Zarządzaj wiadomościami i plikami poddanymi kwarantannie jako administrator
Porada
Czy wiesz, że możesz bezpłatnie wypróbować funkcje w Microsoft Defender XDR Office 365 planie 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami wersji próbnej w witrynie Try Ochrona usługi Office 365 w usłudze Microsoft Defender.
W organizacjach platformy Microsoft 365 ze skrzynkami pocztowymi w Exchange Online lub microsoft teams lub w autonomicznych organizacjach Exchange Online Protection (EOP) bez Exchange Online skrzynek pocztowych lub aplikacji Teams kwarantanna zawiera potencjalnie niebezpieczne lub niechciane wiadomości wykryte przez funkcję EOP i Ochrona usługi Office 365 w usłudze Defender.
Administratorzy mogą wyświetlać, zwalniać i usuwać wszystkie typy komunikatów i plików objętych kwarantanną dla wszystkich użytkowników.
Administratorzy w organizacjach z Ochrona usługi Office 365 w usłudze Microsoft Defender mogą również zarządzać plikami, które zostały poddane kwarantannie przez bezpieczne załączniki dla komunikatów programu SharePoint, OneDrive, Microsoft Teams i Microsoft Teams, które zostały poddane kwarantannie przez automatyczne przeczyszczanie o wartości zero godzin (ZAP).
Użytkownicy mogą zarządzać większością wiadomości e-mail objętych kwarantanną na podstawie zasad kwarantanny dla obsługiwanych funkcji ochrony poczty e-mail. Aby uzyskać więcej informacji na temat zasad kwarantanny, zobacz Anatomia zasad kwarantanny.
Administratorzy, a także użytkownicy (w zależności od ustawień zgłoszonych przez użytkownika w organizacji) mogą zgłaszać firmie Microsoft wyniki fałszywie dodatnie z kwarantanny.
Komunikaty poddane kwarantannie są wyświetlane w portalu Microsoft Defender lub w programie PowerShell (Exchange Online programu PowerShell dla organizacji platformy Microsoft 365 ze skrzynkami pocztowymi w Exchange Online; autonomicznym programem PowerShell EOP dla organizacji bez Exchange Online skrzynek pocztowych).
Obejrzyj ten krótki film wideo, aby dowiedzieć się, jak zarządzać komunikatami poddanymi kwarantannie jako administrator.
Porada
Jako towarzysz tego artykułu zapoznaj się z naszym przewodnikiem po konfiguracji Ochrona usługi Office 365 w usłudze Microsoft Defender, aby zapoznać się z najlepszymi rozwiązaniami i chronić przed zagrożeniami dotyczącymi poczty e-mail, linków i współpracy. Funkcje obejmują bezpieczne linki, bezpieczne załączniki i inne. Aby dostosować środowisko oparte na środowisku, możesz uzyskać dostęp do przewodnika Ochrona usługi Office 365 w usłudze Microsoft Defender automatycznej konfiguracji w Centrum administracyjne platformy Microsoft 365.
Co należy wiedzieć przed rozpoczęciem?
Aby otworzyć portal Microsoft Defender, przejdź do strony https://security.microsoft.com. Aby przejść bezpośrednio do strony Kwarantanna , użyj polecenia https://security.microsoft.com/quarantine.
Aby nawiązać połączenie z programem Exchange Online programu PowerShell, zobacz Łączenie z programem PowerShell Exchange Online. Aby nawiązać połączenie z autonomicznym programem PowerShell EOP, zobacz Connect to Exchange Online Protection PowerShell (Nawiązywanie połączenia z programem PowerShell).
Aby można było wykonać procedury opisane w tym artykule, musisz mieć przypisane uprawnienia. Masz następujące możliwości:
-
Microsoft Defender XDR ujednolicona kontrola dostępu oparta na rolach (RBAC) (jeśli Email & współpracy>Ochrona usługi Office 365 w usłudze Defender uprawnienia to Aktywne. Dotyczy tylko portalu usługi Defender, a nie programu PowerShell):
- Podejmij akcję w przypadku komunikatów poddanych kwarantannie dla wszystkich użytkowników: Operacje zabezpieczeń / Dane zabezpieczeń / Email & kwarantanna współpracy (zarządzanie).
- Dostęp tylko do odczytu do komunikatów poddanych kwarantannie dla wszystkich użytkowników: operacje zabezpieczeń / Dane zabezpieczeń / Podstawy danych zabezpieczeń (odczyt).
-
Email & uprawnienia do współpracy w portalu Microsoft Defender:
-
Wykonaj akcję w przypadku komunikatów objętych kwarantanną dla wszystkich użytkowników: członkostwo w grupach ról Administrator kwarantanny, Administrator zabezpieczeń lub Zarządzanie organizacją .
- Przesyłanie komunikatów z kwarantanny do firmy Microsoft: członkostwo w grupach ról administratora zabezpieczeń .
- Użyj opcji Blokuj nadawcę , aby dodać nadawców do własnej listy zablokowanych nadawców: Administratorzy widzą pozycję Blokuj nadawcę tylko wtedy, gdy filtrują wyniki kwarantanny według adresata>Tylko ja zamiast wartości domyślnej Wszyscy użytkownicy. Przypisanie wszelkich uprawnień, które zapewniają administratorowi dostęp do kwarantanny (na przykład Czytelnik zabezpieczeń lub Czytelnik globalny) daje dostęp do pozycji Blokuj nadawcę w kwarantannie, jeśli użytkownik filtruje wyniki kwarantanny tylko dla>mnie.
- Dostęp tylko do odczytu do komunikatów objętych kwarantanną dla wszystkich użytkowników: członkostwo w grupach ról Czytelnik zabezpieczeń lub Czytelnik globalny .
-
Wykonaj akcję w przypadku komunikatów objętych kwarantanną dla wszystkich użytkowników: członkostwo w grupach ról Administrator kwarantanny, Administrator zabezpieczeń lub Zarządzanie organizacją .
-
uprawnienia Microsoft Entra: Członkostwo w tych rolach daje użytkownikom wymagane uprawnienia i uprawnienia do innych funkcji w usłudze Microsoft 365:
Wykonaj akcję w przypadku komunikatów poddanych kwarantannie dla wszystkich użytkowników: członkostwo w rolach administratora zabezpieczeń lub administratora* globalnego.
Ważna
* Firma Microsoft zaleca używanie ról z najmniejszą liczbą uprawnień. Korzystanie z kont o niższych uprawnieniach pomaga zwiększyć bezpieczeństwo organizacji. Administrator globalny to rola o wysokim poziomie uprawnień, która powinna być ograniczona do scenariuszy awaryjnych, gdy nie można użyć istniejącej roli.
- Przesyłanie komunikatów z kwarantanny do firmy Microsoft: członkostwo w roli administratora zabezpieczeń .
- Użyj opcji Blokuj nadawcę , aby dodać nadawców do własnej listy zablokowanych nadawców: Administratorzy widzą pozycję Blokuj nadawcę tylko wtedy, gdy filtrują wyniki kwarantanny według adresata>Tylko ja zamiast wartości domyślnej Wszyscy użytkownicy. Przypisanie wszelkich uprawnień, które zapewniają administratorowi dostęp do kwarantanny (na przykład Czytelnik zabezpieczeń lub Czytelnik globalny) daje dostęp do pozycji Blokuj nadawcę w kwarantannie, jeśli użytkownik filtruje wyniki kwarantanny tylko dla>mnie.
Dostęp tylko do odczytu do komunikatów objętych kwarantanną dla wszystkich użytkowników: członkostwo w rolach Czytelnik globalny lub Czytelnik zabezpieczeń .
Porada
Możliwość zarządzania komunikatami poddanymi kwarantannie przy użyciu uprawnień Exchange Online zakończyła się w lutym 2023 r. na MC447339.
Administratorzy gości z innych organizacji nie mogą zarządzać komunikatami poddanymi kwarantannie. Administrator musi znajdować się w tej samej organizacji co adresaci.
-
Microsoft Defender XDR ujednolicona kontrola dostępu oparta na rolach (RBAC) (jeśli Email & współpracy>Ochrona usługi Office 365 w usłudze Defender uprawnienia to Aktywne. Dotyczy tylko portalu usługi Defender, a nie programu PowerShell):
Komunikaty i pliki poddane kwarantannie są przechowywane przez domyślny okres w zależności od tego, dlaczego zostały poddane kwarantannie. Po upływie okresu przechowywania komunikaty są automatycznie usuwane i nie można ich odzyskać. Aby uzyskać więcej informacji, zobacz Przechowywanie kwarantanny.
Aby uzyskać informacje o kolejności pierwszeństwa dla użytkowników zezwala i blokuje i organizacji zezwala i blokuje, zobacz Konflikt ustawień użytkownika i dzierżawy.
