Hantera meddelanden och filer i karantän som administratör i EOP

Tips

Visste du att du kan prova funktionerna i Microsoft 365 Defender för Office 365 plan 2 utan kostnad? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft 365 Defender portalens utvärderingshubb. Läs mer om vem som kan registrera dig och utvärderingsvillkoren här.

Gäller för

I Microsoft 365-organisationer med postlådor i Exchange Online eller fristående Exchange Online Protection-organisationer (EOP) utan Exchange Online-postlådor lagrar karantänen potentiellt farliga eller oönskade meddelanden. Mer information finns i e-postmeddelanden i karantän i EOP.

Administratörer kan visa, släppa och ta bort alla typer av meddelanden i karantän för alla användare. Administratörer kan också rapportera falska positiva identifieringar till Microsoft.

Som standard kan endast administratörer hantera meddelanden som satts i karantän som skadlig kod, nätfiske med hög konfidens eller som ett resultat av e-postflödesregler (även kallade transportregler). Men administratörer kan använda karantänprinciper för att definiera vad användare får göra för meddelanden i karantän baserat på varför meddelandet har satts i karantän (för funktioner som stöds). Mer information finns i Karantänprinciper.

Administratörer i organisationer med Microsoft Defender för Office 365 kan också hantera filer som satts i karantän av säkra bifogade filer för SharePoint, OneDrive och Microsoft Teams.

Du visar och hanterar meddelanden i karantän i Microsoft 365 Defender-portalen eller i PowerShell (Exchange Online PowerShell för Microsoft 365-organisationer med postlådor i Exchange Online; fristående EOP PowerShell för organisationer utan Exchange Online postlådor).

Titta på den här korta videon om du vill lära dig hur du hanterar meddelanden i karantän som administratör.

Vad behöver jag veta innan jag börjar?

  • Öppna Microsoft 365 Defender-portalen genom att gå till https://security.microsoft.com. Om du vill gå direkt till karantänsidananvänder du https://security.microsoft.com/quarantine.

  • Information om hur du använder Windows PowerShell för att ansluta till Exchange Online finns i artikeln om att ansluta till Exchange Online PowerShell. Information om hur du ansluter till fristående EOP PowerShell finns i Anslut till Exchange Online Protection PowerShell.

  • Du måste ha tilldelats behörigheter i Exchange Online innan du kan genomföra procedurerna i den här artikeln:

    • Om du vill vidta åtgärder för meddelanden i karantän för alla användare måste du vara medlem i rollgrupperna Organisationshantering, Säkerhetsadministratör eller Karantänadministratör* . Om du vill skicka meddelanden till Microsoft måste du vara medlem i rollgruppen Säkerhetsadministratör .
    • För skrivskyddad åtkomst till meddelanden i karantän för alla användare måste du vara medlem i rollgrupperna Global läsare eller Säkerhetsläsare .

    Mer information finns under Behörigheter i Exchange Online.

    Anteckningar:

    • Genom att lägga till användare till motsvarande Azure Active Directory-roll (global administratör och säkerhetsadministratör) i Administrationscenter för Microsoft 365 får användarna de behörigheter och behörigheter som krävs för andra funktioner i Microsoft 365. Mer information finns i Om administratörsroller.
    • Rollgruppen Skrivskyddad organisationshantering i Exchange Online ger också skrivskyddad åtkomst till funktionen.
    • *Medlemmar i rollgruppen Karantänadministratör i Email & samarbetsroller i Microsoft 365 Defender-portalen måste också vara medlemmar i rollgruppen Hygienhantering i Exchange Online för att kunna utföra karantänprocedurer i Exchange Online Powershell.
  • Meddelanden i karantän behålls under en standardperiod baserat på varför de satts i karantän. När kvarhållningsperioden har löpt ut tas meddelandena bort automatiskt och kan inte återställas. Mer information finns i e-postmeddelanden i karantän i EOP och Defender för Office 365.

Använd Microsoft 365 Defender-portalen för att hantera e-postmeddelanden i karantän

Visa e-post i karantän

  1. I Microsoft 365 Defender-portalen på https://security.microsoft.comgår du till Email & samarbete>Granska>karantän. Om du vill gå direkt till karantänsidananvänder du https://security.microsoft.com/quarantine.

