以管理员身份管理隔离的邮件和文件
提示
你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。
在Microsoft 365 个组织中,邮箱位于 Exchange Online 或 Microsoft Teams 中,或者在没有Exchange Online邮箱或 Teams 的独立Exchange Online Protection (EOP) 组织中,隔离区会保留 EOP 检测到的潜在危险或不需要的邮件Defender for Office 365。
管理员可以为所有用户查看、释放和删除所有类型的隔离邮件和文件。
具有 Microsoft Defender for Office 365 的组织中的管理员还可以管理 SharePoint、OneDrive 和 Microsoft Teams 的安全附件隔离的文件,以及Microsoft通过零小时自动清除 (ZAP) 隔离的 Teams 邮件。
用户可以根据受支持的电子邮件保护功能的隔离策略来管理大多数隔离的电子邮件。 有关隔离策略的详细信息,请参阅 隔离策略剖析。
管理员和用户 (,具体取决于 用户报告的组织的设置 ,) 可以向隔离区Microsoft报告误报。
在 Microsoft Defender 门户或 PowerShell (Exchange Online PowerShell 中查看和管理隔离邮件,适用于Microsoft 365 个组织中邮箱位于 Exchange Online;对于没有Exchange Online邮箱) 的组织的独立 EOP PowerShell。
观看此简短视频,了解如何以管理员身份管理隔离邮件。
提示
作为本文的配套内容,请参阅我们的Microsoft Defender for Office 365设置指南,以查看最佳做法并防范电子邮件、链接和协作威胁。 功能包括安全链接、安全附件等。 对于基于环境的自定义体验,可以访问Microsoft 365 管理中心中的Microsoft Defender for Office 365自动设置指南。
开始前,有必要了解什么?
若要打开Microsoft Defender门户,请转到 https://security.microsoft.com。 要直接转到“隔离”页,请使用 https://security.microsoft.com/quarantine。
若要连接到 Exchange Online PowerShell,请参阅连接到 Exchange Online PowerShell。 若要连接到独立 EOP PowerShell,请参阅连接到 Exchange Online Protection PowerShell。
需要先分配权限,然后才能执行本文中的过程。 可以选择下列选项:
-
Microsoft Defender XDR基于角色的统一访问控制 (RBAC) (如果Email &协作>Defender for Office 365权限为活动。仅影响 Defender 门户,而不会影响 PowerShell) :
- 对所有用户的隔离邮件执行操作:安全操作/安全数据/Email &协作隔离 (管理) 。
- 所有用户对隔离邮件的只读访问权限: 安全操作/安全数据/安全数据基础知识 (读取) 。
-
Email & Microsoft Defender门户中的协作权限:
-
对所有用户的隔离邮件执行操作: 隔离管理员、 安全管理员或 组织管理 角色组中的成员身份。
- 将邮件从隔离区提交到Microsoft: 安全管理员 角色组中的成员身份。
- 使用“阻止发件人”将发件人添加到你自己的“阻止发件人”列表:仅当管理员按“仅收件人>我”而不是默认值“所有用户”筛选隔离结果时,管理员才会看到“阻止发件人”。 分配授予管理员对隔离 (访问权限的任何权限(例如,安全读取者或全局读取者) 如果用户按“仅收件人我”>筛选隔离结果,则授予对隔离区中阻止发件人的访问权限。
- 所有用户对隔离邮件的只读访问权限: 安全读取者 角色组中的成员身份或 全局读取者 角色组中的成员身份。
-
对所有用户的隔离邮件执行操作: 隔离管理员、 安全管理员或 组织管理 角色组中的成员身份。
-
Microsoft Entra权限:这些角色的成员身份为用户提供Microsoft 365 中其他功能所需的权限和权限:
对所有用户的隔离邮件执行操作: 安全管理员 或 全局管理员* 角色的成员身份。
重要
* Microsoft建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。
- 将邮件从隔离区提交到Microsoft: 安全管理员 角色的成员身份。
- 使用“阻止发件人”将发件人添加到你自己的“阻止发件人”列表:仅当管理员按“仅收件人>我”而不是默认值“所有用户”筛选隔离结果时,管理员才会看到“阻止发件人”。 分配授予管理员对隔离 (访问权限的任何权限(例如,安全读取者或全局读取者) 如果用户按“仅收件人我”>筛选隔离结果,则授予对隔离区中阻止发件人的访问权限。
所有用户对隔离邮件的只读访问权限: 全局读取者 角色或 安全读取者 角色的成员身份。
