Bezpieczne linki w Ochrona usługi Office 365 w usłudze Microsoft Defender

  • Artykuł
  • Czas czytania: 20 min

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w Microsoft 365 Defender Office 365 Plan 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnych portalu Microsoft 365 Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami dotyczącymi wersji próbnej tutaj.

Dotyczy

Ważna

Ten artykuł jest przeznaczony dla klientów biznesowych, którzy mają Ochrona usługi Office 365 w usłudze Microsoft Defender. Jeśli używasz Outlook.com, Microsoft 365 Family lub Microsoft 365 Personal i szukasz informacji o bezpiecznych linkach w programie Outlook, zobacz Zaawansowane zabezpieczenia Outlook.com.

Bezpieczne linki to funkcja w Ochrona usługi Office 365 w usłudze Defender, która zapewnia skanowanie adresów URL i ponowne zapisywanie przychodzących wiadomości e-mail w przepływie poczty oraz weryfikację adresów URL i linków w wiadomościach e-mail i innych lokalizacjach. Skanowanie bezpiecznych linków odbywa się oprócz zwykłych wiadomości e-mail w ramach ochrony przed spamem i złośliwym oprogramowaniem w przychodzących wiadomościach e-mail w Exchange Online Protection (EOP). Skanowanie bezpiecznych linków może pomóc chronić organizację przed złośliwymi linkami używanymi podczas wyłudzania informacji i innych ataków.

Obejrzyj ten krótki film wideo na temat ochrony przed złośliwymi linkami za pomocą bezpiecznych linków w Ochrona usługi Office 365 w usłudze Microsoft Defender.

Uwaga

Mimo że nie ma domyślnych zasad bezpiecznych łączy, wstępnie skonfigurowane zasady zabezpieczeń wbudowanej ochrony zapewniają ochronę bezpiecznych łączy w wiadomościach e-mail, Microsoft Teams i plikach w obsługiwanych aplikacjach pakietu Office wszystkim adresatom, którzy mają licencję na Ochrona usługi Office 365 w usłudze Defender (użytkownicy, którzy nie są zdefiniowani w standardowych lub ścisłych zasadach zabezpieczeń wstępnie ustawionych lub w niestandardowych zasadach bezpiecznych łączy). Aby uzyskać więcej informacji, zobacz Preset security policies in EOP and Ochrona usługi Office 365 w usłudze Microsoft Defender (Ustawienia wstępne zasad zabezpieczeń w usłudze EOP i Ochrona usługi Office 365 w usłudze Microsoft Defender). Można również utworzyć zasady bezpiecznych łączy, które mają zastosowanie do określonych użytkowników, grup lub domen. Aby uzyskać instrukcje, zobacz Konfigurowanie zasad bezpiecznych linków w Ochrona usługi Office 365 w usłudze Microsoft Defender.

Ochrona bezpiecznych łączy jest dostępna w następujących lokalizacjach:

  • Email wiadomości: ochrona bezpiecznych linków dla linków w wiadomościach e-mail jest kontrolowana przez zasady bezpiecznych linków.

    Aby uzyskać więcej informacji na temat ochrony bezpiecznych łączy dla wiadomości e-mail, zobacz sekcję Ustawienia bezpiecznych łączy dla wiadomości e-mail w dalszej części tego artykułu.

    Uwaga

    Bezpieczne linki nie działają w folderach publicznych z włączoną obsługą poczty.

    Bezpieczne linki obsługują tylko formaty HTTP(S) i FTP.

    Użycie innej usługi do zawijania linków przed Ochrona usługi Office 365 w usłudze Defender może unieważnić możliwość przetwarzania linków bezpiecznych linków, w tym opakowywania, detonowania lub w inny sposób weryfikowania "złośliwości" linku.

  • Microsoft Teams: ochrona bezpiecznych linków dla linków w konwersacjach w usłudze Teams, czatach grupowych lub kanałach jest kontrolowana przez zasady bezpiecznych linków.

    Aby uzyskać więcej informacji na temat ochrony bezpiecznych łączy w usłudze Teams, zobacz sekcję Ustawienia bezpiecznych łączy dla usługi Microsoft Teams w dalszej części tego artykułu.

    Uwaga

    Obecnie ochrona bezpiecznych łączy dla usługi Microsoft Teams nie jest dostępna w Microsoft 365 GCC High lub Microsoft 365 DoD.

  • Aplikacje pakietu Office: ochrona bezpiecznych linków dla obsługiwanych aplikacji klasycznych, mobilnych i internetowych pakietu Office jest kontrolowana przez zasady bezpiecznych łączy.

    Aby uzyskać więcej informacji na temat ochrony bezpiecznych łączy w aplikacjach pakietu Office, zobacz sekcję Ustawienia bezpiecznych łączy dla aplikacji pakietu Office w dalszej części tego artykułu.