Wszystkie akcje podejmowane przez administratorów lub użytkowników w komunikatach poddanych kwarantannie są poddawane inspekcji. Aby uzyskać więcej informacji na temat zdarzeń kwarantanny poddanej inspekcji, zobacz Schemat kwarantanny w interfejsie API zarządzania Office 365.
Zarządzanie wiadomościami e-mail z kwarantanną za pomocą portalu Microsoft Defender
Wyświetlanie wiadomości e-mail z kwarantanną
W portalu Microsoft Defender pod adresem https://security.microsoft.comprzejdź do karty Email & collaboration>Review>Kwarantanna>Email. Możesz też przejść bezpośrednio do karty Email na stronie Kwarantanna, użyj polecenia https://security.microsoft.com/quarantine?viewid=Email.
Domyślnie tylko pierwsze 100 wpisów jest wyświetlanych do momentu przewinięcia w dół listy, co spowoduje załadowanie większej liczby wyników.
Na karcie Email możesz zmniejszyć odstępy w pionie na liście, klikając pozycję Zmień odstępy między listami do kompaktowych lub normalnych, a następnie wybierając pozycję Lista kompaktowa.
Wpisy można sortować, klikając dostępny nagłówek kolumny. Wybierz pozycję Dostosuj kolumny , aby zmienić wyświetlane kolumny. Wartości domyślne są oznaczone gwiazdką (*):
Odebrany czas*
Temat*
Nadawca*
Przyczyna* kwarantanny (zobacz możliwe wartości w Opis filtru ).
Stan* wydania (zobacz możliwe wartości w Opis filtru ).
Typ* zasad (zobacz możliwe wartości w Opis filtru ).
Wygasa*
Adresat: adres e-mail odbiorcy zawsze jest rozpoznawana jako podstawowy adres e-mail, nawet jeśli wiadomość została wysłana na adres proxy.
Przyczyna *zastąpienia adresu nadawcy: jedna z następujących wartości:
- Brak
- Nadawca wiadomości jest blokowany przez ustawienia adresata
- Nadawca komunikatów jest blokowany przez ustawienia administratora
Porada
Jeśli nadawca jest zablokowany i wybrano opcję Nie pokazuj zablokowanych nadawców (ustawienie domyślne), komunikaty od tych nadawców są wyświetlane na stronie Kwarantanna i są uwzględniane w powiadomieniach o kwarantannie, gdy wartość przyczyny adresu nadawcy to Brak. To zachowanie występuje, ponieważ komunikaty zostały zablokowane z przyczyn innych niż przesłonięcia adresów nadawcy.
Wydana przez*
Identyfikator komunikatu
Nazwa zasad
Rozmiar komunikatu
Kierunek wysyłki
Tag adresata
Aby filtrować wpisy, wybierz pozycję Filtruj. W wyświetlonym okienku wysuwowym Filtry są dostępne następujące filtry :
Identyfikator komunikatu: unikatowy globalnie identyfikator komunikatu.
Na przykład użyto śledzenia komunikatów w celu wyszukania komunikatu i określono, że wiadomość została poddana kwarantannie, a nie dostarczona. Pamiętaj, aby uwzględnić pełną wartość identyfikatora komunikatu, która może zawierać nawiasy kątowe (<>). Przykład:
<79239079-d95a-483a-aacf-e954f592a0f6@XYZPR00BM0200.contoso.com>
.Adres nadawcy
Adres odbiorcy
Temat
Odebrany czas: wybierz jedną z następujących wartości:
- Ostatnie 24 godziny
- Ostatnie 7 dni (wartość domyślna)
- Ostatnie 14 dni
- Ostatnie 30 dni
- Niestandardowe: wprowadź godzinę rozpoczęcia i godzinę zakończenia (data).
Wygasa: filtruj komunikaty według czasu wygaśnięcia kwarantanny. Wybierz jedną z następujących wartości:
- Dzisiaj
- Następne 2 dni
- Następne 7 dni
- Niestandardowe: wprowadź godzinę rozpoczęcia i godzinę zakończenia (data).
Tag adresata: obecnie jedynym wybranym tagiem użytkownika jest konto priorytetowe.
Przyczyna kwarantanny: wybierz co najmniej jedną z następujących wartości:
- Reguła transportu (reguła przepływu poczty)
- Wielkość
- Spam
- Ochrona przed utratą danych
- Złośliwe oprogramowanie: zasady ochrony przed złośliwym oprogramowaniem w zasadach EOP lub Bezpieczne załączniki w Ochrona usługi Office 365 w usłudze Defender. Wartość Typ zasad wskazuje, która funkcja została użyta.
- akcja Administracja — blok typów plików: komunikaty zablokowane jako złośliwe oprogramowanie przez wspólny filtr załączników w zasadach ochrony przed złośliwym oprogramowaniem. Aby uzyskać więcej informacji, zobacz Zasady ochrony przed złośliwym oprogramowaniem.
- Wyłudzanie informacji: werdykt filtru spamu polegał na tym, że ochrona przed wyłudzaniem informacji lub ochrona przed wyłudzaniem informacji została poddana kwarantannie (ustawienia fałszowania lub ochrona przed personifikacją).
- Wyłudzanie informacji o dużej pewności
Adresat: wybierz jedną z następujących wartości:
- Wszyscy użytkownicy (jest to wartość domyślna, nawet jeśli nie jest wyświetlana wybrana)
- Tylko ja: pokaż tylko wiadomości, w których ktokolwiek jest zalogowany, jest adresatem. Ta wartość jest wymagana, aby administratorzy widzieli akcje Zezwalaj nadawcy i Blokuj nadawcę .
Zablokowany nadawca: Jedna z następujących wartości:
- Nie pokazuj zablokowanych nadawców (wartość domyślna )
- Pokaż wszystkich nadawców
Porada
Jeśli nadawca jest zablokowany i wybrano opcję Nie pokazuj zablokowanych nadawców , komunikaty od tych nadawców są wyświetlane na stronie Kwarantanna i są uwzględniane w powiadomieniach o kwarantannie, gdy wartość przyczyny adresu nadawcy to Brak. To zachowanie występuje, ponieważ komunikaty zostały zablokowane z przyczyn innych niż przesłonięcia adresów nadawcy.
Stan wydania: wybierz co najmniej jedną z następujących wartości
- Przegląd potrzeb
- Zatwierdzony
- Odmówiony
- Zażądano wydania
- Wydany
Typ zasad: filtruj komunikaty według typu zasad ochrony, które zostały poddane kwarantannie. Wybierz co najmniej jedną z następujących wartości:
- Zasady ochrony przed złośliwym oprogramowaniem
- Zasady bezpiecznych załączników
- Zasady ochrony przed wyłudzaniem informacji
- Zasady ochrony przed spamem
- Reguła transportu (reguła przepływu poczty)
- Reguła zapobiegania utracie danych
Wartości typów zasad i przyczyn kwarantanny są ze sobą powiązane. Na przykład zbiorcze jest zawsze skojarzone z zasadami ochrony przed spamem, nigdy z zasadami ochrony przed złośliwym oprogramowaniem.
Po zakończeniu pracy z wysuwem Filtry wybierz pozycję Zastosuj. Aby wyczyścić filtry, wybierz pozycję Wyczyść filtry.
Porada
Filtry są buforowane. Filtry z ostatnich sesji są domyślnie wybierane przy następnym otwarciu strony Kwarantanna . To zachowanie pomaga w przeprowadzaniu operacji klasyfikacji.
Użyj pola Wyszukiwania i odpowiedniej wartości, aby znaleźć określone komunikaty. Symbole wieloznaczne nie są obsługiwane. Możesz wyszukiwać następujące wartości:
- Adres e-mail nadawcy
- Temat. Użyj całego tematu wiadomości. Wyszukiwanie nie uwzględnia wielkości liter.
Po wprowadzeniu kryteriów wyszukiwania naciśnij Enter, aby odfiltrować wyniki.
Uwaga
Pole Wyszukiwania wyszukuje elementy poddane kwarantannie w bieżącym widoku (który jest ograniczony do 100 elementów), a nie wszystkie elementy poddane kwarantannie. Aby przeszukać wszystkie elementy poddane kwarantannie, użyj filtru i wysuwanego wynikowego filtru.
Po znalezieniu określonego komunikatu poddanej kwarantannie wybierz komunikat, aby wyświetlić szczegółowe informacje na jego temat i podjąć działania w tej sprawie (na przykład wyświetl, zwolnij, pobierz lub usuń komunikat).
Wyświetlanie szczegółów wiadomości e-mail z kwarantanną
W portalu Microsoft Defender pod adresem https://security.microsoft.comprzejdź do karty Email & collaboration>Review>Kwarantanna>Email. Możesz też przejść bezpośrednio do karty Email na stronie Kwarantanna, użyj polecenia https://security.microsoft.com/quarantine?viewid=Email.
