Permitir o bloquear direcciones URL mediante la lista de bloqueados y permitidos del espacio empresarial

Sugerencia

¿Sabía que puede probar las características de Microsoft Defender XDR para Office 365 Plan 2 de forma gratuita? Use la prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y los términos de prueba aquí.

En las organizaciones de Microsoft 365 con buzones de Exchange Online o organizaciones independientes de Exchange Online Protection (EOP) sin buzones de Exchange Online, los administradores pueden crear y administrar entradas para direcciones URL en la lista de inquilinos permitidos o bloqueados. Para obtener más información sobre la lista de permitidos o bloqueados de inquilinos, vea Administrar permite y bloques en la lista de permitidos o bloques de inquilinos.

Nota:

Para permitir direcciones URL de phishing de simulaciones de suplantación de identidad de terceros, use la configuración de entrega avanzada para especificar las direcciones URL. No use la lista de permitidos o bloqueados de inquilinos.

En este artículo se describe cómo los administradores pueden administrar las entradas de las direcciones URL en el portal de Microsoft Defender y en Exchange Online PowerShell.

¿Qué necesita saber antes de empezar?

  • Abra el portal de Microsoft Defender en https://security.microsoft.com. Para ir directamente a la página Permitir o bloquear lista de inquilinos , use https://security.microsoft.com/tenantAllowBlockList. Para ir directamente a la página Envíos , use https://security.microsoft.com/reportsubmission.

  • Para conectarse al PowerShell de Exchange Online, consulte Conexión a Exchange Online PowerShell. Para conectarse a EOP PowerShell independiente, consulte Connect to Exchange Online Protection PowerShell (Conexión a Exchange Online Protection PowerShell).

  • Para ver la sintaxis de entrada de dirección URL, consulte la sección Sintaxis de dirección URL para la lista de permitidos o bloqueados de inquilinos más adelante en este artículo.

    • Límites de entrada para direcciones URL:
    • Exchange Online Protection: el número máximo de entradas permitidas es 500 y el número máximo de entradas de bloque es 500 (1000 entradas url en total).
    • Defender para Office 365 plan 1: el número máximo de entradas permitidas es 1000 y el número máximo de entradas de bloque es 1000 (2000 entradas url en total).
    • Defender para Office 365 plan 2: el número máximo de entradas permitidas es 5000 y el número máximo de entradas de bloque es 10000 (15000 entradas url en total).

  • Puede escribir un máximo de 250 caracteres en una entrada de dirección URL.

  • Una entrada debe estar activa en un plazo de 5 minutos.

  • Debe tener asignados permisos para poder realizar los procedimientos de este artículo. Tiene las siguientes opciones:

    • Microsoft Defender XDR control de acceso basado en rol unificado (RBAC) (solo afecta al portal de Defender, no a PowerShell):
      • Agregue y quite entradas de la lista de permitidos o bloqueados de inquilinos: pertenencia asignada con los permisos siguientes:
        • Autorización y configuración/Configuración de seguridad/Ajuste de la detección (administrar)
      • Acceso de solo lectura a la lista de permitidos o bloqueados de inquilinos:
        • Autorización y configuración/Configuración de seguridad/Solo lectura.
        • Autorización y configuración/Configuración de seguridad/Configuración de seguridad principal (lectura)..
    • permisos de Exchange Online:
      • Agregue y quite entradas de la lista de permitidos o bloqueados de inquilinos: pertenencia a uno de los siguientes grupos de roles:
        • Administración de la organización o Administrador de seguridad (rol administrador de seguridad).
        • Operador de seguridad (Tenant AllowBlockList Manager).
      • Acceso de solo lectura a la lista de permitidos o bloqueados de inquilinos: pertenencia a uno de los siguientes grupos de roles:
        • Lector global
        • Lector de seguridad
        • Configuración con permiso de vista
        • View-Only Organization Management
    • Microsoft Entra permisos: la pertenencia a los roles Administrador global, Administrador de seguridad, Lector global o Lector de seguridad proporciona a los usuarios los permisos y permisos necesarios para otras características de Microsoft 365.

Creación de entradas permitidas para direcciones URL

No puede crear entradas permitidas para direcciones URL directamente en la lista de permitidos o bloqueados de inquilinos. Las entradas permitidas innecesarias exponen su organización a un correo electrónico malintencionado que el sistema habría filtrado.

En su lugar, use la pestaña Direcciones URL de la página Envíos en https://security.microsoft.com/reportsubmission?viewid=url. Al enviar una dirección URL bloqueada como No se debe haber bloqueado (Falso positivo), puede seleccionar Permitir que esta dirección URL agregue y permita la entrada de la dirección URL en la pestaña Direcciones URL de la página Permitir o bloquear inquilinos Listas. Para obtener instrucciones, consulte Notificar direcciones URL correctas a Microsoft.

Nota:

Creamos entradas permitidas para las direcciones URL que se determinaron como malintencionadas por nuestros filtros durante el flujo de correo o en el momento de hacer clic.

Se permiten mensajes posteriores que contienen variaciones de la dirección URL original. Por ejemplo, usa la página Envíos para informar de que la dirección URL www.contoso.com/abcestá bloqueada incorrectamente. Si su organización recibe más adelante un mensaje que contiene la dirección URL (por ejemplo, pero sin limitarse a: www.contoso.com/abc, www.contoso.com/abc?id=1, www.contoso.com/abc/def/gty/uyt?id=5o www.contoso.com/abc/whatver), el mensaje no se bloquea en función de la dirección URL. En otras palabras, no es necesario notificar a Microsoft varias variaciones de la misma dirección URL que las correctas.

Cuando se vuelve a encontrar la entidad de la entrada allow (durante el flujo de correo o en el momento de hacer clic), se invalidan todos los filtros asociados a esa entidad.

De forma predeterminada, las entradas permitidas para las direcciones URL existen durante 30 días. Durante esos 30 días, Microsoft aprende de las entradas permitidas y las quita o las extiende automáticamente. Una vez que Microsoft se entera de las entradas permitidas eliminadas, se entregan los mensajes que contienen esas direcciones URL, a menos que se detecte algo más en el mensaje como malintencionado.

Durante el flujo de correo, si los mensajes que contienen la dirección URL permitida pasan otras comprobaciones en la pila de filtrado, se entregan los mensajes. Por ejemplo, si un mensaje pasa comprobaciones de autenticación de correo electrónico y filtrado de archivos, el mensaje se entrega si también contiene una dirección URL permitida.

Durante el tiempo de clic, la entrada permitir dirección URL invalida todos los filtros asociados a la entidad URL, lo que permite a los usuarios acceder a la dirección URL.

Una entrada de permitido de dirección URL no impide que la protección de vínculos seguros ajuste la dirección URL en Defender para Office 365. Para obtener más información, vea No volver a escribir la lista en SafeLinks.

Creación de entradas de bloque para direcciones URL

Email mensajes que contienen estas direcciones URL bloqueadas se bloquean como suplantación de identidad de alta confianza. Los mensajes que contienen las direcciones URL bloqueadas se ponen en cuarentena.

Para crear entradas de bloque para direcciones URL, use cualquiera de los métodos siguientes:

Tiene las siguientes opciones para crear entradas de bloque para direcciones URL:

  • En la pestaña Direcciones URL de la página Envíos de https://security.microsoft.com/reportsubmission?viewid=url. Cuando envíe un mensaje como Debería haberse bloqueado (Falso negativo), puede seleccionar Bloquear esta dirección URL para agregar una entrada de bloque a la pestaña Direcciones URL en la página Permitir o bloquear inquilinos Listas. Para obtener instrucciones, consulte Notificar direcciones URL cuestionables a Microsoft.

  • En la pestaña Direcciones URL de la página Permitir o bloquear Listas inquilino o en PowerShell, como se describe en esta sección.

Use el portal de Microsoft Defender para crear entradas de bloque para direcciones URL en la lista de permitidos o bloqueados de inquilinos.

  1. En el portal de Microsoft Defender en https://security.microsoft.com, vaya a Directivas & reglasReglas dedirectivas>> de amenazas sección >Reglas de directivas de amenazas Permitir o bloquear Listas de inquilinos. O bien, para ir directamente a la página Permitir o bloquear lista de inquilinos , use https://security.microsoft.com/tenantAllowBlockList.

  2. En la página Lista de permitidos o bloqueados de inquilinos , seleccione la pestaña Direcciones URL .

  3. En la pestaña Direcciones URL , seleccione Bloquear.

  4. En el control flotante Bloquear direcciones URL que se abre, configure los siguientes valores:

    • Agregar direcciones URL con caracteres comodín: escriba una dirección URL por línea, hasta un máximo de 20. Para obtener más información sobre la sintaxis de las entradas de dirección URL, consulte la sección Sintaxis de dirección URL de la lista de permitidos o bloques de inquilinos más adelante en este artículo.

    • Quitar entrada de bloque después: Seleccione entre los valores siguientes:

      • Nunca expirar
      • 1 día
      • 7 días
      • 30 días (valor predeterminado)
      • Fecha específica: el valor máximo es de 90 días a partir de hoy.

    • Nota opcional: escriba texto descriptivo para saber por qué está bloqueando las direcciones URL.

    Cuando haya terminado en el control flotante Bloquear direcciones URL , seleccione Agregar.

De nuevo en la pestaña Direcciones URL , se muestra la entrada.

Uso de PowerShell para crear entradas de bloque para direcciones URL en la lista de permitidos o bloqueados de inquilinos

En Exchange Online PowerShell, use la sintaxis siguiente:

New-TenantAllowBlockListItems -ListType Url -Block -Entries "Value1","Value2",..."ValueN" <-ExpirationDate <Date> | -NoExpiration> [-Notes <String>]

En este ejemplo se agrega una entrada de bloque para la dirección URL contoso.com y todos los subdominios (por ejemplo, contoso.com y xyz.abc.contoso.com). Dado que no usamos los parámetros ExpirationDate o NoExpiration, la entrada expira después de 30 días.

New-TenantAllowBlockListItems -ListType Url -Block -Entries *contoso.com

Para obtener información detallada sobre la sintaxis y los parámetros, vea New-TenantAllowBlockListItems.

Use el portal de Microsoft Defender para ver las entradas de las direcciones URL en la lista de permitidos o bloqueados de inquilinos.

En el portal de Microsoft Defender en https://security.microsoft.com, vaya a Directivas & reglas>Directivas de amenazas>Permitir o bloquear Listas de inquilinos en la sección Reglas. O bien, para ir directamente a la página Permitir o bloquear Listas inquilino, use https://security.microsoft.com/tenantAllowBlockList.

Seleccione la pestaña Direcciones URL .

En la pestaña Direcciones URL , puede ordenar las entradas haciendo clic en un encabezado de columna disponible. Las columnas siguientes están disponibles:

  • Valor: la dirección URL.
  • Acción: los valores disponibles son Allow o Block.
  • Modificado por
  • Actualizado por última vez
  • Quitar en: fecha de expiración.
  • Notas

Para filtrar las entradas, seleccione Filtrar. Los filtros siguientes están disponibles en el control flotante Filtro que se abre:

  • Acción: los valores disponibles son Allow y Block.
  • Nunca expire: o
  • Última actualización: seleccione Las fechas De y A .
  • Quitar en: seleccione Las fechas De y A .

Cuando haya terminado en el control flotante Filtro , seleccione Aplicar. Para borrar los filtros, seleccione Borrar filtros.

Use el cuadro Búsqueda y un valor correspondiente para buscar entradas específicas.

Para agrupar las entradas, seleccione Grupo y, a continuación, acción. Para desagrupar las entradas, seleccione Ninguno.

Uso de PowerShell para ver las entradas de las direcciones URL en la lista de permitidos o bloqueados de inquilinos

En Exchange Online PowerShell, use la sintaxis siguiente:

Get-TenantAllowBlockListItems -ListType Url [-Allow] [-Block] [-Entry <URLValue>] [<-ExpirationDate <Date> | -NoExpiration>]

En este ejemplo se devuelven todas las direcciones URL permitidas y bloqueadas.

Get-TenantAllowBlockListItems -ListType Url

En este ejemplo se filtran los resultados mediante direcciones URL bloqueadas.

Get-TenantAllowBlockListItems -ListType Url -Block

Para obtener información detallada sobre la sintaxis y los parámetros, vea Get-TenantAllowBlockListItems.

Use el portal de Microsoft Defender para modificar las entradas de las direcciones URL en la lista de permitidos o bloqueados de inquilinos.

En las entradas de dirección URL existentes, puede cambiar la fecha de expiración y la nota.

  1. En el portal de Microsoft Defender en https://security.microsoft.com, vaya a Directivas & reglasReglas dedirectivas>> de amenazas sección >Reglas de directivas de amenazas Permitir o bloquear Listas de inquilinos. O bien, para ir directamente a la página Permitir o bloquear Listas inquilino, use https://security.microsoft.com/tenantAllowBlockList.

  2. Seleccione la pestaña Direcciones URL.

  3. En la pestaña Direcciones URL, seleccione la entrada de la lista seleccionando la casilla situada junto a la primera columna y, a continuación, seleccione la acción Editar que aparece.

  4. En el control flotante Editar dirección URL que se abre, están disponibles los siguientes valores:

    • Entradas de bloque:
      • Quitar entrada de bloque después: Seleccione entre los valores siguientes:
        • 1 día
        • 7 días
        • 30 días
        • Nunca expirar
        • Fecha específica: el valor máximo es de 90 días a partir de hoy.
      • Nota opcional
    • Permitir entradas:
      • Quitar la entrada allow después: Seleccione entre los valores siguientes:
        • 1 día
        • 7 días
        • 30 días
        • Fecha específica: el valor máximo es de 30 días a partir de hoy.
      • Nota opcional

    Cuando haya terminado en el control flotante Editar dirección URL , seleccione Guardar.

Sugerencia

En el control flotante de detalles de una entrada en la pestaña Direcciones URL , use Ver envío en la parte superior del control flotante para ir a los detalles de la entrada correspondiente en la página Envíos . Esta acción está disponible si un envío fue responsable de crear la entrada en la lista de permitidos o bloqueados de inquilinos.

Uso de PowerShell para modificar las entradas de las direcciones URL en la lista de permitidos o bloqueados de inquilinos

En Exchange Online PowerShell, use la sintaxis siguiente:

Set-TenantAllowBlockListItems -ListType Url <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]

En este ejemplo se cambia la fecha de expiración de la entrada de bloque de la dirección URL especificada.

Set-TenantAllowBlockListItems -ListType Url -Entries "~contoso.com" -ExpirationDate "9/1/2022"

Para obtener información detallada sobre la sintaxis y los parámetros, vea Set-TenantAllowBlockListItems.

Use el portal de Microsoft Defender para quitar las entradas de las direcciones URL de la lista de permitidos o bloqueados de inquilinos.

  1. En el portal de Microsoft Defender en https://security.microsoft.com, vaya a Directivas & reglasReglas dedirectivas>> de amenazas sección >Reglas de directivas de amenazas Permitir o bloquear Listas de inquilinos. O bien, para ir directamente a la página Permitir o bloquear lista de inquilinos , use https://security.microsoft.com/tenantAllowBlockList.

  2. Seleccione la pestaña Direcciones URL .

  3. En la pestaña Direcciones URL , realice uno de los pasos siguientes:

    • Seleccione la entrada de la lista seleccionando la casilla situada junto a la primera columna y, a continuación, seleccione la acción Eliminar que aparece.

    • Seleccione la entrada de la lista haciendo clic en cualquier lugar de la fila que no sea la casilla. En el control flotante de detalles que se abre, seleccione Eliminar en la parte superior del control flotante.

      Sugerencia

      Para ver detalles sobre otras entradas sin salir del control flotante de detalles, use Elemento anterior y Siguiente en la parte superior del control flotante.

  4. En el cuadro de diálogo de advertencia que se abre, seleccione Eliminar.

De nuevo en la pestaña Direcciones URL , la entrada ya no aparece.

Sugerencia

Puede seleccionar varias entradas seleccionando cada casilla o seleccionando todas las entradas seleccionando la casilla situada junto al encabezado de columna Valor .

Uso de PowerShell para quitar entradas para direcciones URL de la lista de permitidos o bloqueados de inquilinos

En Exchange Online PowerShell, use la sintaxis siguiente:

Remove-TenantAllowBlockListItems -ListType Url <-Ids <Identity value> | -Entries <Value>>

En este ejemplo se quita la entrada de bloque de la dirección URL especificada de la lista de permitidos o bloqueados de inquilinos.

Remove-TenantAllowBlockListItems -ListType Url -Entries "*cohovineyard.com

Para obtener información detallada sobre la sintaxis y los parámetros, vea Remove-TenantAllowBlockListItems.

Sintaxis de dirección URL para la lista de permitidos o bloqueados de inquilinos

  • Se permiten direcciones IPv4 e IPv6, pero los puertos TCP/UDP no.

  • No se permiten extensiones de nombre de archivo (por ejemplo, test.pdf).

  • Unicode no se admite, pero Punycode sí.

  • Los nombres de host se permiten si se cumplen todas las instrucciones siguientes:

    • El nombre de host contiene un punto.
    • Hay al menos un carácter a la izquierda del punto.
    • Hay al menos dos caracteres a la derecha del punto.

    Por ejemplo, t.co se permite; .com o contoso. no se permiten.

  • Las rutas secundarias no están implícitas para permitir.

    Por ejemplo, contoso.com no incluye contoso.com/a.

  • Se permiten caracteres comodín (*) en los siguientes escenarios:

    • Un carácter comodín izquierdo debe ir seguido de un punto para especificar un subdominio. (aplicable solo para bloques)

      Por ejemplo, *.contoso.com se permite; *contoso.com no se permite.

    • Un carácter comodín derecho debe seguir una barra diagonal (/) para especificar una ruta de acceso.

      Por ejemplo, contoso.com/* se permite; contoso.com* o contoso.com/ab* no se permiten.

    • *.com* no es válido (no es un dominio que se puede resolver y el carácter comodín derecho no sigue una barra diagonal).

    • No se permiten caracteres comodín en las direcciones IP.

  • El carácter de tilde (~) está disponible en los escenarios siguientes:

    • Una tilde izquierda implica un dominio y todos los subdominios.

      Por ejemplo, ~contoso.com incluye contoso.com y *.contoso.com.

  • No se admite ni se requiere un nombre de usuario o contraseña.

  • Las comillas (' o ") son caracteres no válidos.

  • Una dirección URL debe incluir todas las redirecciones siempre que sea posible.

Escenarios de entrada de dirección URL

Las entradas url válidas y sus resultados se describen en las subsecciones siguientes.

Escenario: Bloqueo de dominio de nivel superior

Entrada: *.<TLD>/*

  • Coincidencia de bloques:
    • a.TLD
    • TLD/abcd
    • b.abcd.TLD
    • TLD/contoso.com
    • TLD/q=contoso.com
    • www.abcd.TLD
    • www.abcd.TLD/q=a@contoso.com

Escenario: Sin caracteres comodín

Entrada: contoso.com

  • Permitir coincidencia: contoso.com

  • Permitir no coincidente:

    • abc-contoso.com
    • contoso.com/a
    • payroll.contoso.com
    • test.com/contoso.com
    • test.com/q=contoso.com
    • www.contoso.com
    • www.contoso.com/q=a@contoso.com

  • Coincidencia de bloques:

    • contoso.com
    • contoso.com/a
    • payroll.contoso.com
    • test.com/contoso.com
    • test.com/q=contoso.com
    • www.contoso.com
    • www.contoso.com/q=a@contoso.com

  • Bloque no coincidente: abc-contoso.com

Escenario: Carácter comodín izquierdo (subdominio)

Sugerencia

Las entradas permitidas de este patrón solo se admiten desde la configuración de entrega avanzada.

Entrada: *.contoso.com

  • Permitir coincidencia y Bloquear coincidencia:

    • www.contoso.com
    • xyz.abc.contoso.com

  • Permitir no coincidente y Bloquear no coincidente:

    • 123contoso.com
    • contoso.com
    • test.com/contoso.com
    • www.contoso.com/abc

Escenario: Carácter comodín derecho en la parte superior de la ruta de acceso

Entrada: contoso.com/a/*

  • Permitir coincidencia y Bloquear coincidencia:

    • contoso.com/a/b
    • contoso.com/a/b/c
    • contoso.com/a/?q=joe@t.com

  • Permitir no coincidente y Bloquear no coincidente:

    • contoso.com
    • contoso.com/a
    • www.contoso.com
    • www.contoso.com/q=a@contoso.com

Escenario: tilde izquierda

Sugerencia

Las entradas permitidas de este patrón solo se admiten desde la configuración de entrega avanzada.

Entrada: ~contoso.com

  • Permitir coincidencia y Bloquear coincidencia:

    • contoso.com
    • www.contoso.com
    • xyz.abc.contoso.com

  • Permitir no coincidente y Bloquear no coincidente:

    • 123contoso.com
    • contoso.com/abc
    • www.contoso.com/abc

Escenario: Sufijo comodín derecho

Entrada: contoso.com/*

  • Permitir coincidencia y Bloquear coincidencia:

    • contoso.com/?q=whatever@fabrikam.com
    • contoso.com/a
    • contoso.com/a/b/c
    • contoso.com/ab
    • contoso.com/b
    • contoso.com/b/a/c
    • contoso.com/ba

  • Permitir no coincidente y Bloquear no coincidente: contoso.com

Escenario: Subdominio de caracteres comodín izquierdos y sufijo comodín derecho

Sugerencia

Las entradas permitidas de este patrón solo se admiten desde la configuración de entrega avanzada.

Entrada: *.contoso.com/*

  • Permitir coincidencia y Bloquear coincidencia:

    • abc.contoso.com/ab
    • abc.xyz.contoso.com/a/b/c
    • www.contoso.com/a
    • www.contoso.com/b/a/c
    • xyz.contoso.com/ba

  • Permitir no coincidente y Bloquear no coincidente: contoso.com/b

Escenario: tilde izquierda y derecha

Sugerencia

Las entradas permitidas de este patrón solo se admiten desde la configuración de entrega avanzada.

Entrada: ~contoso.com~

  • Permitir coincidencia y Bloquear coincidencia:

    • contoso.com
    • contoso.com/a
    • www.contoso.com
    • www.contoso.com/b
    • xyz.abc.contoso.com
    • abc.xyz.contoso.com/a/b/c
    • contoso.com/b/a/c
    • test.com/contoso.com

  • Permitir no coincidente y Bloquear no coincidente:

    • 123contoso.com
    • contoso.org
    • test.com/q=contoso.com

Escenario: dirección IP

Entrada: 1.2.3.4

  • Permitir coincidencia y Bloquear coincidencia: 1.2.3.4

  • Permitir no coincidente y Bloquear no coincidente:

    • 1.2.3.4/a
    • 11.2.3.4/a

Dirección IP con carácter comodín derecho

Entrada: 1.2.3.4/*

  • Permitir coincidencia y Bloquear coincidencia:
    • 1.2.3.4/b
    • 1.2.3.4/baaaa

Ejemplos de entradas no válidas

Las siguientes entradas no son válidas:

  • Valores de dominio que faltan o no son válidos:

    • Contoso
    • *.Contoso.*
    • *.Com
    • *.pdf

  • Carácter comodín en texto o sin caracteres de espaciado:

    • *contoso.com
    • contoso.com*
    • *1.2.3.4
    • 1.2.3.4*
    • contoso.com/a*
    • contoso.com/ab*

  • Direcciones IP con puertos:

    • contoso.com:443
    • abc.contoso.com:25

  • Caracteres comodín no descriptivos:

    • *
    • *.*

  • Caracteres comodín intermedios:

    • conto*so.com
    • conto~so.com

  • Caracteres comodín dobles

    • contoso.com/**
    • contoso.com/*/*