-
Microsoft Defender XDR基于角色的统一访问控制 (RBAC) (如果Email &协作>Defender for Office 365权限为活动。仅影响 Defender 门户,而不会影响 PowerShell) :
隔离的邮件和文件会根据隔离原因保留默认一段时间。 保留期到期后,消息会自动删除,并且无法恢复。 有关详细信息,请参阅 隔离保留。
有关用户允许和块以及组织允许和阻止的优先级顺序的信息,请参阅 用户和租户设置冲突。
审核管理员或用户对隔离邮件执行的所有操作。 有关审核的隔离事件的详细信息,请参阅 Office 365 管理 API 中的隔离架构。
使用Microsoft Defender门户管理隔离的电子邮件
查看隔离的电子邮件
在 Microsoft Defender 门户中https://security.microsoft.com,转到Email &协作>查看>隔离>区Email选项卡。或者,若要直接转到“隔离”页上的“Email”选项卡,请使用 https://security.microsoft.com/quarantine?viewid=Email。
默认情况下,仅显示前 100 个条目,直到向下滚动到列表底部,这会加载更多结果。
在“Email”选项卡上,可以通过单击“将列表间距更改为压缩或正常”,然后选择“压缩列表”来减小列表中的垂直间距。
可以通过单击可用的列标题对条目进行排序。 选择“自定义列”以更改显示的列。 默认值标有星号(*):
接收时间*
主题*
寄件人*
隔离原因* (筛选器说明中查看可能的值。)
发布状态* (筛选器说明中查看可能的值。)
策略类型* (筛选器说明中查看可能的值。)
到期时间*
收件人:收件人电子邮件地址始终解析为主电子邮件地址,即使邮件已发送到代理地址也是如此。
发件人地址替代原因*:以下值之一:
- 无
- 邮件发件人被收件人设置阻止
- 邮件发件人被管理员设置阻止
提示
如果发件人被阻止,并且默认) (选择了“ 不显示阻止的发件人 ”,则来自这些发件人的邮件将显示在 “隔离 ”页上,并且当 发件人地址替代原因 值为 “无”时,这些发件人的邮件将包含在隔离通知中。 出现此行为的原因是,邮件因发件人地址替代以外的原因而被阻止。
发布者*
邮件 ID
策略名称
邮件大小
邮件方向
收件人标记
若要筛选条目,请选择“ 筛选”。 打开的 “筛选器” 浮出控件中提供了以下筛选器:
邮件 ID:邮件的全局唯一标识符。
例如,你使用 邮件跟踪 来查找邮件,并确定邮件已隔离而不是已传递。 请务必包含完整的消息 ID 值,其中可能包括尖括号 (<>) 。 例如:
<79239079-d95a-483a-aacf-e954f592a0f6@XYZPR00BM0200.contoso.com>
。发件人地址
收件人地址
主题
接收时间:选择以下值之一:
- 过去 24 小时
- 过去 7 天 (默认)
- 过去 14 天
- 过去 30 天
- 自定义:输入开始时间和结束时间(日期)。
过期:按邮件从隔离区过期的时间进行筛选。 选择以下值之一:
- 今天
- 未来 2 天
- 未来 7 天
- 自定义:输入开始时间和结束时间(日期)。
收件人标记:目前,唯一可选择 的用户标记 是 Priority 帐户。
隔离原因:选择以下一个或多个值:
Recipient:选择以下值之一:
阻止的发件人:以下值之一:
- 不显示默认) (阻止的发件人
- 显示所有发件人
提示
如果发件人被阻止,并且选择了 “不显示阻止的发件人 ”,则来自这些发件人的邮件将显示在 “隔离 ”页上,并且当 发件人地址替代原因 值为 “无”时,这些发件人的邮件将包含在隔离通知中。 出现此行为的原因是,邮件因发件人地址替代以外的原因而被阻止。
发布状态:选择以下一个或多个值
- 需要审查
- 已批准
- 已拒绝
- 已请求释放
- 已释放
策略类型:按隔离邮件的保护策略类型筛选邮件。 选择以下一个或多个值:
- 反恶意软件策略
- 安全附件策略
- 反钓鱼策略
- 反垃圾邮件策略
- 传输规则(邮件流规则)
- 数据丢失防护规则
策略类型和隔离原因值是相互关联的。 例如, 批量 始终与 反垃圾邮件策略相关联,从不与 反恶意软件策略相关联。
完成 “筛选器” 浮出控件后,选择“ 应用”。 若要清除筛选器,请选择“ 清除筛选器”。
提示
缓存筛选器。 下次打开“ 隔离 ”页时,默认情况下会选择最后一个会话中的筛选器。 此行为有助于进行会审操作。
使用“ 搜索 ”框和相应的值查找特定邮件。 不支持通配符。 可以按下面的值搜索:
- 发件人电子邮件地址
- 主题。 使用邮件的整个主题。 搜索不区分大小写。
输入搜索条件后,按 Enter 筛选结果。
注意
“ 搜索 ”框在当前视图中搜索隔离项目 () 限制为 100 个项目,而不是所有隔离项目。 若要搜索所有隔离项,请使用 “筛选器” 和生成的 “筛选器” 浮出控件。
找到特定的隔离邮件后,选择该邮件以查看其详细信息,并 (执行操作,例如查看、释放、下载或删除邮件) 。
查看隔离的电子邮件详细信息
