Consenti o blocca gli URL usando l'elenco di tenant consentiti/bloccati

Consiglio

Sapevi che puoi provare gratuitamente le funzionalità in Microsoft 365 Defender per Office 365 Piano 2? Usare la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft 365 Defender. Informazioni su chi può iscriversi e sulle condizioni di valutazione qui.

Si applica a

• Exchange Online Protection
• Microsoft Defender per Office 365 piano 1 e piano 2
• Microsoft 365 Defender

Importante

Per consentire gli URL di phishing che fanno parte del training di simulazione degli attacchi di terze parti, usare la configurazione di recapito avanzata per specificare gli URL. Non usare l'elenco tenant consentiti/bloccati.

Questo articolo descrive come creare e gestire le voci url consentite e bloccate disponibili nell'elenco tenant consentiti/bloccati. Per altre informazioni sull'elenco tenant consentiti/bloccati, vedere Gestire i blocchi e le autorizzazioni nell'elenco tenant consentiti/bloccati.

È possibile gestire voci consentite e bloccate per gli URL nel portale di Microsoft 365 Defender o in Exchange Online PowerShell.

Che cosa è necessario sapere prima di iniziare?

• Per aprire il portale di Microsoft 365 Defender, andare alla pagina https://security.microsoft.com. Per passare direttamente alla pagina Elenco tenant consentiti/bloccati , usare https://security.microsoft.com/tenantAllowBlockList. Per passare direttamente alla pagina Invii , usare https://security.microsoft.com/reportsubmission.

• Per informazioni su come connettersi a PowerShell per Exchange Online, vedere Connettersi a PowerShell per Exchange Online. Per connettersi a PowerShell di EOP autonomo, vedere Connettersi a PowerShell per Exchange Online Protection.

• Per la sintassi della voce URL, vedere la sintassi URL per la sezione Tenant Allow/Block List più avanti in questo articolo.

• Per gli URL, il numero massimo di voci consentite è 500 e il numero massimo di voci di blocco è 500 (1000 voci URL totali).

• È possibile immettere un massimo di 250 caratteri in una voce URL.

• Una voce deve essere attiva entro 30 minuti, ma potrebbero essere richieste fino a 24 ore prima che la voce sia attiva.

• Prima di poter eseguire le procedure descritte in questo articolo, è necessario disporre delle autorizzazioni necessarie. Sono disponibili le opzioni seguenti:

  • Microsoft 365 Defender controllo degli accessi in base al ruolo: configurazione/sicurezza (gestione) o configurazione/sicurezza (lettura). Attualmente, questa opzione richiede l'appartenenza al programma Microsoft 365 Defender Preview.
  • Exchange Online controllo degli accessi in base al ruolo:
    • Aggiungere e rimuovere voci dall'elenco tenant consentiti/bloccati: appartenenza a uno dei gruppi di ruoli seguenti:
      • Gestione dell'organizzazione o Amministratore della sicurezza (ruolo di amministratore della sicurezza).
      • Operatore di sicurezza (gestione AllowBlockList tenant).
    • Accesso di sola lettura all'elenco tenant consentiti/bloccati: appartenenza a uno dei gruppi di ruoli seguenti:
      • Ruolo con autorizzazioni di lettura globali
      • Lettore di sicurezza
      • Configurazione solo visualizzazione
      • View-Only Organization Management
  • Controllo degli accessi in base al ruolo di Azure AD: l'appartenenza ai ruoli Amministratore globale, Amministratore della sicurezza, Lettore globale o Lettore di sicurezza offre agli utenti le autorizzazioni e le autorizzazioni necessarie per altre funzionalità in Microsoft 365.

Creare voci di blocco per gli URL

Email messaggi che contengono questi URL bloccati vengono bloccati come phishing con attendibilità elevata. I messaggi contenenti gli URL bloccati vengono messi in quarantena.

