Verwalten von Nachrichten und Dateien in Quarantäne als Administrator
Tipp
Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Informationen dazu, wer sich registrieren und testen kann, finden Sie unter Try Microsoft Defender for Office 365.
In Microsoft 365-Organisationen mit Postfächern in Exchange Online oder Microsoft Teams oder in eigenständigen Exchange Online Protection -Organisationen (EOP) ohne Exchange Online Postfächer oder Teams, quarantänen Sie potenziell gefährliche oder unerwünschte Nachrichten, die von EOP erkannt wurden und Defender for Office 365.
Administratoren können alle Arten von in Quarantäne befindlichen Nachrichten und Dateien für alle Benutzer anzeigen, freigeben und löschen.
Administratoren in Organisationen mit Microsoft Defender for Office 365 können auch Dateien verwalten, die von sicheren Anlagen für SharePoint, OneDrive und Microsoft Teams und Microsoft Teams-Nachrichten unter Quarantäne gesetzt wurden, die durch automatische Null-Stunden-Bereinigung (ZAP) unter Quarantäne gesetzt wurden.
Benutzer können die meisten in Quarantäne befindlichen E-Mail-Nachrichten basierend auf der Quarantänerichtlinie für unterstützte E-Mail-Schutzfunktionen verwalten. Weitere Informationen zu Quarantänerichtlinien finden Sie unter Anatomie einer Quarantänerichtlinie.
Administratoren und auch Benutzer (abhängig von den vom Benutzer gemeldeten Einstellungen für die organization) können falsch positive Ergebnisse aus der Quarantäne an Microsoft melden.
Sie können isolierte Nachrichten im Microsoft Defender-Portal oder in PowerShell (Exchange Online PowerShell für Microsoft 365-Organisationen mit Postfächern in Exchange Online; eigenständige EOP PowerShell für Organisationen ohne Exchange Online Postfächer) anzeigen und verwalten.
Sehen Sie sich dieses kurze Video an, um zu erfahren, wie Sie unter Quarantäne gestellte Nachrichten als Administrator verwalten.
Tipp
Als Ergänzung zu diesem Artikel lesen Sie unseren Microsoft Defender for Office 365 Einrichtungsleitfaden, um bewährte Methoden zu überprüfen und sich vor E-Mail-, Link- und Zusammenarbeitsbedrohungen zu schützen. Zu den Features gehören sichere Links, sichere Anlagen und vieles mehr. Für eine angepasste Umgebung können Sie auf das Microsoft Defender for Office 365 Handbuch für die automatisierte Einrichtung im Microsoft 365 Admin Center zugreifen.
Was sollten Sie wissen, bevor Sie beginnen?
Um das Microsoft Defender-Portal zu öffnen, wechseln Sie zu https://security.microsoft.com. Um direkt zur Quarantäne-Seite zu gelangen, verwenden Sie https://security.microsoft.com/quarantine.
Wie Sie eine Verbindung mit Exchange Online PowerShell herstellen, finden Sie unter Herstellen einer Verbindung mit Exchange Online PowerShell. Informationen zum Herstellen einer Verbindung mit dem eigenständigen Exchange Online Protection PowerShell finden Sie unter Verbinden mit PowerShell in Exchange Online Protection.
Ihnen müssen Berechtigungen zugewiesen werden, bevor Sie die Verfahren in diesem Artikel ausführen können. Sie haben folgende Optionen:
-
Microsoft Defender XDR Vereinheitlichte rollenbasierte Zugriffssteuerung (Unified Role Based Access Control, RBAC) (Wenn Email & Zusammenarbeit>Defender for Office 365 Berechtigungen aktiv sind. Betrifft nur das Defender-Portal, nicht PowerShell):
- Ergreifen Sie Maßnahmen für unter Quarantäne gestellte Nachrichten für alle Benutzer: Sicherheitsvorgänge/Sicherheitsdaten/Email & Quarantäne für die Zusammenarbeit (Verwalten).
- Schreibgeschützter Zugriff auf unter Quarantäne gestellte Nachrichten für alle Benutzer: Sicherheitsvorgänge/Sicherheitsdaten/Sicherheitsdatengrundlagen (Lesen).
-
Email & Berechtigungen für die Zusammenarbeit im Microsoft Defender-Portal:
-
Ergreifen Sie Aktionen für unter Quarantäne gestellte Nachrichten für alle Benutzer: Mitgliedschaft in den Rollengruppen Quarantäneadministrator, Sicherheitsadministrator oder Organisationsverwaltung .
- Senden von Nachrichten aus der Quarantäne an Microsoft: Mitgliedschaft in den Rollengruppen "Sicherheitsadministrator ".
- Verwenden Sie Absender blockieren , um Absender zu Ihrer eigenen Liste blockierter Absender hinzuzufügen: Administratoren sehen Absender nur blockieren , wenn sie die Quarantäneergebnisse nach Empfänger>Nur mich anstelle des Standardwerts Alle Benutzer filtern. Durch das Zuweisen einer Berechtigung, die Administratorzugriff auf die Quarantäne gewährt (z. B. Sicherheitsleseberechtigter oder globaler Leser), erhalten Sie Zugriff auf Absender in Quarantäne sperren , wenn der Benutzer die Quarantäneergebnisse nach Empfänger>nur mich filtert.
- Schreibgeschützter Zugriff auf unter Quarantäne gestellte Nachrichten für alle Benutzer: Mitgliedschaft in den Rollengruppen "Sicherheitsleseberechtigter " oder " Globaler Leser ".
-
Ergreifen Sie Aktionen für unter Quarantäne gestellte Nachrichten für alle Benutzer: Mitgliedschaft in den Rollengruppen Quarantäneadministrator, Sicherheitsadministrator oder Organisationsverwaltung .
-
Microsoft Entra Berechtigungen: Durch die Mitgliedschaft in diesen Rollen erhalten Benutzer die erforderlichen Berechtigungen und Berechtigungen für andere Features in Microsoft 365:
Ergreifen Sie Aktionen für unter Quarantäne gestellte Nachrichten für alle Benutzer: Mitgliedschaft in der Rolle Sicherheitsadministrator oder Globaler Administrator* .
Wichtig
* Microsoft empfiehlt die Verwendung von Rollen mit den geringsten Berechtigungen. Die Verwendung von Konten mit niedrigeren Berechtigungen trägt zur Verbesserung der Sicherheit für Ihre organization bei. Globaler Administrator ist eine hoch privilegierte Rolle, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.
- Senden von Nachrichten aus der Quarantäne an Microsoft: Mitgliedschaft in der Rolle "Sicherheitsadministrator ".
- Verwenden Sie Absender blockieren , um Absender zu Ihrer eigenen Liste blockierter Absender hinzuzufügen: Administratoren sehen Absender nur blockieren , wenn sie die Quarantäneergebnisse nach Empfänger>Nur mich anstelle des Standardwerts Alle Benutzer filtern. Durch das Zuweisen einer Berechtigung, die Administratorzugriff auf die Quarantäne gewährt (z. B. Sicherheitsleseberechtigter oder globaler Leser), erhalten Sie Zugriff auf Absender in Quarantäne sperren , wenn der Benutzer die Quarantäneergebnisse nach Empfänger>nur mich filtert.
Schreibgeschützter Zugriff auf unter Quarantäne gestellte Nachrichten für alle Benutzer: Mitgliedschaft in der Rolle "Globaler Leser " oder "Sicherheitsleseberechtigter ".
Tipp
Die Möglichkeit, unter Quarantäne gestellte Nachrichten mit Exchange Online Berechtigungen zu verwalten, endete im Februar 2023 pro MC447339.
Gastadministratoren aus anderen Organisationen können unter Quarantäne gestellte Nachrichten nicht verwalten. Der Administrator muss sich im gleichen organization wie die Empfänger befinden.
-
Microsoft Defender XDR Vereinheitlichte rollenbasierte Zugriffssteuerung (Unified Role Based Access Control, RBAC) (Wenn Email & Zusammenarbeit>Defender for Office 365 Berechtigungen aktiv sind. Betrifft nur das Defender-Portal, nicht PowerShell):
Unter Quarantäne gestellte Nachrichten und Dateien werden für einen Standardzeitraum aufbewahrt, je nachdem, warum sie unter Quarantäne gesetzt wurden. Nach Ablauf des Aufbewahrungszeitraums werden die Nachrichten automatisch gelöscht und können nicht wiederhergestellt werden. Weitere Informationen finden Sie unter Quarantäneaufbewahrung.
Informationen zur Rangfolge für Benutzerberechtigungen und -blöcke sowie organization Zu- und Blöcke finden Sie unter Benutzer- und Mandanteneinstellungskonflikt.
Alle Aktionen, die von Administratoren oder Benutzern für unter Quarantäne gestellte Nachrichten ausgeführt werden, werden überwacht. Weitere Informationen zu überwachten Quarantäneereignissen finden Sie unter Quarantäneschema in der Office 365 Management-API.
Verwenden des Microsoft Defender-Portals zum Verwalten von in Quarantäne befindlichen E-Mail-Nachrichten
Anzeigen von in Quarantäne befindlichen E-Mails
Wechseln Sie im Microsoft Defender-Portal unter https://security.microsoft.comzur Registerkarte Email & Zusammenarbeit>Quarantäne>überprüfen>Email Registerkarte. Oder verwenden Sie , um direkt zur Registerkarte Email auf der Seite Quarantäne zu wechselnhttps://security.microsoft.com/quarantine?viewid=Email.
