以使用者身分管理隔離的郵件和檔案

• 適用於:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

提示

您知道您可以免費試用 Microsoft Defender 全面偵測回應 中的功能 Office 365 方案 2 嗎？ 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 瞭解誰可以在 Try 適用於 Office 365 的 Microsoft Defender 上註冊和試用條款。

在擁有 Exchange Online 信箱的 Microsoft 365 組織中或是沒有 Exchange Online 信箱的獨立 Exchange Online Protection (EOP) 組織中，隔離區會保存可能有害或垃圾郵件。 如需詳細資訊，請參閱 EOP 中的隔離區。

身為一般的使用者 (非系統管理員)，遭隔離郵件的收件者所能使用的 預設 功能皆如下表所述：

隔離原因	檢視	發行	刪除
反垃圾郵件原則
大量	✔	✔	✔
垃圾郵件	✔	✔	✔
高信賴度的垃圾郵件	✔	✔	✔
網路釣魚	✔	✔	✔
高信賴度網路釣魚
防網路釣魚原則
EOP 中的詐騙情報保護	✔	✔	✔
適用於 Office 365 的 Defender 中的假冒使用者防護	✔	✔	✔
適用於 Office 365 的 Defender 中的假冒網域防護	✔	✔	✔
適用於 Office 365 的 Defender 中的信箱智慧模擬保護	✔	✔	✔
反惡意程式碼原則
電子郵件訊息具有遭隔離為惡意程式碼的附件。
適用於 Office 365 的 Defender 中的安全附件
安全附件原則，將包含惡意附件的電子郵件訊息隔離為惡意程式碼。
SharePoint、OneDrive 和 Microsoft Teams 的安全附件，可將惡意檔案隔離為惡意程式碼。
郵件流程規則 (傳輸規則)
直接隔離電子郵件訊息 (的郵件流程規則，而不是將它們標示為垃圾郵件) 。

在 支持的保護功能中， 隔離原則 會根據郵件遭到隔離的原因，定義允許使用者對隔離郵件執行的動作。 默認隔離原則會強制執行訊息的歷史功能，如上表所述。 系統管理員可以建立並套用自定義隔離原則，為使用者定義較不嚴格或更嚴格的功能。 如需詳細資訊， 請參閱隔離原則的結構。

您會在 Microsoft Defender 入口網站中檢視和管理隔離的郵件，或 (系統管理員是否已設定此設定，) 隔離原則的隔離通知。

開始之前有哪些須知？

• 若要開啟 Microsoft Defender 入口網站，請移至 https://security.microsoft.com。 若要直接移至 [隔離] 頁面，請使用 https://security.microsoft.com/quarantine。

• 系統管理員可以在反垃圾郵件原則中，設定郵件要先保留在隔離區中多久，然後才永久刪除。 已在隔離區中到期的郵件將無法還原。 如需詳細資訊，請參閱在 EOP 中設定反垃圾郵件原則。

• 按照預設，因高信賴度網路釣魚、惡意郵件或依郵件流程規則而隔離的郵件僅供系統管理員使用，且使用者看不到郵件。 如需詳細資訊，請參閱 在 EOP 中管理遭隔離的郵件和檔案。

• 如需使用者允許和區塊以及組織允許和封鎖之優先順序的相關信息，請參閱 使用者和租用戶設定衝突。

• 系統管理員或使用者對隔離郵件採取的所有動作都會受到稽核。 如需稽核隔離事件的詳細資訊，請參閱 Office 365 管理 API 中的隔離架構。

在 EOP 中管理隔離的郵件

檢視您的遭隔離郵件

注意事項

您檢視隔離郵件的能力是由隔離原則所控制，該原則適用於郵件遭到隔離的原因 (這可能是預設隔離原則，如 EOP 和 適用於 Office 365 的 Microsoft Defender 安全性) 的建議設定中所述。

在 Microsoft Defender 入口網站https://security.microsoft.com中，移至 Email & 共同作業>檢閱>隔離>Email 索引卷標。或者，若要直接移至 [隔離] 頁面上的 [Email] 索引標籤，請使用 https://security.microsoft.com/quarantine?viewid=Email。

