Управление сообщениями и файлами в карантине от имени пользователя

• Применяется к:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Совет

Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Сведения о том, кто может зарегистрироваться и условия пробной версии , см. здесь.

В организациях Microsoft 365 с почтовыми ящиками в Exchange Online или в автономных организациях Exchange Online Protection (EOP) без почтовых ящиков Exchange Online на карантине хранятся потенциально опасные или нежелательные сообщения. Дополнительные сведения см. в статье Карантин в EOP.

Возможности по умолчанию для обычного пользователя (не администратора), доступные вам как получателю помещенного на карантин сообщения, описаны в следующей таблице.

Причина помещения на карантин	Просмотреть	Выпуск	Удалить
Политики защиты от спама
Массовая рассылка	✔	✔	✔
Спам	✔	✔	✔
Нежелательная почта с высокой вероятностью	✔	✔	✔
Фишинг	✔	✔	✔
Фишинг с высокой вероятностью
Политики защиты от фишинга
Аналитическая защита от спуфинга в EOP	✔	✔	✔
Защита от олицетворенных пользователей в Defender для Office 365	✔	✔	✔
Защита от олицетворенных доменов в Defender для Office 365	✔	✔	✔
Защита олицетворения аналитики почтовых ящиков в Defender для Office 365	✔	✔	✔
Политики защиты от вредоносных программ
Сообщения электронной почты с вложениями, помещаемые на карантин как вредоносные программы.
Безопасные вложения в Defender для Office 365
Политики безопасных вложений, помещающие на карантин сообщения электронной почты с вредоносными вложениями в виде вредоносных программ.
Безопасные вложения для SharePoint, OneDrive и Microsoft Teams, помещающие на карантин вредоносные файлы в виде вредоносных программ.
Правила потока обработки почты (правила транспорта)
Правила потока обработки почты, которые помещают сообщения в карантин (напрямую, не помечая их как спам).

В поддерживаемых функциях защитыполитики карантина определяют, что пользователи могут делать с сообщениями, помещенными в карантин, в зависимости от того, почему сообщение было помещено в карантин. Политики карантина по умолчанию обеспечивают исторические возможности для сообщений, как описано в предыдущей таблице. Администраторы могут создавать и применять настраиваемые политики карантина, которые определяют менее строгие или более строгие возможности для пользователей. Дополнительные сведения см. в разделе Анатомия политики карантина.

Вы просматриваете сообщения, помещенные в карантин, и управляете ими на портале Microsoft Defender или (если администратор настроил это) уведомлениями о карантине из политик карантина.

Что нужно знать перед началом работы

• Чтобы открыть портал Microsoft Defender, перейдите на страницу https://security.microsoft.com. Чтобы перейти непосредственно на страницу Карантин, используйте https://security.microsoft.com/quarantine.

• Администраторы могут настроить продолжительность хранения сообщений в карантине до их окончательного удаления в политиках защиты от спама. Сообщения, срок действия которых истек из карантина, невозможно восстановить. Дополнительные сведения см. в статье Настройка политик защиты от спама в EOP.

• По умолчанию сообщения, помещенные на карантин как фишинг с высокой вероятностью, вредоносное ПО или по правилам потока обработки почты, доступны только администраторам и не видны пользователям. Дополнительные сведения см. в разделе Управление сообщениями и файлами на карантине в качестве администратора в EOP.

• Все действия, выполняемые администраторами или пользователями в сообщениях, помещенных в карантин, проверяются. Дополнительные сведения о событиях аудита карантина см. в статье Схема карантина в API управления Office 365.

Управление сообщениями, помещенными в карантин, в EOP

Просмотр сообщений на карантине

Примечание.

Возможность просмотра сообщений в карантине контролируется политикой карантина, которая применяется к причине, по которой сообщение было помещено в карантин (это может быть политика карантина по умолчанию, как описано в разделе Рекомендуемые параметры для EOP и Microsoft Defender для Office 365 безопасности).

На портале Microsoft Defender по адресу перейдите на https://security.microsoft.comвкладку Email & совместной работы>Проверка>карантина>Email. Или, чтобы перейти непосредственно на вкладку Email на странице Карантин, используйте https://security.microsoft.com/quarantine?viewid=Email.

На вкладке Email можно уменьшить вертикальный интервал в списке, щелкнув Изменить интервал списка на компактный или обычный, а затем выбрав Пункт Компактный список.

