Administrer karantænemeddelelser og filer som bruger

• Gælder for:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tip

Vidste du, at du kan prøve funktionerne i Microsoft Defender XDR til Office 365 Plan 2 gratis? Brug den 90-dages Defender for Office 365 prøveversion på Microsoft Defender portalen med prøveversionshubben. Få mere at vide om, hvem der kan tilmelde sig og om prøvevilkår her.

I Microsoft 365-organisationer med postkasser i Exchange Online eller enkeltstående EOP-organisationer (Exchange Online Protection) uden Exchange Online postkasser indeholder karantæne potentielt farlige eller uønskede meddelelser. Du kan få flere oplysninger under Karantæne i EOP.

Som almindelig bruger (ikke administrator) er de standardfunktioner , der er tilgængelige for dig som modtager af en karantænemeddelelse, beskrevet i følgende tabel:

Årsag til karantæne	Vis	Udgivelse	Slette
Politikker til bekæmpelse af spam
Bulk	✔	✔	✔
Spam	✔	✔	✔
Spam med høj genkendelsessikkerhed	✔	✔	✔
Phishing	✔	✔	✔
Phishing med høj genkendelsessikkerhed
Politikker for antiphishing
Spoof intelligence-beskyttelse i EOP	✔	✔	✔
Repræsenteret brugerbeskyttelse i Defender for Office 365	✔	✔	✔
Repræsenteret domænebeskyttelse i Defender for Office 365	✔	✔	✔
Repræsentationsbeskyttelse af postkasseintelligens i Defender for Office 365	✔	✔	✔
Politikker for antimalware
Mails med vedhæftede filer, der er sat i karantæne som malware.
Sikre vedhæftede filer i Defender for Office 365
Politikker for sikre vedhæftede filer, der sætter mails med skadelige vedhæftede filer i karantæne som malware.
Sikre vedhæftede filer til SharePoint, OneDrive og Microsoft Teams, der sætter skadelige filer i karantæne som malware.
Regler for mailflow (transportregler)
Regler for mailflow, der sætter mails i karantæne (direkte, ikke ved at markere dem som spam).

I understøttede beskyttelsesfunktioner definerer karantænepolitikker , hvad brugerne har tilladelse til at gøre for at sætte meddelelser i karantæne, afhængigt af hvorfor meddelelsen blev sat i karantæne. Standard karantænepolitikker gennemtvinger de historiske funktioner for meddelelser som beskrevet i den forrige tabel. Administratorer kan oprette og anvende brugerdefinerede karantænepolitikker, der definerer mindre restriktive eller mere restriktive egenskaber for brugerne. Du kan få flere oplysninger under Anatomi af en karantænepolitik.

Du kan få vist og administrere dine karantænemeddelelser på Microsoft Defender-portalen eller (hvis en administrator har konfigureret dette) karantænemeddelelser fra karantænepolitikker.

Hvad har du brug for at vide, før du begynder?

• Hvis du vil åbne Microsoft Defender-portalen, skal du gå til https://security.microsoft.com. Hvis du vil gå direkte til siden Karantæne , skal du bruge https://security.microsoft.com/quarantine.

• Administratorer kan konfigurere, hvor længe meddelelser holdes i karantæne, før de slettes permanent i politikker mod spam. Meddelelser, der er udløbet fra karantæne, kan ikke genoprettes. Du kan få flere oplysninger under Konfigurer politikker til bekæmpelse af spam i EOP.

• Meddelelser, der er sat i karantæne for phishing med høj sikkerhed, malware eller regler for mailflow, er som standard kun tilgængelige for administratorer og er ikke synlige for brugerne. Du kan få flere oplysninger under Administrer karantænerede meddelelser og filer som administrator i EOP.

• Alle handlinger, der udføres af administratorer eller brugere i karantænemeddelelser, overvåges. Du kan få flere oplysninger om overvågede karantænehændelser i Karantæneskema i API til Office 365 Management.

Administrer karantænemeddelelser i EOP

Få vist dine karantænemeddelelser

Bemærk!