在 [Email] 索引標籤上，您可以按兩下 [將列表間距變更為精簡或正常]，然後選取 [壓縮清單]，以減少清單中的垂直間距。

您可以按下可用的數據列標頭來排序專案。 選 取 [自定義資料行] 以變更顯示的數據行。 預設值會標上星號 (^*)：

• 收到時間^*

• 主題^*

• 寄件者^*

• 隔離原因^* (在 Filter description.) 中查看可能的值

• 發行狀態^* (在 Filter description.) 中查看可能的值

• 原則類型^* (在 Filter description.) 中查看可能的值

• 到期^*

• 收件者^*

• 寄件者位址覆寫原因^*：下列其中一個值：

  • 無
  • 收件者設定會封鎖郵件發件者
  • 系統管理員設定會封鎖訊息發件者

  提示

  如果已封鎖發件者，且 未顯示已封鎖的寄件者 已選取 (預設) ，則來自這些寄件人的郵件會顯示在 [ 隔離 ] 頁面上，並在寄 件者位址覆寫原因 值為 [無] 時包含在隔離通知中。 之所以會發生此行為，是因為訊息因為寄件者位址覆寫以外的原因而遭到封鎖。

• 發行者^*

• 郵件識別碼

• 原則名稱

• 郵件大小

• 郵件方向

若要篩選專案，請選取 [ 篩選]。 下列篩選條件可在開啟 的 [篩選] 飛出視窗中使用：

• 郵件識別碼：郵件的全域唯一識別碼。

• 寄件者位址

• 收件者地址

• 主旨

• 收到的時間：選取下列其中一個值：

  • 過去24小時
  • 過去 7 天 (預設)
  • 過去14天
  • 過去 30 天 (預設)
  • 自訂：輸入 開始時間 和 結束時間 (日期)。

• 到期：篩選郵件從隔離區過期的時間。 選取下列其中一個值：

  • 今天
  • 未來 2 天
  • 未來 7 天
  • 自訂：輸入 開始時間 和 結束時間 (日期)。

• 隔離原因：選取下列一或多個值：

  • 傳輸規則 (郵件流程規則)
  • 大量郵件
  • 垃圾郵件
  • 惡意代碼：適用於 Office 365 的 Defender 中 EOP 或安全附件原則中的反惡意代碼原則。 [ 原則類型] 值會指出使用的功能。
  • 網路釣魚：垃圾郵件篩選結果為網路釣魚或防網路釣魚防護已隔離郵件 (詐騙設定或模擬防護)。
  • 高信賴度網路釣魚

• 封鎖的寄件者：下列其中一個值：

  • 請勿在預設 (顯示封鎖的寄件者)
  • 顯示所有寄件者

  提示

  如果已封鎖發件者，且 未顯示已封鎖的寄件者 已選取，則來自這些寄件者的郵件會顯示在 [ 隔離 ] 頁面上，並且會在發 件者位址覆寫原因 值為 [無] 時包含在隔離通知中。 之所以會發生此行為，是因為訊息因為寄件者位址覆寫以外的原因而遭到封鎖。

• 釋出狀態：下列任何值：

  • 需要檢閱
  • 已核准
  • 已拒絕
  • 已要求釋出
  • 已釋出

• 原則類型：依據隔離郵件的保護原則類型來篩選訊息。 選取下列一或多個值：

  • 反惡意程式碼原則
  • 安全附件原則
  • 防網路釣魚原則
  • 反垃圾郵件原則
  • 傳輸規則 (郵件流程規則)