  2. På sidan Karantän kontrollerar du att fliken Email är markerad.

  3. Du kan sortera resultaten genom att klicka på en tillgänglig kolumnrubrik. Klicka på Anpassa kolumner för att ändra de kolumner som visas. Standardvärdena är markerade med en asterisk (*):

    • Mottagen*
    • Ämne*
    • Avsändare*
    • Karantänorsak*
    • Släppstatus*
    • Principtyp*
    • Upphör*
    • Mottagare
    • Meddelande-ID
    • Principnamn
    • Meddelandestorlek
    • E-postriktning
    • Mottagartagg

    När du är klar klickar du på Använd.

  4. Om du vill filtrera resultaten klickar du på Filtrera. Följande filter är tillgängliga i den utfällbara menyn Filter:

    • Meddelande-ID: Meddelandets globalt unika identifierare.

      Du använde till exempel meddelandespårning för att leta efter ett meddelande som skickades till en användare i din organisation, och du fastställer att meddelandet har placerats i karantän i stället för att levereras. Se till att inkludera det fullständiga meddelande-ID-värdet, som kan innehålla vinkelparenteser (<>). Till exempel: <79239079-d95a-483a-aacf-e954f592a0f6@XYZPR00BM0200.contoso.com>.

    • Avsändaradress

    • Mottagaradress

    • Ämne

    • Mottagen tid: Ange en starttid och sluttid (datum).

    • Upphör: Filtrera meddelanden efter när de upphör att gälla från karantänen:

      • I dag
      • Kommande 2 dagarna
      • Kommande 7 dagarna
      • Anpassning: Ange en Starttid och Sluttid (datum).
    • Mottagartagg

    • Orsak till karantän:

      • Transportregel (e-postflödesregel)
      • Bulk (Massutskick)
      • Skräppost
      • Skadlig kod: Principer för skydd mot skadlig kod i EOP eller principer för säkra bifogade filer i Defender för Office 365. Värdet för Principtyp anger vilken funktion som användes.
      • Nätfiske: Skräppostfiltrets bedömning var Nätfiske eller skyddet mot nätfiske placerade meddelandet i karantän (förfalskningsinställningar eller personifieringsskydd).
      • Nätfiske med hög konfidens
    • Mottagare: Alla användare eller Endast jag. Slutanvändare kan bara hantera meddelanden i karantän som skickas till dem.

    • Frisläppningsstatus: Något av följande värden:

      • Behöver granskas
      • Godkändes
      • Nekades
      • Frisläppning har begärts
      • Frisläpptes
    • Principtyp: filtrera meddelanden efter principtyp:

      • Princip för skydd mot skadlig programvara
      • Princip för säkra bifogade filer
      • Princip för skydd mot nätfiske
      • Princip för skräppostskydd
      • Transportregel (e-postflödesregel)

    När du är klar klickar du på Använd. Om du vill rensa filtren klickar du på ikonen Rensa filter.Rensa filter.

  5. Använd sökrutan och ett motsvarande värde för att hitta specifika meddelanden. Jokertecken stöds inte. Du kan söka efter följande värden:

    • Avsändarens e-postadress
    • Ämne. Använd meddelandets hela ämne. Sökningen är inte skiftlägeskänslig.

    När du har angett sökvillkoren trycker du på RETUR för att filtrera resultaten.

    Obs!

    Sökrutan på huvudsidan Karantän söker bara efter objekt i karantän i den aktuella vyn, inte hela karantänen. Om du vill söka i alla objekt i karantän använder du Den utfällbara menyn Filter och resulterande Filter.

När du har hittat ett specifikt meddelande i karantän väljer du meddelandet för att visa information om det och vidta åtgärder för det (till exempel visa, släpp, ladda ned eller ta bort meddelandet).

Visa information om meddelanden i karantän

När du väljer ett meddelande i karantän i listan är följande information tillgänglig i den utfällbara menyn med information som visas.

