Gestire i messaggi e i file in quarantena come amministratore
Consiglio
Sapevi che puoi provare gratuitamente le funzionalità in Microsoft Defender per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni su chi può iscriversi e sulle condizioni di valutazione in Prova Microsoft Defender per Office 365.
Nelle organizzazioni di Microsoft 365 con cassette postali in Exchange Online o Microsoft Teams o in organizzazioni Exchange Online Protection autonome (EOP) senza cassette postali Exchange Online o Teams, la quarantena contiene messaggi potenzialmente pericolosi o indesiderati rilevati da EOP e Defender per Office 365.
Gli amministratori possono visualizzare, rilasciare ed eliminare tutti i tipi di messaggi e file in quarantena per tutti gli utenti.
Gli amministratori delle organizzazioni con Microsoft Defender per Office 365 possono anche gestire i file messi in quarantena da allegati sicuri per i messaggi di SharePoint, OneDrive e Microsoft Teams e Microsoft Teams messi in quarantena da zero ore di eliminazione automatica (ZAP).
Gli utenti possono gestire la maggior parte dei messaggi di posta elettronica in quarantena in base ai criteri di quarantena per le funzionalità di protezione della posta elettronica supportate. Per altre informazioni sui criteri di quarantena, vedere Anatomia dei criteri di quarantena.
Gli amministratori e anche gli utenti (a seconda delle impostazioni segnalate dall'utente per l'organizzazione) possono segnalare falsi positivi a Microsoft dalla quarantena.
I messaggi in quarantena vengono visualizzati e gestiti nel portale di Microsoft Defender o in PowerShell (Exchange Online PowerShell per le organizzazioni di Microsoft 365 con cassette postali in Exchange Online; PowerShell EOP autonomo per le organizzazioni senza cassette postali Exchange Online).
Guardare questo breve video per informazioni su come gestire i messaggi in quarantena come amministratore.
Consiglio
Come complemento di questo articolo, vedere la guida alla configurazione Microsoft Defender per Office 365 per esaminare le procedure consigliate e proteggere da minacce di posta elettronica, collegamento e collaborazione. Le funzionalità includono collegamenti sicuri, allegati sicuri e altro ancora. Per un'esperienza personalizzata basata sull'ambiente in uso, è possibile accedere alla guida alla configurazione automatica Microsoft Defender per Office 365 nel interfaccia di amministrazione di Microsoft 365.
Che cosa è necessario sapere prima di iniziare?
Per aprire il portale di Microsoft Defender, passare a https://security.microsoft.com. Per passare direttamente alla pagina Quarantena, usare https://security.microsoft.com/quarantine.
Per informazioni su come connettersi a PowerShell per Exchange Online, vedere Connettersi a PowerShell per Exchange Online. Per connettersi a PowerShell di EOP autonomo, vedere Connettersi a PowerShell per Exchange Online Protection.
Prima di poter eseguire le procedure descritte in questo articolo, è necessario disporre delle autorizzazioni necessarie. Sono disponibili le opzioni seguenti:
-
Microsoft Defender XDR Controllo degli accessi in base al ruolo unificato (Se Email & collaborazione>Defender per Office 365 autorizzazioni è Attivo. Influisce solo sul portale di Defender, non su PowerShell:
- Eseguire azioni sui messaggi in quarantena per tutti gli utenti: operazioni di sicurezza/Dati di sicurezza/Email & quarantena di collaborazione (gestione).
- Accesso in sola lettura ai messaggi in quarantena per tutti gli utenti: operazioni di sicurezza/dati di sicurezza/Nozioni di base dei dati di sicurezza (lettura).Accesso in sola lettura ai messaggi in quarantena per tutti gli utenti.
-
Email & le autorizzazioni di collaborazione nel portale di Microsoft Defender:
-
Intervenire sui messaggi in quarantena per tutti gli utenti: appartenenza ai gruppi di ruoli Amministratore quarantena, Amministratore della sicurezza o Gestione organizzazione .
- Inviare messaggi dalla quarantena a Microsoft: appartenenza ai gruppi di ruoli Amministratore della sicurezza .
- Usare Blocca mittente per aggiungere mittenti al proprio elenco Mittenti bloccati: gli amministratori visualizzano Blocca mittente solo se filtrano i risultati della quarantena in base a Solo destinatario>anziché al valore predefinito Tutti gli utenti. L'assegnazione di qualsiasi autorizzazione che consenta all'amministratore l'accesso alla quarantena (ad esempio, Lettore di sicurezza o Lettore globale) consente l'accesso a Blocca mittente in quarantena se l'utente filtra i risultati della quarantena in base a Solo destinatario>.
- Accesso di sola lettura ai messaggi in quarantena per tutti gli utenti: appartenenza ai gruppi di ruoli Lettore di sicurezza o Lettore globale .
-
Intervenire sui messaggi in quarantena per tutti gli utenti: appartenenza ai gruppi di ruoli Amministratore quarantena, Amministratore della sicurezza o Gestione organizzazione .
-
Microsoft Entra autorizzazioni: l'appartenenza a questi ruoli offre agli utenti le autorizzazioni e le autorizzazioni necessarie per altre funzionalità in Microsoft 365:
Intervenire sui messaggi in quarantena per tutti gli utenti: appartenenza ai ruoli Amministratore della sicurezza o Amministratore* globale.
Importante
* Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. L'uso di account con autorizzazioni inferiori consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.
- Inviare messaggi dalla quarantena a Microsoft: appartenenza al ruolo Amministratore della sicurezza .
- Usare Blocca mittente per aggiungere mittenti al proprio elenco Mittenti bloccati: gli amministratori visualizzano Blocca mittente solo se filtrano i risultati della quarantena in base a Solo destinatario>anziché al valore predefinito Tutti gli utenti. L'assegnazione di qualsiasi autorizzazione che consenta all'amministratore l'accesso alla quarantena (ad esempio, Lettore di sicurezza o Lettore globale) consente l'accesso a Blocca mittente in quarantena se l'utente filtra i risultati della quarantena in base a Solo destinatario>.
Accesso di sola lettura ai messaggi in quarantena per tutti gli utenti: appartenenza ai ruoli Lettore globale o Lettore di sicurezza .
Consiglio
La possibilità di gestire i messaggi in quarantena usando le autorizzazioni Exchange Online è terminata a febbraio 2023 per MC447339.
Gli amministratori guest di altre organizzazioni non possono gestire i messaggi in quarantena. L'amministratore deve trovarsi nella stessa organizzazione dei destinatari.
-
Microsoft Defender XDR Controllo degli accessi in base al ruolo unificato (Se Email & collaborazione>Defender per Office 365 autorizzazioni è Attivo. Influisce solo sul portale di Defender, non su PowerShell:
I messaggi e i file in quarantena vengono conservati per un periodo di tempo predefinito in base al motivo per cui sono stati messi in quarantena. Dopo la scadenza del periodo di conservazione, i messaggi vengono eliminati automaticamente e non sono recuperabili. Per altre informazioni, vedere Conservazione della quarantena.
Per informazioni sull'ordine di precedenza per l'utente consente e blocca e l'organizzazione consente e blocchi, vedere Conflitto tra impostazioni utente e tenant.
Tutte le azioni eseguite dagli amministratori o dagli utenti nei messaggi in quarantena vengono controllate. Per altre informazioni sugli eventi di quarantena controllati, vedere Schema di quarantena nell'API di gestione Office 365.
Usare il portale di Microsoft Defender per gestire i messaggi di posta elettronica in quarantena
Visualizzare la posta elettronica in quarantena
Nel portale di Microsoft Defender in https://security.microsoft.compassare a Email & schedaVerifica>quarantena> della collaborazione>Email . In alternativa, per passare direttamente alla scheda Email nella pagina Quarantena, usare https://security.microsoft.com/quarantine?viewid=Email.