Вы можете отсортировать записи, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы. Значения по умолчанию помечены звездочкой (^*):

• Время получения^*
• Тема^*
• Отправителя^*
• Причина^* карантина (см. возможные значения в Описание фильтра .)
• Состояние^* выпуска (см. возможные значения в Описание фильтра .)
• Тип^* политики (см. возможные значения в Описание фильтра .)
• Истекает^*
• Получателя^*
• КОД сообщения
• Имя политики
• Размер сообщения
• Направление почты
• Тег recipient

Чтобы отфильтровать записи, выберите Фильтр. В открываемом всплывающем окне Фильтры доступны следующие фильтры:

• Идентификатор сообщения: глобальный уникальный идентификатор сообщения.

• Адрес отправителя

• Адрес получателя

• Тема

• Время получения:

  • Последние 24 часа
  • Последние 7 дней
  • Последние 14 дней
  • Последние 30 дней (по умолчанию)
  • Настраиваемый: укажите Время начала и Время окончания (дата).

• Срок действия: фильтрация сообщений по истечении срока их действия из карантина:

  • Сегодня
  • Следующие 2 дня
  • Следующие 7 дней
  • Настраиваемый: укажите Время начала и Время окончания (дата).

• Тег recipient

• Причина карантина:

  • Правило транспорта (правило потока почты)
  • Массовая рассылка
  • Спам
  • Защита от потери данных
  • Вредоносные программы: политики защиты от вредоносных программ в EOP или политики безопасных вложений в Defender для Office 365. Значение Тип политики указывает, какой компонент использовался.
  • Фишинг: решение спам-фильтра — фишинг либо средство защиты от фишинга поместило сообщение в карантин (параметры спуфинга или защита от олицетворения).
  • Фишинг с высокой вероятностью
  • Администратор действие — блок типа файла: сообщения, заблокированные как вредоносные программы с помощью фильтра общих вложений в политиках защиты от вредоносных программ. Дополнительные сведения см. в разделе Политики защиты от вредоносных программ.

• Получатель: все пользователи или только я. Конечные пользователи могут управлять только отправленными в карантин сообщениями.

• Состояние выпуска: любое из следующих значений.

  • Требуется проверка
  • Утверждено
  • Отклонено
  • Запрос на выпуск
  • Выпущено

• Тип политики: фильтрация сообщений по типу политики:

  • Политика защиты от вредоносных программ
  • Политика безопасных вложений
  • Политика защиты от фишинга
  • Политика защиты от спама
  • Правило транспорта (правило потока почты)

  Значения типа политики и причины карантина связаны между собой. Например, bulk всегда связан с политикой защиты от нежелательной почты, а не с политикой защиты от вредоносных программ.

Завершив работу с всплывающий элемент Фильтры , нажмите кнопку Применить. Чтобы очистить фильтры, выберите Очистить фильтры.

Совет

Фильтры кэшируются. Фильтры из последних сеансов выбираются по умолчанию при следующем открытии страницы Карантин . Это поведение помогает при рассмотрении операций.

Используйте поле Поиск и соответствующее значение для поиска определенных сообщений. Подстановочные знаки не поддерживаются. Вы можете искать по следующим значениям:

• Адрес электронной почты отправителя
• Тема. Используйте всю тему сообщения. При поиске регистр не учитывается.

После ввода условий поиска нажмите клавишу ВВОД, чтобы отфильтровать результаты.

Примечание.

Поле Поиск выполняет поиск элементов в карантине в текущем представлении, а не всех элементов, помещенных в карантин. Для поиска всех помещенных в карантин элементов используйте Фильтр и всплывающее при этом меню Фильтры.

После того как вы найдете определенное сообщение в карантине, выберите сообщение, чтобы просмотреть сведения о нем и выполнить с ним действия (например, просмотр, выпуск, скачивание или удаление сообщения).

Совет

На мобильных устройствах ранее описанные элементы управления доступны в разделе Дополнительно.

Просмотр сведений о карантине

1. На портале Microsoft Defender по адресу перейдите на https://security.microsoft.comвкладку Email & совместной работы>Проверка>карантина>Email. Или, чтобы перейти непосредственно на вкладку Email на странице Карантин, используйте https://security.microsoft.com/quarantine?viewid=Email.

2. На вкладке Email выберите сообщение в карантине, щелкнув в любом месте строки, кроме поля проверка.