Standardmäßig werden nur die ersten 100 Einträge angezeigt, bis Sie zum Ende der Liste scrollen, wodurch weitere Ergebnisse geladen werden.
Auf der Registerkarte Email können Sie den vertikalen Abstand in der Liste verringern, indem Sie auf Listenabstand in Komprimierung oder Normal ändern klicken und dann Liste komprimieren auswählen.
Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken. Wählen Sie Spalten anpassen aus, um die angezeigten Spalten zu ändern. Die Standardwerte sind mit einem Sternchen (*) gekennzeichnet:
Empfangszeit*
Betreff*
Absender*
Quarantänegrund* (Siehe die möglichen Werte in der Filterbeschreibung .)
Release status* (siehe mögliche Werte in der Filterbeschreibung).)
Richtlinientyp* (Siehe die möglichen Werte in der Filterbeschreibung .)
Abläuft*
Empfänger: Die E-Mail-Adresse des Empfängers wird immer in den primäre E-Mail-Adresse aufgelöst, auch wenn die Nachricht an eine Proxyadresse gesendet wurde.
Grund für *die Außerkraftsetzung der Absenderadresse: Einer der folgenden Werte:
- Keine
- Nachrichtensender wird durch Empfängereinstellungen blockiert
- Nachrichtensender wird von Administratoreinstellungen blockiert
Tipp
Wenn ein Absender blockiert ist und Blockierte Absender nicht anzeigen ausgewählt ist (Standardeinstellung), werden Nachrichten von diesen Absendern auf der Seite Quarantäne angezeigt und in Quarantänebenachrichtigungen eingeschlossen, wenn der Wert des Grunds für Absenderadresse außer Kraft gesetzt auf None festgelegt ist. Dieses Verhalten tritt auf, weil die Nachrichten aus anderen Gründen als Aussetzungen der Absenderadresse blockiert wurden.
Veröffentlicht von*
Nachrichten-ID
Name der Richtlinie
Nachrichtengröße
E-Mail-Richtung
Empfängertag
Um die Einträge zu filtern, wählen Sie Filter aus. Die folgenden Filter sind im Flyout Filter verfügbar, das geöffnet wird:
Nachrichten-ID: Die globale eindeutige ID der Nachricht.
Beispielsweise haben Sie die Nachrichtenablaufverfolgung verwendet, um nach einer Nachricht zu suchen, und sie bestimmen, dass die Nachricht unter Quarantäne gestellt wurde, anstatt zugestellt zu werden. Achten Sie darauf, den vollständigen Nachrichten-ID-Wert einzuschließen, der spitze Klammern (<>) enthalten kann. Beispiel:
<79239079-d95a-483a-aacf-e954f592a0f6@XYZPR00BM0200.contoso.com>
.Absenderadresse
Empfängeradresse
Betreff
Empfangene Zeit: Wählen Sie einen der folgenden Werte aus:
- Letzte 24 Stunden
- Letzte 7 Tage (Standard)
- Letzte 14 Tage
- Die letzten 30 Tage
- Benutzerdefiniert: Geben Sie eine Startzeit und Endzeit (Datum) ein.
Läuft ab: Filtern Sie Nachrichten nach dem Ablauf der Quarantäne. Wählen Sie einen der folgenden Werte aus:
- Heute
- Nächste 2 Tage
- Nächste 7 Tage
- Benutzerdefiniert: Geben Sie eine Startzeit und Endzeit (Datum) ein.
Empfängertag: Derzeit ist das einzige auswählbare Benutzertag das Prioritätskonto.
Quarantänegrund: Wählen Sie mindestens einen der folgenden Werte aus:
- Transportregel (Nachrichtenflussregel)
- Massensendung
- Spam
- Verhinderung von Datenverlust
- Schadsoftware: Antischadsoftware-Richtlinien in EOP oder Richtlinien für sichere Anlagen in Defender for Office 365. Der Wert Richtlinientyp gibt an, welches Feature verwendet wurde.
- Admin Aktion – Dateitypblock: Nachrichten, die durch den allgemeinen Anlagenfilter in Antischadsoftwarerichtlinien als Schadsoftware blockiert werden. Weitere Informationen finden Sie unter Antischadsoftwarerichtlinien.
- Phishing: Die Spamfiltereinstufung lautete Phishing oder die Nachricht wurde zum Schutz vor Phishing unter Quarantäne gestellt (Spoofing-Einstellungen oder Schutz vor Identitätswechsel).
- Hohe Phishingwahrscheinlichkeit
Empfänger: Wählen Sie einen der folgenden Werte aus:
- Alle Benutzer (standardwert, auch wenn er nicht ausgewählt angezeigt wird)
- Nur ich: Nur Nachrichten anzeigen, bei denen jeder angemeldete Empfänger ist. Dieser Wert ist erforderlich, damit Administratoren die Aktionen Absender zulassen und Absender blockieren anzeigen können.
Blockierter Absender: Einer der folgenden Werte:
- Blockierte Absender nicht anzeigen (Standard)
- Alle Absender anzeigen
Tipp
Wenn ein Absender blockiert ist und blockierte Absender nicht anzeigen ausgewählt ist, werden Nachrichten von diesen Absendern auf der Seite Quarantäne angezeigt und in Quarantänebenachrichtigungen eingeschlossen, wenn der Wert des Grunds für absenderadresse außer Kraft setzen Keine ist. Dieses Verhalten tritt auf, weil die Nachrichten aus anderen Gründen als Aussetzungen der Absenderadresse blockiert wurden.
Release status: Wählen Sie mindestens einen der folgenden Werte aus.
- Überprüfung erforderlich
- Genehmigt
- Abgelehnt
- Freigabe angefordert
- Freigegeben
Richtlinientyp: Filtern Sie Nachrichten nach dem Typ der Schutzrichtlinie, der die Nachricht unter Quarantäne gesetzt hat. Wählen Sie mindestens einen der folgenden Werte aus:
- Anti-Schadsoftware-Richtlinie
- Richtlinie für Sichere Anlagen
- Antiphishingrichtlinie
- Antispamrichtlinie
- Transportregel (Nachrichtenflussregel)
- Regel zur Verhinderung von Datenverlust
Die Werte für Richtlinientyp und Quarantänegrund sind miteinander verknüpft. Beispielsweise ist Bulk immer einer Antispamrichtlinie zugeordnet, niemals mit einer Anti-Malware-Richtlinie.
Wenn Sie mit dem Flyout Filter fertig sind, wählen Sie Übernehmen aus. Um die Filter zu löschen, wählen Sie Filter löschen aus.
Tipp
Filter werden zwischengespeichert. Die Filter aus den letzten Sitzungen werden standardmäßig ausgewählt, wenn Sie die Seite Quarantäne das nächste Mal öffnen. Dieses Verhalten hilft bei Selektierungsvorgängen.
Verwenden Sie das Suchfeld und einen entsprechenden Wert, um bestimmte Nachrichten zu finden. Platzhalter werden nicht unterstützt. Sie können nach den folgenden Werten suchen:
- E-Mail-Adresse des Absenders
- Betreff: Verwenden Sie den gesamten Betreff der Nachricht. Bei der Suche wird die Groß-/Kleinschreibung nicht beachtet.
Nachdem Sie die Suchkriterien eingegeben haben, drücken Sie die EINGABETASTE, um die Ergebnisse zu filtern.
Hinweis
Das Suchfeld sucht nach in Quarantäne befindlichen Elementen in der aktuellen Ansicht (die auf 100 Elemente beschränkt ist), nicht nach allen in Quarantäne befindlichen Elementen. Um alle in Quarantäne befindlichen Elemente zu durchsuchen, verwenden Sie Filter und das resultierende Filter-Flyout .
Nachdem Sie eine bestimmte in Quarantäne befindliche Nachricht gefunden haben, wählen Sie die Nachricht aus, um Details dazu anzuzeigen und maßnahmen zu ergreifen (z. B. Anzeigen, Freigeben, Herunterladen oder Löschen der Nachricht).
Anzeigen von Details zu in Quarantäne befindlichen E-Mails
Wechseln Sie im Microsoft Defender-Portal unter https://security.microsoft.comzur Registerkarte Email & Zusammenarbeit>Quarantäne>überprüfen>Email Registerkarte. Oder verwenden Sie , um direkt zur Registerkarte Email auf der Seite Quarantäne zu wechselnhttps://security.microsoft.com/quarantine?viewid=Email.
Wählen Sie auf der Registerkarte Email die unter Quarantäne gestellte Nachricht aus, indem Sie auf eine beliebige Stelle in der Zeile klicken, die nicht das Kontrollkästchen ist.
Im daraufhin geöffneten Details-Flyout sind die folgenden Informationen verfügbar:
Tipp
Die Aktionen, die oben im Flyout verfügbar sind, werden unter Ergreifen von Maßnahmen für unter Quarantäne gestellte E-Mails beschrieben.
Um Details zu anderen unter Quarantäne stehenden Nachrichten anzuzeigen, ohne das Details-Flyout zu verlassen, verwenden Sie Vorheriges Element und Nächstes Element oben im Flyout.
