Administrar mensajes en cuarentena y archivos como administrador

• Se aplica a:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 plan 1 and plan 2

Sugerencia

¿Sabía que puede probar las características de Microsoft 365 Defender para Office 365 Plan 2 de forma gratuita? Use la prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft 365 Defender. Obtenga información sobre quién puede registrarse y los términos de prueba aquí.

En las organizaciones de Microsoft 365 con buzones en Exchange Online o Microsoft Teams, o en organizaciones independientes de Exchange Online Protection (EOP) sin buzones de Exchange Online o Teams, la cuarentena contiene mensajes potencialmente peligrosos o no deseados detectados por EOP y Defender para Office 365.

Los administradores pueden ver, liberar y eliminar todos los tipos de mensajes y archivos en cuarentena para todos los usuarios.

Los administradores de organizaciones con Microsoft Defender para Office 365 también pueden administrar archivos en cuarentena por datos adjuntos seguros para SharePoint, OneDrive y mensajes de Microsoft Teams y Microsoft Teams en cuarentena por purga automática de cero horas (ZAP).

Los usuarios pueden administrar la mayoría de los mensajes de correo electrónico en cuarentena en función de la directiva de cuarentena para las características de protección de correo electrónico admitidas. Para obtener más información sobre las directivas de cuarentena, consulte Anatomía de una directiva de cuarentena.

Los administradores y también los usuarios (en función de la configuración notificada por el usuario de la organización) pueden notificar falsos positivos a Microsoft desde la cuarentena.

Puede ver y administrar mensajes en cuarentena en el portal de Microsoft 365 Defender o en PowerShell (Exchange Online PowerShell para organizaciones de Microsoft 365 con buzones en Exchange Online; PowerShell EOP independiente para organizaciones sin buzones de Exchange Online).

Vea este breve vídeo para aprender a administrar mensajes en cuarentena como administrador.

¿Qué necesita saber antes de empezar?

• Para abrir el portal de Microsoft 365 Defender, vaya a https://security.microsoft.com. Para ir directamente a la página Cuarentena, use https://security.microsoft.com/quarantine.

• Para conectarse al PowerShell de Exchange Online, consulte Conexión a Exchange Online PowerShell. Para conectarse a EOP PowerShell independiente, consulte Connect to Exchange Online Protection PowerShell (Conexión a Exchange Online Protection PowerShell).

• Debe tener asignados permisos para poder realizar los procedimientos de este artículo. Tiene las siguientes opciones:

  • Exchange Online RBAC:
    • Tome medidas en los mensajes en cuarentena para todos los usuarios: pertenencia a los grupos de roles Administración de la organización, Administrador de seguridad o Administrador de cuarentena .
    • Enviar mensajes desde la cuarentena a Microsoft: pertenencia al grupo de roles Administrador de seguridad .
    • Acceso de solo lectura a mensajes en cuarentena para todos los usuarios: pertenencia a los grupos de roles Lector global, Lector de seguridad o Administración de la organización de solo vista .
  • & Email RBAC de colaboración en el portal de Microsoft 365 Defender: pertenencia al grupo de roles Administrador de cuarentena. Para realizar procedimientos de cuarentena en Exchange Online PowerShell, también necesita pertenecer al grupo de roles Administración de higiene en Exchange Online RBAC.
  • RBAC de Azure AD: la pertenencia a estos roles proporciona a los usuarios los permisos y permisos necesarios para otras características de Microsoft 365:
    • Tome medidas en los mensajes en cuarentena para todos los usuarios: pertenencia a los roles Administrador global o Administrador de seguridad .
    • Enviar mensajes desde la cuarentena a Microsoft: pertenencia al rol Administrador de seguridad .
    • Acceso de solo lectura a mensajes en cuarentena para todos los usuarios: pertenencia a los roles Lector global o Lector de seguridad .

• Los mensajes y archivos en cuarentena se conservan durante un período de tiempo predeterminado en función de por qué se pusieron en cuarentena. Una vez expirado el período de retención, los mensajes se eliminan automáticamente y no se pueden recuperar. Para obtener más información, consulte Retención de cuarentena.

Uso del portal de Microsoft 365 Defender para administrar mensajes de correo electrónico en cuarentena

Visualización del correo electrónico en cuarentena

En el portal de Microsoft 365 Defender en https://security.microsoft.com, vaya a Email &pestañaRevisar>cuarentena>Email de colaboración>. O bien, para ir directamente a la pestaña Email de la página Cuarentena, use https://security.microsoft.com/quarantine?viewid=Email.

En la pestaña Email, puede reducir el espaciado vertical de la lista haciendo clic en Cambiar espaciado de lista a compacto o normal y, a continuación, seleccionando Compactar lista.

Para ordenar las entradas, haga clic en un encabezado de columna disponible. Seleccione Personalizar columnas para cambiar las columnas que se muestran. Los valores predeterminados están marcados con un asterisco (^*):

• Hora de recepción^*
• Asunto^*
• Remitente^*
• Motivo^* de cuarentena (vea los valores posibles en Descripción del filtro ).
• Estado de la^* versión (vea los valores posibles en Descripción del filtro ).
• Tipo^* de directiva (vea los valores posibles en Descripción del filtro ).
• Expira^*
• Destinatario
• Id. de mensaje
• Nombre de la directiva
• Tamaño del mensaje
• Dirección de correo
• Etiqueta de destinatario

Para filtrar las entradas, seleccione Filtrar. Los filtros siguientes están disponibles en el control flotante Filtros que se abre:

• Id. de mensaje: El identificador único global del mensaje.

  Por ejemplo, ha usado el seguimiento de mensajes para buscar un mensaje y determina que el mensaje se puso en cuarentena en lugar de entregarse. Asegúrese de incluir el valor de id. de mensaje completo, que puede incluir corchetes angulares (<>). Por ejemplo: <79239079-d95a-483a-aacf-e954f592a0f6@XYZPR00BM0200.contoso.com>.

• Dirección del remitente

• Dirección del destinatario

• Subject

• Tiempo recibido:

  • Últimas 24 horas
  • Últimos 7 días
  • Últimos 14 días
  • Últimos 30 días (valor predeterminado)
  • Personalizado: Introduzca una hora de inicio y una hora de finalización (fecha).

