Administrer meddelelser og filer i karantæne som en administrator
Tip
Vidste du, at du kan prøve funktionerne i Microsoft Defender XDR til Office 365 Plan 2 gratis? Brug den 90-dages Defender for Office 365 prøveversion på Microsoft Defender portalen med prøveversionshubben. Få mere at vide om, hvem der kan tilmelde dig og prøvevilkår i Prøv Microsoft Defender for Office 365.
I Microsoft 365-organisationer med postkasser i Exchange Online eller Microsoft Teams eller i enkeltstående Exchange Online Protection organisationer (EOP) uden Exchange Online postkasser eller Teams, kan du sætte potentielt farlige eller uønskede meddelelser, der blev registreret af EOP, i karantæne, og Defender for Office 365.
Administratorer kan få vist, udgive og slette alle typer karantænemeddelelser og filer for alle brugere.
Administratorer i organisationer med Microsoft Defender for Office 365 kan også administrere filer, der er sat i karantæne af Sikre vedhæftede filer for SharePoint-, OneDrive- og Microsoft Teams- og Microsoft Teams-meddelelser, der blev sat i karantæne med automatisk sletning på nul timer (ZAP).
Brugerne kan administrere de fleste karantænemailmeddelelser baseret på karantænepolitikken for understøttede funktioner til beskyttelse af mail. Du kan få flere oplysninger om karantænepolitikker under Anatomi af en karantænepolitik.
Administratorer og brugere (afhængigt af den bruger, der har rapporteret indstillinger for organisationen) kan rapportere falske positiver til Microsoft fra karantæne.
Du får vist og administrerer karantænemeddelelser på Microsoft Defender-portalen eller i PowerShell (Exchange Online PowerShell til Microsoft 365-organisationer med postkasser i Exchange Online; enkeltstående EOP PowerShell til organisationer uden Exchange Online postkasser).
Se denne korte video for at få mere at vide om, hvordan du administrerer karantænemeddelelser som administrator.
Tip
Som ledsager til denne artikel kan du se vores konfigurationsvejledning til Microsoft Defender for Office 365 for at gennemse bedste praksis og for at beskytte mod mail-, link- og samarbejdstrusler. Funktionerne omfatter Sikre links, Vedhæftede filer og meget mere. Hvis du vil have en tilpasset oplevelse baseret på dit miljø, kan du få adgang til Microsoft Defender for Office 365 automatiserede konfigurationsvejledning i Microsoft 365 Administration.
Hvad har du brug for at vide, før du begynder?
Hvis du vil åbne Microsoft Defender-portalen, skal du gå til https://security.microsoft.com. Hvis du vil gå direkte til siden Karantæne , skal du bruge https://security.microsoft.com/quarantine.
Hvis du vil oprette forbindelse til Exchange Online PowerShell, skal du se Opret forbindelse til Exchange Online PowerShell. Hvis du vil oprette forbindelse til enkeltstående EOP PowerShell, skal du se Opret forbindelse til Exchange Online Protection PowerShell.
Du skal have tildelt tilladelser, før du kan udføre procedurerne i denne artikel. Du har følgende muligheder:
-
Microsoft Defender XDR Unified-rollebaseret adgangskontrol (RBAC) (Hvis mail & samarbejde>Defender for Office 365 tilladelser er aktive. Påvirker kun Defender-portalen, ikke PowerShell):
- Udfør en handling på karantænemeddelelser for alle brugere: Sikkerhedshandlinger/Sikkerhedsdata/Mail & samarbejdskarantæne (administrer).
- Skrivebeskyttet adgang til karantænemeddelelser for alle brugere: Sikkerhedshandlinger/Sikkerhedsdata/Grundlæggende sikkerhedsdata (læst).
-
Mail & samarbejdstilladelser på Microsoft Defender-portalen:
-
Udfør en handling på karantænemeddelelser for alle brugere: Medlemskab af rollegrupperne Karantæneadministrator, Sikkerhedsadministrator eller Organisationsadministration .
- Send meddelelser fra karantæne til Microsoft: Medlemskab i rollegrupperne Sikkerhedsadministrator .
- Brug Bloker afsender til at føje afsendere til din egen liste over blokerede afsendere: Administratorer kan kun se Bloker afsender , hvis de filtrerer karantæneresultaterne efter Modtager>Kun mig i stedet for standardværdien Alle brugere. Tildeling af alle tilladelser, der giver administratoren adgang til karantæne (f.eks. Sikkerhedslæser eller Global læser), giver adgang til Bloker afsender i karantæne, hvis brugeren filtrerer karantæneresultaterne efter Kun modtager>.
- Skrivebeskyttet adgang til karantænemeddelelser for alle brugere: Medlemskab af rollegrupperne Sikkerhedslæser eller Global læser .
-
Udfør en handling på karantænemeddelelser for alle brugere: Medlemskab af rollegrupperne Karantæneadministrator, Sikkerhedsadministrator eller Organisationsadministration .
-
Microsoft Entra tilladelser: Medlemskab af disse roller giver brugerne de nødvendige tilladelser og tilladelser til andre funktioner i Microsoft 365:
Udfør en handling på karantænemeddelelser for alle brugere: Medlemskab af rollerne Sikkerhedsadministrator eller Global administrator* .
Vigtigt!
* Microsoft anbefaler, at du bruger roller med færrest tilladelser. Brug af konti med lavere tilladelser hjælper med at forbedre sikkerheden for din organisation. Global administrator er en yderst privilegeret rolle, der bør være begrænset til nødsituationer, når du ikke kan bruge en eksisterende rolle.
- Send meddelelser fra karantæne til Microsoft: Medlemskab af rollen Sikkerhedsadministrator .
- Brug Bloker afsender til at føje afsendere til din egen liste over blokerede afsendere: Administratorer kan kun se Bloker afsender , hvis de filtrerer karantæneresultaterne efter Modtager>Kun mig i stedet for standardværdien Alle brugere. Tildeling af alle tilladelser, der giver administratoren adgang til karantæne (f.eks. Sikkerhedslæser eller Global læser), giver adgang til Bloker afsender i karantæne, hvis brugeren filtrerer karantæneresultaterne efter Kun modtager>.
Skrivebeskyttet adgang til karantænemeddelelser for alle brugere: Medlemskab af rollerne Global læser eller Sikkerhedslæser .
Tip
Muligheden for at administrere karantænemeddelelser ved hjælp af Exchange Online tilladelser ophørte i februar 2023 pr. MC447339.
Gæsteadministratorer fra andre organisationer kan ikke administrere meddelelser i karantæne. Administratoren skal være i samme organisation som modtagerne.
-
Microsoft Defender XDR Unified-rollebaseret adgangskontrol (RBAC) (Hvis mail & samarbejde>Defender for Office 365 tilladelser er aktive. Påvirker kun Defender-portalen, ikke PowerShell):
Karantænemeddelelser og filer opbevares i en standardperiode baseret på, hvorfor de blev sat i karantæne. Når opbevaringsperioden udløber, slettes meddelelserne automatisk og kan ikke gendannes. Du kan få flere oplysninger under Opbevaring af karantæne.
Du kan få oplysninger om rækkefølgen af brugeradgang og -blokke, og organisationen tillader og blokerer, under Konflikt mellem bruger- og lejerindstillinger.
Alle handlinger, der udføres af administratorer eller brugere i karantænemeddelelser, overvåges. Du kan få flere oplysninger om overvågede karantænehændelser i Karantæneskema i API til Office 365 Management.
