Verwalten von isolierten Nachrichten und Dateien als Administrator in EOP

Tipp

Wussten Sie, dass Sie die Features in Microsoft 365 Defender für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender für Office 365-Testversion im Microsoft 365 Defender Portal-Testversionen-Hub. Erfahren Sie hier, wer sich registrieren und testen kann.

Gilt für

In Microsoft 365-Organisationen mit Postfächern in Exchange Online oder in eigenständigen Exchange Online Protection (EOP)-Organisationen ohne Exchange Online-Postfächer, enthält die Quarantäne potenziell gefährliche oder unerwünschte Nachrichten. Weitere Informationen finden Sie unter E-Mail-Nachrichten in Quarantäne in EOP.

Administratoren können alle Arten von isolierten Nachrichten für alle Benutzer anzeigen, freigeben und löschen. Administratoren können auch falsch positive Ergebnisse an Microsoft melden.

Standardmäßig können nur Administratoren Nachrichten verwalten, die als Schadsoftware, Phishing mit hoher Vertrauenswürdigkeit oder als Folge von Nachrichtenflussregeln (auch als Transportregeln bezeichnet) isoliert wurden. Administratoren können jedoch Quarantänerichtlinien verwenden, um zu definieren, was Benutzer für isolierte Nachrichten tun dürfen, basierend auf dem Grund, warum die Nachricht unter Quarantäne gesetzt wurde (für unterstützte Features). Weitere Informationen finden Sie unter Quarantänerichtlinien.

Administratoren in Organisationen mit Microsoft Defender für Office 365 können auch Dateien verwalten, die von Tresor Anlagen für SharePoint, OneDrive und Microsoft Teams isoliert wurden.

Sie können isolierte Nachrichten im Microsoft 365 Defender-Portal oder in PowerShell anzeigen und verwalten (Exchange Online PowerShell für Microsoft 365 Organisationen mit Postfächern in Exchange Online; eigenständige EOP PowerShell für Organisationen ohne Exchange Online Postfächer).

Schauen Sie sich dieses kurze Video an, um zu erfahren, wie Sie isolierte Nachrichten als Administrator verwalten.

Wissenswertes, bevor Sie anfangen

  • Um das Microsoft 365 Defender-Portal zu öffnen, gehen Sie zu https://security.microsoft.com. Um direkt zur Quarantäne-Seite zu gelangen, verwenden Sie https://security.microsoft.com/quarantine.

  • Informationen zum Herstellen einer Verbindung zu Exchange Online PowerShell finden Sie unter Herstellen einer Verbindung zu Exchange Online PowerShell. Informationen zum Herstellen einer Verbindung zu einer eigenständigen EOP-PowerShell finden Sie unter Herstellen einer Verbindung zu Exchange Online Protection-PowerShell.

  • Sie müssen in Exchange Online Berechtigungen erhalten, bevor Sie die in diesem Artikel beschriebenen Schritte ausführen können:

    • Um Maßnahmen für isolierte Nachrichten für alle Benutzer zu ergreifen, müssen Sie Mitglied der Rollengruppen "Organisationsverwaltung", " Sicherheitsadministrator" oder " Quarantäneadministrator"* sein. Um Nachrichten an Microsoft zu senden, müssen Sie Mitglied der Rollengruppe "Sicherheitsadministrator" sein.
    • Für den schreibgeschützten Zugriff auf isolierte Nachrichten für alle Benutzer müssen Sie Mitglied der Rollengruppen "Globaler Leser " oder " Leser für Sicherheit " sein.

    Weitere Informationen finden Sie unter Berechtigungen in Exchange Online.

