Разрешение и блокировка URL-адресов с помощью списка разрешенных и заблокированных клиентов

• Применяется к:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Совет

Знаете ли вы, что можете бесплатно опробовать функции XDR в Microsoft Defender для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Сведения о том, кто может зарегистрироваться и условия пробной версии , см. здесь.

В организациях Microsoft 365 с почтовыми ящиками в Exchange Online или автономных организациях Exchange Online Protection (EOP) без почтовых ящиков Exchange Online администраторы могут создавать записи ДЛЯ URL-адресов в списке разрешенных и заблокированных клиентов и управлять ими. Дополнительные сведения о списке разрешенных и заблокированных клиентов см. в разделе Управление разрешениями и блоками в списке разрешенных и заблокированных клиентов.

Примечание.

Чтобы разрешить фишинговые URL-адреса из сторонних симуляций фишинга, используйте расширенную конфигурацию доставки для указания URL-адресов. Не используйте список разрешенных и заблокированных клиентов.

В этой статье описывается, как администраторы могут управлять записями для URL-адресов на портале Microsoft Defender и в Exchange Online PowerShell.

Что нужно знать перед началом работы

• Откройте портал Microsoft Defender по адресу https://security.microsoft.com. Чтобы перейти непосредственно на страницу Списка разрешенных и заблокированных клиентов, используйте .https://security.microsoft.com/tenantAllowBlockList Чтобы перейти непосредственно на страницу Отправки, используйте .https://security.microsoft.com/reportsubmission

• Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell. Чтобы подключиться к автономному EOP PowerShell, см. раздел Подключение к PowerShell Exchange Online Protection.

• Синтаксис ввода URL-адреса см. в синтаксисе URL-адресов для раздела Список разрешенных и заблокированных клиентов далее в этой статье.

• • Ограничения на вход для URL-адресов:
  • Exchange Online Protection. Максимальное число разрешенных записей — 500, а максимальное количество блок-записей — 500 (всего 1000 записей URL-адреса).
  • Defender для Office 365, план 1. Максимальное число разрешенных записей — 1000, а максимальное количество блок-записей — 1000 (всего 2000 записей URL-адресов).
  • Defender для Office 365, план 2. Максимальное число разрешенных записей — 5000, а максимальное количество блок-записей — 10 000 (всего 15 000 записей URL-адреса).

• В записи URL-адреса можно ввести не более 250 символов.

• Запись должна быть активна в течение 5 минут.

• Перед выполнением процедур, описанных в этой статье, вам необходимо назначить разрешения. Возможны следующие варианты:

  • Единое управление доступом на основе ролей (RBAC) в Microsoft Defender XDR (если активны разрешения Microsoft Defender & совместной работы>Defender для Office 365. Влияет только на портал Defender, а не На PowerShell:

    • Добавление и удаление записей из списка разрешенных и заблокированных клиентов: членство, назначенное со следующими разрешениями:
      • Авторизация и параметры/Параметры безопасности/Настройка обнаружения (управление)
    • Доступ только для чтения к списку разрешенных и заблокированных клиентов:
      • Авторизация и параметры/Параметры безопасности/Только для чтения.
      • Авторизация и параметры/Параметры безопасности/Основные параметры безопасности (чтение).

  • Разрешения Exchange Online:

    • Добавление и удаление записей из списка разрешенных и заблокированных клиентов: членство в одной из следующих групп ролей:
      • Управление организацией или администратор безопасности (роль администратора безопасности).
      • Оператор безопасности (клиент AllowBlockList Manager).
    • Доступ только для чтения к списку разрешенных и заблокированных клиентов: членство в одной из следующих групп ролей:
      • Глобальное средство чтения
      • Читатель сведений о безопасности
      • Конфигурация только для чтения
      • View-Only Organization Management

  • Разрешения Microsoft Entra. Членство в ролях "Глобальный администратор^*", "Администратор безопасности", "Глобальный читатель" или "Читатель безопасности" предоставляет пользователям необходимые разрешения и разрешения для других функций Microsoft 365.

