検疫されたメッセージとファイルをユーザーとして管理する
ヒント
Microsoft Defender for Office 365プラン2の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 「Microsoft Defender for Office 365を試す」で、誰がサインアップして試用版の条件を利用できるかについて説明します。
Exchange Online のメールボックスを使用している Microsoft 365 組織または Exchange Online のメールボックスを使用していないスタンドアロンの Exchange Online Protection (EOP) 組織では、危険な可能性があるメッセージまたは不要なメッセージは検疫済みメッセージとして保留されます。 詳細については、「EOP での検疫」を参照してください。
通常のユーザー (管理者ではない) として、検疫済みのメッセージの受信者として使用できる既定の機能を次の表に示します。
検疫の理由 | 表示 | リリース | 削除 |
---|---|---|---|
スパム対策ポリシー | |||
バルク | ✔ | ✔ | ✔ |
スパム | ✔ | ✔ | ✔ |
高確度スパム | ✔ | ✔ | ✔ |
フィッシング詐欺 | ✔ | ✔ | ✔ |
高確度のフィッシング | |||
フィッシング対策ポリシー | |||
EOP のスプーフィング インテリジェンス保護 | ✔ | ✔ | ✔ |
Defender for Office 365 の偽装ユーザー保護 | ✔ | ✔ | ✔ |
Defender for Office 365 の偽装ドメイン保護 | ✔ | ✔ | ✔ |
Defender for Office 365でのメールボックス インテリジェンス偽装保護 | ✔ | ✔ | ✔ |
マルウェア対策ポリシー | |||
マルウェアとして検疫済みの添付ファイルを含むメール メッセージ。 | |||
Defender for Office 365 の安全な添付ファイル | |||
悪意のある添付ファイルを含むメール メッセージをマルウェアとして検疫する、安全な添付ファイル ポリシー。 | |||
悪意のあるファイルをマルウェアとして検疫する SharePoint、OneDrive、Microsoft Teams 向けの安全な添付ファイル。 | |||
メール フロー ルール (トランスポート ルール) | |||
メール メッセージを検疫するメール フロー ルール (スパムとしてマークするのではなく、直接)。 |
サポートされている保護機能では、検疫ポリシーは、メッセージが検疫された理由に基づいて、検疫されたメッセージに対してユーザーが実行できる操作を定義します。 既定の検疫ポリシーでは、前の表で説明したように、メッセージの履歴機能が適用されます。 管理者は、ユーザーの制限が少ない、または制限が厳しい機能を定義するカスタム検疫ポリシーを作成して適用できます。 詳細については、「 検疫ポリシーの構造」を参照してください。
検疫されたメッセージは、Microsoft Defender ポータルで表示および管理するか、検疫ポリシーからの検疫通知 (管理者がこの設定を設定している場合) で行います。
はじめに把握しておくべき情報
Microsoft Defender ポータルを開くには、[https://security.microsoft.com] に移動します。 "検疫" ページに直接移動するには、https://security.microsoft.com/quarantine を使用します。
管理者は、スパム対策ポリシーでメッセージを完全に削除する前に、メッセージを検疫で保持する期間を構成できます。 検疫期間が切れたメッセージは回復できません。 詳細については、「EOP でのスパム対策ポリシーの構成」を参照してください。
既定では、高確度フィッシング、マルウェアとして検疫されるか、メール フロー ルールにより検疫済みのメッセージは、管理者のみが管理でき、ユーザーには表示されません。 詳細については、「EOP の管理者として検疫済みのメッセージやファイルを管理する」を参照してください。
ユーザーの許可とブロックとorganizationの許可とブロックの優先順位については、「ユーザーとテナントの設定の競合」を参照してください。
検疫されたメッセージに対して管理者またはユーザーが実行したすべてのアクションが監査されます。 監査された検疫イベントの詳細については、「Office 365 Management API の検疫スキーマ」を参照してください。
EOP で検疫済みメッセージを管理する
検疫済みメッセージを表示する
注:
検疫されたメッセージを表示する機能は、メッセージが検疫された理由に適用される検疫ポリシーによって制御されます (これは、「EOP とMicrosoft Defender for Office 365セキュリティの推奨設定」で説明されているように、既定の検疫ポリシーである可能性があります)。
https://security.microsoft.comのMicrosoft Defender ポータルで、[コラボレーション Email &>Review>Quarantine>Email タブに移動します。または、[検疫] ページの [Email] タブに直接移動するには、https://security.microsoft.com/quarantine?viewid=Emailを使用します。
[Email] タブで、[リストの間隔をコンパクトまたは標準に変更する] をクリックし、[Compact リスト] を選択することで、リストの垂直方向の間隔を小さくできます。
使用可能な列ヘッダーをクリックすると、エントリを並べ替えることができます。 [ 列のカスタマイズ] を選択して、表示される列を変更します。 既定値にはアスタリスク (*) が付いています。
受信時間*
件名*
差し出し人*
検疫の理由*(で使用可能な値を参照してくださいフィルターの説明。)
リリースの状態*(で使用可能な値を参照してくださいフィルターの説明。)
ポリシーの種類*(で使用可能な値を参照してくださいフィルターの説明。)
[有効期限]*
受信者*
送信者アドレスのオーバーライド理由*: 次のいずれかの値。
- なし
- メッセージ送信者が受信者の設定によってブロックされる
- メッセージ送信者が管理者設定によってブロックされる
ヒント
送信者がブロックされ 、[ブロックされた送信者を表示しない ] が選択されている場合 (既定値)、それらの送信者からのメッセージは [検疫 ] ページに表示され、[ 送信者アドレスの上書き理由 ] 値が [なし] の場合に検疫通知に含まれます。 この動作は、送信者アドレスのオーバーライド以外の理由でメッセージがブロックされたために発生します。
リリース者*
[メッセージ ID]
[ポリシー名]
メッセージ サイズ
メールの方向
エントリをフィルター処理するには、[Filter] を選択します。 開いた [フィルター] ポップアップでは、次の フィルター を使用できます。
[メッセージ ID]: メッセージのグローバル一意識別子。
[送信者のアドレス]
受信者の住所
件名
受信した時間: 次のいずれかの値を選択します。
- 過去 24 時間
- 過去 7 日間 (既定値)
- 過去 14 日間
- 過去 30 日間 (既定値)
- カスタム: 開始時刻 と 終了時刻 (日付) を入力します。
期限切れ: 検疫から期限切れになったときに、メッセージをフィルター処理します。 以下の値のうちの一つを選択します:
- [今日]
- [今後 2 日間]
- [今後 7 日間]
- カスタム: 開始時刻 と 終了時刻 (日付) を入力します。
検疫の理由: 次の値の 1 つ以上を選択します。
[ブロックされた送信者]: 次のいずれかの値。
- ブロックされた送信者を表示しない (既定値)
- すべての送信者を表示する
ヒント
送信者がブロックされ 、[ブロックされた送信者を表示しない ] が選択されている場合、それらの送信者からのメッセージは [検疫 ] ページに表示され、[ 送信者アドレスの上書き理由 ] の値が [なし] の場合に検疫通知に含まれます。 この動作は、送信者アドレスのオーバーライド以外の理由でメッセージがブロックされたために発生します。
リリースの状態: 次のいずれかの値。
- レビューが必要
- 承認済み
- 拒否された
- リリースが要求されました
- リリースされた
ポリシーの種類: メッセージを検疫した保護ポリシーの種類でメッセージをフィルター処理します。 次の値の 1 つ以上を選択します。
- マルウェア対策ポリシー
- 安全な添付ファイルに関するポリシー
- フィッシング対策ポリシー
- 迷惑メール対策ポリシー
- トランスポート ルール (メール フロー ルール)
ポリシーの種類と検疫の理由の値は相互に関連しています。 たとえば、 Bulk は常に スパム対策ポリシーに関連付けられます。 マルウェア対策ポリシーには関連付けされません。
[フィルター] ポップアップが完了したら、[適用] を選択します。 フィルターをクリアするには、[ クリア フィルター] を選択します。
ヒント
フィルターはキャッシュされます。 最後のセッションのフィルターは、次に [検疫] ページを開くと既定で選択されます。 この動作は、トリアージ操作に役立ちます。
