Autoriser ou bloquer des URL utilisant la liste Autoriser/Bloquer des clients

Conseil

Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender XDR pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai ici.

Dans les organisations Microsoft 365 avec des boîtes aux lettres dans Exchange Online ou des organisations Exchange Online Protection autonomes (EOP) sans boîtes aux lettres Exchange Online, les administrateurs peuvent créer et gérer des entrées pour les URL dans la liste verte/bloquée du locataire. Pour plus d’informations sur la liste verte/bloquée des locataires, consultez Gérer les autorisations et les blocs dans la liste verte/bloquée des locataires.

Remarque

Pour autoriser les URL de hameçonnage à partir de simulations de hameçonnage tierces, utilisez la configuration de remise avancée pour spécifier les URL. N’utilisez pas la liste verte/bloquée du locataire.

Cet article décrit comment les administrateurs peuvent gérer les entrées pour les URL dans le portail Microsoft Defender et dans Exchange Online PowerShell.

Ce qu'il faut savoir avant de commencer

  • Vous ouvrez le portail Microsoft Defender à l’adresse https://security.microsoft.com. Pour accéder directement à la page Liste des locataires autorisés/bloqués , utilisez https://security.microsoft.com/tenantAllowBlockList. Pour accéder directement à la page Soumissions , utilisez https://security.microsoft.com/reportsubmission.

  • Pour vous connecter à Exchange Online PowerShell, voir Connexion à Exchange Online PowerShell. Pour vous connecter à un service Exchange Online Protection PowerShell autonome, voir Se connecter à Exchange Online Protection PowerShell.

  • Pour connaître la syntaxe d’entrée d’URL, consultez la syntaxe d’URL de la section Liste verte/bloquée du locataire plus loin dans cet article.

    • Limites d’entrée pour les URL :
    • Exchange Online Protection : le nombre maximal d’entrées autorisées est de 500 et le nombre maximal d’entrées de bloc est de 500 (1 000 entrées d’URL au total).
    • Defender for Office 365 Plan 1 : le nombre maximal d’entrées autorisées est de 1 000 et le nombre maximal d’entrées de bloc est de 1 000 (2 000 entrées d’URL au total).
    • Defender for Office 365 Plan 2 : le nombre maximal d’entrées autorisées est de 5 000 et le nombre maximal d’entrées de bloc est de 10 000 (15 000 entrées d’URL au total).

  • Vous pouvez entrer un maximum de 250 caractères dans une entrée d’URL.

  • Une entrée doit être active dans les 5 minutes.

  • Vous devez disposer d’autorisations pour pouvoir effectuer les procédures décrites dans cet article. Vous avez le choix parmi les options suivantes :

    • Microsoft Defender XDR le contrôle d’accès en fonction du rôle (RBAC) unifié (affecte uniquement le portail Defender, et non PowerShell) :
      • Ajoutez et supprimez des entrées de la liste verte/bloquée du locataire : Appartenance affectée avec les autorisations suivantes :
        • Autorisation et paramètres/Paramètres de sécurité/Paramétrage de la détection (gérer)
      • Accès en lecture seule à la liste verte/bloquée du locataire :
        • Autorisation et paramètres/Paramètres de sécurité/En lecture seule.
        • Autorisation et paramètres/Paramètres de sécurité/Paramètres de sécurité principaux (lecture).
    • Exchange Online autorisations :
      • Ajoutez et supprimez des entrées de la liste verte/bloquée du locataire : Appartenance à l’un des groupes de rôles suivants :
        • Gestion de l’organisation ou Administrateur de la sécurité (rôle d’administrateur de la sécurité).
        • Opérateur de sécurité (Gestionnaire AllowBlockList du locataire).
      • Accès en lecture seule à la liste verte/bloquée du locataire : Appartenance à l’un des groupes de rôles suivants :
        • Lecteur général
        • Lecteur de sécurité
        • Afficher uniquement la configuration
        • View-Only Organization Management
    • autorisations Microsoft Entra : l’appartenance aux rôles Administrateur général, Administrateur de la sécurité, Lecteur général ou Lecteur de sécurité donne aux utilisateurs les autorisations et autorisations requises pour d’autres fonctionnalités dans Microsoft 365.

