以管理员身份管理隔离的邮件和文件

• 适用于:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2

提示

你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗？ 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 在此处了解谁可以注册和试用条款。

在邮箱位于 Exchange Online 或 Microsoft Teams 中的 Microsoft 365 组织中，或者在没有Exchange Online邮箱或 Teams 的独立Exchange Online Protection (EOP) 组织中，隔离保留 EOP 检测到的潜在危险或不需要的邮件Defender for Office 365。

管理员可以为所有用户查看、释放和删除所有类型的隔离邮件和文件。

具有 Microsoft Defender for Office 365 的组织中的管理员还可以管理由 SharePoint、OneDrive 和 Microsoft Teams 的安全附件隔离的文件，以及通过零小时自动清除 (ZAP) 隔离的 Microsoft Teams 邮件。

用户可以根据受支持的电子邮件保护功能的隔离策略来管理大多数隔离的电子邮件。 有关隔离策略的详细信息，请参阅 隔离策略剖析。

管理员和用户 (，具体取决于 用户报告的组织的设置 ，) 可以从隔离区向 Microsoft 报告误报。

可在Microsoft Defender门户或 PowerShell (Exchange Online PowerShell for Microsoft 365 组织的 PowerShell 中查看和管理隔离的邮件，其邮箱位于 Exchange Online 中;适用于没有Exchange Online邮箱) 的组织的独立 EOP PowerShell。

观看此简短视频，了解如何以管理员身份管理隔离邮件。

开始前，有必要了解什么？

• 若要打开Microsoft Defender门户，请转到 https://security.microsoft.com。 要直接转到“隔离”页，请使用 https://security.microsoft.com/quarantine。

• 若要连接到 Exchange Online PowerShell，请参阅连接到 Exchange Online PowerShell。 若要连接到独立 EOP PowerShell，请参阅连接到 Exchange Online Protection PowerShell。

• 需要先分配权限，然后才能执行本文中的过程。 可以选择下列选项：

  • Microsoft Defender XDR基于角色的统一访问控制 (RBAC) (仅影响 Defender 门户，而不会影响 PowerShell) ：
    • 对所有用户的隔离邮件执行操作：安全操作/安全数据/Email &协作隔离 (管理) 。
    • 所有用户对隔离邮件的只读访问权限： 安全操作/安全数据/安全数据基础知识 (读取) 。
  • Email & Microsoft Defender门户中的协作权限：
    • 对所有用户的隔离邮件执行操作： 隔离管理员、 安全管理员或 组织管理 角色组中的成员身份。
      • 将邮件从隔离区提交到 Microsoft： 隔离管理员 或 安全管理员 角色组中的成员身份。
      • 使用“阻止发件人”将发件人添加到你自己的“阻止发件人”列表：默认情况下，所有用户都具有所需的权限。 阻止发件人操作是否对非管理员可用通常由隔离策略中的“阻止发件人”权限控制。 分配授予管理员对隔离 (权限的任何权限，例如 ，安全读取器 或 全局读取者) 授予对 隔离区中阻止发件人 的访问权限。
    • 所有用户对隔离邮件的只读访问权限： 安全读取者 角色组中的成员身份或 全局读取者 角色组中的成员身份。
  • Microsoft Entra权限：这些角色的成员身份为用户提供 Microsoft 365 中其他功能所需的权限和权限：
    • 对所有用户的隔离邮件执行操作：**安全管理员或 全局管理员 角色的成员身份。
      • 将邮件从隔离区提交到 Microsoft： 安全管理员 角色的成员身份。
      • 使用“阻止发件人”将发件人添加到你自己的“阻止发件人”列表：默认情况下，所有用户都具有所需的权限。 阻止发件人操作是否对非管理员可用通常由隔离策略中的“阻止发件人”权限控制。 分配授予管理员对隔离 (权限的任何权限，例如 ，安全读取器 或 全局读取者) 授予对 隔离区中阻止发件人 的访问权限。
    • 所有用户对隔离邮件的只读访问权限： 全局读取者 角色或 安全读取者 角色的成员身份。

  提示

  使用Exchange Online权限管理隔离邮件的功能已于 2023 年 2 月结束，每MC447339。

  来自其他组织的来宾管理员无法管理隔离的邮件。 管理员需要与收件人位于同一组织中。

• 隔离的邮件和文件会根据隔离原因保留默认一段时间。 保留期到期后，消息会自动删除，并且无法恢复。 有关详细信息，请参阅 隔离保留。

• 审核管理员或用户对隔离邮件执行的所有操作。 有关审核的隔离事件的详细信息，请参阅 Office 365 管理 API 中的隔离架构。

使用Microsoft Defender门户管理隔离的电子邮件

查看隔离的电子邮件

在 Microsoft Defender 门户中https://security.microsoft.com，转到Email &协作>查看>隔离>区Email选项卡。或者，若要直接转到“隔离”页上的“Email”选项卡，请使用 https://security.microsoft.com/quarantine?viewid=Email。