• Expira: Filtre los mensajes por cuando expiren de la cuarentena:

  • Hoy
  • Próximos 2 días
  • Próximos 7 días
  • Personalizado: Introduzca una hora de inicio y una hora de finalización (fecha).

• Etiqueta de destinatario

• Motivo de la cuarentena:

  • Regla de transporte (regla de flujo de correo)
  • Masivo
  • Correo no deseado
  • Malware: directivas antimalware en EOP o directivas de datos adjuntos seguros en Defender para Office 365. El valor tipo de directiva indica qué característica se usó.
  • Phishing: El veredicto de seguridad del filtro de correo no deseado fue suplantado o la protección contra suplantación de identidad puso el mensaje en cuarentena (configuración de suplantación de identidad o protección de suplantación).
  • Suplantación de identidad de alta confianza
  • Administración acción: bloque de tipo de archivo: mensajes bloqueados como malware por el filtro de datos adjuntos comunes en las directivas antimalware. Para obtener más información, consulte Directivas antimalware.

• Destinatario: todos los usuarios o Solo yo. Los usuarios finales solo pueden administrar los mensajes en cuarentena que se les envían.

• Estado de versión: Cualquiera de los siguientes valores:

  • Falta por revisar
  • Aprobado
  • Denegado
  • Liberación solicitada
  • Fecha de publicación
  • Preparación para su lanzamiento
  • Error

• Tipo de directiva: Filtre los mensajes por tipo de directiva:

  • directiva antimalware
  • Directiva de datos adjuntos seguros
  • Directiva contra phishing
  • Directiva de correo no deseado
  • Regla de transporte (regla de flujo de correo)

  Los valores Tipo de directiva y Motivo de cuarentena están interrelacionados. Por ejemplo, Bulk siempre está asociado a una directiva antispam, nunca a una directiva antimalware.

Cuando haya terminado en el control flotante Filtros , seleccione Aplicar. Para borrar los filtros, seleccione Borrar filtros.

Use el cuadro Buscar y un valor correspondiente para buscar mensajes específicos. No se admiten los caracteres comodín. Puede buscar según los siguientes valores:

• Dirección de correo electrónico del remitente
• Asunto. Use el asunto completo del mensaje. La búsqueda no distingue mayúsculas de minúsculas.

Después de especificar los criterios de búsqueda, presione la tecla ENTRAR para filtrar los resultados.

Nota:

El cuadro Buscar busca elementos en cuarentena en la vista actual, no todos los elementos en cuarentena. Para buscar en todos los elementos en cuarentena, use Filtrar y el control flotante Filtros resultante.

Después de encontrar un mensaje en cuarentena específico, seleccione el mensaje para ver los detalles del mismo y tomar medidas al respecto (por ejemplo, ver, liberar, descargar o eliminar el mensaje).

Sugerencia

En los dispositivos móviles, los controles descritos anteriormente están disponibles en Más.

Ver los detalles del correo electrónico en cuarentena

1. En el portal de Microsoft 365 Defender en https://security.microsoft.com, vaya a Email &pestañaRevisar>cuarentena>Email de colaboración>. O bien, para ir directamente a la pestaña Email de la página Cuarentena, use https://security.microsoft.com/quarantine?viewid=Email.

2. En la pestaña Email, seleccione el mensaje en cuarentena haciendo clic en cualquier lugar de la fila que no sea la casilla.

En el control flotante de detalles que se abre, está disponible la siguiente información:

• Sección de detalles de cuarentena :
  • Recibido: La fecha/hora en que se ha recibido el mensaje.
  • Expira: fecha y hora en que el mensaje se elimina automáticamente y permanentemente de la cuarentena.
  • Asunto
  • Motivo de cuarentena: muestra si un mensaje se ha identificado como Spam, Bulk, Phish, coincide con una regla de flujo de correo (regla de transporte) o se ha identificado como que contiene Malware.
  • Tipo de directiva
  • Nombre de la directiva
  • Número de destinatarios
  • Destinatarios: si el mensaje contiene varios destinatarios, es posible que deba usar el mensaje de vista previa o el encabezado Ver mensaje para ver la lista completa de destinatarios.
  • Liberado para: Todas las direcciones de correo electrónico (si corresponde) para las que el mensaje se ha liberado.
• Sección de detalles de entrega :
  • Amenazas
  • Acción de entrega
  • Ubicación original
  • Ubicación de entrega más reciente
  • Tecnologías de detección
  • Invalidación principal
• Email sección de detalles:
  • Nombre para mostrar del remitente
  • Dirección del remitente
  • Correo SMTP desde la dirección
  • Enviado en nombre de
  • Ruta de acceso de devolución
  • IP del remitente
  • Ubicación
  • Destinatarios
  • Hora de recepción
  • Directionality
  • Identificador de mensaje de red
  • Identificador de mensaje de Internet
  • Identificador de campaña
  • DMARC
  • DKIM
  • SPF
  • Autenticación compuesta
• Sección DIRECCIONES URL
• Sección De datos adjuntos

Para actuar sobre el mensaje, consulte la siguiente sección.

Sugerencia

Para ver detalles sobre otros mensajes en cuarentena sin salir del control flotante de detalles, use Elemento anterior y Siguiente en la parte superior del control flotante.

Llevar a cabo una acción en un correo electrónico en cuarentena

1. En el portal de Microsoft 365 Defender en https://security.microsoft.com, vaya a Email &pestañaRevisar>cuarentena>Email de colaboración>. O bien, para ir directamente a la pestaña Email de la página Cuarentena, use https://security.microsoft.com/quarantine?viewid=Email.

2. En la pestaña Email, seleccione el mensaje de correo electrónico en cuarentena mediante cualquiera de los métodos siguientes:

   • Seleccione el mensaje de la lista seleccionando la casilla situada junto a la primera columna. Las acciones disponibles ya no están atenuadas.

     

   • Seleccione el mensaje de la lista haciendo clic en cualquier lugar de la fila que no sea la casilla. Las acciones disponibles se encuentran en el control flotante de detalles que se abre.

     

   Con cualquiera de los métodos para seleccionar el mensaje, hay muchas acciones disponibles en Opciones Más o Más.

Después de seleccionar el mensaje en cuarentena, las acciones disponibles se describen en las siguientes subsecciones.

