使用 PowerShell 在 Exchange Online 中导出隔离邮件报告

经过两年的隔离，我们现在已经熟悉了“隔离”这个词。相反，我们被隔离是为了防止病毒在环境中传播。现在，您可能想知道“隔离”一词与 Microsoft 365 有什么关系。很简单！被认为受到黑客危害或具有潜在威胁的邮件将被隔离在 Microsoft 365 中。

是的！是的！ Microsoft 推出了一项名为“隔离邮件”的功能，以帮助防止潜在有害的电子邮件到达用户的收件箱。当电子邮件被标记为可疑或包含垃圾邮件、恶意软件或其他恶意内容时，它会自动置于隔离区，IT 团队可以安全地检查并可能将其删除。

现在，让我们在本博客中深入研究隔离消息以及如何导出有关这些消息的报告。

什么是 Microsoft 365 中的隔离消息？

想象这样一个场景：员工/用户收到一封电子邮件，要求他们单击链接来验证其帐户信息。但是，内置的安全链接策略和 Exchange Online Protection (EOP) 筛选器会在电子邮件到达用户的收件箱之前识别出潜在有害和恶意的电子邮件。因此，它将电子邮件推送到隔离区，而不是到达用户的邮箱。因此，隔离所有可疑电子邮件有助于防止组织遭受数据丢失、垃圾邮件、恶意软件和各种恶意攻击。

最终，管理员可以根据情况审查并采取查看、发布和删除等必要措施。最重要的是，隔离邮件在指定的保留期限后会自动删除，并且无法再保留。

为什么电子邮件在 Microsoft 365 中被隔离？

Office 365 可能会出于各种原因隔离电子邮件，例如潜在的垃圾邮件或恶意软件、违反合规性政策等。因此，了解电子邮件隔离的原因可以极大地帮助组织更好地保护其电子邮件环境免受安全威胁和合规性问题的影响。因此，让我们看看将电子邮件推送到 Microsoft 365 中的隔离区域的一些因素。

• Microsoft 365 垃圾邮件和网络钓鱼过滤策略 - Office 365 具有内置的垃圾邮件和网络钓鱼策略，可分析电子邮件内容以识别潜在的垃圾邮件、网络钓鱼或恶意软件。当电子邮件包含可疑内容（例如恶意网站链接）时，该电子邮件将被隔离，并且永远不会发送给预期收件人。
• 反恶意软件策略- Microsoft 365 对入站和出站邮件执行严格的反恶意软件策略，以防止发送包含恶意内容的电子邮件。因此，恶意软件消息会被隔离，因为它们对利用系统资源构成重大威胁。
• Exchange 邮件流规则 - Office 365 管理员可以创建邮件流规则或传输规则来识别特定类型的电子邮件并采取隔离等操作。 Office 365 内置的邮件流规则模板允许您在从未知发件人收到邮件时根据发件人信誉对其进行隔离。

总体而言，隔离邮件的目的是保护用户免受潜在的安全威胁，并确保他们的电子邮件收件箱安全，免受垃圾邮件和恶意软件的侵害。

查看隔离消息的先决条件

下面列出了查看隔离邮件所需的许可证。

1. Exchange 在线保护
2. 适用于 Office 计划 1 和计划 2 的 Microsoft 365 Defender
3. 微软 365 防御者

要查看 Microsoft 365 Defender 门户中的隔离报告，必须为用户分配特定权限。最重要的是，具有管理员批准访问权限的用户可以查看、发布和删除由 Microsoft 默认垃圾邮件和网络钓鱼策略过滤的隔离邮件。

如何在 Microsoft 365 中检查隔离的电子邮件？

查看隔离邮件非常重要，因为它可以让您识别并处理因其他原因而被错误隔离的潜在合法邮件。这样，管理员可以防止误报并阻止实际的垃圾邮件和网络钓鱼尝试或其他恶意内容。因此，要检查隔离的邮件，请导航到以下路径。

Microsoft 365 Defender 门户?电子邮件和协作?审核?隔离

最终，管理员可以根据列的自定义从此电子邮件隔离页面推断出以下详细信息。此外，您还可以通过切换选项卡来查看此部分中隔离的 Teams 消息和文件。

• 接收时间 - 表示邮件被推送到隔离区的时间。
• 主题 - 此处显示电子邮件的主题。
• 发件人 - 这里显示发件人的电子邮件地址。
• 隔离原因 - 描述隔离特定邮件的原因，例如网络钓鱼、恶意软件、垃圾邮件等。
• 发布状态 - 这提供了有关邮件是否已发布给收件人并经过审核的信息。
• 策略类型 - 指限制消息的策略类型。
• Expires - 通知到期日期（如果已分配）。
• 收件人 - 此处记录收件人的邮件地址以供参考。
• 消息 ID - 隔离消息的唯一标识符。
• 策略名称 - 限制消息的策略的名称。
• 消息大小 - 存储消息正文的大小。
• 邮件方向 - 指定它是入站邮件还是出站邮件。
• 收件人标签 - 此处显示收件人优先帐户等标签。

