Hantera meddelanden och filer i karantän som administratör i EOP

Viktigt

Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.

Gäller för

I Microsoft 365-organisationer med postlådor i Exchange Online eller fristående Exchange Online Protection-organisationer (EOP) utan Exchange Online-postlådor lagrar karantänen potentiellt farliga eller oönskade meddelanden. Mer information finns i EOP i karantän.

Administratörer kan visa, släppa och ta bort alla typer av meddelanden i karantän för alla användare. Administratörer kan också rapportera falska positiva resultat till Microsoft.

Som standard kan endast administratörer hantera meddelanden som har satts i karantän som skadlig programvara, nätfiske med hög säkerhet eller som ett resultat av e-postflödesregler (kallas även transportregler). Administratörer kan däremot använda karantänprinciper för att definiera vad användare tillåts göra med meddelanden i karantän baserat på varför meddelandet har satts i karantän (för funktioner som stöds). Mer information finns i Karantänprinciper.

Administratörer i organisationer med Microsoft Defender för Office 365 kan också hantera filer som har satts i karantän av Valv-bifogadefiler för SharePoint, OneDrive och Microsoft Teams.

Du visar och hanterar meddelanden i karantän i Microsoft 365 Defender-portalen eller i PowerShell (Exchange Online PowerShell för Microsoft 365-organisationer med postlådor i Exchange Online, fristående EOP PowerShell för organisationer utan Exchange Online postlådor).

Vad behöver jag veta innan jag börjar?

  • Öppna Microsoft 365 Defender-portalen genom att gå till https://security.microsoft.com. Om du vill gå direkt till sidan Karantän använder du https://security.microsoft.com/quarantine .

  • Information om hur du använder Windows PowerShell för att ansluta till Exchange Online finns i artikeln om att ansluta till Exchange Online PowerShell. Information om hur du ansluter till fristående EOP PowerShell finns i Anslut till Exchange Online Protection PowerShell.

  • Du måste ha tilldelats behörigheter i Exchange Online innan du kan genomföra procedurerna i den här artikeln:

    • Om du vill vidta åtgärder för meddelanden i karantän för alla användare måste du vara medlem i rollgrupperna Organisationshantering, Säkerhetsadministratör eller * Karantänadministratör. För att skicka meddelanden till Microsoft måste du vara medlem i rollgruppen säkerhetsadministratör.
    • För skrivskyddad åtkomst till meddelanden i karantän för alla användare måste du vara medlem i rollgrupperna Global Reader eller Säkerhetsläsare.

    Mer information finns under Behörigheter i Exchange Online.

    Anteckningar:

    • Genom att lägga till användare i motsvarande Azure Active Directory-roll i Administrationscenter för Microsoft 365 får användarna den nödvändiga behörigheten och behörigheter för andra funktioner i Microsoft 365. Mer information finns i Om administratörsroller.
    • Rollgruppen Skrivskyddad organisationshantering i Exchange Online ger också skrivskyddad åtkomst till funktionen.
    • *Medlemmar i rollgruppen Karantänadministratör i e-post- &-samarbetsroller i Microsoft 365 Defender-portalen måste också vara medlemmar i rollgruppen Hantering av grupp för rollhantering i Exchange Online för att göra karantänprocedurer i Exchange Online PowerShell.
  • Meddelanden i karantän behålls under en standardperiod baserat på varför de satts i karantän. När bevarandetiden löper ut tas meddelandena bort automatiskt och kan inte återställas. Mer information finns i EOP och Defender för Offie 365i karantän.

Använda Microsoft 365 Defender för att hantera e-postmeddelanden i karantän

Visa e-post i karantän

  1. Gå Microsoft 365 Defender e-postsamarbete, https://security.microsoft.com granska karantän i & Microsoft 365 Defender- och > > samarbetsportalen. Om du vill gå direkt till sidan Karantän använder du https://security.microsoft.com/quarantine .

