以系統管理員身分管理被隔離的郵件與檔案
提示
您知道您可以免費試用 適用於 Office 365 的 Microsoft Defender 方案 2 中的功能嗎? 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 瞭解誰可以在 Try 適用於 Office 365 的 Microsoft Defender 上註冊和試用條款。
在Microsoft 365 個組織中,具有 Exchange Online 或 Microsoft Teams 中的信箱,或在不 Exchange Online 信箱或 Teams 的獨立 Exchange Online Protection (EOP) 組織中,隔離會保存 EOP 偵測到的潛在危險或垃圾郵件,適用於 Office 365 的 Defender。
系統管理員可以檢視、釋放及刪除所有使用者所有類型的隔離郵件和檔案。
具有 適用於 Office 365 的 Microsoft Defender 的組織管理員也可以管理由 SharePoint、OneDrive 和 Microsoft Teams 安全附件隔離的檔案,以及Microsoft由零時差自動清除 (ZAP) 隔離的 Teams 訊息。
用戶可以根據支援之電子郵件保護功能的隔離原則來管理大部分隔離的電子郵件訊息。 如需隔離原則的詳細資訊, 請參閱隔離原則的結構。
系統管理員和使用者 (視組織 使用者回報的設定 而定,) 可以回報誤判,以從隔離Microsoft。
您可以在 Microsoft Defender 入口網站或 PowerShell (Exchange Online PowerShell 中檢視和管理已隔離的郵件,Microsoft 365 組織使用 Exchange Online 信箱;獨立 EOP PowerShell 適用於沒有 Exchange Online 信箱) 的組織。
觀看這段短片,瞭解如何以系統管理員身分管理隔離的郵件。
提示
如需本文的附屬內容,請參閱我們的 適用於 Office 365 的 Microsoft Defender 設定指南,以檢閱最佳做法並防範電子郵件、連結和共同作業威脅。 功能包括安全連結、安全附件等等。 如需以您的環境為基礎的自定義體驗,您可以在 Microsoft 365 系統管理中心 中存取 適用於 Office 365 的 Microsoft Defender 自動化設定指南。
開始之前有哪些須知?
若要開啟 Microsoft Defender 入口網站,請移至 https://security.microsoft.com。 若要直接移至 [隔離] 頁面,請使用 https://security.microsoft.com/quarantine。
若要連線至 Exchange Online PowerShell,請參閱連線至 Exchange Online PowerShell。 若要連接至獨立版 EOP PowerShell,請參閱連線到 Exchange Online Protection PowerShell。
您必須獲得指派許可權,才能執行本文中的程式。 您有下列選項:
-
Microsoft Defender 全面偵測回應 整合角色型訪問控制 (RBAC) ( 如果 Email & 共同作業>適用於 Office 365 的 Defender 許可權為作用中。只會影響 Defender 入口網站,而不會影響 PowerShell) :
- 對所有使用者的隔離郵件採取動作:安全性作業/安全性數據/Email & 共同作業隔離 (管理) 。
- 所有使用者的隔離郵件唯讀存取權: 安全性作業/安全性數據/安全性數據 (讀取) 。
-
Email Microsoft Defender 入口網站中 & 共同作業許可權:
-
對所有使用者的隔離郵件採取動作: 隔離系統管理員、安全性 系統管理員或 組織管理 角色群組中的成員資格。
- 將郵件從隔離區提交至Microsoft: 安全性系統管理員 角色群組中的成員資格。
- 使用封鎖發件者將發件者新增至您自己的封鎖寄件人清單:系統管理員只有在依 [僅收件>者我] 而不是預設值 [所有使用者] 篩選隔離結果時,才會看到封鎖寄件者。 指派任何可讓系統管理員存取隔離 (的許可權,例如,安全性讀取者或全域讀取者) 可在使用者依 [僅收件者我] 篩選隔離結果時,存取 [封鎖隔離中的發件者>]。
- 所有使用者的隔離郵件只讀存取權:安全性讀取 者 或 全域讀取者 角色群組中的成員資格。
-
對所有使用者的隔離郵件採取動作: 隔離系統管理員、安全性 系統管理員或 組織管理 角色群組中的成員資格。
-
Microsoft Entra 權限:這些角色的成員資格可為使用者提供Microsoft 365 中其他功能的必要許可權和許可權:
對所有用戶的隔離郵件採取動作: 安全性系統管理員 或全域 管理員* 角色的成員資格。
重要事項
* Microsoft建議您使用許可權最少的角色。 使用較低許可權的帳戶有助於改善組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。
- 將郵件從隔離區提交至Microsoft: 安全性系統管理員 角色的成員資格。
- 使用封鎖發件者將發件者新增至您自己的封鎖寄件人清單:系統管理員只有在依 [僅收件>者我] 而不是預設值 [所有使用者] 篩選隔離結果時,才會看到封鎖寄件者。 指派任何可讓系統管理員存取隔離 (的許可權,例如,安全性讀取者或全域讀取者) 可在使用者依 [僅收件者我] 篩選隔離結果時,存取 [封鎖隔離中的發件者>]。