    Hinweise:

    • Durch Hinzufügen von Benutzern zur entsprechenden Azure Active Directory-Rolle im Microsoft 365 Admin Center erhalten Benutzer die erforderlichen Berechtigungen und Berechtigungen für andere Features in Microsoft 365. Weitere Informationen finden Sie unter Informationen zu Administratorrollen.
    • Die Rollengruppe Organisationsverwaltung mit Leserechten in Exchange Online ermöglicht auch einen schreibgeschützten Zugriff auf das Feature.
    • *Mitglieder der Rollengruppe "Quarantäneadministrator" in "E-Mail & Zusammenarbeitsrollen im Microsoft 365 Defender Portal müssen auch Mitglieder der Rollengruppe "Hygieneverwaltung" in Exchange Online sein, um Quarantäneverfahren in Exchange Online PowerShell durchzuführen.
  • In Quarantäne befindliche Nachrichten werden für einen Standardzeitraum aufbewahrt, je nachdem, warum sie unter Quarantäne gesetzt wurden. Nach Ablauf des Aufbewahrungszeitraums werden die Nachrichten automatisch gelöscht und können nicht wiederhergestellt werden. Weitere Informationen finden Sie unter E-Mail-Nachrichten in Quarantäne in EOP und Defender für Office 365.

Verwenden des Microsoft 365 Defender Portals zum Verwalten von in Quarantäne befindlichen E-Mail-Nachrichten

Anzeigen von in Quarantäne befindlichen E-Mails

  1. Navigieren Sie im Microsoft 365 Defender-Portal unter https://security.microsoft.comzu E-Mail und Zusammenarbeit > Überprüfen > Quarantäne. Um direkt zur Quarantäne-Seite zu gelangen, verwenden Sie https://security.microsoft.com/quarantine.

  2. Überprüfen Sie auf der Seite "Quarantäne ", ob die Registerkarte " E-Mail " ausgewählt ist.

  3. Sie können die Ergebnisse sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken. Klicken Sie auf Spalten anpassen, um die angezeigten Spalten zu ändern. Die Standardwerte sind mit einem Sternchen (*) gekennzeichnet:

    • Empfangszeit*
    • Betreff*
    • Absender*
    • Quarantänegrund*
    • Freigabestatus*
    • Richtlinientyp*
    • Läuft ab*
    • Empfänger
    • Nachrichten-ID
    • Name der Richtlinie
    • Nachrichtengröße
    • E-Mail-Richtung
    • Empfängertag

    Wenn Sie fertig sind, klicken Sie auf Anwenden.

  4. Klicken Sie auf Filtern, um die Ergebnisse zu filtern. Die folgenden Filter sind im angezeigten Flyout Filter verfügbar:

    • Nachrichten-ID: Die globale eindeutige ID der Nachricht.

      Sie haben z. B. die Nachrichtenablaufverfolgung verwendet, um nach einer Nachricht zu suchen, die an einen Benutzer in Ihrer Organisation gesendet wurde, und sie stellen fest, dass die Nachricht unter Quarantäne gestellt statt zugestellt wurde. Achten Sie darauf, den vollständigen Nachrichten-ID-Wert einzuschließen, der möglicherweise spitze Klammern (<>) enthält. Zum Beispiel: <79239079-d95a-483a-aacf-e954f592a0f6@XYZPR00BM0200.contoso.com>.

    • Absenderadresse

    • Empfängeradresse

    • Betreff

    • Empfangszeit: Geben Sie eine Startzeit und Endzeit (Datum) ein.

    • Läuft ab: Filtern Sie Nachrichten nach Ablauf der Quarantäne:

      • Heute
      • Nächste 2 Tage
      • Nächste 7 Tage
      • Benutzerdefiniert: Geben Sie eine Startzeit und Endzeit (Datum) ein.
    • Empfängertag

    • Quarantänegrund:

      • Transportregel (Nachrichtenflussregel)
      • Massensendung
      • Spam
      • Schadsoftware: Antischadsoftwarerichtlinien in EOP oder Tresor Anlagenrichtlinien in Defender für Office 365. Der Richtlinientypwert gibt an, welches Feature verwendet wurde.
      • Phishing: Die Spamfilterbewertung war Phishing- oder Antiphishingschutz, bei dem die Nachricht unter Quarantäne gestellt wurde (Spoofingeinstellungen oder Identitätswechselschutz.
      • Hohe Phishing-Konfidenz
    • Empfänger: Alle Benutzer oder nur ich. Endbenutzer können nur in Quarantäne befindliche Nachrichten verwalten, die an sie gesendet werden.