Brug Microsoft Defender-portalen til at administrere mails i karantæne
Vis karantænemail
I Microsoft Defender-portalen på https://security.microsoft.comskal du gå til Fanen Mail & samarbejde>Gennemse>karantænemail>. Du kan også gå direkte til fanen Mail på siden Karantæne ved at bruge https://security.microsoft.com/quarantine?viewid=Email.
Som standard vises kun de første 100 poster, indtil du ruller ned til bunden af listen, hvilket indlæser flere resultater.
Under fanen Mail kan du mindske den lodrette afstand på listen ved at klikke på Skift listeafstand til kompakt eller normal og derefter vælge Komprimer liste.
Du kan sortere posterne ved at klikke på en tilgængelig kolonneoverskrift. Vælg Tilpas kolonner for at ændre de kolonner, der vises. Standardværdierne er markeret med en stjerne (*):
Modtaget tid*
Emne*
Afsender*
Årsag til* karantæne (se de mulige værdier i Filterbeskrivelse .
Udgivelsesstatus* (se de mulige værdier i Filterbeskrivelse .
Politiktype* (se de mulige værdier i Filterbeskrivelse .
Udløber*
Modtager: Modtagermailadressen fortolkes altid som den primære mailadresse, selvom meddelelsen blev sendt til en proxyadresse.
Årsag til* tilsidesættelse af afsenderadresse: En af følgende værdier:
- Ingen
- Afsenderen af meddelelsen er blokeret af modtagerindstillingerne
- Meddelelsens afsender er blokeret af administratorindstillingerne
Tip
Hvis en afsender er blokeret, og Vis ikke blokerede afsendere er valgt (standard), vises meddelelser fra disse afsendere på siden Karantæne og medtages i karantænemeddelelser, når årsagsværdien for afsenderadressen tilsidesætter årsag er Ingen. Denne funktionsmåde opstår, fordi meddelelserne blev blokeret af andre årsager end tilsidesættelser af afsenderadresser.
Udgivet af*
Meddelelses-id
Politiknavn
Meddelelsesstørrelse
Postretning
Modtagerkode
Hvis du vil filtrere posterne, skal du vælge Filtrer. Følgende filtre er tilgængelige i pop op-vinduet Filtre , der åbnes:
Meddelelses-id: Meddelelsens globalt entydige id.
Du brugte f.eks. meddelelsessporing til at søge efter en meddelelse, og du fastslår, at meddelelsen blev sat i karantæne i stedet for leveret. Sørg for at inkludere den fulde meddelelses-id-værdi, som kan indeholde vinkelparenteser (<>). For eksempel:
<79239079-d95a-483a-aacf-e954f592a0f6@XYZPR00BM0200.contoso.com>
.Afsenderadresse
Modtageradresse
Emne
Modtaget tid: Vælg en af følgende værdier:
- Seneste 24 timer
- Seneste 7 dage (standard)
- Seneste 14 dage
- Seneste 30 dage
- Brugerdefineret: Angiv et starttidspunkt og et sluttidspunkt (dato).
Udløber: Filtrer meddelelser efter, når de udløber fra karantæne. Vælg en af følgende værdier:
- I dag
- De næste 2 dage
- De næste 7 dage
- Brugerdefineret: Angiv et starttidspunkt og et sluttidspunkt (dato).
Modtagerkode: I øjeblikket er det eneste brugermærke , der kan vælges, prioritetskontoen.
Karantæneårsag: Vælg en eller flere af følgende værdier:
- Transportregel (regel for mailflow)
- Bulk
- Spam
- Forebyggelse af datatab
- Malware: Politikker for antimalware i politikker for EOP eller Vedhæftede filer, der er tillid til, i Defender for Office 365. Værdien for Politiktype angiver, hvilken funktion der blev brugt.
- Administration handling – Filtypeblok: Meddelelser, der er blokeret som malware af filteret for almindelige vedhæftede filer i politikker til antimalware. Du kan få flere oplysninger under Politikker for antimalware.
- Phishing: Spamfilterets dom var , at meddelelsen var sat i karantæne (spoof-indstillinger eller repræsentationsbeskyttelse) i phishing- eller anti-phishing-beskyttelse.
- Phishing med høj genkendelsessikkerhed
Modtager: Vælg en af følgende værdier:
- Alle brugere (dette er standardværdien, selvom den ikke vises som valgt)
- Kun mig: Vis kun meddelelser, hvor den, der er logget på, er modtager. Denne værdi er påkrævet, for at administratorer kan se handlingerne Tillad afsender og Bloker afsender .
Blokeret afsender: En af følgende værdier:
- Vis ikke blokerede afsendere (standard)
- Vis alle afsendere
Tip
Hvis en afsender er blokeret, og Vis ikke blokerede afsendere er valgt, vises meddelelser fra disse afsendere på siden Karantæne og medtages i karantænemeddelelser, når årsagsværdien for afsenderadressens tilsidesættelse erIngen. Denne funktionsmåde opstår, fordi meddelelserne blev blokeret af andre årsager end tilsidesættelser af afsenderadresser.
Udgivelsesstatus: Vælg en eller flere af følgende værdier
- Kræver gennemsyn
- Godkendt
- Nægtet
- Der er anmodet om udgivelse
- Frigjort
Politiktype: Filtrer meddelelser efter, hvilken type beskyttelsespolitik meddelelsen er sat i karantæne. Vælg en eller flere af følgende værdier:
- Politik for antimalware
- Politik for vedhæftede filer, der er tillid til
- Politik til bekæmpelse af phishing
- Politik mod spam
- Transportregel (regel for mailflow)
- Regel for forebyggelse af datatab
Værdierne for Politiktype og Karantæneårsag er indbyrdes forbundne. For eksempel er Bulk altid knyttet til en anti-spam-politik, aldrig med en antimalwarepolitik.
Når du er færdig med pop op-vinduet Filtre , skal du vælge Anvend. Hvis du vil rydde filtrene, skal du vælge Ryd filtre.
Tip
Filtre cachelagres. Filtrene fra de sidste sessioner vælges som standard, næste gang du åbner siden Karantæne . Denne funktionsmåde hjælper med triagehandlinger.
Brug søgefeltet og en tilsvarende værdi til at finde bestemte meddelelser. Jokertegn understøttes ikke. Du kan søge efter følgende værdier:
- Afsendermailadresse
- Emne. Brug hele meddelelsens emne. Der skelnes ikke mellem store og små bogstaver i søgningen.
Når du har angivet søgekriterierne, skal du trykke på Enter for at filtrere resultaterne.
Bemærk!
Søgefeltet søger efter elementer i karantæne i den aktuelle visning (som er begrænset til 100 elementer), ikke alle elementer i karantæne. Hvis du vil søge i alle elementer i karantæne, skal du bruge Filter og det resulterende pop op-vindue Filtre .
Når du har fundet en bestemt karantænemeddelelse, skal du vælge meddelelsen for at få vist detaljer om den og udføre en handling på den (f.eks. få vist, udgive, downloade eller slette meddelelsen).
Få vist oplysninger om karantænemail
I Microsoft Defender-portalen på https://security.microsoft.comskal du gå til Fanen Mail & samarbejde>Gennemse>karantænemail>. Du kan også gå direkte til fanen Mail på siden Karantæne ved at bruge https://security.microsoft.com/quarantine?viewid=Email.
Under fanen Mail skal du vælge den karantænemeddelelse ved at klikke et andet sted i rækken end afkrydsningsfeltet.
I det pop op-vindue med detaljer, der åbnes, er følgende oplysninger tilgængelige:
Tip
De handlinger, der er tilgængelige øverst i pop op-vinduet, er beskrevet i Udfør handling på karantænemail.
