Berichten en bestanden in quarantaine beheren als beheerder

Tip

Wist u dat u de functies in Microsoft Defender XDR gratis kunt uitproberen voor Office 365 Abonnement 2? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft Defender portal. Meer informatie over wie zich kan registreren en voorwaarden voor proefversies vindt u hier.

In Microsoft 365-organisaties met postvakken in Exchange Online of Microsoft Teams, of in zelfstandige Exchange Online Protection (EOP)-organisaties zonder Exchange Online postvakken of Teams, bevat quarantaine mogelijk gevaarlijke of ongewenste berichten die zijn gedetecteerd door EOP en Defender voor Office 365.

Beheerders kunnen alle typen in quarantaine geplaatste berichten en bestanden voor alle gebruikers weergeven, vrijgeven en verwijderen.

Beheerders in organisaties met Microsoft Defender voor Office 365 kunnen ook bestanden beheren die in quarantaine zijn geplaatst door veilige bijlagen voor SharePoint-, OneDrive- en Microsoft Teams- en Microsoft Teams-berichten die in quarantaine zijn geplaatst door zero-hour auto purge (ZAP).

Gebruikers kunnen de meeste e-mailberichten in quarantaine beheren op basis van het quarantainebeleid voor ondersteunde e-mailbeveiligingsfuncties. Zie Anatomie van een quarantainebeleid voor meer informatie over quarantainebeleid.

Beheerders en ook gebruikers (afhankelijk van de door de gebruiker gerapporteerde instellingen voor de organisatie) kunnen fout-positieven rapporteren aan Microsoft vanuit quarantaine.

U kunt berichten in quarantaine weergeven en beheren in de Microsoft Defender portal of in PowerShell (Exchange Online PowerShell voor Microsoft 365-organisaties met postvakken in Exchange Online; zelfstandige EOP PowerShell voor organisaties zonder Exchange Online postvakken).

Bekijk deze korte video voor meer informatie over het beheren van berichten in quarantaine als beheerder.

Wat moet u weten voordat u begint?

  • Als u de Microsoft Defender-portal wilt openen, gaat u naar https://security.microsoft.com. Als u rechtstreeks naar de pagina Quarantaine wilt gaan, gebruikt u https://security.microsoft.com/quarantine.

  • Zie Verbinding maken met Exchange Online PowerShell als u verbinding wilt maken met Exchange Online PowerShell. Zie Verbinding maken met Exchange Online Protection PowerShell als je verbinding wilt maken met zelfstandige EOP PowerShell.

  • Aan u moeten machtigingen zijn toegewezen voordat u de procedures in dit artikel kunt uitvoeren. U hebt de volgende opties:

    • Microsoft Defender XDR Op rollen gebaseerd toegangsbeheer (RBAC) (alleen van invloed op de Defender-portal, niet op PowerShell):
      • Actie ondernemen voor berichten in quarantaine voor alle gebruikers: beveiligingsbewerkingen/beveiligingsgegevens/Email & samenwerkingsquarantaine (beheren).
      • Alleen-lezentoegang tot berichten in quarantaine voor alle gebruikers: beveiligingsbewerkingen / Beveiligingsgegevens / Basisprincipes van beveiligingsgegevens (lezen).
    • Email & samenwerkingsmachtigingen in de Microsoft Defender-portal:
      • Actie ondernemen voor berichten in quarantaine voor alle gebruikers: lidmaatschap van de rolgroepen Quarantainebeheerder, Beveiligingsbeheerder of Organisatiebeheer .
        • Verzend berichten uit quarantaine naar Microsoft: lidmaatschap van de rolgroepen Quarantainebeheerder of Beveiligingsbeheerder .
        • Afzender blokkeren gebruiken om afzenders toe te voegen aan uw eigen lijst met geblokkeerde afzenders: standaard hebben alle gebruikers de vereiste machtigingen. Of de actie Afzender blokkeren beschikbaar is voor niet-beheerders, wordt doorgaans bepaald door de machtiging Afzender blokkeren in quarantainebeleid. Als u een machtiging toewijst die beheerderstoegang geeft tot quarantaine (bijvoorbeeld Beveiligingslezer of Globale lezer), krijgt u toegang tot Afzender blokkeren in quarantaine.
      • Alleen-lezentoegang tot berichten in quarantaine voor alle gebruikers: lidmaatschap van de rolgroepen Beveiligingslezer of Globale lezer .
    • Microsoft Entra machtigingen: lidmaatschap van deze rollen geeft gebruikers de vereiste machtigingen en machtigingen voor andere functies in Microsoft 365:
      • Actie ondernemen voor berichten in quarantaine voor alle gebruikers: Lidmaatschap van de rol **Beveiligingsbeheerder of Globale beheerder .
        • Verzend berichten uit quarantaine naar Microsoft: lidmaatschap van de rol Beveiligingsbeheerder .
        • Afzender blokkeren gebruiken om afzenders toe te voegen aan uw eigen lijst met geblokkeerde afzenders: standaard hebben alle gebruikers de vereiste machtigingen. Of de actie Afzender blokkeren beschikbaar is voor niet-beheerders, wordt doorgaans bepaald door de machtiging Afzender blokkeren in quarantainebeleid. Als u een machtiging toewijst die beheerderstoegang geeft tot quarantaine (bijvoorbeeld Beveiligingslezer of Globale lezer), krijgt u toegang tot Afzender blokkeren in quarantaine.
      • Alleen-lezentoegang tot berichten in quarantaine voor alle gebruikers: lidmaatschap van de rol Globale lezer of Beveiligingslezer .

    Tip

    De mogelijkheid om berichten in quarantaine te beheren met behulp van Exchange Online machtigingen is beëindigd in februari 2023 per MC447339.

    Gastbeheerders van andere organisaties kunnen berichten in quarantaine niet beheren. De beheerder moet zich in dezelfde organisatie bevinden als de geadresseerden.

  • Berichten en bestanden in quarantaine worden standaard bewaard op basis van waarom ze in quarantaine zijn geplaatst. Nadat de bewaarperiode is verstreken, worden de berichten automatisch verwijderd en kunnen ze niet meer worden hersteld. Zie Retentie in quarantaine voor meer informatie.

  • Alle acties die door beheerders of gebruikers op in quarantaine geplaatste berichten worden uitgevoerd, worden gecontroleerd. Zie Quarantaineschema in de Office 365 Management-API voor meer informatie over gecontroleerde quarantainegebeurtenissen.

De Microsoft Defender-portal gebruiken om e-mailberichten in quarantaine te beheren

E-mail in quarantaine weergeven

Ga in de Microsoft Defender-portal op https://security.microsoft.comnaar Email &> tabbladSamenwerking Quarantaine>>controleren Email. Of als u rechtstreeks naar het tabblad Email op de pagina Quarantaine wilt gaan, gebruikt https://security.microsoft.com/quarantine?viewid=Emailu .

Op het tabblad Email kunt u de verticale afstand in de lijst verkleinen door te klikken op Lijstafstand wijzigen in compact of normaal en vervolgens Lijst comprimeren te selecteren.

