Behandle tillatelser og blokker i leierens tillatelses-/blokkeringsliste

• Gjelder for:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tips

Visste du at du kan prøve funksjonene i Microsoft Defender XDR for Office 365 Plan 2 gratis? Bruk 90-dagers prøveversjonen av Defender for Office 365 på prøveversjonen av Microsoft Defender-portalen. Finn ut mer om hvem som kan registrere seg og vilkår for prøveversjonen her.

Viktig

Hvis du vil tillate nettadresser for phishing som er en del av opplæringen for angrepssimulering fra tredjeparter, bruker du konfigurasjonen for avansert levering til å angi nettadressene. Ikke bruk leierens tillatelses-/blokkeringsliste.

I Microsoft 365-organisasjoner med postbokser i Exchange Online eller frittstående Exchange Online Protection (EOP)-organisasjoner uten Exchange Online-postbokser, kan du være uenig i EOP- eller Microsoft Defender for Office 365-filtreringsdommen. En god melding kan for eksempel merkes som ugyldig (en falsk positiv), eller en ugyldig melding kan tillates gjennom (en falsk negativ).

Leierens tillatelses-/blokkeringsliste i Microsoft Defender-portalen gir deg mulighet til å overstyre filtreringsdommene for Defender for Office 365 eller EOP manuelt. Listen brukes under e-postflyten for innkommende meldinger fra eksterne avsendere.

Tillatelses-/blokkeringslisten for leieren gjelder ikke for interne meldinger som sendes i organisasjonen. Men blokker oppføringer for domener og e-postadresser hindrer også brukere i organisasjonen i å sende e-post til de blokkerte domenene og adressene.

Leierens tillatelses-/blokkeringsliste er tilgjengelig i Microsoft Defender-portalen på https://security.microsoft.come-& samarbeidspolicyer>& regler>avsnittet Trusselpolicyer>, avsnittet >Leier tillatelses-/blokkeringslister. Eller bruk for å gå direkte til siden https://security.microsoft.com/tenantAllowBlockListTillat/blokker lister for leier.

Hvis du vil ha instruksjoner for bruk og konfigurasjon, kan du se følgende artikler:

• Domener og e-postadresser og falske avsendere: Tillat eller blokker e-postmeldinger ved hjelp av leierens tillatelses-/blokkeringsliste
• Filer: Tillate eller blokkere filer ved hjelp av leierens tillatelses-/blokkeringsliste
• URL-adresser: Tillat eller blokker url-adresser ved hjelp av tillatelses-/blokkeringslisten for tenant.

Disse artiklene inneholder prosedyrer i Microsoft Defender-portalen og i PowerShell.

Blokkere oppføringer i leierens tillatelses-/blokkeringsliste

Tips

Blokker oppføringer i tillatelses-/blokkeringslisten for leier har forrang over tillatte oppføringer.

Bruk innsendingssiden (også kalt administratorinnsending) til https://security.microsoft.com/reportsubmission å opprette blokkoppføringer for følgende elementtyper når du rapporterer dem som falske negativer til Microsoft:

• Domener og e-postadresser:

  • E-postmeldinger fra disse avsenderne merkes som phishing med høy visshet og flyttes deretter til karantene.
  • Brukere i organisasjonen kan ikke sende e-post til disse blokkerte domenene og adressene. De mottar følgende rapport om manglende levering (også kjent som en NDR- eller returmelding): 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. Hele meldingen blokkeres for alle interne og eksterne mottakere av meldingen, selv om bare én mottakers e-postadresse eller domene er definert i en blokkoppføring.

  Tips

  Hvis du bare vil blokkere søppelpost fra en bestemt avsender, legger du til e-postadressen eller domenet i blokkeringslisten i policyer for søppelpost. Hvis du vil blokkere all e-post fra avsenderen, bruker du domener og e-postadresser i leierens tillatelses-/blokkeringsliste.

• Filer: E-postmeldinger som inneholder disse blokkerte filene, blokkeres som skadelig programvare. Meldinger som inneholder blokkerte filer, settes i karantene.

• URL-adresser: E-postmeldinger som inneholder disse blokkerte nettadressene, blokkeres som phishing med høy visshet. Meldinger som inneholder de blokkerte URL-adressene, settes i karantene.

Du kan også opprette blokkeringsoppføringer for følgende typer elementer direkte i tillat-/blokkeringslisten for leieren:

• Domener og e-postadresser, filer og nettadresser.

• Forfalskede avsendere: Hvis du overstyrer en eksisterende tillatelsesdom fra forfalskningsintelligens manuelt, blir den blokkerte forfalskede avsenderen en manuell blokkoppføring som bare vises på fanen Forfalskede avsendere i leierens tillatelses-/blokkeringsliste.

Som standard utløper blokkoppføringer for domener og e-postadresser, filer og nettadresser etter 30 dager, men du kan angi at de skal utløpe 90 dager eller aldri utløpe. Blokkoppføringer for falske avsendere utløper aldri.

Tillat oppføringer i leierens tillatelses-/blokkeringsliste

I de fleste tilfeller kan du ikke opprette tillatelsesoppføringer direkte i leierens tillatelses-/blokkeringsliste:

• Domener og e-postadresser, filer og nettadresser: Du kan ikke opprette tillatelsesoppføringer direkte i tillatelses-/blokkeringslisten for leieren. I stedet bruker du Innsendinger-siden på https://security.microsoft.com/reportsubmission for å rapportere e-post, e-postvedlegg eller nettadresse til Microsoft som ikke burde vært blokkert (usann positiv).