Hvis du vil se oplysninger om andre karantænemeddelelser uden at forlade detaljevinduet, skal du bruge Forrige element og Næste element øverst i pop op-vinduet.
-
Afsnittet Karantænedetaljer :
Modtaget: Den dato/det klokkeslæt, hvor meddelelsen blev modtaget.
Udløber: Den dato/det klokkeslæt, hvor meddelelsen automatisk og permanent slettes fra karantæne.
Emne
Karantæneårsag: Viser, om en meddelelse er blevet identificeret som spam, masse, phish, matchede en regel for mailflow (transportregel) eller blev identificeret som indeholdende malware.
Politiktype
Politiknavn
Antal modtagere
Modtagere: Hvis meddelelsen indeholder mange modtagere, kan du bruge Vis meddelelse eller Vis meddelelsesoverskrift til at se den komplette liste over modtagere.
Modtagermailadresser fortolkes altid som den primære mailadresse, selvom meddelelsen blev sendt til en proxyadresse.
Endnu ikke frigivet til, udgivet til og/eller udgivet af: Afhængigt af meddelelsens tilstand kan en eller flere af følgende værdier være tilgængelige:
- Endnu ikke udgivet til: Mailadresser på modtagere, som meddelelsen ikke er blevet frigivet til.
- Udgivet til: Mailadresser på modtagere, som meddelelsen er blevet frigivet til.
-
Udgivet af: Den administrator, der har udgivet meddelelsen i formatet:
<email address of admin who released the message> released for <recipient>
. Det kunne f.eks. væreadmin@contoso.onmicrosoft.com released to laura@contoso.onmicrosoft.com
. Hvis slutbrugeren udgiver meddelelsen, vises slutbrugerens SMTP-adresse. Hvis frigivelsen udføres af systemet, står der "System frigivet". Hvis udgivelsen ikke udføres af en administrator, en slutbruger eller systemet, ændres "Administration" som standard.
Resten af pop op-vinduet med detaljer indeholder sektionerne Leveringsoplysninger, Mailoplysninger, URL-adresser og Vedhæftede filer , der er en del af oversigtspanelet Mail. Du kan få flere oplysninger i panelet Mailoversigt.
Hvis du vil udføre en handling på meddelelsen, skal du se næste afsnit.
Tip
Hvis du vil se oplysninger om andre karantænemeddelelser uden at forlade detaljevinduet, skal du bruge Forrige element og Næste element øverst i pop op-vinduet.
Udfør en handling på karantænemail
I Microsoft Defender-portalen på https://security.microsoft.comskal du gå til Fanen Mail & samarbejde>Gennemse>karantænemail>. Du kan også gå direkte til fanen Mail på siden Karantæne ved at bruge https://security.microsoft.com/quarantine?viewid=Email.
Under fanen Mail skal du vælge den karantænerede mail ved hjælp af en af følgende metoder:
Vælg meddelelsen på listen ved at markere afkrydsningsfeltet ud for den første kolonne. De tilgængelige handlinger er ikke længere nedtonet.
Markér meddelelsen på listen ved at klikke et vilkårligt sted i rækken ud over afkrydsningsfeltet. De tilgængelige handlinger findes i det detaljerede pop op-vindue, der åbnes.
Ved hjælp af en af metoderne til at vælge meddelelsen er mange handlinger tilgængelige under Flere eller Flere indstillinger.
Når du har valgt den karantænerede meddelelse, beskrives de tilgængelige handlinger i følgende underafsnit.
Tip
På mobilenheder er handlingsoplevelsen lidt anderledes:
Når du markerer meddelelsen ved at markere afkrydsningsfeltet, er alle handlinger under Mere:
Når du markerer meddelelsen ved at klikke et vilkårligt sted i rækken ud over afkrydsningsfeltet, er beskrivelsestekst ikke tilgængelig på nogle af handlingsikonerne i pop op-vinduet med detaljer. Men handlingerne og deres rækkefølge er de samme som på en pc:
Frigiv karantænemail
Denne handling er ikke tilgængelig for mails, der allerede er udgivet (statusværdien Udgivelse er udgivet).
Hvis du ikke frigiver eller fjerner en meddelelse, slettes den automatisk fra karantæne efter den dato, der er vist i kolonnen Udløber .
- Du kan ikke udgive en meddelelse til den samme modtager mere end én gang.
- Når du vælger individuelle oprindelige modtagere for at modtage den udgivne meddelelse, kan du kun vælge modtagere, der ikke allerede har modtaget den udgivne meddelelse.
- Medlemmer af rollegruppen Sikkerhedsadministratorer kan se og bruge send meddelelsen til Microsoft for at forbedre registreringen og Tillad mail med lignende indstillinger for attributter .
- Brugerne kan rapportere falske positiver til Microsoft fra karantæne, afhængigt af værdien af indstillingen Rapportering fra karantæne i brugerrapporterede indstillinger.
Tip
Antivirusløsninger, sikkerhedstjenester og udgående connectors fra tredjepart kan medføre følgende problemer for meddelelser, der er frigivet fra karantæne:
- Meddelelsen er sat i karantæne, efter at den er blevet frigivet.
- Indholdet fjernes fra den frigivne meddelelse, før det når modtagerens indbakke.
- Den frigivne meddelelse modtages aldrig i modtagerens indbakke.
- Handlinger i karantænemeddelelser kan vælges tilfældigt.
Kontrollér, at du ikke bruger filtrering fra tredjepart, før du åbner en supportanmodning om disse problemer.
Indbakkeregler (oprettet af brugere i Outlook eller af administratorer ved hjælp af *-InboxRule-cmdlet'er i Exchange Online PowerShell) kan flytte eller slette meddelelser fra indbakken.
Administratorer kan bruge meddelelsessporing til at afgøre, om en frigivet meddelelse blev leveret til modtagerens indbakke.
Hvis du vælger Flyt til postkassemappen>Indbakke i karantænemeddelelser i Udfør handling fra andre Defender for Office 365 funktioner (f.eks. Explorer (Threat Explorer) eller enhedssiden Mail), kan du også frigive meddelelser fra karantæne. Du kan finde flere oplysninger under Trusselssøgning: Guiden Udfør handling.
Når du har valgt meddelelsen, skal du bruge en af følgende metoder til at udgive den:
- Under fanen Mail: Vælg Udgivelse.
- I pop op-vinduet med detaljer for den valgte meddelelse: Vælg Frigiv mail.
Konfigurer følgende indstillinger i pop op-vinduet Udgiv mail til modtagerindbakker , der åbnes:
Vælg en af følgende værdier:
- Udgiv til alle modtagere
- Udgiv til en eller flere af de oprindelige modtagere af mailen: Angiv modtagerne i feltet Modtagere , der vises.
Send en kopi af denne meddelelse til en anden modtager: Hvis du vælger denne indstilling, skal du vælge en eller flere modtagere ved at klikke i feltet Modtagere , der vises.
Send meddelelsen til Microsoft for at forbedre registreringen: Hvis du vælger denne indstilling, rapporteres den fejlagtigt karantænede meddelelse til Microsoft som falsk positiv. Afhængigt af resultaterne af deres analyse kan reglerne for spamfilter for hele tjenesten justeres for at tillade, at meddelelsen kan sendes.