-
Abschnitt "Details zur Quarantäne ":
Empfangen: Das Datum/die Uhrzeit des Nachrichtenempfangs.
Läuft ab: Das Datum/die Uhrzeit, an dem die Nachricht automatisch und endgültig aus der Quarantäne gelöscht wird.
Subject
Quarantänegrund: Zeigt an, ob eine Nachricht als Spam, Massen- oder Phish-Nachricht identifiziert wurde, mit einer Nachrichtenflussregel (Transportregel) übereinstimmt oder als Schadsoftware identifiziert wurde.
Richtlinientyp
Name der Richtlinie
Empfängeranzahl
Empfänger: Wenn die Nachricht viele Empfänger enthält, können Sie die Vorschaunachricht oder den Nachrichtenkopf anzeigen verwenden, um die vollständige Liste der Empfänger anzuzeigen.
Empfänger-E-Mail-Adressen werden immer in den primäre E-Mail-Adresse aufgelöst, auch wenn die Nachricht an eine Proxyadresse gesendet wurde.
Noch nicht freigegeben für, Freigegeben für und/oder Freigegeben von: Je nach Status der Nachricht ist möglicherweise mindestens einer der folgenden Werte verfügbar:
- Noch nicht freigegeben für: Email Adressen von Empfängern, für die die Nachricht nicht freigegeben wurde.
- Freigegeben für: Email Adressen von Empfängern, für die die Nachricht freigegeben wurde.
-
Veröffentlicht von: Der Administrator, der die Nachricht im folgenden Format veröffentlicht hat:
<email address of admin who released the message> released for <recipient>
. Beispiel:admin@contoso.onmicrosoft.com released to laura@contoso.onmicrosoft.com
. Wenn der Endbenutzer die Nachricht loslässt, wird die SMTP-Adresse des Endbenutzers angezeigt. Wenn die Freigabe vom System durchgeführt wird, heißt es "System freigegeben". Wenn das Release nicht von einem Administrator, einem Endbenutzer oder dem System übertragen wird, wird standardmäßig "Admin" verwendet.
Der Rest des Details-Flyouts enthält die Abschnitte Übermittlungsdetails, Email Details, URLs und Anlagen, die Teil des Email Zusammenfassungsbereichs sind. Weitere Informationen finden Sie unter Zusammenfassungsbereich Email.
Informationen zu Maßnahmen im Hinblick auf die Nachricht finden Sie im nächsten Abschnitt.
Tipp
Um Details zu anderen unter Quarantäne stehenden Nachrichten anzuzeigen, ohne das Details-Flyout zu verlassen, verwenden Sie Vorheriges Element und Nächstes Element oben im Flyout.
Maßnahmen für isolierte E-Mails ergreifen
Wechseln Sie im Microsoft Defender-Portal unter https://security.microsoft.comzur Registerkarte Email & Zusammenarbeit>Quarantäne>überprüfen>Email Registerkarte. Oder verwenden Sie , um direkt zur Registerkarte Email auf der Seite Quarantäne zu wechselnhttps://security.microsoft.com/quarantine?viewid=Email.
Wählen Sie auf der Registerkarte Email die in Quarantäne befindliche E-Mail-Nachricht mit einer der folgenden Methoden aus:
Wählen Sie die Nachricht aus der Liste aus, indem Sie das Kontrollkästchen neben der ersten Spalte aktivieren. Die verfügbaren Aktionen sind nicht mehr abgeblendet.
Wählen Sie die Nachricht aus der Liste aus, indem Sie auf eine beliebige Stelle in der Zeile klicken, die sich nicht auf das Kontrollkästchen befindet. Die verfügbaren Aktionen befinden sich im Details-Flyout, das geöffnet wird.
Wenn Sie beide Methoden verwenden, um die Nachricht auszuwählen, sind viele Aktionen unter Mehr oder Mehr Optionen verfügbar.
Nachdem Sie die unter Quarantäne gestellte Nachricht ausgewählt haben, werden die verfügbaren Aktionen in den folgenden Unterabschnitten beschrieben.
Tipp
Auf mobilen Geräten unterscheidet sich die Aktionserfahrung geringfügig:
Wenn Sie die Nachricht durch Aktivieren des Kontrollkästchens auswählen, befinden sich alle Aktionen unter Mehr:
Wenn Sie die Nachricht auswählen, indem Sie an einer anderen Stelle in der Zeile als dem Kontrollkästchen klicken, ist der Beschreibungstext auf einigen aktionssymbolen im Details-Flyout nicht verfügbar. Die Aktionen und ihre Reihenfolge sind jedoch die gleichen wie auf einem PC:
Freigeben von in Quarantäne befindlichen E-Mails
Diese Aktion ist nicht für E-Mail-Nachrichten verfügbar, die bereits veröffentlicht wurden (der Wert Release statusist Freigegeben).
Wenn Sie eine Nachricht nicht freigeben oder entfernen, wird sie nach dem in der Spalte Ablaufdatum angezeigten Datum automatisch aus der Quarantäne gelöscht.
- Sie können eine Nachricht nicht mehrmals an denselben Empfänger freigeben.
- Wenn Sie einzelne ursprüngliche Empfänger auswählen, um die freigegebene Nachricht zu empfangen, können Sie nur Empfänger auswählen, die die freigegebene Nachricht noch nicht erhalten haben.
- Mitglieder der Rollengruppe Sicherheitsadministratoren können die Optionen Nachricht an Microsoft senden anzeigen und verwenden, um die Erkennung zu verbessern und E-Mails mit ähnlichen Attributen zulassen .
- Benutzer können falsch positive Ergebnisse aus der Quarantäne an Microsoft melden, abhängig vom Wert der Einstellung Berichterstellung aus Quarantäne in den vom Benutzer gemeldeten Einstellungen.
Tipp
Antivirenlösungen, Sicherheitsdienste und ausgehende Connectors von Drittanbietern können die folgenden Probleme bei Nachrichten verursachen, die aus der Quarantäne freigegeben werden:
- Die Nachricht wird nach der Freigabe unter Quarantäne gestellt.
- Inhalt wird aus der freigegebenen Nachricht entfernt, bevor er den Posteingang des Empfängers erreicht.
- Die freigegebene Nachricht kommt nie im Posteingang des Empfängers an.
- Aktionen in Quarantänebenachrichtigungen können nach dem Zufallsprinzip ausgewählt werden.
Vergewissern Sie sich, dass Sie keine Filterung von Drittanbietern verwenden, bevor Sie ein Supportticket zu diesen Problemen öffnen.
Posteingangsregeln (die von Benutzern in Outlook oder von Administratoren mithilfe der Cmdlets *-InboxRule in Exchange Online PowerShell erstellt wurden) können Nachrichten aus dem Posteingang verschieben oder löschen.
Administratoren können mithilfe der Nachrichtenablaufverfolgung ermitteln, ob eine freigegebene Nachricht an den Posteingang des Empfängers übermittelt wurde.
Wenn Sie unter Aktion von anderen Defender for Office 365 Features (z. B. Explorer (Bedrohungs-Explorer) oder der Entitätsseite Email) in Quarantäne befindliche Nachrichten in den Postfachordner> verschieben auswählen, können Sie auch Nachrichten aus der Quarantäne freigeben. Weitere Informationen finden Sie unter Bedrohungssuche: Der Assistent zum Ausführen von Aktionen.
Nachdem Sie die Nachricht ausgewählt haben, verwenden Sie eine der folgenden Methoden, um sie freizugeben:
- Wählen Sie auf der Registerkarte Email die Option Freigeben aus.
- Im Details-Flyout der ausgewählten Nachricht: Wählen Sie E-Mail freigeben aus.
Konfigurieren Sie im geöffneten Flyout Release email to recipient inboxes (E-Mail an Empfänger-Posteingang freigeben ), das geöffnet wird, die folgenden Optionen:
Wählen Sie einen der folgenden Werte aus:
- Freigabe für alle Empfänger
- Für einen oder mehrere der ursprünglichen Empfänger der E-Mail freigeben: Geben Sie die Empfänger in das daraufhin angezeigte Feld Empfänger ein.
Eine Kopie dieser Nachricht an einen anderen Empfänger senden: Wenn Sie diese Option auswählen, wählen Sie einen oder mehrere Empfänger aus, indem Sie in das daraufhin angezeigte Feld Empfänger klicken.
Senden Sie die Nachricht an Microsoft, um die Erkennung zu verbessern: Wenn Sie diese Option auswählen, wird die fälschlicherweise unter Quarantäne gestellte Nachricht an Microsoft als falsch positiv gemeldet. Abhängig von den Ergebnissen ihrer Analyse können die dienstweiten Spamfilterregeln angepasst werden, um die Nachricht zuzulassen.
Wenn Sie diese Option auswählen, werden die folgenden Optionen angezeigt:
-
Diese Nachricht zulassen: Wenn Sie diese Option auswählen, werden der Zulassungs-/Sperrliste des Mandanten für den Absender und alle zugehörigen URLs oder Anlagen in der Nachricht Zulassungseinträge hinzugefügt. Die folgenden Optionen werden ebenfalls angezeigt:
- Eintrag entfernen nach: Der Standardwert ist 30 Tage, Aber Sie können auch 1 Tag, 7 Tage oder ein Bestimmtes Datum auswählen, das weniger als 30 Tage ist.