在 Microsoft Defender 门户中https://security.microsoft.com,转到Email &协作>查看>隔离>区Email选项卡。或者,若要直接转到“隔离”页上的“Email”选项卡,请使用 https://security.microsoft.com/quarantine?viewid=Email。
在“Email”选项卡上,单击行中除“检查”框以外的任意位置,选择隔离邮件。
在打开的详细信息浮出控件中,提供了以下信息:
-
隔离详细信息 部分:
接收时间:收到邮件的日期/时间。
过期:自动从隔离区中永久删除邮件的日期/时间。
主题
隔离原因:显示邮件是否已标识为 垃圾邮件、 批量、 网络钓鱼,是否与邮件流规则 (传输规则) 匹配,或者是否被标识为包含 恶意软件。
策略类型
策略名称
收件人计数
收件人:如果邮件包含多个收件人,可以使用 预览邮件 或 查看邮件头 查看收件人的完整列表。
收件人电子邮件地址始终解析为主电子邮件地址,即使邮件已发送到代理地址。
尚未发布到、 发布到和/或 发布者:根据邮件的状态,以下一个或多个值可能可用:
- 尚未发布到:Email邮件尚未释放到的收件人地址。
- 释放到:Email邮件已释放到的收件人的地址。
-
发布者:使用格式发布邮件的管理员:
<email address of admin who released the message> released for <recipient>
。 例如,admin@contoso.onmicrosoft.com released to laura@contoso.onmicrosoft.com
。 如果最终用户释放邮件,则会显示最终用户的 SMTP 地址。 如果发布由系统执行,则显示“系统已发布”。 如果管理员、最终用户或系统未携带发布,则默认为“管理员”。
其余的详细信息浮出控件包含“传递详细信息”、“Email详细信息”、“URL”和“附件”部分,这些部分属于Email摘要面板。 有关详细信息,请参阅Email摘要面板。
要对邮件执行操作,请参阅下一部分。
提示
若要查看有关其他隔离邮件的详细信息,而不离开详细信息浮出控件,请使用浮出控件顶部的“上一项”和“下一项”。
对已隔离电子邮件执行操作
在 Microsoft Defender 门户中https://security.microsoft.com,转到Email &协作>查看>隔离>区Email选项卡。或者,若要直接转到“隔离”页上的“Email”选项卡,请使用 https://security.microsoft.com/quarantine?viewid=Email。
在“Email”选项卡上,使用以下方法之一选择隔离的电子邮件:
使用任一方法选择消息,“更多”或“更多选项”下提供了许多操作。
选择隔离邮件后,以下小节将介绍可用的操作。
提示
在移动设备上,操作体验略有不同:
释放隔离的电子邮件
此操作不适用于已发布的电子邮件, (“发布状态 ”值为“ 已发布) ”。
如果不释放或删除邮件,则会在 “过期” 列中显示的日期之后自动将其从隔离区中删除。
- 不能多次向同一收件人发布邮件。
- 选择要接收已发布邮件的单个原始收件人时,只能选择尚未收到已发布邮件的收件人。
- 安全管理员角色组的成员可以查看和使用“提交邮件以Microsoft改进检测”和“允许具有类似属性的电子邮件”选项。
- 用户可以向隔离区Microsoft报告误报,具体取决于用户报告设置中的“隔离报告”设置的值。
提示
第三方防病毒解决方案、安全服务和 出站连接器 可能会导致从隔离区释放的邮件出现以下问题:
- 消息在释放后被隔离。
- 内容在到达收件人的收件箱之前从已发布的邮件中删除。
- 已发布的邮件永远不会到达收件人的收件箱。
- 隔离通知中的操作可能是随机选择的。
在打开有关这些问题的支持票证之前,请验证是否未使用第三方筛选。
由 Outlook 中的用户或管理员通过使用 PowerShell Exchange Online 中的 *-InboxRule cmdlet 创建的收件箱规则 () 可以移动或删除收件箱中的邮件。
管理员可以使用 邮件跟踪 来确定已发布的邮件是否已传递到收件人的收件箱。
在“从其他Defender for Office 365功能执行操作”中选择“移动或删除>已隔离邮件的收件箱”, (例如资源管理器 (威胁资源管理器) 或Email实体页) 还允许释放隔离邮件。 有关详细信息,请参阅 威胁搜寻:执行操作向导。
选择消息后,使用以下方法之一将其释放:
- 在“Email”选项卡上:选择“发布”。
- 在所选邮件的详细信息浮出控件中:选择 “发布电子邮件”。
在打开的 “向收件人发布电子邮件” 浮出控件中,配置以下选项:
选择以下值之一:
- 释放给所有收件人
- 释放给电子邮件的一个或多个原始收件人:在显示的“收件人”框中输入 收件人 。
将此邮件的副本发送给另一个收件人:如果选择此选项,请在出现的“收件人”框中单击,选择一个或多个 收件人 。
将邮件提交到Microsoft以改进检测:如果选择此选项,则会将错误隔离的邮件报告给Microsoft为误报。 根据分析结果,可能会调整服务范围的垃圾邮件筛选规则以允许邮件通过。
选择此选项会显示以下选项:
-
