Gerenciar arquivos e mensagens em quarentena como um administrador

Dica

Você sabia que pode experimentar os recursos no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Use a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever e testar termos aqui.

No Microsoft 365 organizações com caixas de correio em Exchange Online ou Microsoft Teams, ou em organizações autônomas de Proteção do Exchange Online (EOP) sem caixas de correio Exchange Online ou Teams, a quarentena contém mensagens potencialmente perigosas ou indesejadas que foram detectadas pelo EOP e Defender para Office 365.

Os administradores podem exibir, liberar e excluir todos os tipos de mensagens e arquivos em quarentena para todos os usuários.

Administradores em organizações com Microsoft Defender para Office 365 também podem gerenciar arquivos que foram colocados em quarentena por anexos seguros para Mensagens do SharePoint, OneDrive e Microsoft Teams e Microsoft Teams que foram colocadas em quarentena por ZAP (limpeza automática) de zero hora.

Os usuários podem gerenciar a maioria das mensagens de email em quarentena com base na política de quarentena para recursos de proteção de email com suporte. Para obter mais informações sobre políticas de quarentena, consulte Anatomia de uma política de quarentena.

Administradores e também usuários (dependendo das configurações relatadas pelo usuário para a organização) podem relatar falsos positivos à Microsoft de quarentena.

Você exibe e gerencia mensagens em quarentena no portal Microsoft Defender ou no PowerShell (Exchange Online PowerShell para organizações do Microsoft 365 com caixas de correio em Exchange Online; EOP PowerShell autônomo para organizações sem caixas de correio Exchange Online).

Assista a este pequeno vídeo para saber como gerenciar mensagens em quarentena como administrador.

Do que você precisa saber para começar?

  • Para abrir o portal Microsoft Defender, acesse https://security.microsoft.com. Para ir diretamente para a página quarentena, use https://security.microsoft.com/quarantine.

  • Para se conectar ao PowerShell do Exchange Online, confira Conectar ao PowerShell do Exchange Online. Para se conectar ao EOP PowerShell autônomo, consulte Conectar-se ao PowerShell do Exchange Online Protection..

  • Você precisa receber permissões para fazer os procedimentos neste artigo. Você tem as seguintes opções:

    • Microsoft Defender XDR RBAC (controle de acesso baseado em função unificada) (afeta apenas o portal do Defender, não o PowerShell):
      • Tome medidas em mensagens em quarentena para todos os usuários: operações de segurança / Dados de segurança / Email & quarentena de colaboração (gerenciar).
      • Acesso somente leitura a mensagens em quarentena para todos os usuários: operações de segurança / Dados de segurança / Noções básicas de dados de segurança (leitura).
    • Email & permissões de colaboração no portal do Microsoft Defender:
      • Tome medidas em mensagens em quarentena para todos os usuários: Associação nos grupos de funções Administrador de Quarentena, Administrador de Segurança ou Gerenciamento de Organizações .
        • Enviar mensagens da quarentena para a Microsoft: Associação nos grupos de funções Administrador de Quarentena ou Administrador de Segurança .
        • Use o remetente bloquear para adicionar remetentes à sua própria lista de remetentes bloqueados: por padrão, todos os usuários têm as permissões necessárias. Se a ação do remetente bloquear está disponível para não administradores é normalmente controlada pela permissão do remetente bloquear em políticas de quarentena. Atribuir qualquer permissão que dê acesso de administrador à quarentena (por exemplo, Leitor de Segurança ou Leitor Global) dá acesso ao remetente bloquear em quarentena.
      • Acesso somente leitura a mensagens em quarentena para todos os usuários: Associação aos grupos de funções Leitor de Segurança ou Leitor Global .
    • Microsoft Entra permissões: a associação a essas funções fornece aos usuários as permissões e permissões necessárias para outros recursos no Microsoft 365:
      • Tome medidas em mensagens em quarentena para todos os usuários: Associação nas funções **Administrador de Segurança ou Administrador Global .
        • Enviar mensagens da quarentena para a Microsoft: Associação na função administrador de segurança .
        • Use o remetente bloquear para adicionar remetentes à sua própria lista de remetentes bloqueados: por padrão, todos os usuários têm as permissões necessárias. Se a ação do remetente bloquear está disponível para não administradores é normalmente controlada pela permissão do remetente bloquear em políticas de quarentena. Atribuir qualquer permissão que dê acesso de administrador à quarentena (por exemplo, Leitor de Segurança ou Leitor Global) dá acesso ao remetente bloquear em quarentena.
      • Acesso somente leitura a mensagens em quarentena para todos os usuários: Associação nas funções Leitor Global ou Leitor de Segurança .

    Dica

    A capacidade de gerenciar mensagens em quarentena usando permissões Exchange Online terminou em fevereiro de 2023 por MC447339.

    Administradores convidados de outras organizações não podem gerenciar mensagens em quarentena. O administrador precisa estar na mesma organização que os destinatários.

  • Mensagens e arquivos em quarentena são mantidos por um período padrão de tempo com base no motivo pelo qual foram colocados em quarentena. Depois que o período de retenção expirar, as mensagens serão excluídas automaticamente e não poderão ser recuperadas. Para obter mais informações, consulte Retenção de quarentena.

  • Todas as ações executadas por administradores ou usuários em mensagens em quarentena são auditadas. Para obter mais informações sobre eventos de quarentena auditados, consulte Esquema de quarentena na API de Gerenciamento de Office 365.

Use o portal Microsoft Defender para gerenciar mensagens de email em quarentena

Exibir email em quarentena

No portal Microsoft Defender em https://security.microsoft.com, acesse Email & guiaRevisão de>Quarentena>Email de colaboração>. Ou, para acessar diretamente a guia Email na página Quarentena, use https://security.microsoft.com/quarantine?viewid=Email.

Na guia Email, você pode diminuir o espaçamento vertical na lista clicando em Espaçamento de lista de alterações para compactar ou normal e selecionar Lista compacta.

