Разрешение и блокировка URL-адресов с помощью списка разрешенных и заблокированных клиентов

• Применяется к:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Совет

Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Сведения о том, кто может зарегистрироваться и условия пробной версии , см. здесь.

В организациях Microsoft 365 с почтовыми ящиками в Exchange Online или автономных Exchange Online Protection организациях без Exchange Online почтовых ящиков администраторы могут создавать записи ДЛЯ URL-адресов в списке разрешенных и заблокированных клиентов и управлять ими. Дополнительные сведения о списке разрешенных и заблокированных клиентов см. в разделе Управление разрешениями и блоками в списке разрешенных и заблокированных клиентов.

Примечание.

Чтобы разрешить фишинговые URL-адреса из сторонних симуляций фишинга, используйте расширенную конфигурацию доставки для указания URL-адресов. Не используйте список разрешенных и заблокированных клиентов.

В этой статье описывается, как администраторы могут управлять записями для URL-адресов на портале Microsoft Defender и в Exchange Online PowerShell.

Что нужно знать перед началом работы

• Откройте портал Microsoft Defender по адресу https://security.microsoft.com. Чтобы перейти непосредственно на страницу Списка разрешенных и заблокированных клиентов, используйте .https://security.microsoft.com/tenantAllowBlockList Чтобы перейти непосредственно на страницу Отправки, используйте .https://security.microsoft.com/reportsubmission

• Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell. Чтобы подключиться к автономному EOP PowerShell, см. раздел Подключение к PowerShell Exchange Online Protection.

• Синтаксис ввода URL-адреса см. в синтаксисе URL-адресов для раздела Список разрешенных и заблокированных клиентов далее в этой статье.

• • Ограничения на вход для URL-адресов:
  • Exchange Online Protection: максимальное число разрешенных записей — 500, а максимальное число блок-записей — 500 (всего 1000 записей URL-адреса).
  • Defender для Office 365 план 1. Максимальное число разрешенных записей — 1000, а максимальное число блок-записей — 1000 (всего 2000 записей URL-адреса).
  • Defender для Office 365 план 2. Максимальное число разрешенных записей — 5000, а максимальное число блок-записей — 10 000 (всего 15 000 записей URL-адреса).

• В записи URL-адреса можно ввести не более 250 символов.

• Запись должна быть активна в течение 5 минут.

• Перед выполнением процедур, описанных в этой статье, вам необходимо назначить разрешения. Возможны следующие варианты:

  • Microsoft Defender XDR единое управление доступом на основе ролей (RBAC) (влияет только на портал Defender, а не На PowerShell):
    • Добавление и удаление записей из списка разрешенных и заблокированных клиентов: членство, назначенное со следующими разрешениями:
      • Авторизация и параметры/Параметры безопасности/Настройка обнаружения (управление)
    • Доступ только для чтения к списку разрешенных и заблокированных клиентов:
      • Авторизация и параметры/Параметры безопасности/Только для чтения.
      • Авторизация и параметры/Параметры безопасности/Основные параметры безопасности (чтение).
  • разрешения Exchange Online:
    • Добавление и удаление записей из списка разрешенных и заблокированных клиентов: членство в одной из следующих групп ролей:
      • Управление организацией или администратор безопасности (роль администратора безопасности).
      • Оператор безопасности (клиент AllowBlockList Manager).
    • Доступ только для чтения к списку разрешенных и заблокированных клиентов: членство в одной из следующих групп ролей:
      • Глобальный читатель
      • Читатель сведений о безопасности
      • Конфигурация только для чтения
      • View-Only Organization Management
  • Microsoft Entra разрешения. Членство в ролях глобального администратора, администратора безопасности, глобального читателя или читателя безопасности предоставляет пользователям необходимые разрешения и разрешения для других функций Microsoft 365.

