Consenti o blocca gli URL usando l'elenco di tenant consentiti/bloccati

• Si applica a:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Consiglio

Sapevi che puoi provare le funzionalità in Microsoft Defender XDR gratuitamente per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni dettagliate su chi può iscriversi e condizioni di provaqui.

Nelle organizzazioni di Microsoft 365 con cassette postali in organizzazioni Exchange Online o Exchange Online Protection autonome (EOP) senza cassette postali Exchange Online, gli amministratori possono creare e gestire le voci per gli URL nell'elenco tenant consentiti/bloccati. Per altre informazioni sull'elenco tenant consentiti/bloccati, vedere Gestire i blocchi e le autorizzazioni nell'elenco tenant consentiti/bloccati.

Nota

Per consentire gli URL di phishing da simulazioni di phishing di terze parti, usare la configurazione di recapito avanzata per specificare gli URL. Non usare l'elenco tenant consentiti/bloccati.

Questo articolo descrive come gli amministratori possono gestire le voci per gli URL nel portale di Microsoft Defender e in Exchange Online PowerShell.

Che cosa è necessario sapere prima di iniziare?

• Aprire il portale di Microsoft Defender all'indirizzo https://security.microsoft.com. Per passare direttamente alla pagina Elenco tenant consentiti/bloccati , usare https://security.microsoft.com/tenantAllowBlockList. Per passare direttamente alla pagina Invii , usare https://security.microsoft.com/reportsubmission.

• Per informazioni su come connettersi a PowerShell per Exchange Online, vedere Connettersi a PowerShell per Exchange Online. Per connettersi a PowerShell di EOP autonomo, vedere Connettersi a PowerShell per Exchange Online Protection.

• Per la sintassi della voce URL, vedere la sintassi URL per la sezione Tenant Allow/Block List più avanti in questo articolo.

• • Limiti di immissione per gli URL:
  • Exchange Online Protection: il numero massimo di voci consentite è 500 e il numero massimo di voci in blocco è 500 (1000 voci URL in totale).
  • Defender per Office 365 Piano 1: il numero massimo di voci consentite è 1000 e il numero massimo di voci di blocco è 1000 (2000 voci URL in totale).
  • Defender per Office 365 Piano 2: il numero massimo di voci consentite è 5000 e il numero massimo di voci di blocco è 10000 (15000 voci URL in totale).

• È possibile immettere un massimo di 250 caratteri in una voce URL.

• Una voce deve essere attiva entro 5 minuti.

• Prima di poter eseguire le procedure descritte in questo articolo, è necessario disporre delle autorizzazioni necessarie. Sono disponibili le opzioni seguenti:

  • Microsoft Defender XDR controllo degli accessi in base al ruolo unificato (influisce solo sul portale di Defender e non su PowerShell):
    • Aggiungere e rimuovere voci dall'elenco tenant consentiti/bloccati: appartenenza assegnata con le autorizzazioni seguenti:
      • Autorizzazione e impostazioni/Impostazioni di sicurezza/Ottimizzazione del rilevamento (gestione)
    • Accesso in sola lettura all'elenco tenant consentiti/bloccati:
      • Autorizzazione e impostazioni/Impostazioni di sicurezza/Sola lettura.
      • Autorizzazioni e impostazioni/Impostazioni di sicurezza/Impostazioni di sicurezza di base (lettura).
  • Exchange Online autorizzazioni:
    • Aggiungere e rimuovere voci dall'elenco tenant consentiti/bloccati: appartenenza a uno dei gruppi di ruoli seguenti:
      • Gestione dell'organizzazione o Amministratore della sicurezza (ruolo di amministratore della sicurezza).
      • Operatore di sicurezza (gestione AllowBlockList tenant).
    • Accesso di sola lettura all'elenco tenant consentiti/bloccati: appartenenza a uno dei gruppi di ruoli seguenti:
      • Lettore globale
      • Lettore di sicurezza
      • Configurazione solo visualizzazione
      • View-Only Organization Management
  • Microsoft Entra autorizzazioni: l'appartenenza ai ruoli Amministratore globale, Amministratore della sicurezza, Lettore globale o Lettore di sicurezza offre agli utenti le autorizzazioni necessarie per altre funzionalità in Microsoft 365.

