Machtigingen en blokkeringen beheren in de lijst Tenant toestaan/blokkeren

• Geldt voor:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tip

Wist u dat u de functies in Microsoft Defender XDR voor Office 365 Abonnement 2 gratis kunt uitproberen? Gebruik de 90-daagse proefversie van Defender voor Office 365 in de proefversieshub van Microsoft Defender Portal. Meer informatie over wie zich kan registreren en voorwaarden voor proefversies vindt u hier.

Belangrijk

Als u phishing-URL's wilt toestaan die deel uitmaken van de training voor aanvalssimulatie van derden, gebruikt u de geavanceerde leveringsconfiguratie om de URL's op te geven. Gebruik de tenantlijst toestaan/blokkeren niet.

In Microsoft 365-organisaties met postvakken in Exchange Online of zelfstandige EOP-organisaties (Exchange Online Protection) zonder Exchange Online-postvakken, kunt u het niet eens zijn met het EOP- of Microsoft Defender voor Office 365-filteroordeel. Een goed bericht kan bijvoorbeeld zijn gemarkeerd als slecht (een fout-positief) of een slecht bericht is toegestaan (een fout-negatief).

De lijst tenant toestaan/blokkeren in de Microsoft Defender-portal biedt u een manier om de filterbeoordelingen van Defender voor Office 365 of EOP handmatig te overschrijven. De lijst wordt gebruikt tijdens de e-mailstroom voor inkomende berichten van externe afzenders.

De lijst Tenant toestaan/blokkeren is niet van toepassing op interne berichten die binnen de organisatie worden verzonden. Maar met blokkerende vermeldingen voor domeinen en e-mailadressen kunnen gebruikers in de organisatie ook geen e-mail verzenden naar die geblokkeerde domeinen en adressen.

De lijst Tenant toestaan/blokkeren is beschikbaar in de Microsoft Defender-portal op https://security.microsoft.comE-mail & samenwerkingsbeleid>& regels>Regels voor bedreigingsbeleid>, sectie >Tenant toestaan/blokkeren lijsten. Als u rechtstreeks naar de pagina Tenant toestaan/blokkeren wilt gaan, gebruikt https://security.microsoft.com/tenantAllowBlockListu .

Zie de volgende artikelen voor gebruiks- en configuratie-instructies:

• Domeinen en e-mailadressen en vervalste afzenders: e-mailberichten toestaan of blokkeren met behulp van de tenantlijst toestaan/blokkeren
• Bestanden: Bestanden toestaan of blokkeren met behulp van de lijst Tenant toestaan/blokkeren
• URL's: URL's toestaan of blokkeren met behulp van de lijst Voor toestaan/blokkeren van tenants.

Deze artikelen bevatten procedures in de Microsoft Defender-portal en in PowerShell.

Vermeldingen blokkeren in de lijst voor toestaan/blokkeren van tenants

Tip

In de lijst Tenant toestaan/blokkeren hebben blokvermeldingen voorrang op toegestane vermeldingen.

Gebruik de pagina Inzendingen (ook wel beheerdersinzending genoemd) op https://security.microsoft.com/reportsubmission om blokvermeldingen te maken voor de volgende typen items terwijl u deze als fout-negatieven verzendt naar Microsoft:

• Domeinen en e-mailadressen:

  • E-mailberichten van deze afzenders worden gemarkeerd als phishing met hoge betrouwbaarheid en vervolgens in quarantaine geplaatst.
  • Gebruikers in de organisatie kunnen geen e-mail verzenden naar deze geblokkeerde domeinen en adressen. Ze ontvangen het volgende rapport over niet-bezorging (ook wel een NDR of niet-bezorgdbericht genoemd): 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. Het hele bericht wordt geblokkeerd voor alle interne en externe geadresseerden van het bericht, zelfs als er slechts één e-mailadres of domein van de geadresseerde is gedefinieerd in een blokvermelding.

