管理者として検疫済みメッセージとファイルを管理する
ヒント
Microsoft 365 Defender for Office 365 プラン 2 の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで 90 日間のDefender for Office 365試用版を使用します。 こちらからサインアップできるユーザーと試用版の使用条件の詳細について参照してください。
Exchange Onlineまたは Microsoft Teams のメールボックスを持つ Microsoft 365 組織、またはメールボックスまたは Teams をExchange Onlineしないスタンドアロン Exchange Online Protection (EOP) 組織では、検疫は、EOP によって検出された潜在的に危険なメッセージまたは不要なメッセージを保持します。Defender for Office 365。
管理者は、すべてのユーザーのすべての種類の検疫済みメッセージとファイルを表示、解放、削除できます。
Microsoft Defender for Office 365を持つ組織の管理者は、0 時間自動消去 (ZAP) によって検疫された SharePoint、OneDrive、Microsoft Teams および Microsoft Teams の安全な添付ファイルによって検疫されたファイルを管理することもできます。
ユーザーは、サポートされている電子メール保護機能の 検疫ポリシー に基づいて、検疫 されたほとんどのメール メッセージを管理できます。 検疫ポリシーの詳細については、「検疫ポリシー の構造」を参照してください。
管理者とユーザー (ユーザーがorganizationの設定を報告した場合) は、検疫から Microsoft に誤検知を報告できます。
検疫されたメッセージは、Microsoft Defender ポータルまたは PowerShell で表示および管理します (Exchange Onlineにメールボックスがある Microsoft 365 組織の PowerShell をExchange Onlineし、Exchange Onlineメールボックスを持たない組織のスタンドアロン EOP PowerShell)。
検疫されたメッセージを管理者として管理する方法については、この短いビデオをご覧ください。
はじめに把握しておくべき情報
Microsoft Defender ポータルを開くには、 に移動しますhttps://security.microsoft.com。 "検疫" ページに直接移動するには、https://security.microsoft.com/quarantine を使用します。
Exchange Online PowerShell へ接続するには、「Exchange Online PowerShell に接続する」を参照してください。 スタンドアロンの EOP PowerShell に接続するには、「Exchange Online Protection PowerShell への接続」を参照してください。
この記事の手順を実行するには、アクセス許可を割り当てる必要があります。 以下のオプションがあります。
- & Microsoft Defender ポータルでコラボレーションのアクセス許可をEmailする: グローバル管理者、セキュリティ管理者、または検疫管理者ロール グループのメンバーシップ。
- Microsoft Entraアクセス許可: メンバーシップこれらのロールは、ユーザーに Microsoft 365 の他の機能に必要なアクセス許可とアクセス許可を提供します。
- すべてのユーザーに対して検疫されたメッセージに対してアクションを実行する: グローバル管理者 ロールまたは セキュリティ管理者 ロールのメンバーシップ。
- 検疫から Microsoft にメッセージを送信する: セキュリティ管理者 ロールのメンバーシップ。
- すべてのユーザーの検疫されたメッセージへの読み取り専用アクセス: グローバル閲覧者 ロールまたは セキュリティ閲覧者 ロールのメンバーシップ。
ヒント
Exchange Onlineアクセス許可を使用して検疫されたメッセージを管理する機能は、MC447339ごとに 2023 年 2 月に終了しました。
検疫されたメッセージとファイルは、検疫された理由に基づいて既定の期間保持されます。 保持期間の有効期限が切れると、メッセージは自動的に削除され、回復できません。 詳細については、「 検疫の保持」を参照してください。
Microsoft Defender ポータルを使用して検疫済みメール メッセージを管理する
検疫済みメールを表示する
のMicrosoft Defender ポータルでhttps://security.microsoft.com、コラボレーション>>の [検疫>Email確認] & タブEmail移動します。または、[検疫] ページの [Email] タブに直接移動するには、 を使用https://security.microsoft.com/quarantine?viewid=Emailします。
[Email] タブで、[リストの間隔をコンパクトまたは標準に変更] をクリックし、[コンパクト リスト] を選択することで、リストの垂直方向の間隔を
小さくできます。
使用可能な列ヘッダーをクリックすると、エントリを並べ替えることができます。 [列のカスタマイズ] を選択して、表示される列を変更します。 既定値にはアスタリスク (*) が付いています。
- 受信時間*
- 件名*
- 送信者*
- 検疫の理由* (で使用可能な値を参照してください。
フィルターの 説明。)
- リリースの状態* (で使用可能な値を参照してください。
フィルターの 説明。)
- ポリシーの種類* (で使用可能な値を参照してください。
フィルターの 説明。)
- [有効期限]*
- [受信者]
- [メッセージ ID]
- [ポリシー名]
- メッセージ サイズ
- メールの方向
- 受信者タグ
エントリをフィルター処理するには、[フィルター] を選択 します。 開いた [フィルター] ポップアップでは、次の フィルター を使用できます。
[メッセージ ID]: メッセージのグローバル一意識別子。
たとえば、 メッセージ トレース を使用してメッセージを検索し、メッセージが配信されるのではなく検疫されたと判断したとします。 山かっこ (<>) を含む可能性がある完全なメッセージ ID 値を必ず含めます。 (例:
<79239079-d95a-483a-aacf-e954f592a0f6@XYZPR00BM0200.contoso.com>
)。[送信者のアドレス]
受信者の住所
件名
受信した時間:
- 過去 24 時間
- 過去 7 日間
- 過去 14 日間