- Eingabehinweis zulassen: Geben Sie eine optionale Notiz ein, die zusätzliche Informationen enthält.
-
Diese Nachricht zulassen: Wenn Sie diese Option auswählen, werden der Zulassungs-/Sperrliste des Mandanten für den Absender und alle zugehörigen URLs oder Anlagen in der Nachricht Zulassungseinträge hinzugefügt. Die folgenden Optionen werden ebenfalls angezeigt:
Wenn Sie das Flyout E-Mail an Empfängerboxen freigeben abgeschlossen haben, wählen Sie Nachricht freigeben aus.
Zurück auf der Registerkarte Email ist der Wert release status der Nachricht Freigegeben.
Genehmigen oder Verweigern von Freigabeanforderungen von Benutzern für unter Quarantäne gestellte E-Mails
Benutzer können die Freigabe von E-Mail-Nachrichten anfordern, wenn die Quarantänerichtlinie Empfängern das Freigeben einer Nachricht aus der Quarantäne (PermissionToRequestRelease
Berechtigung) gestatten anstelle von Empfängern erlauben, eine Nachricht aus der Quarantäne freizugeben (PermissionToRelease
Berechtigung) verwendet hat, wenn die Nachricht unter Quarantäne gestellt wurde. Weitere Informationen finden Sie unter Erstellen von Quarantänerichtlinien im Microsoft Defender-Portal.
Nachdem ein Empfänger die Veröffentlichung der E-Mail-Nachricht angefordert hat, ändert sich der Wert release status in Release requested, und ein Administrator kann die Anforderung genehmigen oder ablehnen.
Tipp
Eine Warnung zum Freigeben der Nachricht kann für mehrere Releaseanforderungen für diese Nachricht erstellt werden. Verwenden Sie den Quarantänelink im Abschnitt Details der Warnmeldung, um Maßnahmen für die Releaseanforderung von Benutzern im organization der letzten 7 Tage zu ergreifen.
Wenn Sie eine Nachricht nicht freigeben oder entfernen, wird sie nach dem in der Spalte Ablaufdatum angezeigten Datum automatisch aus der Quarantäne gelöscht.
Nachdem Sie die Nachricht ausgewählt haben, verwenden Sie eine der folgenden Methoden, um die Releaseanforderung zu genehmigen oder zu verweigern:
- Auf der Registerkarte Email: Wählen Sie Freigabe genehmigen oder Verweigern aus.
- Im Details-Flyout der ausgewählten Nachricht: Wählen Sie Mehr und dann Freigabe genehmigen oder Freigabe verweigern aus.
Wenn Sie Freigabe genehmigen auswählen, wird ein Flyout Release genehmigen geöffnet, in dem Sie Informationen zur Nachricht überprüfen können. Wählen Sie Release genehmigen aus, um die Anforderung zu genehmigen. Ein Flyout mit genehmigtem Release wird geöffnet, in dem Sie den Link auswählen können, um mehr über das Freigeben von Nachrichten zu erfahren. Wählen Sie Fertig aus, wenn Sie im Flyout Release approved (Genehmigte Freigabe ) fertig sind. Zurück auf der Registerkarte Email ändert sich der Wert release status der Nachricht in Genehmigt.
Wenn Sie Verweigern auswählen, wird ein Flyout Release verweigern geöffnet, in dem Sie Informationen zur Nachricht überprüfen können. Um die Anforderung zu verweigern, wählen Sie Release verweigern aus. Ein Flyout "Release verweigert " wird geöffnet, in dem Sie den Link auswählen können, um mehr über das Freigeben von Nachrichten zu erfahren. Wählen Sie Fertig aus, wenn Sie im Flyout Release denied (Release verweigert ) fertig sind. Zurück auf der Registerkarte Email ändert sich der Wert release status der Nachricht in Verweigert.
Tipp
Sie können die Freigabe nur für alle Empfänger verweigern. Sie können die Freigabe für bestimmte Empfänger nicht verweigern.
Löschen von E-Mails aus Quarantäne
Wenn Sie eine E-Mail-Nachricht aus der Quarantäne löschen, wird die Nachricht entfernt und nicht an die ursprünglichen Empfänger gesendet.
Wenn Sie eine Nachricht nicht freigeben oder entfernen, wird sie nach dem in der Spalte Ablaufdatum angezeigten Datum automatisch aus der Quarantäne gelöscht.
Nachdem Sie die Nachricht ausgewählt haben, verwenden Sie eine der folgenden Methoden, um sie zu entfernen:
- Auf der Registerkarte Email: Wählen Sie Aus Quarantäne löschen aus.
- Im Details-Flyout der ausgewählten Nachricht: Wählen Sie Weitere Optionen>Aus Quarantäne löschen aus.
Verwenden Sie im geöffneten Flyout Delete (n) messages from quarantine (Delete (n) messages from quarantine (Löschen von (n) Nachrichten aus Quarantäne , das geöffnet wird, eine der folgenden Methoden, um die Nachricht zu löschen:
- Wählen Sie Nachricht aus Quarantäne endgültig löschen und dann Löschen: Die Nachricht wird endgültig gelöscht und kann nicht wiederhergestellt werden.
- Wählen Sie Nur löschen aus: Die Nachricht wird gelöscht, kann aber möglicherweise wiederhergestellt werden.
Nachdem Sie im Flyout Löschen (n) Nachrichten aus Quarantäne löschen ausgewählt haben, kehren Sie zur Registerkarte Email zurück, auf der die Nachricht nicht mehr aufgeführt ist.
Vorschau von E-Mails aus Quarantäne
Nachdem Sie die Nachricht ausgewählt haben, verwenden Sie eine der folgenden Methoden, um eine Vorschau anzuzeigen:
- Auf der Registerkarte Email: Wählen Sie Vorschaunachricht aus.
- Im Details-Flyout der ausgewählten Nachricht: Wählen Sie Weitere Optionen>Vorschaunachricht aus.
Wählen Sie im daraufhin geöffneten Flyout eine der folgenden Registerkarten aus:
- Quelle: Zeigt die HTML-Version des Nachrichtentextes an, wobei alle Links deaktiviert sind.
- Textansicht: Zeigt den Nachrichtentext in reinem Textformat an.
Anzeigen von E-Mail-Nachrichtenheadern
Nachdem Sie die Nachricht ausgewählt haben, verwenden Sie eine der folgenden Methoden, um die Nachrichtenheader anzuzeigen:
- Klicken Sie auf der Registerkarte Email auf Weitere>Nachrichtenkopfzeilen anzeigen.
- Im Details-Flyout der ausgewählten Nachricht: Wählen Sie Weitere Optionen>Nachrichtenkopfzeilen anzeigen aus.
Im daraufhin geöffneten Flyout Nachrichtenheader wird der Nachrichtenkopf (alle Headerfelder) angezeigt.
Verwenden Sie Nachrichtenheader kopieren , um den Nachrichtenheader in die Zwischenablage zu kopieren.
Wählen Sie den Link Microsoft Message Header Analyzer aus, um die Headerfelder und -werte ausführlich zu analysieren. Fügen Sie den Nachrichtenkopf in den Abschnitt Einfügen der Zu analysierenden Nachrichtenkopfzeile ein (STRG+V, oder klicken Sie mit der rechten Maustaste, und wählen Sie Einfügen aus), und wählen Sie dann Header analysieren aus.
E-Mail an Microsoft zur Überprüfung aus Quarantäne melden
Nachdem Sie die Nachricht ausgewählt haben, verwenden Sie eine der folgenden Methoden, um die Nachricht zur Analyse an Microsoft zu melden:
- Wählen Sie auf der Registerkarte Emaildie Option Weitere>Zur Überprüfung übermitteln aus.
- Im Details-Flyout der ausgewählten Nachricht: Wählen Sie Weitere Optionen>Zur Überprüfung übermitteln aus.
Konfigurieren Sie im daraufhin geöffneten Flyout An Microsoft zur Analyse übermitteln die folgenden Optionen:
Fügen Sie die Netzwerknachrichten-ID hinzu, oder laden Sie die E-Mail-Datei hoch: Wählen Sie eine der folgenden Optionen aus:
- E-Mail-Netzwerknachrichten-ID hinzufügen: Dieser Wert ist standardmäßig mit dem entsprechenden Wert im Feld ausgewählt.
- Hochladen der E-Mail-Datei (.msg oder eml):Nachdem Sie diese Option ausgewählt haben, wählen Sie die Schaltfläche Dateien durchsuchen aus, die angezeigt wird, um die .msg- oder .eml Nachrichtendatei zu suchen und auszuwählen, die gesendet werden soll.
Wählen Sie einen Empfänger aus, der ein Problem hatte: Wählen Sie einen (bevorzugten) oder mehrere ursprüngliche Empfänger der Nachricht aus, um die Richtlinien zu analysieren, die auf sie angewendet wurden.
Wählen Sie einen Grund für die Übermittlung an Microsoft aus: Wählen Sie eine der folgenden Optionen aus:
Ich habe bestätigt, dass es sauber ist (Standard): Wählen Sie diese Option aus, wenn Sie sicher sind, dass die Nachricht sauber ist, und wählen Sie dann Weiter aus. Dann sind die folgenden Einstellungen verfügbar:
- Diese E-Mail zulassen: Wenn Sie diese Option auswählen, werden zulassungsbezogene Einträge der Mandanten-Zulassungs-/Sperrliste für den Absender und alle zugehörigen URLs oder Anlagen in der Nachricht hinzugefügt. Die folgenden Optionen werden ebenfalls angezeigt:
- Eintrag entfernen nach: Der Standardwert ist 30 Tage, Aber Sie können auch 1 Tag, 7 Tage oder ein Bestimmtes Datum auswählen, das weniger als 30 Tage ist.
