Verwalten von Nachrichten und Dateien in Quarantäne als Administrator

In Microsoft 365-Organisationen mit Postfächern in Exchange Online oder Microsoft Teams oder in eigenständigen Exchange Online Protection -Organisationen (EOP) ohne Exchange Online Postfächer oder Teams, quarantänen Sie potenziell gefährliche oder unerwünschte Nachrichten, die von EOP erkannt wurden und Defender for Office 365.

Administratoren können alle Arten von in Quarantäne befindlichen Nachrichten und Dateien für alle Benutzer anzeigen, freigeben und löschen.

Administratoren in Organisationen mit Microsoft Defender for Office 365 können auch Dateien verwalten, die von sicheren Anlagen für SharePoint, OneDrive und Microsoft Teams und Microsoft Teams-Nachrichten unter Quarantäne gesetzt wurden, die durch automatische Null-Stunden-Bereinigung (ZAP) unter Quarantäne gesetzt wurden.

Benutzer können die meisten in Quarantäne befindlichen E-Mail-Nachrichten basierend auf der Quarantänerichtlinie für unterstützte E-Mail-Schutzfunktionen verwalten. Weitere Informationen zu Quarantänerichtlinien finden Sie unter Anatomie einer Quarantänerichtlinie.

Administratoren und auch Benutzer (abhängig von den vom Benutzer gemeldeten Einstellungen für die organization) können falsch positive Ergebnisse aus der Quarantäne an Microsoft melden.

Sie können isolierte Nachrichten im Microsoft Defender-Portal oder in PowerShell (Exchange Online PowerShell für Microsoft 365-Organisationen mit Postfächern in Exchange Online; eigenständige EOP PowerShell für Organisationen ohne Exchange Online Postfächer) anzeigen und verwalten.

Sehen Sie sich dieses kurze Video an, um zu erfahren, wie Sie unter Quarantäne gestellte Nachrichten als Administrator verwalten.

Was sollten Sie wissen, bevor Sie beginnen?

• Um das Microsoft Defender-Portal zu öffnen, wechseln Sie zu https://security.microsoft.com. Um direkt zur Quarantäne-Seite zu gelangen, verwenden Sie https://security.microsoft.com/quarantine.

• Wie Sie eine Verbindung mit Exchange Online PowerShell herstellen, finden Sie unter Herstellen einer Verbindung mit Exchange Online PowerShell. Informationen zum Herstellen einer Verbindung mit dem eigenständigen Exchange Online Protection PowerShell finden Sie unter Verbinden mit PowerShell in Exchange Online Protection.

• Ihnen müssen Berechtigungen zugewiesen werden, bevor Sie die Verfahren in diesem Artikel ausführen können. Sie haben folgende Optionen:

  • Microsoft Defender XDR einheitliche rollenbasierte Zugriffssteuerung (Unified Role Based Access Control, RBAC) (betrifft nur das Defender-Portal, nicht PowerShell):
    • Ergreifen Sie Maßnahmen für unter Quarantäne gestellte Nachrichten für alle Benutzer: Sicherheitsvorgänge/Sicherheitsdaten/Email & Quarantäne für die Zusammenarbeit (Verwalten).
    • Schreibgeschützter Zugriff auf unter Quarantäne gestellte Nachrichten für alle Benutzer: Sicherheitsvorgänge/Sicherheitsdaten/Sicherheitsdatengrundlagen (Lesen).
  • Email & Berechtigungen für die Zusammenarbeit im Microsoft Defender-Portal:
    • Ergreifen Sie Aktionen für unter Quarantäne gestellte Nachrichten für alle Benutzer: Mitgliedschaft in den Rollengruppen Quarantäneadministrator, Sicherheitsadministrator oder Organisationsverwaltung .
      • Senden von Nachrichten aus der Quarantäne an Microsoft: Mitgliedschaft in den Rollengruppen Quarantäneadministrator oder Sicherheitsadministrator .
      • Verwenden Sie Absender blockieren , um Absender zu Ihrer eigenen Liste blockierter Absender hinzuzufügen: Standardmäßig verfügen alle Benutzer über die erforderlichen Berechtigungen. Ob die Aktion Absender blockieren für Nicht-Administratoren verfügbar ist, wird in der Regel durch die Berechtigung Absender blockieren in Quarantänerichtlinien gesteuert. Durch das Zuweisen einer Berechtigung, die Administratorzugriff auf die Quarantäne gewährt (z. B. Sicherheitsleseberechtigter oder globaler Leser), erhalten Sie Zugriff auf Absender in Quarantäne blockieren .
    • Schreibgeschützter Zugriff auf unter Quarantäne gestellte Nachrichten für alle Benutzer: Mitgliedschaft in den Rollengruppen "Sicherheitsleseberechtigter " oder " Globaler Leser ".
  • Microsoft Entra Berechtigungen: Durch die Mitgliedschaft in diesen Rollen erhalten Benutzer die erforderlichen Berechtigungen und Berechtigungen für andere Features in Microsoft 365:
    • Ergreifen Sie Aktionen für unter Quarantäne gestellte Nachrichten für alle Benutzer: Mitgliedschaft in den Rollen **Sicherheitsadministrator oder Globaler Administrator .
      • Senden von Nachrichten aus der Quarantäne an Microsoft: Mitgliedschaft in der Rolle "Sicherheitsadministrator ".
      • Verwenden Sie Absender blockieren , um Absender zu Ihrer eigenen Liste blockierter Absender hinzuzufügen: Standardmäßig verfügen alle Benutzer über die erforderlichen Berechtigungen. Ob die Aktion Absender blockieren für Nicht-Administratoren verfügbar ist, wird in der Regel durch die Berechtigung Absender blockieren in Quarantänerichtlinien gesteuert. Durch das Zuweisen einer Berechtigung, die Administratorzugriff auf die Quarantäne gewährt (z. B. Sicherheitsleseberechtigter oder globaler Leser), erhalten Sie Zugriff auf Absender in Quarantäne blockieren .
    • Schreibgeschützter Zugriff auf unter Quarantäne gestellte Nachrichten für alle Benutzer: Mitgliedschaft in der Rolle "Globaler Leser " oder "Sicherheitsleseberechtigter ".

  Tipp

  Die Möglichkeit, unter Quarantäne gestellte Nachrichten mit Exchange Online Berechtigungen zu verwalten, endete im Februar 2023 pro MC447339.

  Gastadministratoren aus anderen Organisationen können unter Quarantäne gestellte Nachrichten nicht verwalten. Der Administrator muss sich im gleichen organization wie die Empfänger befinden.

• Unter Quarantäne gestellte Nachrichten und Dateien werden für einen Standardzeitraum aufbewahrt, je nachdem, warum sie unter Quarantäne gesetzt wurden. Nach Ablauf des Aufbewahrungszeitraums werden die Nachrichten automatisch gelöscht und können nicht wiederhergestellt werden. Weitere Informationen finden Sie unter Quarantäneaufbewahrung.

• Alle Aktionen, die von Administratoren oder Benutzern für unter Quarantäne gestellte Nachrichten ausgeführt werden, werden überwacht. Weitere Informationen zu überwachten Quarantäneereignissen finden Sie unter Quarantäneschema in der Office 365 Management-API.

Verwenden des Microsoft Defender-Portals zum Verwalten von in Quarantäne befindlichen E-Mail-Nachrichten

Anzeigen von in Quarantäne befindlichen E-Mails

Wechseln Sie im Microsoft Defender-Portal unter https://security.microsoft.comzur Registerkarte Email & Zusammenarbeit>Quarantäne>überprüfen>Email Registerkarte. Oder verwenden Sie , um direkt zur Registerkarte Email auf der Seite Quarantäne zu wechselnhttps://security.microsoft.com/quarantine?viewid=Email.

