Hantera meddelanden och filer i karantän som administratör

• Gäller för:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2

Tips

Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkoren här.

I Microsoft 365-organisationer med postlådor i Exchange Online eller Microsoft Teams, eller i fristående Exchange Online Protection organisationer (EOP) utan Exchange Online postlådor eller Teams, rymmer karantän potentiellt farliga eller oönskade meddelanden som har identifierats av EOP och Defender för Office 365.

Administratörer kan visa, släppa och ta bort alla typer av meddelanden och filer i karantän för alla användare.

Administratörer i organisationer med Microsoft Defender för Office 365 kan också hantera filer som satts i karantän av säkra bifogade filer för SharePoint-, OneDrive- och Microsoft Teams- och Microsoft Teams-meddelanden som satts i karantän av automatisk rensning (ZAP) i karantän.

Användare kan hantera de flesta e-postmeddelanden i karantän baserat på karantänprincipen för funktioner för e-postskydd som stöds. Mer information om karantänprinciper finns i Anatomi för en karantänprincip.

Administratörer och även användare (beroende på de användarrapporterade inställningarna för organisationen) kan rapportera falska positiva identifieringar till Microsoft från karantän.

Du visar och hanterar meddelanden i karantän i Microsoft Defender-portalen eller i PowerShell (Exchange Online PowerShell för Microsoft 365-organisationer med postlådor i Exchange Online; fristående EOP PowerShell för organisationer utan Exchange Online postlådor).

Titta på den här korta videon om du vill lära dig hur du hanterar meddelanden i karantän som administratör.

Vad behöver jag veta innan jag börjar?

• Öppna Microsoft Defender-portalen genom att gå till https://security.microsoft.com. Om du vill gå direkt till karantänsidananvänder du https://security.microsoft.com/quarantine.

• Information om hur du använder Windows PowerShell för att ansluta till Exchange Online finns i artikeln om att ansluta till Exchange Online PowerShell. Information om hur du ansluter till fristående EOP PowerShell finns i Anslut till Exchange Online Protection PowerShell.

• Du måste tilldelas behörigheter innan du kan utföra procedurerna i den här artikeln. Du har följande alternativ:

  • Microsoft Defender XDR Enhetlig rollbaserad åtkomstkontroll (RBAC) (påverkar endast Defender-portalen, inte PowerShell):
    • Vidta åtgärder för meddelanden i karantän för alla användare: Säkerhetsåtgärder/Säkerhetsdata/Email & samarbetskarantän (hantera).
    • Skrivskyddad åtkomst till meddelanden i karantän för alla användare: Säkerhetsåtgärder/Säkerhetsdata/Grundläggande säkerhetsdata (läs).
  • Email & samarbetsbehörigheter i Microsoft Defender-portalen:
    • Vidta åtgärder för meddelanden i karantän för alla användare: Medlemskap i rollgrupperna Karantänadministratör, Säkerhetsadministratör eller Organisationshantering .
      • Skicka meddelanden från karantän till Microsoft: Medlemskap i rollgrupperna Karantänadministratör eller Säkerhetsadministratör .
      • Använd Blockera avsändare för att lägga till avsändare i din egen lista över blockerade avsändare: Som standard har alla användare de behörigheter som krävs. Om åtgärden Blockera avsändare är tillgänglig för icke-administratörer styrs vanligtvis av behörigheten Blockera avsändare i karantänprinciper. Genom att tilldela alla behörigheter som ger administratörsåtkomst till karantän (till exempel säkerhetsläsare eller global läsare) får du åtkomst till Blockera avsändare i karantän.
    • Skrivskyddad åtkomst till meddelanden i karantän för alla användare: Medlemskap i rollgrupperna Säkerhetsläsare eller Global läsare .
  • Microsoft Entra behörigheter: Medlemskap i dessa roller ger användarna de behörigheter och behörigheter som krävs för andra funktioner i Microsoft 365:
    • Vidta åtgärder för meddelanden i karantän för alla användare: Medlemskap i rollerna **Säkerhetsadministratör eller Global administratör .
      • Skicka meddelanden från karantän till Microsoft: Medlemskap i rollen Säkerhetsadministratör .
      • Använd Blockera avsändare för att lägga till avsändare i din egen lista över blockerade avsändare: Som standard har alla användare de behörigheter som krävs. Om åtgärden Blockera avsändare är tillgänglig för icke-administratörer styrs vanligtvis av behörigheten Blockera avsändare i karantänprinciper. Genom att tilldela alla behörigheter som ger administratörsåtkomst till karantän (till exempel säkerhetsläsare eller global läsare) får du åtkomst till Blockera avsändare i karantän.
    • Skrivskyddad åtkomst till meddelanden i karantän för alla användare: Medlemskap i rollerna Global läsare eller Säkerhetsläsare .

  Tips

  Möjligheten att hantera meddelanden i karantän med Exchange Online behörigheter upphörde i februari 2023 per MC447339.

  Gästadministratörer från andra organisationer kan inte hantera meddelanden i karantän. Administratören måste vara i samma organisation som mottagarna.

• Meddelanden och filer i karantän behålls under en standardperiod baserat på varför de satts i karantän. När kvarhållningsperioden går ut tas meddelandena bort automatiskt och kan inte återställas. Mer information finns i Kvarhållning av karantän.

• Alla åtgärder som vidtas av administratörer eller användare på meddelanden i karantän granskas. Mer information om granskade karantänhändelser finns i Karantänschema i api:et för Office 365 Management.

Använd Microsoft Defender-portalen för att hantera e-postmeddelanden i karantän

Visa e-post i karantän

I Microsoft Defender-portalen på https://security.microsoft.comgår du till flikenGranska>karantän> för Email & samarbete>Email. Om du vill gå direkt till fliken Email på sidan Karantän använder du https://security.microsoft.com/quarantine?viewid=Email.

På fliken Email kan du minska det lodräta avståndet i listan genom att klicka på Ändra listavstånd för att komprimera eller normal och sedan välja Komprimera lista.