Você pode classificar as entradas clicando em um cabeçalho de coluna disponível. Selecione Personalizar colunas para alterar as colunas mostradas. Os valores padrão são marcados com um asterisco (*):

  • Horário do recebimento*
  • Assunto*
  • Remetente*
  • Motivo de* quarentena (confira os valores possíveis no Descrição do filtro .)
  • Versão status* (consulte os valores possíveis na descrição do filtro.)
  • Tipo de política* (confira os valores possíveis no Descrição do filtro .)
  • Expira*
  • Destinatário: o endereço de email do destinatário sempre é resolvido para o endereço de email principal, mesmo que a mensagem tenha sido enviada para um endereço proxy.
  • ID da mensagem
  • Nome da política
  • Tamanho da mensagem
  • Direção do Email do Outlook
  • Marca de destinatário

Para filtrar as entradas, selecione Filtrar. Os seguintes filtros estão disponíveis no flyout filtros que é aberto:

  • ID da mensagem: O identificador global exclusivo da mensagem.

    Por exemplo, você usou o rastreamento de mensagens para procurar uma mensagem e determina que a mensagem foi colocada em quarentena em vez de entregue. Certifique-se de incluir o valor completo da ID da mensagem, que pode incluir colchetes de ângulo (<>). Por exemplo: <79239079-d95a-483a-aacf-e954f592a0f6@XYZPR00BM0200.contoso.com>.

  • Endereço do remetente.

  • Endereço do destinatário

  • Assunto

  • Tempo recebido:

    • Últimas 24 horas
    • Últimos 7 dias
    • Últimos 14 dias
    • Últimos 30 dias (padrão)
    • Personalizado: insira uma Hora de início e uma Hora de término (data).

  • Expira: filtrar mensagens quando expirarem de quarentena:

    • Hoje
    • Próximos 2 dias
    • Próximas 7 semanas
    • Personalizado: insira uma Hora de início e uma Hora de término (data).

  • Marca do destinatário: atualmente, a única marca de usuário selecionável é a conta Priority.

  • Motivo da quarentena:

    • Regra de fluxo de email (regra de fluxo de mensagens)
    • Em massa
    • Spam
    • Prevenção contra perda de dados
    • Malware: políticas anti-malware em políticas de EOP ou Anexos Seguros em Defender para Office 365. O valor tipo de política indica qual recurso foi usado.
    • Phishing: O veredito do filtro de spam foi Phishing ou a proteção anti-phishing colocou a mensagem em quarentena (configurações de falsificação ou proteção contra usurpação de identidade).
    • Phishing de alta confiança
    • Administração ação – Bloco de tipo de arquivo: mensagens bloqueadas como malware pelo filtro de anexos comuns em políticas anti-malware. Para obter mais informações, consulte Políticas anti-malware.

  • Destinatário: todos os usuários ou somente eu. Os usuários finais só podem gerenciar mensagens em quarentena enviadas a eles.

  • Status da versão: Qualquer um dos seguintes valores:

    • Precisa de revisão
    • Aprovado
    • Negado
    • Liberação solicitada
    • Lançamento
    • Preparando-se para a liberação
    • Erro

  • Tipo de política: filtrar mensagens por tipo de política:

    • Política anti-malware
    • Política de Anexos Seguros
    • Política anti-phishing
    • Política anti-spam
    • Regra de fluxo de email (regra de fluxo de mensagens)
    • Regra de prevenção contra perda de dados

    Os valores de razão de quarentena e tipo de política são inter-relacionados. Por exemplo, Bulk sempre está associado a uma política anti-spam, nunca com uma política Anti-malware.

Quando terminar o sobrevoo Filtros , selecione Aplicar. Para limpar os filtros, selecione Limpar filtros.

Dica

Os filtros são armazenados em cache. Os filtros das últimas sessões são selecionados por padrão na próxima vez que você abrir a página Quarentena . Esse comportamento ajuda nas operações de triagem.

Use a caixa Pesquisa e um valor correspondente para encontrar mensagens específicas. Os curingas não possuem suporte. Você pode pesquisar pelos seguintes valores:

  • Endereço de e-mail do remetente
  • Assunto. Use todo o assunto da mensagem. A pesquisa não é sensível a casos.

Depois de inserir os critérios de pesquisa, pressione Enter para filtrar os resultados.

Observação

A caixa Pesquisa procura itens em quarentena no modo de exibição atual (que é limitado a 100 itens), nem todos os itens em quarentena. Para pesquisar todos os itens em quarentena, use Filtro e o submenu Filtros resultantes.

Depois de encontrar uma mensagem em quarentena específica, selecione a mensagem para exibir detalhes sobre ela e a ação nela (por exemplo, exibir, liberar, baixar ou excluir a mensagem).

Dica

Em dispositivos móveis, os controles descritos anteriormente estão disponíveis em Mais.

Captura de tela da seleção de uma mensagem em quarentena e, em seguida, selecionar Mais em um dispositivo móvel.

Exibir detalhes de email em quarentena

  1. No portal Microsoft Defender em https://security.microsoft.com, acesse Email & guiaRevisão de>Quarentena>Email de colaboração>. Ou, para acessar diretamente a guia Email na página Quarentena, use https://security.microsoft.com/quarantine?viewid=Email.

  2. Na guia Email, selecione a mensagem em quarentena clicando em qualquer lugar da linha diferente da caixa marcar.

No flyout de detalhes que é aberto, as seguintes informações estão disponíveis:

Dica

As ações que estão disponíveis na parte superior do flyout são descritas em Tomar medidas em email em quarentena.

Para ver detalhes sobre outras mensagens em quarentena sem sair do flyout de detalhes, use Item Anterior e Próximo item na parte superior do flyout.

  • Seção Detalhes da quarentena :

    • Recebido: a data e a hora em que a mensagem foi recebida.

    • Expira: a data/hora em que a mensagem é excluída automaticamente e permanentemente da quarentena.

    • Assunto

    • Motivo de quarentena: mostra se uma mensagem foi identificada como Spam, Bulk, Phish, correspondeu a uma regra de fluxo de email (regra de transporte) ou foi identificada como contendo Malware.

    • Tipo de política

    • Nome da política

    • Contagem dos destinatários

    • Destinatários: se a mensagem contiver vários destinatários, talvez seja necessário usar a mensagem Visualizar ou Exibir cabeçalho de mensagem para ver a lista completa de destinatários.

      Os endereços de email do destinatário sempre resolve para o endereço de email principal, mesmo que a mensagem tenha sido enviada para um endereço proxy.