    • Freigabestatus: Einer der folgenden Werte:

      • Überprüfung erforderlich
      • Genehmigt
      • Abgelehnt
      • Freigabe angefordert
      • Freigegeben
    • Richtlinientyp: Filtern von Nachrichten nach Richtlinientyp:

      • Anti-Schadsoftware-Richtlinie
      • Richtlinie für Sichere Anlagen
      • Antiphishingrichtlinie
      • Antispamrichtlinie
      • Transportregel (Nachrichtenflussregel)

    Wenn Sie fertig sind, klicken Sie auf Anwenden. Um die Filter zu löschen, klicken Sie auf Symbol „Filter löschen“. Filter löschen.

  5. Verwenden Sie das Suchfeld und einen entsprechenden Wert, um bestimmte Nachrichten zu finden. Platzhalter werden nicht unterstützt. Sie können nach den folgenden Werten suchen:

    • E-Mail-Adresse des Absenders
    • Betreff: Verwenden Sie den gesamten Betreff der Nachricht. Bei der Suche wird nicht zwischen Groß- und Kleinschreibung unterschieden.

    Nachdem Sie die Suchkriterien eingegeben haben, drücken Sie die EINGABETASTE, um die Ergebnisse zu filtern.

Nachdem Sie eine bestimmte isolierte Nachricht gefunden haben, wählen Sie die Nachricht aus, um Details dazu anzuzeigen und Maßnahmen zu ergreifen (z. B. die Nachricht anzeigen, freigeben, herunterladen oder löschen).

Anzeigen von Details der isolierten Nachricht

Wenn Sie eine in Quarantäne befindliche Nachricht aus der Liste auswählen, sind die folgenden Informationen im angezeigten Detail-Flyout verfügbar.

Das Detail-Flyout einer in Quarantäne befindlichen Nachricht

  • Nachrichten-ID: Die globale eindeutige ID für die Nachricht. Verfügbar im Nachrichten-ID-Kopfzeilenfeld im Nachrichtenkopf.
  • Absenderadresse
  • Empfangen: Das Datum/die Uhrzeit des Nachrichtenempfangs.
  • Betreff
  • Quarantänegrund: Zeigt an, ob eine Nachricht als Spam, Massensendung, Phishing erkannt, einer Nachrichtenflussregel (Transportregel) entspricht oder als schadsoftware enthaltend identifiziert wurde.
  • Richtlinientyp
  • Name der Richtlinie
  • Empfängeranzahl
  • Empfänger: Wenn die Nachricht mehrere Empfänger enthält, müssen Sie auf Vorschau der Nachricht anzeigen oder Nachrichten Kopfzeile anzeigen klicken, um die gesamte Liste der Empfänger anzuzeigen.
  • Empfängertag: Weitere Informationen finden Sie unter "Benutzertags" in Microsoft Defender für Office 365.
  • Läuft ab. Das Datum/die Uhrzeit, zu der die Nachricht automatisch und dauerhaft aus der Quarantäne gelöscht wird.
  • Freigegeben für: Alle E-Mail-Adressen (sofern vorhanden), für die die Nachricht freigegeben wurde.
  • Noch nicht freigegeben für: Alle E-Mail-Adressen (sofern vorhanden), für die die Nachricht noch nicht freigegeben wurde.

Informationen zu Maßnahmen im Hinblick auf die Nachricht finden Sie im nächsten Abschnitt.

Hinweis

Um im Detail-Flyout zu bleiben, aber die isolierte Nachricht zu ändern, die Sie sich ansehen, verwenden Sie die NACH-OBEN- und NACH-UNTEN-TASTEN am oberen Rand des Flyouts.