    Важно!

    ^* Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Использование учетных записей с более низкими разрешениями помогает повысить безопасность организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.

Создание разрешенных записей для URL-адресов

Нельзя создавать разрешенные записи для URL-адресов непосредственно в списке разрешенных и заблокированных клиентов. Ненужные записи разрешения предоставляют вашей организации вредоносные сообщения электронной почты, которые были бы отфильтрованы системой.

Вместо этого вы используете вкладку URL-адреса на странице Отправки по адресу https://security.microsoft.com/reportsubmission?viewid=url. Когда вы отправляете заблокированный URL-адрес, так как я убедилась, что он чист, вы можете выбрать Разрешить этот URL-адрес для добавления и разрешить запись для URL-адреса на вкладке URL-адреса на странице Списки разрешенных и заблокированных клиентов . Инструкции см. в статье Отчет о хороших URL-адресах в Майкрософт.

Совет

Разрешенные записи из отправки добавляются во время потока обработки почты на основе фильтров, которые определили, что сообщение было вредоносным. Например, если адрес электронной почты отправителя и URL-адрес в сообщении определены как вредоносные, для отправителя (адрес электронной почты или домен) и URL-адреса создается запись разрешения.

Если во время потока обработки почты или во время щелчка сообщения, содержащие сущности в разрешенных записях, проходят другие проверки в стеке фильтрации, сообщения доставляются (все фильтры, связанные с разрешенными сущностями, пропускаются). Например, если сообщение проходит проверку подлинности электронной почты, фильтрацию URL-адресов и фильтрацию файлов, сообщение с разрешенного адреса электронной почты доставляется, если оно также от разрешенного отправителя.

По умолчанию разрешенные записи для доменов и адресов электронной почты, файлов и URL-адресов хранятся в течение 45 дней после того, как система фильтрации определит, что сущность чиста, а затем запись разрешения удаляется. Или можно задать срок действия разрешенных записей до 30 дней после их создания. Срок действия разрешенных записей для подделанных отправителей никогда не истекает.

Во время щелчка url-адреса разрешить запись переопределяет все фильтры, связанные с сущностью URL-адреса, что позволяет пользователям получать доступ к URL-адресу.

Разрешенная запись URL-адреса не препятствует переносу URL-адреса с помощью защиты безопасных ссылок в Defender для Office 365. Дополнительные сведения см . в разделе Не переписывать список в SafeLinks.

Создание записей блоков для URL-адресов

Сообщения электронной почты, содержащие эти заблокированные URL-адреса, блокируются как фишинг с высокой достоверностью. Сообщения, содержащие заблокированные URL-адреса, помещаются в карантин.

Чтобы создать блочные записи для URL-адресов, используйте один из следующих методов:

Для создания записей блоков для URL-адресов доступны следующие варианты:

• На вкладке URL-адреса на странице Отправки по адресу https://security.microsoft.com/reportsubmission?viewid=url. Когда вы отправляете сообщение, когда я убедилась, что это угроза, вы можете выбрать Блокировать этот URL-адрес , чтобы добавить запись блока на вкладку URL-адреса на странице Списки разрешенных и заблокированных клиентов . Инструкции см. в статье Отчет о сомнительных URL-адресах в Майкрософт.

• На вкладке URL-адреса на странице Списки разрешенных и заблокированных клиентов или в PowerShell, как описано в этом разделе.

Использование портала Microsoft Defender для создания записей блоков для URL-адресов в списке разрешенных и заблокированных клиентов

1. На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Политики & правила>Политики> угроз, раздел >Списки разрешенных и заблокированных клиентов. Или, чтобы перейти непосредственно на страницу Список разрешенных и заблокированных клиентов , используйте https://security.microsoft.com/tenantAllowBlockList.

