以用户身份管理隔离的邮件和文件
提示
你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 在此处了解谁可以注册和试用条款。
无论是在有 Exchange Online 邮箱的 Microsoft 365 组织中,还是在没有 Exchange Online 邮箱的独立 Exchange Online Protection (EOP) 组织中,隔离功能都会隔离具有潜在危险或不需要的邮件。 有关详细信息,请参阅 EOP 的隔离功能。
作为普通用户(非管理员),下表描述了作为已隔离邮件的收件人可用的 默认 功能:
隔离原因: | 查看 | 发布 | 删除 |
---|---|---|---|
反垃圾邮件策略 | |||
批量邮件 | ✔ | ✔ | ✔ |
垃圾邮件 | ✔ | ✔ | ✔ |
高可信度垃圾邮件 | ✔ | ✔ | ✔ |
网络钓鱼 | ✔ | ✔ | ✔ |
高可信度网络钓鱼 | |||
反网络钓鱼策略 | |||
EOP 中的欺骗智能保护 | ✔ | ✔ | ✔ |
Defender for Office 365 中的模拟用户保护 | ✔ | ✔ | ✔ |
Defender for Office 365 中的模拟域保护 | ✔ | ✔ | ✔ |
Defender for Office 365中的邮箱智能模拟保护 | ✔ | ✔ | ✔ |
反恶意软件策略 | |||
包含隔离为恶意软件的附件的电子邮件。 | |||
Defender for Office 365 中的安全附件 | |||
将包含恶意附件的电子邮件隔离为恶意软件的安全附件策略。 | |||
将恶意文件隔离为恶意软件的 SharePoint、OneDrive 以及 Microsoft Teams 的安全附件。 | |||
邮件流规则(传输规则) | |||
直接隔离电子邮件的邮件流规则 (,而不是将其标记为垃圾邮件) 。 |
在 支持的保护功能中, 隔离策略 根据隔离邮件的原因定义允许用户对隔离邮件执行的操作。 默认隔离策略强制实施邮件的历史功能,如上表所述。 管理员可以创建并应用自定义隔离策略,以便为用户定义限制性较低或限制性更高的功能。 有关详细信息,请参阅 隔离策略剖析。
可以在Microsoft Defender门户中查看和管理隔离邮件,或者 (管理员是否已从隔离策略中设置此) 隔离通知。
开始前,有必要了解什么?
若要打开Microsoft Defender门户,请转到 https://security.microsoft.com。 要直接转到“隔离”页,请使用 https://security.microsoft.com/quarantine。
管理员可以配置邮件在永久删除前的隔离期限(反垃圾邮件策略)。 隔离到期的邮件不可恢复。 有关详细信息,请参阅在 EOP 中配置反垃圾邮件策略。
默认情况下,为高可信度网络钓鱼、恶意软件隔离的或由邮件流规则隔离的邮件仅对管理员可用,且对用户不可见。 有关详细信息,请参阅 在 EOP 中以管理员身份管理已隔离邮件和文件。
审核管理员或用户对隔离邮件执行的所有操作。 有关审核的隔离事件的详细信息,请参阅 Office 365 管理 API 中的隔离架构。
在 EOP 中管理隔离的邮件
查看已隔离邮件
注意
查看隔离邮件的功能由隔离策略控制,隔离策略适用于邮件被隔离的原因 (这可能是 EOP 和Microsoft Defender for Office 365安全) 建议设置中所述的默认隔离策略。
在 Microsoft Defender 门户中https://security.microsoft.com,转到Email &协作>查看>隔离>区Email选项卡。或者,若要直接转到“隔离”页上的“Email”选项卡,请使用 https://security.microsoft.com/quarantine?viewid=Email。
在“Email”选项卡上,可以通过单击“将列表间距更改为压缩或正常”,然后选择“压缩列表”来减小列表中的垂直间距。
可以通过单击可用的列标题对条目进行排序。 选择“自定义列”以更改显示的列。 默认值标有星号(*):
- 接收时间*
- 主题*
- 发送*
- 隔离原因* (筛选器说明中查看可能的值。)
- 发布状态* (筛选器说明中查看可能的值。)
- 策略类型* (筛选器说明中查看可能的值。)
- 到期时间*
- 收件人*
- 邮件 ID
- 策略名称
- 邮件大小
- 邮件方向
- 收件人标记
若要筛选条目,请选择“ 筛选”。 打开的 “筛选器” 浮出控件中提供了以下筛选器:
邮件 ID:邮件的全局唯一标识符。
发件人地址
收件人地址
主题
接收时间:
- 过去 24 小时
- 过去 7 天
- 过去 14 天
- 过去 30 天 (默认)
- 自定义:输入开始时间和结束时间(日期)。
过期:按邮件从隔离区过期的时间筛选邮件:
- 今天
- 未来 2 天
- 未来 7 天
- 自定义:输入开始时间和结束时间(日期)。
收件人标记
隔离原因:
收件人: 所有用户 或 仅限我。 最终用户只能管理发送给他们的隔离邮件。
释放状态:以下任何值:
- 需要审查
- 已批准
- 已拒绝
- 已请求释放
- 已释放
策略类型:按策略类型筛选邮件:
- 反恶意软件策略
- 安全附件策略
- 反钓鱼策略
- 反垃圾邮件策略
- 传输规则(邮件流规则)
策略类型和隔离原因值是相互关联的。 例如, 批量 始终与 反垃圾邮件策略相关联,从不与 反恶意软件策略相关联。
完成 “筛选器” 浮出控件后,选择“ 应用”。 若要清除筛选器,请选择“ 清除筛选器”。
提示
缓存筛选器。 下次打开“ 隔离 ”页时,默认情况下会选择最后一个会话中的筛选器。 此行为有助于进行会审操作。
使用搜索框和相应的值查找特定消息。 不支持通配符。 可以按下面的值搜索:
- 发件人电子邮件地址
- 主题。 使用邮件的整个主题。 搜索不区分大小写。
输入搜索条件后,按 Enter 键筛选结果。
注意
“搜索”框在当前视图中搜索隔离项目,而不是搜索所有隔离项目。 若要搜索所有隔离的项目,请使用筛选器和出现的筛选器浮出控件。
找到特定的隔离邮件后,选择该邮件以查看其详细信息,并 (执行操作,例如查看、释放、下载或删除邮件) 。
查看已隔离邮件的详细信息
在 Microsoft Defender 门户中https://security.microsoft.com,转到Email &协作>查看>隔离>区Email选项卡。或者,若要直接转到“隔离”页上的“Email”选项卡,请使用 https://security.microsoft.com/quarantine?viewid=Email。
在“Email”选项卡上,单击行中除“检查”框以外的任意位置,选择隔离邮件。
在打开的详细信息浮出控件中,提供了以下信息:
- 隔离详细信息 部分:
- 接收时间:收到邮件的日期/时间。
- 过期:自动从隔离区中永久删除邮件的日期/时间。
- 主题
- 隔离原因:显示邮件是否已标识为 垃圾邮件、 批量、 网络钓鱼,是否与邮件流规则 (传输规则) 匹配,或者是否被标识为包含 恶意软件。
- 策略类型
- 策略名称
- 收件人计数
- 收件人:如果邮件包含多个收件人,可能需要选择“预览邮件”或>“>查看邮件头”以查看完整的收件人列表。
- Email详细信息部分:
- 发件人地址
- 接收时间
- 网络消息 ID
- 收件人
要对邮件执行操作,请参阅下一部分。
提示
若要查看有关其他隔离邮件的详细信息,而不离开详细信息浮出控件,请使用浮出控件顶部的“上一项”和“下一项”。
对已隔离电子邮件执行操作
在 Microsoft Defender 门户中https://security.microsoft.com,转到Email &协作>查看>隔离>区Email选项卡。或者,若要直接转到“隔离”页上的“Email”选项卡,请使用 https://security.microsoft.com/quarantine?viewid=Email。
在“Email”选项卡上,使用以下方法之一选择隔离的电子邮件:
使用任一方法选择消息,某些操作在“更多”或“更多选项”下可用。
选择隔离邮件后,以下小节将介绍可用的操作。
释放隔离的电子邮件
注意
释放隔离邮件的功能由隔离策略控制,该功能将邮件隔离 (这可能是 EOP 和Microsoft Defender for Office 365安全) 的建议设置中所述的默认隔离策略。
隔离策略可以允许释放邮件或请求释放邮件,但这两个选项不适用于同一封邮件。 隔离策略还可以阻止你释放或请求释放隔离的邮件。
此操作不适用于已发布的电子邮件, (“发布状态 ”值为“ 已发布) ”。
如果不释放或删除邮件,则会在 “过期” 列中显示的日期之后自动将其从隔离区中删除。
选择邮件后,请使用以下方法之一将其释放, (将其传递到邮箱) :
- 在“Email”选项卡上:选择“发布”。
- 在所选邮件的详细信息浮出控件中:选择 “发布电子邮件”。
在打开的 “收件箱”浮出控件的“发布消息 ”中,选择“ 报告邮件”“无威胁 ”,然后选择“ 发布邮件”。
完成收件箱浮出控件的 “发布”消息 后,选择“ 发布邮件”。
在 打开的“收件箱”浮出控件的“邮件 ”中,选择“ 完成”。
回到“Email”选项卡上,消息的“发布状态”值为“释放”。
邮件将传递到收件箱 (或其他文件夹,具体取决于邮箱) 中的任何 收件箱规则 。
请求释放隔离的电子邮件
注意
请求释放隔离邮件的能力由隔离邮件的保护功能的隔离策略控制。
隔离策略可以允许释放邮件或请求释放邮件,但这两个选项不适用于同一封邮件。 隔离策略还可以阻止你释放或请求释放隔离的邮件。
此操作不适用于已请求发布的电子邮件, (“发布状态 ”值为“ 请求 发布) ”。
如果不释放或删除邮件,则会在 “过期” 列中显示的日期之后自动将其从隔离区中删除。
选择消息后,使用以下方法之一请求其发布:
- 在“Email”选项卡上:选择“请求发布”。
- 在所选邮件的详细信息浮出控件中:选择“ 更多选项>”“请求发布”。
在打开 的“请求发布 ”浮出控件中,查看信息,选择“ 请求发布”。 在打开的 “请求发布” 浮出控件中,选择“ 完成”。
返回“ 隔离”页,邮件的 “发布状态 ”值为 “请求发布”。 管理员将审查你的请求并批准或拒绝请求。
从隔离区中删除电子邮件
从隔离区中删除电子邮件时,该邮件将被删除,并且不会发送给原始收件人。
如果不释放或删除邮件,则会在 “过期” 列中显示的日期之后自动将其从隔离区中删除。
选择消息后,使用以下方法之一将其删除:
- 在“Email”选项卡上:选择“删除邮件”。
- 在所选邮件的详细信息浮出控件中:选择“ 更多选项>”“从隔离区中删除”。
在打开的 删除 (n) 邮件从隔离 浮出控件中,使用以下方法之一删除邮件:
- 选择“ 永久删除隔离区中的邮件 ”,然后选择“ 删除:邮件已永久删除且不可恢复”。
- 选择“仅 删除 ”:邮件已删除,但可能可恢复。
在“从隔离区中删除邮件 (n) 邮件”浮出控件上选择“删除”后,返回到不再列出邮件的“Email”选项卡。
提示
管理员可以通过搜索管理员审核日志来找出谁删除了隔离邮件。 有关说明,请参阅 查找删除隔离邮件的人员。
从隔离区预览电子邮件
选择消息后,使用以下方法之一预览消息:
- 在“Email”选项卡上:选择“预览邮件”。
- 在所选邮件的详细信息浮出控件中:选择“ 更多选项>”“预览邮件”。
在打开的浮出控件中,选择以下选项卡之一:
- “源”:显示禁用所有链接的 HTML 版邮件正文。
- “纯文本”:以纯文本格式显示邮件正文。
查看电子邮件标头
选择消息后,使用以下方法之一查看邮件头:
- 在“Email”选项卡上,选择“更多>查看邮件头”。
- 在所选邮件的详细信息浮出控件中:选择“ 更多选项>”“查看邮件头”。
在打开 的“邮件头 ”浮出控件中,将显示邮件头 () 的所有标头字段。
使用 复制邮件头 将邮件头复制到剪贴板。
选择 “Microsoft 消息标头分析器 ”链接以深入分析标头字段和值。 将邮件头粘贴到“ 插入要分析的邮件标头 ”部分, (CTRL+V 或右键单击并选择“ 粘贴) ”,然后选择“ 分析邮件头”。
阻止电子邮件发件人隔离
“阻止发件人”操作会将邮件发件人添加到邮箱中的“阻止发件人”列表。 有关阻止发件人的详细信息,请参阅 阻止邮件发件人。
选择邮件后,使用以下方法之一将邮件发件人添加到邮箱中的“阻止发件人”列表:
- 在“Email”选项卡上:选择“更多>阻止发件人”。
- 在所选邮件的详细信息浮出控件中:选择“ 更多选项>阻止发件人”。
在打开的 “阻止发件人 ”浮出控件中,查看有关发件人的信息,然后选择“ 阻止”。
提示
组织仍可以接收来自被阻止发件人的邮件。 来自发件人的邮件将传递到用户垃圾邮件Email文件夹或隔离。 若要在到达时从发件人中删除邮件,管理员可以使用 邮件流规则 (也称为传输规则) 阻止邮件。
对多封已隔离电子邮件执行操作
通过选择第一列旁边的检查框,在“Email”选项卡上选择多个隔离邮件时, (“Email”选项卡上提供以下批量操作,具体取决于) 所选邮件的“发布”状态值:
在 Microsoft Teams 中管理隔离的邮件
在 Microsoft Teams 中检测到潜在的恶意聊天消息时,零小时自动清除 (ZAP) 删除并隔离邮件。 用户现在可以在Microsoft Defender门户中查看和管理这些隔离的 Teams 邮件。 隔离的 Teams 邮件不支持隔离通知。
在 Microsoft Teams 中查看隔离的邮件
在 Microsoft Defender 门户中https://security.microsoft.com,转到“Email &协作>查看>隔离>Teams 消息”选项卡。或者,若要直接转到“隔离”页上的“Teams 邮件”选项卡,请使用 https://security.microsoft.com/quarantine?viewid=Teams。
可以通过单击可用的列标题对条目进行排序。 选择“自定义列”以更改显示的列。 默认列为:
- Teams 消息文本:包含团队消息的主题。
- 隔离日期:隔离邮件时显示。
- 状态:显示邮件是否已评审并已发布或需要审阅。
- 发件人:发送已隔离的邮件的人员。
- 隔离原因:可用选项为 “高置信度钓鱼 ”和 “恶意软件”。
- 过期:指示从隔离区中删除邮件的时间。 默认情况下,此值为 30 天。
若要筛选条目,请选择“ 筛选”。 打开的 “筛选器” 浮出控件中提供了以下筛选器:
- 发件人地址
- 接收时间:
- 过去 24 小时
- 过去 7 天
- 过去 14 天
- 过去 30 天 (默认)
- 自定义:输入开始时间和结束时间(日期)。
- 到期时间:
- 自定义 (默认) :输入开始时间和结束时间 (日期) 。
- 今天
- 未来 2 天
- 未来 7 天
- 隔离原因:可用值为 恶意软件 和高 置信度钓鱼。
- 状态:选择“ 需要评审 和 发布”。
完成 “筛选器” 浮出控件后,选择“ 应用”。 若要清除筛选器,请选择“ 清除筛选器”。
使用“搜索”框和相应的值查找特定的 Teams 消息。 不支持通配符。
找到特定的隔离 Teams 邮件后,选择该邮件以查看有关它的详细信息,并 (对其进行操作,例如查看、释放、下载或删除邮件) 。
在 Microsoft Teams 中查看隔离的邮件详细信息
在“Teams 邮件”选项卡上,单击行中除“检查”框以外的任意位置,选择隔离邮件。
在打开的详细信息浮出控件中,提供了以下信息:
- 隔离详细信息 部分:包括隔离原因、到期日期、隔离策略类型和其他信息。
- Expires
- 接收时间
- 隔离原因
- 释放状态
- 策略类型
- 邮件详细信息 部分:包括发送邮件的日期和时间、发件人地址、Teams 邮件 ID 和收件人列表。
- 发件人地址
- 接收时间
- 收件人
- Teams 消息 ID
要对邮件执行操作,请参阅下一部分。
对 Microsoft Teams 中的隔离邮件执行操作
在“Teams 邮件”选项卡上,通过选择第一列旁边的“检查”框来选择隔离的邮件。 可以选择以下选项:
- 请求释放:可以请求从隔离区中释放邮件。 组织的管理员需要批准发布。
- 删除:可以请求从隔离邮件列表中删除邮件。
- 预览邮件:可以查看所选邮件的详细信息。
如果不释放或删除邮件,则会在 “过期” 列中显示的日期之后自动将其从隔离区中删除。
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