Die NACH-OBEN- und NACH-UNTEN-Pfeile im Detail-Flyout einer isolierten Nachricht

Maßnahmen für isolierte E-Mails ergreifen

Wenn Sie eine in Quarantäne befindliche Nachricht aus der Liste auswählen, werden die folgenden Maßnahmen im Detail-Flyout angezeigt:

Die verfügbaren Aktionen im Detail-Flyout einer in Quarantäne befindlichen Nachricht

  • Symbol „E-Mail freigeben“. E-Mail freigeben*: Konfigurieren Sie im angezeigten Flyoutbereich die folgenden Optionen:

    • Hinzufügen eines Absenders zur Zulassungsliste Ihrer Organisation: Wählen Sie diese Option aus, um zu verhindern, dass Nachrichten des Absenders unter Quarantäne gestellt werden.

    • Gehen Sie gemäß einer der folgenden Optionen vor:

      • Freigabe für alle Empfänger
      • Für bestimmte Empfänger freigeben: Wählen Sie die Empfänger im angezeigten Feld "Empfänger" aus.
    • Eine Kopie dieser Nachricht an andere Empfänger senden: Wählen Sie diese Option aus, und geben Sie die E-Mail-Adressen des Empfängers in das angezeigte Feld "Empfänger" ein.

      Hinweis

      Um eine Kopie der Nachricht an andere Empfänger zu senden, müssen Sie die Nachricht auch mindestens einen der ursprünglichen Empfänger freigeben (wählen Sie "Für alle Empfänger freigeben" oder " Für bestimmte Empfänger freigeben") aus.

    • Senden Sie die Nachricht an Microsoft, um die Erkennung zu verbessern (falsch positiv): Diese Option ist standardmäßig ausgewählt und meldet die fälschlicherweise in Quarantäne befindliche Nachricht an Microsoft als falsch positives Ergebnis. Wenn die Nachricht als Spam, Massen-, Phishing- oder Schadsoftware isoliert wurde, wird die Nachricht auch an das Microsoft-Spamanalyseteam gemeldet. Abhängig von den Ergebnissen ihrer Analyse werden die dienstweiten Spamfilterregeln möglicherweise so angepasst, dass die Nachricht durchgestellt wird.

    • Nachrichten wie diese zulassen: Diese Option ist standardmäßig deaktiviert (Umschalten deaktiviert). Aktivieren (Umschalten), um vorübergehend zu verhindern, dass Nachrichten mit ähnlichen URLs, Anlagen und anderen Eigenschaften unter Quarantäne gestellt werden. Wenn Sie diese Option aktivieren, stehen die folgenden Optionen zur Verfügung:

      • Entfernen nach: Wählen Sie aus, wie lange Sie Nachrichten wie diese zulassen möchten. Wählen Sie 1 Tag bis 30 Tage aus. Der Standardwert ist 30.
      • Optionaler Hinweis: Geben Sie eine nützliche Beschreibung für die Zulassung ein.

    Wenn Sie fertig sind, klicken Sie auf "Nachricht freigeben".

    Hinweise zum Freigeben von Nachrichten:

    • Sie können eine Nachricht nicht mehrmals an denselben Empfänger freigeben.
    • Nur Empfänger, die die Nachricht nicht erhalten haben, werden in der Liste der potenziellen Empfänger angezeigt.
    • Nur Mitglieder der Rollengruppe "Sicherheitsadministratoren " können die Nachricht an Microsoft senden, um die Erkennung zu verbessern (falsch positiv) und Nachrichten wie diese Optionen zuzulassen .
  • Symbol "E-Mail freigeben". Freigeben von E-Mails: Fügen Sie im angezeigten Flyout einen oder mehrere Empfänger hinzu, um eine Kopie der Nachricht zu erhalten. Wenn Sie fertig sind, klicken Sie auf "Freigeben".