В открывавшемся всплывающем окне сведений доступны следующие сведения:

• Раздел сведений о карантине:
  • Получено: Дата и время получения сообщения.
  • Срок действия: дата и время автоматического и окончательного удаления сообщения из карантина.
  • Тема
  • Причина карантина. Показывает, было ли сообщение идентифицировано как спам, массовый, фишинг, соответствует правилу потока обработки почты (правилу транспорта) или содержит вредоносные программы.
  • Тип политики
  • Имя политики
  • Количество получателей
  • Получатели. Если сообщение содержит несколько получателей, может потребоваться выбрать >Предварительный просмотр сообщения или >Просмотреть заголовок сообщения , чтобы просмотреть полный список получателей.
• Email раздел сведений:
  • Адрес отправителя
  • Время получения
  • Идентификатор сетевого сообщения
  • Получатели

Инструкции о действия с сообщением см. в следующем разделе.

Совет

Чтобы просмотреть сведения о других сообщениях, помещенных в карантин, не выходя из всплывающего меню сведений, используйте предыдущий элемент и следующий элемент в верхней части всплывающего окна.

Выполнение действий с электронной почтой в карантине

1. На портале Microsoft Defender по адресу перейдите на https://security.microsoft.comвкладку Email & совместной работы>Проверка>карантина>Email. Или, чтобы перейти непосредственно на вкладку Email на странице Карантин, используйте https://security.microsoft.com/quarantine?viewid=Email.

2. На вкладке Email выберите сообщение электронной почты, помещенное в карантин, с помощью любого из следующих методов:

   • Выберите сообщение из списка, выбрав поле проверка рядом с первым столбцом. Доступные действия больше не отображаются серым цветом.

     

   • Выберите сообщение из списка, щелкнув в любом месте строки, кроме поля проверка. Доступные действия находятся в открываемом всплывающем окне сведений.

     

   Используя любой из методов для выбора сообщения, некоторые действия доступны в разделе Дополнительные или Дополнительные параметры.

После выбора сообщения в карантине доступные действия описаны в следующих подразделах.

Совет

На мобильных устройствах взаимодействие с действиями немного отличается:

• При выборе сообщения, выбрав поле проверка, все действия отображаются в разделе Дополнительно:

  

• При выборе сообщения, щелкнув в любом месте строки, кроме проверка, большинство параметров доступны в разделе Дополнительные сведения всплывающего окна:

  

Освобождение электронной почты в карантине

Примечание.

Возможность освобождения сообщений, помещенных в карантин, контролируется политикой карантина для функции защиты, которая помещает сообщение в карантин (это может быть политика карантина по умолчанию, как описано в разделе Рекомендуемые параметры для EOP и Microsoft Defender для Office 365 безопасности).

Политика карантина позволяет освободить сообщение или запросить его освобождение, но оба варианта недоступны для одного сообщения. Политика карантина также может запретить выпуск или запрос на выпуск сообщений, помещенных в карантин.

Это действие недоступно для сообщений электронной почты, которые уже были выпущены (значение Состояние выпуска — Released).

Если вы не освобождаете или не удаляете сообщение, оно автоматически удаляется из карантина после даты, указанной в столбце Срок действия .

Выбрав сообщение, используйте один из следующих методов, чтобы освободить его (доставить в почтовый ящик):

• На вкладке Email выберите Выпуск.
• Во всплывающем окне сведений выбранного сообщения выберите Освободить сообщение электронной почты.

В открываемом всплывающем окне Сообщение о выпуске в папке "Входящие " выберите Сообщить сообщение об отсутствии угроз , а затем выберите Освободить сообщение.

Завершив работу с сообщением о выпуске во всплывающем окне "Входящие" , выберите Сообщение о выпуске.

Во всплывающем окне Сообщения, отправляемые в папку "Входящие" , выберите Готово.

На вкладке Email значение Состояние выпуска сообщения будет освобождено.

Сообщение доставляется в папку "Входящие" (или в другую папку в зависимости от правил папки "Входящие" в почтовом ящике).

Запрос на освобождение электронной почты в карантине

Примечание.

Возможность запрашивать освобождение сообщений, помещенных в карантин, контролируется политикой карантина для функции защиты, которая помещается в карантин сообщение.

Политика карантина позволяет освободить сообщение или запросить его освобождение, но оба варианта недоступны для одного сообщения. Политика карантина также может запретить выпуск или запрос на выпуск сообщений, помещенных в карантин.

Это действие недоступно для сообщений электронной почты, в которых вы уже запросили выпуск (для параметра Состояние выпуска указано запрос на выпуск).

