以系統管理員身分管理被隔離的郵件與檔案
提示
您知道您可以免費試用 Microsoft Defender 全面偵測回應 Office 365 方案 2 中的功能嗎? 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 在這裡瞭解誰可以註冊和 試用條款。
在具有 Exchange Online 或 Microsoft Teams 信箱的 Microsoft 365 組織中,或在不 Exchange Online 信箱或 Teams 的獨立 Exchange Online Protection (EOP) 組織中,隔離會保存 EOP 偵測到的潛在危險或垃圾郵件,適用於 Office 365 的 Defender。
系統管理員可以檢視、釋放及刪除所有使用者所有類型的隔離郵件和檔案。
具有 適用於 Office 365 的 Microsoft Defender 的組織管理員也可以管理由 SharePoint、OneDrive、Microsoft Teams 和 Microsoft Teams 安全附件隔離的檔案,以及在 ZAP) 零時 (自動清除所隔離的 Microsoft Teams 訊息。
用戶可以根據支援之電子郵件保護功能的隔離原則來管理大部分隔離的電子郵件訊息。 如需隔離原則的詳細資訊, 請參閱隔離原則的結構。
系統管理員和使用者 (視 組織使用者回報的設定 而定,) 可以從隔離區向 Microsoft 回報誤判。
您可以在 Microsoft Defender 入口網站或 PowerShell (Exchange Online PowerShell 中檢視和管理已隔離的郵件,Exchange Online 中包含信箱的 Microsoft 365 組織;不含 Exchange Online 信箱) 之組織的獨立 EOP PowerShell。
觀看這段短片,瞭解如何以系統管理員身分管理隔離的郵件。
開始之前有哪些須知?
若要開啟 Microsoft Defender 入口網站,請移至 https://security.microsoft.com。 若要直接移至 [隔離] 頁面,請使用 https://security.microsoft.com/quarantine。
若要連線至 Exchange Online PowerShell,請參閱連線至 Exchange Online PowerShell。 若要連接至獨立版 EOP PowerShell,請參閱連線到 Exchange Online Protection PowerShell。
您必須獲得指派許可權,才能執行本文中的程式。 您有下列選項:
- Microsoft Defender 全面偵測回應 整合角色型訪問控制 (RBAC) ( 只會影響 Defender 入口網站,而不會影響 PowerShell) :
- 對所有使用者的隔離郵件採取動作:安全性作業/安全性數據/Email & 共同作業隔離 (管理) 。
- 所有使用者的隔離郵件唯讀存取權: 安全性作業/安全性數據/安全性數據 (讀取) 。
- 在 Microsoft Defender 入口網站中 Email & 共同作業許可權:
- 對所有使用者的隔離郵件採取動作: 隔離系統管理員、安全性 系統管理員或 組織管理 角色群組中的成員資格。
- 將郵件從隔離區提交至 Microsoft: 隔離系統管理員 或 安全性系統管理員 角色群組中的成員資格。
- 使用 封鎖寄件者 將 寄件者新增至您自己的 [封鎖的寄件者] 清單:根據預設,所有使用者都具有必要的許可權。 封鎖寄件人動作是否可供非系統管理員使用,通常是由隔離原則中的封鎖發件者權限所控制。 指派任何可讓系統管理員存取隔離 (的許可權,例如 ,安全性讀取者 或 全域讀 取者) 可存取隔離區中的 封鎖發件者 。
- 所有使用者的隔離郵件只讀存取權:安全性讀取 者 或 全域讀取者 角色群組中的成員資格。
- 對所有使用者的隔離郵件採取動作: 隔離系統管理員、安全性 系統管理員或 組織管理 角色群組中的成員資格。
- Microsoft Entra 權限:這些角色的成員資格可為使用者提供 Microsoft 365 中其他功能的必要許可權和許可權:
- 對所有使用者的隔離郵件採取動作:[安全性系統管理員] 或 [ 全域管理員 ] 角色中的成員資格。
- 將郵件從隔離區提交至 Microsoft: 安全性系統管理員 角色的成員資格。
- 使用 封鎖寄件者 將 寄件者新增至您自己的 [封鎖的寄件者] 清單:根據預設,所有使用者都具有必要的許可權。 封鎖寄件人動作是否可供非系統管理員使用,通常是由隔離原則中的封鎖發件者權限所控制。 指派任何可讓系統管理員存取隔離 (的許可權,例如 ,安全性讀取者 或 全域讀 取者) 可存取隔離區中的 封鎖發件者 。
- 所有使用者的隔離郵件只讀存取權: 全域讀取者 或 安全性讀取者 角色中的成員資格。
- 對所有使用者的隔離郵件採取動作:[安全性系統管理員] 或 [ 全域管理員 ] 角色中的成員資格。
提示
使用 Exchange Online 許可權來管理隔離郵件的能力,已於 2023 年 2 月終止每個MC447339。
其他組織的來賓系統管理員無法管理隔離的郵件。 系統管理員必須與收件者位於相同的組織中。
- Microsoft Defender 全面偵測回應 整合角色型訪問控制 (RBAC) ( 只會影響 Defender 入口網站,而不會影響 PowerShell) :
隔離的郵件和檔案會根據被隔離的原因保留一段默認時間。 保留期間到期之後,訊息會自動刪除且無法復原。 如需詳細資訊,請參閱 隔離保留。
系統管理員或使用者對隔離郵件採取的所有動作都會受到稽核。 如需稽核隔離事件的詳細資訊,請參閱 Office 365 管理 API 中的隔離架構。