- Eingabehinweis zulassen: Geben Sie eine optionale Notiz ein, die zusätzliche Informationen enthält.
Es wird sauber angezeigt: Wählen Sie diese Option aus, wenn Sie unsicher sind und ein Urteil von Microsoft wünschen.
Wenn Sie mit dem Flyout An Microsoft zur Analyse übermitteln fertig sind, wählen Sie Übermitteln aus.
Tipp
Benutzer können falsch positive Ergebnisse aus der Quarantäne an Microsoft melden, abhängig vom Wert der Einstellung Berichterstellung aus Quarantäne in den vom Benutzer gemeldeten Einstellungen.
E-Mail-Absender aus der Quarantäne zulassen
Tipp
Die Aktion Absender zulassen ist nur für Administratoren verfügbar, wenn sie die Quarantäneergebnisse nach Empfänger>Nur mich anstelle des Standardwerts Alle Benutzer filtern.
Wenn sich der Absender bereits in der Sammlung der sicheren Liste des Empfängers befindet, ist Absender zulassen nicht verfügbar.
Die Aktion Absender zulassen fügt den Absender der ausgewählten E-Mail-Nachricht der Liste Sichere Absender im Postfach des Angemeldeten hinzu. In der Regel ist diese Aktion für Endbenutzer vorgesehen, wenn sie ihnen durch Quarantänerichtlinien zur Verfügung steht. Weitere Informationen zu Benutzern, die Absender zulassen, finden Sie unter Hinzufügen von Empfängern meiner E-Mail-Nachrichten zur Liste sicherer Absender.
Nachdem Sie die Nachricht ausgewählt haben, verwenden Sie eine der folgenden Methoden, um den Nachrichtensender der Liste Sichere Absender in Ihrem eigenen Postfach hinzuzufügen:
- Klicken Sie auf der Registerkarte Email auf Weitere>Absender zulassen.
- Wählen Sie im Details-Flyout der ausgewählten NachrichtWeitere Optionen>Absender zulassen aus.
Das flyout, das geöffnet wird, gibt an, wann der Absender erfolgreich zu Ihrer Liste sicherer Absender hinzugefügt wurde. Wählen Sie Fertig aus.
Blockieren der Quarantäne von E-Mail-Absendern
Tipp
Die Aktion Absender blockieren ist nur für Administratoren verfügbar, wenn sie die Quarantäneergebnisse nach Empfänger>Nur mich anstelle des Standardwerts Alle Benutzer filtern.
Wenn sich der Absender bereits in der Sammlung der sicheren Liste des Empfängers befindet, ist Absender blockieren nicht verfügbar. Absender aus Der Benutzerblockierungsliste entfernen ist stattdessen verfügbar.
Die Aktion Absender blockieren fügt den Absender der ausgewählten E-Mail-Nachricht der Liste Blockierte Absender im Postfach des Angemeldeten hinzu. In der Regel ist diese Aktion für Endbenutzer vorgesehen, wenn sie ihnen durch Quarantänerichtlinien zur Verfügung steht. Weitere Informationen zu Benutzern, die Absender blockieren, finden Sie unter Blockieren eines E-Mail-Absenders.
Nachdem Sie die Nachricht ausgewählt haben, verwenden Sie eine der folgenden Methoden, um den Nachrichtensender der Liste Blockierte Absender in Ihrem eigenen Postfach hinzuzufügen:
- Klicken Sie auf der Registerkarte Email auf Weitere>Absender blockieren.
- Wählen Sie im Details-Flyout der ausgewählten NachrichtWeitere Optionen>Absender blockieren aus.
Überprüfen Sie im daraufhin geöffneten Flyout Absender blockieren die Informationen zum Absender, und wählen Sie dann Blockieren aus.
Tipp
Der organization kann weiterhin E-Mails vom blockierten Absender empfangen. Nachrichten vom Absender werden an junk-Email-Ordner des Benutzers übermittelt oder in Quarantäne gestellt, abhängig von der Richtlinienrangfolge, wie unter Benutzerberechtigungen und -Blöcke beschrieben. Um Nachrichten nach der Ankunft vom Absender zu löschen, verwenden Sie Nachrichtenflussregeln (auch als Transportregeln bezeichnet), um die Nachricht zu blockieren.
Entfernen von Absendern aus benutzerseitig blockierten Absenderlisten aus der Quarantäne
Die Liste Absender aus Benutzerblockierung entfernen ist nur verfügbar, wenn sich der Absender der in Quarantäne befindlichen Nachricht bereits in der Liste Blockierte Absender des Empfängers befindet.
Administratoren können Absender aus der Liste Blockieren von Absendern ihrer eigenen Postfächer (wenn die Quarantäne nach Empfänger>nur ich gefiltert wird) oder aus den Postfächern anderer Benutzer (wenn die Quarantäne nach Empfänger>Alle Benutzer gefiltert wird) entfernen.
Nachdem Sie die Nachricht ausgewählt haben, verwenden Sie eine der folgenden Methoden, um den Absender aus der Liste Blockierte Absender des Benutzers zu entfernen:
- Auf der Registerkarte Email: Wählen Sie Mehr>Absender aus Benutzersperrliste entfernen aus.
- Im Details-Flyout der ausgewählten Nachricht: Wählen Sie Weitere Optionen>Absender aus Benutzerblockierungsliste entfernen aus.
Das flyout, das geöffnet wird, gibt an, wann der Absender erfolgreich aus der Liste blockierter Absender des Empfängers entfernt wurde. Wählen Sie Fertig aus.
Freigeben von E-Mails aus Quarantäne
Sie können eine Kopie der in Quarantäne befindlichen E-Mail-Nachricht, einschließlich potenziell schädlicher Inhalte, an die angegebenen Empfänger senden.
Nachdem Sie die Nachricht ausgewählt haben, verwenden Sie eine der folgenden Methoden, um eine Kopie davon an andere Personen zu senden:
- Wählen Sie auf der Registerkarte Emaildie Option Weitere>E-Mail freigeben aus.
- Wählen Sie im Details-Flyout der ausgewählten NachrichtWeitere Optionen>E-Mail freigeben aus.
Wählen Sie im geöffneten Flyout E-Mail für andere Benutzer freigeben einen oder mehrere Empfänger aus, um eine Kopie der Nachricht zu erhalten. Wenn Sie fertig sind, wählen Sie Freigeben aus.
Herunterladen von E-Mails aus Quarantäne
Nachdem Sie die E-Mail-Nachricht ausgewählt haben, verwenden Sie eine der folgenden Methoden, um sie herunterzuladen:
- Wählen Sie auf der Registerkarte Emaildie Option Weitere>Meldungen herunterladen aus.
- Im Details-Flyout der ausgewählten Nachricht: Wählen Sie Weitere Optionen>Nachricht herunterladen aus.
Geben Sie im daraufhin geöffneten Flyout Datei herunterladen die folgenden Informationen ein:
- Grund für das Herunterladen der Datei: Geben Sie beschreibenden Text ein.
- Kennwort erstellen und Kennwort bestätigen: Geben Sie ein Kennwort ein, das zum Öffnen der heruntergeladenen Nachrichtendatei erforderlich ist.
Wenn Sie mit dem Flyout Datei herunterladen fertig sind, wählen Sie Herunterladen aus.
Wenn der Download bereit ist, wird ein Dialogfeld Speichern unter geöffnet, in dem Sie den heruntergeladenen Dateinamen und den Speicherort anzeigen oder ändern können. Standardmäßig wird die .eml-Nachrichtendatei in einer komprimierten Datei namens Quarantined Messages.zip in Ihrem Downloads-Ordner gespeichert. Wenn die .zip Datei bereits vorhanden ist, wird eine Zahl an den Dateinamen angefügt (z. B. Unter Quarantäne gestellte Nachrichten(1).zip).
Akzeptieren oder ändern Sie die heruntergeladenen Dateidetails, und wählen Sie dann Speichern aus.
Wählen Sie im Flyout Datei herunterladen die Option Fertig aus.
Aktionen für unter Quarantäne gestellte E-Mail-Nachrichten in Defender for Office 365
In Organisationen mit Microsoft Defender for Office 365 (Add-On-Lizenzen oder in Abonnements wie Microsoft 365 E5 oder Microsoft 365 Business Premium enthalten) sind die folgenden Aktionen auch im Detail-Flyout einer ausgewählten Nachricht verfügbar:
E-Mail-Entität öffnen: Weitere Informationen finden Sie unter Informationen auf der Seite Email Entität.
Aktionen ausführen: Mit dieser Aktion wird derselbe Aktions-Assistent gestartet, der auf der Entitätsseite Email verfügbar ist. Weitere Informationen finden Sie unter Aktionen auf der Entitätsseite Email.
