次の方法で共有


テナント許可/禁止リストを使用してファイルを許可またはブロックする

ヒント

Microsoft Defender XDR for Office 365 プラン 2 の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用しますこちらからサインアップできるユーザーと試用版の使用条件の詳細について参照してください。

Exchange Online のメールボックスを持つ Microsoft 365 組織または Exchange Online メールボックスを持たないスタンドアロン Exchange Online Protection (EOP) 組織では、管理者はテナント許可/ブロック リスト内のファイルのエントリを作成および管理できます。 テナントの許可/ブロックリストの詳細については、「テナントの許可/ブロックリスト で許可とブロックを管理する」を参照してください

この記事では、管理者が Microsoft Defender ポータルと Exchange Online PowerShell でファイルのエントリを管理する方法について説明します。

はじめに把握しておくべき情報

  • https://security.microsoft.com」で Microsoft Defender ポータルを開きます。 [テナントの許可/ブロック リスト] ページに直接移動するには、https://security.microsoft.com/tenantAllowBlockListを使用します。 [申請] ページに直接移動するには、https://security.microsoft.com/reportsubmissionを使用します。

  • Exchange Online PowerShell へ接続するには、「Exchange Online PowerShell に接続する」を参照してください。 スタンドアロンの EOP PowerShell に接続するには、「Exchange Online Protection PowerShell への接続」を参照してください。

  • ファイルは、ファイルの SHA256 ハッシュ値を使用して指定します。 Windows でファイルの SHA256 ハッシュ値を見つけるには、コマンド プロンプトで次のコマンドを実行します。

    certutil.exe -hashfile "<Path>\<Filename>" SHA256
    

    値の例が 768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3a。 知覚ハッシュ (pHash) 値はサポートされていません。

  • ファイルのエントリ制限:

    • Exchange Online Protection: 許可エントリの最大数は 500 で、ブロック エントリの最大数は 500 (合計で 1,000 ファイル エントリ) です。
    • Defender for Office 365 プラン 1: 許可エントリの最大数は 1000 で、ブロック エントリの最大数は 1000 (合計で 2000 ファイル エントリ) です。
    • Defender for Office 365 プラン 2: 許可エントリの最大数は 5000 で、ブロック エントリの最大数は 10000 (合計で 15000 ファイル エントリ) です。
  • ファイル エントリには最大 64 文字を入力できます。

  • エントリは 5 分以内にアクティブにする必要があります。

  • この記事の手順を実行する前に、アクセス許可を割り当てる必要があります。 以下のオプションがあります。

    • Microsoft Defender XDR 統合ロールベースのアクセス制御 (RBAC) (電子メール & コラボレーションの場合>Office 365 の既定のアクセス許可はアクティブです。PowerShell ではなく Defender ポータルにのみ影響します:承認と設定/セキュリティ設定/検出のチューニング (管理) または承認と設定/セキュリティ設定/コア セキュリティ設定 (読み取り)

    • Exchange Online のアクセス許可:

      • テナント許可/ブロック リスト: 次のいずれかの役割グループのメンバーシップのエントリを追加および削除します。
        • 組織の管理 または セキュリティ管理者 (セキュリティ管理者ロール)。
        • セキュリティ オペレーター (テナント AllowBlockList Manager)。
      • テナント許可/ブロック リストへの読み取り専用アクセス: 次のいずれかの役割グループのメンバーシップ。
        • グローバル リーダー
        • セキュリティ閲覧者
        • "View-Only Configuration/表示専用構成"
        • View-Only Organization Management
    • Microsoft Entra のアクセス許可: グローバル管理者*、セキュリティ管理者グローバル 閲覧者、またはセキュリティ閲覧者ロールのメンバーシップは、ユーザーに Microsoft 365 の他の機能に必要なアクセス許可アクセス許可をユーザーに付与します。

