Permitir ou bloquear URLs usando a Lista de Permissões/Bloqueios do Locatário

Dica

Você sabia que pode experimentar os recursos no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Use a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever e testar termos aqui.

No Microsoft 365 organizações com caixas de correio em organizações Exchange Online ou EOP (Proteção do Exchange Online autônomo) sem caixas de correio Exchange Online, os administradores podem criar e gerenciar entradas para URLs na Lista de Permissões/Blocos do Locatário. Para obter mais informações sobre a Lista de Permissões/Blocos do Locatário, consulte Gerenciar permissões e blocos na Lista de Permissões/Blocos do Locatário.

Observação

Para permitir URLs de phishing de simulações de phishing de terceiros, use a configuração de entrega avançada para especificar as URLs. Não use a Lista de Permissões/Blocos do Locatário.

Este artigo descreve como os administradores podem gerenciar entradas para URLs no portal do Microsoft Defender e no Exchange Online PowerShell.

Do que você precisa saber para começar?

  • Abra o portal Microsoft Defender em https://security.microsoft.com. Para ir diretamente para a página Permitir/Bloquear Lista de Locatários , use https://security.microsoft.com/tenantAllowBlockList. Para ir diretamente para a página Envios , use https://security.microsoft.com/reportsubmission.

  • Para se conectar ao PowerShell do Exchange Online, confira Conectar ao PowerShell do Exchange Online. Para se conectar ao EOP PowerShell autônomo, consulte Conectar-se ao PowerShell do Exchange Online Protection..

  • Para sintaxe de entrada de URL, consulte a sintaxe de URL para a seção Lista de Permissões/Blocos do Locatário posteriormente neste artigo.

    • Limites de entrada para URLs:
    • Proteção do Exchange Online: o número máximo de entradas de permissão é 500 e o número máximo de entradas de bloco é 500 (1000 entradas de URL no total).
    • Defender para Office 365 Plano 1: o número máximo de entradas de permissão é 1000 e o número máximo de entradas de bloco é 1000 (2.000 entradas de URL no total).
    • Defender para Office 365 Plano 2: o número máximo de entradas de permissão é 5000 e o número máximo de entradas de bloco é 10000 (15.000 entradas de URL no total).

  • Você pode inserir um máximo de 250 caracteres em uma entrada de URL.

  • Uma entrada deve estar ativa dentro de 5 minutos.

  • Você precisa receber permissões para fazer os procedimentos neste artigo. Você tem as seguintes opções:

    • Microsoft Defender XDR RBAC (controle de acesso baseado em função unificada) (afeta apenas o portal do Defender, não o PowerShell):
      • Adicionar e remover entradas da Lista de Permissões/Blocos do Locatário: Associação atribuída com as seguintes permissões:
        • Configurações e autorização/Configurações de segurança/ajuste de detecção (gerenciar)
      • Acesso somente leitura à Lista de Permissões/Blocos do Locatário:
        • Autorização e configurações/Configurações de segurança/somente leitura.
        • Configurações e autorização/Configurações de segurança/Configurações de Segurança Principal (leitura).
    • Exchange Online permissões:
      • Adicionar e remover entradas da Lista de Permissões/Blocos do Locatário: Associação em um dos seguintes grupos de funções:
        • Gerenciamento de organização ou administrador de segurança (função de administrador de segurança).
        • Operador de segurança (Gerenciador AllowBlockList do Locatário).
      • Acesso somente leitura à Lista de Permissões/Blocos do Locatário: Associação em um dos seguintes grupos de funções:
        • Leitor Global
        • Leitor de Segurança
        • Configuração Somente para Exibição
        • View-Only Organization Management
    • Microsoft Entra permissões: a associação nas funções Administrador Global, Administrador de Segurança, Leitor Global ou Leitor de Segurança fornece aos usuários as permissões e permissões necessárias para outros recursos no Microsoft 365.

Criar entradas de permissão para URLs

Você não pode criar entradas de permissão para URLs diretamente na Lista de Permissões/Blocos do Locatário. Entradas de permissão desnecessárias expõem sua organização a emails mal-intencionados que teriam sido filtrados pelo sistema.

Em vez disso, você usa a guia URLs na página Envios em https://security.microsoft.com/reportsubmission?viewid=url. Ao enviar uma URL bloqueada como Não deveria ter sido bloqueada (False positive),você pode selecionar Permitir que essa URL adicione e permita a entrada da URL na guia URLs na página Permitir/Bloquear Listas do Locatário. Para obter instruções, consulte Relatar boas URLs à Microsoft.

