Machtigingen en blokkeringen beheren in de lijst Tenant toestaan/blokkeren

Tip

Wist u dat u de functies in Microsoft Defender voor Office 365 Abonnement 2 gratis kunt proberen? Gebruik de proefversie van 90 dagen van Defender voor Office 365 in de hub proefversies van Microsoft Defender portal. Meer informatie over wie zich kan registreren en proefabonnementen vindt u op Try Microsoft Defender for Office 365.

U kunt het af en toe oneens zijn met het filteroordeel van Microsoft voor e-mailberichten, Microsoft Teams-berichten of Office-apps. Een goed bericht kan bijvoorbeeld worden gemarkeerd als slecht (een fout-positief) of een slecht bericht is toegestaan (een fout-negatief) of een URL wordt geblokkeerd wanneer dit niet zou moeten zijn.

De lijst tenant toestaan/blokkeren in de Microsoft Defender portal biedt u een manier om filterbeoordelingen handmatig te overschrijven. De lijst wordt gebruikt tijdens de e-mailstroom (voor e-mail) of tijdens het klikken (voor e-mail, Teams of Office-apps).

De lijst Tenant toestaan/blokkeren is beschikbaar in de Microsoft Defender portal op https://security.microsoft.comEmail & samenwerkingsbeleid>& regels>Bedreigingsbeleid>regels sectie >Tenant toestaan/blokkeren lijsten. Als u rechtstreeks naar de pagina Tenant toestaan/blokkeren wilt gaan, gebruikt https://security.microsoft.com/tenantAllowBlockListu .

Zie de volgende artikelen voor gebruiks- en configuratie-instructies:

• Domeinen en e-mailadressen en vervalste afzenders: e-mailberichten toestaan of blokkeren met behulp van de tenantlijst toestaan/blokkeren
  • Vermeldingen zijn van toepassing op het Van-adres (ook wel bekend als het 5322.From adres of de P2-afzender), niet op het E-MAIL FROM-adres (ook wel adres 5321.MailFrom , P1-afzender of afzender van enveloppen genoemd). Zie Waarom internet-e-mail verificatie nodig heeft voor meer informatie over deze adressen.
  • Vermeldingen zijn van toepassing op berichten van zowel interne als externe afzenders. Speciale verwerking is van toepassing op interne spoofing-scenario's.
  • Blokkeren van vermeldingen voor domeinen en e-mailadressen voorkomt ook dat gebruikers in de organisatie e-mail verzenden naar die geblokkeerde domeinen en adressen.
• Bestanden: Bestanden toestaan of blokkeren met behulp van de lijst Tenant toestaan/blokkeren
• URL's: URL's toestaan of blokkeren met behulp van de lijst Voor toestaan/blokkeren van tenants.
  • Als u phishing-URL's van niet-Microsoft-simulatietrainingen voor aanvallen wilt toestaan, gebruikt u geen URL-vermeldingen in de lijst Tenant toestaan/blokkeren. Gebruik het geavanceerde leveringsbeleid om de URL's op te geven.
• IP-adressen: IPv6-adressen toestaan of blokkeren met behulp van de lijst Toestaan/blokkeren van tenants.
• Teams-domeinen en e-mailadressen: Domeinen en adressen in Microsoft Teams blokkeren met behulp van de lijst Tenant toestaan/blokkeren.

Deze artikelen bevatten procedures in de Microsoft Defender portal en in PowerShell.

Vermeldingen blokkeren in de lijst voor toestaan/blokkeren van tenants

Tip

In de lijst Tenant toestaan/blokkeren hebben blokvermeldingen voorrang op toegestane vermeldingen.

Gebruik de pagina Inzendingen (ook wel beheerdersinzending genoemd) op https://security.microsoft.com/reportsubmission om blokvermeldingen te maken voor de volgende typen items terwijl u deze als fout-negatieven verzendt naar Microsoft:

• Domeinen en e-mailadressen:

  • Email berichten van deze afzenders worden gemarkeerd als phishing met hoge betrouwbaarheid en vervolgens in quarantaine geplaatst.
  • Gebruikers in de organisatie kunnen geen e-mail verzenden naar deze geblokkeerde domeinen en adressen. Ze ontvangen het volgende rapport over niet-bezorging (ook wel een NDR of niet-bezorgdbericht genoemd): 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. Het hele bericht wordt geblokkeerd voor alle interne en externe geadresseerden van het bericht, zelfs als er slechts één e-mailadres of domein van de geadresseerde is gedefinieerd in een blokvermelding.

  Tip

  Als u een specifieke afzender of domein blokkeert in de lijst met toestaan/blokkeren van tenants, worden deze berichten behandeld als phishing met hoge betrouwbaarheid. Als u deze berichten als spam wilt behandelen, voegt u de afzender toe aan de lijst met geblokkeerde afzenders of de lijst met geblokkeerde domeinen in het antispambeleid.