Du kan sortera posterna genom att klicka på en tillgänglig kolumnrubrik. Välj Anpassa kolumner för att ändra de kolumner som visas. Standardvärdena är markerade med en asterisk (^*):

• Mottagen^*
• Ämne^*
• Avsändare^*
• Karantänorsak^* (se möjliga värden i Filterbeskrivning .)
• Versionsstatus^* (se möjliga värden i Filterbeskrivning .)
• Principtyp^* (se möjliga värden i Filterbeskrivning .)
• Upphör^*
• Mottagare: Mottagarens e-postadress matchas alltid till den primära e-postadressen, även om meddelandet skickades till en proxyadress.
• Meddelande-ID
• Principnamn
• Meddelandestorlek
• E-postriktning
• Mottagartagg

Om du vill filtrera posterna väljer du Filtrera. Följande filter är tillgängliga i den utfällbara menyn Filter som öppnas:

• Meddelande-ID: Meddelandets globalt unika identifierare.

  Du använde till exempel meddelandespårning för att leta efter ett meddelande och du fastställer att meddelandet satts i karantän i stället för levererat. Se till att inkludera det fullständiga meddelande-ID-värdet, som kan innehålla vinkelparenteser (<>). Till exempel: <79239079-d95a-483a-aacf-e954f592a0f6@XYZPR00BM0200.contoso.com>.

• Avsändaradress

• Mottagaradress

• Ämne

• Mottagen tid:

  • Senaste 24 timmarna
  • De senaste 7 dagarna
  • Senaste 14 dagarna
  • Senaste 30 dagarna (standard)
  • Anpassning: Ange en Starttid och Sluttid (datum).

• Upphör: Filtrera meddelanden efter när de upphör att gälla från karantänen:

  • I dag
  • Kommande 2 dagarna
  • Kommande 7 dagarna
  • Anpassning: Ange en Starttid och Sluttid (datum).

• Mottagartagg: För närvarande är prioritetskontot den enda valbara användartaggen .

• Orsak till karantän:

  • Transportregel (e-postflödesregel)
  • Bulk (Massutskick)
  • Skräppost
  • Dataförlustskydd
  • Skadlig kod: Principer för skydd mot skadlig kod i EOP eller principer för säkra bifogade filer i Defender för Office 365. Värdet för Principtyp anger vilken funktion som användes.
  • Nätfiske: Skräppostfiltrets bedömning var Nätfiske eller skyddet mot nätfiske placerade meddelandet i karantän (förfalskningsinställningar eller personifieringsskydd).
  • Nätfiske med hög konfidens
  • Admin åtgärd – Filtypsblock: Meddelanden som blockeras som skadlig kod av det gemensamma filtret för bifogade filer i principer för skydd mot skadlig kod. Mer information finns i Principer för skydd mot skadlig kod.

• Mottagare: Alla användare eller Endast jag. Slutanvändare kan bara hantera meddelanden i karantän som skickas till dem.

• Frisläppningsstatus: Något av följande värden:

  • Behöver granskas
  • Godkändes
  • Nekades
  • Frisläppning har begärts
  • Frisläpptes
  • Förbereder lansering
  • Fel

• Principtyp: Filtrera meddelanden efter principtyp:

  • Princip för skydd mot skadlig programvara
  • Princip för säkra bifogade filer
  • Princip för skydd mot nätfiske
  • Princip för skräppostskydd
  • Transportregel (e-postflödesregel)
  • Regel för dataförlustskydd

  Värdena Principtyp och Orsak i karantän är kopplade till varandra. Bulk är till exempel alltid associerat med en princip för skräppostskydd, aldrig med en princip för skydd mot skadlig kod.

När du är klar med den utfällbara menyn Filter väljer du Använd. Om du vill rensa filtren väljer du Rensa filter.

Tips

Filter cachelagras. Filtren från de senaste sessionerna väljs som standard nästa gång du öppnar sidan Karantän . Det här beteendet hjälper till med sorteringsåtgärder.

Använd rutan Search och ett motsvarande värde för att hitta specifika meddelanden. Jokertecken stöds inte. Du kan söka efter följande värden:

• Avsändarens e-postadress
• Ämne. Använd meddelandets hela ämne. Sökningen är inte skiftlägeskänslig.

När du har angett sökvillkoren trycker du på Retur för att filtrera resultatet.

Obs!

Rutan Search söker efter objekt i karantän i den aktuella vyn (som är begränsad till 100 objekt), inte alla objekt i karantän. Om du vill söka i alla objekt i karantän använder du Den utfällbara menyn Filter och resulterande Filter.

När du har hittat ett specifikt meddelande i karantän väljer du meddelandet för att visa information om det och vidta åtgärder för det (till exempel visa, släppa, ladda ned eller ta bort meddelandet).

Tips

På mobila enheter är de tidigare beskrivna kontrollerna tillgängliga under Mer.

Visa e-postinformation i karantän

1. I Microsoft Defender-portalen på https://security.microsoft.comgår du till flikenGranska>karantän> för Email & samarbete>Email. Om du vill gå direkt till fliken Email på sidan Karantän använder du https://security.microsoft.com/quarantine?viewid=Email.

2. På fliken Email markerar du meddelandet i karantän genom att klicka någon annanstans på raden än kryssrutan.

I den utfällbara menyn med information som öppnas finns följande information:

Tips

De åtgärder som är tillgängliga överst i den utfällbara menyn beskrivs i Vidta åtgärder för e-post i karantän.

Om du vill se information om andra meddelanden i karantän utan att lämna informationen utfälld använder du Föregående objekt och Nästa objekt överst i den utfällbara menyn.

• Avsnitt om karantäninformation :

  • Mottaget: Datumet/tiden då meddelandet togs emot.

  • Upphör att gälla: Datum/tid då meddelandet tas bort automatiskt och permanent från karantänen.

  • Ämne

  • Karantänorsak: Visar om ett meddelande har identifierats som skräppost, massutskick, nätfiske, matchat en e-postflödesregel (transportregel) eller har identifierats som innehåller skadlig kod.

  • Principtyp

  • Principnamn

  • Antal mottagare

  • Mottagare: Om meddelandet innehåller flera mottagare kan du behöva använda förhandsgranskningsmeddelandet eller visa meddelanderubriken för att se den fullständiga listan över mottagare.

    Mottagarens e-postadresser matchar alltid den primära e-postadressen, även om meddelandet skickades till en proxyadress.