Na karcie Email wybierz komunikat poddany kwarantannie, klikając dowolne miejsce w wierszu innym niż pole wyboru.
W wyświetlonym oknie wysuwowym szczegółów dostępne są następujące informacje:
Porada
Akcje dostępne w górnej części wysuwanego okienka opisano w temacie Podjęcie akcji w wiadomości e-mail poddanej kwarantannie.
Aby wyświetlić szczegóły dotyczące innych komunikatów poddanych kwarantannie bez opuszczania wysuwanego szczegółów, użyj pozycji Poprzedni element i Następny element w górnej części wysuwanego elementu.
- Sekcja szczegółów kwarantanny:
Odebrano: data/godzina odebrania komunikatu.
Wygasa: data/godzina automatycznego i trwałego usunięcia komunikatu z kwarantanny.
Temat
Przyczyna kwarantanny: pokazuje, czy wiadomość została zidentyfikowana jako spam, zbiorcza, phish, dopasowana do reguły przepływu poczty (reguła transportu) lub została zidentyfikowana jako zawierająca złośliwe oprogramowanie.
Typ zasad
Nazwa zasad
Liczba adresatów
Adresaci: jeśli wiadomość zawiera wielu adresatów, możesz wyświetlić pełną listę adresatów za pomocą wiadomości w wersji zapoznawczej lub nagłówka wyświetlenia wiadomości .
Adresy e-mail adresatów zawsze rozpoznają podstawowy adres e-mail, nawet jeśli wiadomość została wysłana na adres proxy.
W zależności od stanu komunikatu może być dostępna co najmniej jedna z następujących wartości:
- Nie została jeszcze wydana dla: Email adresy adresatów, dla których wiadomość nie została wydana.
- Wydano dla: Email adresów adresatów, dla których wiadomość została wydana.
-
Wydana przez: administrator, który wydał komunikat w formacie:
<email address of admin who released the message> released for <recipient>
. Na przykładadmin@contoso.onmicrosoft.com released to laura@contoso.onmicrosoft.com
. Jeśli użytkownik końcowy wyda komunikat, zostanie wyświetlony adres SMTP użytkownika końcowego. Jeśli wydanie zostanie przeprowadzone przez system, zostanie ono opisane jako "System zwolniony". Jeśli wydanie nie jest przenoszone przez administratora, użytkownika końcowego lub system, domyślnie "Administracja".
Pozostałe wysuwane szczegóły zawierają sekcje Szczegóły dostarczania, Email szczegóły, adresy URL i załączniki, które są częścią panelu podsumowania Email. Aby uzyskać więcej informacji, zobacz Panel podsumowania Email.
Aby wykonać akcję w komunikacie, zobacz następną sekcję.
Porada
Aby wyświetlić szczegóły dotyczące innych komunikatów poddanych kwarantannie bez opuszczania wysuwanego szczegółów, użyj pozycji Poprzedni element i Następny element w górnej części wysuwanego elementu.
Podjęcie akcji w wiadomości e-mail poddanej kwarantannie
W portalu Microsoft Defender pod adresem https://security.microsoft.comprzejdź do karty Email & collaboration>Review>Kwarantanna>Email. Możesz też przejść bezpośrednio do karty Email na stronie Kwarantanna, użyj polecenia https://security.microsoft.com/quarantine?viewid=Email.
Na karcie Email wybierz wiadomość e-mail z kwarantanną przy użyciu jednej z następujących metod:
Wybierz wiadomość z listy, zaznaczając pole wyboru obok pierwszej kolumny. Dostępne akcje nie są już wyszarzone.
Wybierz wiadomość z listy, klikając dowolne miejsce w wierszu innym niż pole wyboru. Dostępne akcje znajdują się w wyświetlonym wysuwie szczegółów.
Korzystając z dowolnej metody do wybrania komunikatu, wiele akcji jest dostępnych w obszarze Więcej lub Więcej opcji.
Po wybraniu komunikatu poddanej kwarantannie dostępne akcje są opisane w poniższych podsekcjach.
Porada
Na urządzeniach przenośnych środowisko akcji jest nieco inne:
Po wybraniu komunikatu przez zaznaczenie pola wyboru wszystkie akcje znajdują się w obszarze Więcej:
Po wybraniu wiadomości, klikając dowolne miejsce w wierszu innym niż pole wyboru, tekst opisu nie jest dostępny na niektórych ikonach akcji w wysuwanym oknie szczegółów. Ale akcje i ich kolejność są takie same jak na komputerze:
Wiadomość e-mail z kwarantanną wydania
Ta akcja nie jest dostępna w przypadku wiadomości e-mail, które zostały już wydane (wartość Stan wydania to Wydano).
Jeśli nie wydasz lub nie usuniesz komunikatu, zostanie on automatycznie usunięty z kwarantanny po dacie pokazanej w kolumnie Wygasa .
- Nie można zwolnić wiadomości do tego samego adresata więcej niż raz.
- Po wybraniu poszczególnych oryginalnych adresatów, którzy mają otrzymać wydaną wiadomość, możesz wybrać tylko adresatów, którzy nie otrzymali jeszcze wydanej wiadomości.
- Członkowie grupy ról Administratorzy zabezpieczeń mogą wyświetlać i używać opcji Prześlij wiadomość do firmy Microsoft, aby ulepszyć wykrywanie i zezwalać na pocztę e-mail z podobnymi opcjami atrybutów .
- Użytkownicy mogą zgłaszać firmie Microsoft wyniki fałszywie dodatnie z kwarantanny, w zależności od wartości ustawienia Raportowanie z kwarantanny w ustawieniach zgłoszonych przez użytkownika.
Porada
Rozwiązania antywirusowe innych firm, usługi zabezpieczeń i łączniki wychodzące mogą powodować następujące problemy w przypadku komunikatów zwolnionych z kwarantanny:
- Komunikat jest poddawany kwarantannie po wydaniu.
- Zawartość jest usuwana z wydanej wiadomości, zanim dotrze do skrzynki odbiorczej.
- Wydana wiadomość nigdy nie dociera do skrzynki odbiorczej odbiorcy.
- Akcje w powiadomieniach o kwarantannie mogą być wybierane losowo.
Przed otwarciem biletu pomocy technicznej dotyczącego tych problemów sprawdź, czy nie używasz filtrowania innych firm.
Reguły skrzynki odbiorczej (utworzone przez użytkowników w programie Outlook lub przez administratorów przy użyciu poleceń cmdlet *-InboxRule w programie Exchange Online programu PowerShell) mogą przenosić lub usuwać komunikaty ze skrzynki odbiorczej.
Administratorzy mogą użyć śledzenia komunikatów , aby określić, czy wydana wiadomość została dostarczona do skrzynki odbiorczej odbiorcy.
Wybranie pozycji Przenieś do folderu> skrzynkipocztowej Skrzynka odbiorcza w wiadomościach poddanych kwarantannie w sekcji Wykonywanie akcji z innych funkcji Ochrona usługi Office 365 w usłudze Defender (na przykład Eksplorator (Eksplorator zagrożeń) lub strona jednostki Email) umożliwia również zwolnienie komunikatów z kwarantanny. Aby uzyskać więcej informacji, zobacz Wyszukiwanie zagrożeń: Kreator akcji Take.
Po wybraniu komunikatu użyj jednej z następujących metod, aby go zwolnić:
- Na karcie Email: wybierz pozycję Zwolnij.
- W wysuwu szczegółów wybranej wiadomości: wybierz pozycję Zwolnij wiadomość e-mail.
W wyświetlonym wysuwu Release email to recipient inboxes (Wysyłanie wiadomości e-mail do adresatów ) skonfiguruj następujące opcje:
Wybierz jedną z następujących wartości:
- Wydanie dla wszystkich adresatów
- Zwolnij co najmniej jednego z pierwotnych adresatów wiadomości e-mail: wprowadź adresatów w wyświetlonym polu Adresaci .
Wyślij kopię tej wiadomości do innego adresata: jeśli wybierzesz tę opcję, wybierz co najmniej jednego adresata, klikając wyświetlone pole Adresaci .
Prześlij wiadomość do firmy Microsoft, aby poprawić wykrywanie: jeśli wybierzesz tę opcję, błędna wiadomość poddana kwarantannie zostanie zgłoszona firmie Microsoft jako fałszywie dodatnia. W zależności od wyników ich analizy reguły filtru spamu w całej usłudze mogą zostać dostosowane, aby umożliwić wysyłanie wiadomości.