2. На странице Список разрешенных и заблокированных клиентов выберите вкладку URL-адреса .

3. На вкладке URL-адреса выберите Блокировать.

4. Во всплывающем окне Блокировать URL-адреса настройте следующие параметры:

   • Добавление URL-адресов с подстановочными знаками. Введите один URL-адрес в строке не более 20. Дополнительные сведения о синтаксисе для записей URL-адресов см. в разделе Синтаксис URL-адресов для списка разрешенных и заблокированных клиентов далее в этой статье.

   • Удалить запись блока после. Выберите из следующих значений:

     • Срок действия не истекает
     • 1 день
     • 7 дней
     • 30 дней (по умолчанию)
     • Конкретная дата: максимальное значение — 90 дней с сегодняшнего дня.

   • Необязательное примечание. Введите описательный текст, чтобы указать причину блокировки URL-адресов.

   Завершив работу во всплывающем окне Блокировать URL-адреса , нажмите кнопку Добавить.

На вкладке URL-адреса отображается запись.

Использование PowerShell для создания записей блоков для URL-адресов в списке разрешенных и заблокированных клиентов

В Exchange Online PowerShell используйте следующий синтаксис:

New-TenantAllowBlockListItems -ListType Url -Block -Entries "Value1","Value2",..."ValueN" <-ExpirationDate <Date> | -NoExpiration> [-Notes <String>]

В этом примере добавляется запись блока для contoso.com URL-адреса и всех поддоменов (например, contoso.com и xyz.abc.contoso.com). Так как мы не использовали параметры ExpirationDate или NoExpiration, срок действия записи истекает через 30 дней.

New-TenantAllowBlockListItems -ListType Url -Block -Entries *contoso.com

Подробные сведения о синтаксисе и параметрах см. в разделе New-TenantAllowBlockListItems.

Использование портала Microsoft Defender для просмотра записей URL-адресов в списке разрешенных и заблокированных клиентов

На портале Microsoft Defender по адресу https://security.microsoft.comвыберите Политики & правила>Политики> угрозСписки разрешенных и заблокированных клиентов в разделе Правила. Или, чтобы перейти непосредственно на страницу Списки разрешенных и заблокированных клиентов , используйте https://security.microsoft.com/tenantAllowBlockList.

Перейдите на вкладку URL-адреса .

На вкладке URL-адреса можно отсортировать записи, щелкнув доступный заголовок столбца. Доступны следующие столбцы:

• Значение: URL-адрес.
• Действие. Доступные значения : Разрешить или Блокировать.
• Изменено
• Последнее обновление
• Дата последнего использования: дата последнего использования записи в системе фильтрации для переопределения вердикта.
• Удалить в: дата окончания срока действия.
• Примечания.

Чтобы отфильтровать записи, выберите Фильтр. В открываемом всплывающем окне Фильтр доступны следующие фильтры:

• Действие. Доступные значения : Разрешить и Блокировать.
• Срок действия не истекает: или
• Последнее обновление: выберите От и К датам .
• Дата последнего использования: выберите От и До даты.
• Удалить в: выберите От и К датам.

По завершении во всплывающем окне Фильтр нажмите кнопку Применить. Чтобы очистить фильтры, выберите Очистить фильтры.

Используйте поле Поиск и соответствующее значение для поиска определенных записей.

Чтобы сгруппировать записи, выберите Группировать , а затем — Действие. Чтобы разгруппировать записи, выберите Нет.

Использование PowerShell для просмотра записей URL-адресов в списке разрешенных и заблокированных клиентов

В Exchange Online PowerShell используйте следующий синтаксис:

Get-TenantAllowBlockListItems -ListType Url [-Allow] [-Block] [-Entry <URLValue>] [<-ExpirationDate <Date> | -NoExpiration>]

В этом примере возвращаются все разрешенные и заблокированные URL-адреса.

Get-TenantAllowBlockListItems -ListType Url

В этом примере результаты фильтруется по заблокированным URL-адресам.

