Управление сообщениями и файлами на карантине в качестве администратора

• Применяется к:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2

Совет

Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Сведения о том, кто может зарегистрироваться и условия пробной версии , см. здесь.

В организациях Microsoft 365 с почтовыми ящиками в Exchange Online или Microsoft Teams или в автономных Exchange Online Protection организациях без Exchange Online почтовых ящиков или Teams карантин содержит потенциально опасные или нежелательные сообщения, обнаруженные EOP и Defender для Office 365.

Администраторы могут просматривать, выпускать и удалять все типы сообщений и файлов, помещенных в карантин для всех пользователей.

Администраторы в организациях с Microsoft Defender для Office 365 также могут управлять файлами, помещенными в карантин с помощью безопасных вложений для SharePoint, OneDrive и Microsoft Teams, а также сообщений Microsoft Teams, которые были помещены в карантин с помощью автоматической очистки (ZAP) нулевого часа.

Пользователи могут управлять большинством сообщений электронной почты, помещенных в карантин, на основе политики карантина для поддерживаемых функций защиты электронной почты. Дополнительные сведения о политиках карантина см. в разделе Анатомия политики карантина.

Администраторы, а также пользователи (в зависимости от того , что пользователь сообщил о параметрах для организации) могут сообщать майкрософт о ложных срабатываниях из карантина.

Вы просматриваете сообщения в карантине и управляете ими на портале Microsoft Defender или в PowerShell (Exchange Online PowerShell для организаций Microsoft 365 с почтовыми ящиками в Exchange Online; автономный EOP PowerShell для организаций без Exchange Online почтовых ящиков).

Просмотрите это короткое видео, чтобы узнать, как управлять сообщениями в карантине в качестве администратора.

Что нужно знать перед началом работы

• Чтобы открыть портал Microsoft Defender, перейдите на страницу https://security.microsoft.com. Чтобы перейти непосредственно на страницу Карантин, используйте https://security.microsoft.com/quarantine.

• Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell. Чтобы подключиться к автономному EOP PowerShell, см. раздел Подключение к PowerShell Exchange Online Protection.

• Перед выполнением процедур, описанных в этой статье, вам необходимо назначить разрешения. Возможны следующие варианты:

  • Microsoft Defender XDR единое управление доступом на основе ролей (RBAC) (влияет только на портал Defender, а не На PowerShell):
    • Выполните действия с сообщениями, помещенными в карантин для всех пользователей: операции безопасности / данные безопасности / Email & карантин совместной работы (управление).
    • Доступ только для чтения к сообщениям в карантине для всех пользователей: операции безопасности / Данные безопасности / Основы данных безопасности (чтение).
  • Email & разрешения на совместную работу на портале Microsoft Defender:
    • Выполните действия с сообщениями, помещенным в карантин для всех пользователей: членство в группах ролей "Администратор карантина", "Администратор безопасности" или "Управление организацией".
      • Отправка сообщений из карантина в Корпорацию Майкрософт: членство в группах ролей "Администратор карантина" или "Администратор безопасности ".
      • Используйте параметр Блокировать отправителя , чтобы добавить отправителей в собственный список заблокированных отправителей. По умолчанию все пользователи имеют необходимые разрешения. Доступность действия Блокировать отправителя для пользователей, не являющихся администраторами, обычно контролируется разрешением Блокировать отправителя в политиках карантина. Назначение любого разрешения, предоставляющего администратору доступ к карантину (например, средство чтения безопасности или глобальное читатель), предоставляет доступ к блокировать отправителя в карантине.
    • Доступ только для чтения к сообщениям, помещенным в карантин, для всех пользователей: членство в группах ролей Читатель безопасности или Глобальный читатель .
  • Microsoft Entra разрешений. Членство в следующих ролях предоставляет пользователям необходимые разрешения и разрешения для других функций Microsoft 365:
    • Выполните действия с сообщениями, помещенным в карантин для всех пользователей: членство в ролях **Администратор безопасности или Глобальный администратор .
      • Отправка сообщений из карантина в Корпорацию Майкрософт: членство в роли администратора безопасности .
      • Используйте параметр Блокировать отправителя , чтобы добавить отправителей в собственный список заблокированных отправителей. По умолчанию все пользователи имеют необходимые разрешения. Доступность действия Блокировать отправителя для пользователей, не являющихся администраторами, обычно контролируется разрешением Блокировать отправителя в политиках карантина. Назначение любого разрешения, предоставляющего администратору доступ к карантину (например, средство чтения безопасности или глобальное читатель), предоставляет доступ к блокировать отправителя в карантине.
    • Доступ только для чтения к сообщениям, помещенным в карантин, для всех пользователей: членство в ролях глобального читателя или читателя безопасности .

  Совет

  Возможность управления сообщениями, помещенными в карантин, с помощью разрешений Exchange Online закончилась в феврале 2023 г. на MC447339.

  Гостевые администраторы из других организаций не могут управлять сообщениями, помещенными в карантин. Администратор должен находиться в той же организации, что и получатели.

• Сообщения и файлы, помещенные в карантин, хранятся в течение периода времени по умолчанию в зависимости от того, почему они были помещены в карантин. По истечении срока хранения сообщения автоматически удаляются и не могут быть восстановлены. Дополнительные сведения см. в разделе Хранение в карантине.

• Все действия, выполняемые администраторами или пользователями в сообщениях, помещенных в карантин, проверяются. Дополнительные сведения о событиях аудита карантина см. в статье Схема карантина в API управления Office 365.

Использование портала Microsoft Defender для управления сообщениями электронной почты, помещенными в карантин

Просмотр электронной почты в карантине

На портале Microsoft Defender по адресу перейдите на https://security.microsoft.comвкладку Email & совместной работы>Проверка>карантина>Email. Или, чтобы перейти непосредственно на вкладку Email на странице Карантин, используйте https://security.microsoft.com/quarantine?viewid=Email.

На вкладке Email можно уменьшить вертикальный интервал в списке, щелкнув Изменить интервал списка на компактный или обычный, а затем выбрав Пункт Компактный список.

