以用户身份管理隔离的邮件和文件
提示
你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。
无论是在有 Exchange Online 邮箱的 Microsoft 365 组织中,还是在没有 Exchange Online 邮箱的独立 Exchange Online Protection (EOP) 组织中,隔离功能都会隔离具有潜在危险或不需要的邮件。 有关详细信息,请参阅 EOP 的隔离功能。
作为普通用户(非管理员),下表描述了作为已隔离邮件的收件人可用的 默认 功能:
隔离原因: | 查看 | 发布 | 删除 |
---|---|---|---|
反垃圾邮件策略 | |||
批量邮件 | ✔ | ✔ | ✔ |
垃圾邮件 | ✔ | ✔ | ✔ |
高可信度垃圾邮件 | ✔ | ✔ | ✔ |
网络钓鱼 | ✔ | ✔ | ✔ |
高可信度网络钓鱼 | |||
反网络钓鱼策略 | |||
EOP 中的欺骗智能保护 | ✔ | ✔ | ✔ |
Defender for Office 365 中的模拟用户保护 | ✔ | ✔ | ✔ |
Defender for Office 365 中的模拟域保护 | ✔ | ✔ | ✔ |
Defender for Office 365中的邮箱智能模拟保护 | ✔ | ✔ | ✔ |
反恶意软件策略 | |||
包含隔离为恶意软件的附件的电子邮件。 | |||
Defender for Office 365 中的安全附件 | |||
将包含恶意附件的电子邮件隔离为恶意软件的安全附件策略。 | |||
将恶意文件隔离为恶意软件的 SharePoint、OneDrive 以及 Microsoft Teams 的安全附件。 | |||
邮件流规则(传输规则) | |||
直接隔离电子邮件的邮件流规则 (,而不是将其标记为垃圾邮件) 。 |
在 支持的保护功能中, 隔离策略 根据隔离邮件的原因定义允许用户对隔离邮件执行的操作。 默认隔离策略强制实施邮件的历史功能,如上表所述。 管理员可以创建并应用自定义隔离策略,以便为用户定义限制性较低或限制性更高的功能。 有关详细信息,请参阅 隔离策略剖析。
可以在Microsoft Defender门户中查看和管理隔离邮件,或者 (管理员是否已从隔离策略中设置此) 隔离通知。
开始前,有必要了解什么?
若要打开Microsoft Defender门户,请转到 https://security.microsoft.com。 要直接转到“隔离”页,请使用 https://security.microsoft.com/quarantine。
管理员可以配置邮件在永久删除前的隔离期限(反垃圾邮件策略)。 隔离到期的邮件不可恢复。 有关详细信息,请参阅在 EOP 中配置反垃圾邮件策略。
默认情况下,为高可信度网络钓鱼、恶意软件隔离的或由邮件流规则隔离的邮件仅对管理员可用,且对用户不可见。 有关详细信息,请参阅 在 EOP 中以管理员身份管理已隔离邮件和文件。
有关用户允许和块以及组织允许和阻止的优先级顺序的信息,请参阅 用户和租户设置冲突。
审核管理员或用户对隔离邮件执行的所有操作。 有关审核的隔离事件的详细信息,请参阅 Office 365 管理 API 中的隔离架构。
在 EOP 中管理隔离的邮件
查看已隔离邮件
注意
查看隔离邮件的功能由隔离策略控制,隔离策略适用于邮件被隔离的原因 (这可能是 EOP 和Microsoft Defender for Office 365安全) 建议设置中所述的默认隔离策略。
在 Microsoft Defender 门户中https://security.microsoft.com,转到Email &协作>查看>隔离>区Email选项卡。或者,若要直接转到“隔离”页上的“Email”选项卡,请使用 https://security.microsoft.com/quarantine?viewid=Email。
