テナント許可/禁止リストを使用して URL を許可またはブロックする

ヒント

Microsoft Defender XDR for Office 365 プラン 2 の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用しますこちらからサインアップできるユーザーと試用版の使用条件の詳細について参照してください。

Exchange Onlineまたはスタンドアロン Exchange Online Protection (EOP) 組織のメールボックスを持つ Microsoft 365 組織では、Exchange Onlineメールボックスを持たない組織では、管理者はテナント許可/ブロック リストの URL のエントリを作成および管理できます。 テナントの許可/ブロックリストの詳細については、「テナントの許可/ブロックリスト で許可とブロックを管理する」を参照してください

注:

サード パーティ製のフィッシング シミュレーションからのフィッシング URL を許可するには、 高度な配信構成 を使用して URL を指定します。 [テナントの許可/ブロック] リストは使用しないでください。

この記事では、管理者がMicrosoft Defender ポータルと PowerShell で URL のエントリExchange Online管理する方法について説明します。

はじめに把握しておくべき情報

  • https://security.microsoft.com」で Microsoft Defender ポータルを開きます。 [テナントの許可/ブロックリスト] ページに直接移動するには、 を使用https://security.microsoft.com/tenantAllowBlockListします。 [ 申請] ページに直接移動するには、 を使用します https://security.microsoft.com/reportsubmission

  • Exchange Online PowerShell へ接続するには、「Exchange Online PowerShell に接続する」を参照してください。 スタンドアロンの EOP PowerShell に接続するには、「Exchange Online Protection PowerShell への接続」を参照してください。

  • URL エントリの構文については、この記事の後半 の「テナント許可/ブロック リスト 」セクションの URL 構文を参照してください。

    • URL のエントリ制限:
    • Exchange Online Protection: 許可エントリの最大数は 500 で、ブロック エントリの最大数は 500 (合計で 1,000 URL エントリ) です。
    • Defender for Office 365プラン 1: 許可エントリの最大数は 1000 で、ブロック エントリの最大数は 1000 (合計で 2000 URL エントリ) です。
    • Defender for Office 365プラン 2: 許可エントリの最大数は 5000 で、ブロック エントリの最大数は 10000 (合計で 15000 URL エントリ) です。

  • URL エントリには最大 250 文字を入力できます。

  • エントリは 5 分以内にアクティブにする必要があります。

  • この記事の手順を実行する前に、アクセス許可を割り当てる必要があります。 以下のオプションがあります。

    • Microsoft Defender XDR統合ロールベースのアクセス制御 (RBAC) (PowerShell ではなく Defender ポータルにのみ影響します)。
      • テナントの許可/ブロックリスト: 次のアクセス許可を持つメンバーシップが割り当てられているエントリを追加および削除します。
        • 承認と設定/セキュリティ設定/検出のチューニング (管理)
      • テナント許可/ブロック リストへの読み取り専用アクセス:
        • 承認と設定/セキュリティ設定/読み取り専用
        • 承認と設定/セキュリティ設定/コア セキュリティ設定 (読み取り)
    • Exchange Onlineアクセス許可:
      • テナント許可/ブロック リスト: 次のいずれかの役割グループのメンバーシップのエントリを追加および削除します。
        • 組織の管理 または セキュリティ管理者 (セキュリティ管理者ロール)。
        • セキュリティ オペレーター (テナント AllowBlockList Manager)。
      • テナント許可/ブロック リストへの読み取り専用アクセス: 次のいずれかの役割グループのメンバーシップ。
        • グローバル リーダー
        • セキュリティ閲覧者
        • "View-Only Configuration/表示専用構成"
        • View-Only Organization Management
    • Microsoft Entraアクセス許可: グローバル管理者セキュリティ管理者グローバル 閲覧者、またはセキュリティ 閲覧者ロールのメンバーシップは、Microsoft 365 の他の機能に必要なアクセス許可アクセス許可をユーザーに付与します。

URL の許可エントリを作成する

テナントの許可/ブロック一覧で URL の許可エントリを直接作成することはできません。 不要な許可エントリは、システムによってフィルター処理された悪意のある電子メールにorganizationを公開します。

代わりに、 の [申請] ページhttps://security.microsoft.com/reportsubmission?viewid=urlの [URL] タブを使用します。 [ブロックされていない (False 陽性)] としてブロックされた URL を送信する場合は、[テナントの許可/ブロック] Lists ページの [URL] タブの [URL の追加と許可をこの URL に許可する] を選択できます。 手順については、「 Microsoft に適切な URL を報告する」を参照してください。

注:

メール フロー中またはクリック時にフィルターによって悪意があると判断された URL の許可エントリを作成します。

元の URL のバリエーションを含む後続のメッセージを許可します。 たとえば、[ 申請] ページを 使用して、不適切にブロックされた URL を報告します www.contoso.com/abc。 organizationが後で URL を含むメッセージを受信した場合 (たとえば、、または www.contoso.com/abc/whatverwww.contoso.com/abcwww.contoso.com/abc?id=1www.contoso.com/abc/def/gty/uyt?id=5限定されません)、メッセージは URL に基づいてブロックされません。 つまり、同じ URL の複数のバリエーションを Microsoft に報告する必要はありません。

許可エントリ内のエンティティが (メール フロー中またはクリック時に) 再び検出されると、そのエンティティに関連付けられているすべてのフィルターがオーバーライドされます。

既定では、URL のエントリが 30 日間存在することを許可します。 この 30 日間、Microsoft は許可エントリから学習し 、それらを削除するか、自動的に拡張します。 削除された許可エントリから Microsoft が学習すると、メッセージ内の他の何かが悪意のあるものとして検出されない限り、それらの URL を含むメッセージが配信されます。

メール フロー中に、許可された URL を含むメッセージがフィルター 処理スタック内の他のチェックに合格すると、メッセージが配信されます。 たとえば、メッセージが 電子メール認証チェック とファイル フィルタリングに合格した場合、メッセージには許可された URL も含まれている場合に配信されます。

クリック時に、URL 許可エントリは URL エンティティに関連付けられているすべてのフィルターをオーバーライドします。これにより、ユーザーは URL にアクセスできます。

URL 許可エントリでは、DEFENDER FOR OFFICE 365の安全なリンク保護によって URL がラップされるのを防ぐわけではありません。 詳細については、「 SafeLinks でリストを書き換えない」を参照してください。

URL のブロック エントリを作成する

これらのブロックされた URL を含むEmailメッセージは、信頼度の高いフィッシングとしてブロックされます。 ブロックされた URL を含むメッセージは検疫されます。

URL のブロック エントリを作成するには、次のいずれかの方法を使用します。

URL のブロック エントリを作成するには、次のオプションがあります。

  • の [申請] ページの [URL] タブからhttps://security.microsoft.com/reportsubmission?viewid=url。 [ブロックされている必要があります (False の否定)] としてメッセージを送信する場合は、[この URL をブロックする] を選択して、[テナントの許可/ブロック] Lists ページの [URL] タブにブロック エントリを追加できます。 手順については、「 疑わしい URL を Microsoft に報告する」を参照してください。

  • このセクションの説明に従って、[テナントの許可/ブロック] ページまたは PowerShell の [URL] タブからLists。

Microsoft Defender ポータルを使用して、テナント許可/ブロック 一覧で URL のブロック エントリを作成する

  1. のMicrosoft Defender ポータルでhttps://security.microsoft.com、[ポリシー] & [ルール] [脅威ポリシールール>] > セクション > [テナントの許可/ブロックLists] に移動します。 または、[ テナントの許可/ブロックリスト ] ページに直接移動するには、 を使用 https://security.microsoft.com/tenantAllowBlockListします。

  2. [ テナントの許可/ブロックリスト ] ページで、[ URL] タブを選択します。

  3. [URL] タブで、[ブロック] を選択します。

  4. 開いた [ ブロック URL] ポップアップで、次の設定を構成します。

    • ワイルドカードを使用して URL を追加する: 1 行に最大 20 個の URL を入力します。 URL エントリの構文の詳細については、この記事の後半の 「テナント許可/ブロック リスト 」セクションの URL 構文を参照してください。

    • 後のブロック エントリの削除: 次の値から選択します。

      • 有効期限なし
      • 1 日
      • 7 日間
      • 30 日 (既定値)
      • 特定の日付: 最大値は今日から 90 日です。

    • 省略可能な注意: URL をブロックする理由を説明するテキストを入力します。

    [ ブロック URL] ポップアップが完了したら、[ 追加] を選択します。

[ URL] タブに戻ると、エントリが一覧表示されます。

PowerShell を使用して、[テナントの許可/ブロック] リストで URL のブロック エントリを作成する

PowerShell Exchange Onlineで、次の構文を使用します。

New-TenantAllowBlockListItems -ListType Url -Block -Entries "Value1","Value2",..."ValueN" <-ExpirationDate <Date> | -NoExpiration> [-Notes <String>]

次の使用例は、URL contoso.com とすべてのサブドメイン (contoso.com、xyz.abc.contoso.com など) のブロック エントリを追加します。 ExpirationDate パラメーターまたは NoExpiration パラメーターを使用していないため、エントリの有効期限は 30 日後です。