Per impostazione predefinita, vengono visualizzate solo le prime 100 voci fino a quando non si scorre verso il basso fino alla fine dell'elenco, che carica altri risultati.
Nella scheda Email è possibile ridurre la spaziatura verticale nell'elenco facendo clic su Modifica spaziatura elenco su compatta o normale e quindi selezionando Elenco compatto.
È possibile ordinare le voci facendo clic su un'intestazione di colonna disponibile. Selezionare Personalizza colonne per modificare le colonne visualizzate. I valori predefiniti sono contrassegnati da un asterisco (*):
Ora ricezione*
Oggetto*
Mittente*
Motivo *della quarantena (vedere i valori possibili in Descrizione del filtro.
Stato del* rilascio (vedere i valori possibili in Descrizione del filtro .
Tipo di criterio* (vedere i valori possibili in Descrizione del filtro .
Scade*
Destinatario: l'indirizzo di posta elettronica del destinatario viene sempre risolto nell'indirizzo di posta elettronica primario, anche se il messaggio è stato inviato a un indirizzo proxy.
Motivo *di sostituzione dell'indirizzo mittente: uno dei valori seguenti:
- Nessuna
- Il mittente del messaggio è bloccato dalle impostazioni del destinatario
- Il mittente del messaggio è bloccato dalle impostazioni di amministratore
Consiglio
Se un mittente è bloccato e non vengono visualizzati mittenti bloccati selezionati (impostazione predefinita), i messaggi di tali mittenti vengono visualizzati nella pagina Quarantena e vengono inclusi nelle notifiche di quarantena quando il valore del motivo dell'override dell'indirizzo mittente è Nessuno. Questo comportamento si verifica perché i messaggi sono stati bloccati per motivi diversi dall'override dell'indirizzo del mittente.
Rilasciato da*
ID messaggio
Nome criterio
Dimensione messaggio
Direzione della posta
Tag destinatario
Per filtrare le voci, selezionare Filtro. I filtri seguenti sono disponibili nel riquadro a comparsa Filtri visualizzato:
ID messaggio: identificatore univoco globale del messaggio.
Ad esempio, è stata usata la traccia dei messaggi per cercare un messaggio e si determina che il messaggio è stato messo in quarantena anziché recapitato. Assicurarsi di includere il valore dell'ID messaggio completo, che potrebbe includere parentesi angolari (<>). Ad esempio:
<79239079-d95a-483a-aacf-e954f592a0f6@XYZPR00BM0200.contoso.com>
.Indirizzo del mittente
Indirizzo del destinatario:
Oggetto
Ora di ricezione: selezionare uno dei valori seguenti:
- Ultime 24 ore
- Ultimi 7 giorni (impostazione predefinita)
- Ultimi 14 giorni
- Ultimi 30 giorni
- Personalizzato: immettere un’ora di inizio e un’ora di fine (data).
Scade: filtrare i messaggi in base alla scadenza dalla quarantena. Selezionare uno dei seguenti valori:
- Oggi
- Prossimi 2 giorni
- Prossimi 7 giorni
- Personalizzato: immettere un’ora di inizio e un’ora di fine (data).
Tag destinatario: attualmente, l'unico tag utente selezionabile è l'account priority.
Motivo quarantena: selezionare uno o più dei valori seguenti:
- Regola del flusso di posta (regola di trasporto)
- Invio in blocco
- Posta indesiderata
- Prevenzione della perdita di dati
- Malware: criteri antimalware nei criteri EOP o Allegati sicuri in Defender per Office 365. Il valore Tipo di criteri indica quale funzionalità è stata usata.
- Amministrazione azione - Blocco tipo di file: messaggi bloccati come malware dal filtro degli allegati comuni nei criteri antimalware. Per altre informazioni, vedere Criteri antimalware.
- Phishing: il verdetto del filtro della posta indesiderata è stato di phishing o la protezione anti-phishing ha messo in quarantena il messaggio (impostazioni di spoofing o protezione da imitazione).
- Messaggio di phishing altamente riservato
Destinatario: selezionare uno dei valori seguenti:
- Tutti gli utenti (questo è il valore predefinito, anche se non viene visualizzato selezionato)
- Solo io: mostra solo i messaggi in cui chi ha eseguito l'accesso è un destinatario. Questo valore è necessario per consentire agli amministratori di visualizzare le azioni Consenti mittente e Blocca mittente .
Mittente bloccato: uno dei valori seguenti:
- Non visualizzare mittenti bloccati (impostazione predefinita)
- Mostra tutti i mittenti
Consiglio
Se un mittente è bloccato e non vengono visualizzati mittenti bloccati selezionati, i messaggi di tali mittenti vengono visualizzati nella pagina Quarantena e vengono inclusi nelle notifiche di quarantena quando il valore del motivo di sostituzione dell'indirizzo mittente è Nessuno. Questo comportamento si verifica perché i messaggi sono stati bloccati per motivi diversi dall'override dell'indirizzo del mittente.
Stato versione: selezionare uno o più dei valori seguenti
- Da rivedere
- Approvati
- Negato
- Richiesta di rilascio effettuata
- Rilascio
Tipo di criterio: filtrare i messaggi in base al tipo di criteri di protezione che hanno messo in quarantena il messaggio. È possibile selezionare uno o più dei seguenti valori:
- Criteri antimalware
- Criteri per gli allegati sicuri
- Criteri anti-phishing
- Criteri contro la posta indesiderata
- Regola del flusso di posta (regola di trasporto)
- Regola di prevenzione della perdita dei dati
I valori relativi al tipo di criterio e al motivo della quarantena sono correlati. Ad esempio, bulk è sempre associato a un criterio di protezione dalla posta indesiderata, mai con un criterio antimalware.
Al termine del riquadro a comparsa Filtri , selezionare Applica. Per cancellare i filtri, selezionare Cancella filtri.
Consiglio
I filtri vengono memorizzati nella cache. I filtri delle ultime sessioni vengono selezionati per impostazione predefinita alla successiva apertura della pagina Quarantena . Questo comportamento consente di valutare le operazioni.
Usare la casella di ricerca e un valore corrispondente per trovare messaggi specifici. I caratteri jolly non sono supportati. È possibile cercare in base ai seguenti valori:
- Indirizzo di posta elettronica del mittente
- Oggetto. Utilizzare l'intero oggetto del messaggio. La ricerca non fa distinzione tra maiuscole e minuscole.
Dopo aver immesso i criteri di ricerca, premere INVIO per filtrare i risultati.
Nota
La casella Di ricerca cerca gli elementi in quarantena nella visualizzazione corrente (che è limitata a 100 elementi), non tutti gli elementi in quarantena. Per cercare tutti gli elementi in quarantena, usare filtro e il riquadro a comparsa Filtri risultante.
Dopo aver trovato un messaggio in quarantena specifico, selezionare il messaggio per visualizzare i dettagli e intervenire su di esso (ad esempio, visualizzare, rilasciare, scaricare o eliminare il messaggio).
Visualizzare i dettagli di posta elettronica in quarantena
Nel portale di Microsoft Defender in https://security.microsoft.compassare a Email & schedaVerifica>quarantena> della collaborazione>Email . In alternativa, per passare direttamente alla scheda Email nella pagina Quarantena, usare https://security.microsoft.com/quarantine?viewid=Email.
Nella scheda Email selezionare il messaggio in quarantena facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo.
Nel riquadro a comparsa dei dettagli visualizzato sono disponibili le informazioni seguenti:
Consiglio
Le azioni disponibili nella parte superiore del riquadro a comparsa sono descritte in Azione sulla posta elettronica in quarantena.