Get-TenantAllowBlockListItems -ListType Url -Block

Подробные сведения о синтаксисе и параметрах см. в разделе Get-TenantAllowBlockListItems.

Использование портала Microsoft Defender для изменения записей URL-адресов в списке разрешенных и заблокированных клиентов

В существующих записях URL-адреса можно изменить дату окончания срока действия и примечание.

1. На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Политики & правила>Политики> угроз, раздел >Списки разрешенных и заблокированных клиентов. Или, чтобы перейти непосредственно на страницу Списки разрешенных и заблокированных клиентов , используйте https://security.microsoft.com/tenantAllowBlockList.

2. Выберите вкладку URL-адреса

3. На вкладке URL-адреса выберите запись из списка, установив флажок рядом с первым столбцом, а затем выберите действие Изменить.

4. Во всплывающем окне Изменение URL-адреса доступны следующие параметры:

   • Блокировочные записи:
     • Удалить запись блока после. Выберите из следующих значений:
       • 1 день
       • 7 дней
       • 30 дней
       • Срок действия не истекает
       • Конкретная дата: максимальное значение — 90 дней с сегодняшнего дня.
     • Необязательное примечание
   • Разрешить записи:
     • Удалить разрешить запись после. Выберите из следующих значений:
       • 1 день
       • 7 дней
       • 30 дней
       • 45 дней после последней даты использования
       • Конкретная дата: максимальное значение — 30 дней с сегодняшнего дня.
     • Необязательное примечание

   По завершении во всплывающем окне Изменение URL-адреса нажмите кнопку Сохранить.

Совет

Во всплывающем меню сведений о записи на вкладке URL-адреса используйте команду Просмотр отправки в верхней части всплывающего окна, чтобы перейти к сведениям о соответствующей записи на странице Отправки . Это действие доступно, если отправка отвечала за создание записи в списке разрешенных и заблокированных клиентов.

Использование PowerShell для изменения записей URL-адресов в списке разрешенных и заблокированных клиентов

В Exchange Online PowerShell используйте следующий синтаксис:

Set-TenantAllowBlockListItems -ListType Url <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]

В этом примере изменяется дата окончания срока действия записи блока для указанного URL-адреса.

Set-TenantAllowBlockListItems -ListType Url -Entries "~contoso.com" -ExpirationDate "9/1/2022"

Подробные сведения о синтаксисе и параметрах см. в разделе Set-TenantAllowBlockListItems.

Использование портала Microsoft Defender для удаления записей URL-адресов из списка разрешенных и заблокированных клиентов

1. На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Политики & правила>Политики> угроз, раздел >Списки разрешенных и заблокированных клиентов. Или, чтобы перейти непосредственно на страницу Список разрешенных и заблокированных клиентов , используйте https://security.microsoft.com/tenantAllowBlockList.

2. Перейдите на вкладку URL-адреса .

3. На вкладке URL-адреса выполните одно из следующих действий.

   • Выберите запись из списка, установив флажок рядом с первым столбцом, а затем выберите действие Удалить, которое появится.

   • Выберите запись из списка, щелкнув в любом месте строки, кроме флажка. Во всплывающем окне сведений выберите Удалить в верхней части всплывающего окна.

     Совет

     Чтобы просмотреть сведения о других записях, не выходя из всплывающего меню сведений, используйте предыдущий элемент и следующий элемент в верхней части всплывающего окна.

4. В открывшемся диалоговом окне предупреждения выберите Удалить.

На вкладке URL-адреса запись больше не отображается.

Совет

Можно выбрать несколько записей, установив каждый флажок, или выбрать все записи, установив флажок рядом с заголовком столбца Значение .

Удаление записей URL-адресов из списка разрешенных и заблокированных клиентов с помощью PowerShell

В Exchange Online PowerShell используйте следующий синтаксис:

Remove-TenantAllowBlockListItems -ListType Url <-Ids <Identity value> | -Entries <Value>>

В этом примере запись блока для указанного URL-адреса удаляется из списка разрешенных и заблокированных клиентов.