  2. På sidan Karantän kontrollerar du att fliken E-post är markerad.

  3. Du kan sortera resultaten genom att klicka på en tillgänglig kolumnrubrik. Klicka på Anpassa kolumner om du vill ändra de kolumner som visas. Standardvärdena är markerade med en asterisk (*):

    • Mottagen*
    • Ämne*
    • Avsändare*
    • Orsak till karantän*
    • Släppstatus*
    • Principtyp*
    • Upphör*
    • Mottagare
    • Meddelande-ID
    • Principnamn
    • Meddelandestorlek
    • E-postriktning
    • Mottagartagg

    När du är klar klickar du på Använd.

  4. Om du vill filtrera resultaten klickar du på Filtrera. Följande filter är tillgängliga i den utfällbara menyn Filter:

    • Meddelande-ID: Meddelandets globalt unika identifierare.

      Du använde till exempel meddelandespårning för att leta efter ett meddelande som har skickats till en användare i organisationen och du anser att meddelandet har satts i karantän i stället för att levereras. Se till att ta med det fullständiga värdet för meddelande-ID, vilket kan inkludera vinkelparenteser ( <> ). Till exempel: <79239079-d95a-483a-aacf-e954f592a0f6@XYZPR00BM0200.contoso.com> .

    • Avsändaradress

    • Mottagaradress

    • Ämne

    • Mottagen tid: Ange en starttid och sluttid (datum).

    • Upphör: Filtrera meddelanden efter när de upphör att gälla från karantänen:

      • I dag
      • Kommande 2 dagarna
      • Kommande 7 dagarna
      • Anpassning: Ange en Starttid och Sluttid (datum).
    • Mottagartagg

    • Orsak till karantän:

      • Transportregel (e-postflödesregel)
      • Bulk (Massutskick)
      • Skräppost
      • Skadlig programvara: Principer för skadlig programvara i EOP eller Valv principer för bifogade filer i Defender för Office 365. Värdet för Principtyp anger vilken funktion som användes.
      • Nätfiske: Skräppostfiltrets bedömning var nätfiskeskydd eller skydd mot nätfiske i karantän för meddelandet (förfalskningsinställningar eller [personifieringsskydd](set-up-anti-phishing-policies.
      • Nätfiske med hög konfidens
    • Mottagare: Alla användare eller Bara jag. Slutanvändarna kan bara hantera meddelanden i karantän som skickas till dem.

    • Frisläppningsstatus: Något av följande värden:

      • Behöver granskas
      • Godkändes
      • Nekades
      • Frisläppning har begärts
      • Frisläpptes
    • Principtyp: filtrera meddelanden efter principtyp:

      • Princip för skydd mot skadlig programvara
      • Princip för säkra bifogade filer
      • Princip för skydd mot nätfiske
      • Princip för skräppostskydd
      • Transportregel (e-postflödesregel)

    När du är klar klickar du på Använd. Om du vill rensa filtren klickar du på Ikonen för Rensa filter. Rensa filter.

  5. Använd sökrutan och ett motsvarande värde för att söka efter specifika meddelanden. Jokertecken stöds inte. Du kan söka efter följande värden:

    • Avsändarens e-postadress
    • Ämne. Använd meddelandets hela ämne. Sökningen är inte skiftlägeskänslig.

    När du har angett sökvillkoren trycker du på RETUR för att filtrera resultaten.

När du har hittat ett specifikt meddelande i karantän väljer du meddelandet för att visa information om det och vidta åtgärder för det (till exempel visa, släpp, ladda ned eller ta bort meddelandet).

Visa information om meddelanden i karantän

När du väljer ett meddelande i karantän i listan är följande information tillgänglig i den utfällbara menyn med information som visas.

Utfällbar information om ett meddelande i karantän.