    • Liberado para ou Não lançado para: se a mensagem exigir revisão por um administrador antes de ser lançada:

      • Liberado para: Email endereços de destinatários aos quais a mensagem foi liberada.
      • Ainda não foi divulgado: Email endereços de destinatários aos quais a mensagem não foi liberada.

O restante do flyout de detalhes contém os detalhes de entrega, Email detalhes, URLs e anexos que fazem parte do painel de resumo Email. Para obter mais informações, consulte O painel de resumo do Email.

Captura de tela do flyout de detalhes que é aberto depois que você seleciona uma mensagem de email em quarentena na guia Email da página Quarentena.

Para tomar medidas sobre a mensagem, consulte a próxima seção.

Dica

Para ver detalhes sobre outras mensagens em quarentena sem sair do flyout de detalhes, use Item Anterior e Próximo item na parte superior do flyout.

Tomar medidas quanto aos emails em quarentena

  1. No portal Microsoft Defender em https://security.microsoft.com, acesse Email & guiaRevisão de>Quarentena>Email de colaboração>. Ou, para acessar diretamente a guia Email na página Quarentena, use https://security.microsoft.com/quarantine?viewid=Email.

  2. Na guia Email, selecione a mensagem de email em quarentena usando um dos seguintes métodos:

    • Selecione a mensagem na lista selecionando a caixa marcar ao lado da primeira coluna. As ações disponíveis não estão mais esmaeadas.

      Captura de tela das ações disponíveis depois de selecionar a caixa marcar de uma mensagem em quarentena na guia Email na página Quarentena.

    • Selecione a mensagem na lista clicando em qualquer lugar da linha que não seja a caixa marcar. As ações disponíveis estão no flyout de detalhes que é aberto.

      Captura de tela das ações disponíveis no flyout de detalhes que é aberto depois que você seleciona uma mensagem em quarentena na guia Email da página Quarentena.

    Usando qualquer método para selecionar a mensagem, muitas ações estão disponíveis em mais ou mais opções.

Depois de selecionar a mensagem em quarentena, as ações disponíveis serão descritas nas subseções a seguir.

Dica

Em dispositivos móveis, a experiência de ação é ligeiramente diferente:

  • Ao selecionar a mensagem selecionando a caixa marcar, todas as ações estão em Mais:

    Captura de tela de selecionar uma mensagem em quarentena e selecionar Mais em um dispositivo móvel.

  • Quando você seleciona a mensagem clicando em qualquer lugar da linha que não seja a caixa marcar, o texto de descrição não está disponível em alguns dos ícones de ação no flyout de detalhes. Mas as ações e sua ordem são as mesmas de um computador:

    Captura de tela dos detalhes de uma mensagem em quarentena com as ações disponíveis realçadas.

Liberar email em quarentena

Essa ação não está disponível para mensagens de email que já foram lançadas (o valor status de lançamento é Liberado).

Se você não liberar ou remover uma mensagem, ela será excluída automaticamente da quarentena após a data mostrada na coluna Expira .

  • Você não pode liberar uma mensagem para o mesmo destinatário mais de uma vez.
  • Ao selecionar destinatários originais individuais para receber a mensagem liberada, você pode selecionar apenas os destinatários que ainda não receberam a mensagem lançada.
  • Os membros do grupo de funções Administradores de Segurança podem ver e usar a mensagem Enviar à Microsoft para melhorar a detecção e permitir email com opções de atributos semelhantes .
  • Os usuários podem relatar falsos positivos à Microsoft de quarentena, dependendo do valor do Reporting da configuração de quarentena nas configurações relatadas pelo usuário.

Dica

  • Soluções antivírus, serviços de segurança e conectores de saída de terceiros podem causar os seguintes problemas para mensagens liberadas da quarentena:

    • A mensagem é colocada em quarentena após ser liberada.
    • O conteúdo é removido da mensagem liberada antes de chegar à caixa de entrada do destinatário.
    • A mensagem liberada nunca chega na caixa de entrada do destinatário.
    • Ações em notificações de quarentena podem ser selecionadas aleatoriamente.

    Verifique se você não está usando filtragem de terceiros antes de abrir um tíquete de suporte sobre esses problemas.

  • As regras de caixa de entrada (criadas por usuários no Outlook ou por administradores usando os cmdlets *-InboxRule em Exchange Online PowerShell) podem mover ou excluir mensagens da caixa de entrada.

Os administradores podem usar o rastreamento de mensagens para determinar se uma mensagem liberada foi entregue na caixa de entrada do destinatário.

Depois de selecionar a mensagem, use um dos seguintes métodos para liberá-la:

  • Na guia Email: Selecione Versão.
  • No flyout de detalhes da mensagem selecionada: selecione Liberar email.

No flyout Liberar email para caixas de entrada do destinatário que é aberto, configure as seguintes opções:

  • Selecione um dos seguintes valores:

    • Versão para todos os destinatários
    • Versão para um ou mais dos destinatários originais do email: insira os destinatários na caixa Destinatários exibida.

  • Envie uma cópia dessa mensagem para outro destinatário: se você selecionar essa opção, selecione um ou mais destinatários clicando na caixa Destinatários exibida.

  • Envie a mensagem para a Microsoft para melhorar a detecção: se você selecionar essa opção, a mensagem erroneamente colocada em quarentena será relatada à Microsoft como um falso positivo. Dependendo dos resultados de sua análise, as regras de filtro de spam em todo o serviço podem ser ajustadas para permitir a passagem da mensagem.

    Selecionar essa opção revela as seguintes opções:

    • Permitir essa mensagem: se você selecionar essa opção, permita que as entradas sejam adicionadas à Lista de Permissões/Blocos do Locatário para o remetente e quaisquer URLs ou anexos relacionados na mensagem. As seguintes opções também aparecem:
      • Remover a entrada após: o valor padrão é de 30 dias, mas você também pode selecionar 1 dia, 7 dias ou uma data específica que seja menor que 30 dias.
      • Permitir nota de entrada: insira uma nota opcional que contenha informações adicionais.

Quando terminar o lançamento do email para o flyout das caixas de entrada do destinatário , selecione Liberar mensagem.

De volta à guia Email, o valor status de versão da mensagem é Liberado.

