Управление сообщениями и файлами в карантине от имени пользователя

Совет

Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте, кто может зарегистрироваться и использовать условия пробной версии на пробной Microsoft Defender для Office 365.

В организациях Microsoft 365 с почтовыми ящиками в Exchange Online или в автономных организациях Exchange Online Protection (EOP) без почтовых ящиков Exchange Online на карантине хранятся потенциально опасные или нежелательные сообщения. Дополнительные сведения см. в статье Карантин в EOP.

Возможности по умолчанию для обычного пользователя (не администратора), доступные вам как получателю помещенного на карантин сообщения, описаны в следующей таблице.

Причина помещения на карантин Просмотреть Выпуск Удалить
Политики защиты от спама
   Массовая рассылка
   Спам
   Нежелательная почта с высокой вероятностью
   Фишинг
   Фишинг с высокой вероятностью
Политики защиты от фишинга
   Аналитическая защита от спуфинга в EOP
   Защита от олицетворенных пользователей в Defender для Office 365
   Защита от олицетворенных доменов в Defender для Office 365
   Защита олицетворения аналитики почтовых ящиков в Defender для Office 365
Политики защиты от вредоносных программ
   Сообщения электронной почты с вложениями, помещаемые на карантин как вредоносные программы.
Безопасные вложения в Defender для Office 365
   Политики безопасных вложений, помещающие на карантин сообщения электронной почты с вредоносными вложениями в виде вредоносных программ.
   Безопасные вложения для SharePoint, OneDrive и Microsoft Teams, помещающие на карантин вредоносные файлы в виде вредоносных программ.
Правила потока обработки почты (правила транспорта)
   Правила потока обработки почты, которые помещают сообщения в карантин (напрямую, не помечая их как спам).

В поддерживаемых функциях защитыполитики карантина определяют, что пользователи могут делать с сообщениями, помещенными в карантин, в зависимости от того, почему сообщение было помещено в карантин. Политики карантина по умолчанию обеспечивают исторические возможности для сообщений, как описано в предыдущей таблице. Администраторы могут создавать и применять настраиваемые политики карантина, которые определяют менее строгие или более строгие возможности для пользователей. Дополнительные сведения см. в разделе Анатомия политики карантина.

Вы просматриваете сообщения, помещенные в карантин, и управляете ими на портале Microsoft Defender или (если администратор настроил это) уведомлениями о карантине из политик карантина.

Что нужно знать перед началом работы

Управление сообщениями, помещенными в карантин, в EOP

Просмотр сообщений на карантине

Примечание.

Возможность просмотра сообщений в карантине контролируется политикой карантина, которая применяется к причине, по которой сообщение было помещено в карантин (это может быть политика карантина по умолчанию, как описано в разделе Рекомендуемые параметры для EOP и Microsoft Defender для Office 365 безопасности).

На портале Microsoft Defender по адресу перейдите на https://security.microsoft.comвкладку Email & совместной работы>Проверка>карантина>Email. Или, чтобы перейти непосредственно на вкладку Email на странице Карантин, используйте https://security.microsoft.com/quarantine?viewid=Email.

На вкладке Email можно уменьшить вертикальный интервал в списке, щелкнув Изменить интервал списка на компактный или обычный, а затем выбрав Пункт Компактный список.

Вы можете отсортировать записи, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы. Значения по умолчанию помечены звездочкой (*):

  • Время получения*

  • Тема*

  • Отправитель*

  • Причина* карантина (см. возможные значения в Описание фильтра .)

  • Состояние* выпуска (см. возможные значения в Описание фильтра .)

  • Тип* политики (см. возможные значения в Описание фильтра .)

  • Истекает*

  • Получатель*

  • Причина *переопределения адреса отправителя: одно из следующих значений:

    • Нет
    • Отправитель сообщения заблокирован параметрами получателя
    • Отправитель сообщения заблокирован параметрами администратора

    Совет

    Если отправитель заблокирован и выбран параметр Не показывать заблокированных отправителей (по умолчанию), сообщения от этих отправителей отображаются на странице Карантин и включаются в уведомления о карантине, когда значение причины переопределения адреса отправителя равно Нет. Это происходит из-за того, что сообщения были заблокированы по причинам, отличным от переопределений адресов отправителя.