允许此邮件:如果选择此选项,允许条目将添加到发件人的 租户允许/阻止列表 以及邮件中的任何相关 URL 或附件。 还会显示以下选项:
- 删除之后的条目:默认值为 30 天,但你也可以选择 1 天、 7 天或小于 30 天 的特定日期 。
- 允许输入注释:输入包含其他信息的可选注释。
-
允许此邮件:如果选择此选项,允许条目将添加到发件人的 租户允许/阻止列表 以及邮件中的任何相关 URL 或附件。 还会显示以下选项:
完成“ 向收件人收件箱发布电子邮件 ”浮出控件后,选择“ 发布邮件”。
回到“Email”选项卡上,消息的“发布状态”值为“释放”。
批准或拒绝用户的隔离电子邮件发布请求
如果隔离策略使用 “允许收件人请求从隔离 区释放邮件 (PermissionToRequestRelease
权限) 而不是 在 隔离邮件) ) 释放邮件,则用户可以请求 (PermissionToRelease
释放电子邮件。 有关详细信息,请参阅在Microsoft Defender门户中创建隔离策略。
收件人请求释放电子邮件后, “发布状态 ”值将更改为 “请求发布”,管理员可以批准或拒绝该请求。
提示
可能会为该消息的多个发布请求创建一个释放消息的警报。 使用警报消息的“详细信息”部分中的隔离链接,针对过去 7 天的组织中用户的发布请求执行操作。
如果不释放或删除邮件,则会在 “过期” 列中显示的日期之后自动将其从隔离区中删除。
选择消息后,使用以下方法之一批准或拒绝发布请求:
- 在“Email”选项卡上:选择“批准发布”或“拒绝”。
- 在所选邮件的详细信息浮出控件中:选择“更多”,然后选择“批准发布”或“拒绝发布”。
如果选择“ 批准发布”,则会打开“ 批准发布 ”浮出控件,你可以在其中查看有关邮件的信息。 若要批准请求,请选择“ 批准发布”。 此时会打开“ 已批准的发布 ”浮出控件,你可以在其中选择链接来了解有关发布消息的详细信息。 完成发布批准的浮出控件后,选择“完成”。 回到“Email”选项卡上,邮件的“发布状态”值将更改为“已批准”。
如果选择“ 拒绝”,则会打开 “拒绝发布 ”浮出控件,你可以在其中查看有关邮件的信息。 若要拒绝请求,请选择“ 拒绝发布”。 此时会打开“ 拒绝发布 ”浮出控件,你可以在其中选择链接以了解有关发布消息的详细信息。 完成发布拒绝浮出控件后,选择“完成”。 回到“Email”选项卡上,邮件的“发布状态”值将更改为“拒绝”。
提示
只能拒绝所有收件人的发布。 不能拒绝特定收件人的发布。
从隔离区中删除电子邮件
从隔离区中删除电子邮件时,该邮件将被删除,并且不会发送给原始收件人。
如果不释放或删除邮件,则会在 “过期” 列中显示的日期之后自动将其从隔离区中删除。
选择消息后,使用以下方法之一将其删除:
- 在“Email”选项卡上:选择“从隔离区中删除”。
- 在所选邮件的详细信息浮出控件中:选择“ 更多选项>”“从隔离区中删除”。
在打开的 删除 (n) 邮件从隔离 浮出控件中,使用以下方法之一删除邮件:
- 选择“ 永久删除隔离区中的邮件 ”,然后选择“ 删除:邮件已永久删除且不可恢复”。
- 选择“仅 删除 ”:邮件已删除,但可能可恢复。
在“从隔离区中删除邮件 (n) 邮件”浮出控件上选择“删除”后,返回到不再列出邮件的“Email”选项卡。
从隔离区预览电子邮件
选择消息后,使用以下方法之一预览消息:
- 在“Email”选项卡上:选择“预览邮件”。
- 在所选邮件的详细信息浮出控件中:选择“ 更多选项>”“预览邮件”。
在打开的浮出控件中,选择以下选项卡之一:
- “源”:显示禁用所有链接的 HTML 版邮件正文。
- “纯文本”:以纯文本格式显示邮件正文。
查看电子邮件标头
选择消息后,使用以下方法之一查看邮件头:
- 在“Email”选项卡上,选择“更多>查看邮件头”。
- 在所选邮件的详细信息浮出控件中:选择“ 更多选项>”“查看邮件头”。
在打开 的“邮件头 ”浮出控件中,将显示邮件头 () 的所有标头字段。
使用 复制邮件头 将邮件头复制到剪贴板。
选择 “Microsoft消息头分析器 ”链接以深入分析标头字段和值。 将邮件头粘贴到“ 插入要分析的邮件标头 ”部分, (CTRL+V 或右键单击并选择“ 粘贴) ”,然后选择“ 分析邮件头”。
向Microsoft报告电子邮件,以供隔离区审查
选择消息后,使用以下方法之一将消息报告给Microsoft进行分析:
- 在“Email”选项卡上:选择“更多>提交”以供审阅。
- 在所选邮件的详细信息浮出控件中:选择“ 更多选项>提交以供审阅”。
在打开 的“提交到分析Microsoft ”浮出控件中,配置以下选项:
添加网络消息 ID 或上传电子邮件文件:选择以下选项之一:
- 添加电子邮件网络消息 ID:默认情况下,此值处于选中状态,并在框中显示相应的值。
- 上传电子邮件文件 (.msg 或 eml) :选择此选项后,选择显示的“浏览文件”按钮,查找并选择要提交的.msg或.eml邮件文件。
选择有问题的收件人:选择邮件 (首选) 或更多原始收件人,以分析应用于他们的策略。
选择提交到Microsoft的原因:选择以下选项之一:
我已确认它 (默认) 干净:如果确定邮件干净,请选择此选项,然后选择“ 下一步”。 然后,以下设置可用:
- 允许此电子邮件:如果选择此选项,允许条目将添加到发件人的 租户允许/阻止列表 以及邮件中的任何相关 URL 或附件。 还会显示以下选项:
- 删除之后的条目:默认值为 30 天,但你也可以选择 1 天、 7 天或小于 30 天 的特定日期 。
- 允许输入注释:输入包含其他信息的可选注释。
它看起来干净:如果你不确定并且想要从Microsoft做出判决,请选择此选项。
完成“ 提交到分析Microsoft ”浮出控件后,选择“ 提交”。
提示
用户可以向隔离区Microsoft报告误报,具体取决于用户报告设置中的“隔离报告”设置的值。
允许来自隔离区的电子邮件发件人
“ 允许发件人” 操作将所选电子邮件的发件人添加到 登录者邮箱中的“安全发件人”列表中。 通常,此操作适用于最终用户(如果隔离 策略可供他们使用)。 有关允许发件人的用户的详细信息,请参阅 将电子邮件的收件人添加到安全发件人列表。
选择邮件后,使用以下方法之一将邮件发件人添加到 你自己的 邮箱中的“安全发件人”列表:
- 在“Email”选项卡上:选择“更多>允许发件人”。
- 在所选邮件的详细信息浮出控件中:选择“ 更多”选项>“允许发件人”。
打开的浮出控件指示发件人何时成功添加到安全发件人列表。 选择“完成”。
阻止电子邮件发件人隔离
提示
仅当管理员按“仅收件人我”而不是默认值“所有用户”>筛选隔离结果时,“阻止发件人”操作才对管理员可用。
如果发件人已在收件人 的安全列表集合中, 则阻止发件人 不可用。 可从用户阻止列表中删除发件人 。
“ 阻止发件人” 操作将所选电子邮件的发件人添加到 登录者邮箱中的“阻止发件人”列表。 通常,此操作适用于最终用户(如果隔离 策略可供他们使用)。 有关阻止发件人的用户的详细信息,请参阅 阻止邮件发件人
选择邮件后,使用以下方法之一将邮件发件人添加到 你自己的 邮箱中的“阻止发件人”列表:
- 在“Email”选项卡上:选择“更多>阻止发件人”。
- 在所选邮件的详细信息浮出控件中:选择“ 更多选项>阻止发件人”。
在打开的 “阻止发件人 ”浮出控件中,查看有关发件人的信息,然后选择“ 阻止”。
提示
组织仍可以接收来自被阻止发件人的邮件。 发件人的邮件将传递到用户垃圾邮件Email文件夹或隔离,具体取决于用户允许和阻止中所述的策略优先级。 若要在到达时从发件人中删除邮件,请使用 邮件流规则 (也称为传输规则) 阻止邮件。
从隔离区中删除用户阻止的发件人列表中的发件人
仅当已隔离邮件的发件人已位于收件人的 阻止发件人列表中 时,“从用户 阻止列表中删除发件人”才可用。
管理员可以从其自己的邮箱的“阻止发件人”列表中删除发件人, (如果隔离区按 “仅收件人>我) 筛选”,或者从其他用户的邮箱中删除发件人 (是否按 收件人>所有用户) 筛选。
选择邮件后,使用以下方法之一从用户的“阻止发件人”列表中删除发件人:
- 在“Email”选项卡上:选择“更多>”“从用户阻止列表中删除发件人”。
- 在所选邮件的详细信息浮出控件中:选择“ 更多选项>”“从用户阻止列表中删除发件人”。
打开的浮出控件指示发件人何时成功从收件人的“阻止发件人”列表中删除。 选择“完成”。
从隔离区共享电子邮件
可以向指定的收件人发送隔离电子邮件的副本,包括可能有害的内容。
选择邮件后,使用以下方法之一将邮件的副本发送给其他人:
- 在“Email”选项卡上:选择“更多>共享电子邮件”。
- 在所选邮件的详细信息浮出控件中:选择“ 更多选项>”“共享电子邮件”。
在打开的“ 与其他用户共享电子邮件” 浮出控件中,选择一个或多个收件人以接收邮件副本。 完成后,选择“ 共享”。
从隔离区下载电子邮件
选择电子邮件后,使用以下任一方法下载它:
- 在“Email”选项卡上:选择“更多>下载邮件”。
- 在所选邮件的详细信息浮出控件中:选择“ 更多选项>”“下载邮件”。
在打开的 “下载文件 ”浮出控件中,输入以下信息:
- 下载文件的原因:输入描述性文本。
- 创建密码 并 确认密码:输入打开下载的邮件文件所需的密码。
完成 “下载文件” 浮出控件后,选择“ 下载”。
下载准备就绪后,将打开 “另存为 ”对话框,供你查看或更改下载的文件名和位置。 默认情况下,.eml邮件文件保存在 “下载” 文件夹中名为“隔离 Messages.zip”的压缩文件中。 如果 .zip 文件已存在,则会将数字追加到文件名 (例如“隔离邮件 (1) .zip) ”。
接受或更改下载的文件详细信息,然后选择“ 保存”。
返回“ 下载文件” 浮出控件,选择“ 完成”。
Defender for Office 365中隔离电子邮件的操作
在具有Microsoft Defender for Office 365 (加载项许可证或包含在Microsoft 365 E5或Microsoft 365 商业高级版) 等订阅中的组织中,所选邮件的详细信息浮出控件中也提供以下操作:
打开电子邮件实体:有关详细信息,请参阅Email实体页上的内容。
执行操作:此操作将启动Email实体页上提供的相同操作向导。 有关详细信息,请参阅Email实体页上的操作。