      重要

      * Microsoft では、アクセス許可が最も少ないロールを使用することをお勧めします。 アクセス許可の低いアカウントを使用すると、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急シナリオに限定する必要があります。

  • [ ファイル ] タブは、[ 提出] ページで、Microsoft Defender XDR または Microsoft Defender for Endpoint Plan 2 を持つ組織でのみ使用できます。 [ ファイル] タブ からファイルを送信する方法については、「 Microsoft Defender for Endpoint でファイルを送信する」を参照してください。

ファイルの許可エントリを作成する

テナントの許可/ブロックリストでファイルの許可エントリを直接作成することはできません。 不要な許可エントリは、システムによってフィルター処理された悪意のある電子メールに組織を公開します。

代わりに、https://security.microsoft.com/reportsubmission?viewid=emailAttachmentの [申請] ページの [電子メールの添付ファイル] タブを使用します。 [ブロックされていないファイル (False 陽性)] としてブロックされたファイルを送信する場合は、[テナントの許可/ブロック リスト] ページの [ファイル] タブで [このファイルに許可エントリを追加することを許可する] を選択できます。 手順については、「 Microsoft に適切な電子メールの添付ファイルを送信する」を参照してください。

注:

許可エントリは、メール フロー中にメッセージが悪意があると判断されたフィルターに基づいて追加されます。 たとえば、送信者のメール アドレスとメッセージ内のファイルが正しくないと判断された場合、送信者 (メール アドレスまたはドメイン) とファイルに対して許可エントリが作成されます。

許可エントリ内のエンティティが (メール フロー中またはクリック時に) 再び検出されると、そのエンティティに関連付けられているすべてのフィルターがオーバーライドされます。

既定では、ファイルのエントリが 30 日間存在することを許可します。 この 30 日間、Microsoft は許可エントリから学習し 、それらを削除するか、自動的に拡張します。 削除された許可エントリから Microsoft が学習すると、メッセージ内の他の何かが悪意のあるものとして検出されない限り、それらのエンティティを含むメッセージが配信されます。

メール フロー中に、許可されたエンティティを含むメッセージがフィルター 処理スタック内の他のチェックに合格すると、メッセージが配信されます。 たとえば、メッセージが 電子メール認証チェックに合格した場合、メッセージには許可されたファイルも含まれている場合に配信されます。

クリック時に、ファイル許可エントリは、ファイル エンティティに関連付けられているすべてのフィルターをオーバーライドします。これにより、ユーザーはファイルにアクセスできます。

ファイルのブロック エントリを作成する

これらのブロックされたファイルを含む電子メール メッセージは 、マルウェアとしてブロックされます。 ブロックされたファイルを含むメッセージは検疫されます。

ファイルのブロック エントリを作成するには、次のいずれかの方法を使用します。

  • https://security.microsoft.com/reportsubmission?viewid=emailAttachmentの [送信] ページの [電子メールの添付ファイル] タブから。 [ブロックされている必要があります (False 負)] としてファイルを送信する場合は、[このファイルをブロックする] を選択して、[テナントの許可/ブロック リスト] ページの [ファイル] タブにブロック エントリを追加できます。 手順については、「 疑わしいメールの添付ファイルを Microsoft に報告する」を参照してください。

  • このセクションの説明に従って、[テナントの許可/ブロック リスト] ページまたは PowerShell の [ファイル] タブから。

Microsoft Defender ポータルを使用して、テナント許可/ブロック リスト内のファイルのブロック エントリを作成する

  1. https://security.microsoft.comの Microsoft Defender ポータルで、[ポリシー & ルール>[ポリシー>Rules] セクション>[テナントの許可/ブロック リスト] に移動します。 または、[ テナントの許可/ブロック リスト] ページに直接移動するには、 https://security.microsoft.com/tenantAllowBlockListを使用します。