Utfällbara menyn med information om ett meddelande i karantän

  • Meddelande-ID: Meddelandets globalt unika identifierare. Tillgängligt i fältet Meddelande-ID-huvud i meddelandehuvudet.
  • Avsändarens adress
  • Mottaget: Datumet/tiden då meddelandet togs emot.
  • Ämne
  • Karantänorsak: Visar om ett meddelande har identifierats som skräppost, massutskick, nätfiske, matchat en e-postflödesregel (transportregel) eller har identifierats som innehåller skadlig kod.
  • Principtyp
  • Principnamn
  • Antal mottagare
  • Mottagare: Om meddelandet innehåller flera mottagare måste du klicka på Förhandsgranska meddelandet eller Visa meddelandehuvud för att se den fullständiga listan över mottagare.
  • Mottagartagg: Mer information finns i Användartaggar i Microsoft Defender för Office 365.
  • Upphör: Datumet/tiden då meddelandet tas bort automatiskt och permanent från karantänen.
  • Släppt till: Alla e-postadresser som meddelandet har släppts till.
  • Släppt till: Alla e-postadresser som meddelandet har släppts till.

Information om hur du vidtar åtgärder för meddelandet finns i nästa avsnitt.

Obs!

Använd upp- och nedpilarna högst upp i den utfällbara menyn för att behålla informationen, men ändra meddelandet i karantän som du tittar på.

Upp- och nedpilarna i den utfällbara menyn med information om ett meddelande i karantän

Vidta åtgärder för e-post i karantän

När du har valt ett meddelande i karantän i listan är följande åtgärder tillgängliga i den utfällbara informationsmenyn:

Tillgängliga åtgärder i den utfällbara menyn med information om ett meddelande i karantän

  • Ikonen Släpp e-post.Släpp e-post*: Konfigurera följande alternativ i det utfällbara fönstret som visas:

    • Lägg till avsändare i organisationens lista över tillåtna: Välj det här alternativet för att förhindra att meddelanden från avsändaren sätts i karantän.

    • Välj något av följande alternativ:

      • Släpp till alla mottagare
      • Släpp till specifika mottagare: Välj mottagarna i rutan Mottagare som visas
    • Skicka en kopia av det här meddelandet till andra mottagare: Välj det här alternativet och ange mottagarens e-postadresser i rutan Mottagare som visas.

      Obs!

      Om du vill skicka en kopia av meddelandet till andra mottagare måste du också släppa meddelandet minst en av de ursprungliga mottagarna (välj Släpp till alla mottagare eller Släpp till specifika mottagare).

    • Skicka meddelandet till Microsoft för att förbättra identifieringen (falskt positivt): Det här alternativet är valt som standard och rapporterar det felaktigt i karantän till Microsoft som en falsk positiv identifiering. Om meddelandet har satts i karantän som skräppost, massfiske, nätfiske eller innehållande skadlig kod rapporteras meddelandet också till Microsofts team för skräppostanalys. Beroende på resultatet av analysen kan reglerna för tjänstomfattande skräppostfilter justeras så att meddelandet tillåts.

    • Tillåt meddelanden som detta: Det här alternativet är inaktiverat som standard (Växla från.). Aktivera den (Aktivera) för att tillfälligt förhindra att meddelanden med liknande URL:er, bifogade filer och andra egenskaper sätts i karantän. När du aktiverar det här alternativet är följande alternativ tillgängliga:

      • Ta bort efter: Välj hur länge du vill tillåta meddelanden som detta. Välj 1 dag till 30 dagar. Standardvärdet är 30.
      • Valfri anteckning: Ange en användbar beskrivning för tillåt.

    När du är klar klickar du på Släpp meddelande.

    Information om hur du släpper meddelanden:

    • Du kan inte släppa ett meddelande till samma mottagare mer än en gång.
    • Endast mottagare som inte har tagit emot meddelandet visas i listan över potentiella mottagare.
    • Endast medlemmar i rollgruppen Säkerhetsadministratörer kan se och använda skicka meddelandet till Microsoft för att förbättra identifieringen (falsk positiv identifiering) och Tillåt meddelanden som dessa alternativ.
  • Ikonen Dela e-post.Dela e-post: I den utfällbara menyn som visas lägger du till en eller flera mottagare för att få en kopia av meddelandet. När du är klar klickar du på Dela.

