検疫されたメッセージとファイルをユーザーとして管理する

• 適用対象:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

ヒント

Microsoft Defender XDR for Office 365 プラン 2 の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 こちらからサインアップできるユーザーと試用版の使用条件の詳細について参照してください。

Exchange Online のメールボックスを使用している Microsoft 365 組織または Exchange Online のメールボックスを使用していないスタンドアロンの Exchange Online Protection (EOP) 組織では、危険な可能性があるメッセージまたは不要なメッセージは検疫済みメッセージとして保留されます。 詳細については、「EOP での検疫」を参照してください。

通常のユーザー (管理者ではない) として、検疫済みのメッセージの受信者として使用できる既定の機能を次の表に示します。

検疫の理由	表示	リリース	削除
スパム対策ポリシー
バルク	✔	✔	✔
スパム	✔	✔	✔
高確度スパム	✔	✔	✔
フィッシング詐欺	✔	✔	✔
高確度のフィッシング
フィッシング対策ポリシー
EOP のスプーフィング インテリジェンス保護	✔	✔	✔
Defender for Office 365 の偽装ユーザー保護	✔	✔	✔
Defender for Office 365 の偽装ドメイン保護	✔	✔	✔
Defender for Office 365でのメールボックス インテリジェンス偽装保護	✔	✔	✔
マルウェア対策ポリシー
マルウェアとして検疫済みの添付ファイルを含むメール メッセージ。
Defender for Office 365 の安全な添付ファイル
悪意のある添付ファイルを含むメール メッセージをマルウェアとして検疫する、安全な添付ファイル ポリシー。
悪意のあるファイルをマルウェアとして検疫する SharePoint、OneDrive、Microsoft Teams 向けの安全な添付ファイル。
メール フロー ルール (トランスポート ルール)
メール メッセージを検疫するメール フロー ルール (スパムとしてマークするのではなく、直接)。

サポートされている保護機能では、検疫ポリシーは、メッセージが検疫された理由に基づいて、検疫されたメッセージに対してユーザーが実行できる操作を定義します。 既定の検疫ポリシーでは、前の表で説明したように、メッセージの履歴機能が適用されます。 管理者は、ユーザーの制限が少ない、または制限が厳しい機能を定義するカスタム検疫ポリシーを作成して適用できます。 詳細については、「 検疫ポリシーの構造」を参照してください。

検疫されたメッセージは、Microsoft Defender ポータルで表示および管理するか、検疫ポリシーからの検疫通知 (管理者がこの設定を設定している場合) で行います。

はじめに把握しておくべき情報

• Microsoft Defender ポータルを開くには、 に移動しますhttps://security.microsoft.com。 "検疫" ページに直接移動するには、https://security.microsoft.com/quarantine を使用します。

• 管理者は、スパム対策ポリシーでメッセージを完全に削除する前に、メッセージを検疫で保持する期間を構成できます。 検疫期間が切れたメッセージは回復できません。 詳細については、「EOP でのスパム対策ポリシーの構成」を参照してください。

• 既定では、高確度フィッシング、マルウェアとして検疫されるか、メール フロー ルールにより検疫済みのメッセージは、管理者のみが管理でき、ユーザーには表示されません。 詳細については、「EOP の管理者として検疫済みのメッセージやファイルを管理する」を参照してください。

• 検疫されたメッセージに対して管理者またはユーザーが実行したすべてのアクションが監査されます。 監査された検疫イベントの詳細については、「Office 365 Management API の検疫スキーマ」を参照してください。

EOP で検疫済みメッセージを管理する

検疫済みメッセージを表示する

注:

検疫されたメッセージを表示する機能は、メッセージが検疫された理由に適用される検疫ポリシーによって制御されます (これは、「EOP とMicrosoft Defender for Office 365セキュリティの推奨設定」で説明されているように、既定の検疫ポリシーである可能性があります)。

のMicrosoft Defender ポータルでhttps://security.microsoft.com、コラボレーション>の [検疫>の確認>Email] タブEmail &移動します。または、[検疫] ページの [Email] タブに直接移動するには、 を使用https://security.microsoft.com/quarantine?viewid=Emailします。

[Email] タブで、[リストの間隔をコンパクトまたは標準に変更] をクリックし、[コンパクト リスト] を選択することで、リストの垂直方向の間隔を小さくできます。

使用可能な列ヘッダーをクリックすると、エントリを並べ替えることができます。 [列のカスタマイズ] を選択して、表示される列を変更します。 既定値にはアスタリスク (^*) が付いています。