Creare voci di autorizzazione per gli URL

Non è possibile creare voci consentite per gli URL direttamente nell'elenco tenant consentiti/bloccati. Le voci consentite non necessarie espongono l'organizzazione a messaggi di posta elettronica dannosi che sarebbero stati filtrati dal sistema.

Usare invece la scheda URL nella pagina Invii all'indirizzo https://security.microsoft.com/reportsubmission?viewid=url. Quando si invia un URL bloccato come Non dovrebbe essere stato bloccato (Falso positivo), è possibile selezionare Consenti all'URL di aggiungere e consentire la voce per l'URL nella scheda URL della pagina Tenant Consenti/Blocca Elenchi. Per istruzioni, vedere Segnalare url validi a Microsoft.

Nota

Vengono create voci consentite per gli URL che sono stati determinati come dannosi dai filtri durante il flusso di posta o al momento del clic.

Sono consentiti i messaggi successivi che contengono varianti dell'URL originale. Ad esempio, si usa la pagina Invii per segnalare l'URL www.contoso.com/abcbloccato in modo non corretto. Se l'organizzazione riceve in un secondo momento un messaggio che contiene l'URL ( ad esempio, ma non limitato a: www.contoso.com/abc, www.contoso.com/abc?id=1, www.contoso.com/abc/def/gty/uyt?id=5o www.contoso.com/abc/whatver), il messaggio non viene bloccato in base all'URL. In altre parole, non è necessario segnalare più varianti dello stesso URL valide per Microsoft.

Quando l'entità nella voce allow viene rilevata di nuovo (durante il flusso di posta o al momento del clic), vengono sostituiti tutti i filtri associati a tale entità.

Per impostazione predefinita, le voci consentite per gli URL esistono per 30 giorni. Durante questi 30 giorni, Microsoft apprende dalle voci consentite e le rimuove o le estende automaticamente. Dopo che Microsoft ha appreso dalle voci allow rimosse, vengono recapitati i messaggi che contengono tali URL, a meno che non venga rilevato un altro elemento nel messaggio come dannoso.

Durante il flusso di posta, se i messaggi contenenti l'URL consentito superano altri controlli nello stack di filtri, i messaggi vengono recapitati. Ad esempio, se un messaggio passa i controlli di autenticazione della posta elettronica e il filtro dei file, il messaggio viene recapitato se contiene anche un URL consentito.

Durante il clic, la voce URL allow sostituisce tutti i filtri associati all'entità URL, che consente agli utenti di accedere all'URL.

Una voce URL allow non impedisce il wrapping dell'URL tramite protezione collegamenti sicuri in Defender per Office 365. Per altre informazioni, vedere Non riscrivere l'elenco in SafeLinks.

Creare voci di blocco per gli URL

Email messaggi che contengono questi URL bloccati vengono bloccati come phishing con attendibilità elevata. I messaggi che contengono gli URL bloccati vengono messi in quarantena.

Per creare voci di blocco per gli URL, usare uno dei metodi seguenti:

Sono disponibili le opzioni seguenti per creare voci di blocco per gli URL:

• Dalla scheda URL nella pagina Invii all'indirizzo https://security.microsoft.com/reportsubmission?viewid=url. Quando si invia un messaggio come Dovrebbe essere stato bloccato (False negativo), è possibile selezionare Blocca questo URL per aggiungere una voce di blocco alla scheda URL nella pagina Tenant Consenti/Blocca Elenchi. Per istruzioni, vedere Segnalare URL discutibili a Microsoft.

• Dalla scheda URL della pagina Tenant Allow/Block Elenchi o in PowerShell come descritto in questa sezione.

Usare il portale di Microsoft Defender per creare voci di blocco per gli URL nell'elenco tenant consentiti/bloccati

1. Nel portale di Microsoft Defender in https://security.microsoft.compassare alla sezione >Criteri & regole Regole>criteri> di minacciaElenchitenant consentiti/bloccati. In alternativa, per passare direttamente alla pagina Elenco tenant consentiti/bloccati , usare https://security.microsoft.com/tenantAllowBlockList.