- 過去 30 日間 (既定値)
- カスタム: 開始時刻 と 終了時刻 (日付) を入力します。
期限切れ: 検疫から期限切れになったときに、メッセージをフィルター処理します。
- [今日]
- [今後 2 日間]
- [今後 7 日間]
- カスタム: 開始時刻 と 終了時刻 (日付) を入力します。
受信者タグ
[検疫の理由]:
- トランスポート ルール (メール フロー ルール)
- [バルク]
- [スパム]
- マルウェア: EOP のマルウェア対策ポリシーまたはDefender for Office 365の安全な添付ファイル ポリシー。 [ポリシーの種類] の値は、使用された機能を示します。
- フィッシング: スパム フィルター判定がフィッシング詐欺になったか、またはフィッシング対策保護によってメッセージが検疫されました (スプーフィング設定または偽装防止)。
- 高確度のフィッシング
- 管理アクション - ファイルの種類ブロック: マルウェア対策ポリシーの一般的な添付ファイル フィルターによってマルウェアとしてブロックされたメッセージ。 詳細については、「 マルウェア対策ポリシー」を参照してください。
受信者: すべてのユーザー または 自分のみ。 エンド ユーザーは、送信された検疫済みメッセージのみを管理できます。
リリースの状態: 次のいずれかの値。
- レビューが必要
- 承認済み
- 拒否された
- リリースが要求されました
- リリースされた
- リリースの準備
- Error
ポリシーの種類: ポリシーの種類でメッセージをフィルター処理します。
- マルウェア対策ポリシー
- 安全な添付ファイルに関するポリシー
- フィッシング対策ポリシー
- 迷惑メール対策ポリシー
- トランスポート ルール (メール フロー ルール)
ポリシーの種類と検疫の理由の値は相互に関連しています。 たとえば、 Bulk は常に スパム対策ポリシーに関連付けられます。 マルウェア対策ポリシーには関連付けされません。
[フィルター] ポップアップが完了したら、[適用] を選択します。 フィルターをクリアするには、[フィルターのクリア] を選択 します。
[検索] ボックスと対応する値を使用して、特定のメッセージを検索します。 ワイルドカードはサポートされていません。 次の値に基づいて検索できます。
- 送信者のメール アドレス
- 件名。 メッセージの件名全体を使用します。 検索では大文字と小文字は区別されません。
検索条件を入力したら、Enter キーを押して結果をフィルター処理します。
注:
[ 検索 ] ボックスでは、すべての検疫済みアイテムではなく、現在のビューで検疫済みアイテムが検索されます。 すべての検疫済みアイテムを検索するには、[フィルター] を使用し、それによって表示される [フィルター] ポップアップを使用します。
特定の検疫済みメッセージを見つけたら、メッセージを選択して詳細を表示し、それに対してアクションを実行します (メッセージの表示、リリース、ダウンロード、削除など)。
検疫済みメールの詳細を表示する
のMicrosoft Defender ポータルでhttps://security.microsoft.com、コラボレーション>>の [検疫>Email確認] & タブEmail移動します。または、[検疫] ページの [Email] タブに直接移動するには、 を使用https://security.microsoft.com/quarantine?viewid=Emailします。
[Email] タブで、[チェック] ボックス以外の行内の任意の場所をクリックして、検疫されたメッセージを選択します。
表示される詳細ポップアップでは、次の情報を使用できます。
- [検疫の詳細 ] セクション:
- [受信日時]: メッセージを受信した日時。
- 期限切れ: メッセージが自動的に検疫から完全に削除される日付/時刻。
- 件名
- 検疫の理由: メッセージが スパム、 一括、 フィッシングとして識別されたか、メール フロー ルール (トランスポート ルール) と一致したか、または マルウェアが含まれていると識別されたかどうかを示します。
- ポリシーの種類
- [ポリシー名]
- 受信者の数
- 受信者: メッセージに複数の受信者が含まれている場合は、 プレビュー メッセージ または メッセージ ヘッダーの表示 を使用して、受信者の完全な一覧を表示する必要がある場合があります。
- [解放済み]: メッセージが解放されたすべてのメール アドレス (ある場合)。
- 配信の詳細 セクション:
- Threats
- 配信アクション
- 元の場所
- 最新の配送場所
- 検出技術
- プライマリオーバーライド
- Emailの詳細セクション:
- 送信者の表示名
- [送信者のアドレス]
- SMTP メールの差出人アドレス
- の代わりに送信されます
- 戻りパス
- [Sender IP (送信者の IP)]
- Location
- 受信者
- 受信時間
- 方向性
- ネットワーク メッセージ ID
- インターネット メッセージ ID
- キャンペーン ID
- DMARC
- DKIM
- SPF
- 複合認証
- [URL] セクション
- [添付ファイル] セクション
メッセージに対してアクションを実行するには、次のセクションを参照してください。
ヒント
詳細ポップアップを残さずに他の検疫済みメッセージの詳細を表示するには、ポップアップの上部にある [前のアイテム] と [次の項目] を使用します。
検疫済みメールを処理する
のMicrosoft Defender ポータルでhttps://security.microsoft.com、コラボレーション>>の [検疫>Email確認] & タブEmail移動します。または、[検疫] ページの [Email] タブに直接移動するには、 を使用https://security.microsoft.com/quarantine?viewid=Emailします。
[Email] タブで、次のいずれかの方法を使用して検疫された電子メール メッセージを選択します。
最初の列の横にある [チェック] ボックスを選択して、一覧からメッセージを選択します。 使用可能なアクションが淡色表示されなくなりました。
[チェック] ボックス以外の行の任意の場所をクリックして、一覧からメッセージを選択します。 使用可能なアクションは、開いた詳細ポップアップにあります。
いずれかのメソッドを使用してメッセージを選択すると、[その他] または [その他のオプション] で
多くのアクションを使用できます。
検疫されたメッセージを選択した後、使用可能なアクションについては、次のサブセクションで説明します。
ヒント
モバイル デバイスでは、アクション エクスペリエンスが若干異なります。
検疫済みメールをリリースする
