Управление сообщениями и файлами в карантине для администратора Office 365

Администратор может просматривать сообщения в карантине Office 365, удалять и разблокировать их, а также создавать отчеты о ложных срабатываниях. Кроме того, можно просматривать, скачивать и удалять файлы, помещенные в карантин службой Advance Threat Protection (ATP) в SharePoint Online, OneDrive для бизнеса и Microsoft Teams. Вы можете настроить политики, чтобы Office 365 фильтровал сообщения и отправлял их в карантин, если они считаются спамом, массовой рассылкой или фишинговыми сообщениями, содержат вредоносное ПО либо соответствуют правилу потока обработки почты.

По умолчанию фишинговые сообщения и письма с вредоносными программами отправляются в карантин. Другие отфильтрованные сообщения отправляются в папку нежелательной почты пользователя, если политика не настроена так, чтобы отправлять их в карантин.

Для работы с сообщениями других пользователей, помещенными в карантин, и файлами в карантине требуются разрешения администратора Office 365.

Важно: По умолчанию нежелательные, массовые, фишинговые сообщения, сообщения с вредоносными программами и письма, соответствующие правилу потока обработки почты, находятся в карантине в течение 30 дней. Вы можете настроить время хранения в карантине и параметры защиты от спама в Центре безопасности и соответствия требованиям Сообщения, удаленные службой Office 365 из карантина, невозможно вернуть. При желании можно изменить срок хранения в карантине в политиках фильтров спама. Дополнительные сведения см. в разделе Настройка периода хранения в карантине ниже.

Просмотр сообщений в карантине

  1. Используя рабочую или учебную учетную запись с правами глобального администратора в организации Office 365, войдите в Office 365 и откройте Центр безопасности и соответствия требованиям.

  2. В левой части экрана разверните список Управление угрозами, выберите Проверка, а затем щелкните плитку Карантин.

    Советы: 

    • Чтобы перейти напрямую к странице Карантин в Центре безопасности и соответствия требованиям, используйте этот URL-адрес:

    • https://protection.office.com/?hash=/quarantine

    По умолчанию в Центре безопасности и соответствия требованиям отображаются все сообщения, которые были помещены в карантин как нежелательные. Они отсортированы по дате получения от новых к старым. Для каждого сообщения также указываются отправитель, тема и срок действия. Вы можете отсортировать сообщения по полю, щелкнув его заголовок. Чтобы изменить порядок сортировки, щелкните заголовок столбца еще раз.

  3. Вы можете просмотреть список всех сообщений в карантине или уточнить результаты с помощью фильтра. Массовые операции можно выполнять не более чем со 100 элементами, поэтому если результатов больше, сократите их число с помощью фильтрации. Чтобы быстро отфильтровать сообщения по типу карантина, выберите в фильтре вверху страницы один из следующих вариантов:

    • сообщения, которые считаются спамом;

    • сообщения, отправленные в карантин из-за того, что они соответствуют правилу потока обработки почты (правилу транспорта);

    • сообщения, которые рассылаются массово;

    • сообщения, которые считаются фишинговыми.

    • сообщения, отправленные в карантин из-за того, что они содержат вредоносное программное обеспечение.

Кроме того, вы можете вывести все сообщения для вашей организации или только сообщения, отправленные лично вам. Конечным пользователям доступны только сообщения, отправленные им.

Кроме того, вы можете отфильтровать результаты, чтобы найти определенные сообщения. Советы см. в разделе Фильтрация результатов и поиск сообщений и файлов в карантине далее.

После того как вы найдете нужное сообщение, помещенное в карантин, дважды щелкните его, чтобы просмотреть сведения о нем и выполнить такие действия, как разблокировка.

Просмотр файлов в карантине

  1. Используя рабочую или учебную учетную запись с правами глобального администратора в организации Office 365, войдите в Office 365 и откройте Центр безопасности и соответствия требованиям.