要深入分析隔离邮件，请从此页面选择特定邮件。将出现一个弹出窗口，其中包含隔离详细信息、传递状态以及有关特定隔离电子邮件的详细信息的完整报告。

在这里，管理员可以点击“执行操作”，并在查看隔离邮件后对其采取必要的操作。这将使他们能够更精细地控制隔离的邮件并执行各种操作，例如：

1. 移动或删除
2. 提交给微软
3. 租户层区块
4. 启动自动调查
5. 提出整改建议

截至目前，我们已经清楚了 Microsoft 365 Defender 中检查隔离邮件报告的流程。因此，让我们继续本博客的下一部分，使用 PowerShell 进行隔离消息报告。

使用 PowerShell 获取有关隔离邮件的报告

在管理中心生成精细报告是一项繁琐的任务，通常需要在多个选项卡之间切换，并且可能并不总能生成满足我们特定需求的报告。通过 Defender 门户查看隔离报告的主要缺点是需要额外订阅才能查看隔离文件。最重要的是，在 Defender 门户的隔离页面中搜索邮件需要多重过滤，因为搜索框仅扫描主页。

因此，管理员可以使用 PowerShell 分析基于云的环境中的隔离邮件和文件，以简化流程。因此，这里有一些用于生成隔离邮件报告的 PowerShell cmdlet。但在 PowerShell 环境中使用这些 cmdlet 之前，请确保连接到 Exchange Online PowerShell 模块并继续。

1. 按日期范围获取有关隔离电子邮件的报告
2. 获取有关来自特定用户的隔离电子邮件的报告
3. 分析特定用户的隔离邮件报告
4. 查找 Microsoft 365 中前 10 个隔离域
5. 拥有“最受隔离电子邮件”报告的前 10 位用户

按日期范围获取有关隔离电子邮件的报告

请务必注意，隔离邮件的保留期默认设置为 30 天。 此期限过后，消息将自动删除且无法恢复。

因此，要轻松检索隔离电子邮件的报告，您可以修改以下 cmdlet 中的日期范围。通过这个简单的调整，您可以专注于需要调查的特定时间范围，从而帮助您有效地获取所需的信息。

Get-QuarantineMessage -StartReceivedDate 03/01/2023 -EndReceivedDate 04/03/2023|Select ReceivedTime,SenderAddress,RecipientAddress,Subject,MessageID,RecipientCount,QuarantineTypes| Export-Csv -Path "D:\QuarantinedEmailsbyDateRange.csv" -NoTypeInformation -Append -Force

获取有关来自特定用户的隔离电子邮件的报告

如果来自特定域的大量电子邮件被隔离并被识别为网络钓鱼尝试，IT 团队可以采取措施阻止发件人并防止进一步的尝试。

总体而言，有关特定域发送的隔离电子邮件的报告对于识别潜在威胁和垃圾邮件非常有用，并帮助组织采取措施提高电子邮件安全性。在 cmdlet 中提及发件人地址和日期范围后，运行以下 cmdlet 以获取从特定域隔离的电子邮件列表。

Get-QuarantineMessage -StartReceivedDate 02/01/2023 -EndReceivedDate 03/31/2023|Where{$_.SenderAddress -eq <UserPrincipalName>}|Select ReceivedTime,SenderAddress,RecipientAddress, Subject,MessageID,RecipientCount,QuarantineTypes| Export-Csv -Path "D:\QuarantinedEmailsSentBySpecificUser.csv" -NoTypeInformation -Append -Force

分析特定用户的隔离邮件报告

管理员可以使用此隔离邮件报告来分析为特定用户隔离的电子邮件，并调整电子邮件安全系统的设置以减少误报数量。通过查看隔离电子邮件，管理员可以确保重要电子邮件不会被安全系统阻止，并且任何恶意电子邮件不会发送到用户的收件箱。

以下命令列出给定时间段内特定用户的所有隔离电子邮件。确保在运行 cmdlet 之前替换收件人地址和日期范围。

Get-QuarantineMessage -StartReceivedDate 02/01/2023 -EndReceivedDate 03/31/2023|Where{$_.RecipientAddress -eq <UserPrincipalName>}| Select ReceivedTime, RecipientAddress,SenderAddress,Subject,MessageID,RecipientCount,QuarantineTypes| Export-Csv -Path "D:\QuarantinedEmailsReceivedBySpecificUser.csv" -NoTypeInformation -Append -Force

查找 Microsoft 365 中排名前 10 的隔离域

通过有关其域邮件在组织内部和周围被隔离的前 10 位用户的报告，找到组织的薄弱环节，以便更好地利用隔离策略。通过此报告，您可以识别组织中潜在的风险用户并对其采取必要的操作。

$mail=Get-QuarantineMessage -StartReceivedDate 02/28/2023 -EndReceivedDate 03/31/2023 |sort-object SenderAddress -unique   