Auf der Registerkarte Email können Sie den vertikalen Abstand in der Liste verringern, indem Sie auf Listenabstand in Komprimierung oder Normal ändern klicken und dann Liste komprimieren auswählen.

Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken. Wählen Sie Spalten anpassen aus, um die angezeigten Spalten zu ändern. Die Standardwerte sind mit einem Sternchen (^*) gekennzeichnet:

• Empfangszeit^*
• Betreff^*
• Absender^*
• Quarantänegrund^* (Siehe die möglichen Werte in der Filterbeschreibung .)
• Release status^* (siehe mögliche Werte in der Filterbeschreibung).)
• Richtlinientyp^* (Siehe die möglichen Werte in der Filterbeschreibung .)
• Abläuft^*
• Empfänger: Die E-Mail-Adresse des Empfängers wird immer in den primäre E-Mail-Adresse aufgelöst, auch wenn die Nachricht an eine Proxyadresse gesendet wurde.
• Nachrichten-ID
• Name der Richtlinie
• Nachrichtengröße
• E-Mail-Richtung
• Empfängertag

Um die Einträge zu filtern, wählen Sie Filter aus. Die folgenden Filter sind im Flyout Filter verfügbar, das geöffnet wird:

• Nachrichten-ID: Die globale eindeutige ID der Nachricht.

  Beispielsweise haben Sie die Nachrichtenablaufverfolgung verwendet, um nach einer Nachricht zu suchen, und sie bestimmen, dass die Nachricht unter Quarantäne gestellt wurde, anstatt zugestellt zu werden. Achten Sie darauf, den vollständigen Nachrichten-ID-Wert einzuschließen, der spitze Klammern (<>) enthalten kann. Beispiel: <79239079-d95a-483a-aacf-e954f592a0f6@XYZPR00BM0200.contoso.com>.

• Absenderadresse

• Empfängeradresse

• Betreff

• Empfangene Zeit:

  • Letzte 24 Stunden
  • Die letzten 7 Tage
  • Letzte 14 Tage
  • Letzte 30 Tage (Standard)
  • Benutzerdefiniert: Geben Sie eine Startzeit und Endzeit (Datum) ein.

• Läuft ab: Filtern Sie Nachrichten nach dem Ablauf der Quarantäne:

  • Heute
  • Nächste 2 Tage
  • Nächste 7 Tage
  • Benutzerdefiniert: Geben Sie eine Startzeit und Endzeit (Datum) ein.

• Empfängertag: Derzeit ist das einzige auswählbare Benutzertag das Prioritätskonto.

• Quarantänegrund:

  • Transportregel (Nachrichtenflussregel)
  • Massensendung
  • Spam
  • Verhinderung von Datenverlust
  • Schadsoftware: Antischadsoftware-Richtlinien in EOP oder Richtlinien für sichere Anlagen in Defender for Office 365. Der Wert Richtlinientyp gibt an, welches Feature verwendet wurde.
  • Phishing: Die Spamfiltereinstufung lautete Phishing oder die Nachricht wurde zum Schutz vor Phishing unter Quarantäne gestellt (Spoofing-Einstellungen oder Schutz vor Identitätswechsel).
  • Hohe Phishingwahrscheinlichkeit
  • Admin Aktion – Dateitypblock: Nachrichten, die durch den allgemeinen Anlagenfilter in Antischadsoftwarerichtlinien als Schadsoftware blockiert werden. Weitere Informationen finden Sie unter Antischadsoftwarerichtlinien.

• Empfänger: Alle Benutzer oder Nur ich. Endbenutzer können nur in Quarantäne befindliche Nachrichten verwalten, die an sie gesendet werden.

• Freigabestatus: Einer der folgenden Werte:

  • Überprüfung erforderlich
  • Genehmigt
  • Abgelehnt
  • Freigabe angefordert
  • Freigegeben
  • Vorbereiten der Veröffentlichung
  • Error

• Richtlinientyp: Filtern von Nachrichten nach Richtlinientyp:

  • Anti-Schadsoftware-Richtlinie
  • Richtlinie für Sichere Anlagen
  • Antiphishingrichtlinie
  • Antispamrichtlinie
  • Transportregel (Nachrichtenflussregel)
  • Regel zur Verhinderung von Datenverlust

  Die Werte für Richtlinientyp und Quarantänegrund sind miteinander verknüpft. Beispielsweise ist Bulk immer einer Antispamrichtlinie zugeordnet, niemals mit einer Anti-Malware-Richtlinie.

Wenn Sie mit dem Flyout Filter fertig sind, wählen Sie Übernehmen aus. Um die Filter zu löschen, wählen Sie Filter löschen aus.

Verwenden Sie das feld Search und einen entsprechenden Wert, um nach bestimmten Nachrichten zu suchen. Platzhalter werden nicht unterstützt. Sie können nach den folgenden Werten suchen:

• E-Mail-Adresse des Absenders
• Betreff: Verwenden Sie den gesamten Betreff der Nachricht. Bei der Suche wird die Groß-/Kleinschreibung nicht beachtet.

Nachdem Sie die Suchkriterien eingegeben haben, drücken Sie die EINGABETASTE, um die Ergebnisse zu filtern.

Nachdem Sie eine bestimmte in Quarantäne befindliche Nachricht gefunden haben, wählen Sie die Nachricht aus, um Details dazu anzuzeigen und maßnahmen zu ergreifen (z. B. Anzeigen, Freigeben, Herunterladen oder Löschen der Nachricht).

Anzeigen von Details zu in Quarantäne befindlichen E-Mails

1. Wechseln Sie im Microsoft Defender-Portal unter https://security.microsoft.comzur Registerkarte Email & Zusammenarbeit>Quarantäne>überprüfen>Email Registerkarte. Oder verwenden Sie , um direkt zur Registerkarte Email auf der Seite Quarantäne zu wechselnhttps://security.microsoft.com/quarantine?viewid=Email.

2. Wählen Sie auf der Registerkarte Email die unter Quarantäne gestellte Nachricht aus, indem Sie auf eine beliebige Stelle in der Zeile klicken, die nicht das Kontrollkästchen ist.

Im daraufhin geöffneten Details-Flyout sind die folgenden Informationen verfügbar:

• Abschnitt "Details zur Quarantäne ":

  • Empfangen: Das Datum/die Uhrzeit des Nachrichtenempfangs.

  • Läuft ab: Das Datum/die Uhrzeit, an dem die Nachricht automatisch und endgültig aus der Quarantäne gelöscht wird.

  • Subject

  • Quarantänegrund: Zeigt an, ob eine Nachricht als Spam, Massen- oder Phish-Nachricht identifiziert wurde, mit einer Nachrichtenflussregel (Transportregel) übereinstimmt oder als Schadsoftware identifiziert wurde.

  • Richtlinientyp

  • Name der Richtlinie

  • Empfängeranzahl

  • Empfänger: Wenn die Nachricht mehrere Empfänger enthält, müssen Sie möglicherweise die Vorschaunachricht oder den Nachrichtenkopf anzeigen verwenden, um die vollständige Liste der Empfänger anzuzeigen.

    Empfänger-E-Mail-Adressen werden immer in den primäre E-Mail-Adresse aufgelöst, auch wenn die Nachricht an eine Proxyadresse gesendet wurde.

  • Freigegeben für oder Noch nicht freigegeben für: Wenn die Nachricht vor der Veröffentlichung durch einen Administrator überprüft werden muss:

    • Freigegeben für: Email Adressen von Empfängern, für die die Nachricht freigegeben wurde.
    • Noch nicht freigegeben für: Email Adressen von Empfängern, für die die Nachricht nicht freigegeben wurde.