• Falske avsendere:

  • Hvis forfalskingsintelligens allerede har blokkert meldingen som forfalskning, kan du bruke innsendingssiden på https://security.microsoft.com/reportsubmission til å rapportere e-postmeldingen til Microsoft som ikke burde vært blokkert (falsk positiv).
  • Du kan proaktivt opprette en tillatelsesoppføring for en forfalsket avsender på fanen Forfalsket avsender i leierens tillatelses-/blokkeringsliste før forfalskningsintelligens identifiserer og blokkerer meldingen som forfalskning.

Listen nedenfor beskriver hva som skjer i leierens tillatelses-/blokkeringsliste når du rapporterer noe til Microsoft som en falsk positiv på innsendingssiden :

• E-postvedlegg og nettadresser: En tillatelsesoppføring opprettes, og oppføringen vises på fanen Filer eller nettadresser i tillat-/blokkeringslisten for leieren.

  For URL-adresser som rapporteres som falske positiver, tillater vi etterfølgende meldinger som inneholder variasjoner av den opprinnelige nettadressen. Du kan for eksempel bruke innsendingssiden til å rapportere url-adressen www.contoso.com/abcsom er blokkert feil. Hvis organisasjonen senere mottar en melding som inneholder nettadressen (for eksempel ikke begrenset til: www.contoso.com/abc, www.contoso.com/abc?id=1, www.contoso.com/abc/def/gty/uyt?id=5, eller www.contoso.com/abc/whatever), blokkeres ikke meldingen basert på URL-adressen. Du trenger med andre ord ikke å rapportere flere variasjoner av samme nettadresse som god til Microsoft.

• E-post: Hvis en melding ble blokkert av filtreringsstakken EOP eller Defender for Office 365, kan det opprettes en tillatelsesoppføring i listen over tillatte/blokkerende leiere:

  • Hvis meldingen ble blokkert av forfalskningsintelligens, opprettes en tillatelsesoppføring for avsenderen, og oppføringen vises på fanen Falske avsendere i tillat-/blokkeringslisten for tenanten.
  • Hvis meldingen ble blokkert av bruker (eller graf) representasjonsbeskyttelse i Defender for Office 365, opprettes det ikke en tillatelsesoppføring i tillatelses-/blokkeringslisten for leieren. I stedet legges domenet eller avsenderen til i delen Klarerte avsendere og domener i policyen for anti-phishing som oppdaget meldingen.
  • Hvis meldingen ble blokkert på grunn av filbaserte filtre, opprettes en tillatelsesoppføring for filen, og oppføringen vises på Filer-fanen i leierens tillatelses-/blokkeringsliste.
  • Hvis meldingen ble blokkert på grunn av nettadressebaserte filtre, opprettes en tillatelsesoppføring for nettadressen, og oppføringen vises på nettadressefanen i tillat-/blokkeringslisten for tenanten.
  • Hvis meldingen ble blokkert av en annen grunn, opprettes en tillat-oppføring for avsenderens e-postadresse eller domene, og oppføringen vises på fanen Domener & adresser i tillat-/blokkeringslisten for leier.
  • Hvis meldingen ikke ble blokkert på grunn av filtrering, opprettes ingen tillatte oppføringer hvor som helst.

Som standard finnes det oppføringer for domener og e-postadresser, filer og nettadresser i 45 dager etter siste brukte dato. Når enheten som ikke er fastslått å være ren i filtreringssystemet, oppstår under e-postflyten eller tidspunktet for klikk, aktiveres og oppdateres datoen for siste brukte oppføring. Tillatelsesoppføringen beholdes i 45 dager etter at filtreringssystemet bestemmer at enheten er ren. Tillat som standard at oppføringer for falske avsendere aldri utløper.

Viktig

Microsoft tillater ikke at du oppretter tillatelsesoppføringer direkte. Unødvendige tillatelsesoppføringer utsetter organisasjonen for skadelig e-post som kan ha blitt filtrert av systemet.

Microsoft administrerer opprettingen av tillatte oppføringer fra innsendingssiden på https://security.microsoft.com/reportsubmission. Tillat oppføringer legges til under e-postflyten basert på filtrene som fastslo at meldingen var skadelig. Hvis for eksempel avsenderens e-postadresse og en nettadresse i meldingen ble funnet å være ugyldig, opprettes det en tillatelsesoppføring for avsenderen (e-postadressen eller domenet) og nettadressen.

Når enheten oppdages på nytt (under e-postflyt eller klikktid), hoppes alle filtre som er knyttet til denne enheten, over.

Hvis meldinger som inneholder den tillatte enheten, sender andre kontroller i filtreringsstakken under e-postflyten, leveres meldingene. Hvis en melding for eksempel sender e-postgodkjenningskontroller, nettadressefiltrering og filfiltrering, leveres en melding fra en tillatt avsender-e-postadresse.

Hva du kan forvente etter at du har lagt til en tillatelses- eller blokkoppføring

Når du har lagt til en tillatelsesoppføring på innsendingssiden eller en blokkoppføring i leierens tillatelses-/blokkeringsliste, skal oppføringen begynne å fungere umiddelbart (innen 5 minutter).

Hvis Microsoft lærte av tillatelsesoppføringen, genererer den innebygde varslingspolicyenmed navnet Fjernet en oppføring i tillat/blokkeringsliste for leier et varsel når (nå unødvendig) tillatelsesoppføringen fjernes.