• Bestanden: Email berichten die deze geblokkeerde bestanden bevatten, worden geblokkeerd als malware. Berichten met de geblokkeerde bestanden worden in quarantaine geplaatst.

• URL's: Email berichten die deze geblokkeerde URL's bevatten, worden geblokkeerd als phishing met hoge betrouwbaarheid. Berichten met de geblokkeerde URL's worden in quarantaine geplaatst.

In de lijst Tenant toestaan/blokkeren kunt u ook rechtstreeks blokvermeldingen maken voor de volgende typen items:

• Domeinen en e-mailadressen, bestanden en URL's.

• Vervalste afzenders: als u handmatig een bestaand toegestane verdict van spoof intelligence overschrijft, wordt de geblokkeerde vervalste afzender een handmatige blokvermelding die alleen wordt weergegeven op het tabblad Vervalste afzenders in de lijst Tenant toestaan/blokkeren.

• IP-adressen: als u handmatig een blokvermelding maakt, worden alle binnenkomende e-mailberichten van dat IP-adres aan de rand van de service verwijderd.

• Teams-domeinen en -adressen: als u handmatig een blokvermelding maakt, wordt alle binnenkomende communicatie via Teams van dat domein en e-mailadres geblokkeerd, terwijl bestaande communicatie wordt verwijderd.

Standaard verlopen de volgende typen blokvermeldingen na 30 dagen, maar u kunt instellen dat deze maximaal 90 dagen verlopen of nooit verlopen:

• Domeinen en e-mailadressen
• Bestanden
• URL's.

De volgende typen blokvermeldingen verlopen nooit:

• Vervalste afzenders
• IP-adressen
• Teams-domeinen en -adressen.

Vermeldingen toestaan in de lijst Tenant toestaan/blokkeren

Onnodig toestaan dat vermeldingen uw organisatie blootstellen aan schadelijke e-mail die het systeem anders zou filteren, dus er gelden beperkingen voor het maken van toegestane vermeldingen rechtstreeks in de lijst Toestaan/blokkeren van tenants:

• Domeinen en e-mailadressen en URL's: U kunt toegestane vermeldingen rechtstreeks in de lijst Tenant toestaan/blokkeren maken om de volgende uitspraken te overschrijven:

  • Bulk
  • Spam
  • Spam met hoge betrouwbaarheid
  • Phishing (geen hoge phishingwaarschijnlijkheid)

  Voor malware en phishing-uitspraken met een hoge betrouwbaarheid kunt u niet rechtstreeks toegestane vermeldingen maken in de lijst Met toestaan/blokkeren van tenants. Gebruik in plaats daarvan de pagina Inzendingen op https://security.microsoft.com/reportsubmission om het e-mailbericht of de URL naar Microsoft te verzenden. Nadat u Ik heb bevestigd dat deze is opgeschoond hebt geselecteerd, kunt u Vervolgens Dit bericht toestaan of Toestaan dat deze URL een acceptatievermelding voor de domeinen en e-mailadressen of URL's maakt selecteren.

• Bestanden: U kunt geen toegestane vermeldingen rechtstreeks in de lijst Toestaan/blokkeren van tenants maken. Gebruik in plaats daarvan de pagina Inzendingen op https://security.microsoft.com/reportsubmission om de e-mailbijlage naar Microsoft te verzenden. Nadat u Ik heb bevestigd dat het schoon is geselecteerd, kunt u Dit bestand toestaan selecteren om een toegestane vermelding voor de bestanden te maken.

• Vervalste afzenders:

  • Als spoof intelligence het bericht al heeft geblokkeerd als adresvervalsing, gebruikt u de pagina Inzendingen op https://security.microsoft.com/reportsubmission om het e-mailbericht aan Microsoft te melden omdat ik heb bevestigd dat het schoon is en selecteert u Vervolgens Dit bericht toestaan.
  • U kunt proactief een toegestane vermelding maken voor een vervalste afzender op het tabblad Vervalste afzender in de lijst Tenant toestaan/blokkeren voordat spoof-informatie het bericht identificeert en blokkeert als spoofing.

• IP-adressen: u kunt proactief een acceptatievermelding voor een IP-adres maken op het tabblad IP-adressen in de lijst Tenant toestaan/blokkeren om de IP-filters voor binnenkomende berichten te overschrijven.

  • Een IP-adres dat invoer toestaat, omzeilt op IP-gebaseerde filtercontroles (bijvoorbeeld verbindingsfilters of IP-reputatiecontroles).
  • Een ip-adres toestaan invoer verandert niet bericht beperking gedrag.
  • Een IP-adresblokvermelding weigert berichten aan de rand van de service.