U kunt de items sorteren door op een beschikbare kolomkop te klikken. Selecteer Kolommen aanpassen om de weergegeven kolommen te wijzigen. Standaardwaarden worden aangegeven met een sterretje (*):

  • Tijd ontvangst*
  • Onderwerp*
  • Afzender*
  • Reden van quarantaine* (zie de mogelijke waarden in de Filterbeschrijving .)
  • Releasestatus* (zie de mogelijke waarden in de Filterbeschrijving .)
  • Beleidstype* (zie de mogelijke waarden in de Filterbeschrijving .)
  • Verloopt*
  • Geadresseerde: Het e-mailadres van de geadresseerde wordt altijd omgezet in het primaire e-mailadres, zelfs als het bericht is verzonden naar een proxyadres.
  • Bericht-ID
  • Beleidsnaam
  • Berichtgrootte
  • Richting van e-mail
  • Geadresseerdetag

Als u de vermeldingen wilt filteren, selecteert u Filteren. De volgende filters zijn beschikbaar in de flyout Filters die wordt geopend:

  • Bericht-ID: de unieke id van het bericht.

    U hebt bijvoorbeeld berichttracering gebruikt om te zoeken naar een bericht en u bepaalt dat het bericht in quarantaine is geplaatst in plaats van bezorgd. Zorg ervoor dat u de volledige bericht-id-waarde opneemt, die mogelijk hoekhaken (<>) bevat. Bijvoorbeeld: <79239079-d95a-483a-aacf-e954f592a0f6@XYZPR00BM0200.contoso.com>.

  • Adres afzender

  • Adres ontvanger

  • Onderwerp

  • Tijd ontvangen:

    • Afgelopen 24 uur
    • Afgelopen 7 dagen
    • Afgelopen 14 dagen
    • Afgelopen 30 dagen (standaard)
    • Aangepast: voer een starttijd en eindtijd (datum) in.

  • Verloopt: berichten filteren op wanneer ze uit quarantaine verlopen:

    • Vandaag
    • Komende 2 dagen
    • Komende 7 dagen
    • Aangepast: voer een starttijd en eindtijd (datum) in.

  • Ontvangertag: momenteel is prioriteitsaccount de enige selecteerbare gebruikerstag .

  • Reden van quarantaine:

    • Transportregel (e-mailstroomregel)
    • Bulk
    • Spam
    • Preventie van gegevensverlies
    • Malware: Antimalwarebeleid in EOP- of Beleid voor veilige bijlagen in Defender voor Office 365. De waarde Beleidstype geeft aan welke functie is gebruikt.
    • Phishing: De spamfilterbeoordeling is Phishing of de antiphishingbeveiliging heeft het bericht in quarantaine geplaatst (adresvervalsingsinstellingen of beveiliging tegen imitatie).
    • Phishing met hoge waarschijnlijkheid
    • Beheer actie: Blokkering van bestandstype: Berichten die worden geblokkeerd als malware door de algemene bijlagen filteren in antimalwarebeleid. Zie Antimalwarebeleid voor meer informatie.

  • Ontvanger: Alle gebruikers of Alleen ik. Eindgebruikers kunnen alleen berichten in quarantaine beheren die naar hen worden verzonden.

  • Status vrijgave: een van de volgende waarden:

    • Controle nodig
    • Goedgekeurd
    • Geweigerd
    • Vrijgave aangevraagd
    • Vrijgegeven
    • Release voorbereiden
    • Fout

  • Beleidstype: Berichten filteren op beleidstype:

    • Anti-malwarebeleid
    • Beleid voor veilige bijlagen
    • Antiphishingbeleid
    • Antispambeleid
    • Transportregel (e-mailstroomregel)
    • Regel voor preventie van gegevensverlies

    De waarden voor Beleidstype en Reden voor quarantaine zijn met elkaar verbonden. Bulk wordt bijvoorbeeld altijd gekoppeld aan een antispambeleid, nooit aan een antimalwarebeleid.

Wanneer u klaar bent met de flyout Filters , selecteert u Toepassen. Als u de filters wilt wissen, selecteert u Filters wissen.

Tip

Filters worden in de cache opgeslagen. De filters van de laatste sessies worden standaard geselecteerd wanneer u de pagina Quarantaine de volgende keer opent. Dit gedrag helpt bij triagebewerkingen.

Gebruik het vak Search en een bijbehorende waarde om specifieke berichten te vinden. Jokertekens worden niet ondersteund. U kunt zoeken op een van de volgende waarden:

  • E-mailadres van afzender
  • Onderwerp. Gebruik het volledige onderwerp van het bericht. De zoekopdracht is niet hoofdlettergevoelig.

Nadat u de zoekcriteria hebt ingevoerd, drukt u op Enter om de resultaten te filteren.

Opmerking

Het vak Search zoekt naar items in quarantaine in de huidige weergave (die beperkt is tot 100 items), niet alle items in quarantaine. Als u in alle items in quarantaine wilt zoeken, gebruikt u Filter en de resulterende flyout Filters.

Nadat u een specifiek bericht in quarantaine hebt gevonden, selecteert u het bericht om de details ervan weer te geven en er actie op te ondernemen (bijvoorbeeld het bericht weergeven, vrijgeven, downloaden of verwijderen).

Tip

Op mobiele apparaten zijn de eerder beschreven besturingselementen beschikbaar onder Meer.

Schermopname van het selecteren van een bericht in quarantaine en vervolgens Meer op een mobiel apparaat.

E-maildetails in quarantaine weergeven

  1. Ga in de Microsoft Defender-portal op https://security.microsoft.comnaar Email &> tabbladSamenwerking Quarantaine>>controleren Email. Of als u rechtstreeks naar het tabblad Email op de pagina Quarantaine wilt gaan, gebruikt https://security.microsoft.com/quarantine?viewid=Emailu .

  2. Selecteer op het tabblad Email het bericht in quarantaine door op een andere plaats in de rij dan het selectievakje te klikken.

In de flyout details die wordt geopend, is de volgende informatie beschikbaar:

Tip

De acties die boven aan de flyout beschikbaar zijn, worden beschreven in Actie ondernemen op e-mail in quarantaine.

Als u details wilt zien over andere berichten in quarantaine zonder de flyout details te verlaten, gebruikt u Vorige item en Volgend item boven aan de flyout.

  • Sectie Quarantainedetails :

    • Ontvangen op: de datum/tijd waarop het bericht is ontvangen.

    • Verloopt: de datum/tijd waarop het bericht automatisch en permanent uit quarantaine wordt verwijderd.

    • Onderwerp

    • Reden van quarantaine: geeft aan of een bericht is geïdentificeerd als spam, bulk, phish, overeenkomt met een e-mailstroomregel (transportregel) of is geïdentificeerd als malware.

    • Beleidstype

    • Beleidsnaam

    • Aantal ontvangers

    • Geadresseerden: als het bericht meerdere geadresseerden bevat, moet u mogelijk Voorbeeld van bericht of Berichtkop weergeven gebruiken om de volledige lijst met geadresseerden te bekijken.

      E-mailadressen van geadresseerden worden altijd omgezet in het primaire e-mailadres, zelfs als het bericht is verzonden naar een proxyadres.

    • Vrijgegeven aan of Nog niet vrijgegeven voor: als het bericht moet worden beoordeeld door een beheerder voordat het wordt vrijgegeven:

      • Vrijgegeven aan: Email adressen van geadresseerden waarnaar het bericht is vrijgegeven.
      • Nog niet vrijgegeven aan: Email adressen van geadresseerden waarnaar het bericht nog niet is vrijgegeven.