  2. [ テナントの許可/ブロック リスト ] ページで、[ ファイル ] タブを選択します。

  3. [ファイル] タブで、[Block] を選択します

  4. 開いた [ ファイルのブロック ] ポップアップで、次の設定を構成します。

    • ファイル ハッシュの追加: 1 行に 1 つの SHA256 ハッシュ値 (最大 20 個) を入力します。

    • 後のブロック エントリの削除: 次の値から選択します。

      • 1 日
      • 7 日間
      • 30 日 (既定値)
      • 有効期限なし
      • 特定の日付: 最大値は今日から 90 日です。
    • 省略可能な注意: ファイルをブロックする理由を説明するテキストを入力します。

    [ ファイルのブロック ] ポップアップが完了したら、[ 追加] を選択します。

[ ファイル ] タブに戻ると、エントリが一覧表示されます。

PowerShell を使用して、テナント許可/ブロック リスト内のファイルのブロック エントリを作成する

Exchange Online PowerShell で、次の構文を使用します。

New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "HashValue1","HashValue2",..."HashValueN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]

次の使用例は、期限切れになることのない指定されたファイルのブロック エントリを追加します。

New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3","2c0a35409ff0873cfa28b70b8224e9aca2362241c1f0ed6f622fef8d4722fd9a" -NoExpiration

構文とパラメーターの詳細については、「 New-TenantAllowBlockListItems」を参照してください。

Microsoft Defender ポータルを使用して、テナントの許可/ブロックリスト内のファイルのエントリを表示する

https://security.microsoft.comの Microsoft Defender ポータルで、[規則] セクションの [ポリシー] & [ルール>[ポリシー>テナントの許可/ブロック リスト] に移動します。 または、[ テナントの許可/ブロック リスト] ページに直接移動するには、 https://security.microsoft.com/tenantAllowBlockListを使用します。

[ファイル] タブ 選択します。

[ ファイル ] タブで、使用可能な列ヘッダーをクリックしてエントリを並べ替えることができます。 次の列を使用できます。

  • : ファイル ハッシュ。
  • アクション: 使用可能な値は [許可] または [ブロック] です
  • 変更したユーザー
  • 最終更新日時
  • 最終使用日: 判定を上書きするためにフィルター システムでエントリが最後に使用された日付。
  • 削除日: 有効期限。
  • Notes

エントリをフィルター処理するには、[Filter] を選択します。 開いた [ フィルター] ポップアップでは、次のフィルターを使用できます。

  • アクション: 使用可能な値は [許可] と [ブロック] です
  • 有効期限なし: または
  • 最終更新日: [ 開始日 ] と [ 終了日] を 選択します。
  • 最後に使用された日付: [ 開始日 ] と [ 終了日] を 選択します。
  • [削除日] : [ 開始日 ] と [ 終了日] を 選択します。

[フィルター] ポップアップが完了したら、[適用] を選択します。 フィルターをクリアするには、[ クリア フィルター] を選択します。

検索ボックスと対応する値を使用して、特定のエントリを検索します。

エントリをグループ化するには、[ グループ ] を選択し、[アクション] を選択 します。 エントリのグループ化を解除するには、[ なし] を選択します。

PowerShell を使用してテナント許可/ブロック リスト内のファイルのエントリを表示する

Exchange Online PowerShell で、次の構文を使用します。

Get-TenantAllowBlockListItems -ListType FileHash [-Allow] [-Block] [-Entry <FileHashValue>] [<-ExpirationDate Date | -NoExpiration>]

次の使用例は、許可およびブロックされたすべてのファイルを返します。

Get-TenantAllowBlockListItems -ListType FileHash

次の使用例は、指定したファイル ハッシュ値の情報を返します。

Get-TenantAllowBlockListItems -ListType FileHash -Entry "9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08"