Wybranie tej opcji spowoduje wyświetlenie następujących opcji:
-
Zezwalaj na ten komunikat: jeśli wybierzesz tę opcję, wpisy zezwalania zostaną dodane do listy dozwolonych/zablokowanych dzierżaw dla nadawcy oraz wszelkich powiązanych adresów URL lub załączników w wiadomości. Zostaną również wyświetlone następujące opcje:
- Usuń wpis po: wartość domyślna to 30 dni, ale możesz również wybrać 1 dzień, 7 dni lub określoną datę , która jest mniejsza niż 30 dni.
- Uwaga dotycząca pozycji Zezwalaj: wprowadź opcjonalną notatkę zawierającą dodatkowe informacje.
-
Zezwalaj na ten komunikat: jeśli wybierzesz tę opcję, wpisy zezwalania zostaną dodane do listy dozwolonych/zablokowanych dzierżaw dla nadawcy oraz wszelkich powiązanych adresów URL lub załączników w wiadomości. Zostaną również wyświetlone następujące opcje:
Po zakończeniu wysuwanego komunikatu Release email to recipient inboxes (Wydanie wiadomości e-mail do skrzynki odbiorczej) wybierz pozycję Komunikat o wersji.
Po powrocie na kartę Email wartość Stan wydania komunikatu to Wydano.
Zatwierdzanie lub odrzucanie żądań wydania od użytkowników w przypadku wiadomości e-mail objętych kwarantanną
Użytkownicy mogą zażądać wydania wiadomości e-mail, jeśli w zasadach kwarantanny użyto opcji Zezwalaj adresatom na żądanie zwolnienia wiadomości z kwarantanny (PermissionToRequestRelease
uprawnienia) zamiast zezwalać adresatom na zwolnienie wiadomości z kwarantanny (PermissionToRelease
uprawnienie) podczas kwarantanny komunikatu. Aby uzyskać więcej informacji, zobacz Tworzenie zasad kwarantanny w portalu Microsoft Defender.
Gdy adresat zażąda wydania wiadomości e-mail, wartość stanu wydania zmieni się na Żądana wersja, a administrator może zatwierdzić lub odrzucić żądanie.
Porada
Może zostać utworzony jeden alert umożliwiający wydanie komunikatu dla wielu żądań wydania dla tej wiadomości. Użyj linku kwarantanny w sekcji Szczegóły komunikatu alertu, aby podjąć działania dotyczące żądania wydania od użytkowników w organizacji w ciągu ostatnich 7 dni.
Jeśli nie wydasz lub nie usuniesz komunikatu, zostanie on automatycznie usunięty z kwarantanny po dacie pokazanej w kolumnie Wygasa .
Po wybraniu komunikatu użyj jednej z następujących metod, aby zatwierdzić lub odrzucić żądanie wydania:
- Na karcie Email: wybierz pozycję Zatwierdź wydanie lub Odmów.
- W wysuwu szczegółów wybranego komunikatu: wybierz pozycję Więcej , a następnie wybierz pozycję Zatwierdź wydanie lub Odmów wydanie.
Jeśli wybierzesz pozycję Zatwierdź wydanie, zostanie otwarte okno wysuwane Zatwierdzanie wydania , w którym można przejrzeć informacje o komunikacie. Aby zatwierdzić żądanie, wybierz pozycję Zatwierdź wydanie. Zostanie otwarte okno wysuwane zatwierdzone przez wydanie, w którym możesz wybrać link, aby dowiedzieć się więcej na temat wydawania komunikatów. Wybierz pozycję Gotowe po zakończeniu wysuwanego wydania zatwierdzonego . Po powrocie na kartę Email wartość Stan wydania komunikatu zmieni się na Zatwierdzono.
Jeśli wybierzesz opcję Odmów, zostanie otwarty wysuwany komunikat Odmowa wydania , w którym można przejrzeć informacje o komunikacie. Aby odrzucić żądanie, wybierz pozycję Odmów wydania. Zostanie otwarte okno wysuwane Odmowa wydania , w którym możesz wybrać link, aby dowiedzieć się więcej na temat wydawania komunikatów. Wybierz pozycję Gotowe , gdy skończysz na wysuwie Odmowa wydania . Po powrocie na kartę Email wartość Stan wydania komunikatu zmieni się na Odmowa.
Porada
Można odmówić wydania tylko dla wszystkich adresatów. Nie można odmówić wydania dla określonych adresatów.
Usuwanie wiadomości e-mail z kwarantanny
Po usunięciu wiadomości e-mail z kwarantanny wiadomość zostanie usunięta i nie zostanie wysłana do oryginalnych adresatów.
Jeśli nie wydasz lub nie usuniesz komunikatu, zostanie on automatycznie usunięty z kwarantanny po dacie pokazanej w kolumnie Wygasa .
Po wybraniu komunikatu użyj jednej z następujących metod, aby go usunąć:
- Na karcie Email: wybierz pozycję Usuń z kwarantanny.
- W wysuwaniu szczegółów wybranego komunikatu: Wybierz więcej opcji>Usuń z kwarantanny.
W wyświetlonym wysuwaniu Usuń (n) komunikatów z kwarantanny użyj jednej z następujących metod, aby usunąć komunikat:
- Wybierz pozycję Trwale usuń komunikat z kwarantanny, a następnie wybierz pozycję Usuń: komunikat został trwale usunięty i nie można go odzyskać.
- Wybierz pozycję Usuń tylko: komunikat został usunięty, ale potencjalnie można go odzyskać.
Po wybraniu pozycji Usuń na wysuwanym Usuń (n) komunikaty z kwarantanny wrócisz do karty Email, na której komunikat nie jest już wyświetlany.
Podgląd wiadomości e-mail z kwarantanny
Po wybraniu komunikatu użyj jednej z następujących metod, aby wyświetlić jej podgląd:
- Na karcie Email: wybierz pozycję Podgląd komunikatu.
- W wysuwu szczegółów wybranego komunikatu: Wybierz więcej opcji>w wersji zapoznawczej komunikatu.
W wyświetlonym wysuwie wybierz jedną z następujących kart:
- Źródło: pokazuje wersję HTML treści komunikatu z wyłączonymi wszystkimi linkami.
- Zwykły tekst: pokazuje treść wiadomości w postaci zwykłego tekstu.
Wyświetlanie nagłówków wiadomości e-mail
Po wybraniu komunikatu użyj jednej z następujących metod, aby wyświetlić nagłówki komunikatów:
- Na karcie Email: wybierz pozycję Więcej>wyświetleń nagłówków komunikatów.
- W wysuwu szczegółów wybranego komunikatu: wybierz pozycję Więcej opcji>Wyświetl nagłówki komunikatów.
W wyświetlonym okienku wysuwu Nagłówek komunikatu zostanie wyświetlony nagłówek komunikatu (wszystkie pola nagłówka).
Użyj polecenia Kopiuj nagłówek wiadomości , aby skopiować nagłówek wiadomości do schowka.
Wybierz link Analizator nagłówków wiadomości firmy Microsoft , aby dokładnie przeanalizować pola nagłówka i wartości. Wklej nagłówek komunikatu do sekcji Wstawianie nagłówka komunikatu, który chcesz przeanalizować (CTRL+V lub kliknij prawym przyciskiem myszy i wybierz pozycję Wklej), a następnie wybierz pozycję Analizuj nagłówki.
Zgłoś wiadomość e-mail do firmy Microsoft w celu sprawdzenia z kwarantanny
Po wybraniu komunikatu użyj jednej z następujących metod, aby zgłosić komunikat do firmy Microsoft w celu analizy:
- Na karcie Email: wybierz pozycję Więcejprześlij> do przeglądu.
- W wysuwu szczegółów wybranego komunikatu: Wybierz więcej opcji>Prześlij do przeglądu.
W wyświetlonym wysuwu Prześlij do firmy Microsoft w celu analizy skonfiguruj następujące opcje:
Dodaj identyfikator komunikatu sieciowego lub przekaż plik wiadomości e-mail: Wybierz jedną z następujących opcji:
- Dodaj identyfikator wiadomości sieciowej poczty e-mail: ta wartość jest domyślnie zaznaczona z odpowiednią wartością w polu.
- Przekaż plik e-mail (.msg lub eml): po wybraniu tej opcji wybierz przycisk Przeglądaj pliki, który zostanie wyświetlony, aby znaleźć, i wybierz plik wiadomości .msg lub .eml do przesłania.
Wybierz adresata, który miał problem: wybierz jednego (preferowanego) lub więcej oryginalnych adresatów wiadomości, aby przeanalizować zasady, które zostały do nich zastosowane.