Der Rest des Details-Flyouts enthält die Abschnitte Übermittlungsdetails, Email Details, URLs und Anlagen, die Teil des Email Zusammenfassungsbereichs sind. Weitere Informationen finden Sie unter Zusammenfassungsbereich Email.

Informationen zu Maßnahmen im Hinblick auf die Nachricht finden Sie im nächsten Abschnitt.

Maßnahmen für isolierte E-Mails ergreifen

1. Wechseln Sie im Microsoft Defender-Portal unter https://security.microsoft.comzur Registerkarte Email & Zusammenarbeit>Quarantäne>überprüfen>Email Registerkarte. Oder verwenden Sie , um direkt zur Registerkarte Email auf der Seite Quarantäne zu wechselnhttps://security.microsoft.com/quarantine?viewid=Email.

2. Wählen Sie auf der Registerkarte Email die in Quarantäne befindliche E-Mail-Nachricht mit einer der folgenden Methoden aus:

   • Wählen Sie die Nachricht aus der Liste aus, indem Sie das Kontrollkästchen neben der ersten Spalte aktivieren. Die verfügbaren Aktionen sind nicht mehr abgeblendet.

     

   • Wählen Sie die Nachricht aus der Liste aus, indem Sie auf eine beliebige Stelle in der Zeile klicken, die sich nicht auf das Kontrollkästchen befindet. Die verfügbaren Aktionen befinden sich im Details-Flyout, das geöffnet wird.

     

   Wenn Sie beide Methoden verwenden, um die Nachricht auszuwählen, sind viele Aktionen unter Mehr oder Mehr Optionen verfügbar.

Nachdem Sie die unter Quarantäne gestellte Nachricht ausgewählt haben, werden die verfügbaren Aktionen in den folgenden Unterabschnitten beschrieben.

Freigeben von in Quarantäne befindlichen E-Mails

Diese Aktion ist nicht für E-Mail-Nachrichten verfügbar, die bereits veröffentlicht wurden (der Wert Release statusist Freigegeben).

Wenn Sie eine Nachricht nicht freigeben oder entfernen, wird sie nach dem in der Spalte Ablaufdatum angezeigten Datum automatisch aus der Quarantäne gelöscht.

• Sie können eine Nachricht nicht mehrmals an denselben Empfänger freigeben.
• Wenn Sie einzelne ursprüngliche Empfänger auswählen, um die freigegebene Nachricht zu empfangen, können Sie nur Empfänger auswählen, die die freigegebene Nachricht noch nicht erhalten haben.
• Mitglieder der Rollengruppe Sicherheitsadministratoren können die Optionen Nachricht an Microsoft senden anzeigen und verwenden, um die Erkennung zu verbessern und E-Mails mit ähnlichen Attributen zulassen .
• Benutzer können falsch positive Ergebnisse aus der Quarantäne an Microsoft melden, abhängig vom Wert der Einstellung Berichterstellung aus Quarantäne in den vom Benutzer gemeldeten Einstellungen.

Nachdem Sie die Nachricht ausgewählt haben, verwenden Sie eine der folgenden Methoden, um sie freizugeben:

• Wählen Sie auf der Registerkarte Email die Option Freigeben aus.
• Im Details-Flyout der ausgewählten Nachricht: Wählen Sie E-Mail freigeben aus.

Konfigurieren Sie im geöffneten Flyout Release email to recipient inboxes (E-Mail an Empfänger-Posteingang freigeben ), das geöffnet wird, die folgenden Optionen:

• Wählen Sie einen der folgenden Werte aus:

  • Freigabe für alle Empfänger
  • Für einen oder mehrere der ursprünglichen Empfänger der E-Mail freigeben: Geben Sie die Empfänger in das daraufhin angezeigte Feld Empfänger ein.

• Eine Kopie dieser Nachricht an einen anderen Empfänger senden: Wenn Sie diese Option auswählen, wählen Sie einen oder mehrere Empfänger aus, indem Sie in das daraufhin angezeigte Feld Empfänger klicken.

• Senden Sie die Nachricht an Microsoft, um die Erkennung zu verbessern: Wenn Sie diese Option auswählen, wird die fälschlicherweise unter Quarantäne gestellte Nachricht an Microsoft als falsch positiv gemeldet. Abhängig von den Ergebnissen ihrer Analyse können die dienstweiten Spamfilterregeln angepasst werden, um die Nachricht zuzulassen.

  Wenn Sie diese Option auswählen, werden die folgenden Optionen angezeigt:

  • Diese Nachricht zulassen: Wenn Sie diese Option auswählen, werden der Zulassungs-/Sperrliste des Mandanten für den Absender und alle zugehörigen URLs oder Anlagen in der Nachricht Zulassungseinträge hinzugefügt. Die folgenden Optionen werden ebenfalls angezeigt:
    • Eintrag entfernen nach: Der Standardwert ist 30 Tage, Aber Sie können auch 1 Tag, 7 Tage oder ein Bestimmtes Datum auswählen, das weniger als 30 Tage ist.
    • Eingabehinweis zulassen: Geben Sie eine optionale Notiz ein, die zusätzliche Informationen enthält.

Wenn Sie das Flyout E-Mail an Empfängerboxen freigeben abgeschlossen haben, wählen Sie Nachricht freigeben aus.

Zurück auf der Registerkarte Email ist der Wert release status der Nachricht Freigegeben.

Genehmigen oder Verweigern von Freigabeanforderungen von Benutzern für unter Quarantäne gestellte E-Mails

Benutzer können die Freigabe von E-Mail-Nachrichten anfordern, wenn die Quarantänerichtlinie Empfängern das Freigeben einer Nachricht aus der Quarantäne (PermissionToRequestRelease Berechtigung) gestatten anstelle von Empfängern erlauben, eine Nachricht aus der Quarantäne freizugeben (PermissionToRelease Berechtigung) verwendet hat, wenn die Nachricht unter Quarantäne gestellt wurde. Weitere Informationen finden Sie unter Erstellen von Quarantänerichtlinien im Microsoft Defender-Portal.

Nachdem ein Empfänger die Veröffentlichung der E-Mail-Nachricht angefordert hat, ändert sich der Wert release status in Release requested, und ein Administrator kann die Anforderung genehmigen oder ablehnen.

Wenn Sie eine Nachricht nicht freigeben oder entfernen, wird sie nach dem in der Spalte Ablaufdatum angezeigten Datum automatisch aus der Quarantäne gelöscht.

Nachdem Sie die Nachricht ausgewählt haben, verwenden Sie eine der folgenden Methoden, um die Releaseanforderung zu genehmigen oder zu verweigern:

• Auf der Registerkarte Email: Wählen Sie Freigabe genehmigen oder Verweigern aus.
• Im Details-Flyout der ausgewählten Nachricht: Wählen Sie Mehr und dann Freigabe genehmigen oder Freigabe verweigern aus.

Wenn Sie Freigabe genehmigen auswählen, wird ein Flyout Release genehmigen geöffnet, in dem Sie Informationen zur Nachricht überprüfen können. Wählen Sie Release genehmigen aus, um die Anforderung zu genehmigen. Ein Flyout mit genehmigtem Release wird geöffnet, in dem Sie den Link auswählen können, um mehr über das Freigeben von Nachrichten zu erfahren. Wählen Sie Fertig aus, wenn Sie im Flyout Release approved (Genehmigte Freigabe ) fertig sind. Zurück auf der Registerkarte Email ändert sich der Wert release status der Nachricht in Genehmigt.