[ 検索 ] ボックスと対応する値を使用して、特定のメッセージを検索します。 ワイルドカードはサポートされていません。 次の値に基づいて検索できます。
- 送信者のメール アドレス
- 件名。 メッセージの件名全体を使用します。 検索では大文字と小文字は区別されません。
検索条件を入力したら、Enter キーを押して結果をフィルター処理します。
注:
[ 検索 ] ボックスでは、すべての検疫済みアイテムではなく、現在のビューで検疫済みアイテムが検索されます。 検疫されたすべてのアイテムを検索するには、 Filter と結果の [フィルター] ポップアップを使用します。
特定の検疫済みメッセージを見つけたら、メッセージを選択して詳細を表示し、それに対してアクションを実行します (メッセージの表示、リリース、ダウンロード、削除など)。
検疫済みメッセージの詳細を表示する
https://security.microsoft.comのMicrosoft Defender ポータルで、[コラボレーション Email &>Review>Quarantine>Email タブに移動します。または、[検疫] ページの [Email] タブに直接移動するには、https://security.microsoft.com/quarantine?viewid=Emailを使用します。
[Email] タブで、[チェック] ボックス以外の行内の任意の場所をクリックして、検疫されたメッセージを選択します。
表示される詳細ポップアップでは、次の情報を使用できます。
-
[検疫の詳細 ] セクション:
- [受信日時]: メッセージを受信した日時。
- 期限切れ: メッセージが自動的に検疫から完全に削除される日付/時刻。
- 件名
- 検疫の理由: メッセージが スパム、 一括、 フィッシングとして識別されたか、メール フロー ルール (トランスポート ルール) と一致したか、または マルウェアが含まれていると識別されたかどうかを示します。
- ポリシーの種類
- 受信者の数
- 受信者: メッセージに複数の受信者が含まれている場合、受信者の完全な一覧を表示するには、 >Preview メッセージ または >View メッセージ ヘッダー を選択する必要がある場合があります。
- 送信者のオーバーライドの理由
-
リリース日:
- ユーザーがメッセージをリリースした場合は、ユーザーのメール アドレスが表示されます。
- メッセージが管理者によって解放された場合は、管理値が表示されます。
- リリースがシステムによって実行される場合は、値 System が表示されます。
- リリースがユーザー、管理、またはシステムによって実行されない場合、既定値は 管理。
-
Emailの詳細セクション:
- [送信者のアドレス]
- 受信時間
- ネットワーク メッセージ ID
- 受信者
メッセージに対してアクションを実行するには、次のセクションを参照してください。
ヒント
詳細ポップアップを残さずに他の検疫済みメッセージの詳細を表示するには、ポップアップの上部にある Previous 項目 と 次の項目 を使用します。
検疫済みメールを処理する
https://security.microsoft.comのMicrosoft Defender ポータルで、[コラボレーション Email &>Review>Quarantine>Email タブに移動します。または、[検疫] ページの [Email] タブに直接移動するには、https://security.microsoft.com/quarantine?viewid=Emailを使用します。
[Email] タブで、次のいずれかの方法を使用して検疫された電子メール メッセージを選択します。
最初の列の横にある [チェック] ボックスを選択して、一覧からメッセージを選択します。 使用可能なアクションが淡色表示されなくなりました。
[チェック] ボックス以外の行の任意の場所をクリックして、一覧からメッセージを選択します。 使用可能なアクションは、開いた詳細ポップアップにあります。
いずれかのメソッドを使用してメッセージを選択すると、[ その他 のオプション] または [ その他のオプション] で一部のアクションを使用できます。
検疫されたメッセージを選択した後、使用可能なアクションについては、次のサブセクションで説明します。
ヒント
モバイル デバイスでは、アクション エクスペリエンスが若干異なります。
検疫済みメールをリリースする
注:
検疫されたメッセージを解放する機能は、メッセージを検疫した保護機能の検疫ポリシーによって制御されます (これは、「EOP とMicrosoft Defender for Office 365セキュリティの推奨設定」で説明されているように、既定の検疫ポリシーである可能性があります)。
