テナント許可/禁止リストを使用して URL を許可またはブロックする

• 適用対象:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

ヒント

Microsoft Defender XDR for Office 365 プラン 2 の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 こちらからサインアップできるユーザーと試用版の使用条件の詳細について参照してください。

Exchange Online のメールボックスを持つ Microsoft 365 組織、または Exchange Online メールボックスのないスタンドアロン Exchange Online Protection (EOP) 組織では、管理者はテナント許可/ブロック リストの URL のエントリを作成および管理できます。 テナントの許可/ブロックリストの詳細については、「テナントの許可/ブロックリスト で許可とブロックを管理する」を参照してください。

注:

サード パーティ製のフィッシング シミュレーションからのフィッシング URL を許可するには、 高度な配信構成 を使用して URL を指定します。 [テナントの許可/ブロック] リストは使用しないでください。

この記事では、管理者が Microsoft Defender ポータルと Exchange Online PowerShell で URL のエントリを管理する方法について説明します。

はじめに把握しておくべき情報

• 「https://security.microsoft.com」で Microsoft Defender ポータルを開きます。 [テナントの許可/ブロックリスト] ページに直接移動するには、https://security.microsoft.com/tenantAllowBlockListを使用します。 [申請] ページに直接移動するには、https://security.microsoft.com/reportsubmissionを使用します。

• Exchange Online PowerShell へ接続するには、「Exchange Online PowerShell に接続する」を参照してください。 スタンドアロンの EOP PowerShell に接続するには、「Exchange Online Protection PowerShell への接続」を参照してください。

• URL エントリの構文については、この記事の後半 の「テナント許可/ブロック リスト 」セクションの URL 構文を参照してください。

• • URL のエントリ制限:
  • Exchange Online Protection: 許可エントリの最大数は 500 で、ブロック エントリの最大数は 500 (合計で 1,000 URL エントリ) です。
  • Defender for Office 365 プラン 1: 許可エントリの最大数は 1000 で、ブロック エントリの最大数は 1000 (合計で 2000 URL エントリ) です。
  • Defender for Office 365 プラン 2: 許可エントリの最大数は 5000 で、ブロック エントリの最大数は 10000 (合計で 15000 URL エントリ) です。

• URL エントリには最大 250 文字を入力できます。

• エントリは 5 分以内にアクティブにする必要があります。

• この記事の手順を実行する前に、アクセス許可を割り当てる必要があります。 以下のオプションがあります。

  • Microsoft Defender XDR 統合ロールベースのアクセス制御 (RBAC) (電子メール & コラボレーションの場合>Office 365 の既定のアクセス許可はアクティブです。PowerShell ではなく Defender ポータルにのみ影響します。

    • テナントの許可/ブロックリスト: 次のアクセス許可を持つメンバーシップが割り当てられているエントリを追加および削除します。
      • 承認と設定/セキュリティ設定/検出のチューニング (管理)
    • テナント許可/ブロック リストへの読み取り専用アクセス:
      • 承認と設定/セキュリティ設定/読み取り専用。
      • 承認と設定/セキュリティ設定/コア セキュリティ設定 (読み取り)。

  • Exchange Online のアクセス許可:

    • テナント許可/ブロック リスト: 次のいずれかの役割グループのメンバーシップのエントリを追加および削除します。
      • 組織の管理 または セキュリティ管理者 (セキュリティ管理者ロール)。
      • セキュリティ オペレーター (テナント AllowBlockList Manager)。
    • テナント許可/ブロック リストへの読み取り専用アクセス: 次のいずれかの役割グループのメンバーシップ。
      • グローバル リーダー
      • セキュリティ閲覧者
      • "View-Only Configuration/表示専用構成"
      • View-Only Organization Management

  • Microsoft Entra のアクセス許可: グローバル管理者^*、セキュリティ管理者、グローバル 閲覧者、またはセキュリティ閲覧者ロールのメンバーシップは、ユーザーに Microsoft 365 の他の機能に必要なアクセス許可とアクセス許可をユーザーに付与します。