Wenn Sie Verweigern auswählen, wird ein Flyout Release verweigern geöffnet, in dem Sie Informationen zur Nachricht überprüfen können. Um die Anforderung zu verweigern, wählen Sie Release verweigern aus. Ein Flyout "Release verweigert " wird geöffnet, in dem Sie den Link auswählen können, um mehr über das Freigeben von Nachrichten zu erfahren. Wählen Sie Fertig aus, wenn Sie im Flyout Release denied (Release verweigert ) fertig sind. Zurück auf der Registerkarte Email ändert sich der Wert release status der Nachricht in Verweigert.

Löschen von E-Mails aus Quarantäne

Wenn Sie eine E-Mail-Nachricht aus der Quarantäne löschen, wird die Nachricht entfernt und nicht an die ursprünglichen Empfänger gesendet.

Wenn Sie eine Nachricht nicht freigeben oder entfernen, wird sie nach dem in der Spalte Ablaufdatum angezeigten Datum automatisch aus der Quarantäne gelöscht.

Nachdem Sie die Nachricht ausgewählt haben, verwenden Sie eine der folgenden Methoden, um sie zu entfernen:

• Auf der Registerkarte Email: Wählen Sie Aus Quarantäne löschen aus.
• Im Details-Flyout der ausgewählten Nachricht: Wählen Sie Weitere Optionen>Aus Quarantäne löschen aus.

Verwenden Sie im geöffneten Flyout Delete (n) messages from quarantine (Delete (n) messages from quarantine (Löschen von (n) Nachrichten aus Quarantäne , das geöffnet wird, eine der folgenden Methoden, um die Nachricht zu löschen:

• Wählen Sie Nachricht aus Quarantäne endgültig löschen und dann Löschen: Die Nachricht wird endgültig gelöscht und kann nicht wiederhergestellt werden.
• Wählen Sie Nur löschen aus: Die Nachricht wird gelöscht, kann aber möglicherweise wiederhergestellt werden.

Nachdem Sie im Flyout Löschen (n) Nachrichten aus Quarantäne löschen ausgewählt haben, kehren Sie zur Registerkarte Email zurück, auf der die Nachricht nicht mehr aufgeführt ist.

Vorschau von E-Mails aus Quarantäne

Nachdem Sie die Nachricht ausgewählt haben, verwenden Sie eine der folgenden Methoden, um eine Vorschau anzuzeigen:

• Auf der Registerkarte Email: Wählen Sie Vorschaunachricht aus.
• Im Details-Flyout der ausgewählten Nachricht: Wählen Sie Weitere Optionen>Vorschaunachricht aus.

Wählen Sie im daraufhin geöffneten Flyout eine der folgenden Registerkarten aus:

• Quelle: Zeigt die HTML-Version des Nachrichtentextes an, wobei alle Links deaktiviert sind.
• Textansicht: Zeigt den Nachrichtentext in reinem Textformat an.

Anzeigen von E-Mail-Nachrichtenheadern

Nachdem Sie die Nachricht ausgewählt haben, verwenden Sie eine der folgenden Methoden, um die Nachrichtenheader anzuzeigen:

• Klicken Sie auf der Registerkarte Email auf Weitere>Nachrichtenkopfzeilen anzeigen.
• Im Details-Flyout der ausgewählten Nachricht: Wählen Sie Weitere Optionen>Nachrichtenkopfzeilen anzeigen aus.

Im daraufhin geöffneten Flyout Nachrichtenheader wird der Nachrichtenkopf (alle Headerfelder) angezeigt.

Verwenden Sie Nachrichtenheader kopieren , um den Nachrichtenheader in die Zwischenablage zu kopieren.

Wählen Sie den Link Microsoft Message Header Analyzer aus, um die Headerfelder und -werte ausführlich zu analysieren. Fügen Sie den Nachrichtenkopf in den Abschnitt Einfügen der Zu analysierenden Nachrichtenkopfzeile ein (STRG+V, oder klicken Sie mit der rechten Maustaste, und wählen Sie Einfügen aus), und wählen Sie dann Header analysieren aus.

E-Mail an Microsoft zur Überprüfung aus Quarantäne melden

Nachdem Sie die Nachricht ausgewählt haben, verwenden Sie eine der folgenden Methoden, um die Nachricht zur Analyse an Microsoft zu melden:

• Wählen Sie auf der Registerkarte Emaildie Option Weitere>Zur Überprüfung übermitteln aus.
• Im Details-Flyout der ausgewählten Nachricht: Wählen Sie Weitere Optionen>Zur Überprüfung übermitteln aus.

Konfigurieren Sie im daraufhin geöffneten Flyout An Microsoft zur Analyse übermitteln die folgenden Optionen:

• Fügen Sie die Netzwerknachrichten-ID hinzu, oder laden Sie die E-Mail-Datei hoch: Wählen Sie eine der folgenden Optionen aus:

  • E-Mail-Netzwerknachrichten-ID hinzufügen: Dieser Wert ist standardmäßig mit dem entsprechenden Wert im Feld ausgewählt.
  • Hochladen der E-Mail-Datei (.msg oder eml):Nachdem Sie diese Option ausgewählt haben, wählen Sie die Schaltfläche Dateien durchsuchen aus, die angezeigt wird, um die .msg- oder .eml Nachrichtendatei zu suchen und auszuwählen, die gesendet werden soll.

• Wählen Sie einen Empfänger aus, der ein Problem hatte: Wählen Sie einen (bevorzugten) oder mehrere ursprüngliche Empfänger der Nachricht aus, um die Richtlinien zu analysieren, die auf sie angewendet wurden.

• Wählen Sie einen Grund für die Übermittlung an Microsoft aus: Wählen Sie eine der folgenden Optionen aus:

  • Ich habe bestätigt, dass es sauber ist (Standard): Wählen Sie diese Option aus, wenn Sie sicher sind, dass die Nachricht sauber ist, und wählen Sie dann Weiter aus. Dann sind die folgenden Einstellungen verfügbar:

    • Diese E-Mail zulassen: Wenn Sie diese Option auswählen, werden zulassungsbezogene Einträge der Mandanten-Zulassungs-/Sperrliste für den Absender und alle zugehörigen URLs oder Anlagen in der Nachricht hinzugefügt. Die folgenden Optionen werden ebenfalls angezeigt:
    • Eintrag entfernen nach: Der Standardwert ist 30 Tage, Aber Sie können auch 1 Tag, 7 Tage oder ein Bestimmtes Datum auswählen, das weniger als 30 Tage ist.
    • Eingabehinweis zulassen: Geben Sie eine optionale Notiz ein, die zusätzliche Informationen enthält.

  • Es wird sauber angezeigt: Wählen Sie diese Option aus, wenn Sie unsicher sind und ein Urteil von Microsoft wünschen.

Wenn Sie mit dem Flyout An Microsoft zur Analyse übermitteln fertig sind, wählen Sie Übermitteln aus.

Blockieren der Quarantäne von E-Mail-Absendern

Die Aktion Absender blockieren fügt den Absender der ausgewählten E-Mail-Nachricht der Liste Blockierte Absender im Postfach des Angemeldeten hinzu. In der Regel wird diese Aktion von Endbenutzern verwendet, wenn sie ihnen durch Quarantänerichtlinien zur Verfügung steht. Weitere Informationen zu Benutzern, die Absender blockieren, finden Sie unter Blockieren eines E-Mail-Absenders.

Nachdem Sie die Nachricht ausgewählt haben, verwenden Sie eine der folgenden Methoden, um den Nachrichtensender der Liste Blockierte Absender in Ihrem Postfach hinzuzufügen:

• Klicken Sie auf der Registerkarte Email auf Weitere>Absender blockieren.
• Wählen Sie im Details-Flyout der ausgewählten NachrichtWeitere Optionen>Absender blockieren aus.