Maßnahmen für mehrere isolierte E-Mail-Nachrichten ergreifen
Wenn Sie bis zu 100 unter Quarantäne gestellte Nachrichten auf der Registerkarte Email auswählen, indem Sie die Kontrollkästchen neben der ersten Spalte aktivieren, sind die folgenden Massenaktionen auf der Registerkarte Email verfügbar (abhängig von den Werten für release status der ausgewählten Nachrichten):
Freigeben von in Quarantäne befindlichen E-Mails
Die einzigen verfügbaren Optionen, die Sie für Massenaktionen auswählen können, sind Send a copy of this message to other recipients in your organization and Send the message to Microsoft to improve detection (false positive).
E-Mail an Microsoft zur Überprüfung aus Quarantäne melden
Die einzigen verfügbaren Optionen für Massenaktionen sind E-Mails mit ähnlichen Attributen zulassen und die zugehörigen Optionen Eintrag nach zulassen und Eintragsnotiz zulassen zulassen .
Ermitteln, wer eine in Quarantäne befindliche Nachricht gelöscht hat
Standardmäßig ermöglichen viele Sicherheitsrichtlinienbewertungen Benutzern das Löschen ihrer in Quarantäne befindlichen Nachrichten (Nachrichten, deren Empfänger sie sind). Weitere Informationen finden Sie in der Tabelle unter Verwalten von in Quarantäne befindlichen Nachrichten und Dateien als Benutzer.
Administratoren können das Überwachungsprotokoll mithilfe der folgenden Verfahren durchsuchen, um Ereignisse für Nachrichten zu finden, die aus der Quarantäne gelöscht wurden:
Navigieren Sie im Defender-Portal unter https://security.microsoft.comzu Überwachung. Oder verwenden Sie https://security.microsoft.com/auditlogsearch, um direkt zur Seite Überwachung zu wechseln.
Tipp
Sie können auch auf die Seite Überwachung im Microsoft Purview-Complianceportal unterhttps://compliance.microsoft.com/auditlogsearch
Überprüfen Sie auf der Seite Überwachung , ob die Registerkarte Neue Suche ausgewählt ist, und konfigurieren Sie dann die folgenden Einstellungen:
- Datums- und Uhrzeitbereich (UTC)
- Aktivitäten – Anzeigenamen: Klicken Sie in das Feld, geben Sie "Quarantäne" in das daraufhin angezeigte Suchfeld ein, und wählen Sie dann Aus den Ergebnissen gelöschte Quarantänenachricht aus.
- Benutzer: Wenn Sie wissen, wer die Nachricht aus der Quarantäne gelöscht hat, können Sie die Ergebnisse nach Benutzer weiter filtern.
Wenn Sie mit der Eingabe der Suchkriterien fertig sind, wählen Sie Suchen aus, um die Suche zu generieren.
Vollständige Anweisungen für Überwachungsprotokollsuchen finden Sie unter Überwachen der neuen Suche.
Verwenden Sie das Microsoft Defender-Portal, um unter Quarantäne gestellte Dateien in Defender for Office 365 zu verwalten.
Hinweis
Die Verfahren für unter Quarantäne gestellte Dateien in diesem Abschnitt sind nur für Microsoft Defender for Office 365 Plan 1- oder Plan 2-Abonnenten verfügbar.
Dateien, die in SharePoint oder OneDrive unter Quarantäne stehen, werden nach 30 Tagen aus der Quarantäne entfernt, aber die blockierten Dateien verbleiben in SharePoint oder OneDrive im blockierten Zustand.
In Organisationen mit Defender for Office 365 können Administratoren Dateien verwalten, die von sicheren Anlagen für SharePoint, OneDrive und Microsoft Teams unter Quarantäne gesetzt wurden. Informationen zum Aktivieren des Schutzes für diese Dateien finden Sie unter Aktivieren sicherer Anlagen für SharePoint, OneDrive und Microsoft Teams.
In Quarantäne befindliche Dateien anzeigen
Wechseln Sie im Microsoft Defender-Portal unter https://security.microsoft.comzur Registerkarte Email & Zusammenarbeit>Quarantänedateien>überprüfen>. Oder verwenden Sie https://security.microsoft.com/quarantine?viewid=Files, um direkt zur Registerkarte Dateien auf der Seite Quarantäne zu wechseln.
Auf der Registerkarte Dateien können Sie den vertikalen Abstand in der Liste verringern, indem Sie auf Listenabstand in Komprimierung oder normal ändern klicken und dann Liste komprimieren auswählen.
Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken. Wählen Sie Spalten anpassen aus, um die angezeigten Spalten zu ändern. Die Standardwerte sind mit einem Sternchen (*) gekennzeichnet:
- Benutzer*
- Standort*: Der Wert ist SharePoint oder OneDrive.
- Name der Anlagedatei*
- Datei-URL*
- Dateigröße
- Freigabestatus*
- Abläuft*
- Erkannt von
- Geändert nach Zeit
Um die Einträge zu filtern, wählen Sie Filter aus. Die folgenden Filter sind im Flyout Filter verfügbar, das geöffnet wird:
-
Empfangene Zeit:
- Letzte 24 Stunden
- Die letzten 7 Tage
- Letzte 14 Tage
- Letzte 30 Tage (Standard)
- Benutzerdefiniert: Geben Sie eine Startzeit und Endzeit (Datum) ein.
-
Läuft ab:
- Benutzerdefiniert (Standard): Geben Sie eine Startzeit und eine Endzeit (Datum) ein.
- Heute
- Nächste 2 Tage
- Nächste 7 Tage
- Quarantänegrund: Der einzige verfügbare Wert ist Malware.
- Richtlinientyp: Der einzige verfügbare Wert ist Unbekannt.
Wenn Sie im Flyout Filter fertig sind, wählen Sie Übernehmen aus. Um die Filter zu löschen, wählen Sie Filter löschen aus.
Verwenden Sie das Suchfeld und einen entsprechenden Wert, um bestimmte Dateien nach Dateinamen zu suchen. Platzhalter werden nicht unterstützt.
Nachdem Sie die Suchkriterien eingegeben haben, drücken Sie die EINGABETASTE, um die Ergebnisse zu filtern.
Nachdem Sie eine bestimmte unter Quarantäne gestellte Datei gefunden haben, wählen Sie die Datei aus, um Details dazu anzuzeigen und Entsprechende Maßnahmen zu ergreifen (z. B. Anzeigen, Freigeben, Herunterladen oder Löschen der Datei).
Anzeigen von Details zu isolierten Dateien
Wechseln Sie im Microsoft Defender-Portal unter https://security.microsoft.comzur Registerkarte Email & Zusammenarbeit>Quarantänedateien>überprüfen>. Oder verwenden Sie https://security.microsoft.com/quarantine?viewid=Files, um direkt zur Registerkarte Dateien auf der Seite Quarantäne zu wechseln.
Wählen Sie auf der Registerkarte Dateien die unter Quarantäne gestellte Datei aus, indem Sie auf eine beliebige Stelle in der Zeile klicken, die nicht das Kontrollkästchen ist.
Im daraufhin geöffneten Details-Flyout sind die folgenden Informationen verfügbar:
-
Abschnitt "Dateidetails ":
- Dateiname
- Datei-URL: URL, die den Speicherort der Datei definiert (z. B. in SharePoint Online).
- Schädlicher Inhalt erkannt auf Das Datum/die Uhrzeit, an dem die Datei unter Quarantäne gesetzt wurde.
- Läuft ab: Das Datum, an dem die Datei aus der Quarantäne gelöscht wird.
- Erkannt von
- Herausgegeben?
- Name der Schadsoftware
- Dokument-ID: Ein eindeutiger Bezeichner für das Dokument.
- Dateigröße
- Organisation Die eindeutige ID Ihres organization.
- Zuletzt geändert
- Zuletzt geändert von: Der Benutzer, der die Datei zuletzt geändert hat.
- Sha-256-Bit-Wert (Secure Hash Algorithm, 256 Bit): Sie können diesen Hashwert verwenden, um die Datei in anderen Reputationsspeichern oder an anderen Speicherorten in Ihrer Umgebung zu identifizieren.
Informationen zum Ausführen von Maßnahmen für die Datei finden Sie im nächsten Abschnitt.
Tipp
Um Details zu anderen unter Quarantäne stehenden Dateien anzuzeigen, ohne das Details-Flyout zu verlassen, verwenden Sie Vorheriges Element und Nächstes Element oben im Flyout.
Ergreifen von Maßnahmen für unter Quarantäne gestellte Dateien
Wechseln Sie im Microsoft Defender-Portal unter https://security.microsoft.comzur Registerkarte Email & Zusammenarbeit>Quarantänedateien>überprüfen>. Oder verwenden Sie https://security.microsoft.com/quarantine?viewid=Files, um direkt zur Registerkarte Dateien auf der Seite Quarantäne zu wechseln.
Wählen Sie auf der Registerkarte Dateien die unter Quarantäne gestellte Datei aus, indem Sie auf eine beliebige Stelle in der Zeile klicken, die nicht das Kontrollkästchen ist.
Nachdem Sie die unter Quarantäne gestellte Datei ausgewählt haben, werden die verfügbaren Aktionen im sich öffnenden Dateidetails-Flyout in den folgenden Unterabschnitten beschrieben.
Freigeben von in Quarantäne befindlichen Dateien aus der Quarantäne
Diese Aktion ist nicht für Dateien verfügbar, die bereits freigegeben wurden (der Wert Freigegeben status ist Freigegeben).