Observação

Criamos entradas de permissão para URLs que foram determinadas como mal-intencionadas por nossos filtros durante o fluxo de email ou no momento do clique.

Permitimos mensagens subsequentes que contêm variações da URL original. Por exemplo, você usa a página Envios para relatar a URL www.contoso.com/abcbloqueada incorretamente . Se sua organização receber posteriormente uma mensagem que contenha a URL (por exemplo, mas não se limitando a: www.contoso.com/abc, www.contoso.com/abc?id=1, www.contoso.com/abc/def/gty/uyt?id=5ou www.contoso.com/abc/whatver), a mensagem não será bloqueada com base na URL. Em outras palavras, você não precisa relatar várias variações da mesma URL que boa para a Microsoft.

Quando a entidade na entrada de permissão é encontrada novamente (durante o fluxo de email ou no momento do clique), todos os filtros associados a essa entidade são substituídos.

Por padrão, permitir entradas para URLs existem por 30 dias. Durante esses 30 dias, a Microsoft aprende com as entradas de permissão e as remove ou as estende automaticamente. Depois que a Microsoft aprender com as entradas de permissão removidas, as mensagens que contêm essas URLs serão entregues, a menos que outra coisa na mensagem seja detectada como mal-intencionada.

Durante o fluxo de email, se as mensagens que contêm a URL permitida passarem outras verificações na pilha de filtragem, as mensagens serão entregues. Por exemplo, se uma mensagem passar verificações de autenticação de email e filtragem de arquivos, a mensagem será entregue se ela também contiver uma URL permitida.

Durante o tempo de clique, a URL permite que a entrada substitua todos os filtros associados à entidade URL, o que permite que os usuários acessem a URL.

Uma entrada de permissão de URL não impede que a URL seja encapsulada pela proteção de Links Seguros no Defender para Office 365. Para obter mais informações, consulte Não reescrever lista em SafeLinks.

Criar entradas de bloco para URLs

Email mensagens que contêm essas URLs bloqueadas são bloqueadas como phishing de alta confiança. As mensagens que contêm as URLs bloqueadas são colocadas em quarentena.

Para criar entradas de bloco para URLs, use um dos seguintes métodos:

Você tem as seguintes opções para criar entradas de bloco para URLs:

  • Na guia URLs na página Envios em https://security.microsoft.com/reportsubmission?viewid=url. Ao enviar uma mensagem como Deveria ter sido bloqueada (False negative), você pode selecionar Bloquear essa URL para adicionar uma entrada de bloco à guia URLs na página Permitir/Bloquear Listas de Locatário. Para obter instruções, consulte Relatar URLs questionáveis à Microsoft.

  • Na guia URLs na página Permitir/Bloquear Listas de Locatário ou no PowerShell, conforme descrito nesta seção.

Use o portal Microsoft Defender para criar entradas de bloco para URLs na Lista de Permissões/Blocos do Locatário

  1. No portal Microsoft Defender no https://security.microsoft.com, acesse Políticas & regras>Regras depolíticas> de ameaças seção >Permitir/Bloquear Listas. Ou, para ir diretamente para a página Permitir/Bloquear Lista de Locatários , use https://security.microsoft.com/tenantAllowBlockList.

  2. Na página Permitir/Bloquear Lista de Locatários , selecione a guia URLs .

  3. Na guia URLs , selecione Bloquear.

  4. No flyout de URLs de Bloco que é aberto, configure as seguintes configurações:

    • Adicionar URLs com curingas: insira uma URL por linha, até um máximo de 20. Para obter detalhes sobre a sintaxe para entradas de URL, confira a sintaxe de URL para a seção Lista de Permissões/Blocos do Locatário mais adiante neste artigo.

    • Remover a entrada do bloco após: Selecione nos seguintes valores:

      • Nunca expirar
      • 1 dia
      • 7 dias
      • 30 dias (padrão)
      • Data específica: o valor máximo é de 90 dias a partir de hoje.

    • Observação opcional: insira texto descritivo para saber por que você está bloqueando as URLs.

    Quando terminar o flyout das URLs de bloco , selecione Adicionar.

De volta à guia URLs , a entrada está listada.

Usar o PowerShell para criar entradas de bloco para URLs na Lista de Permissões/Blocos do Locatário

Em Exchange Online PowerShell, use a seguinte sintaxe:

New-TenantAllowBlockListItems -ListType Url -Block -Entries "Value1","Value2",..."ValueN" <-ExpirationDate <Date> | -NoExpiration> [-Notes <String>]

Este exemplo adiciona uma entrada de bloco para a URL contoso.com e todos os subdomínios (por exemplo, contoso.com e xyz.abc.contoso.com). Como não usamos os parâmetros ExpirationDate ou NoExpiration, a entrada expira após 30 dias.