  原則 類型 和 隔離原因 值相互關聯。 例如， 大量 一律與 反垃圾郵件原則相關聯，永遠不會與 反惡意代碼原則相關聯。

當您在 [ 篩選 ] 飛出視窗上完成時，請選取 [ 套用]。 若要清除篩選，請選取 [清除篩選]。

提示

會快取篩選。 下次開啟 [隔離] 頁面時，預設會選取最後一個會話中的 篩選 條件。 此行為有助於分級作業。

使用 [ 搜尋] 方 塊和對應的值來尋找特定訊息。 不支援萬用字元。 您可以依下列值進行搜尋：

• 寄件者電子郵件地址
• 主旨。 使用郵件的完整主旨。 搜尋不區分大小寫。

輸入搜尋準則之後，請按 ENTER 鍵來篩選結果。

注意事項

[搜尋] 方塊會在目前檢視中搜尋隔離的專案，而不是所有隔離的專案。 若要搜尋所有隔離的專案，請使用 [篩選 ] 和產生的 [篩選] 飛出視窗。

在您找到特定的隔離郵件之後，請選取訊息以檢視其詳細數據，並對其採取動作 (例如檢視、發行、下載或刪除訊息) 。

提示

在行動裝置上，先前所述的控件可在 [更多] 底下取得。

檢視隔離郵件詳細資料

1. 在 Microsoft Defender 入口網站中https://security.microsoft.com，移至 Email & 共同作業>檢閱>隔離>Email 索引卷標。或者，若要直接移至 [隔離] 頁面上的 [Email] 索引標籤，請使用 https://security.microsoft.com/quarantine?viewid=Email。

2. 在 [Email] 索引標籤上，按兩下複選框以外的數據列中的任何位置，以選取隔離的郵件。

在開啟的詳細數據飛出視窗中，提供下列資訊：

• 隔離詳細資料 區段：
  • 收到日期：收到郵件的日期/時間。
  • 到期：訊息自動從隔離區中永久刪除的日期/時間。
  • 主旨
  • 隔離原因：顯示郵件是否已識別為垃圾郵件、大量網路釣魚、符合郵件流程規則 (傳輸規則) ，或已識別為包含惡意代碼。
  • 原則類型
  • 收件者計數
  • 收件者：如果郵件包含多個收件者，您可能需要選>取 [預覽郵件] 或 > [檢視郵件標頭] 來查看完整的收件者清單。
  • 寄件人覆寫原因
  • 發行者：
    • 如果使用者釋放其訊息，則會顯示使用者的電子郵件位址。
    • 如果訊息是由系統管理員發行，則會顯示 管理員 值。
    • 如果發行是由系統執行，則會顯示值 System
    • 如果發行不是由使用者、管理員 或系統執行，則預設為 管理員。
• Email 詳細資料區段：
  • 寄件者位址
  • 收到時間
  • 網路訊息標識碼
  • 收件者

若要對郵件採取動作，請參閱下一節。

提示

若要查看其他隔離郵件的詳細數據而不離開詳細數據飛出視窗，請使用飛出視窗頂端的 [上一個專案] 和 [下一個專案]。

對隔離的電子郵件採取動作

1. 在 Microsoft Defender 入口網站中https://security.microsoft.com，移至 Email & 共同作業>檢閱>隔離>Email 索引卷標。或者，若要直接移至 [隔離] 頁面上的 [Email] 索引標籤，請使用 https://security.microsoft.com/quarantine?viewid=Email。

2. 在 [Email] 索引標籤上，使用下列其中一種方法選取隔離的電子郵件訊息：

   • 選取第一個數據行旁邊的複選框，從清單中選取訊息。 可用的動作不再呈現灰色。

     

   • 按兩下複選框以外的數據列中的任何位置，從清單中選取訊息。 可用的動作位於開啟的詳細數據飛出視窗中。

     

   使用任一方法來選取訊息，某些動作可在 [更多] 或 [更多] 選項下取得。

選取隔離的郵件之後，下列小節會說明可用的動作。

提示

在行動裝置上，動作體驗稍有不同：

• 當您選取複選框來選取訊息時，所有動作都會在 [更多] 下：

  

• 當您按下複選框以外的任何資料列中的任何位置來選取訊息時，大部分選項都可在詳細資料飛出視窗的 [更多] 底下使用：

  

釋放隔離的電子郵件

注意事項

您釋放隔離郵件的能力是由隔離郵件 (保護功能的隔離原則所控制，這可能是預設隔離原則，如 EOP 和 適用於 Office 365 的 Microsoft Defender 安全性) 的建議設定中所述。

