[申請] ページを使用して、疑わしいスパム、フィッシング、URL、正当なメールの受信がブロックされ、電子メールの添付ファイルを Microsoft に送信します
ヒント
Microsoft Defender XDR for Office 365 プラン 2 の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 「Microsoft Defender for Office 365を試す」で、誰がサインアップして試用版の条件を利用できるかについて説明します。
Microsoft が申請を保存して処理する方法の詳細については、これをチェックしてください。
Exchange Online メールボックスを持つ Microsoft 365 組織では、管理者はMicrosoft Defender ポータルの [申請] ページを使用して、メッセージ、URL、添付ファイルを分析のために Microsoft に送信できます。 管理者の申請には、次の 2 つの基本的な種類があります。
管理送信元: 管理者は、「管理から送信された申請」セクションの説明に従って、[申請] ページのタブから分析のために [Microsoft に送信する] を選択して、メッセージ、添付ファイル、または URL (エンティティ) を特定して報告します。
管理者がエンティティを報告すると、[ 申請 ] ページの対応するタブにエントリが表示されます ( [ユーザーが報告 した] タブを除く任意の場所)。
ユーザーが報告したメッセージの送信を管理する: 組み込みのユーザー レポート エクスペリエンスが有効になり、構成されます。 ユーザーが報告したメッセージは、[申請] ページの [ユーザーの報告] タブに表示され、[ユーザーが報告した] タブから管理者が Microsoft にメッセージを送信または再送信します。
管理者が [ 報告されたユーザー ] タブからメッセージを送信すると、[ 申請 ] ページの対応するタブ ([ 電子メール ] タブなど) にもエントリが作成されます。 これらの種類の管理者申請については、「ユーザーが報告したメッセージの管理オプション」セクションで説明されています。
管理者またはユーザーが分析のために Microsoft にメッセージを送信すると、次のチェックが行われます。
- Email認証チェック (電子メール メッセージのみ): 電子メール認証が配信されたときに成功したか失敗したか。
- ポリシー ヒット: 受信メールをorganizationに許可またはブロックした可能性があるポリシーまたはオーバーライドに関する情報。フィルター処理の判定をオーバーライドします。
- ペイロードの評判/爆発: メッセージ内の URL と添付ファイルを最新の状態で調べることができます。
- 採点者の分析: メッセージが悪意のあるかどうかを確認するために、人間の採点者によって行われたレビュー。
重要
米国政府機関 (Microsoft 365 GCC、GCC High、DoD) では、管理者は分析のために電子メール メッセージを Microsoft に送信できますが、メッセージは電子メール認証とポリシー ヒットでのみ分析されます。 ペイロードの評判、爆発、グレーダーの分析は、コンプライアンス上の理由から行われません (データはorganization境界から離れることは許可されていません)。
この短いビデオでは、Microsoft Defender for Office 365で管理者の申請を使用して、評価のために Microsoft にメッセージを送信する方法について説明します。
ユーザーがメッセージとファイルを Microsoft に送信する方法の詳細については、「メッセージとファイルを Microsoft に報告する」を参照してください。
管理者が Defender ポータルで Microsoft にメッセージを報告できるその他の方法については、「管理者向けの関連レポート設定」を参照してください。
はじめに把握しておくべき情報
「https://security.microsoft.com/」で Microsoft Defender ポータルを開きます。 [申請] ページに直接移動するには、https://security.microsoft.com/reportsubmissionを使用します。
この記事の手順を実行する前に、アクセス許可を割り当てる必要があります。 以下のオプションがあります。
- Microsoft Defender XDR統合ロールベースのアクセス制御 (RBAC) (コラボレーションがEmail &場合>Defender for Office 365アクセス許可はアクティブです。PowerShell ではなく Defender ポータルにのみ影響します。セキュリティ操作/セキュリティ データ/応答 (管理)、またはセキュリティ操作/セキュリティ データ/セキュリティ データの基本 (読み取り)。
- Microsoft Defender ポータルでコラボレーションのアクセス許可をEmail &する: セキュリティ管理者ロール グループまたはセキュリティ閲覧者ロール グループのメンバーシップ。
- Microsoft Entraアクセス許可: セキュリティ管理者ロールまたはセキュリティ閲覧者ロールのメンバーシップは、Microsoft 365 の他の機能に必要なアクセス許可とアクセス許可をユーザーに付与します。
管理者は、メールボックスで引き続き使用でき、ユーザーまたは管理者によって消去されていない場合は、30 日ほど前のメール メッセージを送信できます。
管理申請は、次のレートで調整されます。
- 15 分間の最大提出数: 150 件
- 24 時間以内の同じ申請: 3 つの申請
- 15 分の期間内の同じ申請: 1 つの申請
組織内のユーザーによる報告設定により、ユーザーから報告されたメッセージ (メールおよび Microsoft Teams) が (報告メールボックスのみ、またはそれに付随する形で) Microsoft に送信される場合、管理者が[報告] ページから Microsoft へと分析のためにメッセージを送信する場合と同じ確認が行われます。 そのため、Microsoft へのメッセージの送信や再送信は、管理者にとってはメッセージが一度も Microsoft に提出されたことのない場合や、元の判定に同意できない場合にのみ有用となります。
[ファイル] タブは、Microsoft Defender XDRまたはプラン 2 をMicrosoft Defender for Endpointしている組織でのみ、[申請] ページで使用できます。 [ファイル] タブからファイルを送信する方法については、「Microsoft Defender for Endpointでファイルを送信する」を参照してください。
管理から送信された申請
ヒント
[select Submit to Microsoft for analysis]\(分析のために Microsoft に送信する \) を選択するタブは、[提出の種類を正しい値に 選択する] を 設定している限り、特に重要ではありません。
疑わしいメールを Microsoft に報告する
https://security.microsoft.comのMicrosoft Defender ポータルで、[アクション] & 申請>[サブミッション] に移動します。 または、[ 申請] ページに直接移動するには、 https://security.microsoft.com/reportsubmissionを使用します。
[申請] ページ で 、[ 電子メール ] タブが選択されていることを確認します。
[ 電子メール ] タブで、[ 分析のために Microsoft に送信する] を選択します。
開いた [分析のために Microsoft に送信] ポップアップの最初のページで、次の情報を入力します。
申請の種類を選択します。Email値が選択されていることを確認します。
ネットワーク メッセージ ID を追加するか、メール ファイルをアップロードします。次のいずれかのオプションを選択します。
- メール ネットワーク メッセージ ID を追加する: GUID 値は 、X-MS-Exchange-Organization-Network-Message-Id ヘッダーまたはメッセージの X-MS-Office365-Filtering-Correlation-Id ヘッダーで使用できます。
- メール ファイル (.msgまたは.eml) をアップロードする: [ ファイルの参照] を選択します。 開いたダイアログで、.emlまたは.msgファイルを見つけて選択し、[ 開く] を選択します。
問題が発生した受信者を少なくとも 1 人選択する: ポリシー チェックを実行する受信者を指定します。 ポリシー チェックは、ユーザーまたはorganizationポリシーまたはオーバーライドにより、電子メールがスキャンをバイパスしたかどうかを判断します。
このメッセージを Microsoft に送信する理由: 次のいずれかの値を選択します。
- 疑わしいと思われる: この値は、不明な場合、またはメッセージの判定が不明で、Microsoft から判定を受けたい場合にのみ選択します。 [ 送信] を選択し、手順 6 に進みます。
または
開いた分析ポップアップの [ Microsoft に送信] の 2 番目のページで、次のいずれかの手順を実行します。
- [送信] を選択します。
または
[ この送信者またはドメインのすべてのメールをブロックする] を選択します。このオプションを選択すると、テナント許可/ブロック リストに送信者ドメインまたはメール アドレスのブロック エントリが作成されます。 テナントの許可/ブロックリストの詳細については、「テナントの許可/ブロックリスト で許可とブロックを管理する」を参照してください。
