Gerir permissões e blocos na Lista de Permissões/Bloqueios de Inquilinos
Dica
Sabia que pode experimentar as funcionalidades do Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Utilize a versão de avaliação de 90 dias do Defender para Office 365 no hub de avaliações do portal do Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação aqui.
Importante
Para permitir URLs de phishing que fazem parte da preparação de simulação de ataques de terceiros, utilize a configuração de entrega avançada para especificar os URLs. Não utilize a Lista de Permissões/Bloqueios de Inquilinos.
Nas organizações do Microsoft 365 com caixas de correio no Exchange Online ou organizações autónomas de Proteção do Exchange Online (EOP) sem caixas de correio do Exchange Online, poderá discordar do veredicto de filtragem da EOP ou do Microsoft Defender para Office 365. Por exemplo, uma boa mensagem pode ser marcada como incorreta (um falso positivo) ou pode ser permitida uma mensagem incorreta (um falso negativo).
A Lista de Permissões/Bloqueios de Inquilinos no portal do Microsoft Defender dá-lhe uma forma de substituir manualmente os veredictos de filtragem do Defender para Office 365 ou da EOP. A lista é utilizada durante o fluxo de correio para mensagens recebidas de remetentes externos.
A Lista de Permissões/Bloqueios de Inquilinos não se aplica às mensagens internas enviadas na organização. No entanto, bloquear entradas para Domínios e endereços de e-mail também impede que os utilizadores na organização enviem e-mails para esses domínios e endereços bloqueados.
A lista Permitir/Bloquear Inquilino está disponível no portal do Microsoft Defender em https://security.microsoft.comE-mail & políticas de colaboração>& regras> Regras dePolíticas de Ameaçassecção >Listas> de Permissões/Blocos de Inquilinos. Em alternativa, para aceder diretamente à página Listas de Permissões/Blocos de Inquilinos , utilize https://security.microsoft.com/tenantAllowBlockList.
Para obter instruções de utilização e configuração, veja os seguintes artigos:
- Domínios e endereços de e-mail e remetentes falsificados: Permitir ou bloquear e-mails com a Lista de Permissões/Bloqueios do Inquilino
- Ficheiros: Permitir ou bloquear ficheiros com a Lista de Permissões/Bloqueios do Inquilino
- URLs: permitir ou bloquear URLs com a Lista de Permissões/Bloqueios do Inquilino.
Estes artigos contêm procedimentos no portal do Microsoft Defender e no PowerShell.
Bloquear entradas na Lista de Permissões/Bloqueios de Inquilinos
Dica
Na Lista de Permissões/Bloqueios do Inquilino, as entradas de bloco têm precedência sobre as entradas de permissão.
Utilize a página Submissões (também conhecida como submissão de administrador) em https://security.microsoft.com/reportsubmission para criar entradas de bloco para os seguintes tipos de itens à medida que os reporta como falsos negativos para a Microsoft:
Domínios e endereços de e-mail:
- As mensagens de e-mail destes remetentes são marcadas como phishing de alta confiança e, em seguida, movidas para quarentena.
- Os utilizadores na organização não podem enviar e-mails para estes domínios e endereços bloqueados. Recebem o seguinte relatório de entrega sem êxito (também conhecido como NDR ou mensagem de devolução):
550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List.
toda a mensagem é bloqueada para todos os destinatários internos e externos da mensagem, mesmo que apenas um endereço de e-mail ou domínio de destinatário esteja definido numa entrada de bloco.
Dica
Para bloquear apenas spam de um remetente específico, adicione o endereço de e-mail ou domínio à lista de blocos em políticas antisspam. Para bloquear todos os e-mails do remetente, utilize Domínios e endereços de e-mail na Lista de Permissões/Bloqueios do Inquilino.
Ficheiros: as mensagens de e-mail que contêm estes ficheiros bloqueados são bloqueadas como software maligno. As mensagens que contêm os ficheiros bloqueados são colocadas em quarentena.
URLs: as mensagens de e-mail que contêm estes URLs bloqueados são bloqueadas como phishing de alta confiança. As mensagens que contêm os URLs bloqueados são colocadas em quarentena.
Na Lista de Permissões/Bloqueios do Inquilino, também pode criar diretamente entradas de blocos para os seguintes tipos de itens:
Remetentes falsificados: se substituir manualmente um veredicto de permissão existente da inteligência spoof, o remetente falsificado bloqueado torna-se uma entrada de bloqueio manual que aparece apenas no separador Remetentes falsificados na Lista de Permissões/Bloqueios de Inquilinos.
Por predefinição, as entradas de blocos para domínios e endereços de e-mail, ficheiros e URLs expiram após 30 dias, mas pode defini-las para expirarem até 90 dias ou para nunca expirarem. Bloquear entradas para remetentes falsificados nunca expiram .
Permitir entradas na Lista de Permissões/Bloqueios de Inquilinos
Na maioria dos casos, não pode criar diretamente entradas de permissão na Lista de Permissões/Bloqueios do Inquilino:
Domínios e endereços de e-mail, ficheiros e URLs: não pode criar entradas de permissão diretamente na Lista de Permissões/Bloqueios do Inquilino. Em vez disso, utilize a página Submissões em https://security.microsoft.com/reportsubmission para comunicar o e-mail, anexo de e-mail ou URL à Microsoft, uma vez que Não deveria ter sido bloqueado (Falso positivo).
