Del via

Tillat eller blokker url-adresser ved hjelp av leierens tillatelses-/blokkeringsliste

Tips

Visste du at du kan prøve funksjonene i Microsoft Defender XDR for Office 365 Plan 2 gratis? Bruk 90-dagers prøveversjonen av Defender for Office 365 på prøveversjonen av Microsoft Defender-portalen. Finn ut mer om hvem som kan registrere seg og vilkår for prøveversjonen her.

I Microsoft 365-organisasjoner med postbokser i Exchange Online eller frittstående Exchange Online Protection (EOP)-organisasjoner uten Exchange Online-postbokser, kan administratorer opprette og behandle oppføringer for nettadresser i listen over tillatte/blokkerende leiere. Hvis du vil ha mer informasjon om tillatelses-/blokkeringslisten for leier, kan du se Administrere tillatelser og blokker i leierens tillatelses-/blokkeringsliste.

Obs!

Hvis du vil tillate phishing-nettadresser fra tredjeparts phishing-simuleringer, bruker du konfigurasjonen for avansert levering til å angi URL-adressene. Ikke bruk leierens tillatelses-/blokkeringsliste.

Denne artikkelen beskriver hvordan administratorer kan behandle oppføringer for nettadresser i Microsoft Defender-portalen og i Exchange Online PowerShell.

Hva må du vite før du begynner?

  • Du åpner Microsoft Defender-portalen på https://security.microsoft.com. Hvis du vil gå direkte til siden Tillat/blokkeringsliste for leier , bruker https://security.microsoft.com/tenantAllowBlockListdu . Hvis du vil gå direkte til Innsendinger-siden , bruker https://security.microsoft.com/reportsubmissiondu .

  • Hvis du vil koble til Exchange Online PowerShell, kan du se Koble til Exchange Online PowerShell. Hvis du vil koble til frittstående EOP PowerShell, kan du se Koble til Exchange Online Protection PowerShell.

  • Hvis du vil se syntaksen for url-oppføring, kan du se url-syntaksen for delen Tillat/blokkeringsliste for leier senere i denne artikkelen.

    • Oppføringsgrenser for URL-adresser:
    • Exchange Online Protection: Maksimalt antall tillatte oppføringer er 500, og maksimalt antall blokkoppføringer er 500 (totalt 1000 URL-oppføringer).
    • Defender for Office 365 Plan 1: Maksimalt antall tillatte oppføringer er 1000, og maksimalt antall oppføringer i blokken er 1000 (totalt 2000 nettadresseoppføringer).
    • Defender for Office 365 Plan 2: Maksimalt antall tillatte oppføringer er 5000, og maksimalt antall blokkoppføringer er 10 000 (totalt 15 000 nettadresseoppføringer).

  • Du kan angi maksimalt 250 tegn i en URL-adresseoppføring.

  • En oppføring skal være aktiv innen 5 minutter.

  • Du må være tilordnet tillatelser før du kan utføre prosedyrene i denne artikkelen. Du har følgende alternativer:

    • Microsoft Defender XDR Unified role based access control (RBAC) (If Email & collaboration>Defender for Office 365 permissions is Active. Påvirker bare Defender-portalen, ikke PowerShell):

      • Legg til og fjern oppføringer fra leierens tillatelses-/blokkeringsliste: Medlemskap tilordnet med følgende tillatelser:
        • Autorisasjon og innstillinger/Sikkerhetsinnstillinger/Gjenkjenningsjustering (administrer)
      • Skrivebeskyttet tilgang til leierens tillatelses-/blokkeringsliste:
        • Autorisasjon og innstillinger/Sikkerhetsinnstillinger/Skrivebeskyttet.
        • Autorisasjon og innstillinger/Sikkerhetsinnstillinger/Kjernesikkerhetsinnstillinger (lese).

