Карантин Exchange Online Protection (часть 4)

Опубликовано: 12 Марта, 2023
Карантин Exchange Online Protection (часть 4)

  • Карантин Exchange Online Protection (часть 2)
  • Карантин Exchange Online Protection (часть 3)

Ограничения портала Office 365

Портал Exchange Online Protection (EOP) выполняет самые основные задачи по управлению карантином организации. Администраторы могут искать сообщения по различным критериям и освобождать сообщения. Однако некоторым администраторам может потребоваться дополнительная гибкость. В конце концов, не хватает нескольких вещей, которые были бы действительно полезны:

  • Невозможно выпускать сообщения, не открывая их;
  • Невозможно увидеть, было ли выпущено сообщение, не открывая его;
  • Невозможно перечислить более 500 сообщений и нет кнопки «следующая страница». Если сообщение не отображается в списке, нам нужно дополнительно отфильтровать наш поиск;
  • Массовый выпуск сообщений невозможен. Если есть несколько помещенных в карантин сообщений от определенного получателя, сообщения необходимо выпускать по одному! Определенно худший недостаток портала в этом списке…

Для их преодоления и на момент написания этой статьи единственным решением является PowerShell.

Использование PowerShell

Надеемся, что вышеуказанные функции будут доступны на портале в ближайшее время. А пока PowerShell спешит на помощь!

Первое, что нужно сделать, это открыть окно консоли PowerShell и подключиться к EOP:

Для организаций, которые используют EOP только для защиты локальных почтовых ящиков, вместо этого используйте следующий :

После подключения давайте перечислим, какие командлеты PowerShell доступны для управления сообщениями в карантине:

Изображение 2407
фигура 1

Ладно, не так уж и много… Так что же они делают? Они говорят сами за себя, чтобы быть справедливыми:

  • позволяет нам перечислять или искать сообщения, отправленные в нашу организацию и помещенные в карантин EOP. Мы можем фильтровать их по различным критериям, таким как адрес отправителя/получателя, тема и т. д.;
  • показывает заголовок сообщения, помещенного в карантин (аналогично нажатию «просмотреть заголовок сообщения…» на портале);
  • отправляет помещенное в карантин сообщение некоторым или всем предполагаемым получателям. Он также используется, чтобы сообщить о сообщении как о ложном срабатывании.

Поиск сообщений в карантине

Для поиска сообщений в карантине мы используем командлет , как упоминалось выше. Этот командлет возвращает ряд свойств сообщения, но по какой-то причине три из этих свойств всегда пусты:

Изображение 2408
фигура 2

В этом случае я использую свойство для поиска сообщения, но я мог бы использовать, например, , чтобы результат был таким же. Однако, если мы вместо этого укажем сообщения, то эти свойства будут отображаться! Давайте посмотрим на то же сообщение, но на этот раз со ссылкой на его личность:

Изображение 2409
Рисунок 3

Используя этот метод, теперь видны ранее «отсутствующие» свойства. Мы также можем видеть, что это сообщение было отправлено одному получателю и уже передано ему.

В следующем примере я просто возвращаю каждое сообщение, находящееся в настоящее время в карантине:

Изображение 2410
Рисунок 4

Поскольку это арендатор моей лаборатории, в карантине не так много сообщений. Когда имеется большое количество сообщений, мы можем легко отфильтровать их по времени получения, отправителю, получателю, теме и т. д. В следующем примере я ограничиваю результаты, чтобы показывать только электронные письма, помещенные в карантин в декабре, с помощью Параметр (дата в американском формате):

Изображение 2411
Рисунок 5

Если нужно отобразить сотни сообщений, нам может понадобиться использовать один или два дополнительных параметра:

  • Параметр указывает номер страницы результатов для просмотра (от 1 до 1000, где 1 — значение по умолчанию);
  • Параметр указывает максимальное количество записей на странице (от 1 до 5000, при этом 1000 используется по умолчанию — уже намного лучше, чем ограничение в 500 на портале).