  • Släppt till eller Inte släppt till: Om meddelandet kräver granskning av en administratör innan det släpps:

    • Släppt till: Email adresser till mottagare som meddelandet släpptes till.
    • Ännu inte släppt till: Email adresser till mottagare som meddelandet inte har släppts till.

Resten av den utfällbara menyn innehåller avsnitten Leveransinformation, Email information, URL:er och bifogade filer som ingår i Email sammanfattningspanelen. Mer information finns i panelen Email sammanfattning.

Information om hur du vidtar åtgärder för meddelandet finns i nästa avsnitt.

Tips

Om du vill se information om andra meddelanden i karantän utan att lämna informationen utfälld använder du Föregående objekt och Nästa objekt överst i den utfällbara menyn.

Vidta åtgärder för e-post i karantän

1. I Microsoft Defender-portalen på https://security.microsoft.comgår du till flikenGranska>karantän> för Email & samarbete>Email. Om du vill gå direkt till fliken Email på sidan Karantän använder du https://security.microsoft.com/quarantine?viewid=Email.

2. På fliken Email väljer du e-postmeddelandet i karantän med någon av följande metoder:

   • Markera meddelandet i listan genom att markera kryssrutan bredvid den första kolumnen. De tillgängliga åtgärderna är inte längre nedtonade.

     

   • Markera meddelandet i listan genom att klicka någonstans på raden förutom kryssrutan. De tillgängliga åtgärderna finns i den utfällbara menyn med information som öppnas.

     

   Med hjälp av någon av metoderna för att välja meddelandet är många åtgärder tillgängliga under Fler eller Fler alternativ.

När du har valt meddelandet i karantän beskrivs de tillgängliga åtgärderna i följande underavsnitt.

Tips

På mobila enheter skiljer sig åtgärdsupplevelsen något:

• När du markerar meddelandet genom att markera kryssrutan visas alla åtgärder under Mer:

  

• När du markerar meddelandet genom att klicka någon annanstans på raden än kryssrutan är beskrivningstexten inte tillgänglig på några av åtgärdsikonerna i den utfällbara menyn med information. Men åtgärderna och deras ordning är desamma som på en dator:

  

Släppa e-post i karantän

Den här åtgärden är inte tillgänglig för e-postmeddelanden som redan har släppts ( versionsstatusvärdet är Frisläppt).

Om du inte släpper eller tar bort ett meddelande tas det automatiskt bort från karantänen efter det datum som visas i kolumnen Upphör att gälla .

• Du kan inte släppa ett meddelande till samma mottagare mer än en gång.
• När du väljer enskilda ursprungliga mottagare för att ta emot det utgivna meddelandet kan du bara välja mottagare som inte redan har tagit emot det utgivna meddelandet.
• Medlemmar i rollgruppen Säkerhetsadministratörer kan se och använda skicka meddelandet till Microsoft för att förbättra identifieringen och Tillåt e-post med liknande attributalternativ .
• Användare kan rapportera falska positiva identifieringar till Microsoft från karantän, beroende på värdet för inställningen Rapportering från karantän i användarrapporterade inställningar.

Tips

• Antiviruslösningar från tredje part, säkerhetstjänster och utgående anslutningsappar kan orsaka följande problem för meddelanden som släpps från karantänen:

  • Meddelandet sätts i karantän när det har släppts.
  • Innehållet tas bort från det utgivna meddelandet innan det når mottagarens inkorg.
  • Det utgivna meddelandet tas aldrig emot i mottagarens inkorg.
  • Åtgärder i karantänmeddelanden kan väljas slumpmässigt.

  Kontrollera att du inte använder filtrering från tredje part innan du öppnar ett supportärende om dessa problem.

• Inkorgsregler (som skapats av användare i Outlook eller av administratörer med hjälp av cmdletarna *-InboxRule i Exchange Online PowerShell) kan flytta eller ta bort meddelanden från Inkorgen.

Administratörer kan använda meddelandespårning för att avgöra om ett släppt meddelande har levererats till mottagarens inkorg.

När du har valt meddelandet använder du någon av följande metoder för att släppa det:

• På fliken Email: Välj Släpp.
• I den utfällbara menyn med information i det valda meddelandet: Välj Släpp e-post.

I den utfällbara menyn Släpp e-post till mottagare som öppnas konfigurerar du följande alternativ:

• Välj något av följande värden:

  • Släpp till alla mottagare
  • Släpp till en eller flera av de ursprungliga mottagarna av e-postmeddelandet: Ange mottagarna i rutan Mottagare som visas.

• Skicka en kopia av det här meddelandet till en annan mottagare: Om du väljer det här alternativet väljer du en eller flera mottagare genom att klicka i rutan Mottagare som visas.

• Skicka meddelandet till Microsoft för att förbättra identifieringen: Om du väljer det här alternativet rapporteras det felaktigt i karantänmeddelandet till Microsoft som en falsk positiv identifiering. Beroende på resultatet av analysen kan reglerna för tjänstomfattande skräppostfilter justeras så att meddelandet tillåts.

  Om du väljer det här alternativet visas följande alternativ:

  • Tillåt det här meddelandet: Om du väljer det här alternativet läggs tillåtna poster till i listan Tillåt/blockera klientorganisation för avsändaren och eventuella relaterade URL:er eller bifogade filer i meddelandet. Följande alternativ visas också:
    • Ta bort post efter: Standardvärdet är 30 dagar, men du kan också välja 1 dag, 7 dagar eller ett specifikt datum som är mindre än 30 dagar.
    • Tillåt postanteckning: Ange en valfri anteckning som innehåller ytterligare information.

När du är klar med utfällbara menyn Släpp e-post till mottagare väljer du Släpp meddelande.

På fliken Email är meddelandetsversionsstatusvärde Släppt.

Godkänna eller neka versionsbegäranden från användare för e-post i karantän

Användare kan begära att e-postmeddelanden ska släppas om karantänprincipen använde Tillåt mottagare att begära att ett meddelande ska släppas från karantän (PermissionToRequestRelease behörighet) i stället för Tillåt mottagare att släppa ett meddelande från karantän (PermissionToRelease behörighet) när meddelandet sattes i karantän. Mer information finns i Skapa karantänprinciper i Microsoft Defender-portalen.

När en mottagare har begärt att e-postmeddelandet ska släppas ändras versionsstatusvärdet till Release requested och en administratör kan godkänna eller neka begäran.

