Gerir permissões e blocos na Lista de Permissões/Bloqueios de Inquilinos

• Aplica-se a:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Sugestão

Sabia que pode experimentar as funcionalidades no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação aqui.

Importante

Para permitir URLs de phishing que fazem parte da preparação de simulação de ataques de terceiros, utilize a configuração de entrega avançada para especificar os URLs. Não utilize a Lista de Permissões/Bloqueios de Inquilinos.

Nas organizações do Microsoft 365 com caixas de correio em Exchange Online ou organizações autónomas de Proteção do Exchange Online (EOP) sem Exchange Online caixas de correio, poderá discordar da EOP ou Microsoft Defender para Office 365 veredicto de filtragem. Por exemplo, uma boa mensagem pode ser marcada como incorreta (um falso positivo) ou pode ser permitida uma mensagem incorreta (um falso negativo).

A Lista de Permissões/Bloqueios de Inquilinos no portal do Microsoft Defender dá-lhe uma forma de substituir manualmente os veredictos de filtragem de Defender para Office 365 ou EOP. A lista é utilizada durante o fluxo de correio para mensagens recebidas de remetentes externos.

A Lista de Permissões/Bloqueios de Inquilinos não se aplica a mensagens internas na organização. No entanto, bloquear entradas para Domínios e endereços de e-mail impede que os utilizadores na organização enviem e-mails para esses domínios e endereços bloqueados.

A lista Permitir/Bloquear Inquilino está disponível no portal do Microsoft Defender em https://security.microsoft.com>Políticas & regras políticas>> de ameaças InquilinoPermitir/Bloquear Listas na secção Regras. Para aceder diretamente à página Permitir/Bloquear Listas do Inquilino, utilize https://security.microsoft.com/tenantAllowBlockList.

Para obter instruções de utilização e configuração, veja os seguintes artigos:

• Domínios e endereços de e-mail e remetentes falsificados: Permitir ou bloquear e-mails com a Lista de Permissões/Bloqueios do Inquilino
• Ficheiros: Permitir ou bloquear ficheiros com a Lista de Permissões/Bloqueios do Inquilino
• URLs: permitir ou bloquear URLs com a Lista de Permissões/Bloqueios do Inquilino.

Estes artigos contêm procedimentos no portal Microsoft Defender e no PowerShell.

Bloquear entradas na Lista de Permissões/Bloqueios de Inquilinos

Nota

Na Lista de Permissões/Bloqueios do Inquilino, as entradas de bloco têm precedência sobre as entradas de permissão.

Utilize a página Submissões (também conhecida como submissão de administrador) em https://security.microsoft.com/reportsubmission para criar entradas de bloco para os seguintes tipos de itens à medida que os reporta como falsos negativos para a Microsoft:

• Domínios e endereços de e-mail:

  • Email mensagens destes remetentes são marcadas como phishing de alta confiança e, em seguida, movidas para quarentena.
  • Os utilizadores na organização não podem enviar e-mails para estes domínios e endereços bloqueados. Recebem o seguinte relatório de entrega sem êxito (também conhecido como NDR ou mensagem de devolução): 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. toda a mensagem é bloqueada para todos os destinatários internos e externos da mensagem, mesmo que apenas um endereço de e-mail ou domínio de destinatário esteja definido numa entrada de bloco.

  Sugestão

  Para bloquear apenas spam de um remetente específico, adicione o endereço de e-mail ou domínio à lista de blocos em políticas antisspam. Para bloquear todos os e-mails do remetente, utilize Domínios e endereços de e-mail na Lista de Permissões/Bloqueios do Inquilino.

• Ficheiros: Email mensagens que contêm estes ficheiros bloqueados são bloqueadas como software maligno. As mensagens que contêm os ficheiros bloqueados são colocadas em quarentena.

• URLs: Email mensagens que contêm estes URLs bloqueados são bloqueadas como phishing de alta confiança. As mensagens que contêm os URLs bloqueados são colocadas em quarentena.

Na Lista de Permissões/Bloqueios do Inquilino, também pode criar diretamente entradas de blocos para os seguintes tipos de itens:

• Domínios e endereços de e-mail, Ficheiros e URLs.

• Remetentes falsificados: se substituir manualmente um veredicto de permissão existente da inteligência spoof, o remetente falsificado bloqueado torna-se uma entrada de bloqueio manual que aparece apenas no separador Remetentes falsificados na Lista de Permissões/Bloqueios de Inquilinos.

Por predefinição, as entradas de blocos para domínios e endereços de e-mail, ficheiros e URLs expiram após 30 dias, mas pode defini-las para expirarem até 90 dias ou para nunca expirarem. Bloquear entradas para remetentes falsificados nunca expiram .

Permitir entradas na Lista de Permissões/Bloqueios de Inquilinos

Na maioria dos casos, não pode criar diretamente entradas de permissão na Lista de Permissões/Bloqueios do Inquilino:

• Domínios e endereços de e-mail, ficheiros e URLs: não pode criar entradas de permissão diretamente na Lista de Permissões/Bloqueios do Inquilino. Em vez disso, utilize a página Submissões em https://security.microsoft.com/reportsubmission para comunicar o e-mail, anexo de e-mail ou URL à Microsoft, uma vez que Não deveria ter sido bloqueado (Falso positivo).