このアクションは、既にリリースされている電子メール メッセージでは使用できません ( リリース状態 の値は リリース済み)。
メッセージを解放または削除しない場合は、[ 有効期限] 列に表示された日付の後に検疫から自動的に削除されます。
- 同じ受信者にメッセージを複数回リリースすることはできません。
- リリースされたメッセージを受信する個々の元の受信者を選択すると、リリースされたメッセージをまだ受信していない受信者のみを選択できます。
- セキュリティ管理者ロール グループのメンバーは、[Microsoft にメッセージを送信する] オプションを表示して使用して、検出を改善し、[類似の属性を持つ電子メールを許可する] オプションを使用できます。
- ユーザーは、ユーザーが報告した設定の [検疫からのレポート] 設定の値に応じて、 検疫から Microsoft に誤検知を 報告できます。
ヒント
サード パーティのウイルス対策ソリューションまたはセキュリティ サービスは、検疫から解放されるメッセージに対して次の問題を引き起こす可能性があります。
- メッセージは、解放された後に検疫されます。
- 受信者の受信トレイに到達する前に、リリースされたメッセージからコンテンツが削除されます。
- リリースされたメッセージが受信者の受信トレイに届くことはありません。
- 検疫通知のアクションがランダムに選択される場合があります。
これらの問題に関するサポート チケットを開く前に、サード パーティのフィルター処理を使用していないことを確認します。
管理者は 、メッセージ トレース を使用して、リリースされたメッセージが受信者の受信トレイに配信されたかどうかを判断できます。
メッセージを選択した後、次のいずれかの方法を使用してメッセージを解放します。
- [Email] タブで、[リリース] を選択
します。
- 選択したメッセージの詳細ポップアップで、[メールのリリース] を選択
します。
開いた [ 受信者の受信トレイに電子メールをリリース する] ポップアップで、次のオプションを構成します。
以下の値のうちの一つを選択します:
- すべての受信者にリリースする
- メールの元の受信者の 1 つ以上にリリースする: 表示される [受信者] ボックスに受信者 を 入力します。
このメッセージのコピーを別の受信者に送信する: このオプションを選択した場合は、表示される [受信者] ボックスをクリックして 1 つ以上の 受信者 を選択します。
検出を改善するためにメッセージを Microsoft に送信する: このオプションを選択すると、誤って検疫されたメッセージが誤検知として Microsoft に報告されます。 分析の結果によっては、サービス全体のスパム フィルター 規則が調整され、メッセージの通過が許可される場合があります。
このオプションを選択すると、次のオプションが表示されます。
- 類似の属性を持つメールを許可する: このオプションを選択すると、送信者の テナント許可/ブロックリスト と、メッセージ内の関連する URL または添付ファイルに許可エントリが追加されます。 次のオプションも表示されます。
- 後のエントリの削除: 既定値は 30 日ですが、 1 日、 7 日、または 30 日未満の 特定の日付 を選択することもできます。
- 入力ノートを許可する: 追加情報を含む省略可能なメモを入力します。
- 類似の属性を持つメールを許可する: このオプションを選択すると、送信者の テナント許可/ブロックリスト と、メッセージ内の関連する URL または添付ファイルに許可エントリが追加されます。 次のオプションも表示されます。
[受信者の受信トレイへの電子メールのリリース] ポップアップが完了したら、[リリース メッセージ] を選択します。
[Email] タブに戻ると、メッセージの [リリース] 状態の値が [リリース] になります。
検疫済みメールのユーザーからのリリース要求を承認または拒否する
検疫ポリシーで、メッセージが検疫されたときの検疫 (アクセス許可) からのメッセージの解放を受信者に許可する代わりに、検疫からメッセージを解放することを許可する (PermissionToRequestRelease
アクセス許可) を使用した場合、ユーザーは電子メール メッセージPermissionToRelease
のリリースを要求できます。 詳細については、「Microsoft Defender ポータルで検疫ポリシーを作成する」を参照してください。
受信者が電子メール メッセージのリリースを要求すると、[ リリースの状態 ] の値 が [要求されたリリース] に変わり、管理者は要求を承認または拒否できます。
メッセージを解放または削除しない場合は、[ 有効期限] 列に表示された日付の後に検疫から自動的に削除されます。
メッセージを選択したら、次のいずれかの方法を使用して、リリース要求を承認または拒否します。
- [Email] タブで、[リリースの承認] または
[拒否] を選択
します。
- 選択したメッセージの詳細ポップアップで、[その他] を選択
し、[リリースの承認] または
[リリースの拒否] を選択します。
[リリースの承認] を選択すると、[リリースの承認] ポップアップが開き、メッセージに関する情報を確認できます。 要求を承認するには、[ リリースの承認] を選択します。 [承認されたリリース] ポップアップが開き、リンクを選択してメッセージのリリースの詳細を確認できます。 [リリースが承認された] ポップアップが完了したら、[完了] を選択します。 [Email] タブに戻ると、メッセージのリリース状態の値が [承認済み] に変わります。
[拒否] を選択すると、[リリースの拒否] ポップアップが開き、メッセージに関する情報を確認できます。 要求を拒否するには、[ リリースの拒否] を選択します。 [リリース拒否] ポップアップが開き、リンクを選択してメッセージのリリースの詳細を確認できます。 [リリースが拒否されました] ポップアップが完了したら、[完了] を選択します。 [Email] タブに戻ると、メッセージのリリース状態の値が [拒否] に変わります。
検疫からメールを削除する
検疫からメール メッセージを削除すると、メッセージは削除され、元の受信者には送信されません。
メッセージを解放または削除しない場合は、[ 有効期限] 列に表示された日付の後に検疫から自動的に削除されます。
メッセージを選択した後、次のいずれかの方法を使用して削除します。
- [Email] タブで、[検疫から削除] を選択
します。
- 選択したメッセージの詳細ポップアップで、[その他のオプション>
] [検疫から削除] を選択
します。
開いた 検疫からのメッセージの削除 (n) ポップアップで、次のいずれかの方法を使用してメッセージを削除します。