Aprovar ou negar solicitações de liberação de usuários para email em quarentena

Os usuários podem solicitar a liberação de mensagens de email se a política de quarentena usar Permitir que os destinatários solicitem que uma mensagem seja liberada da quarentena (PermissionToRequestRelease permissão) em vez de permitir que os destinatários liberem uma mensagem de quarentena (PermissionToRelease permissão) quando a mensagem foi colocada em quarentena. Para obter mais informações, consulte Create políticas de quarentena no portal Microsoft Defender.

Depois que um destinatário solicita a liberação da mensagem de email, a Versão status valor muda para Release solicitada e um administrador pode aprovar ou negar a solicitação.

Dica

Um alerta para liberar a mensagem pode ser criado para várias solicitações de versão para essa mensagem. Use o link de quarentena na seção Detalhes da mensagem de alerta para tomar medidas sobre a solicitação de versão dos usuários da organização nos últimos 7 dias.

Se você não liberar ou remover uma mensagem, ela será excluída automaticamente da quarentena após a data mostrada na coluna Expira .

Depois de selecionar a mensagem, use um dos seguintes métodos para aprovar ou negar a solicitação de versão:

  • Na guia Email: selecione Aprovar versão ou Negar.
  • No flyout de detalhes da mensagem selecionada: Selecione Mais e selecione Aprovar versão ou Negar versão.

Se você selecionar Aprovar versão, será aberto um flyout de aprovação de versão em que você pode examinar as informações sobre a mensagem. Para aprovar a solicitação, selecione Aprovar versão. Um flyout aprovado pela Versão é aberto onde você pode selecionar o link para saber mais sobre como liberar mensagens. Selecione Concluído quando terminar o flyout aprovado pela versão . De volta à guia Email, a versão status valor da mensagem é alterada para Aprovado.

Se você selecionar Negar, um flyout de versão do Deny será aberto no qual você pode examinar as informações sobre a mensagem. Para negar a solicitação, selecione Negar versão. Um flyout negado pela Versão é aberto onde você pode selecionar o link para saber mais sobre como liberar mensagens. Selecione Concluído quando você estiver concluído no flyout negado pela versão . De volta à guia Email, a versão status valor da mensagem é alterada para Negado.

Dica

Você pode negar a liberação somente para todos os destinatários. Você não pode negar a liberação para destinatários específicos.

Excluir email da quarentena

Quando você exclui uma mensagem de email da quarentena, a mensagem é removida e não é enviada aos destinatários originais.

Se você não liberar ou remover uma mensagem, ela será excluída automaticamente da quarentena após a data mostrada na coluna Expira .

Depois de selecionar a mensagem, use um dos seguintes métodos para removê-la:

  • Na guia Email: selecione Excluir da quarentena.
  • No flyout de detalhes da mensagem selecionada: selecione Mais opções>Excluir da quarentena.

Nas mensagens Excluir (n) do flyout de quarentena que é aberto, use um dos seguintes métodos para excluir a mensagem:

  • Selecione Excluir permanentemente a mensagem da quarentena e selecione Excluir: a mensagem é excluída permanentemente e não é recuperável.
  • Selecione Excluir somente: a mensagem é excluída, mas é potencialmente recuperável.

Depois de selecionar Excluirnas mensagens Excluir (n) do flyout de quarentena, você retornará à guia Email em que a mensagem não está mais listada.

Visualizar email da quarentena

Depois de selecionar a mensagem, use um dos seguintes métodos para visualizar:

  • Na guia Email: selecione Visualizar mensagem.
  • No flyout de detalhes da mensagem selecionada: Selecione Mais opções>Visualizar mensagem.

No flyout aberto, escolha uma das seguintes guias:

  • Fonte: Mostra a versão HTML do corpo da mensagem com todos os links desabilitados.
  • Texto sem formatação: Mostra o corpo da mensagem em sem formatação.

Exibir cabeçalhos de mensagem de email

Depois de selecionar a mensagem, use um dos seguintes métodos para exibir os cabeçalhos da mensagem:

  • Na guia Email: selecione Mais>Exibir cabeçalhos de mensagem.
  • No flyout de detalhes da mensagem selecionada: selecione Mais opções>Exibir cabeçalhos de mensagem.

No flyout de cabeçalho de mensagem que é aberto, o cabeçalho da mensagem (todos os campos de cabeçalho) é mostrado.

Use o cabeçalho Copiar mensagem para copiar o cabeçalho da mensagem para a área de transferência.

Selecione o link Analisador de Cabeçalho da Mensagem da Microsoft para analisar os campos de cabeçalho e os valores em profundidade. Cole o cabeçalho da mensagem no cabeçalho Inserir a mensagem que você gostaria de analisar (CTRL+V ou clique com o botão direito do mouse e escolha Colar) e selecioneAnalisar cabeçalhos.

Relatar email à Microsoft para revisão da quarentena

Depois de selecionar a mensagem, use um dos seguintes métodos para relatar a mensagem à Microsoft para análise:

  • Na guia Email: selecione Mais>Enviar para revisão.
  • No flyout de detalhes da mensagem selecionada: selecione Mais opções>Enviar para revisão.

No flyout Enviar à Microsoft para análise que é aberto, configure as seguintes opções:

  • Adicione a ID da mensagem de rede ou carregue o arquivo de email: selecione uma das seguintes opções:

    • Adicione a ID da mensagem de rede de email: esse valor é selecionado por padrão, com o valor correspondente na caixa.
    • Carregar o arquivo de email (.msg ou eml): depois de selecionar essa opção, selecione o botão Procurar arquivos que aparece para localizar e selecione o arquivo de mensagem .msg ou .eml para enviar.

  • Escolha um destinatário que teve um problema: selecione um (preferencial) ou mais destinatários originais da mensagem para analisar as políticas que foram aplicadas a eles.

  • Selecione um motivo para enviar à Microsoft: escolha uma das seguintes opções:

    • Confirmei que é limpo (padrão): selecione essa opção se você tiver certeza de que a mensagem está limpo e selecione Avançar. Em seguida, as seguintes configurações estão disponíveis:

      • Permitir este email: se você selecionar essa opção, permita que as entradas sejam adicionadas à Lista de Permissões/Blocos do Locatário para o remetente e quaisquer URLs ou anexos relacionados na mensagem. As seguintes opções também aparecem:
      • Remover a entrada após: o valor padrão é de 30 dias, mas você também pode selecionar 1 dia, 7 dias ou uma data específica que seja menor que 30 dias.
      • Permitir nota de entrada: insira uma nota opcional que contenha informações adicionais.