New-TenantAllowBlockListItems -ListType Url -Block -Entries *contoso.com

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte New-TenantAllowBlockListItems.

Use o portal Microsoft Defender para exibir entradas para URLs na Lista de Permissões/Blocos do Locatário

No portal do Microsoft Defender em https://security.microsoft.com, acesse Políticas & regras>Permissão/Bloqueio dePolíticas> de Ameaças Listas na seção Regras. Ou, para ir diretamente para a página Permitir/Bloquear Listas de Locatário, use https://security.microsoft.com/tenantAllowBlockList.

Selecione a guia URLs .

Na guia URLs , você pode classificar as entradas clicando em um cabeçalho de coluna disponível. As seguintes colunas estão disponíveis:

  • Valor: a URL.
  • Ação: os valores disponíveis são Permitir ou Bloquear.
  • Modificado por
  • Última atualização
  • Remova em: a data de validade.
  • Anotações

Para filtrar as entradas, selecione Filtrar. Os seguintes filtros estão disponíveis no flyout filtro que é aberto:

  • Ação: os valores disponíveis são Permitir e Bloquear.
  • Nunca expire: ou
  • Última atualização: Selecione De e para datas.
  • Remova em: Selecione De e para datas.

Quando terminar no flyout filtro , selecione Aplicar. Para limpar os filtros, selecione Limpar filtros.

Use a caixa Pesquisa e um valor correspondente para encontrar entradas específicas.

Para agrupar as entradas, selecione Grupo e, em seguida, selecione Ação. Para desagrupar as entradas, selecione Nenhum.

Usar o PowerShell para exibir entradas para URLs na Lista de Permissões/Blocos do Locatário

Em Exchange Online PowerShell, use a seguinte sintaxe:

Get-TenantAllowBlockListItems -ListType Url [-Allow] [-Block] [-Entry <URLValue>] [<-ExpirationDate <Date> | -NoExpiration>]

Este exemplo retorna todas as URLs permitidas e bloqueadas.

Get-TenantAllowBlockListItems -ListType Url

Este exemplo filtra os resultados por URLs bloqueadas.

Get-TenantAllowBlockListItems -ListType Url -Block

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Get-TenantAllowBlockListItems.

Use o portal Microsoft Defender para modificar entradas para URLs na Lista de Permissões/Blocos do Locatário

Nas entradas de URL existentes, você pode alterar a data de validade e a observação.

  1. No portal Microsoft Defender no https://security.microsoft.com, acesse Políticas & regras>Regras depolíticas> de ameaças seção >Permitir/Bloquear Listas. Ou, para ir diretamente para a página Permitir/Bloquear Listas de Locatário, use https://security.microsoft.com/tenantAllowBlockList.

  2. Selecione a guia URLs

  3. Na guia URLs, selecione a entrada na lista selecionando a caixa marcar ao lado da primeira coluna e selecione a ação Editar exibida.

  4. No flyout Editar URL que é aberto, as seguintes configurações estão disponíveis:

    • Bloquear entradas:
      • Remover a entrada do bloco após: Selecione nos seguintes valores:
        • 1 dia
        • 7 dias
        • 30 dias
        • Nunca expirar
        • Data específica: o valor máximo é de 90 dias a partir de hoje.
      • Observação opcional
    • Permitir entradas:
      • Remova a entrada de permissão após: Selecione nos seguintes valores:
        • 1 dia
        • 7 dias
        • 30 dias
        • Data específica: o valor máximo é de 30 dias a partir de hoje.
      • Observação opcional

    Quando terminar no flyout Editar URL , selecione Salvar.

Dica

No flyout de detalhes de uma entrada na guia URLs , use Exibir envio na parte superior do flyout para acessar os detalhes da entrada correspondente na página Envios . Essa ação estará disponível se um envio for responsável pela criação da entrada na Lista de Permissões/Blocos do Locatário.

Usar o PowerShell para modificar entradas para URLs na Lista de Permissões/Blocos do Locatário

Em Exchange Online PowerShell, use a seguinte sintaxe:

Set-TenantAllowBlockListItems -ListType Url <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]

Este exemplo altera a data de validade da entrada do bloco para a URL especificada.