Din mulighed for at få vist karantænemeddelelser styres af den karantænepolitik, der gælder for årsagen til, at meddelelsen blev sat i karantæne (hvilket kan være standard karantænepolitikken, som beskrevet under Anbefalede indstillinger for EOP og Microsoft Defender for Office 365 sikkerhed).

I Microsoft Defender-portalen på https://security.microsoft.comskal du gå til Fanen Mail & samarbejde>Gennemse>karantænemail>. Du kan også gå direkte til fanen Mail på siden Karantæne ved at bruge https://security.microsoft.com/quarantine?viewid=Email.

Under fanen Mail kan du mindske den lodrette afstand på listen ved at klikke på Skift listeafstand til kompakt eller normal og derefter vælge Komprimer liste.

Du kan sortere posterne ved at klikke på en tilgængelig kolonneoverskrift. Vælg Tilpas kolonner for at ændre de kolonner, der vises. Standardværdierne er markeret med en stjerne (^*):

• Modtaget tid^*
• Emne^*
• Afsender^*
• Årsag til^* karantæne (se de mulige værdier i Filterbeskrivelse .
• Udgivelsesstatus^* (se de mulige værdier i Filterbeskrivelse .
• Politiktype^* (se de mulige værdier i Filterbeskrivelse .
• Udløber^*
• Modtager^*
• Meddelelses-id
• Politiknavn
• Meddelelsesstørrelse
• Postretning
• Modtagerkode

Hvis du vil filtrere posterne, skal du vælge Filtrer. Følgende filtre er tilgængelige i pop op-vinduet Filtre , der åbnes:

• Meddelelses-id: Meddelelsens globalt entydige id.

• Afsenderadresse

• Modtageradresse

• Emne

• Modtaget tid:

  • Seneste 24 timer
  • Seneste 7 dage
  • Seneste 14 dage
  • Seneste 30 dage (standard)
  • Brugerdefineret: Angiv et starttidspunkt og et sluttidspunkt (dato).

• Udløber: Filtrer meddelelser efter, når de udløber fra karantæne:

  • Dag
  • De næste 2 dage
  • De næste 7 dage
  • Brugerdefineret: Angiv et starttidspunkt og et sluttidspunkt (dato).

• Modtagerkode

• Karantæneårsag:

  • Transportregel (regel for mailflow)
  • Bulk
  • Spam
  • Forebyggelse af datatab
  • Malware: Politikker for antimalware i politikker for EOP eller Vedhæftede filer, der er tillid til, i Defender for Office 365. Værdien for Politiktype angiver, hvilken funktion der blev brugt.
  • Phishing: Spamfilterets dom var , at meddelelsen var sat i karantæne (spoof-indstillinger eller repræsentationsbeskyttelse) i phishing- eller anti-phishing-beskyttelse.
  • Phishing med høj genkendelsessikkerhed
  • Administration handling – Filtypeblok: Meddelelser, der er blokeret som malware af filteret for almindelige vedhæftede filer i politikker til antimalware. Du kan få flere oplysninger under Politikker for antimalware.

• Modtager: Alle brugere eller kun mig. Slutbrugere kan kun administrere karantænemeddelelser, der sendes til dem.

• Udgivelsesstatus: En af følgende værdier:

  • Kræver gennemsyn
  • Godkendt
  • Nægtet
  • Der er anmodet om udgivelse
  • Udgivet

• Politiktype: Filtrer meddelelser efter politiktype:

  • Politik for antimalware
  • Politik for vedhæftede filer, der er tillid til
  • Politik til bekæmpelse af phishing
  • Politik mod spam
  • Transportregel (regel for mailflow)

  Værdierne for Politiktype og Karantæneårsag er indbyrdes forbundne. For eksempel er Bulk altid knyttet til en anti-spam-politik, aldrig med en antimalwarepolitik.

Når du er færdig med pop op-vinduet Filtre , skal du vælge Anvend. Hvis du vil rydde filtrene, skal du vælge Ryd filtre.

Tip

Filtre cachelagres. Filtrene fra de sidste sessioner vælges som standard, næste gang du åbner siden Karantæne . Denne funktionsmåde hjælper med triagehandlinger.