  2. В левой части экрана разверните список Управление угрозами, выберите Проверка, а затем щелкните плитку Карантин.

    Советы: 

    • Чтобы перейти напрямую к странице Карантин в Центре безопасности и соответствия требованиям, используйте этот URL-адрес:

    • https://protection.office.com/?hash=/quarantine

  3. По умолчанию на странице отображаются сообщения в карантине. Чтобы просмотреть файлы в карантине, в верхней части страницы выберите значения файлы и вредоносная программа. Для работы с файлами, помещенными в карантин, требуются разрешения администратора Office 365.

  4. Файлы отсортированы от новых к старым по дате помещения в карантин. Для каждого файла также указывается пользователь, изменивший его последним, служба, в которой был опубликован файл, имя файла, расположение, размер, а также срок действия. Вы можете отсортировать сообщения по полю, щелкнув заголовок. Чтобы изменить порядок сортировки, щелкните заголовок столбца еще раз.

Можно просмотреть список всех файлов в карантине или найти определенные файлы с помощью фильтрации. Массовые операции можно выполнять не более чем со 100 элементами. В настоящее время в Центре безопасности и соответствия требованиям можно управлять файлами, которые были помещены в карантин из-за вредоносного содержимого. Советы см. в разделе Фильтрация результатов и поиск сообщений и файлов в карантине далее.

Фильтрация результатов и поиск сообщений и файлов в карантине

Зачастую в карантине очень много сообщений и файлов, особенно если заданы строгие настройки. Чтобы найти нужные элементы, вы можете применять фильтрацию на основе различных условий.

  1. Проверьте, правильно ли заданы параметры в фильтрах вверху страницы Карантин:

    • Чтобы найти файлы, выберите значения файлы и вредоносная программа.

      На странице всегда отображаются все файлы в карантине, а не только ваши.

    • Чтобы найти сообщения, задайте значение электронная почта и выберите все или только мои. Для последнего фильтра выберите нужный тип сообщений в карантине. Можно найти сообщения, которые считаются спамом, соответствуют правилу транспорта, являются массовыми или фишинговыми либо содержат вредоносные программы.

  2. В разделе Сортировать результаты по настройте нужные фильтры для поиска с помощью раскрывающихся списков. Доступные параметры зависят от того, ищете ли вы файлы или сообщения. В настоящее время подстановочные знаки в полях поиска не поддерживаются.

    Для файлов и сообщений вы можете выполнить фильтрацию по дате отправки в карантин. Можно указать как точную дату, так и диапазон, включая время. Результаты поиска также можно отфильтровать по сроку действия, то есть дате удаления из карантина. Для этого щелкните Расширенный фильтр. В разделе Дата окончания срока действия вы можете выбрать сообщения, которые будут удалены из карантина в течение 24 часов (Сегодня), 48 часов (Следующие 2 дня), недели (Следующие 7 дней) или другого интервала времени.

    Для сообщений можно воспользоваться следующими параметрами:

    • Идентификатор сообщения: позволяет найти определенное сообщение, если вы знаете его идентификатор.

      Например, если определенное сообщение было отправлено пользователю или пользователем в вашей организации, но не достигло адресата, вы можете найти его с помощью трассировки сообщений (см. статью Запуск трассировки сообщений и просмотр результатов). Если вы обнаружите, что сообщение было отправлено в карантин, так как оно соответствовало правилу потока почты или было сочтено нежелательным, вы можно легко найти его, указав его идентификатор. Не забудьте включить полную строку идентификатора сообщения. В ней могут быть угловые скобки (<>), например:

      <79239079-d95a-483a-aacf-e954f592a0f6@XYZPR00BM0200.contoso.com>

    • Электронный адрес отправителя: позволяет отфильтровать сообщения по адресу отправителя.

    • Электронный адрес получателя: позволяет отфильтровать сообщения по адресу получателя.