Вы можете отсортировать записи, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы. Значения по умолчанию помечены звездочкой (^*):

• Время получения^*
• Тема^*
• Отправителя^*
• Причина^* карантина (см. возможные значения в Описание фильтра .)
• Состояние^* выпуска (см. возможные значения в Описание фильтра .)
• Тип^* политики (см. возможные значения в Описание фильтра .)
• Истекает^*
• Получатель. Адрес электронной почты получателя всегда разрешается в основной адрес электронной почты, даже если сообщение было отправлено на прокси-адрес.
• КОД сообщения
• Имя политики
• Размер сообщения
• Направление почты
• Тег recipient

Чтобы отфильтровать записи, выберите Фильтр. В открываемом всплывающем окне Фильтры доступны следующие фильтры:

• Идентификатор сообщения: глобальный уникальный идентификатор сообщения.

  Например, вы использовали трассировку сообщения для поиска сообщения и определили, что сообщение было помещено в карантин, а не доставлено. Обязательно включите полное значение идентификатора сообщения, которое может включать угловые скобки (<>). Пример: <79239079-d95a-483a-aacf-e954f592a0f6@XYZPR00BM0200.contoso.com>.

• Адрес отправителя

• Адрес получателя

• Тема

• Время получения:

  • Последние 24 часа
  • Последние 7 дней
  • Последние 14 дней
  • Последние 30 дней (по умолчанию)
  • Настраиваемый: укажите Время начала и Время окончания (дата).

• Срок действия: фильтрация сообщений по истечении срока их действия из карантина:

  • Сегодня
  • Следующие 2 дня
  • Следующие 7 дней
  • Настраиваемый: укажите Время начала и Время окончания (дата).

• Тег получателя. В настоящее время единственным выбираемым тегом пользователя является учетная запись Priority.

• Причина карантина:

  • Правило транспорта (правило потока почты)
  • Массовая рассылка
  • Спам
  • Защита от потери данных
  • Вредоносные программы: политики защиты от вредоносных программ в EOP или политики безопасных вложений в Defender для Office 365. Значение Тип политики указывает, какой компонент использовался.
  • Фишинг: решение спам-фильтра — фишинг либо средство защиты от фишинга поместило сообщение в карантин (параметры спуфинга или защита от олицетворения).
  • Фишинг с высокой вероятностью
  • Администратор действие — блок типа файла: сообщения, заблокированные как вредоносные программы с помощью фильтра общих вложений в политиках защиты от вредоносных программ. Дополнительные сведения см. в разделе Политики защиты от вредоносных программ.

• Получатель: все пользователи или только я. Конечные пользователи могут управлять только отправленными в карантин сообщениями.

• Состояние выпуска: любое из следующих значений.

  • Требуется проверка
  • Утверждено
  • Отклонено
  • Запрос на выпуск
  • Выпущено
  • Подготовка к выпуску
  • Ошибка

• Тип политики: фильтрация сообщений по типу политики:

  • Политика защиты от вредоносных программ
  • Политика безопасных вложений
  • Политика защиты от фишинга
  • Политика защиты от спама
  • Правило транспорта (правило потока почты)
  • Правило защиты от потери данных

  Значения типа политики и причины карантина связаны между собой. Например, bulk всегда связан с политикой защиты от нежелательной почты, а не с политикой защиты от вредоносных программ.

Завершив работу с всплывающий элемент Фильтры , нажмите кнопку Применить. Чтобы очистить фильтры, выберите Очистить фильтры.

Совет

Фильтры кэшируются. Фильтры из последних сеансов выбираются по умолчанию при следующем открытии страницы Карантин . Это поведение помогает при рассмотрении операций.

Используйте поле Поиск и соответствующее значение для поиска определенных сообщений. Подстановочные знаки не поддерживаются. Вы можете искать по следующим значениям:

• Адрес электронной почты отправителя
• Тема. Используйте всю тему сообщения. При поиске регистр не учитывается.

После ввода условий поиска нажмите клавишу ВВОД, чтобы отфильтровать результаты.

Примечание.

Поле Поиск выполняет поиск элементов, помещенных в карантин в текущем представлении (которое ограничено 100 элементами), а не всех элементов, помещенных в карантин. Для поиска всех помещенных в карантин элементов используйте Фильтр и всплывающее при этом меню Фильтры.

После того как вы найдете определенное сообщение в карантине, выберите сообщение, чтобы просмотреть сведения о нем и выполнить с ним действия (например, просмотр, выпуск, скачивание или удаление сообщения).

Совет

На мобильных устройствах ранее описанные элементы управления доступны в разделе Дополнительно.

Просмотр сведений о электронной почте в карантине

1. На портале Microsoft Defender по адресу перейдите на https://security.microsoft.comвкладку Email & совместной работы>Проверка>карантина>Email. Или, чтобы перейти непосредственно на вкладку Email на странице Карантин, используйте https://security.microsoft.com/quarantine?viewid=Email.

2. На вкладке Email выберите сообщение в карантине, щелкнув в любом месте строки, кроме поля проверка.

В открывавшемся всплывающем окне сведений доступны следующие сведения:

Совет

Действия, доступные в верхней части всплывающего элемента, описаны в разделе Принятие мер по электронной почте в карантине.

Чтобы просмотреть сведения о других сообщениях, помещенных в карантин, не выходя из всплывающего меню сведений, используйте предыдущий элемент и следующий элемент в верхней части всплывающего окна.

• Раздел сведений о карантине:

  • Получено: Дата и время получения сообщения.

  • Срок действия: дата и время автоматического и окончательного удаления сообщения из карантина.

  • Тема

  • Причина карантина. Показывает, было ли сообщение идентифицировано как спам, массовый, фишинг, соответствует правилу потока обработки почты (правилу транспорта) или содержит вредоносные программы.

  • Тип политики

  • Имя политики

  • Количество получателей

  • Получатели. Если сообщение содержит несколько получателей, может потребоваться использовать предварительный просмотр сообщения или Просмотр заголовка сообщения , чтобы просмотреть полный список получателей.

    Адреса электронной почты получателей всегда разрешаются в основной адрес электронной почты, даже если сообщение было отправлено на прокси-адрес.

  • Выпущено в или Еще не выпущено. Если сообщение требует проверки администратором перед выпуском:

    • Выпущено по адресу: Email адреса получателей, которым было отправлено сообщение.
    • Еще не выпущено по адресу: Email адреса получателей, которым не было отправлено сообщение.