Sono disponibili le opzioni seguenti per creare voci di blocco per gli URL:

• Pagina Invii nel portale di Microsoft 365 Defender
• Elenco tenant consentito/bloccato nel portale di Microsoft 365 Defender o in PowerShell

Usare il portale di Microsoft 365 Defender per creare voci di blocco per gli URL nella pagina Invii

Quando si usa la pagina Invii in https://security.microsoft.com/reportsubmission per inviare URL come dovrebbe essere stato bloccato (False negativo), è possibile selezionare Blocca questo URL per aggiungere una voce di blocco nella scheda URL nell'elenco Tenant consentiti/bloccati.

Per istruzioni, vedere Inviare URL discutibili a Microsoft.

Usare il portale di Microsoft 365 Defender per creare voci di blocco per gli URL nell'elenco tenant consentiti/bloccati

È possibile creare voci di blocco per gli URL direttamente nell'elenco tenant consentiti/bloccati.

1. Nel portale di Microsoft 365 Defender in https://security.microsoft.compassare alla sezione >Regole criteri > di &minaccia Regole criteri > di minaccia Elenchi tenant consentiti/bloccati. In alternativa, per passare direttamente alla pagina Elenco tenant consentiti/bloccati , usare https://security.microsoft.com/tenantAllowBlockList.

2. Nella pagina Elenco tenant consentiti/bloccati selezionare la scheda URL .

3. Nella scheda URL fare clic su Blocca.

4. Nel riquadro a comparsa Blocca URL visualizzato configurare le impostazioni seguenti:

   • Aggiungere URL con caratteri jolly: immettere un URL per riga, fino a un massimo di 20. Per informazioni dettagliate sulla sintassi per le voci URL, vedere la sintassi URL per la sezione Elenco tenant consentiti/bloccati più avanti in questo articolo.

   • Rimuovi la voce di blocco dopo: il valore predefinito è 30 giorni, ma è possibile selezionare i valori seguenti:

     • Non scade mai
     • 1 giorno
     • 7 giorni
     • 30 giorni
     • Data specifica: il valore massimo è 90 giorni da oggi.

   • Nota facoltativa: immettere testo descrittivo per il motivo per cui si bloccano gli URL.

5. Al termine, fare clic su Aggiungi.

Usare PowerShell per creare voci di blocco per gli URL nell'elenco tenant consentiti/bloccati

In Exchange Online PowerShell usare la sintassi seguente:

New-TenantAllowBlockListItems -ListType Url -Block -Entries "Value1","Value2",..."ValueN" <-ExpirationDate <Date> | -NoExpiration> [-Notes <String>]

In questo esempio viene aggiunta una voce di blocco per l'URL contoso.com e tutti i sottodomini, ad esempio contoso.com e xyz.abc.contoso.com. Poiché non sono stati usati i parametri ExpirationDate o NoExpiration, la voce scade dopo 30 giorni.

New-TenantAllowBlockListItems -ListType Url -Block -Entries ~contoso.com

Per informazioni dettagliate sulla sintassi e sui parametri, vedere New-TenantAllowBlockListItems.

Usare il portale di Microsoft 365 Defender per creare voci consentite per gli URL nella pagina Invii

Non è possibile creare voci url consentite direttamente nell'elenco tenant consentiti/bloccati. Al contrario, si usa la pagina Invii in https://security.microsoft.com/reportsubmission per inviare l'URL come falso positivo, che aggiunge anche una voce consenti nella scheda URL nell'elenco tenant consentiti/bloccati.

Per istruzioni, vedere Inviare URL validi a Microsoft.

Importante

Microsoft non consente di creare direttamente voci consentite. Le voci consentite non necessarie espongono l'organizzazione a messaggi di posta elettronica dannosi che potrebbero essere stati filtrati dal sistema.

Microsoft gestisce il processo di creazione di voci consentite per gli URL dalla pagina Invii. Verranno create voci consentite per GLI URL che sono stati determinati come dannosi dai filtri durante il flusso di posta o al momento del clic.