    • Ele aparece limpo: selecione essa opção se você não tiver certeza e quiser um veredicto da Microsoft.

Quando terminar o envio à Microsoft para o flyout de análise, selecione Enviar.

Dica

Os usuários podem relatar falsos positivos à Microsoft de quarentena, dependendo do valor do Reporting da configuração de quarentena nas configurações relatadas pelo usuário.

Bloquear remetentes de email da quarentena

A ação Remetentes de Bloco adiciona o remetente da mensagem de email selecionada à lista De remetentes bloqueados na caixa de correio de quem estiver conectado. Normalmente, essa ação é usada pelos usuários finais se estiver disponível para eles por políticas de quarentena. Para obter mais informações sobre usuários que bloqueiam remetentes, consulte Bloquear um remetente de email

Depois de selecionar a mensagem, use um dos seguintes métodos para adicionar o remetente de mensagens à lista de remetentes bloqueados em sua caixa de correio:

  • Na guia Email: selecione Mais>Remetente de Blocos.
  • No flyout de detalhes da mensagem selecionada: Selecione Mais opções>Bloquear remetente.

No flyout do remetente bloquear que é aberto, examine as informações sobre o remetente e selecione Bloquear.

Dica

A organização ainda pode receber emails do remetente bloqueado. As mensagens do remetente são entregues às pastas Email de lixo eletrônico do usuário ou à quarentena. Para excluir mensagens do remetente na chegada, use regras de fluxo de email (também conhecidas como regras de transporte) para Bloquear a mensagem.

Compartilhar email da quarentena

Você pode enviar uma cópia da mensagem de email em quarentena, incluindo conteúdo potencialmente prejudicial, para os destinatários especificados.

Depois de selecionar a mensagem, use um dos seguintes métodos para enviar uma cópia dela para outras pessoas:

  • Na guia Email: selecione Mais>compartilhamento de email.
  • No flyout de detalhes da mensagem selecionada: selecione Mais opções>Compartilhar email.

No email Compartilhar com outros usuários que é aberto, selecione um ou mais destinatários para receber uma cópia da mensagem. Quando terminar, selecione Compartilhar.

Baixar email da quarentena

Depois de selecionar a mensagem de email, use qualquer um dos seguintes métodos para baixá-la:

  • Na guia Email: selecione Mais>Mensagens de Download.
  • No flyout de detalhes da mensagem selecionada: Selecione Mais opções>Baixar mensagem.

No flyout baixar arquivo que é aberto, insira as seguintes informações:

  • Motivo para baixar o arquivo: insira texto descritivo.
  • Create senha e confirmar senha: insira uma senha necessária para abrir o arquivo de mensagem baixado.

Quando terminar o flyout baixar arquivo , selecione Baixar.

Quando o download estiver pronto, uma caixa de diálogo Salvar como é aberta para você exibir ou alterar o nome e o local do arquivo baixado. Por padrão, o arquivo de mensagem .eml é salvo em um arquivo compactado chamado Messages.zip em quarentena na pasta Downloads . Se o arquivo .zip já existir, um número será acrescentado ao nome do arquivo (por exemplo, Mensagens em quarentena(1).zip).

Aceite ou altere os detalhes do arquivo baixado e selecione Salvar.

De volta ao flyout Baixar arquivo , selecione Concluído.

Ações para mensagens de email em quarentena no Defender para Office 365

Em organizações com Microsoft Defender para Office 365 (licenças de complemento ou incluídas em assinaturas como Microsoft 365 E5 ou Microsoft 365 Business Premium), as seguintes ações também estão disponíveis no flyout de detalhes de uma mensagem selecionada:

Tomar medidas em várias mensagens quanto aos emails em quarentena

Quando você seleciona várias mensagens em quarentena na guia Email selecionando as caixas de marcar ao lado da primeira coluna, as seguintes ações em massa estão disponíveis na guia Email (dependendo da versão status valores das mensagens selecionadas):

Captura de tela das ações disponíveis na guia Email da página Quarentena depois de selecionar a caixa marcar de várias mensagens em quarentena.

Localizar quem excluiu uma mensagem em quarentena

Por padrão, muitos veredictos de política de segurança permitem que os usuários excluam suas mensagens em quarentena (mensagens em que são destinatários). Para obter mais informações, consulte a tabela em Gerenciar mensagens e arquivos em quarentena como usuário.

Os administradores podem pesquisar o log de auditoria para localizar eventos em busca de mensagens que foram excluídas da quarentena usando os seguintes procedimentos:

  1. No portal do Defender em https://security.microsoft.com, acesse Auditoria. Ou para ir direto para a página Auditoria, use https://security.microsoft.com/auditlogsearch.

    Dica

    Você também pode acessar a página Auditoria no portal de conformidade do Microsoft Purview emhttps://compliance.microsoft.com/auditlogsearch

  2. Na página Auditoria, verifique se a guia Novo Pesquisa está selecionada e configure as seguintes configurações:

    • INTERVALO de data e hora (UTC)
    • Atividades – nomes amigáveis: clique na caixa, comece a digitar "quarentena" na caixa Pesquisa que aparece e selecione Mensagem de quarentena excluída nos resultados.
    • Usuários: se souber quem excluiu a mensagem da quarentena, você poderá filtrar ainda mais os resultados pelo usuário.

  3. Quando terminar de inserir os critérios de pesquisa, selecione Pesquisa para gerar a pesquisa.

Para obter instruções completas para pesquisas de log de auditoria, consulte Audit New Pesquisa.

Use o portal Microsoft Defender para gerenciar arquivos em quarentena no Defender para Office 365

Observação

Os procedimentos para arquivos em quarentena nesta seção estão disponíveis apenas para assinantes Microsoft Defender para Office 365 Plano 1 ou Plano 2.

Os arquivos em quarentena no SharePoint ou no OneDrive são removidos da quarentena após 30 dias, mas os arquivos bloqueados permanecem no SharePoint ou no OneDrive no estado bloqueado.