Hvis du vælger denne indstilling, vises følgende indstillinger:
-
Tillad denne meddelelse: Hvis du vælger denne indstilling, føjes tillad poster til listen over tilladte/blokerede lejere for afsenderen og eventuelle relaterede URL-adresser eller vedhæftede filer i meddelelsen. Følgende indstillinger vises også:
- Fjern indtastning efter: Standardværdien er 30 dage, men du kan også vælge 1 dag, 7 dage eller en bestemt dato , der er mindre end 30 dage.
- Tillad indtastningsnote: Angiv en valgfri note, der indeholder flere oplysninger.
-
Tillad denne meddelelse: Hvis du vælger denne indstilling, føjes tillad poster til listen over tilladte/blokerede lejere for afsenderen og eventuelle relaterede URL-adresser eller vedhæftede filer i meddelelsen. Følgende indstillinger vises også:
Når du er færdig med pop op-vinduet Udgiv mail til modtagerindbakker , skal du vælge Frigiv meddelelse.
Tilbage under fanen Mailfrigives meddelelsens statusværdi for udgivelse.
Godkend eller afvis anmodninger om frigivelse fra brugere for karantænemail
Brugerne kan anmode om udgivelse af mails, hvis karantænepolitikken brugte Tillad, at modtagere anmoder om, at en meddelelse frigives fra karantæne (PermissionToRequestRelease
tilladelse) i stedet for Giv modtagere tilladelse til at frigive en meddelelse fra karantæne (PermissionToRelease
tilladelse), da meddelelsen blev sat i karantæne. Du kan få flere oplysninger under Opret karantænepolitikker på Microsoft Defender-portalen.
Når en modtager anmoder om frigivelse af mailen, ændres statusværdien Udgivelse til Den anmodede udgivelse, og en administrator kan godkende eller afvise anmodningen.
Tip
Der kan oprettes én besked om at frigive meddelelsen for flere anmodninger om frigivelse for den pågældende meddelelse. Brug karantænelinket i afsnittet Detaljer i beskeden for at reagere på frigivelsesanmodningen fra brugere i organisationen i de seneste 7 dage.
Hvis du ikke frigiver eller fjerner en meddelelse, slettes den automatisk fra karantæne efter den dato, der er vist i kolonnen Udløber .
Når du har valgt meddelelsen, skal du bruge en af følgende metoder til at godkende eller afvise frigivelsesanmodningen:
- Under fanen Mail: Vælg Godkend udgivelse eller Afvis.
- I pop op-vinduet med detaljer for den valgte meddelelse: Vælg Mere , og vælg derefter Godkend udgivelse eller Afvis udgivelse.
Hvis du vælger Godkend udgivelse, åbnes pop op-vinduet Godkend udgivelse , hvor du kan gennemse oplysninger om meddelelsen. Hvis du vil godkende anmodningen, skal du vælge Godkend frigivelse. Der åbnes et pop op-vindue , der er godkendt af en udgivelse , hvor du kan vælge linket for at få mere at vide om udgivelse af meddelelser. Vælg Udført , når du er færdig med pop op-vinduet Udgivelse godkendt . Tilbage under fanen Mail ændres statusværdien Udgivelse for meddelelsen til Godkendt.
Hvis du vælger Afvis, åbnes pop op-vinduet Afvis udgivelse , hvor du kan gennemse oplysninger om meddelelsen. Hvis du vil afvise anmodningen, skal du vælge Afvis udgivelse. Der åbnes et pop op-vindue med en udgivelse nægtet , hvor du kan vælge linket for at få mere at vide om udgivelse af meddelelser. Vælg Udført , når du er færdig med pop op-vinduet Udgivelse nægtet . Tilbage under fanen Mail ændres statusværdien Udgivelse for meddelelsen til Nægtet.
Tip
Du kan kun afvise udgivelse for alle modtagere. Du kan ikke afvise udgivelse for bestemte modtagere.
Slet mail fra karantæne
Når du sletter en mail fra karantæne, fjernes meddelelsen og sendes ikke til de oprindelige modtagere.
Hvis du ikke frigiver eller fjerner en meddelelse, slettes den automatisk fra karantæne efter den dato, der er vist i kolonnen Udløber .
Når du har valgt meddelelsen, skal du bruge en af følgende metoder til at fjerne den:
- Under fanen Mail: Vælg Slet fra karantæne.
- I pop op-vinduet med detaljer for den valgte meddelelse: Vælg Flere indstillinger>Slet fra karantæne.
I pop op-vinduet Slet (n) meddelelser fra karantæne , der åbnes, skal du bruge en af følgende metoder til at slette meddelelsen:
- Vælg Slet meddelelsen permanent fra karantæne, og vælg derefter Slet: Meddelelsen slettes permanent og kan ikke gendannes.
- Vælg Slet kun: Meddelelsen er slettet, men kan muligvis gendannes.
Når du har valgt Slet i pop op-vinduet Slet (n) meddelelser fra karantæne , vender du tilbage til fanen Mail , hvor meddelelsen ikke længere vises.
Vis mail fra karantæne
Når du har valgt meddelelsen, skal du bruge en af følgende metoder til at få den vist:
- Under fanen Mail: Vælg Eksempelmeddelelse.
- I pop op-vinduet med detaljer for den valgte meddelelse: Vælg Flere indstillinger>Vis meddelelse.
Vælg en af følgende faner i det pop op-vindue, der åbnes:
- Kilde: Viser HTML-versionen af meddelelsens brødtekst med alle links deaktiveret.
- Almindelig tekst: Viser meddelelsens brødtekst som almindelig tekst.
Vis brevhoveder i mails
Når du har valgt meddelelsen, skal du bruge en af følgende metoder til at få vist brevhovederne:
- Under fanen Mail: Vælg Flere>Vis brevhoveder.
- I pop op-vinduet med detaljer for den valgte meddelelse: Vælg Flere indstillinger>Få vist brevhoveder.
I pop op-vinduet Meddelelsesoverskrift , der åbnes, vises brevhovedet (alle headerfelter).
Brug Kopiér brevhoved til at kopiere brevhovedet til Udklipsholder.
Vælg linket Microsoft Message Header Analyzer for at analysere overskriftsfelterne og værdierne i dybden. Indsæt brevhovedet i sektionen Indsæt det brevhoved, du vil analysere (CTRL+V, eller højreklik, og vælg Sæt ind), og vælg derefter Analysér brevhoveder.
Rapportér mail til Microsoft til gennemsyn fra karantæne
Når du har valgt meddelelsen, skal du bruge en af følgende metoder til at rapportere meddelelsen til Microsoft til analyse:
- Under fanen Mail: Vælg Mere>Send til gennemsyn.
- I pop op-vinduet med detaljer for den valgte meddelelse: Vælg Flere indstillinger>Send til gennemsyn.
I pop op-vinduet Send til Microsoft til analyse , der åbnes, skal du konfigurere følgende indstillinger:
Tilføj netværksmeddelelses-id'et, eller upload mailfilen: Vælg en af følgende indstillinger:
- Tilføj mailnetværkets meddelelses-id: Denne værdi er valgt som standard med den tilsvarende værdi i feltet.
- Overfør mailfilen (.msg eller eml): Når du har valgt denne indstilling, skal du vælge knappen Gennemse filer , der vises for at søge efter, og vælge den .msg eller .eml meddelelsesfil, der skal sendes.
Vælg en modtager, der havde et problem: Vælg en (foretrukket) eller flere oprindelige modtagere af meddelelsen for at analysere de politikker, der er anvendt på dem.