在“Email”选项卡上，可以通过单击“将列表间距更改为压缩或正常”，然后选择“压缩列表”来减小列表中的垂直间距。

可以通过单击可用的列标题对条目进行排序。 选择“自定义列”以更改显示的列。 默认值标有星号（^*）：

• 接收时间^*
• 主题^*
• 发送^*
• 隔离原因^* (筛选器说明中查看可能的值。)
• 发布状态^* (筛选器说明中查看可能的值。)
• 策略类型^* (筛选器说明中查看可能的值。)
• 到期时间^*
• 收件人：收件人电子邮件地址始终解析为主电子邮件地址，即使邮件已发送到代理地址也是如此。
• 邮件 ID
• 策略名称
• 邮件大小
• 邮件方向
• 收件人标记

若要筛选条目，请选择“ 筛选”。 打开的 “筛选器” 浮出控件中提供了以下筛选器：

• 邮件 ID：邮件的全局唯一标识符。

  例如，你使用 邮件跟踪 来查找邮件，并确定邮件已隔离而不是已传递。 请务必包含完整的消息 ID 值，其中可能包括尖括号 (<>) 。 例如：<79239079-d95a-483a-aacf-e954f592a0f6@XYZPR00BM0200.contoso.com>。

• 发件人地址

• 收件人地址

• 主题

• 接收时间：

  • 过去 24 小时
  • 过去 7 天
  • 过去 14 天
  • 过去 30 天 (默认)
  • 自定义：输入开始时间和结束时间（日期）。

• 过期：按邮件从隔离区过期的时间筛选邮件：

  • 今天
  • 未来 2 天
  • 未来 7 天
  • 自定义：输入开始时间和结束时间（日期）。

• 收件人标记：目前，唯一可选择 的用户标记 是 Priority 帐户。

• 隔离原因：

  • 传输规则（邮件流规则）
  • 大量邮件
  • 垃圾邮件
  • 数据丢失防护
  • 恶意软件：EOP 中的反恶意软件策略或Defender for Office 365中的安全附件策略。 “策略类型”值指示使用了哪个功能。
  • 网络钓鱼：垃圾邮件筛选器裁定为 网络钓鱼 或反钓鱼保护隔离了邮件（欺骗设置 或 模拟保护）。
  • 高可信度网络钓鱼
  • 管理员操作 - 文件类型阻止：在反恶意软件策略中，常见附件筛选为恶意软件的邮件。 有关详细信息，请参阅 反恶意软件策略。

• 收件人： 所有用户 或 仅限我。 最终用户只能管理发送给他们的隔离邮件。

• 释放状态：以下任何值：

  • 需要审查
  • 已批准
  • 已拒绝
  • 已请求释放
  • 已释放
  • 准备发布
  • 错误

• 策略类型：按策略类型筛选消息：

  • 反恶意软件策略
  • 安全附件策略
  • 反钓鱼策略
  • 反垃圾邮件策略
  • 传输规则（邮件流规则）
  • 数据丢失防护规则

  策略类型和隔离原因值是相互关联的。 例如， 批量 始终与 反垃圾邮件策略相关联，从不与 反恶意软件策略相关联。

完成 “筛选器” 浮出控件后，选择“ 应用”。 若要清除筛选器，请选择“ 清除筛选器”。

提示

缓存筛选器。 下次打开“ 隔离 ”页时，默认情况下会选择最后一个会话中的筛选器。 此行为有助于进行会审操作。

使用搜索框和相应的值查找特定消息。 不支持通配符。 可以按下面的值搜索：

• 发件人电子邮件地址
• 主题。 使用邮件的整个主题。 搜索不区分大小写。

输入搜索条件后，按 Enter 筛选结果。

注意

“搜索”框在当前视图中搜索隔离项目 () 限制为 100 个项目，而不是所有隔离项目。 若要搜索所有隔离的项目，请使用筛选器和出现的筛选器浮出控件。

找到特定的隔离邮件后，选择该邮件以查看其详细信息，并 (执行操作，例如查看、释放、下载或删除邮件) 。

提示

在移动设备上，前面所述的控件位于“更多”下。

查看隔离的电子邮件详细信息

1. 在 Microsoft Defender 门户中https://security.microsoft.com，转到Email &协作>查看>隔离>区Email选项卡。或者，若要直接转到“隔离”页上的“Email”选项卡，请使用 https://security.microsoft.com/quarantine?viewid=Email。

2. 在“Email”选项卡上，单击行中除“检查”框以外的任意位置，选择隔离邮件。

在打开的详细信息浮出控件中，提供了以下信息：

提示

在对 隔离电子邮件执行操作中介绍了浮出控件顶部可用的操作。

若要查看有关其他隔离邮件的详细信息，而不离开详细信息浮出控件，请使用浮出控件顶部的“上一项”和“下一项”。

• 隔离详细信息 部分：

  • 接收时间：收到邮件的日期/时间。

  • 过期：自动从隔离区中永久删除邮件的日期/时间。

  • 主题

  • 隔离原因：显示邮件是否已标识为 垃圾邮件、 批量、 网络钓鱼，是否与邮件流规则 (传输规则) 匹配，或者是否被标识为包含 恶意软件。

  • 策略类型

  • 策略名称

  • 收件人计数

  • 收件人：如果邮件包含多个收件人，则可能需要使用 “预览邮件” 或 “查看邮件头 ”来查看完整的收件人列表。

    收件人电子邮件地址始终解析为主电子邮件地址，即使邮件已发送到代理地址。

  • 发布到 或 尚未发布：如果邮件需要在发布前由管理员审阅：

    • 释放到：Email邮件被释放到的收件人的地址。
    • 尚未发布到：Email邮件尚未释放到的收件人地址。

其余的详细信息浮出控件包含“传递详细信息”、“Email详细信息”、“URL”和“附件”部分，这些部分属于Email摘要面板。 有关详细信息，请参阅Email摘要面板。