Tips

En avisering om att släppa meddelandet kan skapas för flera versionsbegäranden för det meddelandet. Använd karantänlänken i avsnittet Information i aviseringsmeddelandet för att vidta åtgärder för versionsbegäran från användare i organisationen under de senaste 7 dagarna.

Om du inte släpper eller tar bort ett meddelande tas det automatiskt bort från karantänen efter det datum som visas i kolumnen Upphör att gälla .

När du har valt meddelandet använder du någon av följande metoder för att godkänna eller neka versionsbegäran:

• På fliken Email: Välj Godkänn version eller Neka.
• I den utfällbara menyn med information om det valda meddelandet: Välj Mer och välj sedan Godkänn version eller Neka version.

Om du väljer Godkänn version öppnas den utfällbara menyn Godkänn version där du kan granska information om meddelandet. Om du vill godkänna begäran väljer du Godkänn version. En utfälld version som godkänts öppnas där du kan välja länken för att lära dig mer om att släppa meddelanden. Välj Klar när du är klar med den utfällbara menyn Versionsgodkänd . På fliken Email ändras meddelandets versionsstatusvärde till Godkänd.

Om du väljer Neka öppnas utfällbara menyn Neka version där du kan granska information om meddelandet. Om du vill neka begäran väljer du Neka version. Den utfällbara menyn Frisläpp nekad öppnas där du kan välja länken för att lära dig mer om att släppa meddelanden. Välj Klar när du är klar med den utfällbara menyn Frisläpp nekad . På fliken Emailändras statusvärdet för meddelandet till Nekad.

Tips

Du kan endast neka publicering för alla mottagare. Du kan inte neka publicering för specifika mottagare.

Ta bort e-post från karantän

När du tar bort ett e-postmeddelande från karantänen tas meddelandet bort och skickas inte till de ursprungliga mottagarna.

Om du inte släpper eller tar bort ett meddelande tas det automatiskt bort från karantänen efter det datum som visas i kolumnen Upphör att gälla .

När du har valt meddelandet använder du någon av följande metoder för att ta bort det:

• På fliken Email: Välj Ta bort från karantän.
• I den utfällbara menyn med information i det markerade meddelandet: Välj Fler alternativ>Ta bort från karantän.

I den utfällbara menyn Ta bort (n) meddelanden från karantän som öppnas använder du någon av följande metoder för att ta bort meddelandet:

• Välj Ta bort meddelandet permanent från karantänen och välj sedan Ta bort: Meddelandet tas bort permanent och kan inte återställas.
• Välj Endast borttagning : Meddelandet tas bort, men kan eventuellt återställas.

När du har valt Ta bort i utfällbara menyn Ta bort (n) meddelanden från karantänen återgår du till fliken Email där meddelandet inte längre visas.

Förhandsgranska e-post från karantän

När du har valt meddelandet använder du någon av följande metoder för att förhandsgranska det:

• På fliken Email: Välj Förhandsgranska meddelande.
• I den utfällbara menyn med information i det markerade meddelandet: Välj Fler alternativ>Förhandsgranska meddelande.

I den utfällbara menyn som öppnas väljer du någon av följande flikar:

• Källa: Visar HTML-versionen av meddelandetexten med alla länkar inaktiverade.
• Oformaterad text: Visar meddelandets brödtext i oformaterad text.

Visa e-posthuvuden

När du har valt meddelandet använder du någon av följande metoder för att visa meddelanderubrikerna:

• På fliken Email: Välj Fler>visa meddelanderubriker.
• I den utfällbara menyn med information för det markerade meddelandet: Välj Fler alternativ>Visa meddelanderubriker.

I den utfällbara menyn Meddelandehuvud som öppnas visas meddelanderubriken (alla rubrikfält).

Använd Kopiera meddelandehuvud för att kopiera meddelandehuvudet till Urklipp.

Välj länken Microsoft Message Header Analyzer för att analysera huvudfälten och värdena på djupet. Klistra in meddelandehuvudet i infoga meddelandehuvudet som du vill analysera (CTRL+ V eller högerklicka och välj Klistra in) och välj sedan Analysera rubriker.

Rapportera e-post till Microsoft för granskning från karantän

När du har valt meddelandet använder du någon av följande metoder för att rapportera meddelandet till Microsoft för analys:

• På fliken Email: Välj Mer>skicka för granskning.
• I den utfällbara menyn med information i det markerade meddelandet: Välj Fler alternativ>Skicka för granskning.

I den utfällbara menyn Skicka till Microsoft för analys som öppnas konfigurerar du följande alternativ:

• Lägg till nätverksmeddelande-ID:t eller ladda upp e-postfilen: Välj något av följande alternativ:

  • Lägg till E-postnätverksmeddelande-ID: Det här värdet är markerat som standard, med motsvarande värde i rutan.
  • Ladda upp e-postfilen (.msg eller eml): När du har valt det här alternativet väljer du knappen Bläddra bland filer som visas för att hitta och väljer den .msg eller .eml meddelandefil som ska skickas.

• Välj en mottagare som hade ett problem: Välj en (önskad) eller flera ursprungliga mottagare av meddelandet för att analysera de principer som tillämpades på dem.

• Välj en orsak till att skicka till Microsoft: Välj något av följande alternativ:

  • Jag har bekräftat att det är rent (standard): Välj det här alternativet om du är säker på att meddelandet är rent och välj sedan Nästa. Sedan är följande inställningar tillgängliga:

    • Tillåt det här e-postmeddelandet: Om du väljer det här alternativet läggs tillåtna poster till i listan Tillåt/blockera klientorganisation för avsändaren och eventuella relaterade URL:er eller bifogade filer i meddelandet. Följande alternativ visas också:
    • Ta bort post efter: Standardvärdet är 30 dagar, men du kan också välja 1 dag, 7 dagar eller ett specifikt datum som är mindre än 30 dagar.
    • Tillåt postanteckning: Ange en valfri anteckning som innehåller ytterligare information.

  • Det verkar vara rent: Välj det här alternativet om du är osäker och vill ha ett omdöme från Microsoft.

När du är klar med den utfällbara menyn Skicka till Microsoft för analys väljer du Skicka.

Tips

Användare kan rapportera falska positiva identifieringar till Microsoft från karantän, beroende på värdet för inställningen Rapportering från karantän i användarrapporterade inställningar.