隔離原則可讓您釋放訊息或要求發行郵件，但兩個選項都無法用於相同的訊息。 隔離原則也可以防止您釋放或要求釋出隔離的郵件。

此動作不適用於已發行的電子郵件訊息， ([發行狀態 ] 值為 [ 已發行]) 。

如果您未釋放或移除訊息，該訊息會在 [ 到期 ] 資料行中顯示的日期之後自動從隔離中刪除。

選取郵件之後，請使用下列其中一種方法來釋放它， (將它傳遞至您的信箱) ：

• 在 [Email] 索引標籤上：選取 [發行]。
• 在所選郵的詳細資料飛出視窗中：選取 [發行電子郵件]。

在開啟的 [ 收件匣 ] 飛出視窗的 [釋放訊息] 中，選取 [回報 訊息沒有適當的威脅 ]，然後選取 [ 釋放訊息]。

當您在 [收件匣] 飛出視窗的 [ 發行] 訊息 上完成時，請選取 [ 發行訊息]。

在 開啟的 [收件匣 ] 飛出視窗中，選取 [ 完成]。

回到 [Email] 索引標籤，訊息的 [發行狀態] 值為 [已發行]。

郵件會根據信箱) 中的任何收件 匣規則 ，傳遞至您的收件匣 (或其他資料夾。

要求釋出隔離的電子郵件

注意事項

您要求釋出隔離郵件的能力，是由隔離郵件之保護功能的隔離原則所控制。

隔離原則可讓您釋放訊息或要求發行郵件，但兩個選項都無法用於相同的訊息。 隔離原則也可以防止您釋放或要求釋出隔離的郵件。

此動作不適用於您已要求發行的電子郵件訊息， ([ 發行狀態 ] 值為 [已發行] 要求) 。

如果您未釋放或移除訊息，該訊息會在 [ 到期 ] 資料行中顯示的日期之後自動從隔離中刪除。

選取訊息之後，請使用下列其中一種方法來要求發行：

• 在 [Email] 索引卷標上：選取 [要求發行]。
• 在所選訊息的詳細數據飛出視窗中：選取 [更多選項>] [要求發行]。

在開啟 的 [要求發行 ] 飛出視窗中檢閱資訊，選取 [要求發行]。 在開啟的 [ 發行要求 的飛出視窗] 中，選取 [ 完成]。

回到 [ 隔離] 頁面，訊息的 [ 發行狀態 ] 值為 [ 要求發行]。 系統管理員會檢閱您的要求並加以核准或拒絕。

從隔離區刪除電子郵件

當您從隔離區刪除電子郵件訊息時，郵件會移除，而且不會傳送給原始收件者。

如果您未釋放或移除訊息，該訊息會在 [ 到期 ] 資料行中顯示的日期之後自動從隔離中刪除。

選取訊息之後，請使用下列其中一種方法加以移除：

• 在 [Email] 索引標籤上：選取 [刪除訊息]。
• 在所選取的詳細資料飛出視窗中：選取 [更多選項>][從隔離區刪除]。

在開啟的 [ 刪除 (n) 郵件] 飛出視窗中，使用下列其中一種方法來刪除訊息：

• 選取 [ 從隔離區永久刪除郵件 ]，然後選取 [ 刪除：郵件已永久刪除且無法復原]。
• 選 取 [僅刪除]：郵件已刪除，但可能可復原。

從隔離飛出視窗選取 [刪除] (n) 訊息之後，您會返回不再列出訊息的 [Email] 索引卷標。

提示

系統管理員可以搜尋系統管理員稽核記錄，找出誰刪除了隔離的郵件。 如需指示，請 參閱尋找刪除隔離郵件的人員。

從隔離區預覽電子郵件

選取訊息之後，請使用下列其中一種方法進行預覽：

• 在 [Email] 索引卷標上：選取 [預覽訊息]。