Remove-TenantAllowBlockListItems -ListType Url -Entries "*cohovineyard.com

Подробные сведения о синтаксисе и параметрах см. в разделе Remove-TenantAllowBlockListItems.

Синтаксис URL-адреса для списка разрешенных и заблокированных клиентов

• Адреса IPv4 и IPv6 разрешены, но порты TCP/UDP — нет.

• Расширения имен файлов не допускаются (например, test.pdf).

• Юникод не поддерживается, но Punycode — это.

• Имена узлов разрешены, если все следующие инструкции имеют значение true:

  • Имя узла содержит точку.
  • Слева от точки есть по крайней мере один символ.
  • Справа от точки есть по крайней мере два символа.

  Например, t.co разрешено или .comcontoso. запрещено.

• Подпутьи не подразумеваются для разрешений.

  Например, contoso.com не включает contoso.com/a.

• Подстановочные знаки (*) разрешены в следующих сценариях:

  • За подстановочным знаком слева должна следовать точка для указания поддомена. (применимо только для блоков)

    Например, *.contoso.com значение разрешено; *contoso.com запрещено.

  • Чтобы указать путь, справа должен следовать косая черта (/).

    Например, contoso.com/* разрешено или contoso.com*contoso.com/ab* запрещено.

  • *.com* недопустим (не является разрешаемым доменом, и правильный подстановочный знак не следует за косой чертой).

  • Подстановочные знаки не допускаются в IP-адресах.

• Символ тильды (~) доступен в следующих сценариях:

  • Левая тильда подразумевает домен и все поддомены.

    Например, ~contoso.com включает contoso.com и *.contoso.com.

• Имя пользователя или пароль не поддерживается и не требуется.

• Кавычки (' или ") являются недопустимыми символами.

• URL-адрес должен содержать все перенаправления, где это возможно.

Сценарии ввода URL-адресов

Допустимые записи URL-адресов и их результаты описаны в следующих подразделах.

Сценарий. Блокировка домена верхнего уровня

Запись: *.<TLD>/*

• Совпадение блоков:
  • a.TLD
  • TLD/abcd
  • b.abcd.TLD
  • TLD/contoso.com
  • TLD/q=contoso.com
  • www.abcd.TLD
  • www.abcd.TLD/q=a@contoso.com

Сценарий. Подстановочные знаки отсутствуют

Запись: contoso.com

• Разрешить совпадение: contoso.com

• Разрешить не совпадает:

  • abc-contoso.com
  • contoso.com/a
  • payroll.contoso.com
  • test.com/contoso.com
  • test.com/q=contoso.com
  • www.contoso.com
  • www.contoso.com/q=a@contoso.com

• Совпадение блоков:

  • contoso.com
  • contoso.com/a
  • payroll.contoso.com
  • test.com/contoso.com
  • test.com/q=contoso.com
  • www.contoso.com
  • www.contoso.com/q=a@contoso.com

• Блок не соответствует: abc-contoso.com

Сценарий: левый подстановочный знак (поддомен)

Совет

Разрешить записи этого шаблона поддерживаются только в расширенной конфигурации доставки.

Запись: *.contoso.com

• Разрешить совпадение и совпадение блоков:

  • www.contoso.com
  • xyz.abc.contoso.com

• Разрешить не совпадать и Блокировать не соответствует:

  • 123contoso.com
  • contoso.com
  • test.com/contoso.com
  • www.contoso.com/abc

Сценарий: подстановочный знак справа в верхней части пути

Запись: contoso.com/a/*

• Разрешить совпадение и совпадение блоков:

  • contoso.com/a/b
  • contoso.com/a/b/c
  • contoso.com/a/?q=joe@t.com

• Разрешить не совпадать и Блокировать не соответствует:

  • contoso.com
  • contoso.com/a
  • www.contoso.com
  • www.contoso.com/q=a@contoso.com

Сценарий: левая тильда

Совет

Разрешить записи этого шаблона поддерживаются только в расширенной конфигурации доставки.