Vælg en årsag til afsendelse til Microsoft: Vælg en af følgende indstillinger:
Jeg har bekræftet, at den er ren (standard): Vælg denne indstilling, hvis du er sikker på, at meddelelsen er ren, og vælg derefter Næste. Derefter er følgende indstillinger tilgængelige:
- Tillad denne mail: Hvis du vælger denne indstilling, føjes tillad poster til listen over tilladte/blokerede lejere for afsenderen og eventuelle relaterede URL-adresser eller vedhæftede filer i meddelelsen. Følgende indstillinger vises også:
- Fjern indtastning efter: Standardværdien er 30 dage, men du kan også vælge 1 dag, 7 dage eller en bestemt dato , der er mindre end 30 dage.
- Tillad indtastningsnote: Angiv en valgfri note, der indeholder flere oplysninger.
Det ser rent ud: Vælg denne indstilling, hvis du er usikker, og du vil have en dom fra Microsoft.
Når du er færdig på pop op-vinduet Send til Microsoft til analyse , skal du vælge Send.
Tip
Brugerne kan rapportere falske positiver til Microsoft fra karantæne, afhængigt af værdien af indstillingen Rapportering fra karantæne i brugerrapporterede indstillinger.
Tillad mailsendere fra karantæne
Tip
Handlingen Tillad afsender er kun tilgængelig for administratorer, hvis de filtrerer karantæneresultaterne efter Modtager>kun mig i stedet for standardværdien Alle brugere.
Hvis afsenderen allerede er i modtagerens samling af sikre lister, er Tillad afsender ikke tilgængelig.
Handlingen Tillad afsender føjer afsenderen af den valgte mail til listen Afsendere, der er tillid til i postkassen for den person, der er logget på. Denne handling er typisk for slutbrugere, hvis den er tilgængelig for dem af karantænepolitikker. Du kan få flere oplysninger om brugere, der tillader afsendere, under Føj modtagere af mine mails til listen Afsendere, der er tillid til.
Når du har valgt meddelelsen, skal du bruge en af følgende metoder til at føje meddelelsens afsender til listen Afsendere, der er tillid til i din egen postkasse:
- Under fanen Mail: Vælg Mere>Tillad afsender.
- I pop op-vinduet med detaljer for den valgte meddelelse: Vælg Flere indstillinger>Tillad afsender.
Det pop op-vindue, der åbnes, angiver, hvornår afsenderen blev føjet til listen Afsendere, der er tillid til. Vælg Udført.
Bloker mailsendere fra karantæne
Tip
Handlingen Bloker afsender er kun tilgængelig for administratorer, hvis de filtrerer karantæneresultaterne efter Modtager>kun mig i stedet for standardværdien Alle brugere.
Hvis afsenderen allerede er i modtagerens samling af sikre lister, er Bloker afsender ikke tilgængelig. Fjern afsender fra brugerblokeringslisten er tilgængelig i stedet.
Handlingen Bloker afsender føjer afsenderen af den valgte mail til listen Blokerede afsendere i postkassen for den, der er logget på. Denne handling er typisk for slutbrugere, hvis den er tilgængelig for dem af karantænepolitikker. Du kan få flere oplysninger om brugere, der blokerer afsendere, under Bloker en mailsender
Når du har valgt meddelelsen, skal du bruge en af følgende metoder til at føje meddelelsens afsender til listen Blokerede afsendere i din egen postkasse:
- Under fanen Mail: Vælg Afsender af flere>bloker.
- I pop op-vinduet med detaljer for den valgte meddelelse: Vælg Flere indstillinger>Bloker afsender.
I pop op-vinduet Bloker afsender , der åbnes, skal du gennemse oplysningerne om afsenderen og derefter vælge Bloker.
Tip
Organisationen kan stadig modtage mail fra den blokerede afsender. Meddelelser fra afsenderen leveres til brugerens mapper med uønsket mail eller til karantæne, afhængigt af den politikrækkefølge, der er beskrevet i Bruger tillader og blokerer. Hvis du vil slette meddelelser fra afsenderen ved ankomsten, skal du bruge regler for mailflow (også kaldet transportregler) til at blokere meddelelsen.
Fjern afsendere fra brugerlister over blokerede afsendere fra karantæne
Listen Fjern afsender fra brugerblokering er kun tilgængelig, hvis afsenderen af den karantænerede meddelelse allerede findes på modtagerens liste over afsendere af blokeringer.
Administratorer kan fjerne afsendere fra listen Bloker afsendere over deres egne postkasser (hvis karantæne er filtreret af Modtager>kun mig) eller fra andre brugeres postkasser (hvis karantæne filtreres efter Modtager>Alle brugere).
Når du har valgt meddelelsen, skal du bruge en af følgende metoder til at fjerne afsenderen fra brugerens liste over afsendere af blokering:
- Under fanen Mail: Vælg Mere>Fjern afsender fra brugerblokeringsliste.
- I pop op-vinduet med detaljer for den valgte meddelelse: Vælg Flere indstillinger>Fjern afsender fra brugerblokeringsliste.
Det pop op-vindue, der åbnes, angiver, hvornår afsenderen blev fjernet fra modtagerens liste over blokerede afsendere. Vælg Udført.
Del mail fra karantæne
Du kan sende en kopi af den karantænerede mail, herunder potentielt skadeligt indhold, til de angivne modtagere.
Når du har valgt meddelelsen, skal du bruge en af følgende metoder til at sende en kopi af den til andre:
- Under fanen Mail: Vælg Flere>Del mail.
- I pop op-vinduet med detaljer for den valgte meddelelse: Vælg Flere indstillinger>Del mail.
I pop op-vinduet Del mail med andre brugere , der åbnes, skal du vælge en eller flere modtagere for at modtage en kopi af meddelelsen. Når du er færdig, skal du vælge Del.
Download mail fra karantæne
Når du har valgt mailen, skal du bruge en af følgende metoder til at downloade den:
- Under fanen Mail: Vælg Flere>meddelelser om hentning.
- I pop op-vinduet med detaljer for den valgte meddelelse: Vælg Flere indstillinger>Download meddelelse.
Angiv følgende oplysninger i pop op-vinduet Download fil , der åbnes:
- Årsag til download af fil: Angiv en beskrivende tekst.
- Opret adgangskode , og bekræft adgangskode: Angiv en adgangskode, der kræves for at åbne den downloadede meddelelsesfil.
Når du er færdig med pop op-vinduet Download fil , skal du vælge Download.
Når overførslen er klar, åbnes dialogboksen Gem som , hvor du kan få vist eller ændre det downloadede filnavn og den downloadede placering. Den .eml meddelelsesfil gemmes som standard i en komprimeret fil med navnet Quarantined Messages.zip i mappen Downloads . Hvis den .zip fil allerede findes, føjes der et tal til filnavnet (f.eks. karantænemeddelelser(1).zip).
Acceptér eller rediger oplysningerne om den downloadede fil, og vælg derefter Gem.
Tilbage på pop op-vinduet Download fil skal du vælge Udført.
Handlinger for mails i karantæne i Defender for Office 365
I organisationer med Microsoft Defender for Office 365 (licenser til tilføjelsesprogrammer eller abonnementer, f.eks. Microsoft 365 E5 eller Microsoft 365 Business Premium), er følgende handlinger også tilgængelige i pop op-vinduet med detaljer i en valgt meddelelse:
Åbn mailobjekt: Du kan få flere oplysninger under Hvad er der på siden Mailobjekt.
Udfør handlinger: Denne handling starter den samme handlingsguide, der er tilgængelig på siden Mailobjekt. Du kan få flere oplysninger under Handlinger på siden Mailobjekt.