  • Meddelande-ID: Meddelandets globalt unika identifierare. Tillgängligt i sidhuvudet för meddelande-ID i meddelandehuvudet.
  • Avsändarens adress
  • Mottaget: Datumet/tiden då meddelandet togs emot.
  • Ämne
  • Orsak till karantän: Visar om ett meddelande har identifierats som skräppost, massutskick, phish, matchat en e-postflödesregel (transportregel) eller identifierats som innehåller skadlig programvara.
  • Typ av princip
  • Principnamn
  • Antal mottagare
  • Mottagare: Om meddelandet innehåller flera mottagare måste du klicka på Förhandsgranska meddelandet eller Visa meddelandehuvud för att se den fullständiga listan över mottagare.
  • Mottagartagg: Mer information finns i Användartaggar i Microsoft Defender för Office 365.
  • Upphör: Datumet/tiden då meddelandet tas bort automatiskt och permanent från karantänen.
  • Släppt till: Alla e-postadresser som meddelandet har släppts till.
  • Släppt till: Alla e-postadresser som meddelandet har släppts till.

Information om hur du vidtar åtgärder för meddelandet finns i nästa avsnitt.

Anteckning

Använd upp- och nedpilarna högst upp i den utfällbara menyn för att behålla informationen, men ändra meddelandet i karantän som du tittar på.

Upp- och nedpilarna i den utfällbara menyn med information om ett meddelande i karantän.

Vidta åtgärder för e-post i karantän

När du har valt ett meddelande i karantän i listan är följande åtgärder tillgängliga i den utfällbara informationsmenyn:

Tillgängliga åtgärder i den utfällbara menyn med information om ett meddelande i karantän.

  • Ikon för släpp e-post. Släpp * e-post: I det utfällfönster som visas konfigurerar du följande alternativ:

    • Lägg till avsändaren i organisationens lista över tillåtna avsändare: Välj det här alternativet om du vill förhindra att meddelanden från avsändaren sätts i karantän.

    • Välj något av följande alternativ:

      • Version till alla mottagare
      • Släpp till specifika mottagare: Välj mottagarna i rutan Mottagare som visas
    • Skicka en kopia av det här meddelandet till andra mottagare: Välj det här alternativet och ange mottagarens e-postadresser i rutan Mottagare som visas.

      Anteckning

      Om du vill skicka en kopia av meddelandet till andra mottagare måste du också släppa meddelandet minst en av de ursprungliga mottagarna (välj Släpp till alla mottagare eller Släpp till specifika mottagare).

    • Skicka meddelandet till Microsoft för att förbättra identifieringen (falsk positiv identifiering) : Det här alternativet är valt som standard och rapporterar det felaktiga meddelandet i karantän till Microsoft som falskt positivt. Om meddelandet har satts i karantän som skräppost, massutskick, nätfiske eller som innehåller skadlig programvara, rapporteras meddelandet även till Microsofts team för skräppostanalys. Beroende på resultatet av analysen kan reglerna för skräppostfilter för hela tjänsten justeras så att meddelandet kan släppas igenom.

    • Tillåt meddelanden som det här: Det här alternativet är inaktiverat som standard  (inaktiverat). Aktivera (växlingsknapp) för att tillfälligt förhindra att meddelanden med liknande URL:er, bifogade filer och andra  egenskaper sätts i karantän. När du aktiverar det här alternativet är följande alternativ tillgängliga:

      • Ta bort efter: Välj hur länge du vill tillåta meddelanden som den här. Välj 1 dag till 30 dagar. Standardvärdet är 30.
      • Valfritt meddelande: Ange en användbar beskrivning för tillåtet.

    När du är klar klickar du på Släpp meddelande.

    Kommentarer om att släppa meddelanden:

    • Du kan inte släppa ett meddelande till samma mottagare mer än en gång.
    • Endast mottagare som inte har fått meddelandet visas i listan över möjliga mottagare.
    • Endast medlemmar i rollgruppen Säkerhetsadministratörer kan se och använda skicka meddelandet till Microsoft för att förbättra identifiering (falskt positivt) och Tillåt meddelanden som dessa alternativ.
  • Ikonen Dela e-post. Dela e-post: Lägg till en eller flera mottagare i den utfäll plats som visas för att ta emot en kopia av meddelandet. När du är klar klickar du på Dela.