検疫ポリシーを使用すると、メッセージを解放したり、メッセージのリリースを要求したりできますが、どちらのオプションも同じメッセージでは使用できません。 検疫ポリシーを使用すると、検疫されたメッセージのリリースまたは要求を防ぐことができます。
このアクションは、既にリリースされている電子メール メッセージでは使用できません ( リリース状態 の値は リリース済み)。
メッセージを解放または削除しない場合は、[ 有効期限] 列に表示された日付の後に検疫から自動的に削除されます。
メッセージを選択したら、次のいずれかの方法を使用して解放します (メールボックスに配信します)。
- [Email] タブで、[Release] を選択します。
- 選択したメッセージの詳細ポップアップで、[ メールのリリース] を選択します。
開いた [受信トレイへのリリース メッセージ ] ポップアップで、[ 脅威がないとしてメッセージを報告 する] を選択し、[ リリース メッセージ] を選択します。
受信トレイへのリリース メッセージのポップアップが完了したら、[リリース メッセージ] を選択します。
開 いた [受信トレイにリリースされたメッセージ] ポップアップで、[完了] を選択 します。
[Email] タブに戻ると、メッセージの [リリース] 状態の値が [リリース] になります。
メッセージは受信トレイ (またはメールボックス内の 受信トレイルール に応じて他のフォルダー) に配信されます。
検疫済みメールのリリースを要求する
注:
検疫されたメッセージのリリースを要求する機能は、メッセージを検疫した保護機能の検疫ポリシーによって制御されます。
検疫ポリシーを使用すると、メッセージを解放したり、メッセージのリリースを要求したりできますが、どちらのオプションも同じメッセージでは使用できません。 検疫ポリシーを使用すると、検疫されたメッセージのリリースまたは要求を防ぐことができます。
このアクションは、既にリリースを要求した電子メール メッセージでは使用できません ( [リリースの状態 ] の値は [Released requested]\(リリース要求済み\) です)。
メッセージを解放または削除しない場合は、[ 有効期限] 列に表示された日付の後に検疫から自動的に削除されます。
メッセージを選択した後、次のいずれかの方法を使用して、そのリリースを要求します。
- [Email] タブで、[Request リリース] を選択します。
- 選択したメッセージの詳細ポップアップで、[ その他のオプション>Request リリースを選択します。
開いた [リリースの要求 ] ポップアップで、情報を確認し、[ リリースの要求] を選択します。 開 いた [Release requested]\(要求されたリリース\ ) ポップアップで、[完了] を選択 します。
[検疫] ページに戻ると、メッセージの [リリースの状態] の値が [リリース要求済み] になります。 管理者が要求を確認して承認するか、拒否します。
検疫からメールを削除する
検疫からメール メッセージを削除すると、メッセージは削除され、元の受信者には送信されません。
メッセージを解放または削除しない場合は、[ 有効期限] 列に表示された日付の後に検疫から自動的に削除されます。
メッセージを選択した後、次のいずれかの方法を使用して削除します。
- [Email] タブで、[メッセージの削除] を選択します。
- 選択したメッセージの詳細ポップアップで、[その他のオプション] を選択>検疫から削除します。
開いた 検疫からのメッセージの削除 (n) ポップアップで、次のいずれかの方法を使用してメッセージを削除します。
- [ 検疫からメッセージを完全に削除 する] を選択し、[削除] を選択 します。メッセージは完全に削除され、回復できません。
- [ 削除のみ] を 選択します。メッセージは削除されますが、回復可能な可能性があります。
検疫ポップアップからメッセージを削除 (n) で [削除] を選択した後、メッセージが表示されなくなった [Email] タブに戻ります。
ヒント
管理者は、管理者監査ログを検索することで、検疫されたメッセージを削除したユーザーを確認できます。 手順については、「 検疫済みメッセージを削除したユーザーを検索する」を参照してください。
検疫からのメールのプレビュー
メッセージを選択した後、次のいずれかの方法を使用してプレビューします。
- [Email] タブで、[Preview メッセージ] を選択します。
- 選択したメッセージの詳細ポップアップで、[ その他のオプション>Preview メッセージを選択します。
表示されるポップアップで、次のいずれかのタブを選択します。
- [ソース]: すべてのリンクが無効になったメッセージ本文の HTML バージョンを表示します。