Wybierz powód przesłania do firmy Microsoft: Wybierz jedną z następujących opcji:
Potwierdziłem, że jest czysty (ustawienie domyślne): wybierz tę opcję, jeśli masz pewność, że komunikat jest czysty, a następnie wybierz przycisk Dalej. Następnie dostępne są następujące ustawienia:
- Zezwalaj na tę wiadomość e-mail: jeśli wybierzesz tę opcję, wpisy zezwalania zostaną dodane do listy dozwolonych/zablokowanych dzierżaw dla nadawcy oraz wszelkich powiązanych adresów URL lub załączników w wiadomości. Zostaną również wyświetlone następujące opcje:
- Usuń wpis po: wartość domyślna to 30 dni, ale możesz również wybrać 1 dzień, 7 dni lub określoną datę , która jest mniejsza niż 30 dni.
- Uwaga dotycząca pozycji Zezwalaj: wprowadź opcjonalną notatkę zawierającą dodatkowe informacje.
Wygląda to czysto: wybierz tę opcję, jeśli nie masz pewności i chcesz uzyskać werdykt od firmy Microsoft.
Po zakończeniu pracy z wysuwem Prześlij do firmy Microsoft w celu analizy wybierz pozycję Prześlij.
Porada
Użytkownicy mogą zgłaszać firmie Microsoft wyniki fałszywie dodatnie z kwarantanny, w zależności od wartości ustawienia Raportowanie z kwarantanny w ustawieniach zgłoszonych przez użytkownika.
Zezwalaj nadawcom wiadomości e-mail na kwarantannę
Porada
Akcja Zezwalaj nadawcy jest dostępna dla administratorów tylko wtedy, gdy filtrują wyniki kwarantanny wedługtylko mnieadresata> zamiast wartości domyślnej Wszyscy użytkownicy.
Jeśli nadawca znajduje się już w kolekcji listy bezpiecznych adresatów, pozycja Zezwalaj nadawcy nie jest dostępna.
Akcja Zezwalaj nadawcy dodaje nadawcę wybranej wiadomości e-mail do listy Bezpieczni nadawcy w skrzynce pocztowej każdego, kto jest zalogowany. Zazwyczaj ta akcja jest dla użytkowników końcowych, jeśli jest dostępna dla nich przez zasady kwarantanny. Aby uzyskać więcej informacji na temat użytkowników zezwalania nadawcom, zobacz Dodawanie adresatów moich wiadomości e-mail do listy bezpiecznych nadawców.
Po wybraniu wiadomości użyj jednej z następujących metod, aby dodać nadawcę wiadomości do listy Bezpieczni nadawcy we własnej skrzynce pocztowej:
- Na karcie Email: wybierz pozycję Więcej>zezwalaj nadawcy.
- W wysuwu szczegółów wybranego komunikatu: Wybierz więcej opcji>Zezwalaj nadawcy.
Otwarte okno wysuwane wskazuje, kiedy nadawca został pomyślnie dodany do listy Bezpiecznych nadawców. Wybierz pozycję Gotowe.
Blokowanie nadawców wiadomości e-mail przed kwarantanną
Porada
Akcja Blokuj nadawcę jest dostępna dla administratorów tylko wtedy, gdy filtrują wyniki kwarantanny wedługtylko mnieadresata> zamiast wartości domyślnej Wszyscy użytkownicy.
Jeśli nadawca znajduje się już w kolekcji listy bezpiecznych adresatów, pozycja Blokuj nadawcę nie jest dostępna. Zamiast tego można usunąć nadawcę z listy zablokowanych użytkowników.
Akcja Blokuj nadawcę dodaje nadawcę wybranej wiadomości e-mail do listy Zablokowany nadawcy w skrzynce pocztowej każdego, kto jest zalogowany. Zazwyczaj ta akcja jest dla użytkowników końcowych, jeśli jest dostępna dla nich przez zasady kwarantanny. Aby uzyskać więcej informacji na temat blokowania nadawców przez użytkowników, zobacz Blokuj nadawcę poczty
Po wybraniu wiadomości użyj jednej z następujących metod, aby dodać nadawcę wiadomości do listy zablokowanych nadawców we własnej skrzynce pocztowej:
- Na karcie Email: wybierz pozycję Więcej>blokuj nadawcę.
- W wysuwu szczegółów wybranego komunikatu: Wybierz więcej opcji>Blokuj nadawcę.
W otwierającym się wysuwu Blokuj nadawcę przejrzyj informacje o nadawcy, a następnie wybierz pozycję Blokuj.
Porada
Organizacja nadal może odbierać wiadomości e-mail od zablokowanej nadawcy. Komunikaty od nadawcy są dostarczane do folderów Email wiadomości-śmieci użytkownika lub do kwarantanny w zależności od pierwszeństwa zasad zgodnie z opisem w temacie Użytkownik zezwala i blokuje. Aby usunąć wiadomości od nadawcy po przyjeździe, użyj reguł przepływu poczty (znanych również jako reguły transportu), aby zablokować wiadomość.
Usuwanie nadawców z list zablokowanych nadawców użytkowników z kwarantanny
Lista Blokuj nadawcę z listy zablokowanych użytkowników jest dostępna tylko wtedy, gdy nadawca wiadomości poddanej kwarantannie znajduje się już na liście zablokowanych nadawców adresata.
Administratorzy mogą usuwać nadawców z listy Blokuj nadawców własnych skrzynek pocztowych (jeśli kwarantanna jest filtrowana tylkoprzeze> mnie) lub ze skrzynek pocztowych innych użytkowników (jeśli kwarantanna jest filtrowana przez adresata>Wszyscy użytkownicy).
Po wybraniu komunikatu użyj jednej z następujących metod, aby usunąć nadawcę z listy Nadawcy bloku użytkownika:
- Na karcie Email: wybierz pozycję Więcej> Usuń nadawcę z listy zablokowanych użytkowników.
- W wysuwu szczegółów wybranego komunikatu: Wybierz więcej opcji>Usuń nadawcę z listy zablokowanych użytkowników.
Otwarte okno wysuwane wskazuje, kiedy nadawca został pomyślnie usunięty z listy zablokowanych nadawców adresata. Wybierz pozycję Gotowe.
Udostępnianie wiadomości e-mail z kwarantanny
Możesz wysłać kopię wiadomości e-mail z kwarantanną, w tym potencjalnie szkodliwą zawartość, do określonych adresatów.
Po wybraniu komunikatu użyj jednej z następujących metod, aby wysłać kopię do innych:
- Na karcie Email: wybierz pozycję Więcej udostępnij>wiadomość e-mail.
- W wysuwu szczegółów wybranej wiadomości: wybierz pozycję Więcej opcji>Udostępnij wiadomość e-mail.
W wyświetlonym oknie wysuwnym Udostępnianie wiadomości e-mail innym użytkownikom wybierz co najmniej jednego adresata, aby otrzymać kopię wiadomości. Po zakończeniu wybierz pozycję Udostępnij.
Pobieranie wiadomości e-mail z kwarantanny
Po wybraniu wiadomości e-mail użyj jednej z następujących metod, aby ją pobrać:
- Na karcie Email: wybierz pozycję Więcej>komunikatów pobierania.
- W wysuwu szczegółów wybranego komunikatu: Wybierz pozycję Więcej opcji>Pobierz komunikat.
W wyświetlonym wysuwu Pobierz plik wprowadź następujące informacje:
- Przyczyna pobierania pliku: wprowadź tekst opisowy.
- Utwórz hasło i potwierdź hasło: wprowadź hasło wymagane do otwarcia pobranego pliku komunikatu.
Po zakończeniu pracy z wysuwem Pobierz plik wybierz pozycję Pobierz.
Gdy pobieranie będzie gotowe, zostanie otwarte okno dialogowe Zapisz jako , aby wyświetlić lub zmienić pobraną nazwę pliku i lokalizację. Domyślnie plik komunikatu .eml jest zapisywany w skompresowanym pliku o nazwie Kwarantanna Messages.zip w folderze Pliki do pobrania . Jeśli plik .zip już istnieje, do nazwy pliku jest dołączana liczba (na przykład Komunikaty poddane kwarantannie(1).zip).
Zaakceptuj lub zmień pobrane szczegóły pliku, a następnie wybierz pozycję Zapisz.
Po powrocie do menu wysuwanego Pobierz plik wybierz pozycję Gotowe.
Akcje dotyczące wiadomości e-mail z kwarantanną w Ochrona usługi Office 365 w usłudze Defender
W organizacjach z Ochrona usługi Office 365 w usłudze Microsoft Defender (licencjami dodatków lub subskrypcjami, takimi jak Microsoft 365 E5 lub Microsoft 365 Business Premium), następujące akcje są również dostępne w wysuwnym oknie szczegółów wybranego komunikatu:
Otwórz jednostkę poczty e-mail: Aby uzyskać więcej informacji, zobacz Co znajduje się na stronie jednostki Email.
