EOP の管理者として検疫済みメッセージとファイルを管理する
ヒント
Office 365プラン2のMicrosoft 365 Defenderの機能を無料で試すことができることをご存知でしたか? Microsoft 365 Defender ポータル試用版ハブで 90 日間のDefender for Office 365試用版を使用します。 サインアップできるユーザーと試用版の条件については、 こちらを参照してください。
適用対象
Exchange Online のメールボックスを使用している Microsoft 365 組織または Exchange Online のメールボックスを使用していないスタンドアロンの Exchange Online Protection (EOP) 組織では、危険な可能性があるメッセージまたは不要なメッセージは検疫済みメッセージとして保留されます。 詳細については、「 EOP で検疫された電子メール メッセージ」を参照してください。
管理者は、すべてのユーザーのすべての種類の検疫済みメッセージを表示、解放、削除できます。 管理者は、誤検知を Microsoft に報告することもできます。
既定では、管理者のみが、マルウェア、高信頼フィッシング、またはメール フロー ルール (トランスポート ルールとも呼ばれます) の結果として検疫されたメッセージを管理できます。 ただし、管理者は 検疫ポリシー を使用して、メッセージが検疫された理由 (サポートされている機能) に基づいて、検疫されたメッセージに対してユーザーが実行できる操作を定義できます。 詳細については、「検疫ポリシー」を参照してください。
Microsoft Defender for Office 365を持つ組織の管理者は、SharePoint、OneDrive、および Microsoft Teams の安全な添付ファイルによって検疫されたファイルを管理することもできます。
検疫されたメッセージは、Microsoft 365 Defender ポータルまたは PowerShell で表示および管理します (Exchange Onlineにメールボックスがある Microsoft 365 組織の PowerShell Exchange Online、メールボックス Exchange Onlineのない組織のスタンドアロン EOP PowerShell)。
管理者として検疫されたメッセージを管理する方法については、この短いビデオをご覧ください。
はじめに把握しておくべき情報
Microsoft 365 Defender ポータルを開くには、https://security.microsoft.com にアクセスします。 "検疫" ページに直接移動するには、https://security.microsoft.com/quarantine を使用します。
Exchange Online PowerShell へ接続するには、「Exchange Online PowerShell に接続する」を参照してください。 スタンドアロンの EOP PowerShell に接続するには、「Exchange Online Protection PowerShell への接続」を参照してください。
この記事の手順を実行するには、アクセス許可を割り当てる必要があります。 以下のオプションがあります。
- Microsoft 365 Defenderロールベースのアクセス制御 (RBAC): セキュリティ データ/電子メール検疫 (管理) (PowerShell による管理)。 現在、このオプションには、Microsoft 365 Defender プレビュー プログラムのメンバーシップが必要です。
- EXCHANGE ONLINE RBAC:
- すべてのユーザーに対して検疫されたメッセージに対してアクションを実行する: Organization Management、 Security Administrator、または 検疫管理者 の役割グループのメンバーシップ。
- 検疫から Microsoft にメッセージを送信する: セキュリティ管理者 ロール グループのメンバーシップ。
- すべてのユーザーの検疫されたメッセージへの読み取り専用アクセス: グローバル閲覧者、 セキュリティ閲覧者、または 表示専用組織管理 ロール グループのメンバーシップ。
- & Microsoft 365 Defender ポータルでコラボレーション RBAC をEmailする: 検疫管理者ロール グループのメンバーシップ。 PowerShell で検疫手順Exchange Online行うには、RBAC の検疫管理役割グループExchange Onlineメンバーシップも必要です。