要对邮件执行操作，请参阅下一部分。

提示

若要查看有关其他隔离邮件的详细信息，而不离开详细信息浮出控件，请使用浮出控件顶部的“上一项”和“下一项”。

对已隔离电子邮件执行操作

1. 在 Microsoft Defender 门户中https://security.microsoft.com，转到Email &协作>查看>隔离>区Email选项卡。或者，若要直接转到“隔离”页上的“Email”选项卡，请使用 https://security.microsoft.com/quarantine?viewid=Email。

2. 在“Email”选项卡上，使用以下方法之一选择隔离的电子邮件：

   • 通过选择第一列旁边的“检查”框，从列表中选择邮件。 可用操作不再灰显。

     

   • 单击行中除“检查”框以外的任意位置，从列表中选择邮件。 可用操作位于打开的详细信息浮出控件中。

     

   使用任一方法选择消息，“更多”或“更多选项”下提供了许多操作。

选择隔离邮件后，以下小节将介绍可用的操作。

提示

在移动设备上，操作体验略有不同：

• 通过选择“检查”框选择邮件时，所有操作都在“更多”下：

  

• 单击行中除“检查”框以外的任意位置选择邮件时，详细信息浮出控件中的某些操作图标上不提供说明文本。 但是，操作及其顺序与电脑上的操作相同：

  

释放隔离的电子邮件

此操作不适用于已发布的电子邮件， (“发布状态 ”值为“ 已发布) ”。

如果不释放或删除邮件，则会在 “过期” 列中显示的日期之后自动将其从隔离区中删除。

• 不能多次向同一收件人发布邮件。
• 选择要接收已发布邮件的单个原始收件人时，只能选择尚未收到已发布邮件的收件人。
• 安全管理员角色组的成员可以查看并使用“将邮件提交到 Microsoft 以改进检测”和“允许具有类似属性的电子邮件”选项。
• 用户可以从隔离区向 Microsoft 报告误报，具体取决于用户报告设置中“从隔离区报告”设置的值。

提示

• 第三方防病毒解决方案、安全服务和 出站连接器 可能会导致从隔离区释放的邮件出现以下问题：

  • 消息在释放后被隔离。
  • 内容在到达收件人的收件箱之前从已发布的邮件中删除。
  • 已发布的邮件永远不会到达收件人的收件箱。
  • 隔离通知中的操作可能是随机选择的。

  在打开有关这些问题的支持票证之前，请验证是否未使用第三方筛选。

• 由 Outlook 中的用户或管理员通过使用 PowerShell Exchange Online 中的 *-InboxRule cmdlet 创建的收件箱规则 () 可以移动或删除收件箱中的邮件。

管理员可以使用 邮件跟踪 来确定已发布的邮件是否已传递到收件人的收件箱。

选择消息后，使用以下方法之一将其释放：

• 在“Email”选项卡上：选择“发布”。
• 在所选邮件的详细信息浮出控件中：选择 “发布电子邮件”。

在打开的 “向收件人发布电子邮件” 浮出控件中，配置以下选项：

• 选择以下值之一：

  • 释放给所有收件人
  • 释放给电子邮件的一个或多个原始收件人：在显示的“收件人”框中输入 收件人 。

• 将此邮件的副本发送给另一个收件人：如果选择此选项，请在出现的“收件人”框中单击，选择一个或多个 收件人 。

• 将邮件提交到 Microsoft 以改进检测：如果选择此选项，则会将错误隔离的邮件报告给 Microsoft 作为误报。 根据分析结果，可能会调整服务范围的垃圾邮件筛选规则以允许邮件通过。

  选择此选项会显示以下选项：

  • 允许此邮件：如果选择此选项，允许条目将添加到发件人的 租户允许/阻止列表 以及邮件中的任何相关 URL 或附件。 还会显示以下选项：
    • 删除之后的条目：默认值为 30 天，但你也可以选择 1 天、 7 天或小于 30 天 的特定日期 。
    • 允许输入注释：输入包含其他信息的可选注释。

完成“ 向收件人收件箱发布电子邮件 ”浮出控件后，选择“ 发布邮件”。

回到“Email”选项卡上，消息的“发布状态”值为“释放”。

批准或拒绝用户的隔离电子邮件发布请求

如果隔离策略使用 “允许收件人请求从隔离 区释放邮件 (PermissionToRequestRelease 权限) 而不是 在 隔离邮件) ) 释放邮件，则用户可以请求 (PermissionToRelease 释放电子邮件。 有关详细信息，请参阅Microsoft Defender门户中Create隔离策略。

收件人请求释放电子邮件后， “发布状态 ”值将更改为 “请求发布”，管理员可以批准或拒绝该请求。

提示

可能会为该消息的多个发布请求创建一个释放消息的警报。 使用警报消息的“详细信息”部分中的隔离链接，针对过去 7 天的组织中用户的发布请求执行操作。

如果不释放或删除邮件，则会在 “过期” 列中显示的日期之后自动将其从隔离区中删除。

选择消息后，使用以下方法之一批准或拒绝发布请求：

• 在“Email”选项卡上：选择“批准发布”或“拒绝”。
• 在所选邮件的详细信息浮出控件中：选择“更多”，然后选择“批准发布”或“拒绝发布”。

如果选择“ 批准发布”，则会打开“ 批准发布 ”浮出控件，你可以在其中查看有关邮件的信息。 若要批准请求，请选择“ 批准发布”。 此时会打开“ 已批准的发布 ”浮出控件，你可以在其中选择链接来了解有关发布消息的详细信息。 完成发布批准的浮出控件后，选择“完成”。 回到“Email”选项卡上，邮件的“发布状态”值将更改为“已批准”。

如果选择“ 拒绝”，则会打开 “拒绝发布 ”浮出控件，你可以在其中查看有关邮件的信息。 若要拒绝请求，请选择“ 拒绝发布”。 此时会打开“ 拒绝发布 ”浮出控件，你可以在其中选择链接以了解有关发布消息的详细信息。 完成发布拒绝浮出控件后，选择“完成”。 回到“Email”选项卡上，邮件的“发布状态”值将更改为“拒绝”。

提示

只能拒绝所有收件人的发布。 不能拒绝特定收件人的发布。

从隔离区中删除电子邮件

从隔离区中删除电子邮件时，该邮件将被删除，并且不会发送给原始收件人。

如果不释放或删除邮件，则会在 “过期” 列中显示的日期之后自动将其从隔离区中删除。

选择消息后，使用以下方法之一将其删除：

• 在“Email”选项卡上：选择“从隔离区中删除”。
• 在所选邮件的详细信息浮出控件中：选择“ 更多选项>”“从隔离区中删除”。

在打开的 删除 (n) 邮件从隔离 浮出控件中，使用以下方法之一删除邮件：

• 选择“ 永久删除隔离区中的邮件 ”，然后选择“ 删除：邮件已永久删除且不可恢复”。
• 选择“仅 删除 ”：邮件已删除，但可能可恢复。

在“从隔离区中删除邮件 (n) 邮件”浮出控件上选择“删除”后，返回到不再列出邮件的“Email”选项卡。

从隔离区预览电子邮件

选择消息后，使用以下方法之一预览消息：

• 在“Email”选项卡上：选择“预览邮件”。
• 在所选邮件的详细信息浮出控件中：选择“ 更多选项>”“预览邮件”。

在打开的浮出控件中，选择以下选项卡之一：

• “源”：显示禁用所有链接的 HTML 版邮件正文。
• “纯文本”：以纯文本格式显示邮件正文。

查看电子邮件标头

选择消息后，使用以下方法之一查看邮件头：

• 在“Email”选项卡上，选择“更多>查看邮件头”。
• 在所选邮件的详细信息浮出控件中：选择“ 更多选项>”“查看邮件头”。

在打开 的“邮件头 ”浮出控件中，将显示邮件头 () 的所有标头字段。

使用 复制邮件头 将邮件头复制到剪贴板。

选择 “Microsoft 消息标头分析器 ”链接以深入分析标头字段和值。 将邮件头粘贴到“ 插入要分析的邮件标头 ”部分， (CTRL+V 或右键单击并选择“ 粘贴) ”，然后选择“ 分析邮件头”。

向 Microsoft 报告电子邮件以供隔离区审查

选择消息后，使用以下方法之一将消息报告给 Microsoft 进行分析：

• 在“Email”选项卡上：选择“更多>提交”以供审阅。
• 在所选邮件的详细信息浮出控件中：选择“ 更多选项>提交以供审阅”。

在打开 的“提交到 Microsoft 进行分析 ”浮出控件中，配置以下选项：

• 添加网络消息 ID 或上传电子邮件文件：选择以下选项之一：

  • 添加电子邮件网络消息 ID：默认情况下，此值处于选中状态，并在框中显示相应的值。
  • 上传电子邮件文件 (.msg 或 eml) ：选择此选项后，选择显示的“浏览文件”按钮，查找并选择要提交的.msg或.eml邮件文件。

• 选择有问题的收件人：选择邮件 (首选) 或更多原始收件人，以分析应用于他们的策略。

• 选择提交到 Microsoft 的原因：选择以下选项之一：

  • 我已确认它 (默认) 干净：如果确定邮件干净，请选择此选项，然后选择“ 下一步”。 然后，以下设置可用：

    • 允许此电子邮件：如果选择此选项，允许条目将添加到发件人的 租户允许/阻止列表 以及邮件中的任何相关 URL 或附件。 还会显示以下选项：
    • 删除之后的条目：默认值为 30 天，但你也可以选择 1 天、 7 天或小于 30 天 的特定日期 。
    • 允许输入注释：输入包含其他信息的可选注释。

  • 它看起来干净：如果你不确定并且想要从 Microsoft 做出判决，请选择此选项。

完成“ 提交到 Microsoft 进行分析 ”浮出控件后，选择“ 提交”。

提示

用户可以从隔离区向 Microsoft 报告误报，具体取决于用户报告设置中“从隔离区报告”设置的值。

阻止电子邮件发件人隔离

“阻止发件人”操作将所选电子邮件的发件人添加到 登录者邮箱中的“阻止发件人”列表。 通常，如果最终用户可以通过 隔离策略使用此操作，则此操作可供他们使用。 有关阻止发件人的用户的详细信息，请参阅 阻止邮件发件人

选择邮件后，使用以下方法之一将邮件发件人 添加到邮箱中的 “阻止发件人”列表：

• 在“Email”选项卡上：选择“更多>阻止发件人”。
• 在所选邮件的详细信息浮出控件中：选择“ 更多选项>阻止发件人”。

在打开的 “阻止发件人 ”浮出控件中，查看有关发件人的信息，然后选择“ 阻止”。

提示

组织仍可以接收来自被阻止发件人的邮件。 来自发件人的邮件将传递到用户垃圾邮件Email文件夹或隔离。 若要在到达时从发件人中删除邮件，请使用 邮件流规则 (也称为传输规则) 阻止邮件。

从隔离区共享电子邮件

可以向指定的收件人发送隔离电子邮件的副本，包括可能有害的内容。

选择邮件后，使用以下方法之一将邮件的副本发送给其他人：

• 在“Email”选项卡上：选择“更多>共享电子邮件”。
• 在所选邮件的详细信息浮出控件中：选择“ 更多选项>”“共享电子邮件”。

在打开的“ 与其他用户共享电子邮件” 浮出控件中，选择一个或多个收件人以接收邮件副本。 完成后，选择“ 共享”。

从隔离区下载电子邮件

选择电子邮件后，使用以下任一方法下载它：

• 在“Email”选项卡上：选择“更多>下载邮件”。
• 在所选邮件的详细信息浮出控件中：选择“ 更多选项>”“下载邮件”。

在打开的 “下载文件 ”浮出控件中，输入以下信息：

• 下载文件的原因：输入描述性文本。
• Create密码和确认密码：输入打开下载的邮件文件所需的密码。

完成 “下载文件” 浮出控件后，选择“ 下载”。

下载准备就绪后，将打开 “另存为 ”对话框，供你查看或更改下载的文件名和位置。 默认情况下，.eml邮件文件保存在 “下载” 文件夹中名为“隔离 Messages.zip”的压缩文件中。 如果 .zip 文件已存在，则会将数字追加到文件名 (例如“隔离邮件 (1) .zip) ”。

接受或更改下载的文件详细信息，然后选择“ 保存”。

返回“ 下载文件” 浮出控件，选择“ 完成”。

Defender for Office 365中隔离电子邮件的操作

在具有Microsoft Defender for Office 365 (加载项许可证或包含在Microsoft 365 E5或Microsoft 365 商业高级版) 等订阅中的组织中，所选邮件的详细信息浮出控件中也提供以下操作：

• 打开电子邮件实体：有关详细信息，请参阅Email实体页上的内容。

• 执行操作：此操作将启动Email实体页上提供的相同操作向导。 有关详细信息，请参阅Email实体页上的操作。

对多封已隔离电子邮件执行操作

通过选择第一列旁边的检查框，在“Email”选项卡上选择多个隔离邮件时， (“Email”选项卡上提供以下批量操作，具体取决于) 所选邮件的“发布”状态值：

• 释放隔离的电子邮件

  为批量操作选择的唯一可用选项是 将此邮件的副本发送给组织中的其他收件人 和 将邮件发送到 Microsoft 以改进检测 (误报) 。

• 批准或拒绝用户的隔离电子邮件发布请求

• 从隔离区中删除电子邮件

• 向 Microsoft 报告电子邮件以供隔离区审查

  为批量操作选择的唯一可用选项是 “允许具有类似属性的电子邮件 ”以及相关的 “在之后删除允许条目 ”和 “允许进入备注 ”选项。

• 从隔离区下载电子邮件

查找删除隔离邮件的人员

默认情况下，许多安全策略判决允许用户删除其隔离邮件 (收件人) 的邮件。 有关详细信息，请参阅 以用户身份管理隔离的邮件和文件中的表。

管理员可以使用以下过程搜索审核日志，以查找从隔离区中删除的邮件的事件：

1. 在 Defender 门户中 https://security.microsoft.com，转到 “审核”。 或使用 https://security.microsoft.com/auditlogsearch 直接转到“审核”页面。

   提示

   还可以访问Microsoft Purview 合规门户的“审核”页面https://compliance.microsoft.com/auditlogsearch

2. 在“审核”页上，验证是否已选中“新建搜索”选项卡，然后配置以下设置：

   • 日期和时间范围 (UTC)
   • 活动 - 友好名称：在框中单击，在出现的“搜索”框中键入“隔离”，然后从结果中选择“已删除隔离邮件”。
   • 用户：如果知道谁从隔离区中删除了邮件，则可以按用户进一步筛选结果。

3. 输入完搜索条件后，选择“搜索”以生成搜索。

有关审核日志搜索的完整说明，请参阅审核新搜索。

使用Microsoft Defender门户管理Defender for Office 365中的隔离文件

注意

本部分中隔离文件的过程仅适用于Microsoft Defender for Office 365 计划 1或计划 2 订阅者。

在 SharePoint 或 OneDrive 中隔离的文件在 30 天后从隔离中删除，但被阻止的文件将保留在 SharePoint 或 OneDrive 中处于阻止状态。

在具有Defender for Office 365的组织中，管理员可以管理 SharePoint、OneDrive 和 Microsoft Teams 安全附件隔离的文件。 若要为这些文件启用保护，请参阅 为 SharePoint、OneDrive 和 Microsoft Teams 启用安全附件。

查看隔离的文件

在 Microsoft Defender 门户中https://security.microsoft.com，转到“Email &协作>查看>隔离>文件”选项卡。或者，若要直接转到“隔离”页上的“文件”选项卡，请使用 https://security.microsoft.com/quarantine?viewid=Files。

在“文件”选项卡上，可以通过单击“将列表间距更改为压缩或正常”，然后选择“压缩列表”来减小列表中的垂直间距。

可以通过单击可用的列标题对条目进行排序。 选择“自定义列”以更改显示的列。 默认值标有星号（^*）：

• 用户^*
• 位置^*：值为 SharePoint 或 OneDrive。
• 附件文件名^*
• 文件 URL^*
• 文件大小
• 释放状态^*
• 到期时间^*
• 检测者
• 按时间修改

若要筛选条目，请选择“ 筛选”。 打开的 “筛选器” 浮出控件中提供了以下筛选器：

• 接收时间：
  • 过去 24 小时
  • 过去 7 天
  • 过去 14 天
  • 过去 30 天 (默认)
  • 自定义：输入开始时间和结束时间（日期）。
• 过期：
  • 自定义 (默认) ：输入开始时间和结束时间 (日期) 。
  • 今天
  • 未来 2 天
  • 未来 7 天
• 隔离原因：唯一可用的值为 Malware。
• 策略类型：唯一可用的值为 Unknown。

完成 “筛选器” 浮出控件后，选择“ 应用”。 若要清除筛选器，请选择“ 清除筛选器”。

使用“搜索”框和相应的值按文件名查找特定文件。 不支持通配符。

输入搜索条件后，按 Enter 筛选结果。

找到特定的隔离文件后，选择该文件以查看有关该文件的详细信息，并 (对其进行操作，例如查看、发布、下载或删除文件) 。

查看隔离的文件详细信息

1. 在 Microsoft Defender 门户中https://security.microsoft.com，转到“Email &协作>查看>隔离>文件”选项卡。或者，若要直接转到“隔离”页上的“文件”选项卡，请使用 https://security.microsoft.com/quarantine?viewid=Files。

2. 在“文件”选项卡上，单击行中除“检查”框以外的任意位置，选择隔离的文件。

在打开的详细信息浮出控件中，提供了以下信息：

• 文件详细信息 部分：
  • 文件名
  • 文件 URL：定义文件位置的 URL， (例如 SharePoint Online) 中。
  • 检测到的恶意内容 隔离文件的日期/时间。
  • 过期：从隔离区中删除文件的日期。
  • 检测者
  • 释放？
  • 恶意软件名称
  • 文档 ID：文档的唯一标识符。
  • 文件大小
  • 组织 组织的唯一 ID。
  • 上次修改时间
  • 上次修改者：上次修改文件的用户。
  • 安全哈希算法 256 位 (SHA-256) 值：可以使用此哈希值来标识其他信誉存储区或环境中的其他位置中的文件。

若要对文件执行操作，请参阅下一部分。

提示

若要在不离开详细信息浮出控件的情况下查看有关其他隔离文件的详细信息，请使用浮出控件顶部的“上一项”和“下一项”。

对隔离的文件执行操作

1. 在 Microsoft Defender 门户中https://security.microsoft.com，转到“Email &协作>查看>隔离>文件”选项卡。或者，若要直接转到“隔离”页上的“文件”选项卡，请使用 https://security.microsoft.com/quarantine?viewid=Files。

2. 在“文件”选项卡上，单击行中除“检查”框以外的任意位置，选择隔离的文件。

选择隔离的文件后，以下小节将介绍打开的文件详细信息浮出控件中的可用操作。

从隔离区中释放隔离的文件

此操作不适用于已发布的文件， (“已发布”状态 值为“ 已发布) ”。

如果不从隔离区中释放或删除文件，则在默认隔离保留期到期后，该文件将从隔离区中删除 (，如“ 过期” 列) 所示，但被阻止的文件将保留在 SharePoint 或 OneDrive 中，处于阻止状态。

选择文件后，在打开的文件详细信息浮出控件中选择“ 发布 文件”。

在“ 发布文件并将其报告到打开的 Microsoft ”浮出控件中，查看“ 向 Microsoft 报告文件以供分析 ”部分中的文件详细信息，决定是否选择“ 将文件报告到 Microsoft 进行分析”，然后选择“ 发布”。

在打开 的“文件已发布” 浮出控件中，选择“ 完成”。

返回文件详细信息浮出控件，选择 “关闭”。

返回“ 文件 ”选项卡，该文件的“ 发布”状态 值为 “已发布”。

从隔离区下载隔离文件

选择文件后，在打开的详细信息浮出控件中选择“ 下载文件 ”。

在打开的 “下载文件 ”浮出控件中，输入以下信息：

• 下载文件的原因：输入描述性文本。
• Create密码和确认密码：输入打开下载的文件所需的密码。

完成 “下载文件” 浮出控件后，选择“ 下载”。

下载准备就绪后，将打开 “另存为 ”对话框，供你查看或更改下载的文件名和位置。 默认情况下，该文件保存在“ 下载” 文件夹中名为“已隔离 Messages.zip”的压缩文件中。 如果 .zip 文件已存在，则会将数字追加到文件名 (例如“隔离邮件 (1) .zip) ”。

接受或更改下载的文件详细信息，然后选择“ 保存”。

返回“ 下载文件” 浮出控件，选择“ 完成”。

从隔离区中删除隔离文件

如果不从隔离区中释放或删除文件，则在默认隔离保留期到期后，该文件将从隔离区中删除 (，如“ 过期” 列) 所示，但被阻止的文件将保留在 SharePoint 或 OneDrive 中，处于阻止状态。

选择文件后，在打开的详细信息浮出控件中选择“从隔离区中删除更多>内容”。

在打开的警告对话框中选择“ 继续 ”。

返回“ 文件 ”选项卡，不再列出该文件。

对多个隔离的文件执行操作

通过在“文件”选项卡上选择第一列旁边的检查框来选择多个隔离的文件时， (最多 100 个文件) ，将显示“批量操作”下拉列表，你可以在其中执行以下操作：

• 从隔离区中释放隔离的文件
• 从隔离区中删除隔离文件
• 从隔离区下载隔离文件

使用Microsoft Defender门户管理 Microsoft Teams 隔离邮件

提示

Microsoft Teams 中的零小时自动清除 (ZAP) 目前为预览版，并非在所有组织中都可用，并且可能会发生更改。

Microsoft Teams 中的隔离仅在具有Microsoft Defender for Office 365计划 2 (加载项许可证或包含在订阅（如 Microsoft 365 E5) ）中的组织中可用。

在 Microsoft Teams 中检测到潜在的恶意聊天消息时，零小时自动清除 (ZAP) 删除并隔离邮件。 管理员可以查看和管理这些隔离的 Teams 邮件。 邮件隔离 30 天。 之后，Teams 消息将永久删除。

默认情况下启用此功能。

查看隔离的 Teams 邮件

在 Microsoft Defender 门户中https://security.microsoft.com，转到“Email &协作>查看>隔离>Teams 消息”选项卡。或者，若要直接转到“隔离”页上的“Teams 邮件”选项卡，请使用 https://security.microsoft.com/quarantine?viewid=Teams。

在“Teams 消息”选项卡上，可以通过单击“将列表间距更改为压缩或正常”，然后选择“压缩列表”来减小列表中的垂直间距。

可以通过单击可用的列标题对条目进行排序。 选择“自定义列”以更改显示的列。 默认值标有星号（^*）：

• Teams 消息文本：包含 Teams 消息的主题。^*
• 接收时间：收件人接收邮件的时间。^*
• 发布状态：显示邮件是否已审阅和发布或需要审阅。 ^*
• 参与者：接收消息的用户总数。^*
• 发件人：发送已隔离的邮件的人员。^*
• 隔离原因：可用选项为“高置信度钓鱼”和“恶意软件”。^*
• 策略类型：负责隔离邮件的组织策略。^*
• 过期：指示从隔离区中删除邮件的时间。 默认情况下，此值为 30 天。^*
• 收件人地址：Email收件人的地址。^*
• 消息 ID：包括聊天消息 ID。

若要筛选条目，请选择“ 筛选”。 打开的 “筛选器” 浮出控件中提供了以下筛选器：

• 邮件 ID
• 发件人地址
• 收件人地址
• 主题
• 接收时间：
  • 过去 24 小时
  • 过去 7 天
  • 过去 14 天
  • 过去 30 天 (默认)
  • 自定义：输入开始时间和结束时间（日期）。
• 过期：
  • 自定义 (默认) ：输入开始时间和结束时间 (日期) 。
  • 今天
  • 未来 2 天
  • 未来 7 天
• 隔离原因：可用值为 恶意软件 和高 置信度钓鱼。
• 收件人：选择 “所有用户 ”或“ 仅我”。
• 审阅状态：选择“ 需要评审 ”和“ 已发布”。

完成 “筛选器” 浮出控件后，选择“ 应用”。 若要清除筛选器，请选择“ 清除筛选器”。

使用“搜索”框和相应的值查找特定的 Teams 消息。 不支持通配符。

找到特定的隔离 Teams 邮件后，选择该邮件以查看有关它的详细信息，并 (对其进行操作，例如查看、释放、下载或删除邮件) 。

查看隔离的 Teams 邮件详细信息

在“隔离”页的“Teams 邮件”选项卡上，单击第一列旁边的“检查”框以外的行中的任意位置，选择隔离邮件。

详细信息浮出控件顶部提供了以下消息信息：

• 浮出控件的标题是 Teams 消息的主题或前 100 个字符。
• 隔离原因值。
• 消息中的链接数。
• 对 隔离的 Teams 邮件执行操作 部分介绍了可用的操作。

提示

若要在不离开详细信息浮出控件的情况下查看有关其他隔离的 Teams 邮件的详细信息，请使用浮出控件顶部的“上一项”和“下一项”。

详细信息浮出控件中的下一部分与隔离的 Teams 邮件相关：

• 隔离详细信息 部分：
  • Expires
  • 接收时间
  • 隔离原因
  • 释放状态
  • 策略类型：值为 None。
  • 策略名称：值为 Teams 保护策略。
  • 隔离策略

详细信息浮出控件的其余部分包含 Teams 邮件实体面板的“邮件详细信息”、“发件人”、“参与者”、“频道详细信息”和“URL”部分。 有关详细信息，请参阅计划 2 中的 Teams mMessage 实体面板Microsoft Defender for Office 365。

完成详细信息浮出控件后，选择“ 关闭”。

对隔离的 Teams 邮件执行操作

在 Microsoft Defender 门户中https://security.microsoft.com，转到“Email &协作>查看>隔离>Teams 消息”选项卡。或者，若要直接转到“隔离”页上的“Teams 邮件”选项卡，请使用 https://security.microsoft.com/quarantine?viewid=Teams。

在 “Teams 邮件 ”选项卡上，使用以下方法之一选择隔离邮件：

• 通过选择第一列旁边的“检查”框，从列表中选择邮件。 可用操作不再灰显。

  

• 单击行中除“检查”框以外的任意位置，从列表中选择邮件。 可用操作位于打开的详细信息浮出控件中。

  

使用任一方法选择消息，“更多”下提供了一些操作。

选择隔离邮件后，以下小节将介绍可用的操作。

释放隔离的 Teams 邮件

此操作不适用于已发布的 Teams 邮件， (“发布状态 ”值为“ 已发布) ”。

如果不释放或删除邮件，则会在 “过期” 列中显示的日期之后自动将其从隔离区中删除。

选择消息后，使用以下方法之一将其释放：

• 在“Teams 消息”选项卡上，选择“ 发布”。
• 在所选邮件的详细信息浮出控件中：选择“ 发布”。

在打开 的“向所有聊天参与者发布 ”浮出控件中，决定是否选择“ 向 Microsoft 提交邮件以提高检测 (误报) ”，然后选择“ 发布”。

从隔离区中删除 Teams 邮件

如果不释放或删除 Teams 邮件，则会在 “过期” 列中显示的日期之后自动将其从隔离区中删除。

选择 Teams 消息后，使用以下方法之一将其删除：

• 在“Teams 邮件”选项卡上，选择“ 删除邮件”。
• 在所选邮件的详细信息浮出控件中：选择“ 更多选项>”“从隔离区中删除”。

在打开的警告对话框中，阅读信息，然后选择“ 继续”。

返回到 “Teams 消息 ”选项卡，不再列出该消息。

从隔离区预览 Teams 邮件

选择 Teams 消息后，请使用以下方法之一对其进行预览：

• 在“Teams 消息”选项卡上，选择“ 预览邮件”。
• 在所选邮件的详细信息浮出控件中：选择“ 预览邮件”。

在打开的浮出控件中，选择以下选项卡之一：

• “源”：显示禁用所有链接的 HTML 版邮件正文。
• “纯文本”：以纯文本格式显示邮件正文。

向 Microsoft 报告 Teams 邮件，以便从隔离区中查看

选择消息后，使用以下方法之一将消息报告给 Microsoft 进行分析：

• 在“Teams 邮件”选项卡上，选择“更多>提交”以供审阅。
• 在所选邮件的详细信息浮出控件中：选择“ 更多选项>提交以供审阅”。

选择“ 提交邮件”时，该消息将发送到 Microsoft 进行分析。 你会收到一个“已提交 项目 ”对话框，其中选择 “确定”。

从隔离区下载 Teams 邮件

选择 Teams 消息后，使用以下方法之一下载它：

• 在“Teams 消息”选项卡上，选择“ 更多>下载邮件”。
• 在所选邮件的详细信息浮出控件中：选择“ 更多选项>”“下载邮件”。

在打开的 “下载邮件” 浮出控件中，输入以下信息：

• 下载文件的原因：输入描述性文本。
• Create密码和确认密码：输入打开下载的邮件文件所需的密码。

完成 “下载文件” 浮出控件后，选择“ 下载”。

默认情况下，.html 邮件文件保存在 “下载” 文件夹中名为“隔离 Messages.zip”的压缩文件中。 如果 .zip 文件已存在，则会将数字追加到文件名 (例如“隔离邮件 (1) .zip) ”。

返回“ 下载邮件” 浮出控件，选择“ 完成”。

对多个隔离的 Teams 邮件执行操作

通过选择第一列旁边的检查框在“Teams 邮件”选项卡上选择多个隔离邮件时，“Teams 邮件”选项卡上提供以下批量操作：

• 释放隔离的 Teams 邮件
• 从隔离区中删除 Teams 邮件
• 向 Microsoft 报告 Teams 邮件，以便从隔离区中查看
• 从隔离区下载 Teams 邮件

批准或拒绝用户针对隔离的 Teams 邮件的释放请求

当用户请求释放隔离的 Teams 邮件时， “发布状态 ”值将更改为 “请求发布”，管理员可以批准或拒绝该请求。

有关详细信息，请参阅 批准或拒绝用户的发布请求。

使用 Exchange Online PowerShell 或独立 EOP PowerShell 管理隔离的邮件

本部分介绍了用于在隔离区中查看和管理邮件和文件的 cmdlet。

• Delete-QuarantineMessage
• Export-QuarantineMessage
• Get-QuarantineMessage
• Preview-QuarantineMessage：此 cmdlet 仅适用于邮件，不适用于隔离的文件。
• Release-QuarantineMessage

详细信息

隔离邮件常见问题解答