- [ 検疫からメッセージを完全に削除 する] を選択し、[削除] を選択 します。メッセージは完全に削除され、回復できません。
- [ 削除のみ] を 選択します。メッセージは削除されますが、回復可能な可能性があります。
検疫ポップアップからメッセージを削除 (n) で [削除] を選択した後、メッセージが表示されなくなった [Email] タブに戻ります。
検疫からのメールのプレビュー
メッセージを選択した後、次のいずれかの方法を使用してプレビューします。
- [Email] タブで、[プレビュー メッセージ] を選択
します。
- 選択したメッセージの詳細ポップアップで、[その他のオプション>
][プレビュー メッセージ] を選択
します。
表示されるポップアップで、次のいずれかのタブを選択します。
- [ソース]: すべてのリンクが無効になったメッセージ本文の HTML バージョンを表示します。
- [プレーン テキスト]: プレーン テキストでメッセージ本文を表示します。
電子メール メッセージ ヘッダーを表示する
メッセージを選択したら、次のいずれかの方法を使用してメッセージ ヘッダーを表示します。
- [Email] タブで、[その他の>
ビュー メッセージ ヘッダー] を選択
します。
- 選択したメッセージの詳細ポップアップで、[その他のオプション>
] [メッセージ ヘッダーの表示] を選択
します。
開いた [メッセージ ヘッダー ] ポップアップに、メッセージ ヘッダー (すべてのヘッダー フィールド) が表示されます。
[メッセージ ヘッダーのコピー] を使用して、メッセージ ヘッダーをクリップボードにコピーします。
[Microsoft Message Header Analyzer] リンクを選択して、ヘッダー フィールドと値を詳細に分析します。 [ 分析するメッセージ ヘッダーを挿入する] セクションにメッセージ ヘッダーを 貼り付けます (Ctrl キーを押しながら V キーを押すか、右クリックして [貼り付け] を選択します)。次に、[ ヘッダーの分析] を選択します。
検疫からの確認のためにメールを Microsoft に報告する
メッセージを選択した後、次のいずれかの方法を使用して、分析のためにメッセージを Microsoft に報告します。
- [Email] タブで、[その他の>
送信] を選択
して確認します。
- 選択したメッセージの詳細ポップアップで、[その他のオプション>
] [確認のために送信] を選択
します。
開いた [分析のために Microsoft に送信する] ポップアップで、次のオプションを構成します。
申請の種類を選択します。Email (既定値)、URL、または [ファイル] を選択します。
ネットワーク メッセージ ID を追加するか、メール ファイルをアップロードします。次のいずれかのオプションを選択します。
- メール ネットワーク メッセージ ID を追加する: この値は既定で選択され、対応する値がボックスに表示されます。
- メール ファイル (.msg または eml) をアップロードする: このオプションを選択した後、表示される [ファイルの参照]
ボタンを選択して、送信する .msg または .eml メッセージ ファイルを選択します。
問題が発生した受信者を選択する: メッセージの元の受信者を 1 つ (優先) 以上選択して、それらに適用されたポリシーを分析します。
Microsoft に提出する理由を選択する: 次のいずれかのオプションを選択します。
ブロックされていない (誤検知) (既定値): このオプションを選択すると、次の設定を使用できます。
- 類似の属性を持つメールを許可する: このオプションを選択すると、送信者の テナント許可/ブロックリスト と、メッセージ内の関連する URL または添付ファイルに許可エントリが追加されます。 次のオプションも表示されます。
後のエントリの削除: 既定値は 30 日ですが、 1 日、 7 日、または 30 日未満の 特定の日付 を選択することもできます。
- 入力ノートを許可する: 追加情報を含む省略可能なメモを入力します。
ブロックされている必要があります (false 負数): このオプションを選択すると、次の設定が表示されます。
- 電子メールは、[フィッシング]、[スパム]、または [スパム] の順に分類されている必要があります。
- [この送信者またはドメインのすべてのメールをブロックする]: このオプションを選択すると、 送信者 または ドメイン (選択した) のブロック エントリが [テナントの許可/ブロック] リストに追加されます。
- 後のブロック エントリの削除: 既定値は 30 日ですが、 1 日、 7 日、 90 日、 有効期限なし、または 特定の日付を選択することもできます。
- [入力をブロックするメモ]: 追加情報を含む省略可能なメモを入力します。
[分析のために Microsoft に送信] ポップアップが完了したら、[送信] を選択します。
ヒント
ユーザーは、ユーザーが報告した設定の [検疫からのレポート] 設定の値に応じて、 検疫から Microsoft に誤検知を 報告できます。
メール送信者の検疫をブロックする
[送信者のブロック] アクションは、選択したメール メッセージの送信者を 、サインインしているメールボックスの [ブロックされた送信者] リストに追加します。 通常、このアクションは 、検疫ポリシーによってエンド ユーザーが使用できる場合に使用されます。 送信者をブロックするユーザーの詳細については、「メールの送信者をブロックする」を参照してください。
メッセージを選択した後、次のいずれかの方法を使用して、メールボックスの [ブロックされた送信者] リストにメッセージ送信者 を 追加します。
- [Email] タブで、[その他の>
ブロック送信者] を選択
します。
- 選択したメッセージの詳細ポップアップで、[その他のオプション>
] [送信者のブロック] を選択
します。
開いた [ 送信者のブロック ] ポップアップで、送信者に関する情報を確認し、[ ブロック] を選択します。
ヒント
organizationは、引き続きブロックされた送信者からメールを受信できます。 送信者からのメッセージは、ユーザーの迷惑メール Email フォルダーまたは検疫に配信されます。 受信時に送信者からメッセージを削除するには、 メール フロー ルール (トランスポート ルールとも呼ばれます) を使用して メッセージをブロックします。
検疫からメールを共有する
検疫されたメール メッセージのコピー (有害な可能性のあるコンテンツを含む) を、指定された受信者に送信できます。
メッセージを選択したら、次のいずれかの方法を使用して、そのコピーを他のユーザーに送信します。
- [Email] タブで、[その他の>