Überprüfen Sie im daraufhin geöffneten Flyout Absender blockieren die Informationen zum Absender, und wählen Sie dann Blockieren aus.

Freigeben von E-Mails aus Quarantäne

Sie können eine Kopie der in Quarantäne befindlichen E-Mail-Nachricht, einschließlich potenziell schädlicher Inhalte, an die angegebenen Empfänger senden.

Nachdem Sie die Nachricht ausgewählt haben, verwenden Sie eine der folgenden Methoden, um eine Kopie davon an andere Personen zu senden:

• Wählen Sie auf der Registerkarte Emaildie Option Weitere>E-Mail freigeben aus.
• Wählen Sie im Details-Flyout der ausgewählten NachrichtWeitere Optionen>E-Mail freigeben aus.

Wählen Sie im geöffneten Flyout E-Mail für andere Benutzer freigeben einen oder mehrere Empfänger aus, um eine Kopie der Nachricht zu erhalten. Wenn Sie fertig sind, wählen Sie Freigeben aus.

Herunterladen von E-Mails aus Quarantäne

Nachdem Sie die E-Mail-Nachricht ausgewählt haben, verwenden Sie eine der folgenden Methoden, um sie herunterzuladen:

• Wählen Sie auf der Registerkarte Emaildie Option Weitere>Meldungen herunterladen aus.
• Im Details-Flyout der ausgewählten Nachricht: Wählen Sie Weitere Optionen>Nachricht herunterladen aus.

Geben Sie im daraufhin geöffneten Flyout Datei herunterladen die folgenden Informationen ein:

• Grund für das Herunterladen der Datei: Geben Sie beschreibenden Text ein.
• Kennwort erstellen und Kennwort bestätigen: Geben Sie ein Kennwort ein, das zum Öffnen der heruntergeladenen Nachrichtendatei erforderlich ist.

Wenn Sie mit dem Flyout Datei herunterladen fertig sind, wählen Sie Herunterladen aus.

Wenn der Download bereit ist, wird ein Dialogfeld Speichern unter geöffnet, in dem Sie den heruntergeladenen Dateinamen und den Speicherort anzeigen oder ändern können. Standardmäßig wird die .eml-Nachrichtendatei in einer komprimierten Datei namens Quarantined Messages.zip in Ihrem Downloads-Ordner gespeichert. Wenn die .zip Datei bereits vorhanden ist, wird eine Zahl an den Dateinamen angefügt (z. B. Unter Quarantäne gestellte Nachrichten(1).zip).

Akzeptieren oder ändern Sie die heruntergeladenen Dateidetails, und wählen Sie dann Speichern aus.

Wählen Sie im Flyout Datei herunterladen die Option Fertig aus.

Aktionen für unter Quarantäne gestellte E-Mail-Nachrichten in Defender for Office 365

In Organisationen mit Microsoft Defender for Office 365 (Add-On-Lizenzen oder in Abonnements wie Microsoft 365 E5 oder Microsoft 365 Business Premium enthalten) sind die folgenden Aktionen auch im Detail-Flyout einer ausgewählten Nachricht verfügbar:

• E-Mail-Entität öffnen: Weitere Informationen finden Sie unter Informationen auf der Seite Email Entität.

• Aktionen ausführen: Mit dieser Aktion wird derselbe Aktions-Assistent gestartet, der auf der Entitätsseite Email verfügbar ist. Weitere Informationen finden Sie unter Aktionen auf der Entitätsseite Email.

Maßnahmen für mehrere isolierte E-Mail-Nachrichten ergreifen

Wenn Sie mehrere unter Quarantäne gestellte Nachrichten auf der Registerkarte Email auswählen, indem Sie die Kontrollkästchen neben der ersten Spalte aktivieren, sind die folgenden Massenaktionen auf der Registerkarte Email verfügbar (abhängig von den Werten der status freigeben der ausgewählten Nachrichten):

• Freigeben von in Quarantäne befindlichen E-Mails

  Die einzigen verfügbaren Optionen, die Sie für Massenaktionen auswählen können, sind Send a copy of this message to other recipients in your organization and Send the message to Microsoft to improve detection (false positive).

• Genehmigen oder Verweigern von Freigabeanforderungen von Benutzern für unter Quarantäne gestellte E-Mails

• Löschen von E-Mails aus Quarantäne

• E-Mail an Microsoft zur Überprüfung aus Quarantäne melden

  Die einzigen verfügbaren Optionen für Massenaktionen sind E-Mails mit ähnlichen Attributen zulassen und die zugehörigen Optionen Eintrag nach zulassen und Eintragsnotiz zulassen zulassen .

• Herunterladen von E-Mails aus Quarantäne

Ermitteln, wer eine in Quarantäne befindliche Nachricht gelöscht hat

Standardmäßig ermöglichen viele Sicherheitsrichtlinienbewertungen Benutzern das Löschen ihrer in Quarantäne befindlichen Nachrichten (Nachrichten, deren Empfänger sie sind). Weitere Informationen finden Sie in der Tabelle unter Verwalten von in Quarantäne befindlichen Nachrichten und Dateien als Benutzer.

Administratoren können das Überwachungsprotokoll mithilfe der folgenden Verfahren durchsuchen, um Ereignisse für Nachrichten zu finden, die aus der Quarantäne gelöscht wurden:

1. Navigieren Sie im Defender-Portal unter https://security.microsoft.comzu Überwachung. Oder verwenden Sie https://security.microsoft.com/auditlogsearch, um direkt zur Seite Überwachung zu wechseln.

   Tipp

   Sie können auch auf die Seite Überwachung im Microsoft Purview-Complianceportal unterhttps://compliance.microsoft.com/auditlogsearch

2. Vergewissern Sie sich auf der Seite Überwachung, dass die Registerkarte Neu Search ausgewählt ist, und konfigurieren Sie dann die folgenden Einstellungen:

   • Datums- und Uhrzeitbereich (UTC)
   • Aktivitäten – Anzeigenamen: Klicken Sie in das Feld, beginnen Sie mit der Eingabe von "Quarantäne" in das angezeigte Search Feld, und wählen Sie dann gelöschte Quarantänenachricht aus den Ergebnissen aus.
   • Benutzer: Wenn Sie wissen, wer die Nachricht aus der Quarantäne gelöscht hat, können Sie die Ergebnisse nach Benutzer weiter filtern.

3. Wenn Sie mit der Eingabe der Suchkriterien fertig sind, wählen Sie Search aus, um die Suche zu generieren.

Vollständige Anweisungen für Überwachungsprotokollsuchen finden Sie unter Überwachen neuer Search.

Verwenden Sie das Microsoft Defender-Portal, um unter Quarantäne gestellte Dateien in Defender for Office 365 zu verwalten.

In Organisationen mit Defender for Office 365 können Administratoren Dateien verwalten, die von sicheren Anlagen für SharePoint, OneDrive und Microsoft Teams unter Quarantäne gesetzt wurden. Informationen zum Aktivieren des Schutzes für diese Dateien finden Sie unter Aktivieren sicherer Anlagen für SharePoint, OneDrive und Microsoft Teams.

In Quarantäne befindliche Dateien anzeigen

Wechseln Sie im Microsoft Defender-Portal unter https://security.microsoft.comzur Registerkarte Email & Zusammenarbeit>Quarantänedateien>überprüfen>. Oder verwenden Sie https://security.microsoft.com/quarantine?viewid=Files, um direkt zur Registerkarte Dateien auf der Seite Quarantäne zu wechseln.

Auf der Registerkarte Dateien können Sie den vertikalen Abstand in der Liste verringern, indem Sie auf Listenabstand in Komprimierung oder normal ändern klicken und dann Liste komprimieren auswählen.

Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken. Wählen Sie Spalten anpassen aus, um die angezeigten Spalten zu ändern. Die Standardwerte sind mit einem Sternchen (^*) gekennzeichnet:

• Benutzer^*
• Standort^*: Der Wert ist SharePoint oder OneDrive.
• Name der Anlagedatei^*
• Datei-URL^*
• Dateigröße
• Freigabestatus^*
• Abläuft^*
• Erkannt von
• Geändert nach Zeit

Um die Einträge zu filtern, wählen Sie Filter aus. Die folgenden Filter sind im Flyout Filter verfügbar, das geöffnet wird:

• Empfangene Zeit:
  • Letzte 24 Stunden
  • Die letzten 7 Tage
  • Letzte 14 Tage
  • Letzte 30 Tage (Standard)
  • Benutzerdefiniert: Geben Sie eine Startzeit und Endzeit (Datum) ein.
• Läuft ab:
  • Benutzerdefiniert (Standard): Geben Sie eine Startzeit und eine Endzeit (Datum) ein.
  • Heute
  • Nächste 2 Tage
  • Nächste 7 Tage
• Quarantänegrund: Der einzige verfügbare Wert ist Malware.
• Richtlinientyp: Der einzige verfügbare Wert ist Unbekannt.

Wenn Sie im Flyout Filter fertig sind, wählen Sie Übernehmen aus. Um die Filter zu löschen, wählen Sie Filter löschen aus.

Verwenden Sie das Feld Search und einen entsprechenden Wert, um bestimmte Dateien nach Dateinamen zu suchen. Platzhalter werden nicht unterstützt.

Nachdem Sie die Suchkriterien eingegeben haben, drücken Sie die EINGABETASTE, um die Ergebnisse zu filtern.

Nachdem Sie eine bestimmte unter Quarantäne gestellte Datei gefunden haben, wählen Sie die Datei aus, um Details dazu anzuzeigen und Entsprechende Maßnahmen zu ergreifen (z. B. Anzeigen, Freigeben, Herunterladen oder Löschen der Datei).

Anzeigen von Details zu isolierten Dateien

1. Wechseln Sie im Microsoft Defender-Portal unter https://security.microsoft.comzur Registerkarte Email & Zusammenarbeit>Quarantänedateien>überprüfen>. Oder verwenden Sie https://security.microsoft.com/quarantine?viewid=Files, um direkt zur Registerkarte Dateien auf der Seite Quarantäne zu wechseln.

2. Wählen Sie auf der Registerkarte Dateien die unter Quarantäne gestellte Datei aus, indem Sie auf eine beliebige Stelle in der Zeile klicken, die nicht das Kontrollkästchen ist.

Im daraufhin geöffneten Details-Flyout sind die folgenden Informationen verfügbar:

• Abschnitt "Dateidetails ":
  • Dateiname
  • Datei-URL: URL, die den Speicherort der Datei definiert (z. B. in SharePoint Online).
  • Schädlicher Inhalt erkannt auf Das Datum/die Uhrzeit, an dem die Datei unter Quarantäne gesetzt wurde.
  • Läuft ab: Das Datum, an dem die Datei aus der Quarantäne gelöscht wird.
  • Erkannt von
  • Freigegeben?
  • Name der Schadsoftware
  • Dokument-ID: Ein eindeutiger Bezeichner für das Dokument.
  • Dateigröße
  • Organisation Die eindeutige ID Ihres organization.
  • Zuletzt geändert
  • Zuletzt geändert von: Der Benutzer, der die Datei zuletzt geändert hat.
  • Sha-256-Bit-Wert (Secure Hash Algorithm, 256 Bit): Sie können diesen Hashwert verwenden, um die Datei in anderen Reputationsspeichern oder an anderen Speicherorten in Ihrer Umgebung zu identifizieren.

Informationen zum Ausführen von Maßnahmen für die Datei finden Sie im nächsten Abschnitt.

Ergreifen von Maßnahmen für unter Quarantäne gestellte Dateien

1. Wechseln Sie im Microsoft Defender-Portal unter https://security.microsoft.comzur Registerkarte Email & Zusammenarbeit>Quarantänedateien>überprüfen>. Oder verwenden Sie https://security.microsoft.com/quarantine?viewid=Files, um direkt zur Registerkarte Dateien auf der Seite Quarantäne zu wechseln.

2. Wählen Sie auf der Registerkarte Dateien die unter Quarantäne gestellte Datei aus, indem Sie auf eine beliebige Stelle in der Zeile klicken, die nicht das Kontrollkästchen ist.

Nachdem Sie die unter Quarantäne gestellte Datei ausgewählt haben, werden die verfügbaren Aktionen im sich öffnenden Dateidetails-Flyout in den folgenden Unterabschnitten beschrieben.

Freigeben von in Quarantäne befindlichen Dateien aus der Quarantäne

Diese Aktion ist nicht für Dateien verfügbar, die bereits freigegeben wurden (der Wert Freigegeben status ist Freigegeben).

Wenn Sie die Datei nicht freigeben oder aus der Quarantäne löschen, wird die Datei nach Ablauf der standardmäßigen Quarantäneaufbewahrungsdauer aus der Quarantäne entfernt (siehe Spalte Läuft ab), aber die blockierte Datei verbleibt in SharePoint oder OneDrive im blockierten Zustand.

Nachdem Sie die Datei ausgewählt haben, wählen Sie im daraufhin geöffneten Dateidetails-Flyout Datei freigeben aus.

Zeigen Sie im geöffneten Flyout Dateien freigeben und an Microsoft melden die Dateidetails im Abschnitt Dateien an Microsoft zur Analyse melden an, entscheiden Sie, ob Dateien zur Analyse an Microsoft melden ausgewählt werden sollen, und wählen Sie dann Freigeben aus.

Wählen Sie im geöffneten Flyout Dateien wurden freigegeben die Option Fertig aus.

Wählen Sie im Dateidetails-Flyout Schließen aus.

Zurück auf der Registerkarte Dateien lautet der Wert release status der Datei Freigegeben.

Herunterladen von in Quarantäne befindlichen Dateien aus der Quarantäne

Nachdem Sie die Datei ausgewählt haben, wählen Sie im daraufhin geöffneten Details-Flyout Datei herunterladen aus.

Geben Sie im daraufhin geöffneten Flyout Datei herunterladen die folgenden Informationen ein:

• Grund für das Herunterladen der Datei: Geben Sie beschreibenden Text ein.
• Kennwort erstellen und Kennwort bestätigen: Geben Sie ein Kennwort ein, das zum Öffnen der heruntergeladenen Datei erforderlich ist.

Wenn Sie mit dem Flyout Datei herunterladen fertig sind, wählen Sie Herunterladen aus.

Wenn der Download bereit ist, wird ein Dialogfeld Speichern unter geöffnet, in dem Sie den heruntergeladenen Dateinamen und den Speicherort anzeigen oder ändern können. Standardmäßig wird die Datei in einer komprimierten Datei namens Quarantined Messages.zip im Ordner Downloads gespeichert. Wenn die .zip Datei bereits vorhanden ist, wird eine Zahl an den Dateinamen angefügt (z. B. Unter Quarantäne gestellte Nachrichten(1).zip).

Akzeptieren oder ändern Sie die heruntergeladenen Dateidetails, und wählen Sie dann Speichern aus.

Wählen Sie im Flyout Datei herunterladen die Option Fertig aus.

Löschen von in Quarantäne befindlichen Dateien aus der Quarantäne

Wenn Sie die Datei nicht freigeben oder aus der Quarantäne löschen, wird die Datei nach Ablauf der standardmäßigen Quarantäneaufbewahrungsdauer aus der Quarantäne entfernt (siehe Spalte Läuft ab), aber die blockierte Datei verbleibt in SharePoint oder OneDrive im blockierten Zustand.