このオプションを選択すると、次の設定を使用できます。
- 既定では、[ 送信者] が選択されていますが、代わりに [ ドメイン ] を選択できます。
-
後のブロック エントリの削除: 既定値は 30 日ですが、次の値から選択できます。
- 1 日
- 7 日間
- 30 日間
- 有効期限なし
- 特定の日付: 最大値は今日から 30 日です。
- [入力メモをブロックする (省略可能)] : この項目をブロックする理由に関する省略可能な情報を入力します。
[分析のために Microsoft に送信] ポップアップの 2 番目のページが終了したら、[送信] を選択します。
[完了] を選択します。
しばらくすると、ブロック エントリは、https://security.microsoft.com/tenantAllowBlockList?viewid=Senderの [テナントの許可/ブロックLists] ページの [ドメイン & アドレス] タブで使用できます。
疑わしいメールの添付ファイルを Microsoft に報告する
https://security.microsoft.comのMicrosoft Defender ポータルで、[アクション] & 申請>[サブミッション] に移動します。 または、[ 申請] ページに直接移動するには、 https://security.microsoft.com/reportsubmissionを使用します。
[申請] ページで、[添付ファイルのEmail] タブを選択します。
[Email添付ファイル] タブで、分析のために [Submit to Microsoft] を選択します。
開いた [分析のために Microsoft に送信] ポップアップの最初のページで、次の情報を入力します。
申請の種類を選択します。添付ファイルEmail選択されている値を確認します。
ファイル: [ Browse ファイル を選択して、送信するファイルを検索して選択します。
この電子メールの添付ファイルを Microsoft に送信する理由: 次のいずれかの値を選択します。
- 疑わしいと表示される: 不明で Microsoft からの判定が必要な場合は、この値を選択し、[ 送信] を選択して、手順 6 に進みます。
または
開いた分析ポップアップの [ Microsoft に送信] の 2 番目のページで、次のいずれかの手順を実行します。
- [送信] を選択します。
または
[ このファイルをブロックする] を選択します。このオプションは、[テナントの許可/ブロック一覧] にファイルのブロック エントリを作成します。 テナントの許可/ブロックリストの詳細については、「テナントの許可/ブロックリスト で許可とブロックを管理する」を参照してください。
このオプションを選択すると、次の設定を使用できます。
-
後のブロック エントリの削除: 既定値は 30 日ですが、次の値から選択できます。
- 1 日
- 7 日間
- 30 日間
- 有効期限なし
- 特定の日付: 最大値は今日から 30 日です。
- [入力メモをブロックする (省略可能)] : この項目をブロックする理由に関する省略可能な情報を入力します。
[分析のために Microsoft に送信する] ポップアップが完了したら、[送信] を選択します。
-
後のブロック エントリの削除: 既定値は 30 日ですが、次の値から選択できます。
[完了] を選択します。
しばらくすると、ブロック エントリは、https://security.microsoft.com/tenantAllowBlockList?viewid=FileHashの [テナントの許可/ブロックLists] ページの [ファイル] タブで使用できます。
疑わしい URL を Microsoft に報告する
https://security.microsoft.comのMicrosoft Defender ポータルで、[アクション] & 申請>[サブミッション] に移動します。 または、[ 申請] ページに直接移動するには、 https://security.microsoft.com/reportsubmissionを使用します。
[申請] ページ で 、[ URL] タブを 選択します。
[URL] タブで、[分析のために Microsoft に送信する] を選択します。
開いた [分析のために Microsoft に送信する] ポップアップで、次の情報を入力します。
申請の種類を選択します。値 の URL が選択されていることを確認します。
URL: 完全な URL (
https://www.fabrikam.com/marketing.html
など) を入力し、表示されるボックスで選択します。 一度に最大 50 個の URL を入力できます。この URL を Microsoft に送信する理由: 次のいずれかの値を選択します。
- 疑わしいと表示される: 不明で Microsoft からの判定が必要な場合は、この値を選択し、[ 送信] を選択して、手順 6 に進みます。
または
開いた分析ポップアップの [ Microsoft に送信] の 2 番目のページで、次のいずれかの手順を実行します。
- [送信] を選択します。
または
[ この URL をブロックする] を選択します。このオプションは、[テナントの許可/ブロック] リストに URL のブロック エントリを作成します。 テナントの許可/ブロックリストの詳細については、「テナントの許可/ブロックリスト で許可とブロックを管理する」を参照してください。
このオプションを選択すると、次の設定を使用できます。
-
後のブロック エントリの削除: 既定値は 30 日ですが、次の値から選択できます。
- 1 日
- 7 日間
- 30 日間
- 有効期限なし
- 特定の日付: 最大値は今日から 30 日です。
- [入力ノートをブロックする (省略可能)] : この文書をブロックする理由に関する省略可能な情報を入力します。
[分析のために Microsoft に送信する] ポップアップが完了したら、[送信] を選択します。
-
後のブロック エントリの削除: 既定値は 30 日ですが、次の値から選択できます。
[完了] を選択します。
しばらくすると、ブロック エントリは、https://security.microsoft.com/tenantAllowBlockList?viewid=Urlの [テナントの許可/ブロックLists] ページの [URL] タブで使用できます。
Microsoft に適切なメールを報告する
https://security.microsoft.comのMicrosoft Defender ポータルで、[アクション] & 申請>[サブミッション] に移動します。 または、[ 申請] ページに直接移動するには、 https://security.microsoft.com/reportsubmissionを使用します。
[申請] ページ で 、[ 電子メール ] タブが選択されていることを確認します。
[ 電子メール ] タブで、[ 分析のために Microsoft に送信する] を選択します。
開いた [分析のために Microsoft に送信] ポップアップの最初のページで、次の情報を入力します。
申請の種類を選択します。Email値が選択されていることを確認します。
ネットワーク メッセージ ID を追加するか、メール ファイルをアップロードします。次のいずれかのオプションを選択します。
- 電子メール ネットワーク メッセージ ID を追加する: GUID 値は、メッセージの X-MS-Exchange-Organization-Network-Message-Id ヘッダーまたは検疫されたメッセージの X-MS-Office365-Filtering-Correlation-Id ヘッダーで使用できます。
- メール ファイル (.msgまたは.eml) をアップロードする: [ ファイルの参照] を選択します。 開いたダイアログで、.emlまたは.msgファイルを見つけて選択し、[ 開く] を選択します。
問題が発生した受信者を少なくとも 1 人選択する: ポリシー チェックを実行する受信者を指定します。 ポリシー チェックは、ユーザーまたはorganizationのポリシーまたはオーバーライドが原因で電子メールがブロックされたかどうかを決定します。
このメッセージを Microsoft に送信する理由: 次のいずれかの値を選択します。
- クリーン表示されます。この値は、メッセージの判定が不明な場合、またはメッセージの判定が不明で、Microsoft から判定を受けたい場合にのみ選択します。 [ 送信] を選択し、手順 6 に進みます。
または
- クリーンであることを確認しました:他のすべての場合は、メッセージの判定をクリーンとして既に決定した後、この値を選択します。 [次へ] を選択します。
開いた分析ポップアップの [ Microsoft に送信] の 2 番目のページで、次のいずれかの手順を実行します。
- [送信] を選択します。
または
[ このメッセージを許可する] を選択します。このオプションは、テナント許可/ブロック リスト内のメッセージの要素の許可エントリを作成します。 テナントの許可/ブロックリストの詳細については、「テナントの許可/ブロックリスト で許可とブロックを管理する」を参照してください。
このオプションを選択すると、次の設定を使用できます。
後の許可エントリの削除: 既定値は 最終使用日から 45 日後ですが、次の値から選択できます。
- 1 日
- 7 日間
- 30 日間
- 特定の日付: 最大値は今日から 30 日です。