Udfør en handling på flere mails i karantæne
Når du vælger op til 100 meddelelser i karantæne under fanen Mail ved at markere afkrydsningsfelterne ud for den første kolonne, er følgende massehandlinger tilgængelige under fanen Mail (afhængigt af statusværdierne for udgivelse for de meddelelser, du har valgt):
-
De eneste tilgængelige indstillinger, du kan vælge til massehandlinger, er Send en kopi af denne meddelelse til andre modtagere i din organisation og Send meddelelsen til Microsoft for at forbedre registreringen (falsk positiv).
Godkend eller afvis anmodninger om frigivelse fra brugere for karantænemail
Rapportér mail til Microsoft til gennemsyn fra karantæne
De eneste tilgængelige indstillinger, der kan vælges til massehandlinger, er Tillad mails med lignende attributter og de relaterede indstillinger Fjern tillad indtastning efter og Tillad indtastning .
Find ud af, hvem der har slettet en karantænemeddelelse
Som standard giver mange sikkerhedspolitikdomme brugerne mulighed for at slette deres karantænemeddelelser (meddelelser, hvor de er modtager). Du kan få flere oplysninger i tabellen under Administrer karantænemeddelelser og filer som bruger.
Administratorer kan søge i overvågningsloggen for at finde hændelser for meddelelser, der er slettet fra karantæne, ved hjælp af følgende procedurer:
I Defender-portalen på https://security.microsoft.comskal du gå til Overvågning. Du kan også gå direkte til siden Overvågning ved at bruge https://security.microsoft.com/auditlogsearch.
Tip
Du kan også få vist siden Overvågning i Microsoft Purview-compliance-portal påhttps://compliance.microsoft.com/auditlogsearch
På siden Overvågning skal du kontrollere, at fanen Ny søgning er valgt, og derefter konfigurere følgende indstillinger:
- Dato- og tidsinterval (UTC)
- Aktiviteter – brugervenlige navne: Klik i feltet, begynd at skrive "karantæne" i søgefeltet, der vises, og vælg derefter Slettet karantænemeddelelse fra resultaterne.
- Brugere: Hvis du ved, hvem der har slettet meddelelsen fra karantænen, kan du filtrere resultaterne yderligere efter bruger.
Når du er færdig med at angive søgekriterierne, skal du vælge Søg for at generere søgningen.
Du kan finde en komplet vejledning i søgning i overvågningslog under Overvåg ny søgning.
Brug Microsoft Defender-portalen til at administrere filer i karantæne i Defender for Office 365
Bemærk!
Procedurerne for karantænefiler i dette afsnit er kun tilgængelige for Microsoft Defender for Office 365 Plan 1 eller Plan 2-abonnenter.
Filer, der er sat i karantæne i SharePoint eller OneDrive, fjernes fra karantæne efter 30 dage, men de blokerede filer forbliver i SharePoint eller OneDrive i blokeret tilstand.
I organisationer med Defender for Office 365 kan administratorer administrere filer, der er sat i karantæne af Sikre vedhæftede filer for SharePoint, OneDrive og Microsoft Teams. Hvis du vil aktivere beskyttelse af disse filer, skal du se Slå vedhæftede filer, der er tillid til, til for SharePoint, OneDrive og Microsoft Teams.
Vis filer, der er sat i karantæne
I Microsoft Defender-portalen på https://security.microsoft.comskal du gå til fanen Mail & samarbejde>Gennemse>karantænefiler>. Du kan også gå direkte til fanen Filer på siden Karantæne ved at bruge https://security.microsoft.com/quarantine?viewid=Files.
Under fanen Filer kan du mindske den lodrette afstand på listen ved at klikke på Skift listeafstand til kompakt eller normal og derefter vælge Komprimer liste.
Du kan sortere posterne ved at klikke på en tilgængelig kolonneoverskrift. Vælg Tilpas kolonner for at ændre de kolonner, der vises. Standardværdierne er markeret med en stjerne (*):
- Bruger*
- Placering*: Værdien er SharePoint eller OneDrive.
- Navn på vedhæftet fil*
- URL-adresse til fil*
- Filstørrelse
- Udgivelsesstatus*
- Udløber*
- Registreret af
- Ændret efter klokkeslæt
Hvis du vil filtrere posterne, skal du vælge Filtrer. Følgende filtre er tilgængelige i pop op-vinduet Filtre , der åbnes:
-
Modtaget tid:
- Seneste 24 timer
- Seneste 7 dage
- Seneste 14 dage
- Seneste 30 dage (standard)
- Brugerdefineret: Angiv et starttidspunkt og et sluttidspunkt (dato).
-
Udløber:
- Brugerdefineret (standard): Angiv starttidspunkt og sluttidspunkt (dato).
- I dag
- De næste 2 dage
- De næste 7 dage
- Karantæneårsag: Den eneste tilgængelige værdi er Malware.
- Politiktype: Den eneste tilgængelige værdi er Ukendt.
Når du er færdig i pop op-vinduet Filtre , skal du vælge Anvend. Hvis du vil rydde filtrene, skal du vælge Ryd filtre.
Brug søgefeltet og en tilsvarende værdi til at finde bestemte filer efter filnavn. Jokertegn understøttes ikke.
Når du har angivet søgekriterierne, skal du trykke på Enter for at filtrere resultaterne.
Når du har fundet en bestemt karantænefil, skal du vælge filen for at få vist detaljer om den og udføre en handling på den (f.eks. få vist, udgive, downloade eller slette filen).
Vis oplysninger om karantænefil
I Microsoft Defender-portalen på https://security.microsoft.comskal du gå til fanen Mail & samarbejde>Gennemse>karantænefiler>. Du kan også gå direkte til fanen Filer på siden Karantæne ved at bruge https://security.microsoft.com/quarantine?viewid=Files.
Under fanen Filer skal du vælge den karantænerede fil ved at klikke et andet sted i rækken end afkrydsningsfeltet.
I det pop op-vindue med detaljer, der åbnes, er følgende oplysninger tilgængelige:
-
Afsnittet Filoplysninger :
- Filnavn
- URL-adresse til fil: URL-adresse, der definerer filens placering (f.eks. i SharePoint Online).
- Skadeligt indhold registreret på Den dato/det klokkeslæt, hvor filen blev sat i karantæne.
- Udløber: Den dato, hvor filen slettes fra karantæne.
- Registreret af
- Frigjort?
- Navn på skadelig software
- Dokument-id: Et entydigt id for dokumentet.
- Filstørrelse
- Organisation Din organisations entydige id.
- Senest ændret
- Senest ændret af: Den bruger, der senest har ændret filen.
- Sikker værdi for hashalgoritme 256-bit (SHA-256): Du kan bruge denne hashværdi til at identificere filen i andre omdømmebutikker eller andre steder i dit miljø.
Hvis du vil udføre en handling på filen, skal du se næste afsnit.
Tip
Hvis du vil se oplysninger om andre karantænefiler uden at forlade detaljevinduet, skal du bruge Forrige element og Næste element øverst i pop op-vinduet.
Udfør en handling på karantænefiler
I Microsoft Defender-portalen på https://security.microsoft.comskal du gå til fanen Mail & samarbejde>Gennemse>karantænefiler>. Du kan også gå direkte til fanen Filer på siden Karantæne ved at bruge https://security.microsoft.com/quarantine?viewid=Files.
Under fanen Filer skal du vælge den karantænerede fil ved at klikke et andet sted i rækken end afkrydsningsfeltet.
Når du har valgt den karantænerede fil, beskrives de tilgængelige handlinger i pop op-vinduet med filoplysninger, der åbnes, i følgende underafsnit.