Blockera e-postavsändare från karantän

Åtgärden Blockera avsändare lägger till avsändaren av det valda e-postmeddelandet i listan Blockerade avsändare i postlådan för den som är inloggad. Vanligtvis används den här åtgärden av slutanvändare om den är tillgänglig för dem genom karantänprinciper. Mer information om användare som blockerar avsändare finns i Blockera en e-postavsändare

När du har valt meddelandet använder du någon av följande metoder för att lägga till meddelandeavsändaren i listan Blockerade avsändare i postlådan :

• På fliken Email: Välj Mer>blocksändare.
• I den utfällbara menyn med information i det markerade meddelandet: Välj Fler alternativ>Blockera avsändare.

I den utfällbara menyn Blockera avsändare som öppnas granskar du informationen om avsändaren och väljer sedan Blockera.

Tips

Organisationen kan fortfarande ta emot e-post från den blockerade avsändaren. Meddelanden från avsändaren levereras till användarens skräppostmappar Email eller till karantän. Om du vill ta bort meddelanden från avsändaren vid ankomsten använder du e-postflödesregler (även kallade transportregler) för att blockera meddelandet.

Dela e-post från karantän

Du kan skicka en kopia av e-postmeddelandet i karantän, inklusive potentiellt skadligt innehåll, till de angivna mottagarna.

När du har valt meddelandet använder du någon av följande metoder för att skicka en kopia av det till andra:

• På fliken Email: Välj Mer>dela e-post.
• I den utfällbara menyn med information i det markerade meddelandet: Välj Fler alternativ>Dela e-post.

I den utfällbara menyn Dela e-post med andra användare som öppnas väljer du en eller flera mottagare för att få en kopia av meddelandet. När du är klar väljer du Dela.

Ladda ned e-post från karantän

När du har valt e-postmeddelandet använder du någon av följande metoder för att ladda ned det:

• På fliken Email: Välj Fler>nedladdningsmeddelanden.
• I den utfällbara menyn med information i det markerade meddelandet: Välj Fler alternativ>Ladda ned meddelande.

I den utfällbara menyn Ladda ned fil som öppnas anger du följande information:

• Orsak till att ladda ned filen: Ange beskrivande text.
• Skapa lösenord och Bekräfta lösenord: Ange ett lösenord som krävs för att öppna den nedladdade meddelandefilen.

När du är klar med den utfällbara menyn Ladda ned fil väljer du Ladda ned.

När nedladdningen är klar öppnas dialogrutan Spara som där du kan visa eller ändra det nedladdade filnamnet och platsen. Som standard sparas .eml-meddelandefilen i en komprimerad fil med namnet Quarantined Messages.zip i mappen Hämtade filer . Om den .zip filen redan finns läggs ett nummer till i filnamnet (till exempel Meddelanden i karantän(1).zip).

Acceptera eller ändra den nedladdade filinformationen och välj sedan Spara.

Gå tillbaka till den utfällbara menyn Ladda ned fil och välj Klar.

Åtgärder för e-postmeddelanden i karantän i Defender för Office 365

I organisationer med Microsoft Defender för Office 365 (tilläggslicenser eller ingår i prenumerationer som Microsoft 365 E5 eller Microsoft 365 Business Premium) är följande åtgärder också tillgängliga i den utfällbara menyn med information i ett valt meddelande:

• Öppna entitet för e-post: Mer information finns i Vad finns på sidan Email entitet.

• Vidta åtgärder: Den här åtgärden startar samma åtgärdsguide som är tillgänglig på sidan Email entitet. Mer information finns i Åtgärder på sidan Email entitet.

Vidta åtgärder för flera e-postmeddelanden i karantän

När du markerar flera meddelanden i karantän på fliken Email genom att markera kryssrutorna bredvid den första kolumnen är följande massåtgärder tillgängliga på fliken Email (beroende på versionsstatusvärdena för de meddelanden som du har valt):

• Släppa e-post i karantän

  De enda tillgängliga alternativen att välja för massåtgärder är Skicka en kopia av det här meddelandet till andra mottagare i din organisation och Skicka meddelandet till Microsoft för att förbättra identifieringen (falsk positiv identifiering).

• Godkänna eller neka versionsbegäranden från användare för e-post i karantän

• Ta bort e-post från karantän

• Rapportera e-post till Microsoft för granskning från karantän

  De enda tillgängliga alternativen att välja för massåtgärder är Tillåt e-postmeddelanden med liknande attribut och de relaterade alternativen Ta bort tillåt efter och Tillåt postanteckning .

• Ladda ned e-post från karantän

Hitta vem som tog bort ett meddelande i karantän

Som standard tillåter många säkerhetsprinciputdömningar användare att ta bort sina meddelanden i karantän (meddelanden där de är mottagare). Mer information finns i tabellen i Hantera meddelanden och filer i karantän som en användare.

Administratörer kan söka i granskningsloggen för att hitta händelser efter meddelanden som har tagits bort från karantänen med hjälp av följande procedurer:

1. I Defender-portalen på https://security.microsoft.comgår du till Granska. Eller om du vill gå direkt till sidan Granskning använder du https://security.microsoft.com/auditlogsearch.

   Tips

   Du kan också gå till sidan Granskning i efterlevnadsportal i Microsoft Purview påhttps://compliance.microsoft.com/auditlogsearch

2. På sidan Granskning kontrollerar du att fliken Ny Search är markerad och konfigurerar sedan följande inställningar:

   • Datum- och tidsintervall (UTC)
   • Aktiviteter – egna namn: Klicka i rutan, börja skriva "karantän" i rutan Search som visas och välj sedan Meddelandet Borttagen karantän i resultatet.
   • Användare: Om du vet vem som har tagit bort meddelandet från karantänen kan du filtrera resultatet ytterligare efter användare.

3. När du är klar med att ange sökvillkoren väljer du Search för att generera sökningen.

Fullständiga anvisningar för granskningsloggsökningar finns i Granska ny Search.

Använd Microsoft Defender-portalen för att hantera filer i karantän i Defender för Office 365

Obs!

Procedurerna för filer i karantän i det här avsnittet är endast tillgängliga för Microsoft Defender för Office 365 abonnemang 1- eller plan 2-prenumeranter.