• 受信時間^*
• 件名^*
• 送信者^*
• 検疫の理由^* (で使用可能な値を参照してください。 フィルターの 説明。)
• リリースの状態^* (で使用可能な値を参照してください。 フィルターの 説明。)
• ポリシーの種類^* (で使用可能な値を参照してください。 フィルターの 説明。)
• [有効期限]^*
• 受信者^*
• [メッセージ ID]
• [ポリシー名]
• メッセージ サイズ
• メールの方向
• 受信者タグ

エントリをフィルター処理するには、[フィルター] を選択 します。 開いた [フィルター] ポップアップでは、次の フィルター を使用できます。

• [メッセージ ID]: メッセージのグローバル一意識別子。

• [送信者のアドレス]

• 受信者の住所

• 件名

• 受信した時間:

  • 過去 24 時間
  • 過去 7 日間
  • 過去 14 日間
  • 過去 30 日間 (既定値)
  • カスタム: 開始時刻 と 終了時刻 (日付) を入力します。

• 期限切れ: 検疫から期限切れになったときに、メッセージをフィルター処理します。

  • [今日]
  • [今後 2 日間]
  • [今後 7 日間]
  • カスタム: 開始時刻 と 終了時刻 (日付) を入力します。

• 受信者タグ

• [検疫の理由]:

  • トランスポート ルール (メール フロー ルール)
  • [バルク]
  • [スパム]
  • データ損失防止
  • マルウェア: EOP のマルウェア対策ポリシーまたはDefender for Office 365の安全な添付ファイル ポリシー。 [ポリシーの種類] の値は、使用された機能を示します。
  • フィッシング: スパム フィルター判定がフィッシング詐欺になったか、またはフィッシング対策保護によってメッセージが検疫されました (スプーフィング設定または偽装防止)。
  • 高確度のフィッシング
  • 管理アクション - ファイルの種類ブロック: マルウェア対策ポリシーの一般的な添付ファイル フィルターによってマルウェアとしてブロックされたメッセージ。 詳細については、「 マルウェア対策ポリシー」を参照してください。

• 受信者: すべてのユーザー または 自分のみ。 エンド ユーザーは、送信された検疫済みメッセージのみを管理できます。

• リリースの状態: 次のいずれかの値。

  • レビューが必要
  • 承認済み
  • 拒否された
  • リリースが要求されました
  • リリースされた

• ポリシーの種類: 次のポリシーの種類ごとに、メッセージをフィルター処理します。

  • マルウェア対策ポリシー
  • 安全な添付ファイルに関するポリシー
  • フィッシング対策ポリシー
  • 迷惑メール対策ポリシー
  • トランスポート ルール (メール フロー ルール)

  ポリシーの種類と検疫の理由の値は相互に関連しています。 たとえば、 Bulk は常に スパム対策ポリシーに関連付けられます。 マルウェア対策ポリシーには関連付けされません。

[フィルター] ポップアップが完了したら、[適用] を選択します。 フィルターをクリアするには、[フィルターのクリア] を選択 します。

ヒント

フィルターはキャッシュされます。 最後のセッションのフィルターは、次に [検疫] ページを開くと既定で選択されます。 この動作は、トリアージ操作に役立ちます。

Search ボックスと対応する値を使用して、特定のメッセージを検索します。 ワイルドカードはサポートされていません。 次の値に基づいて検索できます。

• 送信者のメール アドレス
• 件名。 メッセージの件名全体を使用します。 検索では大文字と小文字は区別されません。

検索条件を入力したら、Enter キーを押して結果をフィルター処理します。

注:

[Search] ボックスでは、すべての検疫済みアイテムではなく、現在のビューで検疫済みアイテムが検索されます。 すべての検疫済みアイテムを検索するには、[フィルター] を使用し、それによって表示される [フィルター] ポップアップを使用します。

特定の検疫済みメッセージを見つけたら、メッセージを選択して詳細を表示し、それに対してアクションを実行します (メッセージの表示、リリース、ダウンロード、削除など)。

ヒント

モバイル デバイスでは、前述のコントロールは [その他] で使用できます。

検疫済みメッセージの詳細を表示する

1. のMicrosoft Defender ポータルでhttps://security.microsoft.com、コラボレーション>の [検疫>の確認>Email] タブEmail &移動します。または、[検疫] ページの [Email] タブに直接移動するには、 を使用https://security.microsoft.com/quarantine?viewid=Emailします。