Följande åtgärder är tillgängliga när du klickar på ikonen Fler åtgärder.Fler åtgärder:

  • Visa meddelandehuvudikonen.Visa meddelanderubriker: Välj den här länken om du vill se meddelanderubriktexten. Den utfällbara menyn med Meddelanderubrik visas med följande länkar:

    • Kopiera meddelanderubrik: Klicka på den här länken om du vill kopiera meddelanderubriken (alla rubrikfält) till Urklipp.
    • Microsoft Message Header Analyzer: Om du vill analysera rubrikfälten och värdena på djupet klickar du på den här länken för att gå till Analysverktyg för meddelanderubrik. Klistra in meddelandehuvudet i Infoga meddelandehuvudet som du vill analysera avsnitt (CTRL+V eller högerklicka och välj Klistra in) och klicka sedan på Analysera rubriker.
  • Ikon för förhandsgranskningsmeddelande.Förhandsgranskningsmeddelande: Välj någon av följande flikar i den utfällbara menyn som visas:

    • Källa: Visar HTML-versionen av meddelandetexten med alla länkar inaktiverade.
    • Oformaterad text: Visar meddelandets brödtext i oformaterad text.
  • Ta bort från karantänikonen.Ta bort från karantän: När du klickar på Ja i varningen som visas tas meddelandet omedelbart bort utan att skickas till de ursprungliga mottagarna.

  • Ikonen Ladda ned e-post.Ladda ned e-post: Konfigurera följande inställningar i den utfällbara menyn som visas:

    • Orsak till att ladda ned filen: Ange beskrivande text.
    • Skapa lösenord och Bekräfta lösenord: Ange ett lösenord som krävs för att öppna den nedladdade meddelandefilen.

    När du är klar klickar du på Ladda ned och sedan på Klar för att spara en lokal kopia av meddelandet. .eml-meddelandefilen sparas i en komprimerad fil med namnet Quarantined Messages.zip i mappen Hämtade filer . Om den .zip filen redan finns läggs ett nummer till i filnamnet (till exempel Meddelanden i karantän(1).zip).

  • Ikonen Blockera avsändare.Blockera avsändare: Lägg till avsändaren i listan Blockerade avsändare i postlådan. Mer information finns i Spärra e-postavsändare.

  • Ikonen Skicka endast.Skicka endast: Rapporterar meddelandet till Microsoft för analys. I den utfällbara menyn som visas väljer du följande alternativ:

    • Välj sändningstyp: Email (standard), URL eller Fil.
    • Lägg till nätverksmeddelande-ID:t eller ladda upp e-postfilen: Välj något av följande alternativ:
      • Lägg till e-postnätverksmeddelandets ID (standard, med motsvarande värde i rutan)
      • Ladda upp e-postfilen (.msg eller eml): Klicka på Bläddra bland filer för att hitta och välj den .msg- eller .eml-meddelandefil som ska skickas.
    • Välj en mottagare som hade ett problem: Välj en (önskad) eller flera ursprungliga mottagare av meddelandet för att analysera de principer som tillämpades på dem.
    • Välj en orsak till att skicka till Microsoft: Välj något av följande alternativ:
      • Borde inte ha blockerats (falskt positivt) (standard): Följande alternativ är tillgängliga:
        • Tillåt meddelanden som detta: Det här alternativet är inaktiverat som standard (Växla från.). Aktivera den (Aktivera) för att tillfälligt förhindra att meddelanden med liknande URL:er, bifogade filer och andra egenskaper sätts i karantän. När du aktiverar det här alternativet är följande alternativ tillgängliga:
          • Ta bort efter: Välj hur länge du vill tillåta meddelanden som detta. Välj 1 dag till 30 dagar. Standardvärdet är 30.
          • Valfri anteckning: Ange en användbar beskrivning för tillåt.
      • Borde ha blockerats (falskt negativt).

    Klicka på Skicka in när du är klar.

* Det här alternativet är inte tillgängligt för meddelanden som redan har släppts (värdet för Frisläppt status är Frisläppt).

Om du inte släpper eller tar bort meddelandet tas det bort när standardkvarhållningsperioden för karantän upphör att gälla (som visas i kolumnen Förfaller).

Obs!

Beskrivningstexten är inte tillgänglig på en mobil enhet på åtgärdsikonerna.