Créer des entrées d’autorisation pour les URL

Vous ne pouvez pas créer d’entrées d’autorisation pour les URL directement dans la liste verte/bloquée du locataire. Les entrées d’autorisation inutiles exposent vos organization à des e-mails malveillants qui auraient été filtrés par le système.

Au lieu de cela, vous utilisez l’onglet URL de la page Soumissions à l’adresse https://security.microsoft.com/reportsubmission?viewid=url. Lorsque vous envoyez une URL bloquée comme n’aurait pas dû être bloquée (faux positif), vous pouvez sélectionner Autoriser cette URL à ajouter et autoriser l’entrée pour l’URL sous l’onglet URL de la page Autoriser/Bloquer le locataire Listes. Pour obtenir des instructions, consultez Signaler des URL correctes à Microsoft.

Remarque

Nous créons des entrées d’autorisation pour les URL qui ont été déterminées comme malveillantes par nos filtres pendant le flux de courrier ou au moment du clic.

Nous autorisons les messages suivants qui contiennent des variantes de l’URL d’origine. Par exemple, vous utilisez la page Soumissions pour signaler l’URL www.contoso.com/abcincorrectement bloquée. Si votre organization reçoit ultérieurement un message qui contient l’URL (par exemple, mais sans s’y limiter : www.contoso.com/abc, www.contoso.com/abc?id=1, www.contoso.com/abc/def/gty/uyt?id=5ou www.contoso.com/abc/whatver), le message n’est pas bloqué en fonction de l’URL. En d’autres termes, vous n’avez pas besoin de signaler plusieurs variantes de la même URL à Microsoft.

Lorsque l’entité dans l’entrée d’autorisation est à nouveau rencontrée (pendant le flux de courrier ou au moment du clic), tous les filtres associés à cette entité sont remplacés.

Par défaut, les entrées d’autorisation pour les URL existent pendant 30 jours. Pendant ces 30 jours, Microsoft apprend des entrées d’autorisation et les supprime ou les étend automatiquement. Une fois que Microsoft a appris des entrées d’autorisation supprimées, les messages qui contiennent ces URL sont remis, sauf si un autre élément du message est détecté comme malveillant.

Pendant le flux de messagerie, si les messages contenant l’URL autorisée passent d’autres vérifications dans la pile de filtrage, les messages sont remis. Par exemple, si un message passe les vérifications d’authentification par e-mail et le filtrage de fichiers, le message est remis s’il contient également une URL autorisée.

Au moment du clic, l’entrée d’autorisation d’URL remplace tous les filtres associés à l’entité URL, ce qui permet aux utilisateurs d’accéder à l’URL.

Une entrée d’AUTORISATION d’URL n’empêche pas l’URL d’être encapsulée par la protection des liens fiables dans Defender for Office 365. Pour plus d’informations, consultez Ne pas réécrire la liste dans SafeLinks.

Créer des entrées de bloc pour les URL

Email messages qui contiennent ces URL bloquées sont bloqués en tant qu’hameçonnage à haut niveau de confiance. Les messages qui contiennent les URL bloquées sont mis en quarantaine.

Pour créer des entrées de bloc pour les URL, utilisez l’une des méthodes suivantes :

Vous disposez des options suivantes pour créer des entrées de bloc pour les URL :

  • À partir de l’onglet URL de la page Soumissions à l’adresse https://security.microsoft.com/reportsubmission?viewid=url. Lorsque vous envoyez un message indiquant Que doit avoir été bloqué (faux négatif), vous pouvez sélectionner Bloquer cette URL pour ajouter une entrée de bloc à l’onglet URL de la page Autoriser/Bloquer le locataire Listes. Pour obtenir des instructions, consultez Signaler des URL douteuses à Microsoft.

  • À partir de l’onglet URL de la page Autoriser/bloquer le locataire Listes ou dans PowerShell, comme décrit dans cette section.