Остальная часть всплывающего меню сведений содержит разделы Сведения о доставке, Email сведения, URL-адреса и вложения, которые входят в панель сводки Email. Дополнительные сведения см. в разделе Сводная панель Email.

Инструкции о действия с сообщением см. в следующем разделе.

Совет

Чтобы просмотреть сведения о других сообщениях, помещенных в карантин, не выходя из всплывающего меню сведений, используйте предыдущий элемент и следующий элемент в верхней части всплывающего окна.

Выполнение действий с электронной почтой в карантине

1. На портале Microsoft Defender по адресу перейдите на https://security.microsoft.comвкладку Email & совместной работы>Проверка>карантина>Email. Или, чтобы перейти непосредственно на вкладку Email на странице Карантин, используйте https://security.microsoft.com/quarantine?viewid=Email.

2. На вкладке Email выберите сообщение электронной почты, помещенное в карантин, с помощью любого из следующих методов:

   • Выберите сообщение из списка, выбрав поле проверка рядом с первым столбцом. Доступные действия больше не отображаются серым цветом.

     

   • Выберите сообщение из списка, щелкнув в любом месте строки, кроме поля проверка. Доступные действия находятся в открываемом всплывающем окне сведений.

     

   Используя любой из методов для выбора сообщения, многие действия доступны в разделе Дополнительные или Дополнительные параметры.

После выбора сообщения в карантине доступные действия описаны в следующих подразделах.

Совет

На мобильных устройствах взаимодействие с действиями немного отличается:

• При выборе сообщения, выбрав поле проверка, все действия отображаются в разделе Дополнительно:

  

• При выборе сообщения, щелкнув в любом месте строки, кроме поля проверка, текст описания будет недоступен для некоторых значков действий во всплывающем меню сведений. Но действия и их порядок такие же, как на компьютере:

  

Освобождение электронной почты в карантине

Это действие недоступно для сообщений электронной почты, которые уже были выпущены (значение Состояние выпуска — Released).

Если вы не освобождаете или не удаляете сообщение, оно автоматически удаляется из карантина после даты, указанной в столбце Срок действия .

• Вы не можете отправить сообщение одному и тому же получателю более одного раза.
• При выборе отдельных исходных получателей для получения освобожденного сообщения можно выбрать только тех получателей, которые еще не получили выпущенное сообщение.
• Члены группы ролей "Администраторы безопасности" могут просматривать и использовать параметры Отправить сообщение в Корпорацию Майкрософт для улучшения обнаружения и Разрешить электронную почту с похожими атрибутами .
• Пользователи могут сообщать майкрософт о ложных срабатываниях из карантина в зависимости от значения параметра Отчеты из карантина в параметрах, сообщаемых пользователем.

Совет

• Сторонние антивирусные решения, службы безопасности и исходящие соединители могут вызвать следующие проблемы для сообщений, освобожденных из карантина:

  • Сообщение помещается в карантин после освобождения.
  • Содержимое удаляется из выпущенного сообщения до того, как оно достигнет папки "Входящие" получателя.
  • Выпущенное сообщение никогда не поступает в папку "Входящие" получателя.
  • Действия в уведомлениях о карантине могут быть выбраны случайным образом.

  Убедитесь, что вы не используете стороннюю фильтрацию, прежде чем отправить запрос в службу поддержки по этим проблемам.

• Правила папки "Входящие" (созданные пользователями в Outlook или администраторами с помощью командлетов *-InboxRule в Exchange Online PowerShell) могут перемещать или удалять сообщения из папки "Входящие".

Администраторы могут использовать трассировку сообщений , чтобы определить, было ли отправлено выпущенное сообщение в папку "Входящие" получателя.

Выбрав сообщение, используйте один из следующих методов, чтобы освободить его:

• На вкладке Email выберите Выпуск.
• Во всплывающем окне сведений выбранного сообщения выберите Освободить сообщение электронной почты.

Во всплывающем окне Выпуск сообщения электронной почты получателям в папке "Входящие " настройте следующие параметры:

• Выберите одно из следующих значений:

  • Выпуск для всех получателей
  • Освободить одного или нескольких исходных получателей сообщения электронной почты. Введите получателей в появившемся поле Получатели .

• Отправить копию этого сообщения другому получателю. При выборе этого параметра выберите одного или нескольких получателей, щелкнув в появившемся поле Получатели .

• Отправьте сообщение в Корпорацию Майкрософт для улучшения обнаружения. Если вы выбрали этот параметр, ошибочно помещенное в карантин сообщение будет отправлено в корпорацию Майкрософт как ложноположительное сообщение. В зависимости от результатов анализа правила фильтрации нежелательной почты на уровне службы могут быть скорректированы, чтобы разрешить прохождение сообщения.

  При выборе этого параметра откроются следующие параметры:

  • Разрешить это сообщение. Если выбран этот параметр, в список разрешенных и заблокированных клиентов добавляются записи разрешения для отправителя и все связанные URL-адреса или вложения в сообщении. Также отображаются следующие параметры:
    • Удалить запись после. Значение по умолчанию — 30 дней, но вы также можете выбрать 1 день, 7 дней или конкретную дату , которая меньше 30 дней.
    • Разрешить ввод. Введите необязательное примечание, содержащее дополнительные сведения.

По завершении во всплывающем окне Отправка сообщения электронной почты получателю в папки "Входящие " выберите Выпуск сообщения.

На вкладке Email значение Состояние выпуска сообщения будет освобождено.

Утверждение или отклонение запросов на выпуск от пользователей для электронной почты в карантине

Пользователи могут запросить освобождение сообщений электронной почты, если политика карантина использовала параметр Разрешить получателям запрашивать освобождение сообщения из карантина (PermissionToRequestRelease разрешение), а не разрешить получателям освобождать сообщение из карантина (PermissionToRelease разрешение), когда сообщение было помещено в карантин. Дополнительные сведения см. в статье Создание политик карантина на портале Microsoft Defender.

После того как получатель запросит выпуск сообщения электронной почты, значение состояния выпуска изменится на Выпуск запрошен, и администратор может утвердить или отклонить запрос.