    重要

    ^* Microsoft では、アクセス許可が最も少ないロールを使用することをお勧めします。 アクセス許可の低いアカウントを使用すると、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急シナリオに限定する必要があります。

URL の許可エントリを作成する

テナントの許可/ブロック一覧で URL の許可エントリを直接作成することはできません。 不要な許可エントリは、システムによってフィルター処理された悪意のある電子メールに組織を公開します。

代わりに、https://security.microsoft.com/reportsubmission?viewid=urlの [申請] ページの [URL] タブを使用します。 [ブロックされていない (False 陽性)] としてブロックされた URL を送信する場合は、[テナントの許可/ブロック リスト] ページの [URL] タブで [この URL の追加と許可エントリを許可する] を選択できます。 手順については、「 Microsoft に適切な URL を報告する」を参照してください。

注:

メール フロー中またはクリック時にフィルターによって悪意があると判断された URL の許可エントリを作成します。

元の URL のバリエーションを含む後続のメッセージを許可します。 たとえば、[ 申請] ページを 使用して、不適切にブロックされた URL www.contoso.com/abcを報告します。 組織が後で URL を含むメッセージ (たとえば、 www.contoso.com/abc、 www.contoso.com/abc?id=1、 www.contoso.com/abc/def/gty/uyt?id=5、または www.contoso.com/abc/whatver) を受け取った場合、URL に基づいてメッセージはブロックされません。 つまり、同じ URL の複数のバリエーションを Microsoft に報告する必要はありません。

許可エントリ内のエンティティが (メール フロー中またはクリック時に) 再び検出されると、そのエンティティに関連付けられているすべてのフィルターがオーバーライドされます。

既定では、URL のエントリが 30 日間存在することを許可します。 この 30 日間、Microsoft は許可エントリから学習し 、それらを削除するか、自動的に拡張します。 削除された許可エントリから Microsoft が学習すると、メッセージ内の他の何かが悪意のあるものとして検出されない限り、それらの URL を含むメッセージが配信されます。

メール フロー中に、許可された URL を含むメッセージがフィルター 処理スタック内の他のチェックに合格すると、メッセージが配信されます。 たとえば、メッセージが 電子メール認証チェック とファイル フィルタリングに合格した場合、メッセージには許可された URL も含まれている場合に配信されます。

クリック時に、URL 許可エントリは URL エンティティに関連付けられているすべてのフィルターをオーバーライドします。これにより、ユーザーは URL にアクセスできます。

URL 許可エントリでは、Defender for Office 365 の安全なリンク保護によって URL がラップされるのを防ぐわけではありません。 詳細については、「 SafeLinks でリストを書き換えない」を参照してください。

URL のブロック エントリを作成する

これらのブロックされた URL を含む電子メール メッセージは、 信頼度の高いフィッシングとしてブロックされます。 ブロックされた URL を含むメッセージは検疫されます。

URL のブロック エントリを作成するには、次のいずれかの方法を使用します。

URL のブロック エントリを作成するには、次のオプションがあります。

• https://security.microsoft.com/reportsubmission?viewid=urlの [申請] ページの [URL] タブから。 [ブロックされている必要があります (False 負)] としてメッセージを送信する場合は、[この URL をブロックする] を選択して、[テナントの許可/ブロック リスト] ページの [URL] タブにブロック エントリを追加できます。 手順については、「 疑わしい URL を Microsoft に報告する」を参照してください。

• このセクションの説明に従って、[テナントの許可/ブロック リスト] ページまたは PowerShell の [URL] タブから。

Microsoft Defender ポータルを使用して、テナント許可/ブロック 一覧で URL のブロック エントリを作成する

1. https://security.microsoft.comの Microsoft Defender ポータルで、[ポリシー & ルール>[ポリシー>Rules] セクション>[テナントの許可/ブロック リスト] に移動します。 または、[ テナントの許可/ブロックリスト ] ページに直接移動するには、 https://security.microsoft.com/tenantAllowBlockListを使用します。