De rest van de details-flyout bevat de secties Leveringsgegevens, Email details, URL's en bijlagen die deel uitmaken van het Email overzichtsvenster. Zie Het Email-overzichtsvenster voor meer informatie.

Schermopname van de flyout met details die wordt geopend nadat u een e-mailbericht in quarantaine hebt geselecteerd op het tabblad Email van de pagina Quarantaine.

Zie de volgende sectie om actie te ondernemen bij dit bericht.

Tip

Als u details wilt zien over andere berichten in quarantaine zonder de flyout details te verlaten, gebruikt u Vorige item en Volgend item boven aan de flyout.

Actie ondernemen bij een in quarantaine geplaatst e-mail

  1. Ga in de Microsoft Defender-portal op https://security.microsoft.comnaar Email &> tabbladSamenwerking Quarantaine>>controleren Email. Of als u rechtstreeks naar het tabblad Email op de pagina Quarantaine wilt gaan, gebruikt https://security.microsoft.com/quarantine?viewid=Emailu .

  2. Selecteer op het tabblad Email het e-mailbericht in quarantaine met behulp van een van de volgende methoden:

    • Selecteer het bericht in de lijst door het selectievakje naast de eerste kolom in te schakelen. De beschikbare acties worden niet langer grijs weergegeven.

      Schermopname van de beschikbare acties nadat u het selectievakje van een bericht in quarantaine hebt ingeschakeld op het tabblad Email op de pagina Quarantaine.

    • Selecteer het bericht in de lijst door op een andere plaats in de rij dan het selectievakje te klikken. De beschikbare acties bevinden zich in de flyout met details die wordt geopend.

      Schermopname van de beschikbare acties in de flyout details die wordt geopend nadat u een bericht in quarantaine hebt geselecteerd op het tabblad Email van de pagina Quarantaine.

    Als u een van beide methoden gebruikt om het bericht te selecteren, zijn veel acties beschikbaar onder Meer of Meer opties.

Nadat u het bericht in quarantaine hebt geselecteerd, worden de beschikbare acties beschreven in de volgende subsecties.

Tip

Op mobiele apparaten is de actie-ervaring iets anders:

  • Wanneer u het bericht selecteert door het selectievakje in te schakelen, staan alle acties onder Meer:

    Schermopname van het selecteren van een bericht in quarantaine en het selecteren van Meer op een mobiel apparaat.

  • Wanneer u het bericht selecteert door ergens anders in de rij dan het selectievakje te klikken, is beschrijvingstekst niet beschikbaar op sommige actiepictogrammen in de flyout met details. Maar de acties en hun volgorde zijn hetzelfde als op een pc:

    Schermopname van de details van een bericht in quarantaine met beschikbare acties gemarkeerd.

E-mail in quarantaine vrijgeven

Deze actie is niet beschikbaar voor e-mailberichten die al zijn vrijgegeven (de waarde releasestatus is Uitgebracht).

Als u een bericht niet vrijgeeft of verwijdert, wordt het automatisch verwijderd uit quarantaine na de datum die wordt weergegeven in de kolom Verloopt .

  • U kunt een bericht niet meer dan één keer vrijgeven aan dezelfde geadresseerde.
  • Wanneer u afzonderlijke oorspronkelijke geadresseerden selecteert om het vrijgegeven bericht te ontvangen, kunt u alleen geadresseerden selecteren die het vrijgegeven bericht nog niet hebben ontvangen.
  • Leden van de rollengroep Beveiligingsbeheerders kunnen de opties Het bericht verzenden naar Microsoft om de detectie te verbeteren en E-mail met vergelijkbare kenmerken toestaan zien en gebruiken.
  • Gebruikers kunnen fout-positieven rapporteren aan Microsoft vanuit quarantaine, afhankelijk van de waarde van de instelling Rapportage vanuit quarantaine in door de gebruiker gerapporteerde instellingen.

Tip

  • Antivirusoplossingen van derden, beveiligingsservices en uitgaande connectors kunnen de volgende problemen veroorzaken voor berichten die uit quarantaine worden vrijgegeven:

    • Het bericht wordt in quarantaine geplaatst nadat het is vrijgegeven.
    • Inhoud wordt verwijderd uit het vrijgegeven bericht voordat deze het Postvak IN van de geadresseerde bereikt.
    • Het vrijgegeven bericht komt nooit binnen in het Postvak IN van de geadresseerde.
    • Acties in quarantainemeldingen kunnen willekeurig worden geselecteerd.

    Controleer of u geen filters van derden gebruikt voordat u een ondersteuningsticket over deze problemen opent.

  • Regels voor Postvak IN (gemaakt door gebruikers in Outlook of door beheerders met behulp van de cmdlets *-InboxRule in Exchange Online PowerShell) kunnen berichten uit het Postvak IN verplaatsen of verwijderen.

Beheerders kunnen berichttracering gebruiken om te bepalen of een vrijgegeven bericht is bezorgd in het Postvak IN van de geadresseerde.

Nadat u het bericht hebt geselecteerd, gebruikt u een van de volgende methoden om het bericht vrij te geven:

  • Op het tabblad Email: Selecteer Release.
  • Selecteer in de flyout details van het geselecteerde bericht de optie E-mail vrijgeven.

Configureer de volgende opties in de flyout E-mail vrijgeven aan geadresseerden die wordt geopend:

  • Selecteer een van de volgende waarden:

    • Vrijgeven voor alle geadresseerden
    • Vrijgeven aan een of meer van de oorspronkelijke geadresseerden van het e-mailbericht: voer de geadresseerden in het vak Geadresseerden in dat wordt weergegeven.

  • Een kopie van dit bericht naar een andere geadresseerde verzenden: als u deze optie selecteert, selecteert u een of meer geadresseerden door te klikken in het vak Geadresseerden dat wordt weergegeven.

  • Verzend het bericht naar Microsoft om de detectie te verbeteren: als u deze optie selecteert, wordt het bericht dat ten onrechte in quarantaine is geplaatst, aan Microsoft gerapporteerd als een fout-positief. Afhankelijk van de resultaten van hun analyse, kunnen de spamfilterregels voor de hele service worden aangepast om het bericht door te laten gaan.

    Als u deze optie selecteert, worden de volgende opties weergegeven:

    • Dit bericht toestaan: als u deze optie selecteert, worden vermeldingen voor toestaan toegevoegd aan de lijst Tenant toestaan/blokkeren voor de afzender en eventuele gerelateerde URL's of bijlagen in het bericht. De volgende opties worden ook weergegeven:
      • Vermelding verwijderen na: De standaardwaarde is 30 dagen, maar u kunt ook 1 dag, 7 dagen of een specifieke datum van minder dan 30 dagen selecteren.
      • Notitie bij invoer toestaan: voer een optionele notitie in die aanvullende informatie bevat.

Wanneer u klaar bent met de flyout E-mail naar geadresseerden inboxen , selecteert u Releasebericht.

Terug op het tabblad Email is de waarde releasestatus van het bericht Vrijgegeven.