Brug feltet Søg og en tilsvarende værdi til at finde bestemte meddelelser. Jokertegn understøttes ikke. Du kan søge efter følgende værdier:

• Afsendermailadresse
• Emne. Brug hele meddelelsens emne. Der skelnes ikke mellem store og små bogstaver i søgningen.

Når du har angivet søgekriterierne, skal du trykke på enter enter for at filtrere resultaterne.

Bemærk!

Feltet Søg søger efter elementer i karantæne i den aktuelle visning, ikke alle elementer i karantæne. Hvis du vil søge i alle elementer i karantæne, skal du bruge Filter og det resulterende pop op-vindue Filtre .

Når du har fundet en bestemt karantænemeddelelse, skal du vælge meddelelsen for at få vist detaljer om den og udføre en handling på den (f.eks. få vist, udgive, downloade eller slette meddelelsen).

Tip

På mobilenheder er de tidligere beskrevne kontrolelementer tilgængelige under Mere.

Vis oplysninger om karantænemeddelelse

1. I Microsoft Defender-portalen på https://security.microsoft.comskal du gå til Fanen Mail & samarbejde>Gennemse>karantænemail>. Du kan også gå direkte til fanen Mail på siden Karantæne ved at bruge https://security.microsoft.com/quarantine?viewid=Email.

2. Under fanen Mail skal du vælge den karantænemeddelelse ved at klikke et andet sted i rækken end afkrydsningsfeltet.

I det pop op-vindue med detaljer, der åbnes, er følgende oplysninger tilgængelige:

• Afsnittet Karantænedetaljer :
  • Modtaget: Den dato/det klokkeslæt, hvor meddelelsen blev modtaget.
  • Udløber: Den dato/det klokkeslæt, hvor meddelelsen automatisk og permanent slettes fra karantæne.
  • Emne
  • Karantæneårsag: Viser, om en meddelelse er blevet identificeret som spam, masse, phish, matchede en regel for mailflow (transportregel) eller blev identificeret som indeholdende malware.
  • Politiktype
  • Politiknavn
  • Antal modtagere
  • Modtagere: Hvis meddelelsen indeholder flere modtagere, skal du muligvis vælge >Vis meddelelse eller >Vis brevhoved for at se den komplette liste over modtagere.
• Afsnittet Mailoplysninger:
  • Afsenderadresse
  • Modtaget tid
  • Netværksmeddelelses-id
  • Modtagere

Hvis du vil udføre en handling på meddelelsen, skal du se næste afsnit.

Tip

Hvis du vil se oplysninger om andre karantænemeddelelser uden at forlade detaljevinduet, skal du bruge Forrige element og Næste element øverst i pop op-vinduet.

Udfør en handling på karantænemail

1. I Microsoft Defender-portalen på https://security.microsoft.comskal du gå til Fanen Mail & samarbejde>Gennemse>karantænemail>. Du kan også gå direkte til fanen Mail på siden Karantæne ved at bruge https://security.microsoft.com/quarantine?viewid=Email.

2. Under fanen Mail skal du vælge den karantænerede mail ved hjælp af en af følgende metoder:

   • Vælg meddelelsen på listen ved at markere afkrydsningsfeltet ud for den første kolonne. De tilgængelige handlinger er ikke længere nedtonet.

     

   • Markér meddelelsen på listen ved at klikke et vilkårligt sted i rækken ud over afkrydsningsfeltet. De tilgængelige handlinger findes i det detaljerede pop op-vindue, der åbnes.

     

   Ved hjælp af en af metoderne til at vælge meddelelsen er nogle handlinger tilgængelige under Flere eller Flere indstillinger.

Når du har valgt den karantænerede meddelelse, beskrives de tilgængelige handlinger i følgende underafsnit.

Tip

På mobilenheder er handlingsoplevelsen lidt anderledes:

• Når du markerer meddelelsen ved at markere afkrydsningsfeltet, er alle handlinger under Mere:

  

• Når du markerer meddelelsen ved at klikke et vilkårligt sted i rækken ud over afkrydsningsfeltet, er de fleste indstillinger tilgængelige under Mere i pop op-vinduet med detaljer:

  

Frigiv karantænemail

Bemærk!