スプーフィングされた送信者の場合、スプーフィングされた送信者のエントリは期限切れになることがないため、この値は意味がありません。
最終使用日の 45 日後が選択されている場合、メール フロー中に悪意のある電子メール メッセージが検出されたときに、許可エントリの最終使用日が更新されます。 許可エントリは、フィルター 処理システムが電子メール メッセージがクリーンと判断した後、45 日間保持されます。 その他のすべての値の場合、定義された日付 (1 日、 7 日、 30 日、または特定の日付) の許可エントリが表示 されます。
[入力メモを許可する (省略可能)] : この項目を許可する理由に関する省略可能な情報を入力します。 なりすまし送信者の場合、ここで入力した値は、[テナントの許可/ブロック] Lists ページの [なりすまし送信者] タブの許可エントリには表示されません。
[分析のために Microsoft に送信] ポップアップの 2 番目のページが終了したら、[送信] を選択します。
[完了] を選択します。
しばらくすると、関連付けられた許可エントリが、https://security.microsoft.com/tenantAllowBlockListの [テナントの許可/ブロック] Lists ページの [ドメイン & アドレス]、[なりすまし送信者]、[URL]、または [ファイル] タブに表示されます。
重要
- メッセージが悪意があると判断されたフィルターに基づいて、メール フロー中に許可エントリが追加されます。 たとえば、送信者のメール アドレスとメッセージ内の URL が正しくないと判断された場合、送信者 (メール アドレスまたはドメイン) と URL に対して許可エントリが作成されます。
- 送信者の電子メール アドレスがフィルターシステムによって悪意があると見つからない場合、Microsoft に電子メール メッセージを送信しても、テナントの許可/ブロックリストに許可エントリは作成されません。
- 許可されたドメインまたはメール アドレス、なりすまし送信者、URL、またはファイル (エンティティ) が再び検出されると、エンティティに関連付けられているすべてのフィルターはスキップされます。 電子メール メッセージの場合、他のすべてのエンティティは、決定を下す前にフィルター システムによって評価されます。
- メール フロー中に、許可されたドメインまたはメール アドレスからのメッセージがフィルター 処理スタック内の他のチェックに合格すると、メッセージが配信されます。 たとえば、メッセージが 電子メール認証チェックに合格した場合、許可された送信者のメール アドレスからのメッセージが配信されます。
- 既定では、ドメインと電子メール アドレスの許可エントリは、フィルター システムがエンティティがクリーンと判断した後、許可エントリが削除されてから 45 日間保持されます。 1 日、7 日、30 日などのその他のすべての値については、指定した日付に許可エントリが期限切れになります。 既定では、スプーフィングされた送信者のエントリの有効期限が切れないことを許可します。
- ドメインまたはユーザー偽装保護によって誤ってブロックされたメッセージの場合、ドメインまたは送信者の許可エントリはテナント許可/ブロックリストに作成されません。 代わりに、ドメインまたは送信者は、メッセージを検出したフィッシング対策ポリシーの [信頼された送信者とドメイン] セクションに追加されます。
- スプーフィング インテリジェンス分析情報で判定を上書きすると、なりすまし送信者は、https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItemの [テナントの許可/ブロック] Lists ページの [なりすまし送信者] にのみ表示される手動の許可またはブロックエントリになります。
Microsoft に適切な電子メールの添付ファイルを報告する
https://security.microsoft.comのMicrosoft Defender ポータルで、[アクション] & 申請>[サブミッション] に移動します。 または、[ 申請] ページに直接移動するには、 https://security.microsoft.com/reportsubmissionを使用します。
[申請] ページで、[添付ファイルのEmail] タブを選択します。
[Email添付ファイル] タブで、分析のために [Submit to Microsoft] を選択します。
開いた [分析のために Microsoft に送信] ポップアップで、次の情報を入力します。
申請の種類を選択します。添付ファイルEmail選択されている値を確認します。
ファイル: [ ファイルの参照] を 選択して、送信するファイルを検索して選択します。
メッセージを Microsoft に送信する理由: 次のいずれかの値を選択します。
- クリーン表示されます。不明で Microsoft からの評決が必要な場合は、この値を選択し、[送信] を選択し、手順 6 に進みます。
または
- クリーンであることを確認しました:アイテムがクリーンされていることを確認した場合は、この値を選択し、[次へ] を選択します。
開いた分析ポップアップの [ Microsoft に送信] の 2 番目のページで、次のいずれかの手順を実行します。
- [送信] を選択します。
または
[ このファイルを許可する] を選択します。このオプションは、[テナントの許可/ブロック] リストにファイルの許可エントリを作成します。 テナントの許可/ブロックリストの詳細については、「テナントの許可/ブロックリスト で許可とブロックを管理する」を参照してください。
このオプションを選択すると、次の設定を使用できます。
後の許可エントリの削除: 既定値は 最終使用日から 45 日後ですが、次の値から選択できます。
- 1 日
- 7 日間
- 30 日間
- 特定の日付: 最大値は今日から 30 日です。
最終使用日の 45 日後が選択されている場合、メール フロー中に悪意のある電子メールの添付ファイルが検出されたときに、許可エントリの最終使用日が更新されます。 許可エントリは、フィルター 処理システムによって電子メールの添付ファイルがクリーンされると判断されてから 45 日間保持されます。 1 日、7 日、30 日などのその他のすべての値については、指定した日付に許可エントリが期限切れになります。
[入力メモを許可する (省略可能)] : この項目を許可する理由に関する省略可能な情報を入力します。
[分析のために Microsoft に送信] ポップアップの 2 番目のページが終了したら、[送信] を選択します。
[完了] を選択します。
しばらくすると、[テナントの許可/ブロックリスト] ページの [ファイル] タブで許可エントリを使用できます。 テナントの許可/ブロックリストの詳細については、「テナントの許可/ブロックリスト で許可とブロックを管理する」を参照してください。
重要
- 既定では、フィルター システムによってエンティティがクリーンされると判断されてから 45 日間、ファイルの許可エントリが保持され、許可エントリが削除されます。 1 日、7 日、30 日などのその他のすべての値については、指定した日付に許可エントリが期限切れになります。
- メール フロー中にファイルが再び検出されると、 安全な添付ファイル の爆発またはファイルの評判チェック、およびその他のすべてのファイル ベースのフィルターがオーバーライドされます。 電子メール メッセージ内の他のすべてのエンティティがクリーンされると、フィルター システムによって判断された場合、メッセージが配信されます。
- 選択中に、 安全な添付ファイル の爆発やファイル評判チェックを含むすべてのファイル ベースのフィルターがオーバーライドされ、ユーザーがファイルにアクセスできるようになります。
適切な URL を Microsoft に報告する
誤検知として報告された URL の場合、元の URL のバリエーションを含む後続のメッセージを許可します。 たとえば、[ 申請] ページを 使用して、不適切にブロックされた URL www.contoso.com/abc
を報告します。 organizationが後で URL を含むメッセージ (たとえば、www.contoso.com/abc
、www.contoso.com/abc?id=1
、www.contoso.com/abc/def/gty/uyt?id=5
、www.contoso.com/abc/whatever
) を受け取った場合、URL に基づいてメッセージはブロックされません。 つまり、同じ URL の複数のバリエーションを Microsoft に報告する必要はありません。
https://security.microsoft.comのMicrosoft Defender ポータルで、[アクション] & 申請>[サブミッション] に移動します。 または、[ 申請] ページに直接移動するには、 https://security.microsoft.com/reportsubmissionを使用します。
[申請] ページ で 、[ URL] タブを選択します
[URL] タブで、[分析のために Microsoft に送信する] を選択します。
開いた [分析のために Microsoft に送信する] ポップアップで、次の情報を入力します。
申請の種類を選択します。値 の URL が選択されていることを確認します。
URL: 完全な URL (
https://www.fabrikam.com/marketing.html
など) を入力し、表示されるボックスで選択します。 最上位ドメイン (たとえば、https://www.fabrikam.com/*