  Tip

  Als u alleen spam van een specifieke afzender wilt blokkeren, voegt u het e-mailadres of domein toe aan de lijst met blokkeringen in het antispambeleid. Als u alle e-mail van de afzender wilt blokkeren, gebruikt u Domeinen en e-mailadressen in de lijst Tenant toestaan/blokkeren.

• Bestanden: e-mailberichten die deze geblokkeerde bestanden bevatten, worden geblokkeerd als malware. Berichten met de geblokkeerde bestanden worden in quarantaine geplaatst.

• URL's: e-mailberichten die deze geblokkeerde URL's bevatten, worden geblokkeerd als phishing met hoge betrouwbaarheid. Berichten met de geblokkeerde URL's worden in quarantaine geplaatst.

In de lijst Tenant toestaan/blokkeren kunt u ook rechtstreeks blokvermeldingen maken voor de volgende typen items:

• Domeinen en e-mailadressen, bestanden en URL's.

• Vervalste afzenders: als u handmatig een bestaand toegestane verdict van spoof intelligence overschrijft, wordt de geblokkeerde vervalste afzender een handmatige blokvermelding die alleen wordt weergegeven op het tabblad Vervalste afzenders in de lijst Tenant toestaan/blokkeren.

Blokkeringsvermeldingen voor domeinen en e-mailadressen, bestanden en URL's verlopen standaard na 30 dagen, maar u kunt instellen dat ze maximaal 90 dagen verlopen of nooit verlopen. Vermeldingen blokkeren voor vervalste afzenders verlopen nooit.

Vermeldingen toestaan in de lijst Tenant toestaan/blokkeren

In de meeste gevallen kunt u niet rechtstreeks toegestane vermeldingen maken in de lijst Tenant toestaan/blokkeren. Onnodig toestaan dat vermeldingen uw organisatie blootstellen aan schadelijke e-mail die door het systeem kan zijn gefilterd.

• Domeinen en e-mailadressen, bestanden en URL's: U kunt niet rechtstreeks toegestane vermeldingen maken in de lijst Tenant toestaan/blokkeren. In plaats daarvan gebruikt u de pagina Inzendingen op https://security.microsoft.com/reportsubmission om de e-mail, e-mailbijlage of URL naar Microsoft te verzenden. Nadat u Ik heb bevestigd dat het schoon is geselecteerd, kunt u vervolgens Dit bericht toestaan, Dit bestand toestaan of Toestaan dat deze URL een acceptatievermelding voor de domeinen en e-mailadressen, bestanden of URL's maakt selecteren.

• Vervalste afzenders:

  • Als spoof intelligence het bericht al heeft geblokkeerd als adresvervalsing, gebruikt u de pagina Inzendingen op https://security.microsoft.com/reportsubmission om het e-mailbericht aan Microsoft te melden omdat ik heb bevestigd dat het schoon is en selecteert u Vervolgens Dit bericht toestaan.
  • U kunt proactief een toegestane vermelding maken voor een vervalste afzender op het tabblad Vervalste afzender in de lijst Tenant toestaan/blokkeren voordat spoof-informatie het bericht identificeert en blokkeert als spoofing.

In de volgende lijst wordt beschreven wat er gebeurt in de lijst Tenant toestaan/blokkeren wanneer u iets naar Microsoft verzendt als een fout-positief op de pagina Inzendingen :

• E-mailbijlagen en URL's: er wordt een vermelding toestaan gemaakt en de vermelding wordt weergegeven op het tabblad Bestanden of URL's in de lijst Tenant toestaan/blokkeren.

  Voor URL's die worden gerapporteerd als fout-positieven, staan we volgende berichten toe die variaties van de oorspronkelijke URL bevatten. U gebruikt bijvoorbeeld de pagina Inzendingen om de onjuist geblokkeerde URL www.contoso.com/abcte rapporteren. Als uw organisatie later een bericht ontvangt dat de URL bevat (bijvoorbeeld, maar niet beperkt tot: www.contoso.com/abc, www.contoso.com/abc?id=1, www.contoso.com/abc/def/gty/uyt?id=5of www.contoso.com/abc/whatever), wordt het bericht niet geblokkeerd op basis van de URL. Met andere woorden, u hoeft niet meerdere variaties van dezelfde URL als goed te rapporteren aan Microsoft.