Nachdem Sie die Datei ausgewählt haben, wählen Sie im daraufhin geöffneten Details-Flyout weitere> AusQuarantäne löschen aus.

Klicken Sie im daraufhin geöffneten Warnungsdialogfeld auf Weiter .

Zurück auf der Registerkarte Dateien wird die Datei nicht mehr aufgeführt.

Ergreifen von Maßnahmen für mehrere unter Quarantäne gestellte Dateien

Wenn Sie mehrere unter Quarantäne gestellte Dateien auf der Registerkarte Dateien auswählen, indem Sie die Kontrollkästchen neben der ersten Spalte (bis zu 100 Dateien) aktivieren, wird eine Dropdownliste Massenaktionen angezeigt, in der Sie die folgenden Aktionen ausführen können:

• Freigeben von in Quarantäne befindlichen Dateien aus der Quarantäne
• Löschen von in Quarantäne befindlichen Dateien aus der Quarantäne
• Herunterladen von in Quarantäne befindlichen Dateien aus der Quarantäne

Verwalten von in Microsoft Teams isolierten Nachrichten über das Microsoft Defender-Portal

Quarantäne in Microsoft Teams ist nur in Organisationen mit Microsoft Defender for Office 365 Plan 2 (Add-On-Lizenzen oder in Abonnements wie Microsoft 365 E5 enthalten) verfügbar.

Wenn eine potenziell schädliche Chatnachricht in Microsoft Teams erkannt wird, entfernt zap (Zero-Hour Auto Purge) die Nachricht und isoliert sie. Administratoren können diese in Quarantäne befindlichen Teams-Nachrichten anzeigen und verwalten. Die Nachricht wird für 30 Tage unter Quarantäne gesetzt. Danach wird die Teams-Nachricht endgültig entfernt.

Diese Funktion ist standardmäßig aktiviert.

Anzeigen von in Quarantäne befindlichen Teams-Nachrichten

Wechseln Sie im Microsoft Defender-Portal unter https://security.microsoft.comzur Registerkarte Email & Zusammenarbeit>Teams-Nachrichten unter Quarantäne>überprüfen>. Oder verwenden Sie , um direkt zur Registerkarte Teams-Nachrichten auf der Seite Quarantäne zu wechselnhttps://security.microsoft.com/quarantine?viewid=Teams.

Auf der Registerkarte Teams-Nachrichten können Sie den vertikalen Abstand in der Liste verringern, indem Sie auf Listenabstand in Komprimierung oder normal ändern klicken und dann Liste komprimieren auswählen.

Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken. Wählen Sie Spalten anpassen aus, um die angezeigten Spalten zu ändern. Die Standardwerte sind mit einem Sternchen (^*) gekennzeichnet:

• Teams-Nachrichtentext: Enthält den Betreff für die Teams-Nachricht.^*
• Empfangene Zeit: Der Zeitpunkt, zu dem die Nachricht vom Empfänger empfangen wurde.^*
• Release status: Zeigt an, ob die Nachricht bereits überprüft und freigegeben wurde oder ob eine Überprüfung erforderlich ist. ^*
• Teilnehmer: Die Gesamtzahl der Benutzer, die die Nachricht erhalten haben.^*
• Absender: Die Person, die die Nachricht gesendet hat, die unter Quarantäne gesetzt wurde.^*
• Quarantänegrund: Verfügbare Optionen sind "Hoher Konfidenz-Phish" und "Schadsoftware".^*
• Richtlinientyp: Die organization Richtlinie, die für die in Quarantäne befindliche Nachricht verantwortlich ist.^*
• Läuft ab: Gibt den Zeitpunkt an, nach dem die Nachricht aus der Quarantäne entfernt wird. Standardmäßig beträgt dieser Wert 30 Tage.^*
• Empfängeradresse: Email Adresse der Empfänger.^*
• Nachrichten-ID: Enthält die Chatnachrichten-ID.

Um die Einträge zu filtern, wählen Sie Filter aus. Die folgenden Filter sind im Flyout Filter verfügbar, das geöffnet wird:

• Nachrichten-ID
• Absenderadresse
• Empfängeradresse
• Betreff
• Empfangene Zeit:
  • Letzte 24 Stunden
  • Die letzten 7 Tage
  • Letzte 14 Tage
  • Letzte 30 Tage (Standard)
  • Benutzerdefiniert: Geben Sie eine Startzeit und Endzeit (Datum) ein.
• Läuft ab:
  • Benutzerdefiniert (Standard): Geben Sie eine Startzeit und eine Endzeit (Datum) ein.
  • Heute
  • Nächste 2 Tage
  • Nächste 7 Tage
• Quarantänegrund: Verfügbare Werte sind Malware und Phishing mit hoher Zuverlässigkeit.
• Empfänger: Wählen Sie Alle Benutzer oder Nur ich aus.
• Überprüfen status: Wählen Sie Überprüfung der Anforderungen und Veröffentlicht aus.

Wenn Sie im Flyout Filter fertig sind, wählen Sie Übernehmen aus. Um die Filter zu löschen, wählen Sie Filter löschen aus.

Verwenden Sie das Feld Search und einen entsprechenden Wert, um bestimmte Teams-Nachrichten zu finden. Platzhalter werden nicht unterstützt.

Nachdem Sie eine bestimmte in Quarantäne befindliche Teams-Nachricht gefunden haben, wählen Sie die Nachricht aus, um Details dazu anzuzeigen und maßnahmen zu ergreifen (z. B. Anzeigen, Freigeben, Herunterladen oder Löschen der Nachricht).

Anzeigen von Details zu in Quarantäne befindlichen Teams-Nachrichten

Wählen Sie auf der Registerkarte Teams-Nachrichten der Seite Quarantäne die unter Quarantäne gestellte Nachricht aus, indem Sie auf eine beliebige Stelle in der Zeile klicken, die sich nicht auf das Kontrollkästchen neben der ersten Spalte befindet.

Die folgenden Meldungsinformationen sind oben im Details-Flyout verfügbar:

• Der Titel des Flyouts ist der Betreff oder die ersten 100 Zeichen der Teams-Nachricht.
• Der Wert des Quarantänegrunds .
• Die Anzahl der Links in der Nachricht.
• Die verfügbaren Aktionen werden im Abschnitt Ausführen einer Aktion für unter Quarantäne gestellte Teams-Nachrichten beschrieben.

Der nächste Abschnitt im Details-Flyout bezieht sich auf unter Quarantäne gestellte Teams-Nachrichten:

• Abschnitt "Details zur Quarantäne ":
  • Expires
  • Empfangszeit
  • Quarantänegrund
  • Freigabestatus
  • Richtlinientyp: Der Wert ist None.
  • Richtlinienname: Der Wert ist Teams-Schutzrichtlinie.
  • Quarantänerichtlinie

Der Rest des Details-Flyouts enthält die Abschnitte Nachrichtendetails, Absender, Teilnehmer, Kanaldetails und URLs , die Teil des Teams-Nachrichtenentitätsbereichs sind. Weitere Informationen finden Sie unter Teams mMessage-Entitätsbereich in Microsoft Defender for Office 365 Plan 2.

Wenn Sie mit dem Details-Flyout fertig sind, wählen Sie Schließen aus.

Ergreifen von Maßnahmen für unter Quarantäne gestellte Teams-Nachrichten

Wechseln Sie im Microsoft Defender-Portal unter https://security.microsoft.comzur Registerkarte Email & Zusammenarbeit>Teams-Nachrichten unter Quarantäne>überprüfen>. Oder verwenden Sie , um direkt zur Registerkarte Teams-Nachrichten auf der Seite Quarantäne zu wechselnhttps://security.microsoft.com/quarantine?viewid=Teams.

