Autoriser ou bloquer des fichiers utilisant la liste Autoriser/Bloquer des clients

Conseil

Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender XDR pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai ici.

Dans les organisations Microsoft 365 avec des boîtes aux lettres dans Exchange Online ou des organisations Exchange Online Protection autonomes (EOP) sans boîtes aux lettres Exchange Online, les administrateurs peuvent créer et gérer des entrées pour les fichiers dans la liste verte/bloquée des locataires. Pour plus d’informations sur la liste verte/bloquée des locataires, consultez Gérer les autorisations et les blocs dans la liste verte/bloquée des locataires.

Cet article décrit comment les administrateurs peuvent gérer les entrées des fichiers dans le portail Microsoft Defender et dans Exchange Online PowerShell.

Ce qu'il faut savoir avant de commencer

  • Vous ouvrez le portail Microsoft Defender à l’adresse https://security.microsoft.com. Pour accéder directement à la page Autoriser/bloquer le locataire Listes, utilisez https://security.microsoft.com/tenantAllowBlockList. Pour accéder directement à la page Soumissions , utilisez https://security.microsoft.com/reportsubmission.

  • Pour vous connecter à Exchange Online PowerShell, voir Connexion à Exchange Online PowerShell. Pour vous connecter à un service Exchange Online Protection PowerShell autonome, voir Se connecter à Exchange Online Protection PowerShell.

  • Vous spécifiez des fichiers à l’aide de la valeur de hachage SHA256 du fichier. Pour rechercher la valeur de hachage SHA256 d’un fichier dans Windows, exécutez la commande suivante dans une invite de commandes :

    certutil.exe -hashfile "<Path>\<Filename>" SHA256

    Un exemple de valeur est 768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3a. Les valeurs de hachage perceptuel (pHash) ne sont pas prises en charge.

  • Limites d’entrée pour les fichiers :

    • Exchange Online Protection : le nombre maximal d’entrées autorisées est de 500 et le nombre maximal d’entrées de bloc est de 500 (1 000 entrées de fichier au total).
    • Defender for Office 365 Plan 1 : le nombre maximal d’entrées autorisées est de 1 000 et le nombre maximal d’entrées de bloc est de 1 000 (2 000 entrées de fichier au total).
    • Defender for Office 365 Plan 2 : le nombre maximal d’entrées autorisées est de 5 000 et le nombre maximal d’entrées de bloc est de 10 000 (15 000 entrées de fichier au total).

  • Vous pouvez entrer un maximum de 64 caractères dans une entrée de fichier.

  • Une entrée doit être active dans les 5 minutes.

  • Vous devez disposer d’autorisations pour pouvoir effectuer les procédures décrites dans cet article. Vous avez le choix parmi les options suivantes :

    • Microsoft Defender XDR Contrôle d’accès en fonction du rôle (RBAC) unifié (affecte uniquement le portail Defender, et non PowerShell) : Autorisation et paramètres/Paramètres de sécurité/Réglage de la détection (gérer) ou Autorisation et paramètres/Paramètres de sécurité/Paramètres de sécurité principaux (lecture).
    • Exchange Online autorisations :
      • Ajoutez et supprimez des entrées de la liste verte/bloquée du locataire : Appartenance à l’un des groupes de rôles suivants :
        • Gestion de l’organisation ou Administrateur de la sécurité (rôle d’administrateur de la sécurité).
        • Opérateur de sécurité (Gestionnaire AllowBlockList du locataire).
      • Accès en lecture seule à la liste verte/bloquée du locataire : Appartenance à l’un des groupes de rôles suivants :
        • Lecteur global
        • Lecteur de sécurité
        • Afficher uniquement la configuration
        • View-Only Organization Management
    • autorisations Microsoft Entra : l’appartenance aux rôles Administrateur général, Administrateur de la sécurité, Lecteur général ou Lecteur de sécurité donne aux utilisateurs les autorisations et autorisations requises pour d’autres fonctionnalités dans Microsoft 365.