Per visualizzare i dettagli sugli altri messaggi in quarantena senza uscire dal riquadro a comparsa dei dettagli, usare Elemento precedente e Elemento successivo nella parte superiore del riquadro a comparsa.
-
Sezione Dettagli quarantena :
Ricezione: data/ora di ricezione del messaggio.
Scadenza: data/ora in cui il messaggio viene eliminato automaticamente e definitivamente dalla quarantena.
Oggetto
Motivo quarantena: indica se un messaggio è stato identificato come Posta indesiderata, Bulk, Phish, corrisponde a una regola del flusso di posta (regola di trasporto) o è stato identificato come contenente malware.
Tipo di criterio
Nome criterio
Numero dei destinatari
Destinatari: se il messaggio contiene molti destinatari, è possibile usare il messaggio di anteprima o l'intestazione Visualizza messaggio per visualizzare l'elenco completo dei destinatari.
Gli indirizzi di posta elettronica del destinatario vengono sempre risolti nell'indirizzo di posta elettronica primario, anche se il messaggio è stato inviato a un indirizzo proxy.
Non ancora rilasciato a, rilasciato in e/o rilasciato da: A seconda dello stato del messaggio, potrebbero essere disponibili uno o più dei valori seguenti:
- Non ancora rilasciato in: Email indirizzi dei destinatari a cui il messaggio non è stato rilasciato.
- Rilasciato in: Email indirizzi dei destinatari a cui è stato rilasciato il messaggio.
-
Rilasciato da: l'amministratore che ha rilasciato il messaggio usando il formato :
<email address of admin who released the message> released for <recipient>
. Ad esempio,admin@contoso.onmicrosoft.com released to laura@contoso.onmicrosoft.com
. Se l'utente finale rilascia il messaggio, visualizza l'indirizzo SMTP dell'utente finale. Se la versione viene eseguita dal sistema, si dice "Sistema rilasciato". Se la versione non viene eseguita da un amministratore, da un utente finale o dal sistema, per impostazione predefinita è "Amministrazione".
Il riquadro a comparsa dei dettagli rimanenti contiene le sezioni Dettagli recapito, dettagli Email, URL e Allegati che fanno parte del pannello di riepilogo Email. Per altre informazioni, vedere Il pannello di riepilogo Email.
Per intervenire sul messaggio, vedere la sezione successiva.
Consiglio
Per visualizzare i dettagli sugli altri messaggi in quarantena senza uscire dal riquadro a comparsa dei dettagli, usare Elemento precedente e Elemento successivo nella parte superiore del riquadro a comparsa.
Eseguire azioni sulla posta elettronica in quarantena
Nel portale di Microsoft Defender in https://security.microsoft.compassare a Email & schedaVerifica>quarantena> della collaborazione>Email . In alternativa, per passare direttamente alla scheda Email nella pagina Quarantena, usare https://security.microsoft.com/quarantine?viewid=Email.
Nella scheda Email selezionare il messaggio di posta elettronica in quarantena usando uno dei metodi seguenti:
Selezionare il messaggio dall'elenco selezionando la casella di controllo accanto alla prima colonna. Le azioni disponibili non sono più disattivate.
Selezionare il messaggio dall'elenco facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo. Le azioni disponibili si trovano nel riquadro a comparsa dei dettagli aperto.
Usando uno dei due metodi per selezionare il messaggio, sono disponibili molte azioni in Più o Più opzioni.
Dopo aver selezionato il messaggio in quarantena, le azioni disponibili sono descritte nelle sottosezioni seguenti.
Consiglio
Nei dispositivi mobili, l'esperienza di azione è leggermente diversa:
Quando si seleziona il messaggio selezionando la casella di controllo, tutte le azioni sono in Altro:
Quando si seleziona il messaggio facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo, il testo della descrizione non è disponibile in alcune icone delle azioni nel riquadro a comparsa dei dettagli. Ma le azioni e il loro ordine sono gli stessi di un PC:
Rilasciare la posta elettronica in quarantena
Questa azione non è disponibile per i messaggi di posta elettronica che sono già stati rilasciati (il valore stato versione è Rilasciato).
Se non si rilascia o non si rimuove un messaggio, viene automaticamente eliminato dalla quarantena dopo la data visualizzata nella colonna Scadenza .
- Non è possibile rilasciare un messaggio allo stesso destinatario più di una volta.
- Quando si selezionano singoli destinatari originali per ricevere il messaggio rilasciato, è possibile selezionare solo i destinatari che non hanno già ricevuto il messaggio rilasciato.
- I membri del gruppo di ruoli Amministratori della sicurezza possono visualizzare e usare l'opzione Invia il messaggio a Microsoft per migliorare il rilevamento e consentire la posta elettronica con opzioni di attributi simili .
- Gli utenti possono segnalare falsi positivi a Microsoft dalla quarantena, a seconda del valore dell'impostazione Report da quarantena nelle impostazioni segnalate dall'utente.
Consiglio
Soluzioni antivirus di terze parti, servizi di sicurezza e connettori in uscita possono causare i problemi seguenti per i messaggi rilasciati dalla quarantena:
- Il messaggio viene messo in quarantena dopo il rilascio.
- Il contenuto viene rimosso dal messaggio rilasciato prima che raggiunga la posta in arrivo del destinatario.
- Il messaggio rilasciato non arriva mai nella posta in arrivo del destinatario.
- Le azioni nelle notifiche di quarantena potrebbero essere selezionate in modo casuale.
Verificare di non usare filtri di terze parti prima di aprire un ticket di supporto per questi problemi.
Le regole della posta in arrivo (create dagli utenti in Outlook o dagli amministratori usando i cmdlet *-InboxRule in Exchange Online PowerShell) possono spostare o eliminare messaggi dalla posta in arrivo.
Gli amministratori possono usare la traccia dei messaggi per determinare se un messaggio rilasciato è stato recapitato alla posta in arrivo del destinatario.
Se si seleziona Sposta o elimina>posta in arrivo nei messaggi in quarantena in Esegui azione da altre funzionalità di Defender per Office 365, ad esempio Explorer (Esplora minacce) o la pagina dell'entità Email, è anche possibile rilasciare i messaggi dalla quarantena. Per altre informazioni, vedere Ricerca delle minacce: Procedura guidata Per l'azione.
Dopo aver selezionato il messaggio, usare uno dei metodi seguenti per rilasciarlo:
- Nella scheda Email selezionare Rilascia.
- Nel riquadro a comparsa dei dettagli del messaggio selezionato selezionare Rilascia messaggio di posta elettronica.
Nel riquadro a comparsa Rilascia posta elettronica al destinatario visualizzato, configurare le opzioni seguenti:
Selezionare uno dei seguenti valori:
- Rilasciare a tutti i destinatari
- Rilasciare a uno o più destinatari originali del messaggio di posta elettronica: immettere i destinatari nella casella Destinatari visualizzata.
Inviare una copia del messaggio a un altro destinatario: se si seleziona questa opzione, selezionare uno o più destinatari facendo clic sulla casella Destinatari visualizzata.
Inviare il messaggio a Microsoft per migliorare il rilevamento: se si seleziona questa opzione, il messaggio erroneamente in quarantena viene segnalato a Microsoft come falso positivo. A seconda dei risultati dell'analisi, le regole di filtro della posta indesiderata a livello di servizio potrebbero essere modificate per consentire l'invio del messaggio.