    • Exchange Online-tillatelser:

      • Legg til og fjern oppføringer fra leierens tillatelses-/blokkeringsliste: Medlemskap i én av følgende rollegrupper:
        • Organisasjonsadministrasjon eller sikkerhetsadministrator (sikkerhetsadministratorrolle).
        • Sikkerhetsoperatør (Tenant AllowBlockList Manager).
      • Skrivebeskyttet tilgang til leierens tillatelses-/blokkeringsliste: Medlemskap i én av følgende rollegrupper:
        • Global leser
        • Sikkerhetsleser
        • Skrivebeskyttet konfigurasjon
        • Skrivebeskyttet organisasjonsadministrasjon

    • Microsoft Entra-tillatelser: Medlemskap i rollene global administrator*, sikkerhetsadministrator, global leser eller sikkerhetsleser gir brukerne de nødvendige tillatelsene og tillatelsene for andre funksjoner i Microsoft 365.

      Viktig

      * Microsoft anbefaler at du bruker roller med færrest tillatelser. Bruk av kontoer med lavere tillatelser bidrar til å forbedre sikkerheten for organisasjonen. Global administrator er en svært privilegert rolle som bør begrenses til nødscenarioer når du ikke kan bruke en eksisterende rolle.

Opprette tillatelsesoppføringer for URL-adresser

Du kan ikke opprette tillatelsesoppføringer for nettadresser direkte i listen over tillatte/blokkerende leiere. Unødvendige tillatelsesoppføringer utsetter organisasjonen for skadelig e-post som ville ha blitt filtrert av systemet.

I stedet kan du bruke nettadresser-fanen på Innsendinger-sidenhttps://security.microsoft.com/reportsubmission?viewid=url. Når du sender inn en blokkert URL-adresse som jeg har bekreftet at den er ren, kan du velge Tillat denne NETTADRESSEn å legge til og tillate oppføring for nettadressen på nettadresser-fanen på siden Tillatelses-/blokkeringslister for leier . Hvis du vil ha instruksjoner, kan du se Rapportere gode nettadresser til Microsoft.

Tips

Tillat at oppføringer fra innsendinger legges til under e-postflyten basert på filtrene som fastslo at meldingen var skadelig. Hvis for eksempel avsenderens e-postadresse og en nettadresse i meldingen er skadelig, opprettes det en tillatelsesoppføring for avsenderen (e-postadressen eller domenet) og nettadressen.

Hvis meldinger som inneholder enhetene i tillatelsesoppføringene, sender andre kontroller i filtreringsstakken under e-postflyt eller klikktidspunkt, leveres meldingene (alle filtre som er knyttet til de tillatte enhetene, hoppes over). Hvis en melding for eksempel sender kontroller for e-postgodkjenning, filtrering av nettadresse og filfiltrering, leveres en melding fra en tillatt avsenders e-postadresse hvis den også er fra en tillatt avsender.

Som standard beholdes tillat oppføringer for domener og e-postadresser, filer og nettadresser i 45 dager etter at filtreringssystemet bestemmer at enheten er ren, og deretter fjernes tillat-oppføringen. Eller du kan angi at oppføringer skal utløpe opptil 30 dager etter at du har opprettet dem. Tillat at oppføringer for falske avsendere aldri utløper.

Under klikk overstyrer nettadressens tillatelsesoppføring alle filtre som er knyttet til NETTADRESSE-enheten, noe som gir brukere tilgang til nettadressen.

En url-adresse tillater ikke at URL-adressen brytes av Beskyttelse mot klarerte koblinger i Defender for Office 365. Hvis du vil ha mer informasjon, kan du se Listen Ikke skriv på nytt i SafeLinks.

Opprette blokkoppføringer for URL-adresser

E-postmeldinger som inneholder disse blokkerte nettadressene, blokkeres som phishing med høy visshet. Meldinger som inneholder de blokkerte URL-adressene, er satt i karantene.

Hvis du vil opprette blokkoppføringer for URL-adresser, bruker du én av følgende metoder:

Du har følgende alternativer for å opprette blokkoppføringer for nettadresser:

  • Fra nettadresser-fanen på Innsendinger-sidenhttps://security.microsoft.com/reportsubmission?viewid=url. Når du sender inn en melding som jeg har bekreftet at det er en trussel, kan du velge Blokker denne URL-adressen for å legge til en blokkoppføring i nettadresser-fanen på siden Leier-tillatelses-/blokkeringslister . Hvis du vil ha instruksjoner, kan du se Rapporter tvilsomme nettadresser til Microsoft.