Set-TenantAllowBlockListItems -ListType Url -Entries "~contoso.com" -ExpirationDate "9/1/2022"

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Set-TenantAllowBlockListItems.

Use o portal Microsoft Defender para remover entradas para URLs da Lista de Permissões/Blocos do Locatário

  1. No portal Microsoft Defender no https://security.microsoft.com, acesse Políticas & regras>Regras depolíticas> de ameaças seção >Permitir/Bloquear Listas. Ou, para ir diretamente para a página Permitir/Bloquear Lista de Locatários , use https://security.microsoft.com/tenantAllowBlockList.

  2. Selecione a guia URLs .

  3. Na guia URLs , faça uma das seguintes etapas:

    • Selecione a entrada na lista selecionando a caixa marcar ao lado da primeira coluna e selecione a ação Excluir exibida.

    • Selecione a entrada na lista clicando em qualquer lugar da linha que não seja a caixa marcar. No flyout de detalhes que é aberto, selecione Excluir na parte superior do flyout.

      Dica

      Para ver detalhes sobre outras entradas sem sair do flyout de detalhes, use Item Anterior e Próximo item na parte superior do flyout.

  4. Na caixa de diálogo de aviso que é aberta, selecione Excluir.

De volta à guia URLs , a entrada não está mais listada.

Dica

Você pode selecionar várias entradas selecionando cada caixa marcar ou selecionar todas as entradas selecionando a caixa marcar ao lado do cabeçalho da coluna Valor.

Usar o PowerShell para remover entradas para URLs da Lista de Permissões/Blocos do Locatário

Em Exchange Online PowerShell, use a seguinte sintaxe:

Remove-TenantAllowBlockListItems -ListType Url <-Ids <Identity value> | -Entries <Value>>

Este exemplo remove a entrada de bloco da URL especificada da Lista de Permissões/Blocos do Locatário.

Remove-TenantAllowBlockListItems -ListType Url -Entries "*cohovineyard.com

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Remove-TenantAllowBlockListItems.

Sintaxe de URL para a Lista de Permissões/Blocos do Locatário

  • Endereços IPv4 e IPv6 são permitidos, mas as portas TCP/UDP não são.

  • Extensões de nome de arquivo não são permitidas (por exemplo, test.pdf).

  • Não há suporte para Unicode, mas o Punycode é.

  • Os nomes de host são permitidos se todas as seguintes instruções forem verdadeiras:

    • O nome do host contém um período.
    • Há pelo menos um caractere à esquerda do período.
    • Há pelo menos dois caracteres à direita do período.

    Por exemplo, t.co é permitido; .com ou contoso. não é permitido.

  • Os subpastas não estão implícitos para permissões.

    Por exemplo, contoso.com não inclui contoso.com/a.

  • Curingas (*) são permitidos nos seguintes cenários:

    • Um curinga esquerdo deve ser seguido por um período para especificar um subdomínio. (aplicável somente para blocos)

      Por exemplo, *.contoso.com é permitido; *contoso.com não é permitido.

    • Um curinga direito deve seguir uma barra de encaminhamento (/) para especificar um caminho.

      Por exemplo, contoso.com/* é permitido; contoso.com* ou contoso.com/ab* não é permitido.

    • *.com* é inválido (não é um domínio resolvível e o curinga direito não segue uma barra para a frente).

    • Curingas não são permitidos em endereços IP.

  • O caractere til (~) está disponível nos seguintes cenários:

    • Um bloco esquerdo implica um domínio e todos os subdomínios.

      Por exemplo, ~contoso.com inclui contoso.com e *.contoso.com.

  • Não há suporte nem necessidade de um nome de usuário ou senha.

  • Aspas (' ou ") são caracteres inválidos.

  • Uma URL deve incluir todos os redirecionamentos sempre que possível.

Cenários de entrada de URL

Entradas de URL válidas e seus resultados são descritos nas subseções a seguir.

Cenário: Bloqueio de domínio de nível superior

Entrada: *.<TLD>/*

  • Correspondência de blocos:
    • a.TLD
    • TLD/abcd
    • b.abcd.TLD
    • TLD/contoso.com
    • TLD/q=contoso.com
    • www.abcd.TLD
    • www.abcd.TLD/q=a@contoso.com

Cenário: sem curingas

Entrada: contoso.com

  • Permitir correspondência: contoso.com

  • Permitir que não corresponda:

    • abc-contoso.com
    • contoso.com/a
    • payroll.contoso.com
    • test.com/contoso.com
    • test.com/q=contoso.com
    • www.contoso.com
    • www.contoso.com/q=a@contoso.com

  • Correspondência de blocos:

    • contoso.com
    • contoso.com/a
    • payroll.contoso.com
    • test.com/contoso.com
    • test.com/q=contoso.com
    • www.contoso.com
    • www.contoso.com/q=a@contoso.com

  • Bloco não correspondido: abc-contoso.com

Cenário: curinga esquerdo (subdomínio)

Dica

As entradas de permissão desse padrão são compatíveis apenas com a configuração de entrega avançada.