Ten artykuł zawiera szczegółowe opisy następujących typów ustawień bezpiecznych łączy:

W poniższej tabeli opisano scenariusze dotyczące bezpiecznych linków w organizacjach Microsoft 365 i Office 365, które obejmują Ochrona usługi Office 365 w usłudze Defender (należy pamiętać, że brak licencji nigdy nie stanowi problemu w przykładach).

Scenariusz Result (Wynik)
Jean jest członkiem działu marketingu. Ochrona bezpiecznych łączy dla aplikacji pakietu Office jest włączona w zasadach bezpiecznych łączy, które mają zastosowanie do członków działu marketingu. Jean otwiera prezentację programu PowerPoint w wiadomości e-mail, a następnie klika adres URL w prezentacji. Jean jest chroniony przez bezpieczne linki.

Jean jest uwzględniony w zasadach bezpiecznych linków, w których włączono ochronę bezpiecznych linków dla aplikacji pakietu Office.

Aby uzyskać więcej informacji na temat wymagań dotyczących ochrony bezpiecznych łączy w aplikacjach pakietu Office, zobacz sekcję Ustawienia bezpiecznych linków dla aplikacji pakietu Office w dalszej części tego artykułu.
Organizacja Microsoft 365 E5 Chrisa nie ma skonfigurowanych zasad bezpiecznych linków. Chris otrzymuje wiadomość e-mail od zewnętrznego nadawcy zawierającego adres URL do złośliwej witryny internetowej, którą ostatecznie klika. Chris jest chroniony przez bezpieczne linki.

Wbudowane zasady zabezpieczeń wstępnie ustawione ochrony zapewniają ochronę bezpiecznych łączy wszystkim adresatom (użytkownikom, którzy nie są zdefiniowani w standardowych lub ścisłych zasadach zabezpieczeń wstępnie ustawionych lub w niestandardowych zasadach bezpiecznych łączy). Aby uzyskać więcej informacji, zobacz Preset security policies in EOP and Ochrona usługi Office 365 w usłudze Microsoft Defender (Ustawienia wstępne zasad zabezpieczeń w usłudze EOP i Ochrona usługi Office 365 w usłudze Microsoft Defender).
W organizacji pata administratorzy utworzyli zasady bezpiecznych łączy, które mają zastosowanie do funkcji Pat, ale ochrona bezpiecznych łączy dla aplikacji pakietu Office jest wyłączona. Pat otwiera dokument programu Word i klika adres URL w pliku. Pat nie jest chroniony przez bezpieczne linki.

Mimo że pat jest uwzględniony w aktywnych zasadach bezpiecznych łączy, ochrona bezpiecznych łączy dla aplikacji pakietu Office jest wyłączona w tych zasadach, więc nie można zastosować ochrony.
Jamie i Julia pracują dla contoso.com. Dawno temu administratorzy skonfigurowali zasady bezpiecznych łączy, które mają zastosowanie zarówno do Jamiego, jak i Julii. Jamie wysyła wiadomość e-mail do Julii, nie wiedząc, że wiadomość e-mail zawiera złośliwy adres URL. Julia jest chroniona przez bezpieczne linki , jeśli zasady bezpiecznych linków, które mają do niej zastosowanie, są skonfigurowane do stosowania do wiadomości między adresatami wewnętrznymi. Aby uzyskać więcej informacji, zobacz sekcję Ustawienia bezpiecznych łączy dla wiadomości e-mail w dalszej części tego artykułu.

Należy określić warunki i wyjątki adresata, które określają, do kogo mają zastosowanie zasady. Możesz użyć tych właściwości w przypadku warunków i wyjątków:

  • Użytkownicy
  • Grupy
  • Domeny

Warunek lub wyjątek można użyć tylko raz, ale warunek lub wyjątek może zawierać wiele wartości. Wiele wartości tego samego warunku lub wyjątku używa logiki OR (na przykład <adresat1> lub <adresat2>). Różne warunki lub wyjątki używają logiki AND (na przykład <adresat1> i <członek grupy 1>).

Ważna

Wiele różnych typów warunków lub wyjątków nie są addytywne; są inkluzywne. Zasady są stosowane tylko do tych adresatów, którzy pasują do wszystkich filtrów określonych adresatów. Na przykład należy skonfigurować warunek filtru adresata w zasadach z następującymi wartościami:

  • Użytkowników: romain@contoso.com
  • Grupy: Kadra kierownicza

Zasady są stosowane romain@contoso.comtylko wtedy, gdy jest on również członkiem grupy Kierownictwo. Jeśli nie jest członkiem grupy, zasady nie są do niego stosowane.