Em organizações com Defender para Office 365, os administradores podem gerenciar arquivos que foram colocados em quarentena por Anexos Seguros para SharePoint, OneDrive e Microsoft Teams. Para habilitar a proteção para esses arquivos, consulte Ativar anexos seguros para SharePoint, OneDrive e Microsoft Teams.

Exibir arquivos em quarentena

No portal Microsoft Defender em https://security.microsoft.com, acesse Email & guiaRevisar>Arquivos deQuarentena> de colaboração>. Ou, para acessar diretamente a guia Arquivos na página Quarentena, use https://security.microsoft.com/quarantine?viewid=Files.

Na guia Arquivos, você pode diminuir o espaçamento vertical na lista clicando em Alterar espaçamento de lista para compactar ou normal e selecionar lista compacta.

Você pode classificar as entradas clicando em um cabeçalho de coluna disponível. Selecione Personalizar colunas para alterar as colunas mostradas. Os valores padrão são marcados com um asterisco (*):

  • Usuário*
  • Local*: o valor é SharePoint ou OneDrive.
  • Nome do arquivo de anexo*
  • URL do arquivo*
  • File Size.
  • Status da versão*
  • Expira*
  • Detectado por
  • Modificado pelo tempo

Para filtrar as entradas, selecione Filtrar. Os seguintes filtros estão disponíveis no flyout filtros que é aberto:

  • Tempo recebido:
    • Últimas 24 horas
    • Últimos 7 dias
    • Últimos 14 dias
    • Últimos 30 dias (padrão)
    • Personalizado: insira uma Hora de início e uma Hora de término (data).
  • Expira:
    • Personalizado (padrão): insira uma hora de início e hora de término (data).
    • Hoje
    • Próximos 2 dias
    • Próximas 7 semanas
  • Motivo da quarentena: o único valor disponível é Malware.
  • Tipo de política: o único valor disponível é Desconhecido.

Quando terminar no flyout filtros , selecione Aplicar. Para limpar os filtros, selecione Limpar filtros.

Use a caixa Pesquisa e um valor correspondente para localizar arquivos específicos por nome de arquivo. Os curingas não possuem suporte.

Depois de inserir os critérios de pesquisa, pressione Enter para filtrar os resultados.

Depois de encontrar um arquivo em quarentena específico, selecione o arquivo para exibir detalhes sobre ele e a ação nele (por exemplo, exibir, liberar, baixar ou excluir o arquivo).

Exibir detalhes do arquivo em quarentena

  1. No portal Microsoft Defender em https://security.microsoft.com, acesse Email & guiaRevisar>Arquivos deQuarentena> de colaboração>. Ou, para acessar diretamente a guia Arquivos na página Quarentena, use https://security.microsoft.com/quarantine?viewid=Files.

  2. Na guia Arquivos, selecione o arquivo em quarentena clicando em qualquer lugar da linha diferente da caixa marcar.

No flyout de detalhes que é aberto, as seguintes informações estão disponíveis:

Captura de tela do flyout de detalhes que é aberto depois que você seleciona um arquivo em quarentena na guia Arquivos da página Quarentena.

  • Seção Detalhes do arquivo :
    • Nome do arquivo
    • URL do arquivo: URL que define o local do arquivo (por exemplo, no SharePoint Online).
    • Conteúdo mal-intencionado detectado em A data/hora em que o arquivo foi colocado em quarentena.
    • Expira: a data em que o arquivo será excluído da quarentena.
    • Detectado por
    • Lançado?
    • Nome do malware
    • ID do documento: um identificador exclusivo para o documento.
    • File Size.
    • Organização A ID exclusiva da sua organização.
    • Última modificação
    • Última modificação por: o usuário que modificou o arquivo pela última vez.
    • Valor do Algoritmo de Hash Seguro de 256 bits (SHA-256): você pode usar esse valor de hash para identificar o arquivo em outros repositórios de reputação ou em outros locais em seu ambiente.

Para agir no arquivo, consulte a próxima seção.

Dica

Para ver detalhes sobre outros arquivos em quarentena sem sair do flyout de detalhes, use Item Anterior e Próximo item na parte superior do flyout.

Agir em arquivos em quarentena

  1. No portal Microsoft Defender em https://security.microsoft.com, acesse Email & guiaRevisar>Arquivos deQuarentena> de colaboração>. Ou, para acessar diretamente a guia Arquivos na página Quarentena, use https://security.microsoft.com/quarantine?viewid=Files.

  2. Na guia Arquivos, selecione o arquivo em quarentena clicando em qualquer lugar da linha diferente da caixa marcar.

Depois de selecionar o arquivo em quarentena, as ações disponíveis no flyout de detalhes do arquivo que é aberto são descritas nas subseções a seguir.

Captura de tela das ações disponíveis no flyout de detalhes que é aberto depois que você seleciona um arquivo em quarentena na guia Arquivos da página Quarentena.

Liberar arquivos em quarentena da quarentena

Essa ação não está disponível para arquivos que já foram lançados (o valor lançado status é Liberado).

Se você não liberar ou excluir o arquivo da quarentena, o arquivo será removido da quarentena depois que o período de retenção de quarentena padrão expirar (conforme mostrado na coluna Expira ), mas o arquivo bloqueado permanecerá no SharePoint ou no OneDrive no estado bloqueado.

Depois de selecionar o arquivo, selecione Liberar arquivo no flyout de detalhes do arquivo que é aberto.

Na seção Liberar arquivos e denunciá-los ao flyout da Microsoft que é aberto, exibir os detalhes do arquivo nos arquivos de relatório para a Microsoft para análise , decidir se deve selecionar Arquivos de relatório para a Microsoft para análise e, em seguida, selecionar Liberar.

Nos Arquivos foram lançados o flyout que é aberto, selecione Concluído.

De volta ao flyout de detalhes do arquivo, selecione Fechar.

De volta à guia Arquivos, a versão status valor do arquivo é Lançada.

Baixar arquivos em quarentena da quarentena

Depois de selecionar o arquivo, selecione Baixar arquivo no flyout de detalhes que é aberto.

No flyout baixar arquivo que é aberto, insira as seguintes informações:

  • Motivo para baixar o arquivo: insira texto descritivo.
  • Create senha e confirmar senha: insira uma senha necessária para abrir o arquivo baixado.