  • Выпущено*

  • КОД сообщения

  • Имя политики

  • Размер сообщения

  • Направление почты

Чтобы отфильтровать записи, выберите Фильтр. В открываемом всплывающем окне Фильтры доступны следующие фильтры:

  • Идентификатор сообщения: глобальный уникальный идентификатор сообщения.

  • Адрес отправителя

  • Адрес получателя

  • Тема

  • Время получения: выберите одно из следующих значений:

    • Последние 24 часа
    • Последние 7 дней (по умолчанию)
    • Последние 14 дней
    • Последние 30 дней (по умолчанию)
    • Настраиваемый: укажите Время начала и Время окончания (дата).

  • Срок действия: фильтрация сообщений по истечении срока их действия из карантина. Выберите одно из следующих значений:

    • Сегодня
    • Следующие 2 дня
    • Следующие 7 дней
    • Настраиваемый: укажите Время начала и Время окончания (дата).

  • Причина карантина. Выберите одно или несколько из следующих значений:

    • Правило транспорта (правило потока почты)
    • Массовая рассылка
    • Спам
    • Вредоносные программы: политики защиты от вредоносных программ в EOP или политики безопасных вложений в Defender для Office 365. Значение Тип политики указывает, какой компонент использовался.
    • Фишинг: решение спам-фильтра — фишинг либо средство защиты от фишинга поместило сообщение в карантин (параметры спуфинга или защита от олицетворения).
    • Фишинг с высокой вероятностью

  • Заблокированный отправитель: одно из следующих значений:

    • Не показывать заблокированных отправителей (по умолчанию)
    • Показать всех отправителей

    Совет

    Если отправитель заблокирован и выбран параметр Не показывать заблокированных отправителей , сообщения от этих отправителей отображаются на странице Карантин и включаются в уведомления о карантине, когда значение причины переопределения адреса отправителя равно Нет. Это происходит из-за того, что сообщения были заблокированы по причинам, отличным от переопределений адресов отправителя.

  • Состояние выпуска: любое из следующих значений.

    • Требуется проверка
    • Утверждено
    • Отклонено
    • Запрос на выпуск
    • Выпущено

  • Тип политики: фильтрация сообщений по типу политики защиты, помещенного в карантин. Выберите одно или несколько из следующих значений:

    • Политика защиты от вредоносных программ
    • Политика безопасных вложений
    • Политика защиты от фишинга
    • Политика защиты от спама
    • Правило транспорта (правило потока почты)

    Значения типа политики и причины карантина связаны между собой. Например, bulk всегда связан с политикой защиты от нежелательной почты, а не с политикой защиты от вредоносных программ.

Завершив работу с всплывающий элемент Фильтры , нажмите кнопку Применить. Чтобы очистить фильтры, выберите Очистить фильтры.

Совет

Фильтры кэшируются. Фильтры из последних сеансов выбираются по умолчанию при следующем открытии страницы Карантин . Это поведение помогает при рассмотрении операций.

Используйте поле Поиск и соответствующее значение для поиска определенных сообщений. Подстановочные знаки не поддерживаются. Вы можете искать по следующим значениям:

  • Адрес электронной почты отправителя
  • Тема. Используйте всю тему сообщения. При поиске регистр не учитывается.

После ввода условий поиска нажмите клавишу ВВОД, чтобы отфильтровать результаты.

Примечание.

Поле Поиска выполняет поиск элементов в карантине в текущем представлении, а не всех элементов, помещенных в карантин. Для поиска всех элементов, помещенных в карантин, используйте фильтр и всплывающее окно Фильтры .

После того как вы найдете определенное сообщение в карантине, выберите сообщение, чтобы просмотреть сведения о нем и выполнить с ним действия (например, просмотр, выпуск, скачивание или удаление сообщения).

Совет

На мобильных устройствах ранее описанные элементы управления доступны в разделе Дополнительно.

Выберите сообщение, помещенное в карантин, а затем выберите Дополнительно на мобильном устройстве.