2. Nella pagina Elenco tenant consentiti/bloccati selezionare la scheda URL .

3. Nella scheda URL selezionare Blocca.

4. Nel riquadro a comparsa Blocca URL visualizzato configurare le impostazioni seguenti:

   • Aggiungere URL con caratteri jolly: immettere un URL per riga, fino a un massimo di 20. Per informazioni dettagliate sulla sintassi per le voci URL, vedere la sintassi url per la sezione Elenco tenant consentiti/bloccati più avanti in questo articolo.

   • Rimuovere la voce di blocco dopo: Selezionare tra i valori seguenti:

     • Non scade mai
     • 1 giorno
     • 7 giorni
     • 30 giorni (impostazione predefinita)
     • Data specifica: il valore massimo è 90 giorni da oggi.

   • Nota facoltativa: immettere testo descrittivo per il motivo per cui si bloccano gli URL.

   Al termine del riquadro a comparsa Blocca URL , selezionare Aggiungi.

Di nuovo nella scheda URL , la voce è elencata.

Usare PowerShell per creare voci di blocco per gli URL nell'elenco tenant consentiti/bloccati

In Exchange Online PowerShell usare la sintassi seguente:

New-TenantAllowBlockListItems -ListType Url -Block -Entries "Value1","Value2",..."ValueN" <-ExpirationDate <Date> | -NoExpiration> [-Notes <String>]

In questo esempio viene aggiunta una voce di blocco per l'URL contoso.com e tutti i sottodomini, ad esempio contoso.com e xyz.abc.contoso.com. Poiché non sono stati usati i parametri ExpirationDate o NoExpiration, la voce scade dopo 30 giorni.

New-TenantAllowBlockListItems -ListType Url -Block -Entries *contoso.com

Per informazioni dettagliate sulla sintassi e sui parametri, vedere New-TenantAllowBlockListItems.

Usare il portale di Microsoft Defender per visualizzare le voci per gli URL nell'elenco tenant consentiti/bloccati

Nel portale di Microsoft Defender in https://security.microsoft.compassare a Criteri & regole> Elenchi tenant criteri diminaccia>consentiti/bloccati nella sezione Regole. In alternativa, per passare direttamente alla pagina Tenant Consenti/Blocca Elenchi, usare https://security.microsoft.com/tenantAllowBlockList.

Selezionare la scheda URL .

Nella scheda URL è possibile ordinare le voci facendo clic su un'intestazione di colonna disponibile. Sono disponibili le colonne seguenti:

• Valore: URL.
• Azione: i valori disponibili sono Consenti o Blocca.
• Modificato da
• Ultimo aggiornamento
• Rimuovi il: data di scadenza.
• Note

Per filtrare le voci, selezionare Filtro. I filtri seguenti sono disponibili nel riquadro a comparsa Filtro visualizzato:

• Azione: i valori disponibili sono Consenti e Blocca.
• Non scadere mai: o
• Ultimo aggiornamento: selezionare Date da e A .
• Rimuovi in: selezionare Date da e A .

Al termine del riquadro a comparsa Filtro , selezionare Applica. Per cancellare i filtri, selezionare Cancella filtri.

Utilizzare la casella Search e un valore corrispondente per trovare voci specifiche.

Per raggruppare le voci, selezionare Raggruppa e quindi selezionare Azione. Per separare le voci, selezionare Nessuno.

Usare PowerShell per visualizzare le voci per gli URL nell'elenco tenant consentiti/bloccati

In Exchange Online PowerShell usare la sintassi seguente:

Get-TenantAllowBlockListItems -ListType Url [-Allow] [-Block] [-Entry <URLValue>] [<-ExpirationDate <Date> | -NoExpiration>]

In questo esempio vengono restituiti tutti gli URL consentiti e bloccati.

Get-TenantAllowBlockListItems -ListType Url

Questo esempio filtra i risultati in base agli URL bloccati.