Sono consentiti i messaggi successivi che contengono varianti dell'URL originale. Ad esempio, si usa la pagina Invii per segnalare l'URL www.contoso.com/abcbloccato in modo non corretto. Se l'organizzazione riceve in un secondo momento un messaggio che contiene l'URL ( ad esempio, ma non limitato a: www.contoso.com/abc, www.contoso.com/abc?id=1, www.contoso.com/abc/def/gty/uyt?id=5o *.contoso.com/abc), il messaggio non verrà bloccato in base all'URL. In altre parole, non è necessario segnalare più varianti dello stesso URL valide per Microsoft.

Quando l'URL viene rilevato di nuovo, tutti i filtri associati all'URL vengono sottoposti a override.

Per impostazione predefinita, le voci consentite per gli URL esistono per 30 giorni. Durante questi 30 giorni, Microsoft apprenderà dalle voci consentite e le rimuoverà o le estenderà automaticamente. Dopo che Microsoft ha appreso dalle voci allow rimosse, i messaggi che contengono tali URL verranno recapitati, a meno che non venga rilevato un altro elemento nel messaggio come dannoso.

Durante il flusso di posta, se i messaggi contenenti l'URL consentito superano altri controlli nello stack di filtro, i messaggi verranno recapitati. Ad esempio, se un messaggio passa i controlli di autenticazione della posta elettronica e il filtro dei file, verrà recapitato un messaggio contenente un URL consentito.

Durante il clic, la voce URL allow sostituisce tutti i filtri associati all'entità URL, consentendo all'utente di accedere al contenuto nell'URL.

L'aggiunta di una voce allow per un URL non impedisce il wrapping da collegamenti sicuri. Per altre informazioni, vedere Non riscrivere l'elenco in SafeLinks.

Usare il portale di Microsoft 365 Defender per visualizzare le voci di blocco o consenti esistenti per gli URL nell'elenco tenant consentiti/bloccati

1. Nel portale di Microsoft 365 Defender in https://security.microsoft.compassare a Regole dei criteri & Criteri>> diminacciaElenchi tenant consentiti/bloccati nella sezione Regole. In alternativa, per passare direttamente alla pagina Tenant Allow/Block Lists (Elenchi tenant consentiti/bloccati ), usare https://security.microsoft.com/tenantAllowBlockList.

2. Selezionare la scheda URL . Sono disponibili le colonne seguenti:

   • Valore: URL.
   • Azione: i valori sono Consenti o Blocca.
   • Modificato da
   • Ultimo aggiornamento
   • Rimuovi il: data di scadenza.
   • Note

   Fare clic su un'intestazione di colonna per ordinarla in ordine crescente o decrescente.

   Fare clic Raggruppare i risultati in base a Nessuno o Azione.

   Fare clic Cercare, immettere tutto o parte di un valore e quindi premere INVIO per trovare un valore specifico. Al termine, fare clic su Per cancellare la ricerca.

   Fare clic Filtrare per filtrare i risultati. I valori seguenti sono disponibili nel riquadro a comparsa Filtro visualizzato:

   • Azione: i valori sono Consenti e Blocca.
   • Non scadere mai:
   • Ultimo aggiornamento: selezionare Date da e A .
   • Rimuovi in: selezionare Date da e A .

   Al termine, fare clic su Applica. Per cancellare i filtri esistenti, fare clic Cancella filtri nel riquadro a comparsa Filtro .

Usare PowerShell per visualizzare le voci consentite o bloccate esistenti per gli URL nell'elenco tenant consentiti/bloccati

In Exchange Online PowerShell usare la sintassi seguente:

Get-TenantAllowBlockListItems -ListType Url [-Allow] [-Block] [-Entry <URLValue>] [<-ExpirationDate <Date> | -NoExpiration>]

In questo esempio vengono restituiti tutti gli URL consentiti e bloccati.