Wykonaj akcje: Ta akcja uruchamia tego samego kreatora akcji, który jest dostępny na stronie jednostki Email. Aby uzyskać więcej informacji, zobacz Akcje na stronie jednostki Email.
Podjęcie akcji w przypadku wielu wiadomości e-mail z kwarantanną
Po wybraniu maksymalnie 100 komunikatów poddanych kwarantannie na karcie Email zaznaczając pola wyboru obok pierwszej kolumny, następujące akcje zbiorcze są dostępne na karcie Email (w zależności od wartości stanu wydania wybranych komunikatów):
Wiadomość e-mail z kwarantanną wydania
Jedynymi dostępnymi opcjami wyboru dla akcji zbiorczych jest wysłanie kopii tej wiadomości do innych adresatów w organizacji i wysłanie wiadomości do firmy Microsoft w celu ulepszenia wykrywania (fałszywie dodatniego).
Zgłoś wiadomość e-mail do firmy Microsoft w celu sprawdzenia z kwarantanny
Jedyne dostępne opcje do wybrania dla akcji zbiorczych to Zezwalaj na wiadomości e-mail z podobnymi atrybutami oraz powiązane opcje Usuń wpis zezwalania po i Zezwalaj na opcje notatek wpisu .
Znajdowanie, kto usunął komunikat poddany kwarantannie
Domyślnie wiele werdyktów zasad zabezpieczeń umożliwia użytkownikom usuwanie komunikatów poddanych kwarantannie (wiadomości, w których są adresatami). Aby uzyskać więcej informacji, zobacz tabelę w temacie Zarządzanie komunikatami i plikami poddanymi kwarantannie jako użytkownik.
Administratorzy mogą przeszukiwać dziennik inspekcji w celu znalezienia zdarzeń dla komunikatów usuniętych z kwarantanny przy użyciu następujących procedur:
W portalu usługi Defender pod adresem https://security.microsoft.comprzejdź do sekcji Inspekcja. Możesz też przejść bezpośrednio do strony Inspekcja, używając https://security.microsoft.com/auditlogsearch.
Porada
Możesz również przejść do strony Inspekcja w portal zgodności Microsoft Purview pod adresemhttps://compliance.microsoft.com/auditlogsearch
Na stronie Inspekcja sprawdź, czy wybrano kartę Nowe wyszukiwanie , a następnie skonfiguruj następujące ustawienia:
- Zakres dat i godzin (UTC)
- Działania — przyjazne nazwy: kliknij w polu, zacznij wpisywać "kwarantannę" w wyświetlonym polu wyszukiwania, a następnie wybierz pozycję Usunięto komunikat kwarantanny z wyników.
- Użytkownicy: jeśli wiesz, kto usunął komunikat z kwarantanny, możesz dalej filtrować wyniki według użytkownika.
Po zakończeniu wprowadzania kryteriów wyszukiwania wybierz pozycję Wyszukaj , aby wygenerować wyszukiwanie.
Aby uzyskać pełne instrukcje dotyczące przeszukiwania dzienników inspekcji, zobacz Inspekcja nowego wyszukiwania.
Zarządzanie plikami poddanymi kwarantannie w Ochrona usługi Office 365 w usłudze Defender za pomocą portalu Microsoft Defender
Uwaga
Procedury dotyczące plików poddanych kwarantannie w tej sekcji są dostępne tylko dla subskrybentów Ochrona usługi Office 365 w usłudze Microsoft Defender (plan 1) lub planu 2.
Pliki poddane kwarantannie w programie SharePoint lub OneDrive są usuwane z kwarantanny po 30 dniach, ale zablokowane pliki pozostają w programie SharePoint lub OneDrive w stanie zablokowanym.
W organizacjach z Ochrona usługi Office 365 w usłudze Defender administratorzy mogą zarządzać plikami, które zostały poddane kwarantannie przez bezpieczne załączniki dla programów SharePoint, OneDrive i Microsoft Teams. Aby włączyć ochronę tych plików, zobacz Włączanie bezpiecznych załączników dla programów SharePoint, OneDrive i Microsoft Teams.
Wyświetlanie plików poddanych kwarantannie
W portalu Microsoft Defender pod adresem https://security.microsoft.comprzejdź do karty Email & współpraca>Przeglądanie>plikówkwarantanny>. Aby przejść bezpośrednio do karty Pliki na stronie Kwarantanna, użyj polecenia https://security.microsoft.com/quarantine?viewid=Files.
Na karcie Pliki możesz zmniejszyć odstępy w pionie na liście, klikając pozycję Zmień odstępy między listami na kompaktową lub normalną, a następnie wybierając pozycję Lista kompaktowa.
Wpisy można sortować, klikając dostępny nagłówek kolumny. Wybierz pozycję Dostosuj kolumny , aby zmienić wyświetlane kolumny. Wartości domyślne są oznaczone gwiazdką (*):
- Użytkownik*
- Lokalizacja*: wartość to SharePoint lub OneDrive.
- Nazwa pliku załącznika*
- Adres URL pliku*
- Rozmiar pliku
- Stan wydania*
- Wygasa*
- Wykryte przez
- Zmodyfikowane według czasu
Aby filtrować wpisy, wybierz pozycję Filtruj. W wyświetlonym okienku wysuwowym Filtry są dostępne następujące filtry :
-
Odebrany czas:
- Ostatnie 24 godziny
- Ostatnie 7 dni
- Ostatnie 14 dni
- Ostatnie 30 dni (wartość domyślna)
- Niestandardowe: wprowadź godzinę rozpoczęcia i godzinę zakończenia (data).
-
Wygasa:
- Niestandardowe (domyślne): wprowadź godzinę rozpoczęcia i godzinę zakończenia (data).
- Dzisiaj
- Następne 2 dni
- Następne 7 dni
- Przyczyna kwarantanny: Jedyną dostępną wartością jest złośliwe oprogramowanie.
- Typ zasad: Jedyną dostępną wartością jest Nieznany.
Po zakończeniu pracy z wysuwem Filtry wybierz pozycję Zastosuj. Aby wyczyścić filtry, wybierz pozycję Wyczyść filtry.
Użyj pola Wyszukiwania i odpowiedniej wartości, aby znaleźć określone pliki według nazwy pliku. Symbole wieloznaczne nie są obsługiwane.
Po wprowadzeniu kryteriów wyszukiwania naciśnij Enter, aby odfiltrować wyniki.
Po znalezieniu określonego pliku poddanej kwarantannie wybierz plik, aby wyświetlić szczegółowe informacje o nim i podjąć działania na nim (na przykład wyświetl, zwolnij, pobierz lub usuń plik).
Wyświetlanie szczegółów pliku poddanej kwarantannie
W portalu Microsoft Defender pod adresem https://security.microsoft.comprzejdź do karty Email & współpraca>Przeglądanie>plikówkwarantanny>. Aby przejść bezpośrednio do karty Pliki na stronie Kwarantanna, użyj polecenia https://security.microsoft.com/quarantine?viewid=Files.
Na karcie Pliki wybierz plik poddany kwarantannie, klikając dowolne miejsce w wierszu innym niż pole wyboru.
W wyświetlonym oknie wysuwowym szczegółów dostępne są następujące informacje:
- Sekcja szczegółów pliku:
- Nazwa pliku
- Adres URL pliku: adres URL definiujący lokalizację pliku (na przykład w usłudze SharePoint Online).
- Wykryto złośliwą zawartość Data/godzina kwarantanny pliku.
- Wygasa: data usunięcia pliku z kwarantanny.
- Wykryte przez
- Wydany?
- Nazwa złośliwego oprogramowania
- Identyfikator dokumentu: unikatowy identyfikator dokumentu.
- Rozmiar pliku
- Organizacja Unikatowy identyfikator organizacji.
- Ostatnia modyfikacja
- Ostatnia modyfikacja: użytkownik, który ostatnio zmodyfikował plik.
- Wartość 256-bitowego algorytmu bezpiecznego skrótu (SHA-256): możesz użyć tej wartości skrótu, aby zidentyfikować plik w innych magazynach reputacji lub w innych lokalizacjach w środowisku.
Aby wykonać akcję w pliku, zobacz następną sekcję.
Porada
Aby wyświetlić szczegółowe informacje o innych plikach poddanych kwarantannie bez opuszczania wysuwanego szczegółów, użyj pozycji Poprzedni element i Następny element w górnej części wysuwanego elementu.
Podjęcie akcji w plikach poddanych kwarantannie
W portalu Microsoft Defender pod adresem https://security.microsoft.comprzejdź do karty Email & współpraca>Przeglądanie>plikówkwarantanny>. Aby przejść bezpośrednio do karty Pliki na stronie Kwarantanna, użyj polecenia https://security.microsoft.com/quarantine?viewid=Files.
Na karcie Pliki wybierz plik poddany kwarantannie, klikając dowolne miejsce w wierszu innym niż pole wyboru.