Podobnie, jeśli używasz tego samego filtru adresata co wyjątek od zasad, zasady nie są stosowane romain@contoso.comtylko wtedy, gdy jest on również członkiem grupy Kadra kierownicza. Jeśli nie jest członkiem grupy, polityka nadal ma do niego zastosowanie.

Usługa Safe Links skanuje przychodzące wiadomości e-mail pod kątem znanych złośliwych hiperlinków. Zeskanowane adresy URL są ponownie zapisywane lub opakowane przy użyciu Microsoft prefiksu standardowego adresu URL: https://nam01.safelinks.protection.outlook.com. Po ponownym napisaniu linku jest on analizowany pod kątem potencjalnie złośliwej zawartości.

Po ponownym zapisaniu adresu URL w bezpiecznych linkach adres URL pozostaje ponownie zapisywany, nawet jeśli wiadomość jest przekazywana ręcznie lub odpowiadana (zarówno adresatom wewnętrznym, jak i zewnętrznym). Dodatkowe linki, które są dodawane do wiadomości przesłanej dalej lub przekazanej do wiadomości, nie są ponownie zapisywane.

W przypadku automatycznego przekazywania dalej według reguł skrzynki odbiorczej lub przekazywania SMTP adres URL nie zostanie ponownie zapisany w wiadomości przeznaczonej dla końcowego odbiorcy, chyba że spełniona jest jedna z następujących instrukcji:

  • Adresat jest również chroniony za pomocą bezpiecznych linków.
  • Adres URL został już przepisany w poprzedniej komunikacji.

Dopóki ochrona bezpiecznych łączy jest włączona, adresy URL są skanowane przed dostarczeniem wiadomości, niezależnie od tego, czy adresy URL są ponownie zapisywane. W obsługiwanych wersjach programu Outlook (Outlook for Desktop w wersji 16.0.12513 lub nowszej) nieopakowane adresy URL są sprawdzane przez wywołanie interfejsu API po stronie klienta do bezpiecznych linków w momencie kliknięcia.

Ustawienia zasad bezpiecznych łączy, które mają zastosowanie do wiadomości e-mail, są opisane na następującej liście:

  • Włączone: Bezpieczne linki sprawdzają listę znanych, złośliwych linków, gdy użytkownicy klikają linki w wiadomościach e-mail: włącz lub wyłącz skanowanie bezpiecznych linków w wiadomościach e-mail. Zalecana wartość jest zaznaczona (włączona) i powoduje wykonanie następujących akcji:

    • Skanowanie bezpiecznych łączy jest włączone w programie Outlook (C2R) w systemie Windows.
    • Adresy URL są ponownie zapisywane, a użytkownicy są kierowani przez ochronę bezpiecznych linków po kliknięciu adresów URL w komunikatach.
    • Po kliknięciu adresy URL są sprawdzane pod kątem listy znanych złośliwych adresów URL i listy "Blokuj następujące adresy URL".
    • Adresy URL, które nie mają prawidłowej reputacji, są detonowane asynchronicznie w tle.

    Następujące ustawienia są dostępne tylko wtedy, gdy włączono skanowanie bezpiecznych linków w wiadomościach e-mail:

    • Zastosuj bezpieczne linki do wiadomości e-mail wysyłanych w organizacji: włącz lub wyłącz skanowanie bezpiecznych łączy w wiadomościach wysyłanych między nadawcami wewnętrznymi i odbiorcami wewnętrznymi w tej samej organizacji Exchange Online. Zalecana wartość jest zaznaczona (włączone).

    • Zastosuj skanowanie adresów URL w czasie rzeczywistym w poszukiwaniu podejrzanych linków i linków wskazujących pliki: włącza skanowanie linków w czasie rzeczywistym, w tym linków w wiadomościach e-mail wskazujących na zawartość do pobrania. Zalecana wartość jest zaznaczona (włączone).

      • Przed dostarczeniem komunikatu poczekaj na ukończenie skanowania adresu URL:
        • Wybrane (włączone): komunikaty zawierające adresy URL są przechowywane do momentu zakończenia skanowania. Komunikaty są dostarczane dopiero po potwierdzeniu, że adresy URL są bezpieczne. Jest to zalecana wartość.
        • Nie wybrano (wyłączone): jeśli skanowanie adresu URL nie może zakończyć się, i tak dostarczyć komunikat.

    • Nie należy ponownie pisać adresów URL, sprawdzaj tylko za pośrednictwem interfejsu API SafeLinks: jeśli to ustawienie jest zaznaczone (włączone), nie ma zawijania adresów URL. W obsługiwanych wersjach programu Outlook (Outlook for Desktop w wersji 16.0.12513 lub nowszej) bezpieczne linki są wywoływane wyłącznie za pośrednictwem interfejsów API w momencie kliknięcia adresu URL.