Создание разрешенных записей для URL-адресов

Нельзя создавать разрешенные записи для URL-адресов непосредственно в списке разрешенных и заблокированных клиентов. Ненужные записи разрешения предоставляют вашей организации вредоносные сообщения электронной почты, которые были бы отфильтрованы системой.

Вместо этого вы используете вкладку URL-адреса на странице Отправки по адресу https://security.microsoft.com/reportsubmission?viewid=url. При отправке заблокированного URL-адреса в поле Не должно быть заблокировано (ложноположительный результат) можно выбрать Параметр Разрешить этот URL-адрес для добавления и разрешить запись url-адреса на вкладке URL-адреса на странице Списки разрешения и блокировки клиента. Инструкции см. в статье Отчет о хороших URL-адресах в Майкрософт.

Примечание.

Мы создаем разрешенные записи для URL-адресов, которые были определены нашими фильтрами как вредоносные во время потока обработки почты или во время щелчка.

Мы разрешаем последующие сообщения, содержащие варианты исходного URL-адреса. Например, вы используете страницу Отправки , чтобы сообщить о неправильно заблокированном URL-адресе www.contoso.com/abc. Если ваша организация позже получит сообщение, содержащее URL-адрес (напримерwww.contoso.com/abc, www.contoso.com/abc?id=1www.contoso.com/abc/def/gty/uyt?id=5или www.contoso.com/abc/whatver), сообщение не блокируется по URL-адресу. Иными словами, вам не нужно сообщать корпорации Майкрософт о нескольких вариантах одного и того же URL-адреса.

При повторном обнаружении сущности в записи разрешения (во время потока обработки почты или при щелчке), все фильтры, связанные с этой сущностью, переопределяются.

По умолчанию разрешенные записи для URL-адресов существуют в течение 30 дней. В течение этих 30 дней корпорация Майкрософт учится на разрешенных записях и удаляет их или автоматически расширяет их. После того как корпорация Майкрософт узнает из удаленных записей allow, сообщения, содержащие эти URL-адреса, доставляются, если что-то еще в сообщении не будет обнаружено как вредоносное.

Если во время потока обработки почты сообщения, содержащие разрешенный URL-адрес, проходят другие проверки в стеке фильтрации, сообщения доставляются. Например, если сообщение проходит проверку подлинности по электронной почте и фильтрацию файлов, сообщение доставляется, если оно также содержит разрешенный URL-адрес.

Во время щелчка url-адреса разрешить запись переопределяет все фильтры, связанные с сущностью URL-адреса, что позволяет пользователям получать доступ к URL-адресу.

Разрешенная запись URL-адреса не препятствует переносу URL-адреса с помощью защиты безопасных ссылок в Defender для Office 365. Дополнительные сведения см . в разделе Не переписывать список в SafeLinks.

Создание записей блоков для URL-адресов

Email сообщения, содержащие эти заблокированные URL-адреса, блокируются как фишинг с высокой достоверностью. Сообщения, содержащие заблокированные URL-адреса, помещаются в карантин.

Чтобы создать блочные записи для URL-адресов, используйте один из следующих методов:

Для создания записей блоков для URL-адресов доступны следующие варианты:

• На вкладке URL-адреса на странице Отправки по адресу https://security.microsoft.com/reportsubmission?viewid=url. При отправке сообщения Должно быть заблокировано (ложноотрицательный) можно выбрать Блокировать этот URL-адрес, чтобы добавить запись блока на вкладку URL-адреса на странице Разрешения и блокировки клиента Списки. Инструкции см. в статье Отчет о сомнительных URL-адресах в Майкрософт.

• На вкладке URL-адреса на странице Разрешения и блокировки клиента Списки или в PowerShell, как описано в этом разделе.

Использование портала Microsoft Defender для создания записей блокировки для URL-адресов в списке разрешенных и заблокированных клиентов

1. На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Политики & правила>Политики> угроз, раздел >Разрешения и блокировки Списки клиента. Или, чтобы перейти непосредственно на страницу Список разрешенных и заблокированных клиентов , используйте https://security.microsoft.com/tenantAllowBlockList.

