Updated August 15, 2024: We have updated the rollout timeline below. Thank you for your patience.. 

Coming soon to Microsoft Defender XDR: We will enhance email remediation capabilities with new Sender’s copy clean-up features in Threat Explorer, email entity, Summary Panel, and Advanced hunting. These new features will streamline the process of managing Sent items, particularly for admins who use Soft delete and Move to inbox actions.

Key Features

• Integration with Soft delete: Sender’s copy clean-up will be incorporated as part of the Soft delete action.
• Wide support: This action will be supported across various Defender XDR platforms including Threat Explorer, Take Action wizard from the email entity, Summary Panel, Advanced hunting, and through Microsoft Graph API.
• Undo capability: An undo action will be available, allowing you to reverse the clean-up by moving items back to the Sent folder.

Note: Sender’s copy clean-up will apply to intra-organization emails and outbound emails, ensuring that only the sender’s copy is soft deleted for these emails and inbound messages are out of scope.

[When this will happen:]

General Availability (Worldwide): We will begin rolling out end of May 2024 and expect to complete by early September 2024 (previously late July).

[How this will affect your organization:]

Before this rollout, admins did not have a way to remove harmful emails from a sender’s Sent items.

After rollout: This step-by-step scenario explains the functionality of Sender’s copy clean-up:

You as the admin have already investigated in Threat Explorer, email entity, or Advanced hunting and have selected entities to remediate.

1. Create remediation: After your entity selection, you choose an action and create the remediation. For the Soft delete action, these items will be visible in the Take action wizard:

• Checkbox for Sender’s copy. Select this option to clean the messages from sender’s Sent folder.
• Email count: Displays the number of emails submitted. This count will reflect sender’s copy as well.
• Sender’s entities in a separate tab.

2. As the remediation begins, the approval ID to track the action is displayed (Note: This is the same as before the rollout.)

3. Track the remediation status: The Unified Action Center (Actions & submissions > Action center > History) contains all the approved actions. You can open any manual remediation action entry in Action center to:

• View the email count: This count will be same as submitted email count.
• Review the action logs: The email count and action logs will reflect the status of remediable, non-remediable, failed, and timed-out emails, including the sender’s copy.
• Export action logs: The export feature will include the new column IsSendersCopy to capture the sender entities and corresponding action status.

4. Undo sent items. The undo capability ensures that you have greater control and flexibility when managing email remediation, providing a safety net for actions taken in error or needing revision. Select the checkbox for Move to Inbox to trigger undo for the recipient copy and previously deleted sender’s copy of a message.

From Advanced hunting: The Delete sender’s copy option under Delete email > Soft delete:

From Threat Explorer: The Delete sender’s copy option under Move to mailbox folder > Soft delete:

From Threat Explorer: The Undo sender’s copy option under Move to mailbox folder > Inbox:

[What you need to do to prepare:]

This rollout will happen automatically by the specified date with no admin action required before the rollout. You may want to notify your admins about this change and update any relevant documentation as appropriate.

Learn more:

• Threat hunting in Threat Explorer and Real-time detections – Microsoft Defender for Office 365 | Microsoft Learn
• Threat Explorer- Threat hunting in Threat Explorer and Real-time detections – Microsoft Defender for Office 365 | Microsoft Learn
• Remediation- Remediate malicious email that was delivered in Office 365 – Microsoft Defender for Office 365 | Microsoft Learn
• Advanced hunting-Take action on advanced hunting query results in Microsoft Defender XDR – Microsoft Defender XDR | Microsoft Learn
• MDO What’s new- What’s new in Microsoft Defender for Office 365 – Microsoft Defender for Office 365 | Microsoft Learn
• XDR what’s new – What’s new in Microsoft Defender XDR – Microsoft Defender XDR | Microsoft Learn

2024 年 8 月 15 日更新: 以下のロールアウト タイムラインを更新しました。ご理解いただきありがとうございます。 

Microsoft Defender XDR に近日公開予定: 脅威エクスプローラー、電子メール エンティティ、概要パネル、高度な捜索の新しい送信者のコピー クリーンアップ機能を使用して、電子メール修復機能を強化します。これらの新機能により、特に 論理的な削除 と 受信トレイに移動 アクションを使用する管理者にとって、送信済みアイテムの管理プロセスが効率化されます。

主な機能

• 論理的な削除との統合: 送信者のコピーのクリーンアップは、論理的な削除アクションの一部として組み込まれます。
• 幅広いサポート: このアクションは、脅威エクスプローラー、電子メール エンティティからのアクション実行ウィザード、概要パネル、高度な捜索、Microsoft Graph API など、さまざまな Defender XDR プラットフォームでサポートされます。
• 元に戻す機能: 元に戻すアクションが利用可能になり、アイテムを送信済みフォルダーに戻すことでクリーンアップを元に戻すことができます。

注: 送信者のコピーのクリーンアップは、組織内のメールと送信メールに適用され、これらのメールと受信メッセージに対して送信者のコピーのみが論理的に削除され、受信メッセージが範囲外になります。

[これがいつ起こるか:]

一般提供 (全世界): 2024 年 5 月末にロールアウトを開始し、2024 年 9 月上旬 (以前は 7 月下旬) までに完了する予定です。

[これがあなたの組織にどのように影響しますか:]

このロールアウト以前は、管理者は送信者の [送信済み] アイテムから有害なメールを削除する方法がありませんでした。

ロールアウト後: このステップ バイ ステップ シナリオでは、送信者のコピー クリーンアップの機能について説明します。

管理者として、脅威エクスプローラー、電子メール エンティティ、または高度な捜索で既に調査し、修復するエンティティを選択しました。

1. 修復を作成する: エンティティを選択した後、アクションを選択して修復を作成します。 論理的な削除 アクションの場合、次の項目は アクションの実行 ウィザードに表示されます。

• 送信者のコピーのチェックボックス。このオプションを選択すると、送信者の [送信済み] フォルダからメールが消去されます。
• メール数: 送信されたメールの数が表示されます。このカウントには、送信者のコピーも反映されます。
• 送信者のエンティティを別のタブに表示します。

2. 修復が開始されると、アクションを追跡するための承認 ID が表示されます (注: これはロールアウト前と同じです)。

3. 修復ステータスの追跡: Unified Action Center (Actions & submissions > Action Center > History) には、承認されたすべてのアクションが含まれています。アクション センターで手動修復アクション エントリを開くと、次のことができます。

• メール数を表示する: この数は、送信されたメール数と同じになります。
• アクション ログを確認する: メール数とアクション ログには、送信者のコピーを含む、修復可能、修復不可能、失敗、タイムアウトしたメールの状態が反映されます。
• アクション ログのエクスポート: エクスポート機能には、送信者エンティティと対応するアクションの状態をキャプチャするための新しい列 IsSendersCopy が含まれます。

4.送信したアイテムを元に戻します。元に戻す機能により、電子メールの修復を管理する際の制御と柔軟性が向上し、誤って実行されたアクションや修正が必要なアクションに対するセーフティネットが提供されます。[ 受信トレイに移動 ] チェックボックスをオンにすると、メッセージの受信者のコピーと以前に削除した送信者のコピーの取り消しがトリガーされます。

高度なハンティングから: [メールの削除] > [論理的な削除] の下にある [送信者のコピーを削除 ] オプション:

脅威エクスプローラーから: [メールボックス フォルダーに移動] > [論理的な削除] の下にある [送信者のコピーを削除する ] オプション:

脅威エクスプローラーから: [メールボックス フォルダー] > [受信トレイ] の [ 送信者のコピーを元に戻す ] オプション:

【準備に必要なこと】

このロールアウトは、ロールアウト前に管理者の操作を必要とせずに、指定された日付までに自動的に行われます。この変更について管理者に通知し、必要に応じて関連ドキュメントを更新することをお勧めします。

詳細情報：

• 脅威エクスプローラーとリアルタイム検出での脅威ハンティング – Microsoft Defender for Office 365 |マイクロソフト ラーン
• 脅威エクスプローラー – 脅威エクスプローラーとリアルタイム検出での脅威ハンティング – Microsoft Defender for Office 365 |マイクロソフト ラーン
• 修復 – Office 365 で配信された悪意のあるメールを修復する – Microsoft Defender for Office 365 |マイクロソフト ラーン
• 高度なハンティング – Microsoft Defender XDR の高度なハンティング クエリ結果に対してアクションを実行する – Microsoft Defender XDR |マイクロソフト ラーン
• MDO 新機能 – Microsoft Defender for Office 365 の新機能 – Microsoft Defender for Office 365 |マイクロソフト ラーン
• XDR の新機能 – Microsoft Defender XDR の新機能 – Microsoft Defender XDR |マイクロソフト ラーン