- Azure AD RBAC: グローバル管理者、 セキュリティ管理者、 グローバル 閲覧者、または セキュリティ閲覧者 ロールのメンバーシップは、Microsoft 365 の他の機能に必要なアクセス許可 と アクセス許可をユーザーに付与します。
検疫されたメッセージは、検疫された理由に基づいて既定の期間保持されます。 保持期間の有効期限が切れると、メッセージは自動的に削除され、回復できません。 詳細については、「EOP とDefender for Office 365の検疫済みメール メッセージ」を参照してください。
Microsoft 365 Defender ポータルを使用して検疫済みメール メッセージを管理する
検疫済みメールを表示する
のMicrosoft 365 Defender ポータルでhttps://security.microsoft.com、[Email コラボレーションの検疫の確認] に&移動します。>> "検疫" ページに直接移動するには、https://security.microsoft.com/quarantine を使用します。
[検疫] ページで、[Email] タブが選択されていることを確認します。
使用できる列見出しをクリックすると、結果を並べ替えることができます。 [
表示される列 を変更するために列をカスタマイズします。 既定値にはアスタリスク (*) が付いています。
- 受信時間*
- 件名*
- 送信者*
- [検疫の理由]*
- リリース状態*
- ポリシーの種類*
- [有効期限]*
- [受信者]
- [メッセージ ID]
- [ポリシー名]
- メッセージ サイズ
- メールの方向
- 受信者タグ
完了したら、[適用] をクリックします。
結果をフィルター処理するには、[
をクリックします。フィルター。 次のフィルターは、表示されるフィルター ポップアップで使用できます。
[メッセージ ID]: メッセージのグローバル一意識別子。
たとえば、 メッセージ トレース を使用して、組織内のユーザーに送信されたメッセージを検索し、メッセージが配信されるのではなく検疫されたと判断したとします。 山かっこ (<>) を含む可能性がある完全なメッセージ ID 値を必ず含めます。 (例:
<79239079-d95a-483a-aacf-e954f592a0f6@XYZPR00BM0200.contoso.com>
)。[送信者のアドレス]
受信者の住所
件名
受信した時間:
- 過去 24 時間
- 過去 7 日間
- 過去 14 日間
- 過去 30 日間
- カスタム: 開始時刻 と 終了時刻 (日付) を入力します。
[期限切れ日時]: 検疫の期限が切れるタイミングでメッセージをフィルター処理します。
- [今日]
- [今後 2 日間]
- [今後 7 日間]
- カスタム: 開始時刻 と 終了時刻 (日付) を入力します。
受信者タグ
[検疫の理由]:
受信者: すべてのユーザー または 自分のみ。 エンド ユーザーは、送信された検疫済みメッセージのみを管理できます。
リリースの状態: 次のいずれかの値。
- レビューが必要
- 承認済み
- 拒否された
- リリースが要求されました
- リリースされた
- リリースの準備
- エラー
ポリシーの種類: 次のポリシーの種類ごとに、メッセージをフィルター処理します。
- マルウェア対策ポリシー
- 安全な添付ファイルに関するポリシー
- フィッシング対策ポリシー
- 迷惑メール対策ポリシー
- トランスポート ルール (メール フロー ルール)
- データ損失防止ルール
完了したら、[適用] をクリックします。 フィルターをクリアするには、[
をクリックします。フィルターをクリアします。
[ 検索 ] ボックスと対応する値を使用して、特定のメッセージを検索します。 ワイルドカードはサポートされていません。 次の値に基づいて検索できます。
- 送信者のメール アドレス
- 件名。 メッセージの件名全体を使用します。 この検索では大文字と小文字は区別されません。
検索条件を入力したら、Enter キーを押して結果をフィルター処理します。
注:
メインの [検疫] ページ内の [検索] ボックスでは、すべての検疫済みアイテムからではなく、現在のビュー内の検疫済みアイテムのみから検索されます。 すべての検疫済みアイテムを検索するには、[フィルター] を使用し、それによって表示される [フィルター] ポップアップを使用します。
特定の検疫済みメッセージを見つけたら、そのメッセージを選択して詳細を表示し、処理を実行します (メッセージの表示、解放、ダウンロード、または削除など)。
