Gerir permissões e blocos na Lista de Permissões/Bloqueios de Inquilinos

Dica

Sabia que pode experimentar as funcionalidades no Microsoft Defender para Office 365 Plano 2 gratuitamente? Utilize a versão de avaliação do Defender para Office 365 de 90 dias no hub de avaliações do portal do Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação em Experimentar Microsoft Defender para Office 365.

Ocasionalmente, poderá discordar do veredicto de filtragem da Microsoft para mensagens de e-mail, mensagens do Microsoft Teams ou aplicações do Office. Por exemplo, uma boa mensagem pode ser marcada como incorreta (um falso positivo) ou uma mensagem incorreta pode ser permitida (um falso negativo) ou um URL pode ser bloqueado quando não deveria.

A Lista de Permissões/Bloqueios de Inquilinos no portal do Microsoft Defender dá-lhe uma forma de substituir manualmente os veredictos de filtragem. A lista é utilizada durante o fluxo de correio (para e-mail) ou hora de clique (para e-mail, Teams ou aplicações do Office).

A lista Permitir/Bloquear Inquilino está disponível no portal do Microsoft Defender em https://security.microsoft.compolíticas de colaboração> Email && regras> Regras depolíticas de ameaçassecção >Listas> de Permissões/Blocos de Inquilinos. Em alternativa, para aceder diretamente à página Listas de Permissões/Blocos de Inquilinos , utilize https://security.microsoft.com/tenantAllowBlockList.

Para obter instruções de utilização e configuração, veja os seguintes artigos:

• Domínios e endereços de e-mail e remetentes falsificados: Permitir ou bloquear e-mails com a Lista de Permissões/Bloqueios do Inquilino
  • As entradas aplicam-se ao endereço De (também conhecido como endereço 5322.From ou remetente P2), não ao endereço MAIL FROM (também conhecido como endereço 5321.MailFrom , remetente P1 ou remetente de envelope). Para obter mais informações sobre estes endereços, consulte Por que motivo o e-mail da Internet precisa de autenticação.
  • As entradas aplicam-se a mensagens de remetentes internos e externos. O processamento especial aplica-se a cenários de spoofing internos.
  • Bloquear entradas para Domínios e endereços de e-mail também impede que os utilizadores na organização enviem e-mails para esses domínios e endereços bloqueados.
• Ficheiros: Permitir ou bloquear ficheiros com a Lista de Permissões/Bloqueios do Inquilino
• URLs: permitir ou bloquear URLs com a Lista de Permissões/Bloqueios do Inquilino.
  • Para permitir URLs de phishing de formação de simulação de ataques não Microsoft, não utilize entradas de permissão de URL na Lista de Permissões/Bloqueios de Inquilinos. Utilize a política de entrega avançada para especificar os URLs.
• Endereços IP: permita ou bloqueie endereços IPv6 com a Lista de Permissões/Bloqueios do Inquilino.
• Domínios do Teams: bloqueie domínios no Microsoft Teams com a Lista de Permissões/Bloqueios de Inquilinos.

Estes artigos contêm procedimentos no portal Microsoft Defender e no PowerShell.

Bloquear entradas na Lista de Permissões/Bloqueios de Inquilinos

Dica

Na Lista de Permissões/Bloqueios do Inquilino, as entradas de bloco têm precedência sobre as entradas de permissão.

Utilize a página Submissões (também conhecida como submissão de administrador) em https://security.microsoft.com/reportsubmission para criar entradas de bloco para os seguintes tipos de itens à medida que os submete como falsos negativos para a Microsoft:

• Domínios e endereços de e-mail:

  • Email mensagens destes remetentes são marcadas como phishing de alta confiança e, em seguida, movidas para quarentena.
  • Os utilizadores na organização não podem enviar e-mails para estes domínios e endereços bloqueados. Recebem o seguinte relatório de entrega sem êxito (também conhecido como NDR ou mensagem de devolução): 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. toda a mensagem é bloqueada para todos os destinatários internos e externos da mensagem, mesmo que apenas um endereço de e-mail ou domínio de destinatário esteja definido numa entrada de bloco.

  Dica

  Bloquear um remetente ou domínio específico na Lista de Permissões/Bloqueios de Inquilinos trata essas mensagens como phishing de alta confiança. Para tratar essas mensagens como spam, adicione o remetente à lista de remetentes bloqueados ou à lista de domínios bloqueados em políticas antisspam.

