Compartilhar via

Gerir permissões e blocos na Lista de Permissões/Bloqueios de Inquilinos

Dica

Sabia que pode experimentar as funcionalidades do Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Utilize a versão de avaliação de 90 dias do Defender para Office 365 no hub de avaliações do portal do Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação aqui.

Importante

Para permitir URLs de phishing que fazem parte da preparação de simulação de ataques de terceiros, utilize a configuração de entrega avançada para especificar os URLs. Não utilize a Lista de Permissões/Bloqueios de Inquilinos.

Nas organizações do Microsoft 365 com caixas de correio no Exchange Online ou organizações autónomas de Proteção do Exchange Online (EOP) sem caixas de correio do Exchange Online, poderá discordar do veredicto de filtragem da EOP ou do Microsoft Defender para Office 365. Por exemplo, uma boa mensagem pode ser marcada como incorreta (um falso positivo) ou pode ser permitida uma mensagem incorreta (um falso negativo).

A Lista de Permissões/Bloqueios de Inquilinos no portal do Microsoft Defender dá-lhe uma forma de substituir manualmente os veredictos de filtragem do Defender para Office 365 ou da EOP. A lista é utilizada durante o fluxo de correio para mensagens recebidas de remetentes externos.

A Lista de Permissões/Bloqueios de Inquilinos não se aplica às mensagens internas enviadas na organização. No entanto, bloquear entradas para Domínios e endereços de e-mail também impede que os utilizadores na organização enviem e-mails para esses domínios e endereços bloqueados.

A lista Permitir/Bloquear Inquilino está disponível no portal do Microsoft Defender em https://security.microsoft.comE-mail & políticas de colaboração>& regras> Regras dePolíticas de Ameaçassecção >Listas> de Permissões/Blocos de Inquilinos. Em alternativa, para aceder diretamente à página Listas de Permissões/Blocos de Inquilinos , utilize https://security.microsoft.com/tenantAllowBlockList.

Para obter instruções de utilização e configuração, veja os seguintes artigos:

Estes artigos contêm procedimentos no portal do Microsoft Defender e no PowerShell.

Bloquear entradas na Lista de Permissões/Bloqueios de Inquilinos

Dica

Na Lista de Permissões/Bloqueios do Inquilino, as entradas de bloco têm precedência sobre as entradas de permissão.

Utilize a página Submissões (também conhecida como submissão de administrador) em https://security.microsoft.com/reportsubmission para criar entradas de bloco para os seguintes tipos de itens à medida que os reporta como falsos negativos para a Microsoft:

  • Domínios e endereços de e-mail:

    • As mensagens de e-mail destes remetentes são marcadas como phishing de alta confiança e, em seguida, movidas para quarentena.
    • Os utilizadores na organização não podem enviar e-mails para estes domínios e endereços bloqueados. Recebem o seguinte relatório de entrega sem êxito (também conhecido como NDR ou mensagem de devolução): 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. toda a mensagem é bloqueada para todos os destinatários internos e externos da mensagem, mesmo que apenas um endereço de e-mail ou domínio de destinatário esteja definido numa entrada de bloco.

    Dica

    Para bloquear apenas spam de um remetente específico, adicione o endereço de e-mail ou domínio à lista de blocos em políticas antisspam. Para bloquear todos os e-mails do remetente, utilize Domínios e endereços de e-mail na Lista de Permissões/Bloqueios do Inquilino.

  • Ficheiros: as mensagens de e-mail que contêm estes ficheiros bloqueados são bloqueadas como software maligno. As mensagens que contêm os ficheiros bloqueados são colocadas em quarentena.

  • URLs: as mensagens de e-mail que contêm estes URLs bloqueados são bloqueadas como phishing de alta confiança. As mensagens que contêm os URLs bloqueados são colocadas em quarentena.

Na Lista de Permissões/Bloqueios do Inquilino, também pode criar diretamente entradas de blocos para os seguintes tipos de itens:

Por predefinição, as entradas de blocos para domínios e endereços de e-mail, ficheiros e URLs expiram após 30 dias, mas pode defini-las para expirarem até 90 dias ou para nunca expirarem. Bloquear entradas para remetentes falsificados nunca expiram .

Permitir entradas na Lista de Permissões/Bloqueios de Inquilinos

Na maioria dos casos, não pode criar diretamente entradas de permissão na Lista de Permissões/Bloqueios do Inquilino:

A lista seguinte descreve o que acontece na Lista de Permissões/Bloqueios de Inquilinos quando reporta algo à Microsoft como um falso positivo na página Submissões :

  • Anexos e URLs de e-mail: é criada uma entrada de permissão e a entrada é apresentada no separador Ficheiros ou URLs na Lista de Permissões/Bloqueios do Inquilino, respetivamente.