• Remetentes falsificados:

  • Se as informações de spoof já bloquearem a mensagem como spoofing, utilize a página Submissões em https://security.microsoft.com/reportsubmission para comunicar o e-mail à Microsoft como Não deveria ter sido bloqueado (Falso positivo).
  • Pode criar proativamente uma entrada de permissão para um remetente falsificado no separador Remetente falsificado na Lista de Permissões/Bloqueios do Inquilino antes de a inteligência spoof identificar e bloquear a mensagem como spoofing.

A lista seguinte descreve o que acontece na Lista de Permissões/Bloqueios de Inquilinos quando reporta algo à Microsoft como um falso positivo na página Submissões :

• Email anexos e URLs: é criada uma entrada de permissão e a entrada é apresentada no separador Ficheiros ou URLs na Lista de Permissões/Bloqueios do Inquilino, respetivamente.

  Para URLs comunicados como falsos positivos, vamos permitir mensagens subsequentes que contenham variações do URL original. Por exemplo, utilize a página Submissões para comunicar o URL www.contoso.com/abcbloqueado incorretamente. Se a sua organização receber mais tarde uma mensagem que contém o URL (por exemplo, mas não limitado a: www.contoso.com/abc, www.contoso.com/abc?id=1, www.contoso.com/abc/def/gty/uyt?id=5ou www.contoso.com/abc/whatever), a mensagem não será bloqueada com base no URL. Por outras palavras, não precisa de comunicar múltiplas variações do mesmo URL como bom para a Microsoft.

• Email: se uma mensagem tiver sido bloqueada pela EOP ou Defender para Office 365 pilha de filtragem, poderá ser criada uma entrada de permissão na Lista de Permissões/Bloqueios do Inquilino:

  • Se a mensagem tiver sido bloqueada por informações de spoof, é criada uma entrada de permissão para o remetente e a entrada é apresentada no separador Remetentes falsificados na Lista de Permissões/Bloqueios do Inquilino.
  • Se a mensagem tiver sido bloqueada pela proteção de representação do utilizador (ou gráfico) no Defender para Office 365, não será criada uma entrada de permissão na Lista de Permissões/Bloqueios de Inquilinos. Em vez disso, o domínio ou remetente é adicionado à secção Remetentes e domínios fidedignos na política anti-phishing que detetou a mensagem.
  • Se a mensagem tiver sido bloqueada devido a filtros baseados em ficheiros, é criada uma entrada de permissão para o ficheiro e a entrada é apresentada no separador Ficheiros na Lista de Permissões/Bloqueios do Inquilino.
  • Se a mensagem tiver sido bloqueada devido a filtros baseados em URL, é criada uma entrada de permissão para o URL e a entrada é apresentada no separador URL na Lista de Permissões/Bloqueios do Inquilino.
  • Se a mensagem tiver sido bloqueada por outro motivo, é criada uma entrada de permissão para o endereço de e-mail ou domínio do remetente e a entrada é apresentada no separador Domínios & endereços na Lista de Permissões/Bloqueios do Inquilino.
  • Se a mensagem não tiver sido bloqueada devido à filtragem, não serão criadas entradas de permissão em qualquer lugar.

Por predefinição, as entradas de permissão para domínios e endereços de e-mail, ficheiros e URLs existem durante 30 dias. Durante esses 30 dias, a Microsoft aprende com as entradas de permissão e remove-as ou expande-as automaticamente. Depois de a Microsoft aprender com as entradas de permissão removidas, as mensagens que contêm essas entidades serão entregues, a menos que seja detetada outra coisa na mensagem como maliciosa. Por predefinição, as entradas de permissões para remetentes falsificados nunca expiram.

Importante

A Microsoft não lhe permite criar entradas de permissão diretamente. As entradas de permissão desnecessárias expõem a sua organização a e-mails maliciosos que poderiam ter sido filtrados pelo sistema.

A Microsoft gere a criação de entradas de permissão a partir da página Submissões em https://security.microsoft.com/reportsubmission. As entradas de permissão são adicionadas durante o fluxo de correio com base nos filtros que determinaram que a mensagem era maliciosa. Por exemplo, se o endereço de e-mail do remetente e um URL na mensagem forem considerados incorretos, é criada uma entrada de permissão para o remetente (endereço de e-mail ou domínio) e o URL.

Quando a entidade é novamente encontrada (durante o fluxo de correio ou o tempo de clique), todos os filtros associados a essa entidade são ignorados.

Durante o fluxo de correio, se as mensagens que contêm a entidade permitida passarem outras verificações na pilha de filtragem, as mensagens serão entregues. Por exemplo, se uma mensagem passar verificações de autenticação de e-mail, filtragem de URL e filtragem de ficheiros, será entregue uma mensagem de um endereço de e-mail do remetente permitido.

O que esperar depois de adicionar uma entrada de permissão ou bloqueio

Depois de adicionar uma entrada de permissão na página Submissões ou uma entrada de bloco na Lista de Permissões /Bloqueios do Inquilino, a entrada deve começar a funcionar imediatamente (dentro de 5 minutos).

Se a Microsoft tiver aprendido com a entrada de permissão, a entrada será removida. Receberá um alerta sobre a remoção da entrada de permissão agora desnecessária da política de alerta incorporada denominada Remove an entry in Tenant Allow/Block List(Lista de Permissões/Bloqueios de Inquilinos).