Sugerencia

En los dispositivos móviles, la experiencia de acción es ligeramente diferente:

• Al seleccionar el mensaje seleccionando la casilla, todas las acciones se encuentran en Más:

  

• Al seleccionar el mensaje haciendo clic en cualquier parte de la fila que no sea la casilla, el texto de descripción no está disponible en algunos de los iconos de acción del control flotante de detalles. Pero las acciones y su orden son los mismos que en un equipo:

  

Liberación del correo electrónico en cuarentena

Esta acción no está disponible para los mensajes de correo electrónico que ya se han publicado (el valor de estado de versión es Liberado).

Si no libera o quita un mensaje, se elimina automáticamente de la cuarentena después de la fecha que se muestra en la columna Expira .

• No se puede liberar un mensaje al mismo destinatario más de una vez.
• Al seleccionar destinatarios originales individuales para recibir el mensaje publicado, solo puede seleccionar los destinatarios que aún no hayan recibido el mensaje publicado.
• Los miembros del grupo de roles Administradores de seguridad pueden ver y usar las opciones Enviar el mensaje a Microsoft para mejorar la detección y Permitir correo electrónico con atributos similares .
• Los usuarios pueden notificar falsos positivos a Microsoft desde la cuarentena, en función del valor de la configuración Informes desde cuarentena en la configuración notificada por el usuario.

Sugerencia

• Si un mensaje se libera de la cuarentena y, a continuación, se enruta a un dispositivo o servicio de seguridad de terceros antes de la entrega al destinatario original, habrá alguna pérdida de contenido cuando el mensaje llegue al buzón del destinatario.
• Los administradores pueden usar el seguimiento de mensajes para determinar si se entregó un mensaje publicado en la Bandeja de entrada del destinatario.
• Las soluciones antivirus de terceros pueden impedir que un mensaje de correo electrónico publicado se envíe a la Bandeja de entrada del destinatario.

Después de seleccionar el mensaje, use cualquiera de los métodos siguientes para liberarlo:

• En la pestaña Email: seleccione Liberar.
• En el control flotante de detalles del mensaje seleccionado: seleccione Liberar correo electrónico.

En el control flotante Enviar correo electrónico al destinatario que se abre, configure las siguientes opciones:

• Seleccione uno de los valores siguientes:

  • Versión para todos los destinatarios
  • Versión para uno o varios de los destinatarios originales del correo electrónico: escriba los destinatarios en el cuadro Destinatarios que aparece.

• Enviar una copia de este mensaje a otro destinatario: si selecciona esta opción, seleccione uno o varios destinatarios haciendo clic en el cuadro Destinatarios que aparece.

• Envíe el mensaje a Microsoft para mejorar la detección: si selecciona esta opción, el mensaje en cuarentena erróneamente se notifica a Microsoft como falso positivo. En función de los resultados de su análisis, es posible que se ajusten las reglas de filtro de correo no deseado de todo el servicio para permitir el envío del mensaje.

  Al seleccionar esta opción se muestran las siguientes opciones:

  • Permitir correo electrónico con atributos similares: si selecciona esta opción, las entradas permitidas se agregan a la lista de permitidos o bloqueados de inquilinos para el remitente y las direcciones URL o datos adjuntos relacionados del mensaje. También aparecen las siguientes opciones:
    • Quitar entrada después: el valor predeterminado es 30 días, pero también puede seleccionar 1 día, 7 días o una fecha específica que sea inferior a 30 días.
    • Permitir nota de entrada: escriba una nota opcional que contenga información adicional.

Cuando haya terminado en el control flotante Enviar correo electrónico a destinatarios , seleccione Mensaje de versión.

De nuevo en la pestaña Email, el valor de Estado de la versión del mensaje es Liberado.

Aprobación o denegación de solicitudes de lanzamiento de usuarios para correo electrónico en cuarentena

Los usuarios pueden solicitar la liberación de mensajes de correo electrónico si la directiva de cuarentena usa Permitir a los destinatarios solicitar que un mensaje se libere de la cuarentena (PermissionToRequestRelease permiso) en lugar de Permitir a los destinatarios liberar un mensaje de la cuarentena (PermissionToRelease permiso) cuando el mensaje se puso en cuarentena. Para obtener más información, consulte Creación de directivas de cuarentena en el portal de Microsoft 365 Defender.

Después de que un destinatario solicite la liberación del mensaje de correo electrónico, el valor de Estado de la versión cambia a Versión solicitada y un administrador puede aprobar o denegar la solicitud.

Si no libera o quita un mensaje, se elimina automáticamente de la cuarentena después de la fecha que se muestra en la columna Expira .

Después de seleccionar el mensaje, use cualquiera de los métodos siguientes para aprobar o denegar la solicitud de versión:

• En la pestaña Email: seleccione Aprobar versión o Denegar.
• En el control flotante de detalles del mensaje seleccionado: seleccione Más y, a continuación, seleccione Aprobar versión o Denegar versión.

Si selecciona Aprobar versión, se abre un control flotante Aprobar versión , donde puede revisar la información sobre el mensaje. Para aprobar la solicitud, seleccione Aprobar versión. Se abre un control flotante Aprobado por la versión , donde puede seleccionar el vínculo para obtener más información sobre cómo publicar mensajes. Seleccione Listo cuando haya terminado en el control flotante Versión aprobada . De nuevo en la pestaña Email, el valor Estado de la versión del mensaje cambia a Aprobado.

Si selecciona Denegar, se abre un control flotante Denegar versión , donde puede revisar la información sobre el mensaje. Para denegar la solicitud, seleccione Denegar versión. Se abre un control flotante Release denied (Versión denegada ), donde puede seleccionar el vínculo para obtener más información sobre cómo publicar mensajes. Seleccione Listo cuando haya terminado en el control flotante Versión denegada . De nuevo en la pestaña Email, el valor Estado de la versión del mensaje cambia a Denegado.

Eliminación del correo electrónico de la cuarentena

Al eliminar un mensaje de correo electrónico de la cuarentena, el mensaje se quita y no se envía a los destinatarios originales.

Si no libera o quita un mensaje, se elimina automáticamente de la cuarentena después de la fecha que se muestra en la columna Expira .

Después de seleccionar el mensaje, use cualquiera de los métodos siguientes para quitarlo:

• En la pestaña Email: seleccione Eliminar de la cuarentena.
• En el control flotante de detalles del mensaje seleccionado: seleccione Más opciones>Eliminar de la cuarentena.

