Gérer les autorises et les blocs dans la liste verte/bloquée des locataires

• S’applique à:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Conseil

Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender XDR pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai ici.

Importante

Pour autoriser les URL de hameçonnage qui font partie de la formation de simulation d’attaque tierce, utilisez la configuration de remise avancée pour spécifier les URL. N’utilisez pas la liste verte/bloquée du locataire.

Dans les organisations Microsoft 365 avec des boîtes aux lettres dans Exchange Online ou des organisations Exchange Online Protection autonomes (EOP) sans boîtes aux lettres Exchange Online, vous pouvez être en désaccord avec l’EOP ou Microsoft Defender pour Office 365 verdict de filtrage. Par exemple, un bon message peut être marqué comme mauvais (faux positif) ou un message incorrect peut être autorisé (faux négatif).

La liste verte/bloquée des locataires dans le portail Microsoft Defender vous permet de remplacer manuellement les verdicts de filtrage Defender for Office 365 ou EOP. La liste est utilisée pendant le flux de messagerie pour les messages entrants provenant d’expéditeurs externes.

La liste verte/bloquée du locataire ne s’applique pas aux messages internes au sein du organization. Toutefois, les entrées de blocage pour les domaines et les adresses de messagerie empêchent les utilisateurs du organization d’envoyer des messages électroniques à ces domaines et adresses bloqués.

La liste Des locataires autorisés/bloqués est disponible dans le portail Microsoft Defender à https://security.microsoft.com>l’adresse Stratégies & règles>stratégies de> menace Listesd’autorisation/de blocage des locataires dans la section Règles. Pour accéder directement à la page Autoriser/bloquer le locataire Listes, utilisez https://security.microsoft.com/tenantAllowBlockList.

Pour obtenir des instructions d’utilisation et de configuration, consultez les articles suivants :

• Domaines et adresses e-mail et expéditeurs usurpés : autoriser ou bloquer les e-mails à l’aide de la liste verte/bloquée des locataires
• Fichiers : autoriser ou bloquer les fichiers à l’aide de la liste verte/bloquée du locataire
• URL : autorisez ou bloquez les URL à l’aide de la liste verte/bloquée du locataire.

Ces articles contiennent des procédures dans le portail Microsoft Defender et dans PowerShell.

Bloquer les entrées dans la liste verte/bloquée du locataire

Remarque

Dans la liste verte/bloquée du locataire, les entrées de bloc sont prioritaires sur les entrées d’autorisation.

Utilisez la page Soumissions (également appelée soumission d’administrateur) sur https://security.microsoft.com/reportsubmission pour créer des entrées de bloc pour les types d’éléments suivants lorsque vous les signalez en tant que faux négatifs à Microsoft :

• Domaines et adresses e-mail :

  • Email messages de ces expéditeurs sont marqués comme hameçonnage à haut niveau de confiance, puis placés en quarantaine.
  • Les utilisateurs du organization ne peuvent pas envoyer de courrier électronique à ces domaines et adresses bloqués. Ils reçoivent le rapport de non-remise suivant (également appelé notification d’échec de remise ou message de rebond) : 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. l’intégralité du message est bloquée pour tous les destinataires internes et externes du message, même si une seule adresse e-mail ou domaine de destinataire est défini dans une entrée de bloc.

  Conseil

  Pour bloquer uniquement le courrier indésirable d’un expéditeur spécifique, ajoutez l’adresse e-mail ou le domaine à la liste de blocage dans les stratégies anti-courrier indésirable. Pour bloquer tous les e-mails de l’expéditeur, utilisez Domaines et adresses e-mail dans la liste verte/bloquée du locataire.

• Fichiers : Email messages qui contiennent ces fichiers bloqués sont bloqués en tant que programmes malveillants. Les messages contenant les fichiers bloqués sont mis en quarantaine.

• URL : les messages Email qui contiennent ces URL bloquées sont bloqués en tant qu’hameçonnage à haut niveau de confiance. Les messages contenant les URL bloquées sont mis en quarantaine.

Dans la liste verte/bloquée du locataire, vous pouvez également créer directement des entrées de bloc pour les types d’éléments suivants :

• Domaines et adresses e-mail, fichiers et URL.

• Expéditeurs usurpés : si vous remplacez manuellement un verdict d’autorisation existant à partir de l’intelligence contre l’usurpation d’identité, l’expéditeur usurpé bloqué devient une entrée de bloc manuelle qui apparaît uniquement sous l’onglet Expéditeurs usurpés dans la liste verte/bloquée du locataire.

Par défaut, les entrées de blocage pour les domaines et les adresses de messagerie, les fichiers et les URL expirent au bout de 30 jours, mais vous pouvez les définir pour qu’elles expirent jusqu’à 90 jours ou pour ne jamais expirer. Les entrées de blocage pour les expéditeurs usurpés n’expirent jamais .

Autoriser les entrées dans la liste verte/bloquée du locataire

Dans la plupart des cas, vous ne pouvez pas créer directement des entrées d’autorisation dans la liste verte/bloquée du locataire :

• Domaines et adresses e-mail, fichiers et URL : vous ne pouvez pas créer d’entrées d’autorisation directement dans la liste verte/bloquée du locataire. Au lieu de cela, vous utilisez la page Soumissions à l’adresse https://security.microsoft.com/reportsubmission pour signaler l’e-mail, la pièce jointe ou l’URL à Microsoft comme n’aurait pas dû être bloqué (faux positif).

• Expéditeurs usurpés :

  • Si l’intelligence d’usurpation d’identité a déjà bloqué le message en tant qu’usurpation d’identité, utilisez la page Soumissions à l’adresse https://security.microsoft.com/reportsubmission pour signaler à Microsoft que l’e-mailn’aurait pas dû être bloqué (faux positif).
  • Vous pouvez créer de manière proactive une entrée d’autorisation pour un expéditeur usurpé sous l’onglet Expéditeur usurpé dans la liste verte/bloquée du locataire avant que l’intelligence d’usurpation d’identité identifie et bloque le message en tant qu’usurpation d’identité.

La liste suivante décrit ce qui se passe dans la liste verte/bloquée des locataires lorsque vous signalez quelque chose à Microsoft en tant que faux positif dans la page Soumissions :

• Email pièces jointes et URL : une entrée d’autorisation est créée et l’entrée s’affiche sous l’onglet Fichiers ou URL de la liste verte/bloquée du locataire, respectivement.

  Pour les URL signalées comme faux positifs, nous allons autoriser les messages suivants qui contiennent des variantes de l’URL d’origine. Par exemple, vous utilisez la page Soumissions pour signaler l’URL www.contoso.com/abcincorrectement bloquée. Si votre organization reçoit ultérieurement un message contenant l’URL (par exemple, mais sans s’y limiter : www.contoso.com/abc, www.contoso.com/abc?id=1, www.contoso.com/abc/def/gty/uyt?id=5ou www.contoso.com/abc/whatever), le message ne sera pas bloqué en fonction de l’URL. En d’autres termes, vous n’avez pas besoin de signaler plusieurs variantes de la même URL à Microsoft.

• Email : si un message a été bloqué par la pile de filtrage EOP ou Defender for Office 365, une entrée d’autorisation peut être créée dans la liste verte/bloquée du locataire :

  • Si le message a été bloqué par l’intelligence contre l’usurpation d’identité, une entrée d’autorisation pour l’expéditeur est créée et l’entrée apparaît sous l’onglet Expéditeurs usurpés dans la liste verte/bloquée du locataire.
  • Si le message a été bloqué par la protection contre l’emprunt d’identité de l’utilisateur (ou du graphique) dans Defender for Office 365, une entrée d’autorisation n’est pas créée dans la liste verte/bloquée du locataire. Au lieu de cela, le domaine ou l’expéditeur est ajouté à la section Expéditeurs et domaines approuvés dans la stratégie anti-hameçonnage qui a détecté le message.
  • Si le message a été bloqué en raison de filtres basés sur des fichiers, une entrée d’autorisation pour le fichier est créée et l’entrée s’affiche sous l’onglet Fichiers de la liste verte/bloquée du locataire.
  • Si le message a été bloqué en raison de filtres basés sur une URL, une entrée d’autorisation pour l’URL est créée et l’entrée apparaît sous l’onglet URL dans la liste verte/bloquée du locataire.
  • Si le message a été bloqué pour une autre raison, une entrée d’autorisation pour l’adresse e-mail ou le domaine de l’expéditeur est créée et l’entrée s’affiche sous l’onglet Domaines & adresses dans la liste verte/bloquée du locataire.
  • Si le message n’a pas été bloqué en raison d’un filtrage, aucune entrée d’autorisation n’est créée n’importe où.

Par défaut, les entrées autorisées pour les domaines et les adresses de messagerie, les fichiers et les URL existent pendant 30 jours. Pendant ces 30 jours, Microsoft apprend des entrées d’autorisation et les supprime ou les étend automatiquement. Une fois que Microsoft a appris des entrées d’autorisation supprimées, les messages qui contiennent ces entités sont remis, sauf si un autre élément du message est détecté comme malveillant. Par défaut, les entrées autorisées pour les expéditeurs usurpés n’expirent jamais.

Importante

Microsoft ne vous permet pas de créer directement des entrées d’autorisation. Les entrées d’autorisation inutiles exposent vos organization à des e-mails malveillants qui auraient pu être filtrés par le système.

Microsoft gère la création d’entrées d’autorisation à partir de la page Soumissions à l’adresse https://security.microsoft.com/reportsubmission. Les entrées d’autorisation sont ajoutées pendant le flux de messagerie en fonction des filtres qui ont déterminé que le message était malveillant. Par exemple, si l’adresse e-mail de l’expéditeur et une URL dans le message ont été jugées incorrectes, une entrée d’autorisation est créée pour l’expéditeur (adresse e-mail ou domaine) et l’URL.

Lorsque l’entité est à nouveau rencontrée (pendant le flux de courrier ou l’heure de clic), tous les filtres associés à cette entité sont ignorés.

Pendant le flux de messagerie, si les messages contenant l’entité autorisée passent d’autres vérifications dans la pile de filtrage, les messages sont remis. Par exemple, si un message réussit les vérifications d’authentification par e-mail, le filtrage d’URL et le filtrage de fichiers, un message provenant d’une adresse e-mail de l’expéditeur autorisé est remis.

À quoi s’attendre après avoir ajouté une entrée autoriser ou bloquer

Une fois que vous avez ajouté une entrée d’autorisation dans la page Soumissions ou une entrée de bloc dans la liste verte/bloquée du locataire, l’entrée doit commencer à fonctionner immédiatement (dans les 5 minutes).

Si Microsoft a appris de l’entrée d’autorisation, l’entrée est supprimée. Vous recevez une alerte concernant la suppression de l’entrée d’autorisation désormais inutile de la stratégie d’alerte intégrée nommée Suppression d’une entrée dans la liste verte/bloquée du locataire.