Die folgenden Aktionen sind verfügbar, nachdem Sie auf das Symbol "Weitere Aktionen" geklickt haben. Weitere Aktionen:

  • Symbol „Nachrichtenköpfe anzeigen“. Nachrichtenköpfe anzeigen: Klicken Sie diesen Link an, um den Nachrichtenkopftext anzuzeigen. Das Nachrichtenheader-Flyout wird mit den folgenden Links angezeigt:

    • Nachrichtenkopf kopieren: Klicken Sie auf diesen Link, um den Nachrichtenkopf (alle Kopfzeilenfelder) in die Zwischenablage zu kopieren.
    • Microsoft-Nachrichtenkopfanalyse: Klicken Sie für eine gründliche Analyse der Kopfzeilenfelder und -werte auf diesen Link, um zur Nachrichtenkopfanalyse zu wechseln. Fügen Sie die Nachrichtenkopfzeile in den Abschnitt Fügen Sie die zu analysierende Nachrichtenkopfzeile ein ein (STRG+V, oder klicken Sie mit der rechten Maustaste, und wählen Sie Einfügen) aus. Klicken Sie anschließend auf Kopfzeilen analysieren.
  • Symbol „Vorschau der Nachricht“. Vorschau der Nachricht anzeigen: Wählen Sie im angezeigten Flyout-Fenster eine der folgenden Optionen:

    • Quelle: Zeigt die HTML-Version des Nachrichtentextes an, wobei alle Links deaktiviert sind.
    • Textansicht: Zeigt den Nachrichtentext in reinem Textformat an.
  • Symbol "Aus Quarantäne löschen". Aus Quarantäne löschen: Nachdem Sie in der angezeigten Warnung auf "Ja " geklickt haben, wird die Nachricht sofort gelöscht, ohne an die ursprünglichen Empfänger gesendet zu werden.

  • Symbol „Nachricht herunterladen“. E-Mail herunterladen: Klicken Sie im daraufhin angezeigten Flyout-Fenster auf Ich bin mir der Risiken bewusst, die mit dem Herunterladen dieser Nachricht einhergehen und dann auf Herunterladen, um eine Kopie der Nachricht im EML-Format lokal zu speichern.

  • Symbol „Absender blockieren“. Absender blockieren: Fügen Sie den Absender zur Liste blockierter Absender für Ihr Postfach hinzu. Weitere Informationen finden Sie unter E-Mail-Absender blockieren.

  • Symbol "Nur senden". Nur übermitteln: Meldet die Nachricht zur Analyse an Microsoft. Wählen Sie im angezeigten Flyout die folgenden Optionen aus:

    • Wählen Sie den Übermittlungstyp aus: E-Mail (Standard), URL oder Datei.
    • Fügen Sie die Netzwerknachrichten-ID hinzu, oder laden Sie die E-Mail-Datei hoch: Wählen Sie eine der folgenden Optionen aus:
      • Hinzufügen der E-Mail-Netzwerknachrichten-ID (Standard, mit dem entsprechenden Wert im Feld)
      • Hochladen die E-Mail-Datei (MSG oder EML): Klicken Sie auf "Dateien durchsuchen", um die zu sendende MSG- oder EML-Nachrichtendatei zu suchen und auszuwählen.
    • Wählen Sie einen Empfänger aus, der ein Problem hatte: Wählen Sie einen (bevorzugten) oder mehrere ursprüngliche Empfänger der Nachricht aus, um die Richtlinien zu analysieren, die auf sie angewendet wurden.
    • Wählen Sie einen Grund für die Übermittlung an Microsoft aus: Wählen Sie eine der folgenden Optionen aus:
      • Sollte nicht blockiert worden sein (falsch positiv) (Standard): Die folgenden Optionen stehen zur Verfügung:
        • Nachrichten wie diese zulassen: Diese Option ist standardmäßig deaktiviert (Umschalten deaktiviert). Aktivieren (Umschalten), um vorübergehend zu verhindern, dass Nachrichten mit ähnlichen URLs, Anlagen und anderen Eigenschaften unter Quarantäne gestellt werden. Wenn Sie diese Option aktivieren, stehen die folgenden Optionen zur Verfügung:
          • Entfernen nach: Wählen Sie aus, wie lange Sie Nachrichten wie diese zulassen möchten. Wählen Sie 1 Tag bis 30 Tage aus. Der Standardwert ist 30.
          • Optionaler Hinweis: Geben Sie eine nützliche Beschreibung für die Zulassung ein.
      • Hätte blockiert werden sollen (falsch negativ).