) を指定し、表示されるボックスで選択することもできます。 一度に最大 50 個の URL を入力できます。この URL を Microsoft に送信する理由: 次のいずれかの値を選択します。
- クリーン表示されます。不明で Microsoft からの評決が必要な場合は、この値を選択し、[送信] を選択し、手順 6 に進みます。
または
開いた分析ポップアップの [ Microsoft に送信] の 2 番目のページで、次のいずれかの手順を実行します。
- [送信] を選択します。
または
[ この URL を許可する] を選択します。このオプションは、[テナントの許可/ブロック] リストに URL の許可エントリを作成します。 テナントの許可/ブロックリストの詳細については、「テナントの許可/ブロックリスト で許可とブロックを管理する」を参照してください。
このオプションを選択すると、次の設定を使用できます。
後の許可エントリの削除: 既定値は 最終使用日から 45 日後ですが、次の値から選択できます。
- 1 日
- 7 日間
- 30 日間
- 特定の日付: 最大値は今日から 30 日です。
最終使用日の 45 日後が選択されている場合、メール フロー中に悪意のある URL が検出されたときに、許可エントリの最終使用日が更新されます。 許可エントリは、フィルター 処理システムが URL がクリーンと判断した後、45 日間保持されます。 1 日、7 日、30 日などのその他のすべての値については、指定した日付に許可エントリが期限切れになります。
[入力メモを許可する (省略可能)] : この項目を許可する理由に関する省略可能な情報を入力します。
[分析のために Microsoft に送信] ポップアップの 2 番目のページが終了したら、[送信] を選択します。
[完了] を選択します。
しばらくすると、許可エントリは、https://security.microsoft.com/tenantAllowBlockList?viewid=Urlの [テナントの許可/ブロック] Lists ページの [URL] タブで使用できます。
注:
- 既定では、フィルター システムによってエンティティがクリーンされると判断されてから 45 日間、URL の許可エントリが保持され、許可エントリが削除されます。 1 日、7 日、30 日などのその他のすべての値については、指定した日付に許可エントリが期限切れになります。
- メール フロー中に URL が再び検出されると、 安全なリンク の爆発または URL の評判チェックとその他のすべての URL ベースのフィルターがオーバーライドされます。 電子メール メッセージ内の他のすべてのエンティティがクリーンされると、フィルター システムによって判断された場合、メッセージが配信されます。
- 選択中に、 安全なリンク の爆発や URL 評判チェックを含むすべての URL ベースのフィルターがオーバーライドされ、URL のコンテンツへのユーザー アクセスが許可されます。
Defender for Office 365 プラン 2 で Teams メッセージを Microsoft に報告する
ヒント
Microsoft への Teams メッセージの送信 は現在プレビュー段階であり、すべての組織で利用できるわけではありません。変更される場合があります。
Microsoft Defender for Office 365 プラン 2 (アドオン ライセンス、または Microsoft 365 E5 などのサブスクリプションに含まれる) を持つ Microsoft 365 組織では、[申請] ページの [Teams メッセージ] タブから Teams メッセージを送信することはできません。 分析のために Teams メッセージを Microsoft に送信する唯一の方法は、この記事の後半の「分析のためにユーザーが報告したメッセージを Microsoft に送信する」セクションで説明されているように、[ ユーザーレポート ] タブから ユーザーが報告した Teams メッセージを送信 することです。
[ Teams メッセージ ] タブのエントリは、ユーザーが報告した Teams メッセージを Microsoft に送信した結果です。 詳細については、この記事の後半の 「変換された管理者の申請を表示する 」セクションを参照してください。
Microsoft へのメール管理者の申請を表示する
https://security.microsoft.comのMicrosoft Defender ポータルで、[アクション] & 申請>[サブミッション] に移動します。 または、[ 申請] ページに直接移動するには、 https://security.microsoft.com/reportsubmissionを使用します。
[申請] ページ で 、[ 電子メール ] タブが選択されていることを確認します。
[ 電子メール ] タブでは、使用可能なクイック フィルターのいずれかを選択して、ビューをすばやくフィルター処理できます。
- Pending
- Completed
使用可能な列ヘッダーをクリックすると、エントリを並べ替えることができます。 [ 列のカスタマイズ] を選択して、表示される列を変更します。 既定値にはアスタリスク (*) が付いています。
- 申請名*
- 差し出し人*
- [受信者]
- 作成者:*
- 送信日*
- 提出の理由*
- 地位*
- 結果*
- 配信/ブロック理由
- 申請 ID
- ネットワーク メッセージ ID
- 方向
- [Sender IP (送信者の IP)]
- 一括準拠レベル (BCL)
- 宛先
- ポリシー アクション
- フィッシング シミュレーション
- タグ*: ユーザー タグの詳細については、「 ユーザー タグ」を参照してください。
- 操作
エントリをグループ化するには、[ Group ] を選択し、次のいずれかの値を選択します。
- 理由
- 状態
- 結果
- Tags
エントリのグループ化を解除するには、[ なし] を選択します。
エントリをフィルター処理するには、[Filter] を選択します。 開いた [ フィルター] ポップアップでは、次のフィルターを使用できます。
- 送信日: 開始日 と 終了日 の値。
- 申請 ID: すべての申請に割り当てられる GUID 値。
- ネットワーク メッセージ ID
- Sender
- [受信者]
- 申請名
- 作成者:
-
送信の理由: 次のいずれかの値。
- 迷惑メールではない
- 表示クリーン
- 疑わしいと表示される
- フィッシング
- Malware
- スパム。
- 状態: 保留中 と 完了。
- タグ: ドロップダウン リストから [すべて ] または [ ユーザー タグ ] を選択します。
[フィルター] ポップアップが完了したら、[適用] を選択します。 フィルターをクリアするには、[ クリア フィルター] を選択します。
Export を使用して、エントリの一覧を CSV ファイルにエクスポートします。
メール管理者の申請の詳細を表示する
[送信] ページの [電子メール] タブで、最初の列の横にある [チェック] ボックス以外の行の任意の場所をクリックしてエントリを選択すると、詳細ポップアップが開きます。
詳細ポップアップの上部には、次のメッセージ情報が表示されます。
- ポップアップのタイトルは、メッセージ Subject 値です。
- メッセージの受信者に割り当てられているすべてのユーザー タグ (Priority アカウント タグを含む)。 詳細については、「Microsoft Defender for Office 365のユーザー タグ」を参照してください。
- Defender for Office 365では、ポップアップの上部で使用できるアクションについては、「Defender for Office 365の管理者申請のアクション」セクションで説明されています。
ヒント
詳細ポップアップを残さずに他の申請の詳細を表示するには、ポップアップの上部にある [ Previous item ] と [次へ] 項目 を使用します。
詳細ポップアップの次のセクションは、電子メール メッセージの送信に関連しています。
[結果の詳細 ] セクション:
-
結果: 申請の Result 値が含まれます。 以下に例を示します。
- ブロックされていない必要がある
- ユーザーのオーバーライドが原因で許可される
- ルールが原因で許可される
-
電子メール送信の推奨手順: 関連するアクションへのリンクが含まれています。 以下に例を示します。
- Exchange メール フロー ルール (トランスポート ルール) を表示する
- エクスプローラーでこのメッセージを表示する (脅威のエクスプローラーまたはDefender for Office 365でのリアルタイム検出のみ)
- エクスプローラーで同様のメッセージを検索する (脅威のエクスプローラーまたはDefender for Office 365でのリアルタイム検出のみ)
-
結果: 申請の Result 値が含まれます。 以下に例を示します。
[申請の詳細 ] セクション:
- 送信日
- 申請名
- 申請の種類: 値がEmail。
- 提出の理由
- 申請 ID
- 作成者:
- 申請の状態
[許可の詳細] セクション: [ユーザーのオーバーライドが原因で結果] の値が [許可] になっているメール送信でのみ使用できます。またはルールに対して許可: 名前 (電子メール アドレス) と Type (Sender) の値が含まれています。
詳細ポップアップの残りの部分には、Email概要パネルの一部である [配信の詳細]、[Email詳細]、[URL]、[添付ファイル] セクションが含まれています。 詳細については、「Email概要パネル」を参照してください。