所有使用者的隔離郵件只讀存取權: 全域讀取者 或 安全性讀取者 角色中的成員資格。
提示
使用 Exchange Online 許可權管理隔離郵件的能力已於 2023 年 2 月終止,每個MC447339。
其他組織的來賓系統管理員無法管理隔離的郵件。 系統管理員必須與收件者位於相同的組織中。
-
Microsoft Defender 全面偵測回應 整合角色型訪問控制 (RBAC) ( 如果 Email & 共同作業>適用於 Office 365 的 Defender 許可權為作用中。只會影響 Defender 入口網站,而不會影響 PowerShell) :
隔離的郵件和檔案會根據被隔離的原因保留一段默認時間。 保留期間到期之後,訊息會自動刪除且無法復原。 如需詳細資訊,請參閱 隔離保留。
如需使用者允許和區塊以及組織允許和封鎖之優先順序的相關信息,請參閱 使用者和租用戶設定衝突。
系統管理員或使用者對隔離郵件採取的所有動作都會受到稽核。 如需稽核隔離事件的詳細資訊,請參閱 Office 365 管理 API 中的隔離架構。
使用 Microsoft Defender 入口網站來管理隔離的電子郵件訊息
檢視隔離的電子郵件
在 Microsoft Defender 入口網站https://security.microsoft.com中,移至 Email & 共同作業>檢閱>隔離>Email 索引卷標。或者,若要直接移至 [隔離] 頁面上的 [Email] 索引標籤,請使用 https://security.microsoft.com/quarantine?viewid=Email。
根據預設,只會顯示前 100 個專案,直到您向下捲動到清單底部,這會載入更多結果。
在 [Email] 索引標籤上,您可以按兩下 [將列表間距變更為精簡或正常],然後選取 [壓縮清單],以減少清單中的垂直間距。
您可以按下可用的數據列標頭來排序專案。 選 取 [自定義資料行] 以變更顯示的數據行。 預設值會標上星號 (*):
收到時間*
主題*
寄件者*
隔離原因* (在 Filter description.) 中查看可能的值
發行狀態* (在 Filter description.) 中查看可能的值
原則類型* (在 Filter description.) 中查看可能的值
到期*
收件者:收件者電子郵件位址一律會解析為主要電子郵件位址,即使郵件已傳送至 Proxy 位址也一般。
寄件者位址覆寫原因*:下列其中一個值:
- 無
- 收件者設定會封鎖郵件發件者
- 系統管理員設定會封鎖訊息發件者
提示
如果已封鎖發件者,且 未顯示已封鎖的寄件者 已選取 (預設) ,則來自這些寄件人的郵件會顯示在 [ 隔離 ] 頁面上,並在寄 件者位址覆寫原因 值為 [無] 時包含在隔離通知中。 之所以會發生此行為,是因為訊息因為寄件者位址覆寫以外的原因而遭到封鎖。
發行者*
郵件識別碼
原則名稱
郵件大小
郵件方向
收件者標籤
若要篩選專案,請選取 [ 篩選]。 下列篩選條件可在開啟 的 [篩選] 飛出視窗中使用:
郵件識別碼:郵件的全域唯一識別碼。
例如,您使用 訊息追蹤 來尋找訊息,並判斷郵件已隔離而非傳遞。 請務必包含完整的訊息標識碼值,其中可能包含角括弧 (<>) 。 例如:
<79239079-d95a-483a-aacf-e954f592a0f6@XYZPR00BM0200.contoso.com>
。寄件者位址
收件者地址
主旨
收到的時間:選取下列其中一個值:
- 過去24小時
- 過去 7 天 (預設)
- 過去14天
- 最近 30 天
- 自訂:輸入 開始時間 和 結束時間 (日期)。
到期:篩選郵件從隔離區過期的時間。 選取下列其中一個值:
- 今天
- 未來 2 天
- 未來 7 天
- 自訂:輸入 開始時間 和 結束時間 (日期)。
收件者標籤:目前唯一可選取的 使用者標籤 是優先順序帳戶。
隔離原因:選取下列一或多個值:
收件者:選取下列其中一個值:
封鎖的寄件者:下列其中一個值:
- 請勿在預設 (顯示封鎖的寄件者)
- 顯示所有寄件者
提示
如果已封鎖發件者,且 未顯示已封鎖的寄件者 已選取,則來自這些寄件者的郵件會顯示在 [ 隔離 ] 頁面上,並且會在發 件者位址覆寫原因 值為 [無] 時包含在隔離通知中。 之所以會發生此行為,是因為訊息因為寄件者位址覆寫以外的原因而遭到封鎖。
發行狀態:選取下列一或多個值
- 需要檢閱
- 已核准
- 已拒絕
- 已要求釋出
- 已釋出
原則類型:依據隔離郵件的保護原則類型來篩選訊息。 選取下列一或多個值:
- 反惡意程式碼原則
- 安全附件原則
- 防網路釣魚原則
- 反垃圾郵件原則
- 傳輸規則 (郵件流程規則)
- 數據外泄防護規則
原則 類型 和 隔離原因 值相互關聯。 例如, 大量 一律與 反垃圾郵件原則相關聯,永遠不會與 反惡意代碼原則相關聯。
當您在 [ 篩選 ] 飛出視窗上完成時,請選取 [ 套用]。 若要清除篩選,請選取 [清除篩選]。
提示
會快取篩選。 下次開啟 [隔離] 頁面時,預設會選取最後一個會話中的 篩選 條件。 此行為有助於分級作業。
使用 [ 搜尋] 方 塊和對應的值來尋找特定訊息。 不支援萬用字元。 您可以依下列值進行搜尋:
- 寄件者電子郵件地址
- 主旨。 使用郵件的完整主旨。 搜尋不區分大小寫。
輸入搜尋準則之後,請按 Enter 來篩選結果。
注意事項
[搜尋] 方塊會在目前檢視 (中搜尋隔離的專案,) 限制為 100 個專案,而不是所有隔離的專案。 若要搜尋所有隔離的專案,請使用 [篩選 ] 和產生的 [篩選] 飛出視窗。
在您找到特定的隔離郵件之後,請選取訊息以檢視其詳細數據,並對其採取動作 (例如檢視、發行、下載或刪除訊息) 。