Get-TenantAllowBlockListItems -ListType Url

Questo esempio filtra i risultati in base agli URL bloccati.

Get-TenantAllowBlockListItems -ListType Url -Block

Per informazioni dettagliate sulla sintassi e sui parametri, vedere Get-TenantAllowBlockListItems.

Usare il portale di Microsoft 365 Defender per modificare le voci di blocco o consenti esistenti per gli URL nell'elenco tenant consentiti/bloccati

È possibile apportare le modifiche seguenti alle voci per gli URL nell'elenco Tenant Consenti/Blocca:

• Voci di blocco: data di scadenza e note.
• Consenti voci: data di scadenza e note.

1. Nel portale di Microsoft 365 Defender in https://security.microsoft.compassare alla sezione >Regole criteri > di &minaccia Regole criteri > di minaccia Elenchi tenant consentiti/bloccati. In alternativa, per passare direttamente alla pagina Elenco tenant consentiti/bloccati , usare https://security.microsoft.com/tenantAllowBlockList.

2. Selezionare la scheda URL

3. Nella scheda URL selezionare la casella di controllo della voce da modificare e quindi fare clic Pulsante Modifica visualizzato.

4. I valori seguenti sono disponibili nel riquadro a comparsa Modifica URL visualizzato:

   • Rimuovi la voce di blocco dopo: è possibile estendere le voci di blocco per un massimo di 90 giorni dalla data di sistema o impostarle su Non scadere mai.
   • Rimuovi voce consenti dopo: è possibile estendere le voci consentite per un massimo di 30 giorni dalla data di sistema.
   • Nota facoltativa

   Al termine, fare clic su Salva.

Consiglio

Per le voci aggiunte tramite invio, se si seleziona la voce facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo, è possibile selezionare Visualizzare l'invio nel riquadro a comparsa dei dettagli visualizzato. Consente di visualizzare i dettagli dell'invio che hanno aggiunto la voce.

Usare PowerShell per modificare le voci di blocco o consenti esistenti per gli URL nell'elenco tenant consentiti/bloccati

In Exchange Online PowerShell usare la sintassi seguente:

Set-TenantAllowBlockListItems -ListType Url <-Ids <Identity value> | -Entries <Value value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]

In questo esempio viene modificata la data di scadenza della voce di blocco per l'URL specificato.

Set-TenantAllowBlockListItems -ListType Url -Entries "~contoso.com" -ExpirationDate "9/1/2022"

Per informazioni dettagliate sulla sintassi e sui parametri, vedere Set-TenantAllowBlockListItems.

Usare il portale di Microsoft 365 Defender per rimuovere le voci di blocco o consenti esistenti per gli URL dall'elenco tenant consentiti/bloccati

1. Nel portale di Microsoft 365 Defender in https://security.microsoft.compassare alla sezione >Regole criteri > di &minaccia Regole criteri > di minaccia Elenchi tenant consentiti/bloccati. In alternativa, per passare direttamente alla pagina Elenco tenant consentiti/bloccati , usare https://security.microsoft.com/tenantAllowBlockList.

2. Selezionare la scheda URL .

3. Nella scheda URL eseguire una delle operazioni seguenti:

   • Selezionare la casella di controllo della voce da rimuovere e quindi fare clic Icona Elimina visualizzata.
   • Selezionare la voce da rimuovere facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo. Nel riquadro a comparsa dei dettagli visualizzato fare clic Elimina.

4. Nella finestra di dialogo di avviso visualizzata fare clic su Elimina.

Consiglio

È possibile selezionare più voci selezionando ogni casella di controllo o selezionando tutte le voci selezionando la casella di controllo accanto all'intestazione di colonna Valore .

Usare PowerShell per rimuovere le voci di blocco o consenti esistenti per gli URL dall'elenco tenant consentiti/bloccati

In Exchange Online PowerShell usare la sintassi seguente:

Remove-TenantAllowBlockListItems -ListType Url <-Ids <Identity value> | -Entries <Value value>>

In questo esempio viene rimossa la voce di blocco per l'URL specificato dall'elenco tenant consentiti/bloccati.