    • Тема: укажите тему нужного сообщения. Так как подстановочные знаки не поддерживаются, необходимо указать всю тему сообщения, чтобы найти его. При поиске регистр не учитывается.

Просмотр сведений о сообщениях и файлах в карантине

При выборе элемента в списке карантина сводка его свойств выводится в области Сведения в правой части Центра безопасности и соответствия требованиям.

Сведения, которые отображаются для сообщений в карантине

  • Идентификатор сообщения: уникальный идентификатор сообщения.

  • Адрес отправителя: отправитель сообщения.

  • Получено: дата и время получения сообщения.

  • Тема: строка темы сообщения.

  • Тип: показывает, было ли сообщение определено как спам, сообщение массовой рассылки или фишинговое сообщение либо оно соответствуют правилу транспорта или содержит вредоносные программы.

  • Срок действия истекает: дата автоматического удаления сообщения из карантина.

  • Разблокировано для пользователей: все адреса электронной почты (если таковые имеются), для которых сообщение было разблокировано.

  • Еще не разблокировано для пользователя: все адреса электронной почты (если таковые имеются), для которых сообщение еще не было разблокировано.

Сведения, которые отображаются для файлов в карантине

  • Имя файла: имя файла в карантине.

  • Путь к сайту: URL-адрес, который определяет расположение файла в Office 365.

  • Дата обнаружения: дата и время помещения файла в карантин.

  • Срок действия истекает: дата удаления сообщения из карантина.

  • Чем обнаружено: метод обнаружения вредоносной программы в файле. Это может быть ATP (Advanced Threat Protection) или подсистема защиты от вредоносных программ (Майкрософт).

  • Разблокирован: указывает, был ли файл разблокирован.

  • Имя вредоносной программы: семейство и название вредоносной программы, обнаруженной в файле.

  • ИД документа: уникальный идентификатор документа.

  • Размер файла: размер файла в КБ.

  • Организация: уникальный идентификатор организации в Office 365.

  • Кем изменено: рабочая или учебная учетная запись пользователя, который последним изменял файл.

  • Размер файла: размер файла в КБ.

  • Хэш SHA256: хэш файла. Его можно использовать для поиска в других источниках данных о репутации или определения того, нет ли файла где-то еще в вашей среде.

Управление сообщениями и файлами в карантине

После выбора сообщений в карантине с ними можно выполнить несколько действий.

  • Ничего не делать. Если ничего не делать, сообщения будут автоматически удалены после истечения срока хранения. По умолчанию нежелательные, массовые, вредоносные, фишинговые сообщения и письма, соответствующие правилу обработки потока почты, хранятся в карантине в течение 30 дней. Сообщения, удаленные службой Office 365 из карантина, невозможно вернуть. При желании можно изменить срок хранения в карантине с помощью параметра Хранить нежелательную почту в течение (дн.) в политике защиты от сама. Дополнительные сведения см. в разделе Настройка периода хранения в карантине ниже.

  • Просмотр заголовка сообщения: позволяет просмотреть текст заголовка. Для подробного анализа заголовка скопируйте сообщение в буфер обмена и щелкните Microsoft Message Header Analyzer для перехода к анализатору удаленного подключения (если вы не хотите покидать Office 365 для выполнения этой задачи, щелкните эту команду правой кнопкой мыши и выберите Открыть в новой вкладке). Вставьте заголовок сообщения на страницу в разделе Message Header Analyzer, а затем выберите Проанализировать заголовки.

  • Предварительный просмотр сообщения: позволяет просмотреть неотформатированную или HTML-версию текста сообщения. В режиме HTML ссылки будут отключены.

  • Скачать сообщение или файл. Выберите эту команду, чтобы скачать копию сообщения или файла на свое устройство. Вам потребуется подтвердить, что вы понимаете риски, связанные со скачиванием сообщения из карантина. Сообщения сохраняются в формате EML в указанную вами папку. Файлы из карантина сохраняются в исходном формате.