Wählen Sie auf der Registerkarte Teams-Nachrichten die unter Quarantäne gestellte Nachricht mit einer der folgenden Methoden aus:

• Wählen Sie die Nachricht aus der Liste aus, indem Sie das Kontrollkästchen neben der ersten Spalte aktivieren. Die verfügbaren Aktionen sind nicht mehr abgeblendet.

  

• Wählen Sie die Nachricht aus der Liste aus, indem Sie auf eine beliebige Stelle in der Zeile klicken, die sich nicht auf das Kontrollkästchen befindet. Die verfügbaren Aktionen befinden sich im Details-Flyout, das geöffnet wird.

  

Wenn Sie eine der beiden Methoden verwenden, um die Nachricht auszuwählen, sind einige Aktionen unter Mehr verfügbar.

Nachdem Sie die unter Quarantäne gestellte Nachricht ausgewählt haben, werden die verfügbaren Aktionen in den folgenden Unterabschnitten beschrieben.

Freigeben von in Quarantäne befindlichen Teams-Nachrichten

Diese Aktion ist nicht für Teams-Nachrichten verfügbar, die bereits veröffentlicht wurden (der Wert release status ist Released).

Wenn Sie eine Nachricht nicht freigeben oder entfernen, wird sie nach dem in der Spalte Ablaufdatum angezeigten Datum automatisch aus der Quarantäne gelöscht.

Nachdem Sie die Nachricht ausgewählt haben, verwenden Sie eine der folgenden Methoden, um sie freizugeben:

• Wählen Sie auf der Registerkarte Teams-Nachrichtendie Option Freigeben aus.
• Im Details-Flyout der ausgewählten Nachricht: Wählen Sie Release aus.

Entscheiden Sie im flyout Für alle Chatteilnehmer freigeben, das geöffnet wird, ob Sie Nachricht an Microsoft senden auswählen möchten, um die Erkennung zu verbessern (falsch positiv) und dann Freigeben aus.

Löschen von Teams-Nachrichten aus der Quarantäne

Wenn Sie eine Teams-Nachricht nicht freigeben oder entfernen, wird sie nach dem in der Spalte Ablaufdatum angezeigten Datum automatisch aus der Quarantäne gelöscht.

Nachdem Sie die Teams-Nachricht ausgewählt haben, verwenden Sie eine der folgenden Methoden, um sie zu entfernen:

• Auf der Registerkarte Teams-Nachrichten: Wählen Sie Nachrichten löschen aus.
• Im Details-Flyout der ausgewählten Nachricht: Wählen Sie Weitere Optionen>Aus Quarantäne löschen aus.

Lesen Sie im daraufhin geöffneten Warnungsdialogfeld die Informationen, und wählen Sie dann Weiter aus.

Zurück auf der Registerkarte "Teams-Nachrichten " wird die Nachricht nicht mehr aufgeführt.

Vorschau von Teams-Nachrichten aus Quarantäne

Nachdem Sie die Teams-Nachricht ausgewählt haben, verwenden Sie eine der folgenden Methoden, um sie in der Vorschau anzuzeigen:

• Auf der Registerkarte Teams-Nachrichten: Wählen Sie Nachrichtenvorschau aus.
• Im Details-Flyout der ausgewählten Nachricht: Wählen Sie Vorschaunachricht aus.

Wählen Sie im daraufhin geöffneten Flyout eine der folgenden Registerkarten aus:

• Quelle: Zeigt die HTML-Version des Nachrichtentextes an, wobei alle Links deaktiviert sind.
• Textansicht: Zeigt den Nachrichtentext in reinem Textformat an.

Melden von Teams-Nachrichten an Microsoft zur Überprüfung aus der Quarantäne

Nachdem Sie die Nachricht ausgewählt haben, verwenden Sie eine der folgenden Methoden, um die Nachricht zur Analyse an Microsoft zu melden:

• Wählen Sie auf der Registerkarte Teams-Nachrichtendie Option Weitere>Zur Überprüfung übermitteln aus.
• Im Details-Flyout der ausgewählten Nachricht: Wählen Sie Weitere Optionen>Zur Überprüfung übermitteln aus.

Wenn Sie Nachricht senden auswählen, wird die Nachricht zur Analyse an Microsoft gesendet. Sie erhalten ein Dialogfeld Element übermittelt, in dem Sie OK auswählen.

Herunterladen von Teams-Nachrichten aus der Quarantäne

Nachdem Sie die Teams-Nachricht ausgewählt haben, verwenden Sie eine der folgenden Methoden, um sie herunterzuladen:

• Wählen Sie auf der Registerkarte Teams-Nachrichtendie Option Weitere>Nachrichten herunterladen aus.
• Im Details-Flyout der ausgewählten Nachricht: Wählen Sie Weitere Optionen>Nachricht herunterladen aus.

Geben Sie im daraufhin geöffneten Flyout Meldungen herunterladen die folgenden Informationen ein:

• Grund für das Herunterladen der Datei: Geben Sie beschreibenden Text ein.
• Kennwort erstellen und Kennwort bestätigen: Geben Sie ein Kennwort ein, das zum Öffnen der heruntergeladenen Nachrichtendatei erforderlich ist.

Wenn Sie mit dem Flyout Datei herunterladen fertig sind, wählen Sie Herunterladen aus.

Standardmäßig wird die .html-Nachrichtendatei in einer komprimierten Datei namens Quarantined Messages.zip in Ihrem Downloads-Ordner gespeichert. Wenn die .zip Datei bereits vorhanden ist, wird eine Zahl an den Dateinamen angefügt (z. B. Unter Quarantäne gestellte Nachrichten(1).zip).

Wählen Sie im Flyout Nachrichten herunterladen die Option Fertig aus.

Ergreifen von Maßnahmen für mehrere unter Quarantäne gestellte Teams-Nachrichten

Wenn Sie mehrere unter Quarantäne gestellte Nachrichten auf der Registerkarte Teams-Nachrichten auswählen, indem Sie die Kontrollkästchen neben der ersten Spalte aktivieren, sind die folgenden Massenaktionen auf der Registerkarte Teams-Nachrichten verfügbar:

• Freigeben von in Quarantäne befindlichen Teams-Nachrichten
• Löschen von Teams-Nachrichten aus der Quarantäne
• Melden von Teams-Nachrichten an Microsoft zur Überprüfung aus der Quarantäne
• Herunterladen von Teams-Nachrichten aus der Quarantäne

Genehmigen oder Verweigern von Freigabeanforderungen von Benutzern für unter Quarantäne gestellte Teams-Nachrichten

Wenn ein Benutzer die Veröffentlichung einer in Quarantäne befindlichen Teams-Nachricht anfordert, ändert sich der Wert Release statusin Release angefordert, und ein Administrator kann die Anforderung genehmigen oder ablehnen.

Weitere Informationen finden Sie unter Genehmigen oder Verweigern von Releaseanforderungen von Benutzern.

Verwenden von Exchange Online PowerShell oder eigenständiger EOP PowerShell zum Verwalten von in Quarantäne befindlichen Nachrichten

Die Cmdlets, die Sie zum Anzeigen und Verwalten von Nachrichten und Dateien in Quarantäne verwenden, werden in diesem Abschnitt beschrieben.

• Delete-QuarantineMessage
• Export-QuarantineMessage
• Get-QuarantineMessage
• Preview-QuarantineMessage: Dieses Cmdlet gilt nur für Nachrichten, nicht für unter Quarantäne gestellte Dateien.
• Release-QuarantineMessage

Weitere Informationen

Häufig gestellte Fragen zu unter Quarantäne gestellten Nachrichten