2. [ テナントの許可/ブロックリスト ] ページで、[ URL] タブを選択します。

3. [URL] タブで、[Block] を選択します。

4. 開いた [ ブロック URL] ポップアップで、次の設定を構成します。

   • ワイルドカードを使用して URL を追加する: 1 行に最大 20 個の URL を入力します。 URL エントリの構文の詳細については、この記事の後半の 「テナント許可/ブロック リスト 」セクションの URL 構文を参照してください。

   • 後のブロック エントリの削除: 次の値から選択します。

     • 有効期限なし
     • 1 日
     • 7 日間
     • 30 日 (既定値)
     • 特定の日付: 最大値は今日から 90 日です。

   • 省略可能な注意: URL をブロックする理由を説明するテキストを入力します。

   [ ブロック URL] ポップアップが完了したら、[ 追加] を選択します。

[ URL] タブに戻ると、エントリが一覧表示されます。

PowerShell を使用して、[テナントの許可/ブロック] リストで URL のブロック エントリを作成する

Exchange Online PowerShell で、次の構文を使用します。

New-TenantAllowBlockListItems -ListType Url -Block -Entries "Value1","Value2",..."ValueN" <-ExpirationDate <Date> | -NoExpiration> [-Notes <String>]

次の使用例は、URL contoso.com とすべてのサブドメイン (contoso.com、xyz.abc.contoso.com など) のブロック エントリを追加します。 ExpirationDate パラメーターまたは NoExpiration パラメーターを使用していないため、エントリの有効期限は 30 日後です。

New-TenantAllowBlockListItems -ListType Url -Block -Entries *contoso.com

構文とパラメーターの詳細については、「 New-TenantAllowBlockListItems」を参照してください。

Microsoft Defender ポータルを使用して、[テナントの許可/ブロック] リストの URL のエントリを表示する

https://security.microsoft.comの Microsoft Defender ポータルで、[規則] セクションの [ポリシー] & [ルール>[ポリシー>テナントの許可/ブロック リスト] に移動します。 または、[ テナントの許可/ブロック リスト] ページに直接移動するには、 https://security.microsoft.com/tenantAllowBlockListを使用します。

[ URL] タブを 選択します。

[ URL] タブで、使用可能な列ヘッダーをクリックしてエントリを並べ替えることができます。 次の列を使用できます。

• 値: URL。
• アクション: 使用可能な値は [許可] または [ブロック] です。
• 変更したユーザー
• 最終更新日時
• 最終使用日: 判定を上書きするためにフィルター システムでエントリが最後に使用された日付。
• 削除日: 有効期限。
• Notes

エントリをフィルター処理するには、[Filter] を選択します。 開いた [ フィルター] ポップアップでは、次のフィルターを使用できます。

• アクション: 使用可能な値は [許可] と [ブロック] です。
• 有効期限なし: または
• 最終更新日: [ 開始日 ] と [ 終了日] を 選択します。
• 最後に使用された日付: [ 開始日 ] と [ 終了日] を 選択します。
• [削除日] : [ 開始日 ] と [ 終了日] を 選択します。

[フィルター] ポップアップが完了したら、[適用] を選択します。 フィルターをクリアするには、[ クリア フィルター] を選択します。

検索ボックスと対応する値を使用して、特定のエントリを検索します。

エントリをグループ化するには、[ グループ ] を選択し、[アクション] を選択 します。 エントリのグループ化を解除するには、[ なし] を選択します。

PowerShell を使用してテナントの許可/ブロックリストの URL のエントリを表示する

Exchange Online PowerShell で、次の構文を使用します。

Get-TenantAllowBlockListItems -ListType Url [-Allow] [-Block] [-Entry <URLValue>] [<-ExpirationDate <Date> | -NoExpiration>]

