Behandle tillatelser og blokker i leierens tillatelses-/blokkeringsliste

• Gjelder for:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tips

Visste du at du kan prøve funksjonene i Microsoft Defender XDR for Office 365 Plan 2 gratis? Bruk 90-dagers prøveversjonen av Defender for Office 365 på prøveversjonen av Microsoft Defender-portalen. Finn ut mer om hvem som kan registrere seg og vilkår for prøveversjonen her.

Viktig

Hvis du vil tillate nettadresser for phishing som er en del av opplæringen for angrepssimulering fra tredjeparter, bruker du konfigurasjonen for avansert levering til å angi nettadressene. Ikke bruk leierens tillatelses-/blokkeringsliste.

I Microsoft 365-organisasjoner med postbokser i Exchange Online eller frittstående Exchange Online Protection (EOP)-organisasjoner uten Exchange Online-postbokser, kan du være uenig i EOP- eller Microsoft Defender for Office 365-filtreringsdommen. En god melding kan for eksempel merkes som ugyldig (en falsk positiv), eller en ugyldig melding kan tillates gjennom (en falsk negativ).

Leierens tillatelses-/blokkeringsliste i Microsoft Defender-portalen gir deg mulighet til å overstyre filtreringsdommene for Defender for Office 365 eller EOP manuelt. Listen brukes under e-postflyten for innkommende meldinger fra eksterne avsendere.

Tillatelses-/blokkeringslisten for leieren gjelder ikke for interne meldinger som sendes i organisasjonen. Men blokker oppføringer for domener og e-postadresser hindrer også brukere i organisasjonen i å sende e-post til de blokkerte domenene og adressene.

Leierens tillatelses-/blokkeringsliste er tilgjengelig i Microsoft Defender-portalen på https://security.microsoft.come-& samarbeidspolicyer>& regler>avsnittet Trusselpolicyer>, avsnittet >Leier tillatelses-/blokkeringslister. Eller bruk for å gå direkte til siden https://security.microsoft.com/tenantAllowBlockListTillat/blokker lister for leier.

Hvis du vil ha instruksjoner for bruk og konfigurasjon, kan du se følgende artikler:

• Domener og e-postadresser og falske avsendere: Tillat eller blokker e-postmeldinger ved hjelp av leierens tillatelses-/blokkeringsliste
• Filer: Tillate eller blokkere filer ved hjelp av leierens tillatelses-/blokkeringsliste
• URL-adresser: Tillat eller blokker url-adresser ved hjelp av tillatelses-/blokkeringslisten for tenant.

Disse artiklene inneholder prosedyrer i Microsoft Defender-portalen og i PowerShell.

Blokkere oppføringer i leierens tillatelses-/blokkeringsliste

Tips

Blokker oppføringer i tillatelses-/blokkeringslisten for leier har forrang over tillatte oppføringer.

Bruk innsendingssiden (også kalt administratorinnsending) til https://security.microsoft.com/reportsubmission å opprette blokkoppføringer for følgende typer elementer når du sender dem inn som falske negativer til Microsoft:

• Domener og e-postadresser:

  • E-postmeldinger fra disse avsenderne merkes som phishing med høy visshet og flyttes deretter til karantene.
  • Brukere i organisasjonen kan ikke sende e-post til disse blokkerte domenene og adressene. De mottar følgende rapport om manglende levering (også kjent som en NDR- eller returmelding): 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. Hele meldingen blokkeres for alle interne og eksterne mottakere av meldingen, selv om bare én mottakers e-postadresse eller domene er definert i en blokkoppføring.

  Tips

  Hvis du bare vil blokkere søppelpost fra en bestemt avsender, legger du til e-postadressen eller domenet i blokkeringslisten i policyer for søppelpost. Hvis du vil blokkere all e-post fra avsenderen, bruker du domener og e-postadresser i leierens tillatelses-/blokkeringsliste.

• Filer: E-postmeldinger som inneholder disse blokkerte filene, blokkeres som skadelig programvare. Meldinger som inneholder blokkerte filer, settes i karantene.

• URL-adresser: E-postmeldinger som inneholder disse blokkerte nettadressene, blokkeres som phishing med høy visshet. Meldinger som inneholder de blokkerte URL-adressene, settes i karantene.

Du kan også opprette blokkeringsoppføringer for følgende typer elementer direkte i tillat-/blokkeringslisten for leieren:

• Domener og e-postadresser, filer og nettadresser.

• Forfalskede avsendere: Hvis du overstyrer en eksisterende tillatelsesdom fra forfalskningsintelligens manuelt, blir den blokkerte forfalskede avsenderen en manuell blokkoppføring som bare vises på fanen Forfalskede avsendere i leierens tillatelses-/blokkeringsliste.

Som standard utløper blokkoppføringer for domener og e-postadresser, filer og nettadresser etter 30 dager, men du kan angi at de skal utløpe 90 dager eller aldri utløpe. Blokkoppføringer for falske avsendere utløper aldri.

Tillat oppføringer i leierens tillatelses-/blokkeringsliste

I de fleste tilfeller kan du ikke opprette tillatelsesoppføringer direkte i leierens tillatelses-/blokkeringsliste. Unødvendige tillatelsesoppføringer utsetter organisasjonen for skadelig e-post som kan ha blitt filtrert av systemet.