Get-TenantAllowBlockListItems -ListType Url -Block

Per informazioni dettagliate sulla sintassi e sui parametri, vedere Get-TenantAllowBlockListItems.

Usare il portale Microsoft Defender per modificare le voci per gli URL nell'elenco tenant consentiti/bloccati

Nelle voci url esistenti è possibile modificare la data di scadenza e la nota.

1. Nel portale di Microsoft Defender in https://security.microsoft.compassare alla sezione >Criteri & regole Regole>criteri> di minacciaElenchitenant consentiti/bloccati. In alternativa, per passare direttamente alla pagina Tenant Consenti/Blocca Elenchi, usare https://security.microsoft.com/tenantAllowBlockList.

2. Selezionare la scheda URL

3. Nella scheda URL selezionare la voce dall'elenco selezionando la casella di controllo accanto alla prima colonna e quindi selezionare l'azione Modifica visualizzata.

4. Nel riquadro a comparsa Modifica URL visualizzato sono disponibili le impostazioni seguenti:

   • Voci di blocco:
     • Rimuovere la voce di blocco dopo: Selezionare tra i valori seguenti:
       • 1 giorno
       • 7 giorni
       • 30 giorni
       • Non scade mai
       • Data specifica: il valore massimo è 90 giorni da oggi.
     • Nota facoltativa
   • Consenti voci:
     • Rimuovere la voce consenti dopo: Selezionare tra i valori seguenti:
       • 1 giorno
       • 7 giorni
       • 30 giorni
       • Data specifica: il valore massimo è 30 giorni da oggi.
     • Nota facoltativa

   Al termine del riquadro a comparsa Modifica URL , selezionare Salva.

Consiglio

Nel riquadro a comparsa dei dettagli di una voce nella scheda URL usare Visualizza invio nella parte superiore del riquadro a comparsa per passare ai dettagli della voce corrispondente nella pagina Invii . Questa azione è disponibile se un invio è stato responsabile della creazione della voce nell'elenco tenant consentiti/bloccati.

Usare PowerShell per modificare le voci per gli URL nell'elenco tenant consentiti/bloccati

In Exchange Online PowerShell usare la sintassi seguente:

Set-TenantAllowBlockListItems -ListType Url <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]

In questo esempio viene modificata la data di scadenza della voce di blocco per l'URL specificato.

Set-TenantAllowBlockListItems -ListType Url -Entries "~contoso.com" -ExpirationDate "9/1/2022"

Per informazioni dettagliate sulla sintassi e sui parametri, vedere Set-TenantAllowBlockListItems.

Usare il portale di Microsoft Defender per rimuovere le voci per gli URL dall'elenco tenant consentiti/bloccati

1. Nel portale di Microsoft Defender in https://security.microsoft.compassare alla sezione >Criteri & regole Regole>criteri> di minacciaElenchitenant consentiti/bloccati. In alternativa, per passare direttamente alla pagina Elenco tenant consentiti/bloccati , usare https://security.microsoft.com/tenantAllowBlockList.

2. Selezionare la scheda URL .

3. Nella scheda URL eseguire una delle operazioni seguenti:

   • Selezionare la voce dall'elenco selezionando la casella di controllo accanto alla prima colonna e quindi selezionare l'azione Elimina visualizzata.

   • Selezionare la voce dall'elenco facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo. Nel riquadro a comparsa dei dettagli visualizzato selezionare Elimina nella parte superiore del riquadro a comparsa.

     Consiglio

     Per visualizzare i dettagli sulle altre voci senza uscire dal riquadro a comparsa dei dettagli, usare Elemento precedente e Elemento successivo nella parte superiore del riquadro a comparsa.

4. Nella finestra di dialogo di avviso visualizzata selezionare Elimina.

Nella scheda URL la voce non è più elencata.

Consiglio

È possibile selezionare più voci selezionando ogni casella di controllo o selezionando tutte le voci selezionando la casella di controllo accanto all'intestazione di colonna Valore .

