FAQ sur les messages mis en quarantaine

Par défaut, seuls les administrateurs peuvent gérer les messages mis en quarantaine pour les programmes malveillants. Pour plus d’informations, consultez Gérer les messages et les fichiers mis en quarantaine en tant qu’administrateur.

Toutefois, les administrateurs peuvent créer et appliquer des stratégies de mise en quarantaine aux stratégies anti-programme malveillant qui définissent davantage de fonctionnalités pour les utilisateurs. Pour plus d’informations, consultez Créer des stratégies de mise en quarantaine.

Les utilisateurs ne peuvent pas publier leurs propres messages qui ont été mis en quarantaine en tant que programmes malveillants par des stratégies anti-programme malveillant, quelle que soit la façon dont la stratégie de quarantaine est configurée. Si la stratégie permet aux utilisateurs de publier leurs propres messages mis en quarantaine, les utilisateurs sont autorisés à demander la libération de leurs programmes malveillants en quarantaine ou de messages d’hameçonnage à haut niveau de confiance.

Par défaut, les messages classés comme courrier indésirable ou en bloc sont remis et déplacés vers le dossier Email indésirables par les stratégies anti-courrier indésirable suivantes :

• Stratégie anti-courrier indésirable par défaut.
• Stratégies anti-courrier indésirable personnalisées.
• Stratégie de sécurité prédéfinie Standard.

Les administrateurs peuvent configurer les stratégies anti-courrier indésirable ou personnalisées par défaut pour mettre en quarantaine le courrier indésirable ou les messages électroniques en bloc à la place. Si vous souhaitez en savoir plus, consultez l’article Configurer les stratégies anti-courrier indésirable dans EOP.

La stratégie de sécurité prédéfinie Strict met en quarantaine les messages classés comme courrier indésirable ou en bloc.

Si vous souhaitez en savoir plus, consultez les articles suivants :

• Paramètres de stratégie anti-courrier indésirable EOP
• Profils dans les stratégies de sécurité prédéfinies

Un utilisateur doit disposer d’un compte valide pour accéder à ses propres messages en quarantaine. EOP autonome nécessite que les utilisateurs soient représentés en tant qu’utilisateurs de messagerie dans EOP (créés ou créés manuellement via la synchronisation d’annuaires). Pour plus d’informations sur la gestion des utilisateurs dans des environnements EOP autonomes, consultez Gérer les utilisateurs de messagerie dans EOP autonome.

Les stratégies de mise en quarantaine déterminent si les utilisateurs peuvent accéder à leurs messages mis en quarantaine et ce qu’ils sont autorisés à leur faire. Pour plus d’informations, consultez Anatomie d’une stratégie de mise en quarantaine.

Si la stratégie de mise en quarantaine exige que les utilisateurs demandent la publication des messages ou que les administrateurs publient des messages, un administrateur doit approuver la demande de mise en production ou libérer le message avant que le message ne soit disponible pour les utilisateurs.

Les stratégies de mise en quarantaine définissent si les utilisateurs peuvent accéder aux messages mis en quarantaine en fonction de la raison pour laquelle le message a été mis en quarantaine.

Pour obtenir l’accès par défaut aux messages mis en quarantaine, consultez le tableau dans Rechercher et libérer des messages mis en quarantaine en tant qu’utilisateur dans EOP

Les utilisateurs ne peuvent pas publier leurs propres messages qui ont été mis en quarantaine en tant que programmes malveillants par des stratégies anti-programme malveillant ou pièces jointes fiables, ou en tant que hameçonnage à haut niveau de confiance par des stratégies anti-courrier indésirable, quelle que soit la façon dont la stratégie de quarantaine est configurée. Si la stratégie permet aux utilisateurs de publier leurs propres messages mis en quarantaine, les utilisateurs sont autorisés à demander la libération de leurs programmes malveillants en quarantaine ou de messages d’hameçonnage à haut niveau de confiance.

La stratégie de mise en quarantaine par défaut nommée AdminOnlyAccessPolicy empêche toute interaction de l’utilisateur avec ses messages mis en quarantaine. Par défaut, cette stratégie de mise en quarantaine est utilisée pour les messages mis en quarantaine en tant que programmes malveillants ou hameçonnage à haut niveau de confiance. Dans les stratégies personnalisées ou la stratégie par défaut pour les fonctionnalités de protection qui prennent en charge la mise en quarantaine des messages, les administrateurs peuvent spécifier adminOnlyAccessPolicy comme stratégie de mise en quarantaine à utiliser.

Colonne Raison de la quarantaine disponible sous l’onglet Email de la page Quarantaine dans le portail Defender à l’adresse https://security.microsoft.com/quarantine?viewid=Email. Les raisons courantes sont : Règle de transport, Bloc, Courrier indésirable, Programme malveillant, Hameçonnage, Hameçonnage à haut niveau de confiance ou action Administration - Bloc de type de fichier. Pour plus d’informations, consultez Afficher les e-mails mis en quarantaine.

Avant d’ouvrir un ticket de support à ce sujet, consultez Rechercher qui a supprimé un message mis en quarantaine.

Les messages mis en quarantaine expirent également et sont finalement supprimés de la quarantaine, selon la raison pour laquelle le message a été mis en quarantaine. Pour plus d’informations, consultez Rétention en quarantaine.

Le filtre des pièces jointes courantes dans les stratégies anti-programme malveillant identifie les pièces jointes de message avec les extensions de fichier spécifiées (il était possible d’utiliser la correspondance de type vrai). L’action par défaut pour ces détections dans la stratégie anti-programme malveillant par défaut et dans les stratégies de sécurité prédéfinies standard et strictes consiste à rejeter le message dans un rapport de non-remise (également appelé message de remise ou de rebond). Si le message publié contient l’un des types de pièces jointes spécifiés, il est possible que le message ait été retourné à l’expéditeur dans une remise.