Filer i karantän i SharePoint eller OneDrive tas bort från karantänen efter 30 dagar, men de blockerade filerna förblir i SharePoint eller OneDrive i blockerat tillstånd.

I organisationer med Defender för Office 365 kan administratörer hantera filer som satts i karantän av säkra bifogade filer för SharePoint, OneDrive och Microsoft Teams. Information om hur du aktiverar skydd för dessa filer finns i Aktivera säkra bifogade filer för SharePoint, OneDrive och Microsoft Teams.

Visa filer i karantän

I Microsoft Defender-portalen på https://security.microsoft.comgår du tillfliken Granskakarantänfiler>för Email & samarbete>>. Om du vill gå direkt till fliken Filer på sidan Karantän använder du https://security.microsoft.com/quarantine?viewid=Files.

På fliken Filer kan du minska det lodräta avståndet i listan genom att klicka på Ändra listavstånd för att komprimera eller normal och sedan välja Komprimera lista.

Du kan sortera posterna genom att klicka på en tillgänglig kolumnrubrik. Välj Anpassa kolumner för att ändra de kolumner som visas. Standardvärdena är markerade med en asterisk (^*):

• Användaren^*
• Plats^*: Värdet är SharePoint eller OneDrive.
• Filnamn för bifogad fil^*
• Fil-URL^*
• Filstorlek
• Släppstatus^*
• Upphör^*
• Identifierad av
• Ändrad efter tid

Om du vill filtrera posterna väljer du Filtrera. Följande filter är tillgängliga i den utfällbara menyn Filter som öppnas:

• Mottagen tid:
  • Senaste 24 timmarna
  • De senaste 7 dagarna
  • Senaste 14 dagarna
  • Senaste 30 dagarna (standard)
  • Anpassning: Ange en Starttid och Sluttid (datum).
• Upphör att gälla:
  • Anpassad (standard): Ange starttid och sluttid (datum).
  • I dag
  • Kommande 2 dagarna
  • Kommande 7 dagarna
• Karantänorsak: Det enda tillgängliga värdet är Skadlig kod.
• Principtyp: Det enda tillgängliga värdet är Okänt.

När du är klar med den utfällbara menyn Filter väljer du Använd. Om du vill rensa filtren väljer du Rensa filter.

Använd rutan Search och ett motsvarande värde för att hitta specifika filer efter filnamn. Jokertecken stöds inte.

När du har angett sökvillkoren trycker du på Retur för att filtrera resultatet.

När du har hittat en specifik fil i karantän väljer du filen för att visa information om den och vidta åtgärder för den (till exempel visa, släppa, ladda ned eller ta bort filen).

Visa filinformation i karantän

1. I Microsoft Defender-portalen på https://security.microsoft.comgår du tillfliken Granskakarantänfiler>för Email & samarbete>>. Om du vill gå direkt till fliken Filer på sidan Karantän använder du https://security.microsoft.com/quarantine?viewid=Files.

2. På fliken Filer markerar du filen i karantän genom att klicka någon annanstans på raden än kryssrutan.

I den utfällbara menyn med information som öppnas finns följande information:

• Avsnittet Filinformation :
  • Filnamn
  • Fil-URL: URL som definierar platsen för filen (till exempel i SharePoint Online).
  • Skadligt innehåll har identifierats på Datum/tid då filen sattes i karantän.
  • Upphör att gälla: Det datum då filen tas bort från karantänen.
  • Identifierad av
  • Släppt?
  • Namn på skadlig kod
  • Dokument-ID: En unik identifierare för dokumentet.
  • Filstorlek
  • Organisation Din organisations unika ID.
  • Senast ändrad
  • Senast ändrad av: Den användare som senast ändrade filen.
  • Secure Hash Algorithm 256-bitarsvärde (SHA-256): Du kan använda det här hash-värdet för att identifiera filen i andra rykteslager eller på andra platser i din miljö.

Information om hur du vidtar åtgärder för filen finns i nästa avsnitt.

Tips

Om du vill se information om andra filer i karantän utan att lämna den utfällbara menyn använder du Föregående objekt och Nästa objekt överst i den utfällbara menyn.

Vidta åtgärder för filer i karantän

1. I Microsoft Defender-portalen på https://security.microsoft.comgår du tillfliken Granskakarantänfiler>för Email & samarbete>>. Om du vill gå direkt till fliken Filer på sidan Karantän använder du https://security.microsoft.com/quarantine?viewid=Files.

2. På fliken Filer markerar du filen i karantän genom att klicka någon annanstans på raden än kryssrutan.

När du har valt filen i karantän beskrivs de tillgängliga åtgärderna i den utfällbara menyn med filinformation som öppnas i följande underavsnitt.

Släppa filer i karantän från karantän

Den här åtgärden är inte tillgänglig för filer som redan har släppts ( statusvärdet Frisläppt är Frisläppt).

Om du inte släpper eller tar bort filen från karantänen tas filen bort från karantänen efter att standardkvarhållningsperioden för karantän upphör (som visas i kolumnen Upphör att gälla ), men den blockerade filen förblir i SharePoint eller OneDrive i blockerat tillstånd.

När du har valt filen väljer du Släpp fil i den utfällbara menyn filinformation som öppnas.

I den utfällbara menyn Release files and report them to Microsoft (Versionsfiler och rapportera dem till Microsoft som öppnas) visar du filinformationen i avsnittet Rapportfiler till Microsoft för analys , bestämmer om du vill välja Rapportfiler till Microsoft för analys och väljer sedan Släpp.

I den utfällbara menyn Filer som öppnas väljer du Klar.

Gå tillbaka till den utfällbara menyn med filinformation och välj Stäng.

Tillbaka på fliken Filer är versionsstatusvärdet för filen Släppt.

Ladda ned filer i karantän från karantän

När du har valt filen väljer du Ladda ned fil i den utfällbara menyn med information som öppnas.

I den utfällbara menyn Ladda ned fil som öppnas anger du följande information:

• Orsak till att ladda ned filen: Ange beskrivande text.
• Skapa lösenord och Bekräfta lösenord: Ange ett lösenord som krävs för att öppna den nedladdade filen.

När du är klar med den utfällbara menyn Ladda ned fil väljer du Ladda ned.