Quando terminar o flyout baixar arquivo , selecione Baixar.

Quando o download estiver pronto, uma caixa de diálogo Salvar como é aberta para você exibir ou alterar o nome e o local do arquivo baixado. Por padrão, o arquivo é salvo em um arquivo compactado chamado quarentena Messages.zip na pasta Downloads . Se o arquivo .zip já existir, um número será acrescentado ao nome do arquivo (por exemplo, Mensagens em quarentena(1).zip).

Aceite ou altere os detalhes do arquivo baixado e selecione Salvar.

De volta ao flyout Baixar arquivo , selecione Concluído.

Excluir arquivos em quarentena da quarentena

Se você não liberar ou excluir o arquivo da quarentena, o arquivo será removido da quarentena depois que o período de retenção de quarentena padrão expirar (conforme mostrado na coluna Expira ), mas o arquivo bloqueado permanecerá no SharePoint ou no OneDrive no estado bloqueado.

Depois de selecionar o arquivo, selecione Mais>Excluir da quarentena no flyout de detalhes que é aberto.

Selecione Continuar na caixa de diálogo de aviso que é aberta.

De volta à guia Arquivos , o arquivo não está mais listado.

Agir em vários arquivos em quarentena

Quando você seleciona vários arquivos em quarentena na guia Arquivos selecionando as caixas de marcar ao lado da primeira coluna (até 100 arquivos), uma lista suspensa ações em massa é exibida onde você pode executar as seguintes ações:

Captura de tela das ações disponíveis na guia Arquivos da página Quarentena depois de selecionar a caixa marcar de vários arquivos em quarentena.

Usar o portal Microsoft Defender para gerenciar mensagens em quarentena do Microsoft Teams

Dica

O ZAP (limpeza automática) de zero hora no Microsoft Teams está atualmente em Versão Prévia, não está disponível em todas as organizações e está sujeito a alterações.

A quarentena no Microsoft Teams está disponível apenas em organizações com Microsoft Defender para Office 365 Plano 2 (licenças de complemento ou incluídas em assinaturas como Microsoft 365 E5).

Quando uma mensagem de chat potencialmente mal-intencionada é detectada no Microsoft Teams, o ZAP (limpeza automática de zero horas) remove a mensagem e a coloca em quarentena. Os administradores podem exibir e gerenciar essas mensagens do Teams em quarentena. A mensagem fica em quarentena por 30 dias. Depois disso, a mensagem do Teams será removida permanentemente.

Esse recurso é habilitado por padrão.

Exibir mensagens do Teams em quarentena

No portal do Microsoft Defender em https://security.microsoft.com, acesse Email & guiaDe revisão de>mensagens do Teams dequarentena> de colaboração>. Ou, para acessar diretamente a guia Mensagens do Teams na página Quarentena, use https://security.microsoft.com/quarantine?viewid=Teams.

Na guia Mensagens do Teams, você pode diminuir o espaçamento vertical na lista clicando em Espaçamento de lista de alterações para compactar ou normal e selecionar lista compacta.

Você pode classificar as entradas clicando em um cabeçalho de coluna disponível. Selecione Personalizar colunas para alterar as colunas mostradas. Os valores padrão são marcados com um asterisco (*):

  • Texto da mensagem do Teams: contém o assunto para a mensagem do Teams.*
  • Tempo recebido: a hora em que a mensagem foi recebida pelo destinatário.*
  • Versão status: mostra se a mensagem já foi revisada e liberada ou precisa ser analisada. *
  • Participantes: o número total de usuários que receberam a mensagem.*
  • Remetente: a pessoa que enviou a mensagem que foi colocada em quarentena.*
  • Motivo da quarentena: as opções disponíveis são "Phish de alta confiança" e "Malware".*
  • Tipo de política: a política de organização responsável pela mensagem em quarentena.*
  • Expira: indica o tempo após o qual a mensagem é removida da quarentena. Por padrão, esse valor é de 30 dias.*
  • Endereço do destinatário: Email endereço dos destinatários.*
  • ID da mensagem: inclui a ID da mensagem de chat.

Para filtrar as entradas, selecione Filtrar. Os seguintes filtros estão disponíveis no flyout filtros que é aberto:

  • ID da mensagem
  • Endereço do remetente.
  • Endereço do destinatário
  • Assunto
  • Tempo recebido:
    • Últimas 24 horas
    • Últimos 7 dias
    • Últimos 14 dias
    • Últimos 30 dias (padrão)
    • Personalizado: insira uma Hora de início e uma Hora de término (data).
  • Expira:
    • Personalizado (padrão): insira uma hora de início e hora de término (data).
    • Hoje
    • Próximos 2 dias
    • Próximas 7 semanas
  • Motivo da quarentena: os valores disponíveis são Malware e phishing de alta confiança.
  • Destinatário: selecione Todos os usuários ou Somente eu.
  • Examine status: Selecione Necessidades de revisão e Liberado.

Quando terminar no flyout filtros , selecione Aplicar. Para limpar os filtros, selecione Limpar filtros.

Use a caixa Pesquisa e um valor correspondente para encontrar mensagens específicas do Teams. Os curingas não possuem suporte.

Depois de encontrar uma mensagem específica do Teams em quarentena, selecione a mensagem para exibir detalhes sobre ela e tomar medidas sobre ela (por exemplo, exibir, liberar, baixar ou excluir a mensagem).

Exibir detalhes da mensagem do Teams em quarentena

Na guia Mensagens do Teams da página Quarentena, selecione a mensagem em quarentena clicando em qualquer lugar da linha diferente da caixa marcar ao lado da primeira coluna.

As seguintes informações de mensagem estão disponíveis na parte superior do flyout de detalhes:

Dica

Para ver detalhes sobre outras mensagens do Teams em quarentena sem sair do flyout de detalhes, use Item Anterior e Próximo item na parte superior do flyout.

A próxima seção no flyout de detalhes está relacionada a mensagens do Teams em quarentena:

  • Seção Detalhes da quarentena :
    • Expires
    • Horário do recebimento
    • Motivo da quarentena
    • Status da versão
    • Tipo de política: o valor é Nenhum.
    • Nome da política: o valor é Política de Proteção do Teams.
    • Política de quarentena

O restante do flyout de detalhes contém os detalhes da mensagem, remetente, participantes, detalhes do canal e seções de URLs que fazem parte do painel entidade de mensagens do Teams. Para obter mais informações, consulte o painel de entidade mMessage do Teams no plano 2 do Microsoft Defender para Office 365.