2. На странице Список разрешенных и заблокированных клиентов выберите вкладку URL-адреса .

3. На вкладке URL-адреса выберите Блокировать.

4. Во всплывающем окне Блокировать URL-адреса настройте следующие параметры:

   • Добавление URL-адресов с подстановочными знаками. Введите один URL-адрес в строке не более 20. Дополнительные сведения о синтаксисе для записей URL-адресов см. в разделе Синтаксис URL-адресов для списка разрешенных и заблокированных клиентов далее в этой статье.

   • Удалить запись блока после. Выберите из следующих значений:

     • Срок действия не истекает
     • 1 день
     • 7 дней
     • 30 дней (по умолчанию)
     • Конкретная дата: максимальное значение — 90 дней с сегодняшнего дня.

   • Необязательное примечание. Введите описательный текст, чтобы указать причину блокировки URL-адресов.

   Завершив работу во всплывающем окне Блокировать URL-адреса , нажмите кнопку Добавить.

На вкладке URL-адреса отображается запись.

Использование PowerShell для создания записей блоков для URL-адресов в списке разрешенных и заблокированных клиентов

В Exchange Online PowerShell используйте следующий синтаксис:

New-TenantAllowBlockListItems -ListType Url -Block -Entries "Value1","Value2",..."ValueN" <-ExpirationDate <Date> | -NoExpiration> [-Notes <String>]

В этом примере добавляется запись блока для contoso.com URL-адреса и всех поддоменов (например, contoso.com и xyz.abc.contoso.com). Так как мы не использовали параметры ExpirationDate или NoExpiration, срок действия записи истекает через 30 дней.

New-TenantAllowBlockListItems -ListType Url -Block -Entries *contoso.com

Подробные сведения о синтаксисе и параметрах см. в разделе New-TenantAllowBlockListItems.

Используйте портал Microsoft Defender для просмотра записей URL-адресов в списке разрешенных и заблокированных клиентов

На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Политики & правила>Политики> угроз,разрешенные или заблокированные Списки клиента в разделе Правила. Или, чтобы перейти непосредственно на страницу разрешения или блокировки клиента Списки, используйте https://security.microsoft.com/tenantAllowBlockList.

Перейдите на вкладку URL-адреса .

На вкладке URL-адреса можно отсортировать записи, щелкнув доступный заголовок столбца. Доступны следующие столбцы:

• Значение: URL-адрес.
• Действие. Доступные значения : Разрешить или Блокировать.
• Изменено
• Последнее обновление
• Удалить в: дата окончания срока действия.
• Примечания.

Чтобы отфильтровать записи, выберите Фильтр. В открываемом всплывающем окне Фильтр доступны следующие фильтры:

• Действие. Доступные значения : Разрешить и Блокировать.
• Срок действия не истекает: или
• Последнее обновление: выберите От и К датам .
• Удалить в: выберите От и К датам.

По завершении во всплывающем окне Фильтр нажмите кнопку Применить. Чтобы очистить фильтры, выберите Очистить фильтры.

Используйте поле Поиск и соответствующее значение для поиска определенных записей.

Чтобы сгруппировать записи, выберите Группировать , а затем — Действие. Чтобы разгруппировать записи, выберите Нет.

Использование PowerShell для просмотра записей URL-адресов в списке разрешенных и заблокированных клиентов

В Exchange Online PowerShell используйте следующий синтаксис:

Get-TenantAllowBlockListItems -ListType Url [-Allow] [-Block] [-Entry <URLValue>] [<-ExpirationDate <Date> | -NoExpiration>]

В этом примере возвращаются все разрешенные и заблокированные URL-адреса.

Get-TenantAllowBlockListItems -ListType Url

В этом примере результаты фильтруется по заблокированным URL-адресам.