Usare PowerShell per rimuovere le voci per gli URL dall'elenco tenant consentiti/bloccati

In Exchange Online PowerShell usare la sintassi seguente:

Remove-TenantAllowBlockListItems -ListType Url <-Ids <Identity value> | -Entries <Value>>

In questo esempio viene rimossa la voce di blocco per l'URL specificato dall'elenco tenant consentiti/bloccati.

Remove-TenantAllowBlockListItems -ListType Url -Entries "*cohovineyard.com

Per informazioni dettagliate sulla sintassi e sui parametri, vedere Remove-TenantAllowBlockListItems.

Sintassi URL per l'elenco tenant consentiti/bloccati

• Gli indirizzi IPv4 e IPv6 sono consentiti, ma le porte TCP/UDP non lo sono.

• Le estensioni dei nomi di file non sono consentite, ad esempio test.pdf.

• Unicode non è supportato, ma Punycode lo è.

• I nomi host sono consentiti se tutte le istruzioni seguenti sono true:

  • Il nome host contiene un punto.
  • A sinistra del punto è presente almeno un carattere.
  • Sono presenti almeno due caratteri a destra del punto.

  Ad esempio, t.co è consentito o .comcontoso. non è consentito.

• I percorsi secondari non sono impliciti per le autorizzazioni.

  Ad esempio, contoso.com non include contoso.com/a.

• I caratteri jolly (*) sono consentiti negli scenari seguenti:

  • Un carattere jolly sinistro deve essere seguito da un punto per specificare un sottodominio. (applicabile solo per i blocchi)

    Ad esempio, *.contoso.com è consentito. *contoso.com Non è consentito.

  • Un carattere jolly destro deve seguire una barra (/) per specificare un percorso.

    Ad esempio, contoso.com/* è consentito o contoso.com*contoso.com/ab* non è consentito.

  • *.com* non è valido (non è un dominio risolvibile e il carattere jolly destro non segue una barra in avanti).

  • I caratteri jolly non sono consentiti negli indirizzi IP.

• Il carattere tilde (~) è disponibile negli scenari seguenti:

  • Una tilde sinistra implica un dominio e tutti i sottodomini.

    Ad esempio, ~contoso.com include contoso.com e *.contoso.com.

• Un nome utente o una password non è supportato o obbligatorio.

• Le virgolette (' o ") non sono caratteri validi.

• Un URL deve includere tutti i reindirizzamenti dove possibile.

Scenari di immissione url

Le voci di URL valide e i relativi risultati sono descritti nelle sottosezioni seguenti.

Scenario: blocco del dominio di primo livello

Voce: *.<TLD>/*

• Corrispondenza blocco:
  • a.TLD
  • TLD/abcd
  • b.abcd.TLD
  • TLD/contoso.com
  • TLD/q=contoso.com
  • www.abcd.TLD
  • www.abcd.TLD/q=a@contoso.com

Scenario: nessun carattere jolly

Voce: contoso.com

• Consenti corrispondenza: contoso.com

• Consenti non corrispondente:

  • abc-contoso.com
  • contoso.com/a
  • payroll.contoso.com
  • test.com/contoso.com
  • test.com/q=contoso.com
  • www.contoso.com
  • www.contoso.com/q=a@contoso.com

• Corrispondenza blocco:

  • contoso.com
  • contoso.com/a
  • payroll.contoso.com
  • test.com/contoso.com
  • test.com/q=contoso.com
  • www.contoso.com
  • www.contoso.com/q=a@contoso.com

• Blocco non corrispondente: abc-contoso.com

Scenario: carattere jolly sinistro (sottodominio)

Consiglio

Le voci consentite di questo modello sono supportate solo dalla configurazione di recapito avanzata.

Voce: *.contoso.com

• Consenti corrispondenza e blocca corrispondenza:

  • www.contoso.com
  • xyz.abc.contoso.com

• Consenti non corrispondente e Blocca non corrispondente:

  • 123contoso.com
  • contoso.com
  • test.com/contoso.com
  • www.contoso.com/abc

Scenario: carattere jolly destro nella parte superiore del percorso

Voce: contoso.com/a/*

• Consenti corrispondenza e blocca corrispondenza:

  • contoso.com/a/b
  • contoso.com/a/b/c
  • contoso.com/a/?q=joe@t.com

• Consenti non corrispondente e Blocca non corrispondente:

  • contoso.com
  • contoso.com/a
  • www.contoso.com
  • www.contoso.com/q=a@contoso.com

Scenario: Tilde sinistra

Consiglio

Le voci consentite di questo modello sono supportate solo dalla configurazione di recapito avanzata.