Releaseaanvragen van gebruikers voor e-mail in quarantaine goedkeuren of weigeren

Gebruikers kunnen de release van e-mailberichten aanvragen als het quarantainebeleid Geadresseerden toestaan wordt gebruikt om een bericht te laten vrijgegeven uit quarantaine (PermissionToRequestRelease machtiging) in plaats van Ontvangers toestaan een bericht uit quarantaine vrij te geven (PermissionToRelease machtiging) wanneer het bericht in quarantaine is geplaatst. Zie Quarantainebeleid maken in de Microsoft Defender portal voor meer informatie.

Nadat een geadresseerde de release van het e-mailbericht heeft aangevraagd, verandert de waarde van de releasestatus in Release aangevraagd en kan een beheerder de aanvraag goedkeuren of weigeren.

Tip

Er kan één waarschuwing voor het vrijgeven van het bericht worden gemaakt voor meerdere releaseaanvragen voor dat bericht. Gebruik de quarantainekoppeling in de sectie Details van het waarschuwingsbericht om actie te ondernemen op de releaseaanvraag van gebruikers in de organisatie voor de afgelopen 7 dagen.

Als u een bericht niet vrijgeeft of verwijdert, wordt het automatisch verwijderd uit quarantaine na de datum die wordt weergegeven in de kolom Verloopt .

Nadat u het bericht hebt geselecteerd, gebruikt u een van de volgende methoden om de releaseaanvraag goed te keuren of te weigeren:

  • Op het tabblad Email: Selecteer Release goedkeuren of Weigeren.
  • Selecteer meer in de flyout details van het geselecteerde bericht en selecteer vervolgens Release goedkeuren of Release weigeren.

Als u Release goedkeuren selecteert, wordt er een flyout release goedkeuren geopend waarin u informatie over het bericht kunt bekijken. Als u de aanvraag wilt goedkeuren, selecteert u Release goedkeuren. Er wordt een flyout goedgekeurd door release geopend, waar u de koppeling kunt selecteren voor meer informatie over het vrijgeven van berichten. Selecteer Gereed wanneer u klaar bent met de flyout Goedgekeurd door release . Terug op het tabblad Email verandert de waarde van de releasestatus van het bericht in Goedgekeurd.

Als u Weigeren selecteert, wordt er een flyout release weigeren geopend waar u informatie over het bericht kunt bekijken. Als u de aanvraag wilt weigeren, selecteert u Release weigeren. Er wordt een flyout release geweigerd geopend, waar u de koppeling kunt selecteren voor meer informatie over het vrijgeven van berichten. Selecteer Gereed wanneer u klaar bent met de flyout Release geweigerd . Terug op het tabblad Email verandert de waarde van de releasestatus van het bericht in Geweigerd.

Tip

U kunt de release alleen weigeren voor alle geadresseerden. U kunt de release niet weigeren voor specifieke geadresseerden.

E-mail uit quarantaine verwijderen

Wanneer u een e-mailbericht uit quarantaine verwijdert, wordt het bericht verwijderd en niet verzonden naar de oorspronkelijke geadresseerden.

Als u een bericht niet vrijgeeft of verwijdert, wordt het automatisch verwijderd uit quarantaine na de datum die wordt weergegeven in de kolom Verloopt .

Nadat u het bericht hebt geselecteerd, gebruikt u een van de volgende methoden om het te verwijderen:

  • Op het tabblad Email: Selecteer Verwijderen uit quarantaine.
  • In de flyout details van het geselecteerde bericht: Selecteer Meer opties>Verwijderen uit quarantaine.

Gebruik in de flyout (n) Berichten verwijderen uit quarantaine die wordt geopend een van de volgende methoden om het bericht te verwijderen:

  • Selecteer Het bericht definitief uit quarantaine verwijderen en selecteer vervolgens Verwijderen: het bericht wordt definitief verwijderd en kan niet worden hersteld.
  • Selecteer Alleen verwijderen : het bericht wordt verwijderd, maar kan mogelijk worden hersteld.

Nadat u Verwijderen hebt geselecteerd op de flyout (n) berichten uit quarantaine verwijderen, keert u terug naar het tabblad Email waar het bericht niet meer wordt weergegeven.

Voorbeeld van e-mail uit quarantaine

Nadat u het bericht hebt geselecteerd, gebruikt u een van de volgende methoden om het te bekijken:

  • Op het tabblad Email: Selecteer Voorbeeldbericht.
  • In de flyout details van het geselecteerde bericht: Selecteer Meer opties>Voorbeeldbericht.

Kies in de flyout die wordt geopend een van de volgende tabbladen:

  • Bron: toont de HTML-versie van het bericht met uitgeschakelde koppelingen.
  • Tekst zonder opmaak: toont het bericht zonder opmaak.

Kopteksten van e-mailberichten weergeven

Nadat u het bericht hebt geselecteerd, gebruikt u een van de volgende methoden om de berichtkoppen weer te geven:

  • Op het tabblad Email: Selecteer Meer>berichtkoppen weergeven.
  • In de flyout details van het geselecteerde bericht: Selecteer Meer opties>Berichtkoppen weergeven.

In de flyout Berichtkop die wordt geopend, wordt de berichtkop (alle koptekstvelden) weergegeven.

Gebruik Berichtkop kopiëren om de berichtkop naar het Klembord te kopiëren.

Selecteer de koppeling Microsoft Message Header Analyzer om de veldnamen en -waarden uitgebreid te analyseren. Plak de berichtkop in de sectie De berichtkop invoegen die u wilt analyseren (Ctrl+V of klik met de rechtermuisknop en kies Plakken) en selecteer vervolgens Kopteksten analyseren.

E-mail rapporteren aan Microsoft voor beoordeling vanuit quarantaine

Nadat u het bericht hebt geselecteerd, gebruikt u een van de volgende methoden om het bericht voor analyse aan Microsoft te rapporteren:

  • Op het tabblad Email: Selecteer Meer>verzenden ter beoordeling.
  • In de flyout met details van het geselecteerde bericht: Selecteer Meer opties>Indienen voor beoordeling.

Configureer de volgende opties in de flyout Indienen bij Microsoft voor analyse die wordt geopend:

  • Voeg de id van het netwerkbericht toe of upload het e-mailbestand: Selecteer een van de volgende opties:

    • De id van het e-mailnetwerkbericht toevoegen: Deze waarde is standaard geselecteerd, met de bijbehorende waarde in het vak.
    • Upload het e-mailbestand (.msg of eml): nadat u deze optie hebt geselecteerd, selecteert u de knop Bladeren in bestanden die wordt weergegeven om het .msg of .eml berichtbestand te zoeken en te selecteren dat u wilt verzenden.

  • Kies een geadresseerde met een probleem: selecteer een (voorkeur) of meer oorspronkelijke geadresseerden van het bericht om het beleid te analyseren dat op hen is toegepast.

  • Selecteer een reden voor het indienen bij Microsoft: Kies een van de volgende opties:

    • Ik heb bevestigd dat deze schoon is (standaard): selecteer deze optie als u zeker weet dat het bericht schoon is en selecteer volgende. Vervolgens zijn de volgende instellingen beschikbaar:

      • Deze e-mail toestaan: als u deze optie selecteert, worden vermeldingen voor toestaan toegevoegd aan de lijst Tenant toestaan/blokkeren voor de afzender en eventuele gerelateerde URL's of bijlagen in het bericht. De volgende opties worden ook weergegeven:
      • Vermelding verwijderen na: De standaardwaarde is 30 dagen, maar u kunt ook 1 dag, 7 dagen of een specifieke datum van minder dan 30 dagen selecteren.
      • Notitie bij invoer toestaan: voer een optionele notitie in die aanvullende informatie bevat.