New-TenantAllowBlockListItems -ListType Url -Block -Entries *contoso.com

構文とパラメーターの詳細については、「 New-TenantAllowBlockListItems」を参照してください。

Microsoft Defender ポータルを使用して、[テナントの許可/ブロック] リストで URL のエントリを表示する

のMicrosoft Defender ポータルでhttps://security.microsoft.com、[ポリシー] & [ルール>] [脅威ポリシー>] [テナントの許可]、[ブロック] Lists[ルール] セクションに移動します。 または、[テナントの許可/ブロック] Lists ページに直接移動するには、 を使用https://security.microsoft.com/tenantAllowBlockListします。

[ URL] タブを 選択します。

[ URL] タブで、使用可能な列ヘッダーをクリックしてエントリを並べ替えることができます。 次の列を使用できます。

  • : URL。
  • アクション: 使用可能な値は [許可] または [ブロック] です
  • 変更したユーザー
  • 最終更新日時
  • 削除日: 有効期限。
  • Notes

エントリをフィルター処理するには、[フィルター] を選択 します。 開いた [ フィルター] ポップアップでは、次のフィルターを使用できます。

  • アクション: 使用可能な値は [許可] と [ブロック] です
  • 有効期限なし: または
  • 最終更新日: [ 開始日 ] と [ 終了日] を 選択します。
  • [削除日] : [ 開始日 ] と [ 終了日] を 選択します。

[フィルター] ポップアップが完了したら、[適用] を選択します。 フィルターをクリアするには、[フィルターのクリア] を選択 します

Search ボックスと対応する値を使用して、特定のエントリを検索します。

エントリをグループ化するには、[グループ] を選択し、[アクション] を選択します。 エントリのグループ化を解除するには、[ なし] を選択します。

PowerShell を使用してテナントの許可/ブロックリストの URL のエントリを表示する

PowerShell Exchange Onlineで、次の構文を使用します。

Get-TenantAllowBlockListItems -ListType Url [-Allow] [-Block] [-Entry <URLValue>] [<-ExpirationDate <Date> | -NoExpiration>]

次の使用例は、許可されているすべての URL とブロックされた URL を返します。

Get-TenantAllowBlockListItems -ListType Url

次の使用例は、ブロックされた URL によって結果をフィルター処理します。

Get-TenantAllowBlockListItems -ListType Url -Block

構文とパラメーターの詳細については、「 Get-TenantAllowBlockListItems」を参照してください。

Microsoft Defender ポータルを使用して、[テナントの許可/ブロック] リストの URL のエントリを変更する

既存の URL エントリでは、有効期限とメモを変更できます。

  1. のMicrosoft Defender ポータルでhttps://security.microsoft.com、[ポリシー] & [ルール] [脅威ポリシールール>] > セクション > [テナントの許可/ブロックLists] に移動します。 または、[テナントの許可/ブロック] Lists ページに直接移動するには、 を使用https://security.microsoft.com/tenantAllowBlockListします。

  2. [ URL] タブを 選択します

  3. [URL] タブで、最初の列の横にある [チェック] ボックスを選択して一覧からエントリを選択し、表示される [編集] アクションを選択します。

  4. 開いた [URL の編集] ポップアップで、次の設定を使用できます。

    • ブロック エントリ:
      • 後のブロック エントリの削除: 次の値から選択します。
        • 1 日
        • 7 日間
        • 30 日間
        • 有効期限なし
        • 特定の日付: 最大値は今日から 90 日です。
      • 省略可能なメモ
    • エントリを許可する:
      • 許可エントリの削除後: 次の値から選択します。
        • 1 日
        • 7 日間
        • 30 日間
        • 特定の日付: 最大値は今日から 30 日です。
      • 省略可能なメモ

    [URL の編集] ポップアップが完了したら、[保存] を選択します

ヒント

[URL] タブのエントリの詳細ポップアップで、ポップアップの上部にある [提出の表示] を使用して、[申請] ページの対応するエントリの詳細に移動します。 このアクションは、提出がテナント許可/ブロック リスト内のエントリの作成を担当していた場合に使用できます。

PowerShell を使用してテナントの許可/ブロックリストの URL のエントリを変更する

PowerShell Exchange Onlineで、次の構文を使用します。

Set-TenantAllowBlockListItems -ListType Url <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]

次の使用例は、指定した URL のブロック エントリの有効期限を変更します。

Set-TenantAllowBlockListItems -ListType Url -Entries "~contoso.com" -ExpirationDate "9/1/2022"