在“Email”选项卡上,可以通过单击“将列表间距更改为压缩或正常”,然后选择“压缩列表”来减小列表中的垂直间距。
可以通过单击可用的列标题对条目进行排序。 选择“自定义列”以更改显示的列。 默认值标有星号(*):
接收时间*
主题*
寄件人*
隔离原因* (筛选器说明中查看可能的值。)
发布状态* (筛选器说明中查看可能的值。)
策略类型* (筛选器说明中查看可能的值。)
到期时间*
收件人*
发件人地址替代原因*:以下值之一:
- 无
- 邮件发件人被收件人设置阻止
- 邮件发件人被管理员设置阻止
提示
如果发件人被阻止,并且默认) (选择了“ 不显示阻止的发件人 ”,则来自这些发件人的邮件将显示在 “隔离 ”页上,并且当 发件人地址替代原因 值为 “无”时,这些发件人的邮件将包含在隔离通知中。 出现此行为的原因是,邮件因发件人地址替代以外的原因而被阻止。
发布者*
邮件 ID
策略名称
邮件大小
邮件方向
若要筛选条目,请选择“ 筛选”。 打开的 “筛选器” 浮出控件中提供了以下筛选器:
邮件 ID:邮件的全局唯一标识符。
发件人地址
收件人地址
主题
接收时间:选择以下值之一:
- 过去 24 小时
- 过去 7 天 (默认)
- 过去 14 天
- 过去 30 天 (默认)
- 自定义:输入开始时间和结束时间(日期)。
过期:按邮件从隔离区过期的时间进行筛选。 选择以下值之一:
- 今天
- 未来 2 天
- 未来 7 天
- 自定义:输入开始时间和结束时间(日期)。
隔离原因:选择以下一个或多个值:
阻止的发件人:以下值之一:
- 不显示默认) (阻止的发件人
- 显示所有发件人
提示
如果发件人被阻止,并且选择了 “不显示阻止的发件人 ”,则来自这些发件人的邮件将显示在 “隔离 ”页上,并且当 发件人地址替代原因 值为 “无”时,这些发件人的邮件将包含在隔离通知中。 出现此行为的原因是,邮件因发件人地址替代以外的原因而被阻止。
释放状态:以下任何值:
- 需要审查
- 已批准
- 已拒绝
- 已请求释放
- 已释放
策略类型:按隔离邮件的保护策略类型筛选邮件。 选择以下一个或多个值:
- 反恶意软件策略
- 安全附件策略
- 反钓鱼策略
- 反垃圾邮件策略
- 传输规则(邮件流规则)
策略类型和隔离原因值是相互关联的。 例如, 批量 始终与 反垃圾邮件策略相关联,从不与 反恶意软件策略相关联。
完成 “筛选器” 浮出控件后,选择“ 应用”。 若要清除筛选器,请选择“ 清除筛选器”。
提示
缓存筛选器。 下次打开“ 隔离 ”页时,默认情况下会选择最后一个会话中的筛选器。 此行为有助于进行会审操作。
使用“ 搜索 ”框和相应的值查找特定邮件。 不支持通配符。 可以按下面的值搜索:
- 发件人电子邮件地址
- 主题。 使用邮件的整个主题。 搜索不区分大小写。
输入搜索条件后,按 Enter 键筛选结果。
注意
“ 搜索 ”框搜索当前视图中的隔离项,而不是搜索所有隔离项目。 若要搜索所有隔离项,请使用 “筛选器” 和生成的 “筛选器” 浮出控件。
找到特定的隔离邮件后,选择该邮件以查看其详细信息,并 (执行操作,例如查看、释放、下载或删除邮件) 。
查看已隔离邮件的详细信息
在 Microsoft Defender 门户中https://security.microsoft.com,转到Email &协作>查看>隔离>区Email选项卡。或者,若要直接转到“隔离”页上的“Email”选项卡,请使用 https://security.microsoft.com/quarantine?viewid=Email。