2. [Email] タブで、[チェック] ボックス以外の行内の任意の場所をクリックして、検疫されたメッセージを選択します。

表示される詳細ポップアップでは、次の情報を使用できます。

• [検疫の詳細 ] セクション:
  • [受信日時]: メッセージを受信した日時。
  • 期限切れ: メッセージが自動的に検疫から完全に削除される日付/時刻。
  • 件名
  • 検疫の理由: メッセージが スパム、 一括、 フィッシングとして識別されたか、メール フロー ルール (トランスポート ルール) と一致したか、または マルウェアが含まれていると識別されたかどうかを示します。
  • ポリシーの種類
  • [ポリシー名]
  • 受信者の数
  • 受信者: メッセージに複数の受信者が含まれている場合は、[メッセージのプレビュー] または > [メッセージ ヘッダーの表示] を選択>して、受信者の完全な一覧を表示する必要がある場合があります。
• Emailの詳細セクション:
  • [送信者のアドレス]
  • 受信時間
  • ネットワーク メッセージ ID
  • 受信者

メッセージに対してアクションを実行するには、次のセクションを参照してください。

ヒント

詳細ポップアップを残さずに他の検疫済みメッセージの詳細を表示するには、ポップアップの上部にある [前のアイテム] と [次の項目] を使用します。

検疫済みメールを処理する

1. のMicrosoft Defender ポータルでhttps://security.microsoft.com、コラボレーション>の [検疫>の確認>Email] タブEmail &移動します。または、[検疫] ページの [Email] タブに直接移動するには、 を使用https://security.microsoft.com/quarantine?viewid=Emailします。

2. [Email] タブで、次のいずれかの方法を使用して検疫された電子メール メッセージを選択します。

   • 最初の列の横にある [チェック] ボックスを選択して、一覧からメッセージを選択します。 使用可能なアクションが淡色表示されなくなりました。

     

   • [チェック] ボックス以外の行の任意の場所をクリックして、一覧からメッセージを選択します。 使用可能なアクションは、開いた詳細ポップアップにあります。

     

   いずれかの方法を使用してメッセージを選択すると、[その他のオプション] または [その他のオプション] で一部のアクションを使用できます。

検疫されたメッセージを選択した後、使用可能なアクションについては、次のサブセクションで説明します。

ヒント

モバイル デバイスでは、アクション エクスペリエンスが若干異なります。

• [チェック] ボックスを選択してメッセージを選択すると、すべてのアクションが [その他] の下に表示されます。

  

• [チェック] ボックス以外の行の任意の場所をクリックしてメッセージを選択すると、詳細ポップアップの [その他] でほとんどのオプションを使用できます。

  

検疫済みメールをリリースする

注:

検疫されたメッセージを解放する機能は、メッセージを検疫した保護機能の検疫ポリシーによって制御されます (これは、「EOP とMicrosoft Defender for Office 365セキュリティの推奨設定」で説明されているように、既定の検疫ポリシーである可能性があります)。

検疫ポリシーを使用すると、メッセージを解放したり、メッセージのリリースを要求したりできますが、どちらのオプションも同じメッセージでは使用できません。 検疫ポリシーを使用すると、検疫されたメッセージのリリースまたは要求を防ぐことができます。

このアクションは、既にリリースされている電子メール メッセージでは使用できません ( リリース状態 の値は リリース済み)。

メッセージを解放または削除しない場合は、[ 有効期限] 列に表示された日付の後に検疫から自動的に削除されます。

メッセージを選択したら、次のいずれかの方法を使用して解放します (メールボックスに配信します)。

• [Email] タブで、[リリース] を選択します。
• 選択したメッセージの詳細ポップアップで、[メールのリリース] を選択します。

開いた [受信トレイへのリリース メッセージ ] ポップアップで、[ 脅威がないとしてメッセージを報告 する] を選択し、[ リリース メッセージ] を選択します。

受信トレイへのリリース メッセージのポップアップが完了したら、[リリース メッセージ] を選択します。

開 いた [受信トレイにリリースされたメッセージ] ポップアップで、[完了] を選択 します。

[Email] タブに戻ると、メッセージの [リリース] 状態の値が [リリース] になります。

メッセージは受信トレイ (またはメールボックス内の 受信トレイルール に応じて他のフォルダー) に配信されます。

検疫済みメールのリリースを要求する

注:

検疫されたメッセージのリリースを要求する機能は、メッセージを検疫した保護機能の検疫ポリシーによって制御されます。

検疫ポリシーを使用すると、メッセージを解放したり、メッセージのリリースを要求したりできますが、どちらのオプションも同じメッセージでは使用できません。 検疫ポリシーを使用すると、検疫されたメッセージのリリースまたは要求を防ぐことができます。

このアクションは、既にリリースを要求した電子メール メッセージでは使用できません ( [リリースの状態 ] の値は [Released requested]\(リリース要求済み\) です)。