Если вы не освобождаете или не удаляете сообщение, оно автоматически удаляется из карантина после даты, указанной в столбце Срок действия .

После выбора сообщения используйте один из следующих методов, чтобы запросить его выпуск:

• На вкладке Email выберите Запросить выпуск.
• Во всплывающем окне сведений выбранного сообщения выберите Дополнительные параметры>Запросить выпуск.

Во всплывающем окне Запрос выпуска просмотрите сведения и выберите Запросить выпуск. В открывавшемся всплывающем окне "Запрос на выпуск " выберите Готово.

На странице Карантин значение состояния выпуска сообщения — Запрос выпуска. Администратор проверит ваш запрос и утвердит его или отклонит.

Удаление электронной почты из карантина

При удалении сообщения электронной почты из карантина оно удаляется и не отправляется исходным получателям.

Если вы не освобождаете или не удаляете сообщение, оно автоматически удаляется из карантина после даты, указанной в столбце Срок действия .

После выбора сообщения используйте один из следующих методов, чтобы удалить его:

• На вкладке Email выберите Удалить сообщения.
• Во всплывающем элементе сведений выбранного сообщения выберите Дополнительные параметры>Удалить из карантина.

Во всплывающем окне Удаление (n) сообщений из карантина используйте один из следующих методов для удаления сообщения:

• Выберите Безвозвратно удалить сообщение из карантина , а затем выберите Удалить: сообщение окончательно удалено и не может быть восстановлено.
• Выберите Удалить только: сообщение удалено, но потенциально можно восстановить.

После нажатия кнопки Удалить во всплывающем окне Удалить (n) сообщений из карантина вы вернеесь на вкладку Email, где сообщение больше не указано.

Совет

Администраторы могут узнать, кто удалил сообщение в карантине, выполнив поиск в журнале аудита администратора. Инструкции см. в разделе Поиск удаления сообщения, помещенного в карантин.

Предварительный просмотр электронной почты из карантина

Выбрав сообщение, используйте один из следующих методов для его предварительного просмотра:

• На вкладке Email выберите Предварительный просмотр сообщения.
• Во всплывающем элементе сведений выбранного сообщения: Выберите Дополнительные параметры>. Предварительный просмотр сообщения.

Во всплывающем меню выберите одну из следующих вкладок:

• Источник: показывает HTML-версию тела сообщения со всеми отключенными ссылками.
• Обычный текст: показывает текст сообщения в виде простого текста.

Просмотр заголовков сообщений электронной почты

Выбрав сообщение, используйте один из следующих методов для просмотра заголовков сообщений:

• На вкладке Email выберите Дополнительные>заголовки сообщений.
• Во всплывающем элементе сведений выбранного сообщения: Выберите Дополнительные параметры>Просмотр заголовков сообщений.

Во всплывающем окне Заголовок сообщения отображается заголовок сообщения (все поля заголовка).

Используйте команду Копировать заголовок сообщения , чтобы скопировать заголовок сообщения в буфер обмена.

Выберите ссылку Анализатор заголовков сообщений Майкрософт , чтобы глубоко проанализировать поля и значения заголовков. Вставьте заголовок сообщения в раздел Вставка заголовка сообщения, который вы хотите проанализировать (ctrl+V или щелкните правой кнопкой мыши и выберите команду Вставить), а затем выберите Пункт Анализ заголовков.

Блокировка отправки сообщений электронной почты в карантин

Действие Блокировать отправителей добавляет отправителя сообщения в список заблокированных отправителей в почтовом ящике. Дополнительные сведения о блокировке отправителей см. в разделе Блокировка отправителя почты.

Выбрав сообщение, используйте один из следующих методов, чтобы добавить отправителя сообщения в список Заблокированные отправители в почтовом ящике:

• На вкладке Email выберите Дополнительный>отправитель блока.
• Во всплывающем окне сведений выбранного сообщения выберите Дополнительные параметры>Блокировать отправителя.

Во всплывающем окне Блокировать отправителя просмотрите сведения об отправителе и выберите Блокировать.

Совет

Организация по-прежнему может получать почту от заблокированного отправителя. Сообщения от отправителя доставляются в папки нежелательной Email пользователя или в карантин. Чтобы удалить сообщения от отправителя по прибытии, администратор может использовать правила потока почты (также известные как правила транспорта) для блокировки сообщения.