Selezionando questa opzione vengono mostrate le opzioni seguenti:
-
Consenti questo messaggio: se si seleziona questa opzione, le voci consenti vengono aggiunte all'elenco tenant consentiti/bloccati per il mittente e tutti gli URL o gli allegati correlati nel messaggio. Vengono visualizzate anche le opzioni seguenti:
- Rimuovi voce dopo: il valore predefinito è 45 giorni dopo la data dell'ultimo utilizzo, ma è anche possibile selezionare 1 giorno, 7 giorni, 30 giorni o una data specifica inferiore a 30 giorni.
- Consenti nota di immissione: immettere una nota facoltativa che contiene informazioni aggiuntive.
-
Consenti questo messaggio: se si seleziona questa opzione, le voci consenti vengono aggiunte all'elenco tenant consentiti/bloccati per il mittente e tutti gli URL o gli allegati correlati nel messaggio. Vengono visualizzate anche le opzioni seguenti:
Al termine del riquadro a comparsa Rilasciare il messaggio di posta elettronica alla posta in arrivo del destinatario , selezionare Messaggio di rilascio.
Nella scheda Email, il valore dello stato di rilascio del messaggio viene Rilasciato.
Approvare o negare le richieste di rilascio da parte degli utenti per la posta elettronica in quarantena
Gli utenti possono richiedere il rilascio dei messaggi di posta elettronica se i criteri di quarantena usano Consenti ai destinatari di richiedere il rilascio di un messaggio dalla quarantena (PermissionToRequestRelease
autorizzazione) anziché Consenti ai destinatari di rilasciare un messaggio dalla quarantena (PermissionToRelease
autorizzazione) quando il messaggio è stato messo in quarantena. Per altre informazioni, vedere Creare criteri di quarantena nel portale di Microsoft Defender.
Dopo che un destinatario ha richiesto il rilascio del messaggio di posta elettronica, il valore dello stato della versione cambia in Release richiesto e un amministratore può approvare o negare la richiesta.
Consiglio
È possibile creare un avviso per rilasciare il messaggio per più richieste di rilascio per tale messaggio. Usare il collegamento di quarantena nella sezione Dettagli del messaggio di avviso per intervenire sulla richiesta di rilascio da parte degli utenti dell'organizzazione negli ultimi 7 giorni.
Se non si rilascia o non si rimuove un messaggio, viene automaticamente eliminato dalla quarantena dopo la data visualizzata nella colonna Scadenza .
Dopo aver selezionato il messaggio, usare uno dei metodi seguenti per approvare o negare la richiesta di rilascio:
- Nella scheda Email selezionare Approva versione o Nega.
- Nel riquadro a comparsa dei dettagli del messaggio selezionato: Selezionare Altro e quindi selezionare Approva versione o Nega versione.
Se si seleziona Approva versione, viene aperto un riquadro a comparsa Approva versione in cui è possibile esaminare le informazioni sul messaggio. Per approvare la richiesta, selezionare Approva versione. Verrà aperto un riquadro a comparsa Versione approvata in cui è possibile selezionare il collegamento per altre informazioni sul rilascio dei messaggi. Al termine, selezionare Fine nel riquadro a comparsa Versione approvata . Nella scheda Email il valore Stato versione del messaggio viene modificato in Approvato.
Se si seleziona Nega, viene visualizzato un riquadro a comparsa Nega rilascio in cui è possibile esaminare le informazioni sul messaggio. Per negare la richiesta, selezionare Nega rilascio. Verrà aperto un riquadro a comparsa Rilascio negato in cui è possibile selezionare il collegamento per altre informazioni sul rilascio dei messaggi. Selezionare Fine al termine del riquadro a comparsa Rilascio negato . Nella scheda Email il valore Stato versione del messaggio viene modificato in Negato.
Consiglio
È possibile negare il rilascio solo per tutti i destinatari. Non è possibile negare il rilascio per destinatari specifici.
Eliminare la posta elettronica dalla quarantena
Quando si elimina un messaggio di posta elettronica dalla quarantena, il messaggio viene rimosso e non viene inviato ai destinatari originali.
Se non si rilascia o non si rimuove un messaggio, viene automaticamente eliminato dalla quarantena dopo la data visualizzata nella colonna Scadenza .
Dopo aver selezionato il messaggio, usare uno dei metodi seguenti per rimuoverlo:
- Nella scheda Email selezionare Elimina dalla quarantena.
- Nel riquadro a comparsa dei dettagli del messaggio selezionato: Selezionare Altre opzioni>Elimina dalla quarantena.
Nel riquadro a comparsa Elimina (n) da quarantena visualizzato usare uno dei metodi seguenti per eliminare il messaggio:
- Selezionare Elimina definitivamente il messaggio dalla quarantena e quindi selezionare Elimina: il messaggio viene eliminato definitivamente e non è recuperabile.
- Selezionare Elimina solo: il messaggio viene eliminato, ma è potenzialmente recuperabile.
Dopo aver selezionato Elimina nel riquadro a comparsa Elimina (n) messaggi dalla quarantena, tornare alla scheda Email in cui il messaggio non è più elencato.
Anteprima della posta elettronica dalla quarantena
Dopo aver selezionato il messaggio, usare uno dei metodi seguenti per visualizzarlo in anteprima:
- Nella scheda Email selezionare Messaggio di anteprima.
- Nel riquadro a comparsa dei dettagli del messaggio selezionato: Selezionare Altre opzioni>Messaggio di anteprima.
Nel riquadro a comparsa visualizzato scegliere una delle schede seguenti:
- Origine: mostra la versione HTML del corpo del messaggio con tutti i collegamenti disabilitati.
- Testo normale: Mostra il corpo del messaggio in testo normale.
Visualizzare le intestazioni dei messaggi di posta elettronica
Dopo aver selezionato il messaggio, usare uno dei metodi seguenti per visualizzare le intestazioni del messaggio:
- Nella scheda Email selezionare Altre>intestazioni dei messaggi di visualizzazione.
- Nel riquadro a comparsa dei dettagli del messaggio selezionato: Selezionare Altre opzioni>Visualizza intestazioni messaggio.
Nel riquadro a comparsa Intestazione messaggio visualizzato viene visualizzata l'intestazione del messaggio (tutti i campi di intestazione).
Usare l'intestazione Copia messaggio per copiare l'intestazione del messaggio negli Appunti.
Selezionare il collegamento Microsoft Message Header Analyzer per analizzare in modo approfondito i campi e i valori dell'intestazione. Incollare l'intestazione del messaggio nella sezione Inserisci l'intestazione del messaggio da analizzare (CTRL+V o fare clic con il pulsante destro del mouse e scegliere Incolla), quindi selezionare Analizza intestazioni.
Segnalare un messaggio di posta elettronica a Microsoft per la revisione dalla quarantena
Dopo aver selezionato il messaggio, usare uno dei metodi seguenti per segnalare il messaggio a Microsoft per l'analisi:
- Nella scheda Email selezionare Altro>invia per la revisione.
- Nel riquadro a comparsa dei dettagli del messaggio selezionato: selezionare Altre opzioni>Invia per la revisione.
Nel riquadro a comparsa Invia a Microsoft per l'analisi visualizzato configurare le opzioni seguenti:
Aggiungere l'ID messaggio di rete o caricare il file di posta elettronica: selezionare una delle opzioni seguenti:
- Aggiungere l'ID messaggio di rete di posta elettronica: questo valore è selezionato per impostazione predefinita, con il valore corrispondente nella casella.
- Caricare il file di posta elettronica (.msg o eml): dopo aver selezionato questa opzione, selezionare il pulsante Sfoglia file visualizzato per trovare e selezionare il .msg o .eml file del messaggio da inviare.
Scegliere un destinatario che ha riscontrato un problema: selezionare uno (preferito) o più destinatari originali del messaggio per analizzare i criteri applicati.