次の使用例は、許可されているすべての URL とブロックされた URL を返します。

Get-TenantAllowBlockListItems -ListType Url

次の使用例は、ブロックされた URL によって結果をフィルター処理します。

Get-TenantAllowBlockListItems -ListType Url -Block

構文とパラメーターの詳細については、「 Get-TenantAllowBlockListItems」を参照してください。

Microsoft Defender ポータルを使用して、[テナントの許可/ブロック] リストの URL のエントリを変更する

既存の URL エントリでは、有効期限とメモを変更できます。

1. https://security.microsoft.comの Microsoft Defender ポータルで、[ポリシー & ルール>[ポリシー>Rules] セクション>[テナントの許可/ブロック リスト] に移動します。 または、[ テナントの許可/ブロック リスト] ページに直接移動するには、 https://security.microsoft.com/tenantAllowBlockListを使用します。

2. [ URL] タブを 選択します

3. [ URL ] タブで、最初の列の横にあるチェック ボックスをオンにして一覧からエントリを選択し、表示される [ ][編集] アクションを選択します。

4. 開いた [URL の編集] ポップアップで、次の設定を使用できます。

   • ブロック エントリ:
     • 後のブロック エントリの削除: 次の値から選択します。
       • 1 日
       • 7 日間
       • 30 日間
       • 有効期限なし
       • 特定の日付: 最大値は今日から 90 日です。
     • 省略可能なメモ
   • エントリを許可する:
     • 許可エントリの削除後: 次の値から選択します。
       • 1 日
       • 7 日間
       • 30 日間
       • 特定の日付: 最大値は今日から 30 日です。
     • 省略可能なメモ

   [URL の編集] ポップアップが完了したら、[保存] を選択します。

ヒント

[ URL] タブのエントリの詳細ポップアップで、ポップアップの上部にある View 申請 を使用して、[ 申請 ] ページの対応するエントリの詳細に移動します。 このアクションは、提出がテナント許可/ブロック リスト内のエントリの作成を担当していた場合に使用できます。

PowerShell を使用してテナントの許可/ブロックリストの URL のエントリを変更する

Exchange Online PowerShell で、次の構文を使用します。

Set-TenantAllowBlockListItems -ListType Url <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]

次の使用例は、指定した URL のブロック エントリの有効期限を変更します。

Set-TenantAllowBlockListItems -ListType Url -Entries "~contoso.com" -ExpirationDate "9/1/2022"

構文とパラメーターの詳細については、「 Set-TenantAllowBlockListItems」を参照してください。

Microsoft Defender ポータルを使用して、[テナントの許可/ブロック] リストから URL のエントリを削除する

1. https://security.microsoft.comの Microsoft Defender ポータルで、[ポリシー & ルール>[ポリシー>Rules] セクション>[テナントの許可/ブロック リスト] に移動します。 または、[ テナントの許可/ブロックリスト ] ページに直接移動するには、 https://security.microsoft.com/tenantAllowBlockListを使用します。

2. [ URL] タブを 選択します。

3. [ URL] タブで、次のいずれかの手順を実行します。

   • 最初の列の横にあるチェック ボックスをオンにして、一覧からエントリを選択し、表示される [ 削除 ] アクションを選択します。

   • チェック ボックス以外の行の任意の場所をクリックして、一覧からエントリを選択します。 開いた詳細ポップアップで、ポップアップの上部にある [ 削除 ] を選択します。

     ヒント

     詳細ポップアップを残さずに他のエントリの詳細を表示するには、ポップアップの上部にある Previous 項目 と 次の項目 を使用します。

4. 開いた警告ダイアログで、[削除] を選択 します。

[ URL] タブに戻ると、エントリは一覧に表示されなくなります。

ヒント

各チェック ボックスをオンにして複数のエントリを選択するか、[ 値 ] 列ヘッダーの横にあるチェック ボックスをオンにしてすべてのエントリを選択できます。

PowerShell を使用して、テナントの許可/ブロックリストから URL のエントリを削除する

Exchange Online PowerShell で、次の構文を使用します。

Remove-TenantAllowBlockListItems -ListType Url <-Ids <Identity value> | -Entries <Value>>