Get-TenantAllowBlockListItems -ListType Url -Block

Подробные сведения о синтаксисе и параметрах см. в разделе Get-TenantAllowBlockListItems.

Использование портала Microsoft Defender для изменения записей URL-адресов в списке разрешенных и заблокированных клиентов

В существующих записях URL-адреса можно изменить дату окончания срока действия и примечание.

1. На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Политики & правила>Политики> угроз, раздел >Разрешения и блокировки Списки клиента. Или, чтобы перейти непосредственно на страницу разрешения или блокировки клиента Списки, используйте https://security.microsoft.com/tenantAllowBlockList.

2. Выберите вкладку URL-адреса

3. На вкладке URL-адреса выберите запись из списка, выбрав поле проверка рядом с первым столбцом, а затем выберите действие Изменить.

4. Во всплывающем окне Изменение URL-адреса доступны следующие параметры:

   • Блокировочные записи:
     • Удалить запись блока после. Выберите из следующих значений:
       • 1 день
       • 7 дней
       • 30 дней
       • Срок действия не истекает
       • Конкретная дата: максимальное значение — 90 дней с сегодняшнего дня.
     • Необязательное примечание
   • Разрешить записи:
     • Удалить разрешить запись после. Выберите из следующих значений:
       • 1 день
       • 7 дней
       • 30 дней
       • Конкретная дата: максимальное значение — 30 дней с сегодняшнего дня.
     • Необязательное примечание

   По завершении во всплывающем окне Изменение URL-адреса нажмите кнопку Сохранить.

Совет

Во всплывающем меню сведений о записи на вкладке URL-адреса используйте команду Просмотр отправки в верхней части всплывающего окна, чтобы перейти к сведениям о соответствующей записи на странице Отправки . Это действие доступно, если отправка отвечала за создание записи в списке разрешенных и заблокированных клиентов.

Использование PowerShell для изменения записей URL-адресов в списке разрешенных и заблокированных клиентов

В Exchange Online PowerShell используйте следующий синтаксис:

Set-TenantAllowBlockListItems -ListType Url <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]

В этом примере изменяется дата окончания срока действия записи блока для указанного URL-адреса.

Set-TenantAllowBlockListItems -ListType Url -Entries "~contoso.com" -ExpirationDate "9/1/2022"

Подробные сведения о синтаксисе и параметрах см. в разделе Set-TenantAllowBlockListItems.

Используйте портал Microsoft Defender для удаления записей URL-адресов из списка разрешенных и заблокированных клиентов

1. На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Политики & правила>Политики> угроз, раздел >Разрешения и блокировки Списки клиента. Или, чтобы перейти непосредственно на страницу Список разрешенных и заблокированных клиентов , используйте https://security.microsoft.com/tenantAllowBlockList.

2. Перейдите на вкладку URL-адреса .

3. На вкладке URL-адреса выполните одно из следующих действий.

   • Выберите запись из списка, выбрав поле проверка рядом с первым столбцом, а затем выберите действие Удалить, которое появится.

   • Выберите запись из списка, щелкнув в любом месте строки, кроме поля проверка. Во всплывающем окне сведений выберите Удалить в верхней части всплывающего окна.

     Совет

     Чтобы просмотреть сведения о других записях, не выходя из всплывающего меню сведений, используйте предыдущий элемент и следующий элемент в верхней части всплывающего окна.

4. В открывшемся диалоговом окне предупреждения выберите Удалить.

На вкладке URL-адреса запись больше не отображается.

Совет

Можно выбрать несколько записей, выбрав каждое поле проверка, или выбрать все записи, выбрав поле проверка рядом с заголовком столбца Значение.

Удаление записей URL-адресов из списка разрешенных и заблокированных клиентов с помощью PowerShell

В Exchange Online PowerShell используйте следующий синтаксис:

Remove-TenantAllowBlockListItems -ListType Url <-Ids <Identity value> | -Entries <Value>>

В этом примере запись блока для указанного URL-адреса удаляется из списка разрешенных и заблокированных клиентов.