構文とパラメーターの詳細については、「 Set-TenantAllowBlockListItems」を参照してください。

Microsoft Defender ポータルを使用して、テナントの許可/ブロック リストから URL のエントリを削除する

  1. のMicrosoft Defender ポータルでhttps://security.microsoft.com、[ポリシー] & [ルール] [脅威ポリシールール>] > セクション > [テナントの許可/ブロックLists] に移動します。 または、[ テナントの許可/ブロックリスト ] ページに直接移動するには、 を使用 https://security.microsoft.com/tenantAllowBlockListします。

  2. [ URL] タブを 選択します。

  3. [ URL] タブで、次のいずれかの手順を実行します。

    • 最初の列の横にある [チェック] ボックスを選択して、一覧からエントリを選択し、表示される [削除] アクションを選択します。

    • [チェック] ボックス以外の行の任意の場所をクリックして、一覧からエントリを選択します。 開いた詳細ポップアップで、ポップアップの上部にある [削除] を選択します。

      ヒント

      詳細ポップアップを残さずに他のエントリの詳細を表示するには、ポップアップの上部にある [前の項目] と [次の項目] を使用します。

  4. 開いた警告ダイアログで、[削除] を選択 します

[ URL] タブに戻ると、エントリは一覧に表示されなくなります。

ヒント

各チェックボックスを選択して複数のエントリを選択するか、[] 列ヘッダーの横にある [チェック] ボックスを選択して、すべてのエントリを選択できます。

PowerShell を使用して、テナントの許可/ブロックリストから URL のエントリを削除する

PowerShell Exchange Onlineで、次の構文を使用します。

Remove-TenantAllowBlockListItems -ListType Url <-Ids <Identity value> | -Entries <Value>>

次の使用例は、指定した URL のブロック エントリをテナント許可/ブロック リストから削除します。

Remove-TenantAllowBlockListItems -ListType Url -Entries "*cohovineyard.com

構文とパラメーターの詳細については、「 Remove-TenantAllowBlockListItems」を参照してください。

テナント許可/ブロック リストの URL 構文

  • IPv4 アドレスと IPv6 アドレスは許可されますが、TCP/UDP ポートは許可されません。

  • ファイル名拡張子は許可されません (たとえば、test.pdf)。

  • Unicode はサポートされていませんが、Punycode は です。

  • 次のすべてのステートメントが true の場合、ホスト名は許可されます。

    • ホスト名にはピリオドが含まれています。
    • 期間の左側に少なくとも 1 文字あります。
    • ピリオドの右側には少なくとも 2 文字あります。

    たとえば、 t.co は許可されているか .comcontoso. 、許可されていません。

  • サブパスは許可に対して暗黙的に指定されません。

    たとえば、 contoso.com には が含 contoso.com/aまれていません。

  • ワイルドカード (*) は、次のシナリオで使用できます。

    • サブドメインを指定するには、左ワイルドカードの後にピリオドを付ける必要があります。 (ブロックにのみ適用されます)

      たとえば、 *.contoso.com は許可されています *contoso.com 。許可されていません。

    • パスを指定するには、右のワイルドカードをスラッシュ (/) に従う必要があります。

      たとえば、 contoso.com/* は許可されているか contoso.com*contoso.com/ab* 、許可されていません。

    • *.com* は無効です (解決可能なドメインではなく、正しいワイルドカードはスラッシュに従いません)。

    • IP アドレスではワイルドカードは使用できません。

  • チルダ (~) 文字は、次のシナリオで使用できます。

    • 左チルダは、ドメインとすべてのサブドメインを意味します。

      たとえば、 ~contoso.com*.contoso.comを含みますcontoso.com

  • ユーザー名またはパスワードはサポートされていないか、必須ではありません。

  • 引用符 (' または ") は無効な文字です。

  • URL には、可能な限りすべてのリダイレクトを含める必要があります。

URL エントリのシナリオ

有効な URL エントリとその結果については、次のサブセクションで説明します。

シナリオ: 最上位ドメインのブロック

エントリ: *.<TLD>/*

  • ブロック一致:
    • a.TLD
    • TLD/abcd
    • b.abcd.TLD
    • TLD/contoso.com
    • TLD/q=contoso.com
    • www.abcd.TLD
    • www.abcd.TLD/q=a@contoso.com

シナリオ: ワイルドカードなし

エントリ: contoso.com

  • 一致を許可する: contoso.com

  • [許可] が一致しない:

    • abc-contoso.com
    • contoso.com/a
    • payroll.contoso.com
    • test.com/contoso.com
    • test.com/q=contoso.com
    • www.contoso.com
    • www.contoso.com/q=a@contoso.com

  • ブロック一致:

    • contoso.com
    • contoso.com/a
    • payroll.contoso.com
    • test.com/contoso.com
    • test.com/q=contoso.com
    • www.contoso.com
    • www.contoso.com/q=a@contoso.com

  • ブロックが一致しない: abc-contoso.com

シナリオ: 左ワイルドカード (サブドメイン)

ヒント

このパターンの許可エントリは、 高度な配信構成からのみサポートされます。

エントリ: *.contoso.com

  • [一致を許可する][一致をブロックする] :

    • www.contoso.com
    • xyz.abc.contoso.com

  • [許可が一致しない ] と [ブロックが一致しない] :

    • 123contoso.com
    • contoso.com
    • test.com/contoso.com
    • www.contoso.com/abc

シナリオ: パスの上部にある右ワイルドカード

エントリ: contoso.com/a/*

  • [一致を許可する][一致をブロックする] :

    • contoso.com/a/b
    • contoso.com/a/b/c
    • contoso.com/a/?q=joe@t.com

  • [許可が一致しない ] と [ブロックが一致しない] :

    • contoso.com
    • contoso.com/a
    • www.contoso.com
    • www.contoso.com/q=a@contoso.com

シナリオ: 左チルダ

ヒント

このパターンの許可エントリは、 高度な配信構成からのみサポートされます。

エントリ: ~contoso.com

  • [一致を許可する][一致をブロックする] :

    • contoso.com
    • www.contoso.com
    • xyz.abc.contoso.com

  • [許可が一致しない ] と [ブロックが一致しない] :

    • 123contoso.com
    • contoso.com/abc
    • www.contoso.com/abc

シナリオ: 右ワイルドカード サフィックス

エントリ: contoso.com/*

  • [一致を許可する][一致をブロックする] :

    • contoso.com/?q=whatever@fabrikam.com
    • contoso.com/a
    • contoso.com/a/b/c
    • contoso.com/ab
    • contoso.com/b
    • contoso.com/b/a/c
    • contoso.com/ba

  • [一致しない許可] と [ ブロックが一致しない]: contoso.com

シナリオ: 左ワイルドカード サブドメインと右ワイルドカード サフィックス

ヒント

このパターンの許可エントリは、 高度な配信構成からのみサポートされます。

エントリ: *.contoso.com/*

  • [一致を許可する][一致をブロックする] :

    • abc.contoso.com/ab
    • abc.xyz.contoso.com/a/b/c
    • www.contoso.com/a
    • www.contoso.com/b/a/c
    • xyz.contoso.com/ba

  • [一致しない許可] と [ ブロックが一致しない]: contoso.com/b

シナリオ: 左右のチルダ

ヒント

このパターンの許可エントリは、 高度な配信構成からのみサポートされます。

エントリ: ~contoso.com~

  • [一致を許可する][一致をブロックする] :

    • contoso.com
    • contoso.com/a
    • www.contoso.com
    • www.contoso.com/b
    • xyz.abc.contoso.com
    • abc.xyz.contoso.com/a/b/c
    • contoso.com/b/a/c
    • test.com/contoso.com

  • [許可が一致しない ] と [ブロックが一致しない] :

    • 123contoso.com
    • contoso.org
    • test.com/q=contoso.com

シナリオ: IP アドレス

エントリ: 1.2.3.4

  • 一致ブロックの一致を許可する: 1.2.3.4

  • [許可が一致しない ] と [ブロックが一致しない] :

    • 1.2.3.4/a
    • 11.2.3.4/a

正しいワイルドカードを使用した IP アドレス

エントリ: 1.2.3.4/*

  • [一致を許可する][一致をブロックする] :
    • 1.2.3.4/b
    • 1.2.3.4/baaaa

無効なエントリの例

次のエントリが無効です。

  • ドメイン値が見つからないか無効です

    • Contoso
    • *。Contoso。*
    • *。Com
    • *.pdf

  • テキストまたは空白文字なしのワイルドカード:

    • *contoso.com
    • contoso.com*
    • *1.2.3.4
    • 1.2.3.4*
    • contoso.com/a*
    • contoso.com/ab*

  • ポートを持つ IP アドレス:

    • contoso.com:443
    • abc.contoso.com:25

  • 説明のないワイルドカード:

    • *
    • *.*

  • 中間ワイルドカード:

    • conto*so.com
    • conto~so.com

  • 二重ワイルドカード

    • contoso.com/**
    • contoso.com/*/*