• Ficheiros: Email mensagens que contêm estes ficheiros bloqueados são bloqueadas como software maligno. As mensagens que contêm os ficheiros bloqueados são colocadas em quarentena.

• URLs: Email mensagens que contêm estes URLs bloqueados são bloqueadas como phishing de alta confiança. As mensagens que contêm os URLs bloqueados são colocadas em quarentena.

Na Lista de Permissões/Bloqueios do Inquilino, também pode criar diretamente entradas de blocos para os seguintes tipos de itens:

• Domínios e endereços de e-mail, Ficheiros e URLs.

• Remetentes falsificados: se substituir manualmente um veredicto de permissão existente da inteligência spoof, o remetente falsificado bloqueado torna-se uma entrada de bloqueio manual que aparece apenas no separador Remetentes falsificados na Lista de Permissões/Bloqueios de Inquilinos.

• Endereços IP: se criar manualmente uma entrada de bloco, todas as mensagens de e-mail recebidas desse endereço IP são removidas no limite do serviço.

• Domínios do Teams: se criar manualmente uma entrada de bloco, todas as comunicações recebidas através do Teams a partir desse domínio serão bloqueadas, enquanto a comunicação existente será eliminada.

Por predefinição, os seguintes tipos de entradas de blocos expiram após 30 dias, mas pode defini-los para expirar até 90 dias ou para nunca expirarem:

• Domínios e endereços de e-mail
• Files
• URLs.

Os seguintes tipos de entradas de bloco nunca expiram:

• Remetentes falsificados
• Endereços IP
• Domínios do Teams.

Permitir entradas na Lista de Permissões/Bloqueios de Inquilinos

As entradas de permissão desnecessárias expõem a sua organização a e-mails maliciosos que o sistema filtraria de outra forma, pelo que existem limitações para criar entradas de permissão diretamente na Lista de Permissões/Bloqueios de Inquilinos:

• Domínios e endereços de e-mail e URLs: pode criar entradas de permissão diretamente na Lista de Permissões/Bloqueios do Inquilino para substituir os seguintes veredictos:

  • Em massa
  • Spam
  • Spam de alta confiança
  • Phishing (não phishing de alta confiança)

  Para veredictos de phishing de alta confiança e software maligno, não pode criar entradas de permissão diretamente na Lista de Permissões/Bloqueios de Inquilinos. Em vez disso, utilize a página Submissões em https://security.microsoft.com/reportsubmission para submeter o e-mail ou URL à Microsoft. Depois de selecionar Confirmei que está limpo, pode selecionar Permitir esta mensagem ou Permitir que este URL crie uma entrada de permissão para os domínios e endereços de e-mail ou URLs.

• Ficheiros: não pode criar entradas de permissão diretamente na Lista de Permissões/Bloqueios do Inquilino. Em vez disso, utilize a página Submissões em https://security.microsoft.com/reportsubmission para submeter o anexo de e-mail à Microsoft. Depois de selecionar Confirmei que está limpo, pode selecionar Permitir que este ficheiro crie uma entrada de permissão para os ficheiros.

• Remetentes falsificados:

  • Se as informações de spoof já bloquearem a mensagem como spoofing, utilize a página Submissões em https://security.microsoft.com/reportsubmission para comunicar o e-mail à Microsoft, uma vez que confirmei que está limpo e, em seguida, selecione Permitir esta mensagem.
  • Pode criar proativamente uma entrada de permissão para um remetente falsificado no separador Remetente falsificado na Lista de Permissões/Bloqueios do Inquilino antes de a inteligência spoof identificar e bloquear a mensagem como spoofing.

• Endereços IP: pode criar proativamente uma entrada de permissão para um endereço IP no separador Endereços IP na Lista de Permissões/Bloqueios do Inquilino para substituir os filtros de IP para mensagens recebidas.

  • Um endereço IP permite que a entrada ignore as verificações de filtragem baseadas em IP (por exemplo, filtragem de ligações ou verificações de reputação de IP).
  • Uma entrada de permissão de endereço IP não altera o comportamento de limitação de mensagens.
  • Uma entrada de bloqueio de endereço IP rejeita mensagens no edge do serviço.