メッセージを解放または削除しない場合は、[ 有効期限] 列に表示された日付の後に検疫から自動的に削除されます。

メッセージを選択した後、次のいずれかの方法を使用して、そのリリースを要求します。

• [Email] タブで、[リリースの要求] を選択します。
• 選択したメッセージの詳細ポップアップで、[その他のオプション>] [リリースの要求] を選択します。

開いた [リリースの要求 ] ポップアップで、情報を確認し、[ リリースの要求] を選択します。 開 いた [Release requested]\(要求されたリリース\ ) ポップアップで、[完了] を選択 します。

[検疫] ページに戻ると、メッセージの [リリースの状態] の値が [リリース要求済み] になります。 管理者が要求を確認して承認するか、拒否します。

検疫からメールを削除する

検疫からメール メッセージを削除すると、メッセージは削除され、元の受信者には送信されません。

メッセージを解放または削除しない場合は、[ 有効期限] 列に表示された日付の後に検疫から自動的に削除されます。

メッセージを選択した後、次のいずれかの方法を使用して削除します。

• [Email] タブで、[メッセージの削除] を選択します。
• 選択したメッセージの詳細ポップアップで、[その他のオプション>] [検疫から削除] を選択します。

開いた 検疫からのメッセージの削除 (n) ポップアップで、次のいずれかの方法を使用してメッセージを削除します。

• [ 検疫からメッセージを完全に削除 する] を選択し、[削除] を選択 します。メッセージは完全に削除され、回復できません。
• [ 削除のみ] を 選択します。メッセージは削除されますが、回復可能な可能性があります。

検疫ポップアップからメッセージを削除 (n) で [削除] を選択した後、メッセージが表示されなくなった [Email] タブに戻ります。

ヒント

管理者は、管理者監査ログを検索することで、検疫されたメッセージを削除したユーザーを確認できます。 手順については、「 検疫済みメッセージを削除したユーザーを検索する」を参照してください。

検疫からのメールのプレビュー

メッセージを選択した後、次のいずれかの方法を使用してプレビューします。

• [Email] タブで、[プレビュー メッセージ] を選択します。
• 選択したメッセージの詳細ポップアップで、[その他のオプション>][プレビュー メッセージ] を選択します。

表示されるポップアップで、次のいずれかのタブを選択します。

• [ソース]: すべてのリンクが無効になったメッセージ本文の HTML バージョンを表示します。
• [プレーン テキスト]: プレーン テキストでメッセージ本文を表示します。

電子メール メッセージ ヘッダーを表示する

メッセージを選択したら、次のいずれかの方法を使用してメッセージ ヘッダーを表示します。

• [Email] タブで、[その他の>ビュー メッセージ ヘッダー] を選択します。
• 選択したメッセージの詳細ポップアップで、[その他のオプション>] [メッセージ ヘッダーの表示] を選択します。

開いた [メッセージ ヘッダー ] ポップアップに、メッセージ ヘッダー (すべてのヘッダー フィールド) が表示されます。

[メッセージ ヘッダーのコピー] を使用して、メッセージ ヘッダーをクリップボードにコピーします。

[Microsoft Message Header Analyzer] リンクを選択して、ヘッダー フィールドと値を詳細に分析します。 [ 分析するメッセージ ヘッダーを挿入する] セクションにメッセージ ヘッダーを 貼り付けます (Ctrl キーを押しながら V キーを押すか、右クリックして [貼り付け] を選択します)。次に、[ ヘッダーの分析] を選択します。

メール送信者の検疫をブロックする

[送信者のブロック] アクションは、メールボックス内の [ブロックされた送信者] リストにメッセージ送信者を追加します。 送信者のブロックの詳細については、「メール送信者 をブロックする」を参照してください。

メッセージを選択した後、次のいずれかの方法を使用して、メールボックスの [ブロックされた送信者] リストにメッセージ送信者を追加します。

• [Email] タブで、[その他の>ブロック送信者] を選択します。
• 選択したメッセージの詳細ポップアップで、[その他のオプション>] [送信者のブロック] を選択します。

開いた [ 送信者のブロック ] ポップアップで、送信者に関する情報を確認し、[ ブロック] を選択します。

ヒント

organizationは、引き続きブロックされた送信者からメールを受信できます。 送信者からのメッセージは、ユーザーの迷惑メール Email フォルダーまたは検疫に配信されます。 管理者は、到着時に送信者からメッセージを削除するために、 メール フロー ルール (トランスポート ルールとも呼ばれます) を使用して メッセージをブロックできます。