Följande åtgärder är tillgängliga när du klickar på ikonen Fler åtgärder Fler åtgärder:

  • Ikonen Visa meddelandehuvuden. Visa meddelandehuvud: Välj den här länken om du vill visa meddelandehuvudets text. Den utfällbara menyn med Meddelanderubrik visas med följande länkar:

    • Kopiera meddelanderubrik: Klicka på den här länken om du vill kopiera meddelanderubriken (alla rubrikfält) till Urklipp.
    • Microsoft Message Header Analyzer: Om du vill analysera rubrikfälten och värdena på djupet klickar du på den här länken för att gå till Analysverktyg för meddelanderubrik. Klistra in meddelandehuvudet i Infoga meddelandehuvudet som du vill analysera avsnitt (CTRL+V eller högerklicka och välj Klistra in) och klicka sedan på Analysera rubriker.
  • Ikon för Förhandsgranska meddelande Förhandsgranska meddelande: Välj någon av följande flikar i den utfällbara menyn som visas:

    • Källa: Visar HTML-versionen av meddelandetexten med alla länkar inaktiverade.
    • Oformaterad text: Visar meddelandets brödtext i oformaterad text.
  • Ta bort från karantänikonen. Ta bort från karantän: När du klickar på Ja i den varning som visas tas meddelandet bort omedelbart utan att skickas till de ursprungliga mottagarna.

  • Ikonen Ladda ned e-post Ladda ned e-post: I den utfällbara menyn som visas väljer du Jag förstår riskerna med att ladda ned meddelandet och klickar sedan på Ladda ned för att spara en lokal kopia av meddelandet i .eml-format.

  • Ikonen Spärra avsändare. Spärra avsändare: Lägg till avsändaren i listan Spärrade avsändare i din postlåda. Mer information finns i Spärra e-postavsändare.

  • Ikonen Skicka endast. Skicka endast: Rapporterar meddelandet till Microsoft för analys. Välj följande alternativ i den utfällo som visas:

    • Välj inskickingstyp: E-post (standard), URL eller Fil.
    • Lägg till nätverksmeddelande-ID eller ladda upp e-postfilen: Välj något av följande alternativ:
      • Lägg till e-postmeddelande-ID för e-postnätverk (standard med motsvarande värde i rutan)
      • Upload e-postfilen (.msg eller eml) : Klicka på Bläddra bland filer för att hitta och välja den .msg- eller .eml-meddelandefil du vill skicka.
    • Välj en mottagare som har ett problem: Välj en (önskad) eller flera ursprungliga mottagare av meddelandet för att analysera principerna som tillämpats på dem.
    • Välj en orsak för att skicka den till Microsoft: Välj något av följande alternativ:
      • Ska inte ha blockerats (falsk positiv inställning) (standard): Följande alternativ är tillgängliga:
        • Tillåt meddelanden som det här: Det här alternativet är inaktiverat som standard  (inaktiverat). Aktivera (växlingsknapp) för att tillfälligt förhindra att meddelanden med liknande URL:er, bifogade filer och andra  egenskaper sätts i karantän. När du aktiverar det här alternativet är följande alternativ tillgängliga:
          • Ta bort efter: Välj hur länge du vill tillåta meddelanden som den här. Välj 1 dag till 30 dagar. Standardvärdet är 30.
          • Valfritt meddelande: Ange en användbar beskrivning för tillåtet.
      • Borde ha blockerats (falskt negativt).

    Klicka på Skicka in när du är klar.

* Det här alternativet är inte tillgängligt för meddelanden som redan har släppts (värdet för Frisläppt status är Frisläppt).

Om du inte släpper eller tar bort meddelandet tas det bort när standardkvarhållningsperioden för karantän upphör att gälla (som visas i kolumnen Förfaller).

Anteckning

Beskrivningstexten är inte tillgänglig på en mobil enhet på åtgärdsikonerna.

Information om ett meddelande i karantän med tillgängliga åtgärder markerade.