Din mulighed for at frigive karantænemeddelelser styres af karantænepolitikken for den beskyttelsesfunktion, der har sat meddelelsen i karantæne (hvilket kan være en standard karantænepolitik, som beskrevet i Anbefalede indstillinger for EOP og Microsoft Defender for Office 365 sikkerhed).

En karantænepolitik kan give dig mulighed for at frigive en meddelelse eller anmode om frigivelse af en meddelelse, men begge indstillinger er ikke tilgængelige for den samme meddelelse. En karantænepolitik kan også forhindre dig i at frigive eller anmode om frigivelse af karantænemeddelelser.

Denne handling er ikke tilgængelig for mails, der allerede er udgivet (statusværdien Udgivelse er udgivet).

Hvis du ikke frigiver eller fjerner en meddelelse, slettes den automatisk fra karantæne efter den dato, der er vist i kolonnen Udløber .

Når du har valgt meddelelsen, skal du bruge en af følgende metoder til at udgive den (levere den til din postkasse):

• Under fanen Mail: Vælg Udgivelse.
• I pop op-vinduet med detaljer for den valgte meddelelse: Vælg Frigiv mail.

I pop op-vinduet Udgiv til din indbakke , der åbnes, skal du vælge Rapportér meddelelse som ikke har nogen trusler efter behov og derefter vælge Frigiv meddelelse.

Når du er færdig med udgivelsesmeddelelsen til din indbakke , skal du vælge Frigiv meddelelse.

I pop op-vinduet Meddelelser, der er udgivet til din indbakke , som åbnes, skal du vælge Udført.

Tilbage under fanen Mailfrigives meddelelsens statusværdi for udgivelse.

Meddelelsen leveres til indbakken (eller en anden mappe, afhængigt af indbakkeregler i postkassen).

Anmod om frigivelse af karantænemail

Bemærk!

Din mulighed for at anmode om frigivelse af karantænemeddelelser styres af karantænepolitikken for den beskyttelsesfunktion, der har sat meddelelsen i karantæne.

En karantænepolitik kan give dig mulighed for at frigive en meddelelse eller anmode om frigivelse af en meddelelse, men begge indstillinger er ikke tilgængelige for den samme meddelelse. En karantænepolitik kan også forhindre dig i at frigive eller anmode om frigivelse af karantænemeddelelser.

Denne handling er ikke tilgængelig for mails, hvor du allerede har anmodet om udgivelse (der er anmodet omudgivelsesstatusværdien).

Hvis du ikke frigiver eller fjerner en meddelelse, slettes den automatisk fra karantæne efter den dato, der er vist i kolonnen Udløber .

Når du har valgt meddelelsen, skal du bruge en af følgende metoder til at anmode om udgivelsen:

• Under fanen Mail: Vælg Anmodningsfrigivelse.
• I pop op-vinduet med detaljer for den valgte meddelelse: Vælg Flere indstillinger>Anmod om udgivelse.

I pop op-vinduet Anmodning om udgivelse , der åbnes, skal du gennemse oplysningerne og vælge Anmod om udgivelse. I pop op-vinduet Udgivelse, der åbnes, skal du vælge Udført.

Tilbage på siden Karantæne bliver meddelelsens udgivelsesstatusværdifrigivet. En administrator gennemser din anmodning og godkender eller afviser den.

Slet mail fra karantæne

Når du sletter en mail fra karantæne, fjernes meddelelsen og sendes ikke til de oprindelige modtagere.

Hvis du ikke frigiver eller fjerner en meddelelse, slettes den automatisk fra karantæne efter den dato, der er vist i kolonnen Udløber .

Når du har valgt meddelelsen, skal du bruge en af følgende metoder til at fjerne den:

• Under fanen Mail: Vælg Slet meddelelser.
• I pop op-vinduet med detaljer for den valgte meddelelse: Vælg Flere indstillinger>Slet fra karantæne.

