分享方式:


以使用者身分管理隔離的郵件和檔案

提示

您知道您可以免費試用 Microsoft Defender 全面偵測回應 中的功能 Office 365 方案 2 嗎? 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 瞭解誰可以在 Try 適用於 Office 365 的 Microsoft Defender 上註冊和試用條款。

在擁有 Exchange Online 信箱的 Microsoft 365 組織中或是沒有 Exchange Online 信箱的獨立 Exchange Online Protection (EOP) 組織中,隔離區會保存可能有害或垃圾郵件。 如需詳細資訊,請參閱 EOP 中的隔離區

身為一般的使用者 (非系統管理員),遭隔離郵件的收件者所能使用的 預設 功能皆如下表所述:

隔離原因 檢視 發行 刪除
反垃圾郵件原則
   大量
   垃圾郵件
   高信賴度的垃圾郵件
   網路釣魚
   高信賴度網路釣魚
防網路釣魚原則
   EOP 中的詐騙情報保護
   適用於 Office 365 的 Defender 中的假冒使用者防護
   適用於 Office 365 的 Defender 中的假冒網域防護
   適用於 Office 365 的 Defender 中的信箱智慧模擬保護
反惡意程式碼原則
   電子郵件訊息具有遭隔離為惡意程式碼的附件。
適用於 Office 365 的 Defender 中的安全附件
   安全附件原則,將包含惡意附件的電子郵件訊息隔離為惡意程式碼。
   SharePoint、OneDrive 和 Microsoft Teams 的安全附件,可將惡意檔案隔離為惡意程式碼。
郵件流程規則 (傳輸規則)
   直接隔離電子郵件訊息 (的郵件流程規則,而不是將它們標示為垃圾郵件) 。

支持的保護功能中, 隔離原則 會根據郵件遭到隔離的原因,定義允許使用者對隔離郵件執行的動作。 默認隔離原則會強制執行訊息的歷史功能,如上表所述。 系統管理員可以建立並套用自定義隔離原則,為使用者定義較不嚴格或更嚴格的功能。 如需詳細資訊, 請參閱隔離原則的結構

您會在 Microsoft Defender 入口網站中檢視和管理隔離的郵件,或 (系統管理員是否已設定此設定,) 隔離原則的隔離通知。

開始之前有哪些須知?

在 EOP 中管理隔離的郵件

檢視您的遭隔離郵件

注意事項

您檢視隔離郵件的能力是由隔離原則所控制,該原則適用於郵件遭到隔離的原因 (這可能是預設隔離原則,如 EOP 和 適用於 Office 365 的 Microsoft Defender 安全性) 的建議設定中所述。

在 Microsoft Defender 入口網站https://security.microsoft.com中,移至 Email & 共同作業>檢閱>隔離>Email 索引卷標。或者,若要直接移至 [隔離] 頁面上的 [Email] 引標籤,請使用 https://security.microsoft.com/quarantine?viewid=Email

[Email] 索引標籤上,您可以按兩下 [將列表間距變更為精簡或正常],然後選取 [壓縮清單],以減少清單中的垂直間距。

您可以按下可用的數據列標頭來排序專案。 選 取 [自定義資料行] 以變更顯示的數據行。 預設值會標上星號 (*):

  • 收到時間*

  • 主題*

  • 寄件者*

  • 隔離原因* (在 Filter description.) 中查看可能的值

  • 發行狀態* (在 Filter description.) 中查看可能的值

  • 原則類型* (在 Filter description.) 中查看可能的值

  • 到期*

  • 收件者*

  • 寄件者位址覆寫原因*:下列其中一個值:

    • 收件者設定會封鎖郵件發件者
    • 系統管理員設定會封鎖訊息發件者

    提示

    如果已封鎖發件者,且 未顯示已封鎖的寄件者 已選取 (預設) ,則來自這些寄件人的郵件會顯示在 [ 隔離 ] 頁面上,並在寄 件者位址覆寫原因 值為 [無] 時包含在隔離通知中。 之所以會發生此行為,是因為訊息因為寄件者位址覆寫以外的原因而遭到封鎖。

  • 發行者*

  • 郵件識別碼

  • 原則名稱

  • 郵件大小

  • 郵件方向

若要篩選專案,請選取 [ 篩選]。 下列篩選條件可在開啟 的 [篩選] 飛出視窗中使用:

  • 郵件識別碼:郵件的全域唯一識別碼。

  • 寄件者位址

  • 收件者地址

  • 主旨

  • 收到的時間:選取下列其中一個值:

    • 過去24小時
    • 過去 7 天 (預設)
    • 過去14天
    • 過去 30 天 (預設)
    • 自訂:輸入 開始時間結束時間 (日期)。
  • 到期:篩選郵件從隔離區過期的時間。 選取下列其中一個值:

    • 今天
    • 未來 2 天
    • 未來 7 天
    • 自訂:輸入 開始時間結束時間 (日期)。
  • 隔離原因:選取下列一或多個值:

    • 傳輸規則 (郵件流程規則)
    • 大量郵件
    • 垃圾郵件
    • 惡意代碼:適用於 Office 365 的 Defender 中 EOP 或安全附件原則中的反惡意代碼原則。 [ 原則類型] 值會指出使用的功能。
    • 網路釣魚:垃圾郵件篩選結果為網路釣魚或防網路釣魚防護已隔離郵件 (詐騙設定模擬防護)。
    • 高信賴度網路釣魚
  • 封鎖的寄件者:下列其中一個值:

    • 請勿在預設 (顯示封鎖的寄件者)
    • 顯示所有寄件者

    提示

    如果已封鎖發件者,且 未顯示已封鎖的寄件者 已選取,則來自這些寄件者的郵件會顯示在 [ 隔離 ] 頁面上,並且會在發 件者位址覆寫原因 值為 [無] 時包含在隔離通知中。 之所以會發生此行為,是因為訊息因為寄件者位址覆寫以外的原因而遭到封鎖。

  • 釋出狀態:下列任何值:

    • 需要檢閱
    • 已核准
    • 已拒絕
    • 已要求釋出
    • 已釋出
  • 原則類型:依據隔離郵件的保護原則類型來篩選訊息。 選取下列一或多個值:

    • 反惡意程式碼原則
    • 安全附件原則
    • 防網路釣魚原則
    • 反垃圾郵件原則
    • 傳輸規則 (郵件流程規則)

    原則 類型隔離原因 值相互關聯。 例如, 大量 一律與 反垃圾郵件原則相關聯,永遠不會與 反惡意代碼原則相關聯。

當您在 [ 篩選 ] 飛出視窗上完成時,請選取 [ 套用]。 若要清除篩選,請選[清除篩選]

提示

會快取篩選。 下次開啟 [隔離] 頁面時,預設會選取最後一個會話中的 篩選 條件。 此行為有助於分級作業。

使用 [ 搜尋] 方 塊和對應的值來尋找特定訊息。 不支援萬用字元。 您可以依下列值進行搜尋:

  • 寄件者電子郵件地址
  • 主旨。 使用郵件的完整主旨。 搜尋不區分大小寫。

輸入搜尋準則之後,請按 ENTER 鍵來篩選結果。

注意事項

[搜尋] 方塊會在目前檢視中搜尋隔離的專案,而不是所有隔離的專案。 若要搜尋所有隔離的專案,請使用 [篩選 ] 和產生的 [篩選] 飛出視窗。

在您找到特定的隔離郵件之後,請選取訊息以檢視其詳細數據,並對其採取動作 (例如檢視、發行、下載或刪除訊息) 。

提示

在行動裝置上,先前所述的控件可在 [更多] 底下取得。

選取隔離的郵件,然後在行動裝置上選取 [更多]。

檢視隔離郵件詳細資料

  1. 在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 Email & 共同作業>檢閱>隔離>Email 索引卷標。或者,若要直接移至 [隔離] 頁面上的 [Email] 引標籤,請使用 https://security.microsoft.com/quarantine?viewid=Email

  2. [Email] 索引標籤上,按兩下複選框以外的數據列中的任何位置,以選取隔離的郵件。

在開啟的詳細數據飛出視窗中,提供下列資訊:

  • 隔離詳細資料 區段:
    • 收到日期:收到郵件的日期/時間。
    • 到期:訊息自動從隔離區中永久刪除的日期/時間。
    • 主旨
    • 隔離原因:顯示郵件是否已識別為垃圾郵件大量網路釣魚、符合郵件流程規則 (傳輸規則) ,或已識別為包含惡意代碼
    • 原則類型
    • 收件者計數
    • 收件者:如果郵件包含多個收件者,您可能需要選>取 [預覽郵件] 或 > [檢視郵件標頭] 來查看完整的收件者清單。
    • 寄件人覆寫原因
    • 發行者
      • 如果使用者釋放其訊息,則會顯示使用者的電子郵件位址。
      • 如果訊息是由系統管理員發行,則會顯示 管理員 值。
      • 如果發行是由系統執行,則會顯示值 System
      • 如果發行不是由使用者、管理員 或系統執行,則預設為 管理員
  • Email 詳細資料區段:
    • 寄件者位址
    • 收到時間
    • 網路訊息標識碼
    • 收件者