    Klicken Sie nach Abschluss des Vorgangs auf Senden.

* Diese Option ist nicht für Nachrichten verfügbar, die bereits freigegeben wurden (der Statuswert für "Freigegeben" lautet Freigegeben).

Wenn Sie die Dateien nicht freigeben oder entfernen, werden sie nach Ablauf der Standardaufbewahrungsfrist für die Quarantäne gelöscht (wie in der Spalte Läuft ab angezeigt).

Hinweis

Auf Mobilgeräten ist kein Beschreibungstext zu Aktionssymbolen verfügbar.

Die Details einer in Quarantäne befindlichen Nachricht mit hervorgehobenen verfügbaren Aktionen

Die Symbole in der angegebenen Reihenfolge und die entsprechenden Beschreibungen sind in der folgenden Tabelle zusammengefasst:

Symbol Beschreibung
Symbol „E-Mail freigeben“. E-Mail freigeben
Symbol "E-Mail freigeben". Freigeben von E-Mails
Symbol „Nachrichtenköpfe anzeigen“. Nachrichtenköpfe anzeigen
Symbol „Nachrichtenvorschau“. Nachrichtenvorschau
Symbol "Aus Quarantäne löschen". Aus Quarantäne löschen
Symbol "E-Mail herunterladen". E-Mail herunterladen
Symbol „Absender blockieren“. Absender blockieren
Symbol "Nur senden". Nur absenden

Maßnahmen für mehrere isolierte E-Mail-Nachrichten ergreifen

Wenn Sie mehrere isolierte Nachrichten in der Liste auswählen (bis zu 100), indem Sie links neben der ersten Spalte in den leeren Bereich klicken, wird die Dropdownliste der Massenaktionen angezeigt, über die Sie die folgenden Aktionen ausführen können:

Die Dropdownliste &quot;Massenaktionen&quot; für Nachrichten in Quarantäne

  • Symbol „E-Mail freigeben“. Freigabenachrichten: Gibt Nachrichten an alle Empfänger frei. Im angezeigten Flyout können Sie die folgenden Optionen auswählen, die mit dem Freigeben einer einzelnen Nachricht identisch sind:

    • Hinzufügen eines Absenders zur Zulassungsliste Ihrer Organisation
    • Senden einer Kopie dieser Nachricht an andere Empfänger
    • Senden Sie die Nachricht an Microsoft, um die Erkennung zu verbessern (falsch positiv)
    • Nachrichten wie die folgende zulassen:
      • Entfernen nach: 1 Tag bis 30 Tage
      • Optionaler Hinweis

    Wenn Sie fertig sind, klicken Sie auf "Nachricht freigeben".

    Hinweis

    Betrachten Sie das folgende Szenario: john@gmail.com sendet eine Nachricht an faith@contoso.com und john@subsidiary.contoso.com. Gmail verzweigt diese Nachricht in zwei Kopien, die beide als Phishing in Microsoft in Quarantäne geleitet werden. Ein Administrator gibt beide Nachrichten für admin@contoso.com frei. Die erste veröffentlichte Nachricht, die das Administratorpostfach erreicht, wird zugestellt. Die zweite veröffentlichte Nachricht wird als doppelte Zustellung identifiziert und übersprungen. Nachrichten werden als Duplikate identifiziert, wenn sie die gleiche Nachrichten-ID und die gleiche Empfangszeit haben.