  • Un onglet Fichiers est disponible dans la page Soumissions uniquement dans les organisations avec Microsoft Defender XDR ou Microsoft Defender pour point de terminaison Plan 2. Pour obtenir des informations et des instructions sur l’envoi de fichiers à partir de l’onglet Fichiers, consultez Envoyer des fichiers dans Microsoft Defender pour point de terminaison.

Create autoriser les entrées pour les fichiers

Vous ne pouvez pas créer d’entrées d’autorisation pour les fichiers directement dans la liste verte/bloquée du locataire. Les entrées d’autorisation inutiles exposent vos organization à des e-mails malveillants qui auraient été filtrés par le système.

Au lieu de cela, vous utilisez l’onglet Email pièces jointes dans la page Soumissions à l’adresse https://security.microsoft.com/reportsubmission?viewid=emailAttachment. Lorsque vous envoyez un fichier bloqué comme n’aurait pas dû être bloqué (faux positif), vous pouvez sélectionner Autoriser ce fichier à ajouter une entrée d’autorisation pour le fichier sous l’onglet Fichiers de la page Autoriser/Bloquer le client Listes. Pour obtenir des instructions, consultez Envoyer de bonnes pièces jointes à Microsoft.

Remarque

Les entrées d’autorisation sont ajoutées en fonction des filtres qui ont déterminé que le message était malveillant pendant le flux de messagerie. Par exemple, si l’adresse e-mail de l’expéditeur et un fichier dans le message ont été jugés incorrects, une entrée d’autorisation est créée pour l’expéditeur (adresse e-mail ou domaine) et le fichier.

Lorsque l’entité dans l’entrée d’autorisation est à nouveau rencontrée (pendant le flux de courrier ou au moment du clic), tous les filtres associés à cette entité sont remplacés.

Par défaut, les entrées autorisées pour les fichiers existent pendant 30 jours. Pendant ces 30 jours, Microsoft apprend des entrées d’autorisation et les supprime ou les étend automatiquement. Une fois que Microsoft a appris des entrées d’autorisation supprimées, les messages qui contiennent ces entités sont remis, sauf si un autre élément du message est détecté comme malveillant.

Pendant le flux de messagerie, si les messages contenant l’entité autorisée passent d’autres vérifications dans la pile de filtrage, les messages sont remis. Par exemple, si un message réussit les vérifications d’authentification par e-mail, le message est remis s’il contient également un fichier autorisé.

Au moment du clic, l’entrée d’autorisation du fichier remplace tous les filtres associés à l’entité de fichier, ce qui permet aux utilisateurs d’accéder au fichier.

Create des entrées de blocage pour les fichiers

Email messages qui contiennent ces fichiers bloqués sont bloqués en tant que programmes malveillants. Les messages qui contiennent les fichiers bloqués sont mis en quarantaine.

Pour créer des entrées de bloc pour les fichiers, utilisez l’une des méthodes suivantes :

  • À partir de l’onglet Email pièces jointes de la page Soumissions à l’adresse https://security.microsoft.com/reportsubmission?viewid=emailAttachment. Lorsque vous envoyez un fichier comme Ayant dû être bloqué (faux négatif), vous pouvez sélectionner Bloquer ce fichier pour ajouter une entrée de bloc à l’onglet Fichiers de la page Autoriser/Bloquer du locataire Listes. Pour obtenir des instructions, consultez Signaler des pièces jointes douteuses à Microsoft.

  • À partir de l’onglet Fichiers de la page Autoriser/bloquer le locataire Listes ou dans PowerShell, comme décrit dans cette section.

Utiliser le portail Microsoft Defender pour créer des entrées de bloc pour les fichiers dans la liste verte/bloquée du locataire

  1. Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Stratégies & règles>Stratégies de> menacesection Règles>d’autorisation/de blocage du locataire Listes. Ou, pour accéder directement à la page Autoriser/Bloquer le locataire Listes, utilisez https://security.microsoft.com/tenantAllowBlockList.

  2. Dans la page Autoriser/Bloquer le locataire Listes, sélectionnez l’onglet Fichiers.

  3. Sous l’onglet Fichiers , sélectionnez Bloquer.

  4. Dans le menu volant Bloquer les fichiers qui s’ouvre, configurez les paramètres suivants :

    • Ajouter des hachages de fichier : entrez une valeur de hachage SHA256 par ligne, jusqu’à un maximum de 20.