隔離郵件的詳細資料飛出視窗

若要對郵件採取動作,請參閱下一節。

提示

若要查看其他隔離郵件的詳細數據而不離開詳細數據飛出視窗,請使用飛出視窗頂端的 [上一個專案] 和 [下一個專案]。

對隔離的電子郵件採取動作

  1. 在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 Email & 共同作業>檢閱>隔離>Email 索引卷標。或者,若要直接移至 [隔離] 頁面上的 [Email] 引標籤,請使用 https://security.microsoft.com/quarantine?viewid=Email

  2. [Email] 索引標籤上,使用下列其中一種方法選取隔離的電子郵件訊息:

    • 選取第一個數據行旁邊的複選框,從清單中選取訊息。 可用的動作不再呈現灰色。

      在 [隔離] 頁面的 [Email] 索引標籤上選取隔離郵件之後的可用動作。

    • 按兩下複選框以外的數據列中的任何位置,從清單中選取訊息。 可用的動作位於開啟的詳細數據飛出視窗中。

      隔離郵件之詳細資料飛出視窗中的可用動作

    使用任一方法來選取訊息,某些動作可在 [更多] 或 [更多] 選項取得。

選取隔離的郵件之後,下列小節會說明可用的動作。

提示

在行動裝置上,動作體驗稍有不同:

  • 當您選取複選框來選取訊息時,所有動作都會在 [更多]

    選取隔離的郵件,然後在行動裝置上選取 [更多]。

  • 當您按下複選框以外的任何資料列中的任何位置來選取訊息時,大部分選項都可在詳細資料飛出視窗的 [更多] 底下使用:

    已隔離郵件的詳細數據,其中顯示可用的動作。

釋放隔離的電子郵件

注意事項

您釋放隔離郵件的能力是由隔離郵件 (保護功能的隔離原則所控制,這可能是預設隔離原則,如 EOP 和 適用於 Office 365 的 Microsoft Defender 安全性) 的建議設定中所述。

隔離原則可讓您釋放訊息或要求發行郵件,但兩個選項都無法用於相同的訊息。 隔離原則也可以防止您釋放或要求釋出隔離的郵件。

此動作不適用於已發行的電子郵件訊息, ([發行狀態 ] 值為 [ 已發行]) 。

如果您未釋放或移除訊息,該訊息會在 [ 到期 ] 資料行中顯示的日期之後自動從隔離中刪除。

選取郵件之後,請使用下列其中一種方法來釋放它, (將它傳遞至您的信箱) :

  • 在 [Email] 索引標籤上:選取 [發行]
  • 在所選郵的詳細資料飛出視窗中:選取 [發行電子郵件]

在開啟的 [ 收件匣 ] 飛出視窗的 [釋放訊息] 中,選取 [回報 訊息沒有適當的威脅 ],然後選取 [ 釋放訊息]

當您在 [收件匣] 飛出視窗的 [ 發行] 訊息 上完成時,請選取 [ 發行訊息]

開啟的 [收件匣 ] 飛出視窗中,選取 [ 完成]

回到 [Email] 索引標籤,訊息的 [發行狀態] 值為 [已發行]

郵件會根據信箱) 中的任何收件 匣規則 ,傳遞至您的收件匣 (或其他資料夾。

要求釋出隔離的電子郵件

注意事項

您要求釋出隔離郵件的能力,是由隔離郵件之保護功能的隔離原則所控制。

隔離原則可讓您釋放訊息或要求發行郵件,但兩個選項都無法用於相同的訊息。 隔離原則也可以防止您釋放或要求釋出隔離的郵件。

此動作不適用於您已要求發行的電子郵件訊息, ([ 發行狀態 ] 值為 [已發行] 要求) 。

如果您未釋放或移除訊息,該訊息會在 [ 到期 ] 資料行中顯示的日期之後自動從隔離中刪除。

選取訊息之後,請使用下列其中一種方法來要求發行:

  • 在 [Email] 索引卷標上:選取 [要求發行]
  • 在所選訊息的詳細數據飛出視窗中:選[更多選項>] [要求發行]

在開啟 的 [要求發行 ] 飛出視窗中檢閱資訊,選取 [要求發行]。 在開啟的 [ 發行要求 的飛出視窗] 中,選取 [ 完成]