檢視隔離的電子郵件詳細數據
在 Microsoft Defender 入口網站https://security.microsoft.com中,移至 Email & 共同作業>檢閱>隔離>Email 索引卷標。或者,若要直接移至 [隔離] 頁面上的 [Email] 索引標籤,請使用 https://security.microsoft.com/quarantine?viewid=Email。
在 [Email] 索引標籤上,按兩下複選框以外的數據列中的任何位置,選取隔離的郵件。
在開啟的詳細數據飛出視窗中,提供下列資訊:
-
隔離詳細資料 區段:
收到日期:收到郵件的日期/時間。
到期:訊息自動從隔離區中永久刪除的日期/時間。
主旨
隔離原因:顯示郵件是否已識別為垃圾郵件、大量網路釣魚、符合郵件流程規則 (傳輸規則) ,或已識別為包含惡意代碼。
原則類型
原則名稱
收件者計數
收件者:如果郵件包含許多收件者,您可以使用 預覽郵件 或 檢視郵件標頭 來查看收件者的完整清單。
收件者電子郵件位址一律會解析為主要電子郵件位址,即使郵件已傳送至 Proxy 位址也一般。
尚未發行至、 發行至 和/或 發行者:根據訊息的狀態,可能會有下列一或多個值可用:
- 尚未發行至:Email 郵件尚未釋出的收件者位址。
- 發行物件:Email 已釋放郵件之收件者的位址。
-
發行者:使用下列格式發行訊息的系統管理員:
<email address of admin who released the message> released for <recipient>
。 例如,admin@contoso.onmicrosoft.com released to laura@contoso.onmicrosoft.com
。 如果終端使用者釋放訊息,則會顯示終端使用者的SMTP位址。 如果發行是由系統執行,則會顯示「系統已發行」。 如果發行不是由系統管理員、使用者或系統所攜帶,則預設為「管理員」。
其餘的詳細數據飛出視窗包含屬於 Email 摘要面板的 [傳遞詳細數據]、Email 詳細數據、URL 和 [附件] 區段。 如需詳細資訊,請參閱 Email 摘要面板。
若要對郵件採取動作,請參閱下一節。
提示
若要查看其他隔離郵件的詳細數據而不離開詳細數據飛出視窗,請使用飛出視窗頂端的 [上一個專案] 和 [下一個專案]。
對隔離的電子郵件採取動作
在 Microsoft Defender 入口網站https://security.microsoft.com中,移至 Email & 共同作業>檢閱>隔離>Email 索引卷標。或者,若要直接移至 [隔離] 頁面上的 [Email] 索引標籤,請使用 https://security.microsoft.com/quarantine?viewid=Email。
在 [Email] 索引標籤上,使用下列其中一種方法選取隔離的電子郵件訊息:
使用任一方法來選取訊息,在 [更多] 或 [更多] 選項下可以使用許多動作。
選取隔離的郵件之後,下列小節會說明可用的動作。
提示
在行動裝置上,動作體驗稍有不同:
釋放隔離的電子郵件
此動作不適用於已發行的電子郵件訊息, ([發行狀態 ] 值為 [ 已發行]) 。
如果您未釋放或移除訊息,該訊息會在 [ 到期 ] 資料行中顯示的日期之後自動從隔離中刪除。
- 您無法多次將訊息釋出給相同的收件者。
- 當您選取個別原始收件者來接收已發行的郵件時,您只能選取尚未收到已發行郵件的收件者。
- 安全性系統管理員角色群組的成員可以看到並使用 [將訊息提交至Microsoft來改善偵測] 和 [允許具有類似屬性的電子郵件] 選項。
- 用戶可以根據使用者報告設定中 [從隔離報告] 設定的值,回報誤判以從隔離Microsoft。
提示
第三方防病毒軟體解決方案、安全性服務和 輸出連接器 可能會對從隔離區釋放的訊息造成下列問題:
- 訊息在釋放之後會遭到隔離。
- 內容會在到達收件者的收件匣之前,從已發行的郵件中移除。
- 已發行的郵件永遠不會送達收件者的收件匣。
- 系統可能會隨機選取 隔離通知 中的動作。
在開啟有關這些問題的支援票證之前,請先確認您未使用第三方篩選。
收件匣規則 (由 Outlook 中的使用者或系統管理員使用 Exchange Online PowerShell 中的 *-InboxRule Cmdlet 建立,) 可以從 [收件匣] 移動或刪除訊息。
系統管理員可以使用 訊息追蹤 來判斷已發行的郵件是否已傳遞至收件者的收件匣。
從其他 適用於 Office 365 的 Defender 功能中選取 [移動或刪除>隔離郵件的收件匣] (例如,總管 (威脅總管) 或 Email 實體頁面) 也可讓您從隔離釋放訊息。 如需詳細資訊,請參閱 威脅搜捕:採取動作精靈。
選取訊息之後,請使用下列其中一種方法來釋放訊息:
- 在 [Email] 索引標籤上:選取 [發行]。
- 在所選郵的詳細資料飛出視窗中:選取 [發行電子郵件]。
在開啟的 [ 將電子郵件釋出至收件者收件匣 ] 飛出視窗中,設定下列選項:
選取下列其中一個值:
- 發行給所有收件者
- 釋放至電子郵件的一或多個原始收件者:在出現的 [收件者] 方塊中輸入收 件者 。
將此訊息的複本傳送給另一個收件者:如果您選取此選項,請按兩下出現的 [收件者] 方塊來選取一或多個收 件者 。
將訊息提交至Microsoft以改善偵測:如果您選取此選項,系統會將錯誤隔離的訊息回報給Microsoft為誤判。 根據其分析結果,可能會調整整個服務的垃圾郵件篩選規則,以允許訊息通過。
選取此選項會顯示下列選項:
-