Wenn Sie die Datei nicht freigeben oder aus der Quarantäne löschen, wird die Datei nach Ablauf der standardmäßigen Quarantäneaufbewahrungsdauer aus der Quarantäne entfernt (siehe Spalte Läuft ab), aber die blockierte Datei verbleibt in SharePoint oder OneDrive im blockierten Zustand.
Nachdem Sie die Datei ausgewählt haben, wählen Sie im daraufhin geöffneten Dateidetails-Flyout Datei freigeben aus.
Zeigen Sie im geöffneten Flyout Release files and report them to Microsoft (Dateien freigeben und an Microsoft melden) die Dateidetails im Abschnitt Release the following files (Freigeben der folgenden Dateien ) an, und wählen Sie dann Release (Freigeben) aus.
Tipp
Derzeit können Sie keine unter Quarantäne gestellten Dateien an Microsoft melden, wenn Sie sie freigeben.
Wählen Sie im geöffneten Flyout Dateien wurden freigegeben die Option Fertig aus.
Wählen Sie im Dateidetails-Flyout Schließen aus.
Zurück auf der Registerkarte Dateien lautet der Wert release status der Datei Freigegeben.
Herunterladen von in Quarantäne befindlichen Dateien aus der Quarantäne
Nachdem Sie die Datei ausgewählt haben, wählen Sie im daraufhin geöffneten Details-Flyout Datei herunterladen aus.
Geben Sie im daraufhin geöffneten Flyout Datei herunterladen die folgenden Informationen ein:
- Grund für das Herunterladen der Datei: Geben Sie beschreibenden Text ein.
- Kennwort erstellen und Kennwort bestätigen: Geben Sie ein Kennwort ein, das zum Öffnen der heruntergeladenen Datei erforderlich ist.
Wenn Sie mit dem Flyout Datei herunterladen fertig sind, wählen Sie Herunterladen aus.
Wenn der Download bereit ist, wird ein Dialogfeld Speichern unter geöffnet, in dem Sie den heruntergeladenen Dateinamen und den Speicherort anzeigen oder ändern können. Standardmäßig wird die Datei in einer komprimierten Datei namens Quarantined Messages.zip im Ordner Downloads gespeichert. Wenn die .zip Datei bereits vorhanden ist, wird eine Zahl an den Dateinamen angefügt (z. B. Unter Quarantäne gestellte Nachrichten(1).zip).
Akzeptieren oder ändern Sie die heruntergeladenen Dateidetails, und wählen Sie dann Speichern aus.
Wählen Sie im Flyout Datei herunterladen die Option Fertig aus.
Löschen von in Quarantäne befindlichen Dateien aus der Quarantäne
Wenn Sie die Datei nicht freigeben oder aus der Quarantäne löschen, wird die Datei nach Ablauf der standardmäßigen Quarantäneaufbewahrungsdauer aus der Quarantäne entfernt (siehe Spalte Läuft ab), aber die blockierte Datei verbleibt in SharePoint oder OneDrive im blockierten Zustand.
Nachdem Sie die Datei ausgewählt haben, wählen Sie im daraufhin geöffneten Details-Flyout weitere> AusQuarantäne löschen aus.
Klicken Sie im daraufhin geöffneten Warnungsdialogfeld auf Weiter .
Zurück auf der Registerkarte Dateien wird die Datei nicht mehr aufgeführt.
Ergreifen von Maßnahmen für mehrere unter Quarantäne gestellte Dateien
Wenn Sie mehrere unter Quarantäne gestellte Dateien auf der Registerkarte Dateien auswählen, indem Sie die Kontrollkästchen neben der ersten Spalte (bis zu 100 Dateien) aktivieren, wird eine Dropdownliste Massenaktionen angezeigt, in der Sie die folgenden Aktionen ausführen können:
- Freigeben von in Quarantäne befindlichen Dateien aus der Quarantäne
- Löschen von in Quarantäne befindlichen Dateien aus der Quarantäne
- Herunterladen von in Quarantäne befindlichen Dateien aus der Quarantäne
Verwalten von in Microsoft Teams isolierten Nachrichten über das Microsoft Defender-Portal
Tipp
Zap (Zero-Hour Auto Purge) in Microsoft Teams befindet sich derzeit in der Vorschauphase, ist nicht in allen Organisationen verfügbar und kann geändert werden.
Quarantäne in Microsoft Teams ist nur in Organisationen mit Microsoft Defender for Office 365 Plan 2 (Add-On-Lizenzen oder in Abonnements wie Microsoft 365 E5 enthalten) verfügbar.
Wenn eine potenziell schädliche Chatnachricht in Microsoft Teams erkannt wird, entfernt zap (Zero-Hour Auto Purge) die Nachricht und isoliert sie. Administratoren können diese in Quarantäne befindlichen Teams-Nachrichten anzeigen und verwalten. Die Nachricht wird für 30 Tage unter Quarantäne gesetzt. Danach wird die Teams-Nachricht endgültig entfernt.
Diese Funktion ist standardmäßig aktiviert.
Anzeigen von in Quarantäne befindlichen Teams-Nachrichten
Wechseln Sie im Microsoft Defender-Portal unter https://security.microsoft.comzur Registerkarte Email & Zusammenarbeit>Teams-Nachrichten unter Quarantäne>überprüfen>. Oder verwenden Sie , um direkt zur Registerkarte Teams-Nachrichten auf der Seite Quarantäne zu wechselnhttps://security.microsoft.com/quarantine?viewid=Teams.
Auf der Registerkarte Teams-Nachrichten können Sie den vertikalen Abstand in der Liste verringern, indem Sie auf Listenabstand in Komprimierung oder normal ändern klicken und dann Liste komprimieren auswählen.
Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken. Wählen Sie Spalten anpassen aus, um die angezeigten Spalten zu ändern. Die Standardwerte sind mit einem Sternchen (*) gekennzeichnet:
- Teams-Nachrichtentext: Enthält den Betreff für die Teams-Nachricht.*
- Empfangene Zeit: Der Zeitpunkt, zu dem die Nachricht vom Empfänger empfangen wurde.*
- Release status: Zeigt an, ob die Nachricht bereits überprüft und freigegeben wurde oder ob eine Überprüfung erforderlich ist. *
- Teilnehmer: Die Gesamtzahl der Benutzer, die die Nachricht erhalten haben.*
- Absender: Die Person, die die Nachricht gesendet hat, die unter Quarantäne gesetzt wurde.*
- Quarantänegrund: Verfügbare Optionen sind "Hoher Konfidenz-Phish" und "Schadsoftware".*
- Richtlinientyp: Die organization Richtlinie, die für die in Quarantäne befindliche Nachricht verantwortlich ist.*
- Läuft ab: Gibt den Zeitpunkt an, nach dem die Nachricht aus der Quarantäne entfernt wird. Standardmäßig beträgt dieser Wert 30 Tage.*
- Empfängeradresse: Email Adresse der Empfänger.*
- Nachrichten-ID: Enthält die Chatnachrichten-ID.
Um die Einträge zu filtern, wählen Sie Filter aus. Die folgenden Filter sind im Flyout Filter verfügbar, das geöffnet wird:
- Nachrichten-ID
- Absenderadresse
- Empfängeradresse
- Betreff
-
Empfangene Zeit:
- Letzte 24 Stunden
- Die letzten 7 Tage
- Letzte 14 Tage
- Letzte 30 Tage (Standard)
- Benutzerdefiniert: Geben Sie eine Startzeit und Endzeit (Datum) ein.
-
Läuft ab:
- Benutzerdefiniert (Standard): Geben Sie eine Startzeit und eine Endzeit (Datum) ein.
- Heute
- Nächste 2 Tage
- Nächste 7 Tage
- Quarantänegrund: Verfügbare Werte sind Malware und Phishing mit hoher Zuverlässigkeit.
- Empfänger: Wählen Sie Alle Benutzer oder Nur ich aus.
- Überprüfen status: Wählen Sie Überprüfung der Anforderungen und Veröffentlicht aus.
Wenn Sie im Flyout Filter fertig sind, wählen Sie Übernehmen aus. Um die Filter zu löschen, wählen Sie Filter löschen aus.
Verwenden Sie das Suchfeld und einen entsprechenden Wert, um bestimmte Teams-Nachrichten zu finden. Platzhalter werden nicht unterstützt.
Nachdem Sie eine bestimmte in Quarantäne befindliche Teams-Nachricht gefunden haben, wählen Sie die Nachricht aus, um Details dazu anzuzeigen und maßnahmen zu ergreifen (z. B. Anzeigen, Freigeben, Herunterladen oder Löschen der Nachricht).
Anzeigen von Details zu in Quarantäne befindlichen Teams-Nachrichten
Wählen Sie auf der Registerkarte Teams-Nachrichten der Seite Quarantäne die unter Quarantäne gestellte Nachricht aus, indem Sie auf eine beliebige Stelle in der Zeile klicken, die sich nicht auf das Kontrollkästchen neben der ersten Spalte befindet.
Die folgenden Meldungsinformationen sind oben im Details-Flyout verfügbar:
- Der Titel des Flyouts ist der Betreff oder die ersten 100 Zeichen der Teams-Nachricht.
- Der Wert des Quarantänegrunds .
- Die Anzahl der Links in der Nachricht.