  • Fra nettadresser-fanen på siden Tillatelses-/blokkeringslister for leier eller i PowerShell, som beskrevet i denne delen.

Bruk Microsoft Defender-portalen til å opprette blokkoppføringer for nettadresser i leierens tillatelses-/blokkeringsliste

  1. I Microsoft Defender-portalen på https://security.microsoft.comgår du til Policyer & regler>, avsnittetTrusselpolicyregler>, leier> tillat/blokker lister. Hvis du vil gå direkte til siden Tillat/blokkeringsliste for leier , kan du bruke https://security.microsoft.com/tenantAllowBlockList.

  2. Velg nettadresser-fanen på siden Tillat/blokker liste for leier.

  3. Velg Blokkernettadresser-fanen.

  4. Konfigurer følgende innstillinger i undermenyen Blokker nettadresser som åpnes:

    • Legg til URL-adresser med jokertegn: Skriv inn én URL-adresse per linje, opptil maksimalt 20. Hvis du vil ha mer informasjon om syntaksen for nettadresseoppføringer, kan du se syntaksen for nettadressen for delen Tillat/blokkeringsliste for leier senere i denne artikkelen.

    • Fjern blokkoppføring etter: Velg blant følgende verdier:

      • Aldri utløpe
      • 1 dag
      • 7 dager
      • 30 dager (standard)
      • Bestemt dato: Maksimumsverdien er 90 dager fra i dag.

    • Valgfritt notat: Skriv inn beskrivende tekst for hvorfor du blokkerer URL-adressene.

    Når du er ferdig med undermenyen Blokker nettadresser , velger du Legg til.

Tilbake på nettadresser-fanen er oppføringen oppført.

Bruk PowerShell til å opprette blokkoppføringer for nettadresser i listen over tillatte/blokkerede leiere

Bruk følgende syntaks i Exchange Online PowerShell:

New-TenantAllowBlockListItems -ListType Url -Block -Entries "Value1","Value2",..."ValueN" <-ExpirationDate <Date> | -NoExpiration> [-Notes <String>]

Dette eksemplet legger til en blokkoppføring for URL-contoso.com og alle underdomener (for eksempel contoso.com og xyz.abc.contoso.com). Fordi vi ikke brukte parameterne ExpirationDate eller NoExpiration, utløper oppføringen etter 30 dager.

New-TenantAllowBlockListItems -ListType Url -Block -Entries *contoso.com

Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se New-TenantAllowBlockListItems.

Bruk Microsoft Defender-portalen til å vise oppføringer for nettadresser i leierens tillatelses-/blokkeringsliste

I Microsoft Defender-portalen på https://security.microsoft.comgår du til Policyer & regler>For leier for trusselpolicyer>tillat/blokkeringslister i Regler-delen . Eller bruk for å gå direkte til siden https://security.microsoft.com/tenantAllowBlockListTillat/blokker lister for leier.

Velg NETTADRESSEr-fanen .

nettadresser-fanen kan du sortere oppføringene ved å klikke på en tilgjengelig kolonneoverskrift. Følgende kolonner er tilgjengelige:

  • Verdi: URL-adressen.
  • Handling: De tilgjengelige verdiene er Tillat eller Blokker.
  • Endret av
  • Sist oppdatert
  • Sist brukt dato: Datoen da oppføringen sist ble brukt i filtreringssystemet for å overstyre dommen.
  • Fjern den: Utløpsdatoen.
  • Merknader

Hvis du vil filtrere oppføringene, velger du Filtrer. Følgende filtre er tilgjengelige i undermenyen Filter som åpnes:

  • Handling: De tilgjengelige verdiene er Tillat og Blokker.
  • Aldri utløpe: eller
  • Sist oppdatert: Velg Fra - og Til-datoer .
  • Dato for sist brukt: Velg Fra - og Til-datoer .
  • Fjern på: Velg Fra - og Til-datoer .

Når du er ferdig med undermenyen Filter , velger du Bruk. Hvis du vil fjerne filtrene, velger du Fjern filtre.

Bruk søkeboksen og en tilsvarende verdi til å finne bestemte oppføringer.

Hvis du vil gruppere oppføringene, velger du Grupper og deretter Handling. Hvis du vil dele opp gruppen med oppføringene, velger du Ingen.