A lista seguinte descreve o que acontece na Lista de Permissões/Bloqueios de Inquilinos quando submete algo à Microsoft como um falso positivo na página Submissões :

• Email anexos e URLs: é criada uma entrada de permissão e a entrada é apresentada no separador Ficheiros ou URLs na Lista de Permissões/Bloqueios do Inquilino, respetivamente.

  Para URLs comunicados como falsos positivos, permitimos mensagens subsequentes que contenham variações do URL original. Por exemplo, utilize a página Submissões para comunicar o URL www.contoso.com/abcbloqueado incorretamente. Se a sua organização receber mais tarde uma mensagem que contém o URL (por exemplo, mas não limitado a: www.contoso.com/abc, www.contoso.com/abc?id=1, www.contoso.com/abc/def/gty/uyt?id=5ou www.contoso.com/abc/whatever), a mensagem não é bloqueada com base no URL. Por outras palavras, não precisa de comunicar múltiplas variações do mesmo URL como bom para a Microsoft.

• Email: Se o Microsoft 365 tiver bloqueado uma mensagem, poderá ser criada uma entrada de permissão na Lista de Permissões/Bloqueios do Inquilino:

  • Se a mensagem tiver sido bloqueada por informações de spoof, é criada uma entrada de permissão para o remetente e a entrada é apresentada no separador Remetentes falsificados na Lista de Permissões/Bloqueios do Inquilino.
  • Se a proteção de representação de informações de utilizador ou caixa de correio no Defender para Office 365 bloqueou uma mensagem, não é criada uma entrada de permissão na Lista de Permissões/Bloqueios do Inquilino. Em vez disso, o domínio ou remetente é adicionado à secção Remetentes e domínios fidedignos na política anti-phishing que detetou a mensagem.
  • Se a mensagem tiver sido bloqueada devido a filtros baseados em ficheiros, é criada uma entrada de permissão para o ficheiro e a entrada é apresentada no separador Ficheiros na Lista de Permissões/Bloqueios do Inquilino.
  • Se a mensagem tiver sido bloqueada devido a filtros baseados em URL, é criada uma entrada de permissão para o URL e a entrada é apresentada no separador URL na Lista de Permissões/Bloqueios do Inquilino.
  • Se a mensagem tiver sido bloqueada por outro motivo, é criada uma entrada de permissão para o endereço de e-mail ou domínio do remetente e a entrada é apresentada no separador Domínios & endereços na Lista de Permissões/Bloqueios do Inquilino.
  • Se a mensagem não tiver sido bloqueada devido à filtragem, não serão criadas entradas de permissão em qualquer lugar.

Dica

As entradas de permissões de submissões são adicionadas durante o fluxo de correio com base nos filtros que determinaram que a mensagem era maliciosa. Por exemplo, se o endereço de e-mail do remetente e um URL na mensagem forem determinados como maliciosos, é criada uma entrada de permissão para o remetente (endereço de e-mail ou domínio) e o URL.

Durante o fluxo de correio ou a hora de clique, se as mensagens que contêm as entidades nas entradas de permissão passarem outras verificações na pilha de filtragem, as mensagens são entregues (todos os filtros associados às entidades permitidas são ignorados). Por exemplo, se uma mensagem passar verificações de autenticação de e-mail, filtragem de URL e filtragem de ficheiros, será entregue uma mensagem de um endereço de e-mail do remetente permitido se também for proveniente de um remetente permitido.

Por predefinição, as entradas de permissão para domínios e endereços de e-mail, ficheiros e URLs são mantidas durante 45 dias após o sistema de filtragem determinar que a entidade é limpo e, em seguida, a entrada de permissão é removida. Em alternativa, pode definir as entradas de permissão para expirarem até 30 dias após a sua criação. Permitir entradas para remetentes falsificados nunca expiram .

O que esperar depois de adicionar uma entrada de permissão ou bloqueio

Depois de adicionar uma entrada de permissão na página Submissões ou uma entrada de bloco na Lista de Permissões /Bloqueios do Inquilino, a entrada deve começar a funcionar imediatamente (dentro de 5 minutos).

Se a Microsoft aprendeu com a entrada permitir, a política de alerta incorporada denominada Remove an entry in Tenant Allow/Block List gera um alerta quando a entrada de permissão (agora desnecessária) é removida.