Совет

Одно оповещение об освобождении сообщения может быть создано для нескольких запросов на выпуск для этого сообщения. Используйте ссылку карантина в разделе Сведения сообщения об оповещении, чтобы выполнить действия по запросу на выпуск от пользователей в организации за последние 7 дней.

Если вы не освобождаете или не удаляете сообщение, оно автоматически удаляется из карантина после даты, указанной в столбце Срок действия .

После выбора сообщения используйте один из следующих методов, чтобы утвердить или отклонить запрос на выпуск:

• На вкладке Email выберите Утвердить выпуск или Запретить.
• Во всплывающем окне сведений выбранного сообщения выберите Дополнительно, а затем выберите Утвердить выпуск или Запретить выпуск.

Если выбрать Утвердить выпуск, откроется всплывающее окно Утвердить выпуск , где можно просмотреть сведения о сообщении. Чтобы утвердить запрос, выберите Утвердить выпуск. Откроется всплывающее окно "Выпуск утверждено ", где можно щелкнуть ссылку, чтобы узнать больше о выпуске сообщений. По завершении нажмите кнопку Готово во всплывающем окне "Выпуск утвержден ". На вкладке Email значение состояния выпуска сообщения изменится на Утверждено.

Если выбрать Запретить, откроется всплывающее окно Запретить выпуск , где можно просмотреть сведения о сообщении. Чтобы отклонить запрос, выберите Запретить выпуск. Откроется всплывающее окно "Отказано в выпуске ", где можно щелкнуть ссылку, чтобы узнать больше о выпуске сообщений. По завершении нажмите кнопку Готово во всплывающем окне Отказано в выпуске . На вкладке Email значение состояния выпуска сообщения изменится на Отказано.

Совет

Выпуск можно запретить только для всех получателей. Вы не можете запретить выпуск для определенных получателей.

Удаление электронной почты из карантина

При удалении сообщения электронной почты из карантина оно удаляется и не отправляется исходным получателям.

Если вы не освобождаете или не удаляете сообщение, оно автоматически удаляется из карантина после даты, указанной в столбце Срок действия .

После выбора сообщения используйте один из следующих методов, чтобы удалить его:

• На вкладке Email выберите Удалить из карантина.
• Во всплывающем элементе сведений выбранного сообщения выберите Дополнительные параметры>Удалить из карантина.

Во всплывающем окне Удаление (n) сообщений из карантина используйте один из следующих методов для удаления сообщения:

• Выберите Безвозвратно удалить сообщение из карантина , а затем выберите Удалить: сообщение окончательно удалено и не может быть восстановлено.
• Выберите Удалить только: сообщение удалено, но потенциально можно восстановить.

После нажатия кнопки Удалить во всплывающем окне Удалить (n) сообщений из карантина вы вернеесь на вкладку Email, где сообщение больше не указано.

Предварительный просмотр электронной почты из карантина

Выбрав сообщение, используйте один из следующих методов для его предварительного просмотра:

• На вкладке Email выберите Предварительный просмотр сообщения.
• Во всплывающем элементе сведений выбранного сообщения: Выберите Дополнительные параметры>. Предварительный просмотр сообщения.

Во всплывающем меню выберите одну из следующих вкладок:

• Источник: показывает HTML-версию тела сообщения со всеми отключенными ссылками.
• Обычный текст: показывает текст сообщения в виде простого текста.

Просмотр заголовков сообщений электронной почты

Выбрав сообщение, используйте один из следующих методов для просмотра заголовков сообщений:

• На вкладке Email выберите Дополнительные>заголовки сообщений.
• Во всплывающем элементе сведений выбранного сообщения: Выберите Дополнительные параметры>Просмотр заголовков сообщений.

Во всплывающем окне Заголовок сообщения отображается заголовок сообщения (все поля заголовка).

Используйте команду Копировать заголовок сообщения , чтобы скопировать заголовок сообщения в буфер обмена.

Выберите ссылку Анализатор заголовков сообщений Майкрософт , чтобы глубоко проанализировать поля и значения заголовков. Вставьте заголовок сообщения в раздел Вставка заголовка сообщения, который вы хотите проанализировать (ctrl+V или щелкните правой кнопкой мыши и выберите команду Вставить), а затем выберите Пункт Анализ заголовков.

Отправка сообщения электронной почты в Корпорацию Майкрософт для проверки из карантина

Выбрав сообщение, используйте один из следующих методов, чтобы сообщить о сообщении в корпорацию Майкрософт для анализа.

• На вкладке Email выберите Дополнительно>отправить для проверки.
• Во всплывающем окне сведений выбранного сообщения выберите Дополнительные параметры>Отправить на проверку.

Во всплывающем окне Отправить в Майкрософт для анализа настройте следующие параметры:

• Добавьте идентификатор сетевого сообщения или отправьте файл электронной почты. Выберите один из следующих параметров:

  • Добавление идентификатора сетевого сообщения электронной почты. Это значение выбрано по умолчанию с соответствующим значением в поле.
  • Отправьте файл электронной почты (.msg или eml). После выбора этого параметра нажмите кнопку Обзор файлов , чтобы найти и выбрать файл сообщения .msg или .eml для отправки.

• Выберите получателя, у которого возникла проблема: выберите одного (предпочтительного) или нескольких исходных получателей сообщения, чтобы проанализировать примененные к ним политики.

• Выберите причину отправки в Корпорацию Майкрософт. Выберите один из следующих вариантов:

  • Я подтвердил, что оно чистое (по умолчанию): выберите этот параметр, если вы уверены, что сообщение чистое, а затем нажмите кнопку Далее. Затем доступны следующие параметры:

    • Разрешить эту электронную почту. Если выбрать этот параметр, в список разрешенных и заблокированных клиентов добавляются записи разрешения для отправителя и все связанные URL-адреса или вложения в сообщении. Также отображаются следующие параметры:
    • Удалить запись после. Значение по умолчанию — 30 дней, но вы также можете выбрать 1 день, 7 дней или конкретную дату , которая меньше 30 дней.
    • Разрешить ввод. Введите необязательное примечание, содержащее дополнительные сведения.

  • Он выглядит чистым: выберите этот параметр, если вы не уверены и хотите выказать вердикт от корпорации Майкрософт.

По завершении во всплывающем окне Отправить в Майкрософт для анализа выберите Отправить.