Lorsqu’un message expire de la quarantaine, vous ne pouvez pas le récupérer.

• Les solutions antivirus tierces, les services de sécurité ou les connecteurs sortants peuvent provoquer les problèmes suivants pour les messages qui sont libérés de la quarantaine :

  • Le message est mis en quarantaine après sa libération.
  • Le contenu est supprimé du message publié avant qu’il n’atteigne la boîte de réception du destinataire.
  • Le message libéré n’arrive jamais dans la boîte de réception du destinataire.

  Vérifiez que vous n’utilisez pas le filtrage tiers avant d’ouvrir un ticket de support concernant ces problèmes.

• Les règles de boîte de réception (créées par des utilisateurs dans Outlook ou par des administrateurs à l’aide des applets de commande *-InboxRule dans Exchange Online PowerShell) peuvent déplacer ou supprimer des messages de la boîte de réception.

Les administrateurs peuvent utiliser le suivi des messages pour déterminer si un message libéré a été remis à la boîte de réception du destinataire.

Les solutions antivirus tierces ou les services de sécurité peuvent sélectionner de manière aléatoire des boutons d’action dans les notifications de mise en quarantaine.

Vérifiez que vous n’utilisez pas le filtrage tiers avant d’ouvrir un ticket de support concernant ce problème.

Dans le portail Microsoft Defender, vous pouvez sélectionner et publier jusqu’à 100 messages à la fois.

Les administrateurs peuvent utiliser les applets de commande Get-QuarantineMessage et Release-QuarantineMessage dans Exchange Online PowerShell ou EOP PowerShell autonome pour rechercher et publier des messages mis en quarantaine en bloc, et pour signaler les faux positifs en bloc.

Les caractères génériques ne sont pas pris en charge dans le portail Microsoft Defender. Par exemple, lorsque vous recherchez un expéditeur, vous devez spécifier l’adresse e-mail complète. Toutefois, vous pouvez utiliser des caractères génériques dans Exchange Online PowerShell ou EOP PowerShell autonome.

Par exemple, copiez le code PowerShell suivant dans le Bloc-notes et enregistrez le fichier en tant que .ps1 dans un emplacement facile à trouver (par exemple, C:\Data\QuarantineRelease.ps1).

Ensuite, après vous être connecté à Exchange Online PowerShell ou Exchange Online Protection PowerShell, exécutez la commande suivante pour exécuter le script :

& C:\Data\QuarantineRelease.ps1

Le script effectue les actions suivantes :

• Recherchez les messages non mis en quarantaine en tant que courrier indésirable de tous les expéditeurs du domaine fabrikam. Le nombre maximal de résultats est de 50 000 (50 pages de 1 000 résultats).
• Enregistrez les résultats dans un fichier CSV.
• Libérez les messages mis en quarantaine correspondants à tous les destinataires d’origine.

$Page = 1
$List = $null

Do
{
Write-Host "Getting Page " $Page

$List = (Get-QuarantineMessage -Type Spam -PageSize 1000 -Page $Page | where {$_.Released -like "False" -and $_.SenderAddress -like "*fabrikam.com"})
Write-Host "                     " $List.count " rows in this page match"
Write-Host "                                                             Exporting list to appended CSV for logging"
$List | Export-Csv -Path "C:\Data\Quarantined Message Matches.csv" -Append -NoTypeInformation

Write-Host "Releasing page " $Page
$List | foreach {Release-QuarantineMessage -Identity $_.Identity -ReleaseToAll}

$Page = $Page + 1

} Until ($Page -eq 50)

Une fois que vous avez publié un message, vous ne pouvez plus le libérer à nouveau.

Si les notifications de mise en quarantaine sont activées dans la stratégie de mise en quarantaine associée, vous pouvez configurer les notifications de quarantaine à envoyer toutes les quatre heures, tous les jours ou toutes les semaines. Pour plus d’informations, consultez Personnaliser toutes les notifications de mise en quarantaine.

Si la stratégie de quarantaine définie pour l’action de mise en quarantaine prise en charge n’a pas de notifications activées, les notifications de quarantaine ne sont pas envoyées.

Pour plus d’informations, consultez le dernier tableau dans Anatomie d’une stratégie de mise en quarantaine et les tables de fonctionnalités individuelles dans Paramètres recommandés pour EOP et Microsoft Defender pour Office 365 pour voir quelles stratégies de quarantaine par défaut les notifications de mise en quarantaine sont activées.

En outre, les stratégies de protection dans les stratégies de sécurité prédéfinies sont toujours appliquées avant les stratégies de protection personnalisées. Un utilisateur qui est défini dans la stratégie de sécurité prédéfinie Standard ou Strict n’obtiendra jamais de stratégie de protection personnalisée où la stratégie de quarantaine est personnalisée pour activer les notifications de quarantaine. Pour plus d’informations, consultez Paramètres de stratégie dans les stratégies de sécurité prédéfinies

Consultez Personnaliser toutes les notifications de mise en quarantaine.

Consultez l’entrée d’autorisations ici.

Une notification de mise en quarantaine personnalisée pour une autre langue est présentée aux utilisateurs uniquement lorsque la langue de leur compte/boîte aux lettres correspond à la langue de la notification de mise en quarantaine personnalisée.

Si un utilisateur supprime le message du client Teams, le message a disparu. La préversion n’est donc pas disponible en quarantaine pour le message supprimé.