Remetentes falsificados:
- Se as informações de spoof já bloquearem a mensagem como spoofing, utilize a página Submissões em https://security.microsoft.com/reportsubmission para comunicar o e-mail à Microsoft como Não deveria ter sido bloqueado (Falso positivo).
- Pode criar proativamente uma entrada de permissão para um remetente falsificado no separador Remetente falsificado na Lista de Permissões/Bloqueios do Inquilino antes de a inteligência spoof identificar e bloquear a mensagem como spoofing.
A lista seguinte descreve o que acontece na Lista de Permissões/Bloqueios de Inquilinos quando reporta algo à Microsoft como um falso positivo na página Submissões :
Anexos e URLs de e-mail: é criada uma entrada de permissão e a entrada é apresentada no separador Ficheiros ou URLs na Lista de Permissões/Bloqueios do Inquilino, respetivamente.
Para URLs comunicados como falsos positivos, permitimos mensagens subsequentes que contenham variações do URL original. Por exemplo, utilize a página Submissões para comunicar o URL
www.contoso.com/abc
bloqueado incorretamente. Se a sua organização receber mais tarde uma mensagem que contém o URL (por exemplo, mas não limitado a:www.contoso.com/abc
,www.contoso.com/abc?id=1
,www.contoso.com/abc/def/gty/uyt?id=5
ouwww.contoso.com/abc/whatever
), a mensagem não é bloqueada com base no URL. Por outras palavras, não precisa de comunicar múltiplas variações do mesmo URL como bom para a Microsoft.E-mail: se uma mensagem tiver sido bloqueada pela pilha de filtragem do EOP ou do Defender para Office 365, poderá ser criada uma entrada de permissão na Lista de Permissões/Bloqueios do Inquilino:
- Se a mensagem tiver sido bloqueada por informações de spoof, é criada uma entrada de permissão para o remetente e a entrada é apresentada no separador Remetentes falsificados na Lista de Permissões/Bloqueios do Inquilino.
- Se a mensagem tiver sido bloqueada pela proteção de representação do utilizador (ou gráfico) no Defender para Office 365, não será criada uma entrada de permissão na Lista de Permissões/Bloqueios de Inquilinos. Em vez disso, o domínio ou remetente é adicionado à secção Remetentes e domínios fidedignos na política anti-phishing que detetou a mensagem.
- Se a mensagem tiver sido bloqueada devido a filtros baseados em ficheiros, é criada uma entrada de permissão para o ficheiro e a entrada é apresentada no separador Ficheiros na Lista de Permissões/Bloqueios do Inquilino.
- Se a mensagem tiver sido bloqueada devido a filtros baseados em URL, é criada uma entrada de permissão para o URL e a entrada é apresentada no separador URL na Lista de Permissões/Bloqueios do Inquilino.
- Se a mensagem tiver sido bloqueada por outro motivo, é criada uma entrada de permissão para o endereço de e-mail ou domínio do remetente e a entrada é apresentada no separador Domínios & endereços na Lista de Permissões/Bloqueios do Inquilino.
- Se a mensagem não tiver sido bloqueada devido à filtragem, não serão criadas entradas de permissão em qualquer lugar.
Por predefinição, as entradas de permissão para domínios e endereços de e-mail, ficheiros e URLs existem durante 30 dias. Durante esses 30 dias, a Microsoft aprende com as entradas de permissão e remove-as ou expande-as automaticamente. Depois de a Microsoft aprender a partir das entradas de permissão removidas, as mensagens que contêm essas entidades são entregues, a menos que algo na mensagem seja detetado como malicioso. Por predefinição, as entradas de permissões para remetentes falsificados nunca expiram.
Importante
A Microsoft não lhe permite criar entradas de permissão diretamente. As entradas de permissão desnecessárias expõem a sua organização a e-mails maliciosos que poderiam ter sido filtrados pelo sistema.
A Microsoft gere a criação de entradas de permissão a partir da página Submissões em https://security.microsoft.com/reportsubmission. As entradas de permissão são adicionadas durante o fluxo de correio com base nos filtros que determinaram que a mensagem era maliciosa. Por exemplo, se o endereço de e-mail do remetente e um URL na mensagem forem considerados incorretos, é criada uma entrada de permissão para o remetente (endereço de e-mail ou domínio) e o URL.
Quando a entidade é novamente encontrada (durante o fluxo de correio ou o tempo de clique), todos os filtros associados a essa entidade são ignorados.
Durante o fluxo de correio, se as mensagens que contêm a entidade permitida passarem outras verificações na pilha de filtragem, as mensagens são entregues. Por exemplo, se uma mensagem passar verificações de autenticação de e-mail, filtragem de URL e filtragem de ficheiros, é entregue uma mensagem de um endereço de e-mail do remetente permitido.
O que esperar depois de adicionar uma entrada de permissão ou bloqueio
Depois de adicionar uma entrada de permissão na página Submissões ou uma entrada de bloco na Lista de Permissões /Bloqueios do Inquilino, a entrada deve começar a funcionar imediatamente (dentro de 5 minutos).
Se a Microsoft aprendeu com a entrada permitir, a política de alerta incorporada denominada Remove an entry in Tenant Allow/Block List gera um alerta quando a entrada de permissão (agora desnecessária) é removida.
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de