En el control flotante Eliminar (n) mensajes de cuarentena que se abre, use uno de los métodos siguientes para eliminar el mensaje:

• Seleccione Eliminar permanentemente el mensaje de la cuarentena y, a continuación, seleccione Eliminar: El mensaje se elimina permanentemente y no se puede recuperar.
• Seleccione Eliminar solo: el mensaje se elimina, pero es potencialmente recuperable.

Después de seleccionar Eliminar en el control flotante Eliminar (n) mensajes de cuarentena, vuelve a la pestaña Email donde el mensaje ya no aparece.

Vista previa del correo electrónico desde la cuarentena

Después de seleccionar el mensaje, use cualquiera de los métodos siguientes para obtener una vista previa del mensaje:

• En la pestaña Email: seleccione Mensaje de vista previa.
• En el control flotante de detalles del mensaje seleccionado: Seleccione Más opciones>Mensaje de vista previa.

En el control flotante que se abre, elija una de las pestañas siguientes:

• Código fuente: Muestra la versión HTML del cuerpo del mensaje con todos los vínculos desactivados.
• Texto sin formato: Muestra el cuerpo del mensaje como texto sin formato.

Visualización de encabezados de mensajes de correo electrónico

Después de seleccionar el mensaje, use cualquiera de los métodos siguientes para ver los encabezados del mensaje:

• En la pestaña Email: seleccione Más>encabezados de mensaje de vista.
• En el control flotante de detalles del mensaje seleccionado: seleccione Más opciones>Ver encabezados de mensaje.

En el control flotante Encabezado de mensaje que se abre, se muestra el encabezado del mensaje (todos los campos de encabezado).

Use Copiar encabezado de mensaje para copiar el encabezado del mensaje en el Portapapeles.

Seleccione el vínculo Analizador de encabezados de mensaje de Microsoft para analizar los campos de encabezado y los valores en profundidad. Pegue el encabezado del mensaje en la sección Insertar el encabezado del mensaje que desea analizar (CTRL+V o haga clic con el botón derecho y elija Pegar) y, a continuación, seleccione Analizar encabezados.

Informe de correo electrónico a Microsoft para su revisión desde la cuarentena

Después de seleccionar el mensaje, use cualquiera de los métodos siguientes para informar del mensaje a Microsoft para su análisis:

• En la pestaña Email: seleccione Más>enviar para su revisión.
• En el control flotante de detalles del mensaje seleccionado: seleccione Más opciones>Enviar para revisión.

En el control flotante Enviar a Microsoft para análisis que se abre, configure las siguientes opciones:

• Seleccione el tipo de envío: seleccione Email (valor predeterminado), DIRECCIÓN URL o Archivo.

• Agregue el identificador de mensaje de red o cargue el archivo de correo electrónico: seleccione una de las siguientes opciones:

  • Agregar el identificador de mensaje de red de correo electrónico: este valor está seleccionado de forma predeterminada, con el valor correspondiente en el cuadro.
  • Cargar el archivo de correo electrónico (.msg o eml): después de seleccionar esta opción, seleccione el botón Examinar archivos que aparece para buscar y seleccione el archivo de mensajes .msg o .eml que se va a enviar.

• Elija un destinatario que tenga un problema: seleccione uno (preferido) o más destinatarios originales del mensaje para analizar las directivas que se le aplicaron.

• Seleccione un motivo para enviar a Microsoft: elija una de las siguientes opciones:

  • No se debería haber bloqueado (falso positivo) (valor predeterminado): si selecciona esta opción, están disponibles los siguientes valores:

    • Permitir correo electrónico con atributos similares: si selecciona esta opción, las entradas permitidas se agregan a la lista de permitidos o bloqueados de inquilinos para el remitente y las direcciones URL o datos adjuntos relacionados del mensaje. También aparecen las siguientes opciones:

  • Quitar entrada después: el valor predeterminado es 30 días, pero también puede seleccionar 1 día, 7 días o una fecha específica que sea inferior a 30 días.

    • Permitir nota de entrada: escriba una nota opcional que contenga información adicional.

  • Debería haberse bloqueado (falso negativo): si selecciona esta opción, aparecerá la siguiente configuración:

    • El correo electrónico debe haberse clasificado como: Seleccione Phish, Spam o Spam.
    • Bloquear todo el correo electrónico de este remitente o dominio: si selecciona esta opción, las entradas de bloque del remitente o dominio (que elija) se agregarán a la lista de permitidos o bloqueados de inquilinos.
      • Quitar entrada de bloque después: el valor predeterminado es 30 días, pero también puede seleccionar 1 día, 7 días, 90 días, Nunca expirar o una fecha específica.
    • Nota de entrada de bloque: escriba una nota opcional que contenga información adicional.

Cuando haya terminado en el control flotante Enviar a Microsoft para análisis , seleccione Enviar.

Sugerencia

Los usuarios pueden notificar falsos positivos a Microsoft desde la cuarentena, en función del valor de la configuración Informes desde cuarentena en la configuración notificada por el usuario.

Bloquear la cuarentena de los remitentes de correo electrónico

La acción Bloquear remitentes agrega el remitente del mensaje de correo electrónico seleccionado a la lista Remitentes bloqueados en el buzón de cualquiera que haya iniciado sesión. Normalmente, los usuarios finales usan esta acción si están disponibles para ellos mediante directivas de cuarentena. Para obtener más información sobre los usuarios que bloquean remitentes, consulte Bloquear un remitente de correo.

Después de seleccionar el mensaje, use cualquiera de los métodos siguientes para agregar el remitente del mensaje a la lista Remitentes bloqueados en el buzón:

• En la pestaña Email: seleccione Más>remitente de bloque.
• En el control flotante de detalles del mensaje seleccionado: Seleccione Más opciones>Bloquear remitente.

En el control flotante Bloquear remitente que se abre, revise la información sobre el remitente y, a continuación, seleccione Bloquear.

Sugerencia

La organización todavía puede recibir correo del remitente bloqueado. Los mensajes del remitente se entregan a las carpetas de Email no deseados del usuario o a la cuarentena. Para eliminar mensajes del remitente a la llegada, use reglas de flujo de correo (también conocidas como reglas de transporte) para bloquear el mensaje.