    • Supprimer l’entrée de bloc après : Sélectionnez parmi les valeurs suivantes :

      • 1 jour
      • 7 jours
      • 30 jours (par défaut)
      • N’expirez jamais
      • Date spécifique : la valeur maximale est de 90 jours à partir d’aujourd’hui.

    • Remarque facultative : entrez un texte descriptif indiquant pourquoi vous bloquez les fichiers.

    Lorsque vous avez terminé dans le menu volant Bloquer les fichiers , sélectionnez Ajouter.

De retour sous l’onglet Fichiers , l’entrée est répertoriée.

Utiliser PowerShell pour créer des entrées de bloc pour les fichiers dans la liste verte/bloquée du locataire

Dans Exchange Online PowerShell, utilisez la syntaxe suivante :

New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "HashValue1","HashValue2",..."HashValueN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]

Cet exemple ajoute une entrée de bloc pour les fichiers spécifiés qui n’expire jamais.

New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3","2c0a35409ff0873cfa28b70b8224e9aca2362241c1f0ed6f622fef8d4722fd9a" -NoExpiration

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez New-TenantAllowBlockListItems.

Utiliser le portail Microsoft Defender pour afficher les entrées des fichiers dans la liste verte/bloquée du locataire

Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Stratégies & règles>Stratégies de> menace- Autorisation/blocage des locataires Listes dans la section Règles. Ou, pour accéder directement à la page Autoriser/Bloquer le locataire Listes, utilisez https://security.microsoft.com/tenantAllowBlockList.

Sélectionnez l’onglet Fichiers .

Sous l’onglet Fichiers , vous pouvez trier les entrées en cliquant sur un en-tête de colonne disponible. Les colonnes suivantes sont disponibles :

  • Valeur : hachage de fichier.
  • Action : Les valeurs disponibles sont Autoriser ou Bloquer.
  • Modifié par
  • Dernière mise à jour
  • Date de la dernière utilisation : date à laquelle l’entrée a été utilisée pour la dernière fois dans le système de filtrage pour remplacer le verdict.
  • Supprimer le : date d’expiration.
  • Notes

Pour filtrer les entrées, sélectionnez Filtrer. Les filtres suivants sont disponibles dans le menu volant Filtrer qui s’ouvre :

  • Action : Les valeurs disponibles sont Autoriser et Bloquer.
  • N’expirez jamais : ou
  • Dernière mise à jour : sélectionnez De et À dates.
  • Date de la dernière utilisation : sélectionnez Des dates et À .
  • Supprimer sur : sélectionnez Des dates et À .

Lorsque vous avez terminé dans le menu volant Filtrer , sélectionnez Appliquer. Pour effacer les filtres, sélectionnez Effacer les filtres.

Utilisez la zone Recherche et une valeur correspondante pour rechercher des entrées spécifiques.

Pour regrouper les entrées, sélectionnez Grouper , puis Action. Pour dissocier les entrées, sélectionnez Aucune.

Utiliser PowerShell pour afficher les entrées des fichiers dans la liste verte/bloquée du locataire

Dans Exchange Online PowerShell, utilisez la syntaxe suivante :

Get-TenantAllowBlockListItems -ListType FileHash [-Allow] [-Block] [-Entry <FileHashValue>] [<-ExpirationDate Date | -NoExpiration>]

Cet exemple retourne tous les fichiers autorisés et bloqués.

Get-TenantAllowBlockListItems -ListType FileHash

Cet exemple retourne des informations pour la valeur de hachage de fichier spécifiée.

Get-TenantAllowBlockListItems -ListType FileHash -Entry "9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08"

Cet exemple montre comment filtrer les résultats en fonction des fichiers bloqués.

Get-TenantAllowBlockListItems -ListType FileHash -Block

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Get-TenantAllowBlockListItems.

Utiliser le portail Microsoft Defender pour modifier les entrées des fichiers dans la liste verte/bloquée des locataires

Dans les entrées de fichier existantes, vous pouvez modifier la date d’expiration et la note.