对多封已隔离电子邮件执行操作
通过选择第一列旁边的检查框在“Email”选项卡上选择最多 100 个隔离邮件时,Email选项卡上 ( 以下批量操作可用,具体取决于) 所选邮件的“发布状态”值:
-
为批量操作选择的唯一可用选项是 “将此邮件的副本发送给组织中的其他收件人 ”和 “将邮件发送到Microsoft以改进检测 (误报) 。
-
为批量操作选择的唯一可用选项是 “允许具有类似属性的电子邮件 ”以及相关的 “在之后删除允许条目 ”和 “允许进入备注 ”选项。
查找删除隔离邮件的人员
默认情况下,许多安全策略判决允许用户删除其隔离邮件 (收件人) 的邮件。 有关详细信息,请参阅 以用户身份管理隔离的邮件和文件中的表。
管理员可以使用以下过程搜索审核日志,以查找从隔离区中删除的邮件的事件:
在 Defender 门户中 https://security.microsoft.com,转到 “审核”。 或使用 https://security.microsoft.com/auditlogsearch 直接转到“审核”页面。
提示
还可以访问Microsoft Purview 合规门户的“审核”页面https://compliance.microsoft.com/auditlogsearch
在 “审核 ”页上,验证是否已选择“ 新建搜索 ”选项卡,然后配置以下设置:
- 日期和时间范围 (UTC)
- 活动 - 友好名称:在框中单击,开始在显示的“搜索”框中键入“隔离”,然后从结果中选择“已删除的隔离邮件”。
- 用户:如果知道谁从隔离区中删除了邮件,则可以按用户进一步筛选结果。
输入完搜索条件后,选择“ 搜索 ”以生成搜索。
有关审核日志搜索的完整说明,请参阅 审核新搜索。
使用Microsoft Defender门户管理Defender for Office 365中的隔离文件
注意
本部分中隔离文件的过程仅适用于Microsoft Defender for Office 365 计划 1或计划 2 订阅者。
在 SharePoint 或 OneDrive 中隔离的文件在 30 天后从隔离中删除,但被阻止的文件将保留在 SharePoint 或 OneDrive 中处于阻止状态。
在具有Defender for Office 365的组织中,管理员可以管理 SharePoint、OneDrive 和 Microsoft Teams 安全附件隔离的文件。 若要为这些文件启用保护,请参阅 为 SharePoint、OneDrive 和 Microsoft Teams 启用安全附件。
查看隔离的文件
在 Microsoft Defender 门户中https://security.microsoft.com,转到“Email &协作>查看>隔离>文件”选项卡。或者,若要直接转到“隔离”页上的“文件”选项卡,请使用 https://security.microsoft.com/quarantine?viewid=Files。
在“文件”选项卡上,可以通过单击“将列表间距更改为压缩或正常”,然后选择“压缩列表”来减小列表中的垂直间距。
可以通过单击可用的列标题对条目进行排序。 选择“自定义列”以更改显示的列。 默认值标有星号(*):
- 用户*
- 位置*:值为 SharePoint 或 OneDrive。
- 附件文件名*
- 文件 URL*
- 文件大小
- 释放状态*
- 到期时间*
- 检测者
- 按时间修改
若要筛选条目,请选择“ 筛选”。 打开的 “筛选器” 浮出控件中提供了以下筛选器:
-
接收时间:
- 过去 24 小时
- 过去 7 天
- 过去 14 天
- 过去 30 天 (默认)
- 自定义:输入开始时间和结束时间(日期)。
-
过期:
- 自定义 (默认) :输入开始时间和结束时间 (日期) 。
- 今天
- 未来 2 天
- 未来 7 天
- 隔离原因:唯一可用的值为 Malware。
- 策略类型:唯一可用的值为 Unknown。
完成 “筛选器” 浮出控件后,选择“ 应用”。 若要清除筛选器,请选择“ 清除筛选器”。
使用“ 搜索 ”框和相应的值按文件名查找特定文件。 不支持通配符。
输入搜索条件后,按 Enter 筛选结果。
找到特定的隔离文件后,选择该文件以查看有关该文件的详细信息,并 (对其进行操作,例如查看、发布、下载或删除文件) 。
查看隔离的文件详细信息
在 Microsoft Defender 门户中https://security.microsoft.com,转到“Email &协作>查看>隔离>文件”选项卡。或者,若要直接转到“隔离”页上的“文件”选项卡,请使用 https://security.microsoft.com/quarantine?viewid=Files。
在“文件”选项卡上,单击行中除“检查”框以外的任意位置,选择隔离的文件。
在打开的详细信息浮出控件中,提供了以下信息:
-
文件详细信息 部分:
- 文件名
- 文件 URL:定义文件位置的 URL, (例如 SharePoint Online) 中。
- 检测到的恶意内容 隔离文件的日期/时间。
- 过期:从隔离区中删除文件的日期。
- 检测者
- 释放?
