テナントの許可/ブロック一覧で許可とブロックを管理する

• 適用対象:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

ヒント

Microsoft Defender XDR for Office 365 プラン 2 の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 こちらからサインアップできるユーザーと試用版の使用条件の詳細について参照してください。

重要

サード パーティの攻撃シミュレーション トレーニングの一部であるフィッシング URL を許可するには、 高度な配信構成 を使用して URL を指定します。 [テナントの許可/ブロック] リストは使用しないでください。

Exchange Online のメールボックスを持つ Microsoft 365 組織、または Exchange Online メールボックスのないスタンドアロンの Exchange Online Protection (EOP) 組織では、EOP または Microsoft Defender for Office 365 のフィルター判定に同意しない場合があります。 たとえば、適切なメッセージが無効 (誤検知) としてマークされている場合や、不適切なメッセージが許可される場合があります (偽陰性)。

Microsoft Defender ポータルのテナント許可/ブロックリストを使用すると、Defender for Office 365 または EOP フィルタリングの判定を手動でオーバーライドできます。 リストは、外部送信者からの受信メッセージのメール フロー中に使用されます。

テナントの許可/ブロックリストは、組織内で送信された内部メッセージには適用されません。 ただし、 ドメインとメール アドレスのエントリを ブロックすると、組織内のユーザーがそれらのブロックされたドメインとアドレスに電子メールを 送信 することもできなくなります。

[テナントの許可/ブロック] の一覧は、Microsoft Defender ポータルhttps://security.microsoft.comの電子メール & コラボレーション>ポリシー & ルール脅威ポリシー>ルール> セクション>テナント許可/ブロック リストにあります。 または、[ テナントの許可/ブロック リスト] ページに直接移動するには、 を使用 https://security.microsoft.com/tenantAllowBlockListします。

使用方法と構成手順については、次の記事を参照してください。

• ドメインとメール アドレスとなりすまし送信者: テナント許可/ブロック リストを使用してメールを許可またはブロックする
• ファイル: テナント許可/ブロック リストを使用してファイルを許可またはブロックする
• URL: テナント許可/ブロック リストを使用して URL を許可またはブロックします。

これらの記事には、Microsoft Defender ポータルと PowerShell の手順が含まれています。

[テナントの許可/ブロック] リストのエントリをブロックする

ヒント

[テナントの許可/ブロック一覧] で、ブロック エントリが許可エントリよりも優先されます。

[ 申請] ページ ( 管理者申請とも呼ばれます) https://security.microsoft.com/reportsubmission を使用して、次の種類のアイテムのブロック エントリを作成し、Microsoft に偽陰性として報告します。

• ドメインとメール アドレス:

  • これらの送信者からの電子メール メッセージは 高信頼フィッシング としてマークされ、検疫に移動されます。
  • 組織内のユーザーは、これらのブロックされたドメインとアドレスに電子メールを送信できません。 次の配信不能レポート (NDR またはバウンス メッセージとも呼ばれます) を受け取ります。 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. 1 つの受信者のメール アドレスまたはドメインがブロック エントリで定義されている場合でも、メッセージの内部および外部のすべての受信者に対してメッセージ全体がブロックされます。

  ヒント

  特定の送信者からのスパムのみをブロックするには、 スパム対策ポリシーのブロック リストにメール アドレスまたはドメインを追加します。 送信者からのすべてのメールをブロックするには、[テナントの許可/ブロック] リストで ドメインとメール アドレス を使用します。

• ファイル: これらのブロックされたファイルを含む電子メール メッセージは 、マルウェアとしてブロックされます。 ブロックされたファイルを含むメッセージは検疫されます。

• URL: これらのブロックされた URL を含むメール メッセージは、 信頼度の高いフィッシングとしてブロックされます。 ブロックされた URL を含むメッセージは検疫されます。

[テナントの許可/ブロック一覧] で、次の種類の項目のブロック エントリを直接作成することもできます。

• ドメインとメール アドレス、 ファイル、 URL。

• スプーフィングされた送信者: スプーフィング インテリジェンスからの既存の許可の判定を手動でオーバーライドした場合、ブロックされたスプーフィングされた送信者は、テナント許可/ブロック リストの [ なりすまし送信者 ] タブにのみ表示される手動のブロック エントリになります。

既定では、 ドメインとメール アドレス、 ファイル 、 URL の ブロック エントリは 30 日後に期限切れになりますが、有効期限が 90 日または期限切れにならないように設定できます。 スプーフィングされた送信者のエントリをブロックすると、期限切れになることはありません。

[テナントの許可/ブロック] リストのエントリを許可する

ほとんどの場合、テナント許可/ブロック リストに許可エントリを直接作成することはできません。

• ドメインとメール アドレス、 ファイル、 URL: テナントの許可/ブロックリストに許可エントリを直接作成することはできません。 代わりに、 の [申請] ページ https://security.microsoft.com/reportsubmission を使用して、 電子メール、 電子メールの添付ファイル、または URL を Microsoft に報告します 。[ブロックされていません (誤検知)] です。