允許此訊息:如果您選取此選項,允許專案會新增至寄件人和郵件中任何相關 URL 或附件的租使用者 允許/封鎖清單 。 下列選項也會出現:
- 拿掉之後的項目:預設值是 上次使用日期后的 45 天,但您也可以選取 1 天、 7 天、 30 天或小於 30 天的 特定日期 。
- 允許輸入附註:輸入包含其他資訊的選擇性附註。
-
允許此訊息:如果您選取此選項,允許專案會新增至寄件人和郵件中任何相關 URL 或附件的租使用者 允許/封鎖清單 。 下列選項也會出現:
當您完成 [將電子郵件寄 給收件者收件匣 ] 飛出視窗時,請選取 [ 發行訊息]。
回到 [Email] 索引標籤,訊息的 [發行狀態] 值為 [已發行]。
核准或拒絕來自用戶的隔離電子郵件發行要求
如果隔離原則使用 [ 允許收件者要求郵件從隔離區釋 出 (許可權) PermissionToRequestRelease
,而不是 允許收件者在 郵件遭到隔離時從隔離 (PermissionToRelease
許可權) 釋出郵件,則使用者可以要求釋放電子郵件訊息。 如需詳細資訊,請參閱在 Microsoft Defender 入口網站中建立隔離原則。
當收件者要求釋放電子郵件訊息之後,[ 發行狀態 ] 值會變更為 [要求的發行],而系統管理員可以核准或拒絕要求。
提示
可能會針對該訊息的多個發行要求建立一個要釋放訊息的警示。 使用警示訊息 [詳細數據] 區段中的隔離連結,對組織中用戶過去 7 天的發行要求採取動作。
如果您未釋放或移除訊息,該訊息會在 [ 到期 ] 資料行中顯示的日期之後自動從隔離中刪除。
選取訊息之後,請使用下列其中一種方法來核准或拒絕發行要求:
- 在 [Email] 索引標籤上:選取 [核准發行] 或 [拒絕]。
- 在所選郵件的詳細數據飛出視窗中:選取 [更多],然後選取 [核准發行] 或 [拒絕發行]。
如果您選取 [ 核准發行],[ 核准] 發行 飛出視窗隨即開啟,您可以在其中檢閱訊息的相關信息。 若要核准要求,請選取 [ 核准發行]。 [發行核准的飛出視窗] 隨即開啟,您可以在其中選取連結以深入瞭解如何發行訊息。 在 [發行核准的飛出視窗] 上完成時,選取 [完成]。 回到 [Email] 索引標籤,訊息的 [發行狀態] 值會變更為 [已核准]。
如果您選取 [拒絕],[ 拒絕] 發行 飛出視窗隨即開啟,您可以在其中檢閱訊息的相關信息。 若要拒絕要求,請選取 [拒絕發行]。 [ 拒絕發行 ] 飛出視窗隨即開啟,您可以在其中選取連結以深入瞭解如何發行訊息。 當您在 [拒絕發行] 飛出視窗上完成時,選取 [完成]。 回到 [Email] 索引標籤,訊息的 [發行狀態] 值會變更為 [拒絕]。
提示
您只能拒絕所有收件者的發行。 您無法拒絕特定收件者的發行。
從隔離區刪除電子郵件
當您從隔離區刪除電子郵件訊息時,郵件會移除,而且不會傳送給原始收件者。
如果您未釋放或移除訊息,該訊息會在 [ 到期 ] 資料行中顯示的日期之後自動從隔離中刪除。
選取訊息之後,請使用下列其中一種方法加以移除:
- 在 [Email] 索引標籤上:選取 [從隔離區刪除]。
- 在所選取的詳細資料飛出視窗中:選取 [更多選項>][從隔離區刪除]。
在開啟的 [ 刪除 (n) 郵件] 飛出視窗中,使用下列其中一種方法來刪除訊息:
- 選取 [ 從隔離區永久刪除郵件 ],然後選取 [ 刪除:郵件已永久刪除且無法復原]。
- 選 取 [僅刪除]:郵件已刪除,但可能可復原。
在 [刪除] (n) 郵件從隔離飛出視窗中選取 [刪除] 之後,您會返回不再列出郵件的 [Email] 索引卷標。
從隔離區預覽電子郵件
選取訊息之後,請使用下列其中一種方法進行預覽:
- 在 [Email] 索引卷標上:選取 [預覽訊息]。
- 在所選訊息的詳細數據飛出視窗中:選取 [更多選項>] [預覽訊息]。
開啟的飛出視窗中,選擇下列其中一個索引標籤:
- 原始碼:顯示已停用所有連結的郵件內文 HTML 版本。
- 純文字:以純文字顯示郵件內文。
檢視電子郵件訊息標頭
選取訊息之後,請使用下列其中一種方法來檢視訊息標頭:
- 在 [Email] 索引標籤上:選取 [更多>檢視] 訊息標頭。
- 在所選郵的詳細資料飛出視窗中:選取 [更多選項>] [檢視訊息標頭]。
在開啟的 [訊息標頭] 飛出視窗中,會顯示訊息標頭 () 的所有標頭字段。
使用 [複製訊息標頭 ] 將訊息標頭複製到剪貼簿。
選 取 [Microsoft訊息標頭分析器 ] 連結,以深入分析標頭字段和值。 將訊息標頭貼到 [ 插入您想要分析的訊息標頭 ] 區段 (CTRL+V,或以滑鼠右鍵按兩下並選擇 [貼上) ],然後選取 [ 分析標頭]。
將電子郵件回報給Microsoft,以從隔離區檢閱
選取訊息之後,請使用下列其中一種方法將訊息報告至Microsoft進行分析:
- 在 [Email] 索引標籤上:選取 [更多>提交] 以供檢閱。
- 在所選郵件的詳細數據飛出視窗中:選取 [更多選項>][提交以供檢閱]。
在開啟的 [ 提交至Microsoft分析 ] 飛出視窗中,設定下列選項:
新增網路訊息識別碼或上傳電子郵件檔案:選取下列其中一個選項:
- 新增電子郵件網路訊息識別碼:預設會選取此值,並在方塊中具有對應的值。
- 將電子郵件檔案上傳 (.msg 或 eml) :選取此選項之後,選取出現的 [瀏覽檔案] 按鈕,然後選取要提交的.msg或.eml郵件檔案。
選擇有問題的收件者:選取一個 (偏好的郵件) 或更多原始收件者,以分析套用到他們的原則。
選取提交至Microsoft的原因:選擇下列其中一個選項:
我已確認它是全新的 (預設) :如果您確定訊息是乾淨的,請選取此選項,然後選取 [ 下一步]。 然後可以使用下列設定:
- 允許此電子郵件:如果您選取此選項,允許專案會新增至寄件人和郵件中任何相關 URL 或附件的租使用者 允許/封鎖清單 。 下列選項也會出現:
- 拿掉之後的項目:預設值是 上次使用日期后的 45 天,但您也可以選取 1 天、 7 天、 30 天或小於 30 天的 特定日期 。
- 允許輸入附註:輸入包含其他資訊的選擇性附註。
看起來很乾淨:如果您不確定,而且想要從Microsoft做出決策,請選取此選項。
當您在 [ 提交至Microsoft進行分析 ] 飛出視窗上完成時,請選取 [ 提交]。
提示
用戶可以根據使用者報告設定中 [從隔離報告] 設定的值,回報誤判以從隔離Microsoft。
允許電子郵件寄件者不受隔離
提示
只有當系統管理員依 [僅收件>者我] 而不是預設值 [所有使用者] 篩選隔離結果時,系統管理員才能使用 [允許發件者] 動作。
如果寄件者已在收件者 的安全清單集合中,則無法使用 [允許寄件者 ]。
[ 允許寄件者 ] 動作會將所選電子郵件訊息的寄件者新增至登入 者信箱中的安全寄件人清單。 一般而言,如果 隔離原則可供使用者使用,則此動作適用於使用者。 如需使用者允許寄件者的詳細資訊,請參閱將 電子郵件訊息的收件者新增至安全發件者清單。
選擇信件之後,請使用下列其中一種方法,將郵件寄件者新增至 您自己 信箱中的安全寄件者清單:
- 在 [Email] 索引標籤上:選取 [更多>允許發件者]。
- 在所選取的詳細資料飛出視窗中:選取 [更多選項>] [允許寄件者]。
開啟的飛出視窗會指出傳送者已成功新增至安全發件人清單的時機。 選取 [完成]。
禁止電子郵件寄件者遭到隔離
提示
只有當系統管理員依 [僅收件>者我] 而不是預設值 [所有使用者] 篩選隔離結果時,系統管理員才能使用 [封鎖發件者] 動作。
如果寄件者已經在收件者 的安全清單集合中,則無法使用 封鎖發件者 。 您可以改為從使用者封鎖清單中移除寄件者 。
[封鎖寄件者] 動作會將所選電子郵件訊息的寄件者新增至登入者信箱中的 [封鎖的寄件者] 清單。 一般而言,如果 隔離原則可供使用者使用,則此動作適用於使用者。 如需封鎖發件者的使用者詳細資訊,請參閱 封鎖郵件寄件者
選擇信件之後,請使用下列其中一種方法,將郵件寄件者新增至 您自己 信箱中的 [封鎖的寄件者] 清單:
- 在 [Email] 索引標籤上:選取 [更多>封鎖傳送者]。
- 在所選郵的詳細數據飛出視窗中:選取 [更多選項>] [封鎖傳送者]。
在開啟的 [封鎖發件者 ] 飛出視窗中,檢閱發件人的資訊,然後選取 [ 封鎖]。
提示
組織仍然可以從封鎖的寄件者接收郵件。 來自寄件者的郵件會傳遞給使用者垃圾 Email 資料夾,或根據原則優先順序隔離,如使用者允許和封鎖中所述。 若要在傳送時從寄件者刪除郵件,請使用 郵件流程規則 (也稱為傳輸規則) 封鎖郵件。
將寄件者從使用者中移除已封鎖的寄件人清單,從隔離中移除
只有當隔離郵件的發件者已經在收件者的封鎖寄件人清單中時,才能使用 [ 從使用者封鎖移除 寄 件者] 清單。
如果隔離是由 [僅收件者]) 篩選,或是其他使用者的信箱 (如果 [收件>>者所有使用者]) 篩選,則系統管理員可以將寄件者從自己的信箱封鎖發件人清單中移除 (。
選取訊息之後,請使用下列其中一種方法,從使用者的 [封鎖發件者] 清單中移除寄件者:
- 在 [Email] 索引標籤上:從使用者封鎖清單中選取 [更多>移除發件者]。
- 在所選取的詳細資料飛出視窗中:選取 [更多選項>] [從使用者封鎖清單中移除寄件者]。
開啟的飛出視窗會指出成功從收件者的 [封鎖的寄件者] 清單中移除發件者。 選取 [完成]。
從隔離區共用電子郵件
您可以將隔離的電子郵件訊息復本傳送給指定的收件者,包括可能有害的內容。
選取訊息之後,請使用下列其中一種方法,將訊息的複本傳送給其他人:
- 在 [Email] 索引標籤上:選取 [更多>共用電子郵件]。
- 在所選取的詳細資料飛出視窗中:選取 [更多選項] [>共用電子郵件]。
在開啟 的 [與其他使用者共用電子郵件 ] 飛出視窗中,選取一或多個收件者以接收郵件複本。 當您完成時,請選取 [ 共享]。
從隔離區下載電子郵件
選取電子郵件訊息之後,請使用下列其中一種方法來下載:
- 在 [Email] 索引標籤上:選取 [更多>下載訊息]。
- 在所選訊息的詳細資料飛出視窗中:選取 [更多選項>] [下載訊息]。
在開啟的 [下載檔案 ] 飛出視窗中,輸入下列資訊:
- 下載檔案的原因:輸入描述性文字。
- 建立密碼 並 確認密碼:輸入開啟下載之訊息檔案所需的密碼。
當您在 [ 下載檔案 ] 飛出視窗上完成時,請選取 [ 下載]。
下載準備就緒時,會開啟 [ 另存新 檔] 對話框,讓您檢視或變更下載的檔名和位置。 根據預設,.eml訊息檔案會儲存在 Downloads 資料夾中名為 Quarantined Messages.zip 的壓縮檔中。 如果 .zip 檔案已存在,則會將數位附加至檔名 (例如,隔離的郵件 (1) .zip) 。
接受或變更下載的檔案詳細數據,然後選取 [ 儲存]。
回到 [ 下載檔案] 飛出視窗,選取 [ 完成]。
適用於 Office 365 的 Defender 中隔離電子郵件訊息的動作
在具有 適用於 Office 365 的 Microsoft Defender (附加元件授權或包含在 Microsoft 365 E5 或 Microsoft 365 商務進階版) 等訂用帳戶的組織中,下列動作也可在所選郵件的詳細數據飛出視窗中取得:
開啟電子郵件實體:如需詳細資訊,請參閱 Email 實體頁面上的內容。