    • Het ziet er schoon uit: selecteer deze optie als u het niet zeker weet en u een oordeel van Microsoft wilt.

Wanneer u klaar bent met de flyout Verzenden naar Microsoft voor analyse , selecteert u Verzenden.

Tip

Gebruikers kunnen fout-positieven rapporteren aan Microsoft vanuit quarantaine, afhankelijk van de waarde van de instelling Rapportage vanuit quarantaine in door de gebruiker gerapporteerde instellingen.

Afzenders van e-mail uit quarantaine blokkeren

Met de actie Afzenders blokkeren wordt de afzender van het geselecteerde e-mailbericht toegevoegd aan de lijst Geblokkeerde afzenders in het postvak van degene die is aangemeld. Deze actie wordt doorgaans gebruikt door eindgebruikers als deze beschikbaar is voor hen door quarantainebeleid. Zie Een e-mailzender blokkeren voor meer informatie over gebruikers die afzenders blokkeren

Nadat u het bericht hebt geselecteerd, gebruikt u een van de volgende methoden om de afzender van het bericht toe te voegen aan de lijst Geblokkeerde afzenders in uw postvak:

  • Op het tabblad Email: Selecteer Meer>afzender blokkeren.
  • Selecteer meer opties>Afzender blokkeren in de flyout details van het geselecteerde bericht.

Controleer in de flyout Afzender blokkeren die wordt geopend de informatie over de afzender en selecteer vervolgens Blokkeren.

Tip

De organisatie kan nog steeds e-mail ontvangen van de geblokkeerde afzender. Berichten van de afzender worden bezorgd bij gebruiker Ongewenste Email mappen of om in quarantaine te plaatsen. Als u berichten van de afzender bij aankomst wilt verwijderen, gebruikt u e-mailstroomregels (ook wel transportregels genoemd) om het bericht te blokkeren.

E-mail uit quarantaine delen

U kunt een kopie van het e-mailbericht in quarantaine verzenden, inclusief mogelijk schadelijke inhoud, naar de opgegeven geadresseerden.

Nadat u het bericht hebt geselecteerd, gebruikt u een van de volgende methoden om een kopie ervan naar anderen te verzenden:

  • Op het tabblad Email: Selecteer Meer>e-mail delen.
  • In de flyout details van het geselecteerde bericht: Selecteer Meer opties>E-mail delen.

Selecteer in de flyout E-mail delen met andere gebruikers die wordt geopend een of meer geadresseerden om een kopie van het bericht te ontvangen. Wanneer u klaar bent, selecteert u Delen.

E-mail downloaden uit quarantaine

Nadat u het e-mailbericht hebt geselecteerd, gebruikt u een van de volgende methoden om het te downloaden:

  • Op het tabblad Email: selecteer Meer>Berichten downloaden.
  • Selecteer meer opties>Bericht downloaden in de flyout details van het geselecteerde bericht.

Voer in de flyout Bestand downloaden die wordt geopend de volgende informatie in:

  • Reden voor het downloaden van het bestand: Voer beschrijvende tekst in.
  • Wachtwoord maken en Wachtwoord bevestigen: voer een wachtwoord in dat is vereist om het gedownloade berichtbestand te openen.

Wanneer u klaar bent met de flyout Bestand downloaden , selecteert u Downloaden.

Wanneer het downloaden klaar is, wordt een dialoogvenster Opslaan als geopend waarin u de gedownloade bestandsnaam en locatie kunt bekijken of wijzigen. Standaard wordt het .eml-berichtbestand opgeslagen in een gecomprimeerd bestand met de naam In quarantaine geplaatste Messages.zip in de map Downloads . Als het .zip bestand al bestaat, wordt er een getal toegevoegd aan de bestandsnaam (bijvoorbeeld Berichten in quarantaine(1).zip).

Accepteer of wijzig de gedownloade bestandsdetails en selecteer opslaan.

Ga terug naar de flyout Bestand downloaden en selecteer Gereed.

Acties voor e-mailberichten in quarantaine in Defender voor Office 365

In organisaties met Microsoft Defender voor Office 365 (invoegtoepassingslicenties of opgenomen in abonnementen zoals Microsoft 365 E5 of Microsoft 365 Business Premium), zijn de volgende acties ook beschikbaar in de flyout met details van een geselecteerd bericht:

Actie ondernemen op meerdere in quarantaine geplaatste e-mailberichten

Wanneer u meerdere berichten in quarantaine op het tabblad Email selecteert door de selectievakjes naast de eerste kolom in te schakelen, zijn de volgende bulkacties beschikbaar op het tabblad Email (afhankelijk van de waarden voor de releasestatus van de berichten die u hebt geselecteerd):

Schermopname van de beschikbare acties op het tabblad Email van de pagina Quarantaine nadat u het selectievakje van meerdere in quarantaine geplaatste berichten hebt ingeschakeld.

Zoeken wie een bericht in quarantaine heeft verwijderd

Met veel beveiligingsbeleidsoordeel kunnen gebruikers standaard hun in quarantaine geplaatste berichten (berichten waarvan ze een ontvanger zijn) verwijderen. Zie de tabel in In quarantaine geplaatste berichten en bestanden beheren als gebruiker voor meer informatie.

Beheerders kunnen in het auditlogboek zoeken naar gebeurtenissen voor berichten die uit quarantaine zijn verwijderd met behulp van de volgende procedures:

  1. Ga in de Defender-portal op https://security.microsoft.comnaar Audit. Of ga rechtstreeks naar de pagina Controle via https://security.microsoft.com/auditlogsearch.

    Tip

    U kunt ook naar de pagina Controle gaan in de Microsoft Purview-nalevingsportal ophttps://compliance.microsoft.com/auditlogsearch

  2. Controleer op de pagina Controle of het tabblad Nieuw Search is geselecteerd en configureer vervolgens de volgende instellingen:

    • Datum- en tijdsbereik (UTC)
    • Activiteiten - beschrijvende namen: Klik in het vak, typ 'quarantaine' in het Search vak dat wordt weergegeven en selecteer vervolgens Bericht in quarantaine verwijderd in de resultaten.
    • Gebruikers: als u weet wie het bericht uit quarantaine heeft verwijderd, kunt u de resultaten verder filteren op gebruiker.

  3. Wanneer u klaar bent met het invoeren van de zoekcriteria, selecteert u Search om de zoekopdracht te genereren.

Zie Nieuwe Search controleren voor volledige instructies voor zoekopdrachten in auditlogboeken.

De Microsoft Defender-portal gebruiken om bestanden in quarantaine te beheren in Defender voor Office 365

Opmerking

De procedures voor bestanden in quarantaine in deze sectie zijn alleen beschikbaar voor abonnees van Microsoft Defender for Office 365 Plan 1 of abonnement 2.

Bestanden die in quarantaine zijn geplaatst in SharePoint of OneDrive, worden na 30 dagen uit quarantaine verwijderd, maar de geblokkeerde bestanden blijven in SharePoint of OneDrive geblokkeerd.