使用 Microsoft Defender 入口網站來管理隔離的電子郵件訊息
檢視隔離的電子郵件
在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 Email & 共同作業>檢閱>隔離>Email 索引標籤。或者,若要直接移至 [隔離] 頁面上的 [Email] 索引標籤,請使用 https://security.microsoft.com/quarantine?viewid=Email。
在 [Email] 索引標籤上,您可以按兩下 
[將列表間距變更為精簡或正常],然後選
取 [壓縮清單],以減少清單中的垂直間距。
您可以按下可用的數據列標頭來排序專案。 選 
取 [自定義資料行] 以變更顯示的數據行。 預設值會標上星號 (*):
- 收到時間*
- 主題*
- 發送*
- 隔離原因* (在 Filter description.) 中
查看可能的值 - 發行狀態* (在 Filter description.) 中查看可能的值
- 原則類型* (在 Filter description.) 中查看可能的值
- 到期*
- 收件者:收件者電子郵件位址一律會解析為主要電子郵件位址,即使郵件已傳送至 Proxy 位址也一般。
- 郵件識別碼
- 原則名稱
- 郵件大小
- 郵件方向
- 收件者標籤
若要篩選專案,請選取 [ 篩選]。 下列篩選條件可在開啟 的 [篩選] 飛出視窗中使用:
郵件識別碼:郵件的全域唯一識別碼。
例如,您使用 訊息追蹤 來尋找訊息,並判斷郵件已隔離而非傳遞。 請務必包含完整的訊息標識碼值,其中可能包含角括弧 (<>) 。 例如:
<79239079-d95a-483a-aacf-e954f592a0f6@XYZPR00BM0200.contoso.com>。寄件者位址
收件者地址
主旨
收到的時間:
- 過去24小時
- 過去 7 日
- 過去14天
- 過去 30 天 (預設)
- 自訂:輸入 開始時間 和 結束時間 (日期)。
到期:篩選郵件從隔離區到期時:
- 今天
- 未來 2 天
- 未來 7 天
- 自訂:輸入 開始時間 和 結束時間 (日期)。
收件者標籤:目前唯一可選取的 使用者標籤 是優先順序帳戶。
隔離原因:
收件者: 所有使用者 或 僅限我。 終端使用者只能管理傳送給使用者的隔離郵件。
釋出狀態:下列任何值:
- 需要檢閱
- 已核准
- 已拒絕
- 已要求釋出
- 已釋出
- 準備發行
- 錯誤
原則類型:依原則類型篩選訊息:
- 反惡意程式碼原則
- 安全附件原則
- 防網路釣魚原則
- 反垃圾郵件原則
- 傳輸規則 (郵件流程規則)
- 數據外泄防護規則
原則 類型 和 隔離原因 值相互關聯。 例如, 大量 一律與 反垃圾郵件原則相關聯,永遠不會與 反惡意代碼原則相關聯。
當您在 [ 篩選 ] 飛出視窗上完成時,請選取 [ 套用]。 若要清除篩選,請選
取 [清除篩選]。
提示
會快取篩選。 下次開啟 [隔離] 頁面時,預設會選取最後一個會話中的 篩選 條件。 此行為有助於分級作業。
使用 [
搜尋] 方塊和對應的值來尋找特定訊息。 不支援萬用字元。 您可以依下列值進行搜尋:
- 寄件者電子郵件地址
- 主旨。 使用郵件的完整主旨。 搜尋不區分大小寫。
輸入搜尋準則之後,請按 Enter 來篩選結果。
注意事項
[搜尋] 方塊會在目前檢視 (中搜尋隔離的專案,限制為) 100 個專案,而非所有隔離的專案。 若要搜尋所有隔離的專案,請使用 [篩選 ] 和產生的 [篩選] 飛出視窗。
在您找到特定的隔離郵件之後,請選取訊息以檢視其詳細數據,並對其採取動作 (例如檢視、發行、下載或刪除訊息) 。
提示
在行動裝置上,先前所述的控件可在 [更多] 底下
取得。
![選取隔離郵件,然後在行動裝置上選取 [更多] 的螢幕快照。](media/quarantine-message-main-page-mobile-actions.png#lightbox)
檢視隔離的電子郵件詳細數據
在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 Email & 共同作業>檢閱>隔離>Email 索引卷標。或者,若要直接移至 [隔離] 頁面上的 [Email] 索引標籤,請使用 https://security.microsoft.com/quarantine?viewid=Email。
在 [Email] 索引標籤上,按兩下複選框以外的數據列中的任何位置,選取隔離的郵件。
在開啟的詳細數據飛出視窗中,提供下列資訊:
- 隔離詳細資料 區段:
其餘的詳細數據飛出視窗包含屬於 Email 摘要面板的 [傳遞詳細數據]、[Email 詳細數據]、[URL] 和 [附件] 區段。 如需詳細資訊,請參閱 Email 摘要面板。
![在您從 [隔離] 頁面的 [Email] 索引卷標中選取隔離的電子郵件訊息之後,所開啟之詳細數據飛出視窗的螢幕快照。](media/quarantine-message-details-flyout.png#lightbox)
若要對郵件採取動作,請參閱下一節。
提示
若要查看其他隔離郵件的詳細數據而不離開詳細數據飛出視窗,請使用
飛出視窗頂端的 [上一個專案] 和 [下一個專案]。
對隔離的電子郵件採取動作
在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 Email & 共同作業>檢閱>隔離>Email 索引卷標。或者,若要直接移至 [隔離] 頁面上的 [Email] 索引標籤,請使用 https://security.microsoft.com/quarantine?viewid=Email。
在 [Email] 索引標籤上,使用下列其中一種方法選取隔離的電子郵件訊息:
選取第一個數據行旁邊的複選框,從清單中選取訊息。 可用的動作不再呈現灰色。
![選取 [隔離] 頁面上 [Email] 索引標籤上已隔離郵件複選框后可用動作的螢幕快照。](media/quarantine-message-selected-message-actions.png)
按兩下複選框以外的數據列中的任何位置,從清單中選取訊息。 可用的動作位於開啟的詳細數據飛出視窗中。
![在 [隔離] 頁面的 [Email] 索引標籤上選取隔離郵件之後,開啟之詳細數據飛出視窗中可用動作的螢幕快照。](media/quarantine-message-details-flyout-actions.png)
使用任一方法來選取訊息,在 [更多] 或 [更多] 選項下
可以使用許多動作。
![選取 [隔離] 頁面上 [Email] 索引標籤上已隔離郵件複選框后可用動作的螢幕快照。](media/quarantine-message-selected-message-actions.png#lightbox)
![在 [隔離] 頁面的 [Email] 索引標籤上選取隔離郵件之後,開啟之詳細數據飛出視窗中可用動作的螢幕快照。](media/quarantine-message-details-flyout-actions.png#lightbox)
選取隔離的郵件之後,下列小節會說明可用的動作。
提示
在行動裝置上,動作體驗稍有不同:
當您選取複選框來選取訊息時,所有動作都會在 [更多] 下
:![選取隔離郵件並在行動裝置上選取 [更多] 的螢幕快照。](media/quarantine-message-main-page-mobile-actions.png)
當您按下複選框以外的數據列中的任何位置來選取訊息時,詳細數據飛出視窗中的某些動作圖示上無法使用描述文字。 但是,動作及其順序與電腦上的順序相同:
釋放隔離的電子郵件
此動作不適用於已發行的電子郵件訊息, ([發行狀態 ] 值為 [ 已發行]) 。
如果您未釋放或移除訊息,該訊息會在 [ 到期 ] 資料行中顯示的日期之後自動從隔離中刪除。
- 您無法多次將訊息釋出給相同的收件者。
- 當您選取個別原始收件者來接收已發行的郵件時,您只能選取尚未收到已發行郵件的收件者。
- 安全性系統管理員角色群組的成員可以看到並使用 [將訊息提交給 Microsoft 以改善偵測] 和 [允許具有類似屬性的電子郵件] 選項。
- 用戶可以根據使用者報告設定中的 [從隔離區報告] 設定值,從隔離區向 Microsoft 回報誤判。
提示
第三方防病毒軟體解決方案、安全性服務和 輸出連接器 可能會對從隔離區釋放的訊息造成下列問題:
- 訊息在釋放之後會遭到隔離。
- 內容會在到達收件者的收件匣之前,從已發行的郵件中移除。
- 已發行的郵件永遠不會送達收件者的收件匣。
- 系統可能會隨機選取 隔離通知 中的動作。
在開啟有關這些問題的支援票證之前,請先確認您未使用第三方篩選。
收件匣規則 (由 Outlook 中的使用者或系統管理員使用 Exchange Online PowerShell 中的 *-InboxRule Cmdlet 建立,) 可以從 [收件匣] 移動或刪除訊息。
系統管理員可以使用 訊息追蹤 來判斷已發行的郵件是否已傳遞至收件者的收件匣。
選取訊息之後,請使用下列其中一種方法來釋放訊息:
- 在 [Email] 索引標籤上:選取 [
發行]。 - 在所選郵的詳細資料飛出視窗中:選取 [發行電子郵件]。
在開啟的 [ 將電子郵件釋出至收件者收件匣 ] 飛出視窗中,設定下列選項:
選取下列其中一個值:
- 發行給所有收件者
- 釋放至電子郵件的一或多個原始收件者:在出現的 [收件者] 方塊中輸入收 件者 。
將此訊息的複本傳送給另一個收件者:如果您選取此選項,請按兩下出現的 [收件者] 方塊來選取一或多個收 件者 。
將訊息提交給 Microsoft 以改善偵測:如果您選取此選項,系統會將錯誤隔離的訊息回報給 Microsoft 為誤判。 根據其分析結果,可能會調整整個服務的垃圾郵件篩選規則,以允許訊息通過。
選取此選項會顯示下列選項:
- 允許此訊息:如果您選取此選項,允許專案會新增至寄件人和郵件中任何相關 URL 或附件的租使用者 允許/封鎖清單 。 下列選項也會出現:
- 拿掉項目之後:預設值為 30 天,但您也可以選取 1 天、 7 天或小於 30 天的 特定日期 。
- 允許輸入附註:輸入包含其他資訊的選擇性附註。
- 允許此訊息:如果您選取此選項,允許專案會新增至寄件人和郵件中任何相關 URL 或附件的租使用者 允許/封鎖清單 。 下列選項也會出現:
當您完成 [將電子郵件寄 給收件者收件匣 ] 飛出視窗時,請選取 [ 發行訊息]。
回到 [Email] 索引標籤,訊息的 [發行狀態] 值為 [已發行]。
核准或拒絕來自用戶的隔離電子郵件發行要求
如果隔離原則使用 [ 允許收件者要求郵件從隔離區釋 出 (許可權) PermissionToRequestRelease ,而不是 允許收件者在 郵件遭到隔離時從隔離 (PermissionToRelease 許可權) 釋出郵件,則使用者可以要求釋放電子郵件訊息。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Create 隔離原則。
當收件者要求釋放電子郵件訊息之後,[ 發行狀態 ] 值會變更為 [要求的發行],而系統管理員可以核准或拒絕要求。
提示
可能會針對該訊息的多個發行要求建立一個要釋放訊息的警示。 使用警示訊息 [詳細數據] 區段中的隔離連結,對組織中用戶過去 7 天的發行要求採取動作。
如果您未釋放或移除訊息,該訊息會在 [ 到期 ] 資料行中顯示的日期之後自動從隔離中刪除。
選取訊息之後,請使用下列其中一種方法來核准或拒絕發行要求:
- 在 [Email] 索引標籤上:選取 [核
准發行] 或 [
拒絕]。 - 在所選郵件的詳細數據飛出視窗中:選取 [更多],然後選取 [核准發行] 或 [拒絕發行]。
如果您選取 [ 核准發行],[ 核准] 發行 飛出視窗隨即開啟,您可以在其中檢閱訊息的相關信息。 若要核准要求,請選取 [ 核准發行]。 [發行核准的飛出視窗] 隨即開啟,您可以在其中選取連結以深入瞭解如何發行訊息。 在 [發行核准的飛出視窗] 上完成時,選取 [完成]。 回到 [Email] 索引標籤,訊息的 [發行狀態] 值會變更為 [已核准]。
如果您選取 [拒絕],[ 拒絕] 發行 飛出視窗隨即開啟,您可以在其中檢閱訊息的相關信息。 若要拒絕要求,請選取 [拒絕發行]。 [ 拒絕發行 ] 飛出視窗隨即開啟,您可以在其中選取連結以深入瞭解如何發行訊息。 當您在 [拒絕發行] 飛出視窗上完成時,選取 [完成]。 回到 [Email] 索引標籤,訊息的 [發行狀態] 值會變更為 [拒絕]。
提示
您只能拒絕所有收件者的發行。 您無法拒絕特定收件者的發行。
從隔離區刪除電子郵件
當您從隔離區刪除電子郵件訊息時,郵件會移除,而且不會傳送給原始收件者。
如果您未釋放或移除訊息,該訊息會在 [ 到期 ] 資料行中顯示的日期之後自動從隔離中刪除。
選取訊息之後,請使用下列其中一種方法加以移除:
- 在 [Email] 索引標籤上:選取
[從隔離區刪除]。 - 在所選取的詳細資料飛出視窗中:選取 [更多選項>][從隔離區刪除]。
在開啟的 [ 刪除 (n) 郵件] 飛出視窗中,使用下列其中一種方法來刪除訊息:
- 選取 [ 從隔離區永久刪除郵件 ],然後選取 [ 刪除:郵件已永久刪除且無法復原]。
- 選 取 [僅刪除]:郵件已刪除,但可能可復原。
從隔離飛出視窗選取 [刪除] (n) 訊息之後,您會返回不再列出郵件的 [Email] 索引卷標。
從隔離區預覽電子郵件
選取訊息之後,請使用下列其中一種方法進行預覽:
- 在 [Email] 索引卷標上:選取 [
預覽訊息]。 - 在所選訊息的詳細數據飛出視窗中:選取 [更多選項>] [預覽訊息]。
開啟的飛出視窗中,選擇下列其中一個索引標籤:
- 原始碼:顯示已停用所有連結的郵件內文 HTML 版本。
- 純文字:以純文字顯示郵件內文。
檢視電子郵件訊息標頭
選取訊息之後,請使用下列其中一種方法來檢視訊息標頭:
- 在 [Email] 索引標籤上:選取 [更多>
檢視] 訊息標頭。 - 在所選郵的詳細資料飛出視窗中:選取 [更多選項>] [檢視訊息標頭]。
在開啟的 [訊息標頭] 飛出視窗中,會顯示訊息標頭 () 的所有標頭字段。
使用 
[複製訊息標頭 ] 將訊息標頭複製到剪貼簿。
選取 [Microsoft Message Header Analyzer] 連結,以深入分析標頭字段和值。 將訊息標頭貼到 [ 插入您想要分析的訊息標頭 ] 區段 (CTRL+V,或以滑鼠右鍵按兩下並選擇 [貼上) ],然後選取 [ 分析標頭]。
將電子郵件回報給 Microsoft 以從隔離區進行檢閱
選取訊息之後,請使用下列其中一種方法向 Microsoft 報告訊息以進行分析:
- 在 [Email] 索引標籤上:選取 [更多>
提交] 以供檢閱。 - 在所選郵件的詳細數據飛出視窗中:選取 [更多選項>][提交以供檢閱]。
在開啟的 [提交至 Microsoft 進行分析 ] 飛出視窗中,設定下列選項:
新增網路訊息識別碼或上傳電子郵件檔案:選取下列其中一個選項:
- 新增電子郵件網路訊息識別碼:預設會選取此值,並在方塊中具有對應的值。
- 將電子郵件檔案上傳 (.msg 或 eml) :選取此選項之後,選
取出現的 [瀏覽檔案] 按鈕,然後選取要提交的.msg或.eml郵件檔案。
選擇有問題的收件者:選取一個 (偏好的郵件) 或更多原始收件者,以分析套用到他們的原則。
選取提交給 Microsoft 的原因:選擇下列其中一個選項:
我已確認它是全新的 (預設) :如果您確定訊息是乾淨的,請選取此選項,然後選取 [ 下一步]。 然後可以使用下列設定:
- 允許此電子郵件:如果您選取此選項,允許專案會新增至寄件人和郵件中任何相關 URL 或附件的租使用者 允許/封鎖清單 。 下列選項也會出現:
- 拿掉項目之後:預設值為 30 天,但您也可以選取 1 天、 7 天或小於 30 天的 特定日期 。
- 允許輸入附註:輸入包含其他資訊的選擇性附註。
看起來很乾淨:如果您不確定且想要 Microsoft 做出決策,請選取此選項。
當您在 [ 提交至 Microsoft 進行分析 ] 飛出視窗上完成時,請選取 [ 提交]。
提示
用戶可以根據使用者報告設定中的 [從隔離區報告] 設定值,從隔離區向 Microsoft 回報誤判。
禁止電子郵件寄件者遭到隔離
[封鎖寄件者] 動作會將所選電子郵件訊息的寄件者新增至登入 者信箱中的 [封鎖的寄件者] 清單。 一般而言,如果 隔離原則可供使用者使用,使用者會使用此動作。 如需封鎖發件者的使用者詳細資訊,請參閱 封鎖郵件寄件者
選擇信件之後,請使用下列其中一種方法,將郵件寄件者新 增至信箱 中的 [封鎖的寄件者] 清單:
- 在 [Email] 索引標籤上:選取 [更多>
封鎖傳送者]。 - 在所選郵的詳細數據飛出視窗中:選取 [更多選項>] [封鎖傳送者]。
在開啟的 [封鎖發件者 ] 飛出視窗中,檢閱發件人的資訊,然後選取 [ 封鎖]。
提示
組織仍然可以從封鎖的寄件者接收郵件。 寄件者的郵件會傳遞給使用者垃圾 Email 資料夾或隔離。 若要在傳送時從寄件者刪除郵件,請使用 郵件流程規則 (也稱為傳輸規則) 封鎖郵件。
從隔離區共用電子郵件
您可以將隔離的電子郵件訊息復本傳送給指定的收件者,包括可能有害的內容。