• なりすまし送信者:

  • スプーフィング インテリジェンスによってメッセージが既にスプーフィングとしてブロックされている場合は、 の [申請] ページ https://security.microsoft.com/reportsubmission を使用して、 電子メールを Microsoft に報告 します 。[ブロックされていません (False positive)] です。
  • スプーフィング インテリジェンスがメッセージをスプーフィングとして識別およびブロックする前に、[テナントの許可/ブロック リスト] の [なりすまし送信者] タブで、なりすまし送信者の許可エントリを事前に作成できます。

次の一覧は、[ 提出] ページで Microsoft に誤検知として報告した場合のテナント許可/ブロックリストの動作を示しています。

• 電子メールの添付ファイル と URL: 許可エントリが作成され、[テナントの許可/ブロックリスト] の [ ファイル ] タブまたは [URL] タブにエントリがそれぞれ表示されます。

  誤検知として報告された URL の場合、元の URL のバリエーションを含む後続のメッセージを許可します。 たとえば、[ 申請] ページを 使用して、不適切にブロックされた URL を報告します www.contoso.com/abc。 組織が後で URL を含むメッセージを受け取った場合 (たとえば、、www.contoso.com/abc?id=1、www.contoso.com/abc/def/gty/uyt?id=5、または www.contoso.com/abc/whateverにwww.contoso.com/abc限定されません)、メッセージは URL に基づいてブロックされません。 つまり、同じ URL の複数のバリエーションを Microsoft に報告する必要はありません。

• 電子メール: EOP または Defender for Office 365 フィルター スタックによってメッセージがブロックされた場合、許可エントリがテナントの許可/ブロックリストに作成される可能性があります。

  • メッセージがスプーフィング インテリジェンスによってブロックされた場合、送信者の許可エントリが作成され、[テナントの許可/ブロックリスト] の [なりすまし送信者] タブにエントリが表示されます。
  • Defender for Office 365 でユーザー (またはグラフ) の偽装保護によってメッセージがブロックされた場合、許可エントリはテナント許可/ブロック リストに作成されません。 代わりに、ドメインまたは送信者は、メッセージを検出したフィッシング対策ポリシーの [信頼された送信者とドメイン] セクションに追加されます。
  • ファイル ベースのフィルターによってメッセージがブロックされた場合は、ファイルの許可エントリが作成され、[テナントの許可/ブロックリスト] の [ ファイル ] タブにエントリが表示されます。
  • URL ベースのフィルターによってメッセージがブロックされた場合、URL の許可エントリが作成され、[テナントの許可/ブロックリスト] の [ URL ] タブにエントリが表示されます。
  • メッセージが他の理由でブロックされた場合は、送信者の電子メール アドレスまたはドメインの許可エントリが作成され、[テナントの許可/ブロックリスト] の [ ドメイン & アドレス ] タブにエントリが表示されます。
  • フィルター処理のためにメッセージがブロックされなかった場合、許可エントリはどこにも作成されません。

既定では、ドメインとメール アドレス、ファイル、URL のエントリが 30 日間存在することを許可します。 この 30 日間、Microsoft は許可エントリから学習し 、それらを削除するか、自動的に拡張します。 削除された許可エントリから Microsoft が学習すると、メッセージ内の他の何かが悪意のあるものとして検出されない限り、それらのエンティティを含むメッセージが配信されます。 既定では、スプーフィングされた送信者のエントリの有効期限が切れないことを許可します。

重要

Microsoft では、許可エントリを直接作成することはできません。 不要な許可エントリは、システムによってフィルター処理された可能性がある悪意のある電子メールに組織を公開します。

Microsoft は、 の [申請] ページ https://security.microsoft.com/reportsubmissionから許可エントリの作成を管理します。 メッセージが悪意があると判断されたフィルターに基づいて、メール フロー中に許可エントリが追加されます。 たとえば、送信者のメール アドレスとメッセージ内の URL が正しくないと判断された場合、送信者 (メール アドレスまたはドメイン) と URL に対して許可エントリが作成されます。

エンティティが (メール フロー中またはクリック時に) 再び検出されると、そのエンティティに関連付けられているすべてのフィルターはスキップされます。

メール フロー中に、許可されたエンティティを含むメッセージがフィルター 処理スタック内の他のチェックに合格すると、メッセージが配信されます。 たとえば、メッセージが 電子メール認証チェック、URL フィルタリング、ファイル フィルタリングに合格した場合、許可された送信者の電子メール アドレスからのメッセージが配信されます。

許可またはブロック エントリを追加した後に予想される内容

[申請] ページに許可エントリを追加した後、または [テナントの許可/ブロックリスト] のブロック エントリを追加すると、エントリはすぐに (5 分以内に) 動作を開始する必要があります。

Microsoft が許可エントリから学習した場合、"削除済み" という名前の組み込みのアラート ポリシーは、(不要になった) 許可エントリが削除されたときにアラートを生成します。