Compartir correo electrónico desde la cuarentena

Puede enviar una copia del mensaje de correo electrónico en cuarentena, incluido el contenido potencialmente dañino, a los destinatarios especificados.

Después de seleccionar el mensaje, use cualquiera de los métodos siguientes para enviar una copia del mismo a otros usuarios:

• En la pestaña Email: seleccione Más>correo electrónico compartido.
• En el control flotante de detalles del mensaje seleccionado: Seleccione Más opciones>Compartir correo electrónico.

En el control flotante Compartir correo electrónico con otros usuarios que se abre, seleccione uno o varios destinatarios para recibir una copia del mensaje. Cuando haya terminado, seleccione Compartir.

Descarga del correo electrónico de la cuarentena

Después de seleccionar el mensaje de correo electrónico, use cualquiera de los métodos siguientes para descargarlo:

• En la pestaña Email: seleccione Más>mensajes de descarga.
• En el control flotante de detalles del mensaje seleccionado: Seleccione Más opciones>Descargar mensaje.

En el control flotante Descargar archivo que se abre, escriba la siguiente información:

• Motivo para descargar el archivo: escriba texto descriptivo.
• Crear contraseña y Confirmar contraseña: escriba una contraseña necesaria para abrir el archivo de mensaje descargado.

Cuando haya terminado en el control flotante Descargar archivo , seleccione Descargar.

Cuando la descarga está lista, se abre un cuadro de diálogo Guardar como para ver o cambiar el nombre de archivo y la ubicación descargados. De forma predeterminada, el archivo de mensajes .eml se guarda en un archivo comprimido denominado Quarantined Messages.zip en la carpeta Descargas . Si el archivo .zip ya existe, se anexa un número al nombre de archivo (por ejemplo, Mensajes en cuarentena(1).zip).

Acepte o cambie los detalles del archivo descargado y, a continuación, seleccione Guardar.

De nuevo en el control flotante Descargar archivo , seleccione Listo.

Acciones para mensajes de correo electrónico en cuarentena en Defender para Office 365 plan 2

En las organizaciones con Microsoft Defender para Office 365 Plan 2 (licencias de complementos o incluidas en suscripciones como Microsoft 365 E5), las siguientes acciones también están disponibles en el control flotante de detalles de un mensaje seleccionado:

• Abrir entidad de correo electrónico: para obtener más información, vea Cómo leer la página de la entidad de correo electrónico.

• Realizar acciones: esta acción inicia el mismo Asistente para acciones que está disponible en la página de entidades de correo electrónico. Para obtener más información, vea Acciones que puede realizar en la página de entidad Email.

Realice una acción en varios mensajes de correo electrónico en cuarentena

Al seleccionar varios mensajes en cuarentena en la pestaña Email seleccionando las casillas situadas junto a la primera columna, las siguientes acciones masivas están disponibles en la pestaña Email (dependiendo de los valores de estado release de los mensajes seleccionados):

• Liberación del correo electrónico en cuarentena

  Las únicas opciones disponibles para seleccionar para acciones masivas son Enviar una copia de este mensaje a otros destinatarios de la organización y Enviar el mensaje a Microsoft para mejorar la detección (falso positivo).

• Aprobación o denegación de solicitudes de lanzamiento de usuarios para correo electrónico en cuarentena

• Eliminación del correo electrónico de la cuarentena

• Informe de correo electrónico a Microsoft para su revisión desde la cuarentena

  Las únicas opciones disponibles para seleccionar para acciones masivas son Permitir correos electrónicos con atributos similares y las opciones relacionadas Quitar permitir entrada después y Permitir nota de entrada .

• Descarga del correo electrónico de la cuarentena

Búsqueda de quién eliminó un mensaje en cuarentena

De forma predeterminada, muchos veredictos de directivas de seguridad permiten a los usuarios eliminar sus mensajes en cuarentena (mensajes donde son destinatarios). Para obtener más información, consulte la tabla de Administración de mensajes y archivos en cuarentena como usuario.

Los administradores pueden buscar en el registro de auditoría los mensajes que se eliminaron de la cuarentena mediante los procedimientos siguientes:

1. En el portal de Defender en https://security.microsoft.com, vaya a Auditoría. O bien, para ir directamente a la página de Auditoría, use https://security.microsoft.com/auditlogsearch.

   Sugerencia

   También puede acceder a la página Auditoría de la portal de cumplimiento Microsoft Purview enhttps://compliance.microsoft.com/auditlogsearch

2. En la página Auditoría , compruebe que la pestaña Nueva búsqueda está seleccionada y, a continuación, configure los siguientes valores:

   • Intervalo de fecha y hora (UTC)
   • Actividades: nombres descriptivos: haga clic en el cuadro, empiece a escribir "cuarentena" en el cuadro de búsqueda que aparece y, a continuación, seleccione Mensaje de cuarentena eliminada en los resultados.
   • Usuarios: si sabe quién eliminó el mensaje de la cuarentena, puede filtrar aún más los resultados por usuario.

3. Cuando haya terminado de escribir los criterios de búsqueda, seleccione Buscar para generar la búsqueda.

Para obtener instrucciones completas sobre las búsquedas de registros de auditoría, consulte Auditoría de nueva búsqueda.

Use el portal de Microsoft 365 Defender para administrar archivos en cuarentena en Defender para Office 365

Nota:

Los procedimientos para los archivos en cuarentena de esta sección solo están disponibles para los suscriptores de Plan 1 de Microsoft Defender para Office 365 o plan 2.

Los archivos en cuarentena en SharePoint o OneDrive se quitan de la cuarentena de fom después de 30 días, pero los archivos bloqueados permanecen en SharePoint o OneDrive en estado bloqueado.

En las organizaciones con Defender para Office 365, los administradores pueden administrar archivos que se pusieron en cuarentena mediante datos adjuntos seguros para SharePoint, OneDrive y Microsoft Teams. Para habilitar la protección de estos archivos, consulte Activar datos adjuntos seguros para SharePoint, OneDrive y Microsoft Teams.

Visualización de archivos en cuarentena

En el portal de Microsoft 365 Defender en https://security.microsoft.com, vaya a Email &pestañaRevisar>archivosde cuarentena> de colaboración>. O bien, para ir directamente a la pestaña Archivos de la página Cuarentena, use https://security.microsoft.com/quarantine?viewid=Files.