Совет

Пользователи могут сообщать майкрософт о ложных срабатываниях из карантина в зависимости от значения параметра Отчеты из карантина в параметрах, сообщаемых пользователем.

Блокировка отправки сообщений электронной почты в карантин

Действие Блокировать отправителей добавляет отправителя выбранного сообщения электронной почты в список Заблокированные отправители в почтовом ящике любого пользователя, вошедшего в систему. Как правило, это действие используется конечными пользователями, если оно доступно для них политиками карантина. Дополнительные сведения о пользователях, блокирующих отправителей, см. в разделе Блокировка отправителя почты.

Выбрав сообщение, используйте один из следующих методов, чтобы добавить отправителя сообщения в список Заблокированные отправители в почтовом ящике :

• На вкладке Email выберите Дополнительный>отправитель блока.
• Во всплывающем окне сведений выбранного сообщения выберите Дополнительные параметры>Блокировать отправителя.

Во всплывающем окне Блокировать отправителя просмотрите сведения об отправителе и выберите Блокировать.

Совет

Организация по-прежнему может получать почту от заблокированного отправителя. Сообщения от отправителя доставляются в папки нежелательной Email пользователя или в карантин. Чтобы удалить сообщения от отправителя по прибытии, используйте правила потока обработки почты (также известные как правила транспорта), чтобы заблокировать сообщение.

Общий доступ к электронной почте из карантина

Вы можете отправить копию сообщения электронной почты, помещенного в карантин, включая потенциально опасное содержимое, указанным получателям.

Выбрав сообщение, используйте один из следующих методов, чтобы отправить его копию другим пользователям:

• На вкладке Email выберите Дополнительно>поделиться электронной почтой.
• Во всплывающем окне сведений выбранного сообщения выберите Дополнительные параметры>Поделиться электронной почтой.

Во всплывающем окне Поделиться электронной почтой с другими пользователями выберите одного или нескольких получателей, чтобы получить копию сообщения. По завершении выберите Общий доступ.

Скачивание электронной почты из карантина

После выбора сообщения электронной почты используйте один из следующих методов, чтобы скачать его:

• На вкладке Email выберите Дополнительно>скачать сообщения.
• Во всплывающем элементе сведений выбранного сообщения выберите Дополнительные параметры>Скачать сообщение.

Во всплывающем окне Скачивание файла введите следующие сведения:

• Причина скачивания файла: введите описательный текст.
• Создание пароля и подтверждение пароля. Введите пароль, необходимый для открытия скачаемого файла сообщения.

По завершении во всплывающем окне Скачать файл нажмите кнопку Скачать.

Когда скачивание будет готово, откроется диалоговое окно Сохранить как , чтобы просмотреть или изменить скачанный файл и расположение. По умолчанию файл сообщения .eml сохраняется в сжатом файле с именем Карантин Messages.zip в папке Загрузки . Если файл .zip уже существует, к имени файла добавляется номер (например, сообщения в карантине(1).zip).

Примите или измените сведения о скачанных файлах, а затем нажмите кнопку Сохранить.

Вернитесь к всплывающему меню Скачивание файла и выберите Готово.

Действия для сообщений электронной почты, помещенных в карантин, в Defender для Office 365

В организациях с Microsoft Defender для Office 365 (лицензиями на надстройки или подписками, такими как Microsoft 365 E5 или Microsoft 365 бизнес премиум), во всплывающем всплывающем элементе с подробными сведениями также доступны следующие действия:

• Открытие сущности электронной почты. Дополнительные сведения см. в разделе Что находится на странице сущности Email.

• Выполнение действий. Это действие запускает тот же мастер действий, который доступен на странице сущности Email. Дополнительные сведения см. в разделе Действия на странице сущности Email.

Принятие мер к нескольким сообщениям в карантине

При выборе нескольких сообщений в карантине на вкладке Email путем выбора полей проверка рядом с первым столбцом на вкладке Email доступны следующие массовые действия (в зависимости от значений состояния выпуска выбранных сообщений):

• Освобождение электронной почты в карантине

  Единственными доступными вариантами для массовых действий являются Отправка копии этого сообщения другим получателям в вашей организации и Отправка сообщения в Корпорацию Майкрософт для улучшения обнаружения (ложноположительные).

• Утверждение или отклонение запросов на выпуск от пользователей для электронной почты в карантине

• Удаление электронной почты из карантина

• Отправка сообщения электронной почты в Корпорацию Майкрософт для проверки из карантина

  Единственными доступными параметрами для массовых действий являются Разрешить сообщения электронной почты с похожими атрибутами и соответствующие параметры Удалить разрешить запись после и Разрешить запись записи.

• Скачивание электронной почты из карантина

Поиск пользователей, удаливших сообщение в карантине

По умолчанию многие вердикты политики безопасности позволяют пользователям удалять сообщения, помещенные в карантин (сообщения, где они получатели). Дополнительные сведения см. в таблице Управление сообщениями и файлами в карантине в качестве пользователя.

Администраторы могут искать в журнале аудита события сообщений, которые были удалены из карантина, используя следующие процедуры:

1. На портале Defender перейдите в https://security.microsoft.comраздел Аудит. Или перейдите непосредственно на страницу Аудит по ссылке https://security.microsoft.com/auditlogsearch.

   Совет

   Вы также можете открыть страницу Аудит в Портал соответствия требованиям Microsoft Purview по адресуhttps://compliance.microsoft.com/auditlogsearch

2. На странице Аудит убедитесь, что выбрана вкладка Создать Поиск, а затем настройте следующие параметры:

   • Диапазон даты и времени (UTC)
   • Действия — понятные имена. Щелкните в поле, начните вводить "карантин" в появившемся Поиск поле, а затем выберите сообщение Об удалении карантина в результатах.
   • Пользователи. Если известно, кто удалил сообщение из карантина, можно дополнительно отфильтровать результаты по пользователям.

3. Завершив ввод условий поиска, выберите Поиск, чтобы создать поиск.

Полные инструкции по поиску по журналам аудита см. в статье Аудит новых Поиск.

Используйте портал Microsoft Defender для управления файлами, помещенными в карантин, в Defender для Office 365

Примечание.