    Aby uzyskać więcej informacji na temat zalecanych wartości dla standardowych i ścisłych ustawień zasad zasad bezpiecznych łączy, zobacz Ustawienia zasad bezpiecznych łączy.

Na wysokim poziomie poniżej przedstawiono sposób działania ochrony bezpiecznych linków na adresach URL w wiadomościach e-mail:

  1. Wszystkie wiadomości e-mail przechodzą przez operacje EOP, gdzie filtry protokołu internetowego (IP) i koperty, ochrona przed złośliwym oprogramowaniem oparte na podpisie, filtry chroniące przed spamem i złośliwym oprogramowaniem przed dostarczeniem wiadomości do skrzynki pocztowej adresata.

  2. Użytkownik otwiera wiadomość w swojej skrzynce pocztowej i klika adres URL w wiadomości.

  3. Bezpieczne linki natychmiast sprawdzają adres URL przed otwarciem witryny internetowej:

    • Jeśli adres URL wskazuje witrynę internetową, która została określona jako złośliwa, zostanie otwarta złośliwa strona ostrzeżenia witryny internetowej (lub inna strona ostrzeżenia).

    • Jeśli adres URL wskazuje na plik do pobrania, a ustawienie Zastosuj adres URL w czasie rzeczywistym w poszukiwaniu podejrzanych linków i linków wskazujących na pliki jest włączone w zasadach, które dotyczą użytkownika, plik do pobrania jest sprawdzany.

    • Jeśli adres URL zostanie uznany za bezpieczny, zostanie otwarta witryna internetowa.

Włączasz lub wyłączasz ochronę bezpiecznych linków dla usługi Microsoft Teams w zasadach bezpiecznych łączy. W szczególności używasz opcji Włączone: bezpieczne linki sprawdza listę znanych, złośliwych linków, gdy użytkownicy klikają linki w ustawieniu Microsoft Teams. Zalecana wartość jest włączona (wybrana).

Uwaga

Po włączeniu lub wyłączeniu ochrony bezpiecznych linków dla usługi Teams może upłynąć do 24 godzin, aż zmiana zostanie wprowadzona.

Obecnie ochrona bezpiecznych łączy dla usługi Microsoft Teams nie jest dostępna w Microsoft 365 GCC High lub Microsoft 365 DoD.

Po włączeniu ochrony bezpiecznych łączy dla usługi Microsoft Teams adresy URL w usłudze Teams są sprawdzane pod kątem listy znanych złośliwych linków, gdy chroniony użytkownik kliknie link (ochrona przed kliknięciem w czasie). Adresy URL nie są ponownie zapisywane. Jeśli link zostanie uznany za złośliwy, użytkownicy będą mieli następujące środowiska:

  • Jeśli link został kliknięty w konwersacji w usłudze Teams, czacie grupowym lub w kanałach, strona ostrzeżenia, jak pokazano na poniższym zrzucie ekranu, pojawi się w domyślnej przeglądarce internetowej.
  • Jeśli link został kliknięty na przypiętej karcie, strona ostrzeżenia zostanie wyświetlona w interfejsie usługi Teams na tej karcie. Opcja otwarcia linku w przeglądarce internetowej jest wyłączona ze względów bezpieczeństwa.
  • W zależności od tego, jak skonfigurowano ustawienie Zezwalaj użytkownikom na kliknięcie oryginalnego adresu URL w zasadach, użytkownik będzie lub nie będzie mógł kliknąć oryginalnego adresu URL (kontynuuj mimo to (niezalecane) na zrzucie ekranu. Zalecamy, aby nie wybierać ustawienia Zezwalaj użytkownikom na klikanie oryginalnego adresu URL , aby użytkownicy nie mogli klikać oryginalnego adresu URL.

Jeśli użytkownik, który wysłał link, nie jest chroniony przez zasady bezpiecznych linków, w których włączono ochronę aplikacji Teams, użytkownik może kliknąć oryginalny adres URL na swoim komputerze lub urządzeniu.

Strona Bezpieczne linki dla usługi Teams zgłasza złośliwy link

Kliknięcie przycisku Wróć na stronie ostrzeżenia spowoduje powrót użytkownika do oryginalnego kontekstu lub lokalizacji adresu URL. Jednak ponowne kliknięcie oryginalnego linku spowoduje ponowne przeskanowanie adresu URL w bezpiecznych linkach, aby strona ostrzeżenia pojawiła się ponownie.

Na wysokim poziomie poniżej przedstawiono sposób działania ochrony bezpiecznych linków dla adresów URL w usłudze Microsoft Teams:

  1. Użytkownik uruchamia aplikację Teams.

  2. Microsoft 365 weryfikuje, czy organizacja użytkownika obejmuje Ochrona usługi Office 365 w usłudze Microsoft Defender i czy użytkownik jest uwzględniony w aktywnych zasadach bezpiecznych łączy, w których włączono ochronę aplikacji Microsoft Teams.

