以用户身份管理隔离的邮件和文件

• 适用于:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

提示

你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗？ 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 在此处了解谁可以注册和试用条款。

无论是在有 Exchange Online 邮箱的 Microsoft 365 组织中，还是在没有 Exchange Online 邮箱的独立 Exchange Online Protection (EOP) 组织中，隔离功能都会隔离具有潜在危险或不需要的邮件。 有关详细信息，请参阅 EOP 的隔离功能。

作为普通用户(非管理员)，下表描述了作为已隔离邮件的收件人可用的 默认 功能:

隔离原因：	查看	发布	删除
反垃圾邮件策略
批量邮件	✔	✔	✔
垃圾邮件	✔	✔	✔
高可信度垃圾邮件	✔	✔	✔
网络钓鱼	✔	✔	✔
高可信度网络钓鱼
反网络钓鱼策略
EOP 中的欺骗智能保护	✔	✔	✔
Defender for Office 365 中的模拟用户保护	✔	✔	✔
Defender for Office 365 中的模拟域保护	✔	✔	✔
Defender for Office 365中的邮箱智能模拟保护	✔	✔	✔
反恶意软件策略
包含隔离为恶意软件的附件的电子邮件。
Defender for Office 365 中的安全附件
将包含恶意附件的电子邮件隔离为恶意软件的安全附件策略。
将恶意文件隔离为恶意软件的 SharePoint、OneDrive 以及 Microsoft Teams 的安全附件。
邮件流规则(传输规则)
直接隔离电子邮件的邮件流规则 (，而不是将其标记为垃圾邮件) 。

在 支持的保护功能中， 隔离策略 根据隔离邮件的原因定义允许用户对隔离邮件执行的操作。 默认隔离策略强制实施邮件的历史功能，如上表所述。 管理员可以创建并应用自定义隔离策略，以便为用户定义限制性较低或限制性更高的功能。 有关详细信息，请参阅 隔离策略剖析。

可以在Microsoft Defender门户中查看和管理隔离邮件，或者 (管理员是否已从隔离策略中设置此) 隔离通知。

开始前，有必要了解什么？

• 若要打开Microsoft Defender门户，请转到 https://security.microsoft.com。 要直接转到“隔离”页，请使用 https://security.microsoft.com/quarantine。

• 管理员可以配置邮件在永久删除前的隔离期限（反垃圾邮件策略）。 隔离到期的邮件不可恢复。 有关详细信息，请参阅在 EOP 中配置反垃圾邮件策略。

• 默认情况下，为高可信度网络钓鱼、恶意软件隔离的或由邮件流规则隔离的邮件仅对管理员可用，且对用户不可见。 有关详细信息，请参阅 在 EOP 中以管理员身份管理已隔离邮件和文件。

• 审核管理员或用户对隔离邮件执行的所有操作。 有关审核的隔离事件的详细信息，请参阅 Office 365 管理 API 中的隔离架构。

在 EOP 中管理隔离的邮件

查看已隔离邮件

注意

查看隔离邮件的功能由隔离策略控制，隔离策略适用于邮件被隔离的原因 (这可能是 EOP 和Microsoft Defender for Office 365安全) 建议设置中所述的默认隔离策略。

在 Microsoft Defender 门户中https://security.microsoft.com，转到Email &协作>查看>隔离>区Email选项卡。或者，若要直接转到“隔离”页上的“Email”选项卡，请使用 https://security.microsoft.com/quarantine?viewid=Email。

在“Email”选项卡上，可以通过单击“将列表间距更改为压缩或正常”，然后选择“压缩列表”来减小列表中的垂直间距。

可以通过单击可用的列标题对条目进行排序。 选择“自定义列”以更改显示的列。 默认值标有星号（^*）：

• 接收时间^*
• 主题^*
• 发送^*
• 隔离原因^* (筛选器说明中查看可能的值。)
• 发布状态^* (筛选器说明中查看可能的值。)
• 策略类型^* (筛选器说明中查看可能的值。)
• 到期时间^*
• 收件人^*
• 邮件 ID
• 策略名称
• 邮件大小
• 邮件方向
• 收件人标记

若要筛选条目，请选择“ 筛选”。 打开的 “筛选器” 浮出控件中提供了以下筛选器：

• 邮件 ID：邮件的全局唯一标识符。

• 发件人地址

• 收件人地址

• 主题

• 接收时间：

  • 过去 24 小时
  • 过去 7 天
  • 过去 14 天
  • 过去 30 天 (默认)
  • 自定义：输入开始时间和结束时间（日期）。

• 过期：按邮件从隔离区过期的时间筛选邮件：

  • 今天
  • 未来 2 天
  • 未来 7 天
  • 自定义：输入开始时间和结束时间（日期）。

• 收件人标记

• 隔离原因：

  • 传输规则（邮件流规则）
  • 大量邮件
  • 垃圾邮件
  • 数据丢失防护
  • 恶意软件：EOP 中的反恶意软件策略或Defender for Office 365中的安全附件策略。 “策略类型”值指示使用了哪个功能。
  • 网络钓鱼：垃圾邮件筛选器裁定为 网络钓鱼 或反钓鱼保护隔离了邮件（欺骗设置 或 模拟保护）。
  • 高可信度网络钓鱼
  • 管理员操作 - 文件类型阻止：在反恶意软件策略中，常见附件筛选为恶意软件的邮件。 有关详细信息，请参阅 反恶意软件策略。

• 收件人： 所有用户 或 仅限我。 最终用户只能管理发送给他们的隔离邮件。

• 释放状态：以下任何值：

  • 需要审查
  • 已批准
  • 已拒绝
  • 已请求释放
  • 已释放

• 策略类型：按策略类型筛选邮件：

  • 反恶意软件策略
  • 安全附件策略
  • 反钓鱼策略
  • 反垃圾邮件策略
  • 传输规则（邮件流规则）

  策略类型和隔离原因值是相互关联的。 例如， 批量 始终与 反垃圾邮件策略相关联，从不与 反恶意软件策略相关联。

完成 “筛选器” 浮出控件后，选择“ 应用”。 若要清除筛选器，请选择“ 清除筛选器”。

提示

缓存筛选器。 下次打开“ 隔离 ”页时，默认情况下会选择最后一个会话中的筛选器。 此行为有助于进行会审操作。

使用搜索框和相应的值查找特定消息。 不支持通配符。 可以按下面的值搜索：

• 发件人电子邮件地址
• 主题。 使用邮件的整个主题。 搜索不区分大小写。

输入搜索条件后，按 Enter 键筛选结果。

注意

“搜索”框在当前视图中搜索隔离项目，而不是搜索所有隔离项目。 若要搜索所有隔离的项目，请使用筛选器和出现的筛选器浮出控件。

找到特定的隔离邮件后，选择该邮件以查看其详细信息，并 (执行操作，例如查看、释放、下载或删除邮件) 。

提示

在移动设备上，前面所述的控件位于“更多”下。

查看已隔离邮件的详细信息

1. 在 Microsoft Defender 门户中https://security.microsoft.com，转到Email &协作>查看>隔离>区Email选项卡。或者，若要直接转到“隔离”页上的“Email”选项卡，请使用 https://security.microsoft.com/quarantine?viewid=Email。

2. 在“Email”选项卡上，单击行中除“检查”框以外的任意位置，选择隔离邮件。

在打开的详细信息浮出控件中，提供了以下信息：

• 隔离详细信息 部分：
  • 接收时间：收到邮件的日期/时间。
  • 过期：自动从隔离区中永久删除邮件的日期/时间。
  • 主题
  • 隔离原因：显示邮件是否已标识为 垃圾邮件、 批量、 网络钓鱼，是否与邮件流规则 (传输规则) 匹配，或者是否被标识为包含 恶意软件。
  • 策略类型
  • 策略名称
  • 收件人计数
  • 收件人：如果邮件包含多个收件人，可能需要选择“预览邮件”或>“>查看邮件头”以查看完整的收件人列表。
• Email详细信息部分：
  • 发件人地址
  • 接收时间
  • 网络消息 ID
  • 收件人

要对邮件执行操作，请参阅下一部分。

提示

若要查看有关其他隔离邮件的详细信息，而不离开详细信息浮出控件，请使用浮出控件顶部的“上一项”和“下一项”。

对已隔离电子邮件执行操作

1. 在 Microsoft Defender 门户中https://security.microsoft.com，转到Email &协作>查看>隔离>区Email选项卡。或者，若要直接转到“隔离”页上的“Email”选项卡，请使用 https://security.microsoft.com/quarantine?viewid=Email。

2. 在“Email”选项卡上，使用以下方法之一选择隔离的电子邮件：

   • 通过选择第一列旁边的“检查”框，从列表中选择邮件。 可用操作不再灰显。

     

   • 单击行中除“检查”框以外的任意位置，从列表中选择邮件。 可用操作位于打开的详细信息浮出控件中。

     

   使用任一方法选择消息，某些操作在“更多”或“更多选项”下可用。

选择隔离邮件后，以下小节将介绍可用的操作。

提示

在移动设备上，操作体验略有不同：

• 通过选择“检查”框选择邮件时，所有操作都在“更多”下：

  

• 单击行中除“检查”框以外的任意位置选择邮件时，详细信息浮出控件中的“更多”下提供了大多数选项：

  

释放隔离的电子邮件

注意

释放隔离邮件的功能由隔离策略控制，该功能将邮件隔离 (这可能是 EOP 和Microsoft Defender for Office 365安全) 的建议设置中所述的默认隔离策略。

隔离策略可以允许释放邮件或请求释放邮件，但这两个选项不适用于同一封邮件。 隔离策略还可以阻止你释放或请求释放隔离的邮件。

此操作不适用于已发布的电子邮件， (“发布状态 ”值为“ 已发布) ”。

如果不释放或删除邮件，则会在 “过期” 列中显示的日期之后自动将其从隔离区中删除。

选择邮件后，请使用以下方法之一将其释放， (将其传递到邮箱) ：

• 在“Email”选项卡上：选择“发布”。
• 在所选邮件的详细信息浮出控件中：选择 “发布电子邮件”。

在打开的 “收件箱”浮出控件的“发布消息 ”中，选择“ 报告邮件”“无威胁 ”，然后选择“ 发布邮件”。

完成收件箱浮出控件的 “发布”消息 后，选择“ 发布邮件”。

在 打开的“收件箱”浮出控件的“邮件 ”中，选择“ 完成”。

回到“Email”选项卡上，消息的“发布状态”值为“释放”。

邮件将传递到收件箱 (或其他文件夹，具体取决于邮箱) 中的任何 收件箱规则 。

请求释放隔离的电子邮件

注意

请求释放隔离邮件的能力由隔离邮件的保护功能的隔离策略控制。

隔离策略可以允许释放邮件或请求释放邮件，但这两个选项不适用于同一封邮件。 隔离策略还可以阻止你释放或请求释放隔离的邮件。

此操作不适用于已请求发布的电子邮件， (“发布状态 ”值为“ 请求 发布) ”。

如果不释放或删除邮件，则会在 “过期” 列中显示的日期之后自动将其从隔离区中删除。

选择消息后，使用以下方法之一请求其发布：

• 在“Email”选项卡上：选择“请求发布”。
• 在所选邮件的详细信息浮出控件中：选择“ 更多选项>”“请求发布”。

在打开 的“请求发布 ”浮出控件中，查看信息，选择“ 请求发布”。 在打开的 “请求发布” 浮出控件中，选择“ 完成”。

返回“ 隔离”页，邮件的 “发布状态 ”值为 “请求发布”。 管理员将审查你的请求并批准或拒绝请求。

从隔离区中删除电子邮件

从隔离区中删除电子邮件时，该邮件将被删除，并且不会发送给原始收件人。

如果不释放或删除邮件，则会在 “过期” 列中显示的日期之后自动将其从隔离区中删除。

选择消息后，使用以下方法之一将其删除：

• 在“Email”选项卡上：选择“删除邮件”。
• 在所选邮件的详细信息浮出控件中：选择“ 更多选项>”“从隔离区中删除”。

在打开的 删除 (n) 邮件从隔离 浮出控件中，使用以下方法之一删除邮件：

• 选择“ 永久删除隔离区中的邮件 ”，然后选择“ 删除：邮件已永久删除且不可恢复”。
• 选择“仅 删除 ”：邮件已删除，但可能可恢复。

在“从隔离区中删除邮件 (n) 邮件”浮出控件上选择“删除”后，返回到不再列出邮件的“Email”选项卡。

提示

管理员可以通过搜索管理员审核日志来找出谁删除了隔离邮件。 有关说明，请参阅 查找删除隔离邮件的人员。

从隔离区预览电子邮件

选择消息后，使用以下方法之一预览消息：

• 在“Email”选项卡上：选择“预览邮件”。
• 在所选邮件的详细信息浮出控件中：选择“ 更多选项>”“预览邮件”。

在打开的浮出控件中，选择以下选项卡之一：

• “源”：显示禁用所有链接的 HTML 版邮件正文。
• “纯文本”：以纯文本格式显示邮件正文。

查看电子邮件标头

选择消息后，使用以下方法之一查看邮件头：

• 在“Email”选项卡上，选择“更多>查看邮件头”。
• 在所选邮件的详细信息浮出控件中：选择“ 更多选项>”“查看邮件头”。

在打开 的“邮件头 ”浮出控件中，将显示邮件头 () 的所有标头字段。

使用 复制邮件头 将邮件头复制到剪贴板。

选择 “Microsoft 消息标头分析器 ”链接以深入分析标头字段和值。 将邮件头粘贴到“ 插入要分析的邮件标头 ”部分， (CTRL+V 或右键单击并选择“ 粘贴) ”，然后选择“ 分析邮件头”。

阻止电子邮件发件人隔离

“阻止发件人”操作会将邮件发件人添加到邮箱中的“阻止发件人”列表。 有关阻止发件人的详细信息，请参阅 阻止邮件发件人。

选择邮件后，使用以下方法之一将邮件发件人添加到邮箱中的“阻止发件人”列表：

• 在“Email”选项卡上：选择“更多>阻止发件人”。
• 在所选邮件的详细信息浮出控件中：选择“ 更多选项>阻止发件人”。

在打开的 “阻止发件人 ”浮出控件中，查看有关发件人的信息，然后选择“ 阻止”。

提示

组织仍可以接收来自被阻止发件人的邮件。 来自发件人的邮件将传递到用户垃圾邮件Email文件夹或隔离。 若要在到达时从发件人中删除邮件，管理员可以使用 邮件流规则 (也称为传输规则) 阻止邮件。

对多封已隔离电子邮件执行操作

通过选择第一列旁边的检查框，在“Email”选项卡上选择多个隔离邮件时， (“Email”选项卡上提供以下批量操作，具体取决于) 所选邮件的“发布”状态值：

• 释放隔离的电子邮件
• 请求释放隔离的电子邮件
• 从隔离区中删除电子邮件

在 Microsoft Teams 中管理隔离的邮件

在 Microsoft Teams 中检测到潜在的恶意聊天消息时，零小时自动清除 (ZAP) 删除并隔离邮件。 用户现在可以在Microsoft Defender门户中查看和管理这些隔离的 Teams 邮件。 隔离的 Teams 邮件不支持隔离通知。

在 Microsoft Teams 中查看隔离的邮件

在 Microsoft Defender 门户中https://security.microsoft.com，转到“Email &协作>查看>隔离>Teams 消息”选项卡。或者，若要直接转到“隔离”页上的“Teams 邮件”选项卡，请使用 https://security.microsoft.com/quarantine?viewid=Teams。

可以通过单击可用的列标题对条目进行排序。 选择“自定义列”以更改显示的列。 默认列为：

• Teams 消息文本：包含团队消息的主题。
• 隔离日期：隔离邮件时显示。
• 状态：显示邮件是否已评审并已发布或需要审阅。
• 发件人：发送已隔离的邮件的人员。
• 隔离原因：可用选项为 “高置信度钓鱼 ”和 “恶意软件”。
• 过期：指示从隔离区中删除邮件的时间。 默认情况下，此值为 30 天。

若要筛选条目，请选择“ 筛选”。 打开的 “筛选器” 浮出控件中提供了以下筛选器：

• 发件人地址
• 接收时间：
  • 过去 24 小时
  • 过去 7 天
  • 过去 14 天
  • 过去 30 天 (默认)
  • 自定义：输入开始时间和结束时间（日期）。
• 到期时间：
  • 自定义 (默认) ：输入开始时间和结束时间 (日期) 。
  • 今天
  • 未来 2 天
  • 未来 7 天
• 隔离原因：可用值为 恶意软件 和高 置信度钓鱼。
• 状态：选择“ 需要评审 和 发布”。

完成 “筛选器” 浮出控件后，选择“ 应用”。 若要清除筛选器，请选择“ 清除筛选器”。

使用“搜索”框和相应的值查找特定的 Teams 消息。 不支持通配符。

找到特定的隔离 Teams 邮件后，选择该邮件以查看有关它的详细信息，并 (对其进行操作，例如查看、释放、下载或删除邮件) 。

在 Microsoft Teams 中查看隔离的邮件详细信息

在“Teams 邮件”选项卡上，单击行中除“检查”框以外的任意位置，选择隔离邮件。

在打开的详细信息浮出控件中，提供了以下信息：

• 隔离详细信息 部分：包括隔离原因、到期日期、隔离策略类型和其他信息。
  • Expires
  • 接收时间
  • 隔离原因
  • 释放状态
  • 策略类型
• 邮件详细信息 部分：包括发送邮件的日期和时间、发件人地址、Teams 邮件 ID 和收件人列表。
  • 发件人地址
  • 接收时间
  • 收件人
  • Teams 消息 ID

要对邮件执行操作，请参阅下一部分。

对 Microsoft Teams 中的隔离邮件执行操作

在“Teams 邮件”选项卡上，通过选择第一列旁边的“检查”框来选择隔离的邮件。 可以选择以下选项：

• 请求释放：可以请求从隔离区中释放邮件。 组织的管理员需要批准发布。
• 删除：可以请求从隔离邮件列表中删除邮件。
• 预览邮件：可以查看所选邮件的详细信息。

如果不释放或删除邮件，则会在 “过期” 列中显示的日期之后自动将其从隔离区中删除。