Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Ähnlich wie im Zusammenfassungsbereich "Die Email" für E-Mail-Nachrichten verfügen Microsoft 365-Organisationen, die über Microsoft Defender für Office 365 Plan 2 verfügen (Add-On-Lizenzen oder in Abonnements wie Microsoft 365 E5 enthalten) über den Bereich microsoft Teams-Nachrichtenentität im Microsoft Defender Portal. Der Teams-Nachrichtenentitätsbereich ist ein Details-Flyout, das alle Microsoft Teams-Daten zu verdächtigen oder schädlichen Chats, Kanälen und Gruppenchats in einem einzigen, handlungsrelevanten Bereich enthält.
In diesem Artikel werden die Informationen und Aktionen im Teams-Nachrichtenentitätsbereich erläutert.
Berechtigungen und Lizenzierung für den Teams-Nachrichtenentitätsbereich
Um die Seite Email Entität verwenden zu können, müssen Ihnen Berechtigungen zugewiesen werden. Sie haben folgende Optionen:
Vollzugriff:
- Email & Berechtigungen für die Zusammenarbeit im Microsoft Defender-Portal: Mitgliedschaft in den Rollengruppen Organisationsverwaltung, Sicherheitsadministrator oder Quarantäneadministrator.
- Microsoft Entra Berechtigungen: Durch die Mitgliedschaft in einer der folgenden Rollen erhalten Benutzer die erforderlichen Berechtigungen und Berechtigungen für andere Features in Microsoft 365: Globaler Administrator*, Sicherheitsadministrator oder Sicherheitsoperator.
Schreibgeschützter Zugriff:
- Microsoft Entra Berechtigungen: Globaler Leser oder Sicherheitsleseberechtigter.
Entfernen von Benutzern aus Teams-Chats: Erfordert die Mitgliedschaft in einer der folgenden Microsoft Entra Rollen: Globaler Administrator*, Sicherheitsadministrator oder Sicherheitsoperator.
Wichtig
* Microsoft setzt sich nachdrücklich für das Prinzip der geringsten Rechte ein. Wenn Sie Konten nur die minimalen Berechtigungen zuweisen, die zum Ausführen ihrer Aufgaben erforderlich sind, können Sie Sicherheitsrisiken reduzieren und den allgemeinen Schutz Ihrer organization stärken. Globaler Administrator ist eine Rolle mit hohen Berechtigungen, die Sie auf Notfallszenarien beschränken sollten oder wenn Sie keine andere Rolle verwenden können.
Wo sie den Teams-Nachrichtenentitätsbereich finden
Es gibt keine direkten Links zum Teams-Nachrichtenentitätsbereich von den obersten Ebenen des Defender-Portals. Stattdessen ist der Teams-Nachrichtenentitätsbereich an den folgenden Speicherorten verfügbar:
Auf der Seite Quarantäne unter https://security.microsoft.com/quarantine: Wählen Sie auf der Registerkarte >Teams-Nachricht einen Eintrag aus, indem Sie auf eine beliebige Stelle in der Zeile klicken, die nicht das Kontrollkästchen ist. Das Details-Flyout, das geöffnet wird, ist der Teams-Nachrichtenentitätsbereich.
Auf der Seite Übermittlungen unter https://security.microsoft.com/reportsubmission:
Wählen Sie die Registerkarte >Teams-Nachrichten aus, wählen Sie einen Eintrag aus, indem Sie auf eine beliebige Stelle in der Zeile klicken, die nicht das Kontrollkästchen ist.
Wählen Sie die Registerkarte >Benutzer gemeldet aus, wählen Sie einen Teams-Eintrag aus, indem Sie auf eine beliebige Stelle in der Zeile klicken, die nicht das Kontrollkästchen ist. Das Details-Flyout, das geöffnet wird, ist der Teams-Nachrichtenentitätsbereich.
Sie können die Einträge filtern, indem SieDen Nachrichtentyp>Teamsfiltern> auswählen
.
Wählen Sie auf der Seite Erweiterte Suche unter https://security.microsoft.com/v2/advanced-huntingeinen TeamsMessageId-Wert (Link) aus der Tabelle MessageEvents in den Abfrageergebnissen aus. Das Details-Flyout, das geöffnet wird, ist der Teams-Nachrichtenentitätsbereich. Zum Beispiel:
UrlClickEvents | where ThreatTypes !="" and Workload =="Teams" | summarize count() by Url, ThreatTypes, ActionType, Workload | project Url, ThreatTypes, ActionType, Workload, ClickCount=count_ | top 20 by ClickCount UrlClickEvents | limit 100 MessageEvents | limit 100
Inhalt des Teams-Nachrichtenentitätsbereichs
Die folgenden Informationen sind oben im Teams-Nachrichtenentitätsbereich verfügbar:
- Der Titel des Flyouts ist der Betreff oder die ersten 100 Zeichen der Teams-Nachricht.
- Das aktuelle Nachrichtenurteil.
- Die Anzahl der Links in der Nachricht.
- Welche Aktionen oben im Flyout verfügbar sind, hängt davon ab, wo Sie den Teams-Nachrichtenentitätsbereich geöffnet haben.
Tipp
Um Details zu anderen Teams-Nachrichten anzuzeigen, ohne den Email Zusammenfassungsbereich der aktuellen Nachricht zu verlassen, verwenden Sie 
Vorheriges Element und Nächstes Element oben im Flyout.