  3. Adresy URL są weryfikowane w momencie kliknięcia użytkownika w czatach, czatach grupowych, kanałach i kartach.

Ochrona bezpiecznych łączy dla aplikacji pakietu Office sprawdza linki w dokumentach pakietu Office, a nie linki w wiadomościach e-mail. Może jednak sprawdzać linki w dołączonych dokumentach pakietu Office w wiadomościach e-mail po otwarciu dokumentu.

Ochronę bezpiecznych łączy dla aplikacji pakietu Office można włączyć lub wyłączyć w zasadach bezpiecznych linków. W szczególności używasz opcji Włączone: bezpieczne linki sprawdza listę znanych, złośliwych linków po kliknięciu linków przez użytkowników w Microsoft ustawieniu aplikacji pakietu Office. Zalecana wartość jest włączona (wybrana).

Ochrona bezpiecznych linków dla aplikacji pakietu Office ma następujące wymagania klienta:

  • Aplikacje Microsoft 365 lub Microsoft 365 Business Premium.

    • Bieżące wersje programów Word, Excel i PowerPoint w systemach Windows, Mac lub w przeglądarce internetowej.
    • Aplikacje pakietu Office na urządzeniach z systemem iOS lub Android.
    • Program Visio w systemie Windows.
    • Program OneNote w przeglądarce internetowej.
    • Program Outlook dla systemu Windows podczas otwierania zapisanych plików EML lub MSG.

  • Aplikacje pakietu Office są skonfigurowane do korzystania z nowoczesnego uwierzytelniania. Aby uzyskać więcej informacji, zobacz Jak działa nowoczesne uwierzytelnianie dla aplikacji klienckich pakietu Office 2013, Office 2016 i Office 2019.

  • Użytkownicy są zalogowani przy użyciu kont służbowych. Aby uzyskać więcej informacji, zobacz Logowanie do pakietu Office.

Aby uzyskać więcej informacji na temat zalecanych wartości ustawień zasad standardowych i ścisłych, zobacz Ustawienia globalne dla bezpiecznych linków.

Na wysokim poziomie poniżej przedstawiono sposób działania ochrony bezpiecznych linków dla adresów URL w aplikacjach pakietu Office. Obsługiwane aplikacje pakietu Office zostały opisane w poprzedniej sekcji.

  1. Użytkownik loguje się przy użyciu konta służbowego w organizacji obejmującej Aplikacje Microsoft 365 lub Microsoft 365 Business Premium.

  2. Użytkownik otwiera i klika link do dokumentu pakietu Office w obsługiwanej aplikacji pakietu Office.

  3. Bezpieczne linki natychmiast sprawdzają adres URL przed otwarciem docelowej witryny internetowej:

    • Jeśli adres URL znajduje się na liście, która pomija skanowanie bezpiecznych linków (lista Blokuj następujące adresy URL ) zostanie otwarta zablokowana strona ostrzeżenia adresu URL .

    • Jeśli adres URL wskazuje witrynę internetową, która została określona jako złośliwa, zostanie otwarta złośliwa strona ostrzeżenia witryny internetowej (lub inna strona ostrzeżenia).

    • Jeśli adres URL wskazuje na plik do pobrania, a zasady bezpiecznych łączy, które mają zastosowanie do użytkownika, są skonfigurowane do skanowania linków do zawartości do pobrania (zastosuj skanowanie adresów URL w czasie rzeczywistym w poszukiwaniu podejrzanych linków i linków wskazujących pliki), plik do pobrania jest sprawdzany.

    • Jeśli adres URL zostanie uznany za bezpieczny, użytkownik zostanie przekierowany do witryny internetowej.

    • Jeśli skanowanie bezpiecznych łączy nie jest w stanie ukończyć, ochrona bezpiecznych łączy nie jest wyzwalana. W przypadku klientów klasycznych pakietu Office użytkownik zostanie ostrzeżony przed przejściem do docelowej witryny internetowej.

Uwaga

Może upłynąć kilka sekund na początku każdej sesji, aby sprawdzić, czy bezpieczne linki dla aplikacji pakietu Office są dostępne dla użytkownika.

Te ustawienia dotyczą bezpiecznych linków w aplikacjach poczty e-mail, aplikacji Teams i pakietu Office:

  • Śledzenie kliknięć użytkownika: włącz lub wyłącz przechowywanie bezpiecznych linków, klikając dane dla klikniętych adresów URL. Zalecamy pozostawienie wybranego (włączonego) ustawienia.

    W obszarze Bezpieczne linki dla aplikacji pakietu Office to ustawienie dotyczy wersji klasycznych programów Word, Excel, PowerPoint i Visio.