選取訊息之後,請使用下列其中一種方法,將訊息的複本傳送給其他人:
- 在 [Email] 索引標籤上:選取 [更多>
共用電子郵件]。 - 在所選取的詳細資料飛出視窗中:選取 [更多選項] [>共用電子郵件]。
在開啟 的 [與其他使用者共用電子郵件 ] 飛出視窗中,選取一或多個收件者以接收郵件複本。 當您完成時,請選取 [ 共享]。
從隔離區下載電子郵件
選取電子郵件訊息之後,請使用下列其中一種方法來下載:
- 在 [Email] 索引標籤上:選取 [更多>
下載訊息]。 - 在所選訊息的詳細資料飛出視窗中:選取 [更多選項>] [下載訊息]。
在開啟的 [下載檔案 ] 飛出視窗中,輸入下列資訊:
- 下載檔案的原因:輸入描述性文字。
- Create 密碼和確認密碼:輸入開啟下載的訊息檔案所需的密碼。
當您在 [ 下載檔案 ] 飛出視窗上完成時,請選取 [ 下載]。
下載準備就緒時,會開啟 [ 另存新 檔] 對話框,讓您檢視或變更下載的檔名和位置。 根據預設,.eml訊息檔案會儲存在 Downloads 資料夾中名為 Quarantined Messages.zip 的壓縮檔中。 如果 .zip 檔案已存在,則會將數位附加至檔名 (例如,隔離的郵件 (1) .zip) 。
接受或變更下載的檔案詳細數據,然後選取 [ 儲存]。
回到 [ 下載檔案] 飛出視窗,選取 [ 完成]。
適用於 Office 365 的 Defender 中隔離電子郵件訊息的動作
在具有 適用於 Office 365 的 Microsoft Defender (附加元件授權或包含在 Microsoft 365 E5 或 Microsoft 365 商務進階版) 等訂用帳戶的組織中,下列動作也可在所選訊息的詳細數據飛出視窗中取得:
開啟電子郵件實體:如需詳細資訊,請參閱 Email 實體頁面上的內容。
採取動作:此動作會啟動 Email 實體頁面上可用的相同 [動作精靈]。 如需詳細資訊,請參閱 Email 實體頁面上的動作。
對多個隔離的電子郵件採取動作
當您選取第一個數據行旁邊的複選框,在 [Email] 索引卷標上選取多個隔離的郵件時,會根據您選取) 之訊息的 [發行狀態] 值,在 [Email] 索引卷標 (上提供下列大量動作:
-
針對大量動作選取的唯一可用選項是將 此郵件的複本傳送給組織中的其他收件者 ,以及將 郵件傳送給 Microsoft 以改善偵測 (誤判) 。
-
針對大量動作選取的唯一可用選項是 [允許具有類似屬性的電子郵件 ] 和相關的 [移除后允許專案 ] 和 [ 允許輸入注意事項 ] 選項。
![選取多個隔離郵件的複選框之後,[隔離] 頁面的 [Email] 索引卷標上可用動作的螢幕快照。](media/quarantine-message-bulk-actions.png#lightbox)
尋找刪除隔離郵件的人員
根據預設,許多安全策略決策可讓使用者刪除其隔離的郵件, (收件者) 的郵件。 如需詳細資訊,請參閱以使用者身分 管理隔離的郵件和檔案中的表格。
系統管理員可以使用下列程式搜尋稽核記錄檔,以尋找已從隔離區中刪除之訊息的事件:
在 Defender 入口網站的 https://security.microsoft.com中,移至 [稽核]。 或者,若要直接前往 [稽核] 頁面,請使用 https://security.microsoft.com/auditlogsearch。
提示
您也可以前往 Microsoft Purview 合規性入口網站 中的 [稽核] 頁面https://compliance.microsoft.com/auditlogsearch
在 [稽核] 頁面上,確認已選取 [新增 搜尋] 索引標籤,然後設定下列設定:
- UTC) (日期和時間範圍
- 活動 - 易記名稱:按兩下方塊,在出現的 搜尋 方塊中開始輸入「隔離」,然後從結果中選取 [已刪除的隔離郵件]。
- 使用者:如果知道誰已從隔離區刪除郵件,您可以依使用者進一步篩選結果。
當您完成輸入搜尋準則時,請選取 [搜尋] 以產生搜尋。
如需稽核記錄搜尋的完整指示,請參閱稽核新 搜尋。
使用 Microsoft Defender 入口網站來管理 適用於 Office 365 的 Defender 中隔離的檔案
注意事項
本節中隔離檔案的程式僅適用於 適用於 Office 365 的 Microsoft Defender 方案 1 或方案 2 訂閱者。
在 SharePoint 或 OneDrive 中隔離的檔案會在 30 天后從隔離中移除,但封鎖的檔案仍會保留在 SharePoint 或 OneDrive 中處於封鎖狀態。
在具有 適用於 Office 365 的 Defender 的組織中,系統管理員可以管理由 SharePoint、OneDrive 和 Microsoft Teams 安全附件隔離的檔案。 若要啟用這些檔案的保護, 請參閱開啟 SharePoint、OneDrive 和 Microsoft Teams 的安全附件。
檢視隔離的檔案
在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 Email & 共同作業>檢閱>隔離檔案] 索>引標籤。或者,若要直接移至 [隔離] 頁面上的 [檔案] 索引卷標,請使用 https://security.microsoft.com/quarantine?viewid=Files。
在 [檔案] 索引標籤上,您可以按兩下 [將清單間距變更為精簡或正常],然後選取 [壓縮清單],以減少清單中的垂直間距。
您可以按下可用的數據列標頭來排序專案。 選 取 [自定義資料行] 以變更顯示的數據行。 預設值會標上星號 (*):
- 使用者*
- 位置*:此值為 SharePoint 或 OneDrive。
- 附件檔名*
- 檔案 URL*
