共用方式為


使用 [提交] 頁面將可疑的垃圾郵件、網络釣魚、URL、遭到封鎖的合法電子郵件,以及電子郵件附件提交至 Microsoft

提示

您知道您可以免費試用 適用於 Office 365 的 Microsoft Defender 方案 2 中的功能嗎? 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 瞭解誰可以在 Try 適用於 Office 365 的 Microsoft Defender 上註冊和試用條款。

如需有關Microsoft如何儲存和處理提交專案的詳細資訊,請 參閱此資訊

在Microsoft 365 個具有 Exchange Online 信箱的組織中,系統管理員可以使用 Microsoft Defender 入口網站中的 [提交] 頁面,將郵件、URL 和附件提交至Microsoft進行分析。 系統管理員提交有兩種基本類型:

  • 管理員 起始的提交:系統管理員會從 [提交] 頁面上的索引標籤選取 [提交至Microsoft以進行分析],以識別及報告 () 實體的訊息、附件或 URL,如 管理員 起始的提交一節中所述。

    系統管理員報告實體之後,[提交] 頁面上對應 索引卷標上會出現一個專案, ([ 用戶回報 ] 索引標籤) 以外的任何位置。

  • 管理員 提交用戶回報的訊息:已開啟並設定內建的使用者報告體驗。 用戶回報的訊息會出現在 [提交] 頁面的 [用戶回報] 索引卷標上,系統管理員會從 [用戶回報] 索引卷標提交或重新提交訊息,以Microsoft。

    系統管理員從 [ 用戶報告 ] 索引標籤提交訊息之後,也會在 [ 提交 ] 頁面上的對應索引標籤上建立專案 (例如[ 電子郵件 ] 索引標籤) 。 用戶回報訊息的 管理員 選項一節會說明這些類型的系統管理員提交。

當系統管理員或使用者將訊息提交至Microsoft進行分析時,我們會執行下列檢查:

  • Email 驗證檢查 (電子郵件訊息僅) :電子郵件驗證在傳遞時是否通過或失敗。
  • 原則叫用:任何可能允許或封鎖傳入電子郵件到組織中的原則或覆寫相關信息,因而覆寫我們的篩選決策。
  • 承載信譽/擷取:訊息中任何URL和附件的最新檢查。
  • 評分器分析:由人類評分者完成的檢閱,以確認訊息是否為惡意訊息。

重要事項

在美國政府組織 (Microsoft 365 GCC、GCC High 和 DoD) 中,系統管理員可以將電子郵件訊息提交至Microsoft進行分析,但郵件只會針對電子郵件驗證和原則叫用進行分析。 基於合規性原因,不會進行承載信譽、擷取和評分器分析, (不允許數據離開組織界限) 。

觀看這段短片,瞭解如何在 適用於 Office 365 的 Microsoft Defender 中使用系統管理員提交,將訊息提交至Microsoft進行評估。

如需 使用者 如何將訊息和檔案提交至Microsoft的詳細資訊,請參閱 將訊息和檔案報告至Microsoft

如需 系統管理員 可在 Defender 入口網站中向 Microsoft 報告訊息的其他方式,請參閱 系統管理員的相關報告設定

開始之前有哪些須知?

  • 您會在 開啟 Microsoft Defender 入口網站https://security.microsoft.com/。 若要直接移 至提交頁面 ,請使用 https://security.microsoft.com/reportsubmission

  • 您必須獲得指派許可權,才能執行本文中的程式。 您有下列選項:

  • 如果電子郵件訊息仍可在信箱中使用且尚未由使用者或系統管理員清除,則系統管理員可以提交 30 天以前的電子郵件訊息。

  • 管理員 提交會以下列速率進行節流:

    • 任何15分鐘期間的提交數目上限:150個提交
    • 24 小時內的相同提交:三個提交
    • 15 分鐘期間內的相同提交:一個提交
  • 如果組織中的 [用戶回報] 設定 (電子郵件傳送使用者回報的郵件,並 Microsoft Teams) 以獨佔方式或報告信箱) (Microsoft,我們會執行與系統管理員將郵件提交至 Microsoft 以從 [ 提交 ] 頁面進行分析時相同的檢查。 因此,提交或重新提交訊息給Microsoft僅適用於從未提交至Microsoft的訊息,或您對原始決策意見反應不一致的訊息。

  • 只有 Microsoft Defender 全面偵測回應 或 適用於端點的 Microsoft Defender 方案 2 的組織才能在 [提交] 頁面上使用 [檔案] 索引標籤。 如需從 [檔案] 索引標籤提交檔案的資訊和指示,請參閱在 適用於端點的 Microsoft Defender 中提交檔案

管理員 起始的提交

提示

只要您將 [選提交類型] 設定為正確的值,選取 [提交至Microsoft進行分析] 的索引卷標就並不重要。

向Microsoft回報可疑的電子郵件

  1. 在 Microsoft Defender 入口網站中https://security.microsoft.com,移至提交提交的動作 &> 或者,若要直接移至 提交 頁面,請使用 https://security.microsoft.com/reportsubmission

  2. 在 [ 提交] 頁面上,確認已選取 [ 電子郵件] 索引卷 標。

  3. 在 [ 電子郵件] 索引標籤上,選取 [ 提交至Microsoft進行分析]

  4. 在開啟的 [ 提交至Microsoft分析 ] 飛出視窗的第一頁上,輸入下列資訊:

    • 選取提交類型:確認已選取 Email 值。

    • 新增網路訊息識別碼或上傳電子郵件檔案:選取下列其中一個選項:

      • 新增電子郵件網路訊息標識碼:GUID 值可在 X-MS-Exchange-Organization-Network-Message-Id 標頭或訊息中的 X-MS-Office365-Filtering-Correlation-Id 標頭中使用。
      • 將電子郵件檔案上傳 (.msg 或.eml) :選取 [瀏覽檔案]。 在開啟的對話框中,尋找並選取.eml或.msg檔案,然後選取 [ 開啟]
    • 選擇至少一個發生問題的收件者:指定要執行原則檢查的收件者。 原則檢查會判斷電子郵件是否因為使用者或組織原則或覆寫而略過掃描。

    • 為什麼要將此訊息提交給Microsoft?:選取下列其中一個值:

      • 它看起來可疑:只有在您不知道或不確定訊息決策,而且您想要從Microsoft取得決策時,才選取此值。 選取 [提交],然後移至 [步驟 6]。

      • 我已確認這是威脅:在所有其他情況下,請在您將訊息決策判定為惡意之後選取此值。 在出現的 [選擇類別] 區段中,選取下列其中 一個 值:

        • 網路釣魚
        • 惡意程式碼
        • 垃圾郵件

        選取 [下一步]

        在 Defender 入口網站的 [提交] 頁面上,將錯誤 (錯誤) 電子郵件提交至Microsoft以進行分析。

  5. 在開啟的 [ 提交至Microsoft分析 ] 飛出視窗的第二頁上,執行下列其中一個步驟:

    • 選取 [提交]

    • 選取 [封鎖來自此發件者或網域的所有電子郵件]:此選項會在 [租用戶允許/封鎖清單] 中建立發件者網域或電子郵件地址的封鎖專案。 如需租使用者允許/封鎖清單的詳細資訊,請 參閱管理租使用者允許/封鎖清單中的允許和區塊

      選取此選項之後,即可使用下列設定:

      • 默認會選取 [寄件人 ],但您可以改為選取 [網域 ]。
      • 在之後移除區塊專案:預設值為 30 天,但您可以從下列值中選取:
        • 1 天
        • 7 天
        • 30 天
        • 永不過期
        • 特定日期:最大值為從今天起的 30 天。
      • 封鎖專案附註 (選用) :輸入封鎖此專案原因的選擇性資訊。