    W przypadku wybrania tego ustawienia dostępne są następujące ustawienia:

    • Zezwalaj użytkownikom na klikanie oryginalnego adresu URL: określa, czy użytkownicy mogą kliknąć stronę ostrzeżenia do oryginalnego adresu URL. Wartość zalecana nie jest zaznaczona (wyłączona).

      W obszarze Bezpieczne linki dla aplikacji pakietu Office to ustawienie dotyczy oryginalnego adresu URL w wersjach klasycznych Word, Excel, PowerPoint i Visio.

    • Wyświetlanie znakowania organizacji na stronach powiadomień i ostrzeżeń: ta opcja pokazuje znakowanie organizacji na stronach ostrzegawczych. Znakowanie pomaga użytkownikom identyfikować uzasadnione ostrzeżenia, ponieważ domyślne Microsoft stron ostrzegawczych są często używane przez osoby atakujące. Aby uzyskać więcej informacji na temat niestandardowego znakowania, zobacz Dostosowywanie motywu Microsoft 365 dla organizacji.

Po utworzeniu wielu zasad można określić kolejność ich stosowania. Żadne dwie zasady nie mogą mieć takiego samego priorytetu, a przetwarzanie zasad zostanie zatrzymane po zastosowaniu pierwszych zasad. Wbudowane zasady ochrony są zawsze stosowane jako ostatnie. Zasady bezpiecznych łączy skojarzone z standardowymi i ścisłymi wstępnie ustawionymi zasadami zabezpieczeń są zawsze stosowane przed niestandardowymi zasadami bezpiecznych łączy.

Aby uzyskać więcej informacji na temat kolejności pierwszeństwa oraz sposobu oceniania i stosowania wielu zasad, zobacz Kolejność pierwszeństwa dla wstępnie ustawionych zasad zabezpieczeń i innych zasad oraz Kolejność i pierwszeństwo ochrony poczty e-mail.

Uwaga

Lista Blokuj następujące adresy URL dla bezpiecznych linków jest w trakcie wycofywania. Zamiast tego użyj wpisów blokowych dla adresów URL na liście dozwolonych/zablokowanych dzierżaw . Komunikaty zawierające zablokowany adres URL są poddawane kwarantannie.

Lista Blokuj następujące adresy URL definiuje łącza, które są zawsze blokowane przez skanowanie bezpiecznych łączy w następujących lokalizacjach:

  • Email komunikatów.
  • Dokumenty w aplikacjach pakietu Office w systemach Windows i Mac.
  • Dokumenty w pakiecie Office dla systemów iOS i Android.

Gdy użytkownik w aktywnych zasadach bezpiecznych łączy kliknie zablokowany link w obsługiwanej aplikacji, zostanie przekierowany do strony ostrzeżenia Zablokowany adres URL .

Listę adresów URL można skonfigurować w ustawieniach globalnych bezpiecznych linków. Aby uzyskać instrukcje, zobacz Konfigurowanie listy "Blokuj następujące adresy URL".

Uwagi:

  • Aby uzyskać prawdziwie uniwersalną listę adresów URL, które są blokowane wszędzie, zobacz Zarządzanie listą dozwolonych/zablokowanych dzierżaw.
  • Limity listy Blokuj następujące adresy URL :
    • Maksymalna liczba wpisów wynosi 500.
    • Maksymalna długość wpisu to 128 znaków.
    • Wszystkie wpisy nie mogą przekraczać 10 000 znaków.
  • Nie dołączaj ukośnika (/) na końcu adresu URL. Na przykład użyj polecenia https://www.contoso.com, a nie https://www.contoso.com/.
  • Adres URL tylko do domeny (na przykład contoso.com lub tailspintoys.com) zablokuje dowolny adres URL zawierający domenę.
  • Możesz zablokować poddomenę bez blokowania pełnej domeny. Na przykład toys.contoso.com* blokuje dowolny adres URL zawierający poddomenę, ale nie blokuje adresów URL zawierających pełną domenę contoso.com.
  • Możesz dołączyć maksymalnie trzy symbole wieloznaczne (*) na wpis adresu URL.

Składnia wpisu dla listy "Blokuj następujące adresy URL"

Przykłady wartości, które można wprowadzić i ich wyników, opisano w poniższej tabeli:

Value Result (Wynik)
contoso.com

lub

*contoso.com*

 Blokuje domenę, poddomeny i ścieżki. Na przykład https://www.contoso.com, https://sub.contoso.com, i https://contoso.com/abc są blokowane.
https://contoso.com/a Bloki https://contoso.com/a , ale nie dodatkowe ścieżki podrzędne, takie jak https://contoso.com/a/b.
https://contoso.com/a* Bloki https://contoso.com/a i dodatkowe ścieżki podrzędne, takie jak https://contoso.com/a/b.
https://toys.contoso.com* Blokuje poddomenę (toys w tym przykładzie), ale zezwala na kliknięcia innych adresów URL domeny (np https://contoso.com . lub https://home.contoso.com).