En la pestaña Archivos, puede reducir el espaciado vertical de la lista haciendo clic en Cambiar espaciado de lista para compactar o normal y, a continuación, seleccionando Compactar lista.

Para ordenar las entradas, haga clic en un encabezado de columna disponible. Seleccione Personalizar columnas para cambiar las columnas que se muestran. Los valores predeterminados están marcados con un asterisco (^*):

• Usuario^*
• Ubicación^*: el valor es SharePoint o OneDrive.
• Nombre de archivo de datos adjuntos^*
• Dirección URL del archivo^*
• File Size.
• Estado de la versión^*
• Expira^*
• Detectado por
• Modificado por tiempo

Para filtrar las entradas, seleccione Filtrar. Los filtros siguientes están disponibles en el control flotante Filtros que se abre:

• Tiempo recibido:
  • Últimas 24 horas
  • Últimos 7 días
  • Últimos 14 días
  • Últimos 30 días (valor predeterminado)
  • Personalizado: Introduzca una hora de inicio y una hora de finalización (fecha).
• Expira:
  • Personalizado (valor predeterminado): escriba una hora de inicio y una hora de finalización (fecha).
  • Hoy
  • Próximos 2 días
  • Próximos 7 días
• Motivo de cuarentena: el único valor disponible es Malware.
• Tipo de directiva: el único valor disponible es Desconocido.

Cuando haya terminado en el control flotante Filtros , seleccione Aplicar. Para borrar los filtros, seleccione Borrar filtros.

Use el cuadro Buscar y un valor correspondiente para buscar archivos específicos por nombre de archivo. No se admiten los caracteres comodín.

Después de especificar los criterios de búsqueda, presione la tecla ENTRAR para filtrar los resultados.

Después de encontrar un archivo en cuarentena específico, seleccione el archivo para ver los detalles del mismo y tomar medidas al respecto (por ejemplo, ver, liberar, descargar o eliminar el archivo).

Visualización de los detalles del archivo en cuarentena

1. En el portal de Microsoft 365 Defender en https://security.microsoft.com, vaya a Email &pestañaRevisar>archivosde cuarentena> de colaboración>. O bien, para ir directamente a la pestaña Archivos de la página Cuarentena, use https://security.microsoft.com/quarantine?viewid=Files.

2. En la pestaña Archivos , seleccione el archivo en cuarentena haciendo clic en cualquier lugar de la fila que no sea la casilla.

En el control flotante de detalles que se abre, está disponible la siguiente información:

• Sección de detalles del archivo :
  • Nombre del archivo
  • Dirección URL del archivo: dirección URL que define la ubicación del archivo (por ejemplo, en SharePoint Online).
  • Contenido malintencionado detectado en Fecha y hora en que se puso en cuarentena el archivo.
  • Expira: fecha en la que el archivo se eliminará de la cuarentena.
  • Detectado por
  • ¿Liberado?
  • Nombre de malware
  • Id. de documento: un identificador único para el documento.
  • File Size.
  • Organización Identificador único de la organización.
  • Última modificación
  • Última modificación por: el usuario que modificó por última vez el archivo.
  • Valor del algoritmo hash seguro de 256 bits (SHA-256): puede usar este valor hash para identificar el archivo en otros almacenes de reputación o en otras ubicaciones del entorno.

Para realizar acciones en el archivo, consulte la sección siguiente.

Sugerencia

Para ver detalles sobre otros archivos en cuarentena sin salir del control flotante de detalles, use el elemento Anterior y el elemento Siguiente en la parte superior del control flotante.

Realizar acciones en archivos en cuarentena

1. En el portal de Microsoft 365 Defender en https://security.microsoft.com, vaya a Email &pestañaRevisar>archivosde cuarentena> de colaboración>. O bien, para ir directamente a la pestaña Archivos de la página Cuarentena, use https://security.microsoft.com/quarantine?viewid=Files.

2. En la pestaña Archivos , seleccione el archivo en cuarentena haciendo clic en cualquier lugar de la fila que no sea la casilla.

Después de seleccionar el archivo en cuarentena, las acciones disponibles en el control flotante de detalles del archivo que se abre se describen en las subsecciones siguientes.

Liberación de archivos en cuarentena de la cuarentena

Esta acción no está disponible para los archivos que ya se han publicado (el valor de estado Liberado es Liberado).

Si no libera o elimina el archivo de la cuarentena, el archivo se quita de la cuarentena después de que expire el período de retención de cuarentena predeterminado (como se muestra en la columna Expira ), pero el archivo bloqueado permanece en SharePoint o OneDrive en estado bloqueado.

Después de seleccionar el archivo, seleccione Archivo de versión en el control flotante de detalles del archivo que se abre.

En los archivos de versión y notificarlos al control flotante de Microsoft que se abre, vea los detalles del archivo en la sección Report files to Microsoft for analysis (Report files to Microsoft for analysis), decida si desea seleccionar Report files to Microsoft for analysis (Archivos de informe a Microsoft para su análisis) y, a continuación, seleccione Release (Liberar).

En el control flotante Archivos se han publicado que se abre, seleccione Listo.

De nuevo en el control flotante de detalles del archivo, seleccione Cerrar.

De nuevo en la pestaña Archivos , el valor de Estado de la versión del archivo es Liberado.

Descarga de archivos en cuarentena desde la cuarentena

Después de seleccionar el archivo, seleccione Descargar archivo en el control flotante de detalles que se abre.

En el control flotante Descargar archivo que se abre, escriba la siguiente información:

• Motivo para descargar el archivo: escriba texto descriptivo.
• Crear contraseña y Confirmar contraseña: escriba una contraseña necesaria para abrir el archivo descargado.

Cuando haya terminado en el control flotante Descargar archivo , seleccione Descargar.

Cuando la descarga está lista, se abre un cuadro de diálogo Guardar como para ver o cambiar el nombre de archivo y la ubicación descargados. De forma predeterminada, el archivo se guarda en un archivo comprimido denominado Quarantined Messages.zip en la carpeta Descargas . Si el archivo .zip ya existe, se anexa un número al nombre de archivo (por ejemplo, Mensajes en cuarentena(1).zip).