Po wybraniu pliku poddanej kwarantannie dostępne akcje w wyświetlonym wysuwaniu szczegółów pliku są opisane w poniższych podsekcjach.
Zwalnianie plików poddanych kwarantannie z kwarantanny
Ta akcja nie jest dostępna dla plików, które zostały już wydane (wartość Stan wydania to Wydano).
Jeśli nie zwolnisz lub nie usuniesz pliku z kwarantanny, plik zostanie usunięty z kwarantanny po wygaśnięciu domyślnego okresu przechowywania kwarantanny (jak pokazano w kolumnie Wygasa), ale zablokowany plik pozostaje w programie SharePoint lub OneDrive w stanie zablokowanym.
Po wybraniu pliku wybierz pozycję Zwolnij plik w wyświetlonym wysuwu szczegółów pliku.
W obszarze Pliki wydania i zgłoś je do otwartego menu wysuwanego firmy Microsoft, wyświetl szczegóły pliku w sekcji Release the following files (Wydanie następujących plików ), a następnie wybierz pozycję Zwolnij.
Porada
Obecnie nie można zgłaszać plików poddanych kwarantannie firmie Microsoft podczas ich wydawania.
W wyświetlonym menu wysuwowym Pliki wybierz pozycję Gotowe.
Po powrocie do wysuwanego szczegółów pliku wybierz pozycję Zamknij.
Po powrocie na kartę Pliki wartość Stan wydania pliku to Wydano.
Pobieranie plików poddanych kwarantannie z kwarantanny
Po wybraniu pliku wybierz pozycję Pobierz plik w wyświetlonym wysuwu szczegółów.
W wyświetlonym wysuwu Pobierz plik wprowadź następujące informacje:
- Przyczyna pobierania pliku: wprowadź tekst opisowy.
- Utwórz hasło i potwierdź hasło: wprowadź hasło wymagane do otwarcia pobranego pliku.
Po zakończeniu pracy z wysuwem Pobierz plik wybierz pozycję Pobierz.
Gdy pobieranie będzie gotowe, zostanie otwarte okno dialogowe Zapisz jako , aby wyświetlić lub zmienić pobraną nazwę pliku i lokalizację. Domyślnie plik jest zapisywany w skompresowanym pliku o nazwie Kwarantanna Messages.zip w folderze Pliki do pobrania . Jeśli plik .zip już istnieje, do nazwy pliku jest dołączana liczba (na przykład Komunikaty poddane kwarantannie(1).zip).
Zaakceptuj lub zmień pobrane szczegóły pliku, a następnie wybierz pozycję Zapisz.
Po powrocie do menu wysuwanego Pobierz plik wybierz pozycję Gotowe.
Usuwanie plików poddanych kwarantannie z kwarantanny
Jeśli nie zwolnisz lub nie usuniesz pliku z kwarantanny, plik zostanie usunięty z kwarantanny po wygaśnięciu domyślnego okresu przechowywania kwarantanny (jak pokazano w kolumnie Wygasa), ale zablokowany plik pozostaje w programie SharePoint lub OneDrive w stanie zablokowanym.
Po wybraniu pliku wybierz pozycję Więcej>usuń z kwarantanny w wyświetlonym wysuwaniu szczegółów.
Wybierz pozycję Kontynuuj w wyświetlonym oknie dialogowym ostrzeżenia.
Na karcie Pliki plik nie jest już wyświetlany.
Podjęcie akcji w przypadku wielu plików poddanych kwarantannie
Po wybraniu wielu plików poddanych kwarantannie na karcie Pliki , zaznaczając pola wyboru obok pierwszej kolumny (maksymalnie 100 plików), zostanie wyświetlona lista rozwijana akcji zbiorczych , na której można wykonać następujące akcje:
- Zwalnianie plików poddanych kwarantannie z kwarantanny
- Usuwanie plików poddanych kwarantannie z kwarantanny
- Pobieranie plików poddanych kwarantannie z kwarantanny
Zarządzanie komunikatami objętymi kwarantanną w usłudze Microsoft Teams za pomocą portalu Microsoft Defender
Porada
Automatyczne przeczyszczanie bez godzin (ZAP) w usłudze Microsoft Teams jest obecnie dostępne w wersji zapoznawczej, nie jest dostępne we wszystkich organizacjach i może ulec zmianie.
Kwarantanna w usłudze Microsoft Teams jest dostępna tylko w organizacjach z Ochrona usługi Office 365 w usłudze Microsoft Defender planie 2 (licencje dodatków lub zawarte w subskrypcjach, takich jak Microsoft 365 E5).
Po wykryciu potencjalnie złośliwego komunikatu czatu w usłudze Microsoft Teams automatyczne przeczyszczenie (ZAP) zerowym godziną usunie komunikat i podda go kwarantannie. Administratorzy mogą wyświetlać te komunikaty usługi Teams poddanej kwarantannie i zarządzać nimi. Komunikat jest poddawany kwarantannie przez 30 dni. Następnie komunikat usługi Teams zostanie trwale usunięty.
Ta funkcja jest domyślnie włączona.
Wyświetlanie komunikatów usługi Teams poddanych kwarantannie
W portalu Microsoft Defender pod adresem https://security.microsoft.comprzejdź do karty Email & współpraca>Przeglądanie>komunikatów usługiQuarantine> Teams. Możesz też przejść bezpośrednio do karty Komunikaty usługi Teams na stronie Kwarantanna, użyj polecenia https://security.microsoft.com/quarantine?viewid=Teams.
Na karcie Komunikaty usługi Teams możesz zmniejszyć odstępy w pionie na liście, klikając pozycję Zmień odstępy między listą na kompaktową lub normalną, a następnie wybierając pozycję Lista kompaktowa.
Wpisy można sortować, klikając dostępny nagłówek kolumny. Wybierz pozycję Dostosuj kolumny , aby zmienić wyświetlane kolumny. Wartości domyślne są oznaczone gwiazdką (*):
- Tekst wiadomości teams: zawiera temat wiadomości teams.*
- Czas odebrania: czas odebrania wiadomości przez adresata.*
- Stan wydania: pokazuje, czy komunikat został już przejrzany i wydany, czy wymaga przeglądu. *
- Uczestnicy: całkowita liczba użytkowników, którzy otrzymali wiadomość.*
- Nadawca: osoba, która wysłała wiadomość, która została poddana kwarantannie.*
- Przyczyna kwarantanny: Dostępne opcje to "High confidence phish" i "Malware".*
- Typ zasad: zasady organizacji odpowiedzialne za komunikat poddany kwarantannie.*
- Wygasa: wskazuje czas usunięcia komunikatu z kwarantanny. Domyślnie ta wartość wynosi 30 dni.*
- Adres odbiorcy: Email adresatów.*
- Identyfikator wiadomości: zawiera identyfikator wiadomości czatu.
Aby filtrować wpisy, wybierz pozycję Filtruj. W wyświetlonym okienku wysuwowym Filtry są dostępne następujące filtry :
- Identyfikator komunikatu
- Adres nadawcy
- Adres odbiorcy
- Temat
-
Odebrany czas:
- Ostatnie 24 godziny
- Ostatnie 7 dni
- Ostatnie 14 dni
- Ostatnie 30 dni (wartość domyślna)
- Niestandardowe: wprowadź godzinę rozpoczęcia i godzinę zakończenia (data).
-
Wygasa:
- Niestandardowe (domyślne): wprowadź godzinę rozpoczęcia i godzinę zakończenia (data).
- Dzisiaj
- Następne 2 dni
- Następne 7 dni
- Przyczyna kwarantanny: Dostępne wartości to złośliwe oprogramowanie i wyłudzanie informacji o wysokim poziomie ufności.
- Adresat: wybierz pozycję Wszyscy użytkownicy lub Tylko ja.
- Stan przeglądu: wybierz pozycję Musi zostać przejrzana i wydana.
Po zakończeniu pracy z wysuwem Filtry wybierz pozycję Zastosuj. Aby wyczyścić filtry, wybierz pozycję Wyczyść filtry.
Użyj pola Wyszukiwania i odpowiedniej wartości, aby znaleźć określone komunikaty usługi Teams. Symbole wieloznaczne nie są obsługiwane.
Po znalezieniu określonego komunikatu usługi Teams poddanej kwarantannie wybierz komunikat, aby wyświetlić szczegółowe informacje na jego temat i podjąć działania na jego temat (na przykład wyświetlanie, wydawanie, pobieranie lub usuwanie komunikatu).
Wyświetlanie szczegółów komunikatu usługi Teams poddanej kwarantannie
Na karcie Komunikaty usługi Teams na stronie Kwarantanna wybierz komunikat poddany kwarantannie, klikając dowolne miejsce w wierszu innym niż pole wyboru obok pierwszej kolumny.