Просмотр сведений о карантине

  1. На портале Microsoft Defender по адресу перейдите на https://security.microsoft.comвкладку Email & совместной работы>Проверка>карантина>Email. Или, чтобы перейти непосредственно на вкладку Email на странице Карантин, используйте https://security.microsoft.com/quarantine?viewid=Email.

  2. На вкладке Email выберите сообщение в карантине, щелкнув в любом месте строки, кроме поля проверка.

В открывавшемся всплывающем окне сведений доступны следующие сведения:

  • Раздел сведений о карантине:
    • Получено: Дата и время получения сообщения.
    • Срок действия: дата и время автоматического и окончательного удаления сообщения из карантина.
    • Тема
    • Причина карантина. Показывает, было ли сообщение идентифицировано как спам, массовый, фишинг, соответствует правилу потока обработки почты (правилу транспорта) или содержит вредоносные программы.
    • Тип политики
    • Количество получателей
    • Получатели. Если сообщение содержит несколько получателей, может потребоваться выбрать >Предварительный просмотр сообщения или >Просмотреть заголовок сообщения , чтобы просмотреть полный список получателей.
    • Причина переопределения отправителя
    • Выпущено:
      • Если пользователь отпустил сообщение, отображается адрес электронной почты пользователя.
      • Если сообщение было выпущено администратором, отображается значение, Администратор.
      • Если выпуск выполняется системой, отображается значение Система
      • Если выпуск не выполняется пользователем, Администратор или системой, по умолчанию используется Администратор.
  • Email раздел сведений:
    • Адрес отправителя
    • Время получения
    • Идентификатор сетевого сообщения
    • Получатели

Всплывающий элемент со сведениями о сообщении в карантине

Инструкции о действия с сообщением см. в следующем разделе.

Совет

Чтобы просмотреть сведения о других сообщениях, помещенных в карантин, не выходя из всплывающего меню сведений, используйте предыдущий элемент и следующий элемент в верхней части всплывающего окна.

Выполнение действий с электронной почтой в карантине

  1. На портале Microsoft Defender по адресу перейдите на https://security.microsoft.comвкладку Email & совместной работы>Проверка>карантина>Email. Или, чтобы перейти непосредственно на вкладку Email на странице Карантин, используйте https://security.microsoft.com/quarantine?viewid=Email.

  2. На вкладке Email выберите сообщение электронной почты, помещенное в карантин, с помощью любого из следующих методов:

    • Выберите сообщение из списка, выбрав поле проверка рядом с первым столбцом. Доступные действия больше не отображаются серым цветом.

      Доступные действия после выбора сообщения в карантине на вкладке Email страницы Карантин.

    • Выберите сообщение из списка, щелкнув в любом месте строки, кроме поля проверка. Доступные действия находятся в открываемом всплывающем окне сведений.

      Доступные действия во всплывающем элементе со сведениями о сообщении в карантине

    Используя любой из методов для выбора сообщения, некоторые действия доступны в разделе Дополнительные или Дополнительные параметры.

После выбора сообщения в карантине доступные действия описаны в следующих подразделах.

Совет

На мобильных устройствах взаимодействие с действиями немного отличается:

  • При выборе сообщения, выбрав поле проверка, все действия отображаются в разделе Дополнительно:

    Выберите сообщение, помещенное в карантин, а затем выберите Дополнительно на мобильном устройстве.

  • При выборе сообщения, щелкнув в любом месте строки, кроме проверка, большинство параметров доступны в разделе Дополнительные сведения всплывающего окна:

    Сведения о сообщении, помещенном в карантин, с доступными действиями.

Освобождение электронной почты в карантине

Примечание.

Возможность освобождения сообщений, помещенных в карантин, контролируется политикой карантина для функции защиты, которая помещает сообщение в карантин (это может быть политика карантина по умолчанию, как описано в разделе Рекомендуемые параметры для EOP и Microsoft Defender для Office 365 безопасности).

Политика карантина позволяет освободить сообщение или запросить его освобождение, но оба варианта недоступны для одного сообщения. Политика карантина также может запретить выпуск или запрос на выпуск сообщений, помещенных в карантин.

Это действие недоступно для сообщений электронной почты, которые уже были выпущены (значение Состояние выпускаReleased).