採取動作:此動作會啟動 Email 實體頁面上可用的相同 [動作精靈]。 如需詳細資訊,請參閱 Email 實體頁面上的動作。
對多個隔離的電子郵件採取動作
當您選取第一個數據行旁邊的複選框,在 [Email] 索引卷標上選取最多 100 個隔離的郵件時,Email 索引標籤 (會根據您選取之訊息的 [發行狀態] 值) :
-
針對大量動作選取的唯一可用選項是將 此郵件的複本傳送給組織中的其他收件者 ,以及將 郵件傳送給Microsoft,以改善偵測 (誤判) 。
-
針對大量動作選取的唯一可用選項是 [允許具有類似屬性的電子郵件 ] 和相關的 [移除后允許專案 ] 和 [ 允許輸入注意事項 ] 選項。
尋找刪除隔離郵件的人員
根據預設,許多安全策略決策可讓使用者刪除其隔離的郵件, (收件者) 的郵件。 如需詳細資訊,請參閱以使用者身分 管理隔離的郵件和檔案中的表格。
系統管理員可以使用下列程式搜尋稽核記錄檔,以尋找已從隔離區中刪除之訊息的事件:
在 Defender 入口網站的 https://security.microsoft.com中,移至 [稽核]。 或者,若要直接前往 [稽核] 頁面,請使用 https://security.microsoft.com/auditlogsearch。
提示
您也可以前往 Microsoft Purview 合規性入口網站 中的 [稽核] 頁面https://compliance.microsoft.com/auditlogsearch
在 [ 稽核 ] 頁面上,確認已選取 [ 新增搜尋] 索 引標籤,然後設定下列設定:
- UTC) (日期和時間範圍
- 活動 - 易記名稱:按兩下方塊,在出現的 [搜尋] 方塊中開始輸入「隔離」,然後從結果中選取 [已刪除的隔離郵件]。
- 使用者:如果您知道誰已從隔離區刪除郵件,您可以依使用者進一步篩選結果。
當您完成輸入搜尋準則時,請選取 [搜尋 ] 以產生搜尋。
如需稽核記錄搜尋的完整指示,請參閱 Audit New Search>。
使用 Microsoft Defender 入口網站來管理 適用於 Office 365 的 Defender 中隔離的檔案
注意事項
本節中隔離檔案的程式僅適用於 適用於 Office 365 的 Microsoft Defender 方案 1 或方案 2 訂閱者。
在 SharePoint 或 OneDrive 中隔離的檔案會在 30 天后從隔離中移除,但封鎖的檔案仍會保留在 SharePoint 或 OneDrive 中處於封鎖狀態。
在具有 適用於 Office 365 的 Defender 的組織中,系統管理員可以管理由 SharePoint、OneDrive 和 Microsoft Teams 安全附件隔離的檔案。 若要啟用這些檔案的保護,請 參閱開啟 SharePoint、OneDrive 和 Microsoft Teams 的安全附件。
檢視隔離的檔案
在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 Email & 共同作業>檢閱>隔離檔案] 索>引標籤。或者,若要直接移至 [隔離] 頁面上的 [檔案] 索引卷標,請使用 https://security.microsoft.com/quarantine?viewid=Files。
在 [檔案] 索引標籤上,您可以按兩下 [將清單間距變更為精簡或正常],然後選取 [壓縮清單],以減少清單中的垂直間距。
您可以按下可用的數據列標頭來排序專案。 選 取 [自定義資料行] 以變更顯示的數據行。 預設值會標上星號 (*):
- 使用者*
- 位置*:此值為 SharePoint 或 OneDrive。
- 附件檔名*
- 檔案 URL*
- 檔案大小
- 釋出狀態*
- 到期*
- 偵測到者
- 依時間修改
若要篩選專案,請選取 [ 篩選]。 下列篩選條件可在開啟 的 [篩選] 飛出視窗中使用:
-
收到的時間:
- 過去24小時
- 過去 7 日
- 過去14天
- 過去 30 天 (預設)
- 自訂:輸入 開始時間 和 結束時間 (日期)。
-
到期日:
- 自訂 (預設) :輸入 開始時間 和 結束時間 (日期) 。
- 今天
- 未來 2 天
- 未來 7 天
- 隔離原因:唯一可用的值是 惡意代碼。
- 原則類型:唯一可用的值為 Unknown。
當您在 [ 篩選 ] 飛出視窗中完成時,請選取 [ 套用]。 若要清除篩選,請選取 [清除篩選]。
使用 [ 搜尋] 方塊和對應的值,依檔名尋找特定檔案。 不支援萬用字元。
輸入搜尋準則之後,請按 Enter 來篩選結果。
找到特定隔離的檔案之後,請選取檔案以檢視其詳細數據,並對其採取動作 (例如檢視、釋放、下載或刪除檔案) 。
檢視隔離的檔案詳細數據
在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 Email & 共同作業>檢閱>隔離檔案] 索>引標籤。或者,若要直接移至 [隔離] 頁面上的 [檔案] 索引卷標,請使用 https://security.microsoft.com/quarantine?viewid=Files。
在 [ 檔案] 索引 標籤上,按兩下複選框以外的數據列中的任何位置,選取隔離的檔案。
在開啟的詳細數據飛出視窗中,提供下列資訊:
-
檔案詳細資料 區段:
- 檔案名稱
- 檔案 URL:定義檔案位置的 URL (例如,在 SharePoint Online) 中。
- 在上偵測到惡意內容 檔案被隔離的日期/時間。
- 到期日:從隔離區中刪除檔案的日期。
- 偵測到者
- 釋放?