- [プレーン テキスト]: プレーン テキストでメッセージ本文を表示します。
電子メール メッセージ ヘッダーを表示する
メッセージを選択したら、次のいずれかの方法を使用してメッセージ ヘッダーを表示します。
- [Email] タブで、[][詳細>メッセージ ヘッダーの表示] を選択します。
- 選択したメッセージの詳細ポップアップで、[その他のオプション] を選択>メッセージ ヘッダーを表示します。
開いた [メッセージ ヘッダー ] ポップアップに、メッセージ ヘッダー (すべてのヘッダー フィールド) が表示されます。
Copy メッセージ ヘッダーを使用して、メッセージ ヘッダーをクリップボードにコピーします。
[Microsoft Message Header Analyzer] リンクを選択して、ヘッダー フィールドと値を詳細に分析します。 [ 分析するメッセージ ヘッダーを挿入する] セクションにメッセージ ヘッダーを 貼り付けます (Ctrl キーを押しながら V キーを押すか、右クリックして [貼り付け] を選択します)。次に、[ ヘッダーの分析] を選択します。
検疫からのメール送信者を許可する
ヒント
送信者が既に 迷惑メール フィルター リストに含まれている場合は、[ 送信者を許可する] は使用できません。
[送信者の許可] アクションは、メールボックスの [差出人セーフ リスト] にメッセージ送信者を追加します。 送信者の許可の詳細については、「差出人 セーフ リストにメール メッセージの受信者を追加する」を参照してください。
メッセージを選択した後、次のいずれかの方法を使用して、メールボックスの [差出人セーフ リスト] にメッセージ送信者を追加します。
- [Email] タブで、[送信者詳細>[許可する] を選択します。
- 選択したメッセージの詳細ポップアップで、[ その他のオプション>[送信者の許可] を選択します。
表示されるポップアップは、送信者が [差出人セーフ リスト] に正常に追加されたタイミングを示します。 [完了] を選択します。
メール送信者の検疫をブロックする
ヒント
[送信者のブロック ] は、管理者が [ 送信者のブロック ] アクセス許可を有効にしてカスタム検疫ポリシーを作成し、その検疫ポリシーをメッセージを検疫した保護機能ポリシーに割り当てた場合にのみ使用できます。
差出人が既に 差出人セーフ リストに含まれている場合、 送信者のブロック は使用できません。 代わりに、ユーザー ブロック リストから送信者を削除できます。
[送信者のブロック] アクションは、メールボックス内の [ブロックされた送信者] リストにメッセージ送信者を追加します。 送信者のブロックの詳細については、「メール送信者 をブロックする」を参照してください。
メッセージを選択した後、次のいずれかの方法を使用して、メールボックスの [ブロックされた送信者] リストにメッセージ送信者を追加します。
- [Email] タブで、[送信者の詳細>ブロック] を選択します。
- 選択したメッセージの詳細ポップアップで、[ その他のオプション>[送信者のブロック] を選択します。
開いた [ 送信者のブロック ] ポップアップで、送信者に関する情報を確認し、[ ブロック] を選択します。
ヒント
organizationは、引き続きブロックされた送信者からメールを受信できます。 送信者からのメッセージは、迷惑メール Email フォルダーまたは検疫に配信されます。 管理者は、到着時に送信者からメッセージを削除するために、 メール フロー ルール (トランスポート ルールとも呼ばれます) を使用して メッセージをブロックできます。
[ブロックされた送信者] リストから送信者を検疫から削除する
[ ユーザーからの送信者の削除] ブロック リスト は、検疫されたメッセージの送信者が既に [送信者のブロック] リストに含まれている場合にのみ使用できます。
メッセージを選択した後、次のいずれかの方法を使用して、送信者を [送信者のブロック] リストから削除します。
- [Email] タブで、[][その他>送信者をユーザー ブロック リストから削除する] を選択します。
- 選択したメッセージの詳細ポップアップで、[ その他のオプション>ユーザー ブロック リストから送信者を削除します。
表示されるポップアップは、送信者が [ブロックされた送信者] リストから正常に削除されたタイミングを示します。 [完了] を選択します。
複数の検疫済みメール メッセージを処理する
[Email] タブで、最初の列の横にある [チェック] ボックスを選択して複数の検疫済みメッセージを選択すると、[Email] タブで次の一括アクションを使用できます (選択したメッセージの [リリース状態] の値に応じて)。