Если вы не освобождаете или не удаляете сообщение, оно автоматически удаляется из карантина после даты, указанной в столбце Срок действия .

Выбрав сообщение, используйте один из следующих методов, чтобы освободить его (доставить в почтовый ящик):

  • На вкладке Email выберите Выпуск.
  • Во всплывающем окне сведений выбранного сообщения выберите Освободить сообщение электронной почты.

В открываемом всплывающем окне Сообщение о выпуске в папке "Входящие " выберите Сообщить сообщение об отсутствии угроз , а затем выберите Освободить сообщение.

Завершив работу с сообщением о выпуске во всплывающем окне "Входящие" , выберите Сообщение о выпуске.

Во всплывающем окне Сообщения, отправляемые в папку "Входящие" , выберите Готово.

На вкладке Email значение Состояние выпуска сообщения будет освобождено.

Сообщение доставляется в папку "Входящие" (или в другую папку в зависимости от правил папки "Входящие" в почтовом ящике).

Запрос на освобождение электронной почты в карантине

Примечание.

Возможность запрашивать освобождение сообщений, помещенных в карантин, контролируется политикой карантина для функции защиты, которая помещается в карантин сообщение.

Политика карантина позволяет освободить сообщение или запросить его освобождение, но оба варианта недоступны для одного сообщения. Политика карантина также может запретить выпуск или запрос на выпуск сообщений, помещенных в карантин.

Это действие недоступно для сообщений электронной почты, в которых вы уже запросили выпуск (для параметра Состояние выпуска указано запрос на выпуск).

Если вы не освобождаете или не удаляете сообщение, оно автоматически удаляется из карантина после даты, указанной в столбце Срок действия .

После выбора сообщения используйте один из следующих методов, чтобы запросить его выпуск:

  • На вкладке Email выберите Запросить выпуск.
  • Во всплывающем окне сведений выбранного сообщения выберите Дополнительные параметры>Запросить выпуск.

Во всплывающем окне Запрос выпуска просмотрите сведения и выберите Запросить выпуск. В открывавшемся всплывающем окне "Запрос на выпуск " выберите Готово.

На странице Карантин значение состояния выпуска сообщения — Запрос выпуска. Администратор проверит ваш запрос и утвердит его или отклонит.

Удаление электронной почты из карантина

При удалении сообщения электронной почты из карантина оно удаляется и не отправляется исходным получателям.

Если вы не освобождаете или не удаляете сообщение, оно автоматически удаляется из карантина после даты, указанной в столбце Срок действия .

После выбора сообщения используйте один из следующих методов, чтобы удалить его:

  • На вкладке Email выберите Удалить сообщения.
  • Во всплывающем элементе сведений выбранного сообщения выберите Дополнительные параметры>Удалить из карантина.

Во всплывающем окне Удаление (n) сообщений из карантина используйте один из следующих методов для удаления сообщения:

  • Выберите Безвозвратно удалить сообщение из карантина , а затем выберите Удалить: сообщение окончательно удалено и не может быть восстановлено.
  • Выберите Удалить только: сообщение удалено, но потенциально можно восстановить.

После нажатия кнопки Удалить во всплывающем окне Удалить (n) сообщений из карантина вы вернеесь на вкладку Email, где сообщение больше не указано.

Совет

Администраторы могут узнать, кто удалил сообщение в карантине, выполнив поиск в журнале аудита администратора. Инструкции см. в разделе Поиск удаления сообщения, помещенного в карантин.

Предварительный просмотр электронной почты из карантина

Выбрав сообщение, используйте один из следующих методов для его предварительного просмотра:

  • На вкладке Email выберите Предварительный просмотр сообщения.
  • Во всплывающем элементе сведений выбранного сообщения: Выберите Дополнительные параметры>. Предварительный просмотр сообщения.

Во всплывающем меню выберите одну из следующих вкладок:

  • Источник: показывает HTML-версию тела сообщения со всеми отключенными ссылками.
  • Обычный текст: показывает текст сообщения в виде простого текста.