Acepte o cambie los detalles del archivo descargado y, a continuación, seleccione Guardar.

De nuevo en el control flotante Descargar archivo , seleccione Listo.

Eliminación de archivos en cuarentena de la cuarentena

Si no libera o elimina el archivo de la cuarentena, el archivo se quita de la cuarentena después de que expire el período de retención de cuarentena predeterminado (como se muestra en la columna Expira ), pero el archivo bloqueado permanece en SharePoint o OneDrive en estado bloqueado.

Después de seleccionar el archivo, seleccione Más>eliminar de la cuarentena en el control flotante de detalles que se abre.

Seleccione Continuar en el cuadro de diálogo de advertencia que se abre.

De nuevo en la pestaña Archivos , el archivo ya no aparece.

Realizar acciones en varios archivos en cuarentena

Al seleccionar varios archivos en cuarentena en la pestaña Archivos seleccionando las casillas situadas junto a la primera columna (hasta 100 archivos), aparece una lista desplegable Acciones masivas donde puede realizar las siguientes acciones:

• Liberación de archivos en cuarentena de la cuarentena
• Eliminación de archivos en cuarentena de la cuarentena
• Descarga de archivos en cuarentena desde la cuarentena

Uso del portal de Microsoft 365 Defender para administrar mensajes en cuarentena de Microsoft Teams

La cuarentena en Microsoft Teams solo está disponible en organizaciones con Microsoft Defender para Office 365 plan 2 (licencias de complementos o incluidas en suscripciones como Microsoft 365 E5)

Cuando se detecta un mensaje de chat potencialmente malintencionado en Microsoft Teams, la purga automática de cero horas (ZAP) quita el mensaje y lo pone en cuarentena. Los administradores pueden ver y administrar estos mensajes de Teams en cuarentena. El mensaje se pone en cuarentena durante 30 días. Después de eso, el mensaje de Teams se quita permanentemente.

Esta función está habilitada de forma predeterminada.

Visualización de mensajes en cuarentena en Microsoft Teams

En el portal de Microsoft 365 Defender en https://security.microsoft.com, vaya aEmail& pestaña Revisar >> mensajes de Teams de revisión de colaboración.> O bien, para ir directamente a la pestaña Mensajes de Teams en la página Cuarentena, use https://security.microsoft.com/quarantine?viewid=Teams.

En la pestaña Mensajes de Teams, puede reducir el espaciado vertical de la lista haciendo clic en Cambiar espaciado de lista para compactar o normal y, a continuación, seleccionando Compactar lista.

Para ordenar las entradas, haga clic en un encabezado de columna disponible. Seleccione Personalizar columnas para cambiar las columnas que se muestran. Los valores predeterminados están marcados con un asterisco (^*):

• Texto del mensaje de Teams: contiene el asunto del mensaje de Teams.^*
• Tiempo recibido: la hora en que el destinatario recibió el mensaje.^*
• Estado de la versión: muestra si el mensaje ya está revisado y publicado o necesita revisión. ^*
• Participantes: el número total de usuarios que recibieron el mensaje.^*
• Remitente: la persona que envió el mensaje que se puso en cuarentena.^*
• Motivo de cuarentena: las opciones disponibles son "Phish de confianza alta" y "Malware".^*
• Tipo de directiva: directiva de la organización responsable del mensaje en cuarentena.^*
• Expira: indica la hora a la que se quita el mensaje de la cuarentena. De forma predeterminada, este valor es de 30 días.^*
• Dirección del destinatario: Email dirección de los destinatarios.^*
• Id. de mensaje: incluye el identificador del mensaje de chat.

Para filtrar las entradas, seleccione Filtrar. Los filtros siguientes están disponibles en el control flotante Filtros que se abre:

• Id. de mensaje
• Dirección del remitente
• Dirección del destinatario
• Subject
• Tiempo recibido:
  • Últimas 24 horas
  • Últimos 7 días
  • Últimos 14 días
  • Últimos 30 días (valor predeterminado)
  • Personalizado: Introduzca una hora de inicio y una hora de finalización (fecha).
• Expira:
  • Personalizado (valor predeterminado): escriba una hora de inicio y una hora de finalización (fecha).
  • Hoy
  • Próximos 2 días
  • Próximos 7 días
• Motivo de cuarentena: los valores disponibles son Malware y Phishing de alta confianza.
• Destinatario: seleccione Todos los usuarios o Solo yo.
• Estado de revisión: seleccione Necesita revisión y publicado.

Cuando haya terminado en el control flotante Filtros , seleccione Aplicar. Para borrar los filtros, seleccione Borrar filtros.

Use el cuadro Buscar y un valor correspondiente para buscar mensajes específicos de Teams. No se admiten los caracteres comodín.

Después de encontrar un mensaje específico de Teams en cuarentena, seleccione el mensaje para ver los detalles del mismo y tomar medidas al respecto (por ejemplo, ver, liberar, descargar o eliminar el mensaje).

Visualización de los detalles del mensaje en cuarentena en Microsoft Teams

1. En el portal de Microsoft 365 Defender en https://security.microsoft.com, vaya aEmail& pestaña Revisar >> mensajes de Teams de revisión de colaboración.> O bien, para ir directamente a la pestaña Mensajes de Teams en la página Cuarentena, use https://security.microsoft.com/quarantine?viewid=Teams.

2. En la pestaña Mensajes de Teams , seleccione el mensaje en cuarentena haciendo clic en cualquier lugar de la fila que no sea la casilla.

En el control flotante de detalles que se abre, está disponible la siguiente información:

• Sección de detalles de cuarentena : incluye el motivo de cuarentena, la fecha de expiración, el tipo de directiva de cuarentena y otra información.
• Sección de detalles del mensaje : incluye el motivo principal de la amenaza, la fecha y hora del mensaje enviado y la dirección del remitente. También incluye el identificador de mensaje de Teams y la tecnología de detección.
• Sección Remitente : incluye el nombre del remitente, su ubicación de dominio y si el remitente es de fuera de la organización.
• Sección Participantes : los nombres y los identificadores de correo electrónico de todas las personas que recibieron el mismo mensaje.
• Sección direcciones URL : incluye los detalles de las direcciones URL malintencionadas que se detectaron en el mensaje de chat.

Para actuar sobre el mensaje, consulte la siguiente sección.