- Die verfügbaren Aktionen werden im Abschnitt Ausführen einer Aktion für unter Quarantäne gestellte Teams-Nachrichten beschrieben.
Tipp
Um Details zu anderen unter Quarantäne stehenden Teams-Nachrichten anzuzeigen, ohne das Details-Flyout zu verlassen, verwenden Sie Vorheriges Element und Nächstes Element oben im Flyout.
Der nächste Abschnitt im Details-Flyout bezieht sich auf unter Quarantäne gestellte Teams-Nachrichten:
-
Abschnitt "Details zur Quarantäne ":
- Expires
- Empfangszeit
- Quarantänegrund
- Freigabestatus
- Richtlinientyp: Der Wert ist None.
- Richtlinienname: Der Wert ist Teams-Schutzrichtlinie.
- Quarantänerichtlinie
Der Rest des Details-Flyouts enthält die Abschnitte Nachrichtendetails, Absender, Teilnehmer, Kanaldetails und URLs , die Teil des Teams-Nachrichtenentitätsbereichs sind. Weitere Informationen finden Sie unter Teams mMessage-Entitätsbereich in Microsoft Defender for Office 365 Plan 2.
Wenn Sie mit dem Details-Flyout fertig sind, wählen Sie Schließen aus.
Ergreifen von Maßnahmen für unter Quarantäne gestellte Teams-Nachrichten
Wechseln Sie im Microsoft Defender-Portal unter https://security.microsoft.comzur Registerkarte Email & Zusammenarbeit>Teams-Nachrichten unter Quarantäne>überprüfen>. Oder verwenden Sie , um direkt zur Registerkarte Teams-Nachrichten auf der Seite Quarantäne zu wechselnhttps://security.microsoft.com/quarantine?viewid=Teams.
Wählen Sie auf der Registerkarte Teams-Nachrichten die unter Quarantäne gestellte Nachricht mit einer der folgenden Methoden aus:
Wählen Sie die Nachricht aus der Liste aus, indem Sie das Kontrollkästchen neben der ersten Spalte aktivieren. Die verfügbaren Aktionen sind nicht mehr abgeblendet.
Wählen Sie die Nachricht aus der Liste aus, indem Sie auf eine beliebige Stelle in der Zeile klicken, die sich nicht auf das Kontrollkästchen befindet. Die verfügbaren Aktionen befinden sich im Details-Flyout, das geöffnet wird.
Wenn Sie eine der beiden Methoden verwenden, um die Nachricht auszuwählen, sind einige Aktionen unter Mehr verfügbar.
Nachdem Sie die unter Quarantäne gestellte Nachricht ausgewählt haben, werden die verfügbaren Aktionen in den folgenden Unterabschnitten beschrieben.
Freigeben von in Quarantäne befindlichen Teams-Nachrichten
Diese Aktion ist nicht für Teams-Nachrichten verfügbar, die bereits veröffentlicht wurden (der Wert release status ist Released).
Wenn Sie eine Nachricht nicht freigeben oder entfernen, wird sie nach dem in der Spalte Ablaufdatum angezeigten Datum automatisch aus der Quarantäne gelöscht.
Nachdem Sie die Nachricht ausgewählt haben, verwenden Sie eine der folgenden Methoden, um sie freizugeben:
- Wählen Sie auf der Registerkarte Teams-Nachrichtendie Option Freigeben aus.
- Im Details-Flyout der ausgewählten Nachricht: Wählen Sie Release aus.
Entscheiden Sie im flyout Für alle Chatteilnehmer freigeben, das geöffnet wird, ob Sie Nachricht an Microsoft senden auswählen möchten, um die Erkennung zu verbessern (falsch positiv) und dann Freigeben aus.
Löschen von Teams-Nachrichten aus der Quarantäne
Wenn Sie eine Teams-Nachricht nicht freigeben oder entfernen, wird sie nach dem in der Spalte Ablaufdatum angezeigten Datum automatisch aus der Quarantäne gelöscht.
Nachdem Sie die Teams-Nachricht ausgewählt haben, verwenden Sie eine der folgenden Methoden, um sie zu entfernen:
- Auf der Registerkarte Teams-Nachrichten: Wählen Sie Nachrichten löschen aus.
- Im Details-Flyout der ausgewählten Nachricht: Wählen Sie Weitere Optionen>Aus Quarantäne löschen aus.
Lesen Sie im daraufhin geöffneten Warnungsdialogfeld die Informationen, und wählen Sie dann Weiter aus.
Zurück auf der Registerkarte "Teams-Nachrichten " wird die Nachricht nicht mehr aufgeführt.
Vorschau von Teams-Nachrichten aus Quarantäne
Nachdem Sie die Teams-Nachricht ausgewählt haben, verwenden Sie eine der folgenden Methoden, um sie in der Vorschau anzuzeigen:
- Auf der Registerkarte Teams-Nachrichten: Wählen Sie Nachrichtenvorschau aus.
- Im Details-Flyout der ausgewählten Nachricht: Wählen Sie Vorschaunachricht aus.
Wählen Sie im daraufhin geöffneten Flyout eine der folgenden Registerkarten aus:
- Quelle: Zeigt die HTML-Version des Nachrichtentextes an, wobei alle Links deaktiviert sind.
- Textansicht: Zeigt den Nachrichtentext in reinem Textformat an.
Melden von Teams-Nachrichten an Microsoft zur Überprüfung aus der Quarantäne
Nachdem Sie die Nachricht ausgewählt haben, verwenden Sie eine der folgenden Methoden, um die Nachricht zur Analyse an Microsoft zu melden:
- Wählen Sie auf der Registerkarte Teams-Nachrichtendie Option Weitere>Zur Überprüfung übermitteln aus.
- Im Details-Flyout der ausgewählten Nachricht: Wählen Sie Weitere Optionen>Zur Überprüfung übermitteln aus.
Wenn Sie Nachricht senden auswählen, wird die Nachricht zur Analyse an Microsoft gesendet. Sie erhalten ein Dialogfeld Element übermittelt, in dem Sie OK auswählen.
Herunterladen von Teams-Nachrichten aus der Quarantäne
Nachdem Sie die Teams-Nachricht ausgewählt haben, verwenden Sie eine der folgenden Methoden, um sie herunterzuladen:
- Wählen Sie auf der Registerkarte Teams-Nachrichtendie Option Weitere>Nachrichten herunterladen aus.
- Im Details-Flyout der ausgewählten Nachricht: Wählen Sie Weitere Optionen>Nachricht herunterladen aus.
Geben Sie im daraufhin geöffneten Flyout Meldungen herunterladen die folgenden Informationen ein:
- Grund für das Herunterladen der Datei: Geben Sie beschreibenden Text ein.
- Kennwort erstellen und Kennwort bestätigen: Geben Sie ein Kennwort ein, das zum Öffnen der heruntergeladenen Nachrichtendatei erforderlich ist.
Wenn Sie mit dem Flyout Datei herunterladen fertig sind, wählen Sie Herunterladen aus.
Standardmäßig wird die .html-Nachrichtendatei in einer komprimierten Datei namens Quarantined Messages.zip in Ihrem Downloads-Ordner gespeichert. Wenn die .zip Datei bereits vorhanden ist, wird eine Zahl an den Dateinamen angefügt (z. B. Unter Quarantäne gestellte Nachrichten(1).zip).
Wählen Sie im Flyout Nachrichten herunterladen die Option Fertig aus.
Ergreifen von Maßnahmen für mehrere unter Quarantäne gestellte Teams-Nachrichten
Wenn Sie mehrere unter Quarantäne gestellte Nachrichten auf der Registerkarte Teams-Nachrichten auswählen, indem Sie die Kontrollkästchen neben der ersten Spalte aktivieren, sind die folgenden Massenaktionen auf der Registerkarte Teams-Nachrichten verfügbar:
- Freigeben von in Quarantäne befindlichen Teams-Nachrichten
- Löschen von Teams-Nachrichten aus der Quarantäne
- Melden von Teams-Nachrichten an Microsoft zur Überprüfung aus der Quarantäne
- Herunterladen von Teams-Nachrichten aus der Quarantäne
Genehmigen oder Verweigern von Freigabeanforderungen von Benutzern für unter Quarantäne gestellte Teams-Nachrichten
Wenn ein Benutzer die Veröffentlichung einer in Quarantäne befindlichen Teams-Nachricht anfordert, ändert sich der Wert Release statusin Release angefordert, und ein Administrator kann die Anforderung genehmigen oder ablehnen.
Weitere Informationen finden Sie unter Genehmigen oder Verweigern von Releaseanforderungen von Benutzern.
Verwenden von Exchange Online PowerShell oder eigenständiger EOP PowerShell zum Verwalten von in Quarantäne befindlichen Nachrichten
Die Cmdlets, die Sie zum Anzeigen und Verwalten von Nachrichten und Dateien in Quarantäne verwenden, werden in diesem Abschnitt beschrieben.
- Delete-QuarantineMessage
- Export-QuarantineMessage
- Get-QuarantineMessage
- Preview-QuarantineMessage: Dieses Cmdlet gilt nur für Nachrichten, nicht für unter Quarantäne gestellte Dateien.
- Release-QuarantineMessage
Weitere Informationen
Häufig gestellte Fragen zu unter Quarantäne gestellten Nachrichten