Information om ett meddelande i karantän med tillgängliga åtgärder markerade

Ikonerna i ordning och deras motsvarande beskrivningar sammanfattas i följande tabell:

Ikon Beskrivning
Ikon för släpp e-post. Släpp e-post
Ikonen Dela e-post. Dela e-post
Ikonen Visa meddelandehuvuden. Visa meddelandehuvuden
Ikonen Förhandsgranska meddelande. Förhandsgranska meddelande
Ta bort från karantänikonen. Ta bort från karantän
Ikonen Ladda ned e-post. Ladda ned e-post
Ikonen Spärra avsändare. Spärra avsändare
Ikonen Skicka endast. Skicka endast

Vidta åtgärder för flera e-postmeddelanden i karantän

När du markerar flera meddelanden i karantän i listan (upp till 100) genom att klicka i det tomma området till vänster om den första kolumnen visas Massåtgärder listrutan där du kan utföra följande åtgärder:

Listrutan Massåtgärder för meddelanden i karantän

  • Ikonen Släpp e-post.Versionsmeddelanden: Släpper meddelanden till alla mottagare. I den utfällbara menyn som visas kan du välja följande alternativ, som är samma som när du släpper ett enda meddelande:

    • Lägga till avsändare i organisationens lista över tillåtna
    • Skicka en kopia av det här meddelandet till andra mottagare
    • Skicka meddelandet till Microsoft för att förbättra identifieringen (falskt positivt)
    • Tillåt meddelanden som detta:
      • Ta bort efter: 1 dag till 30 dagar
      • Valfri anteckning

    När du är klar klickar du på Släpp meddelande.

    Obs!

    Tänk dig följande scenario: john@gmail.com skickar ett meddelande till faith@contoso.com och john@subsidiary.contoso.com. Gmail bifurcates det här meddelandet i två kopior som båda dirigeras till karantän som nätfiske i Microsoft. En administratör släpper båda dessa meddelanden till admin@contoso.com. Det första utgivna meddelandet som når administratörspostlådan levereras. Det andra utgivna meddelandet identifieras som duplicerad leverans och hoppas över. Meddelandet identifieras som dubbletter om de har samma meddelande-ID och mottagen tid.

  • Ta bort från karantänikonen.Ta bort meddelanden: När du klickar på Ja i varningen som visas tas meddelandena omedelbart bort från karantänen utan att skickas till de ursprungliga mottagarna.

  • Ikonen Ladda ned e-post.Ladda ned meddelanden

  • Ikonen Skicka endast.Skicka endast

Använd Microsoft 365 Defender-portalen för att hantera filer i karantän i Defender för Office 365

Obs!

Procedurerna för filer i karantän i det här avsnittet är endast tillgängliga för Microsoft Defender för Office 365 abonnemang 1- eller plan 2-prenumeranter.

I organisationer med Defender för Office 365 kan administratörer hantera filer som satts i karantän av säkra bifogade filer för SharePoint, OneDrive och Microsoft Teams. Information om hur du aktiverar skydd för dessa filer finns i Aktivera säkra bifogade filer för SharePoint, OneDrive och Microsoft Teams.

Obs!

Filer i karantän i SharePoint eller OneDrive tas bort i karantän efter 30 dagar, men de blockerade filerna förblir i SharePoint eller OneDrive i blockerat tillstånd.

Visa filer i karantän

  1. I Microsoft 365 Defender-portalen på https://security.microsoft.comgår du till Email & samarbete>Granska>karantän. Om du vill gå direkt till karantänsidananvänder du https://security.microsoft.com/quarantine.

  2. På sidan Karantän väljer du fliken Filer (Email är standardfliken).

  3. Du kan sortera resultaten genom att klicka på en tillgänglig kolumnrubrik. Klicka på Anpassa kolumner för att ändra de kolumner som visas. Standardkolumnerna är markerade med en asterisk (*):

    • Användaren*
    • Plats*
    • Filnamn för bifogad fil*
    • Fil-URL*
    • Filstorlek
    • Släppstatus*
    • Upphör*
    • Identifierad av
    • Ändrad efter tid

    När du är klar klickar du på Använd eller Avbryt.