検疫済みメッセージの詳細を表示する
一覧から検疫済みメッセージを選択すると、表示される詳細ポップアップに次の情報が表示されます。
- [メッセージ ID]: メッセージのグローバル一意識別子。 メッセージ ヘッダーの [Message-ID ヘッダー] フィールドで使用できます。
- [送信者のアドレス]
- [受信日時]: メッセージを受信した日時。
- [件名]
- 検疫の理由: メッセージが スパム、 一括、 フィッシングとして識別されたか、メール フロー ルール (トランスポート ルール) と一致したか、または マルウェアが含まれていると識別されたかどうかを示します。
- ポリシーの種類
- [ポリシー名]
- 受信者の数
- [受信者]: メッセージに複数の受信者が含まれている場合は、[メッセージのプレビュー] か [メッセージ ヘッダーを表示] をクリックして受信者の完全な一覧を表示する必要があります。
- 受信者タグ: 詳細については、「Microsoft Defender for Office 365のユーザー タグ」を参照してください。
- [有効期限]: 検疫からメッセージが自動的に完全に削除される日時。
- [解放済み]: メッセージが解放されたすべてのメール アドレス (ある場合)。
- [未解放]: メッセージがまだ解放されていないすべてのメール アドレス (ある場合)。
メッセージに対してアクションを実行するには、次のセクションを参照してください。
検疫済みメールを処理する
一覧から検疫済みメッセージを選択すると、詳細ポップアップで次のアクションを使用できます。
リリース メール*: 表示されるポップアップ ウィンドウで、次のオプションを構成します。
[送信者を組織の許可リストに追加する]: 送信者からのメッセージが検疫されないようにするには、このオプションを選択します。
次のいずれかのオプションを選択します。
- すべての受信者にリリースする
- 特定の受信者にリリースする: 表示される [受信者] ボックスで 受信者 を選択します
このメッセージのコピーを他の受信者に送信する: このオプションを選択し、表示される [受信者] ボックスに受信者 の メール アドレスを入力します。
注:
メッセージのコピーを他の受信者に送信するには、メッセージを元の受信者の少なくとも 1 つ解放する必要もあります ([ すべての受信者にリリース ] または [特定の受信者 にリリース] を選択します)。
検出 (誤検知) を改善するためにメッセージを Microsoft に送信する: このオプションは既定で選択され、誤って検疫されたメッセージが誤検知として Microsoft に報告されます。 メッセージがスパム、一括、フィッシング、またはマルウェアを含むとして検疫された場合、メッセージは Microsoft スパム分析チームにも報告されます。 分析の結果によっては、サービス全体のスパム フィルター 規則が調整され、メッセージの通過が許可される場合があります。
このようなメッセージを許可する: このオプションは既定でオフになっています (
)。 同様の URL、添付ファイル、その他のプロパティを含むメッセージが検疫されないようにするには、オン (
) します。 このオプションをオンにすると、次のオプションを使用できます。
- 削除後: このようなメッセージを許可する期間を選択します。 [1 日から 30 日] を選択します。 既定値は 30 です。
- 省略可能な注: 許可の便利な説明を入力します。
完了したら、[ リリース メッセージ] をクリックします。
メッセージのリリースに関する注意事項:
- 同じ受信者にメッセージを複数回リリースすることはできません。
- メッセージを受信していない受信者のみが、潜在的な受信者の一覧に表示されます。
- セキュリティ管理者ロール グループのメンバーのみが、[Microsoft にメッセージを送信する] を表示して使用して、検出 (誤検知) と [このオプションのようなメッセージを許可する] を改善できます。
メールの共有: 表示されるポップアップで、1 人以上の受信者を追加してメッセージのコピーを受信します。 完了したら、[ 共有] をクリックします。
[その他のアクション] アイコンをクリックすると、次使用できます。その他のアクション:
メッセージ ヘッダーの表示: メッセージ ヘッダー テキストを表示するには、このリンクを選択します。 メッセージ ヘッダーポップアップは、次のリンクと共に表示されます。