In de volgende lijst wordt beschreven wat er gebeurt in de lijst Tenant toestaan/blokkeren wanneer u iets naar Microsoft verzendt als een fout-positief op de pagina Inzendingen :

• Email bijlagen en URL's: er wordt een vermelding toestaan gemaakt en de vermelding wordt weergegeven op het tabblad Bestanden of URL's in de lijst Tenant toestaan/blokkeren.

  Voor URL's die worden gerapporteerd als fout-positieven, staan we volgende berichten toe die variaties van de oorspronkelijke URL bevatten. U gebruikt bijvoorbeeld de pagina Inzendingen om de onjuist geblokkeerde URL www.contoso.com/abcte rapporteren. Als uw organisatie later een bericht ontvangt dat de URL bevat (bijvoorbeeld, maar niet beperkt tot: www.contoso.com/abc, www.contoso.com/abc?id=1, www.contoso.com/abc/def/gty/uyt?id=5of www.contoso.com/abc/whatever), wordt het bericht niet geblokkeerd op basis van de URL. Met andere woorden, u hoeft niet meerdere variaties van dezelfde URL als goed te rapporteren aan Microsoft.

• Email: als Microsoft 365 een bericht heeft geblokkeerd, kan er een acceptatievermelding worden gemaakt in de lijst Tenant toestaan/blokkeren:

  • Als het bericht is geblokkeerd door spoof intelligence, wordt een vermelding voor de afzender gemaakt en wordt de vermelding weergegeven op het tabblad Vervalste afzenders in de lijst Tenant toestaan/blokkeren.
  • Als de beveiliging van gebruikers- of postvakintelligentie in Defender voor Office 365 een bericht heeft geblokkeerd, wordt er geen vermelding voor toestaan gemaakt in de lijst Voor toestaan/blokkeren van tenants. In plaats daarvan wordt het domein of de afzender toegevoegd aan de sectie Vertrouwde afzenders en domeinen in het antiphishingbeleid waarmee het bericht is gedetecteerd.
  • Als het bericht is geblokkeerd vanwege filters op basis van bestanden, wordt er een vermelding voor toestaan voor het bestand gemaakt en wordt de vermelding weergegeven op het tabblad Bestanden in de lijst Tenant toestaan/blokkeren.
  • Als het bericht is geblokkeerd vanwege filters op basis van URL's, wordt een vermelding voor toestaan voor de URL gemaakt en wordt de vermelding weergegeven op het tabblad URL in de lijst Tenant toestaan/blokkeren.
  • Als het bericht om een andere reden is geblokkeerd, wordt een vermelding voor het e-mailadres of domein van de afzender gemaakt en wordt de vermelding weergegeven op het tabblad Domeinen & adressen in de lijst Tenant toestaan/blokkeren.
  • Als het bericht niet is geblokkeerd vanwege filters, worden er nergens toegestane vermeldingen gemaakt.

Tip

Toestaan dat vermeldingen van inzendingen worden toegevoegd tijdens de e-mailstroom op basis van de filters die hebben vastgesteld dat het bericht schadelijk was. Als bijvoorbeeld wordt vastgesteld dat het e-mailadres van de afzender en een URL in het bericht schadelijk zijn, wordt een vermelding toestaan gemaakt voor de afzender (e-mailadres of domein) en de URL.

Als tijdens de e-mailstroom of het tijdstip van klikken berichten met de entiteiten in de toegestane vermeldingen andere controles in de filterstack doorstaan, worden de berichten bezorgd (alle filters die aan de toegestane entiteiten zijn gekoppeld, worden overgeslagen). Als een bericht bijvoorbeeld e-mailverificatiecontroles, URL-filtering en bestandsfiltering doorstaat, wordt een bericht van een e-mailadres van een toegestane afzender bezorgd als het ook afkomstig is van een toegestane afzender.

Standaard worden toegestane vermeldingen voor domeinen en e-mailadressen, bestanden en URL's 30 dagen bewaard nadat het filtersysteem heeft vastgesteld dat de entiteit schoon is en vervolgens de vermelding toestaan wordt verwijderd. U kunt ook toestaan dat vermeldingen tot 30 dagen na het maken verlopen. Vermeldingen toestaan voor vervalste afzenders verlopen nooit.

Wat u kunt verwachten nadat u een vermelding voor toestaan of blokkeren hebt toegevoegd

Nadat u een toegestane vermelding hebt toegevoegd op de pagina Inzendingen of een blokvermelding in de lijst Met toestaan/blokkeren van tenants, zou de vermelding onmiddellijk moeten werken (binnen 5 minuten).

Als Microsoft heeft geleerd van de vermelding Toestaan, genereert het ingebouwde waarschuwingsbeleid met de naam Een vermelding verwijderd in de lijst Met toestaan/blokkeren van tenants een waarschuwing wanneer de (nu overbodige) vermelding toestaan wordt verwijderd.