Bruk PowerShell til å vise oppføringer for nettadresser i leierens tillatelses-/blokkeringsliste

Bruk følgende syntaks i Exchange Online PowerShell:

Get-TenantAllowBlockListItems -ListType Url [-Allow] [-Block] [-Entry <URLValue>] [<-ExpirationDate <Date> | -NoExpiration>]

Dette eksemplet returnerer alle tillatte og blokkerte URL-adresser.

Get-TenantAllowBlockListItems -ListType Url

Dette eksemplet filtrerer resultatene etter blokkerte nettadresser.

Get-TenantAllowBlockListItems -ListType Url -Block

Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Get-TenantAllowBlockListItems.

Bruke Microsoft Defender-portalen til å endre oppføringer for nettadresser i leierens tillatelses-/blokkeringsliste

I eksisterende nettadresseoppføringer kan du endre utløpsdatoen og -notatet.

  1. I Microsoft Defender-portalen på https://security.microsoft.comgår du til Policyer & regler>, avsnittetTrusselpolicyregler>, leier> tillat/blokker lister. Eller bruk for å gå direkte til siden https://security.microsoft.com/tenantAllowBlockListTillat/blokker lister for leier.

  2. Velg NETTADRESSEr-fanen

  3. Velg oppføringen fra listen på nettadresser-fanen ved å merke av i avmerkingsboksen ved siden av den første kolonnen, og velg deretter Rediger-handlingen som vises.

  4. I undermenyen Rediger nettadresse som åpnes, er følgende innstillinger tilgjengelige:

    • Blokker oppføringer:
      • Fjern blokkoppføring etter: Velg blant følgende verdier:
        • 1 dag
        • 7 dager
        • 30 dager
        • Aldri utløpe
        • Bestemt dato: Maksimumsverdien er 90 dager fra i dag.
      • Valgfritt notat
    • Tillat oppføringer:
      • Fjern tillatelsesoppføring etter: Velg blant følgende verdier:
        • 1 dag
        • 7 dager
        • 30 dager
        • 45 dager etter siste brukte dato
        • Spesifikk dato: Maksimumsverdien er 30 dager fra i dag.
      • Valgfritt notat

    Når du er ferdig med undermenyen Rediger nettadresse , velger du Lagre.

Tips

Bruk Vis innsending øverst på undermenyen i detaljundermenyen for en oppføring på nettadresser-fanen for å gå til detaljene for den tilsvarende oppføringen på siden Innsendinger. Denne handlingen er tilgjengelig hvis en innsending var ansvarlig for å opprette oppføringen i leierens tillatelses-/blokkeringsliste.

Bruke PowerShell til å endre oppføringer for nettadresser i listen over tillatte/blokkerende leiere

Bruk følgende syntaks i Exchange Online PowerShell:

Set-TenantAllowBlockListItems -ListType Url <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]

Dette eksemplet endrer utløpsdatoen for blokkoppføringen for den angitte URL-adressen.

Set-TenantAllowBlockListItems -ListType Url -Entries "~contoso.com" -ExpirationDate "9/1/2022"

Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Set-TenantAllowBlockListItems.

Bruke Microsoft Defender-portalen til å fjerne oppføringer for nettadresser fra leierens tillatelses-/blokkeringsliste

  1. I Microsoft Defender-portalen på https://security.microsoft.comgår du til Policyer & regler>, avsnittetTrusselpolicyregler>, leier> tillat/blokker lister. Hvis du vil gå direkte til siden Tillat/blokkeringsliste for leier , kan du bruke https://security.microsoft.com/tenantAllowBlockList.

  2. Velg NETTADRESSEr-fanen .

  3. Gjør ett av følgende på nettadresser-fanen :

    • Velg oppføringen fra listen ved å merke av i avmerkingsboksen ved siden av den første kolonnen, og velg deretter Slett-handlingen som vises.

    • Merk oppføringen fra listen ved å klikke hvor som helst i raden bortsett fra avmerkingsboksen. Velg Slett øverst i undermenyen for detaljer som åpnes.