Voce: ~contoso.com

• Consenti corrispondenza e blocca corrispondenza:

  • contoso.com
  • www.contoso.com
  • xyz.abc.contoso.com

• Consenti non corrispondente e Blocca non corrispondente:

  • 123contoso.com
  • contoso.com/abc
  • www.contoso.com/abc

Scenario: suffisso con caratteri jolly a destra

Voce: contoso.com/*

• Consenti corrispondenza e blocca corrispondenza:

  • contoso.com/?q=whatever@fabrikam.com
  • contoso.com/a
  • contoso.com/a/b/c
  • contoso.com/ab
  • contoso.com/b
  • contoso.com/b/a/c
  • contoso.com/ba

• Consenti non corrispondente e Blocca non corrispondente: contoso.com

Scenario: sottodominio con caratteri jolly sinistro e suffisso jolly destro

Consiglio

Le voci consentite di questo modello sono supportate solo dalla configurazione di recapito avanzata.

Voce: *.contoso.com/*

• Consenti corrispondenza e blocca corrispondenza:

  • abc.contoso.com/ab
  • abc.xyz.contoso.com/a/b/c
  • www.contoso.com/a
  • www.contoso.com/b/a/c
  • xyz.contoso.com/ba

• Consenti non corrispondente e Blocca non corrispondente: contoso.com/b

Scenario: tilde sinistra e destra

Consiglio

Le voci consentite di questo modello sono supportate solo dalla configurazione di recapito avanzata.

Voce: ~contoso.com~

• Consenti corrispondenza e blocca corrispondenza:

  • contoso.com
  • contoso.com/a
  • www.contoso.com
  • www.contoso.com/b
  • xyz.abc.contoso.com
  • abc.xyz.contoso.com/a/b/c
  • contoso.com/b/a/c
  • test.com/contoso.com

• Consenti non corrispondente e Blocca non corrispondente:

  • 123contoso.com
  • contoso.org
  • test.com/q=contoso.com

Scenario: indirizzo IP

Voce: 1.2.3.4

• Consenti corrispondenza e blocca corrispondenza: 1.2.3.4

• Consenti non corrispondente e Blocca non corrispondente:

  • 1.2.3.4/a
  • 11.2.3.4/a

Indirizzo IP con carattere jolly destro

Voce: 1.2.3.4/*

• Consenti corrispondenza e blocca corrispondenza:
  • 1.2.3.4/b
  • 1.2.3.4/baaaa

Esempi di voci non valide

Le voci seguenti non sono valide:

• Valori di dominio mancanti o non validi:

  • Contoso
  • *.Contoso.*
  • *.Com
  • *.pdf

• Caratteri jolly nel testo o senza caratteri di spaziatura:

  • *contoso.com
  • contoso.com*
  • *1.2.3.4
  • 1.2.3.4*
  • contoso.com/a*
  • contoso.com/ab*

• Indirizzi IP con porte:

  • contoso.com:443
  • abc.contoso.com:25

• Caratteri jolly non descrittivi:

  • *
  • *.*

• Caratteri jolly intermedi:

  • conto*so.com
  • conto~so.com

• Caratteri jolly doppi

  • contoso.com/**
  • contoso.com/*/*

Articoli correlati

• Usare la pagina Invii per inviare messaggi di posta indesiderata, phishing, URL, messaggi di posta elettronica legittimi bloccati e allegati di posta elettronica a Microsoft
• Segnalare falsi positivi e falsi negativi
• Gestire le autorizzazioni e i blocchi nell'elenco tenant consentiti/bloccati
• Consentire o bloccare i file nell'elenco tenant consentiti/bloccati
• Consentire o bloccare i messaggi di posta elettronica nell'elenco tenant consentiti/bloccati