In organisaties met Defender voor Office 365 kunnen beheerders bestanden beheren die in quarantaine zijn geplaatst door veilige bijlagen voor SharePoint, OneDrive en Microsoft Teams. Zie Veilige bijlagen inschakelen voor SharePoint, OneDrive en Microsoft Teams om beveiliging voor deze bestanden in te schakelen.

Bestanden in quarantaine weergeven

Ga in de Microsoft Defender portal op https://security.microsoft.comnaar Email & tabblad Samenwerking>Quarantainebestanden>> controleren. Als u rechtstreeks naar het tabblad Bestanden op de pagina Quarantaine wilt gaan, gebruikt https://security.microsoft.com/quarantine?viewid=Filesu .

Op het tabblad Bestanden kunt u de verticale afstand in de lijst verkleinen door te klikken op Lijstafstand wijzigen in compact of normaal en vervolgens Lijst comprimeren te selecteren.

U kunt de items sorteren door op een beschikbare kolomkop te klikken. Selecteer Kolommen aanpassen om de weergegeven kolommen te wijzigen. Standaardwaarden worden aangegeven met een sterretje (*):

  • Gebruiker*
  • Locatie*: de waarde is SharePoint of OneDrive.
  • Bestandsnaam van bijlage*
  • Bestands-URL*
  • Bestandsgrootte
  • Status vrijgave*
  • Verloopt*
  • Gedetecteerd door
  • Gewijzigd op tijd

Als u de vermeldingen wilt filteren, selecteert u Filteren. De volgende filters zijn beschikbaar in de flyout Filters die wordt geopend:

  • Tijd ontvangen:
    • Afgelopen 24 uur
    • Afgelopen 7 dagen
    • Afgelopen 14 dagen
    • Afgelopen 30 dagen (standaard)
    • Aangepast: voer een starttijd en eindtijd (datum) in.
  • Verloopt:
    • Aangepast (standaard): voer een begintijd en een eindtijd (datum) in.
    • Vandaag
    • Komende 2 dagen
    • Komende 7 dagen
  • Reden van quarantaine: De enige beschikbare waarde is Malware.
  • Beleidstype: De enige beschikbare waarde is Onbekend.

Wanneer u klaar bent in de flyout Filters , selecteert u Toepassen. Als u de filters wilt wissen, selecteert u Filters wissen.

Gebruik het vak Search en een bijbehorende waarde om specifieke bestanden op bestandsnaam te zoeken. Jokertekens worden niet ondersteund.

Nadat u de zoekcriteria hebt ingevoerd, drukt u op Enter om de resultaten te filteren.

Nadat u een specifiek bestand in quarantaine hebt gevonden, selecteert u het bestand om de details ervan weer te geven en er actie op te ondernemen (bijvoorbeeld het bestand weergeven, vrijgeven, downloaden of verwijderen).

In quarantaine geplaatste bestandsgegevens weergeven

  1. Ga in de Microsoft Defender portal op https://security.microsoft.comnaar Email & tabblad Samenwerking>Quarantainebestanden>> controleren. Als u rechtstreeks naar het tabblad Bestanden op de pagina Quarantaine wilt gaan, gebruikt https://security.microsoft.com/quarantine?viewid=Filesu .

  2. Selecteer op het tabblad Bestanden het bestand in quarantaine door op een andere plaats in de rij dan het selectievakje te klikken.

In de flyout details die wordt geopend, is de volgende informatie beschikbaar:

Schermopname van de flyout met details die wordt geopend nadat u een bestand in quarantaine hebt geselecteerd op het tabblad Bestanden van de pagina Quarantaine.

  • Sectie Met bestandsdetails :
    • Bestandsnaam
    • Bestands-URL: URL die de locatie van het bestand definieert (bijvoorbeeld in SharePoint Online).
    • Schadelijke inhoud gedetecteerd op De datum/tijd waarop het bestand in quarantaine is geplaatst.
    • Verloopt: de datum waarop het bestand uit quarantaine wordt verwijderd.
    • Gedetecteerd door
    • Vrijgegeven?
    • Naam van malware
    • Document-id: een unieke id voor het document.
    • Bestandsgrootte
    • Organisatie De unieke id van uw organisatie.
    • Laatst gewijzigd
    • Laatst gewijzigd door: de gebruiker die het bestand het laatst heeft gewijzigd.
    • Waarde van beveiligd hash-algoritme 256-bits (SHA-256): u kunt deze hash-waarde gebruiken om het bestand te identificeren in andere reputatiearchieven of op andere locaties in uw omgeving.

Als u actie wilt ondernemen op het bestand, raadpleegt u de volgende sectie.

Tip

Als u details wilt bekijken over andere bestanden in quarantaine zonder de flyout details te verlaten, gebruikt u Vorige item en Volgend item boven aan de flyout.

Actie ondernemen voor bestanden in quarantaine

  1. Ga in de Microsoft Defender portal op https://security.microsoft.comnaar Email & tabblad Samenwerking>Quarantainebestanden>> controleren. Als u rechtstreeks naar het tabblad Bestanden op de pagina Quarantaine wilt gaan, gebruikt https://security.microsoft.com/quarantine?viewid=Filesu .

  2. Selecteer op het tabblad Bestanden het bestand in quarantaine door op een andere plaats in de rij dan het selectievakje te klikken.

Nadat u het bestand in quarantaine hebt geselecteerd, worden de beschikbare acties in de flyout met bestandsdetails die wordt geopend beschreven in de volgende subsecties.

Schermopname van de beschikbare acties in de flyout met details die wordt geopend nadat u een bestand in quarantaine hebt geselecteerd op het tabblad Bestanden van de pagina Quarantaine.

Bestanden in quarantaine vrijgeven uit quarantaine

Deze actie is niet beschikbaar voor bestanden die al zijn vrijgegeven (de statuswaarde Vrijgegeven is Uitgebracht).

Als u het bestand niet vrijgeeft of uit quarantaine verwijdert, wordt het bestand uit quarantaine verwijderd nadat de standaardbewaarperiode voor quarantaine is verstreken (zoals wordt weergegeven in de kolom Verloopt), maar blijft het geblokkeerde bestand in SharePoint of OneDrive geblokkeerd.

Nadat u het bestand hebt geselecteerd, selecteert u Bestand vrijgeven in de flyout met bestandsdetails die wordt geopend.

Bekijk in de flyout Bestanden vrijgeven en rapporteren aan Microsoft die wordt geopend de bestandsdetails in de sectie Bestanden rapporteren aan Microsoft voor analyse , beslis of u Bestanden rapporteren aan Microsoft voor analyse wilt selecteren en selecteer vervolgens Release.

Selecteer Gereed in de flyout Bestanden zijn vrijgegeven die wordt geopend.

Ga terug naar de flyout met bestandsdetails en selecteer Sluiten.

Op het tabblad Bestanden is de waarde releasestatus van het bestand Vrijgegeven.

Bestanden in quarantaine downloaden uit quarantaine

Nadat u het bestand hebt geselecteerd, selecteert u Bestand downloaden in de flyout met details die wordt geopend.

Voer in de flyout Bestand downloaden die wordt geopend de volgende informatie in:

  • Reden voor het downloaden van het bestand: Voer beschrijvende tekst in.
  • Wachtwoord maken en Wachtwoord bevestigen: voer een wachtwoord in dat is vereist om het gedownloade bestand te openen.

Wanneer u klaar bent met de flyout Bestand downloaden , selecteert u Downloaden.