Selezionare un motivo per l'invio a Microsoft: scegliere una delle opzioni seguenti:
Ho confermato che è pulito (impostazione predefinita): selezionare questa opzione se si è certi che il messaggio sia pulito e quindi selezionare Avanti. Sono quindi disponibili le impostazioni seguenti:
- Consenti questo messaggio di posta elettronica: se si seleziona questa opzione, le voci consenti vengono aggiunte all'elenco tenant consentiti/bloccati per il mittente e tutti gli URL o gli allegati correlati nel messaggio. Vengono visualizzate anche le opzioni seguenti:
- Rimuovi voce dopo: il valore predefinito è 45 giorni dopo la data dell'ultimo utilizzo, ma è anche possibile selezionare 1 giorno, 7 giorni, 30 giorni o una data specifica inferiore a 30 giorni.
- Consenti nota di immissione: immettere una nota facoltativa che contiene informazioni aggiuntive.
Appare pulito: selezionare questa opzione se non si è sicuri e si vuole un verdetto da Microsoft.
Al termine del riquadro a comparsa Invia a Microsoft per l'analisi , selezionare Invia.
Consiglio
Gli utenti possono segnalare falsi positivi a Microsoft dalla quarantena, a seconda del valore dell'impostazione Report da quarantena nelle impostazioni segnalate dall'utente.
Consentire ai mittenti di posta elettronica di essere messi in quarantena
Consiglio
L'azione Consenti mittente è disponibile per gli amministratori solo se filtrano i risultati della quarantena in base a Solo destinatario>anziché al valore predefinito Tutti gli utenti.
Se il mittente è già presente nella raccolta dell'elenco indirizzi attendibili del destinatario, Consenti mittente non è disponibile.
L'azione Consenti mittente aggiunge il mittente del messaggio di posta elettronica selezionato all'elenco Mittenti attendibili nella cassetta postale di chiunque abbia eseguito l'accesso. In genere, questa azione è destinata agli utenti finali se è disponibile per gli utenti tramite criteri di quarantena. Per altre informazioni sugli utenti che consentono i mittenti, vedere Aggiungere i destinatari dei messaggi di posta elettronica all'elenco Mittenti attendibili.
Dopo aver selezionato il messaggio, usare uno dei metodi seguenti per aggiungere il mittente del messaggio all'elenco Mittenti attendibili nella propria cassetta postale:
- Nella scheda Email selezionare Altro>mittente consentito.
- Nel riquadro a comparsa dei dettagli del messaggio selezionato: Selezionare Altre opzioni>Consenti mittente.
Il riquadro a comparsa visualizzato indica quando il mittente è stato aggiunto correttamente all'elenco Mittenti attendibili. Scegliere Fine.
Bloccare la quarantena dei mittenti di posta elettronica
Consiglio
L'azione Blocca mittente è disponibile per gli amministratori solo se filtrano i risultati della quarantena in base a Solo destinatario>anziché al valore predefinito Tutti gli utenti.
Se il mittente è già presente nella raccolta dell'elenco indirizzi attendibili del destinatario, blocca il mittente non è disponibile. È invece disponibile rimuovere il mittente dall'elenco dei blocchi utente.
L'azione Blocca mittente aggiunge il mittente del messaggio di posta elettronica selezionato all'elenco Mittenti bloccati nella cassetta postale di chiunque abbia eseguito l'accesso. In genere, questa azione è destinata agli utenti finali se è disponibile per gli utenti tramite criteri di quarantena. Per altre informazioni sugli utenti che bloccano i mittenti, vedere Bloccare un mittente di posta elettronica
Dopo aver selezionato il messaggio, usare uno dei metodi seguenti per aggiungere il mittente del messaggio all'elenco Mittenti bloccati nella propria cassetta postale:
- Nella scheda Email selezionare Altro>mittente di blocco.
- Nel riquadro a comparsa dei dettagli del messaggio selezionato: Selezionare Altre opzioni>Blocca mittente.
Nel riquadro a comparsa Blocca mittente visualizzato esaminare le informazioni sul mittente e quindi selezionare Blocca.
Consiglio
L'organizzazione può comunque ricevere posta dal mittente bloccato. I messaggi provenienti dal mittente vengono recapitati alle cartelle Email di posta indesiderata dell'utente o in quarantena a seconda della precedenza dei criteri, come descritto in Consente e blocca l'utente. Per eliminare i messaggi dal mittente all'arrivo, usare le regole del flusso di posta (note anche come regole di trasporto) per bloccare il messaggio.
Rimuovere i mittenti dagli elenchi mittenti bloccati dall'utente dalla quarantena
L'elenco Rimuovi mittente dall'elenco di blocchi utente è disponibile solo se il mittente del messaggio in quarantena è già presente nell'elenco Mittenti bloccati del destinatario.
Gli amministratori possono rimuovere i mittenti dall'elenco Blocca mittenti delle proprie cassette postali (se la quarantena viene filtrata in base a Destinatario>solo me) o dalle cassette postali di altri utenti (se la quarantena è filtrata in base a Tuttigli utentidel destinatario>).
Dopo aver selezionato il messaggio, usare uno dei metodi seguenti per rimuovere il mittente dall'elenco Mittenti bloccati dell'utente:
- Nella scheda Email selezionare Altro>Rimuovi mittente dall'elenco dei blocchi utente.
- Nel riquadro a comparsa dei dettagli del messaggio selezionato: Selezionare Altre opzioni>Rimuovi mittente dall'elenco dei blocchi utente.
Il riquadro a comparsa visualizzato indica quando il mittente è stato rimosso correttamente dall'elenco Mittenti bloccati del destinatario. Scegliere Fine.
Condividere la posta elettronica dalla quarantena
È possibile inviare una copia del messaggio di posta elettronica in quarantena, incluso il contenuto potenzialmente dannoso, ai destinatari specificati.
Dopo aver selezionato il messaggio, usare uno dei metodi seguenti per inviare una copia del messaggio ad altri utenti:
- Nella scheda Email selezionare Altro>messaggio di posta elettronica condividi.
- Nel riquadro a comparsa dei dettagli del messaggio selezionato selezionare Altre opzioni>Condividi messaggio di posta elettronica.
Nel riquadro a comparsa Condividi posta elettronica con altri utenti visualizzato selezionare uno o più destinatari per ricevere una copia del messaggio. Al termine, selezionare Condividi.
Scaricare la posta elettronica dalla quarantena
Dopo aver selezionato il messaggio di posta elettronica, usare uno dei metodi seguenti per scaricarlo:
- Nella scheda Email selezionare Altri>messaggi di download.
- Nel riquadro a comparsa dei dettagli del messaggio selezionato: Selezionare Altre opzioni>Scarica messaggio.
Nel riquadro a comparsa Scarica file visualizzato immettere le informazioni seguenti:
- Motivo del download del file: immettere testo descrittivo.
- Creare la password e confermare la password: immettere una password necessaria per aprire il file del messaggio scaricato.
Al termine del riquadro a comparsa Scarica file , selezionare Scarica.
Quando il download è pronto, viene visualizzata una finestra di dialogo Salva con nome per visualizzare o modificare il nome file e il percorso scaricati. Per impostazione predefinita, il file del messaggio .eml viene salvato in un file compresso denominato Quarantined Messages.zip nella cartella Download . Se il file .zip esiste già, viene aggiunto un numero al nome del file ,ad esempio Messaggi in quarantena(1).zip).
Accettare o modificare i dettagli del file scaricato e quindi selezionare Salva.
Nel riquadro a comparsa Scarica file selezionare Fine.