• Domener og e-postadresser, filer og nettadresser: Du kan ikke opprette tillatelsesoppføringer direkte i tillatelses-/blokkeringslisten for leieren. I stedet bruker du innsendingssiden på https://security.microsoft.com/reportsubmission for å sende inn e-post, e-postvedlegg eller nettadresse til Microsoft. Når du har valgt Jeg har bekreftet at den er ren, kan du deretter velge Tillat denne meldingen, Tillat denne filen eller Tillat denne URL-adressen å opprette en tillatelsesoppføring for domener og e-postadresser, filer eller nettadresser.

• Falske avsendere:

  • Hvis forfalskingsintelligens allerede har blokkert meldingen som forfalskning, kan du bruke innsendingssiden på https://security.microsoft.com/reportsubmission til å rapportere e-postmeldingen til Microsoft som jeg har bekreftet at den er ren, og deretter velge Tillat denne meldingen.
  • Du kan proaktivt opprette en tillatelsesoppføring for en forfalsket avsender på fanen Forfalsket avsender i leierens tillatelses-/blokkeringsliste før forfalskningsintelligens identifiserer og blokkerer meldingen som forfalskning.

Listen nedenfor beskriver hva som skjer i leierens tillatelses-/blokkeringsliste når du sender noe til Microsoft som en falsk positiv verdi på siden Innsendinger :

• E-postvedlegg og nettadresser: En tillatelsesoppføring opprettes, og oppføringen vises på fanen Filer eller nettadresser i tillat-/blokkeringslisten for leieren.

  For URL-adresser som rapporteres som falske positiver, tillater vi etterfølgende meldinger som inneholder variasjoner av den opprinnelige nettadressen. Du kan for eksempel bruke innsendingssiden til å rapportere url-adressen www.contoso.com/abcsom er blokkert feil. Hvis organisasjonen senere mottar en melding som inneholder nettadressen (for eksempel ikke begrenset til: www.contoso.com/abc, www.contoso.com/abc?id=1, www.contoso.com/abc/def/gty/uyt?id=5, eller www.contoso.com/abc/whatever), blokkeres ikke meldingen basert på URL-adressen. Du trenger med andre ord ikke å rapportere flere variasjoner av samme nettadresse som god til Microsoft.

• E-post: Hvis en melding ble blokkert av filtreringsstakken EOP eller Defender for Office 365, kan det opprettes en tillatelsesoppføring i listen over tillatte/blokkerende leiere:

  • Hvis meldingen ble blokkert av forfalskningsintelligens, opprettes en tillatelsesoppføring for avsenderen, og oppføringen vises på fanen Falske avsendere i tillat-/blokkeringslisten for tenanten.
  • Hvis meldingen ble blokkert av bruker (eller graf) representasjonsbeskyttelse i Defender for Office 365, opprettes det ikke en tillatelsesoppføring i tillatelses-/blokkeringslisten for leieren. I stedet legges domenet eller avsenderen til i delen Klarerte avsendere og domener i policyen for anti-phishing som oppdaget meldingen.
  • Hvis meldingen ble blokkert på grunn av filbaserte filtre, opprettes en tillatelsesoppføring for filen, og oppføringen vises på Filer-fanen i leierens tillatelses-/blokkeringsliste.
  • Hvis meldingen ble blokkert på grunn av nettadressebaserte filtre, opprettes en tillatelsesoppføring for nettadressen, og oppføringen vises på nettadressefanen i tillat-/blokkeringslisten for tenanten.
  • Hvis meldingen ble blokkert av en annen grunn, opprettes en tillat-oppføring for avsenderens e-postadresse eller domene, og oppføringen vises på fanen Domener & adresser i tillat-/blokkeringslisten for leier.
  • Hvis meldingen ikke ble blokkert på grunn av filtrering, opprettes ingen tillatte oppføringer hvor som helst.

Tips

Tillat at oppføringer fra innsendinger legges til under e-postflyten basert på filtrene som fastslo at meldingen var skadelig. Hvis for eksempel avsenderens e-postadresse og en nettadresse i meldingen er skadelig, opprettes det en tillatelsesoppføring for avsenderen (e-postadressen eller domenet) og nettadressen.

Hvis meldinger som inneholder enhetene i tillatelsesoppføringene, sender andre kontroller i filtreringsstakken under e-postflyt eller klikktidspunkt, leveres meldingene (alle filtre som er knyttet til de tillatte enhetene, hoppes over). Hvis en melding for eksempel sender kontroller for e-postgodkjenning, filtrering av nettadresse og filfiltrering, leveres en melding fra en tillatt avsenders e-postadresse hvis den også er fra en tillatt avsender.

Som standard beholdes tillat oppføringer for domener og e-postadresser, filer og nettadresser i 45 dager etter at filtreringssystemet bestemmer at enheten er ren, og deretter fjernes tillat-oppføringen. Eller du kan angi at oppføringer skal utløpe opptil 30 dager etter at du har opprettet dem. Tillat at oppføringer for falske avsendere aldri utløper.

Hva du kan forvente etter at du har lagt til en tillatelses- eller blokkoppføring

Når du har lagt til en tillatelsesoppføring på innsendingssiden eller en blokkoppføring i leierens tillatelses-/blokkeringsliste, skal oppføringen begynne å fungere umiddelbart (innen 5 minutter).

Hvis Microsoft lærte av tillatelsesoppføringen, genererer den innebygde varslingspolicyenmed navnet Fjernet en oppføring i tillat/blokkeringsliste for leier et varsel når (nå unødvendig) tillatelsesoppføringen fjernes.