共有メール] を選択
します。
- 選択したメッセージの詳細ポップアップで、[その他のオプション>
] [メールの共有] を選択
します。
開 いた [他のユーザーとメールを共有 する] ポップアップで、メッセージのコピーを受信する 1 人以上の受信者を選択します。 完了したら、[共有] を選択 します。
検疫からメールをダウンロードする
電子メール メッセージを選択した後、次のいずれかの方法を使用してダウンロードします。
- [Email] タブで、[その他の>
ダウンロード メッセージ] を選択
します。
- 選択したメッセージの詳細ポップアップで、[その他のオプション>
] [メッセージのダウンロード] を選択
します。
開いた [ ファイルのダウンロード ] ポップアップで、次の情報を入力します。
- ファイルをダウンロードする理由: 説明テキストを入力します。
- パスワードの作成 と パスワードの確認: ダウンロードしたメッセージ ファイルを開くために必要なパスワードを入力します。
[ ファイルのダウンロード ] ポップアップが完了したら、[ ダウンロード] を選択します。
ダウンロードの準備ができたら、[ 名前を付けて保存] ダイアログが開き、ダウンロードしたファイル名と場所を表示または変更できます。 既定では、.eml メッセージ ファイルは、 Quarantined Messages.zip という名前の圧縮ファイルにダウンロード フォルダーに保存されます。 .zip ファイルが既に存在する場合は、ファイル名に番号が追加されます (たとえば、検疫済みメッセージ(1).zip)。
ダウンロードしたファイルの詳細を受け入れるか変更し、[保存] を選択 します。
[ファイルの ダウンロード ] ポップアップに戻り、[完了] を選択 します。
Defender for Office 365 プラン 2 の検疫済みメール メッセージに対するアクション
Microsoft Defender for Office 365プラン 2 (アドオン ライセンスまたはMicrosoft 365 E5などのサブスクリプションに含まれる) を持つ組織では、選択したメッセージの詳細ポップアップでも次のアクションを使用できます。
電子メール エンティティを開く: 詳細については、「 電子メール エンティティの読み取り方法」ページを参照してください。
アクションの実行: このアクションは、電子メール エンティティ ページで使用できるのと同じアクション ウィザードを開始します。 詳細については、「Email エンティティ ページで実行できるアクション」を参照してください。
複数の検疫済みメール メッセージを処理する
[Email] タブで、最初の列の横にある [チェック] ボックスを選択して複数の検疫済みメッセージを選択すると、[Email] タブで次の一括アクションを使用できます (選択したメッセージの [リリース状態] の値に応じて)。
-
一括アクションに対して選択できる唯一のオプションは、このメッセージのコピーをorganization内の他の受信者に送信する方法と、検出を改善するために Microsoft にメッセージを送信する (誤検知) です。
検疫からの確認のためにメールを Microsoft に報告する
一括アクションに対して選択できる唯一のオプションは 、類似の属性を持つメールを許可 するオプションと、関連する [後の許可エントリの削除] オプションと [エントリノートを許可する ] オプションです。
検疫済みメッセージを削除したユーザーを検索する
既定では、多くのセキュリティ ポリシー判定により、ユーザーは検疫されたメッセージ (受信者であるメッセージ) を削除できます。 詳細については、「 検疫されたメッセージとファイルをユーザーとして管理する」の表を参照してください。
管理者は、次の手順を使用して、監査ログを検索して、検疫から削除されたメッセージのイベントを検索できます。
の Defender ポータルで https://security.microsoft.com、[監査] に移動 します。 または、[監査] ページに直接移動するには、https://security.microsoft.com/auditlogsearch を使用します。
ヒント
Microsoft Purview コンプライアンス ポータルの [監査] ページにアクセスすることもできます。https://compliance.microsoft.com/auditlogsearch
[ 監査 ] ページで、[ 新しい検索 ] タブが選択されていることを確認し、次の設定を構成します。
- 日付と時刻の範囲 (UTC)
- アクティビティ - フレンドリ名: ボックス内をクリックし、表示される検索ボックスに
「検疫」と入力し、結果から [削除済み検疫メッセージ] を選択します。
- ユーザー: 検疫からメッセージを削除したユーザーがわかっている場合は、ユーザーによって結果をさらにフィルター処理できます。
検索条件の入力が完了したら、[ 検索 ] を選択して検索を生成します。
監査ログ検索の詳細な手順については、「 新しい検索の監査」を参照してください。
Microsoft Defender ポータルを使用して、Defender for Office 365で検疫されたファイルを管理する
注:
このセクションの検疫済みファイルの手順は、Microsoft Defender for Office 365 プラン 1サブスクライバーまたはプラン 2 サブスクライバーのみが使用できます。
SharePoint または OneDrive で検疫されたファイルは 30 日後に削除されますが、ブロックされたファイルは SharePoint または OneDrive のブロックされた状態のままです。
Defender for Office 365を持つ組織では、管理者は SharePoint、OneDrive、および Microsoft Teams の安全な添付ファイルによって検疫されたファイルを管理できます。 これらのファイルの保護を有効にするには、「 SharePoint、OneDrive、Microsoft Teams の安全な添付ファイルを有効にする」を参照してください。
検疫済みファイルを表示する
のMicrosoft Defender ポータルでhttps://security.microsoft.com、コラボレーション>の [検疫>ファイルの確認] タブEmail&移動します。>または、[検疫] ページの [ファイル] タブに直接移動するには、 を使用https://security.microsoft.com/quarantine?viewid=Filesします。
[ファイル] タブでは、[リストの間隔をコンパクトまたは標準に変更] をクリックし、[コンパクト リスト] を選択することで、リストの垂直方向の間隔を