Frigiv filer, der er sat i karantæne, fra karantæne
Denne handling er ikke tilgængelig for filer, der allerede er udgivet (statusværdien Frigives).
Hvis du ikke frigiver eller sletter filen fra karantænen, fjernes filen fra karantænen, når standardopbevaringsperioden for karantæne udløber (som vist i kolonnen Udløber ), men den blokerede fil forbliver i SharePoint- eller OneDrive-tilstanden blokeret.
Når du har valgt filen, skal du vælge Frigiv fil i pop op-vinduet med filoplysninger, der åbnes.
I pop op-vinduet Udgiv filer og rapportér dem til Microsoft , der åbnes, skal du få vist fildetaljerne i afsnittet Udgiv følgende filer og derefter vælge Udgivelse.
Tip
I øjeblikket kan du ikke rapportere filer, der er sat i karantæne, til Microsoft, når du frigiver dem.
I pop op-vinduet Filer er blevet udgivet , der åbnes, skal du vælge Udført.
Tilbage på pop op-vinduet med filoplysninger skal du vælge Luk.
Tilbage under fanen Filerudgives filens udgivelsesstatusværdi.
Download filer i karantæne fra karantæne
Når du har valgt filen, skal du vælge Download fil i det detaljerede pop op-vindue, der åbnes.
Angiv følgende oplysninger i pop op-vinduet Download fil , der åbnes:
- Årsag til download af fil: Angiv en beskrivende tekst.
- Opret adgangskode , og bekræft adgangskode: Angiv en adgangskode, der kræves for at åbne den downloadede fil.
Når du er færdig med pop op-vinduet Download fil , skal du vælge Download.
Når overførslen er klar, åbnes dialogboksen Gem som , hvor du kan få vist eller ændre det downloadede filnavn og den downloadede placering. Filen gemmes som standard i en komprimeret fil med navnet Quarantined Messages.zip i mappen Downloads . Hvis den .zip fil allerede findes, føjes der et tal til filnavnet (f.eks. karantænemeddelelser(1).zip).
Acceptér eller rediger oplysningerne om den downloadede fil, og vælg derefter Gem.
Tilbage på pop op-vinduet Download fil skal du vælge Udført.
Slet filer, der er sat i karantæne, fra karantæne
Hvis du ikke frigiver eller sletter filen fra karantænen, fjernes filen fra karantænen, når standardopbevaringsperioden for karantæne udløber (som vist i kolonnen Udløber ), men den blokerede fil forbliver i SharePoint- eller OneDrive-tilstanden blokeret.
Når du har valgt filen, skal du vælge Mere>slet fra karantæne i det detaljerede pop op-vindue, der åbnes.
Vælg Fortsæt i den advarselsdialogboks, der åbnes.
Tilbage under fanen Filer vises filen ikke længere.
Udfør en handling på flere filer, der er sat i karantæne
Når du vælger flere filer i karantæne under fanen Filer ved at markere afkrydsningsfelterne ud for den første kolonne (op til 100 filer), vises rullelisten Massehandlinger , hvor du kan udføre følgende handlinger:
- Frigiv filer, der er sat i karantæne, fra karantæne
- Slet filer, der er sat i karantæne, fra karantæne
- Download filer i karantæne fra karantæne
Brug Microsoft Defender-portalen til at administrere microsoft Teams-karantænemeddelelser
Tip
Automatisk fjernelse på nul timer (ZAP) i Microsoft Teams er i øjeblikket tilgængelig som prøveversion, er ikke tilgængelig i alle organisationer og kan ændres.
Karantæne i Microsoft Teams er kun tilgængelig i organisationer med Microsoft Defender for Office 365 Plan 2 (tilføjelseslicenser eller inkluderet i abonnementer som Microsoft 365 E5).
Når der registreres en potentielt skadelig chatmeddelelse i Microsoft Teams, fjernes meddelelsen automatisk med nul timers automatisk sletning (ZAP) og sætter den i karantæne. Administratorer kan få vist og administrere disse teams-meddelelser i karantæne. Meddelelsen er sat i karantæne i 30 dage. Derefter fjernes Teams-meddelelsen permanent.
Denne funktion er aktiveret som standard.
Få vist teams-meddelelser, der er sat i karantæne
I Microsoft Defender-portalen på https://security.microsoft.comskal du gå til fanen Mail & samarbejde>Gennemse>Karantæne>teams-meddelelser. Du kan også gå direkte til fanen Teams-meddelelser på siden Karantæne ved at bruge https://security.microsoft.com/quarantine?viewid=Teams.
Under fanen Teams-meddelelser kan du mindske den lodrette afstand på listen ved at klikke på Skift listeafstand til kompakt eller normal og derefter vælge Komprimer liste.
Du kan sortere posterne ved at klikke på en tilgængelig kolonneoverskrift. Vælg Tilpas kolonner for at ændre de kolonner, der vises. Standardværdierne er markeret med en stjerne (*):
- Teams-meddelelsestekst: Indeholder emnet for Teams-meddelelsen.*
- Modtaget tid: Det tidspunkt, hvor meddelelsen blev modtaget af modtageren.*
- Udgivelsesstatus: Viser, om meddelelsen allerede er gennemset og udgivet eller skal gennemses. *
- Deltagere: Det samlede antal brugere, der har modtaget meddelelsen.*
- Afsender: Den person, der sendte den meddelelse, der blev sat i karantæne.*
- Karantæneårsag: De tilgængelige indstillinger er "Phish med høj genkendelsessikkerhed" og "Malware".*
- Politiktype: Den organisationspolitik, der er ansvarlig for den karantænerede meddelelse.*
- Udløber: Angiver det tidspunkt, hvorefter meddelelsen fjernes fra karantæne. Denne værdi er som standard 30 dage.*
- Modtageradresse: Modtagernes mailadresse.*
- Meddelelses-id: Indeholder chatmeddelelses-id'et.
Hvis du vil filtrere posterne, skal du vælge Filtrer. Følgende filtre er tilgængelige i pop op-vinduet Filtre , der åbnes:
- Meddelelses-id
- Afsenderadresse
- Modtageradresse
- Emne
-
Modtaget tid:
- Seneste 24 timer
- Seneste 7 dage
- Seneste 14 dage
- Seneste 30 dage (standard)
- Brugerdefineret: Angiv et starttidspunkt og et sluttidspunkt (dato).
-
Udløber:
- Brugerdefineret (standard): Angiv starttidspunkt og sluttidspunkt (dato).
- I dag
- De næste 2 dage
- De næste 7 dage
- Karantæneårsag: Tilgængelige værdier er phishing med malware og høj genkendelsessikkerhed.
- Modtager: Vælg Alle brugere eller Kun mig.
- Status for gennemsyn: Vælg Skal gennemses og frigives.
Når du er færdig i pop op-vinduet Filtre , skal du vælge Anvend. Hvis du vil rydde filtrene, skal du vælge Ryd filtre.
Brug søgefeltet og en tilsvarende værdi til at finde bestemte Teams-meddelelser. Jokertegn understøttes ikke.
Når du har fundet en bestemt Teams-meddelelse i karantæne, skal du vælge meddelelsen for at få vist detaljer om den og udføre handlinger på den (f.eks. få vist, udgive, downloade eller slette meddelelsen).
Vis oplysninger om teams-meddelelser i karantæne
På fanen Teams-meddelelser på siden Karantæne skal du vælge den karantænemeddelelse ved at klikke et vilkårligt sted i rækken ud for afkrydsningsfeltet ud for den første kolonne.