• E-mail: als een bericht is geblokkeerd door de EOP- of Defender voor Office 365-filterstack, kan een vermelding toestaan worden gemaakt in de lijst Tenant toestaan/blokkeren:

  • Als het bericht is geblokkeerd door spoof intelligence, wordt een vermelding voor de afzender gemaakt en wordt de vermelding weergegeven op het tabblad Vervalste afzenders in de lijst Tenant toestaan/blokkeren.
  • Als het bericht is geblokkeerd door imitatiebeveiliging van de gebruiker (of grafiek) in Defender voor Office 365, wordt er geen acceptatievermelding gemaakt in de lijst Tenant toestaan/blokkeren. In plaats daarvan wordt het domein of de afzender toegevoegd aan de sectie Vertrouwde afzenders en domeinen in het antiphishingbeleid waarmee het bericht is gedetecteerd.
  • Als het bericht is geblokkeerd vanwege filters op basis van bestanden, wordt er een vermelding voor toestaan voor het bestand gemaakt en wordt de vermelding weergegeven op het tabblad Bestanden in de lijst Tenant toestaan/blokkeren.
  • Als het bericht is geblokkeerd vanwege filters op basis van URL's, wordt een vermelding voor toestaan voor de URL gemaakt en wordt de vermelding weergegeven op het tabblad URL in de lijst Tenant toestaan/blokkeren.
  • Als het bericht om een andere reden is geblokkeerd, wordt een vermelding voor het e-mailadres of domein van de afzender gemaakt en wordt de vermelding weergegeven op het tabblad Domeinen & adressen in de lijst Tenant toestaan/blokkeren.
  • Als het bericht niet is geblokkeerd vanwege filters, worden er nergens toegestane vermeldingen gemaakt.

Tip

Toestaan dat vermeldingen van inzendingen worden toegevoegd tijdens de e-mailstroom op basis van de filters die hebben vastgesteld dat het bericht schadelijk was. Als bijvoorbeeld wordt vastgesteld dat het e-mailadres van de afzender en een URL in het bericht schadelijk zijn, wordt een vermelding toestaan gemaakt voor de afzender (e-mailadres of domein) en de URL.

Als tijdens de e-mailstroom of het tijdstip van klikken berichten met de entiteiten in de toegestane vermeldingen andere controles in de filterstack doorstaan, worden de berichten bezorgd (alle filters die aan de toegestane entiteiten zijn gekoppeld, worden overgeslagen). Als een bericht bijvoorbeeld e-mailverificatiecontroles, URL-filtering en bestandsfiltering doorstaat, wordt een bericht van een e-mailadres van een toegestane afzender bezorgd als het ook afkomstig is van een toegestane afzender.

Standaard worden toegestane vermeldingen voor domeinen en e-mailadressen, bestanden en URL's 45 dagen bewaard nadat het filtersysteem heeft vastgesteld dat de entiteit schoon is en vervolgens de vermelding toestaan wordt verwijderd. U kunt ook toestaan dat vermeldingen tot 30 dagen na het maken verlopen. Vermeldingen toestaan voor vervalste afzenders verlopen nooit.

Wat u kunt verwachten nadat u een vermelding voor toestaan of blokkeren hebt toegevoegd

Nadat u een toegestane vermelding hebt toegevoegd op de pagina Inzendingen of een blokvermelding in de lijst Met toestaan/blokkeren van tenants, zou de vermelding onmiddellijk moeten werken (binnen 5 minuten).

Als Microsoft heeft geleerd van de vermelding Toestaan, genereert het ingebouwde waarschuwingsbeleid met de naam Een vermelding verwijderd in de lijst Met toestaan/blokkeren van tenants een waarschuwing wanneer de (nu overbodige) vermelding toestaan wordt verwijderd.