Просмотр заголовков сообщений электронной почты

Выбрав сообщение, используйте один из следующих методов для просмотра заголовков сообщений:

  • На вкладке Email выберите Дополнительные>заголовки сообщений.
  • Во всплывающем элементе сведений выбранного сообщения: Выберите Дополнительные параметры>Просмотр заголовков сообщений.

Во всплывающем окне Заголовок сообщения отображается заголовок сообщения (все поля заголовка).

Используйте команду Копировать заголовок сообщения , чтобы скопировать заголовок сообщения в буфер обмена.

Выберите ссылку Анализатор заголовков сообщений Майкрософт , чтобы глубоко проанализировать поля и значения заголовков. Вставьте заголовок сообщения в раздел Вставка заголовка сообщения, который вы хотите проанализировать (ctrl+V или щелкните правой кнопкой мыши и выберите команду Вставить), а затем выберите Пункт Анализ заголовков.

Разрешить отправку сообщений электронной почты из карантина

Совет

Если отправитель уже находится в списках фильтров нежелательной почты, параметр Разрешить отправителя недоступен.

Действие Разрешить отправителя добавляет отправителя сообщения в список надежных отправителей в почтовом ящике. Дополнительные сведения о том, как разрешить отправку отправителей, см. в статье Добавление получателей сообщений электронной почты в список надежных отправителей.

Выбрав сообщение, используйте один из следующих методов, чтобы добавить отправителя сообщения в список Надежные отправители в почтовом ящике:

  • На вкладке Email выберите Дополнительно>разрешить отправителя.
  • Во всплывающем окне сведений выбранного сообщения выберите Дополнительные параметры>Разрешить отправителю.

Откроется всплывающее окно, указывающее, когда отправитель был успешно добавлен в список надежных отправителей. Нажмите кнопку Готово.

Блокировка отправки сообщений электронной почты в карантин

Совет

Блокировка отправителя доступна только в том случае, если администратор создал настраиваемую политику карантина с включенным разрешением Блокировать отправителя и назначил эту политику карантина политике функции защиты, которая помещла сообщение в карантин.

Если отправитель уже находится в списке надежных отправителей, блокировка отправителя недоступна. Вместо этого можно удалить отправителя из списка блокировок пользователей.

Действие Блокировать отправителя добавляет отправителя сообщения в список заблокированных отправителей в почтовом ящике. Дополнительные сведения о блокировке отправителей см. в разделе Блокировка отправителя почты.

Выбрав сообщение, используйте один из следующих методов, чтобы добавить отправителя сообщения в список Заблокированные отправители в почтовом ящике:

  • На вкладке Email выберите Дополнительный>отправитель блока.
  • Во всплывающем окне сведений выбранного сообщения выберите Дополнительные параметры>Блокировать отправителя.

Во всплывающем окне Блокировать отправителя просмотрите сведения об отправителе и выберите Блокировать.

Совет

Организация по-прежнему может получать почту от заблокированного отправителя. Сообщения от отправителя доставляются в папку "Нежелательная Email" или в карантин. Чтобы удалить сообщения от отправителя по прибытии, администратор может использовать правила потока почты (также известные как правила транспорта) для блокировки сообщения.

Удаление отправителей из списка заблокированных отправителей из карантина

Список "Удалить отправителя из блокировки пользователя" доступен только в том случае, если отправитель сообщения, помещенного в карантин, уже находится в списке заблокированных отправителей.

Выбрав сообщение, используйте один из следующих методов, чтобы удалить отправителя из списка заблокированных отправителей:

  • На вкладке Email выберите Дополнительно>Удалить отправителя из списка заблокированных пользователей.
  • Во всплывающем окне сведений выбранного сообщения выберите Дополнительные параметры>Удалить отправителя из списка заблокированных пользователей.

Откроется всплывающее окно, указывающее, когда отправитель был успешно удален из списка заблокированных отправителей. Нажмите кнопку Готово.