Процедуры для файлов, помещенных в карантин в этом разделе, доступны только для подписчиков Microsoft Defender для Office 365 (план 1) или плана 2.

Файлы, помещенные в карантин в SharePoint или OneDrive, удаляются из карантина через 30 дней, но заблокированные файлы остаются в SharePoint или OneDrive в заблокированном состоянии.

В организациях с Defender для Office 365 администраторы могут управлять файлами, помещенными в карантин безопасными вложениями для SharePoint, OneDrive и Microsoft Teams. Сведения о включении защиты для этих файлов см . в статье Включение безопасных вложений для SharePoint, OneDrive и Microsoft Teams.

Просмотр файлов, помещенных в карантин

На портале Microsoft Defender по адресу перейдите на https://security.microsoft.comвкладку Email & совместной работы>Просмотр>файловкарантина>. Или, чтобы перейти непосредственно на вкладку Файлы на странице Карантин, используйте https://security.microsoft.com/quarantine?viewid=Files.

На вкладке Файлы можно уменьшить вертикальный интервал в списке, щелкнув Изменить интервал списка на компактный или обычный , а затем выберите Пункт Компактный список.

Вы можете отсортировать записи, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы. Значения по умолчанию помечены звездочкой (^*):

• Пользователя^*
• Расположение^*: значение SharePoint или OneDrive.
• Имя файла вложения^*
• URL-адрес файла^*
• Размер файла.
• Состояние выпуска^*
• Истекает^*
• Обнаружено
• Изменено по времени

Чтобы отфильтровать записи, выберите Фильтр. В открываемом всплывающем окне Фильтры доступны следующие фильтры:

• Время получения:
  • Последние 24 часа
  • Последние 7 дней
  • Последние 14 дней
  • Последние 30 дней (по умолчанию)
  • Настраиваемый: укажите Время начала и Время окончания (дата).
• Срок действия истекает:
  • Пользовательский (по умолчанию): введите время начала и время окончания (дата).
  • Сегодня
  • Следующие 2 дня
  • Следующие 7 дней
• Причина карантина. Единственное доступное значение — Вредоносная программа.
• Тип политики. Единственное доступное значение — Unknown.

По завершении во всплывающем окне Фильтры нажмите кнопку Применить. Чтобы очистить фильтры, выберите Очистить фильтры.

Используйте поле Поиск и соответствующее значение, чтобы найти определенные файлы по имени файла. Подстановочные знаки не поддерживаются.

После ввода условий поиска нажмите клавишу ВВОД, чтобы отфильтровать результаты.

Найдя определенный файл в карантине, выберите файл, чтобы просмотреть сведения о нем и выполнить с ним действия (например, просмотр, выпуск, скачивание или удаление файла).

Просмотр сведений о файлах в карантине

1. На портале Microsoft Defender по адресу перейдите на https://security.microsoft.comвкладку Email & совместной работы>Просмотр>файловкарантина>. Или, чтобы перейти непосредственно на вкладку Файлы на странице Карантин, используйте https://security.microsoft.com/quarantine?viewid=Files.

2. На вкладке Файлы выберите файл, помещенный в карантин, щелкнув в любом месте строки, кроме поля проверка.

В открывавшемся всплывающем окне сведений доступны следующие сведения:

• Раздел сведений о файле:
  • Имя файла
  • URL-адрес файла: URL-адрес, определяющий расположение файла (например, в SharePoint Online).
  • Обнаружено вредоносное содержимое Дата и время, когда файл был помещен в карантин.
  • Срок действия: дата удаления файла из карантина.
  • Обнаружено
  • Выпущен?
  • Имя вредоносной программы
  • Идентификатор документа. Уникальный идентификатор документа.
  • Размер файла.
  • Организации Уникальный идентификатор вашей организации.
  • Дата последнего изменения
  • Последнее изменение: пользователь, который последний раз изменял файл.
  • Значение 256-разрядного хэш-алгоритма (SHA-256). Это хэш-значение можно использовать для идентификации файла в других хранилищах репутации или в других расположениях в вашей среде.

Действия с файлом см. в следующем разделе.

Совет

Чтобы просмотреть сведения о других файлах, помещенных в карантин, не выходя из всплывающего меню сведений, используйте предыдущий элемент и следующий элемент в верхней части всплывающего меню.

Принятие мер для файлов, помещенных в карантин

1. На портале Microsoft Defender по адресу перейдите на https://security.microsoft.comвкладку Email & совместной работы>Просмотр>файловкарантина>. Или, чтобы перейти непосредственно на вкладку Файлы на странице Карантин, используйте https://security.microsoft.com/quarantine?viewid=Files.

2. На вкладке Файлы выберите файл, помещенный в карантин, щелкнув в любом месте строки, кроме поля проверка.

После выбора файла, помещенного в карантин, доступные действия во всплывающем окне сведений о файле, который открывается, описаны в следующих подразделах.

Освобождение файлов, помещенных в карантин, из карантина

Это действие недоступно для файлов, которые уже были выпущены (значение состояния выпуска — Released).

Если вы не освобождаете или не удаляете файл из карантина, файл удаляется из карантина по истечении срока хранения карантина по умолчанию (как показано в столбце Срок действия ), но заблокированный файл остается в SharePoint или OneDrive в заблокированном состоянии.

Выбрав файл, выберите Файл выпуска во всплывающем во всплывающем окне сведений о файле.

В открывавшемся всплывающем окне Выпуск файлов и сообщите о них в Майкрософт просмотрите сведения о файлах в разделе Отчет о файлах в Майкрософт для анализа , решите, следует ли выбрать Отчеты о файлах в Корпорацию Майкрософт для анализа, а затем выберите Выпуск.

Во всплывающем окне Файлы были освобождены , выберите Готово.

Вернитесь к всплывающему элементу сведений о файле и нажмите кнопку Закрыть.

На вкладке Файлы значение Состояние выпуска файла будет освобождено.

Скачивание файлов, помещенных в карантин, из карантина

Выбрав файл, выберите Скачать файл во всплывающем окне сведений.

Во всплывающем окне Скачивание файла введите следующие сведения:

• Причина скачивания файла: введите описательный текст.
• Создание пароля и подтверждение пароля. Введите пароль, необходимый для открытия скачаемого файла.