Microsoft Teamsで検疫されたメッセージを管理する
Microsoft Teamsで悪意のある可能性のあるチャット メッセージが検出されると、0 時間の自動消去 (ZAP) によってメッセージが削除され、検疫されます。 ユーザーは、これらの検疫された Teams メッセージをMicrosoft Defender ポータルで表示および管理できるようになりました。 検疫通知は、検疫された Teams メッセージではサポートされていません。
検疫されたメッセージをMicrosoft Teamsで表示する
https://security.microsoft.comのMicrosoft Defender ポータルで、[コラボレーションEmail &>Review>Quarantine>Teams メッセージ] タブに移動します。または、[検疫] ページの [Teams メッセージ] タブに直接移動するには、https://security.microsoft.com/quarantine?viewid=Teamsを使用します。
使用可能な列ヘッダーをクリックすると、エントリを並べ替えることができます。 [ 列のカスタマイズ] を選択して、表示される列を変更します。 既定の列は次のとおりです。
- Teams メッセージ テキスト: Teams メッセージの件名が含まれます。
- 検疫日: メッセージが検疫されたときに表示されます。
- 状態: メッセージが既にレビューされ、リリースされているか、レビューが必要かを示します。
- 送信者: 検疫されたメッセージを送信したユーザー。
- 検疫の理由: 使用可能なオプションは、 信頼度の高いフィッシング と マルウェアです。
- [有効期限]: メッセージが検疫から削除される時間を示します。 既定では、この値は 30 日です。
エントリをフィルター処理するには、[Filter] を選択します。 開いた [フィルター] ポップアップでは、次の フィルター を使用できます。
- [送信者のアドレス]
-
受信した時間:
- 過去 24 時間
- 過去 7 日間
- 過去 14 日間
- 過去 30 日間 (既定値)
- カスタム: 開始時刻 と 終了時刻 (日付) を入力します。
-
次の有効期限が切れます。
- カスタム (既定値): 開始時刻 と 終了時刻 (日付) を入力します。
- [今日]
- [今後 2 日間]
- [今後 7 日間]
- 検疫の理由: 使用可能な値は 、マルウェア と 信頼度の高いフィッシングです。
- 状態: [ 確認が必要] と [ リリース済み] を選択します。
[フィルター] ポップアップが完了したら、[適用] を選択します。 フィルターをクリアするには、[ クリア フィルター] を選択します。
[ 検索 ] ボックスと対応する値を使用して、特定の Teams メッセージを検索します。 ワイルドカードはサポートされていません。
特定の検疫された Teams メッセージを見つけたら、メッセージを選択して詳細を表示し、それに対してアクションを実行します (メッセージの表示、リリース、ダウンロード、削除など)。
検疫されたメッセージの詳細をMicrosoft Teamsで表示する
[Teams メッセージ] タブで、[チェック] ボックス以外の行内の任意の場所をクリックして、検疫されたメッセージを選択します。
表示される詳細ポップアップでは、次の情報を使用できます。
-
[検疫の詳細 ] セクション: 検疫の理由、有効期限、検疫ポリシーの種類、その他の情報が含まれます。
- Expires
- 受信時間
- 検疫の理由
- リリース状態
- ポリシーの種類
-
[メッセージの詳細 ] セクション: 送信されたメッセージの日付と時刻、送信者アドレス、Teams メッセージ ID、受信者の一覧が含まれます。
- [送信者のアドレス]
- 受信時間
- 受信者
- Teams メッセージ ID
メッセージに対してアクションを実行するには、次のセクションを参照してください。
Microsoft Teamsで検疫されたメッセージに対してアクションを実行する
[Teams メッセージ] タブで、最初の列の横にある [チェック] ボックスを選択して、検疫されたメッセージを選択します。 次のオプションを利用できます。
- リリースの要求: 検疫からメッセージを解放するように要求できます。 organizationの管理者がリリースを承認する必要があります。
- 削除: 検疫されたメッセージの一覧からメッセージを削除するように要求できます。
- プレビュー メッセージ: 選択したメッセージの詳細を表示できます。
メッセージを解放または削除しない場合は、[ 有効期限] 列に表示された日付の後に検疫から自動的に削除されます。