複数の検疫済みメール メッセージを処理する

[Email] タブで、最初の列の横にある [チェック] ボックスを選択して複数の検疫済みメッセージを選択すると、[Email] タブで次の一括アクションを使用できます (選択したメッセージの [リリース状態] の値に応じて)。

• 検疫済みメールをリリースする
• 検疫済みメールのリリースを要求する
• 検疫からメールを削除する

Microsoft Teams で検疫済みメッセージを管理する

Microsoft Teams で悪意のある可能性のあるチャット メッセージが検出されると、0 時間の自動消去 (ZAP) によってメッセージが削除され、検疫されます。 ユーザーは、これらの検疫された Teams メッセージをMicrosoft Defender ポータルで表示および管理できるようになりました。 検疫通知は、検疫された Teams メッセージではサポートされていません。

Microsoft Teams で検疫済みメッセージを表示する

のMicrosoft Defender ポータルでhttps://security.microsoft.com、コラボレーション>の [検疫>チームのメッセージの確認>] タブEmail &移動します。または、[検疫] ページの [Teams メッセージ] タブに直接移動するには、 を使用https://security.microsoft.com/quarantine?viewid=Teamsします。

使用可能な列ヘッダーをクリックすると、エントリを並べ替えることができます。 [列のカスタマイズ] を選択して、表示される列を変更します。 既定の列は次のとおりです。

• Teams メッセージ テキスト: Teams メッセージの件名が含まれます。
• 検疫日: メッセージが検疫されたときに表示されます。
• 状態: メッセージが既にレビューされ、リリースされているか、レビューが必要かを示します。
• 送信者: 検疫されたメッセージを送信したユーザー。
• 検疫の理由: 使用可能なオプションは、 信頼度の高いフィッシング と マルウェアです。
• [有効期限]: メッセージが検疫から削除される時間を示します。 既定では、この値は 30 日です。

エントリをフィルター処理するには、[フィルター] を選択 します。 開いた [フィルター] ポップアップでは、次の フィルター を使用できます。

• [送信者のアドレス]
• 受信した時間:
  • 過去 24 時間
  • 過去 7 日間
  • 過去 14 日間
  • 過去 30 日間 (既定値)
  • カスタム: 開始時刻 と 終了時刻 (日付) を入力します。
• 次の有効期限が切れます。
  • カスタム (既定値): 開始時刻 と 終了時刻 (日付) を入力します。
  • [今日]
  • [今後 2 日間]
  • [今後 7 日間]
• 検疫の理由: 使用可能な値は 、マルウェア と 信頼度の高いフィッシングです。
• 状態: [ 確認が必要] と [ リリース済み] を選択します。

[フィルター] ポップアップが完了したら、[適用] を選択します。 フィルターをクリアするには、[フィルターのクリア] を選択 します。

[Search] ボックスと対応する値を使用して、特定の Teams メッセージを検索します。 ワイルドカードはサポートされていません。

特定の検疫された Teams メッセージを見つけたら、メッセージを選択して詳細を表示し、それに対してアクションを実行します (メッセージの表示、リリース、ダウンロード、削除など)。

Microsoft Teams で検疫済みメッセージの詳細を表示する

[Teams メッセージ] タブで、[チェック] ボックス以外の行内の任意の場所をクリックして、検疫されたメッセージを選択します。

表示される詳細ポップアップでは、次の情報を使用できます。

• [検疫の詳細 ] セクション: 検疫の理由、有効期限、検疫ポリシーの種類、その他の情報が含まれます。
  • Expires
  • 受信時間
  • 検疫の理由
  • リリース状態
  • ポリシーの種類
• [メッセージの詳細 ] セクション: 送信されたメッセージの日付と時刻、送信者アドレス、Teams メッセージ ID、受信者の一覧が含まれます。
  • [送信者のアドレス]
  • 受信時間
  • 受信者
  • Teams メッセージ ID

メッセージに対してアクションを実行するには、次のセクションを参照してください。

Microsoft Teams で検疫されたメッセージに対してアクションを実行する

[Teams メッセージ] タブで、最初の列の横にある [チェック] ボックスを選択して、検疫されたメッセージを選択します。 次のオプションを利用できます。

• リリースの要求: 検疫からメッセージを解放するように要求できます。 organizationの管理者がリリースを承認する必要があります。
• 削除: 検疫されたメッセージの一覧からメッセージを削除するように要求できます。
• プレビュー メッセージ: 選択したメッセージの詳細を表示できます。

メッセージを解放または削除しない場合は、[ 有効期限] 列に表示された日付の後に検疫から自動的に削除されます。