詳細ポップアップが完了したら、[ 閉じる] を選択します。
Defender for Office 365 プラン 2 で Microsoft への Teams 管理者の申請を表示する
ヒント
Microsoft への Teams メッセージの送信 は現在プレビュー段階であり、すべての組織で利用できるわけではありません。変更される場合があります。
https://security.microsoft.comのMicrosoft Defender ポータルで、[Actions & submissions>Submissions] の [申請] ページに移動します。 [申請] ページに直接移動するには、https://security.microsoft.com/reportsubmissionを使用します。
[申請] ページ で 、[ Teams メッセージ ] タブを選択します。
使用可能な列ヘッダーをクリックすると、エントリを並べ替えることができます。 [ 列のカスタマイズ] を選択して、表示される列を変更します。 既定値にはアスタリスク (*) が付いています。
- 申請名*
- 差し出し人*
- 送信日*
- 提出の理由*
- 作成者:
- 地位*
- 結果*
- [受信者]
- 申請 ID
- Teams メッセージ ID
- 宛先
- フィッシング シミュレーション
- タグ*: ユーザー タグの詳細については、「 ユーザー タグ」を参照してください。
エントリをグループ化するには、[ Group ] を選択し、次のいずれかの値を選択します。
- 理由
- 状態
- 結果
- Tags
エントリのグループ化を解除するには、[ なし] を選択します。
エントリをフィルター処理するには、[Filter] を選択します。 開いた [ フィルター] ポップアップでは、次のフィルターを使用できます。
- 送信日: 開始日 と 終了日。
- 申請 ID: すべての申請に割り当てられる GUID 値。
- Teams メッセージ ID
- Sender
- [受信者]
- Teams メッセージ
- 作成者:
-
送信の理由: 次のいずれかの値。
- 迷惑メールではない
- 表示クリーン
- 疑わしいと表示される
- フィッシング
- Malware
- 状態: 保留中 と 完了。
- タグ: ドロップダウン リストから [すべて ] または [ ユーザー タグ ] を選択します。
[フィルター] ポップアップが完了したら、[適用] を選択します。 フィルターをクリアするには、[ クリア フィルター] を選択します。
Export を使用して、エントリの一覧を CSV ファイルにエクスポートします。
Teams 管理者の申請の詳細を表示する
[提出] ページの [Teams メッセージ] タブで、最初の列の横にある [チェック] ボックス以外の行の任意の場所をクリックしてエントリを選択すると、詳細ポップアップが開きます。
詳細ポップアップの上部には、次のメッセージ情報が表示されます。
- ポップアップのタイトルは、Teams メッセージの件名または最初の 100 文字です。
- 現在のメッセージの判定。
- メッセージ内のリンクの数。
- アラートを表示します。 管理者の申請が作成または更新されると、アラートがトリガーされます。 このアクションを選択すると、アラートの詳細が表示されます。
ヒント
詳細ポップアップを残さずに他の申請の詳細を表示するには、ポップアップの上部にある [ Previous item ] と [次へ] 項目 を使用します。
詳細ポップアップの次のセクションは、Teams の申請に関連しています。
提出結果 セクション:
-
結果: 申請の Result 値が含まれます。 以下に例を示します。
- ブロックされている必要がある
- 提出を受け取らなかったので、問題を修正して再送信してください
-
電子メール送信の推奨手順: 関連するアクションへのリンクが含まれています。 以下に例を示します。
- Exchange メール フロー ルール (トランスポート ルール) を表示する
-
結果: 申請の Result 値が含まれます。 以下に例を示します。
[申請の詳細 ] セクション:
- 送信日
- 申請名
- 申請の種類: 値は Teams です
- 提出の理由
- 申請 ID
- 作成者:
- 申請の状態
詳細ポップアップの残りの部分には、Teams メッセージ エンティティ パネルの一部である [メッセージの詳細]、[送信者]、[参加者]、[チャネルの詳細]、[URL] セクションが含まれています。 詳細については、「プラン 2 の Teams mMessage エンティティ パネルMicrosoft Defender for Office 365参照してください。
詳細ポップアップが完了したら、[ 閉じる] を選択します。
Microsoft への電子メール添付ファイル管理者の申請を表示する
https://security.microsoft.comのMicrosoft Defender ポータルで、[Actions & submissions>Submissions] の [申請] ページに移動します。 [申請] ページに直接移動するには、https://security.microsoft.com/reportsubmissionを使用します。
[申請] ページで、[添付ファイルのEmail] タブを選択します。
[添付ファイルのEmail] タブで、使用可能なクイック フィルターのいずれかを選択して、ビューをすばやくフィルター処理できます。
- Pending
- Completed
使用可能な列ヘッダーをクリックすると、エントリを並べ替えることができます。 [ 列のカスタマイズ] を選択して、表示される列を変更します。 既定値にはアスタリスク (*) が付いています。
- 添付ファイル名*
- 送信日*
- 提出の理由*
- 地位*
- 結果*
- フィルター判定
- 配信/ブロック理由
- 申請 ID
- オブジェクト ID
- ポリシー アクション
- 作成者:
- タグ*: ユーザー タグの詳細については、「 ユーザー タグ」を参照してください。
- 操作
エントリをグループ化するには、[ Group ] を選択し、次のいずれかの値を選択します。
- 理由
- 状態
- 結果
- Tags
エントリのグループ化を解除するには、[ なし] を選択します。
エントリをフィルター処理するには、[Filter] を選択します。 開いた [ フィルター] ポップアップでは、次のフィルターを使用できます。
- 送信日: 開始日 と 終了日。
- 申請 ID: すべての申請に割り当てられる GUID 値。
- 添付ファイルの名前
- 作成者:
-
送信の理由: 次のいずれかの値。
- 迷惑メールではない
- 表示クリーン
- 疑わしいと表示される
- フィッシング
- Malware
- 状態: 保留中 と 完了。
- タグ: ドロップダウン リストから [すべて ] または [ ユーザー タグ ] を選択します。
[フィルター] ポップアップが完了したら、[適用] を選択します。 フィルターをクリアするには、[ クリア フィルター] を選択します。
Export を使用して、エントリの一覧を CSV ファイルにエクスポートします。
電子メール添付ファイル管理者の申請の詳細を表示する
[提出] ページの [添付ファイルのEmail] タブで、最初の列の横にある [チェック] ボックス以外の行の任意の場所をクリックしてエントリを選択すると、詳細ポップアップが開きます。
詳細ポップアップの上部には、次のメッセージ情報が表示されます。
- ポップアップのタイトルは添付ファイルのファイル名です。
- 申請の [状態] と [結果 ] の値。
- アラートを表示します。 Defender for Office 365では、管理者の申請が作成または更新されたときにアラートがトリガーされます。 このアクションを選択すると、アラートの詳細が表示されます。
ヒント
詳細ポップアップを残さずに他の申請の詳細を表示するには、ポップアップの上部にある [ Previous item ] と [次へ] 項目 を使用します。
詳細ポップアップの次のセクションは、電子メールの添付ファイルの送信に関連しています。
[結果の詳細 ] セクション:
-
結果: 申請の Result 値が含まれます。 以下に例を示します。
- ブロックされている必要がある
- ブロックされていない必要がある
-
電子メール送信の推奨手順: 関連するアクションへのリンクが含まれています。 以下に例を示します。
- テナント許可/ブロック リストのブロック URL/ファイル
-
結果: 申請の Result 値が含まれます。 以下に例を示します。
[申請の詳細 ] セクション:
- 送信日
- 申請名
- 申請の種類: 値は [ファイル] です。
- 提出の理由
- 申請 ID
- 作成者:
- 申請の状態
詳細ポップアップが完了したら、[ 閉じる] を選択します。
Microsoft への URL 管理者の申請を表示する
https://security.microsoft.comのMicrosoft Defender ポータルで、[Actions & submissions>Submissions] の [申請] ページに移動します。 [申請] ページに直接移動するには、https://security.microsoft.com/reportsubmissionを使用します。
[申請] ページ で 、[ URL] タブを 選択します。
[ URL] タブでは、使用可能なクイック フィルターのいずれかを選択して、ビューをすばやくフィルター処理できます。
- Pending
- Completed