Quando terminar o sobrevoo de detalhes, selecione Fechar.

Captura de tela do flyout de detalhes que é aberto depois que você seleciona uma mensagem do Teams em quarentena na guia Mensagens do Teams da página Quarentena.

Agir em mensagens do Teams em quarentena

No portal do Microsoft Defender em https://security.microsoft.com, acesse Email & guiaDe revisão de>mensagens do Teams dequarentena> de colaboração>. Ou, para acessar diretamente a guia Mensagens do Teams na página Quarentena, use https://security.microsoft.com/quarantine?viewid=Teams.

Na guia Mensagens do Teams , selecione a mensagem em quarentena usando um dos seguintes métodos:

  • Selecione a mensagem na lista selecionando a caixa marcar ao lado da primeira coluna. As ações disponíveis não estão mais esmaeadas.

    Captura de tela das ações disponíveis depois de selecionar a caixa marcar de uma mensagem do Teams em quarentena na guia Mensagem do Teams da página Quarentena.

  • Selecione a mensagem na lista clicando em qualquer lugar da linha que não seja a caixa marcar. As ações disponíveis estão no flyout de detalhes que é aberto.

    Captura de tela das ações disponíveis no flyout de detalhes que é aberto depois que você seleciona uma mensagem do Teams em quarentena na guia Mensagens do Teams da página Quarentena.

Usando qualquer método para selecionar a mensagem, algumas ações estão disponíveis em Mais.

Depois de selecionar a mensagem em quarentena, as ações disponíveis serão descritas nas subseções a seguir.

Liberar mensagens do Teams em quarentena

Essa ação não está disponível para mensagens do Teams que já foram lançadas (o valor status de versão é Liberado).

Se você não liberar ou remover uma mensagem, ela será excluída automaticamente da quarentena após a data mostrada na coluna Expira .

Depois de selecionar a mensagem, use um dos seguintes métodos para liberá-la:

  • Na guia Mensagens do Teams: Selecione Versão.
  • No flyout de detalhes da mensagem selecionada: Selecione Versão.

No flyout Versão para todos os participantes do chat que é aberto, decida se deve selecionar Enviar a mensagem para a Microsoft para melhorar a detecção (falso positivo)e, em seguida, selecione Liberar.

Excluir mensagens do Teams da quarentena

Se você não liberar ou remover uma mensagem do Teams, ela será excluída automaticamente da quarentena após a data mostrada na coluna Expira .

Depois de selecionar a mensagem do Teams, use um dos seguintes métodos para removê-la:

  • Na guia Mensagens do Teams: selecione Excluir mensagens.
  • No flyout de detalhes da mensagem selecionada: selecione Mais opções>Excluir da quarentena.

Na caixa de diálogo de aviso que é aberta, leia as informações e selecione Continuar.

De volta à guia Mensagens do Teams , a mensagem não está mais listada.

Visualizar mensagens do Teams da quarentena

Depois de selecionar a mensagem do Teams, use um dos seguintes métodos para visualizar:

  • Na guia Mensagens do Teams: selecione Mensagem de visualização.
  • No flyout de detalhes da mensagem selecionada: Selecione Visualização de mensagem.

No flyout aberto, escolha uma das seguintes guias:

  • Fonte: Mostra a versão HTML do corpo da mensagem com todos os links desabilitados.
  • Texto sem formatação: Mostra o corpo da mensagem em sem formatação.

Relatar mensagens do Teams à Microsoft para revisão da quarentena

Depois de selecionar a mensagem, use um dos seguintes métodos para relatar a mensagem à Microsoft para análise:

  • Na guia Mensagens do Teams: selecione Mais>Enviar para revisão.
  • No flyout de detalhes da mensagem selecionada: selecione Mais opções>Enviar para revisão.

Quando você seleciona Enviar mensagem, a mensagem é enviada à Microsoft para análise. Você recebe uma caixa de diálogo Enviada por Item na qual seleciona OK.

Baixar mensagens do Teams da quarentena

Depois de selecionar a mensagem do Teams, use um dos seguintes métodos para baixá-la:

  • Na guia Mensagens do Teams: selecione Mais>Mensagens de Download.
  • No flyout de detalhes da mensagem selecionada: Selecione Mais opções>Baixar mensagem.

No flyout Baixar mensagens que é aberto, insira as seguintes informações:

  • Motivo para baixar o arquivo: insira texto descritivo.
  • Create senha e confirmar senha: insira uma senha necessária para abrir o arquivo de mensagem baixado.

Quando terminar o flyout baixar arquivo , selecione Baixar.

Por padrão, o arquivo de mensagem .html é salvo em um arquivo compactado chamado Messages.zip em quarentena na pasta Downloads . Se o arquivo .zip já existir, um número será acrescentado ao nome do arquivo (por exemplo, Mensagens em quarentena(1).zip).

De volta ao flyout Baixar mensagens , selecione Concluído.

Agir em várias mensagens do Teams em quarentena

Quando você seleciona várias mensagens em quarentena na guia Mensagens do Teams selecionando as caixas de marcar ao lado da primeira coluna, as seguintes ações em massa estão disponíveis na guia Mensagens do Teams:

Captura de tela das ações disponíveis na guia Mensagens do Teams da página Quarentena depois de selecionar várias mensagens do Teams em quarentena.

Aprovar ou negar solicitações de liberação de usuários para mensagens do Teams em quarentena

Quando um usuário solicita a liberação de uma mensagem do Teams em quarentena, a Versão status valor muda para Release solicitada e um administrador pode aprovar ou negar a solicitação.

Para obter mais informações, consulte Aprovar ou negar solicitações de versão dos usuários.

Use Exchange Online PowerShell ou eOP PowerShell autônomo para gerenciar mensagens em quarentena

Os cmdlets que você usa para exibir e gerenciar mensagens e arquivos em quarentena são descritos nesta seção.

Para obter mais informações

Perguntas frequentes sobre mensagens em quarentena