- 檔案大小
- 釋出狀態*
- 到期*
- 偵測到者
- 依時間修改
若要篩選專案,請選取 [ 篩選]。 下列篩選條件可在開啟 的 [篩選] 飛出視窗中使用:
- 收到的時間:
- 過去24小時
- 過去 7 日
- 過去14天
- 過去 30 天 (預設)
- 自訂:輸入 開始時間 和 結束時間 (日期)。
- 到期日:
- 自訂 (預設) :輸入 開始時間 和 結束時間 (日期) 。
- 今天
- 未來 2 天
- 未來 7 天
- 隔離原因:唯一可用的值是 惡意代碼。
- 原則類型:唯一可用的值為 Unknown。
當您在 [ 篩選 ] 飛出視窗中完成時,請選取 [ 套用]。 若要清除篩選,請選取 [清除篩選]。
使用 [搜尋] 方塊和對應的值,依檔名尋找特定檔案。 不支援萬用字元。
輸入搜尋準則之後,請按 Enter 來篩選結果。
找到特定隔離的檔案之後,請選取檔案以檢視其詳細數據,並對其採取動作 (例如檢視、釋放、下載或刪除檔案) 。
檢視隔離的檔案詳細數據
在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 Email & 共同作業>檢閱>隔離檔案] 索>引標籤。或者,若要直接移至 [隔離] 頁面上的 [檔案] 索引卷標,請使用 https://security.microsoft.com/quarantine?viewid=Files。
在 [ 檔案] 索引 標籤上,按兩下複選框以外的數據列中的任何位置,選取隔離的檔案。
在開啟的詳細數據飛出視窗中,提供下列資訊:
![在您從 [隔離] 頁面的 [檔案] 索引標籤中選取隔離的檔案之後,所開啟之詳細數據飛出視窗的螢幕快照。](media/quarantine-file-details-flyout.png#lightbox)
- 檔案詳細資料 區段:
- 檔案名稱
- 檔案 URL:定義檔案位置的 URL (例如,在 SharePoint Online) 中。
- 在上偵測到惡意內容 檔案被隔離的日期/時間。
- 到期日:從隔離區中刪除檔案的日期。
- 偵測到者
- 釋放?
- 惡意代碼名稱
- 文件識別碼:檔的唯一標識碼。
- 檔案大小
- 組織 貴組織的唯一標識碼。
- 上次修改日期
- 上次修改者:上次修改檔案的使用者。
- 安全哈希演算法 256 位 (SHA-256) 值:您可以使用此哈希值來識別其他信譽存放區或環境中其他位置中的檔案。
若要對檔案採取動作,請參閱下一節。
提示
若要查看其他隔離檔案的詳細數據而不離開詳細數據飛出視窗,請使用飛出視窗頂端的 [上一個專案] 和 [下一個專案]。
對隔離的檔案採取動作
在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 [Email & 共同作業>檢閱>隔離檔案]>索引卷標。或者,若要直接移至 [隔離] 頁面上的 [檔案] 索引卷標,請使用 https://security.microsoft.com/quarantine?viewid=Files。
在 [ 檔案] 索引 標籤上,按兩下複選框以外的數據列中的任何位置,選取隔離的檔案。
選取隔離的檔案之後,下列小節會說明開啟之檔案詳細數據飛出視窗中的可用動作。
![在您從 [隔離] 頁面的 [檔案] 索引標籤中選取隔離的檔案之後,開啟之詳細數據飛出視窗中可用動作的螢幕快照。](media/quarantine-file-details-flyout-actions.png#lightbox)
從隔離區釋放隔離的檔案
此動作不適用於已釋放的檔案, ([已發行] 狀態值為 [已發行]) 。
如果您未從隔離區釋出或刪除檔案,則在預設隔離保留期限到期之後,檔案會從隔離中移除, (如 [ 到期 ] 資料行) 所示,但封鎖的檔案仍會保持在 SharePoint 或 OneDrive 的封鎖狀態。
選取檔案之後,請在開啟的檔案詳細數據飛出視窗中選取 [釋放檔案]。
在開啟的 [釋放檔案並回報給 Microsoft ] 飛出視窗中,檢視 [ 將檔案回報給 Microsoft 進行分析 ] 區段中的檔案詳細數據,決定是否要選取 [ 將檔案回報給 Microsoft 進行分析],然後選取 [ 發行]。
在開啟的 [檔案已發行 ] 飛出視窗中,選取 [ 完成]。
回到檔案詳細數據飛出窗口,選取 [ 關閉]。
回到 [ 檔案] 索引 標籤,檔案的 [ 發行狀態 ] 值為 [ 已發行]。
從隔離區下載隔離的檔案
選取檔案之後,請在開啟的詳細數據飛出視窗中選取 [下載檔案]。
在開啟的 [下載檔案 ] 飛出視窗中,輸入下列資訊:
- 下載檔案的原因:輸入描述性文字。
- Create 密碼和確認密碼:輸入開啟下載檔所需的密碼。
當您在 [ 下載檔案 ] 飛出視窗上完成時,請選取 [ 下載]。
下載準備就緒時,會開啟 [ 另存新 檔] 對話框,讓您檢視或變更下載的檔名和位置。 根據預設,檔案會儲存在 Downloads 資料夾中名為 Quarantined Messages.zip 的壓縮檔中。 如果 .zip 檔案已存在,則會將數位附加至檔名 (例如,隔離的郵件 (1) .zip) 。
接受或變更下載的檔案詳細數據,然後選取 [ 儲存]。
回到 [ 下載檔案] 飛出視窗,選取 [ 完成]。
從隔離區刪除隔離的檔案
如果您未從隔離區釋出或刪除檔案,則在預設隔離保留期限到期之後,檔案會從隔離中移除, (如 [ 到期 ] 資料行) 所示,但封鎖的檔案仍會保持在 SharePoint 或 OneDrive 的封鎖狀態。
選取檔案之後,請在開啟的詳細數據飛出視窗中選取 [從隔離區刪除更多>]。
在開啟的警告對話框中,選取 [ 繼續 ]。
回到 [ 檔案] 索引 標籤,檔案已不再列出。
對多個隔離的檔案採取動作