在“Email”选项卡上,单击行中除“检查”框以外的任意位置,选择隔离邮件。
在打开的详细信息浮出控件中,提供了以下信息:
-
隔离详细信息 部分:
- 接收时间:收到邮件的日期/时间。
- 过期:自动从隔离区中永久删除邮件的日期/时间。
- 主题
- 隔离原因:显示邮件是否已标识为 垃圾邮件、 批量、 网络钓鱼,是否与邮件流规则 (传输规则) 匹配,或者是否被标识为包含 恶意软件。
- 策略类型
- 收件人计数
- 收件人:如果邮件包含多个收件人,可能需要选择“预览邮件”或>“>查看邮件头”以查看完整的收件人列表。
- 发件人替代原因
-
发布者:
- 如果用户释放了其邮件,则会显示用户的电子邮件地址。
- 如果邮件是由管理员发布的,则显示值管理员。
- 如果发布由系统执行,则显示值 System
- 如果发布不是由用户、管理员或系统执行的,则默认为 管理员。
-
Email详细信息部分:
- 发件人地址
- 接收时间
- 网络消息 ID
- 收件人
要对邮件执行操作,请参阅下一部分。
提示
若要查看有关其他隔离邮件的详细信息,而不离开详细信息浮出控件,请使用浮出控件顶部的“上一项”和“下一项”。
对已隔离电子邮件执行操作
在 Microsoft Defender 门户中https://security.microsoft.com,转到Email &协作>查看>隔离>区Email选项卡。或者,若要直接转到“隔离”页上的“Email”选项卡,请使用 https://security.microsoft.com/quarantine?viewid=Email。
在“Email”选项卡上,使用以下方法之一选择隔离的电子邮件:
使用任一方法选择消息,某些操作在“更多”或“更多选项”下可用。
选择隔离邮件后,以下小节将介绍可用的操作。
释放隔离的电子邮件
注意
释放隔离邮件的功能由隔离策略控制,该功能将邮件隔离 (这可能是 EOP 和Microsoft Defender for Office 365安全) 的建议设置中所述的默认隔离策略。
隔离策略可以允许释放邮件或请求释放邮件,但这两个选项不适用于同一封邮件。 隔离策略还可以阻止你释放或请求释放隔离的邮件。
此操作不适用于已发布的电子邮件, (“发布状态 ”值为“ 已发布) ”。
如果不释放或删除邮件,则会在 “过期” 列中显示的日期之后自动将其从隔离区中删除。
选择邮件后,请使用以下方法之一将其释放, (将其传递到邮箱) :
- 在“Email”选项卡上:选择“发布”。
- 在所选邮件的详细信息浮出控件中:选择 “发布电子邮件”。
在打开的 “收件箱”浮出控件的“发布消息 ”中,选择“ 报告邮件”“无威胁 ”,然后选择“ 发布邮件”。
完成收件箱浮出控件的 “发布”消息 后,选择“ 发布邮件”。
在 打开的“收件箱”浮出控件的“邮件 ”中,选择“ 完成”。
回到“Email”选项卡上,消息的“发布状态”值为“释放”。
邮件将传递到收件箱 (或其他文件夹,具体取决于邮箱) 中的任何 收件箱规则 。
请求释放隔离的电子邮件
注意
请求释放隔离邮件的能力由隔离邮件的保护功能的隔离策略控制。
隔离策略可以允许释放邮件或请求释放邮件,但这两个选项不适用于同一封邮件。 隔离策略还可以阻止你释放或请求释放隔离的邮件。
此操作不适用于已请求发布的电子邮件, (“发布状态 ”值为“ 请求 发布) ”。
如果不释放或删除邮件,则会在 “过期” 列中显示的日期之后自动将其从隔离区中删除。
选择消息后,使用以下方法之一请求其发布:
- 在“Email”选项卡上:选择“请求发布”。
- 在所选邮件的详细信息浮出控件中:选择“ 更多选项>”“请求发布”。
在打开 的“请求发布 ”浮出控件中,查看信息,选择“ 请求发布”。 在打开的 “请求发布” 浮出控件中,选择“ 完成”。