Remove-TenantAllowBlockListItems -ListType Url -Entries "~cohovineyard.com

Per informazioni dettagliate sulla sintassi e sui parametri, vedere Remove-TenantAllowBlockListItems.

Sintassi URL per l'elenco tenant consentiti/bloccati

• Gli indirizzi IPv4 e IPv6 sono consentiti, ma le porte TCP/UDP non lo sono.

• Le estensioni dei nomi di file non sono consentite, ad esempio test.pdf.

• Unicode non è supportato, ma Punycode lo è.

• I nomi host sono consentiti se tutte le istruzioni seguenti sono true:

  • Il nome host contiene un punto.
  • A sinistra del punto è presente almeno un carattere.
  • Sono presenti almeno due caratteri a destra del punto.

  Ad esempio, t.co è consentito o .comcontoso. non è consentito.

• I percorsi secondari non sono impliciti per le autorizzazioni.

  Ad esempio, contoso.com non include contoso.com/a.

• I caratteri jolly (*) sono consentiti negli scenari seguenti:

  • Un carattere jolly sinistro deve essere seguito da un punto per specificare un sottodominio. (applicabile solo per i blocchi)

    Ad esempio, *.contoso.com è consentito. *contoso.com Non è consentito.

  • Un carattere jolly destro deve seguire una barra (/) per specificare un percorso.

    Ad esempio, contoso.com/* è consentito o contoso.com*contoso.com/ab* non è consentito.

  • *.com* non è valido (non è un dominio risolvibile e il carattere jolly destro non segue una barra in avanti).

  • I caratteri jolly non sono consentiti negli indirizzi IP.

• Il carattere tilde (~) è disponibile negli scenari seguenti:

  • Una tilde sinistra implica un dominio e tutti i sottodomini.

    Ad esempio ~contoso.com include contoso.com e *.contoso.com.

• Un nome utente o una password non è supportato o obbligatorio.

• Le virgolette (' o ") non sono caratteri validi.

• Un URL deve includere tutti i reindirizzamenti dove possibile.

Scenari di immissione url

Le voci di URL valide e i relativi risultati sono descritti nelle sezioni seguenti.

Scenario: nessun carattere jolly

Voce: contoso.com

• Consenti corrispondenza: contoso.com

• Consenti non corrispondente:

  • abc-contoso.com
  • contoso.com/a
  • payroll.contoso.com
  • test.com/contoso.com
  • test.com/q=contoso.com
  • www.contoso.com
  • www.contoso.com/q=a@contoso.com

• Corrispondenza blocco:

  • contoso.com
  • contoso.com/a
  • payroll.contoso.com
  • test.com/contoso.com
  • test.com/q=contoso.com
  • www.contoso.com
  • www.contoso.com/q=a@contoso.com

• Blocco non corrispondente: abc-contoso.com

Scenario: carattere jolly sinistro (sottodominio)

Consiglio

Le voci consentite di questo modello sono supportate solo dalla configurazione di recapito avanzata.

Voce: *.contoso.com

• Consenti corrispondenza e blocca corrispondenza:

  • www.contoso.com
  • xyz.abc.contoso.com

• Consenti non corrispondente e Blocca non corrispondente:

  • 123contoso.com
  • contoso.com
  • test.com/contoso.com
  • www.contoso.com/abc

Scenario: carattere jolly destro nella parte superiore del percorso

Voce: contoso.com/a/*

• Consenti corrispondenza e blocca corrispondenza:

  • contoso.com/a/b
  • contoso.com/a/b/c
  • contoso.com/a/?q=joe@t.com

• Consenti non corrispondente e Blocca non corrispondente:

  • contoso.com
  • contoso.com/a
  • www.contoso.com
  • www.contoso.com/q=a@contoso.com

Scenario: Tilde sinistra

Consiglio

Le voci consentite di questo modello sono supportate solo dalla configurazione di recapito avanzata.