$hash=@()  

foreach($mails in $mail)  

{  
    $mailreport=Get-QuarantineMessage -StartReceivedDate 02/28/2023 -EndReceivedDate 03/31/2023|Where{$_.SenderAddress -eq $mails.SenderAddress}  

    $hash +=[PSCustomObject]@{  

        'Sender' = $mails.SenderAddress  

        'RecipientAddress'=(@($mailreport.recipientaddress)-join ',') 

        'Count' = ($mailreport.SenderAddress).Count  

     }   
}   

$hash|select 'Sender','RecipientAddress','Count'|Sort-Object Count -Descending|Select -First 10|Export-Csv -Path "D:\QuarantinedEmailsSentByTopTenUser.csv" -NoTypeInformation 

拥有“最受隔离电子邮件”报告的前 10 位用户

您无需对每封隔离邮件采取措施，而是可以在分析这些报告后轻松执行批量操作，这些报告可识别 Office 365 环境中的脆弱用户。因此，管理员可以制定严格的威胁策略和邮件流规则，以加强组织设置的安全性。执行以下 cmdlet 以获取前 10 位用户收到的电子邮件的隔离邮件报告

$mail=Get-QuarantineMessage -StartReceivedDate 02/28/2023 -EndReceivedDate 03/31/2023 |sort-object RecipientAddress -unique  

$hash=@()  

foreach($mails in $mail)  

{  
    $mailreport=Get-QuarantineMessage -StartReceivedDate 02/28/2023 -EndReceivedDate 03/31/2023|Where{$_.RecipientAddress -eq $mails.RecipientAddress}  

    $hash +=[PSCustomObject]@{  

  
    'Recipient' = $mails.RecipientAddress  

    'SenderAddress'=(@($mailreport.senderaddress)-join ',')  

    'Count' = ($mailreport.RecipientAddress).Count  

      }   
}  

$hash|select 'Recipient','SenderAddress','Count'|Sort-Object Count -Descending|Select -First 10|Export-Csv -Path "D:\QuarantinedEmailsReceivedByTopTenUser.csv" -NoTypeInformation

使用 AdminDroid 获取高级隔离邮件报告！

不要将所有精力都花在获取 Microsoft 365 管理中心或 PowerShell 中隔离邮件的详细统计信息上！ M365 管理中心无法提供有关隔离邮件的全面信息，导致管理员依赖繁琐的 PowerShell 命令来获取详细报告。但对于复杂的报表，管理员需要使用多行代码，这是一项耗时且麻烦的工作！

相反，开始使用 AdminDroid Microsoft 365 审核工具，获取有关隔离邮件的更全面、更可靠的信息。 AdminDroid 的隔离邮件报告远远超出了本机 Microsoft 365 体验的限制！

电子邮件隔离报告：

• 借助 AdminDroid 的电子邮件隔离报告，管理员可以审核与垃圾邮件、网络钓鱼和恶意软件电子邮件隔离相关的所有活动。监控隔离的邮件可以让您了解这些闯入您组织的潜在威胁和弱点。

• • 此外，检查这些消息使您能够做出明智的决定，例如是否移动或删除、是否提交给 Microsoft（如果它们是误报）、实施租户级阻止或根据检测和调查提出补救措施。

隔离邮箱报告：

• 这涵盖了有关隔离邮箱的高级报告，包括隔离上次崩溃、隔离结束、隔离文件版本等详细信息，以及 AdminDroid Exchange Online 报告工具下的更多信息。

此外， AdminDroid Exchange Online 管理工具提供170+ Exchange Online 报告，减轻您监控和管理邮箱活动、访问、权限的负担更改和高效的邮箱管理。

AdminDroid 不仅为 Exchange Online 管理提供解决方案，还为 Azure AD、Microsoft Teams、SharePoint Online、OneDrive、Yammer 等其他服务提供解决方案。最终，AdminDroid 提供超过 1800 多个全面的内置报告 30 多个智能仪表板，适用于各种 Office 365 服务，且易于设置。

为什么选择 AdminDroid？

• 凭借其用户友好的界面，您可以享受无忧无虑的 Office 365 管理。
• 使用AdminDroid 快速调度功能自动调度报告运行和导出结果。
• 通过 AdminDroid 警报仅获取关键事件的通知，而不会出现误报。
• AdminDroid 支持精细访问授权和现代身份验证。
• 最后，使用 AdminDroid丰富的过滤器和以所需的方式获取所需的报告提供增强的自定义选项。

最后，立即下载 AdminDroid 以获得 Office 365 环境的清晰统计数据和记录。

到此结束，我希望这篇博客能为您提供有关使用 PowerShell 管理隔离消息和生成报告的宝贵见解。保持领先地位至关重要，而使用 PowerShell 是实现这一目标的绝佳方法！如果您有任何疑问或需要进一步帮助，请随时通过评论部分与我们联系。

永远记住，在当今不断变化的威胁形势下，积极主动是保持安全的关键！