Utiliser le portail Microsoft Defender pour créer des entrées de bloc pour les URL dans la liste verte/bloquée du locataire

  1. Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Stratégies & règles>Stratégies de> menacesection Règles>d’autorisation/de blocage du locataire Listes. Ou, pour accéder directement à la page Client Autorisé/Liste bloquée , utilisez https://security.microsoft.com/tenantAllowBlockList.

  2. Dans la page Liste verte/bloquée du locataire , sélectionnez l’onglet URL .

  3. Sous l’onglet URL , sélectionnez Bloquer.

  4. Dans le menu volant Bloquer les URL qui s’ouvre, configurez les paramètres suivants :

    • Ajouter des URL avec des caractères génériques : entrez une URL par ligne, jusqu’à un maximum de 20. Pour plus d’informations sur la syntaxe des entrées d’URL, consultez la section Syntaxe d’URL de la section Tenant Allow/Block List plus loin dans cet article.

    • Supprimer l’entrée de bloc après : Sélectionnez parmi les valeurs suivantes :

      • N’expirez jamais
      • 1 jour
      • 7 jours
      • 30 jours (par défaut)
      • Date spécifique : la valeur maximale est de 90 jours à partir d’aujourd’hui.

    • Remarque facultative : entrez un texte descriptif indiquant pourquoi vous bloquez les URL.

    Lorsque vous avez terminé dans le menu volant Bloquer les URL , sélectionnez Ajouter.

De retour sous l’onglet URL , l’entrée est répertoriée.

Utiliser PowerShell pour créer des entrées de bloc pour les URL dans la liste verte/bloquée du locataire

Dans Exchange Online PowerShell, utilisez la syntaxe suivante :

New-TenantAllowBlockListItems -ListType Url -Block -Entries "Value1","Value2",..."ValueN" <-ExpirationDate <Date> | -NoExpiration> [-Notes <String>]

Cet exemple montre comment ajouter une entrée de bloc pour l’URL contoso.com et tous les sous-domaines (par exemple, contoso.com et xyz.abc.contoso.com). Étant donné que nous n’avons pas utilisé les paramètres ExpirationDate ou NoExpiration, l’entrée expire au bout de 30 jours.

New-TenantAllowBlockListItems -ListType Url -Block -Entries *contoso.com

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez New-TenantAllowBlockListItems.

Utiliser le portail Microsoft Defender pour afficher les entrées des URL dans la liste verte/bloquée des locataires

Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Stratégies & règles>Stratégies de> menace- Autorisation/blocage des locataires Listes dans la section Règles. Ou, pour accéder directement à la page Autoriser/Bloquer le locataire Listes, utilisez https://security.microsoft.com/tenantAllowBlockList.

Sélectionnez l’onglet URL .

Sous l’onglet URL , vous pouvez trier les entrées en cliquant sur un en-tête de colonne disponible. Les colonnes suivantes sont disponibles :

  • Valeur : URL.
  • Action : Les valeurs disponibles sont Autoriser ou Bloquer.
  • Modifié par
  • Dernière mise à jour
  • Supprimer le : date d’expiration.
  • Notes

Pour filtrer les entrées, sélectionnez Filtrer. Les filtres suivants sont disponibles dans le menu volant Filtrer qui s’ouvre :

  • Action : Les valeurs disponibles sont Autoriser et Bloquer.
  • N’expirez jamais : ou
  • Dernière mise à jour : sélectionnez De et À dates.
  • Supprimer sur : sélectionnez Des dates et À .

Lorsque vous avez terminé dans le menu volant Filtrer , sélectionnez Appliquer. Pour effacer les filtres, sélectionnez Effacer les filtres.

Utilisez la zone Recherche et une valeur correspondante pour rechercher des entrées spécifiques.

Pour regrouper les entrées, sélectionnez Grouper , puis Action. Pour dissocier les entrées, sélectionnez Aucune.

Utiliser PowerShell pour afficher les entrées des URL dans la liste verte/bloquée du locataire

Dans Exchange Online PowerShell, utilisez la syntaxe suivante :

Get-TenantAllowBlockListItems -ListType Url [-Allow] [-Block] [-Entry <URLValue>] [<-ExpirationDate <Date> | -NoExpiration>]

Cet exemple retourne toutes les URL autorisées et bloquées.