  • Symbol "Aus Quarantäne löschen". Nachrichten löschen: Nachdem Sie in der angezeigten Warnung auf "Ja " geklickt haben, werden die Nachrichten sofort aus der Quarantäne entfernt, ohne an die ursprünglichen Empfänger gesendet zu werden.

  • Symbol "E-Mail herunterladen". Herunterladen von Nachrichten

  • Symbol "Nur senden". Nur absenden

Verwenden des Microsoft 365 Defender Portals zum Verwalten von in Quarantäne befindlichen Dateien in Defender für Office 365

Hinweis

Die Verfahren für in Quarantäne befindliche Dateien in diesem Abschnitt stehen nur Microsoft Defender für Office 365 Abonnenten von Plan 1 oder Plan 2 zur Verfügung.

In Organisationen mit Defender für Office 365 können Administratoren Dateien verwalten, die von Tresor Anlagen für SharePoint, OneDrive und Microsoft Teams isoliert wurden. Informationen zum Aktivieren des Schutzes für diese Dateien finden Sie unter Aktivieren Tresor Anlagen für SharePoint, OneDrive und Microsoft Teams.

Anzeigen von in Quarantäne befindlichen Dateien

  1. Navigieren Sie im Microsoft 365 Defender-Portal unter https://security.microsoft.comzu E-Mail und Zusammenarbeit > Überprüfen > Quarantäne. Um direkt zur Quarantäne-Seite zu gelangen, verwenden Sie https://security.microsoft.com/quarantine.

  2. Wählen Sie auf der Seite "Quarantäne " die Registerkarte " Dateien " aus (E-Mail ist die Standardregisterkarte).

  3. Sie können die Ergebnisse sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken. Klicken Sie auf "Spalten anpassen ", um die angezeigten Spalten zu ändern. Die Standardspalten sind mit einem Sternchen (*):

    • Benutzer*
    • Lage*
    • Dateiname der Anlage*
    • Datei-URL*
    • Dateigröße
    • Freigabestatus*
    • Läuft ab*
    • Erkannt von
    • Nach Uhrzeit geändert

    Wenn Sie fertig sind, klicken Sie auf "Übernehmen" oder "Abbrechen".

  4. Klicken Sie auf Filtern, um die Ergebnisse zu filtern. Die folgenden Filter sind im angezeigten Flyout Filter verfügbar:

    • Empfangszeit: Startzeit und Endzeit (Datum).
    • Läuft ab: Startzeit und Endzeit (Datum).
    • Quarantänegrund: Der einzige verfügbare Wert ist Malware.
    • Richtlinientyp

    Wenn Sie fertig sind, klicken Sie auf "Übernehmen" oder "Abbrechen".

Nachdem Sie eine bestimmte in Quarantäne befindliche Datei gefunden haben, wählen Sie die Datei aus, um Details dazu anzuzeigen und entsprechende Maßnahmen zu ergreifen (z. B. Anzeigen, Freigeben, Herunterladen oder Löschen der Datei).

Anzeigen von Dateidetails in Quarantäne

Wenn Sie eine in Quarantäne befindliche Datei aus der Liste auswählen, sind die folgenden Informationen im daraufhin geöffneten Detail-Flyout verfügbar:

Das Detail-Flyout einer in Quarantäne befindlichen Datei

  • Dateiname
  • Datei-URL: URL, die den Speicherort der Datei definiert (z. B. in SharePoint Online).
  • Bösartiger Inhalt, der am Datum/Uhrzeit der Quarantäne der Datei.
  • Läuft ab: Das Datum, an dem die Datei aus der Quarantäne gelöscht wird.
  • Erkannt von
  • Freigegeben?
  • Schadsoftwarename
  • Dokument-ID: Ein eindeutiger Bezeichner für das Dokument.
  • Dateigröße: In Kilobyte (KB).
  • Organisation Die eindeutige ID Ihrer Organisation.
  • Zuletzt geändert
  • Geändert von: Der Benutzer, der die Datei zuletzt geändert hat.
  • Secure Hash Algorithm 256-Bit (SHA-256)-Wert: Sie können diesen Hashwert verwenden, um die Datei in anderen Reputationsspeichern oder an anderen Speicherorten in Ihrer Umgebung zu identifizieren.