      當您在 [ 提交至Microsoft進行分析 ] 飛出視窗的第二頁上完成時,請選取 [ 提交]

      選擇是否要在 [租使用者允許/封鎖清單] 中為發件者網域或電子郵件位址建立對應的封鎖專案。

  6. 選取 [完成]

幾分鐘后,[租使用者允許/封鎖 清單] 頁面https://security.microsoft.com/tenantAllowBlockList?viewid=Sender上的 [網域 & 位址] 索引卷標上會提供封鎖專案。

將可疑的電子郵件附件回報給Microsoft

  1. 在 Microsoft Defender 入口網站中https://security.microsoft.com,移至提交提交的動作 &> 或者,若要直接移至 提交 頁面,請使用 https://security.microsoft.com/reportsubmission

  2. 在 [提交] 頁面上,選取 [Email 附件] 索引標籤

  3. 在 [Email 附件] 索引標籤上,選取 [提交至Microsoft進行分析]

  4. 在開啟的 [ 提交至Microsoft分析 ] 飛出視窗的第一頁上,輸入下列資訊:

    • 選取提交類型:確認已選取附件 Email 值。

    • 檔案:選取 [瀏覽檔案 ] 以尋找並選取要提交的檔案。

    • 為何要將此電子郵件附件提交至Microsoft?:選取下列其中一個值:

      • 它看起來可疑:如果您不確定且想要從Microsoft做出決策,請選取 [ 提交],然後移至 [步驟 6]。

      • 我已確認這是威脅:如果您確定專案是惡意專案,請選取此值,然後在 [選擇類別] 區段中選取下列其中 一個 值:

        • 網路釣魚
        • 惡意程式碼

        選取 [下一步]

        提交誤判 (錯誤) 電子郵件附件至 Microsoft,以在 Defender 入口網站的 [提交] 頁面上進行分析。

  5. 在開啟的 [ 提交至Microsoft分析 ] 飛出視窗的第二頁上,執行下列其中一個步驟:

    • 選取 [提交]

    • 取 [封鎖此檔案]:此選項會在 [租使用者允許/封鎖清單] 中建立檔案的區塊專案。 如需租使用者允許/封鎖清單的詳細資訊,請 參閱管理租使用者允許/封鎖清單中的允許和區塊

      選取此選項之後,即可使用下列設定:

      • 在之後移除區塊專案:預設值為 30 天,但您可以從下列值中選取:
        • 1 天
        • 7 天
        • 30 天
        • 永不過期
        • 特定日期:最大值為從今天起的 30 天。
      • 封鎖專案附註 (選用) :輸入封鎖此專案原因的選擇性資訊。

      當您在 [ 提交至Microsoft進行分析 ] 飛出視窗中完成時,請選取 [ 提交]

    選擇是否要在租用戶允許/封鎖清單中為檔案建立對應的區塊專案。

  6. 選取 [完成]

幾分鐘后,[租使用者允許/封鎖] 頁面上的 [檔案] 索引卷標上會提供封鎖專案,清單 位於 https://security.microsoft.com/tenantAllowBlockList?viewid=FileHash

將有問題的 URL 回報給Microsoft

  1. 在 Microsoft Defender 入口網站中https://security.microsoft.com,移至提交 &>動作。 或者,若要直接移至 提交 頁面,請使用 https://security.microsoft.com/reportsubmission

  2. 在 [ 提交] 頁面上,選取 [ URL] 索引標籤

  3. 在 [URL] 索引標籤上,選取 [提交至Microsoft以進行分析。

  4. 在開啟的 [ 提交至Microsoft分析 ] 飛出視窗中,輸入下列資訊:

    • 選取提交類型:確認已選取值 URL

    • URL:輸入完整的 URL (例如) https://www.fabrikam.com/marketing.html ,然後在出現的方塊中選取它。 您一次最多可以輸入 50 個 URL。

    • 為什麼要將此 URL 提交給Microsoft?:選取下列其中一個值:

      • 它看起來可疑:如果您不確定且想要從Microsoft做出決策,請選取 [ 提交],然後移至 [步驟 6]。

      • 我已確認這是威脅:如果您確定專案是惡意專案,請選取此值,然後在 [選擇類別] 區段中選取下列其中 一個 值:

        • 網路釣魚
        • 惡意程式碼

        選取 [下一步]

        在 Defender 入口網站的 [提交] 頁面上,將誤 () URL 提交至Microsoft以進行分析。

  5. 在開啟的 [ 提交至Microsoft分析 ] 飛出視窗的第二頁上,執行下列其中一個步驟:

    • 選取 [提交]

    • 取 [封鎖此 URL]:此選項會在 [租使用者允許/封鎖清單] 中建立 URL 的封鎖專案。 如需租使用者允許/封鎖清單的詳細資訊,請 參閱管理租使用者允許/封鎖清單中的允許和區塊

      選取此選項之後,即可使用下列設定:

      • 在之後移除區塊專案:預設值為 30 天,但您可以從下列值中選取:
        • 1 天
        • 7 天
        • 30 天
        • 永不過期
        • 特定日期:最大值為從今天起的 30 天。
      • 封鎖專案附註 (選用) :輸入有關為何封鎖此itme的選擇性資訊。

      當您在 [ 提交至Microsoft進行分析 ] 飛出視窗中完成時,請選取 [ 提交]

    選擇是否要為租使用者允許/封鎖清單中的URL建立對應的區塊專案。

  6. 選取 [完成]

幾分鐘后,在 的 [租用戶允許/封鎖 清單] 頁面https://security.microsoft.com/tenantAllowBlockList?viewid=Url[URL] 索引標籤上,會提供封鎖專案。

向Microsoft回報良好的電子郵件

  1. 在 Microsoft Defender 入口網站中https://security.microsoft.com,移至提交 &>動作。 或者,若要直接移至 提交 頁面,請使用 https://security.microsoft.com/reportsubmission

  2. 在 [ 提交] 頁面上,確認已選取 [ 電子郵件] 索引卷 標。

  3. 在 [ 電子郵件] 索引標籤上,選取 [ 提交至Microsoft進行分析]

  4. 在開啟的 [ 提交至Microsoft分析 ] 飛出視窗的第一頁中,輸入下列資訊:

    • 選取提交類型:確認已選取 Email 值。

    • 新增網路訊息識別碼或上傳電子郵件檔案:選取下列其中一個選項:

      • 新增電子郵件網路訊息標識碼:GUID 值可在郵件的 X-MS-Exchange-Organization-Network-Message-Id 標頭中,或在隔離郵件的 X-MS-Office365-Filtering-Correlation-Id 標頭中使用。
      • 將電子郵件檔案上傳 (.msg 或.eml) :選取 [瀏覽檔案]。 在開啟的對話框中,尋找並選取.eml或.msg檔案,然後選取 [ 開啟]
    • 選擇至少一個發生問題的收件者:指定要執行原則檢查的收件者。 原則檢查會判斷電子郵件是否因為使用者或組織原則或覆寫而遭封鎖。

    • 為什麼要將此訊息提交給Microsoft?:選取下列其中一個值:

      • 它看起來很乾淨:只有在您不知道或不確定訊息決策,而且想要從Microsoft取得決策時,才選取此值。 選取 [提交],然後移至 [步驟 6]。

      • 我已確認它是乾淨的:在所有其他情況下,請在您已將訊息決策判定為乾淨之後,選取此值。 選取 [下一步]

    將誤判 (良好的) 電子郵件提交至 Microsoft,以在 Defender 入口網站的 [提交] 頁面上進行分析。

  5. 在開啟的 [ 提交至Microsoft分析 ] 飛出視窗的第二頁上,執行下列其中一個步驟:

    • 選取 [提交]