小さくできます。
使用可能な列ヘッダーをクリックすると、エントリを並べ替えることができます。 [列のカスタマイズ] を選択して、表示される列を変更します。 既定値にはアスタリスク (*) が付いています。
- User*
- 場所*: 値は SharePoint または OneDrive です。
- 添付ファイル名*
- ファイル URL*
- ファイル サイズ
- リリース状態*
- [有効期限]*
- によって検出される
- 時間によって変更
エントリをフィルター処理するには、[フィルター] を選択 します。 開いた [フィルター] ポップアップでは、次の フィルター を使用できます。
- 受信した時間:
- 過去 24 時間
- 過去 7 日間
- 過去 14 日間
- 過去 30 日間 (既定値)
- カスタム: 開始時刻 と 終了時刻 (日付) を入力します。
- 有効期限:
- カスタム (既定値): 開始時刻 と 終了時刻 (日付) を入力します。
- [今日]
- [今後 2 日間]
- [今後 7 日間]
- 検疫の理由: 使用可能な値は マルウェアのみです。
- ポリシーの種類: 使用可能な値は 不明のみです。
[フィルター] ポップアップが完了したら、[適用] を選択します。 フィルターをクリアするには、[フィルターのクリア] を選択 します。
[検索] ボックスと対応する値を使用して、ファイル名で特定のファイルを検索します。 ワイルドカードはサポートされていません。
検索条件を入力したら、Enter キーを押して結果をフィルター処理します。
特定の検疫済みファイルを見つけたら、そのファイルを選択して詳細を表示し、そのファイルに対してアクションを実行します (ファイルの表示、リリース、ダウンロード、削除など)。
検疫されたファイルの詳細を表示する
のMicrosoft Defender ポータルでhttps://security.microsoft.com、コラボレーション>の [検疫>ファイルの確認] タブEmail&移動します。>または、[検疫] ページの [ファイル] タブに直接移動するには、 を使用https://security.microsoft.com/quarantine?viewid=Filesします。
[ファイル] タブで、[チェック] ボックス以外の行内の任意の場所をクリックして、検疫されたファイルを選択します。
表示される詳細ポップアップでは、次の情報を使用できます。
- [ファイルの詳細 ] セクション:
- File Name/ファイル名
- ファイル URL: ファイルの場所を定義する URL (SharePoint Online など)。
- 悪意のあるコンテンツが検出されました ファイルが検疫された日付/時刻。
- 期限切れ: ファイルが検疫から削除される日付。
- によって検出される
- リリース。
- マルウェア名
- ドキュメント ID: ドキュメントの一意の識別子。
- ファイル サイズ
- 組織organizationの一意の ID。
- 最終更新日時
- 最終更新日: ファイルを最後に変更したユーザー。
- セキュリティで保護されたハッシュ アルゴリズム 256 ビット (SHA-256) 値: このハッシュ値を使用して、他の評判ストアまたは環境内の他の場所にあるファイルを識別できます。
ファイルに対してアクションを実行するには、次のセクションを参照してください。
ヒント
詳細ポップアップを残さずに他の検疫済みファイルの詳細を表示するには、ポップアップの上部にある [前の項目] と [次へ] 項目を使用します。
検疫されたファイルに対してアクションを実行する
のMicrosoft Defender ポータルでhttps://security.microsoft.com、コラボレーション>の [検疫>ファイルの確認] タブEmail&移動します。>または、[検疫] ページの [ファイル] タブに直接移動するには、 を使用https://security.microsoft.com/quarantine?viewid=Filesします。
[ファイル] タブで、[チェック] ボックス以外の行内の任意の場所をクリックして、検疫されたファイルを選択します。
検疫されたファイルを選択した後、開くファイルの詳細ポップアップで使用可能なアクションについては、次のサブセクションで説明します。
検疫されたファイルを検疫から解放する
このアクションは、既にリリースされているファイルでは使用できません ([ リリース済み] 状態 の値は [リリース済み] )。
検疫からファイルを解放または削除しない場合、既定の検疫保持期間の期限が切れた後 ( [有効期限] 列に示すように) ファイルは検疫から削除されますが、ブロックされたファイルは SharePoint または OneDrive のブロック状態のままです。
ファイルを選択した後、開いたファイルの詳細ポップアップで [リリース ファイル] を選択します。
[リリース ファイル] で、開いた Microsoft ポップアップにレポート し、[分析用にファイルを Microsoft に報告 する] セクションでファイルの詳細を表示し、[ 分析のためにファイルを Microsoft に報告する] を選択するかどうかを決定し、[ リリース] を選択します。
開 いた [ファイルがリリースされました ] ポップアップで、[完了] を選択 します。
ファイルの詳細ポップアップに戻り、[ 閉じる] を選択します。
[ ファイル ] タブに戻ると、ファイルの [リリース] 状態 の値が [リリース] になります。
検疫済みファイルを検疫からダウンロードする
ファイルを選択した後、開いた詳細ポップアップで [ファイルのダウンロード] を選択します。
開いた [ ファイルのダウンロード ] ポップアップで、次の情報を入力します。
- ファイルをダウンロードする理由: 説明テキストを入力します。
- パスワードの作成 と パスワードの確認: ダウンロードしたファイルを開くために必要なパスワードを入力します。
[ ファイルのダウンロード ] ポップアップが完了したら、[ ダウンロード] を選択します。
ダウンロードの準備ができたら、[ 名前を付けて保存] ダイアログが開き、ダウンロードしたファイル名と場所を表示または変更できます。 既定では、ファイルは、 Quarantined Messages.zip という名前の圧縮ファイルにダウンロード フォルダーに保存されます。 .zip ファイルが既に存在する場合は、ファイル名に番号が追加されます (たとえば、検疫済みメッセージ(1).zip)。
ダウンロードしたファイルの詳細を受け入れるか変更し、[保存] を選択 します。
[ファイルの ダウンロード ] ポップアップに戻り、[完了] を選択 します。
検疫済みファイルを検疫から削除する