使用可能な列ヘッダーをクリックすると、エントリを並べ替えることができます。 [ 列のカスタマイズ] を選択して、表示される列を変更します。 既定値にはアスタリスク (*) が付いています。
- URL*
- 送信日*
- 提出の理由*
- 地位*
- 結果*
- フィルター判定
- 配信/ブロック理由
- 申請 ID
- オブジェクト ID
- ポリシー アクション
- 作成者:
- タグ*: ユーザー タグの詳細については、「 ユーザー タグ」を参照してください。
- 操作
エントリをグループ化するには、[ Group ] を選択し、次のいずれかの値を選択します。
- 理由
- 状態
- 結果
- Tags
エントリのグループ化を解除するには、[ なし] を選択します。
エントリをフィルター処理するには、[Filter] を選択します。 開いた [ フィルター] ポップアップでは、次のフィルターを使用できます。
- 送信日: 開始日 と 終了日。
- 申請 ID: すべての申請に割り当てられる GUID 値。
- URL
- 作成者:
-
送信の理由: 次のいずれかの値。
- 迷惑メールではない
- 表示クリーン
- 疑わしいと表示される
- フィッシング
- Malware
- 状態: 保留中 と 完了。
- タグ: ドロップダウン リストから [すべて ] または [ ユーザー タグ ] を選択します。
[フィルター] ポップアップが完了したら、[適用] を選択します。 フィルターをクリアするには、[ クリア フィルター] を選択します。
Export を使用して、エントリの一覧を CSV ファイルにエクスポートします。
URL 管理者の申請の詳細を表示する
[申請] ページの [URL] タブで、最初の列の横にある [チェック] ボックス以外の行の任意の場所をクリックしてエントリを選択すると、詳細ポップアップが開きます。
詳細ポップアップの上部には、次のメッセージ情報が表示されます。
- ポップアップのタイトルは、URL のドメインです。
- 申請の [状態] と [結果 ] の値。
- アラートを表示します。 Defender for Office 365では、管理者の申請が作成または更新されたときにアラートがトリガーされます。 このアクションを選択すると、アラートの詳細が表示されます。
ヒント
詳細ポップアップを残さずに他の申請の詳細を表示するには、ポップアップの上部にある [ Previous item ] と [次へ] 項目 を使用します。
詳細ポップアップの残りのセクションは、URL の送信に関連しています。
[結果の詳細 ] セクション:
-
結果: 申請の Result 値が含まれます。 以下に例を示します。
- ブロックされている必要がある
- ブロックされていない必要がある
-
電子メール送信の推奨手順: 関連するアクションへのリンクが含まれています。 以下に例を示します。
- テナント許可/ブロック リストのブロック URL/ファイル
-
結果: 申請の Result 値が含まれます。 以下に例を示します。
[申請の詳細 ] セクション:
- 送信日
- URL
- 申請の種類: 値は URL です。
- 提出の理由
- 申請 ID
- 作成者:
- 申請の状態
[詳細を許可する ] または [ 詳細のブロック ] セクション: URL がブロックまたは許可された URL 申請でのみ使用できます。 名前 (URL ドメイン) と 型 (URL) の値が含まれています。
詳細ポップアップが完了したら、[ 閉じる] を選択します。
Microsoft からの結果
報告されたアイテムの分析結果は、[送信] ページの [電子メール]、[Teams メッセージ]、[Email添付ファイル]、または [URL] タブでエントリを選択すると開く詳細ポップアップに表示されます。
- 配信時に送信者のメール認証に失敗した場合。
- フィルター システムからメッセージの判定に影響を与えたりオーバーライドしたりする可能性があるポリシーまたはオーバーライドに関する情報。
- 現在の爆発の結果は、メッセージ内の URL またはファイルが悪意があるかどうかを確認します。
- 採点者からのフィードバック。
オーバーライドまたはポリシー構成が見つかった場合は、数分で結果を使用できます。 メール認証に問題がなかったり、上書きやポリシーの影響を受けなかったりした場合、採点者からの爆発とフィードバックに最大で 1 日かかることがあります。
Defender for Office 365での管理者申請のアクション
Microsoft Defender for Office 365 (アドオン ライセンス、または Microsoft 365 E5 や Microsoft 365 Business Premium などのサブスクリプションに含まれる組織の場合))、次のアクションは、リストからエントリを選択した後、チェック ボックス以外の行の任意の場所をクリックして開く詳細ポップアップの管理者の申請に使用できます。
電子メール エンティティを開く: [ 電子メール ] タブのエントリの詳細ポップアップでのみ使用できます。 詳細については、「Email エンティティ ページの内容」を参照してください。
アクションの実行: [ 電子メール ] タブのエントリの詳細ポップアップでのみ使用できます。 このアクションは、Email エンティティ ページで使用できるのと同じアクション ウィザードを開始します。 詳細については、「Email エンティティ ページのアクション」を参照してください。
アラートを表示します。 管理者の申請が作成または更新されると、アラートがトリガーされます。 このアクションを選択すると、アラートの詳細が表示されます。
[結果の詳細] セクションでは、報告されたアイテムの状態と結果に応じて、脅威エクスプローラーの次のリンクも使用できる場合があります。
- [エクスプローラー: 電子メール] タブでのみ、このメッセージを表示します。
- [エクスプローラー: 電子メール] タブでのみ同様のメッセージを検索します。
- URL またはファイルを検索する: 添付ファイルまたは URL タブのみをEmailします。
ユーザーが報告したメッセージの管理オプション
電子メール メッセージの場合、管理者は、次のステートメントが true の場合、[申請] ページの [ユーザーレポート] タブでユーザーが報告している内容を確認できます。
- ユーザーが報告した設定がオンになっています。
- メッセージのEmail: ユーザーがメッセージを報告するためにサポートされているメソッドを使用しています。
- Teams メッセージ: Teams メッセージのユーザー レポート設定 が有効になっています。
注:
- ユーザーが報告したメッセージは、Microsoft にのみ、または Microsoft に送信され、 レポート メールボックス は [ ユーザーの報告 ] タブに表示されます。
- レポート メールボックスにのみ送信されるユーザー報告メッセージは、[ ユーザーレポート ] タブに [ 結果 ] 値 [ Microsoft に送信されていません] が表示されます。 管理者は、分析のためにこれらのメッセージを Microsoft に報告する必要があります。
Microsoft Defender for Office 365 プラン 2 (アドオン ライセンス、または Microsoft 365 E5 などのサブスクリプションに含まれる) を持つ組織では、管理者は、Defender for Office 365 プラン 2 (現在プレビュー段階) のMicrosoft Teamsでユーザーから報告されたメッセージを表示することもできます。
Defender for Office 365 プラン 2 を持つ組織 (Defender for Office 365 プラン 2 (現在プレビュー段階) のMicrosoft Teamsでユーザーが報告したメッセージの追加
https://security.microsoft.comのMicrosoft Defender ポータルで、[アクション] & 申請>[サブミッション] に移動します。 または、[ 申請] ページに直接移動するには、 https://security.microsoft.com/reportsubmissionを使用します。
[申請] ページ で 、[ ユーザーの報告 ] タブを選択します。
次のサブセクションでは、[申請] ページの [ユーザーレポート] タブで使用できる情報とアクションについて説明します。
ユーザーが Microsoft に報告したメッセージを表示する
[ ユーザーが報告した ] タブで、使用可能なクイック フィルターのいずれかを選択して、ビューをすばやくフィルター処理できます。
- Threats
- スパム
- 脅威なし
- シミュレーション
使用可能な列ヘッダーをクリックすると、エントリを並べ替えることができます。 [ 列のカスタマイズ] を選択して、表示される列を変更します。 既定値にはアスタリスク (*) が付いています。
- 名前と型*
- 報告者*
- 報告日*
- 差し出し人*
- 報告された理由*
-
結果*: ユーザーが報告した 設定に基づいて報告されたメッセージに関する次の情報が含まれます。
-
報告されたメッセージを 送信先に送信します>Microsoft とレポート メールボックス または Microsoft のみ: 次の分析から派生した値:
- ポリシー ヒット: 受信メッセージを許可またはブロックした可能性があるポリシーまたはオーバーライドに関する情報 (フィルター処理の判定のオーバーライドなど)。 結果は数分以内に使用できます。 そうしないと、採点者からの爆発とフィードバックに最大 1 日かかることがあります。
- ペイロードの評判/爆発: メッセージ内の URL とファイルを最新の状態で調べることができます。