- メッセージ ヘッダーのコピー: メッセージ ヘッダー (すべてのヘッダー フィールド) をクリップボードにコピーするには、このリンクをクリックします。
- Microsoft Message Header Analyzer: ヘッダー フィールドと値を詳細に分析するには、このリンクをクリックしてメッセージ ヘッダー アナライザーに移動します。 [分析するメッセージ ヘッダーを挿入] セクションにメッセージ ヘッダーを貼り付けて、 (Ctrl + V キーを押すか、右クリックして [貼り付け] を選択します)、それから[ヘッダーの分析]をクリックします。
プレビュー メッセージ: 表示されるポップアップで、次のいずれかのタブを選択します。
- [ソース]: すべてのリンクが無効になったメッセージ本文の HTML バージョンを表示します。
- [プレーン テキスト]: プレーン テキストでメッセージ本文を表示します。
検疫から削除する: メッセージは削除され、元の受信者には送信されません。 メッセージの削除方法は、開くポップアップの選択内容によって異なります。
- [ 検疫からメッセージを完全に削除 する] を選択し、[ 削除] をクリックします。メッセージは完全に削除され、回復できません。
- [ 削除 のみ] をクリックします。メッセージは削除されますが、回復可能な可能性があります。
電子メールのダウンロード: 表示されるポップアップで、次の設定を構成します。
- ファイルをダウンロードする理由: 説明テキストを入力します。
- パスワードの作成 と パスワードの確認: ダウンロードしたメッセージ ファイルを開くために必要なパスワードを入力します。
完了したら、[ ダウンロード] をクリックし、[ 完了] をクリックしてメッセージのローカル コピーを保存します。 .eml メッセージ ファイルは、 Quarantined Messages.zip という名前の圧縮ファイルでダウンロード フォルダーに保存されます。 .zip ファイルが既に存在する場合は、ファイル名に番号が追加されます (たとえば、検疫済みメッセージ(1).zip)。
送信者のブロック: メールボックスの [ブロックされた送信者] リストに送信者 を 追加します。 詳細については、「メール送信者をブロックする」を参照してください。
送信のみ: 分析のためにメッセージを Microsoft に報告します。 表示されるポップアップで、次のオプションを選択します。
- 申請の種類として、Email (既定値)、URL、または [ファイル] を選択します。
- ネットワーク メッセージ ID を追加するか、メール ファイルをアップロードします。次のいずれかのオプションを選択します。
- メール ネットワーク メッセージ ID を追加 します (既定では、対応する値がボックスに表示されます)
- メール ファイル (.msg または eml) をアップロードする: [ ファイルの参照 ] をクリックして、送信する .msg または .eml メッセージ ファイルを見つけて選択します。
- 問題が発生した受信者を選択する: メッセージの元の受信者を 1 つ (優先) 以上選択して、それらに適用されたポリシーを分析します。
- Microsoft に提出する理由を選択する: 次のいずれかのオプションを選択します。
- ブロックされていない (誤検知) (既定値): 次のオプションを使用できます。
- このようなメッセージを許可する: このオプションは既定でオフになっています (
)。 同様の URL、添付ファイル、その他のプロパティを含むメッセージが検疫されないようにするには、オン (
) します。 このオプションをオンにすると、次のオプションを使用できます。
- 削除後: このようなメッセージを許可する期間を選択します。 [1 日から 30 日] を選択します。 既定値は 30 です。
- 省略可能な注: 許可の便利な説明を入力します。
- このようなメッセージを許可する: このオプションは既定でオフになっています (
- ブロックされている必要があります (false 負)。
- ブロックされていない (誤検知) (既定値): 次のオプションを使用できます。
完了したら、[送信] をクリックします。
* このオプションは、既に解放されているメッセージでは使用できません ([リリース済み] 状態の値は [リリース済み])。
メッセージを解放も削除もしないと、既定の検疫保持期間が経過した後に削除されます(Expires 列に表示されているように)。
注:
モバイル デバイスでは、説明テキストはアクション アイコン用に使用できません。