    • 取 [允許此訊息]:此選項會在 [租使用者允許/封鎖清單] 中建立訊息專案的允許專案。 如需租使用者允許/封鎖清單的詳細資訊,請 參閱管理租使用者允許/封鎖清單中的允許和區塊

      選取此選項之後,即可使用下列設定:

      • 在之後移除允許專案:預設值是 上次使用日期后的 45 天,但您可以從下列值中選取:

        • 1 天
        • 7 天
        • 30 天
        • 特定日期:最大值為從今天起的 30 天。

        對於詐騙寄件者而言,這個值沒有意義,因為詐騙寄件人的項目永遠不會過期。

        選取 上次使用日期后的 45 天 時,在郵件流程期間遇到惡意電子郵件訊息時,會更新允許專案的最後一個使用日期。 在篩選系統判斷電子郵件訊息已清除之後,允許專案會保留 45 天。 對於所有其他值,允許項目在定義的日期 (1 天7 天30 天特定日期) 。

      • 允許專案附註 (選用) :輸入有關為何允許此項目的選擇性資訊。 針對詐騙寄件者,您在此處輸入的任何值,不會顯示在 [租使用者允許/封鎖] 頁面上 [詐騙發件者] 索引卷標上的允許專案 清單。

      當您在 [ 提交至Microsoft進行分析 ] 飛出視窗的第二頁上完成時,請選取 [ 提交]

      選擇是否要為租使用者允許/封鎖清單中訊息的元素建立對應的允許專案。

  6. 選取 [完成]

幾分鐘后,相關聯的允許專案會出現在 位於 的 [租用戶允許/封鎖 清單] 頁面https://security.microsoft.com/tenantAllowBlockList上的 [網域 & 位址、詐騙發件者URL檔案] 索引卷標上。

重要事項

  • 郵件流程期間會根據判斷郵件為惡意的篩選條件來新增允許專案。 例如,如果寄件者電子郵件地址和郵件中的URL判斷為不正確,則會為寄件者建立允許專案, (電子郵件位址或網域) 和URL。
  • 如果篩選系統找不到寄件者電子郵件地址為惡意,則將電子郵件訊息提交至 Microsoft 並不會在租用戶允許/封鎖清單中建立允許專案。
  • 再次遇到允許的網域或電子郵件地址、詐騙發件者、URL 或檔案 (實體) 時,會略過與實體相關聯的所有篩選條件。 對於電子郵件訊息,篩選系統仍會先評估所有其他實體,然後再進行決策。
  • 在郵件流程期間,如果來自允許網域或電子郵件地址的郵件在篩選堆疊中通過其他檢查,則會傳遞訊息。 例如,如果訊息通過 電子郵件驗證檢查,就會傳遞來自允許寄件者電子郵件地址的郵件。
  • 根據預設,在篩選系統判斷實體是乾淨的,然後移除允許項目之後,網域和電子郵件地址的允許專案會保留 45 天。 對於其他所有值,例如 1 天、7 天、30 天,允許專案在定義日期到期的特定日期。 根據預設,允許詐騙寄件人的專案永不過期。
  • 對於網 域或用戶模擬保護不正確封鎖的訊息,不會在租使用者允許/封鎖清單中建立網域或發件者允許專案。 相反地,網域或發件者會新增至偵測到郵件之反網路釣魚原則中的 [信任的發件人和網域] 區段。
  • 當您覆寫詐騙情報深入解析中的決策時,詐騙的發件者會變成手動允許或封鎖專案,且只會出現在 租使用者允許/封鎖 清單 頁面上的詐騙發件者https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem

將良好的電子郵件附件回報給Microsoft

  1. 在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 [提交> & 動作]。 或者,若要直接移至 提交 頁面,請使用 https://security.microsoft.com/reportsubmission

  2. 在 [提交] 頁面上,選取 [Email 附件] 索引標籤

  3. 在 [Email 附件] 索引標籤上,選取 [提交至Microsoft進行分析]

  4. 在開啟的 [ 提交至分析Microsoft ] 飛出視窗上,輸入下列資訊:

    • 選取提交類型:確認已選取附件 Email 值。

    • 檔案:選取 [瀏覽檔案 ] 以尋找並選取要提交的檔案。

    • 為何要將訊息提交至 Microsoft?:選取下列其中一個值:

      • 顯示為乾淨:如果您不確定且想要從Microsoft做出決策,請選取 [ 提交],然後移至 [步驟 6],選取 [選取此值]。

      • 我確認它是乾淨的:如果您確定專案是乾淨的,請選取此值,然後選取 [ 下一步]

    將誤判 (良好的) 電子郵件附件提交至 Microsoft,以在 Defender 入口網站的 [提交] 頁面上進行分析。

  5. 在開啟的 [ 提交至Microsoft分析 ] 飛出視窗的第二頁上,執行下列其中一個步驟:

    • 選取 [提交]

    • 取 [允許此檔案]:此選項會在 [租使用者允許/封鎖清單] 中建立檔案的允許專案。 如需租使用者允許/封鎖清單的詳細資訊,請 參閱管理租使用者允許/封鎖清單中的允許和區塊

      選取此選項之後,即可使用下列設定:

      • 在之後移除允許專案:預設值是 上次使用日期后的 45 天,但您可以從下列值中選取:

        • 1 天
        • 7 天
        • 30 天
        • 特定日期:最大值為從今天起的 30 天。

        選取 上次使用日期后的 45 天 時,在郵件流程期間遇到惡意電子郵件附件時,允許項目的最後一個使用日期會更新。 在篩選系統判斷電子郵件附件是乾淨的之後,允許專案會保留 45 天。 對於其他所有值,例如 1 天、7 天、30 天,允許專案在定義日期到期的特定日期。

      • 允許專案附註 (選用) :輸入有關為何允許此項目的選擇性資訊。

      當您在 [ 提交至Microsoft進行分析 ] 飛出視窗的第二頁上完成時,請選取 [ 提交]

    選擇是否要為租使用者允許/封鎖清單中的檔案建立對應的允許專案。

  6. 選取 [完成]

幾分鐘后,允許專案就會出現在 [租用戶允許/封鎖清單] 頁面上的 [檔案] 索引卷標上。 如需租使用者允許/封鎖清單的詳細資訊,請 參閱管理租使用者允許/封鎖清單中的允許和區塊

重要事項

  • 根據預設,檔案的允許專案會在篩選系統判斷實體為乾淨之後保留 45 天,然後移除允許專案。 對於其他所有值,例如 1 天、7 天、30 天,允許專案在定義日期到期的特定日期。
  • 當在郵件流程期間再次遇到檔案時,會覆寫 安全附件 損失或檔案信譽檢查,以及所有其他檔案型篩選。 如果篩選系統判斷電子郵件訊息中的所有其他實體都是乾淨的,則會傳遞訊息。
  • 在選取期間,會覆寫所有檔案型篩選,包括 安全附件 損損或檔案信譽檢查,讓用戶能夠存取檔案。

回報良好的 URL 以Microsoft

針對回報為誤判的 URL,我們允許包含原始 URL 變化的後續訊息。 例如,您可以使用 [ 提交] 頁面來報告不正確封鎖的網址 www.contoso.com/abc。 如果您的組織稍後收到包含 URL (的訊息,但不限於: www.contoso.com/abcwww.contoso.com/abc?id=1www.contoso.com/abc/def/gty/uyt?id=5www.contoso.com/abc/whatever) ,則不會根據 URL 封鎖訊息。 換句話說,您不需要回報相同 URL 的多個變化,就能Microsoft。

  1. 在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 [提交> & 動作]。 或者,若要直接移至 提交 頁面,請使用 https://security.microsoft.com/reportsubmission

  2. 在 [提交] 頁面上,選取 [URL] 索引標籤

  3. 在 [URL] 索引標籤上,選取 [提交至Microsoft以進行分析。

  4. 在開啟的 [ 提交至Microsoft分析 ] 飛出視窗中,輸入下列資訊:

    • 選取提交類型:確認已選取值 URL

    • URL:輸入完整的 URL (例如) https://www.fabrikam.com/marketing.html ,然後在出現的方塊中選取它。 您也可以提供最上層網域 (例如, https://www.fabrikam.com/*) ,然後在出現的方塊中選取它。 您一次最多可以輸入 50 個 URL。

    • 為什麼要將此 URL 提交給Microsoft?:選取下列其中一個值:

      • 顯示為乾淨:如果您不確定且想要從Microsoft做出決策,請選取 [ 提交],然後移至 [步驟 6],選取 [選取此值]。

      • 我確認它是乾淨的:如果您確定專案是乾淨的,請選取此值,然後選取 [ 下一步]

        提交誤判 (良好的) URL 以Microsoft在 Defender 入口網站的 [提交] 頁面上進行分析。

  5. 在開啟的 [ 提交至Microsoft分析 ] 飛出視窗的第二頁上,執行下列其中一個步驟:

    • 選取 [提交]

    • 取 [允許此 URL]:此選項會在 [租使用者允許/封鎖清單] 中建立 URL 的允許專案。 如需租使用者允許/封鎖清單的詳細資訊,請 參閱管理租使用者允許/封鎖清單中的允許和區塊

      選取此選項之後,即可使用下列設定:

      • 在之後移除允許專案:預設值是 上次使用日期后的 45 天,但您可以從下列值中選取:

        • 1 天
        • 7 天
        • 30 天
        • 特定日期:最大值為從今天起的 30 天。

        選取 上次使用日期后的 45 天 時,在郵件流程期間遇到惡意 URL 時,會更新允許項目的最後一個使用日期。 在篩選系統判斷 URL 為乾淨之後,允許專案會保留 45 天。 對於其他所有值,例如 1 天、7 天、30 天,允許專案在定義日期到期的特定日期。

      • 允許專案附註 (選用) :輸入有關為何允許此項目的選擇性資訊。

      當您在 [ 提交至Microsoft進行分析 ] 飛出視窗的第二頁上完成時,請選取 [ 提交]

    選擇是否要為租使用者允許/封鎖清單中的URL建立對應的允許專案。

  6. 選取 [完成]

幾分鐘后,[租使用者允許/封鎖] 清單 頁面https://security.microsoft.com/tenantAllowBlockList?viewid=Url上的 [URL] 索引卷標上會提供允許專案。

注意事項

  • 根據預設,在篩選系統判斷實體是乾淨的,然後移除允許項目之後,URL 的允許專案會保留 45 天。 對於其他所有值,例如 1 天、7 天、30 天,允許專案在定義日期到期的特定日期。
  • 當郵件流程期間再次遇到 URL 時,會覆寫 安全連結 擷取或 URL 信譽檢查,以及所有其他以 URL 為基礎的篩選。 如果篩選系統判斷電子郵件訊息中的所有其他實體都是乾淨的,則會傳遞訊息。
  • 在選取期間,會覆寫所有以URL為基礎的篩選,包括 安全連結 擷取或URL信譽檢查,讓用戶能夠存取URL上的內容。

將 Teams 訊息回報給 適用於 Office 365 的 Defender 方案 2 中的Microsoft

提示

提交 Teams 訊息給 Microsoft 目前處於預覽狀態,並非所有組織都可使用,而且可能會變更。

在Microsoft 365 個組織中,有 適用於 Office 365 的 Microsoft Defender 方案 2 (附加元件授權,或包含在 Microsoft 365 E5) 等訂用帳戶中,您無法從 [提交] 頁面上的 [Teams 訊息] 索引卷標提交 Teams 訊息。 將 Teams 訊息提交至Microsoft進行分析的唯一方式,是從 [ 用戶回報 ] 索引標籤提交用戶回報的 Teams 訊息,如本文稍後將 使用者回報的訊息提交至Microsoft進行分析 一節中所述。

Teams 訊息索引標籤上的專案是將用戶回報的 Teams 訊息提交給Microsoft的結果。 如需詳細資訊,請參閱本文稍後 的檢視已轉換的系統管理員提交 一節。

檢視電子郵件管理員提交至 Microsoft

在 Microsoft Defender 入口網站中https://security.microsoft.com,移至提交 &>動作。 或者,若要直接移至 提交 頁面,請使用 https://security.microsoft.com/reportsubmission

在 [ 提交] 頁面上,確認已選取 [ 電子郵件] 索引卷 標。

在 [ 電子郵件] 索引標籤上,您可以選取其中一個可用的快速篩選來快速篩選檢視:

  • 擱置
  • 已完成

在 [提交] 頁面的 [電子郵件] 索引標籤上,可供系統管理員提交的快速篩選。

您可以按下可用的數據列標頭來排序專案。 選 取 [自定義資料行] 以變更顯示的數據行。 預設值會標上星號 (*):

  • 提交名稱*
  • 寄件者*
  • 收件者
  • 提交者*
  • 提交日期*
  • 提交的原因*
  • 地位*
  • 結果*
  • 傳遞/封鎖原因
  • 提交標識碼
  • 網路訊息標識碼
  • 方向
  • 寄件者 IP
  • 大量相容層級 (BCL)
  • 目的地
  • 原則動作
  • 網路釣魚模擬
  • *標籤:如需使用者標籤的詳細資訊,請參閱使用者標籤
  • 動作

若要將專案分組,請選取 [ 群組 ],然後選取下列其中一個值:

  • 原因
  • 狀態
  • 結果
  • 標記

若要取消專案群組,請選取 [ 無]

若要篩選專案,請選取 [ 篩選]。 下列篩選條件可在開啟的 [ 篩選 ] 飛出視窗中使用:

  • 提交日期開始日期結束日期 值。
  • 提交標識碼:指派給每個提交的 GUID 值。
  • 網路訊息標識碼
  • Sender
  • 收件者
  • 提交名稱
  • 提交者
  • 提交的原因:下列任何值:
    • 不是垃圾郵件
    • 顯示為乾淨
    • 顯示為可疑
    • 網路釣魚
    • 惡意程式碼
    • 垃圾郵件
  • 狀態暫止已完成
  • 標籤全部 或從下拉式清單中選取 使用者標籤

當您在 [ 篩選 ] 飛出視窗上完成時,請選取 [ 套用]。 若要清除篩選,請選[清除篩選]

使用 [匯 出] 將專案清單匯出至 CSV 檔案。

檢視電子郵件管理員提交詳細數據

如果您在 [提交] 頁面的 [電子郵件] 索引標籤上選取專案,方法是按兩下第一個數據行旁邊複選框以外的任何數據列,就會開啟詳細數據飛出視窗。

在詳細資料飛出視窗頂端,有下列訊息資訊可供使用:

提示

若要在不離開詳細數據飛出視窗的情況下查看其他提交的詳細數據,請使用飛出視窗頂端的 [上一個專案] 和 [下一個專案]。

詳細資料飛出視窗中的下一節與電子郵件訊息提交相關:

  • 結果詳細數據 區段:

    • 結果:包含提交 的結果 值。 例如:
      • 不應該遭到封鎖
      • 因使用者覆寫而允許
      • 因為規則而允許
    • 電子郵件提交的建議步驟:包含相關動作的連結。 例如:
      • 檢視 Exchange 郵件流程規則 (傳輸規則)
      • 在總管中檢視此訊息 (威脅總管或僅限 適用於 Office 365 的 Defender 中的即時偵測)
      • 在 [總管] (威脅總管中搜尋類似的訊息,或只在 適用於 Office 365 的 Defender 中搜尋即時偵測)
  • 提交詳細資料 區段:

    • 提交日期
    • 提交名稱
    • 提交類型:值 Email
    • 提交的原因
    • 提交標識碼
    • 提交者
    • 提交狀態
  • 允許詳細數據區段:僅適用於因使用者覆寫而允許結果值或規則允許的電子郵件提交:包含 [名稱] (電子郵件地址) 和 [輸入 (寄件者]) 值。

其餘的詳細數據飛出視窗包含屬於 Email 摘要面板的 [傳遞詳細數據]、Email 詳細數據、URL[附件] 區段。 如需詳細資訊,請參閱 Email 摘要面板

當您在詳細資料飛出視窗中完成時,請選取 [ 關閉]

檢視方案 2 中的 Teams 系統管理員提交Microsoft 適用於 Office 365 的 Defender

提示

提交 Teams 訊息給 Microsoft 目前處於預覽狀態,並非所有組織都可使用,而且可能會變更。

在 Microsoft Defender 入口網站https://security.microsoft.com中,移至提交 & 動作的 [提交>]頁面。 若要直接移 至提交頁面 ,請使用 https://security.microsoft.com/reportsubmission

在 [ 提交] 頁面上,選取 [Teams 訊息] 索引標籤

您可以按下可用的數據列標頭來排序專案。 選 取 [自定義資料行] 以變更顯示的數據行。 預設值會標上星號 (*):

  • 提交名稱*
  • 寄件者*
  • 提交日期*
  • 提交的原因*
  • 提交者
  • 地位*
  • 結果*
  • 收件者
  • 提交標識碼
  • Teams 訊息標識碼
  • 目的地
  • 網路釣魚模擬
  • *標籤:如需使用者標籤的詳細資訊,請參閱使用者標籤

若要將專案分組,請選取 [ 群組 ],然後選取下列其中一個值:

  • 原因
  • 狀態
  • 結果
  • 標記

若要取消專案群組,請選取 [ 無]

若要篩選專案,請選取 [ 篩選]。 下列篩選條件可在開啟的 [ 篩選 ] 飛出視窗中使用:

  • 提交日期開始日期結束日期
  • 提交標識碼:指派給每個提交的 GUID 值。
  • Teams 訊息標識碼
  • Sender
  • 收件者
  • Teams 訊息
  • 提交者
  • 提交的原因:下列任何值:
    • 不是垃圾郵件
    • 顯示為乾淨
    • 顯示為可疑
    • 網路釣魚
    • 惡意程式碼
  • 狀態暫止已完成
  • 標籤全部 或從下拉式清單中選取 使用者標籤

當您在 [ 篩選 ] 飛出視窗上完成時,請選取 [ 套用]。 若要清除篩選,請選[清除篩選]

使用 [匯 出] 將專案清單匯出至 CSV 檔案。

檢視 Teams 系統管理員提交詳細數據

如果您在 [提交] 頁面的 [Teams 訊息] 索引卷標上選取專案,方法是按兩下第一欄旁邊複選框以外的數據列中的任何位置,就會開啟詳細數據飛出視窗。

在詳細資料飛出視窗頂端,有下列訊息資訊可供使用:

  • 飛出視窗的標題是 Teams 訊息的主旨或前 100 個字元。
  • 目前的訊息決策。
  • 訊息中的連結數目。
  • 檢視警示。 建立或更新系統管理員提交時,就會觸發警示。 選取此動作會帶您前往警示的詳細數據。

提示

若要在不離開詳細數據飛出視窗的情況下查看其他提交的詳細數據,請使用飛出視窗頂端的 [上一個專案] 和 [下一個專案]。

詳細資料飛出視窗中的下一節與 Teams 提交相關:

  • 提交結果 區段:

    • 結果:包含提交 的結果 值。 例如:
      • 應該已封鎖
      • 我們未收到提交,請修正問題並重新提交
    • 電子郵件提交的建議步驟:包含相關動作的連結。 例如:
      • 檢視 Exchange 郵件流程規則 (傳輸規則)
  • 提交詳細資料 區段:

    • 提交日期
    • 提交名稱
    • 提交類型:值為 Teams
    • 提交的原因
    • 提交標識碼
    • 提交者
    • 提交狀態

其餘的詳細數據飛出視窗包含屬於 Teams 訊息實體面板的 [訊息詳細數據]、[寄件者]、[參與者]、[頻道詳細數據] 和 [URL] 區段。 For more information, see The Teams mMessage entity panel in Microsoft Defender for Office 365 Plan 2.

當您在詳細資料飛出視窗中完成時,請選取 [ 關閉]

檢視電子郵件附件系統管理員提交至 Microsoft

在 Microsoft Defender 入口網站https://security.microsoft.com中,移至提交 & 動作的 [提交>]頁面。 若要直接移 至提交頁面 ,請使用 https://security.microsoft.com/reportsubmission

在 [提交] 頁面上,選取 [Email 附件] 索引標籤

[Email 附件] 索引標籤上,您可以選取其中一個可用的快速篩選,以快速篩選檢視:

  • 擱置
  • 已完成

在 [提交] 頁面的 [Email 附件] 索引標籤上,可供系統管理員提交使用的快速篩選。

您可以按下可用的數據列標頭來排序專案。 選 取 [自定義資料行] 以變更顯示的數據行。 預設值會標上星號 (*):

  • 附件檔名*
  • 提交日期*
  • 提交的原因*
  • 地位*
  • 結果*
  • 篩選結果
  • 傳遞/封鎖原因
  • 提交標識碼
  • 物件標識碼
  • 原則動作
  • 提交者
  • *標籤:如需使用者標籤的詳細資訊,請參閱使用者標籤
  • 動作

若要將專案分組,請選取 [ 群組 ],然後選取下列其中一個值:

  • 原因
  • 狀態
  • 結果
  • 標記

若要取消專案群組,請選取 [ 無]

若要篩選專案,請選取 [ 篩選]。 下列篩選條件可在開啟的 [ 篩選 ] 飛出視窗中使用:

  • 提交日期開始日期結束日期
  • 提交標識碼:指派給每個提交的 GUID 值。
  • 附件檔名
  • 提交者
  • 提交的原因:下列任何值:
    • 不是垃圾郵件
    • 顯示為乾淨
    • 顯示為可疑
    • 網路釣魚
    • 惡意程式碼
  • 狀態暫止已完成
  • 標籤全部 或從下拉式清單中選取 使用者標籤

當您在 [ 篩選 ] 飛出視窗上完成時,請選取 [ 套用]。 若要清除篩選,請選[清除篩選]

使用 [匯 出] 將專案清單匯出至 CSV 檔案。

檢視電子郵件附件系統管理員提交詳細數據

如果您在 [提交] 頁面的 [Email 附件] 索引卷標上選取專案,方法是按兩下第一欄旁邊複選框以外的任何數據列,就會開啟詳細數據飛出視窗。

在詳細資料飛出視窗頂端,有下列訊息資訊可供使用:

  • 飛出視窗的標題是附件的檔名。
  • 提交的 [狀態 ] 和 [ 結果 ] 值。
  • 檢視警示。 在 適用於 Office 365 的 Defender 中,系統會在建立或更新系統管理員提交時觸發警示。 選取此動作會帶您前往警示的詳細數據。

提示

若要在不離開詳細數據飛出視窗的情況下查看其他提交的詳細數據,請使用飛出視窗頂端的 [上一個專案] 和 [下一個專案]。

詳細資料飛出視窗中的下一節與電子郵件附件提交相關:

  • 結果詳細數據 區段:

    • 結果:包含提交 的結果 值。 例如:
      • 應該已封鎖
      • 不應該遭到封鎖
    • 電子郵件提交的建議步驟:包含相關動作的連結。 例如:
      • 租使用者允許/封鎖清單中的封鎖 URL/檔案
  • 提交詳細資料 區段:

    • 提交日期
    • 提交名稱
    • 提交類型:此值為 File
    • 提交的原因
    • 提交標識碼
    • 提交者
    • 提交狀態

當您在詳細資料飛出視窗中完成時,請選取 [ 關閉]

檢視要Microsoft的URL系統管理員提交

在 Microsoft Defender 入口網站https://security.microsoft.com中,移至提交 & 動作的 [提交>]頁面。 若要直接移 至提交頁面 ,請使用 https://security.microsoft.com/reportsubmission

在 [ 提交] 頁面上,選取 [ URL] 索引標籤

在 [ URL] 索 引標籤上,您可以選取其中一個可用的快速篩選來快速篩選檢視:

  • 擱置
  • 已完成

在 [提交] 頁面的 [URL] 索引標籤上,可供系統管理員提交的快速篩選。

您可以按下可用的數據列標頭來排序專案。 選 取 [自定義資料行] 以變更顯示的數據行。 預設值會標上星號 (*):

  • URL*
  • 提交日期*
  • 提交的原因*
  • 地位*
  • 結果*
  • 篩選結果
  • 傳遞/封鎖原因
  • 提交標識碼
  • 物件標識碼
  • 原則動作
  • 提交者
  • *標籤:如需使用者標籤的詳細資訊,請參閱使用者標籤
  • 動作

若要將專案分組,請選取 [ 群組 ],然後選取下列其中一個值:

  • 原因
  • 狀態
  • 結果
  • 標記

若要取消專案群組,請選取 [ 無]

若要篩選專案,請選取 [ 篩選]。 下列篩選條件可在開啟的 [ 篩選 ] 飛出視窗中使用:

  • 提交日期開始日期結束日期
  • 提交標識碼:指派給每個提交的 GUID 值。
  • URL
  • 提交者
  • 提交的原因:下列任何值:
    • 不是垃圾郵件
    • 顯示為乾淨
    • 顯示為可疑
    • 網路釣魚
    • 惡意程式碼
  • 狀態暫止已完成
  • 標籤全部 或從下拉式清單中選取 使用者標籤

當您在 [ 篩選 ] 飛出視窗上完成時,請選取 [ 套用]。 若要清除篩選,請選[清除篩選]

使用 [匯 出] 將專案清單匯出至 CSV 檔案。

檢視 URL 管理員提交詳細數據

如果您在 [提交] 頁面的 [URL] 索引卷標上選取專案,方法是按兩下第一欄旁邊複選框以外的任何數據列,就會開啟詳細數據飛出視窗。

在詳細資料飛出視窗頂端,有下列訊息資訊可供使用:

  • 飛出視窗的標題是URL的網域。
  • 提交的 [狀態 ] 和 [ 結果 ] 值。
  • 檢視警示。 在 適用於 Office 365 的 Defender 中,系統會在建立或更新系統管理員提交時觸發警示。 選取此動作會帶您前往警示的詳細數據。

提示

若要在不離開詳細數據飛出視窗的情況下查看其他提交的詳細數據,請使用飛出視窗頂端的 [上一個專案] 和 [下一個專案]。

詳細資料飛出視窗中的其餘區段與 URL 提交相關:

  • 結果詳細數據 區段:

    • 結果:包含提交 的結果 值。 例如:
      • 應該已封鎖
      • 不應該遭到封鎖
    • 電子郵件提交的建議步驟:包含相關動作的連結。 例如:
      • 租使用者允許/封鎖清單中的封鎖 URL/檔案
  • 提交詳細資料 區段:

    • 提交日期
    • URL
    • 提交類型:值為 URL
    • 提交的原因
    • 提交標識碼
    • 提交者
    • 提交狀態
  • 允許詳細數據封鎖詳細 數據區段:僅適用於封鎖或允許URL的URL提交:包含 URL 網域) 的名稱 (和 類型 (URL) 值。

當您在詳細資料飛出視窗中完成時,請選取 [ 關閉]

來自Microsoft的結果

當您在 [提交] 頁面的 [電子郵件]、[Teams 訊息]、[Email 附件] 或 [URL] 索引卷標上選取專案時,所報告專案的分析結果會顯示在開啟的詳細數據飛出視窗

  • 寄件者在傳遞電子郵件時,電子郵件驗證是否失敗。
  • 可能影響或覆寫來自篩選系統之訊息決策的任何原則或覆寫相關信息。
  • 目前的入侵結果,可查看訊息中的 URL 或檔案是否為惡意。
  • 來自評分者的意見反應。

如果找到覆寫或原則組態,結果應該會在幾分鐘內提供。 如果電子郵件驗證中沒有問題,或傳遞未受到覆寫或原則的影響,則來自評分者的擷取和意見反應最多可能需要一天的時間。

適用於 Office 365 的 Defender 中系統管理員提交的動作

在具有 適用於 Office 365 的 Microsoft Defender (附加元件授權或包含在訂用帳戶中的組織中,例如 Microsoft 365 E5 或 Microsoft 365 商務進階版) ,下列動作適用於詳細數據飛出視窗中的系統管理員提交,該飛出視窗會在您從清單中按下複選框以外的任何數據列中的任何位置來選取專案之後開啟:

  • 開啟電子郵件實體:僅適用於 [ 電子郵件 ] 索引標籤上專案的詳細數據飛出視窗。 如需詳細資訊,請參閱 Email 實體頁面上的功能。

  • 採取動作:僅適用於 [ 電子郵件 ] 索引標籤上專案的詳細數據飛出視窗。 此動作會啟動 Email 實體頁面上可用的相同動作精靈。 如需詳細資訊,請參閱 Email 實體頁面上的動作

  • 檢視警示。 建立或更新系統管理員提交時,就會觸發警示。 選取此動作會帶您前往警示的詳細數據。

  • 在 [ 結果詳細數據 ] 區段中,威脅總管的下列 連結可能也 可供使用,視報告專案的狀態和結果而定:

    • 在 [總管:僅限 電子郵件 ] 索引標籤中檢視此訊息。
    • 在 [總管: 僅限電子郵件] 索引標籤中搜尋類似的訊息
    • 搜尋 URL 或檔案僅 Email 附件URL 索引標籤。

用戶回報訊息的 管理員 選項

對於電子郵件訊息,如果下列陳述成立,系統管理員可以在 [提交] 頁面的 [用戶報告] 索引標籤上查看使用者報告的內容:

附註

  • 僅傳送至Microsoft或傳送至 Microsoft 的使用者報告訊息,且 報告信箱 會出現在 [ 用戶回報 ] 索引標籤上。
  • 只傳送至報告信箱的使用者報告郵件會顯示在 [ 用戶回報 ] 索引標籤上,其 [結果 ] 值 為 [未提交至Microsoft]。 系統管理員應該將這些訊息回報給Microsoft進行分析。

在具有 適用於 Office 365 的 Microsoft Defender 方案 2 (附加元件授權或包含在 Microsoft 365 E5) 等訂用帳戶的組織中,系統管理員也可以在目前處於預覽) 的 適用於 Office 365 的 Defender 方案 2 (中,查看Microsoft Teams 中用戶回報的訊息

在 適用於 Office 365 的 Defender 方案 2 (add-For 使用者回報訊息的組織中 Microsoft,適用於 Office 365 的 Defender 方案 2 (目前為預覽版)

在 Microsoft Defender 入口網站中https://security.microsoft.com,移至提交 &>動作。 或者,若要直接移至 提交 頁面,請使用 https://security.microsoft.com/reportsubmission

在 [ 提交] 頁面上,選取 [ 用戶回報 ] 索引標籤。

下列小節說明 [提交] 頁面上 [用戶報告] 索引卷標上可用的信息和動作。

檢視用戶回報的訊息至Microsoft

在 [ 用戶回報] 索引標籤上,您可以選取其中一個可用的快速篩選,以快速篩選檢視:

  • 威脅
  • 垃圾郵件
  • 無威脅
  • 類比

[提交] 頁面上 [用戶回報] 索引標籤上的快速篩選。

您可以按下可用的數據列標頭來排序專案。 選 取 [自定義資料行] 以變更顯示的數據行。 預設值會標上星號 (*):

  • 名稱和類型*
  • 報告者*
  • 報告日期*
  • 寄件者*
  • 報告原因*
  • 結果*:根據 使用者回報的設定,包含所報告訊息的下列資訊:
    • 將報告的訊息傳送至>Microsoft和我的報表信箱僅限Microsoft:衍生自下列分析的值:
      • 原則叫用:任何可能允許或封鎖傳入訊息的原則或覆寫相關信息,包括對篩選決策的覆寫。 結果應該會在幾分鐘內取得。 否則,來自評分者的擷取和意見反應最多可能需要一天的時間。
      • 承載信譽/失效:訊息中任何URL和檔案的最新檢查。
      • 評分器分析:由人類評分者完成的檢閱,以確認訊息是否為惡意訊息。
    • 將報告的訊息傳送至>僅限我的報表信箱:值一律 不會提交給Microsoft,因為Microsoft不會分析這些郵件。
  • 訊息報告標識碼
  • 網路訊息標識碼
  • Teams 訊息標識碼
  • 寄件者 IP
  • 報告來源
  • 網路釣魚模擬
  • 已轉換為系統管理員提交
  • 標示為*
  • 標示者*
  • 標示的日期
  • *標籤:如需使用者標籤的詳細資訊,請參閱使用者標籤

若要將專案分組,請選取 [ 群組 ],然後選取下列其中一個值:

  • Sender
  • 報告者
  • 結果
  • 報告來源
  • 已轉換為系統管理員提交
  • 標記

若要取消專案群組,請選取 [ 無]

若要篩選專案,請選取 [ 篩選]。 下列篩選條件可在開啟的 [ 篩選 ] 飛出視窗中使用:

  • 報告日期開始日期結束日期
  • 報告者
  • 名稱
  • 訊息報告標識碼
  • 網路訊息標識碼
  • Teams 訊息標識碼
  • Sender
  • 報告原因[無威脅]、[ 網络釣魚] 和 [ 垃圾郵件] 值
  • 報告來源Microsoft 和第 三方的值。
  • 網络釣魚模擬:[ ] 和 [ 否] 值
  • 轉換為系統管理員提交:[ ] 和 [ 否] 值
  • 訊息類型:可用的值為:
    • 電子郵件
    • Teams 訊息 (僅 適用於 Office 365 的 Defender 方案 2;目前為預覽) 。
  • 標籤全部 或選取一或多個使用者標籤 (包括指派給使用者的優先順序帳戶) 。 如需使用者標籤的詳細資訊,請參閱 適用於 Office 365 的 Microsoft Defender中的使用者標籤

當您在 [ 篩選 ] 飛出視窗上完成時,請選取 [ 套用]。 若要清除篩選,請選[清除篩選]

使用 [匯 出] 將專案清單匯出至 CSV 檔案。

如需 [ 用戶回報 ] 索引標籤上訊息可用動作的詳細資訊,請參閱下一個子區段。

檢視使用者回報的電子郵件訊息詳細數據

如果您在 [提交] 頁面的 [用戶報告] 索引標籤上選取電子郵件相關專案,方法是按兩下第一欄旁邊複選框以外的任何數據列,就會開啟詳細數據飛出視窗。

在詳細資料飛出視窗頂端,有下列訊息資訊可供使用:

提示

若要在不離開詳細數據飛出視窗的情況下查看其他提交的詳細數據,請使用飛出視窗頂端的 [上一個專案] 和 [下一個專案]。

詳細資料飛出視窗中的下一節與使用者回報的提交相關:

  • 結果詳細數據 區段:

    • 結果:包含提交 的結果 值。 例如:
      • 不應該遭到封鎖
      • 因使用者覆寫而允許
      • 因為規則而允許
    • 電子郵件提交的建議步驟:包含相關動作的連結。 例如:
      • 檢視 Exchange 郵件流程規則 (傳輸規則)
      • 總管中檢視此訊息 (威脅總管或僅限 適用於 Office 365 的 Defender 中的即時偵測)
      • 在總管中搜尋類似的訊息 (威脅總管或僅限 適用於 Office 365 的 Defender 中的即時偵測)
  • 回報的訊息詳細數據 區段:

    • 提交日期
    • 提交名稱
    • 報告的原因
    • 訊息報告標識碼
    • 報告者
    • 網络釣魚模擬:值為 [是 ] 或 [ 否]
    • 轉換為系統管理員提交:值為 [是 ] 或 [ 否]。 如需詳細資訊,請 參閱檢視已轉換的系統管理員提交

其餘的詳細數據飛出視窗包含屬於 Email 摘要面板的 [傳遞詳細數據]、Email 詳細數據、URL[附件] 區段。 如需詳細資訊,請參閱 Email 摘要面板

提示

如果 [結果 ] 值是 網路釣魚模擬,詳細數據飛出視窗可能只包含下列資訊:

  • 結果詳細數據 區段
  • 回報的訊息詳細數據 區段
  • Email 包含下列值的詳細資料區段:
    • 網路訊息標識碼
    • Sender
    • 傳送日期

當您在詳細資料飛出視窗中完成時,請選取 [ 關閉]

在方案 2 適用於 Office 365 的 Defender 檢視用戶回報的 Teams 訊息詳細數據

提示

用戶報告 Microsoft Teams 中的訊息 目前為預覽狀態,並非所有組織都可使用,而且可能會變更。

在Microsoft 365 個組織中,適用於 Office 365 的 Microsoft Defender 方案 2 (附加元件授權或包含在 Microsoft 365 E5) 等訂用帳戶中,用戶回報的 Teams 訊息可在 [提交] 頁面的 [用戶報告] 索引標籤上取得。 如果您依 [訊息類型 ] 值 Teams 訊息篩選結果,很容易就能找到它們。

如果您在 [ 用戶報告 ] 索引標籤上選取 Teams 訊息專案,方法是按兩下第一欄旁邊複選框以外的任何資料列,就會開啟詳細數據飛出視窗。

在詳細資料飛出視窗頂端,有下列訊息資訊可供使用:

  • 飛出視窗的標題是 Teams 訊息的主旨或前 100 個字元。
  • 目前的訊息決策。
  • 訊息中的連結數目。
  • 用戶回報訊息的 管理員 動作一節會說明可用的動作。

提示

若要在不離開詳細數據飛出視窗的情況下查看其他提交的詳細數據,請使用飛出視窗頂端的 [上一個專案] 和 [下一個專案]。

詳細資料飛出視窗中的下一節與使用者回報的 Teams 提交相關:

  • 提交結果 區段:

    • 結果:包含提交 的結果 值。 例如:
      • 不應該遭到封鎖
      • 未提交至 Microsoft
    • 電子郵件提交的建議步驟:包含相關動作的連結。 例如:
      • 檢視 Exchange 郵件流程規則 (傳輸規則)
  • 回報的訊息詳細數據 區段:

    • 報告日期
    • 提交名稱
    • 報告的原因
    • 訊息報告標識碼
    • 報告者
    • 網络釣魚模擬:值為 [是 ] 或 [ 否]
    • 轉換為系統管理員提交:值為 [是 ] 或 [ 否]。 如需詳細資訊,請 參閱檢視已轉換的系統管理員提交

其餘的詳細數據飛出視窗包含屬於 Teams 訊息實體面板的 [訊息詳細數據]、[寄件者]、[參與者]、[頻道詳細數據] 和 [URL] 區段。 For more information, see The Teams mMessage entity panel in Microsoft Defender for Office 365 Plan 2.