      Tips

      Hvis du vil se detaljer om andre oppføringer uten å gå ut av detaljmenyen, kan du bruke Forrige element og Neste-elementet øverst i undermenyen.

  4. Velg Slett i advarselsdialogboksen som åpnes.

Tilbake på nettadresser-fanen er oppføringen ikke lenger oppført.

Tips

Du kan velge flere oppføringer ved å merke hver avmerkingsboks eller merke alle oppføringene ved å merke av for kolonneoverskriften Verdi .

Bruke PowerShell til å fjerne oppføringer for nettadresser fra leierens tillatelses-/blokkeringsliste

Bruk følgende syntaks i Exchange Online PowerShell:

Remove-TenantAllowBlockListItems -ListType Url <-Ids <Identity value> | -Entries <Value>>

Dette eksemplet fjerner blokkoppføringen for den angitte URL-adressen fra leierens tillatelses-/blokkeringsliste.

Remove-TenantAllowBlockListItems -ListType Url -Entries "*cohovineyard.com

Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Remove-TenantAllowBlockListItems.

Syntaks for NETTADRESSE for leierens tillatelses-/blokkeringsliste

  • IPv4- og IPv6-adresser er tillatt, men TCP/UDP-porter er ikke det.

  • Filtyper er ikke tillatt (for eksempel test.pdf).

  • Unicode støttes ikke, men Punycode er det.

  • Vertsnavn er tillatt hvis alle følgende utsagn er sanne:

    • Vertsnavnet inneholder et punktum.
    • Det er minst ett tegn til venstre for punktumet.
    • Det er minst to tegn til høyre for punktumet.

    Er for eksempel t.co tillatt, .com eller contoso. er ikke tillatt.

  • Underbaner er ikke antydet for tillater.

    Inkluderer for eksempel contoso.com ikke contoso.com/a.

  • Jokertegn (*) er tillatt i følgende scenarioer:

    • Et venstre jokertegn må etterfølges av et punktum for å angi et underdomene. (gjelder bare for blokker)

      Er for eksempel *.contoso.com tillatt. *contoso.com Er ikke tillatt.

    • Et høyre jokertegn må følge en skråstrek (/) for å angi en bane.

      Er for eksempel contoso.com/* tillatt, contoso.com* eller contoso.com/ab* er ikke tillatt.

    • *.com* er ugyldig (ikke et domene som kan løses, og det riktige jokertegnet følger ikke en skråstrek).

    • Jokertegn er ikke tillatt i IP-adresser.

  • Tildetegnet (~) er tilgjengelig i følgende scenarioer:

    • En venstre tilde innebærer et domene og alle underdomener.

      Inkluderer for eksempel ~contoso.comcontoso.com og *.contoso.com.

  • Et brukernavn eller passord støttes ikke eller kreves ikke.

  • Anførselstegn (' eller ") er ugyldige tegn.

  • En NETTADRESSE bør inneholde alle omadresseringer der det er mulig.

Scenarioer for nettadresseoppføring

Gyldige URL-adresseoppføringer og resultatene er beskrevet i følgende underseksjoner.

Scenario: Blokkering av domene på øverste nivå

Oppføring: *.<TLD>/*

  • Blokkse samsvar:
    • a.TLD
    • TLD/abcd
    • b.abcd.TLD
    • TLD/contoso.com
    • TLD/q=contoso.com
    • www.abcd.TLD
    • www.abcd.TLD/q=a@contoso.com

Scenario: Ingen jokertegn

Oppføring: contoso.com

  • Tillat treff: contoso.com

  • Tillat ikke samsvar:

    • abc-contoso.com
    • contoso.com/a
    • payroll.contoso.com
    • test.com/contoso.com
    • test.com/q=contoso.com
    • www.contoso.com
    • www.contoso.com/q=a@contoso.com

  • Blokkse samsvar:

    • contoso.com
    • contoso.com/a
    • payroll.contoso.com
    • test.com/contoso.com
    • test.com/q=contoso.com
    • www.contoso.com
    • www.contoso.com/q=a@contoso.com

  • Blokk ikke samsvart: abc-contoso.com

Scenario: Venstre jokertegn (underdomene)

Tips

Tillat oppføringer av dette mønsteret støttes bare fra avansert leveringskonfigurasjon.