  4. Om du vill filtrera resultaten klickar du på Filtrera. Följande filter är tillgängliga i den utfällbara menyn Filter:

    • Mottagen tid: Starttid och Sluttid (datum).
    • Upphör: Starttid och Sluttid (datum).
    • Karantänorsak: Det enda tillgängliga värdet är Skadlig kod.
    • Principtyp

    När du är klar klickar du på Använd eller Avbryt.

När du har hittat en specifik fil i karantän väljer du filen för att visa information om den och vidtar åtgärder för den (till exempel visa, släppa, ladda ned eller ta bort filen).

Visa filinformation i karantän

När du väljer en fil i karantän i listan är följande information tillgänglig i den utfällbara menyn med information som öppnas:

Utfällbar information om en fil i karantän

  • Filnamn
  • Fil-URL: URL som definierar platsen för filen (till exempel i SharePoint Online).
  • Skadligt innehåll har identifierats på Datum/tid då filen sattes i karantän.
  • Upphör att gälla: Det datum då filen tas bort från karantänen.
  • Identifierad av
  • Släppt?
  • Namn på skadlig kod
  • Dokument-ID: En unik identifierare för dokumentet.
  • Filstorlek: I kilobyte (KB).
  • Organisation Din organisations unika ID.
  • Senast ändrad
  • Ändrad av: Användaren som senast ändrade filen.
  • Secure Hash Algorithm 256-bitarsvärde (SHA-256): Du kan använda det här hash-värdet för att identifiera filen i andra rykteslager eller på andra platser i din miljö.

Information om hur du vidtar åtgärder för filen finns i nästa avsnitt.

Obs!

Om du vill vara kvar i den utfällbara menyn med information, men ändra den fil i karantän som du tittar på, använder du upp- och nedpilarna överst i den utfällbara menyn.

Upp- och nedpilarna i den utfällbara menyn med information om filer i karantän

Vidta åtgärder för filer i karantän

När du har valt en fil i karantän i listan är följande åtgärder tillgängliga i den utfällbara menyn med information:

Åtgärderna i den utfällbara menyn med information om en fil i karantän

  • Ikon för versionsfil.Versionsfil*: I det utfällbara fönstret som visas aktiverar eller inaktiverar du Rapportfiler till Microsoft för analys och klickar sedan på Släpp.
  • Ikon för versionsfil.
  • Ikonen Ladda ned fil.Ladda ned fil: I den utfällbara menyn som visas väljer du Jag förstår riskerna med att ladda ned den här filen och klickar sedan på Ladda ned för att spara en lokal kopia av filen.
  • Ta bort från karantänikonen.Ta bort från karantän: När du klickar på Ja i varningen som visas tas filen bort omedelbart.
  • Ikonen Blockera avsändare.Blockera avsändare: Lägg till avsändaren i listan Blockerade avsändare i postlådan. Mer information finns i Spärra e-postavsändare.

* Det här alternativet är inte tillgängligt för filer som redan har släppts ( statusvärdet Frisläppt är Frisläppt).

Om du inte släpper eller tar bort filen tas den bort när standardkvarhållningsperioden för karantän upphör att gälla (som visas i kolumnen Upphör att gälla ).

Vidta åtgärder för flera filer i karantän

När du väljer flera filer i karantän i listan (upp till 100) genom att klicka i det tomma området till vänster om kolumnen Ämne visas listrutan Massåtgärder där du kan utföra följande åtgärder:

Listrutan Massåtgärder för filer i karantän

  • Ikon för versionsfil.Versionsfil: I det utfällbara fönstret som visas aktiverar eller inaktiverar du Rapportfiler till Microsoft för analys och klickar sedan på Släpp.
  • Ta bort från karantänikonen.Ta bort från karantän: När du klickar på Ja i varningen som visas tas filen bort omedelbart.
  • Ikonen Ladda ned fil.Ladda ned fil: I den utfällbara menyn som visas väljer du Jag förstår riskerna med att ladda ned den här filen och klickar sedan på Ladda ned för att spara en lokal kopia av filen.

Använd Exchange Online PowerShell eller fristående EOP PowerShell för att visa och hantera meddelanden och filer i karantän

De cmdletar som du använder för att visa och hantera meddelanden och filer i karantän beskrivs i följande lista:

Mer information

Vanliga frågor och svar om meddelanden i karantän