提示

如果 [結果 ] 值是 網路釣魚模擬,詳細數據飛出視窗可能只包含下列資訊:

  • 結果詳細數據 區段
  • 回報的訊息詳細數據 區段
  • Email 包含下列值的詳細資料區段:
    • 網路訊息標識碼
    • Sender
    • 傳送日期

當您在詳細資料飛出視窗中完成時,請選取 [ 關閉]

管理員 用戶回報訊息的動作

在 [ 用戶回報] 索引標籤上,使用者回報訊息的動作可在索引標籤本身或選取專案的詳細數據飛出視窗中取得:

適用於 Office 的 Defender 中使用者回報訊息的動作

提示

若要查看其他用戶回報訊息的詳細數據或採取動作,而不需離開詳細數據飛出視窗,請使用飛出視窗頂端的 [上一個專案] 和 [下一步] 專案

*視訊息的本質和狀態而定,某些動作可能無法使用、直接在飛出視窗頂端提供,或是在飛出視窗頂端的 [更多動作] 下提供。

下列小節說明這些動作。

注意事項

在使用者回報可疑訊息之後,使用者或系統管理員就無法復原訊息的報告,不論報告的郵件 (到報表信箱的位置為何,都無法復原Microsoft,或兩者) 。 使用者可以從其 [已刪除的專案] 或 [垃圾郵件] 資料夾復原報告的訊息 Email。

將用戶回報的訊息提交至Microsoft進行分析

選取 [ 用戶回報 ] 索引標籤上的訊息之後,請使用下列其中一種方法將訊息提交至 Microsoft:

  • 在 [用戶回報] 索引標籤上:選取 [ 提交至Microsoft進行分析]

  • 在所選訊息的詳細數據飛出視窗中:選取 [提交至Microsoft以進行分析],或選取 [提交>至Microsoft],以在飛出視窗頂端進行分析。

在開啟的 [ 提交至Microsoft進行分析 ] 飛出視窗中,根據郵件是電子郵件訊息還是 Teams 訊息執行下列步驟:

  • Email 訊息

    • 為什麼要將此訊息提交給Microsoft?:選取下列其中一個值:
      • 顯示為乾淨看起來可疑:如果您不確定且想要從Microsoft做出決策,請選取其中一個值。

        選取 [提交],然後選取 [ 完成]

      • 我確認它是乾淨的:如果您確定專案是乾淨的,請選取此值,然後選取 [ 下一步]

        在飛出視窗的下一頁上,執行下列其中一個步驟:

        • 選取 [提交],然後選取 [ 完成]

        選取此選項之後,即可使用下列設定:

        • 在之後移除允許專案:預設值是 上次使用日期后的 45 天,但您可以從下列值中選取:
          • 1 天
          • 7 天
          • 30 天
          • 特定日期:最大值為從今天起的 30 天。

        選取 上次使用日期后的 45 天 時,在郵件流程期間遇到惡意電子郵件訊息時,會更新允許專案的最後一個使用日期。 在篩選系統判斷電子郵件訊息已清除之後,允許專案會保留 45 天。 對於其他所有值,例如 1 天、7 天、30 天,允許專案在定義日期到期的特定日期。

        • 允許專案附註 (選用) :輸入有關為何允許此項目的選擇性資訊。 針對詐騙寄件者,您在此處輸入的任何值,不會顯示在 [租使用者允許/封鎖] 清單 頁面上 [詐騙發件者] 索引卷標上的允許專案中。

        當您在飛出視窗中完成時,請選取 [ 提交],然後選取 [ 完成]

      • 我已確認這是威脅:如果您確定專案是惡意專案,請選取此值,然後在 [選擇類別] 區段中選取下列其中 一個 值:

        • 網路釣魚
        • 惡意程式碼
        • 垃圾郵件

        選取 [下一步]

        在飛出視窗的下一頁上,執行下列其中一個步驟:

        • 選取 [提交],然後選取 [ 完成]

        選取此選項之後,即可使用下列設定:

        • 默認會選取 [寄件人 ],但您可以改為選取 [網域 ]。
        • 在之後移除區塊專案:預設值為 30 天,但您可以從下列值中選取:
          • 1 天
          • 7 天
          • 30 天
          • 永不過期
          • 特定日期:最大值為從今天起的 30 天。
        • 封鎖專案附註 (選用) :輸入封鎖此專案原因的選擇性資訊。

        當您在飛出視窗中完成時,請選取 [ 提交],然後選取 [ 完成]

    [提交至Microsoft進行分析] 下拉式清單中的可用動作。

  • Teams 訊息:選取下列其中一個值:

    • 我已確認其乾淨
    • 它看起來很乾淨
    • 看起來可疑

    選取其中一個值之後,選取 [ 提交],然後選取 [ 完成]

    • 我已確認這是威脅:如果您確定專案是惡意專案,請選取此值,然後在 [選擇類別] 區段中選取下列其中 一個 值:

    • 網路釣魚

    • 惡意程式碼

      選取 [提交],然後選取 [ 完成]

將使用者回報的訊息提交至 [ 用戶回報 ] 索引標籤Microsoft之後,[ 轉換為系統管理員提交 ] 的值會從 [否 ] 變成 [ ],並在 [ 提交 ] 頁面的適當索引標籤上建立對應的系統管理員提交專案 (例如[ 電子郵件 ] 索引標籤) 。

在計劃 2 中觸發 適用於 Office 365 的 Defender 調查

  • 在 [用戶回報] 索引標籤上,選取 [提交至Microsoft進行分析] 下拉式清單中的 [觸發調查]。

[提交至Microsoft分析] 下拉式清單中的 [觸發程序調查] 動作。

如需詳細資訊,請 參閱觸發調查

通知用戶系統管理員已提交訊息給Microsoft

當系統管理員從 [用戶回報] 索引 標籤提交 使用者回報的訊息給Microsoft之後,系統管理員可以使用 [標示為] 並通知 動作,將訊息標示為決策,並將範本化通知訊息傳送給報告訊息的使用者。

  • 電子郵件訊息的可用決策:

    • 找不到威脅
    • 網路釣魚
    • 垃圾郵件
  • Teams 訊息的可用決策:

    • 找不到威脅
    • 網路釣魚

如需詳細資訊,請 參閱從入口網站通知使用者

檢視已轉換的系統管理員提交

當系統管理員從 [用戶報告] 索引 標籤提交 用戶回報訊息給Microsoft之後, [轉換為系統管理員提交 ] 的值為 [ 是]

如果您按下名稱旁邊複選框以外的數據列中的任何位置來選取其中一則訊息,詳細數據飛出視窗會包含 [更多動作>] [檢視已轉換的系統管理員提交]

此動作會帶您前往適當索引標籤上對應的系統管理員提交專案 (例如[ 電子郵件 ] 索引標籤) 。

適用於 Office 365 的 Defender 中用戶回報訊息的動作

在具有 適用於 Office 365 的 Microsoft Defender (附加元件授權或包含在 Microsoft 365 E5 或 Microsoft 365 商務進階版) 等訂用帳戶的組織中,下列動作可能也會出現在使用者回報索引卷標上使用者回報訊息的詳細數據飛出視窗中:

  • 僅) 開啟電子郵件實體 (電子郵件訊息:如需詳細資訊,請參閱 Email 實體頁面上的內容。

  • ) (電子郵件訊息採取動作:此動作會啟動 Email 實體頁面上可用的相同 [動作精靈]。 如需詳細資訊,請參閱 Email 實體頁面上的動作

  • 檢視警示。 建立或更新系統管理員提交時,就會觸發警示。 選取此動作會帶您前往警示的詳細數據。