Azioni per i messaggi di posta elettronica in quarantena in Defender per Office 365
Nelle organizzazioni con Microsoft Defender per Office 365 (licenze di componenti aggiuntivi o incluse in sottoscrizioni come Microsoft 365 E5 o Microsoft 365 Business Premium), le azioni seguenti sono disponibili anche nel riquadro a comparsa dettagli di un messaggio selezionato:
Aprire l'entità di posta elettronica: per altre informazioni, vedere Informazioni sulla pagina dell'entità Email.
Esegui azioni: questa azione avvia la stessa procedura guidata azione disponibile nella pagina dell'entità Email. Per altre informazioni, vedere Azioni nella pagina dell'entità Email.
Eseguire azioni su più messaggi di posta elettronica in quarantena
Quando si selezionano fino a 100 messaggi in quarantena nella scheda Email selezionando le caselle di controllo accanto alla prima colonna, le azioni bulk seguenti sono disponibili nella scheda Email (a seconda dei valori di stato del rilascio dei messaggi selezionati):
Rilasciare la posta elettronica in quarantena
Le uniche opzioni disponibili da selezionare per le azioni in blocco sono Invia una copia di questo messaggio ad altri destinatari dell'organizzazione e Invia il messaggio a Microsoft per migliorare il rilevamento (falso positivo).
Segnalare un messaggio di posta elettronica a Microsoft per la revisione dalla quarantena
Le uniche opzioni disponibili da selezionare per le azioni bulk sono Consenti messaggi di posta elettronica con attributi simili e le relative opzioni Rimuovi consenti voce dopo e Consenti nota voce .
Individuare chi ha eliminato un messaggio in quarantena
Per impostazione predefinita, molti verdetti dei criteri di sicurezza consentono agli utenti di eliminare i messaggi in quarantena (messaggi in cui sono destinatari). Per altre informazioni, vedere la tabella in Gestire i messaggi e i file in quarantena come utente.
Gli amministratori possono eseguire ricerche nel log di controllo per trovare gli eventi per i messaggi eliminati dalla quarantena usando le procedure seguenti:
Nel portale di Defender in https://security.microsoft.compassare a Controllo. In alternativa, per passare direttamente alla pagina Audit, usare https://security.microsoft.com/auditlogsearch.
Consiglio
È anche possibile accedere alla pagina Audit nel Portale di conformità di Microsoft Purview all'indirizzohttps://compliance.microsoft.com/auditlogsearch
Nella pagina Controllo verificare che sia selezionata la scheda Nuova ricerca e quindi configurare le impostazioni seguenti:
- Intervallo di data e ora (UTC)
- Attività - nomi descrittivi: fare clic nella casella, iniziare a digitare "quarantena" nella casella di ricerca visualizzata e quindi selezionare Posta in quarantena eliminata dai risultati.
- Utenti: se si conosce chi ha eliminato il messaggio dalla quarantena, è possibile filtrare ulteriormente i risultati in base all'utente.
Al termine dell'immissione dei criteri di ricerca, selezionare Cerca per generare la ricerca.
Per istruzioni complete per le ricerche nei log di controllo, vedere Controlla nuova ricerca.
Usare il portale di Microsoft Defender per gestire i file in quarantena in Defender per Office 365
Nota
Le procedure per i file in quarantena in questa sezione sono disponibili solo per i sottoscrittori Microsoft Defender per Office 365 (piano 1) o piano 2.
I file messi in quarantena in SharePoint o OneDrive vengono rimossi dalla quarantena dopo 30 giorni, ma i file bloccati rimangono in SharePoint o OneDrive nello stato bloccato.
Nelle organizzazioni con Defender per Office 365, gli amministratori possono gestire i file messi in quarantena da Allegati sicuri per SharePoint, OneDrive e Microsoft Teams. Per abilitare la protezione per questi file, vedere Attivare allegati sicuri per SharePoint, OneDrive e Microsoft Teams.
Visualizzare i file in quarantena
Nel portale di Microsoft Defender in https://security.microsoft.compassare a Email & scheda Revisionedei filedi quarantena> perla>collaborazione>. In alternativa, per passare direttamente alla scheda File nella pagina Quarantena, usare https://security.microsoft.com/quarantine?viewid=Files.
Nella scheda File è possibile ridurre la spaziatura verticale nell'elenco facendo clic su Modifica spaziatura elenco su compatta o normale e quindi selezionando Elenco compatto.
È possibile ordinare le voci facendo clic su un'intestazione di colonna disponibile. Selezionare Personalizza colonne per modificare le colonne visualizzate. I valori predefiniti sono contrassegnati da un asterisco (*):
- Utente*
- Percorso*: il valore è SharePoint o OneDrive.
- Nome file allegato*
- File URL*
- File Size
- Stato della versione*
- Scade*
- Rilevato da
- Modificato in base all'ora
Per filtrare le voci, selezionare Filtro. I filtri seguenti sono disponibili nel riquadro a comparsa Filtri visualizzato:
-
Ora di ricezione:
- Ultime 24 ore
- Ultimi 7 giorni
- Ultimi 14 giorni
- Ultimi 30 giorni (impostazione predefinita)
- Personalizzato: immettere un’ora di inizio e un’ora di fine (data).
-
Scade:
- Personalizzato (impostazione predefinita): immettere un'ora di inizio e un'ora di fine (data).
- Oggi
- Prossimi 2 giorni
- Prossimi 7 giorni
- Motivo della quarantena: l'unico valore disponibile è Malware.
- Tipo di criterio: l'unico valore disponibile è Sconosciuto.
Al termine del riquadro a comparsa Filtri , selezionare Applica. Per cancellare i filtri, selezionare Cancella filtri.
Utilizzare la casella di ricerca e un valore corrispondente per trovare file specifici in base al nome file. I caratteri jolly non sono supportati.
Dopo aver immesso i criteri di ricerca, premere INVIO per filtrare i risultati.
Dopo aver trovato un file in quarantena specifico, selezionare il file per visualizzarne i dettagli e intervenire su di esso(ad esempio, visualizzare, rilasciare, scaricare o eliminare il file).
Visualizzare i dettagli del file in quarantena
Nel portale di Microsoft Defender in https://security.microsoft.compassare a Email & scheda Revisionedei filedi quarantena> perla>collaborazione>. In alternativa, per passare direttamente alla scheda File nella pagina Quarantena, usare https://security.microsoft.com/quarantine?viewid=Files.
Nella scheda File selezionare il file in quarantena facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo.
Nel riquadro a comparsa dei dettagli visualizzato sono disponibili le informazioni seguenti:
-
Sezione Dettagli file :
- FileName
- URL file: URL che definisce il percorso del file, ad esempio in SharePoint Online.
- Rilevato contenuto dannoso in Data/ora in cui il file è stato messo in quarantena.
- Scade: data in cui il file verrà eliminato dalla quarantena.
- Rilevato da
- Rilasciato?
- Nome malware
- ID documento: identificatore univoco per il documento.
- File Size
- Organizzazione ID univoco dell'organizzazione.
- Data ultima modifica
- Ultima modifica da: l'utente che ha modificato il file per l'ultima volta.
- Secure Hash Algorithm a 256 bit (SHA-256): è possibile usare questo valore hash per identificare il file in altri archivi di reputazione o in altre posizioni nell'ambiente.
Per eseguire un'azione sul file, vedere la sezione successiva.
Consiglio
Per visualizzare i dettagli sugli altri file in quarantena senza uscire dal riquadro a comparsa dei dettagli, usare Elemento precedente e Elemento successivo nella parte superiore del riquadro a comparsa.
Intervenire sui file in quarantena
Nel portale di Microsoft Defender in https://security.microsoft.compassare a Email & scheda Revisionedei filedi quarantena> perla>collaborazione>. In alternativa, per passare direttamente alla scheda File nella pagina Quarantena, usare https://security.microsoft.com/quarantine?viewid=Files.