Remove-TenantAllowBlockListItems -ListType Url -Entries "*cohovineyard.com

Подробные сведения о синтаксисе и параметрах см. в разделе Remove-TenantAllowBlockListItems.

Синтаксис URL-адреса для списка разрешенных и заблокированных клиентов

• Адреса IPv4 и IPv6 разрешены, но порты TCP/UDP — нет.

• Расширения имен файлов не допускаются (например, test.pdf).

• Юникод не поддерживается, но Punycode — это.

• Имена узлов разрешены, если все следующие инструкции имеют значение true:

  • Имя узла содержит точку.
  • Слева от точки есть по крайней мере один символ.
  • Справа от точки есть по крайней мере два символа.

  Например, t.co разрешено или .comcontoso. запрещено.

• Подпутьи не подразумеваются для разрешений.

  Например, contoso.com не включает contoso.com/a.

• Подстановочные знаки (*) разрешены в следующих сценариях:

  • За подстановочным знаком слева должна следовать точка для указания поддомена. (применимо только для блоков)

    Например, *.contoso.com значение разрешено; *contoso.com запрещено.

  • Чтобы указать путь, справа должен следовать косая черта (/).

    Например, contoso.com/* разрешено или contoso.com*contoso.com/ab* запрещено.

  • *.com* недопустим (не является разрешаемым доменом, и правильный подстановочный знак не следует за косой чертой).

  • Подстановочные знаки не допускаются в IP-адресах.

• Символ тильды (~) доступен в следующих сценариях:

  • Левая тильда подразумевает домен и все поддомены.

    Например, ~contoso.com включает contoso.com и *.contoso.com.

• Имя пользователя или пароль не поддерживается и не требуется.

• Кавычки (' или ") являются недопустимыми символами.

• URL-адрес должен содержать все перенаправления, где это возможно.

Сценарии ввода URL-адресов

Допустимые записи URL-адресов и их результаты описаны в следующих подразделах.

Сценарий. Блокировка домена верхнего уровня

Запись: *.<TLD>/*

• Совпадение блоков:
  • a.TLD
  • TLD/abcd
  • b.abcd.TLD
  • TLD/contoso.com
  • TLD/q=contoso.com
  • www.abcd.TLD
  • www.abcd.TLD/q=a@contoso.com

Сценарий. Подстановочные знаки отсутствуют

Запись: contoso.com

• Разрешить совпадение: contoso.com

• Разрешить не совпадает:

  • abc-contoso.com
  • contoso.com/a
  • payroll.contoso.com
  • test.com/contoso.com
  • test.com/q=contoso.com
  • www.contoso.com
  • www.contoso.com/q=a@contoso.com

• Совпадение блоков:

  • contoso.com
  • contoso.com/a
  • payroll.contoso.com
  • test.com/contoso.com
  • test.com/q=contoso.com
  • www.contoso.com
  • www.contoso.com/q=a@contoso.com

• Блок не соответствует: abc-contoso.com

Сценарий: левый подстановочный знак (поддомен)

Совет

Разрешить записи этого шаблона поддерживаются только в расширенной конфигурации доставки.

Запись: *.contoso.com

• Разрешить совпадение и совпадение блоков:

  • www.contoso.com
  • xyz.abc.contoso.com

• Разрешить не совпадать и Блокировать не соответствует:

  • 123contoso.com
  • contoso.com
  • test.com/contoso.com
  • www.contoso.com/abc

Сценарий: подстановочный знак справа в верхней части пути

Запись: contoso.com/a/*

• Разрешить совпадение и совпадение блоков:

  • contoso.com/a/b
  • contoso.com/a/b/c
  • contoso.com/a/?q=joe@t.com

• Разрешить не совпадать и Блокировать не соответствует:

  • contoso.com
  • contoso.com/a
  • www.contoso.com
  • www.contoso.com/q=a@contoso.com

Сценарий: левая тильда

Совет

Разрешить записи этого шаблона поддерживаются только в расширенной конфигурации доставки.