Sugerencia

Para ver detalles sobre otros mensajes en cuarentena sin salir del control flotante de detalles, use Elemento anterior y Siguiente en la parte superior del control flotante.

Tomar medidas en los mensajes en cuarentena en Microsoft Teams

1. En el portal de Microsoft 365 Defender en https://security.microsoft.com, vaya aEmail& pestaña Revisar >> mensajes de Teams de revisión de colaboración.> O bien, para ir directamente a la pestaña Mensajes de Teams en la página Cuarentena, use https://security.microsoft.com/quarantine?viewid=Teams.

2. En la pestaña Mensajes de Teams , seleccione el mensaje en cuarentena mediante cualquiera de los métodos siguientes:

   • Seleccione el mensaje de la lista seleccionando la casilla situada junto a la primera columna. Las acciones disponibles ya no están atenuadas.

     

   • Seleccione el mensaje de la lista haciendo clic en cualquier lugar de la fila que no sea la casilla. Las acciones disponibles se encuentran en el control flotante de detalles que se abre.

     

   Con cualquiera de los métodos para seleccionar el mensaje, algunas acciones están disponibles en Más.

Después de seleccionar el mensaje en cuarentena, las acciones disponibles se describen en las siguientes subsecciones.

Liberación de mensajes de Teams en cuarentena

Esta acción no está disponible para los mensajes de Teams que ya se han publicado (el valor de estado de versión es Liberado).

Si no libera o quita un mensaje, se elimina automáticamente de la cuarentena después de la fecha que se muestra en la columna Expira .

Después de seleccionar el mensaje, use cualquiera de los métodos siguientes para liberarlo:

• En la pestaña Mensajes de Teams: seleccione Versión.
• En el control flotante de detalles del mensaje seleccionado: seleccione Liberar.

En el control flotante Release to all chat participants (Versión para todos los participantes del chat ) que se abre, decida si desea seleccionar Enviar el mensaje a Microsoft para mejorar la detección (falso positivo) y, a continuación, seleccione Liberar.

Eliminación de mensajes de Teams de la cuarentena

Si no libera o quita un mensaje de Teams, se elimina automáticamente de la cuarentena después de la fecha que se muestra en la columna Expira .

Después de seleccionar el mensaje de Teams, use cualquiera de los métodos siguientes para quitarlo:

• En la pestaña Mensajes de Teams: seleccione Eliminar mensajes.
• En el control flotante de detalles del mensaje seleccionado: seleccione Más opciones>Eliminar de la cuarentena.

En el cuadro de diálogo de advertencia que se abre, lea la información y, a continuación, seleccione Continuar.

De nuevo en la pestaña Mensajes de Teams , el mensaje ya no aparece.

Vista previa de los mensajes de Teams desde la cuarentena

Después de seleccionar el mensaje de Teams, use cualquiera de los métodos siguientes para obtener una vista previa de él:

• En la pestaña Mensajes de Teams: seleccione Mensaje de vista previa.
• En el control flotante de detalles del mensaje seleccionado: seleccione Vista previa del mensaje.

En el control flotante que se abre, elija una de las pestañas siguientes:

• Código fuente: Muestra la versión HTML del cuerpo del mensaje con todos los vínculos desactivados.
• Texto sin formato: Muestra el cuerpo del mensaje como texto sin formato.

Notificar mensajes de Teams a Microsoft para su revisión desde la cuarentena

Después de seleccionar el mensaje, use cualquiera de los métodos siguientes para informar del mensaje a Microsoft para su análisis:

• En la pestaña Mensajes de Teams: seleccione Más>enviar para su revisión.
• En el control flotante de detalles del mensaje seleccionado: seleccione Más opciones>Enviar para revisión.

Al seleccionar Enviar mensaje, el mensaje se envía a Microsoft para su análisis. Recibirá un cuadro de diálogo Elemento enviado donde seleccione Aceptar.

Descarga de mensajes de Teams desde la cuarentena

Después de seleccionar el mensaje de Teams, use cualquiera de los métodos siguientes para descargarlo:

• En la pestaña Mensajes de Teams: seleccione Más>mensajes de descarga.
• En el control flotante de detalles del mensaje seleccionado: Seleccione Más opciones>Descargar mensaje.

En el control flotante Descargar mensajes que se abre, escriba la siguiente información:

• Motivo para descargar el archivo: escriba texto descriptivo.
• Crear contraseña y Confirmar contraseña: escriba una contraseña necesaria para abrir el archivo de mensaje descargado.

Cuando haya terminado en el control flotante Descargar archivo , seleccione Descargar.

De forma predeterminada, el archivo de mensaje .html se guarda en un archivo comprimido denominado Quarantined Messages.zip en la carpeta Descargas . Si el archivo .zip ya existe, se anexa un número al nombre de archivo (por ejemplo, Mensajes en cuarentena(1).zip).

De nuevo en el control flotante Descargar mensajes , seleccione Listo.

Tomar medidas en varios mensajes de Teams en cuarentena

Al seleccionar varios mensajes en cuarentena en la pestaña Mensajes de Teams seleccionando las casillas situadas junto a la primera columna, las siguientes acciones masivas están disponibles en la pestaña Mensajes de Teams :

• Liberación de mensajes de Teams en cuarentena
• Eliminación de mensajes de Teams de la cuarentena
• Notificar mensajes de Teams a Microsoft para su revisión desde la cuarentena
• Descarga de mensajes de Teams desde la cuarentena

Aprobación o denegación de solicitudes de versión de usuarios para mensajes de Teams en cuarentena

Cuando un usuario solicita la liberación de un mensaje de Teams en cuarentena, el valor de Estado de la versión cambia a Versión solicitada y un administrador puede aprobar o denegar la solicitud.

Para obtener más información, vea Aprobar o denegar solicitudes de versión de los usuarios.

Uso Exchange Online PowerShell o PowerShell EOP independiente para administrar mensajes en cuarentena

En esta sección se describen los cmdlets que se usan para ver y administrar mensajes y archivos en cuarentena.

• Delete-QuarantineMessage
• Export-QuarantineMessage
• Get-QuarantineMessage
• Preview-QuarantineMessage: este cmdlet es solo para los mensajes, no para los archivos en cuarentena.
• Release-QuarantineMessage

Más información

Preguntas más frecuentes sobre mensajes en cuarentena