アイコンの順序と対応する説明を次の表にまとめます。
アイコン | 説明 |
---|---|
![]() |
メールを解放する |
![]() |
メールを共有する |
![]() |
メッセージ ヘッダーを表示する |
![]() |
メッセージのプレビュー |
![]() |
検疫から削除する |
![]() |
電子メールをダウンロードする |
![]() |
差出人をブロックする |
![]() |
送信のみ |
複数の検疫済みメール メッセージを処理する
最初の列の左側にある空のチェック ボックスをクリックして、一覧で複数の検疫済みメッセージ (最大 100 個) を選択すると、選択したメッセージに対して次のアクションを実行できます。
リリース: すべての受信者にメッセージをリリースします。 表示されるポップアップで、1 つのメッセージをリリースする場合と同じ次のオプションを選択できます。
- 組織の許可リストに送信者を追加する
- このメッセージのコピーを他の受信者に送信する
- 検出を改善するためにメッセージを Microsoft に送信する (誤検知)
- 次のようなメッセージを許可します。
- 削除後: 1 日 から 30 日
- 省略可能なメモ
完了したら、[ リリース メッセージ] をクリックします。
注:
次のシナリオを考えてみましょう。 john@gmail.com と john@subsidiary.contoso.comにメッセージをfaith@contoso.com送信します。 Gmail では、このメッセージが 2 つのコピーに分割され、どちらも Microsoft のフィッシングとして検疫にルーティングされます。 管理者は、これらのメッセージの両方を にリリースします admin@contoso.com。 管理者メールボックスに到達する最初のリリースされたメッセージが配信されます。 2 番目にリリースされたメッセージは重複配信として識別され、スキップされます。 メッセージが同じメッセージ ID を持ち、受信時刻が同じ場合、メッセージは重複として識別されます。
検疫から削除: メッセージは削除され、元の受信者には送信されません。 メッセージの削除方法は、開くポップアップの選択内容によって異なります。
- [ 検疫からメッセージを完全に削除 する] を選択し、[ 削除] をクリックします。メッセージは完全に削除され、回復できません。
- [ 削除 のみ] をクリックします。メッセージは削除されますが、回復可能な可能性があります。
...[その他の>
確認のために送信します。
...その他の>
メッセージのダウンロード
Microsoft 365 Defender ポータルを使用して、Defender for Office 365で検疫されたファイルを管理する
注:
このセクションの検疫済みファイルの手順は、Microsoft Defender for Office 365 プラン 1サブスクライバーまたはプラン 2 サブスクライバーのみが使用できます。
Defender for Office 365を持つ組織では、管理者は SharePoint、OneDrive、および Microsoft Teams の安全な添付ファイルによって検疫されたファイルを管理できます。 これらのファイルの保護を有効にするには、「 SharePoint、OneDrive、Microsoft Teams の安全な添付ファイルを有効にする」を参照してください。
注:
SharePoint または OneDrive で検疫されたファイルは 30 日後に削除されますが、ブロックされたファイルは SharePoint または OneDrive のブロックされた状態のままです。
検疫済みファイルを表示する
のMicrosoft 365 Defender ポータルでhttps://security.microsoft.com、[Email コラボレーションの検疫の確認] に&移動します。>> "検疫" ページに直接移動するには、https://security.microsoft.com/quarantine を使用します。
[検疫] ページで、[ファイル] タブ (既定のタブEmail) を選択します。
使用できる列見出しをクリックすると、結果を並べ替えることができます。 [ 列のカスタマイズ ] をクリックして、表示される列を変更します。 既定の列にはアスタリスク (*) が付いています。
- User*
- 場所*
- 添付ファイル名*
- ファイル URL*
- ファイル サイズ
- リリース状態*
- [有効期限]*
- によって検出される
- 時間によって変更