検疫からファイルを解放または削除しない場合、既定の検疫保持期間の期限が切れた後 ( [有効期限] 列に示すように) ファイルは検疫から削除されますが、ブロックされたファイルは SharePoint または OneDrive のブロック状態のままです。
ファイルを選択した後、開いた詳細ポップアップで [検疫からその他>の削除] を選択
します。
開いた警告ダイアログで [ 続行] を選択します。
[ ファイル ] タブに戻ると、ファイルは一覧に表示されなくなります。
検疫された複数のファイルに対してアクションを実行する
[ファイル] タブで、最初の列 (最大 100 ファイル) の横にある [チェック] ボックスを選択して複数の検疫済みファイルを選択すると、[一括操作] ドロップダウン リストが表示され、次のアクションを実行できます。
Microsoft Defender ポータルを使用して Microsoft Teams 検疫済みメッセージを管理する
Microsoft Teams での検疫は、Microsoft Defender for Office 365 プラン 2 (アドオン ライセンスまたは Microsoft 365 E5 などのサブスクリプションに含まれる) を持つ組織でのみ使用できます。
Microsoft Teams で悪意のある可能性のあるチャット メッセージが検出されると、0 時間の自動消去 (ZAP) によってメッセージが削除され、検疫されます。 管理者は、これらの検疫された Teams メッセージを表示および管理できます。 メッセージは 30 日間検疫されます。 その後、Teams メッセージは完全に削除されます。
この機能は既定で有効になっています。
Microsoft Teams で検疫済みメッセージを表示する
のMicrosoft Defender ポータルでhttps://security.microsoft.com、コラボレーション>Email &[検疫>チームのメッセージの確認>] タブに移動します。または、[検疫] ページの [Teams メッセージ] タブに直接移動するには、 を使用https://security.microsoft.com/quarantine?viewid=Teamsします。
[Teams メッセージ] タブで、[リストの間隔をコンパクトまたは標準に変更] をクリックし、[コンパクト リスト] を選択することで、リストの垂直方向の間隔を
小さくできます。
使用可能な列ヘッダーをクリックすると、エントリを並べ替えることができます。 [列のカスタマイズ] を選択して、表示される列を変更します。 既定値にはアスタリスク (*) が付いています。
- Teams メッセージ テキスト: Teams メッセージの件名が含まれます。*
- 受信時刻: 受信者がメッセージを受信した時刻。*
- リリースの状態: メッセージが既にレビューされ、リリースされているか、レビューが必要かを示します。 *
- 参加者: メッセージを受信したユーザーの合計数。*
- 送信者: 検疫されたメッセージを送信したユーザー。*
- 検疫の理由: 使用可能なオプションは、"高信頼フィッシング" と "マルウェア" です。*
- ポリシーの種類: 検疫されたメッセージを担当するorganization ポリシー。*
- [有効期限]: メッセージが検疫から削除される時間を示します。 既定では、この値は 30 日です。*
- 受信者アドレス: Email受信者のアドレス。*
- メッセージ ID: チャット メッセージ ID が含まれます。
エントリをフィルター処理するには、[フィルター] を選択 します。 開いた [フィルター] ポップアップでは、次の フィルター を使用できます。
- [メッセージ ID]
- [送信者のアドレス]
- 受信者の住所
- 件名
- 受信した時間:
- 過去 24 時間
- 過去 7 日間
- 過去 14 日間
- 過去 30 日間 (既定値)
- カスタム: 開始時刻 と 終了時刻 (日付) を入力します。
- 有効期限:
- カスタム (既定値): 開始時刻 と 終了時刻 (日付) を入力します。
- [今日]
- [今後 2 日間]
- [今後 7 日間]
- 検疫の理由: 使用可能な値は 、マルウェア と 信頼度の高いフィッシングです。
- 受信者: [ すべてのユーザー ] または [ 自分のみ] を選択します。
- レビューの状態: [ 確認が必要] と [ リリース済み] を選択します。
[フィルター] ポップアップが完了したら、[適用] を選択します。 フィルターをクリアするには、[フィルターのクリア] を選択 します。
[検索] ボックスと対応する値を使用して、特定の Teams メッセージを検索します。 ワイルドカードはサポートされていません。
特定の検疫された Teams メッセージを見つけたら、メッセージを選択して詳細を表示し、それに対してアクションを実行します (メッセージの表示、リリース、ダウンロード、削除など)。
Microsoft Teams で検疫済みメッセージの詳細を表示する
のMicrosoft Defender ポータルでhttps://security.microsoft.com、コラボレーション>Email &[検疫>チームのメッセージの確認>] タブに移動します。または、[検疫] ページの [Teams メッセージ] タブに直接移動するには、 を使用https://security.microsoft.com/quarantine?viewid=Teamsします。
[Teams メッセージ] タブで、[チェック] ボックス以外の行内の任意の場所をクリックして、検疫されたメッセージを選択します。
表示される詳細ポップアップでは、次の情報を使用できます。
- [検疫の詳細 ] セクション: 検疫の理由、有効期限、検疫ポリシーの種類、その他の情報が含まれます。
- [メッセージの詳細 ] セクション: 主要な脅威の理由、送信されたメッセージの日時、および送信者アドレスが含まれます。 また、Teams メッセージ ID と検出テクノロジも含まれます。
- [送信者] セクション: 送信者名、ドメインの場所、送信者がorganizationの外部からのものであるかどうかが含まれます。
- [参加者 ] セクション: 同じメッセージを受信したすべてのユーザーの名前と電子メール ID。
- [URL] セクション: チャット メッセージで検出された悪意のある URL の詳細が含まれます。
メッセージに対してアクションを実行するには、次のセクションを参照してください。
ヒント
詳細ポップアップを残さずに他の検疫済みメッセージの詳細を表示するには、ポップアップの上部にある [前のアイテム] と [次の項目] を使用します。
Microsoft Teams で検疫されたメッセージに対してアクションを実行する