  1. Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Stratégies & règles>Stratégies de> menacesection Règles>d’autorisation/de blocage du locataire Listes. Ou, pour accéder directement à la page Autoriser/Bloquer le locataire Listes, utilisez https://security.microsoft.com/tenantAllowBlockList.

  2. Sélectionnez l’onglet Fichiers

  3. Sous l’onglet Fichiers, sélectionnez l’entrée dans la liste en sélectionnant la zone case activée en regard de la première colonne, puis sélectionnez l’action Modifier qui s’affiche.

  4. Dans le menu volant Modifier le fichier qui s’ouvre, les paramètres suivants sont disponibles :

    • Entrées de bloc :
      • Supprimer l’entrée de bloc après : Sélectionnez parmi les valeurs suivantes :
        • 1 jour
        • 7 jours
        • 30 jours
        • N’expirez jamais
        • Date spécifique : la valeur maximale est de 90 jours à partir d’aujourd’hui.
      • Remarque facultative
    • Autoriser les entrées :
      • Supprimer l’entrée d’autorisation après : Sélectionnez parmi les valeurs suivantes :
        • 1 jour
        • 7 jours
        • 30 jours
        • Date spécifique : la valeur maximale est de 30 jours à partir d’aujourd’hui.
      • Remarque facultative

    Lorsque vous avez terminé dans le menu volant Modifier le fichier , sélectionnez Enregistrer.

Conseil

Dans le menu volant détails d’une entrée sous l’onglet Fichiers , utilisez Afficher la soumission en haut du menu volant pour accéder aux détails de l’entrée correspondante dans la page Soumissions . Cette action est disponible si une soumission a été chargée de créer l’entrée dans la liste verte/bloquée du locataire.

Utiliser PowerShell pour modifier les entrées d’autorisation ou de blocage existantes pour les fichiers dans la liste verte/bloquée du locataire

Dans Exchange Online PowerShell, utilisez la syntaxe suivante :

Set-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]

Cet exemple montre comment modifier la date d’expiration de l’entrée de bloc de fichiers spécifiée.

Set-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214" -ExpirationDate "9/1/2022"

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Set-TenantAllowBlockListItems.

Utiliser le portail Microsoft Defender pour supprimer les entrées des fichiers de la liste verte/bloquée du locataire

  1. Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Stratégies & règles>Stratégies de> menacesection Règles>d’autorisation/de blocage du locataire Listes. Ou, pour accéder directement à la page Autoriser/Bloquer le locataire Listes, utilisez https://security.microsoft.com/tenantAllowBlockList.

  2. Sélectionnez l’onglet Fichiers .

  3. Sous l’onglet Fichiers , effectuez l’une des étapes suivantes :

    • Sélectionnez l’entrée dans la liste en sélectionnant la zone case activée en regard de la première colonne, puis sélectionnez l’action Supprimer qui s’affiche.

    • Sélectionnez l’entrée dans la liste en cliquant n’importe où dans la ligne autre que la zone case activée. Dans le menu volant de détails qui s’ouvre, sélectionnez Supprimer en haut du menu volant.

      Conseil

      Pour afficher les détails des autres entrées sans quitter le menu volant de détails, utilisez l’élément Précédent et l’élément suivant en haut du menu volant.

  4. Dans la boîte de dialogue d’avertissement qui s’ouvre, sélectionnez Supprimer.

De retour sous l’onglet Fichiers , l’entrée n’est plus répertoriée.

Conseil

Vous pouvez sélectionner plusieurs entrées en sélectionnant chaque zone case activée, ou sélectionner toutes les entrées en sélectionnant la zone case activée en regard de l’en-tête de colonne Valeur.

Utiliser PowerShell pour supprimer les entrées des fichiers de la liste verte/bloquée des locataires

Dans Exchange Online PowerShell, utilisez la syntaxe suivante :

Remove-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>>

Cet exemple montre comment supprimer le bloc de fichiers spécifié de la liste verte/bloquée du locataire.

Remove-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214"

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Remove-TenantAllowBlockListItems.