Uwaga

Wpisy na liście "Nie przepisuj ponownie następujących adresów URL" nie są skanowane ani opakowane przez bezpieczne linki podczas przepływu poczty, ale mogą być nadal blokowane w momencie kliknięcia. Użyj pozycji Zezwalaj na adres URL na liście dozwolonych/zablokowanych dzierżawy , aby zastąpić werdykt adresu URL bezpiecznych linków.

Każda zasada bezpiecznych łączy zawiera listę Nie przepisuj ponownie następujących adresów URL , których można użyć do określenia adresów URL, które nie są ponownie zapisywane przez skanowanie bezpiecznych linków. Innymi słowy, lista umożliwia użytkownikom uwzględnionym w zasadach dostęp do określonych adresów URL, które w przeciwnym razie zostałyby zablokowane przez bezpieczne linki. Różne listy można skonfigurować w różnych zasadach bezpiecznych łączy. Przetwarzanie zasad zostaje zatrzymane po zastosowaniu do użytkownika pierwszych zasad (prawdopodobnie o najwyższym priorytecie). Dlatego tylko jeden nie należy ponownie pisać poniższej listy adresów URL jest stosowany do użytkownika, który jest uwzględniony w wielu aktywnych zasad bezpiecznych linków.

Aby dodać wpisy do listy w nowych lub istniejących zasadach bezpiecznych łączy, zobacz Tworzenie zasad bezpiecznych łączy lub Modyfikowanie zasad bezpiecznych łączy.

Uwagi:

  • Następujący klienci nie rozpoznają listy Nie przepisuj ponownie następujących adresów URL w zasadach bezpiecznych łączy. Użytkownikom uwzględnionym w zasadach można zablokować dostęp do adresów URL na podstawie wyników skanowania bezpiecznych łączy w tych klientach:

    • Microsoft Teams
    • Aplikacje internetowe pakietu Office

    Aby uzyskać prawdziwie uniwersalną listę adresów URL dozwolonych wszędzie, zobacz Zarządzanie listą dozwolonych/zablokowanych dzierżaw. Należy jednak pamiętać, że dodane adresy URL nie zostaną wykluczone z ponownego pisania bezpiecznych linków, ponieważ należy to zrobić w zasadach bezpiecznych łączy.

  • Rozważ dodanie często używanych wewnętrznych adresów URL do listy, aby ulepszyć środowisko użytkownika. Jeśli na przykład masz usługi lokalne, takie jak Skype dla firm lub SharePoint, możesz dodać te adresy URL, aby wykluczyć je ze skanowania.

  • Jeśli w zasadach bezpiecznych łączy nie zapisano już ponownie następujących wpisów adresów URL , zapoznaj się z listami i dodaj symbole wieloznaczne zgodnie z wymaganiami. Na przykład lista zawiera wpis podobny https://contoso.com/a do tego, a później decydujesz się na uwzględnienie ścieżek podrzędnych, takich jak https://contoso.com/a/b. Zamiast dodawać nowy wpis, dodaj symbol wieloznaczny do istniejącego wpisu, aby stał się https://contoso.com/a/*.

  • Możesz dołączyć maksymalnie trzy symbole wieloznaczne (*) na wpis adresu URL. Symbole wieloznaczne jawnie zawierają prefiksy lub poddomeny. Na przykład wpis contoso.com nie jest taki sam jak *.contoso.com/*, ponieważ *.contoso.com/* umożliwia użytkownikom odwiedzanie domen podrzędnych i ścieżek w określonej domenie.

  • Jeśli adres URL używa automatycznego przekierowania dla protokołu HTTP do protokołu HTTPS (na przykład przekierowania 302 dla http://www.contoso.com polecenia do https://www.contoso.com), i spróbujesz wprowadzić zarówno wpisy HTTP, jak i HTTPS dla tego samego adresu URL na liście, możesz zauważyć, że drugi wpis adresu URL zastępuje pierwszy wpis adresu URL. To zachowanie nie występuje, jeśli wersje HTTP i HTTPS adresu URL są całkowicie oddzielone.

  • Nie należy określać http:// ani https:// (czyli contoso.com), aby wykluczyć wersje HTTP i HTTPS.

  • *.contoso.comnie obejmuje contoso.com, więc należy wykluczyć zarówno w celu objęcia określonej domeny, jak i wszystkich domen podrzędnych.

  • contoso.com/* obejmuje tylko contoso.com, więc nie ma potrzeby wykluczania obu contoso.com i contoso.com/*; wystarczy contoso.com/* .