當您選取 [ 檔案 ] 索引卷標上的多個隔離檔案,方法是選取 (最多 100 個檔案) 第一個數據行旁邊的複選框時,會出現 [大量動作 ] 下拉式清單,您可以在其中採取下列動作:
![選取多個隔離檔案的複選框之後,[隔離] 頁面的 [檔案] 索引標籤上可用動作的螢幕快照。](media/quarantine-file-bulk-actions.png#lightbox)
使用 Microsoft Defender 入口網站來管理 Microsoft Teams 隔離的郵件
提示
Microsoft Teams 中 (ZAP) 的零時差自動清除 目前為預覽狀態,並非所有組織都可使用,而且可能會變更。
Microsoft Teams 中的隔離僅適用於 適用於 Office 365 的 Microsoft Defender 方案 2 (附加元件授權或包含在 Microsoft 365 E5) 等訂用帳戶中的組織。
在 Microsoft Teams 中偵測到潛在的惡意聊天訊息時,零時差自動清除 (ZAP) 移除訊息並加以隔離。 系統管理員可以檢視和管理這些隔離的Teams訊息。 郵件會隔離30天。 之後,Teams 訊息會永久移除。
默認會啟用此功能。
檢視隔離的Teams訊息
在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 [Email & 共同作業>檢閱>隔離>Teams 訊息] 索引標籤。或者,若要直接移至 [隔離] 頁面上的 [Teams 訊息] 索引標籤,請使用 https://security.microsoft.com/quarantine?viewid=Teams。
在 [Teams 訊息] 索引標籤上,您可以按兩下 [將清單間距變更為精簡或正常],然後選取 [壓縮清單],以減少清單中的垂直間距。
您可以按下可用的數據列標頭來排序專案。 選 取 [自定義資料行] 以變更顯示的數據行。 預設值會標上星號 (*):
- Teams 消息正文:包含 Teams 訊息的主旨。*
- 接收時間:收件者收到郵件的時間。*
- 發行狀態:顯示訊息是否已檢閱並發行,或需要檢閱。 *
- 參與者:收到訊息的用戶總數。*
- 寄件者:傳送已隔離郵件的人員。*
- 隔離原因:可用的選項為「高信賴度網路釣魚」和「惡意代碼」。*
- 原則類型:負責隔離郵件的組織原則。*
- 到期:指出訊息從隔離中移除的時間。 根據預設,此值為 30 天。*
- 收件者地址:Email 收件者的位址。*
- 訊息標識碼:包含聊天訊息識別碼。
若要篩選專案,請選取 [ 篩選]。 下列篩選條件可在開啟 的 [篩選] 飛出視窗中使用:
- 郵件識別碼
- 寄件者位址
- 收件者地址
- 主旨
- 收到的時間:
- 過去24小時
- 過去 7 日
- 過去14天
- 過去 30 天 (預設)
- 自訂:輸入 開始時間 和 結束時間 (日期)。
- 到期日:
- 自訂 (預設) :輸入 開始時間 和 結束時間 (日期) 。
- 今天
- 未來 2 天
- 未來 7 天
- 隔離原因:可用的值為 惡意代碼 和 高信賴度網路釣魚。
- 收件者:選取 [所有使用者] 或 [僅限我]。
- 檢閱狀態:選取 [需要檢閱 並 發行]。
當您在 [ 篩選 ] 飛出視窗中完成時,請選取 [ 套用]。 若要清除篩選,請選取 [清除篩選]。
使用 [搜尋] 方塊和對應的值來尋找特定的 Teams 訊息。 不支援萬用字元。
在您找到特定隔離的 Teams 訊息之後,請選取訊息以檢視其詳細數據,並對其採取動作 (例如檢視、發行、下載或刪除訊息) 。
檢視隔離的 Teams 訊息詳細數據
在 [隔離] 頁面的 [Teams 訊息] 索引標籤上,按兩下第一個數據行旁邊複選框以外的數據列中的任何位置,選取隔離的郵件。
下列訊息資訊位於詳細資料飛出視窗的頂端:
- 飛出視窗的標題是 Teams 訊息的主旨或前 100 個字元。
- 隔離原因值。
- 訊息中的連結數目。
- 這些可用的動作會在針對 隔離的 Teams 訊息採取動作 一節中說明。
提示
若要查看其他已隔離 Teams 訊息的詳細數據,而不需離開詳細數據飛出視窗,請使用飛出視窗頂端的 [上一個專案] 和 [下一個專案]。
詳細資料飛出視窗中的下一節與隔離的 Teams 訊息相關:
- 隔離詳細資料 區段:
- 到期
- 收到時間
- 隔離原因
- 釋出狀態
- 原則類型:此值為 None。
- 原則名稱:此值為 Teams保護原則。
- 隔離原則
其餘的詳細數據飛出視窗包含屬於 Teams 訊息實體面板的 [訊息詳細數據]、[寄件者]、[參與者]、[頻道詳細數據] 和 [URL] 區段。 如需詳細資訊,請參閱方案 2 中 適用於 Office 365 的 Microsoft Defender Teams mMessage 實體面板。
當您在詳細資料飛出視窗中完成時,請選取 [ 關閉]。
![在您從 [隔離] 頁面的 [Teams 訊息] 索引卷標中選取隔離的 Teams 訊息之後,所開啟之詳細數據飛出視窗的螢幕快照。](media/quarantine-teams-details-flyout.png#lightbox)
對隔離的Teams訊息採取動作
在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 [Email & 共同作業>檢閱>隔離>Teams 訊息] 索引標籤。或者,若要直接移至 [隔離] 頁面上的 [Teams 訊息] 索引標籤,請使用 https://security.microsoft.com/quarantine?viewid=Teams。
在 [ Teams 訊息] 索引標籤 上,使用下列其中一種方法來選取隔離的郵件:
選取第一個數據行旁邊的複選框,從清單中選取訊息。 可用的動作不再呈現灰色。