返回“ 隔离”页,邮件的 “发布状态 ”值为 “请求发布”。 管理员将审查你的请求并批准或拒绝请求。
从隔离区中删除电子邮件
从隔离区中删除电子邮件时,该邮件将被删除,并且不会发送给原始收件人。
如果不释放或删除邮件,则会在 “过期” 列中显示的日期之后自动将其从隔离区中删除。
选择消息后,使用以下方法之一将其删除:
- 在“Email”选项卡上:选择“删除邮件”。
- 在所选邮件的详细信息浮出控件中:选择“ 更多选项>”“从隔离区中删除”。
在打开的 删除 (n) 邮件从隔离 浮出控件中,使用以下方法之一删除邮件:
- 选择“ 永久删除隔离区中的邮件 ”,然后选择“ 删除:邮件已永久删除且不可恢复”。
- 选择“仅 删除 ”:邮件已删除,但可能可恢复。
在“从隔离区中删除邮件 (n) 邮件”浮出控件上选择“删除”后,返回到不再列出邮件的“Email”选项卡。
提示
管理员可以通过搜索管理员审核日志来找出谁删除了隔离邮件。 有关说明,请参阅 查找删除隔离邮件的人员。
从隔离区预览电子邮件
选择消息后,使用以下方法之一预览消息:
- 在“Email”选项卡上:选择“预览邮件”。
- 在所选邮件的详细信息浮出控件中:选择“ 更多选项>”“预览邮件”。
在打开的浮出控件中,选择以下选项卡之一:
- “源”:显示禁用所有链接的 HTML 版邮件正文。
- “纯文本”:以纯文本格式显示邮件正文。
查看电子邮件标头
选择消息后,使用以下方法之一查看邮件头:
- 在“Email”选项卡上,选择“更多>查看邮件头”。
- 在所选邮件的详细信息浮出控件中:选择“ 更多选项>”“查看邮件头”。
在打开 的“邮件头 ”浮出控件中,将显示邮件头 () 的所有标头字段。
使用 复制邮件头 将邮件头复制到剪贴板。
选择 “Microsoft消息头分析器 ”链接以深入分析标头字段和值。 将邮件头粘贴到“ 插入要分析的邮件标头 ”部分, (CTRL+V 或右键单击并选择“ 粘贴) ”,然后选择“ 分析邮件头”。
允许来自隔离区的电子邮件发件人
提示
如果发件人已在 “垃圾邮件”筛选器列表中, 则“允许发件人 ”不可用。
“允许发件人”操作将邮件发件人添加到邮箱中的“安全发件人”列表中。 有关允许发件人的详细信息,请参阅 将电子邮件的收件人添加到安全发件人列表。
选择邮件后,使用以下方法之一将邮件发件人添加到邮箱中的“安全发件人”列表:
- 在“Email”选项卡上:选择“更多>允许发件人”。
- 在所选邮件的详细信息浮出控件中:选择“ 更多”选项>“允许发件人”。
打开的浮出控件指示发件人何时成功添加到安全发件人列表。 选择“完成”。
阻止电子邮件发件人隔离
提示
仅当管理员创建了启用了阻止发件人权限的自定义隔离策略,并将该隔离策略分配给隔离邮件的保护功能策略时,阻止发件人才可用。
如果发件人已在 安全发件人列表中,则 阻止发件人 不可用。 可从用户阻止列表中删除发件人 。
“ 阻止发件人” 操作会将邮件发件人添加到邮箱中的“阻止发件人”列表。 有关阻止发件人的详细信息,请参阅 阻止邮件发件人。
选择邮件后,使用以下方法之一将邮件发件人添加到邮箱中的“阻止发件人”列表:
- 在“Email”选项卡上:选择“更多>阻止发件人”。
- 在所选邮件的详细信息浮出控件中:选择“ 更多选项>阻止发件人”。
在打开的 “阻止发件人 ”浮出控件中,查看有关发件人的信息,然后选择“ 阻止”。
提示
组织仍可以接收来自被阻止发件人的邮件。 来自发件人的邮件将传递到垃圾邮件Email文件夹或隔离区。 若要在到达时从发件人中删除邮件,管理员可以使用 邮件流规则 (也称为传输规则) 阻止邮件。
从隔离区中删除阻止发件人列表中的发件人
仅当已隔离邮件的发件人已在“阻止 发件人”列表中 时,“从用户 阻止列表中删除发件人”才可用。
选择邮件后,使用以下方法之一从阻止发件人列表中删除发件人:
- 在“Email”选项卡上:选择“更多>”“从用户阻止列表中删除发件人”。
- 在所选邮件的详细信息浮出控件中:选择“ 更多选项>”“从用户阻止列表中删除发件人”。
打开的浮出控件指示何时从阻止发件人列表中成功删除发件人。 选择“完成”。
对多封已隔离电子邮件执行操作
通过选择第一列旁边的检查框,在“Email”选项卡上选择多个隔离邮件时, (“Email”选项卡上提供以下批量操作,具体取决于) 所选邮件的“发布”状态值:
在 Microsoft Teams 中管理隔离的邮件
当在 Microsoft Teams 中检测到潜在的恶意聊天消息时,零小时自动清除 (ZAP) 删除并隔离该邮件。 用户现在可以在Microsoft Defender门户中查看和管理这些隔离的 Teams 邮件。 隔离的 Teams 邮件不支持隔离通知。
在 Microsoft Teams 中查看隔离的邮件
在 Microsoft Defender 门户中https://security.microsoft.com,转到“Email &协作>查看>隔离>Teams 消息”选项卡。或者,若要直接转到“隔离”页上的“Teams 邮件”选项卡,请使用 https://security.microsoft.com/quarantine?viewid=Teams。
可以通过单击可用的列标题对条目进行排序。 选择“自定义列”以更改显示的列。 默认列为:
- Teams 消息文本:包含团队消息的主题。
- 隔离日期:隔离邮件时显示。
- 状态:显示邮件是否已评审并已发布或需要审阅。
- 发件人:发送已隔离的邮件的人员。
- 隔离原因:可用选项为 “高置信度钓鱼 ”和 “恶意软件”。
- 过期:指示从隔离区中删除邮件的时间。 默认情况下,此值为 30 天。
若要筛选条目,请选择“ 筛选”。 打开的 “筛选器” 浮出控件中提供了以下筛选器:
- 发件人地址
-
接收时间:
- 过去 24 小时
- 过去 7 天
- 过去 14 天
- 过去 30 天 (默认)
- 自定义:输入开始时间和结束时间(日期)。
-
到期时间:
- 自定义 (默认) :输入开始时间和结束时间 (日期) 。
- 今天
- 未来 2 天
- 未来 7 天
- 隔离原因:可用值为 恶意软件 和高 置信度钓鱼。
- 状态:选择“ 需要评审 和 发布”。
完成 “筛选器” 浮出控件后,选择“ 应用”。 若要清除筛选器,请选择“ 清除筛选器”。
使用“ 搜索 ”框和相应的值查找特定的 Teams 邮件。 不支持通配符。
找到特定的隔离 Teams 邮件后,选择该邮件以查看有关它的详细信息,并 (对其进行操作,例如查看、释放、下载或删除邮件) 。
在 Microsoft Teams 中查看隔离邮件详细信息
在“Teams 邮件”选项卡上,单击行中除“检查”框以外的任意位置,选择隔离邮件。
在打开的详细信息浮出控件中,提供了以下信息:
-
隔离详细信息 部分:包括隔离原因、到期日期、隔离策略类型和其他信息。
- Expires
- 接收时间
- 隔离原因
- 释放状态
- 策略类型
-
邮件详细信息 部分:包括发送邮件的日期和时间、发件人地址、Teams 邮件 ID 和收件人列表。
- 发件人地址
- 接收时间
- 收件人
- Teams 消息 ID
要对邮件执行操作,请参阅下一部分。
对 Microsoft Teams 中的隔离邮件执行操作
在“Teams 邮件”选项卡上,通过选择第一列旁边的“检查”框来选择隔离的邮件。 可以选择以下选项:
- 请求释放:可以请求从隔离区中释放邮件。 组织的管理员需要批准发布。
- 删除:可以请求从隔离邮件列表中删除邮件。
- 预览邮件:可以查看所选邮件的详细信息。
如果不释放或删除邮件,则会在 “过期” 列中显示的日期之后自动将其从隔离区中删除。