完了したら、[ 適用 ] または [キャンセル] をクリックします。
結果をフィルター処理するには、[フィルター] をクリックします。 次のフィルターは、表示されるフィルター ポップアップで使用できます。
- 受信時刻: 開始時刻 と 終了時刻 (日付)。
- 有効期限: 開始時刻 と 終了時刻 (日付)。
- 検疫の理由: 使用可能な値は マルウェアのみです。
- ポリシーの種類
完了したら、[ 適用 ] または [キャンセル] をクリックします。
特定の検疫済みファイルを見つけたら、そのファイルを選択して詳細を表示し、そのファイルに対してアクションを実行します (ファイルの表示、リリース、ダウンロード、削除など)。
検疫されたファイルの詳細を表示する
一覧から検疫済みファイルを選択すると、開く詳細ポップアップに次の情報が表示されます。
- File Name/ファイル名
- ファイル URL: ファイルの場所を定義する URL (SharePoint Online など)。
- 悪意のあるコンテンツが検出されました ファイルが検疫された日付/時刻。
- 期限切れ: ファイルが検疫から削除される日付。
- によって検出される
- リリース。
- マルウェア名
- ドキュメント ID: ドキュメントの一意の識別子。
- ファイル サイズ: キロバイト単位 (KB)。
- 組織 組織の一意の ID。
- 最終更新日時
- 変更元: ファイルを最後に変更したユーザー。
- セキュリティで保護されたハッシュ アルゴリズム 256 ビット (SHA-256) 値: このハッシュ値を使用して、他の評判ストアまたは環境内の他の場所にあるファイルを識別できます。
ファイルに対してアクションを実行するには、次のセクションを参照してください。
検疫されたファイルに対してアクションを実行する
一覧から検疫されたファイルを選択すると、詳細ポップアップで次のアクションを使用できます。
リリース ファイル*: 表示されるポップアップ ウィンドウで、 分析のために Microsoft へのレポート ファイルをオンまたはオフにし、[ リリース] をクリックします。
ファイルのダウンロード: 表示されるポップアップで、[ このファイルのダウンロードによるリスクを把握しています] を選択し、[ ダウンロード ] をクリックしてファイルのローカル コピーを保存します。
検疫から削除する: 表示される警告で [ はい ] をクリックすると、ファイルはすぐに削除されます。
送信者のブロック: メールボックスの [ブロックされた送信者] リストに送信者 を 追加します。 詳細については、「メール送信者をブロックする」を参照してください。
* このオプションは、既にリリースされているファイルでは使用できません ([ リリース済み] ステータス 値は [リリース済み] )。
ファイルを解放または削除しない場合は、既定の検疫保持期間の期限が切れた後に削除されます ([ 有効期限 ] 列に示すように)。
検疫された複数のファイルに対してアクションを実行する
[件名] 列の左側にある空白領域をクリックして、一覧で複数の検疫済みファイル (最大 100 個) を選択すると、[一括操作] ドロップダウン リストが表示され、次のアクションを実行できます。
リリース ファイル: 表示されるポップアップ ウィンドウで、 分析のために Microsoft へのレポート ファイルをオンまたはオフにし、[ リリース] をクリックします。
検疫から削除する: 表示される警告で [ はい ] をクリックすると、ファイルはすぐに削除されます。
ファイルのダウンロード: 表示されるポップアップで、[ このファイルのダウンロードによるリスクを把握しています] を選択し、[ ダウンロード ] をクリックしてファイルのローカル コピーを保存します。
Exchange Online PowerShell またはスタンドアロン EOP PowerShell を使用して、検疫されたメッセージとファイルを表示および管理する
検疫でメッセージとファイルを表示および管理するために使用するコマンドレットについては、次の一覧で説明します。
- Delete-QuarantineMessage
- Export-QuarantineMessage
- Get-QuarantineMessage
- Preview-QuarantineMessage: このコマンドレットはメッセージ専用であり、SharePoint、OneDrive、Microsoft Teams の安全な添付ファイルから検疫されたファイルではないことに注意してください。
- Release-QuarantineMessage