Voce: ~contoso.com

• Consenti corrispondenza e blocca corrispondenza:

  • contoso.com
  • www.contoso.com
  • xyz.abc.contoso.com

• Consenti non corrispondente e Blocca non corrispondente:

  • 123contoso.com
  • contoso.com/abc
  • www.contoso.com/abc

Scenario: suffisso con caratteri jolly a destra

Voce: contoso.com/*

• Consenti corrispondenza e blocca corrispondenza:

  • contoso.com/?q=whatever@fabrikam.com
  • contoso.com/a
  • contoso.com/a/b/c
  • contoso.com/ab
  • contoso.com/b
  • contoso.com/b/a/c
  • contoso.com/ba

• Consenti non corrispondente e Blocca non corrispondente: contoso.com

Scenario: sottodominio con caratteri jolly sinistro e suffisso jolly destro

Consiglio

Le voci consentite di questo modello sono supportate solo dalla configurazione di recapito avanzata.

Voce: *.contoso.com/*

• Consenti corrispondenza e blocca corrispondenza:

  • abc.contoso.com/ab
  • abc.xyz.contoso.com/a/b/c
  • www.contoso.com/a
  • www.contoso.com/b/a/c
  • xyz.contoso.com/ba

• Consenti non corrispondente e Blocca non corrispondente: contoso.com/b

Scenario: tilde sinistra e destra

Consiglio

Le voci consentite di questo modello sono supportate solo dalla configurazione di recapito avanzata.

Voce: ~contoso.com~

• Consenti corrispondenza e blocca corrispondenza:

  • contoso.com
  • contoso.com/a
  • www.contoso.com
  • www.contoso.com/b
  • xyz.abc.contoso.com
  • abc.xyz.contoso.com/a/b/c
  • contoso.com/b/a/c
  • test.com/contoso.com

• Consenti non corrispondente e Blocca non corrispondente:

• 123contoso.com

• contoso.org

• test.com/q=contoso.com

Scenario: indirizzo IP

Voce: 1.2.3.4

• Consenti corrispondenza e blocca corrispondenza: 1.2.3.4

• Consenti non corrispondente e Blocca non corrispondente:

  • 1.2.3.4/a
  • 11.2.3.4/a

Indirizzo IP con carattere jolly destro

Voce: 1.2.3.4/*

• Consenti corrispondenza e blocca corrispondenza:

  • 1.2.3.4/b
  • 1.2.3.4/baaaa

Esempi di voci non valide

Le voci seguenti non sono valide:

• Valori di dominio mancanti o non validi:

  • Contoso
  • *.Contoso.*
  • *.Com
  • *.pdf

• Caratteri jolly nel testo o senza caratteri di spaziatura:

  • *contoso.com
  • contoso.com*
  • *1.2.3.4
  • 1.2.3.4*
  • contoso.com/a*
  • contoso.com/ab*

• Indirizzi IP con porte:

  • contoso.com:443
  • abc.contoso.com:25

• Caratteri jolly non descrittivi:

  • *
  • *.*

• Caratteri jolly intermedi:

  • conto*so.com
  • conto~so.com

• Caratteri jolly doppi

  • contoso.com/**
  • contoso.com/*/*

Articoli correlati

• Usare la pagina Invii per inviare messaggi di posta indesiderata, phishing, URL, messaggi di posta elettronica legittimi bloccati e allegati di posta elettronica a Microsoft
• Segnalare falsi positivi e falsi negativi
• Gestire le autorizzazioni e i blocchi nell'elenco tenant consentiti/bloccati
• Consentire o bloccare i file nell'elenco tenant consentiti/bloccati
• Consentire o bloccare i messaggi di posta elettronica nell'elenco tenant consentiti/bloccati