- グレーダー分析: メッセージが悪意のあるかどうかを確認するために、人間の採点者によって行われたレビュー。
- 報告されたメッセージを 送信先に送信します>自分のレポート メールボックスのみ: メッセージは Microsoft によって分析されていないため、値は常に Microsoft に 送信されません。
-
報告されたメッセージを 送信先に送信します>Microsoft とレポート メールボックス または Microsoft のみ: 次の分析から派生した値:
- メッセージ報告 ID
- ネットワーク メッセージ ID
- Teams メッセージ ID
- [Sender IP (送信者の IP)]
- 報告元
- フィッシング シミュレーション
- 管理者の申請に変換されました
- としてマーク*
- マーク付き*
- マークされた日付
- タグ*: ユーザー タグの詳細については、「 ユーザー タグ」を参照してください。
エントリをグループ化するには、[ Group ] を選択し、次のいずれかの値を選択します。
- Sender
- [レポート作成者]
- 結果
- 報告元
- 管理者の申請に変換されました
- Tags
エントリのグループ化を解除するには、[ なし] を選択します。
エントリをフィルター処理するには、[Filter] を選択します。 開いた [ フィルター] ポップアップでは、次のフィルターを使用できます。
- 報告された日付: 開始日 と 終了日。
- [レポート作成者]
- 名前
- メッセージ報告 ID
- ネットワーク メッセージ ID
- Teams メッセージ ID
- Sender
- 報告された理由: [ 脅威なし]、[ フィッシング]、[ スパム] の値。
- 報告元: Microsoft と サード パーティの値。
- フィッシング シミュレーション: 値は [はい] と [いいえ] です。
- 管理者申請に変換: 値は [はい] と [いいえ] です。
-
メッセージの種類: 使用可能な値は次のとおりです。
- 電子メール
- Teams メッセージ (Defender for Office 365プラン 2 のみ、現在プレビュー段階)。
- タグ: ユーザー に割り当てられている 1 つ以上のユーザー タグ (Priority アカウントを含む) をすべて選択するか、選択します。 ユーザー タグの詳細については、「Microsoft Defender for Office 365のユーザー タグ」を参照してください。
[フィルター] ポップアップが完了したら、[適用] を選択します。 フィルターをクリアするには、[ クリア フィルター] を選択します。
Export を使用して、エントリの一覧を CSV ファイルにエクスポートします。
[ ユーザーが報告 した] タブのメッセージに使用できるアクションの詳細については、次のサブセクションを参照してください。
ユーザーが報告した電子メール メッセージの詳細を表示する
最初の列の横にある [チェック] ボックス以外の行をクリックして、[申請] ページの [ユーザーレポート] タブで電子メール関連のエントリを選択すると、詳細ポップアップが開きます。
詳細ポップアップの上部には、次のメッセージ情報が表示されます。
- ポップアップのタイトルは、メッセージ Subject 値です。
- メッセージの受信者に割り当てられているすべてのユーザー タグ (Priority アカウント タグを含む)。 詳細については、「Microsoft Defender for Office 365のユーザー タグ」を参照してください。
- ポップアップの上部で使用できるアクションについては、「ユーザーが報告したメッセージに対する管理アクション」セクションで説明されています。
ヒント
詳細ポップアップを残さずに他の申請の詳細を表示するには、ポップアップの上部にある [ Previous item ] と [次へ] 項目 を使用します。
詳細ポップアップの次のセクションは、ユーザーが報告した申請に関連しています。
[結果の詳細 ] セクション:
-
結果: 申請の Result 値が含まれます。 以下に例を示します。
- ブロックされていない必要がある
- ユーザーのオーバーライドが原因で許可される
- ルールが原因で許可される
-
電子メール送信の推奨手順: 関連するアクションへのリンクが含まれています。 以下に例を示します。
- Exchange メール フロー ルール (トランスポート ルール) を表示する
- エクスプローラーでこのメッセージを表示する (脅威のエクスプローラーまたはDefender for Office 365でのリアルタイム検出のみ)
- エクスプローラーで同様のメッセージを検索する (脅威のエクスプローラーまたはDefender for Office 365でのリアルタイム検出のみ)
-
結果: 申請の Result 値が含まれます。 以下に例を示します。
[報告されたメッセージの詳細 ] セクション:
- 送信日
- 申請名
- 報告された理由。
- メッセージ報告 ID
- [レポート作成者]
- フィッシング シミュレーション: 値は [はい] または [いいえ] です。
- 管理者申請に変換: 値は [はい] または [いいえ] です。 詳細については、「 変換された管理者の申請を表示する」を参照してください。
詳細ポップアップの残りの部分には、Email概要パネルの一部である [配信の詳細]、[Email詳細]、[URL]、[添付ファイル] セクションが含まれています。 詳細については、「Email概要パネル」を参照してください。
ヒント
結果の値がフィッシング シミュレーションの場合、詳細ポップアップには次の情報のみが含まれる場合があります。
- [結果の詳細 ] セクション
- 報告されたメッセージの詳細 セクション
-
Email詳細セクションで、次の値を指定します。
- ネットワーク メッセージ ID
- Sender
- Sent date
詳細ポップアップが完了したら、[ 閉じる] を選択します。
Defender for Office 365 プラン 2 でユーザーが報告した Teams メッセージの詳細を表示する
ヒント
Microsoft Teams内のメッセージのユーザー レポート は現在プレビュー段階であり、すべての組織で利用できるわけではありません。変更される可能性があります。
プラン 2 をMicrosoft Defender for Office 365している Microsoft 365 組織 (アドオン ライセンスまたは Microsoft 365 E5 などのサブスクリプションに含まれる) では、ユーザーが報告した Teams メッセージは、[申請] ページの [ユーザー報告] タブで使用できます。 メッセージの種類の値 Teams メッセージで結果をフィルター処理すると、それらを簡単に見つけることができます。
最初の列の横にある [チェック] ボックス以外の行の任意の場所をクリックして、[ユーザーの報告] タブで Teams メッセージ エントリを選択すると、詳細ポップアップが開きます。
詳細ポップアップの上部には、次のメッセージ情報が表示されます。
- ポップアップのタイトルは、Teams メッセージの件名または最初の 100 文字です。
- 現在のメッセージの判定。
- メッセージ内のリンクの数。
- 使用可能なアクションについては、「ユーザーが報告したメッセージの管理アクション」セクションで説明されています。
ヒント
詳細ポップアップを残さずに他の申請の詳細を表示するには、ポップアップの上部にある [ Previous item ] と [次へ] 項目 を使用します。
詳細ポップアップの次のセクションは、ユーザーが報告した Teams の申請に関連しています。
提出結果 セクション:
-
結果: 申請の Result 値が含まれます。 以下に例を示します。
- ブロックされていない必要がある
- Microsoft に送信されない
-
電子メール送信の推奨手順: 関連するアクションへのリンクが含まれています。 以下に例を示します。
- Exchange メール フロー ルール (トランスポート ルール) を表示する
-
結果: 申請の Result 値が含まれます。 以下に例を示します。
[報告されたメッセージの詳細 ] セクション:
- 報告日
- 申請名
- 報告された理由。
- メッセージ報告 ID
- [レポート作成者]
- フィッシング シミュレーション: 値は [はい] または [いいえ] です。
- 管理者申請に変換: 値は [はい] または [いいえ] です。 詳細については、「 変換された管理者の申請を表示する」を参照してください。
詳細ポップアップの残りの部分には、Teams メッセージ エンティティ パネルの一部である [メッセージの詳細]、[送信者]、[参加者]、[チャネルの詳細]、[URL] セクションが含まれています。 詳細については、「プラン 2 の Teams mMessage エンティティ パネルMicrosoft Defender for Office 365参照してください。
ヒント
結果の値がフィッシング シミュレーションの場合、詳細ポップアップには次の情報のみが含まれる場合があります。
- [結果の詳細 ] セクション
- 報告されたメッセージの詳細 セクション
-
Email詳細セクションで、次の値を指定します。
- ネットワーク メッセージ ID
- Sender
- Sent date
詳細ポップアップが完了したら、[ 閉じる] を選択します。
ユーザーが報告したメッセージの管理アクション
[ ユーザーが報告した ] タブでは、ユーザーが報告したメッセージのアクションは、タブ自体または選択したエントリの詳細ポップアップで使用できます。