Wanneer het downloaden klaar is, wordt een dialoogvenster Opslaan als geopend waarin u de gedownloade bestandsnaam en locatie kunt bekijken of wijzigen. Het bestand wordt standaard opgeslagen in een gecomprimeerd bestand met de naam Quarantaine Messages.zip in de map Downloads . Als het .zip bestand al bestaat, wordt er een getal toegevoegd aan de bestandsnaam (bijvoorbeeld Berichten in quarantaine(1).zip).

Accepteer of wijzig de gedownloade bestandsdetails en selecteer opslaan.

Ga terug naar de flyout Bestand downloaden en selecteer Gereed.

Bestanden in quarantaine verwijderen uit quarantaine

Als u het bestand niet vrijgeeft of uit quarantaine verwijdert, wordt het bestand uit quarantaine verwijderd nadat de standaardbewaarperiode voor quarantaine is verstreken (zoals wordt weergegeven in de kolom Verloopt), maar blijft het geblokkeerde bestand in SharePoint of OneDrive geblokkeerd.

Nadat u het bestand hebt geselecteerd, selecteert u Meer>verwijderen uit quarantaine in de flyout met details die wordt geopend.

Selecteer Doorgaan in het waarschuwingsvenster dat wordt geopend.

Terug op het tabblad Bestanden wordt het bestand niet meer weergegeven.

Actie ondernemen op meerdere in quarantaine geplaatste bestanden

Wanneer u meerdere bestanden in quarantaine selecteert op het tabblad Bestanden door de selectievakjes naast de eerste kolom in te schakelen (maximaal 100 bestanden), wordt een vervolgkeuzelijst Bulkacties weergegeven waarin u de volgende acties kunt uitvoeren:

Schermopname van de beschikbare acties op het tabblad Bestanden van de pagina Quarantaine nadat u het selectievakje van meerdere in quarantaine geplaatste bestanden hebt ingeschakeld.

De Microsoft Defender-portal gebruiken om berichten in quarantaine van Microsoft Teams te beheren

Tip

Zero-hour auto purge (ZAP) in Microsoft Teams is momenteel beschikbaar in preview, is niet beschikbaar in alle organisaties en kan worden gewijzigd.

Quarantaine in Microsoft Teams is alleen beschikbaar in organisaties met Microsoft Defender voor Office 365 Abonnement 2 (invoegtoepassingslicenties of opgenomen in abonnementen zoals Microsoft 365 E5).

Wanneer een mogelijk schadelijk chatbericht wordt gedetecteerd in Microsoft Teams, verwijdert zero-hour auto purge (ZAP) het bericht en wordt het in quarantaine geplaatst. Beheerders kunnen deze Teams-berichten in quarantaine bekijken en beheren. Het bericht wordt 30 dagen in quarantaine geplaatst. Daarna wordt het Teams-bericht definitief verwijderd.

Deze functie is standaard ingeschakeld.

Teams-berichten in quarantaine weergeven

Ga in de Microsoft Defender portal op https://security.microsoft.comnaar Email &tabblad Teams-berichten inquarantaine>>> beoordelen. Als u rechtstreeks naar het tabblad Teams-berichten op de pagina Quarantaine wilt gaan, gebruikt https://security.microsoft.com/quarantine?viewid=Teamsu .

Op het tabblad Teams-berichten kunt u de verticale afstand in de lijst verkleinen door te klikken op Lijstafstand wijzigen in comprimeren of normaal en vervolgens Lijst comprimeren te selecteren.

U kunt de items sorteren door op een beschikbare kolomkop te klikken. Selecteer Kolommen aanpassen om de weergegeven kolommen te wijzigen. Standaardwaarden worden aangegeven met een sterretje (*):

  • Teams-berichttekst: bevat het onderwerp voor het Teams-bericht.*
  • Tijd ontvangen: het tijdstip waarop het bericht is ontvangen door de geadresseerde.*
  • Releasestatus: geeft aan of het bericht al is beoordeeld en vrijgegeven of moet worden gecontroleerd. *
  • Deelnemers: het totale aantal gebruikers dat het bericht heeft ontvangen.*
  • Afzender: de persoon die het bericht heeft verzonden dat in quarantaine is geplaatst.*
  • Reden van quarantaine: Beschikbare opties zijn 'Phish met hoge betrouwbaarheid' en 'Malware'.*
  • Beleidstype: het organisatiebeleid dat verantwoordelijk is voor het bericht in quarantaine.*
  • Verloopt: geeft de tijd aan waarna het bericht uit quarantaine is verwijderd. Deze waarde is standaard 30 dagen.*
  • Adres van geadresseerde: Email adres van de geadresseerden.*
  • Bericht-id: bevat de chatbericht-id.

Als u de vermeldingen wilt filteren, selecteert u Filteren. De volgende filters zijn beschikbaar in de flyout Filters die wordt geopend:

  • Bericht-ID
  • Adres afzender
  • Adres ontvanger
  • Onderwerp
  • Tijd ontvangen:
    • Afgelopen 24 uur
    • Afgelopen 7 dagen
    • Afgelopen 14 dagen
    • Afgelopen 30 dagen (standaard)
    • Aangepast: voer een starttijd en eindtijd (datum) in.
  • Verloopt:
    • Aangepast (standaard): voer een begintijd en een eindtijd (datum) in.
    • Vandaag
    • Komende 2 dagen
    • Komende 7 dagen
  • Reden van quarantaine: Beschikbare waarden zijn Malware en Phishing met hoge betrouwbaarheid.
  • Ontvanger: Selecteer Alle gebruikers of Alleen ik.
  • Beoordelingsstatus: Selecteer Beoordeling vereist en Uitgebracht.

Wanneer u klaar bent in de flyout Filters , selecteert u Toepassen. Als u de filters wilt wissen, selecteert u Filters wissen.

Gebruik het vak Search en een bijbehorende waarde om specifieke Teams-berichten te zoeken. Jokertekens worden niet ondersteund.

Nadat u een specifiek Teams-bericht in quarantaine hebt gevonden, selecteert u het bericht om de details ervan te bekijken en actie te ondernemen (bijvoorbeeld het bericht weergeven, vrijgeven, downloaden of verwijderen).

In quarantaine geplaatste Teams-berichtdetails weergeven

Selecteer op het tabblad Teams-berichten van de pagina Quarantaine het bericht in quarantaine door ergens in de rij te klikken, behalve het selectievakje naast de eerste kolom.

De volgende berichtinformatie is beschikbaar boven aan de flyout met details:

  • De titel van de flyout is het onderwerp of de eerste 100 tekens van het Teams-bericht.
  • De redenwaarde quarantaine .
  • Het aantal koppelingen in het bericht.
  • De beschikbare acties worden beschreven in de sectie Actie ondernemen bij Teams-berichten in quarantaine .

Tip

Als u details wilt zien over andere Teams-berichten in quarantaine zonder de flyout details te verlaten, gebruikt u Vorige item en Volgend item boven aan de flyout.