    Para URLs comunicados como falsos positivos, permitimos mensagens subsequentes que contenham variações do URL original. Por exemplo, utilize a página Submissões para comunicar o URL www.contoso.com/abcbloqueado incorretamente. Se a sua organização receber mais tarde uma mensagem que contém o URL (por exemplo, mas não limitado a: www.contoso.com/abc, www.contoso.com/abc?id=1, www.contoso.com/abc/def/gty/uyt?id=5ou www.contoso.com/abc/whatever), a mensagem não é bloqueada com base no URL. Por outras palavras, não precisa de comunicar múltiplas variações do mesmo URL como bom para a Microsoft.

  • E-mail: se uma mensagem tiver sido bloqueada pela pilha de filtragem do EOP ou do Defender para Office 365, poderá ser criada uma entrada de permissão na Lista de Permissões/Bloqueios do Inquilino:

    • Se a mensagem tiver sido bloqueada por informações de spoof, é criada uma entrada de permissão para o remetente e a entrada é apresentada no separador Remetentes falsificados na Lista de Permissões/Bloqueios do Inquilino.
    • Se a mensagem tiver sido bloqueada pela proteção de representação do utilizador (ou gráfico) no Defender para Office 365, não será criada uma entrada de permissão na Lista de Permissões/Bloqueios de Inquilinos. Em vez disso, o domínio ou remetente é adicionado à secção Remetentes e domínios fidedignos na política anti-phishing que detetou a mensagem.
    • Se a mensagem tiver sido bloqueada devido a filtros baseados em ficheiros, é criada uma entrada de permissão para o ficheiro e a entrada é apresentada no separador Ficheiros na Lista de Permissões/Bloqueios do Inquilino.
    • Se a mensagem tiver sido bloqueada devido a filtros baseados em URL, é criada uma entrada de permissão para o URL e a entrada é apresentada no separador URL na Lista de Permissões/Bloqueios do Inquilino.
    • Se a mensagem tiver sido bloqueada por outro motivo, é criada uma entrada de permissão para o endereço de e-mail ou domínio do remetente e a entrada é apresentada no separador Domínios & endereços na Lista de Permissões/Bloqueios do Inquilino.
    • Se a mensagem não tiver sido bloqueada devido à filtragem, não serão criadas entradas de permissão em qualquer lugar.

Por predefinição, as entradas de permissão para domínios e endereços de e-mail, ficheiros e URLs existem durante 30 dias. Durante esses 30 dias, a Microsoft aprende com as entradas de permissão e remove-as ou expande-as automaticamente. Depois de a Microsoft aprender a partir das entradas de permissão removidas, as mensagens que contêm essas entidades são entregues, a menos que algo na mensagem seja detetado como malicioso. Por predefinição, as entradas de permissões para remetentes falsificados nunca expiram.

Importante

A Microsoft não lhe permite criar entradas de permissão diretamente. As entradas de permissão desnecessárias expõem a sua organização a e-mails maliciosos que poderiam ter sido filtrados pelo sistema.

A Microsoft gere a criação de entradas de permissão a partir da página Submissões em https://security.microsoft.com/reportsubmission. As entradas de permissão são adicionadas durante o fluxo de correio com base nos filtros que determinaram que a mensagem era maliciosa. Por exemplo, se o endereço de e-mail do remetente e um URL na mensagem forem considerados incorretos, é criada uma entrada de permissão para o remetente (endereço de e-mail ou domínio) e o URL.

Quando a entidade é novamente encontrada (durante o fluxo de correio ou o tempo de clique), todos os filtros associados a essa entidade são ignorados.

Durante o fluxo de correio, se as mensagens que contêm a entidade permitida passarem outras verificações na pilha de filtragem, as mensagens são entregues. Por exemplo, se uma mensagem passar verificações de autenticação de e-mail, filtragem de URL e filtragem de ficheiros, é entregue uma mensagem de um endereço de e-mail do remetente permitido.

O que esperar depois de adicionar uma entrada de permissão ou bloqueio

Depois de adicionar uma entrada de permissão na página Submissões ou uma entrada de bloco na Lista de Permissões /Bloqueios do Inquilino, a entrada deve começar a funcionar imediatamente (dentro de 5 minutos).

Se a Microsoft aprendeu com a entrada permitir, a política de alerta incorporada denominada Remove an entry in Tenant Allow/Block List gera um alerta quando a entrada de permissão (agora desnecessária) é removida.