Nella scheda File selezionare il file in quarantena facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo.
Dopo aver selezionato il file in quarantena, le azioni disponibili nel riquadro a comparsa dei dettagli del file aperto sono descritte nelle sottosezioni seguenti.
Rilasciare i file in quarantena dalla quarantena
Questa azione non è disponibile per i file che sono già stati rilasciati (il valore di stato Rilasciato è Rilasciato).
Se non si rilascia o si elimina il file dalla quarantena, il file viene rimosso dalla quarantena dopo la scadenza del periodo di conservazione della quarantena predefinito (come illustrato nella colonna Scadenza ), ma il file bloccato rimane in SharePoint o OneDrive nello stato bloccato.
Dopo aver selezionato il file, selezionare Rilascia file nel riquadro a comparsa dei dettagli del file che si apre.
Nel riquadro a comparsa Rilascia file e segnalali al riquadro a comparsa Microsoft visualizzato, visualizzare i dettagli del file nella sezione Rilasciare i file seguenti e quindi selezionare Rilascia.
Consiglio
Attualmente, non è possibile segnalare i file in quarantena a Microsoft durante il rilascio.
Nel riquadro a comparsa File sono stati rilasciati che si apre selezionare Fine.
Tornare al riquadro a comparsa dettagli file, selezionare Chiudi.
Nella scheda File viene rilasciato il valore dello stato di rilascio del file.
Scaricare i file in quarantena dalla quarantena
Dopo aver selezionato il file, selezionare Scarica file nel riquadro a comparsa dei dettagli visualizzato.
Nel riquadro a comparsa Scarica file visualizzato immettere le informazioni seguenti:
- Motivo del download del file: immettere testo descrittivo.
- Creare la password e confermare la password: immettere una password necessaria per aprire il file scaricato.
Al termine del riquadro a comparsa Scarica file , selezionare Scarica.
Quando il download è pronto, viene visualizzata una finestra di dialogo Salva con nome per visualizzare o modificare il nome file e il percorso scaricati. Per impostazione predefinita, il file viene salvato in un file compresso denominato Quarantined Messages.zip nella cartella Downloads . Se il file .zip esiste già, viene aggiunto un numero al nome del file ,ad esempio Messaggi in quarantena(1).zip).
Accettare o modificare i dettagli del file scaricato e quindi selezionare Salva.
Nel riquadro a comparsa Scarica file selezionare Fine.
Eliminare i file in quarantena dalla quarantena
Se non si rilascia o si elimina il file dalla quarantena, il file viene rimosso dalla quarantena dopo la scadenza del periodo di conservazione della quarantena predefinito (come illustrato nella colonna Scadenza ), ma il file bloccato rimane in SharePoint o OneDrive nello stato bloccato.
Dopo aver selezionato il file, selezionare Altro>elimina dalla quarantena nel riquadro a comparsa dei dettagli visualizzato.
Selezionare Continua nella finestra di dialogo di avviso visualizzata.
Nella scheda File il file non è più elencato.
Eseguire azioni su più file in quarantena
Quando si selezionano più file in quarantena nella scheda File selezionando le caselle di controllo accanto alla prima colonna (fino a 100 file), viene visualizzato un elenco a discesa Azioni bulk in cui è possibile eseguire le azioni seguenti:
- Rilasciare i file in quarantena dalla quarantena
- Eliminare i file in quarantena dalla quarantena
- Scaricare i file in quarantena dalla quarantena
Usare il portale di Microsoft Defender per gestire i messaggi in quarantena di Microsoft Teams
Consiglio
L'eliminazione automatica a zero ore (ZAP) in Microsoft Teams è attualmente disponibile in anteprima, non è disponibile in tutte le organizzazioni ed è soggetta a modifiche.
La quarantena in Microsoft Teams è disponibile solo nelle organizzazioni con Microsoft Defender per Office 365 Piano 2 (licenze per componenti aggiuntivi o incluse in sottoscrizioni come Microsoft 365 E5).
Quando viene rilevato un messaggio di chat potenzialmente dannoso in Microsoft Teams, l'eliminazione automatica a zero ore (ZAP) rimuove il messaggio e lo mette in quarantena. Gli amministratori possono visualizzare e gestire questi messaggi di Teams in quarantena. Il messaggio viene messo in quarantena per 30 giorni. Dopo di che il messaggio di Teams viene rimosso in modo permanente.
Questa funzionalità è abilitata per impostazione predefinita.
Visualizzare i messaggi di Teams in quarantena
Nel portale di Microsoft Defender in https://security.microsoft.com, passare alla scheda Email & collaborazione>Esaminare> imessaggidi Teams in quarantena>. In alternativa, per passare direttamente alla scheda Messaggi di Teams nella pagina Quarantena, usare https://security.microsoft.com/quarantine?viewid=Teams.
Nella scheda Messaggi di Teams è possibile ridurre la spaziatura verticale nell'elenco facendo clic su Modifica spaziatura elenco su compatta o normale e quindi su Elenco compatto.
È possibile ordinare le voci facendo clic su un'intestazione di colonna disponibile. Selezionare Personalizza colonne per modificare le colonne visualizzate. I valori predefiniti sono contrassegnati da un asterisco (*):
- Testo del messaggio di Teams: contiene l'oggetto per il messaggio di Teams.*
- Ora ricevuta: ora in cui il messaggio è stato ricevuto dal destinatario.*
- Stato della versione: indica se il messaggio è già stato esaminato e rilasciato o deve essere esaminato. *
- Partecipanti: numero totale di utenti che hanno ricevuto il messaggio.*
- Mittente: la persona che ha inviato il messaggio che è stato messo in quarantena.*
- Motivo della quarantena: le opzioni disponibili sono "Phish con attendibilità elevata" e "Malware".*
- Tipo di criterio: i criteri dell'organizzazione responsabili del messaggio in quarantena.*
- Scadenza: indica l'ora dopo la quale il messaggio viene rimosso dalla quarantena. Per impostazione predefinita, questo valore è di 30 giorni.*
- Indirizzo destinatario: Email indirizzo dei destinatari.*
- ID messaggio: include l'ID del messaggio di chat.
Per filtrare le voci, selezionare Filtro. I filtri seguenti sono disponibili nel riquadro a comparsa Filtri visualizzato:
- ID messaggio
- Indirizzo del mittente
- Indirizzo del destinatario:
- Oggetto
-
Ora di ricezione:
- Ultime 24 ore
- Ultimi 7 giorni
- Ultimi 14 giorni
- Ultimi 30 giorni (impostazione predefinita)
- Personalizzato: immettere un’ora di inizio e un’ora di fine (data).
-
Scade:
- Personalizzato (impostazione predefinita): immettere un'ora di inizio e un'ora di fine (data).
- Oggi
- Prossimi 2 giorni
- Prossimi 7 giorni
- Motivo della quarantena: i valori disponibili sono Malware e Phishing con attendibilità elevata.
- Destinatario: selezionare Tutti gli utenti o Solo me.
- Stato revisione: selezionare Richiede revisione e rilasciato.
Al termine del riquadro a comparsa Filtri , selezionare Applica. Per cancellare i filtri, selezionare Cancella filtri.
Usare la casella di ricerca e un valore corrispondente per trovare messaggi di Teams specifici. I caratteri jolly non sono supportati.
Dopo aver trovato uno specifico messaggio di Teams in quarantena, selezionare il messaggio per visualizzarne i dettagli e intervenire su di esso (ad esempio, visualizzare, rilasciare, scaricare o eliminare il messaggio).