Get-TenantAllowBlockListItems -ListType Url

Cet exemple montre comment filtrer les résultats en fonction des URL bloquées.

Get-TenantAllowBlockListItems -ListType Url -Block

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Get-TenantAllowBlockListItems.

Utiliser le portail Microsoft Defender pour modifier les entrées des URL dans la liste verte/bloquée du locataire

Dans les entrées d’URL existantes, vous pouvez modifier la date d’expiration et la note.

  1. Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Stratégies & règles>Stratégies de> menacesection Règles>d’autorisation/de blocage du locataire Listes. Ou, pour accéder directement à la page Autoriser/Bloquer le locataire Listes, utilisez https://security.microsoft.com/tenantAllowBlockList.

  2. Sélectionner l’onglet URL

  3. Sous l’onglet URL, sélectionnez l’entrée dans la liste en sélectionnant la zone case activée en regard de la première colonne, puis sélectionnez l’action Modifier qui s’affiche.

  4. Dans le menu volant Modifier l’URL qui s’ouvre, les paramètres suivants sont disponibles :

    • Entrées de bloc :
      • Supprimer l’entrée de bloc après : Sélectionnez parmi les valeurs suivantes :
        • 1 jour
        • 7 jours
        • 30 jours
        • N’expirez jamais
        • Date spécifique : la valeur maximale est de 90 jours à partir d’aujourd’hui.
      • Remarque facultative
    • Autoriser les entrées :
      • Supprimer l’entrée d’autorisation après : Sélectionnez parmi les valeurs suivantes :
        • 1 jour
        • 7 jours
        • 30 jours
        • Date spécifique : la valeur maximale est de 30 jours à partir d’aujourd’hui.
      • Remarque facultative

    Lorsque vous avez terminé dans le menu volant Modifier l’URL , sélectionnez Enregistrer.

Conseil

Dans le menu volant de détails d’une entrée sous l’onglet URL , utilisez Afficher la soumission en haut du menu volant pour accéder aux détails de l’entrée correspondante dans la page Soumissions . Cette action est disponible si une soumission a été chargée de créer l’entrée dans la liste verte/bloquée du locataire.

Utiliser PowerShell pour modifier les entrées des URL dans la liste verte/bloquée du locataire

Dans Exchange Online PowerShell, utilisez la syntaxe suivante :

Set-TenantAllowBlockListItems -ListType Url <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]

Cet exemple montre comment modifier la date d’expiration de l’entrée de bloc pour l’URL spécifiée.

Set-TenantAllowBlockListItems -ListType Url -Entries "~contoso.com" -ExpirationDate "9/1/2022"

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Set-TenantAllowBlockListItems.

Utiliser le portail Microsoft Defender pour supprimer les entrées des URL de la liste verte/bloquée des locataires

  1. Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Stratégies & règles>Stratégies de> menacesection Règles>d’autorisation/de blocage du locataire Listes. Ou, pour accéder directement à la page Client Autorisé/Liste bloquée , utilisez https://security.microsoft.com/tenantAllowBlockList.

  2. Sélectionnez l’onglet URL .

  3. Sous l’onglet URL , effectuez l’une des étapes suivantes :

    • Sélectionnez l’entrée dans la liste en sélectionnant la zone case activée en regard de la première colonne, puis sélectionnez l’action Supprimer qui s’affiche.

    • Sélectionnez l’entrée dans la liste en cliquant n’importe où dans la ligne autre que la zone case activée. Dans le menu volant de détails qui s’ouvre, sélectionnez Supprimer en haut du menu volant.

      Conseil

      Pour afficher les détails des autres entrées sans quitter le menu volant de détails, utilisez l’élément Précédent et l’élément suivant en haut du menu volant.

  4. Dans la boîte de dialogue d’avertissement qui s’ouvre, sélectionnez Supprimer.

De retour sous l’onglet URL , l’entrée n’est plus listée.

Conseil

Vous pouvez sélectionner plusieurs entrées en sélectionnant chaque zone case activée, ou sélectionner toutes les entrées en sélectionnant la zone case activée en regard de l’en-tête de colonne Valeur.