I pop op-vinduet Slet (n) meddelelser fra karantæne , der åbnes, skal du bruge en af følgende metoder til at slette meddelelsen:

• Vælg Slet meddelelsen permanent fra karantæne, og vælg derefter Slet: Meddelelsen slettes permanent og kan ikke gendannes.
• Vælg Slet kun: Meddelelsen er slettet, men kan muligvis gendannes.

Når du har valgt Slet i pop op-vinduet Slet (n) meddelelser fra karantæne , vender du tilbage til fanen Mail , hvor meddelelsen ikke længere vises.

Tip

Administratorer kan finde ud af, hvem der har slettet en meddelelse i karantæne, ved at søge i administratorens overvågningslog. Du kan finde instruktioner under Find ud af, hvem der har slettet en meddelelse i karantæne.

Vis mail fra karantæne

Når du har valgt meddelelsen, skal du bruge en af følgende metoder til at få den vist:

• Under fanen Mail: Vælg Eksempelmeddelelse.
• I pop op-vinduet med detaljer for den valgte meddelelse: Vælg Flere indstillinger>Vis meddelelse.

Vælg en af følgende faner i det pop op-vindue, der åbnes:

• Kilde: Viser HTML-versionen af meddelelsens brødtekst med alle links deaktiveret.
• Almindelig tekst: Viser meddelelsens brødtekst som almindelig tekst.

Vis brevhoveder i mails

Når du har valgt meddelelsen, skal du bruge en af følgende metoder til at få vist brevhovederne:

• Under fanen Mail: Vælg Flere>Vis brevhoveder.
• I pop op-vinduet med detaljer for den valgte meddelelse: Vælg Flere indstillinger>Få vist brevhoveder.

I pop op-vinduet Meddelelsesoverskrift , der åbnes, vises brevhovedet (alle headerfelter).

Brug Kopiér brevhoved til at kopiere brevhovedet til Udklipsholder.

Vælg linket Microsoft Message Header Analyzer for at analysere overskriftsfelterne og værdierne i dybden. Indsæt brevhovedet i sektionen Indsæt det brevhoved, du vil analysere (CTRL+V, eller højreklik, og vælg Sæt ind), og vælg derefter Analysér brevhoveder.

Bloker mailsendere fra karantæne

Handlingen Bloker afsendere føjer meddelelsens afsender til listen Blokerede afsendere i postkassen. Du kan få flere oplysninger om blokering af afsendere under Bloker en mailsender.

Når du har valgt meddelelsen, skal du bruge en af følgende metoder til at føje meddelelsens afsender til listen Blokerede afsendere i postkassen:

• Under fanen Mail: Vælg Afsender af flere>bloker.
• I pop op-vinduet med detaljer for den valgte meddelelse: Vælg Flere indstillinger>Bloker afsender.

I pop op-vinduet Bloker afsender , der åbnes, skal du gennemse oplysningerne om afsenderen og derefter vælge Bloker.

Tip

Organisationen kan stadig modtage mail fra den blokerede afsender. Meddelelser fra afsenderen leveres til brugerens mapper med uønsket mail eller til karantæne. Hvis du vil slette meddelelser fra afsenderen ved ankomsten, kan en administrator bruge regler for mailflow (også kaldet transportregler) til at blokere meddelelsen.

Udfør en handling på flere mails i karantæne

Når du vælger flere karantænemeddelelser under fanen Mail ved at markere afkrydsningsfelterne ud for den første kolonne, er følgende massehandlinger tilgængelige under fanen Mail (afhængigt af værdierne for udgivelsesstatus for de meddelelser, du har valgt):

• Frigiv karantænemail
• Anmod om frigivelse af karantænemail
• Slet mail fra karantæne

Administrer karantænemeddelelser i Microsoft Teams

Når der registreres en potentielt skadelig chatmeddelelse i Microsoft Teams, fjernes meddelelsen automatisk med nul timers automatisk sletning (ZAP) og sætter den i karantæne. Brugerne kan nu få vist og administrere disse Teams-meddelelser i karantæne på portalen Microsoft Defender. Karantænemeddelelser understøttes ikke for teams-meddelelser i karantæne.