- 惡意代碼名稱
- 文件識別碼:檔的唯一標識碼。
- 檔案大小
- 組織 貴組織的唯一標識碼。
- 上次修改日期
- 上次修改者:上次修改檔案的使用者。
- 安全哈希演算法 256 位 (SHA-256) 值:您可以使用此哈希值來識別其他信譽存放區或環境中其他位置中的檔案。
若要對檔案採取動作,請參閱下一節。
提示
若要查看其他隔離檔案的詳細數據而不離開詳細數據飛出視窗,請使用飛出視窗頂端的 [上一個專案] 和 [下一個專案]。
對隔離的檔案採取動作
在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 Email & 共同作業>檢閱>隔離檔案] 索>引標籤。或者,若要直接移至 [隔離] 頁面上的 [檔案] 索引卷標,請使用 https://security.microsoft.com/quarantine?viewid=Files。
在 [ 檔案] 索引 標籤上,按兩下複選框以外的數據列中的任何位置,選取隔離的檔案。
選取隔離的檔案之後,下列小節會說明開啟之檔案詳細數據飛出視窗中的可用動作。
從隔離區釋放隔離的檔案
此動作不適用於已釋放的檔案, ([已發行] 狀態值為 [已發行]) 。
如果您未從隔離區釋出或刪除檔案,則在預設隔離保留期限到期之後,檔案會從隔離中移除, (如 [ 到期 ] 資料行) 所示,但封鎖的檔案仍會保持在 SharePoint 或 OneDrive 的封鎖狀態。
選取檔案之後,請在開啟的檔案詳細數據飛出視窗中選取 [釋放檔案]。
在 [ 釋放檔案] 中,將檔案回報給開啟的Microsoft 飛出視窗,檢視 [ 釋放下列檔案 ] 區段中的檔案詳細數據,然後選取 [ 發行]。
提示
目前,您無法在釋出隔離的檔案時向Microsoft報告。
在開啟的 [檔案已發行 ] 飛出視窗中,選取 [ 完成]。
回到檔案詳細數據飛出窗口,選取 [ 關閉]。
回到 [ 檔案] 索引 標籤,檔案的 [ 發行狀態 ] 值為 [ 已發行]。
從隔離區下載隔離的檔案
選取檔案之後,請在開啟的詳細數據飛出視窗中選取 [下載檔案]。
在開啟的 [下載檔案 ] 飛出視窗中,輸入下列資訊:
- 下載檔案的原因:輸入描述性文字。
- 建立密碼 並 確認密碼:輸入開啟下載檔所需的密碼。
當您在 [ 下載檔案 ] 飛出視窗上完成時,請選取 [ 下載]。
下載準備就緒時,會開啟 [ 另存新 檔] 對話框,讓您檢視或變更下載的檔名和位置。 根據預設,檔案會儲存在 Downloads 資料夾中名為 Quarantined Messages.zip 的壓縮檔中。 如果 .zip 檔案已存在,則會將數位附加至檔名 (例如,隔離的郵件 (1) .zip) 。
接受或變更下載的檔案詳細數據,然後選取 [ 儲存]。
回到 [ 下載檔案] 飛出視窗,選取 [ 完成]。
從隔離區刪除隔離的檔案
如果您未從隔離區釋出或刪除檔案,則在預設隔離保留期限到期之後,檔案會從隔離中移除, (如 [ 到期 ] 資料行) 所示,但封鎖的檔案仍會保持在 SharePoint 或 OneDrive 的封鎖狀態。
選取檔案之後,請在開啟的詳細數據飛出視窗中選取 [從隔離區刪除更多>]。
在開啟的警告對話框中,選取 [ 繼續 ]。
回到 [ 檔案] 索引 標籤,檔案已不再列出。
對多個隔離的檔案採取動作
當您選取 [ 檔案 ] 索引卷標上的多個隔離檔案,方法是選取 (最多 100 個檔案) 第一個數據行旁邊的複選框時,會出現 [大量動作 ] 下拉式清單,您可以在其中採取下列動作:
使用 Microsoft Defender 入口網站來管理Microsoft Teams 隔離的郵件
提示
Microsoft Teams 中 (ZAP) 的零時段自動清除 目前為預覽狀態,並非所有組織都可使用,而且可能會變更。
Microsoft Teams 中的隔離僅適用於 適用於 Office 365 的 Microsoft Defender 方案 2 (附加元件授權或包含在 Microsoft 365 E5) 等訂用帳戶中的組織。
在 Microsoft Teams 中偵測到潛在的惡意聊天訊息時,會在零時 (自動清除 ZAP) 移除訊息並加以隔離。 系統管理員可以檢視和管理這些隔離的Teams訊息。 郵件會隔離30天。 之後,Teams 訊息會永久移除。
默認會啟用此功能。
檢視隔離的Teams訊息
在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 Email & 共同作業>檢閱>隔離>Teams 訊息] 索引標籤。或者,若要直接移至 [隔離] 頁面上的 [Teams 訊息] 索引標籤,請使用 https://security.microsoft.com/quarantine?viewid=Teams。
在 [Teams 訊息] 索引標籤上,您可以按兩下 [將清單間距變更為精簡或正常],然後選取 [壓縮清單],以減少清單中的垂直間距。
您可以按下可用的數據列標頭來排序專案。 選 取 [自定義資料行] 以變更顯示的數據行。 預設值會標上星號 (*):
- Teams 消息正文:包含 Teams 訊息的主旨。*
- 接收時間:收件者收到郵件的時間。*
- 發行狀態:顯示訊息是否已檢閱並發行,或需要檢閱。 *
- 參與者:收到訊息的用戶總數。*
- 寄件者:傳送已隔離郵件的人員。*
- 隔離原因:可用的選項為「高信賴度網路釣魚」和「惡意代碼」。*
- 原則類型:負責隔離郵件的組織原則。*
- 到期:指出訊息從隔離中移除的時間。 根據預設,此值為 30 天。*
- 收件者地址:Email 收件者的位址。*
- 訊息標識碼:包含聊天訊息識別碼。
若要篩選專案,請選取 [ 篩選]。 下列篩選條件可在開啟 的 [篩選] 飛出視窗中使用:
- 郵件識別碼
- 寄件者位址
- 收件者地址
- 主旨
-
收到的時間:
- 過去24小時
- 過去 7 日
- 過去14天
- 過去 30 天 (預設)
- 自訂:輸入 開始時間 和 結束時間 (日期)。
-
到期日:
- 自訂 (預設) :輸入 開始時間 和 結束時間 (日期) 。
- 今天
- 未來 2 天
- 未來 7 天
- 隔離原因:可用的值為 惡意代碼 和 高信賴度網路釣魚。
- 收件者:選取 [所有使用者] 或 [僅限我]。
- 檢閱狀態:選取 [需要檢閱 並 發行]。