De volgende sectie in de details-flyout heeft betrekking op Teams-berichten in quarantaine:

  • Sectie Quarantainedetails :
    • Verloopt
    • Tijd ontvangst
    • Reden van quarantaine
    • Status vrijgave
    • Beleidstype: de waarde is Geen.
    • Beleidsnaam: De waarde is Teams-beveiligingsbeleid.
    • Quarantainebeleid

De rest van de details-flyout bevat de secties Berichtdetails, Afzender, Deelnemers, Kanaaldetails en URL's die deel uitmaken van het teams-deelvenster voor berichtentiteit. Zie het entiteitsvenster Teams mMessage in Microsoft Defender voor Office 365 Abonnement 2 voor meer informatie.

Wanneer u klaar bent in de flyout met details, selecteert u Sluiten.

Schermopname van de flyout met details die wordt geopend nadat u een Teams-bericht in quarantaine hebt geselecteerd op het tabblad Teams-berichten van de pagina Quarantaine.

Actie ondernemen op Teams-berichten in quarantaine

Ga in de Microsoft Defender portal op https://security.microsoft.comnaar Email &tabblad Teams-berichten inquarantaine>>> beoordelen. Als u rechtstreeks naar het tabblad Teams-berichten op de pagina Quarantaine wilt gaan, gebruikt https://security.microsoft.com/quarantine?viewid=Teamsu .

Selecteer op het tabblad Teams-berichten het bericht in quarantaine met behulp van een van de volgende methoden:

  • Selecteer het bericht in de lijst door het selectievakje naast de eerste kolom in te schakelen. De beschikbare acties worden niet langer grijs weergegeven.

    Schermopname van de beschikbare acties nadat u het selectievakje van een Teams-bericht in quarantaine hebt ingeschakeld op het tabblad Teams-bericht van de pagina Quarantaine.

  • Selecteer het bericht in de lijst door op een andere plaats in de rij dan het selectievakje te klikken. De beschikbare acties bevinden zich in de flyout met details die wordt geopend.

    Schermopname van de beschikbare acties in de flyout met details die wordt geopend nadat u een Teams-bericht in quarantaine hebt geselecteerd op het tabblad Teams-berichten van de pagina Quarantaine.

Als u een van beide methoden gebruikt om het bericht te selecteren, zijn sommige acties beschikbaar onder Meer.

Nadat u het bericht in quarantaine hebt geselecteerd, worden de beschikbare acties beschreven in de volgende subsecties.

Teams-berichten in quarantaine vrijgeven

Deze actie is niet beschikbaar voor Teams-berichten die al zijn uitgebracht (de waarde releasestatus is Uitgebracht).

Als u een bericht niet vrijgeeft of verwijdert, wordt het automatisch verwijderd uit quarantaine na de datum die wordt weergegeven in de kolom Verloopt .

Nadat u het bericht hebt geselecteerd, gebruikt u een van de volgende methoden om het bericht vrij te geven:

  • Op het tabblad Teams-berichten: selecteer Release.
  • In de flyout details van het geselecteerde bericht: Selecteer Release.

Bepaal in de flyout Vrijgeven voor alle chatdeelnemers die wordt geopend of u Het bericht verzenden naar Microsoft wilt selecteren om de detectie te verbeteren (fout-positief) en selecteer vervolgens Release.

Teams-berichten uit quarantaine verwijderen

Als u een Teams-bericht niet vrijgeeft of verwijdert, wordt dit automatisch uit quarantaine verwijderd na de datum die wordt weergegeven in de kolom Verloopt .

Nadat u het Teams-bericht hebt geselecteerd, gebruikt u een van de volgende methoden om het te verwijderen:

  • Op het tabblad Teams-berichten: selecteer Berichten verwijderen.
  • In de flyout details van het geselecteerde bericht: Selecteer Meer opties>Verwijderen uit quarantaine.

Lees de informatie in het waarschuwingsdialoogvenster dat wordt geopend en selecteer vervolgens Doorgaan.

Terug op het tabblad Teams-berichten wordt het bericht niet meer weergegeven.

Voorbeeld van Teams-berichten uit quarantaine bekijken

Nadat u het Teams-bericht hebt geselecteerd, gebruikt u een van de volgende methoden om het te bekijken:

  • Op het tabblad Teams-berichten: selecteer Voorbeeld van bericht.
  • In de flyout details van het geselecteerde bericht: Selecteer Voorbeeld van bericht.

Kies in de flyout die wordt geopend een van de volgende tabbladen:

  • Bron: toont de HTML-versie van het bericht met uitgeschakelde koppelingen.
  • Tekst zonder opmaak: toont het bericht zonder opmaak.

Teams-berichten rapporteren aan Microsoft voor revisie vanuit quarantaine

Nadat u het bericht hebt geselecteerd, gebruikt u een van de volgende methoden om het bericht voor analyse aan Microsoft te rapporteren:

  • Selecteer op het tabblad Teams-berichten de optie Meer>verzenden ter beoordeling.
  • In de flyout met details van het geselecteerde bericht: Selecteer Meer opties>Indienen voor beoordeling.

Wanneer u Bericht verzenden selecteert, wordt het bericht voor analyse naar Microsoft verzonden. U ontvangt een dialoogvenster Item verzonden waarin u OK selecteert.

Teams-berichten downloaden uit quarantaine

Nadat u het Teams-bericht hebt geselecteerd, gebruikt u een van de volgende methoden om het te downloaden:

  • Selecteer meer>Berichten downloaden op het tabblad Teams-berichten.
  • Selecteer meer opties>Bericht downloaden in de flyout details van het geselecteerde bericht.

Voer in de flyout Berichten downloaden die wordt geopend de volgende informatie in:

  • Reden voor het downloaden van het bestand: Voer beschrijvende tekst in.
  • Wachtwoord maken en Wachtwoord bevestigen: voer een wachtwoord in dat is vereist om het gedownloade berichtbestand te openen.

Wanneer u klaar bent met de flyout Bestand downloaden , selecteert u Downloaden.

Het .html berichtbestand wordt standaard opgeslagen in een gecomprimeerd bestand met de naam In quarantaine geplaatste Messages.zip in de map Downloads . Als het .zip bestand al bestaat, wordt er een getal toegevoegd aan de bestandsnaam (bijvoorbeeld Berichten in quarantaine(1).zip).

Ga terug naar de flyout Berichten downloaden en selecteer Gereed.

Actie ondernemen op meerdere Teams-berichten in quarantaine

Wanneer u meerdere berichten in quarantaine op het tabblad Teams-berichten selecteert door de selectievakjes naast de eerste kolom in te schakelen, zijn de volgende bulkacties beschikbaar op het tabblad Teams-berichten :

Schermopname van de beschikbare acties op het tabblad Teams-berichten van de pagina Quarantaine nadat u meerdere Teams-berichten in quarantaine hebt geselecteerd.

Releaseaanvragen van gebruikers goedkeuren of weigeren voor Teams-berichten in quarantaine

Wanneer een gebruiker de release van een Teams-bericht in quarantaine aanvraagt, verandert de waarde van de releasestatus in Release aangevraagd en kan een beheerder de aanvraag goedkeuren of weigeren.

Zie Releaseaanvragen van gebruikers goedkeuren of weigeren voor meer informatie.

Gebruik Exchange Online PowerShell of zelfstandige EOP PowerShell om in quarantaine geplaatste berichten te beheren

De cmdlets die u gebruikt om berichten en bestanden in quarantaine weer te geven en te beheren, worden in deze sectie beschreven.

Voor meer informatie

Veelgestelde vragen over berichten in quarantaine