Как мы видели ранее, сообщения остаются в карантине до истечения срока их действия даже после их выпуска, что затрудняет проверку того, какие сообщения уже были выпущены, а какие нет… При использовании портала нам нужно открыть сообщение, чтобы увидеть, выпущен он или нет. С помощью PowerShell мы можем легко вернуть каждое сообщение, которое еще не было выпущено, его получателям, проверив свойство (мы также можем использовать параметр , чтобы проверить, было ли сообщение выпущено для из его получателей):

Изображение 2412
Рисунок 6

Если, с другой стороны, мы хотим проверить сообщения, которые уже были отправлены всем получателям, мы в основном проверяем обратное, как и раньше:

Изображение 2413
Рисунок 7

Что, если мы хотим экспортировать все из карантина в CSV, чтобы мы могли анализировать его более удобным для пользователя способом? Не проблема! Просто используйте команду , чтобы экспортировать все сведения обо всех сообщениях в карантине в файл CSV (не забудьте использовать , если вы также хотите, чтобы эти три свойства были упомянуты в начале):

Изображение 2414
Рисунок 8

Изображение 2415
Рисунок 9

Преимущество использования PowerShell заключается в том, что мы можем легко перечислить все сообщения, о которых уже сообщалось как о ложных срабатываниях. Для этого мы используем параметр и указываем , что означает, что он будет фильтровать и отображать только те сообщения, о которых было сообщено. И наоборот, если мы укажем мы получим список всех сообщений, о которых еще не было сообщено:

Изображение 2416
Рисунок 10

Заголовки сообщений

Честно говоря, об этом командлете сказать особо нечего. Мы просто указываем сообщения и видим его заголовки:

Изображение 2417
Рисунок 11

Выпуск помещенных в карантин сообщений

Теперь, когда мы выполнили поиск и нашли искомые сообщения, мы можем, наконец, выпустить их с помощью командлета , который имеет три основных параметра:

  • ReleaseToAll освобождает помещенное в карантин сообщение всем первоначальным получателям сообщения. Если ранее мы использовали параметр (см. ниже) или переключатель , чтобы передать помещенное в карантин сообщение некоторым или всем исходным получателям, эти получатели будут пропущены;
  • Пользователь указывает адрес электронной почты пользователя, которому мы хотим отправить помещенное в карантин сообщение. Мы можем указать несколько адресов электронной почты, разделенных запятыми. Опять же, если мы ранее передали сообщение любому из его первоначальных получателей, теперь они будут пропущены;
  • ReportFalsePositive отправляет уведомление о том, что указанное сообщение не является спамом.

Обратите внимание, что сообщения могут быть отправлены только одному или нескольким первоначальным получателям, то есть мы не можем передать сообщение администратору, например, для анализа.

Чтобы выпустить сообщение, мы можем просто указать идентификатор сообщения:

Изображение 2418
Рисунок 12

Или мы можем отправить сообщение с помощью командлета . В следующем примере мы пытаемся выпустить сообщение, которое уже было выпущено:

Изображение 2419
Рисунок 13

Возвращаясь к списку улучшений, которые мог использовать портал, одним из них был массовый выпуск сообщений. Это легко сделать через PowerShell. В этом примере мы освобождаем все помещенные в карантин сообщения, отправленные определенным пользователем:

Изображение 2420
Рисунок 14

Мы также можем освободить все сообщения от определенного домена:

Изображение 2421
Рисунок 15

Как ни странно, кажется, что невозможно просто сообщить о сообщении как о ложном срабатывании, не сообщая его получателю. Каждый раз, когда я пытаюсь это сделать, я получаю следующую ошибку:

Изображение 2422
Рисунок 16

Однако, если я использую параметры или , все работает нормально:

Изображение 2423
Рисунок 17

Наконец, если вы ищете быстрый способ опубликовать и сообщить о каждом электронном письме в вашем карантине, просто выполните следующее:

Вывод

В этой серии статей мы рассмотрели функцию карантина Exchange Online Protection, в том числе способы включения, настройки и управления ею как с точки зрения администратора, так и с точки зрения конечного пользователя.

  • Карантин Exchange Online Protection (часть 2)
  • Карантин Exchange Online Protection (часть 3)
Microsoft

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Миграция автономного клиента Office 365 на Exchange 2010 (часть 8)
13 Марта, 2023
Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 2)
13 Марта, 2023
Миграция автономного клиента Office 365 в Exchange 2010 (часть 7)
13 Марта, 2023
Настройка гибридного развертывания Exchange 2013 и переход на Office 365 (Exchange Online) (часть 1)
13 Марта, 2023
Миграция автономного клиента Office 365 на Exchange 2010 (часть 6)
13 Марта, 2023
Настройка гибридного развертывания Exchange с переходом на Office 365 (Exchange Online) (часть 11)
13 Марта, 2023
Миграция автономного клиента Office 365 на Exchange 2010 (часть 5)
13 Марта, 2023
Настройка гибридного развертывания Exchange с переходом на Office 365 (Exchange Online) (часть 10)
13 Марта, 2023