Запись: ~contoso.com

• Разрешить совпадение и совпадение блоков:

  • contoso.com
  • www.contoso.com
  • xyz.abc.contoso.com

• Разрешить не совпадать и Блокировать не соответствует:

  • 123contoso.com
  • contoso.com/abc
  • www.contoso.com/abc

Сценарий: суффикс с подстановочными знаками справа

Запись: contoso.com/*

• Разрешить совпадение и совпадение блоков:

  • contoso.com/?q=whatever@fabrikam.com
  • contoso.com/a
  • contoso.com/a/b/c
  • contoso.com/ab
  • contoso.com/b
  • contoso.com/b/a/c
  • contoso.com/ba

• Разрешить не совпадать и Блокировать не соответствует: contoso.com

Сценарий: поддомен слева и правый суффикс с подстановочными знаками

Совет

Разрешить записи этого шаблона поддерживаются только в расширенной конфигурации доставки.

Запись: *.contoso.com/*

• Разрешить совпадение и совпадение блоков:

  • abc.contoso.com/ab
  • abc.xyz.contoso.com/a/b/c
  • www.contoso.com/a
  • www.contoso.com/b/a/c
  • xyz.contoso.com/ba

• Разрешить не совпадать и Блокировать не соответствует: contoso.com/b

Сценарий: левая и правая тильда

Совет

Разрешить записи этого шаблона поддерживаются только в расширенной конфигурации доставки.

Запись: ~contoso.com~

• Разрешить совпадение и совпадение блоков:

  • contoso.com
  • contoso.com/a
  • www.contoso.com
  • www.contoso.com/b
  • xyz.abc.contoso.com
  • abc.xyz.contoso.com/a/b/c
  • contoso.com/b/a/c
  • test.com/contoso.com

• Разрешить не совпадать и Блокировать не соответствует:

  • 123contoso.com
  • contoso.org
  • test.com/q=contoso.com

Сценарий: IP-адрес

Запись: 1.2.3.4

• Разрешить совпадение и совпадение блоков: 1.2.3.4

• Разрешить не совпадать и Блокировать не соответствует:

  • 1.2.3.4/a
  • 11.2.3.4/a

IP-адрес с подстановочными знаками

Запись: 1.2.3.4/*

• Разрешить совпадение и совпадение блоков:
  • 1.2.3.4/b
  • 1.2.3.4/baaaa

Примеры недопустимых записей

Недопустимы следующие записи:

• Отсутствующие или недопустимые значения домена:

  • contoso
  • *.contoso.*
  • *.com
  • *.pdf

• Подстановочный знак в тексте или без интервалов:

  • *contoso.com
  • contoso.com*
  • *1.2.3.4
  • 1.2.3.4*
  • contoso.com/a*
  • contoso.com/ab*

• IP-адреса с портами:

  • contoso.com:443
  • abc.contoso.com:25

• Неописуемые подстановочные знаки:

  • *
  • *.*

• Средние подстановочные знаки:

  • conto*so.com
  • conto~so.com

• Двойные подстановочные знаки

  • contoso.com/**
  • contoso.com/*/*

Связанные статьи

• Используйте страницу Отправки для отправки в корпорацию Майкрософт подозрительных сообщений о спаме, фишинге, URL-адресах, блокировке допустимых сообщений электронной почты и вложений электронной почты.
• Отчет о ложноположительных и ложноотрицательных результатах
• Управление разрешениями и блоками в списке разрешенных и заблокированных клиентов
• Разрешить или заблокировать файлы в списке разрешенных и заблокированных клиентов
• Разрешить или заблокировать сообщения электронной почты в списке разрешенных и заблокированных клиентов