回到 [ 隔離] 頁面,訊息的 [ 發行狀態 ] 值為 [ 要求發行]。 系統管理員會檢閱您的要求並加以核准或拒絕。

從隔離區刪除電子郵件

當您從隔離區刪除電子郵件訊息時,郵件會移除,而且不會傳送給原始收件者。

如果您未釋放或移除訊息,該訊息會在 [ 到期 ] 資料行中顯示的日期之後自動從隔離中刪除。

選取訊息之後,請使用下列其中一種方法加以移除:

  • 在 [Email] 索引標籤上:選取 [刪除訊息]
  • 在所選取的詳細資料飛出視窗中:選[更多選項>][從隔離區刪除]

在開啟的 [ 刪除 (n) 郵件] 飛出視窗中,使用下列其中一種方法來刪除訊息:

  • 選取 [ 從隔離區永久刪除郵件 ],然後選取 [ 刪除:郵件已永久刪除且無法復原]。
  • [僅刪除]:郵件已刪除,但可能可復原。

從隔離飛出視窗選取 [刪除] (n) 訊息之後,您會返回不再列出訊息的 [Email] 索引卷標。

提示

系統管理員可以搜尋系統管理員稽核記錄,找出誰刪除了隔離的郵件。 如需指示,請 參閱尋找刪除隔離郵件的人員

從隔離區預覽電子郵件

選取訊息之後,請使用下列其中一種方法進行預覽:

  • 在 [Email] 索引卷標上:選取 [預覽訊息]
  • 在所選訊息的詳細數據飛出視窗中:選[更多選項>] [預覽訊息]

開啟的飛出視窗中,選擇下列其中一個索引標籤:

  • 原始碼:顯示已停用所有連結的郵件內文 HTML 版本。
  • 純文字:以純文字顯示郵件內文。

檢視電子郵件訊息標頭

選取訊息之後,請使用下列其中一種方法來檢視訊息標頭:

  • 在 [Email] 索引標籤上:選取 [更多>檢視] 訊息標頭
  • 在所選郵的詳細資料飛出視窗中:選[更多選項>] [檢視訊息標頭]

在開啟的 [訊息標頭] 飛出視窗中,會顯示訊息標頭 () 的所有標頭字段。

使用 [複製訊息標頭 ] 將訊息標頭複製到剪貼簿。

取 [Microsoft訊息標頭分析器 ] 連結,以深入分析標頭字段和值。 將訊息標頭貼到 [ 插入您想要分析的訊息標頭 ] 區段 (CTRL+V,或以滑鼠右鍵按兩下並選擇 [貼上) ],然後選取 [ 分析標頭]

允許電子郵件寄件者不受隔離

提示

如果寄件者已經在您的 垃圾郵件篩選清單中, [允許寄件者 ] 就無法使用。

[ 允許寄件者 ] 動作會將郵件寄件者新增至信箱中的安全寄件人清單。 如需允許寄件者的詳細資訊,請參閱將 電子郵件訊息的收件者新增至安全發件者清單

選擇信件之後,請使用下列其中一種方法,將郵件寄件者新增至信箱中的安全發件者清單:

  • 在 [Email] 索引標籤上:選取 [更多>允許發件者]
  • 在所選取的詳細資料飛出視窗中:選[更多選項>] [允許寄件者]

開啟的飛出視窗會指出傳送者已成功新增至安全發件人清單的時機。 選取 [完成]

禁止電子郵件寄件者遭到隔離

提示

只有當系統管理員已建立啟用封鎖寄件者許可權的自定義隔離原則,並將該隔離原則指派給隔離郵件的保護功能原則時,才能使用封鎖發件者。

如果寄件者已在您的 安全寄件人清單中,則無法使用 封鎖寄件者 您可以改為從使用者封鎖清單中移除寄件者

[封鎖寄件者] 動作會將郵件寄件人新增至信箱中的 [封鎖的發件者] 清單。 如需封鎖發件者的詳細資訊,請參閱 封鎖郵件寄件者

選擇信件之後,請使用下列其中一種方法,將郵件寄件者新增至信箱中的 [封鎖的寄件者] 清單:

  • 在 [Email] 索引標籤上:選取 [更多>封鎖傳送者]
  • 在所選郵的詳細數據飛出視窗中:選[更多選項>] [封鎖傳送者]

在開啟的 [封鎖發件者 ] 飛出視窗中,檢閱發件人的資訊,然後選取 [ 封鎖]

提示

組織仍然可以從封鎖的寄件者接收郵件。 寄件者傳送的郵件會傳送到您的垃圾郵件 Email資料夾或隔離。 若要在傳送者抵達時刪除郵件,系統管理員可以使用 郵件流程規則 (也稱為傳輸規則) 封鎖郵件