Принятие мер к нескольким сообщениям в карантине

При выборе нескольких сообщений в карантине на вкладке Email путем выбора полей проверка рядом с первым столбцом на вкладке Email доступны следующие массовые действия (в зависимости от значений состояния выпуска выбранных сообщений):

Управление сообщениями, помещенными в карантин, в Microsoft Teams

При обнаружении потенциально вредоносного сообщения чата в Microsoft Teams автоматическая очистка нулевого часа (ZAP) удаляет сообщение и помещает его в карантин. Теперь пользователи могут просматривать эти сообщения Teams, помещенные в карантин, и управлять ими на портале Microsoft Defender. Уведомления о карантине не поддерживаются для сообщений Teams, помещенных в карантин.

Просмотр сообщений, помещенных в карантин, в Microsoft Teams

На портале Microsoft Defender по адресу перейдите на https://security.microsoft.comвкладку Email & совместной работы> Просмотрсообщений Teamsдля карантина>>. Или, чтобы перейти непосредственно на вкладку Сообщения Teams на странице Карантин, используйте https://security.microsoft.com/quarantine?viewid=Teams.

Вы можете отсортировать записи, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы. Столбцы по умолчанию:

  • Текст сообщения Teams: содержит тему сообщения teams.
  • Дата помещена в карантин: отображается, когда сообщение было помещено в карантин.
  • Состояние. Показывает, было ли сообщение уже проверено и выпущено или требуется проверка.
  • Отправитель: пользователь, отправивший сообщение, которое было помещено в карантин.
  • Причина карантина: доступные варианты: фишинг с высокой достоверностью и вредоносная программа.
  • Срок действия: указывает время, по истечении которого сообщение удаляется из карантина. По умолчанию это значение равно 30 дням.

Чтобы отфильтровать записи, выберите Фильтр. В открываемом всплывающем окне Фильтры доступны следующие фильтры:

  • Адрес отправителя
  • Время получения:
    • Последние 24 часа
    • Последние 7 дней
    • Последние 14 дней
    • Последние 30 дней (по умолчанию)
    • Настраиваемый: укажите Время начала и Время окончания (дата).
  • Срок действия истекает в:
    • Пользовательский (по умолчанию): введите время начала и время окончания (дата).
    • Сегодня
    • Следующие 2 дня
    • Следующие 7 дней
  • Причина карантина. Доступные значения : вредоносные программы и фишинг с высокой степенью достоверности.
  • Состояние: выберите Требуется проверить и отпустить.

По завершении во всплывающем окне Фильтры нажмите кнопку Применить. Чтобы очистить фильтры, выберите Очистить фильтры.

Используйте поле Поиск и соответствующее значение, чтобы найти определенные сообщения Teams. Подстановочные знаки не поддерживаются.

После того как вы найдете определенное сообщение Teams, помещенное в карантин, выберите сообщение, чтобы просмотреть сведения о нем и выполнить с ним действия (например, просмотр, выпуск, скачивание или удаление сообщения).

Просмотр сведений о сообщениях в карантине в Microsoft Teams

На вкладке Сообщения Teams выберите сообщение в карантине, щелкнув в любом месте строки, кроме поля проверка.

В открывавшемся всплывающем окне сведений доступны следующие сведения:

  • Раздел Сведений о карантине: включает причину карантина, дату окончания срока действия, тип политики карантина и другие сведения.
    • Expires
    • Время получения
    • Причина карантина
    • Состояние выпуска
    • Тип политики
  • Раздел сведений о сообщении: включает дату и время отправленного сообщения, адрес отправителя, идентификатор сообщения Teams и список получателей.
    • Адрес отправителя
    • Время получения
    • Получатели
    • Идентификатор сообщения Teams

Инструкции о действия с сообщением см. в следующем разделе.

Принятие мер для сообщений, помещенных в карантин в Microsoft Teams

На вкладке Сообщения Teams выберите сообщение в карантине, выбрав поле проверка рядом с первым столбцом. Доступны следующие варианты представления:

  • Запрос на выпуск. Вы можете запросить освобождение сообщения из карантина. Администратор вашей организации должен утвердить выпуск.
  • Удалить. Вы можете запросить удаление сообщения из списка сообщений, помещенных в карантин.
  • Предварительный просмотр сообщения. Вы можете просмотреть сведения о выбранном сообщении.

Если вы не освобождаете или не удаляете сообщение, оно автоматически удаляется из карантина после даты, указанной в столбце Срок действия .