Принятие мер к нескольким сообщениям в карантине

При выборе нескольких сообщений в карантине на вкладке Email путем выбора полей проверка рядом с первым столбцом на вкладке Email доступны следующие массовые действия (в зависимости от значений состояния выпуска выбранных сообщений):

• Освобождение электронной почты в карантине
• Запрос на освобождение электронной почты в карантине
• Удаление электронной почты из карантина

Управление сообщениями, помещенными в карантин, в Microsoft Teams

При обнаружении потенциально вредоносного сообщения чата в Microsoft Teams автоматическая очистка нулевого часа (ZAP) удаляет сообщение и помещает его в карантин. Теперь пользователи могут просматривать эти сообщения Teams, помещенные в карантин, и управлять ими на портале Microsoft Defender. Уведомления о карантине не поддерживаются для сообщений Teams, помещенных в карантин.

Просмотр сообщений, помещенных в карантин, в Microsoft Teams

На портале Microsoft Defender по адресу перейдите на https://security.microsoft.comвкладку Email & совместной работы> Просмотрсообщений Teamsдля карантина>>. Или, чтобы перейти непосредственно на вкладку Сообщения Teams на странице Карантин, используйте https://security.microsoft.com/quarantine?viewid=Teams.

Вы можете отсортировать записи, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы. Столбцы по умолчанию:

• Текст сообщения Teams: содержит тему сообщения teams.
• Дата помещена в карантин: отображается, когда сообщение было помещено в карантин.
• Состояние. Показывает, было ли сообщение уже проверено и выпущено или требуется проверка.
• Отправитель: пользователь, отправивший сообщение, которое было помещено в карантин.
• Причина карантина: доступные варианты: фишинг с высокой достоверностью и вредоносная программа.
• Срок действия: указывает время, по истечении которого сообщение удаляется из карантина. По умолчанию это значение равно 30 дням.

Чтобы отфильтровать записи, выберите Фильтр. В открываемом всплывающем окне Фильтры доступны следующие фильтры:

• Адрес отправителя
• Время получения:
  • Последние 24 часа
  • Последние 7 дней
  • Последние 14 дней
  • Последние 30 дней (по умолчанию)
  • Настраиваемый: укажите Время начала и Время окончания (дата).
• Срок действия истекает в:
  • Пользовательский (по умолчанию): введите время начала и время окончания (дата).
  • Сегодня
  • Следующие 2 дня
  • Следующие 7 дней
• Причина карантина. Доступные значения : вредоносные программы и фишинг с высокой степенью достоверности.
• Состояние: выберите Требуется проверить и отпустить.

По завершении во всплывающем окне Фильтры нажмите кнопку Применить. Чтобы очистить фильтры, выберите Очистить фильтры.

Используйте поле Поиск и соответствующее значение для поиска определенных сообщений Teams. Подстановочные знаки не поддерживаются.

После того как вы найдете определенное сообщение Teams, помещенное в карантин, выберите сообщение, чтобы просмотреть сведения о нем и выполнить с ним действия (например, просмотр, выпуск, скачивание или удаление сообщения).

Просмотр сведений о сообщениях в карантине в Microsoft Teams

На вкладке Сообщения Teams выберите сообщение в карантине, щелкнув в любом месте строки, кроме поля проверка.

В открывавшемся всплывающем окне сведений доступны следующие сведения:

• Раздел Сведений о карантине: включает причину карантина, дату окончания срока действия, тип политики карантина и другие сведения.
  • Expires
  • Время получения
  • Причина карантина
  • Состояние выпуска
  • Тип политики
• Раздел сведений о сообщении: включает дату и время отправленного сообщения, адрес отправителя, идентификатор сообщения Teams и список получателей.
  • Адрес отправителя
  • Время получения
  • Получатели
  • Идентификатор сообщения Teams

Инструкции о действия с сообщением см. в следующем разделе.

Принятие мер для сообщений, помещенных в карантин в Microsoft Teams

На вкладке Сообщения Teams выберите сообщение в карантине, выбрав поле проверка рядом с первым столбцом. Доступны следующие варианты представления:

• Запрос на выпуск. Вы можете запросить освобождение сообщения из карантина. Администратор вашей организации должен утвердить выпуск.
• Удалить. Вы можете запросить удаление сообщения из списка сообщений, помещенных в карантин.
• Предварительный просмотр сообщения. Вы можете просмотреть сведения о выбранном сообщении.

Если вы не освобождаете или не удаляете сообщение, оно автоматически удаляется из карантина после даты, указанной в столбце Срок действия .