Informationen zum Ausführen von Aktionen für die Datei finden Sie im nächsten Abschnitt.

Hinweis

Um im Detail-Flyout zu bleiben, aber die isolierte Datei zu ändern, die Sie betrachten, verwenden Sie die Pfeile nach oben und unten am oberen Rand des Flyouts.

Die NACH-OBEN- und NACH-UNTEN-PFEILE im Detail-Flyout der in Quarantäne befindlichen Dateien

Ergreifen von Maßnahmen für in Quarantäne befindliche Dateien

Nachdem Sie eine isolierte Datei aus der Liste ausgewählt haben, sind die folgenden Aktionen im Detail-Flyout verfügbar:

Die Aktionen im Detail-Flyout einer in Quarantäne befindlichen Datei

  • Symbol "Datei freigeben". Releasedatei*: Aktivieren oder deaktivieren Sie im angezeigten Flyoutbereich "Dateien zur Analyse an Microsoft melden", und klicken Sie dann auf "Freigeben".
  • Symbol "Datei freigeben".
  • Symbol "Datei herunterladen". Datei herunterladen: Wählen Sie im angezeigten Flyout die Option "Ich verstehe die Risiken aus dem Herunterladen dieser Datei" aus, und klicken Sie dann auf "Herunterladen ", um eine lokale Kopie der Datei zu speichern.
  • Symbol "Aus Quarantäne löschen". Aus Quarantäne löschen: Nachdem Sie in der angezeigten Warnung auf "Ja " geklickt haben, wird die Datei sofort gelöscht.
  • Symbol „Absender blockieren“. Absender blockieren: Fügen Sie den Absender zur Liste blockierter Absender für Ihr Postfach hinzu. Weitere Informationen finden Sie unter E-Mail-Absender blockieren.

* Diese Option ist nicht für Dateien verfügbar, die bereits freigegeben wurden (der Freigabestatuswert ist "Veröffentlicht").

Wenn Sie die Datei nicht freigeben oder entfernen, wird sie nach Ablauf des Standardmäßigen Aufbewahrungszeitraums für die Quarantäne gelöscht (wie in der Spalte " Ablaufen " dargestellt).

Ergreifen von Maßnahmen für mehrere unter Quarantäne gestellte Dateien

Wenn Sie mehrere in Quarantäne befindliche Dateien in der Liste auswählen (bis zu 100), indem Sie in den leeren Bereich links neben der Spalte "Betreff " klicken, wird die Dropdownliste " Massenaktionen " angezeigt, in der Sie die folgenden Aktionen ausführen können:

Dropdownliste &quot;Massenaktionen&quot; für Dateien in Quarantäne

  • Symbol "Datei freigeben". Releasedatei: Aktivieren oder deaktivieren Sie im angezeigten Flyoutbereich "Dateien zur Analyse an Microsoft melden", und klicken Sie dann auf "Freigeben".
  • Symbol "Aus Quarantäne löschen". Aus Quarantäne löschen: Nachdem Sie in der angezeigten Warnung auf "Ja " geklickt haben, wird die Datei sofort gelöscht.
  • Symbol "Datei herunterladen". Datei herunterladen: Wählen Sie im angezeigten Flyout die Option "Ich verstehe die Risiken aus dem Herunterladen dieser Datei" aus, und klicken Sie dann auf "Herunterladen ", um eine lokale Kopie der Datei zu speichern.

Verwenden von Exchange Online PowerShell oder eigenständiger EOP PowerShell zum Anzeigen und Verwalten von isolierten Nachrichten und Dateien

Die Cmdlets, die Sie zum Anzeigen und Verwalten von Nachrichten und Dateien in Quarantäne verwenden, werden in der folgenden Liste beschrieben:

Weitere Informationen

Häufig gestellte Fragen zu isolierten Nachrichten