Entrada: *.contoso.com

  • Permitir correspondência e Bloquear correspondência:

    • www.contoso.com
    • xyz.abc.contoso.com

  • Permitir não correspondido e Bloquear não correspondido:

    • 123contoso.com
    • contoso.com
    • test.com/contoso.com
    • www.contoso.com/abc

Cenário: curinga direito no topo do caminho

Entrada: contoso.com/a/*

  • Permitir correspondência e Bloquear correspondência:

    • contoso.com/a/b
    • contoso.com/a/b/c
    • contoso.com/a/?q=joe@t.com

  • Permitir não correspondido e Bloquear não correspondido:

    • contoso.com
    • contoso.com/a
    • www.contoso.com
    • www.contoso.com/q=a@contoso.com

Cenário: bloco esquerdo

Dica

As entradas de permissão desse padrão são compatíveis apenas com a configuração de entrega avançada.

Entrada: ~contoso.com

  • Permitir correspondência e Bloquear correspondência:

    • contoso.com
    • www.contoso.com
    • xyz.abc.contoso.com

  • Permitir não correspondido e Bloquear não correspondido:

    • 123contoso.com
    • contoso.com/abc
    • www.contoso.com/abc

Cenário: Sufixo curinga direito

Entrada: contoso.com/*

  • Permitir correspondência e Bloquear correspondência:

    • contoso.com/?q=whatever@fabrikam.com
    • contoso.com/a
    • contoso.com/a/b/c
    • contoso.com/ab
    • contoso.com/b
    • contoso.com/b/a/c
    • contoso.com/ba

  • Permitir que não corresponda e Bloquear não correspondido: contoso.com

Cenário: subdomínio curinga esquerdo e sufixo curinga direito

Dica

As entradas de permissão desse padrão são compatíveis apenas com a configuração de entrega avançada.

Entrada: *.contoso.com/*

  • Permitir correspondência e Bloquear correspondência:

    • abc.contoso.com/ab
    • abc.xyz.contoso.com/a/b/c
    • www.contoso.com/a
    • www.contoso.com/b/a/c
    • xyz.contoso.com/ba

  • Permitir que não corresponda e Bloquear não corresponda: contoso.com/b

Cenário: bloco esquerdo e direito

Dica

As entradas de permissão desse padrão são compatíveis apenas com a configuração de entrega avançada.

Entrada: ~contoso.com~

  • Permitir correspondência e Bloquear correspondência:

    • contoso.com
    • contoso.com/a
    • www.contoso.com
    • www.contoso.com/b
    • xyz.abc.contoso.com
    • abc.xyz.contoso.com/a/b/c
    • contoso.com/b/a/c
    • test.com/contoso.com

  • Permitir não correspondido e Bloquear não correspondido:

    • 123contoso.com
    • contoso.org
    • test.com/q=contoso.com

Cenário: endereço IP

Entrada: 1.2.3.4

  • Permitir correspondência e Bloquear correspondência: 1.2.3.4

  • Permitir não correspondido e Bloquear não correspondido:

    • 1.2.3.4/a
    • 11.2.3.4/a

Endereço IP com curinga direito

Entrada: 1.2.3.4/*

  • Permitir correspondência e Bloquear correspondência:
    • 1.2.3.4/b
    • 1.2.3.4/baaaa

Exemplos de entradas inválidas

As seguintes entradas são inválidas:

  • Valores de domínio ausentes ou inválidos:

    • Contoso
    • *.Contoso.*
    • *.com
    • *.pdf

  • Curinga no texto ou sem caracteres de espaçamento:

    • *contoso.com
    • contoso.com*
    • *1.2.3.4
    • 1.2.3.4*
    • contoso.com/a*
    • contoso.com/ab*

  • Endereços IP com portas:

    • contoso.com:443
    • abc.contoso.com:25

  • Curingas não descritivos:

    • *
    • *.*

  • Curingas médios:

    • conto*so.com
    • conto~so.com

  • Curingas duplos

    • contoso.com/**
    • contoso.com/*/*