Visualizzare i dettagli del messaggio di Teams in quarantena
Nella scheda Messaggi di Teams della pagina Quarantena selezionare il messaggio in quarantena facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo accanto alla prima colonna.
Le informazioni seguenti sul messaggio sono disponibili nella parte superiore del riquadro a comparsa dei dettagli:
- Il titolo del riquadro a comparsa è l'oggetto o i primi 100 caratteri del messaggio di Teams.
- Valore del motivo della quarantena .
- Numero di collegamenti nel messaggio.
- Le azioni disponibili sono descritte nella sezione Eseguire azioni sui messaggi di Teams in quarantena .
Consiglio
Per visualizzare i dettagli su altri messaggi di Teams in quarantena senza uscire dal riquadro a comparsa dei dettagli, usare Elemento precedente e Elemento successivo nella parte superiore del riquadro a comparsa.
La sezione successiva nel riquadro a comparsa dettagli è correlata ai messaggi di Teams in quarantena:
-
Sezione Dettagli quarantena :
- Scade
- Ora ricezione
- Motivo della quarantena
- Stato della versione
- Tipo di criterio: il valore è None.
- Nome criterio: il valore è Criteri di protezione di Teams.
- Criteri di quarantena
Il riquadro a comparsa dei dettagli rimanenti contiene le sezioni Dettagli messaggio, Mittente, Partecipanti, Dettagli canale e URL che fanno parte del pannello dell'entità messaggio di Teams. Per altre informazioni, vedere il pannello dell'entità Teams mMessage in Microsoft Defender per Office 365 Piano 2.
Al termine del riquadro a comparsa dei dettagli, selezionare Chiudi.
Intervenire sui messaggi di Teams in quarantena
Nel portale di Microsoft Defender in https://security.microsoft.com, passare alla scheda Email & collaborazione>Esaminare> imessaggidi Teams in quarantena>. In alternativa, per passare direttamente alla scheda Messaggi di Teams nella pagina Quarantena, usare https://security.microsoft.com/quarantine?viewid=Teams.
Nella scheda Messaggi di Teams selezionare il messaggio in quarantena usando uno dei metodi seguenti:
Selezionare il messaggio dall'elenco selezionando la casella di controllo accanto alla prima colonna. Le azioni disponibili non sono più disattivate.
Selezionare il messaggio dall'elenco facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo. Le azioni disponibili si trovano nel riquadro a comparsa dei dettagli aperto.
Usando entrambi i metodi per selezionare il messaggio, alcune azioni sono disponibili in Altro.
Dopo aver selezionato il messaggio in quarantena, le azioni disponibili sono descritte nelle sottosezioni seguenti.
Rilasciare i messaggi di Teams in quarantena
Questa azione non è disponibile per i messaggi di Teams che sono già stati rilasciati (il valore stato della versione è Rilasciato).
Se non si rilascia o non si rimuove un messaggio, viene automaticamente eliminato dalla quarantena dopo la data visualizzata nella colonna Scadenza .
Dopo aver selezionato il messaggio, usare uno dei metodi seguenti per rilasciarlo:
- Nella scheda Messaggi di Teams selezionare Rilascia.
- Nel riquadro a comparsa dei dettagli del messaggio selezionato selezionare Rilascia.
Nel riquadro a comparsa Rilascia a tutti i partecipanti alla chat che si apre, decidere se selezionare Invia il messaggio a Microsoft per migliorare il rilevamento (falso positivo) e quindi selezionare Rilascia.
Eliminare i messaggi di Teams dalla quarantena
Se non si rilascia o non si rimuove un messaggio di Teams, viene eliminato automaticamente dalla quarantena dopo la data visualizzata nella colonna Scadenza .
Dopo aver selezionato il messaggio di Teams, usare uno dei metodi seguenti per rimuoverlo:
- Nella scheda Messaggi di Teams selezionare Elimina messaggi.
- Nel riquadro a comparsa dei dettagli del messaggio selezionato: Selezionare Altre opzioni>Elimina dalla quarantena.
Nella finestra di dialogo di avviso visualizzata leggere le informazioni e quindi selezionare Continua.
Nella scheda Messaggi di Teams il messaggio non è più elencato.
Anteprima dei messaggi di Teams dalla quarantena
Dopo aver selezionato il messaggio di Teams, usare uno dei metodi seguenti per visualizzarlo in anteprima:
- Nella scheda Messaggi di Teams selezionare Messaggio di anteprima.
- Nel riquadro a comparsa dei dettagli del messaggio selezionato selezionare Messaggio di anteprima.
Nel riquadro a comparsa visualizzato scegliere una delle schede seguenti:
- Origine: mostra la versione HTML del corpo del messaggio con tutti i collegamenti disabilitati.
- Testo normale: Mostra il corpo del messaggio in testo normale.
Segnalare i messaggi di Teams a Microsoft per la revisione dalla quarantena
Dopo aver selezionato il messaggio, usare uno dei metodi seguenti per segnalare il messaggio a Microsoft per l'analisi:
- Nella scheda Messaggi di Teams selezionare Altro>invio per la revisione.
- Nel riquadro a comparsa dei dettagli del messaggio selezionato: selezionare Altre opzioni>Invia per la revisione.
Quando si seleziona Invia messaggio, il messaggio viene inviato a Microsoft per l'analisi. Viene visualizzata una finestra di dialogo Elemento inviato in cui si seleziona OK.
Scaricare i messaggi di Teams dalla quarantena
Dopo aver selezionato il messaggio di Teams, usare uno dei metodi seguenti per scaricarlo:
- Nella scheda Messaggi di Teams selezionare Altri>messaggi di download.
- Nel riquadro a comparsa dei dettagli del messaggio selezionato: Selezionare Altre opzioni>Scarica messaggio.
Nel riquadro a comparsa Scarica messaggi visualizzato immettere le informazioni seguenti:
- Motivo del download del file: immettere testo descrittivo.
- Creare la password e confermare la password: immettere una password necessaria per aprire il file del messaggio scaricato.
Al termine del riquadro a comparsa Scarica file , selezionare Scarica.
Per impostazione predefinita, il file del messaggio .html viene salvato in un file compresso denominato Quarantined Messages.zip nella cartella Download . Se il file .zip esiste già, viene aggiunto un numero al nome del file ,ad esempio Messaggi in quarantena(1).zip).
Nel riquadro a comparsa Scarica messaggi selezionare Fine.
Eseguire azioni su più messaggi di Teams in quarantena
Quando si selezionano più messaggi in quarantena nella scheda Messaggi di Teams selezionando le caselle di controllo accanto alla prima colonna, nella scheda Messaggi di Teams sono disponibili le azioni bulk seguenti:
- Rilasciare i messaggi di Teams in quarantena
- Eliminare i messaggi di Teams dalla quarantena
- Segnalare i messaggi di Teams a Microsoft per la revisione dalla quarantena
- Scaricare i messaggi di Teams dalla quarantena
Approvare o negare le richieste di rilascio da parte degli utenti per i messaggi di Teams in quarantena
Quando un utente richiede il rilascio di un messaggio di Teams in quarantena, il valore dello stato della versione diventa Release richiesto e un amministratore può approvare o negare la richiesta.
Per altre informazioni, vedere Approvare o negare le richieste di rilascio da parte degli utenti.
Usare Exchange Online PowerShell o PowerShell EOP autonomo per gestire i messaggi in quarantena
I cmdlet usati per visualizzare e gestire messaggi e file in quarantena sono descritti in questa sezione.
- Delete-QuarantineMessage
- Export-QuarantineMessage
- Get-QuarantineMessage
- Preview-QuarantineMessage: questo cmdlet è solo per i messaggi, non per i file in quarantena.
- Release-QuarantineMessage