Ikonerna i ordning och deras motsvarande beskrivningar sammanfattas i följande tabell:

Ikon Beskrivning
Ikon för släpp e-post. Släpp e-post
Ikonen Dela e-post. Dela e-post
Ikonen Visa meddelandehuvuden. Visa meddelandehuvuden
Ikonen Förhandsgranska meddelande. Förhandsgranska meddelande
Ta bort från karantänikonen. Ta bort från karantän
Ikonen Ladda ned e-post. Ladda ned e-post
Ikonen Spärra avsändare. Spärra avsändare
Ikonen Skicka endast. Skicka endast

Vidta åtgärder för flera e-postmeddelanden i karantän

När du markerar flera meddelanden i karantän i listan (upp till 100) genom att klicka i det tomma området till vänster om den första kolumnen visas Massåtgärder listrutan där du kan utföra följande åtgärder:

Listruta för massåtgärder för meddelanden i karantän.

  • Ikon för släpp e-post. Släpp meddelanden: Släpper meddelanden till alla mottagare. I den utfällsalternativ som visas kan du välja följande alternativ, som är desamma som när du släpper ett enskilt meddelande:

    • Lägga till avsändaren i organisationens lista över tillåtna avsändare
    • Skicka en kopia av det här meddelandet till andra mottagare
    • Skicka meddelandet till Microsoft för att förbättra identifieringen (falsk positiv identifiering)
    • Tillåt meddelanden som det här:
      • Ta bort efter: 1 dag till 30 dagar
      • Valfri anteckning

    När du är klar klickar du på Släpp meddelande.

    Anteckning

    Tänk dig följande scenario: john@gmail.com skickar ett meddelande till faith@contoso.com och john@subsidiary.contoso.com. Gmail delar upp meddelandet i två kopior som båda skickas till karantän som nätfiske i Microsoft. En administratör släpper båda dessa meddelanden till admin@contoso.com. Det första släppta meddelandet som når administratörspostlådan levereras. Det andra utgivna meddelandet identifieras som dubblettleverans och hoppas över. Meddelandet identifieras som dubbletter om de har samma meddelande-ID och har fått tid.

  • Ta bort från karantänikonen. Ta bort meddelanden: När du klickar på Ja i den varning som visas tas meddelandena omedelbart bort från karantän utan att skickas till de ursprungliga mottagarna.

  • Ikonen Ladda ned e-post. Ladda ned meddelanden

  • Ikonen Skicka endast. Skicka endast

Använd Microsoft 365 Defender för att hantera filer i karantän i Defender för Office 365

Anteckning

Procedurerna för filer i karantän i det här avsnittet är endast tillgängliga för Microsoft Defender för Office 365 abonnemang 1- eller abonnemang 2-prenumeranter.

I organisationer med Defender för Office 365 kan administratörer hantera filer som har satts i karantän av Valv-bifogade filer för SharePoint, OneDrive och Microsoft Teams. Om du vill aktivera skydd för dessa filer kan du gå till Aktivera Valv för SharePoint, OneDrive och Microsoft Teams.

Visa filer i karantän

  1. Gå Microsoft 365 Defender e-postsamarbete, https://security.microsoft.com granska karantän i & Microsoft 365 Defender- och > > samarbetsportalen. Om du vill gå direkt till sidan Karantän använder du https://security.microsoft.com/quarantine .

  2. På sidan Karantän väljer du fliken Filer (E-post är standardfliken).

  3. Du kan sortera resultaten genom att klicka på en tillgänglig kolumnrubrik. Klicka på Anpassa kolumner för att ändra vilka kolumner som visas. Standardkolumnerna är markerade med en asterisk ( * ):

    • Användare*
    • Plats*
    • Filnamn på bifogad fil*
    • Fil-URL*
    • Filstorlek
    • Släppstatus*
    • Upphör*
    • Upptäckt av
    • Ändrad av tid

    När du är klar klickar du på Använd eller Avbryt.

  4. Om du vill filtrera resultaten klickar du på Filtrera. Följande filter är tillgängliga i den utfällbara menyn Filter:

    • Tid mottaget: Starttid och Sluttid (datum).
    • Går ut: Starttid och Sluttid (datum).
    • Orsak till karantän: Det enda tillgängliga värdet är skadlig programvara.
    • Typ av princip

    När du är klar klickar du på Använd eller Avbryt.