Oppføring: *.contoso.com

  • Tillat treff og blokker samsvar:

    • www.contoso.com
    • xyz.abc.contoso.com

  • Tillat at den ikke samsvarer , og blokk ikke samsvarer:

    • 123contoso.com
    • contoso.com
    • test.com/contoso.com
    • www.contoso.com/abc

Scenario: Høyre jokertegn øverst i banen

Oppføring: contoso.com/a/*

  • Tillat treff og blokker samsvar:

    • contoso.com/a/b
    • contoso.com/a/b/c
    • contoso.com/a/?q=joe@t.com

  • Tillat at den ikke samsvarer , og blokk ikke samsvarer:

    • contoso.com
    • contoso.com/a
    • www.contoso.com
    • www.contoso.com/q=a@contoso.com

Scenario: Venstre tilde

Tips

Tillat oppføringer av dette mønsteret støttes bare fra avansert leveringskonfigurasjon.

Oppføring: ~contoso.com

  • Tillat treff og blokker samsvar:

    • contoso.com
    • www.contoso.com
    • xyz.abc.contoso.com

  • Tillat at den ikke samsvarer , og blokk ikke samsvarer:

    • 123contoso.com
    • contoso.com/abc
    • www.contoso.com/abc

Scenario: Høyre jokertegnsuffiks

Oppføring: contoso.com/*

  • Tillat treff og blokker samsvar:

    • contoso.com/?q=whatever@fabrikam.com
    • contoso.com/a
    • contoso.com/a/b/c
    • contoso.com/ab
    • contoso.com/b
    • contoso.com/b/a/c
    • contoso.com/ba

  • Tillat at den ikke samsvarer , og blokk ikke samsvarer: contoso.com

Scenario: Underdomene for venstre jokertegn og høyre jokertegnsuffiks

Tips

Tillat oppføringer av dette mønsteret støttes bare fra avansert leveringskonfigurasjon.

Oppføring: *.contoso.com/*

  • Tillat treff og blokker samsvar:

    • abc.contoso.com/ab
    • abc.xyz.contoso.com/a/b/c
    • www.contoso.com/a
    • www.contoso.com/b/a/c
    • xyz.contoso.com/ba

  • Tillat at den ikke samsvarer , og blokk ikke samsvarer: contoso.com/b

Scenario: Venstre og høyre tilde

Tips

Tillat oppføringer av dette mønsteret støttes bare fra avansert leveringskonfigurasjon.

Oppføring: ~contoso.com~

  • Tillat treff og blokker samsvar:

    • contoso.com
    • contoso.com/a
    • www.contoso.com
    • www.contoso.com/b
    • xyz.abc.contoso.com
    • abc.xyz.contoso.com/a/b/c
    • contoso.com/b/a/c
    • test.com/contoso.com

  • Tillat at den ikke samsvarer , og blokk ikke samsvarer:

    • 123contoso.com
    • contoso.org
    • test.com/q=contoso.com

Scenario: IP-adresse

Oppføring: 1.2.3.4

  • Tillat treff og blokks match: 1.2.3.4

  • Tillat at den ikke samsvarer , og blokk ikke samsvarer:

    • 1.2.3.4/a
    • 11.2.3.4/a

IP-adresse med riktig jokertegn

Oppføring: 1.2.3.4/*

  • Tillat treff og blokker samsvar:
    • 1.2.3.4/b
    • 1.2.3.4/baaaa

Eksempler på ugyldige oppføringer

Følgende oppføringer er ugyldige:

  • Manglende eller ugyldige domeneverdier:

    • contoso
    • *.contoso.*
    • *.Com
    • *.pdf

  • Jokertegn på tekst eller uten avstandstegn:

    • *contoso.com
    • contoso.com*
    • *1.2.3.4
    • 1.2.3.4*
    • contoso.com/a*
    • contoso.com/ab*

  • IP-adresser med porter:

    • contoso.com:443
    • abc.contoso.com:25

  • Ikke-beskrivende jokertegn:

    • *
    • *.*

  • Midterste jokertegn:

    • conto*so.com
    • conto~so.com

  • Doble jokertegn

    • contoso.com/**
    • contoso.com/*/*