Utiliser PowerShell pour supprimer des entrées pour les URL de la liste verte/bloquée du locataire

Dans Exchange Online PowerShell, utilisez la syntaxe suivante :

Remove-TenantAllowBlockListItems -ListType Url <-Ids <Identity value> | -Entries <Value>>

Cet exemple supprime l’entrée de bloc pour l’URL spécifiée de la liste verte/bloquée du locataire.

Remove-TenantAllowBlockListItems -ListType Url -Entries "*cohovineyard.com

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Remove-TenantAllowBlockListItems.

Syntaxe d’URL pour la liste verte/bloquée du locataire

  • Les adresses IPv4 et IPv6 sont autorisées, mais pas les ports TCP/UDP.

  • Les extensions de nom de fichier ne sont pas autorisées (par exemple, test.pdf).

  • Unicode n’est pas pris en charge, mais Punycode l’est.

  • Les noms d’hôte sont autorisés si toutes les instructions suivantes sont vraies :

    • Le nom d’hôte contient un point.
    • Il y a au moins un caractère à gauche de la période.
    • Il y a au moins deux caractères à droite du point.

    Par exemple, t.co est autorisé ou .comcontoso. ne le sont pas.

  • Les sous-chemins ne sont pas implicites pour les permis.

    Par exemple, contoso.com n’inclut contoso.com/apas .

  • Les caractères génériques (*) sont autorisés dans les scénarios suivants :

    • Un caractère générique gauche doit être suivi d’un point pour spécifier un sous-domaine. (applicable uniquement aux blocs)

      Par exemple, *.contoso.com est autorisé ; *contoso.com n’est pas autorisé.

    • Un caractère générique droit doit suivre une barre oblique (/) pour spécifier un chemin.

      Par exemple, contoso.com/* est autorisé ou contoso.com*contoso.com/ab* ne le sont pas.

    • *.com* n’est pas valide (pas un domaine pouvant être résolu et le caractère générique droit ne suit pas une barre oblique).

    • Les caractères génériques ne sont pas autorisés dans les adresses IP.

  • Le caractère tilde (~) est disponible dans les scénarios suivants :

    • Un tilde gauche implique un domaine et tous les sous-domaines.

      Par exemple, ~contoso.com inclut contoso.com et *.contoso.com.

  • Un nom d’utilisateur ou un mot de passe n’est pas pris en charge ou requis.

  • Les guillemets (' ou « ) sont des caractères non valides.

  • Une URL doit inclure toutes les redirections si possible.

Scénarios d’entrée d’URL

Les entrées d’URL valides et leurs résultats sont décrits dans les sous-sections suivantes.

Scénario : Blocage de domaine de niveau supérieur

Entrée : *.<TLD>/*

  • Correspondance de bloc :
    • a.TLD
    • TLD/abcd
    • b.abcd.TLD
    • TLD/contoso.com
    • TLD/q=contoso.com
    • www.abcd.TLD
    • www.abcd.TLD/q=a@contoso.com

Scénario : Aucun caractère générique

Entrée : contoso.com

  • Autoriser la correspondance : contoso.com

  • Autoriser les non-correspondances :

    • abc-contoso.com
    • contoso.com/a
    • payroll.contoso.com
    • test.com/contoso.com
    • test.com/q=contoso.com
    • www.contoso.com
    • www.contoso.com/q=a@contoso.com

  • Correspondance de bloc :

    • contoso.com
    • contoso.com/a
    • payroll.contoso.com
    • test.com/contoso.com
    • test.com/q=contoso.com
    • www.contoso.com
    • www.contoso.com/q=a@contoso.com

  • Bloc non mis en correspondance : abc-contoso.com

Scénario : caractère générique gauche (sous-domaine)

Conseil

Les entrées d’autorisation de ce modèle sont prises en charge uniquement à partir de la configuration de remise avancée.