最初の列の横にある [チェック] ボックスを選択して、一覧からメッセージを選択します。 [ ユーザーの報告 ] タブでは、次のアクションを使用できます。
- 分析のために Microsoft に送信する
- としてマークして通知する
- トリガー調査 (Defender for Office 365プラン 2 のみ)
[チェック] ボックス以外の行の任意の場所をクリックして、一覧からメッセージを選択します。 開く詳細ポップアップでは、次のアクションを使用できます*。
- 分析のために Microsoft に送信する
- としてマークして通知する
- 変換された管理者の申請を表示する
-
Microsoft Defender for Office 365でのアクションのみ:
- 電子メール エンティティを開く
- アクションを実行する
- アラートの表示
Defender for Office でユーザーが報告したメッセージに対するアクション
ヒント
詳細を表示したり、詳細ポップアップを残さずに他のユーザーから報告されたメッセージに対してアクションを実行するには、ポップアップの上部にある Previous 項目 と 次の項目 を使用します。
* メッセージの性質と状態によっては、一部のアクションが使用できない、ポップアップの上部に直接使用できる、またはポップアップの上部にある その他のアクション で使用できる場合があります。
これらのアクションについては、次のサブセクションで説明します。
注:
ユーザーが疑わしいメッセージを報告した後、報告されたメッセージの場所 (レポート メールボックス、Microsoft、またはその両方) に関係なく、ユーザーまたは管理者はメッセージのレポートを元に戻すことができません。 ユーザーは、削除済みアイテムまたは迷惑メール Email フォルダーから報告されたメッセージを回復できます。
分析のためにユーザーが報告したメッセージを Microsoft に送信する
[ ユーザーの報告 ] タブでメッセージを選択した後、次のいずれかの方法を使用してメッセージを Microsoft に送信します。
[ユーザーの報告] タブで、[分析のために Microsoft に送信する] を選択します。
選択したメッセージの詳細ポップアップで、分析のために [Microsoft に送信] を選択するか、[その他のオプション] を>ポップアップの上部にある分析のために Microsoft に送信します。
開いた [分析のために Microsoft に送信] ポップアップで、メッセージが電子メール メッセージか Teams メッセージかに基づいて次の手順を実行します。
Emailメッセージ:
-
このメッセージを Microsoft に送信する理由: 次のいずれかの値を選択します。
クリーン表示されるか、疑わしいと表示されます。不明で、Microsoft からの判定が必要な場合は、これらの値のいずれかを選択します。
[ 送信] を選択し、[完了] を選択 します。
クリーンであることを確認しました:アイテムがクリーンされていることを確認した場合は、この値を選択し、[次へ] を選択します。
ポップアップの次のページで、次のいずれかの手順を実行します。
- [ 送信] を選択し、[完了] を選択 します。
または
- [ このメッセージを許可する] を選択します。このオプションは、テナント許可/ブロック リスト内のメッセージの要素の許可エントリを作成します。 テナントの許可/ブロックリストの詳細については、「テナントの許可/ブロックリスト で許可とブロックを管理する」を参照してください。
このオプションを選択すると、次の設定を使用できます。
-
後の許可エントリの削除: 既定値は 最終使用日から 45 日後ですが、次の値から選択できます。
- 1 日
- 7 日間
- 30 日間
- 特定の日付: 最大値は今日から 30 日です。
最終使用日の 45 日後が選択されている場合、メール フロー中に悪意のある電子メール メッセージが検出されたときに、許可エントリの最終使用日が更新されます。 許可エントリは、フィルター 処理システムが電子メール メッセージがクリーンと判断した後、45 日間保持されます。 1 日、7 日、30 日などのその他のすべての値については、指定した日付に許可エントリが期限切れになります。
- [入力メモを許可する (省略可能)] : この項目を許可する理由に関する省略可能な情報を入力します。 なりすまし送信者の場合、ここで入力した値は、[テナントの許可/ブロック] Lists ページの [なりすまし送信者] タブの許可エントリには表示されません。
ポップアップが完了したら、[ 送信] を選択し、[完了] を選択 します。
脅威であることを確認しました:アイテムが悪意があると確信している場合は、この値を選択し、表示される [カテゴリの選択] セクションで次のいずれかの値 を選択 します。
- フィッシング
- Malware
- スパム
[次へ] を選択します。
ポップアップの次のページで、次のいずれかの手順を実行します。
- [ 送信] を選択し、[完了] を選択 します。
または
- [ この送信者またはドメインのすべてのメールをブロックする] を選択します。このオプションを選択すると、テナント許可/ブロック リストに送信者ドメインまたはメール アドレスのブロック エントリが作成されます。 テナントの許可/ブロックリストの詳細については、「テナントの許可/ブロックリスト で許可とブロックを管理する」を参照してください。
このオプションを選択すると、次の設定を使用できます。
- 既定では、[ 送信者] が選択されていますが、代わりに [ ドメイン ] を選択できます。
-
後のブロック エントリの削除: 既定値は 30 日ですが、次の値から選択できます。
- 1 日
- 7 日間
- 30 日間
- 有効期限なし
- 特定の日付: 最大値は今日から 30 日です。
- [入力メモをブロックする (省略可能)] : この項目をブロックする理由に関する省略可能な情報を入力します。
ポップアップが完了したら、[ 送信] を選択し、[完了] を選択 します。
-
このメッセージを Microsoft に送信する理由: 次のいずれかの値を選択します。
Teams メッセージ: 次のいずれかの値を選択します。
- 私はそのクリーンを確認しました
- クリーン
- 疑わしいと思われる
これらの値のいずれかを選択した後、[ 送信] を選択し、[完了] を選択 します。
脅威であることを確認しました:アイテムが悪意があると確信している場合は、この値を選択し、表示される [カテゴリの選択] セクションで次のいずれかの値 を選択 します。
フィッシング
Malware
[ 送信] を選択し、[完了] を選択 します。
[報告されたユーザー] タブから Microsoft にユーザー報告メッセージを送信すると、[管理者申請に変換] の値が [いいえ] から [はい] に変わり、[申請] ページの適切なタブ ([電子メール] タブなど) に対応する管理者申請エントリが作成されます。
Defender for Office 365 プラン 2 で調査をトリガーする
- [報告されたユーザー] タブで、分析のために Submit to Microsoft のドロップダウン リストで [調査のトリガー] を選択します。
詳細については、「 調査のトリガー」を参照してください。
管理者が Microsoft に送信したメッセージについてユーザーに通知する
管理者は、[ ユーザーの報告 ] タブからユーザー報告メッセージを Microsoft に送信した後、 Mark を として使用し、通知 アクションを使用して、メッセージを判定でマークし、メッセージを報告したユーザーにテンプレート化された通知メッセージを送信できます。
電子メール メッセージに対して使用可能な評決:
- 脅威なし
- フィッシング
- スパム
Teams メッセージに対して使用可能な評決:
- 脅威なし
- フィッシング
詳細については、「 ポータル内からユーザーに通知する」を参照してください。
変換された管理者の申請を表示する
管理者が [報告された ユーザー] タブ からユーザー報告メッセージを Microsoft に送信した後、[ 管理者に変換] の 値は [はい] になります。
名前の横にある [チェック] ボックス以外の行の任意の場所をクリックして、これらのメッセージのいずれかを選択した場合、詳細ポップアップには追加アクションが含まれます>変換された管理者の申請を確認します。
このアクションにより、適切なタブ ([ 電子メール ] タブなど) で、対応する管理者申請エントリが表示されます。
Defender for Office 365でユーザーが報告したメッセージに対するアクション
Microsoft Defender for Office 365を持つ組織 (アドオン ライセンス、または Microsoft 365 E5 や Microsoft 365 Business Premium などのサブスクリプションに含まれる) では、ユーザーに関する報告されたメッセージの詳細ポップアップでも、次のアクションが使用できる場合があります。報告されたタブ:
電子メール エンティティを開く (電子メール メッセージのみ): 詳細については、「Email エンティティページの内容」を参照してください。
アクションの実行 (電子メール メッセージのみ): このアクションは、Email エンティティ ページで使用できるのと同じアクション ウィザードを開始します。 詳細については、「Email エンティティ ページのアクション」を参照してください。
アラートを表示します。 管理者の申請が作成または更新されると、アラートがトリガーされます。 このアクションを選択すると、アラートの詳細が表示されます。