受信トレイに配信されたかどうかを判断できます。

Microsoft 以外のウイルス対策ソリューションまたはセキュリティ サービスは、 検疫通知のアクション ボタンをランダムに選択できます。

この問題に関するサポート チケットを開く前に、Microsoft 以外のフィルター処理を使用していないことを確認します。

解放された検疫済みメッセージには、[状態] 値 [リリース済み] と [検疫] ページで [リリース済み] プロパティが使用できます。

管理者は、監査ログを使用して、検疫からメッセージをリリースしたユーザーを確認することもできます。 [アクティビティ - フレンドリ名] の値 Released Quarantine メッセージを使用します。 関連する手順については、「 検疫済みメッセージを削除したユーザーを検索する」を参照してください。

Microsoft Defender ポータルでは、一度に最大 100 個のメッセージを選択して解放できます。

管理者は、Exchange Online PowerShell の Get-QuarantineMessage コマンドレットと Release-QuarantineMessage コマンドレットを使用して、検疫されたメッセージを一括で検索して解放したり、誤検知を一括で報告したりできます。

[検疫] ページで使用できる一括アクションについては、「検疫された複数のメール メッセージに対するアクションの実行」を参照してください。

プラン 2 Defender for Office 365では、エクスプローラー (Threat エクスプローラー) を使用して、大規模な一括リリース操作 (最大 200,000 メッセージ) を実行できます。

ワイルドカードは、Microsoft Defender ポータルではサポートされていません。 たとえば、送信者を検索するときは、完全なメール アドレスを指定する必要があります。 ただし、PowerShell PowerShell ではワイルドカードExchange Online使用できます。

たとえば、次の PowerShell コードを NotePad にコピーし、ファイルを見つけやすい場所 (たとえば、C:\Data\QuarantineRelease.ps1) に .ps1 として保存します。

次に、PowerShell Exchange Onlineに接続した後、次のコマンドを実行してスクリプトを実行します。

& C:\Data\QuarantineRelease.ps1

スクリプトは次のアクションを実行します。

• fabrikam ドメイン内のすべての送信者からスパムとして検疫された未リリースのメッセージを検索します。 結果の最大数は 50,000 (1000 件の結果の 50 ページ) です。
• 結果を CSV ファイルに保存します。
• 一致する検疫済みメッセージを元のすべての受信者にリリースします。

$Page = 1
$List = $null

Do
{
Write-Host "Getting Page " $Page

$List = (Get-QuarantineMessage -Type Spam -PageSize 1000 -Page $Page | where {$_.Released -like "False" -and $_.SenderAddress -like "*fabrikam.com"})
Write-Host "                     " $List.count " rows in this page match"
Write-Host "                                                             Exporting list to appended CSV for logging"
$List | Export-Csv -Path "C:\Data\Quarantined Message Matches.csv" -Append -NoTypeInformation

Write-Host "Releasing page " $Page
$List | foreach {Release-QuarantineMessage -Identity $_.Identity -ReleaseToAll}

$Page = $Page + 1

} Until ($Page -eq 50)

メッセージをリリースした後は、もう一度解放することはできません。

関連付けられている検疫ポリシーで検疫通知が有効になっている場合は、検疫通知を 4 時間ごと、毎日、または毎週送信するように構成できます。 詳細については、「 すべての検疫通知をカスタマイズする」を参照してください。

検疫ポリシーでのみ、内部 (organization内) メッセージの検疫通知を設定することもできます。

まず、 メッセージ トレース を使用して、受信者が検疫通知を受け取らなかったことを確認します。

• 送信者: Quarantine@messaging.microsoft.com または カスタム送信者アドレス。
• 受信者: 受信者のメール アドレス。

検疫通知が送信されなかったことを確認したら、次のガイダンスに進みます。

サポートされている検疫アクションに対して定義されている検疫ポリシーで通知が有効になっていない場合、検疫通知は送信されません。

詳細については、「 検疫ポリシーの構造」の最後の 表と、「 クラウド組織の推奨メールとコラボレーションの脅威ポリシー設定 」の個々の機能テーブルを参照して、検疫通知が有効になっている既定の検疫ポリシーを確認してください。

また、 事前設定されたセキュリティ ポリシー内の個々の脅威ポリシーは、常にカスタム脅威ポリシー の前に 適用されます。 Standardまたは Strict の事前設定されたセキュリティ ポリシーで定義されたユーザーは、検疫ポリシーをカスタマイズして検疫通知を有効にするようにカスタマイズされた脅威ポリシーを取得することはありません。 詳細については、「 事前設定されたセキュリティ ポリシーのポリシー設定」を参照してください。

検疫通知は、Exchange メール フロー ルール (トランスポート ルール) またはデータ損失防止 (DLP) によって検疫されたメッセージに対して有効になっていません。 これらのメッセージには、AdminOnly 検疫ポリシーがあります。 DefaultFullAccess 検疫ポリシーを使用したメッセージに対しても、検疫通知は生成されません。

「すべての検疫通知をカスタマイズする」を参照してください。

アクセス許可エントリについては 、こちらを参照してください。

アカウント/メールボックスの言語がカスタム検疫通知の言語と一致する場合にのみ、別の言語のカスタム検疫通知がユーザーに表示されます。

ユーザーが Teams クライアントからメッセージを削除した場合、メッセージは削除されるため、削除されたメッセージの検疫ではプレビューを使用できません。

検疫されたメッセージでは、送信者のブロックは既定で無効になっています。

エンド ユーザーの場合、管理者は [送信者のブロック ] アクションを含むカスタム検疫ポリシーを作成して割り当てることができます。 詳細については、「検疫ポリシー」を参照してください。

管理者は、既定の値 [すべてのユーザー] ではなく [受信者>Only me で検疫結果をフィルター処理する場合にのみ送信者をブロックする] を表示します。

承認リリース は廃止され、 Release に含まれるようになりました。

[ 送信者のブロック] アクションは、パブリック フォルダーでは実行できません。

Exchange のパブリック フォルダーには、個々のメールボックスのような迷惑メール構成設定はありません。 Set-MailboxJunkEmailConfiguration コマンドレットは、パブリック フォルダーではなくメールボックスの迷惑メール設定を構成します。

[ 検索 ] ボックスは、検疫で表示される結果に適用されます。 既定では、リストの一番下まで下にスクロールするまで、最初の 100 個のエントリのみが表示され、より多くの結果が読み込まれます。

インターネット メッセージ ID で検疫されたメッセージをフィルター処理するには、PowerShell でも、値に山かっこ (<>) を含める必要があります。

解放されたメッセージは、次のまで [状態] 値 [ リリース済み] と共に検疫に表示されたままです。

• 検疫の保持期間が期限切れになり、メッセージが自動的に削除されます。

  または

• メッセージは検疫から手動で削除されます。

監査ログを有効にする必要があります (既定ではオンになっています)。 詳細については、「監査のオンとオフを切り替える」を参照してください。

PowerShell の Set-OrganizationConfig Exchange Online コマンドレットの SendFromAliasEnabled パラメーターが$true値に設定されている場合、複数または重複する検疫通知が同じユーザーに送信されます。

管理者は、 プレビュー メッセージ または メッセージ ヘッダーの表示 を使用して、受信者の完全な一覧を表示できます。