Følgende meddelelsesoplysninger er tilgængelige øverst i pop op-vinduet med detaljer:
- Titlen på pop op-vinduet er emnet eller de første 100 tegn i Teams-meddelelsen.
- Værdien for Karantæneårsag .
- Antallet af links i meddelelsen.
- De tilgængelige handlinger er beskrevet i afsnittet Udfør handling på teams-meddelelser i karantæne .
Tip
Hvis du vil se oplysninger om andre karantænerede Teams-meddelelser uden at forlade detaljevinduet, skal du bruge Forrige element og Næste element øverst i pop op-vinduet.
Det næste afsnit i pop op-vinduet med detaljer er relateret til teams-meddelelser i karantæne:
-
Afsnittet Karantænedetaljer :
- Udløber
- Modtaget tid
- Årsag til karantæne
- Udgivelsesstatus
- Politiktype: Værdien er Ingen.
- Politiknavn: Værdien er Teams Protection Policy.
- Karantænepolitik
Resten af pop op-vinduet med detaljer indeholder sektionerne Meddelelsesoplysninger, Afsender, Deltagere, Kanaloplysninger og URL-adresser , der er en del af Teams-meddelelsesobjektpanelet. Du kan få flere oplysninger under Teams mMessage-enhedspanelet i Microsoft Defender for Office 365 Plan 2.
Når du er færdig i pop op-vinduet med detaljer, skal du vælge Luk.
Udfør en handling på karantænerede Teams-meddelelser
I Microsoft Defender-portalen på https://security.microsoft.comskal du gå til fanen Mail & samarbejde>Gennemse>Karantæne>teams-meddelelser. Du kan også gå direkte til fanen Teams-meddelelser på siden Karantæne ved at bruge https://security.microsoft.com/quarantine?viewid=Teams.
På fanen Teams-meddelelser skal du vælge den karantænerede meddelelse ved hjælp af en af følgende metoder:
Vælg meddelelsen på listen ved at markere afkrydsningsfeltet ud for den første kolonne. De tilgængelige handlinger er ikke længere nedtonet.
Markér meddelelsen på listen ved at klikke et vilkårligt sted i rækken ud over afkrydsningsfeltet. De tilgængelige handlinger findes i det detaljerede pop op-vindue, der åbnes.
Ved hjælp af en af metoderne til at vælge meddelelsen er nogle handlinger tilgængelige under Mere.
Når du har valgt den karantænerede meddelelse, beskrives de tilgængelige handlinger i følgende underafsnit.
Frigiv teams-meddelelser i karantæne
Denne handling er ikke tilgængelig for Teams-meddelelser, der allerede er udgivet (statusværdien Udgivelse er udgivet).
Hvis du ikke frigiver eller fjerner en meddelelse, slettes den automatisk fra karantæne efter den dato, der er vist i kolonnen Udløber .
Når du har valgt meddelelsen, skal du bruge en af følgende metoder til at udgive den:
- På fanen Teams-meddelelser: Vælg Udgivelse.
- I pop op-vinduet med detaljer for den valgte meddelelse: Vælg Frigiv.
I pop op-vinduet Udgiv til alle chatdeltagere , der åbnes, skal du beslutte, om du vil vælge Send meddelelsen til Microsoft for at forbedre registreringen (falsk positiv) og derefter vælge Udgivelse.
Slet Teams-meddelelser fra karantæne
Hvis du ikke frigiver eller fjerner en Teams-meddelelse, slettes den automatisk fra karantæne efter den dato, der er vist i kolonnen Udløber .
Når du har valgt Teams-meddelelsen, skal du bruge en af følgende metoder til at fjerne den:
- På fanen Teams-meddelelser: Vælg Slet meddelelser.
- I pop op-vinduet med detaljer for den valgte meddelelse: Vælg Flere indstillinger>Slet fra karantæne.
I den advarselsdialogboks, der åbnes, skal du læse oplysningerne og derefter vælge Fortsæt.
Tilbage på fanen Teams-meddelelser vises meddelelsen ikke længere.
Vis Teams-meddelelser fra karantæne
Når du har valgt Teams-meddelelsen, skal du bruge en af følgende metoder til at få den vist:
- På fanen Teams-meddelelser: Vælg Vis meddelelse.
- I pop op-vinduet med detaljer for den valgte meddelelse: Vælg Vis meddelelse.
Vælg en af følgende faner i det pop op-vindue, der åbnes:
- Kilde: Viser HTML-versionen af meddelelsens brødtekst med alle links deaktiveret.
- Almindelig tekst: Viser meddelelsens brødtekst som almindelig tekst.
Rapportér Teams-meddelelser til Microsoft til gennemsyn fra karantæne
Når du har valgt meddelelsen, skal du bruge en af følgende metoder til at rapportere meddelelsen til Microsoft til analyse:
- På fanen Teams-meddelelser: Vælg Mere>Send til gennemsyn.
- I pop op-vinduet med detaljer for den valgte meddelelse: Vælg Flere indstillinger>Send til gennemsyn.
Når du vælger Send meddelelse, sendes meddelelsen til Microsoft til analyse. Du modtager en dialogboks med indsendte elementer , hvor du vælger OK.
Download Teams-meddelelser fra karantæne
Når du har valgt Teams-meddelelsen, skal du bruge en af følgende metoder til at downloade den:
- Under fanen Teams-meddelelser: Vælg Flere>downloadmeddelelser.
- I pop op-vinduet med detaljer for den valgte meddelelse: Vælg Flere indstillinger>Download meddelelse.
Angiv følgende oplysninger i pop op-vinduet Hent meddelelser , der åbnes:
- Årsag til download af fil: Angiv en beskrivende tekst.
- Opret adgangskode , og bekræft adgangskode: Angiv en adgangskode, der kræves for at åbne den downloadede meddelelsesfil.
Når du er færdig med pop op-vinduet Download fil , skal du vælge Download.
Den .html meddelelsesfil gemmes som standard i en komprimeret fil med navnet Quarantined Messages.zip i mappen Downloads . Hvis den .zip fil allerede findes, føjes der et tal til filnavnet (f.eks. karantænemeddelelser(1).zip).
Tilbage på pop op-vinduet Download meddelelser skal du vælge Udført.
Udfør en handling på flere Teams-meddelelser i karantæne
Når du vælger flere meddelelser i karantæne under fanen Teams-meddelelser ved at markere afkrydsningsfelterne ud for den første kolonne, er følgende massehandlinger tilgængelige under fanen Teams-meddelelser :
- Frigiv teams-meddelelser i karantæne
- Slet Teams-meddelelser fra karantæne
- Rapportér Teams-meddelelser til Microsoft til gennemsyn fra karantæne
- Download Teams-meddelelser fra karantæne
Godkend eller afvis udgivelsesanmodninger fra brugere for teams-meddelelser i karantæne
Når en bruger anmoder om frigivelse af en teams-meddelelse i karantæne, ændres statusværdien Udgivelse til Udgivelse, og en administrator kan godkende eller afvise anmodningen.
Du kan få flere oplysninger under Godkend eller afvis anmodninger om frigivelse fra brugere.
Brug Exchange Online PowerShell eller enkeltstående EOP PowerShell til at administrere meddelelser i karantæne
De cmdlet'er, du bruger til at få vist og administrere meddelelser og filer i karantæne, er beskrevet i dette afsnit.
- Slet karantænemeddelelse
- Eksport-KarantæneMeddelelse
- Get-QuarantineMessage
- Preview-QuarantineMessage: Denne cmdlet er kun til meddelelser og ikke til filer, der er sat i karantæne.
- Release-QuarantineMessage