Запись: ~contoso.com

• Разрешить совпадение и совпадение блоков:

  • contoso.com
  • www.contoso.com
  • xyz.abc.contoso.com

• Разрешить не совпадать и Блокировать не соответствует:

  • 123contoso.com
  • contoso.com/abc
  • www.contoso.com/abc

Сценарий: суффикс с подстановочными знаками справа

Запись: contoso.com/*

• Разрешить совпадение и совпадение блоков:

  • contoso.com/?q=whatever@fabrikam.com
  • contoso.com/a
  • contoso.com/a/b/c
  • contoso.com/ab
  • contoso.com/b
  • contoso.com/b/a/c
  • contoso.com/ba

• Разрешить не совпадать и Блокировать не соответствует: contoso.com

Сценарий: поддомен слева и правый суффикс с подстановочными знаками

Совет

Разрешить записи этого шаблона поддерживаются только в расширенной конфигурации доставки.

Запись: *.contoso.com/*

• Разрешить совпадение и совпадение блоков:

  • abc.contoso.com/ab
  • abc.xyz.contoso.com/a/b/c
  • www.contoso.com/a
  • www.contoso.com/b/a/c
  • xyz.contoso.com/ba

• Разрешить не совпадать и Блокировать не соответствует: contoso.com/b

Сценарий: левая и правая тильда

Совет

Разрешить записи этого шаблона поддерживаются только в расширенной конфигурации доставки.

Запись: ~contoso.com~

• Разрешить совпадение и совпадение блоков:

  • contoso.com
  • contoso.com/a
  • www.contoso.com
  • www.contoso.com/b
  • xyz.abc.contoso.com
  • abc.xyz.contoso.com/a/b/c
  • contoso.com/b/a/c
  • test.com/contoso.com

• Разрешить не совпадать и Блокировать не соответствует:

  • 123contoso.com
  • contoso.org
  • test.com/q=contoso.com

Сценарий: IP-адрес

Запись: 1.2.3.4

• Разрешить совпадение и совпадение блоков: 1.2.3.4

• Разрешить не совпадать и Блокировать не соответствует:

  • 1.2.3.4/a
  • 11.2.3.4/a

IP-адрес с подстановочными знаками

Запись: 1.2.3.4/*

• Разрешить совпадение и совпадение блоков:
  • 1.2.3.4/b
  • 1.2.3.4/baaaa

Примеры недопустимых записей

Недопустимы следующие записи:

• Отсутствующие или недопустимые значения домена:

  • Contoso
  • *.Contoso.*
  • *.Com
  • *.pdf

• Подстановочный знак в тексте или без интервалов:

  • *contoso.com
  • contoso.com*
  • *1.2.3.4
  • 1.2.3.4*
  • contoso.com/a*
  • contoso.com/ab*

• IP-адреса с портами:

  • contoso.com:443
  • abc.contoso.com:25

• Неописуемые подстановочные знаки:

  • *
  • *.*

• Средние подстановочные знаки:

  • conto*so.com
  • conto~so.com

• Двойные подстановочные знаки

  • contoso.com/**
  • contoso.com/*/*

Связанные статьи

• Используйте страницу Отправки для отправки в корпорацию Майкрософт подозрительных сообщений о спаме, фишинге, URL-адресах, блокировке допустимых сообщений электронной почты и вложений электронной почты.
• Отчет о ложноположительных и ложноотрицательных результатах
• Управление разрешениями и блоками в списке разрешенных и заблокированных клиентов
• Разрешить или заблокировать файлы в списке разрешенных и заблокированных клиентов
• Разрешить или заблокировать сообщения электронной почты в списке разрешенных и заблокированных клиентов