När du har hittat en specifik fil i karantän väljer du filen för att visa information om den och för att vidta åtgärder för den (till exempel visa, släppa, ladda ned eller ta bort filen).

Visa information om karantänfiler

När du väljer en fil i karantän från listan är följande information tillgänglig i den utfällade informationen som öppnas:

Informationsfällfilen för en karantänfil.

  • Filnamn
  • Fil-URL: URL som definierar platsen för filen (till exempel i SharePoint Online).
  • Skadligt innehåll som upptäckts Datum/tid då filen satt i karantän.
  • Går ut: Det datum då filen tas bort från karantän.
  • Upptäckt av
  • Har du släppts?
  • Malware Name
  • Dokument-ID: En unik identifierare för dokumentet.
  • Filstorlek: i kilobyte (KB).
  • Organisation Organisationens unika ID.
  • Senast ändrad
  • Ändrad av: Den användare som senast ändrade filen.
  • 256-bitars Algoritmen för säker hash-algoritm (SHA-256): Du kan använda det här hashvärdet för att identifiera filen i andra rykteslager eller på andra platser i din miljö.

Information om hur du gör för att vidta åtgärder för filen finns i nästa avsnitt.

Anteckning

Om du vill fortsätta att visa informationen, men ändra den i karantän som du tittar på, använder du uppåt- och nedåtpilarna högst upp på den utfällna sidan.

Uppåt- och nedåtpilarna i informationsfällfilen för en karantänfil.

Vidta åtgärder för filer i karantän

När du väljer en fil i karantän från listan är följande åtgärder tillgängliga i den utfällade informationen:

Tillgängliga åtgärder i informationsfällfilen för en karantänfil.

  • Ikonen Släpp fil. Släpp fil: * I det utfällfönster som visas aktiverar eller inaktiverar du Rapportfiler till Microsoft för analys och klickar sedan på Släpp.
  • Ikonen Släpp fil.
  • Ikonen Ladda ned fil. Ladda ned filen: I den utfällsbara menyn som visas väljer du Jag förstår riskerna med att ladda ned den här filen och klickar sedan på Ladda ned för att spara en lokal kopia av filen.
  • Ta bort från karantänikonen. Ta bort från karantän: När du klickar på Ja i varningen som visas tas filen bort omedelbart.
  • Ikonen Spärra avsändare. Spärra avsändare: Lägg till avsändaren i listan Spärrade avsändare i din postlåda. Mer information finns i Spärra e-postavsändare.

* Det här alternativet är inte tillgängligt för filer som redan har släppts (värdet Släppt status är Släppt).

Om du inte släpper eller tar bort filen tas den bort när standardlagringsperioden för karantän löper ut (som i kolumnen Förfaller).

Vidta åtgärder för flera filer i karantän

När du väljer flera filer i karantän i listan (upp till 100) genom att klicka i det tomma området till vänster om kolumnen Ämne visas listrutan Massåtgärder där du kan vidta följande åtgärder:

Listrutan Massåtgärder för filer i karantän.

  • Ikonen Släpp fil. Släpp fil: I det utfällfönster som visas aktiverar eller inaktiverar du Rapportfiler till Microsoft för analys och klickar sedan på Släpp.
  • Ta bort från karantänikonen. Ta bort från karantän: När du klickar på Ja i varningen som visas tas filen bort omedelbart.
  • Ikonen Ladda ned fil. Ladda ned filen: I den utfällsbara menyn som visas väljer du Jag förstår riskerna med att ladda ned den här filen och klickar sedan på Ladda ned för att spara en lokal kopia av filen.

Använda Exchange Online PowerShell eller fristående EOP PowerShell för att visa och hantera meddelanden och filer i karantän

De cmdlets som du använder för att visa och hantera meddelanden och filer i karantän beskrivs i följande lista:

Mer information

Vanliga frågor och svar om meddelanden i karantän