次の使用例は、ブロックされたファイルによって結果をフィルター処理します。

Get-TenantAllowBlockListItems -ListType FileHash -Block

構文とパラメーターの詳細については、「 Get-TenantAllowBlockListItems」を参照してください。

Microsoft Defender ポータルを使用して、テナント許可/ブロック リスト内のファイルのエントリを変更する

既存のファイル エントリでは、有効期限とメモを変更できます。

  1. https://security.microsoft.comの Microsoft Defender ポータルで、[ポリシー & ルール>[ポリシー>Rules] セクション>[テナントの許可/ブロック リスト] に移動します。 または、[ テナントの許可/ブロック リスト] ページに直接移動するには、 https://security.microsoft.com/tenantAllowBlockListを使用します。

  2. [ファイル] タブ 選択します

  3. [ ファイル ] タブで、最初の列の横にあるチェック ボックスをオンにして一覧からエントリを選択し、表示される [ 編集 ] アクションを選択します。

  4. 開いた [ファイルの編集] ポップアップで、次の設定を使用できます。

    • ブロック エントリ:
      • 後のブロック エントリの削除: 次の値から選択します。
        • 1 日
        • 7 日間
        • 30 日間
        • 有効期限なし
        • 特定の日付: 最大値は今日から 90 日です。
      • 省略可能なメモ
    • エントリを許可する:
      • 許可エントリの削除後: 次の値から選択します。
        • 1 日
        • 7 日間
        • 30 日間
        • 特定の日付: 最大値は今日から 30 日です。
      • 省略可能なメモ

    [ファイルの編集] ポップアップが完了したら、[保存] を選択します

ヒント

[ ファイル ] タブのエントリの詳細ポップアップで、ポップアップの上部にある View 申請 を使用して、[ 申請 ] ページの対応するエントリの詳細に移動します。 このアクションは、提出がテナント許可/ブロック リスト内のエントリの作成を担当していた場合に使用できます。

PowerShell を使用して、テナント許可/ブロック リスト内のファイルの既存の許可またはブロック エントリを変更する

Exchange Online PowerShell で、次の構文を使用します。

Set-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]

次の使用例は、指定したファイル ブロック エントリの有効期限を変更します。

Set-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214" -ExpirationDate "9/1/2022"

構文とパラメーターの詳細については、「 Set-TenantAllowBlockListItems」を参照してください。

Microsoft Defender ポータルを使用して、テナントの許可/ブロックリストからファイルのエントリを削除する

  1. https://security.microsoft.comの Microsoft Defender ポータルで、[ポリシー & ルール>[ポリシー>Rules] セクション>[テナントの許可/ブロック リスト] に移動します。 または、[ テナントの許可/ブロック リスト] ページに直接移動するには、 https://security.microsoft.com/tenantAllowBlockListを使用します。

  2. [ファイル] タブ 選択します。

  3. [ ファイル ] タブで、次のいずれかの手順を実行します。

    • 最初の列の横にあるチェック ボックスをオンにして、一覧からエントリを選択し、表示される [ 削除 ] アクションを選択します。

    • チェック ボックス以外の行の任意の場所をクリックして、一覧からエントリを選択します。 開いた詳細ポップアップで、ポップアップの上部にある [ 削除 ] を選択します。

      ヒント

      詳細ポップアップを残さずに他のエントリの詳細を表示するには、ポップアップの上部にある Previous 項目次の項目 を使用します。

  4. 開いた警告ダイアログで、[削除] を選択 します

[ ファイル ] タブに戻ると、エントリは一覧に表示されなくなります。

ヒント

各チェック ボックスをオンにして複数のエントリを選択するか、[ ] 列ヘッダーの横にあるチェック ボックスをオンにしてすべてのエントリを選択できます。

PowerShell を使用してテナントの許可/ブロックリストからファイルのエントリを削除する

Exchange Online PowerShell で、次の構文を使用します。

Remove-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>>

次の使用例は、指定したファイル ブロックをテナント許可/ブロック リストから削除します。

Remove-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214"

構文とパラメーターの詳細については、「 Remove-TenantAllowBlockListItems」を参照してください。