  • Удалить сообщения. При необходимости можно немедленно удалить элементы, не дожидаясь окончания срока их хранения, заданного Office 365. Чтобы удалить сообщение или файл, выберите его в списке карантина и нажмите кнопку Удалить. Чтобы удалить сразу несколько элементов, установите флажки слева от них в списке карантина, а затем на странице Групповые действия нажмите кнопку Удалить сообщения или Удалить файлы.

  • Разблокировать элементы. Вы можете разблокировать элементы и отправить отчет об ошибочном помещении в карантин (ложных срабатываниях) в корпорацию Майкрософт.

    Чтобы сделать это для одного файла или сообщения, выберите его в списке карантина, нажмите кнопку Разблокировать файл или Разблокировать сообщение. Убедитесь, что на следующей странице установлен флажок Отправить отчет о файлах в Майкрософт для анализа или Отправить отчет о сообщениях в Майкрософт для анализа.

    Чтобы разблокировать сразу несколько элементов, установите флажки слева от них в списке карантина, а затем на странице Групповые действия нажмите кнопку Разблокировать сообщения или Разблокировать файлы. Убедитесь, что на следующей странице установлен флажок Отправить отчет о файлах в Майкрософт для анализа или Отправить отчет о сообщениях в Майкрософт для анализа.

При разблокировке сообщений следует учитывать следующее:

  • При массовой разблокировке нескольких сообщений они отправляются всем изначальным получателям. Если вы хотите разблокировать сообщения только для определенных получателей, нужно делать это по отдельности.

  • Сообщение невозможно освободить несколько раз для одного и того же получателя.

  • При освобождении сообщения, предназначенного для нескольких получателей, в списке будут доступны только те из них, которые ранее не получали сообщения.

  • При уведомлении о ложном срабатывании для сообщения, которое было помещено в карантин как нежелательное, массовое, фишинговое сообщение или сообщение с вредоносной программой, отчет также будет отправлен в группу Майкрософт по анализу спама. В зависимости от результатов анализа сообщения могут быть изменены правила фильтрации спама для всей службы.

Настройка периода хранения в карантине

Вы можете указать, как долго следует хранить сообщения и файлы в карантине до их автоматического удаления. По умолчанию они хранятся в течение 30 дней. Этот параметр можно задать для каждой создаваемой политики. Вы также можете изменить значение для стандартной политики, как описано в этой статье.

Настройка срока хранения в карантине для стандартной политики фильтрации спама в Центре безопасности и соответствия требованиям

  1. Используя рабочую или учебную учетную запись с правами глобального администратора в организации Office 365, войдите в Office 365 и откройте Центр безопасности и соответствия требованиям.

  2. В левой части экрана разверните список Управление угрозами, выберите Политика, а затем щелкните плитку Защита от спама.

    Советы: 

    • Чтобы перейти напрямую к странице Защита от спама в Центре безопасности и соответствия требованиям, используйте этот URL-адрес:

    • https://protection.office.com/?hash=/antispam

  3. Щелкните Настраиваемые, чтобы открыть вкладку Пользовательские параметры.

  4. Разверните раздел Политика фильтрации спама, используемая по умолчанию (всегда ВКЛЮЧЕНА).

  5. Нажмите кнопку Изменение политики. Откроется новая страница с параметрами стандартной политики.

  6. Разверните элемент Спам и массовые рассылки.

  7. В разделе Карантин в поле Хранить спам (дней) введите количество времени, в течение которого Office 365 должен хранить в карантине письма и файлы. По умолчанию этот период составляет 30 дней. Это максимальное значение.

  8. Нажмите кнопку Сохранить.

Совершенствование навыков работы с Office
Перейти к обучению
Первоочередный доступ к новым возможностям
Присоединиться к программе предварительной оценки Office

Были ли сведения полезными?

Спасибо за ваш отзыв!

Благодарим за отзыв! Возможно, будет полезно связать вас с одним из наших специалистов службы поддержки Office.

×