• 在所選訊息的詳細數據飛出視窗中：選取 [更多選項>] [預覽訊息]。

開啟的飛出視窗中，選擇下列其中一個索引標籤：

• 原始碼：顯示已停用所有連結的郵件內文 HTML 版本。
• 純文字：以純文字顯示郵件內文。

檢視電子郵件訊息標頭

選取訊息之後，請使用下列其中一種方法來檢視訊息標頭：

• 在 [Email] 索引標籤上：選取 [更多>檢視] 訊息標頭。
• 在所選郵的詳細資料飛出視窗中：選取 [更多選項>] [檢視訊息標頭]。

在開啟的 [訊息標頭] 飛出視窗中，會顯示訊息標頭 () 的所有標頭字段。

使用 [複製訊息標頭 ] 將訊息標頭複製到剪貼簿。

選 取 [Microsoft訊息標頭分析器 ] 連結，以深入分析標頭字段和值。 將訊息標頭貼到 [ 插入您想要分析的訊息標頭 ] 區段 (CTRL+V，或以滑鼠右鍵按兩下並選擇 [貼上) ]，然後選取 [ 分析標頭]。

允許電子郵件寄件者不受隔離

提示

如果寄件者已經在您的 垃圾郵件篩選清單中， [允許寄件者 ] 就無法使用。

[ 允許寄件者 ] 動作會將郵件寄件者新增至信箱中的安全寄件人清單。 如需允許寄件者的詳細資訊，請參閱將 電子郵件訊息的收件者新增至安全發件者清單。

選擇信件之後，請使用下列其中一種方法，將郵件寄件者新增至信箱中的安全發件者清單：

• 在 [Email] 索引標籤上：選取 [更多>允許發件者]。
• 在所選取的詳細資料飛出視窗中：選取 [更多選項>] [允許寄件者]。

開啟的飛出視窗會指出傳送者已成功新增至安全發件人清單的時機。 選取 [完成]。

禁止電子郵件寄件者遭到隔離

提示

只有當系統管理員已建立啟用封鎖寄件者許可權的自定義隔離原則，並將該隔離原則指派給隔離郵件的保護功能原則時，才能使用封鎖發件者。

如果寄件者已在您的 安全寄件人清單中，則無法使用 封鎖寄件者 。 您可以改為從使用者封鎖清單中移除寄件者 。

[封鎖寄件者] 動作會將郵件寄件人新增至信箱中的 [封鎖的發件者] 清單。 如需封鎖發件者的詳細資訊，請參閱 封鎖郵件寄件者。

選擇信件之後，請使用下列其中一種方法，將郵件寄件者新增至信箱中的 [封鎖的寄件者] 清單：

• 在 [Email] 索引標籤上：選取 [更多>封鎖傳送者]。
• 在所選郵的詳細數據飛出視窗中：選取 [更多選項>] [封鎖傳送者]。

在開啟的 [封鎖發件者 ] 飛出視窗中，檢閱發件人的資訊，然後選取 [ 封鎖]。

提示

組織仍然可以從封鎖的寄件者接收郵件。 寄件者傳送的郵件會傳送到您的垃圾郵件 Email資料夾或隔離。 若要在傳送者抵達時刪除郵件，系統管理員可以使用 郵件流程規則 (也稱為傳輸規則) 封鎖郵件。

從隔離區中移除封鎖的寄件者清單中的寄件者

只有在隔離郵件的寄件者已在封鎖寄件人清單中時，才能使用 [ 從使用者封鎖移除 寄 件者] 清單。

選取訊息之後，請使用下列其中一種方法，從封鎖寄件人清單中移除寄件者：

• 在 [Email] 索引標籤上：從使用者封鎖清單中選取 [更多>移除發件者]。
• 在所選取的詳細資料飛出視窗中：選取 [更多選項>] [從使用者封鎖清單中移除寄件者]。