По завершении во всплывающем окне Скачать файл нажмите кнопку Скачать.

Когда скачивание будет готово, откроется диалоговое окно Сохранить как , чтобы просмотреть или изменить скачанный файл и расположение. По умолчанию файл сохраняется в сжатом файле с именем Карантин Messages.zip в папке Загрузки . Если файл .zip уже существует, к имени файла добавляется номер (например, сообщения в карантине(1).zip).

Примите или измените сведения о скачанных файлах, а затем нажмите кнопку Сохранить.

Вернитесь к всплывающему меню Скачивание файла и выберите Готово.

Удаление файлов, помещенных в карантин, из карантина

Если вы не освобождаете или не удаляете файл из карантина, файл удаляется из карантина по истечении срока хранения карантина по умолчанию (как показано в столбце Срок действия ), но заблокированный файл остается в SharePoint или OneDrive в заблокированном состоянии.

Выбрав файл, выберите Дополнительно>удалить из карантина во всплывающем окне сведений.

Выберите Продолжить в открывшемся диалоговом окне предупреждения.

На вкладке Файлы файл больше не отображается.

Выполните действия с несколькими файлами, помещенными в карантин

При выборе нескольких файлов, помещенных в карантин, на вкладке Файлы, выбрав поля проверка рядом с первым столбцом (до 100 файлов), откроется раскрывающийся список Массовые действия, в котором можно выполнить следующие действия:

• Освобождение файлов, помещенных в карантин, из карантина
• Удаление файлов, помещенных в карантин, из карантина
• Скачивание файлов, помещенных в карантин, из карантина

Использование портала Microsoft Defender для управления сообщениями Microsoft Teams, помещенными в карантин

Совет

Автоматическая очистка без часа (ZAP) в Microsoft Teams в настоящее время доступна в предварительной версии, доступна не во всех организациях и может быть изменена.

Карантин в Microsoft Teams доступен только в организациях с Microsoft Defender для Office 365 планом 2 (лицензии на надстройки или включены в подписки, такие как Microsoft 365 E5).

При обнаружении потенциально вредоносного сообщения чата в Microsoft Teams автоматическая очистка нулевого часа (ZAP) удаляет сообщение и помещает его в карантин. Администраторы могут просматривать эти сообщения Teams, помещенные в карантин, и управлять ими. Сообщение помещается в карантин в течение 30 дней. После этого сообщение Teams окончательно удаляется.

Эта функция включена по умолчанию.

Просмотр сообщений Teams в карантине

На портале Microsoft Defender по адресу перейдите на https://security.microsoft.comвкладку Email & совместной работы> Просмотрсообщений Teamsдля карантина>>. Или, чтобы перейти непосредственно на вкладку Сообщения Teams на странице Карантин, используйте https://security.microsoft.com/quarantine?viewid=Teams.

На вкладке Сообщения Teams можно уменьшить вертикальный интервал в списке, щелкнув Изменить интервал списка на компактный или обычный , а затем выбрав Пункт Компактный список.

Вы можете отсортировать записи, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы. Значения по умолчанию помечены звездочкой (^*):

• Текст сообщения Teams: содержит тему сообщения Teams.^*
• Время получения: время получения сообщения получателем.^*
• Состояние выпуска. Показывает, было ли сообщение уже проверено и выпущено или требуется проверка. ^*
• Участники: общее число пользователей, которые получили сообщение.^*
• Отправитель: пользователь, отправивший сообщение, которое было помещено в карантин.^*
• Причина карантина. Доступные варианты: "Фишинг с высокой достоверностью" и "Вредоносная программа".^*
• Тип политики: политика организации, ответственная за сообщение, помещенное в карантин.^*
• Срок действия: указывает время, по истечении которого сообщение удаляется из карантина. По умолчанию это значение равно 30 дням.^*
• Адрес получателя: Email адрес получателей.^*
• Идентификатор сообщения. Включает идентификатор сообщения чата.

Чтобы отфильтровать записи, выберите Фильтр. В открываемом всплывающем окне Фильтры доступны следующие фильтры:

• КОД сообщения
• Адрес отправителя
• Адрес получателя
• Тема
• Время получения:
  • Последние 24 часа
  • Последние 7 дней
  • Последние 14 дней
  • Последние 30 дней (по умолчанию)
  • Настраиваемый: укажите Время начала и Время окончания (дата).
• Срок действия истекает:
  • Пользовательский (по умолчанию): введите время начала и время окончания (дата).
  • Сегодня
  • Следующие 2 дня
  • Следующие 7 дней
• Причина карантина. Доступные значения : вредоносные программы и фишинг с высокой степенью достоверности.
• Получатель: выберите Все пользователи или Только я.
• Состояние проверки: выберите Требуется проверка и Отпущено.

По завершении во всплывающем окне Фильтры нажмите кнопку Применить. Чтобы очистить фильтры, выберите Очистить фильтры.

Используйте поле Поиск и соответствующее значение для поиска определенных сообщений Teams. Подстановочные знаки не поддерживаются.

После того как вы найдете определенное сообщение Teams, помещенное в карантин, выберите сообщение, чтобы просмотреть сведения о нем и выполнить с ним действия (например, просмотр, выпуск, скачивание или удаление сообщения).

Просмотр сведений о сообщениях Teams в карантине

На вкладке Сообщения Teams на странице Карантин выберите сообщение в карантине, щелкнув в любом месте строки, кроме поля проверка рядом с первым столбцом.

В верхней части всплывающего окна сведений доступны следующие сведения о сообщении:

• Название всплывающего элемента — это тема или первые 100 символов сообщения Teams.
• Значение Причины карантина .
• Количество ссылок в сообщении.
• Доступные действия описаны в разделе Предпринять действия с сообщениями Teams, помещенными в карантин .

Совет

Чтобы просмотреть сведения о других сообщениях Teams, помещенных в карантин, не выходя из всплывающего меню сведений, используйте предыдущий элемент и следующий элемент в верхней части всплывающего окна.