Få vist dine karantænemeddelelser i Microsoft Teams

I Microsoft Defender-portalen på https://security.microsoft.comskal du gå til fanen Mail & samarbejde>Gennemse>Karantæne>teams-meddelelser. Du kan også gå direkte til fanen Teams-meddelelser på siden Karantæne ved at bruge https://security.microsoft.com/quarantine?viewid=Teams.

Du kan sortere posterne ved at klikke på en tilgængelig kolonneoverskrift. Vælg Tilpas kolonner for at ændre de kolonner, der vises. Standardkolonnerne er:

• Teams-meddelelsestekst: Indeholder emnet for teams-meddelelsen.
• Dato for karantæne: Viste, hvornår meddelelsen blev sat i karantæne.
• Status: Viser, om meddelelsen allerede er gennemset og udgivet eller skal gennemses.
• Afsender: Den person, der sendte den meddelelse, der blev sat i karantæne.
• Karantæneårsag: Tilgængelige indstillinger er Phish med høj genkendelsessikkerhed og Malware.
• Udløber: Angiver det tidspunkt, hvorefter meddelelsen fjernes fra karantæne. Denne værdi er som standard 30 dage.

Hvis du vil filtrere posterne, skal du vælge Filtrer. Følgende filtre er tilgængelige i pop op-vinduet Filtre , der åbnes:

• Afsenderadresse
• Modtaget tid:
  • Seneste 24 timer
  • Seneste 7 dage
  • Seneste 14 dage
  • Seneste 30 dage (standard)
  • Brugerdefineret: Angiv et starttidspunkt og et sluttidspunkt (dato).
• Udløber om:
  • Brugerdefineret (standard): Angiv starttidspunkt og sluttidspunkt (dato).
  • Dag
  • De næste 2 dage
  • De næste 7 dage
• Karantæneårsag: Tilgængelige værdier er phishing med malware og høj genkendelsessikkerhed.
• Status: Vælg Skal gennemses og frigives.

Når du er færdig i pop op-vinduet Filtre , skal du vælge Anvend. Hvis du vil rydde filtrene, skal du vælge Ryd filtre.

Brug feltet Søg og en tilsvarende værdi til at finde bestemte Teams-meddelelser. Jokertegn understøttes ikke.

Når du har fundet en bestemt Teams-meddelelse i karantæne, skal du vælge meddelelsen for at få vist detaljer om den og udføre handlinger på den (f.eks. få vist, udgive, downloade eller slette meddelelsen).

Få vist oplysninger om karantæne i Microsoft Teams

Under fanen Teams-meddelelser skal du vælge den karantænemeddelelse ved at klikke et andet sted i rækken end afkrydsningsfeltet.

I det pop op-vindue med detaljer, der åbnes, er følgende oplysninger tilgængelige:

• Afsnittet Karantæneoplysninger: Indeholder karantæneårsag, udløbsdato, karantænepolitiktype og andre oplysninger.
  • Udløber
  • Modtaget tid
  • Årsag til karantæne
  • Udgivelsesstatus
  • Politiktype
• Afsnittet Meddelelsesoplysninger: Indeholder dato og klokkeslæt for den sendte meddelelse, afsenderadressen, Teams-meddelelses-id og listen over modtagere.
  • Afsenderadresse
  • Modtaget tid
  • Modtagere
  • Teams-meddelelses-id

Hvis du vil udføre en handling på meddelelsen, skal du se næste afsnit.

Udfør en handling på karantænemeddelelser i Microsoft Teams

Under fanen Teams-meddelelser skal du vælge meddelelsen i karantæne ved at markere afkrydsningsfeltet ud for den første kolonne. Der findes følgende indstillinger:

• Anmodning om frigivelse: Du kan anmode om at få frigivet meddelelsen fra karantæne. Organisationens administrator skal godkende udgivelsen.
• Slet: Du kan anmode om at slette meddelelsen fra listen over karantænemeddelelser.
• Vis meddelelse: Du kan få vist detaljerne for den valgte meddelelse.

Hvis du ikke frigiver eller fjerner en meddelelse, slettes den automatisk fra karantæne efter den dato, der er vist i kolonnen Udløber .