のMicrosoft Defender ポータルでhttps://security.microsoft.com、コラボレーション>Email &[検疫>チームのメッセージの確認>] タブに移動します。または、[検疫] ページの [Teams メッセージ] タブに直接移動するには、 を使用https://security.microsoft.com/quarantine?viewid=Teamsします。
[ Teams メッセージ ] タブで、次のいずれかの方法を使用して検疫されたメッセージを選択します。
最初の列の横にある [チェック] ボックスを選択して、一覧からメッセージを選択します。 使用可能なアクションが淡色表示されなくなりました。
[チェック] ボックス以外の行の任意の場所をクリックして、一覧からメッセージを選択します。 使用可能なアクションは、開いた詳細ポップアップにあります。
いずれかのメソッドを使用してメッセージを選択すると、[その他] で
一部のアクションを使用できます。
検疫されたメッセージを選択した後、使用可能なアクションについては、次のサブセクションで説明します。
検疫された Teams メッセージを解放する
このアクションは、既にリリースされている Teams メッセージでは使用できません ( リリース状態 の値は リリース済み)。
メッセージを解放または削除しない場合は、[ 有効期限] 列に表示された日付の後に検疫から自動的に削除されます。
メッセージを選択した後、次のいずれかの方法を使用してメッセージを解放します。
- [Teams メッセージ] タブで、[リリース] を選択
します。
- 選択したメッセージの詳細ポップアップで、[リリース] を選択
します。
開いた [すべてのチャット参加者へのリリース ] ポップアップで、[ Microsoft にメッセージを送信して検出を改善する (誤検知)] を選択するかどうかを決定し、[ リリース] を選択します。
検疫から Teams メッセージを削除する
Teams メッセージを解放または削除しない場合は、[ 有効期限] 列に表示された日付の後に検疫から自動的に削除されます。
Teams メッセージを選択したら、次のいずれかの方法を使用して削除します。
- [Teams メッセージ] タブ: [メッセージの削除] を選択
します。
- 選択したメッセージの詳細ポップアップで、[その他のオプション>
] [検疫から削除] を選択
します。
開いた警告ダイアログで、情報を読み取り、[ 続行] を選択します。
[Teams メッセージ] タブに戻ると、メッセージは一覧に表示されなくなります。
検疫からの Teams メッセージのプレビュー
Teams メッセージを選択したら、次のいずれかの方法を使用してプレビューします。
- [Teams メッセージ] タブ: [プレビュー メッセージ] を選択
します。
- 選択したメッセージの詳細ポップアップで、[プレビュー メッセージ] を選択
します。
表示されるポップアップで、次のいずれかのタブを選択します。
- [ソース]: すべてのリンクが無効になったメッセージ本文の HTML バージョンを表示します。
- [プレーン テキスト]: プレーン テキストでメッセージ本文を表示します。
検疫から確認するために Teams メッセージを Microsoft に報告する
メッセージを選択した後、次のいずれかの方法を使用して、分析のためにメッセージを Microsoft に報告します。
- [Teams メッセージ] タブ: [その他の>
送信] を選択
して確認します。
- 選択したメッセージの詳細ポップアップで、[その他のオプション>
] [確認のために送信] を選択
します。
[ メッセージの送信] を選択すると、分析のためにメッセージが Microsoft に送信されます。 [OK] を選択した [送信済みアイテム] ダイアログが表示されます。
検疫から Teams メッセージをダウンロードする
Teams メッセージを選択した後、次のいずれかの方法を使用してダウンロードします。
- [Teams メッセージ] タブ: [その他の>
メッセージのダウンロード] を選択
します。
- 選択したメッセージの詳細ポップアップで、[その他のオプション>
] [メッセージのダウンロード] を選択
します。
開いた [ メッセージのダウンロード ] ポップアップで、次の情報を入力します。
- ファイルをダウンロードする理由: 説明テキストを入力します。
- パスワードの作成 と パスワードの確認: ダウンロードしたメッセージ ファイルを開くために必要なパスワードを入力します。
[ ファイルのダウンロード ] ポップアップが完了したら、[ ダウンロード] を選択します。
既定では、.html メッセージ ファイルは、検疫済み Messages.zip という名前の圧縮ファイルに ダウンロード フォルダーに保存されます。 .zip ファイルが既に存在する場合は、ファイル名に番号が追加されます (たとえば、検疫済みメッセージ(1).zip)。
[メッセージの ダウンロード ] ポップアップに戻り、[完了] を選択 します。
検疫された複数の Teams メッセージに対してアクションを実行する
[Teams メッセージ] タブで、最初の列の横にある [チェック] ボックスを選択して複数の検疫済みメッセージを選択すると、[Teams メッセージ] タブで次の一括アクションを使用できます。
- 検疫された Teams メッセージを解放する
- 検疫から Teams メッセージを削除する
- 検疫から確認するために Teams メッセージを Microsoft に報告する
- 検疫から Teams メッセージをダウンロードする
検疫された Teams メッセージに対するユーザーからのリリース要求を承認または拒否する
ユーザーが検疫された Teams メッセージのリリースを要求すると、[ リリースの状態 ] の値 が [要求されたリリース] に変わり、管理者は要求を承認または拒否できます。
詳細については、「 ユーザーからのリリース要求を承認または拒否する」を参照してください。
Exchange Online PowerShell またはスタンドアロン EOP PowerShell を使用して検疫されたメッセージを管理する
検疫内のメッセージとファイルを表示および管理するために使用するコマンドレットについては、このセクションで説明します。
- Delete-QuarantineMessage
- Export-QuarantineMessage
- Get-QuarantineMessage
- Preview-QuarantineMessage: このコマンドレットは、検疫されたファイルではなく、メッセージ専用です。
- Release-QuarantineMessage