- 恶意软件名称
- 文档 ID:文档的唯一标识符。
- 文件大小
- 组织 组织的唯一 ID。
- 上次修改时间
- 上次修改者:上次修改文件的用户。
- 安全哈希算法 256 位 (SHA-256) 值:可以使用此哈希值来标识其他信誉存储区或环境中的其他位置中的文件。
若要对文件执行操作,请参阅下一部分。
提示
若要在不离开详细信息浮出控件的情况下查看有关其他隔离文件的详细信息,请使用浮出控件顶部的“上一项”和“下一项”。
对隔离的文件执行操作
在 Microsoft Defender 门户中https://security.microsoft.com,转到“Email &协作>查看>隔离>文件”选项卡。或者,若要直接转到“隔离”页上的“文件”选项卡,请使用 https://security.microsoft.com/quarantine?viewid=Files。
在“文件”选项卡上,单击行中除“检查”框以外的任意位置,选择隔离的文件。
选择隔离的文件后,以下小节将介绍打开的文件详细信息浮出控件中的可用操作。
从隔离区中释放隔离的文件
此操作不适用于已发布的文件, (“已发布”状态 值为“ 已发布) ”。
如果不从隔离区中释放或删除文件,则在默认隔离保留期到期后,该文件将从隔离区中删除 (,如“ 过期” 列) 所示,但被阻止的文件将保留在 SharePoint 或 OneDrive 中,处于阻止状态。
选择文件后,在打开的文件详细信息浮出控件中选择“ 发布 文件”。
在 “发布文件并将其报告给打开Microsoft 浮出控件”中,在 “发布以下文件 ”部分中查看文件详细信息,然后选择“ 发布”。
提示
目前,在释放隔离文件时,无法向Microsoft报告隔离的文件。
在打开 的“文件已发布” 浮出控件中,选择“ 完成”。
返回文件详细信息浮出控件,选择 “关闭”。
返回“ 文件 ”选项卡,该文件的“ 发布”状态 值为 “已发布”。
从隔离区下载隔离文件
选择文件后,在打开的详细信息浮出控件中选择“ 下载文件 ”。
在打开的 “下载文件 ”浮出控件中,输入以下信息:
- 下载文件的原因:输入描述性文本。
- 创建密码 并 确认密码:输入打开下载的文件所需的密码。
完成 “下载文件” 浮出控件后,选择“ 下载”。
下载准备就绪后,将打开 “另存为 ”对话框,供你查看或更改下载的文件名和位置。 默认情况下,该文件保存在“ 下载” 文件夹中名为“已隔离 Messages.zip”的压缩文件中。 如果 .zip 文件已存在,则会将数字追加到文件名 (例如“隔离邮件 (1) .zip) ”。
接受或更改下载的文件详细信息,然后选择“ 保存”。
返回“ 下载文件” 浮出控件,选择“ 完成”。
从隔离区中删除隔离文件
如果不从隔离区中释放或删除文件,则在默认隔离保留期到期后,该文件将从隔离区中删除 (,如“ 过期” 列) 所示,但被阻止的文件将保留在 SharePoint 或 OneDrive 中,处于阻止状态。
选择文件后,在打开的详细信息浮出控件中选择“从隔离区中删除更多>内容”。
在打开的警告对话框中选择“ 继续 ”。
返回“ 文件 ”选项卡,不再列出该文件。
对多个隔离的文件执行操作
通过在“文件”选项卡上选择第一列旁边的检查框来选择多个隔离的文件时, (最多 100 个文件) ,将显示“批量操作”下拉列表,你可以在其中执行以下操作:
使用Microsoft Defender门户管理Microsoft Teams 隔离邮件
提示
Microsoft Teams 中的零小时自动清除 (ZAP) 目前为预览版,并非在所有组织中都可用,并且可能会发生更改。
Microsoft Teams 中的隔离仅在具有Microsoft Defender for Office 365计划 2 (加载项许可证或包含在 Microsoft 365 E5) 等订阅中的组织中可用。
当在 Microsoft Teams 中检测到潜在的恶意聊天消息时,零小时自动清除 (ZAP) 删除并隔离该邮件。 管理员可以查看和管理这些隔离的 Teams 邮件。 邮件隔离 30 天。 之后,Teams 消息将永久删除。
默认情况下启用此功能。
查看隔离的 Teams 邮件
在 Microsoft Defender 门户中https://security.microsoft.com,转到“Email &协作>查看>隔离>Teams 消息”选项卡。或者,若要直接转到“隔离”页上的“Teams 邮件”选项卡,请使用 https://security.microsoft.com/quarantine?viewid=Teams。
在“Teams 消息”选项卡上,可以通过单击“将列表间距更改为压缩或正常”,然后选择“压缩列表”来减小列表中的垂直间距。
可以通过单击可用的列标题对条目进行排序。 选择“自定义列”以更改显示的列。 默认值标有星号(*):
- Teams 消息文本:包含 Teams 消息的主题。*
- 接收时间:收件人接收邮件的时间。*
- 发布状态:显示邮件是否已审阅和发布或需要审阅。 *
- 参与者:接收消息的用户总数。*
- 发件人:发送已隔离的邮件的人员。*
- 隔离原因:可用选项为“高置信度钓鱼”和“恶意软件”。*
- 策略类型:负责隔离邮件的组织策略。*
- 过期:指示从隔离区中删除邮件的时间。 默认情况下,此值为 30 天。*
- 收件人地址:Email收件人的地址。*
- 消息 ID:包括聊天消息 ID。
若要筛选条目,请选择“ 筛选”。 打开的 “筛选器” 浮出控件中提供了以下筛选器:
- 邮件 ID
- 发件人地址
- 收件人地址
- 主题
-
接收时间:
- 过去 24 小时
- 过去 7 天
- 过去 14 天
- 过去 30 天 (默认)
- 自定义:输入开始时间和结束时间(日期)。
-
过期:
- 自定义 (默认) :输入开始时间和结束时间 (日期) 。
- 今天
- 未来 2 天
- 未来 7 天
- 隔离原因:可用值为 恶意软件 和高 置信度钓鱼。
- 收件人:选择 “所有用户 ”或“ 仅我”。
