| DZ1220491 | Microsoft Defender XDR | Some admins may see automated investigation and response (AIR) remediation actions affecting more email than intended |
|---|
| Status | falsePositive |
|---|---|
| Classification | advisory |
| User Impact | Admins may see AIR remediation actions affecting more email than intended in Microsoft Defender for Office 365. |
| Last Updated | 01/24/2026 11:39:32 |
| Start Time | 01/21/2026 16:24:35 |
| End Time | |
| Latest Message | Title: Some admins may see automated investigation and response (AIR) remediation actions affecting more email than intended
User impact: Admins may see AIR remediation actions affecting more email than intended in Microsoft Defender for Office 365. More info: Some admins utilizing AIR remediation based on email subject matching may experience additional email being included in a remediation action beyond the originally intended scope. Admins can manually approve or deny the proposed remediation actions, and we advise admins to review these remediation actions for potentially impacted email messages from your organization. If admins are utilizing automated remediation actions, we advise admins to review these automated actions for additional email being included beyond the originally intended scope. Automated email remediation actions have been temporarily disabled while we investigate and work to resolve the offending impact scenario. Current status: We’ve identified that a discrepancy occurred due to a mismatch between the subject‑match logic used in AIR and the one used during remediation, which caused the remediation process to apply a broader match scope, resulting in the inclusion of emails outside the intended AIR cluster and leading to additional emails being remediated. Our aforementioned recovery process is ongoing as expected and we anticipate its completion by our next scheduled update. Scope of impact: Your organization is affected by this event, and some admins attempting to utilize AIR remediation based on email subject matching in Microsoft Defender for Office 365 are impacted. Start time: Wednesday, December 17, 2025, at 12:00 AM UTC Root cause: A discrepancy occurred due to a mismatch between the subject‑match logic used in AIR and the one used during remediation, which caused the remediation process to apply a broader match scope, resulting in the inclusion of emails outside the intended AIR cluster and leading to additional emails being remediated. Next update by: Saturday, January 24, 2026, at 10:00 PM UTC |
| Machine Translation | タイトル:一部の管理者は、自動調査・対応(AIR)の是正措置が意図以上のメールに影響を及ぼしていると感じるかもしれません
ユーザーへの影響:管理者は、Microsoft Defender for Office 365で意図したより多くのメールにAIR対策が影響を及ぼしているのを目にすることがあります。 詳細情報:メールの件名一致に基づくAIR対策を利用する管理者の中には、当初の意図範囲を超えた追加のメールが修正措置に含まれる場合があります。 管理者は提案された修復措置を手動で承認または拒否することができ、組織からの影響を受ける可能性のあるメールについては、これらの対策を確認することをお勧めします。管理者が自動修復アクションを使用している場合は、当初の意図範囲を超えた追加のメールが含まれているかどうか、これらの自動アクションを確認することをお勧めします。 問題の原因となる影響シナリオの調査と解決作業の間、自動メール対応は一時的に停止されています。 現状:AIRで使用された件名マッチのロジックと修復時のものとの間に不一致が生じ、その結果、修復プロセスにより広範なマッチ範囲が適用され、意図されたAIRクラスター外のメールが含まれ、追加のメールが修復されることになりました。前述の復旧プロセスは予想通り進行中であり、次回の更新までに完了する予定です。 影響範囲:貴組織はこのイベントの影響を受けており、Microsoft Defender for Office 365でメールの件名マッチングに基づくAIR対策を試みる管理者の一部が影響を受けます。 開始時間:2025年12月17日水曜日 0:00 UTC 根本原因:AIRで使用された主題マッチロジックとリメイク時のロジックとの間に不一致が生じ、リメディエーションプロセスにより広範なマッチング範囲が適用され、意図されたAIRクラスター外のメールが含まれ、追加のメールがリメディショニングされることになりました。 次回更新:2026年1月24日土曜日 22:00 UTC |