當您在 [ 篩選 ] 飛出視窗中完成時,請選取 [ 套用]。 若要清除篩選,請選取 [清除篩選]。
使用 [ 搜尋] 方 塊和對應的值來尋找特定的 Teams 訊息。 不支援萬用字元。
在您找到特定隔離的 Teams 訊息之後,請選取訊息以檢視其詳細數據,並對其採取動作 (例如檢視、發行、下載或刪除訊息) 。
檢視隔離的 Teams 訊息詳細數據
在 [隔離] 頁面的 [Teams 訊息] 索引標籤上,按兩下第一個數據行旁邊複選框以外的數據列中的任何位置,選取隔離的郵件。
下列訊息資訊位於詳細資料飛出視窗的頂端:
- 飛出視窗的標題是 Teams 訊息的主旨或前 100 個字元。
- 隔離原因值。
- 訊息中的連結數目。
- 這些可用的動作會在針對 隔離的 Teams 訊息採取動作 一節中說明。
提示
若要查看其他已隔離 Teams 訊息的詳細數據,而不需離開詳細數據飛出視窗,請使用飛出視窗頂端的 [上一個專案] 和 [下一個專案]。
詳細資料飛出視窗中的下一節與隔離的 Teams 訊息相關:
-
隔離詳細資料 區段:
- 到期
- 收到時間
- 隔離原因
- 釋出狀態
- 原則類型:此值為 None。
- 原則名稱:此值為 Teams保護原則。
- 隔離原則
其餘的詳細數據飛出視窗包含屬於 Teams 訊息實體面板的 [訊息詳細數據]、[寄件者]、[參與者]、[頻道詳細數據] 和 [URL] 區段。 如需詳細資訊,請參閱方案 2 中 適用於 Office 365 的 Microsoft Defender Teams mMessage 實體面板。
當您在詳細資料飛出視窗中完成時,請選取 [ 關閉]。
對隔離的Teams訊息採取動作
在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 Email & 共同作業>檢閱>隔離>Teams 訊息] 索引標籤。或者,若要直接移至 [隔離] 頁面上的 [Teams 訊息] 索引標籤,請使用 https://security.microsoft.com/quarantine?viewid=Teams。
在 [ Teams 訊息] 索引標籤 上,使用下列其中一種方法來選取隔離的郵件:
使用任一方法來選取訊息,某些動作可在 [更多] 底下取得。
選取隔離的郵件之後,下列小節會說明可用的動作。
釋放隔離的Teams訊息
此動作不適用於已發行, ([發行狀態] 值為 [已發行]) 的 Teams 訊息。
如果您未釋放或移除訊息,該訊息會在 [ 到期 ] 資料行中顯示的日期之後自動從隔離中刪除。
選取訊息之後,請使用下列其中一種方法來釋放訊息:
- 在 [Teams 訊息] 索引標籤上:選取 [ 發行]。
- 在所選訊息的詳細數據飛出視窗中:選取 [發行]。
在開啟的 [ 發行至所有聊天參與者 ] 飛出視窗中,決定是否要選取 [將 訊息提交至Microsoft],以改善偵測 (誤判) ,然後選取 [ 發行]。
從隔離區刪除Teams訊息
如果您未釋出或移除 Teams 訊息,則會在 [ 到期 ] 欄中顯示的日期之後自動從隔離中刪除。
選取 Teams 訊息之後,請使用下列其中一種方法加以移除:
- 在 [Teams 訊息] 索引標籤上:選取 [ 刪除訊息]。
- 在所選取的詳細資料飛出視窗中:選取 [更多選項>][從隔離區刪除]。
在開啟的警告對話框中,閱讀資訊,然後選取 [ 繼續]。
回到 [Teams 訊息] 索引標籤 ,訊息已不再列出。
從隔離區預覽Teams訊息
選取 Teams 訊息之後,請使用下列其中一種方法進行預覽:
- 在 [Teams 訊息] 索引標籤上:選取 [ 預覽訊息]。
- 在所選訊息的詳細數據飛出視窗中:選取 [預覽訊息]。
開啟的飛出視窗中,選擇下列其中一個索引標籤:
- 原始碼:顯示已停用所有連結的郵件內文 HTML 版本。
- 純文字:以純文字顯示郵件內文。
將 Teams 訊息回報給 Microsoft,以從隔離區檢閱
選取訊息之後,請使用下列其中一種方法將訊息報告至Microsoft進行分析:
- 在 [Teams 訊息] 索引標籤上:選取 [更多>提交] 以供檢閱。
- 在所選郵件的詳細數據飛出視窗中:選取 [更多選項>][提交以供檢閱]。
當您選取 [ 提交訊息] 時,訊息會傳送至Microsoft進行分析。 您會收到 [已提交專案 ] 對話框,您可以在其中選取 [ 確定]。
從隔離區下載 Teams 訊息
選取 Teams 訊息之後,請使用下列其中一種方法來下載:
- 在 [Teams 訊息] 索引標籤上:選取 [更多>下載訊息]。
- 在所選訊息的詳細資料飛出視窗中:選取 [更多選項>] [下載訊息]。
在開啟的 [下載訊息 ] 飛出視窗中,輸入下列資訊:
- 下載檔案的原因:輸入描述性文字。
- 建立密碼 並 確認密碼:輸入開啟下載之訊息檔案所需的密碼。
當您在 [ 下載檔案 ] 飛出視窗上完成時,請選取 [ 下載]。
根據預設,.html 訊息檔案會儲存在 Downloads 資料夾中名為 Quarantined Messages.zip 的壓縮檔中。 如果 .zip 檔案已存在,則會將數位附加至檔名 (例如,隔離的郵件 (1) .zip) 。
回到 [ 下載訊息 ] 飛出視窗,選取 [ 完成]。
對多個隔離的Teams訊息採取動作
當您選取第一個數據行旁邊的複選框,在 [Teams 訊息 ] 索引卷標上選取多個隔離的郵件時, [Teams 訊息 ] 索引卷標上會提供下列大量動作:
核准或拒絕用戶對於隔離 Teams 訊息的發行要求
當使用者要求釋放隔離的 Teams 訊息時,[ 發行狀態 ] 值會變更為 [要求的發行],而系統管理員可以核准或拒絕要求。
如需詳細資訊,請參閱 核准或拒絕用戶的發行要求。
使用 Exchange Online PowerShell 或獨立 EOP PowerShell 來管理隔離的郵件
本節說明您用來檢視和管理隔離區中訊息和檔案的 Cmdlet。
- Delete-QuarantineMessage
- Export-QuarantineMessage
- Get-QuarantineMessage
- Preview-QuarantineMessage:此 Cmdlet 僅適用於郵件,不適用於隔離的檔案。
- Release-QuarantineMessage