W górnej części wysuwanego szczegółów są dostępne następujące informacje o komunikatach:
- Tytuł wysuwanego elementu to temat lub pierwsze 100 znaków komunikatu usługi Teams.
- Wartość przyczyny kwarantanny .
- Liczba linków w wiadomości.
- Dostępne akcje opisano w sekcji Take action on quarantined Teams messages (Podejmij akcję w przypadku komunikatów usługi Teams poddanych kwarantannie ).
Porada
Aby wyświetlić szczegółowe informacje o innych komunikatach usługi Teams poddanych kwarantannie bez opuszczania wysuwanego szczegółów, użyj pozycji Poprzedni element i Następny element w górnej części wysuwanego elementu.
Następna sekcja w wysuwaniu szczegółów jest powiązana z komunikatami usługi Teams poddanymi kwarantannie:
- Sekcja szczegółów kwarantanny:
- Wygasa
- Odebrany czas
- Przyczyna kwarantanny
- Stan wydania
- Typ zasad: Wartość to Brak.
- Nazwa zasad: wartość to Zasady ochrony aplikacji Teams.
- Zasady kwarantanny
Pozostałe informacje wysuwane zawierają sekcje Szczegóły wiadomości, Nadawca, Uczestnicy, Szczegóły kanału i Adresy URL , które są częścią panelu jednostki wiadomości usługi Teams. Aby uzyskać więcej informacji, zobacz Panel jednostki Teams mMessage w Ochrona usługi Office 365 w usłudze Microsoft Defender planie 2.
Po zakończeniu wysuwanego szczegółów wybierz pozycję Zamknij.
Podjęcie akcji w komunikatach usługi Teams poddanych kwarantannie
W portalu Microsoft Defender pod adresem https://security.microsoft.comprzejdź do karty Email & współpraca>Przeglądanie>komunikatów usługiQuarantine> Teams. Możesz też przejść bezpośrednio do karty Komunikaty usługi Teams na stronie Kwarantanna, użyj polecenia https://security.microsoft.com/quarantine?viewid=Teams.
Na karcie Komunikaty usługi Teams wybierz komunikat poddany kwarantannie przy użyciu jednej z następujących metod:
Wybierz wiadomość z listy, zaznaczając pole wyboru obok pierwszej kolumny. Dostępne akcje nie są już wyszarzone.
Wybierz wiadomość z listy, klikając dowolne miejsce w wierszu innym niż pole wyboru. Dostępne akcje znajdują się w wyświetlonym wysuwie szczegółów.
Przy użyciu dowolnej metody, aby wybrać komunikat, niektóre akcje są dostępne w obszarze Więcej.
Po wybraniu komunikatu poddanej kwarantannie dostępne akcje są opisane w poniższych podsekcjach.
Wydawanie komunikatów usługi Teams poddanych kwarantannie
Ta akcja nie jest dostępna w przypadku komunikatów usługi Teams, które zostały już wydane (wartość Stan wydania to Wydano).
Jeśli nie wydasz lub nie usuniesz komunikatu, zostanie on automatycznie usunięty z kwarantanny po dacie pokazanej w kolumnie Wygasa .
Po wybraniu komunikatu użyj jednej z następujących metod, aby go zwolnić:
- Na karcie Komunikaty usługi Teams: wybierz pozycję Zwolnij.
- W wysuwu szczegółów wybranego komunikatu: wybierz pozycję Zwolnij.
W wyświetlonym menu wysuwowym Wydanie dla wszystkich uczestników czatu zdecyduj, czy wybrać pozycję Prześlij wiadomość do firmy Microsoft, aby poprawić wykrywanie (fałszywie dodatnie), a następnie wybierz pozycję Zwolnij.
Usuwanie komunikatów usługi Teams z kwarantanny
Jeśli nie wydasz lub nie usuniesz komunikatu usługi Teams, zostanie on automatycznie usunięty z kwarantanny po dacie pokazanej w kolumnie Wygasa .
Po wybraniu komunikatu usługi Teams użyj jednej z następujących metod, aby go usunąć:
- Na karcie Komunikaty usługi Teams: wybierz pozycję Usuń komunikaty.
- W wysuwaniu szczegółów wybranego komunikatu: Wybierz więcej opcji>Usuń z kwarantanny.
W wyświetlonym oknie dialogowym ostrzeżenia przeczytaj informacje, a następnie wybierz pozycję Kontynuuj.
Na karcie Komunikaty usługi Teams komunikat nie jest już wyświetlany.
Podgląd komunikatów usługi Teams z kwarantanny
Po wybraniu komunikatu usługi Teams użyj jednej z następujących metod, aby wyświetlić jej podgląd:
- Na karcie Komunikaty usługi Teams: wybierz pozycję Komunikat w wersji zapoznawczej.
- W wysuwu szczegółów wybranego komunikatu: Wybierz komunikat podglądu.
W wyświetlonym wysuwie wybierz jedną z następujących kart:
- Źródło: pokazuje wersję HTML treści komunikatu z wyłączonymi wszystkimi linkami.
- Zwykły tekst: pokazuje treść wiadomości w postaci zwykłego tekstu.
Zgłaszanie komunikatów usługi Teams do firmy Microsoft w celu przeglądu z kwarantanny
Po wybraniu komunikatu użyj jednej z następujących metod, aby zgłosić komunikat do firmy Microsoft w celu analizy:
- Na karcie Komunikaty usługi Teams: wybierz pozycję Więcejprześlij> do przeglądu.
- W wysuwu szczegółów wybranego komunikatu: Wybierz więcej opcji>Prześlij do przeglądu.
Po wybraniu pozycji Prześlij wiadomość wiadomość zostanie wysłana do firmy Microsoft w celu analizy. Zostanie wyświetlone okno dialogowe Przesłane elementy , w którym wybierzesz przycisk OK.
Pobieranie komunikatów usługi Teams z kwarantanny
Po wybraniu komunikatu usługi Teams użyj jednej z następujących metod, aby go pobrać:
- Na karcie Komunikaty usługi Teams: wybierz pozycję Więcej>komunikatów pobierania.
- W wysuwu szczegółów wybranego komunikatu: Wybierz pozycję Więcej opcji>Pobierz komunikat.
W wyświetlonym menu wysuwowym Pobieranie komunikatów wprowadź następujące informacje:
- Przyczyna pobierania pliku: wprowadź tekst opisowy.
- Utwórz hasło i potwierdź hasło: wprowadź hasło wymagane do otwarcia pobranego pliku komunikatu.
Po zakończeniu pracy z wysuwem Pobierz plik wybierz pozycję Pobierz.
Domyślnie plik komunikatu .html jest zapisywany w skompresowanym pliku o nazwie Kwarantanna Messages.zip w folderze Pliki do pobrania . Jeśli plik .zip już istnieje, do nazwy pliku jest dołączana liczba (na przykład Komunikaty poddane kwarantannie(1).zip).
Po powrocie do menu wysuwanego Pobieranie komunikatów wybierz pozycję Gotowe.
Podjęcie akcji w przypadku wielu komunikatów usługi Teams poddanych kwarantannie
Po wybraniu wielu komunikatów poddanych kwarantannie na karcie Komunikaty usługi Teams , zaznaczając pola wyboru obok pierwszej kolumny, na karcie Komunikaty usługi Teams są dostępne następujące akcje zbiorcze:
- Wydawanie komunikatów usługi Teams poddanych kwarantannie
- Usuwanie komunikatów usługi Teams z kwarantanny
- Zgłaszanie komunikatów usługi Teams do firmy Microsoft w celu przeglądu z kwarantanny
- Pobieranie komunikatów usługi Teams z kwarantanny
Zatwierdzanie lub odrzucanie żądań wydania od użytkowników w przypadku komunikatów usługi Teams poddanych kwarantannie
Gdy użytkownik zażąda wydania komunikatu usługi Teams poddanej kwarantannie, wartość stanu wydania zmieni się na Żądane wydanie, a administrator może zatwierdzić lub odrzucić żądanie.
Aby uzyskać więcej informacji, zobacz Zatwierdzanie lub odrzucanie żądań wydania od użytkowników.
Zarządzanie komunikatami objętymi kwarantanną przy użyciu programu Exchange Online programu PowerShell lub autonomicznego programu PowerShell EOP
Polecenia cmdlet używane do wyświetlania komunikatów i plików w kwarantannie oraz zarządzania nimi są opisane w tej sekcji.
- Delete-QuarantineMessage
- Export-QuarantineMessage
- Get-QuarantineMessage
- Preview-QuarantineMessage: to polecenie cmdlet dotyczy tylko komunikatów, a nie plików poddanych kwarantannie.
- Release-QuarantineMessage