Следующий раздел всплывающего меню сведений связан с сообщениями Teams, помещенными в карантин:

• Раздел сведений о карантине:
  • Expires
  • Время получения
  • Причина карантина
  • Состояние выпуска
  • Тип политики: значение None.
  • Имя политики. Значение — Политика защиты Teams.
  • Политика карантина

Остальная часть всплывающего меню сведений содержит разделы Сведения о сообщении, Отправителе, Участниках, Сведения о канале и URL-адресах , которые входят в панель сущностей сообщения Teams. Дополнительные сведения см. в разделе Панель сущностей Teams mMessage в Microsoft Defender для Office 365 план 2.

Завершив во всплывающем окне сведений, нажмите кнопку Закрыть.

Принятие мер для сообщений Teams, помещенных в карантин

На портале Microsoft Defender по адресу перейдите на https://security.microsoft.comвкладку Email & совместной работы> Просмотрсообщений Teamsдля карантина>>. Или, чтобы перейти непосредственно на вкладку Сообщения Teams на странице Карантин, используйте https://security.microsoft.com/quarantine?viewid=Teams.

На вкладке Сообщения Teams выберите сообщение, помещенное в карантин, с помощью любого из следующих методов:

• Выберите сообщение из списка, выбрав поле проверка рядом с первым столбцом. Доступные действия больше не отображаются серым цветом.

  

• Выберите сообщение из списка, щелкнув в любом месте строки, кроме поля проверка. Доступные действия находятся в открываемом всплывающем окне сведений.

  

Используя любой из методов для выбора сообщения, некоторые действия доступны в разделе Дополнительно.

После выбора сообщения в карантине доступные действия описаны в следующих подразделах.

Выпуск сообщений Teams в карантине

Это действие недоступно для сообщений Teams, которые уже были освобождены (значение состояние выпуска — Released).

Если вы не освобождаете или не удаляете сообщение, оно автоматически удаляется из карантина после даты, указанной в столбце Срок действия .

Выбрав сообщение, используйте один из следующих методов, чтобы освободить его:

• На вкладке Сообщения Teams выберите Выпуск.
• Во всплывающем окне сведений выбранного сообщения выберите " Освободить".

Во всплывающем окне Выпуск для всех участников чата решите, следует ли выбрать Отправить сообщение в Корпорацию Майкрософт, чтобы улучшить обнаружение (ложноположительные срабатывания), а затем нажмите кнопку Освободить.

Удаление сообщений Teams из карантина

Если вы не освобождаете или не удаляете сообщение Teams, оно автоматически удаляется из карантина после даты, указанной в столбце Срок действия .

Выбрав сообщение Teams, используйте один из следующих методов, чтобы удалить его:

• На вкладке Сообщения Teams выберите Удалить сообщения.
• Во всплывающем элементе сведений выбранного сообщения выберите Дополнительные параметры>Удалить из карантина.

В открывшемся диалоговом окне предупреждения прочитайте сведения и нажмите кнопку Продолжить.

На вкладке Сообщения Teams сообщение больше не отображается.

Предварительный просмотр сообщений Teams из карантина

Выбрав сообщение Teams, используйте один из следующих методов для его предварительного просмотра:

• На вкладке Сообщения Teams выберите Предварительный просмотр сообщения.
• Во всплывающем элементе сведений выбранного сообщения выберите Предварительный просмотр сообщения.

Во всплывающем меню выберите одну из следующих вкладок:

• Источник: показывает HTML-версию тела сообщения со всеми отключенными ссылками.
• Обычный текст: показывает текст сообщения в виде простого текста.

Отправка сообщений Teams в Корпорацию Майкрософт для проверки из карантина

Выбрав сообщение, используйте один из следующих методов, чтобы сообщить о сообщении в корпорацию Майкрософт для анализа.

• На вкладке Сообщения Teams выберите Дополнительно>отправить для проверки.
• Во всплывающем окне сведений выбранного сообщения выберите Дополнительные параметры>Отправить на проверку.

При нажатии кнопки Отправить сообщение отправляется в корпорацию Майкрософт для анализа. Появится диалоговое окно Отправленный элемент , в котором нажмите кнопку ОК.

Скачивание сообщений Teams из карантина

Выбрав сообщение Teams, используйте один из следующих методов, чтобы скачать его:

• На вкладке Сообщения Teams выберите Дополнительно>скачать сообщения.
• Во всплывающем элементе сведений выбранного сообщения выберите Дополнительные параметры>Скачать сообщение.

Во всплывающем окне Скачивание сообщений введите следующие сведения:

• Причина скачивания файла: введите описательный текст.
• Создание пароля и подтверждение пароля. Введите пароль, необходимый для открытия скачаемого файла сообщения.

По завершении во всплывающем окне Скачать файл нажмите кнопку Скачать.

По умолчанию файл сообщения .html сохраняется в сжатом файле с именем Карантин Messages.zip в папке Загрузки . Если файл .zip уже существует, к имени файла добавляется номер (например, сообщения в карантине(1).zip).

Вернитесь во всплывающее окно Скачивание сообщений и выберите Готово.

Принять меры для нескольких сообщений Teams, помещенных в карантин

При выборе нескольких сообщений, помещенных в карантин, на вкладке Сообщения Teams, выбрав поля проверка рядом с первым столбцом, на вкладке Сообщения Teams доступны следующие массовые действия:

• Выпуск сообщений Teams в карантине
• Удаление сообщений Teams из карантина
• Отправка сообщений Teams в Корпорацию Майкрософт для проверки из карантина
• Скачивание сообщений Teams из карантина

Утверждение или отклонение запросов на выпуск от пользователей для сообщений Teams в карантине

Когда пользователь запрашивает выпуск сообщения Teams, помещенного в карантин, значение состояния выпуска изменяется на Запрошенный выпуск, и администратор может утвердить или отклонить запрос.

Дополнительные сведения см. в статье Утверждение или отклонение запросов на выпуск от пользователей.

Использование Exchange Online PowerShell или автономного EOP PowerShell для управления сообщениями в карантине

В этом разделе описаны командлеты, используемые для просмотра сообщений и файлов в карантине и управления ими.

• Delete-QuarantineMessage
• Export-QuarantineMessage
• Get-QuarantineMessage
• Preview-QuarantineMessage. Этот командлет предназначен только для сообщений, а не для файлов, помещенных в карантин.
• Release-QuarantineMessage

Дополнительные сведения

Часто задаваемые вопросы о сообщениях, помещенных в карантин