När nedladdningen är klar öppnas dialogrutan Spara som där du kan visa eller ändra det nedladdade filnamnet och platsen. Som standard sparas filen i en komprimerad fil med namnet Quarantined Messages.zip i mappen Hämtade filer . Om den .zip filen redan finns läggs ett nummer till i filnamnet (till exempel Meddelanden i karantän(1).zip).

Acceptera eller ändra den nedladdade filinformationen och välj sedan Spara.

Gå tillbaka till den utfällbara menyn Ladda ned fil och välj Klar.

Ta bort filer i karantän från karantän

Om du inte släpper eller tar bort filen från karantänen tas filen bort från karantänen efter att standardkvarhållningsperioden för karantän upphör (som visas i kolumnen Upphör att gälla ), men den blockerade filen förblir i SharePoint eller OneDrive i blockerat tillstånd.

När du har valt filen väljer du Mer>Ta bort från karantän i den utfällbara menyn information som öppnas.

Välj Fortsätt i varningsdialogrutan som öppnas.

På fliken Filer visas inte längre filen.

Vidta åtgärder för flera filer i karantän

När du markerar flera filer i karantän på fliken Filer genom att markera kryssrutorna bredvid den första kolumnen (upp till 100 filer) visas listrutan Massåtgärder där du kan utföra följande åtgärder:

• Släppa filer i karantän från karantän
• Ta bort filer i karantän från karantän
• Ladda ned filer i karantän från karantän

Använd Microsoft Defender-portalen för att hantera meddelanden i karantän i Microsoft Teams

Tips

Automatisk rensning på noll timmar (ZAP) i Microsoft Teams är för närvarande i förhandsversion, är inte tillgängligt i alla organisationer och kan komma att ändras.

Karantän i Microsoft Teams är endast tillgängligt i organisationer med Microsoft Defender för Office 365 plan 2 (tilläggslicenser eller ingår i prenumerationer som Microsoft 365 E5).

När ett potentiellt skadligt chattmeddelande identifieras i Microsoft Teams tar automatisk rensning (ZAP) bort meddelandet och placerar det i karantän. Administratörer kan visa och hantera dessa Teams-meddelanden i karantän. Meddelandet har placerats i karantän i 30 dagar. Därefter tas Teams-meddelandet bort permanent.

Den här funktionen är aktiverad som standard.

Visa Teams-meddelanden i karantän

I Microsoft Defender-portalen på https://security.microsoft.comgår du till fliken granska meddelanden ikarantän>teamsEmail & samarbete>>. Om du vill gå direkt till fliken Teams-meddelanden på sidan Karantän använder du https://security.microsoft.com/quarantine?viewid=Teams.

På fliken Teams-meddelanden kan du minska det lodräta avståndet i listan genom att klicka på Ändra listavstånd för att komprimera eller normal och sedan välja Komprimera lista.

Du kan sortera posterna genom att klicka på en tillgänglig kolumnrubrik. Välj Anpassa kolumner för att ändra de kolumner som visas. Standardvärdena är markerade med en asterisk (^*):

• Teams-meddelandetext: Innehåller ämnet för Teams-meddelandet.^*
• Mottagen tid: Den tid då meddelandet togs emot av mottagaren.^*
• Versionsstatus: Visar om meddelandet redan har granskats och släppts eller behöver granskas. ^*
• Deltagare: Det totala antalet användare som fick meddelandet.^*
• Avsändare: Den person som skickade meddelandet i karantän.^*
• Karantänorsak: Tillgängliga alternativ är "High confidence phish" och "Malware".^*
• Principtyp: Den organisationsprincip som ansvarar för meddelandet i karantän.^*
• Upphör att gälla: Anger när meddelandet tas bort från karantänen. Som standard är det här värdet 30 dagar.^*
• Mottagaradress: Email adress till mottagarna.^*
• Meddelande-ID: Innehåller chattmeddelandets ID.

Om du vill filtrera posterna väljer du Filtrera. Följande filter är tillgängliga i den utfällbara menyn Filter som öppnas:

• Meddelande-ID
• Avsändaradress
• Mottagaradress
• Ämne
• Mottagen tid:
  • Senaste 24 timmarna
  • De senaste 7 dagarna
  • Senaste 14 dagarna
  • Senaste 30 dagarna (standard)
  • Anpassning: Ange en Starttid och Sluttid (datum).
• Upphör att gälla:
  • Anpassad (standard): Ange starttid och sluttid (datum).
  • I dag
  • Kommande 2 dagarna
  • Kommande 7 dagarna
• Karantänorsak: Tillgängliga värden är skadlig kod och nätfiske med hög konfidens.
• Mottagare: Välj Alla användare eller Endast mig.
• Granskningsstatus: Välj Behöver granskas och släppas.

När du är klar med den utfällbara menyn Filter väljer du Använd. Om du vill rensa filtren väljer du Rensa filter.

Använd rutan Search och ett motsvarande värde för att hitta specifika Teams-meddelanden. Jokertecken stöds inte.

När du har hittat ett specifikt Teams-meddelande i karantän väljer du meddelandet för att visa information om det och vidta åtgärder för det (till exempel visa, släppa, ladda ned eller ta bort meddelandet).

Visa information om Teams-meddelanden i karantän

På fliken Teams-meddelanden på sidan Karantän markerar du meddelandet i karantän genom att klicka någonstans på raden förutom kryssrutan bredvid den första kolumnen.

Följande meddelandeinformation är tillgänglig överst i den utfällbara menyn med information:

• Rubriken på den utfällbara menyn är ämnet eller de första 100 tecknen i Teams-meddelandet.
• Värdet för orsak till karantän .
• Antalet länkar i meddelandet.
• De tillgängliga åtgärderna beskrivs i avsnittet Vidta åtgärder i Teams-meddelanden i karantän .

Tips

Om du vill se information om andra Teams-meddelanden i karantän utan att lämna den utfällbara menyn använder du Föregående objekt och Nästa objekt överst i den utfällbara menyn.

Nästa avsnitt i den utfällbara menyn med information är relaterat till Teams-meddelanden i karantän:

• Avsnitt om karantäninformation :
  • Upphör
  • Mottagen
  • Orsak till karantän
  • Släppstatus
  • Principtyp: Värdet är Ingen.
  • Principnamn: Värdet är Teams-skyddsprincip.
  • Karantänprincip

Resten av den utfällbara menyn innehåller avsnitten Meddelandeinformation, Avsändare, Deltagare, Kanalinformation och URL:er som ingår i panelen Teams-meddelandeentitet. Mer information finns i entitetspanelen teams mMessage i Microsoft Defender för Office 365 plan 2.