次の使用例は、指定した URL のブロック エントリをテナント許可/ブロック リストから削除します。

Remove-TenantAllowBlockListItems -ListType Url -Entries "*cohovineyard.com

構文とパラメーターの詳細については、「 Remove-TenantAllowBlockListItems」を参照してください。

テナント許可/ブロック リストの URL 構文

• IPv4 アドレスと IPv6 アドレスは許可されますが、TCP/UDP ポートは許可されません。

• ファイル名拡張子は許可されません (たとえば、test.pdf)。

• Unicode はサポートされていませんが、Punycode は です。

• 次のすべてのステートメントが true の場合、ホスト名は許可されます。

  • ホスト名にはピリオドが含まれています。
  • 期間の左側に少なくとも 1 文字あります。
  • ピリオドの右側には少なくとも 2 文字あります。

  たとえば、 t.co は許可されます。 .com または contoso. は許可されません。

• サブパスは許可に対して暗黙的に指定されません。

  たとえば、 contoso.com には contoso.com/aが含まれていません。

• ワイルドカード (*) は、次のシナリオで使用できます。

  • サブドメインを指定するには、左ワイルドカードの後にピリオドを付ける必要があります。 (ブロックにのみ適用されます)

    たとえば、 *.contoso.com は許可されます。 *contoso.com は許可されません。

  • パスを指定するには、右のワイルドカードをスラッシュ (/) に従う必要があります。

    たとえば、 contoso.com/* は許可されます。 contoso.com* または contoso.com/ab* は許可されません。

  • *.com* は無効です (解決可能なドメインではなく、正しいワイルドカードはスラッシュに従いません)。

  • IP アドレスではワイルドカードは使用できません。

• チルダ (~) 文字は、次のシナリオで使用できます。

  • 左チルダは、ドメインとすべてのサブドメインを意味します。

    たとえば、 ~contoso.com には contoso.com と *.contoso.comが含まれます。

• ユーザー名またはパスワードはサポートされていないか、必須ではありません。

• 引用符 (' または ") は無効な文字です。

• URL には、可能な限りすべてのリダイレクトを含める必要があります。

URL エントリのシナリオ

有効な URL エントリとその結果については、次のサブセクションで説明します。

シナリオ: 最上位ドメインのブロック

エントリ: *.<TLD>/*

• ブロック一致:
  • a.TLD
  • TLD/abcd
  • b.abcd.TLD
  • TLD/contoso.com
  • TLD/q=contoso.com
  • www.abcd.TLD
  • www.abcd.TLD/q=a@contoso.com

シナリオ: ワイルドカードなし

エントリ: contoso.com

• 一致を許可する: contoso.com

• [許可] が一致しない:

  • abc-contoso.com
  • contoso.com/a
  • payroll.contoso.com
  • test.com/contoso.com
  • test.com/q=contoso.com
  • www.contoso.com
  • www.contoso.com/q=a@contoso.com

• ブロック一致:

  • contoso.com
  • contoso.com/a
  • payroll.contoso.com
  • test.com/contoso.com
  • test.com/q=contoso.com
  • www.contoso.com
  • www.contoso.com/q=a@contoso.com

• ブロックが一致しない: abc-contoso.com

シナリオ: 左ワイルドカード (サブドメイン)

ヒント

このパターンの許可エントリは、 高度な配信構成からのみサポートされます。

エントリ: *.contoso.com

• [一致を許可する] と [一致をブロックする] :

  • www.contoso.com
  • xyz.abc.contoso.com

• [許可が一致しない ] と [ブロックが一致しない] :

  • 123contoso.com
  • contoso.com
  • test.com/contoso.com
  • www.contoso.com/abc

シナリオ: パスの上部にある右ワイルドカード

エントリ: contoso.com/a/*

• [一致を許可する] と [一致をブロックする] :