![在 [隔離] 頁面的 [Teams 訊息] 索引標籤上,選取隔離的 Teams 訊息複選框之後,可用動作的螢幕快照。](media/quarantine-teams-message-selected-message-actions.png)
按兩下複選框以外的數據列中的任何位置,從清單中選取訊息。 可用的動作位於開啟的詳細數據飛出視窗中。
![在您從 [隔離] 頁面的 [Teams 訊息] 索引卷標中選取隔離的 Teams 訊息之後,在詳細數據飛出視窗中開啟的可用動作螢幕快照。](media/quarantine-teams-details-flyout-actions.png)
![在 [隔離] 頁面的 [Teams 訊息] 索引標籤上,選取隔離的 Teams 訊息複選框之後,可用動作的螢幕快照。](media/quarantine-teams-message-selected-message-actions.png#lightbox)
![在您從 [隔離] 頁面的 [Teams 訊息] 索引卷標中選取隔離的 Teams 訊息之後,在詳細數據飛出視窗中開啟的可用動作螢幕快照。](media/quarantine-teams-details-flyout-actions.png#lightbox)
使用任一方法來選取訊息,某些動作可在 [更多] 底下取得。
選取隔離的郵件之後,下列小節會說明可用的動作。
釋放隔離的Teams訊息
此動作不適用於已發行, ([發行狀態] 值為 [已發行]) 的 Teams 訊息。
如果您未釋放或移除訊息,該訊息會在 [ 到期 ] 資料行中顯示的日期之後自動從隔離中刪除。
選取訊息之後,請使用下列其中一種方法來釋放訊息:
- 在 [Teams 訊息] 索引標籤上:選取 [ 發行]。
- 在所選訊息的詳細數據飛出視窗中:選取 [發行]。
在開啟的 [ 發行至所有聊天參與者 ] 飛出視窗中,決定是否要選取 [將 訊息提交給 Microsoft 以改善偵測 (誤判) ,然後選取 [ 發行]。
從隔離區刪除Teams訊息
如果您未釋出或移除 Teams 訊息,則會在 [ 到期 ] 欄中顯示的日期之後自動從隔離中刪除。
選取 Teams 訊息之後,請使用下列其中一種方法加以移除:
- 在 [Teams 訊息] 索引標籤上:選取 [ 刪除訊息]。
- 在所選取的詳細資料飛出視窗中:選取 [更多選項>][從隔離區刪除]。
在開啟的警告對話框中,閱讀資訊,然後選取 [ 繼續]。
回到 [Teams 訊息] 索引標籤 ,訊息已不再列出。
從隔離區預覽Teams訊息
選取 Teams 訊息之後,請使用下列其中一種方法進行預覽:
- 在 [Teams 訊息] 索引標籤上:選取 [ 預覽訊息]。
- 在所選訊息的詳細數據飛出視窗中:選取 [預覽訊息]。
開啟的飛出視窗中,選擇下列其中一個索引標籤:
- 原始碼:顯示已停用所有連結的郵件內文 HTML 版本。
- 純文字:以純文字顯示郵件內文。
將 Teams 訊息回報給 Microsoft 以從隔離區進行檢閱
選取訊息之後,請使用下列其中一種方法向 Microsoft 報告訊息以進行分析:
- 在 [Teams 訊息] 索引標籤上:選取 [更多>提交] 以供檢閱。
- 在所選郵件的詳細數據飛出視窗中:選取 [更多選項>][提交以供檢閱]。
當您選取 [提交訊息] 時,訊息會傳送至 Microsoft 進行分析。 您會收到 [已提交專案 ] 對話框,您可以在其中選取 [ 確定]。
從隔離區下載 Teams 訊息
選取 Teams 訊息之後,請使用下列其中一種方法來下載:
- 在 [Teams 訊息] 索引標籤上:選取 [更多>下載訊息]。
- 在所選訊息的詳細資料飛出視窗中:選取 [更多選項>] [下載訊息]。
在開啟的 [下載訊息 ] 飛出視窗中,輸入下列資訊:
- 下載檔案的原因:輸入描述性文字。
- Create 密碼和確認密碼:輸入開啟下載之訊息檔案所需的密碼。
當您在 [ 下載檔案 ] 飛出視窗上完成時,請選取 [ 下載]。
根據預設,.html 訊息檔案會儲存在 Downloads 資料夾中名為 Quarantined Messages.zip 的壓縮檔中。 如果 .zip 檔案已存在,則會將數位附加至檔名 (例如,隔離的郵件 (1) .zip) 。
回到 [ 下載訊息 ] 飛出視窗,選取 [ 完成]。
對多個隔離的Teams訊息採取動作
當您選取第一個數據行旁邊的複選框,在 [Teams 訊息 ] 索引卷標上選取多個隔離的郵件時, [Teams 訊息 ] 索引卷標上會提供下列大量動作:
![在您選取多個隔離的 Teams 訊息之後,[隔離] 頁面的 [Teams 訊息] 索引標籤上可用動作的螢幕快照。](media/quarantine-teams-bulk-action.png#lightbox)
核准或拒絕用戶對於隔離 Teams 訊息的發行要求
當使用者要求釋放隔離的 Teams 訊息時,[ 發行狀態 ] 值會變更為 [要求的發行],而系統管理員可以核准或拒絕要求。
如需詳細資訊,請參閱 核准或拒絕用戶的發行要求。
使用 Exchange Online PowerShell 或獨立 EOP PowerShell 來管理隔離的郵件
本節說明您用來檢視和管理隔離區中訊息和檔案的 Cmdlet。
- Delete-QuarantineMessage
- Export-QuarantineMessage
- Get-QuarantineMessage
- Preview-QuarantineMessage:此 Cmdlet 僅適用於郵件,不適用於隔離的檔案。
- Release-QuarantineMessage
相關資訊
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: