管理者として検疫済みメッセージとファイルを管理する

メールボックスがExchange OnlineまたはMicrosoft Teamsにある Microsoft 365 組織、またはメールボックスまたは Teams をExchange Onlineしないスタンドアロン Exchange Online Protection (EOP) 組織では、検疫は、EOP によって検出された危険または不要なメッセージを保持します。Defender for Office 365。

管理者は、すべてのユーザーのすべての種類の検疫済みメッセージとファイルを表示、解放、削除できます。

Microsoft Defender for Office 365を持つ組織の管理者は、SharePoint、OneDrive、Microsoft Teamsの安全な添付ファイルによって検疫されたファイルや、0 時間の自動消去 (ZAP) によって検疫されたMicrosoft Teamsメッセージを管理することもできます。

ユーザーは、サポートされている電子メール保護機能の 検疫ポリシー に基づいて、検疫 されたほとんどのメール メッセージを管理できます。 検疫ポリシーの詳細については、「検疫ポリシー の構造」を参照してください。

管理者とユーザー (ユーザーがorganizationの設定を報告した場合) は、検疫から Microsoft に誤検知を報告できます。

検疫されたメッセージは、Microsoft Defender ポータルまたは PowerShell で表示および管理します (Exchange Onlineにメールボックスがある Microsoft 365 組織の PowerShell をExchange Onlineし、Exchange Onlineメールボックスを持たない組織のスタンドアロン EOP PowerShell)。

検疫されたメッセージを管理者として管理する方法については、この短いビデオをご覧ください。

はじめに把握しておくべき情報

• Microsoft Defender ポータルを開くには、[https://security.microsoft.com] に移動します。 "検疫" ページに直接移動するには、https://security.microsoft.com/quarantine を使用します。

• Exchange Online PowerShell へ接続するには、「Exchange Online PowerShell に接続する」を参照してください。 スタンドアロンの EOP PowerShell に接続するには、「Exchange Online Protection PowerShell への接続」を参照してください。

• この記事の手順を実行する前に、アクセス許可を割り当てる必要があります。 以下のオプションがあります。

  • Microsoft Defender XDR統合ロールベースのアクセス制御 (RBAC) (コラボレーションがEmail &場合>Defender for Office 365アクセス許可はアクティブです。PowerShell ではなく Defender ポータルにのみ影響します。
    • すべてのユーザーに対して検疫されたメッセージに対してアクションを実行する: セキュリティ操作/セキュリティ データ/Email &コラボレーション検疫 (管理))。
    • すべてのユーザーの検疫されたメッセージへの読み取り専用アクセス: セキュリティ操作/セキュリティ データ/セキュリティ データの基本 (読み取り)。
  • Microsoft Defender ポータルでコラボレーションのアクセス許可をEmail &します。
    • すべてのユーザーに対して検疫されたメッセージに対してアクションを実行する: 検疫管理者、 セキュリティ管理者、または 組織管理 ロール グループのメンバーシップ。
      • 検疫から Microsoft にメッセージを送信する: セキュリティ管理者 ロール グループのメンバーシップ。
      • [送信者のブロック] を使用して独自の [送信者のブロック] リストに送信者を追加する: 管理者は、既定の値 [すべてのユーザー] ではなく [受信者>Only Me によって検疫結果をフィルター処理した場合にのみ送信者をブロックする] を参照します。 管理者が検疫へのアクセス権を付与するアクセス許可 (セキュリティ閲覧者やグローバル閲覧者など) を割り当てると、ユーザーが検疫結果を Recipient>Only Me によってフィルター処理した場合、検疫中の送信者をブロックするアクセス権が付与されます。
    • すべてのユーザーの検疫されたメッセージへの読み取り専用アクセス: セキュリティ閲覧者 ロール グループまたは グローバル閲覧者 ロール グループのメンバーシップ。
  • Microsoft Entraアクセス許可: メンバーシップこれらのロールは、ユーザーに Microsoft 365 の他の機能に必要なアクセス許可とアクセス許可を提供します。

    • すべてのユーザーに対して検疫されたメッセージに対してアクションを実行する: セキュリティ管理者またはグローバル管理者のメンバーシップ^*ロール。

      重要

      ^* Microsoft では、アクセス許可が最も少ないロールを使用することをお勧めします。 アクセス許可の低いアカウントを使用すると、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急時に限定する必要があります。

      • 検疫から Microsoft にメッセージを送信する: セキュリティ管理者 ロールのメンバーシップ。
      • [送信者のブロック] を使用して独自の [送信者のブロック] リストに送信者を追加する: 管理者は、既定の値 [すべてのユーザー] ではなく [受信者>Only Me によって検疫結果をフィルター処理した場合にのみ送信者をブロックする] を参照します。 管理者が検疫へのアクセス権を付与するアクセス許可 (セキュリティ閲覧者やグローバル閲覧者など) を割り当てると、ユーザーが検疫結果を Recipient>Only Me によってフィルター処理した場合、検疫中の送信者をブロックするアクセス権が付与されます。

    • すべてのユーザーの検疫されたメッセージへの読み取り専用アクセス: グローバル閲覧者 ロールまたは セキュリティ閲覧者 ロールのメンバーシップ。

  ヒント

  Exchange Onlineアクセス許可を使用して検疫されたメッセージを管理する機能は、MC447339ごとに 2023 年 2 月に終了しました。

  他の組織のゲスト管理者は、検疫されたメッセージを管理できません。 管理者は、受信者と同じorganizationに存在する必要があります。

• 検疫されたメッセージとファイルは、検疫された理由に基づいて既定の期間保持されます。 保持期間の有効期限が切れると、メッセージは自動的に削除され、回復できません。 詳細については、「 検疫の保持」を参照してください。

• ユーザーの許可とブロックとorganizationの許可とブロックの優先順位については、「ユーザーとテナントの設定の競合」を参照してください。

• 検疫されたメッセージに対して管理者またはユーザーが実行したすべてのアクションが監査されます。 監査された検疫イベントの詳細については、「Office 365 Management API の検疫スキーマ」を参照してください。

Microsoft Defender ポータルを使用して検疫済みメール メッセージを管理する

検疫済みメールを表示する

https://security.microsoft.comのMicrosoft Defender ポータルで、[コラボレーション Email &>Review>Quarantine>Email タブに移動します。または、[検疫] ページの [Email] タブに直接移動するには、https://security.microsoft.com/quarantine?viewid=Emailを使用します。

既定では、リストの一番下まで下にスクロールするまで、最初の 100 個のエントリのみが表示され、より多くの結果が読み込まれます。

[Email] タブで、[リストの間隔をコンパクトまたは標準に変更する] をクリックし、[Compact リスト] を選択することで、リストの垂直方向の間隔を小さくできます。

使用可能な列ヘッダーをクリックすると、エントリを並べ替えることができます。 [ 列のカスタマイズ] を選択して、表示される列を変更します。 既定値にはアスタリスク (^*) が付いています。

• 受信時間^*

• 件名^*

• 差し出し人^*

• 検疫の理由^*(で使用可能な値を参照してくださいフィルターの説明。)

• リリースの状態^*(で使用可能な値を参照してくださいフィルターの説明。)

• ポリシーの種類^*(で使用可能な値を参照してくださいフィルターの説明。)

• [有効期限]^*

• 受信者: 受信者のメール アドレスは、メッセージがプロキシ アドレスに送信された場合でも、常にプライマリ メール アドレスに解決されます。

• 送信者アドレスのオーバーライド理由^*: 次のいずれかの値。

  • なし
  • メッセージ送信者が受信者の設定によってブロックされる
  • メッセージ送信者が管理者設定によってブロックされる

  ヒント

  送信者がブロックされ 、[ブロックされた送信者を表示しない ] が選択されている場合 (既定値)、それらの送信者からのメッセージは [検疫 ] ページに表示され、[ 送信者アドレスの上書き理由 ] 値が [なし] の場合に検疫通知に含まれます。 この動作は、送信者アドレスのオーバーライド以外の理由でメッセージがブロックされたために発生します。

• リリース者^*

• [メッセージ ID]

• [ポリシー名]

• メッセージ サイズ

• メールの方向

• 受信者タグ

エントリをフィルター処理するには、[Filter] を選択します。 開いた [フィルター] ポップアップでは、次の フィルター を使用できます。

• [メッセージ ID]: メッセージのグローバル一意識別子。

  たとえば、 メッセージ トレース を使用してメッセージを検索し、メッセージが配信されるのではなく検疫されたと判断したとします。 山かっこ (<>) を含む可能性がある完全なメッセージ ID 値を必ず含めます。 例: <79239079-d95a-483a-aacf-e954f592a0f6@XYZPR00BM0200.contoso.com>。

• [送信者のアドレス]

• 受信者の住所

• 件名

• 受信した時間: 次のいずれかの値を選択します。

  • 過去 24 時間
  • 過去 7 日間 (既定値)
  • 過去 14 日間
  • 過去 30 日間
  • カスタム: 開始時刻 と 終了時刻 (日付) を入力します。

• 期限切れ: 検疫から期限切れになったときに、メッセージをフィルター処理します。 以下の値のうちの一つを選択します:

  • [今日]
  • [今後 2 日間]
  • [今後 7 日間]
  • カスタム: 開始時刻 と 終了時刻 (日付) を入力します。

• 受信者タグ: 現在、選択可能な ユーザー タグ は Priority アカウントのみです。

• 検疫の理由: 次の値の 1 つ以上を選択します。

  • トランスポート ルール (メール フロー ルール)
  • [バルク]
  • [スパム]
  • データ損失防止
  • マルウェア: EOP のマルウェア対策ポリシーまたはDefender for Office 365の安全な添付ファイル ポリシー。 [ポリシーの種類] の値は、使用された機能を示します。
  • 管理アクション - ファイルの種類ブロック: マルウェア対策ポリシーの一般的な添付ファイル フィルターによってマルウェアとしてブロックされたメッセージ。 詳細については、「 マルウェア対策ポリシー」を参照してください。
  • フィッシング: スパム フィルター判定がフィッシング詐欺になったか、またはフィッシング対策保護によってメッセージが検疫されました (スプーフィング設定または偽装防止)。
  • 高確度のフィッシング

• 受信者: 次のいずれかの値を選択します。

  • すべてのユーザー (選択されていない場合でも既定値)
  • 自分のみ: サインインしているユーザーが受信者であるメッセージのみを表示します。 この値は、管理者が [送信者の許可] アクションと [ 送信者のブロック] アクションを表示するために必要です。

• [ブロックされた送信者]: 次のいずれかの値。

  • ブロックされた送信者を表示しない (既定値)
  • すべての送信者を表示する

  ヒント

  送信者がブロックされ 、[ブロックされた送信者を表示しない ] が選択されている場合、それらの送信者からのメッセージは [検疫 ] ページに表示され、[ 送信者アドレスの上書き理由 ] の値が [なし] の場合に検疫通知に含まれます。 この動作は、送信者アドレスのオーバーライド以外の理由でメッセージがブロックされたために発生します。

• リリースの状態: 次の値の 1 つ以上を選択します

  • レビューが必要
  • 承認済み
  • 拒否された
  • リリースが要求されました
  • リリースされた

• ポリシーの種類: メッセージを検疫した保護ポリシーの種類でメッセージをフィルター処理します。 次の値の 1 つ以上を選択します。

  • マルウェア対策ポリシー
  • 安全な添付ファイルに関するポリシー
  • フィッシング対策ポリシー
  • 迷惑メール対策ポリシー
  • トランスポート ルール (メール フロー ルール)
  • データ損失防止ルール

  ポリシーの種類と検疫の理由の値は相互に関連しています。 たとえば、 Bulk は常に スパム対策ポリシーに関連付けられます。 マルウェア対策ポリシーには関連付けされません。

[フィルター] ポップアップが完了したら、[適用] を選択します。 フィルターをクリアするには、[ クリア フィルター] を選択します。

[ 検索 ] ボックスと対応する値を使用して、特定のメッセージを検索します。 ワイルドカードはサポートされていません。 次の値に基づいて検索できます。

• 送信者のメール アドレス
• 件名。 メッセージの件名全体を使用します。 検索では大文字と小文字は区別されません。

検索条件を入力したら、Enter キーを押して結果をフィルター処理します。

特定の検疫済みメッセージを見つけたら、メッセージを選択して詳細を表示し、それに対してアクションを実行します (メッセージの表示、リリース、ダウンロード、削除など)。

検疫済みメールの詳細を表示する

1. https://security.microsoft.comのMicrosoft Defender ポータルで、[コラボレーション Email &>Review>Quarantine>Email タブに移動します。または、[検疫] ページの [Email] タブに直接移動するには、https://security.microsoft.com/quarantine?viewid=Emailを使用します。

2. [Email] タブで、[チェック] ボックス以外の行内の任意の場所をクリックして、検疫されたメッセージを選択します。

表示される詳細ポップアップでは、次の情報を使用できます。

• [検疫の詳細 ] セクション:

  • [受信日時]: メッセージを受信した日時。

  • 期限切れ: メッセージが自動的に検疫から完全に削除される日付/時刻。

  • 件名

  • 検疫の理由: メッセージが スパム、 一括、 フィッシングとして識別されたか、メール フロー ルール (トランスポート ルール) と一致したか、または マルウェアが含まれていると識別されたかどうかを示します。

  • ポリシーの種類

  • [ポリシー名]

  • 受信者の数

  • 受信者: メッセージに多数の受信者が含まれている場合は、 プレビュー メッセージ または メッセージ ヘッダーの表示 を使用して、受信者の完全な一覧を表示できます。

    受信者のメール アドレスは、メッセージがプロキシ アドレスに送信された場合でも、常にプライマリ メール アドレスに解決されます。

  • 未リリース、 リリース日、リリース 者: メッセージの状態によっては、次の 1 つ以上の値を使用できる場合があります。

    • まだリリースされていません: メッセージがリリースされていない受信者のアドレスをEmailします。
    • リリース先: メッセージがリリースされた受信者のアドレスをEmailします。
    • リリース者: <email address of admin who released the message> released for <recipient>という形式を使用してメッセージをリリースした管理者。 たとえば、「 admin@contoso.onmicrosoft.com released to laura@contoso.onmicrosoft.com 」のように入力します。 エンド ユーザーがメッセージを解放すると、エンド ユーザーの SMTP アドレスが表示されます。 リリースがシステムによって実行される場合は、「システムがリリースされました」と表示されます。 リリースが管理者、エンド ユーザー、またはシステムによって実行されない場合、既定では "管理" になります。

詳細ポップアップの残りの部分には、Email概要パネルの一部である [配信の詳細]、[Email詳細]、[URL]、[添付ファイル] セクションが含まれています。 詳細については、「Email概要パネル」を参照してください。

メッセージに対してアクションを実行するには、次のセクションを参照してください。

検疫済みメールを処理する

1. https://security.microsoft.comのMicrosoft Defender ポータルで、[コラボレーション Email &>Review>Quarantine>Email タブに移動します。または、[検疫] ページの [Email] タブに直接移動するには、https://security.microsoft.com/quarantine?viewid=Emailを使用します。

2. [Email] タブで、次のいずれかの方法を使用して検疫された電子メール メッセージを選択します。

   • 最初の列の横にある [チェック] ボックスを選択して、一覧からメッセージを選択します。 使用可能なアクションが淡色表示されなくなりました。

     

   • [チェック] ボックス以外の行の任意の場所をクリックして、一覧からメッセージを選択します。 使用可能なアクションは、開いた詳細ポップアップにあります。

     

   いずれかのメソッドを使用してメッセージを選択すると、 [その他 ] オプションまたは [その他のオプション] で多くのアクションを使用できます。

検疫されたメッセージを選択した後、使用可能なアクションについては、次のサブセクションで説明します。

検疫済みメールをリリースする

このアクションは、既にリリースされている電子メール メッセージでは使用できません ( リリース状態 の値は リリース済み)。

メッセージを解放または削除しない場合は、[ 有効期限] 列に表示された日付の後に検疫から自動的に削除されます。

• 同じ受信者にメッセージを複数回リリースすることはできません。
• リリースされたメッセージを受信する個々の元の受信者を選択すると、リリースされたメッセージをまだ受信していない受信者のみを選択できます。
• セキュリティ管理者ロール グループのメンバーは、[Microsoft にメッセージを送信する] オプションを表示して使用して、検出を改善し、[類似の属性を持つ電子メールを許可する] オプションを使用できます。
• ユーザーは、ユーザーが報告した設定の [検疫からのレポート] 設定の値に応じて、 検疫から Microsoft に誤検知を 報告できます。

メッセージを選択した後、次のいずれかの方法を使用してメッセージを解放します。

• [Email] タブで、[Release] を選択します。
• 選択したメッセージの詳細ポップアップで、[ メールのリリース] を選択します。

開いた [ 受信者の受信トレイに電子メールをリリース する] ポップアップで、次のオプションを構成します。

• 以下の値のうちの一つを選択します:

  • すべての受信者にリリースする
  • メールの元の受信者の 1 つ以上にリリースする: 表示される [受信者] ボックスに受信者 を 入力します。

• このメッセージのコピーを別の受信者に送信する: このオプションを選択した場合は、表示される [受信者] ボックスをクリックして 1 つ以上の 受信者 を選択します。

• 検出を改善するためにメッセージを Microsoft に送信する: このオプションを選択すると、誤って検疫されたメッセージが誤検知として Microsoft に報告されます。 分析の結果によっては、サービス全体のスパム フィルター 規則が調整され、メッセージの通過が許可される場合があります。

  このオプションを選択すると、次のオプションが表示されます。

  • [このメッセージを許可する]: このオプションを選択すると、送信者とメッセージ内の関連する URL または添付ファイルの テナント許可/ブロック リスト に許可エントリが追加されます。 次のオプションも表示されます。
    • 後のエントリの削除: 既定値は 30 日ですが、 1 日、 7 日、または 30 日未満の 特定の日付 を選択することもできます。
    • 入力ノートを許可する: 追加情報を含む省略可能なメモを入力します。

[受信者の受信トレイへの電子メールのリリース] ポップアップが完了したら、[リリース メッセージ] を選択します。

[Email] タブに戻ると、メッセージの [リリース] 状態の値が [リリース] になります。

検疫済みメールのユーザーからのリリース要求を承認または拒否する

検疫ポリシーで、メッセージが検疫されたときに検疫からのメッセージの解放を許可する (PermissionToReleaseアクセス許可) ではなく、検疫からのメッセージの解放 (PermissionToRequestReleaseアクセス許可) を使用した場合、ユーザーは電子メール メッセージのリリースを要求できます。 詳細については、「Microsoft Defender ポータルで検疫ポリシーを作成する」を参照してください。

受信者が電子メール メッセージのリリースを要求すると、[ リリースの状態 ] の値 が [要求されたリリース] に変わり、管理者は要求を承認または拒否できます。

メッセージを解放または削除しない場合は、[ 有効期限] 列に表示された日付の後に検疫から自動的に削除されます。

メッセージを選択したら、次のいずれかの方法を使用して、リリース要求を承認または拒否します。

• [Email] タブで、[Approve リリース] または [Deny] を選択します。
• 選択したメッセージの詳細ポップアップで、[ 詳細 ] を選択し、[ リリースの承認 ] または [リリースの承認] または [ Deny リリース] を選択します。

[リリースの承認] を選択すると、[リリースの承認] ポップアップが開き、メッセージに関する情報を確認できます。 要求を承認するには、[ リリースの承認] を選択します。 [承認されたリリース] ポップアップが開き、リンクを選択してメッセージのリリースの詳細を確認できます。 [リリースが承認された] ポップアップが完了したら、[完了] を選択します。 [Email] タブに戻ると、メッセージのリリース状態の値が [承認済み] に変わります。

[拒否] を選択すると、[リリースの拒否] ポップアップが開き、メッセージに関する情報を確認できます。 要求を拒否するには、[ リリースの拒否] を選択します。 [リリース拒否] ポップアップが開き、リンクを選択してメッセージのリリースの詳細を確認できます。 [リリースが拒否されました] ポップアップが完了したら、[完了] を選択します。 [Email] タブに戻ると、メッセージのリリース状態の値が [拒否] に変わります。

検疫からメールを削除する

検疫からメール メッセージを削除すると、メッセージは削除され、元の受信者には送信されません。

メッセージを解放または削除しない場合は、[ 有効期限] 列に表示された日付の後に検疫から自動的に削除されます。

メッセージを選択した後、次のいずれかの方法を使用して削除します。

• [Email] タブで、[検疫から削除する] を選択します。
• 選択したメッセージの詳細ポップアップで、[その他のオプション] を選択>検疫から削除します。

開いた 検疫からのメッセージの削除 (n) ポップアップで、次のいずれかの方法を使用してメッセージを削除します。

• [ 検疫からメッセージを完全に削除 する] を選択し、[削除] を選択 します。メッセージは完全に削除され、回復できません。
• [ 削除のみ] を 選択します。メッセージは削除されますが、回復可能な可能性があります。

検疫ポップアップからメッセージを削除 (n) で [削除] を選択した後、メッセージが表示されなくなった [Email] タブに戻ります。

検疫からのメールのプレビュー

メッセージを選択した後、次のいずれかの方法を使用してプレビューします。

• [Email] タブで、[Preview メッセージ] を選択します。
• 選択したメッセージの詳細ポップアップで、[ その他のオプション>Preview メッセージを選択します。

表示されるポップアップで、次のいずれかのタブを選択します。

• [ソース]: すべてのリンクが無効になったメッセージ本文の HTML バージョンを表示します。
• [プレーン テキスト]: プレーン テキストでメッセージ本文を表示します。

電子メール メッセージ ヘッダーを表示する

メッセージを選択したら、次のいずれかの方法を使用してメッセージ ヘッダーを表示します。

• [Email] タブで、[][詳細>メッセージ ヘッダーの表示] を選択します。
• 選択したメッセージの詳細ポップアップで、[その他のオプション] を選択>メッセージ ヘッダーを表示します。

開いた [メッセージ ヘッダー ] ポップアップに、メッセージ ヘッダー (すべてのヘッダー フィールド) が表示されます。

Copy メッセージ ヘッダーを使用して、メッセージ ヘッダーをクリップボードにコピーします。

[Microsoft Message Header Analyzer] リンクを選択して、ヘッダー フィールドと値を詳細に分析します。 [ 分析するメッセージ ヘッダーを挿入する] セクションにメッセージ ヘッダーを 貼り付けます (Ctrl キーを押しながら V キーを押すか、右クリックして [貼り付け] を選択します)。次に、[ ヘッダーの分析] を選択します。

検疫からの確認のためにメールを Microsoft に報告する

メッセージを選択した後、次のいずれかの方法を使用して、分析のためにメッセージを Microsoft に報告します。

• [Email] タブで、[詳細>確認依頼] を選択します。
• 選択したメッセージの詳細ポップアップで、[その他のオプション] を選択>確認用に送信します。

開いた [分析のために Microsoft に送信する] ポップアップで、次のオプションを構成します。

• ネットワーク メッセージ ID を追加するか、メール ファイルをアップロードします。次のいずれかのオプションを選択します。

  • メール ネットワーク メッセージ ID を追加する: この値は既定で選択され、対応する値がボックスに表示されます。
  • メール ファイル (.msgまたは eml) をアップロードする: このオプションを選択した後、表示される [ Browse files ] ボタンを選択して、送信する.msgまたは.emlメッセージ ファイルを選択します。

• 問題が発生した受信者を選択する: メッセージの元の受信者を 1 つ (優先) 以上選択して、それらに適用されたポリシーを分析します。

• Microsoft に提出する理由を選択する: 次のいずれかのオプションを選択します。

  • クリーンであることを確認しました (既定値): メッセージがクリーンされていることを確認する場合は、このオプションを選択し、[次へ] を選択します。 その後、次の設定を使用できます。

    • このメールを許可する: このオプションを選択すると、送信者の テナント許可/ブロックリスト と、メッセージ内の関連する URL または添付ファイルに許可エントリが追加されます。 次のオプションも表示されます。
    • 後のエントリの削除: 既定値は 30 日ですが、 1 日、 7 日、または 30 日未満の 特定の日付 を選択することもできます。
    • 入力ノートを許可する: 追加情報を含む省略可能なメモを入力します。

  • クリーン表示されます。不明で、Microsoft からの評決が必要な場合は、このオプションを選択します。

[分析のために Microsoft に送信] ポップアップが完了したら、[送信] を選択します。

検疫からのメール送信者を許可する

[送信者の許可] アクションは、選択したメール メッセージの送信者を、サインインしているメールボックスの [差出人セーフ リスト] に追加します。 通常、このアクションは 、エンド ユーザーが検疫ポリシーで使用できる場合に使用できます。 送信者を許可するユーザーの詳細については、「 電子メール メッセージの受信者を差出人セーフ リストに追加する」を参照してください。

メッセージを選択した後、次のいずれかの方法を使用して、メッセージ送信者を 自分 のメールボックスの [差出人セーフ リスト] に追加します。

• [Email] タブで、[送信者詳細>[許可する] を選択します。
• 選択したメッセージの詳細ポップアップで、[ その他のオプション>[送信者の許可] を選択します。

表示されるポップアップは、送信者が [差出人セーフ リスト] に正常に追加されたタイミングを示します。 [完了] を選択します。

メール送信者の検疫をブロックする

[送信者のブロック] アクションは、選択したメール メッセージの送信者を、サインインしているメールボックスの [ブロックされた送信者] リストに追加します。 通常、このアクションは 、エンド ユーザーが検疫ポリシーで使用できる場合に使用できます。 送信者をブロックするユーザーの詳細については、「メールの送信者をブロックする」を参照してください。

メッセージを選択した後、次のいずれかの方法を使用して、メッセージ送信者を 自分 のメールボックスの [ブロックされた送信者] リストに追加します。

• [Email] タブで、[送信者の詳細>ブロック] を選択します。
• 選択したメッセージの詳細ポップアップで、[ その他のオプション>[送信者のブロック] を選択します。

開いた [ 送信者のブロック ] ポップアップで、送信者に関する情報を確認し、[ ブロック] を選択します。

ユーザーの [拒否された送信者] リストから送信者を検疫から削除する

[ ユーザーからの送信者の削除] ブロック リスト は、検疫されたメッセージの送信者が受信者の [送信者のブロック] リストに既に存在する場合にのみ使用できます。

管理者は、自分のメールボックスの [送信者のブロック] リストから送信者を削除できます (検疫が受信者によってフィルター処理されている場合>自分以外のユーザー) または他のユーザーのメールボックスから (検疫が受信者によってフィルター処理されている場合>すべてのユーザー)。

メッセージを選択した後、次のいずれかの方法を使用して、ユーザーの [送信者のブロック] リストから送信者を削除します。

• [Email] タブで、[][その他>送信者をユーザー ブロック リストから削除する] を選択します。
• 選択したメッセージの詳細ポップアップで、[ その他のオプション>ユーザー ブロック リストから送信者を削除します。

開くポップアップは、送信者が受信者の [ブロックされた送信者] リストから正常に削除されたタイミングを示します。 [完了] を選択します。

検疫からメールを共有する

検疫されたメール メッセージのコピー (有害な可能性のあるコンテンツを含む) を、指定された受信者に送信できます。

メッセージを選択したら、次のいずれかの方法を使用して、そのコピーを他のユーザーに送信します。

• [Email] タブで、[詳細>[メールの共有] を選択します。
• 選択したメッセージの詳細ポップアップで、[その他のオプション] >[メールの共有] を選択します。

開 いた [他のユーザーとメールを共有 する] ポップアップで、メッセージのコピーを受信する 1 人以上の受信者を選択します。 完了したら、[共有] を選択 します。

検疫からメールをダウンロードする

電子メール メッセージを選択した後、次のいずれかの方法を使用してダウンロードします。

• [Email] タブで、[][詳細>メッセージのダウンロード] を選択します。
• 選択したメッセージの詳細ポップアップで、[ その他のオプション>ダウンロード メッセージを選択します。

開いた [ ファイルのダウンロード ] ポップアップで、次の情報を入力します。

• ファイルをダウンロードする理由: 説明テキストを入力します。
• パスワードの作成 と パスワードの確認: ダウンロードしたメッセージ ファイルを開くために必要なパスワードを入力します。

[ ファイルのダウンロード ] ポップアップが完了したら、[ ダウンロード] を選択します。

ダウンロードの準備ができたら、[ 名前を付けて保存] ダイアログが開き、ダウンロードしたファイル名と場所を表示または変更できます。 既定では、.eml メッセージ ファイルは、検疫された Messages.zip という名前の圧縮ファイルに ダウンロード フォルダーに保存されます。 .zip ファイルが既に存在する場合は、ファイル名に番号が追加されます (たとえば、検疫済みメッセージ(1).zip)。

ダウンロードしたファイルの詳細を受け入れるか変更し、[保存] を選択 します。

[ファイルの ダウンロード ] ポップアップに戻り、[完了] を選択 します。

Defender for Office 365の検疫済みメール メッセージに対するアクション

Microsoft Defender for Office 365 (アドオン ライセンス、または Microsoft 365 E5 や Microsoft 365 Business Premium などのサブスクリプションに含まれる) を持つ組織では、選択したメッセージの詳細ポップアップでも次のアクションを使用できます。

• 電子メール エンティティを開く: 詳細については、「Email エンティティ ページの内容」を参照してください。

• アクションの実行: このアクションは、Email エンティティ ページで使用できるのと同じアクション ウィザードを開始します。 詳細については、「Email エンティティ ページのアクション」を参照してください。

複数の検疫済みメール メッセージを処理する

最初の列の横にある [チェック] ボックスを選択して、[Email] タブで最大 100 個の検疫済みメッセージを選択すると、[Email] タブで次の一括アクションを使用できます (選択したメッセージの [リリース状態] の値に応じて)。

• 検疫済みメールをリリースする

  一括アクションに対して選択できる唯一のオプションは、このメッセージのコピーをorganization内の他の受信者に送信する方法と、検出を改善するために Microsoft にメッセージを送信する (誤検知) です。

• 検疫済みメールのユーザーからのリリース要求を承認または拒否する

• 検疫からメールを削除する

• 検疫からの確認のためにメールを Microsoft に報告する

  一括アクションに対して選択できる唯一のオプションは 、類似の属性を持つメールを許可 するオプションと、関連する [後の許可エントリの削除] オプションと [エントリノートを許可する ] オプションです。

• 検疫からメールをダウンロードする

検疫済みメッセージを削除したユーザーを検索する

既定では、多くのセキュリティ ポリシー判定により、ユーザーは検疫されたメッセージ (受信者であるメッセージ) を削除できます。 詳細については、「 検疫されたメッセージとファイルをユーザーとして管理する」の表を参照してください。

管理者は、次の手順を使用して、監査ログを検索して、検疫から削除されたメッセージのイベントを検索できます。

1. https://security.microsoft.comの Defender ポータルで、[監査] に移動します。 または、[監査] ページに直接移動するには、https://security.microsoft.com/auditlogsearch を使用します。

   ヒント

   Microsoft Purview コンプライアンス ポータルの [監査] ページにアクセスすることもできます。https://compliance.microsoft.com/auditlogsearch

2. [ 監査 ] ページで、[ 新しい検索 ] タブが選択されていることを確認し、次の設定を構成します。

   • 日付と時刻の範囲 (UTC)
   • アクティビティ - フレンドリ名: ボックス内をクリックし、表示される [ 検索 ] ボックスに「検疫」と入力し、結果から [ 削除済み検疫メッセージ ] を選択します。
   • ユーザー: 検疫からメッセージを削除したユーザーがわかっている場合は、ユーザーによって結果をさらにフィルター処理できます。

3. 検索条件の入力が完了したら、[ 検索 ] を選択して検索を生成します。

監査ログ検索の詳細な手順については、「 新しい検索の監査」を参照してください。

Microsoft Defender ポータルを使用して、Defender for Office 365で検疫されたファイルを管理する

Defender for Office 365を持つ組織では、管理者は SharePoint、OneDrive、およびMicrosoft Teamsの安全な添付ファイルによって検疫されたファイルを管理できます。 これらのファイルの保護を有効にするには、「 SharePoint、OneDrive、およびMicrosoft Teamsの安全な添付ファイルを有効にする」を参照してください。

検疫済みファイルを表示する

https://security.microsoft.comのMicrosoft Defender ポータルで、[コラボレーション Email &>Review>Quarantine>Files] タブに移動します。または、[検疫] ページの [ファイル] タブに直接移動するには、https://security.microsoft.com/quarantine?viewid=Filesを使用します。

[ファイル] タブで、[リストの間隔をコンパクトまたは標準に変更する] をクリックし、[][コンパクト] リストを選択することで、リストの垂直方向の間隔を小さくできます。

使用可能な列ヘッダーをクリックすると、エントリを並べ替えることができます。 [ 列のカスタマイズ] を選択して、表示される列を変更します。 既定値にはアスタリスク (^*) が付いています。

• User^*
• 場所^*: 値は SharePoint または OneDrive です。
• 添付ファイル名^*
• ファイル URL^*
• ファイル サイズ
• リリース状態^*
• [有効期限]^*
• によって検出される
• 時間によって変更

エントリをフィルター処理するには、[Filter] を選択します。 開いた [フィルター] ポップアップでは、次の フィルター を使用できます。

• 受信した時間:
  • 過去 24 時間
  • 過去 7 日間
  • 過去 14 日間
  • 過去 30 日間 (既定値)
  • カスタム: 開始時刻 と 終了時刻 (日付) を入力します。
• 有効期限:
  • カスタム (既定値): 開始時刻 と 終了時刻 (日付) を入力します。
  • [今日]
  • [今後 2 日間]
  • [今後 7 日間]
• 検疫の理由: 使用可能な値は マルウェアのみです。
• ポリシーの種類: 使用可能な値は 不明のみです。

[フィルター] ポップアップが完了したら、[適用] を選択します。 フィルターをクリアするには、[ クリア フィルター] を選択します。

[ 検索 ] ボックスと対応する値を使用して、ファイル名で特定のファイルを検索します。 ワイルドカードはサポートされていません。

検索条件を入力したら、Enter キーを押して結果をフィルター処理します。

特定の検疫済みファイルを見つけたら、そのファイルを選択して詳細を表示し、そのファイルに対してアクションを実行します (ファイルの表示、リリース、ダウンロード、削除など)。

検疫されたファイルの詳細を表示する

1. https://security.microsoft.comのMicrosoft Defender ポータルで、[コラボレーション Email &>Review>Quarantine>Files] タブに移動します。または、[検疫] ページの [ファイル] タブに直接移動するには、https://security.microsoft.com/quarantine?viewid=Filesを使用します。

2. [ファイル] タブで、[チェック] ボックス以外の行内の任意の場所をクリックして、検疫されたファイルを選択します。

表示される詳細ポップアップでは、次の情報を使用できます。

• [ファイルの詳細 ] セクション:
  • File Name/ファイル名
  • ファイル URL: ファイルの場所を定義する URL (SharePoint Online など)。
  • 悪意のあるコンテンツが検出されました ファイルが検疫された日付/時刻。
  • 期限切れ: ファイルが検疫から削除される日付。
  • によって検出される
  • リリース。
  • マルウェア名
  • ドキュメント ID: ドキュメントの一意の識別子。
  • ファイル サイズ
  • 組織organizationの一意の ID。
  • 最終更新日時
  • 最終更新日: ファイルを最後に変更したユーザー。
  • セキュリティで保護されたハッシュ アルゴリズム 256 ビット (SHA-256) 値: このハッシュ値を使用して、他の評判ストアまたは環境内の他の場所にあるファイルを識別できます。

ファイルに対してアクションを実行するには、次のセクションを参照してください。

検疫されたファイルに対してアクションを実行する

1. https://security.microsoft.comのMicrosoft Defender ポータルで、[コラボレーション Email &>Review>Quarantine>Files] タブに移動します。または、[検疫] ページの [ファイル] タブに直接移動するには、https://security.microsoft.com/quarantine?viewid=Filesを使用します。

2. [ファイル] タブで、[チェック] ボックス以外の行内の任意の場所をクリックして、検疫されたファイルを選択します。

検疫されたファイルを選択した後、開くファイルの詳細ポップアップで使用可能なアクションについては、次のサブセクションで説明します。

検疫されたファイルを検疫から解放する

このアクションは、既にリリースされているファイルでは使用できません ([ リリース済み] 状態 の値は [リリース済み] )。

検疫からファイルを解放または削除しない場合、既定の検疫保持期間の期限が切れた後 ( [有効期限] 列に示すように) ファイルは検疫から削除されますが、ブロックされたファイルは SharePoint または OneDrive のブロック状態のままです。

ファイルを選択した後、開いたファイルの詳細ポップアップで [ Release ファイル ] を選択します。

[リリース ファイル] で、開いた Microsoft ポップアップに報告 し、[次のファイルのリリース] セクションでファイルの詳細 を 表示し、[ リリース] を選択します。

開 いた [ファイルがリリースされました ] ポップアップで、[完了] を選択 します。

ファイルの詳細ポップアップに戻り、[ 閉じる] を選択します。

[ ファイル ] タブに戻ると、ファイルの [リリース] 状態 の値が [リリース] になります。

検疫済みファイルを検疫からダウンロードする

ファイルを選択した後、開いた詳細ポップアップで [ ダウンロード ファイル ] を選択します。

開いた [ ファイルのダウンロード ] ポップアップで、次の情報を入力します。

• ファイルをダウンロードする理由: 説明テキストを入力します。
• パスワードの作成 と パスワードの確認: ダウンロードしたファイルを開くために必要なパスワードを入力します。

[ ファイルのダウンロード ] ポップアップが完了したら、[ ダウンロード] を選択します。

ダウンロードの準備ができたら、[ 名前を付けて保存] ダイアログが開き、ダウンロードしたファイル名と場所を表示または変更できます。 既定では、ファイルは、 Quarantined Messages.zip という名前の圧縮ファイルにダウンロード フォルダーに保存されます。 .zip ファイルが既に存在する場合は、ファイル名に番号が追加されます (たとえば、検疫済みメッセージ(1).zip)。

ダウンロードしたファイルの詳細を受け入れるか変更し、[保存] を選択 します。

[ファイルの ダウンロード ] ポップアップに戻り、[完了] を選択 します。

検疫済みファイルを検疫から削除する

検疫からファイルを解放または削除しない場合、既定の検疫保持期間の期限が切れた後 ( [有効期限] 列に示すように) ファイルは検疫から削除されますが、ブロックされたファイルは SharePoint または OneDrive のブロック状態のままです。

ファイルを選択した後、開いた詳細ポップアップで [ 詳細>検疫から削除 する] を選択します。

開いた警告ダイアログで [ 続行] を選択します。

[ ファイル ] タブに戻ると、ファイルは一覧に表示されなくなります。

検疫された複数のファイルに対してアクションを実行する

[ファイル] タブで、最初の列 (最大 100 ファイル) の横にある [チェック] ボックスを選択して複数の検疫済みファイルを選択すると、[一括操作] ドロップダウン リストが表示され、次のアクションを実行できます。

• 検疫されたファイルを検疫から解放する
• 検疫済みファイルを検疫から削除する
• 検疫済みファイルを検疫からダウンロードする

Microsoft Defender ポータルを使用して検疫されたメッセージMicrosoft Teams管理する

Microsoft Teamsでの検疫は、Microsoft Defender for Office 365 プラン 2 (アドオン ライセンスまたは Microsoft 365 E5 などのサブスクリプションに含まれる) を持つ組織でのみ使用できます。

Microsoft Teamsで悪意のある可能性のあるチャット メッセージが検出されると、0 時間の自動消去 (ZAP) によってメッセージが削除され、検疫されます。 管理者は、これらの検疫された Teams メッセージを表示および管理できます。 メッセージは 30 日間検疫されます。 その後、Teams メッセージは完全に削除されます。

この機能は既定で有効になっています。

検疫された Teams メッセージを表示する

https://security.microsoft.comのMicrosoft Defender ポータルで、[コラボレーションEmail &>Review>Quarantine>Teams メッセージ] タブに移動します。または、[検疫] ページの [Teams メッセージ] タブに直接移動するには、https://security.microsoft.com/quarantine?viewid=Teamsを使用します。

[Teams メッセージ] タブで、[リストの間隔をコンパクトまたは標準に変更する] をクリックし、[][コンパクト] リストを選択することで、リストの垂直方向の間隔を小さくできます。

使用可能な列ヘッダーをクリックすると、エントリを並べ替えることができます。 [ 列のカスタマイズ] を選択して、表示される列を変更します。 既定値にはアスタリスク (^*) が付いています。

• Teams メッセージ テキスト: Teams メッセージの件名が含まれます。^*
• 受信時刻: 受信者がメッセージを受信した時刻。^*
• リリースの状態: メッセージが既にレビューされ、リリースされているか、レビューが必要かを示します。 ^*
• 参加者: メッセージを受信したユーザーの合計数。^*
• 送信者: 検疫されたメッセージを送信したユーザー。^*
• 検疫の理由: 使用可能なオプションは、"高信頼フィッシング" と "マルウェア" です。^*
• ポリシーの種類: 検疫されたメッセージを担当するorganization ポリシー。^*
• [有効期限]: メッセージが検疫から削除される時間を示します。 既定では、この値は 30 日です。^*
• 受信者アドレス: Email受信者のアドレス。^*
• メッセージ ID: チャット メッセージ ID が含まれます。

エントリをフィルター処理するには、[Filter] を選択します。 開いた [フィルター] ポップアップでは、次の フィルター を使用できます。

• [メッセージ ID]
• [送信者のアドレス]
• 受信者の住所
• 件名
• 受信した時間:
  • 過去 24 時間
  • 過去 7 日間
  • 過去 14 日間
  • 過去 30 日間 (既定値)
  • カスタム: 開始時刻 と 終了時刻 (日付) を入力します。
• 有効期限:
  • カスタム (既定値): 開始時刻 と 終了時刻 (日付) を入力します。
  • [今日]
  • [今後 2 日間]
  • [今後 7 日間]
• 検疫の理由: 使用可能な値は 、マルウェア と 信頼度の高いフィッシングです。
• 受信者: [ すべてのユーザー ] または [ 自分のみ] を選択します。
• レビューの状態: [ 確認が必要] と [ リリース済み] を選択します。

[フィルター] ポップアップが完了したら、[適用] を選択します。 フィルターをクリアするには、[ クリア フィルター] を選択します。

[ 検索 ] ボックスと対応する値を使用して、特定の Teams メッセージを検索します。 ワイルドカードはサポートされていません。

特定の検疫された Teams メッセージを見つけたら、メッセージを選択して詳細を表示し、それに対してアクションを実行します (メッセージの表示、リリース、ダウンロード、削除など)。

検疫された Teams メッセージの詳細を表示する

[検疫] ページの [Teams メッセージ] タブで、最初の列の横にある [チェック] ボックス以外の行内の任意の場所をクリックして、検疫されたメッセージを選択します。

詳細ポップアップの上部には、次のメッセージ情報が表示されます。

• ポップアップのタイトルは、Teams メッセージの件名または最初の 100 文字です。
• 検疫理由の値。
• メッセージ内のリンクの数。
• 使用可能なアクションについては、「 検疫された Teams メッセージに対するアクションの実行 」セクションで説明されています。

詳細ポップアップの次のセクションは、検疫された Teams メッセージに関連しています。

• [検疫の詳細 ] セクション:
  • Expires
  • 受信時間
  • 検疫の理由
  • リリース状態
  • ポリシーの種類: 値は None です。
  • ポリシー名: 値は Teams Protection Policy です。
  • 検疫ポリシー

詳細ポップアップの残りの部分には、Teams メッセージ エンティティ パネルの一部である [メッセージの詳細]、[送信者]、[参加者]、[チャネルの詳細]、[URL] セクションが含まれています。 詳細については、「プラン 2 の Teams mMessage エンティティ パネルMicrosoft Defender for Office 365参照してください。

詳細ポップアップが完了したら、[ 閉じる] を選択します。

検疫された Teams メッセージに対してアクションを実行する

https://security.microsoft.comのMicrosoft Defender ポータルで、[コラボレーションEmail &>Review>Quarantine>Teams メッセージ] タブに移動します。または、[検疫] ページの [Teams メッセージ] タブに直接移動するには、https://security.microsoft.com/quarantine?viewid=Teamsを使用します。

[ Teams メッセージ ] タブで、次のいずれかの方法を使用して検疫されたメッセージを選択します。

• 最初の列の横にある [チェック] ボックスを選択して、一覧からメッセージを選択します。 使用可能なアクションが淡色表示されなくなりました。

  

• [チェック] ボックス以外の行の任意の場所をクリックして、一覧からメッセージを選択します。 使用可能なアクションは、開いた詳細ポップアップにあります。

  

どちらの方法を使用してメッセージを選択しても、一部のアクションは More で使用できます。

検疫されたメッセージを選択した後、使用可能なアクションについては、次のサブセクションで説明します。

検疫された Teams メッセージを解放する

このアクションは、既にリリースされている Teams メッセージでは使用できません ( リリース状態 の値は リリース済み)。

メッセージを解放または削除しない場合は、[ 有効期限] 列に表示された日付の後に検疫から自動的に削除されます。

メッセージを選択した後、次のいずれかの方法を使用してメッセージを解放します。

• [Teams メッセージ] タブで、[Release] を選択します。
• 選択したメッセージの詳細ポップアップで、[ Release] を選択します。

開いた [すべてのチャット参加者へのリリース ] ポップアップで、[ Microsoft にメッセージを送信して検出を改善する (誤検知)] を選択するかどうかを決定し、[ リリース] を選択します。

検疫から Teams メッセージを削除する

Teams メッセージを解放または削除しない場合は、[ 有効期限] 列に表示された日付の後に検疫から自動的に削除されます。

Teams メッセージを選択したら、次のいずれかの方法を使用して削除します。

• [Teams メッセージ] タブ: [メッセージの削除] を選択します。
• 選択したメッセージの詳細ポップアップで、[その他のオプション] を選択>検疫から削除します。

開いた警告ダイアログで、情報を読み取り、[ 続行] を選択します。

[Teams メッセージ] タブに戻ると、メッセージは一覧に表示されなくなります。

検疫からの Teams メッセージのプレビュー

Teams メッセージを選択したら、次のいずれかの方法を使用してプレビューします。

• [Teams メッセージ] タブ: [Preview メッセージ] を選択します。
• 選択したメッセージの詳細ポップアップで、[ Preview メッセージ] を選択します。

表示されるポップアップで、次のいずれかのタブを選択します。

• [ソース]: すべてのリンクが無効になったメッセージ本文の HTML バージョンを表示します。
• [プレーン テキスト]: プレーン テキストでメッセージ本文を表示します。

検疫から確認するために Teams メッセージを Microsoft に報告する

メッセージを選択した後、次のいずれかの方法を使用して、分析のためにメッセージを Microsoft に報告します。

• [Teams メッセージ] タブで、[詳細>確認用に送信する] を選択します。
• 選択したメッセージの詳細ポップアップで、[その他のオプション] を選択>確認用に送信します。

[ メッセージの送信] を選択すると、分析のためにメッセージが Microsoft に送信されます。 [OK] を選択した [送信済みアイテム] ダイアログが表示されます。

検疫から Teams メッセージをダウンロードする

Teams メッセージを選択した後、次のいずれかの方法を使用してダウンロードします。

• [Teams メッセージ] タブで、[][詳細>メッセージのダウンロード] を選択します。
• 選択したメッセージの詳細ポップアップで、[ その他のオプション>ダウンロード メッセージを選択します。

開いた [ メッセージのダウンロード ] ポップアップで、次の情報を入力します。

• ファイルをダウンロードする理由: 説明テキストを入力します。
• パスワードの作成 と パスワードの確認: ダウンロードしたメッセージ ファイルを開くために必要なパスワードを入力します。

[ ファイルのダウンロード ] ポップアップが完了したら、[ ダウンロード] を選択します。

既定では、.html メッセージ ファイルは、検疫済み Messages.zip という名前の圧縮ファイルに ダウンロード フォルダーに保存されます。 .zip ファイルが既に存在する場合は、ファイル名に番号が追加されます (たとえば、検疫済みメッセージ(1).zip)。

[メッセージの ダウンロード ] ポップアップに戻り、[完了] を選択 します。

検疫された複数の Teams メッセージに対してアクションを実行する

[Teams メッセージ] タブで、最初の列の横にある [チェック] ボックスを選択して複数の検疫済みメッセージを選択すると、[Teams メッセージ] タブで次の一括アクションを使用できます。

• 検疫された Teams メッセージを解放する
• 検疫から Teams メッセージを削除する
• 検疫から確認するために Teams メッセージを Microsoft に報告する
• 検疫から Teams メッセージをダウンロードする

検疫された Teams メッセージに対するユーザーからのリリース要求を承認または拒否する

ユーザーが検疫された Teams メッセージのリリースを要求すると、[ リリースの状態 ] の値 が [要求されたリリース] に変わり、管理者は要求を承認または拒否できます。

詳細については、「 ユーザーからのリリース要求を承認または拒否する」を参照してください。

Exchange Online PowerShell またはスタンドアロン EOP PowerShell を使用して検疫されたメッセージを管理する

検疫内のメッセージとファイルを表示および管理するために使用するコマンドレットについては、このセクションで説明します。

• Delete-QuarantineMessage
• Export-QuarantineMessage
• Get-QuarantineMessage
• Preview-QuarantineMessage: このコマンドレットは、検疫されたファイルではなく、メッセージ専用です。
• Release-QuarantineMessage

詳細情報

検疫済みメッセージに関する FAQ