Die nächsten Abschnitte im Teams-Nachrichtenentitätsbereich hängen davon ab, wo Sie es geöffnet haben:
- Unter Quarantäne gestellte Teams-Nachrichten
- Anzeigen der Übermittlungsdetails des Teams-Administrators
- Anzeigen von Details zu vom Benutzer gemeldeten Teams-Nachrichten in Defender für Office 365 Plan 2
Der Rest des Teams-Nachrichtenentitätsbereichs enthält die folgenden Informationen, unabhängig davon, wo Sie ihn geöffnet haben:
Abschnitt "Nachrichtendetails ":
- Risiken
- Nachrichtenspeicherort
- Absenderadresse
- Empfangszeit
- Erkennungstechnologie
- Teams-Nachrichten-ID: Sie können diesen Wert als Bezeichner einer Teams-Nachricht in Defender für Office 365 verwenden.
Abschnitt "Absender ":
- Name und E-Mail-Adresse des Absenders
- Domäne
- Extern: Der Wert Ja gibt an, dass die Nachricht zwischen einem internen Benutzer und einem externen Benutzer gesendet wurde.
Einer der folgenden Abschnitte, je nachdem, ob die Nachricht aus einem Chat oder einem Kanal stammt:
- Chat: Der Abschnitt "Teilnehmer ":
- Unterhaltungstyp
- Chatname
- Name und E-Mail-Adresse: Enthält den Namen und die E-Mail-Adressen aller Teilnehmer (einschließlich des Absenders). Wenn mehr als 10 Teilnehmer vorhanden sind, wird auch eine Verknüpfung mit einem sekundären Panel erstellt, in dem alle Teilnehmer des Chats zum Zeitpunkt der vermuteten Bedrohung aufgelistet sind.
- Kanal: Der Abschnitt "Kanaldetails ":
- Unterhaltungstyp
- Unterhaltungsname: Enthält den Namen des Kanals.
- Name und E-Mail-Adresse: Enthält den Namen und die Adresse des Kanals.
- Chat: Der Abschnitt "Teilnehmer ":
Abschnitt "URLs ":
- Name und Typ Enthält die URL aus der Teams-Nachricht.
- Bedrohung
Wenn die Nachricht über mehr als 10 URLs verfügt, wählen Sie Alle URLs anzeigen aus, um sie alle anzuzeigen.
Entfernen von Benutzern aus Teams-Chats im Teams-Nachrichtenentitätsbereich
Tipp
Derzeit befindet sich dieses Feature in der Vorschauphase, ist nicht in allen Organisationen verfügbar und kann geändert werden.
Sie können nur interne Benutzer in Ihrem organization aus einem Chat entfernen.
Wenn Sie Benutzer aus einem Chat entfernen, wird der Absender des Chats nicht blockiert, und die entfernten Benutzer können neue Chats mit dem Absender starten.
Im Teams-Entitätsbereich können Sie oben im Flyout (häufig unter 
Weitere Aktionen) die Option Aktion ausführen auswählen
, um Benutzer aus einem Teams-Chat zu entfernen.
Führen Sie im Assistenten zum Ausführen von Aktionen die folgenden Schritte aus:
Wählen Sie auf der Seite Antwortaktionen auswählen im Abschnitt Aktionen auf Konversationsebene die Option Benutzer aus Unterhaltung entfernen aus, und wählen Sie dann Weiter aus.
Konfigurieren Sie auf der Seite Zielentitäten auswählen die folgenden Optionen:
- Name Geben Sie einen eindeutigen, beschreibenden Namen für das Benutzer entfernen-Szenario ein.
- Beschreibung: Geben Sie optionale Details ein.
Der Rest der Seite enthält eine Detailtabelle mit den folgenden Informationen zu den Benutzern im Chat:
- Betroffenes Medienobjekt: Die E-Mail-Adresse des Benutzers.
- Aktion: Dieser Wert ist immer Benutzer aus Unterhaltung entfernen.
- Zielentität: Der GUID-Wert der Thread-ID des Chats.
- Läuft ab am
Standardmäßig sind alle Benutzer im Chat ausgewählt, einschließlich externer Benutzer, die Sie nicht aus dem Chat entfernen können. Vergewissern Sie sich, dass die internen Benutzer, die aus dem Chat entfernt werden sollen, ausgewählt sind.
Wenn Sie auf der Seite Zielentitäten auswählen fertig sind, wählen Sie Weiter aus.
Überprüfen Sie auf der Seite Überprüfen und übermitteln Ihre vorherigen Auswahlen.
Wählen Sie Zurück aus, um zurückzukehren und Ihre Auswahl zu ändern.
Wenn Sie auf der Seite Überprüfen und übermitteln fertig sind, wählen Sie Absenden aus.
Das Entfernen von Benutzern aus einem Teams-Chat wird auf der Registerkarte Verlauf der Info-Center-Seite unter https://security.microsoft.com/action-center/historyaufgezeichnet. Sie können die Ergebnisse nach Aktionstyp>Benutzer aus Teams-Unterhaltungen entfernen und/oderTeams-Nachrichtvom Entitätstyp> filtern. In den Warnungsdetails können Sie bestätigen, dass Benutzer aus dem Teams-Chat entfernt wurden oder nicht.
Tipp
Das Entfernen von Benutzern aus Teams-Chats führt weder zu einer Untersuchungs-ID noch zu einer automatisierten Untersuchung.
Weitere Informationen
Die Microsoft Defender für Office 365 Email Entitätsseite und deren Funktionsweise
Sichere Links in Microsoft Defender für Office 365
Automatische Löschung (Zero-Hour Auto Purge, ZAP) in Microsoft Teams