  • Aby wykluczyć wszystkie iteracje domeny, potrzebne są dwa wpisy wykluczeń; contoso.com/* i *.contoso.com/*. Są one łączone w celu wykluczenia zarówno protokołu HTTP, jak i HTTPS, domeny głównej contoso.com i wszystkich domen podrzędnych, a także dowolnej lub nie kończącej się części (na przykład omówione są zarówno contoso.com, jak i contoso.com/vdir1).

Składnia wpisu dla listy "Nie przepisuj ponownie następujących adresów URL"

Przykłady wartości, które można wprowadzić i ich wyników, opisano w poniższej tabeli:

Value Result (Wynik)
contoso.com Zezwala na dostęp do https://contoso.com domen podrzędnych lub ścieżek, ale nie do nich.
*.contoso.com/* Zezwala na dostęp do domeny, poddomen i ścieżek (na przykład , https://www.contoso.comhttps://www.contoso.com, , https://maps.contoso.comlub https://www.contoso.com/a).

Ten wpis jest z natury lepszy niż *contoso.com*, ponieważ nie zezwala na potencjalnie fałszywe witryny, takie jak https://www.falsecontoso.com lub https://www.false.contoso.completelyfalse.com
https://contoso.com/a Zezwala na dostęp do https://contoso.com/aścieżek podrzędnych, takich jak , https://contoso.com/a/b
https://contoso.com/a/* Umożliwia dostęp do https://contoso.com/a ścieżek podrzędnych i takich jak https://contoso.com/a/b

Ta sekcja zawiera przykłady różnych stron ostrzegawczych, które są wyzwalane przez ochronę bezpiecznych łączy po kliknięciu adresu URL.

Należy pamiętać, że zaktualizowano kilka stron ostrzegawczych. Jeśli nie widzisz jeszcze zaktualizowanych stron, wkrótce to zrobisz. Zaktualizowane strony zawierają nowy schemat kolorów, więcej szczegółów i możliwość kontynuowania pracy z witryną pomimo danego ostrzeżenia i zaleceń.

Skanowanie w toku — powiadomienie

Klikniętego adresu URL jest skanowany przez bezpieczne linki. Może być konieczne odczekanie kilku chwil przed ponownym wypróbowaniem linku.

Powiadomienie o skanowaniu linku

Oryginalna strona powiadomień wyglądała następująco:

Link jest skanowany— powiadomienie

Ostrzeżenie o podejrzanym komunikacie

Klikniętego adresu URL w wiadomości e-mail, która jest podobna do innych podejrzanych wiadomości. Zalecamy dwukrotne sprawdzenie wiadomości e-mail przed przejściem do witryny.

Kliknięcie linku z ostrzeżenia o podejrzanym komunikacie

Ostrzeżenie o próbie wyłudzania informacji

Klikniętego adresu URL w wiadomości e-mail, która została zidentyfikowana jako atak phishingowy. W związku z tym wszystkie adresy URL w wiadomości e-mail są blokowane. Zalecamy, aby nie przechodzić do witryny.

Ostrzeżenie informujące o kliknięciu linku z wiadomości wyłudzającej informacje

Ostrzeżenie o złośliwej witrynie internetowej

Kliknięty adres URL wskazuje witrynę, która została zidentyfikowana jako złośliwa. Zalecamy, aby nie przechodzić do witryny.

Ostrzeżenie informujące o tym, że witryna internetowa jest klasyfikowana jako złośliwa

Oryginalna strona ostrzeżenia wyglądała następująco:

Oryginalne ostrzeżenie informujące o tym, że witryna internetowa jest sklasyfikowana jako złośliwa

Ostrzeżenie o zablokowanym adresie URL

Kliknięty adres URL został ręcznie zablokowany przez administratora w organizacji (lista Blokuj następujące adresy URL w ustawieniach globalnych bezpiecznych linków). Link nie został zeskanowany przez bezpieczne linki, ponieważ został ręcznie zablokowany.

Istnieje kilka powodów, dla których administrator ręcznie blokuje określone adresy URL. Jeśli uważasz, że witryna nie powinna być zablokowana, skontaktuj się z administratorem.

Ostrzeżenie informujące, że witryna internetowa została zablokowana przez administratora

Oryginalna strona ostrzeżenia wyglądała następująco:

Oryginalne ostrzeżenie informujące o tym, że witryna internetowa została zablokowana według zasad adresów URL organizacji

Ostrzeżenie o błędzie

Wystąpił jakiś błąd i nie można otworzyć adresu URL.

Nie można załadować ostrzeżenia informującego o stronie, do którą próbujesz uzyskać dostęp

Oryginalna strona ostrzeżenia wyglądała następująco:

Ostrzeżenie informujące o tym, że nie można załadować strony internetowej