從隔離區中移除封鎖的寄件者清單中的寄件者

只有在隔離郵件的寄件者已在封鎖寄件人清單中時,才能使用 [ 從使用者封鎖移除件者] 清單

選取訊息之後,請使用下列其中一種方法,從封鎖寄件人清單中移除寄件者:

  • 在 [Email] 索引標籤上:從使用者封鎖清單中選[更多>移除發件者]
  • 在所選取的詳細資料飛出視窗中:選[更多選項>] [從使用者封鎖清單中移除寄件者]

開啟的飛出視窗會指出成功從 [封鎖的寄件者] 清單中移除發件者。 選取 [完成]

對多個隔離的電子郵件採取動作

當您選取第一個數據行旁邊的複選框,在 [Email] 索引標籤上選取多個隔離的郵件時,Email 索引卷標 (會根據您所選取訊息的 [發行狀態] 值) :

管理 Microsoft Teams 中隔離的郵件

在 Microsoft Teams 中偵測到潛在的惡意聊天訊息時,會在零時 (自動清除 ZAP) 移除訊息並加以隔離。 用戶現在可以在 Microsoft Defender 入口網站中檢視和管理這些隔離的Teams訊息。 隔離通知不支援隔離的Teams訊息。

在 Microsoft Teams 中檢視隔離的郵件

在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 [Email & 共同作業>檢閱>隔離>Teams 訊息] 索引標籤。或者,若要直接移至 [隔離] 頁面上的 [Teams 訊息] 索引標籤,請使用 https://security.microsoft.com/quarantine?viewid=Teams

您可以按下可用的數據列標頭來排序專案。 選 取 [自定義資料行] 以變更顯示的數據行。 預設資料行為:

  • Teams 消息正文:包含小組訊息的主旨。
  • 隔離日期:已隔離郵件時顯示。
  • 狀態:顯示訊息是否已檢閱並發行,或需要檢閱。
  • 寄件者:傳送已隔離郵件的人員。
  • 隔離原因:可用的選項為 高信賴度網路釣魚惡意代碼
  • 到期:指出訊息從隔離中移除的時間。 根據預設,此值為 30 天。

若要篩選專案,請選取 [ 篩選]。 下列篩選條件可在開啟 的 [篩選] 飛出視窗中使用:

  • 寄件者位址
  • 收到的時間
    • 過去24小時
    • 過去 7 日
    • 過去14天
    • 過去 30 天 (預設)
    • 自訂:輸入 開始時間結束時間 (日期)。
  • 到期時間:
    • 自訂 (預設) :輸入 開始時間結束時間 (日期) 。
    • 今天
    • 未來 2 天
    • 未來 7 天
  • 隔離原因:可用的值為 惡意代碼高信賴度網路釣魚
  • 狀態:選取 [需要檢閱發行]

當您在 [ 篩選 ] 飛出視窗中完成時,請選取 [ 套用]。 若要清除篩選,請選[清除篩選]

使用 [ 搜尋] 方 塊和對應的值來尋找特定的 Teams 訊息。 不支援萬用字元。

在您找到特定隔離的 Teams 訊息之後,請選取訊息以檢視其詳細數據,並對其採取動作 (例如檢視、發行、下載或刪除訊息) 。

在 Microsoft Teams 中檢視隔離的郵件詳細數據

[Teams 訊息] 索引標籤上,按兩下複選框以外的數據列中的任何位置,選取隔離的郵件。

在開啟的詳細數據飛出視窗中,提供下列資訊:

  • 隔離詳細 數據區段:包含隔離原因、到期日、隔離原則類型和其他資訊。
    • 到期
    • 收到時間
    • 隔離原因
    • 釋出狀態
    • 原則類型
  • 郵件詳細 數據區段:包含郵件傳送的日期和時間、寄件者位址、Teams 訊息識別碼,以及收件者清單。
    • 寄件者位址
    • 收到時間
    • 收件者
    • Teams 訊息標識碼

若要對郵件採取動作,請參閱下一節。

對 Microsoft Teams 中隔離的郵件採取動作

[Teams 訊息] 索引標籤 上,選取第一個數據行旁邊的複選框,以選取隔離的郵件。 下列為可用的選項:

  • 要求釋放:您可以要求從隔離區釋放訊息。 貴組織的系統管理員必須核准發行。
  • 刪除:您可以要求從隔離郵件清單中刪除郵件。
  • 預覽訊息:您可以檢視所選訊息的詳細數據。

如果您未釋放或移除訊息,該訊息會在 [ 到期 ] 資料行中顯示的日期之後自動從隔離中刪除。