När du är klar med den utfällbara menyn med information väljer du Stäng.

Vidta åtgärder för Teams-meddelanden i karantän

I Microsoft Defender-portalen på https://security.microsoft.comgår du till fliken granska meddelanden ikarantän>teamsEmail & samarbete>>. Om du vill gå direkt till fliken Teams-meddelanden på sidan Karantän använder du https://security.microsoft.com/quarantine?viewid=Teams.

På fliken Teams-meddelanden väljer du meddelandet i karantän med någon av följande metoder:

• Markera meddelandet i listan genom att markera kryssrutan bredvid den första kolumnen. De tillgängliga åtgärderna är inte längre nedtonade.

  

• Markera meddelandet i listan genom att klicka någonstans på raden förutom kryssrutan. De tillgängliga åtgärderna finns i den utfällbara menyn med information som öppnas.

  

Med någon av metoderna för att välja meddelandet är vissa åtgärder tillgängliga under Mer.

När du har valt meddelandet i karantän beskrivs de tillgängliga åtgärderna i följande underavsnitt.

Släppa Teams-meddelanden i karantän

Den här åtgärden är inte tillgänglig för Teams-meddelanden som redan har släppts ( versionsstatusvärdet är Frisläppt).

Om du inte släpper eller tar bort ett meddelande tas det automatiskt bort från karantänen efter det datum som visas i kolumnen Upphör att gälla .

När du har valt meddelandet använder du någon av följande metoder för att släppa det:

• På fliken Teams-meddelanden: Välj Släpp.
• I den utfällbara menyn med information i det markerade meddelandet: Välj Släpp.

I den utfällbara menyn Release to all chat participants (Släpp till alla chattdeltagare som öppnas) bestämmer du om du vill välja Skicka meddelandet till Microsoft för att förbättra identifieringen (falskt positivt) och väljer sedan Släpp.

Ta bort Teams-meddelanden från karantän

Om du inte släpper eller tar bort ett Teams-meddelande tas det automatiskt bort från karantänen efter det datum som visas i kolumnen Upphör att gälla .

När du har valt Teams-meddelandet använder du någon av följande metoder för att ta bort det:

• På fliken Teams-meddelanden: Välj Ta bort meddelanden.
• I den utfällbara menyn med information i det markerade meddelandet: Välj Fler alternativ>Ta bort från karantän.

I varningsdialogrutan som öppnas läser du informationen och väljer sedan Fortsätt.

Tillbaka på fliken Teams-meddelanden visas inte längre meddelandet.

Förhandsgranska Teams-meddelanden från karantän

När du har valt Teams-meddelandet använder du någon av följande metoder för att förhandsgranska det:

• På fliken Teams-meddelanden: Välj Förhandsgranska meddelande.
• I den utfällbara menyn med information för det markerade meddelandet: Välj Förhandsgranska meddelande.

I den utfällbara menyn som öppnas väljer du någon av följande flikar:

• Källa: Visar HTML-versionen av meddelandetexten med alla länkar inaktiverade.
• Oformaterad text: Visar meddelandets brödtext i oformaterad text.

Rapportera Teams-meddelanden till Microsoft för granskning från karantän

När du har valt meddelandet använder du någon av följande metoder för att rapportera meddelandet till Microsoft för analys:

• På fliken Teams-meddelanden: Välj Mer>skicka för granskning.
• I den utfällbara menyn med information i det markerade meddelandet: Välj Fler alternativ>Skicka för granskning.

När du väljer Skicka meddelande skickas meddelandet till Microsoft för analys. Du får dialogrutan Objekt som skickats där du väljer OK.

Ladda ned Teams-meddelanden från karantän

När du har valt Teams-meddelandet använder du någon av följande metoder för att ladda ned det:

• På fliken Teams-meddelanden: Välj Fler>nedladdningsmeddelanden.
• I den utfällbara menyn med information i det markerade meddelandet: Välj Fler alternativ>Ladda ned meddelande.

I den utfällbara menyn Ladda ned meddelanden som öppnas anger du följande information:

• Orsak till att ladda ned filen: Ange beskrivande text.
• Skapa lösenord och Bekräfta lösenord: Ange ett lösenord som krävs för att öppna den nedladdade meddelandefilen.

När du är klar med den utfällbara menyn Ladda ned fil väljer du Ladda ned.

Som standard sparas den .html meddelandefilen i en komprimerad fil med namnet Quarantined Messages.zip i mappen Hämtade filer . Om den .zip filen redan finns läggs ett nummer till i filnamnet (till exempel Meddelanden i karantän(1).zip).

Gå tillbaka till den utfällbara menyn Ladda ned meddelanden och välj Klar.

Vidta åtgärder för flera Teams-meddelanden i karantän

När du markerar flera meddelanden i karantän på fliken Teams-meddelanden genom att markera kryssrutorna bredvid den första kolumnen är följande massåtgärder tillgängliga på fliken Teams-meddelanden :

• Släppa Teams-meddelanden i karantän
• Ta bort Teams-meddelanden från karantän
• Rapportera Teams-meddelanden till Microsoft för granskning från karantän
• Ladda ned Teams-meddelanden från karantän

Godkänna eller neka versionsbegäranden från användare för Teams-meddelanden i karantän

När en användare begär att ett Teams-meddelande ska släppas i karantän ändras versionsstatusvärdet till Begärd version och en administratör kan godkänna eller neka begäran.

Mer information finns i Godkänna eller neka versionsbegäranden från användare.

Använda Exchange Online PowerShell eller fristående EOP PowerShell för att hantera meddelanden i karantän

De cmdletar som du använder för att visa och hantera meddelanden och filer i karantän beskrivs i det här avsnittet.

• Delete-QuarantineMessage
• Export-QuarantineMessage
• Get-QuarantineMessage
• Preview-QuarantineMessage: Den här cmdleten är endast för meddelanden, inte filer i karantän.
• Release-QuarantineMessage

Mer information

Vanliga frågor och svar om meddelanden i karantän