Entrée : *.contoso.com

  • Autoriser la correspondance et Bloquer la correspondance :

    • www.contoso.com
    • xyz.abc.contoso.com

  • Autoriser non mis en correspondance et Bloquer non mis en correspondance :

    • 123contoso.com
    • contoso.com
    • test.com/contoso.com
    • www.contoso.com/abc

Scénario : caractère générique droit en haut du chemin

Entrée : contoso.com/a/*

  • Autoriser la correspondance et Bloquer la correspondance :

    • contoso.com/a/b
    • contoso.com/a/b/c
    • contoso.com/a/?q=joe@t.com

  • Autoriser non mis en correspondance et Bloquer non mis en correspondance :

    • contoso.com
    • contoso.com/a
    • www.contoso.com
    • www.contoso.com/q=a@contoso.com

Scénario : tilde gauche

Conseil

Les entrées d’autorisation de ce modèle sont prises en charge uniquement à partir de la configuration de remise avancée.

Entrée : ~contoso.com

  • Autoriser la correspondance et Bloquer la correspondance :

    • contoso.com
    • www.contoso.com
    • xyz.abc.contoso.com

  • Autoriser non mis en correspondance et Bloquer non mis en correspondance :

    • 123contoso.com
    • contoso.com/abc
    • www.contoso.com/abc

Scénario : Suffixe générique droit

Entrée : contoso.com/*

  • Autoriser la correspondance et Bloquer la correspondance :

    • contoso.com/?q=whatever@fabrikam.com
    • contoso.com/a
    • contoso.com/a/b/c
    • contoso.com/ab
    • contoso.com/b
    • contoso.com/b/a/c
    • contoso.com/ba

  • Autoriser les non-correspondances et Bloquer non mis en correspondance : contoso.com

Scénario : Sous-domaine générique gauche et suffixe générique droit

Conseil

Les entrées d’autorisation de ce modèle sont prises en charge uniquement à partir de la configuration de remise avancée.

Entrée : *.contoso.com/*

  • Autoriser la correspondance et Bloquer la correspondance :

    • abc.contoso.com/ab
    • abc.xyz.contoso.com/a/b/c
    • www.contoso.com/a
    • www.contoso.com/b/a/c
    • xyz.contoso.com/ba

  • Autoriser les non-correspondances et Bloquer non mis en correspondance : contoso.com/b

Scénario : tilde gauche et droit

Conseil

Les entrées d’autorisation de ce modèle sont prises en charge uniquement à partir de la configuration de remise avancée.

Entrée : ~contoso.com~

  • Autoriser la correspondance et Bloquer la correspondance :

    • contoso.com
    • contoso.com/a
    • www.contoso.com
    • www.contoso.com/b
    • xyz.abc.contoso.com
    • abc.xyz.contoso.com/a/b/c
    • contoso.com/b/a/c
    • test.com/contoso.com

  • Autoriser non mis en correspondance et Bloquer non mis en correspondance :

    • 123contoso.com
    • contoso.org
    • test.com/q=contoso.com

Scénario : adresse IP

Entrée : 1.2.3.4

  • Autoriser la correspondance et bloquer la correspondance : 1.2.3.4

  • Autoriser non mis en correspondance et Bloquer non mis en correspondance :

    • 1.2.3.4/a
    • 11.2.3.4/a

Adresse IP avec caractère générique droit

Entrée : 1.2.3.4/*

  • Autoriser la correspondance et Bloquer la correspondance :
    • 1.2.3.4/b
    • 1.2.3.4/baaaa

Exemples d’entrées non valides

Les entrées suivantes ne sont pas valides :

  • Valeurs de domaine manquantes ou non valides :

    • Contoso
    • *.Contoso.*
    • *.Com
    • *.pdf

  • Caractère générique sur le texte ou sans espacement des caractères :

    • *contoso.com
    • contoso.com*
    • *1.2.3.4
    • 1.2.3.4*
    • contoso.com/a*
    • contoso.com/ab*

  • Adresses IP avec ports :

    • contoso.com:443
    • abc.contoso.com:25

  • Caractères génériques non descriptifs :

    • *
    • *.*

  • Caractères génériques du milieu :

    • conto*so.com
    • conto~so.com

  • Caractères génériques doubles

    • contoso.com/**
    • contoso.com/*/*