開啟的飛出視窗會指出成功從 [封鎖的寄件者] 清單中移除發件者。 選取 [完成]。

對多個隔離的電子郵件採取動作

當您選取第一個數據行旁邊的複選框，在 [Email] 索引標籤上選取多個隔離的郵件時，Email 索引卷標 (會根據您所選取訊息的 [發行狀態] 值) ：

• 釋放隔離的電子郵件
• 要求釋出隔離的電子郵件
• 從隔離區刪除電子郵件

管理 Microsoft Teams 中隔離的郵件

在 Microsoft Teams 中偵測到潛在的惡意聊天訊息時，會在零時 (自動清除 ZAP) 移除訊息並加以隔離。 用戶現在可以在 Microsoft Defender 入口網站中檢視和管理這些隔離的Teams訊息。 隔離通知不支援隔離的Teams訊息。

在 Microsoft Teams 中檢視隔離的郵件

在 Microsoft Defender 入口網站中https://security.microsoft.com，移至 [Email & 共同作業>檢閱>隔離>Teams 訊息] 索引標籤。或者，若要直接移至 [隔離] 頁面上的 [Teams 訊息] 索引標籤，請使用 https://security.microsoft.com/quarantine?viewid=Teams。

您可以按下可用的數據列標頭來排序專案。 選 取 [自定義資料行] 以變更顯示的數據行。 預設資料行為：

• Teams 消息正文：包含小組訊息的主旨。
• 隔離日期：已隔離郵件時顯示。
• 狀態：顯示訊息是否已檢閱並發行，或需要檢閱。
• 寄件者：傳送已隔離郵件的人員。
• 隔離原因：可用的選項為 高信賴度網路釣魚 和 惡意代碼。
• 到期：指出訊息從隔離中移除的時間。 根據預設，此值為 30 天。

若要篩選專案，請選取 [ 篩選]。 下列篩選條件可在開啟 的 [篩選] 飛出視窗中使用：

• 寄件者位址
• 收到的時間：
  • 過去24小時
  • 過去 7 日
  • 過去14天
  • 過去 30 天 (預設)
  • 自訂：輸入 開始時間 和 結束時間 (日期)。
• 到期時間：
  • 自訂 (預設) ：輸入 開始時間 和 結束時間 (日期) 。
  • 今天
  • 未來 2 天
  • 未來 7 天
• 隔離原因：可用的值為 惡意代碼 和 高信賴度網路釣魚。
• 狀態：選取 [需要檢閱 併 發行]。

當您在 [ 篩選 ] 飛出視窗中完成時，請選取 [ 套用]。 若要清除篩選，請選取 [清除篩選]。

使用 [ 搜尋] 方 塊和對應的值來尋找特定的 Teams 訊息。 不支援萬用字元。

在您找到特定隔離的 Teams 訊息之後，請選取訊息以檢視其詳細數據，並對其採取動作 (例如檢視、發行、下載或刪除訊息) 。

在 Microsoft Teams 中檢視隔離的郵件詳細數據

在 [Teams 訊息] 索引標籤上，按兩下複選框以外的數據列中的任何位置，選取隔離的郵件。

在開啟的詳細數據飛出視窗中，提供下列資訊：

• 隔離詳細 數據區段：包含隔離原因、到期日、隔離原則類型和其他資訊。
  • 到期
  • 收到時間
  • 隔離原因
  • 釋出狀態
  • 原則類型
• 郵件詳細 數據區段：包含郵件傳送的日期和時間、寄件者位址、Teams 訊息識別碼，以及收件者清單。
  • 寄件者位址
  • 收到時間
  • 收件者
  • Teams 訊息標識碼

若要對郵件採取動作，請參閱下一節。

對 Microsoft Teams 中隔離的郵件採取動作

在 [Teams 訊息] 索引標籤 上，選取第一個數據行旁邊的複選框，以選取隔離的郵件。 下列為可用的選項：

• 要求釋放：您可以要求從隔離區釋放訊息。 貴組織的系統管理員必須核准發行。
• 刪除：您可以要求從隔離郵件清單中刪除郵件。
• 預覽訊息：您可以檢視所選訊息的詳細數據。

如果您未釋放或移除訊息，該訊息會在 [ 到期 ] 資料行中顯示的日期之後自動從隔離中刪除。