  • contoso.com/a/b
  • contoso.com/a/b/c
  • contoso.com/a/?q=joe@t.com

• [許可が一致しない ] と [ブロックが一致しない] :

  • contoso.com
  • contoso.com/a
  • www.contoso.com
  • www.contoso.com/q=a@contoso.com

シナリオ: 左チルダ

ヒント

このパターンの許可エントリは、 高度な配信構成からのみサポートされます。

エントリ: ~contoso.com

• [一致を許可する] と [一致をブロックする] :

  • contoso.com
  • www.contoso.com
  • xyz.abc.contoso.com

• [許可が一致しない ] と [ブロックが一致しない] :

  • 123contoso.com
  • contoso.com/abc
  • www.contoso.com/abc

シナリオ: 右ワイルドカード サフィックス

エントリ: contoso.com/*

• [一致を許可する] と [一致をブロックする] :

  • contoso.com/?q=whatever@fabrikam.com
  • contoso.com/a
  • contoso.com/a/b/c
  • contoso.com/ab
  • contoso.com/b
  • contoso.com/b/a/c
  • contoso.com/ba

• [一致しない許可] と [ ブロックが一致しない]: contoso.com

シナリオ: 左ワイルドカード サブドメインと右ワイルドカード サフィックス

ヒント

このパターンの許可エントリは、 高度な配信構成からのみサポートされます。

エントリ: *.contoso.com/*

• [一致を許可する] と [一致をブロックする] :

  • abc.contoso.com/ab
  • abc.xyz.contoso.com/a/b/c
  • www.contoso.com/a
  • www.contoso.com/b/a/c
  • xyz.contoso.com/ba

• [一致しない許可] と [ ブロックが一致しない]: contoso.com/b

シナリオ: 左右のチルダ

ヒント

このパターンの許可エントリは、 高度な配信構成からのみサポートされます。

エントリ: ~contoso.com~

• [一致を許可する] と [一致をブロックする] :

  • contoso.com
  • contoso.com/a
  • www.contoso.com
  • www.contoso.com/b
  • xyz.abc.contoso.com
  • abc.xyz.contoso.com/a/b/c
  • contoso.com/b/a/c
  • test.com/contoso.com

• [許可が一致しない ] と [ブロックが一致しない] :

  • 123contoso.com
  • contoso.org
  • test.com/q=contoso.com

シナリオ: IP アドレス

エントリ: 1.2.3.4

• 一致 と ブロックの一致を許可する: 1.2.3.4

• [許可が一致しない ] と [ブロックが一致しない] :

  • 1.2.3.4/a
  • 11.2.3.4/a

正しいワイルドカードを使用した IP アドレス

エントリ: 1.2.3.4/*

• [一致を許可する] と [一致をブロックする] :
  • 1.2.3.4/b
  • 1.2.3.4/baaaa

無効なエントリの例

次のエントリが無効です。

• ドメイン値が見つからないか無効です。

  • contoso
  • *.contoso.*
  • *.com
  • *.pdf

• テキストまたは空白文字なしのワイルドカード:

  • *contoso.com
  • contoso.com*
  • *1.2.3.4
  • 1.2.3.4*
  • contoso.com/a*
  • contoso.com/ab*

• ポートを持つ IP アドレス:

  • contoso.com:443
  • abc.contoso.com:25

• 説明のないワイルドカード:

  • *
  • *.*

• 中間ワイルドカード:

  • conto*so.com
  • conto~so.com

• 二重ワイルドカード

  • contoso.com/**
  • contoso.com/*/*

関連記事

• [申請] ページを使用して、疑わしいスパム、フィッシング、URL、正当なメールの受信がブロックされ、電子メールの添付ファイルを Microsoft に送信します
• 誤検知と偽陰性を報告する
• テナントの許可/ブロック一覧で許可とブロックを管理する
• テナントの許可/ブロックリストでファイルを許可またはブロックする
• [テナントの許可/ブロック] リストでメールを許可またはブロックする