- 审阅状态:选择“ 需要评审 ”和“ 已发布”。
完成 “筛选器” 浮出控件后,选择“ 应用”。 若要清除筛选器,请选择“ 清除筛选器”。
使用“ 搜索 ”框和相应的值查找特定的 Teams 邮件。 不支持通配符。
找到特定的隔离 Teams 邮件后,选择该邮件以查看有关它的详细信息,并 (对其进行操作,例如查看、释放、下载或删除邮件) 。
查看隔离的 Teams 邮件详细信息
在“隔离”页的“Teams 邮件”选项卡上,单击第一列旁边的“检查”框以外的行中的任意位置,选择隔离邮件。
详细信息浮出控件顶部提供了以下消息信息:
- 浮出控件的标题是 Teams 消息的主题或前 100 个字符。
- 隔离原因值。
- 消息中的链接数。
- 对 隔离的 Teams 邮件执行操作 部分介绍了可用的操作。
提示
若要在不离开详细信息浮出控件的情况下查看有关其他隔离的 Teams 邮件的详细信息,请使用浮出控件顶部的“上一项”和“下一项”。
详细信息浮出控件中的下一部分与隔离的 Teams 邮件相关:
-
隔离详细信息 部分:
- Expires
- 接收时间
- 隔离原因
- 释放状态
- 策略类型:值为 None。
- 策略名称:值为 Teams 保护策略。
- 隔离策略
详细信息浮出控件的其余部分包含 Teams 邮件实体面板的“邮件详细信息”、“发件人”、“参与者”、“频道详细信息”和“URL”部分。 有关详细信息,请参阅计划 2 中的 Teams mMessage 实体面板Microsoft Defender for Office 365。
完成详细信息浮出控件后,选择“ 关闭”。
对隔离的 Teams 邮件执行操作
在 Microsoft Defender 门户中https://security.microsoft.com,转到“Email &协作>查看>隔离>Teams 消息”选项卡。或者,若要直接转到“隔离”页上的“Teams 邮件”选项卡,请使用 https://security.microsoft.com/quarantine?viewid=Teams。
在 “Teams 邮件 ”选项卡上,使用以下方法之一选择隔离邮件:
使用任一方法选择消息,“更多”下提供了一些操作。
选择隔离邮件后,以下小节将介绍可用的操作。
释放隔离的 Teams 邮件
此操作不适用于已发布的 Teams 邮件, (“发布状态 ”值为“ 已发布) ”。
如果不释放或删除邮件,则会在 “过期” 列中显示的日期之后自动将其从隔离区中删除。
选择消息后,使用以下方法之一将其释放:
- 在“Teams 消息”选项卡上,选择“ 发布”。
- 在所选邮件的详细信息浮出控件中:选择“ 发布”。
在打开 的“向所有聊天参与者发布 ”浮出控件中,决定是否选择“ 将邮件提交到Microsoft,以提高检测 (误报) ”,然后选择“ 发布”。
从隔离区中删除 Teams 邮件
如果不释放或删除 Teams 邮件,则会在 “过期” 列中显示的日期之后自动将其从隔离区中删除。
选择 Teams 消息后,使用以下方法之一将其删除:
- 在“Teams 邮件”选项卡上,选择“ 删除邮件”。
- 在所选邮件的详细信息浮出控件中:选择“ 更多选项>”“从隔离区中删除”。
在打开的警告对话框中,阅读信息,然后选择“ 继续”。
返回到 “Teams 消息 ”选项卡,不再列出该消息。
从隔离区预览 Teams 邮件
选择 Teams 消息后,请使用以下方法之一对其进行预览:
- 在“Teams 消息”选项卡上,选择“ 预览邮件”。
- 在所选邮件的详细信息浮出控件中:选择“ 预览邮件”。
在打开的浮出控件中,选择以下选项卡之一:
- “源”:显示禁用所有链接的 HTML 版邮件正文。
- “纯文本”:以纯文本格式显示邮件正文。
将 Teams 邮件报告给Microsoft,以便从隔离区中查看
选择消息后,使用以下方法之一将消息报告给Microsoft进行分析:
- 在“Teams 邮件”选项卡上,选择“更多>提交”以供审阅。
- 在所选邮件的详细信息浮出控件中:选择“ 更多选项>提交以供审阅”。
选择“ 提交邮件”时,消息将发送到Microsoft进行分析。 你会收到一个“已提交 项目 ”对话框,其中选择 “确定”。
从隔离区下载 Teams 邮件
选择 Teams 消息后,使用以下方法之一下载它:
- 在“Teams 消息”选项卡上,选择“ 更多>下载邮件”。
- 在所选邮件的详细信息浮出控件中:选择“ 更多选项>”“下载邮件”。
在打开的 “下载邮件” 浮出控件中,输入以下信息:
- 下载文件的原因:输入描述性文本。
- 创建密码 并 确认密码:输入打开下载的邮件文件所需的密码。
完成 “下载文件” 浮出控件后,选择“ 下载”。
默认情况下,.html 邮件文件保存在 “下载” 文件夹中名为“隔离 Messages.zip”的压缩文件中。 如果 .zip 文件已存在,则会将数字追加到文件名 (例如“隔离邮件 (1) .zip) ”。
返回“ 下载邮件” 浮出控件,选择“ 完成”。
对多个隔离的 Teams 邮件执行操作
通过选择第一列旁边的检查框在“Teams 邮件”选项卡上选择多个隔离邮件时,“Teams 邮件”选项卡上提供以下批量操作:
批准或拒绝用户针对隔离的 Teams 邮件的释放请求
当用户请求释放隔离的 Teams 邮件时, “发布状态 ”值将更改为 “请求发布”,管理员可以批准或拒绝该请求。
有关详细信息,请参阅 批准或拒绝用户的发布请求。
使用 Exchange Online PowerShell 或独立 EOP PowerShell 管理隔离的邮件
本部分介绍了用于在隔离区中查看和管理邮件和文件的 cmdlet。
- Delete-QuarantineMessage
- Export-QuarantineMessage
- Get-QuarantineMessage
- Preview-QuarantineMessage:此 cmdlet 仅适用于邮件,不适用于隔离的文件。
- Release-QuarantineMessage